Netzwerktechnik

[nicokempe]

• [x] Netzwerktopologien
• [x] Netzwerkkabel
• [x] Ethernet (Standards, ...)
• [x] Netzwerktypen (LAN, WAN, PAN, CAN, MAN, SAN und WLAN)
• [x] WLAN (Standards, Typen, GhZ, Wifi 5, Wifi 6, ...)
• [x] WLAN 2,4 vs 6 Ghz
• [x] WLAN Security (WPA, WPA2, WPA3, WEP, WPS und Access Control Lists)
• [x] VPN
• [x] DNS
• [x] ISO/OSI Modell
• [x] Die Schichten
• [x] Zahlensysteme
• [x] IPv4
• [x] IPv6
• [x] Subnetting
• [x] MAC-Adressen
• [x] ARP
• [x] NAT
• [x] DHCP
• [ ] DHCPv6
• [ ] VLAN
• [ ] STP
• [ ] Neighbor Discovery Protocol
• [ ] IT-Security
  • [x] Firewalls
  • [x] DMZ
  • [ ] Schutzbedarfsanalyse
  • [ ] CIA-Ziele
  • [ ] Network Security
  • [ ] Hashing
  • [ ] Gesetzliche Grundlagen
  • [ ] BSI-Gesetz
  • [ ] IT-Sicherheitsgesetz
  • [ ] EU-Datenschutz-Grundverordnung
  • [ ] Bundesdatenschutzgesetz
  • [ ] IT-Grundschutz
  • [ ] Elementare Gefährdungen
  • [ ] Ransomware
  • [ ] Arten von Cyberangriffen
  • [ ] Verfügbarkeit (Verfügbarkeitsklassen, SLAs, ...)

[nicokempe]

STP (das Spanning Tree Protocol) wurde integriert, damit bei ARP-Requests keine "Endlosschleifen" entstehen. Damit man also den Request nicht aus Versehen zurück bekommt und Bandbreite verschwendet. Da wird dann einfach von dem Protokol der optimale Weg gefunden. Wie genau das funktioniert muss ich mir noch anschauen aber das ist es im großen und ganzen wohl. Um generell weniger unnötige Requests zu haben ist die Verwendung von VLANs gut geeignet, damit das Netzwerk auf die wirklich nötigen Bestandteile reduziert wird.

[nicokempe]

ARP Requests werden auf der Layer 2 Schicht durchgeführt in einem Netzwerk von Switches wenn ein Switch eine IPv4 noch nicht zu einer MAC-Adresse umwandeln kann und deshalb im Netzwerk nach der MAC fragt und wenn er die hat dann ordnet der lokal zu in seinem ARP Table was hier zu was gehört.

[nicokempe]

MAC (Media Access Control) Adressen: 6 Byte / 48 Bits lang, die ersten 3 Byte für die Hersteller (OUI / Organizational Unique Identifier), die nächsten 3 Byte für die Geräte (ca. 16 Mio Geräte) Können schwer auch geändert werden (MAC Spoofing) Im Netzwerkbereich wichtig für L2 Switches

[nicokempe]

Netzwerktopologien

Die Topologie ist ein Layout und stellt dar, wie Geräte in einem Netzwerk kommunizieren.

Es gibt 2 relevante Aufteilungen:

• Kabelgebunden und Kabellos (Wired and Wireless)
• Physisch und Logisch

Wired

Star Topology

Die bekannteste. Hier sind alle Computer zu einem einzelnen Punkt (Hub oder Switch) verbunden. Wenn ein PC failed dann laufen die anderen weiterhin, weil alle ihre eigenen PCs haben. Wenn aber der Zentrale Switch/Hub failed hat man da einen Single Point of Failure.

Ring

Jeder Computer hat genau zwei Nachbarn. Wird selten genutzt. Ist einfach zu installieren und zu Troubleshooten. Wenn ein Problem besteht dann wird alles außenrum erst mal noch laufen, wenn aber zwei nicht merh laufen machts Probleme

Bus

Sehr alt und wird nicht mehr verwendet. Alle Geräte sind zu einem Kabel / Backbone verbunden. Ist zwar einfach, das Setup braucht aber einen BNC Connector an einem Koaxialkabel. Das muss am Anfang und am Ende terminiert werden.

Mesh

Jeder Computer ist mit jedem Computer verbunden, das ist also super fehlertolerant. Das ist aber auch teuer. Im Internet wird eine Mesh Topologie verwendet

Das Internet verwendet eine Mesh Topologie:

Wireless

Infrastructure

Hier wird eine Kombination aus kabelgebundenen und kabellosen Verbindungen verwendet.

Ad-hoc

Jedes Gerät verbindet sich direkt ohne zentralisiertes Gerät (wie einen Router) miteinander. Eine Art Peer-to-Peer.

Wireless Mesh

Die Access Points sprechen miteinander.

[nicokempe]

Netzwerke

AuerNetzwerke sind einfach Computer mit einander verbunden sind um Informationen auszutauschen. Verbinden kann man Kabel oder eine Wireless-Technologie verwenden. Netzwerktypen unterscheidet man daran, wie gro sie sind und wie viel Platz sie geographisch einnehmen (LAN, WAN, PAN, ...)

PAN

Personal Area Networks sind kleine Netzwerke, die benutzt werden um persönliche Geräte wie Tablets, Notebooks und Smartphones miteinander zu verbinden. Die verwenden kabellose Technologien wie Bluetooth, Infrarot und NFC. Kabelgebunden läuft das in der Regel über USB-Kabel.

WLAN

Ein Wireless Local Area Network ist einfach ein LAN, welches kabellose Technologien verwendet. Typischerweise wird hierfür ein WiFi-Router oder ein Wireless-AP verwendet.

CAN

Ein Campus Area Network ist die Zusammenführung von 2 oder mehr LANs innerhalb eines limitierten Gebietes.

MAN

Ein Metropolitan Area Network überspannt sich über mehrere Gebäude in einer Stadt.

SAN

Ein Storage Area Network ist ein spezielles High-Speed-Netzwerk, das große Mengen von Daten speichert und bereitstellt. Besteht aus mehreren Disk Arrays, Servern und Switches. Ist ein eigenes Netzwerk ohne LAN.

LAN

In der typischen Variante wird ein Switch zum verbinden von zwei Geräten verwendet. Wenn man einen Switch hinstellt und mindestens zwei Geräte verbindet und diesen Switch als Verbindungspunkt nutzt, dann hat man ein LAN (Local Area Network). Das ist ein privates Netzwerk, weil die nur untereinander sprechen können.

WAN

Wenn die nach außen (ins Internet) kommunizieren wollen, dann benötigen sie eine Verbindung zu einem ISP (Internet Service Provider). Diese Verbindung kann dann hergestellt werden, indem man einen Gateway einsetzt. Als Gateway bezeichnet man jene Router, die ein Gerät in ein anderes Netzwerk bringen können. Dadurch erhält man dann Zugriff auf ein WAN (Wide Area Network). Das zeichnet sich aus, indem es erreichbar ist über ganze Kontinente, die ganze Welt oder einfach große Bereiche erreichbar ist (Millionen von Usern). Ein Beispiel für ein WAN ist das Internet.

SUBNET

Wenn man sein großes Netzwerk (z. B. sein LAN) in mehrere kleine aufteilen will, z. B. weil man extra Sub-Netze für bestimmte Abteilungen hat, dann spricht man von Subnetzen. Diese kann man nutzen damit die untereinander nicht so einfach kommunizieren kann. Subnet oder Subnetzwerk ist also einfach ein Bereich aus einem Netzwerk.

Warum Subnetze?

• Security
• Performance (Broadcast-Traffic)
• Wartbarkeit

Wireless Access Point vs Wi-Fi Router

Die sehen zwar ähnlich aus, sind aber etwas anderes. Jeder mit einer Internetverbindung hat einen Wi-Fi Router zuhause. Der kann selbstständig da stehen oder auch einfach in den Modem eingebaut sein, der das Internet aus dem Netz bezieht. Wi-Fi Router haben eine eigene Switch mit eingebaut. Der strahlt ein Wi-Fi Signal aus, damit andere Geräte sich damit verbinden können. Ein Wi-Fi Router wird in der Regel im Heimnetz verwendet.

Ein Wireless Access Point ist direkt verbunden mit dem Wi-Fi Router und arbeitet wie eine Art "Verstärker" des Signals. Hauptsächlich von mittleren bis großen Unternehmen benutzt. Bei uns sind das die wilden UniFi APs.

Access Points werden von einem zentralen Wi-Fi Router verwaltet und ziehen sich von dort ihre Konfiguration. Das erleichtert den Wartungsaufwand natürlich erheblich daher ist das auch über für Unternehmen. Klar könnte man auch 4 Wi-Fi Router verwenden aber mit einem Router und 3 APs ist man zum einen günstiger dran und zum anderen können sich die APs besser wie Slaves verhalten und ziehen Configs einfach. Während Wi-Fi Router alle möglichen Features haben, haben APs auch da etwas weniger und beschränken sich auf ihre Aufgabe als Wi-Fi AP für Geräte. Also keine Hintergrundprogramme, kein Switch, keine Firewall, kein DHCP-Service, kein eingebauter Schnick-Schnack und die Config wird gezogen. Daraus kommen dann ggf. ein günstigerer Preis, besserere Wartbarkeit und im Optimalfall sogar noch bessere Performance raus.

Außerdem haben die APs keinen dann unnötigen WAN-Port als Internet-Zugang. Die haben einfach einen Ethernet-Port, auf dem häufig selbst der Strom übers Internet kommt (PoE).

Wi-Fi vs WLAN

In Deutschland verwendet man die Bezeichnung WLAN (Wireless Local Area Network) häufig als Wi-Fi (Wireless Fidelity).

• WLAN: Hauptsächlich in Deutschland verwendet.
• Wi-Fi: Marketingbegriff als Synonym für WLAN. Bezieht sich auf WLAN.

Also kein tatsächlicher Unterschied.

Wi-Fi 6

Das Hauptziel von Wi-Fi 6 war es, memr Geräten eine bessere Verbindung zu einem Wi-Fi Netzwerk zu ermöglichen. Nicht nur die eigentliche Verbesserung der Performance an sich. Viele Geräte (Kühlschränke, Mobiltelefone, Überwachungskameras) machen Stress und überfordern ein WLAN schnell mal bei Wi-Fi 5, Wi-Fi 6 wollte das Problem lösen.

Verteilt auf die ganzen Geräte können andere Höchstgeschwindigkeiten erreicht werden:

• Wi-Fi 5: 3,5 Gbps
• Wi-Fi 6: 9,6 Gbps

Wi-Fi 6 hat außerdem OFDMA (Orthogonal frequency-division multiple access) welches doe Latenz reduziert und Daten zu mehreren Geräten noch effizienter überliefert. Früher wurde immer ein Paket nach dem anderen verschickt werden, jetzt kann jedes Gerät gleichzeitig Internet bekommen.

Wi-Fi 6 nutzt auch MU-MIMO (Multiple user, multiple input, multiple output). In Wi-Fi 5.2 kam diese Technologie das erste mal zum Einsatz. Die ermöglichen die Kommunikation mehrerer Geräte mit einem Wi-Fi Router zur selben Zeit.

Vor Wi-Fi 5 wurde SU-MIMO verwendet. Das heißt mehrere Inputs und mehrere Outputs aber nur ein User. Da hat sich einiges unterschieden:

In Wi-Fi 6 werden Interferenzen (durch bspw. mehrere Router nebeneinander) stärker unterdrückt, weil sich Wi-Fi Netze dann auch überlappen können.

Durch Wi-Fi 6 wurde außerdem auch WPA3 verpflichtend gemacht. Das ist ein robustes Security Protokoll, dass unter anderem das erraten von Passwörtern erschwert. Außerdem wird durch Wi-Fi 6 die Batteriezeit von Wi-Fi-Geräten verbessert. Da wurde Target Wake Time (TWT) eingeführt. Die Antennne können also in den Sleep-Mode gehen, wenn sie nicht gebraucht werden.

Mit Wi-Fi 6 wurde auch 6 Ghz eingeführt (Mehr performance, geringe Latenz und weniger Interferenzen).

Wenn man also etwa 20 Wi-Fi Geräte hat, dann lohnt sich eine Umstellung. Wichtig zu beachten ist, dass die Geräte Wi-Fi 6 kompatibel sein müssen.

Roaming

Roaming ermöglicht den Wechsel zwischen zwei Access Points ohne Unterbrechnung. Durch unterschiedliche Kanalnummern stören sich die APs auch nicht gegenseitig. "Expertengeräte" (von Cisco, Ubiqi, ...) unterstützen Roaming zusätzlich noch durch Protokolle und erhöhen damit die Wahrscheinlichkeit eines unterbrechungsfreien Wechsels.

[nicokempe]

WLAN Security

Es gibt unterschiedlichste Protokolle, um ein WLAN-Netzwerk zu schützen (WEP, WPA, WPA2, WPA3, WPS).

WEP

Wired Equivalent Privacy (WEP) kam 1999 raus und ist so das erste kabellose Sicherheitsprotokoll. WEP ist super unsicher, es kam raus, dass der 40 Bit Encryption Schlüssel unsicher ist und dass die Netzwerke, die das verwenden anfällig und damit hackbar sind. Deshaln wird WEP auch nicht mehr benutzt und steht gar nicht mehr zur Auswahl.

WPA

Wi-Fi Protected Access (WPA) wurde entwickelt, um die Probleme von WEP zu beheben und es besser zu machen. WPA verwendet eine stärkere Encryption. Außerdem wird TKIP (Temporal Key Integrity Protocol) verwendet. Das behebt einige Probleme aus den unterschiedlichsten Bereichen. WPA ist heute aber auch schon deprecated, weil TKIP einige Schwachstellen hatte.

WPA2

Wi-Fi-Protected Access 2 (WPA2) wurde entwickelt, um nochmal besser zu sein als WPA2. WPA2 nutzt dafür einen noch stärkeren Encryption Standard: AES (Advanced Encryption Standard). AES ist auch weiterhin noch sehr stark genutzt (unter anderem vom US Millitär). WPA2 kann Brute-Force-Attacken ziemlich weitgehend standhalten und ist daher ein aktuell noch stabiler Standard.

WPA3

Wifi-Protected Access 3 wurde 2018 vorgestellt und verbessert WPA erneut:

• WPA-3 verwendet Wi-Fi DPP (das Device Provisioning Protocol). Das überträgt den Zugriff auf das System, ohne ein Passwort durch die Luft zu senden. Mit DPP kann man über QR-Codes oder NFC-Tags in Netzwerke rein. Wenn der User das Passwort nicht kennt, dann kann er es auch nicht auf ein PostIt an seinen Monitor hängen. 💀
• Das ändert sich zwar in der IT-Security eh ständig aber die WPA3-Verschlüsslung erschwert es aktuell mit seinem 256-Bit-Galois / Counter-Mode-Protokoll (GCMP-256) erheblich Hackern & anderen mit böswilliger Absicht.
• Bisher hatten Verschlüsslungsalgorithmen 128-Bit-Verschlüssling. Bisher waren es eine 3 mit 38 Nullen (3.048 x 10^38) an Berechnungen, die ein Computer gebraucht hat, um das Passwort zu erraten. Bei 256 Bit sind es jetzt eine 1 und 77 Nullen. (1,15 x 10^77).
• Beim übertragen des Verschlüsslungscodes zwischen Router und Geräten verwendet WPA3 den 384-Bit-Hashed-Message Authentifizierungsmodus. Das heißt Verbindungen önnen hergestellt werden, aber so, dass beim Abfangen der Kommunikation nicht herausgefunden werden kann, was der ursprüngliche Verschlüslungscode ist. Wie wenn die eine eigene Sprache sprechen würden kann die Kommunikation zwar abgefangen aber nicht verständlich gemacht werden.

WPS

Wi-Fi Protected Setup (WPS) ist ein physischer Button oder ähnliches, damit man sich einfach mit seinem Router verbinden kann, ohne wirklich Ahnung haben zu müssen. Eine alternative Möglichkeit wäre auch ein PIN. Das ist so mit der einfachste Weg um sich mit einem Gerät zu verbinden.

Access Controls

Mit ACs kann man einzelne MAC-Adressen nur im Netz erlauben oder verbieten.

Enterprise Mode

Der Enterprise Mode ist für Unternehmen gedacht. Für den Enterprise Mode ist aber auch ein RADIUS-Authentifizierungsserver (Remote Authentication Dial-In User Service) benötigt. Der bietet weitere Sicherheit. Der AP muss dann zuerst vom RADIUS-Server authentifziziert werden. Dann können sich Clients aber auch anders authentifizieren (z. B. über Okta, Azure Entra, ...). Verwendet wird dafür das Extensible Authentication Protocol (EAP).

Wenn EAP verwendet wird, dann findet die Authentifizierung nicht mehr auf dem AP, sondern auf einem dedizierten Authentifizierungsserver statt.

Hier eine übliche Konfiguration für den Enterprise Mode:

[nicokempe]

2,4 GHz vs 5 GHz vs 6 GHz

Ein Frequenzband stellt dar, wie kabellose Daten zwischen Geräten übermittelt werden. Die Bänder haben entweder 2,4 GHz oder 5 GHz (oder mittlerweile auch mal 6 GHz). Die IEEE 802.11 WLAN-Standards geben da alles vor.

Zusammenfassung:

2,4 GHz ist wie eine AK47, ordentliche Reichweite und ziemlich präzise für ein paar Leute aber wenns zu viele Menschen werden geht das Magazin ganz schön schnell leer 5GHz ist wie eine Schrotflinte. Es ist viel besser in der Nähe und viel mächtiger. Man kann da ordentlich Leute mit versorgen aber halt auch nur auf nächste Nähe und nicht sonderlich weit. 6 GHz ist einfach nur nochmal etwas krasser (Statt ner Nova halt eine XMP)

Das 2,4 GHz Band ist Lizenzkostenfrei nutzbar das heißt sämtliche IoT-Geräte, Toaster und selbst Fernbedienungen und Mikrowellen strahlen auf der Frequenz aus. Das kann WLANs stören, teils sind Frequenzbereiche dem Millitär oder bestimmten Lizenzen vorgehalten.

2,4 GHz

• Wird von jedem Scheiß benutzt -> mehr Störungen
• Hat eine bessere Reichweite als 5 GHz und besonders als 6 GHz

Auch wenn ein paar mehr Kanäle zur Verfügung stehen bei 2,4 GHz, können nur ein paar benutzt werden:

Das kann man sich in etwa so vorstellen:

Im dargestellten Frequenz-Spektrum sind die ganzen Funkkommunikationen angeben. Alle drahtlosen Geräte arbeiten im Bereich der Radiowellen:

Relevant sind diese Kanäle besonders für beispielsweise Access Points. Wenn es eben nur 3 nutzbare gibt (auch wenns eigentlich mehr sind) dann stehen eben auch nur die zur Verfügung. Verwendet werden dürfen die Kanäle 1, 6 und 11.

Früher mussten Access Points noch manuell ihre Kanäle wählen. Mittlerweile läuft das aber automarisch. WLAN-Basisstationen verwenden standardmäßig die Kanäle 1 bis 11 zur automatischen Kanalwahl. Das führt dann häufig automatisch zur Kanalbelegung 1-6-11. Access Points suchen such automatisch einen verfügbaren Channel raus, hier in der Abbildung 3 APs mit nicht-überlappenden Kanälen:

5 GHz

• Neueres Band
• Noch nicht so überlaufen, daher weniger Sörquellen
• Hat eine grundsätzlich geringere Übertragungsdistanz (im Vergleich mit 2,4 GHz)
• Hat dafür aber eine deutlich höhere Übertragungsrate
• Das Signal kommt schwieriger durch Wände (wird heftiger von Wänden abgeschirmt)
• Ist aufgeteilt in diverse Kanäle, die flexibel genutzt werden können
• Biettet unterschiedliche Bandbreiten an: 20, 40, 80 und 160 MHz

Die Kanalbelegung

Hier keine nicht überlappenden Kanäle, jeder Kanal hat einen eigenen Frequenzbereich zugewiesen bekommen, der sich nicht mit den Frequenzen der anderen Kanäle überschneidet:

5 GHz hat also auch mehr Kanäle:

[nicokempe]

Mögliche Interferenzquellen für 2,4 GHz WLAN:

• Mikrowellenherde
• Wireless Kameras
• Bewegungsmelder
• ...

[nicokempe]

Wo APs anbringen?

• APs dort anbringen, wo auch Nutzer zu erwarten sind. Ein Konferenzraum oder Klassenzimmer sind deshalb bessere Standorte als auf dem Flur.
• APs oberhalb von Hindernissen platzieren. / APs in Deckennähe zentral anbringen. (Weniger Hindernisse)
• Die Baustruktur muss beachtet werden: Holzwände sind z.B. durchlässiger als Stahlbeton. In Lager- und Produktionshallen verringern z.B. Gitterboxen und Kanister mit Flüssigkeiten das WLAN-Signal ebenso. (Wie im https://design.ui.com getestet)
• Vorgaben müssen beachtet werden: Z.B. zulässige Kanäle in Deutschland und die maximale Sendestärke.
• Die Anforderungen an sich (erwartbare Benutzeranzahl, Position, Budget, ...)
• Die Gegebenheiten (wo können keine APs platziert werden? Wo können. Wo können Ethernet-Kabel platziert werden?)

[nicokempe]

Rogue AP

Ein Rogue AP ist ein AP, der ohne ausdrückliche Genehmigung an das Firmennetzwerk angeschlossen wurde und damit gegen Firmenregeln verstößt.

Mit Zugang zu den Räumlichkeiten eines Unternehmens kann (böswillig oder nicht) ein Router installiert werden. Ist ein Rogue AP einmal verbunden, kann der von einem Angreifer auf die unterschiedlichsten Methoden geutzt werden:

• MAC Adressen auslesen
• Datenpakete auslesen
• Zugang zu Netzwerkressourcen erhalten
• Start einer Man-in-the-Middle-Attacke
• ...

Auch Personal Hotspots können als Rogue AP fungieren. Das unterwandert die Sicherheit und nicht autorisierte Geräte kommen ins Netzwerk.

Rogue APs können auf einem WLC (Wireless LAN Controller) anhand von konfigurierter Regeln erkannt werden:

[nicokempe]

Best-practices für WLAN Security

• Eigenes Admin-Passwort vergeben (selbstverständlich mit einer starken Password Policy)
• Eigenes WLAN-Passwort vergeben (selbstverständlich mit einer starken Password Policy)
• Seperates Gäste-Netzwerk, welches keinen Zugriff auf jegliche sensiblen Ressourcen hat
• Verwendung aktueller Sicherheitsprotokolle und nach Möglichkeit kein rückwirkender Support (wenn die verwendete Infrastruktur das zulässt). Aktuell: WPA3
• Nach Möglichkeit die Konfiguration von Auto-Updates am Router verwenden
• Web-Interfaces von APs oder Geräten deaktivieren, die nicht benötigt werden.
• Verwendung eines VPN wenn man ein öffentliches WLAN verwendet
• Verwendung von Netzwerk-Segmenten durch VLANs und Subnetze.
• Verwenndung von Firewalls (Access Control Lists) zwischen WLAN und LAN
• Integration eines IDS (Intrusion Detection Systems). Diese Funktion ist auf WLAN-Controllern häufig schon gegeben.

"Overkill" Security Feature: MAC-Adressfilter (nur Geräte, deren MAC-Adressen registriert wurden, erhalten Zugriff zum WLAN. MAC-Adressen lassen sich sehr einfach überschreiben daher ist das keine wirklich notwendige Aktion.

[nicokempe]

Warum halbiert sich die Datenübertragungsrate bei der Nutzung eines klassischen Repeaters? -> Eine Antenne zum empfangen und eine zum senden. Mit jeder Verbindung muss ich dann ja 2 Antennen abzweigen. Daher hier nie die volle Datenübertragungsrate wie bei einem AP.

Daher macht auch Meshing nicht immer Sinn (und deswegen haben wir es bei uns jetzt auch deaktiviert)

Welchen Vorteil bieten Mesh-Netzwerke (im Vergleich zu klassischen Repeatern)? -> Weil die Repeater miteinander connected sind habe ich mehr Ausfallsicherheit und bin bei einem Ausfall nicht sofort betroffen. -> Redundanz!

Welche Funktion hat die SSID? -> Zur Auflösung eines WLAN-Netzes

Warum sollte die SSID nicht unterdrückt werden? -> Weil dadurch Geräte dauerhaft nach der SSID suchen müssten und weil dadurch eine Man-in-the-Middle Attacke gestartet werden kann

[nicokempe]

Unterschied zwischen Repeater und Bridge:

Ein Repeater nimmt ein W-LAN oder LAN-Signal und verstärkt das als WLAN-Signal, während eine Bridge ein WLAN nimmt und es zu einem Kabel ummounted.

Habe ich dich da richtig verstanden @philippeibich?

[nicokempe]

VPN

Ein Virtual Private Network soll eine sicherere Netzwerkverbindung über ein unsicheres Netzwerk (wie über das Internet) etablieren. Eine VPN schützt die eigene Identität und Internetaktivität vor den Betreibern von Webseiten oder Diensten, die man im Internet verwendet.

Standardmäßig nutzt man beim surfen die Server des eigenen Internetbetreibers (z. B. Vodafone, Telekom, ...). Ein VPN-Betreiber (im firmenkontext bei einem Full-Tunnel ggf. auch das Unternehmen selbst) umgeht den ISP, das heißt der ISP kann nicht mehr sehen, welche Webseiten oder Internet-Dienste man nutzt.

Der ISP sollte damit zwar nichts böswilliges tun, in der Praxis hat sich aber immer wieder herausgestellt, dass ISP sehr gerne ohne weiteres Kundendaten herausgeben wenn beispielsweise der Staat anklopft. Bei Unternehmen kriegen die Unternehmen das wenigstens mit oder bei Anbietern wie Proton kommen die Regierungen nur über starke Umwege überhaupt an die Daten (schweizer Unternehmen, das selbst nur geringfügig Zugriff auf Kundendaten hat).

Die eigene IP-Adresse wird bei Interentdiensten also verschleiert. Die IP vom ISP geht direkt zum VPN Anbieter und weil der Anbieter als Zwischenstelle funktioniert läuft der Traffic über die und um Optimalfall lässt sich die eigene Identität dann auch schwerer zurückverfolgen.

Eine VPN wird im Optimalfall außerdem die Internetdaten auch enrypten und schützen. Mittels Tunneling werden die Pakete also (im idealfall) privat gehalten:

Ein weiterer Vorteil der Nutzung ist, dass man den eigenen Standort anpassen kann und damit geographische Richtlinien wie Sperrungen umgehen kann (Serien, Filme, Reportagen, Untersuchungen, ...).

Eine VPN wird außerdem von Unternehmen genutzt, um Remote Mitarbeitern Zugriff auf interne Ressourcen zu bieten. Es gibt zwar auch sowas die "Leased lines" / "Private lines". Also eine Verbindung direkt von Standort zu Standort, das ist aber super teuer und bei einer großen Anzahl von Mitarbeitern super unrealistisch. Ein realistischeres Beispiel wäre es, Unternehmensstandorte somit zu verbinden. Über ein VPN hat man die gleichen Möglichkeiten, auch wenn man über das öffentliche Internet geht, kann man Mitarbeiter mit ins private Netz holen ohne Sicherheitsbedenken haben zu müssen, dass eine VPN nicht ausreicht.

Besonders wichtig ist eine VPN an öffentlichen Standorten (Hotels, Coffee Shops, Malls, Flughäfen, ...), weil dort Leute ein öffentliches WLAN vorgeben, um Geräte zu hacken.

Kostenlose VPNs verdienen ihr Geld in der Regel durch den Verkauf der Daten.

Bezahlten VPN Providern kann man vielleicht etwas mehr vertrauen schenken, weil die ihr Geld auch anders verdienen, aber auch die können geldgeile Wichser sein.

[nicokempe]

ISO/OSI Referenzmodell

Damit eine Netzwerkarchitektur etabliert werden kann, die all diese Themen bewältigen kann. Zur Vereinfachung all der Verantwortlichkeiten und Themen wurde das ISO/OSI Schichtenmodell entworfen. Dabei wird das Internet und die Bestandteile in verschiedene Schichten mit unterschiedlichen Aufgaben aufgeteilt.

ISO/OSI = International Organization for Standardization / Open Systems Interconnection

Dazugehörige Protokolle

Layer 7 - Application:

Funktion: Bietet Netzdienste direkt für Endnutzer oder Anwendungen an. Beispiele: HTTP, FTP, SMTP.

Layer 6 - Presentation:

Funktion: Übersetzt, verschlüsselt oder komprimiert Daten für die richtige Interpretation. Beispiele: SSL/TLS, ASCII, JPEG.

Layer 5 - Session:

Funktion: Aufbauen, Verwalten und Beenden von Kommunikationssitzungen. Beispiele: NetBIOS, RPC.

Layer 4 - Transport:

Funktion: Verwaltet die End-to-End-Kommunikation und gewährleistet die Datenintegrität. Beispiele: TCP, UDP.

Layer 3 - Network:

Funktion: Leitet Daten zwischen verschiedenen Netzen weiter. Beispiele: IP, ICMP.

Layer 2 - Data Link:

Funktion: Ermöglicht die Fehlererkennung und -korrektur innerhalb eines lokalen Netzes. Beispiele: Ethernet, PPP.

Layer 1 - Physical:

Funktion: Definiert die physikalische Verbindung und Übertragung von Rohdatenbits. Beispiele: Kabel, Stecker, Schalter.

Key Concepts:

• Encapsulation: Die Daten werden auf jeder Schicht mit einem Header oder Trailer gekapselt.
• Decapsulation: Die Daten werden auf ihrem Weg durch die Schichten entkapselt.
• PDU (Protocol Data Unit): Eine für jede Ebene spezifische Dateneinheit.

Das ISO/OSI Modell hat 7 Schichten:

Merksatz:

1. Please = Physical Layer: Bitübertragungsschicht - unstrukturierte und ungesicherte Übertragung über physisches Medium (Übertragen werden Bits).
2. Do = Data Link Layer: Sicherungsschicht - Bitübertragungsfehler werden erkannt und behoben. Übertragen werden Frames. Kommuniziert wird über MAC-Adressen. Hier arbeiten Ethernet und Wi-Fi.
3. Not = Network Layer: Netzwerkschicht - Routing (Teil- zu Ganzverbindungen), hier arbeiten IP-Adressen
4. Throw = Transport Layer: Transportschicht - Segmentübertragung, Bindung zwischen Anwendung und Transport, Zuordnung zur Anwendung. TCP oder UDP hier.
5. Salami = Session Layer: Sitzungsschicht - Organisation der Verbindungen, wie lange gesendet werden darf usw. Hier arbeiten TELNET, FTP, HTTP und SMTP.
6. Pizza = Presentation Layer: Darstellungsschicht - Übersetzung von Protokollinhalten und stellt die dar, Kompression & Verschlüsslung laufen hier. Auch hier sind HTTP, FTP und TELNET drauf.
7. Away = Application Layer: Anwendungsschicht - stellt Funktionen für die eigentliche Anwendung zur Verfügung und stellt die Verbindung zu den unteren Ebenen bereit. Hier z. B. auch die Ein- und Ausgabe von Dateien.

Im reduzierten "Internet-Schichtenmodell" werden die 3 unteren Schichten in die Anwendungsschicht zusammengefasst:

1. Physical Layer: Bitübertragungsschicht
2. Data Link Layer: Sicherungsschicht
3. Network Layer: Netzwerkschicht
4. Transport Layer: Transportschicht
5. Application Layer: Anwendungsschicht

Die Schichten stellen wir uns natürlich nur vor, aber die Schichten sind im Prinzip das hier:

1. Physical Layer: Auf der Bitübertragungsebene wird Strom/An, Kabel usw. reininterpretiert.
2. Data Link Layer: Die Datenflusskontrolle läuft auf Ebene von MAC-Adressen. Hier wird mit Prüfsummen gearbeitet. Hier wird auch abgefragt, wie groß Frames überhaupt sein dürfen, damit der Empfänger damit arbeiten kann. Hier passiert alles, damit die Geräte gleichzeitig gut miteinander kommunizieren können.
3. Network Layer: Weg durchs Netzwerk suchen (mit IP-Paketen) und schauen wie man am besten durchkommt
4. Transport Layer: Beaufsichtigung des Transports (TCP mit Prüfsumme & UDP), hier wird die Checksumme geprüft bei TCP und bei UDP wird hier eben geschlafen (keine Antwort).
5. Session Layer: Große Datenpakete wie eine Webseite (50 MB z. B.) wird übertragen und hier sollen Checkpoints erstellt werden, damit bei kurzen Problemen nicht alles auf ein mal verloren geht.
6. Presentation Layer: Übersetzungen auf Formate wie HTTP oder HTTPS
7. Application Layer: Anwendungen wie Google Chrome oder Counter Strike 2

Einordnung von Netzwerkgeräten in das ISO/OSI Modell:

• Kabel = L1
• Hub = L1
• Switch = L2 (oder L3, wenn spezielles Gerät)
• Router = L3 (mit Firewall, Zugangskontrolle o. ä. auf L4)

Richtig gutes Video: https://youtu.be/LkolbURrtTs?si=NukQAMQ5c4ZsYhCg

[nicokempe]

TCP vs UDP

TCP und UDP sind beides wichtige Protokolle für die Übermittlung von Daten. Der Hauptunterschied der Protokole liegt darin, dass UDP ein verbindungsloses und TCP ein verbindungsbasiertes Protokoll ist.

TCP

TCP (Transmission Control Protocol) verwendet Prüfsummen um Länge und Größe zu prüfen. Das ist notwendig bei Applikationen, die sicherstellen müssen, dass auch wirklich ankommt, was losgeschickt wird. Beispiele: HTTP oder FTP. Bei TCP findet eine Session statt. Die läuft über den TCP-Handshake / Three-Way-Handshake. Zuerst ein SYN, dann kommt ein SYN ACK zurück und zuletzt dann noch ein ACK Received.

SYN = Synchronize ACK = Acknowledge

UDP

UDP (User Diagram Protocol) prüft das nicht, UDP verschickt und fragt nicht nach ob alles ankam oder ob alles gepasst hat. UDP schickt rüber und wenns klappt egal und wenns nicht klappt auch egal. Das eignet sich nicht für Übertragungen bei denen es wichtig ist, dass der Inhalt auch wirklich ankommt. Bei Spielen (z. B. Shootern) macht UDP aber schon Sinn, weil hier Geschwindigkeit wichtig ist. UDP ist, eben weil es nicht nachprüft, ob alles gepasst hat, eben um einiges schneller.

[nicokempe]

IPSec

IPSec ist eine Auswahl an Protokollen die auf dem Network Layer (3. Layer) des ISO/OSI Modells laufen um Security zu integrieren. IP = Internet Protocol SEC = Secure

IPSec ist dafür da, die Kommunikation zwischen zwei Punkten im Netzwerk zu schützen. IPSec wird häufig verwendet um VPN zu erstellen.

Wenn Daten über das Internet verschickt werden, dann in Klartext. Bei sensiblen Daten wie Kreditkarteninformationen werden die Daten über das Internet verschlüsselt. Das läuft über Authentication und Encryption.

Wie?

• Erstellung von sicheren Tunneln um die Daten zu sichern
• In einem 2-Phasensystem unter Nutzung von IKE (Internet Key Exchange)

Internet Key Exchange / IKE

1. Phase: Die 2 Seiten identifizieren sich und vereinbaren Parameter für die Kommunikation
2. Phase: Erstellung des IPsec Tunnels.

Das gehört zu IPsec:

• AH / Authentication Header: Ein IPsec Protokoll, dass Authentication und Integrität bietet (keine Encryption!)
• ESP / Encapsulating Security Payload: Ein IPsec Protokoll, dass Authentication, Integrität und Encryption bietet. (das bessere von den beiden)
• Um IPsec nutzen zu können, müssen beide Beteiligten einen privaten oder öffentlichen Schlüssel teilen. Mit dem wird sichergestellt, dass nur die dafür bestimmten Personen die Daten aus dem Tunnel auch wieder da raus (oder rein) bekommen. Also wird der Schlüssel auf der einen Seite zum Encrypen und auf der anderen zum Decrypten verwendet.

Es gibt 2 Modi für IPsec:

• Transport Mode
• Tunnel Mode

IP Pakete haben einige Daten:

• IP Header (Source IP, Destination IP und mehr)
• TCP Header (Port, Sequenznummer und mehr)
• Payload (die eigentlichen Daten) --> Keine Security

Mit dem Transport Mode kommen dann noch der ESP Header, der ESP Trailer und ESP Auth mit dazu. Encrypted sind dann der TYP Header, der Payload und der ESP Trailer:

Im Tunnel Mode kommt dann noch ein neuer IP Header mit dazu. Der Tunnel Mode ist nochmal sicherer, weil hier auch der IP Header dann encrypted wird:

[nicokempe]

SSL, TLS, HTTP und HTTPS

HTTP

HTTP (Hypertext Transfer Protocol) ist das Standard-Protokoll bei Webseiten und Co. HTTP ist halt nicht verschlüsselt, der ganze scheiß geht also im Klartext durchs Netz, bei Passwörtern, Kreditkarteninformationen und den Bankzugängen von Oma jetzt vielleicht nicht ganz so geil.

Wenn HTTP verwendet wird, warnen moderne Browser aber eh direkt mit nem "Sicher, dass du auf die Webseite willst?" Und man muss manuell anklicken, dass man das Risiko akzeptiert

HTTPS

Dafür gibts dann ja dann HTTPS um genau das Problem zu lösen. HTTPS baut auf HTTP auf und hat hinter HTTP noch ein S dran gesetzt das für Secure steht :D

Bei HTTPS werden die Daten, die von HTTP aufgelöst werden noch encrypted. Das macht es nahezu unmöglich für Hacker an die Bankdaten von Oma zu kommen.

Wenn man jetzt also seine Daten in nen Form schreibt und das zum Server abschickt, dann wird der Spaß enrypted und kann nicht von jedem Lando einfach so mitgelesen werden.

Um diese Encryption zu ermöglichen, werden Zertifikate benötigt.

SSL

Eins dieser Zertifikate ist der Secure Sockets Layer (SSL). Das ist ein Protokoll, das Public Key Encryption nutzt um Daten zu sichern.

So funktioniert SSL: Client: Jo Server, wer bist du?? Server: Jo Client, hier mein SSL Zertifikat Client: Sieht gut aus (oder auch nicht)! Hier meine Nachricht! Server: Dange

-> Sichere Verbindung

Suchen sie auch noch ein SSL Zertifikat? Beim Nico Kempe Einzelunternehmen kann ich ihnen welche verkaufen!! Einfach eine Email an ssl@nicokempe.eu

TLS

Transport Layer Security basiert auf der gleichen Technologie und funktioniert ähnlich. Ist aber nochmal etwas aktueller und geiler. SSL ist etwas älter hat hat einige Sicherheitslücken. TLS ist die aktualisierte Version von SSL, die genau die behebt. TLS ist effizienter und ist super. Wenn heute SSL-Zertifikate verkauft werden, dann sind es so ziemlich immer einfach TLS-Zertifikate und auch wenn von SSL gesprochen wird, dann meinen die meisten eigentlich SSL. SSL hat sich einfach namentlich durchgesetzt, selbst wenn es mittlerweile so ziemlich überall TLS ist.

SSL/TLS sind jetzt der Standard, unabhängig davon, ob sensible Daten rübergeschickt werden oder nicht, das hat unterschiedliche Gründe:

1. Vertrauenswürdiger wirken (und keine "Die Seite ist unsicher!!" Warnung
2. Suchmaschinenoptimierung (Google ranked Seiten SUPER scheiße, wenn kein Zertifikat / HTTPS vorliegt)

[nicokempe]

Layer 3 vs Layer 3 Switches

Ein Layer 2 Switch arbeitet auf MAC-Adressebene. Wenn ein Gerät sich mit einem L2-Switch verbindet, dann speichert der Switch die MAC Adresse in seinem Table (Port, Device & Mac Address). Wenn ein Switch noch nicht weiß, wohin mit einem Paket, dann macht der Switch nen Broadcast im Netz und fragt mal rum.

Ein Layer 3 Switch (oder auch Multilayer-Switch) arbeitet auf dem 3. Layer des OSI Modells. Auf dem 3. Layer wird mit IP-Adressen gearbeitet, und das ist so der größte Unterschied. Der L3 Switch kann auf sowohl MAC als auch auf IP Ebene arbeiten.

Der einfachste Weg zum seperieren von Bereichen (z. B. Abteilungen) sind VLANs. Wenn man zwischen VLANs aber doch irgendwie kommunizieren will, dann braucht man ein L3-Gerät (z. B. nen Router). Am einfachsten wäre aber ein L3-Switch.

Der kann dann etwas Inter-VLAN Routing betreiben und schon ist die Kommunikation geritzt. Das läuft über SVIs (Switch Virtual Interfaces). Die nutzen Default Gateways um über VLANs hinweg kommunizieren zu können.

Router arbeiten nur auf Layer 3, während L2 Switches nur auf Layer 2 arbeiten. Layer 3 Switches allerdings arbeiten auf sowohl Layer 2 als auch auf Layer 3.

Hier nochmal ein kompletter Vergleich:

[nicokempe]

Gateway

Um aus dem eigenen Netz rauszukommen wird ein Gateway benötigt, typischerweise ist das der Router.

Ob ein Gerät außerhalb des eigenen Netzes liegt wird anhand der Subnetzmaske überprüft. Mehr dazu später.

Überprüft wird das einfach, indem in Binär weggestrichen wird, wo noch die Maske drüberläuft und ob die übereinstimmt mit der betroffenen IP:

Die Kommunikation findet über MAC-Adressen statt innerhalb des Netzes:

Wenn ein Gerät außerhalb des Netzes muss, dann fragt ein Gerät, wenn es den Default Gateway noch nicht hat, über einen ARP Request nach der MAC Adresse vom Default Gateway:

[nicokempe]

DMZ

Eine Demilitarized Zone (DMZ) wird verwendet, um die Sicherheit der IT-Infrastruktur einer Organisation zu verbessern. Hier werden die Geräte aufgeteilt, Server und Clients beispielsweise werden hinter der Firewall platziert.

Warum?

In der traditionellen Variante wird ein Router auf eine Firewall gehen und dann, sofern zulässiger Traffic eingeht, wird dieser Traffic in das interne Netz geholt und eine Verbindung zu den benötigten Ressourcen hergestellt. Der typischste Fall ist hier eine Webanwendung oder ein Email Server.

Das birgt das Risiko, dass Angriffe auf diese von außen zugänglichen Dienste angegriffen oder übernommen werden könnten und damit einen Angreifer in das private Netzwerk einschleusen, weil quasi ein Spalt in das private Netzwerk geöffnet wurde.

Wie?

Um dieses Problem zu lösen, wurde sich die DMZ ausgedacht. Hier gibt es einen neuen Ansatz, bei dem diese öffentlich einsichtbaren Dienste außerhalb der privaten Infrastruktur platziert werden, um Angreifern den Spalt in das private Netzwerk vorweg zu nehmen.

Wichtig hierbei ist, dass man die öffentlich zugänglichen Dienste auch nochmal mit einer Firewall schützt und sie natürlich nicht ganz öffentlich lässt. Es gibt auch den Ansatz mit nur einer Firewall, das ist aber selbstverständlich ein scheiß Ansatz. Über diesen Weg müssen Hacker erst mal (mindestens) 2 Firewalls umgehen.

[nicokempe]

Firewalls

Eine Firewall ist ein System (oder ein Gerät), das unautorisierten Zugriff auf ein privates Netzwerk unterbinden soll. Besonders für Unternehmen mit Endgeräten und Servern ist eine Firewall unverzichtbar.

Firewall Regeln

Firewall Regeln (oder auch Access Control Liste) erlaubt oder unterbindet nicht nur, was in das Netzwerk rein darf, sondern auch wer raus darf. Je nach Firewall können noch viele erweiterte Einstellungen getroffen werden, eine typische Konfiguration kann aber ungefähr so aussehen:

Firewall Regeln können nicht nur basierend auf IP-Adressen laufen. Eine Firewall kann auch konfiguriert werden für Domains, Protokolle, Programme, Ports und Schlüsselworte.

Firewall Typen

• Host-basierte Firewalls: Eine Software-Firewall, die auf einem Computer installiert ist und auch wirklich nur diesen Computer schützt. (Beispiele: Die Windows-Firewall, die ESET-Firewall, Zone Alarm, die macOS-Firewall, ...)
• Netzwerk-basierte Firewall: Arbeitet auf Netzwerkebene und ist eine Kombination aus Hardware und Firewall. Wird platziert zwischen das öffentliche Internet und das private Netzwerk. Eine Netzwerkbasierte Firewall schützt, wie der Name schon sagt, das gesamte Netzwerk.
  • Die gibts teilweise bei Routern schon built-in (reicht für kleine Unternehmen
  • Teilweise gibts die auch als Stand-alone Geräte
  • Außerdem gibts die auch in der Cloud

Die Verwendung von Host-basierten Firewalls und Netzwerk-basierten Firewalls ist wichtig.

Weitere typen von Firewalls

1. Paket-filternde Firewall: Jedes Paket wird abgeglichen und dabei die erlaubten IP Adressen, der Pakettyp, die Port Nummer und mehr verglichen.
2. Gateway auf Schaltungsebene: Die monitoren TCP, während die Verbindungen etabliert werden und stellen fest, ob die legitim sind. Die geht sogar direkt auf die Daten mit ein.

[nicokempe]

Richtig gute Zusammenfassung: https://youtu.be/ySu4RBWHz7o

[nicokempe]

Aufgabe eines Modems: Ein Modem ist ja da um den Internetzugang zu ermöglichen. Das macht er, indem der die eingehenden analogen Signale zu digitalen Signalen umwandelt. Ausgehend dann eben anders herum.

[nicokempe]

DNS: Das Domain Name System ist grundlegend dafür verantwortlich, Domain-Namen (wie example.com) zu IP-Adressen zu übersetzen.

1. Rootserver (davon gibts 13 weltweit von 12 Providern)
2. Top Level Domain Server
3. Name Server

[nicokempe]

Zahlensysteme

• Binär: Nur 0 und 1, Basis 2.
• Dezimal: 0-9, Basis 10.
• Hexadezimal: 0-9 und A-F, Basis 16.

Berechnungen

Von Binär zu Dezimal

Um von Binär zu Dezimal umzurechnen, schreibt man sich seine Binärzahl auf und unter jeder 0 oder 1 schreibt man dann eine Verdopplung der vorherigen Zahl von rechts angefangen mit der Zahl 1. Also für die hinterste Zahl 1, dann 2, dann 4, dann 8, ... An jeder Stelle, an der eine 1 steht, übernimmt man die untere Zahl. Da, wo eine 0 steht, übernimmt man die Zahl nicht.

Beispiel

Die Zahl 1101 (2er-System) wird ins Dezimalsystem umgewandelt

Jede Stelle der Zahl hat den Wert der entsprechenden 2er-Potenz. Die der ersten Ziffer von rechts entsprechende Potenz ist 2º = 1. Nimm jede Ziffer mal mit der entsprechenden Potenz und summiere. Gehe am besten von rechts nach links vor:

1 1 0 1 8 4 2 1 —————— 13

Von Dezimal in Binär

Von Dezimal in Binär rechnet man, indem man die Zahl so lange geteilt durch 2 nimmt, bis die Zahl weg ist. Dabei schreibt man sich "Reste", also wenn die Zahl nicht direkt durch 2 teilbar ist, einfach rechts auf..

Beispiel

Die Dezimalzahl 13 wird ins 2er-System umgewandelt

Gehe nach folgendem Verfahren vor: (1) Teile die Zahl mit Rest durch 2. (2) Der Divisionsrest ist die nächste Ziffer (von rechts nach links). (3) Falls der (ganzzahlige) Quotient = 0 ist, bist du fertig, andernfalls nimm den (ganzzahligen) Quotienten als neue Zahl und wiederhole ab (1).

 13 : 2 =  6  Rest: 1
  6 : 2 =  3  Rest: 0
  3 : 2 =  1  Rest: 1
  1 : 2 =  0  Rest: 1

 Resultat: 1101

Subnetting

CIDR-Notation

Die CIDR-Notation ist am Ende einer IP-Adresse mit einem / und dann einer Dezimalzahl von /8-/32 angegeben. Das ist eine Alternative Schreibweise der Subnetmaske in Dezimal. Die Subnetmaske gibt an, wie viele Bits nicht verwendbar sind. Bei /8 sind die hinteren 3 Blöcke frei. Bei /32 gibt es keine einzige IP für weitere Hosts.

Beispiel 1: Subnetting mit einer nicht offensichtlichen CIDR-Notation

IP-Adresse: 192.168.1.0/22

1. Subnetzmaske berechnen: CIDR /22 bedeutet, dass die ersten 22 Bits der Adresse das Netzwerk kennzeichnen. In binär sieht die Maske so aus: 11111111.11111111.11111100.00000000. Umgesetzt in Dezimal: 255.255.252.0.

2. Netzwerk- und Broadcast-Adresse berechnen:

   • Netzwerk-Adresse: Die Netzwerk-Adresse erhält man, indem man alle Host-Bits auf 0 setzt: 192.168.0.0.
   • Broadcast-Adresse: Die Broadcast-Adresse erhält man, indem man alle Host-Bits auf 1 setzt: 192.168.3.255.

3. Verfügbare Host-Adressen:

   • Von 192.168.0.1 bis 192.168.3.254, was insgesamt 1022 Hosts ergibt.

Beispiel 2: Subnetting in einer realen Netzwerkumgebung

Nehmen wir an, ein Unternehmen benötigt verschiedene Subnetze für verschiedene Abteilungen mit unterschiedlichen Anzahl von erforderlichen Hosts.

Basis-IP-Adresse: 10.0.0.0/16

1. Vertrieb (100 Hosts benötigt): Subnetz könnte sein 10.0.1.0/25

   • Netzwerk-Adresse: 10.0.1.0
   • Broadcast-Adresse: 10.0.1.127
   • Verfügbare Hosts: 10.0.1.1 bis 10.0.1.126

2. HR (50 Hosts benötigt): Subnetz könnte sein 10.0.2.0/26

   • Netzwerk-Adresse: 10.0.2.0
   • Broadcast-Adresse: 10.0.2.63
   • Verfügbare Hosts: 10.0.2.1 bis 10.0.2.62

3. IT (200 Hosts benötigt): Subnetz könnte sein 10.0.3.0/24

   • Netzwerk-Adresse: 10.0.3.0
   • Broadcast-Adresse: 10.0.3.255
   • Verfügbare Hosts: 10.0.3.1 bis 10.0.3.254

Weitere Informationen zum Internet Protocol

Wenn man kein so riesiges Netz hat, dann muss man eben von dem gegebenen Netz rausrechnen. Von der CIDR-Notation kann man immer genau aus der Hälfte nochmal zwei bilden. Oder eben 4 kleinere (z. B. aus einem /28er zwei /29er oder aus einem /28er vier /30er).

Berechnung der Hosts: 2 Hoch Hostbits - 2 (wegen Broadcast+Netzwerk)

Hostbits = Die Bits, die verwendet werden können (Die Nullen in der Subnetmaske bzw. 32 - (CIDR-Notation).

IPv4-Adressen

1. Private Adressen (RFC 1918)

   • Bedeutung: Diese Adressen sind nur für den internen Gebrauch innerhalb von privaten Netzwerken vorgesehen und werden nicht im Internet geroutet.
   • Beispiele:
   • 10.0.0.0 bis 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 bis 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 bis 192.168.255.255 (192.168/16 prefix)

2. Link-Local Adressen (APIPA, Automatic Private IP Addressing)

   • Bedeutung: Automatisch konfigurierte Adressen, wenn kein DHCP-Server verfügbar ist, für die direkte Kommunikation innerhalb eines lokalen Netzwerks.
   • Bereich: 169.254.0.0 bis 169.254.255.255

3. Loopback Adresse

   • Bedeutung: Verwendet, um Netzwerkverkehr an den eigenen Computer zurückzuschicken. Praktisch für Tests und Diagnose.
   • Adresse: 127.0.0.1 bis 127.255.255.255, wobei 127.0.0.1 am häufigsten verwendet wird.

4. Multicast Adressen

   • Bedeutung: Verwendet, um Daten an eine Gruppe von Hosts in einem Netzwerk zu senden, die sich für bestimmte Multicast-Gruppen interessieren.
   • Bereich: 224.0.0.0 bis 239.255.255.255

IPv6-Adressen

1. Link-Local Adressen

   • Bedeutung: Diese Adressen sind nur für die Kommunikation innerhalb des gleichen Netzwerksegments bestimmt und werden nicht durch Router weitergeleitet.
   • Format: Beginnt mit FE80::/10

2. Unique Local Adresses (ULA)

   • Bedeutung: Diese Adressen sind ähnlich den privaten Adressen in IPv4 und werden für die Kommunikation innerhalb eines privaten Netzwerks verwendet.
   • Format: Beginnt mit FC00::/7

3. Global Unicast Adressen

   • Bedeutung: Diese Adressen sind vergleichbar mit öffentlichen IP-Adressen in IPv4 und sind eindeutig und global im Internet routbar.
   • Format: Praktisch jede IPv6-Adresse, die nicht zu einer anderen speziellen Kategorie gehört (außerhalb von FE80::/10, FC00::/7 usw.)

4. Multicast Adressen

   • Bedeutung: Ähnlich wie bei IPv4, verwendet für die Übertragung an eine Gruppe von Empfängern.
   • Format: Beginnt mit FF00::/8

5. Anycast Adressen

   • Bedeutung: Diese Adressen ermöglichen es, dass ein Paket den nächstgelegenen (im Sinne der Netzwerktopologie) von mehreren Empfängern erreicht.
   • Format: Technisch jedes Adressformat, das auch als Unicast-Adresse verwendet wird; die Behandlung als Anycast erfolgt durch die Netzwerkkonfiguration.

6. Loopback Adresse

   • Bedeutung: Ähnlich wie in IPv4, für Tests und Diagnose verwendet.
   • Adresse: ::1/128

[nicokempe]

Längen

• IPv6: 128 Bits
• IPv4: 32 Bits
• Mac: 48 Bits

Jedes Set von Zahlen zwischen den Trennzeichen bei Internet Protocol Adressen wird Oktett genannt.

Netzwerakadresse / Netzwerk-ID und Hostadresseen werden von der Subnetmaske abgeleitet. (255.255.255.0) 255.255.255 -> Netzwerkanteil .0 -> Hostadressen

Klassen von Subnetmasken

• Klasse A: 1-126 (255.0.0.0) -> So 17 Mio. Hosts, hat z. B. Vodafone, Cloudflare, 1&1, ...
• Klasse B: 128-191: 255.255.0.0 -> Unternehmen
• Klasse C: 192-223: 255.255.255.0 -> Kleine Unternehmen

[nicokempe]

ARP

Das Address Resolution Protocol wird verwendet um IP-Adressen zu Mac Adressen aufzulösen. In einem LAN wird die MAC Adresse für Kommunikation im Netz benötigt, damit die stattfinden kann mit gegebener IPv4 wird mittels ARP die MAC Adresse aufgelöst.

Beispiel: Computer A möchte mit Computer B kommunizieren, kennt aber nur die IP Adresse. Zuerst schaut Computer A im ARP Cache, ob der die Mac Adresse vielleicht schon hat.

Die ARP Einträge kann man sich mit arp -a anzeigen lassen:

Der ARP Cache / ARP Table wird verwendet, damit das Netzwerk etwas effizienter läuft. Es gibt 2 ARP Eintragstypen: Dynamic und Static. Dynamische Einträge sind nicht permanent, die werden gelegentlich raus genommen, damit die Geräte nicht zugemüllt werden. Statische ARP-Einträge sind permanent.

[nicokempe]

NAT

NAT übersetzt die privaten IP-Adressen aller Geräte in einem lokalen Netzwerk in eine öffentliche IP-Adresse (oder eine von wenigen), wenn sie ins Internet kommunizieren. Wenn Antworten aus dem Internet zurückkommen, muss NAT diese Antworten korrekt an das ursprüngliche Gerät weiterleiten, das die Anfrage gestellt hat.

Zukünftig wird man NAT oder private IPs nicht mehr brauchen, weil einfach jedes Gerät seine eigene öffentliche IPv6 bekommen kann.

Damit der Router auch noch weiß, welcher Traffic eingehend dann wieder für die interne IPv4 ist, nachdem ja alles auf der öffentlichen IPv4 gebündelt wurde, wird mit Ports gearbeitet. Hier werden aber nicht die vom internen Gerät angegebenen Ports angegeben, sondern auch nochmal selbst welche erstellt, damit es hier nicht zu Komplikationen kommen kann.

Um das abzuspeichern gibt es die NAT-Tabelle (Beispiel):	Interner IP-Port	Externer IP-Port
192.168.1.100:4400	203.0.113.76:45000
192.168.1.101:4401	203.0.113.76:45001

[nicokempe]

DHCP

Das Dynamic Host Configuration Protocol besteht, damit man IP-Adressen nicht manuell vergeben muss und man das Fehlerpotenzial minimieren kann. Ein DHCP Server vergibt folgende Daten:

• Die IP-Adresse
• Die Subnet-Maske
• Den Default Gateway
• Den DNS-Server

In den DHCP-Settings kann man eine Start und eine End IP festlegen.

Die Computer besitzen die IPs dann nicht, sie leihen die sich. Wie lange der "Lease" läuft, lässt sich konfigurieren. Üblich ist etwa ein Tag. Man nutzt diesen Lease, damit die IP Adressen nicht ausgehen.

Die Computer können problemlos einen "Renewal" anfordern. Dadurch läuft die IP-Adresse auch weiterhin.

Wenn man nicht will, dass ein spezifisches Gerät eine neue IP bekommt, kann man anhand der Mac-Adresse eine "Adressreservierung" durchführen. Das macht man in der Regel für Drucker, Server und Netzwerkgeräte.

DHCP ist ein Service, der auf einem Server oder auf einem Router läuft.

[nicokempe]

DHCPv6 vs SLAAC

• Dynamic Host Configuration Protocol v6 (DHCPv6): ist Stateful und die Leases werden von einem Server ausgegeben.
• Stateless Adress Autoconfiguration (SLAAC): hat keine Zentrale Verwaltung und ist Stateless.

SLAAC

Kein Server, weil keine Verwaltung notwendig ist. Die Router verteilen die Prefixe und die Clients geben sich selbst ihre Adressen.

DHCPv6

...