Netzwerktheorie Teil2

(Hinweis: Themen und Inhalt gemäss M145)

Inhalt

1. Netzwerkdokumentation
1.1 Ziele einer Netzwerkdokumentation
1.2 Dokumentenstruktur

2. Netzwerkmanagement
2.1 Netzwerkmanagement mit SNMP
2.2 Die MIB-Struktur
2.3 Polling und Trap
2.4 Datenaustausch zwischen Agent und Managementkonsole
2.5 SNMP-Versionen
2.6 RMON, eine Erweiterung von SNMP
2.7 Syslog, ein weiteres Werkzeug für die Netzwerküberwachung
2.8 Networkmanagement-Tools

3. WLAN
3.1 WLAN-Betriebsarten
3.2 WDS (Wireless Distribution Repeater)
3.3 WLAN-Sicherheit
3.4 WLAN-Frequenzen und Kanäle
3.5 WLAN-Funkantennen
3.6 Dämpfung von WLAN-Funkwellen
3.7 WLAN-Fehlersuche und Verbesserungspotenzial im eigenen WLAN
3.8 Die WLAN-Norm IEEE 802.11
3.9 WLAN-Begriffe und Abkürzungen

4. Mobilfunk
4.1 Die Generationen beim Mobilfunk

5. VLAN
5.1 Einführung
5.2 Der Nutzen beim Einsatz von VLAN
5.3 VLAN-Switches verbinden
5.4 Portbasierte VLANs
5.5 Tagged VLANs
5.6 Statische VLANs
5.7 Dynamische VLANs
5.8 Router on a Stick

6. WAN
6.1 Einführung
6.2 Verbinden von Firmenstandorten
6.3 LAN to LAN über Internet
6.4 LAN-to LAN über Provider-Backbone
6.5 Evaluation eines Anbieters fü LAN-to-LAN Interconnection
6.6 WAN-Entscheidungskriterien

7. VPN
7.1 Einführung
7.2 Die VPN-Verbindungsarten
7.3 Das VPN-Protokoll IPsec
7.4 IPsec: Transportmodus versus Tunnelmodus / AH und ESP
7.5 Der Verbindungsaufbau - Kryptographische Funktionen von IPsec
7.6 VPN-Tunnel Adressierungsbeispiele
7.7 NAT-Traversal
7.8 Weitere VPN-Protokolle
7.9 VPN-Software


1. Netzwerkdokumentation

Grundsätzlich sollten lnformationen über das bestehende Netzwerk und alle erfolgten Aktivitäten resp. Änderungen am Netzwerk gesammelt werden. Wichtig ist:

  • Die Daten unmittelbar bei Arbeiten am Netzwerk zu sichern, damit die Dokumente aktuell sind.
  • Die Dokumente zu datieren und die Personen, welche Arbeiten ausgeführt haben anzugeben, damit Rückfragen möglich sind.
  • Diese lnformationen geeignet zu strukturieren und übersichtlich zu gestalten, damit die Dokumente für den Benutzer einen optimalen Nutzen erzeugen.
  • Den Aufwand möglichst klein zu halten, damit die Motivation zum Erstellen und Nachführen von Änderungen nicht verloren geht.

1.1 Ziele einer Netzwerkdokumentation

Netzwerkdokumentationen sollten zwei grundsätzliche Ziele erfüllen:

  • Visualisierung komplexer System- und Netzwerkumgebungen mit dem Ziel, möglichst schnell einen Überblick zu gewinnen bzw. diesen nicht zu verlieren. «Ein Bild sagt mehr als tausend Worte»
  • Speicherung wichtiger Systeminformationen mit dem Ziel der raschen und verlässlichen Verfügbarkeit dieser lnformationen in bestimmten Situationen z.B. zur Unterstützung der Fehlersuche in einem Netzwerk, Planung von Netzwerkerweiterungen etc.

1.2 Dokumentenstruktur

Die Netzwerkadministration hat ähnliche lnformationsbedürfnisse wie die Systemadministration. Für die grundlegenden konzeptionellen Vorgaben des Netzwerks ist die Systemadministration zuständig, die auch die Dokumente herausgibt. Diese Dokumente sind für die Netzadministratoren verbindlich. Zu den vorhandenen Dokumenten der Systemadministration benötigt das Netzwerkmanagement zusätzliche Dokumente, welche die Eigenschaften der Netzwerkkomponenten schriftlich festhalten.

DOKUMENT HERAUSGEBER (Verantwortlich) HAUPTINHALT des Dokuments AUFGABE des Dokuments
Dokumentenliste IT-Leitung Auflistung aller IT-Dokumente. Zuständigkeiten und Auf bewahrungsort. Übersicht über alle Systembeschreibungen.
Inventarliste Hardware IT-Leitung Alle HW-Komponenten innerhalb der IT-Infrastruktur. Dient als Grundlage für:
  • Accounting-Management
  • Anlagebuchhaltung
  • Life-Cycle-Management (Produktelebenszyklus)
Inventarliste Software IT-Leitung Alle SW-Komponenten innerhalb der IT-Infrastruktur. Dient als Grundlage für:
  • Accounting-Management
  • Anlagebuchhaltung
  • Lizenzverwaltung
Inventar IT-Verträge IT-Leitung Übersicht über alle Verträge mit IT-Dienstleistern. Dient als Grundlage für:
  • Accounting-Management
  • Service-Level-Management z.B. SLA's
Netzwerkdiagramm (Logische Netzwerkstruktur) Netzwerkadministration Grafische Darstellung aller Netzkomponenten, der Server/Workstations mit den wichtigsten Daten. Übersicht über alle Netzkomponenten und Systeme im Netzwerk.
Verkabelungsplan inkl. Anlagedokumentation (physikalische Netzwerkstruktur) Netzwerkadministration Informationen über die tatsächliche Verkabelung des Nelzwerks. Dient als Grundlage für:
  • Configuration-Management z.B. weitere Ausbauten
  • Fault-Management
Liste der Netzwerkdienste Netzwerkadministration Konfigurationsangaben über die eingesetzten Netzwerkdienste. Dient als Grundlage für:
  • Configuration-Management
  • Fault-Management
  • Performance-Management
  • Security-Management
Adressierungskonzept Netzwerkadministration Richtlinien für die Adressierung (Identifikation) von Netzwerkkomponenten. Dient als Grundlage für:
  • Configuration-Management z.B. IP-Adressierung
  • Fault-Management
Namenskonzept Systemadministration Richtlinien für die Benennung von Geräen, Benutzerkonten, etc. Dient als Grundlage für das Configuration-Management z.B. Namensvergabe.

2. Netzwerkmanagement

Das OSI-Modell kategorisiert fünf Funktionsbereiche des Netzwerkmanagements:

  • Fehler (Schwellwerte, Problembestimmung & Diagnose; z.B. mit SNMP)
  • Konfiguration (Inventarisierung, Veränderungen)
  • Performance (Analyse und Tuning, Statistische Auswertungen; z.B. mit SNMP)
  • Accounting (Kostenverrechnung, Ressourcenutzung, Passwortverwaltung)
  • Sicherheit (Sichere Datenübertragung gewährleisten; z.B. mit VPN)

Dabei stehem folgende Fehlerursachen im Vordergrund:

  • OSI-Layer-1: Fehlerhafte Kabel; Elektrische Störungen; Kollisionen usw.
  • OSI-Layer-2: 802.x-Inkompatibilitäten; Falsch konfigurierte HW-Adressen; Broadcaststorms
  • OSI-Layer-3: Falsch konfigurierte IP-Adressen, Subnetzmasken und Broadcastadressen; Falsche Routingtabellen bzw. Einträge; Protokollinkompatibilitäten
  • OSI-Layer4-7: Unkorrekt implementierte Protokolle

Was kann alles überwacht werden?

Was für Komponenten im Netzwerk und was kann dabei getestet werden? (Allgemein, Erreichbarkeit, Dienst läuft, Datenströme…)

2.1 Netzwerkmanagement mit SNMP

  • SNMP bedeutet Simple Network Management Protocol, was soviel heisst, wie «Einfaches Netzwerkverwaltungsprotokoll»
  • Mittels geeigneter Überwachungswerkzeuge werden Betriebszustände und Kenngrössen von Netzwerkkomponenten effizient abgefragt
  • SNMP bietet ein einheitliches Managementprotokoll bei unterschiedlichen System- und Netzwerkkomponentenhersteller
  • SNMP ermöglicht den Austausch von Informationen zwischen Managementkonsole wie z.B. ihr PC und den Agenten auf den entsprechenden Geräten
  • Allerdings muss das System- bzw. die Netzwerkkomponente SNMP-fähig sein (Agent)
  • Die Managementkonsole speichert Informationen der zu verwaltenden Objekten MO (Managed Objects) zentral in einer MIB (Management Information Database) ab und kann bei Unregelmässigkeiten reagieren
  • Auf dem Markt werden unter anderem folgende Produkte angeboten: IBM Tivoli, HP OpenView, Nagios (OpenSource-SW)

2.2 Die MIB-Struktur

  • Die MIB hat eine baumartige bzw. hierarchische Struktur
  • Der OID (Object Identifier) bezeichnet einen Pfad zu einem bestimmten Objekt
  • Man kann durch den MIB-Baum mittels Pfadnummern navigieren
  • Es existiert eine globale MIB und Verzweigungen von diesem globalen Baum, nämlich die produktspezifischen MIB-Module

2.3 Polling und Trap

  • Polling: Die Managementkonsole fordert periodisch den Status der überwachten Geräte an, belastet damit je nach Abfragehäufigkeit das Netzwerk und hat den Nachteil, das Fehler die sich zwischen den Abfrageintervallen ereignen, vorerst unentdeckt bleiben
  • Trap: Diese werden auf der Ziel-HW implementiert, werden ausgelöst, wenn ein vordefiniertes Ereignis eintritt und schicken sofort eine Meldung an die Managementkonsole

2.4 Datenaustausch zwischen Agent und Managementkonsole

  • get / getnext / getbulk: Datensatz abfragen
  • set: Informationen eines Datensatzes ändern
  • response: Antwort auf get
  • trap: Unaufgeforderte Nachricht bei bestimmtem Ereignis

2.5 SNMP-Versionen

  • SNMPv1: 1988, schwache Sicherheitsmerkmale, Passwörter im Klartext
  • SNMPv2: 1993, verbesserte Sicherheitsfunktionen, neu: getbulk
  • SNMPv3: 2002, starke Sicherheitsfunktionen, wesentlich komplexer als v2 und abwärtskompatibel!

2.6 RMON, eine Erweiterung von SNMP

  • Einführung 1992 - Motiviert durch die Gegebenheit, dass SNMP durch ständiges Abfragen viel Netzwerktraffic generiert
  • RMON ist ein verteiltes, kostengünstiges Instrument der Netzwerküberwachung
  • RMON ermöglicht das Sammeln von Statistiken durch die Analyse jedes Paketes auf einem LAN- Segment oder Switch-Port
  • RMON nutzt SNMP als Transportprotokoll

2.7 Syslog, ein weiteres Werkzeug für die Netzwerküberwachung

  • Standard zur Übermittlung von Log-Meldungen
  • Der Begriff «syslog» wird oft sowohl für das eigentliche syslog-Netzwerkprotokoll als auch für die Anwendung oder Bibliothek benutzt, die syslog-Meldungen sendet oder empfängt

2.8 Networkmanagement-Tools

iReasoning MIB-Browser Printscreen:


3. WLAN

3.1 WLAN-Betriebsarten

WLAN (Wireless Local Area Network) gibt es in den folgenden Betriebsarten:

3.2 WDS (Wireless Distribution Repeater)

Ein als WDS konfigurierter Access Point ist eine WLAN-Basisstation, die schwache Funksignale empfängt, neu aufbereitet und verstärkt wieder abstrahlt. WLAN-Repeater vergrössern im Prinzip die Reichweite einer einzelnen Basisstation, die sie über ihre Hardware-Adresse (MAC) identifizieren. Bei der Repeater-Funktion handelt es sich praktisch um eine Funkverlängerung. Der WLAN-Repeater verteilt dabei die Datenpakete per Broadcast an alle WLAN-Teilnehmer und erzeugen damit eine Datenflut im WLAN.

AP und Repeater haben dieselbe SSID, denselben WPA/WEP-Schlüssel und denselben Funkkanal.

Da der AccessPoint und Repeater die gleiche SSID haben, können sich die WLAN-Clients wahlweise mit dem Repeater oder dem Access Point verbinden. Je nachdem, welches Funksignal stärker ist. WDS gibt es als Single-Radio-WDS (Ein Kanal für Weiterleitung an benachbarte AP’s und Clients) und Dual-Radio-WDS (Zwei Kanäle, davon einer für Weiterleitung an AP’s und ein weiterer für die Clients. Dieses Verfahren ist daher effizienter)

3.3 WLAN-Sicherheit

  • Die Sicherheit von WLANs basiert auf einer Kombination aus Authentifizierung und Verschlüsselung.
  • Ein offenes WLAN stellt sich wie ein offenes Scheunentor dar. Beim Surfen über das offene WLAN hinterlässt die IP-Adresse des WLAN-Betreibers eine Spur im Netz. Diese IP-Adresse kann im nachhinein dem Anschlussinhaber zugeordnet werden. Der Anschlussinhaber wird daher im Rahmen einer Rechtsverletzung als erster Verdächtiger ermittelt.
  • Wenn immer möglich mit WPA2 (WIFI Protected Access 2 – AES/CCMP/IEEE802.11i) verschlüsselt verbinden – WPA2 gilt als hinreichend sicher, wenn das WLAN-Passwort möglichst lang und komplex ist – Befindet sich das Passwort in einem Wörterbuch, dann bestehen gute Chancen, dass ein Angreifer das Passwort herauszufinden kann.
    WEP ist geknackt und sollte nicht mehr verwendet werden.
  • Im kommerziellen oder großräumigen Einsatz sollte ein WLAN immer im Enterprise Mode mit IEEE 802.1x gesichert werden.
  • WPS ausschalten.
  • Die WLAN-Reichweite bzw. Antenne und Sendeleistung den Bedürfnissen anpassen um ein «Mithören» nicht zu fördern.
  • Default-Admin-Passwort ändern.
  • Aktuelle Patches einspielen.
  • SSID wählen, die keine Rückschlüsse auf die Firma oder Namen zulässt.
  • MAC-Adressfilter einsetzen ist fraglich – Ein Hacker wird sich einfach seinen WLAN-Adapter mit der MAC-Adresse eines berechtigten WLAN-Adapters überschreiben und schon ist der MAC-Filter umgangen.
  • SSID-Broadcast verstecken ist fraglich und wird auch nicht offiziell unterstützt bzw. ist für Hacker kein wirkliches Hindernis, denn sobald sich ein Client an einem WLAN mit versteckter SSID anmeldet, wird dabei die SSID übertragen)
    (Es entsteht sogar eine Sicherheitslücke: Normalerweise würde der WLAN-Access-Point regelmässig über sein WLAN informieren. Wenn er das nicht tut, dann muss der WLAN-Client, der einmal damit verbunden war, aktiv nach diesem WLAN suchen. Deshalb broadcastet dieser Client regelmäßig die SSID von sich aus heraus. Er ruft praktisch ständig nach dem versteckten WLAN. Auch wenn das gar nicht in der Nähe ist.)
  • WLANs von anderen Netzwerk-Segmenten logisch trennen.
  • Firewall zwischen WLAN und LAN.
  • VPN einsetzen.
  • IDS (Intrusion Detection System) im WLAN aufstellen, um Angriffe zu erkennen.
  • Regelmässige Audits mit aktuellen Hacker-Tools.
  • Netzzugang regeln mit z.B. Radius-Server.
  • Wie man ein WLAN «hacken» kann, wird z.B. ausführlich auf www.elektronik-kompendium.de beschrieben. Stichwort: «WLAN-Hacking» oder hier der Direktlink.

3.4 WLAN-Frequenzen und Kanäle

Für WLAN sind die Frequenzbänder 2.4GHz (über 10 Kanäle) und
5GHz (über 20 Kanäle) reserviert. Die Kanalanzahl ist regional unterschiedlich.

Beispiel 2.4GHz:

Sowohl der 2.4GHz- wie auch im 5GHz Bereich ist in verschiedene Kanäle unterteilt. Ein Kanal hat eine Bandbreite von 20MHz, 22MHz oder 40MHz. Der AP sendet auf genau einem dieser Kanäle. Dies kann man am AP entsprechend konfigurieren. Benachbarte AP’s sollten aber nicht denselben Kanal benutzen, sonst kommt es zu einer Kanalüberlappung.

  • Bei 13 Kanälen (Europa) sind nur jeweils 3 Kanäle ohne Überlappung nutzbar.
  • Falls mehrerer Access Points geplant sind ist darauf zu achten, dass die genutzten Kanäle nicht zu dicht beieinander liegen.
  • Eine Kanalüberlappung ist unbedingt zu vermeiden, weil dies sonst zu einer geringeren Übertragungsrate führen würde.
  • Eine Kanalüberlappung ist nur bei AP’s zulässig, die mindestens 30 Meter auseinander liegen.
  • Ausserdem muss jeder PC die Übertragungsleistung auf dem selben Kanal mit anderen PC’s teilen (Shared Medium/Kollisionsdomäne)

3.5 WLAN-Funkantennen

  • Stabantenne oder Rundumstrahlantenne strahlt die elektromagnetischen Wellen gleichmässig in alle Richtungen ab. Dabei sollte die Antenne vertikal stehen. Stabantennen sind in Stabrichtung am wenigsten Effizient.
  • Richtantenne bündelt die Energie und strahlt die elektromagnetischen Wellen in eine bestimmte Richtung ab.
    Vorteil: Grössere Reichweite.
    Nachteil: Man muss die Antenne genau auf die Gegenstelle ausrichten
  • Sektorantenne zählt zur Gruppe «Richtantenne», weist aber einen etwas grösseren Öffnungswickel auf. Um verschieden Richtungen «auszuleuchten», setzt man mehrere Sektorantennen an einem Standort ein.

3.6 Dämpfung von WLAN-Funkwellen

  • Geringe Dämpfung:
    Holz, Gips, Glas (Möbel, Decken, Zwischenwände ohne Metallgitter, Fensterscheiben)
  • Mittlere Dämpfung:
    Wasser, Mauersteine (Mensch, feuchte Materialien, Aquarium, Wände Decken)
  • Hohe Dämpfung:
    Beton, Gips (Massive Wände, stahlarmierte Betonwände, Zwischenwände mit Metallgitter)
  • Sehr hohe Dämpfung:
    Metall (Liftschacht, Brandschutztüren, Stahlbetonkonstruktionen)

WLAN-Fehlersuche und Verbesserungspotenzial im eigenen WLAN

  • Überprüfen sie die Funksignalstärke am Empfangsort.
  • Überprüfen sie eine allfällige Überlappung aktiver Funkkanäle.
  • Überprüfen sie die Anzahl verbundener Geräte und beachten sie, dass der Funkkanal eine einzige Kollisionsdomäne bildet und somit jeder weitere Teilnehmer die am AP zur Verfügung stehende Netzwerkbandbreite proportional reduziert (so ähnlich wie beim Hub)
  • Nutzen sie, sofern ihr AP das zulässt, die zurzeit noch weniger genutzten Kanäle im 5GHz-Bereich.
  • Für mehr Verbindungsqualität und Reichweite Client und Access Point in Sichtlinie aufstellen.
  • Access Point leicht erhöht aufstellen oder wenn möglich an Wand oder Decke anbringen.
  • Empfangsverbesserung bei WLAN über mehrere Etagen durch Schrägstellen der Antenne.
  • Mit der Antennenausrichtung experimentieren. Das Umsetzen oder Drehen der Basisstation kann die Verbindung deutlich verbessern.
  • Wände in Leichtbauweise stellen kein Problem dar. Wände und Decken aus Stahl oder Beton, sowie Brandschutztüren schränken die Reichweite des WLAN ein.
  • Fenster lassen zwar Licht durch, dämpfen aber das WLAN-Signal, insbesondere bei Wärmeschutzverglasung.
  • Ecken und Nischen meiden. Dort bilden sich häufig Funklöcher.
  • Zur Reichweitenerhöhung im Aussenbereich Aussenantennen verwenden.
  • Mehrere Access Points mit ausreichendem Abstand zueinander aufstellen.

3.8 Die WLAN-Norm IEEE 802.11

  • 802.11: Bruttodatenrate: 2MBit/s / Nettodatenrate: max. 1MBit/s
    Frequenzband: 2.4-2.4835 GHz
    Reichweite innen: typisch 20m / Reichweite aussen: bis 100m
    Max. Sendeleistung: 100mW
  • 802.11a: Bruttodatenrate: 54MBit/s / Nettodatenrate: max. 22MBit/s
    Frequenzband Europa: 5.47-5.735GHz / Bandbreite: 20MHz
    Kanäle: 19 (alle überlappungsfrei)
    Reichweite innen: typisch 20m / Reichweite aussen: bis 2km
    Max. Sendeleistung Europa: 1W
  • 802.11c: Wireless Bridging zwischen Access Points
  • 802.11d: Länderspezifische Anpassungen: Funkkanäle, Frequenzbereich etc.
  • 802.11e: Erweitert WLAN um Quality of Service (QoS)
  • 802.11f: Regelt die Interoperabilität zwischen Basisstationen – Roaming
  • 802.11g: Bruttodatenrate: 54MBit/s / Nettodatenrate: max. 22MBit/s
    Frequenzband: 2.4-2.4835 GHz / Bandbreite: 20MHz
    Kanäle: 13 (davon 4 überlappungsfrei)
    Reichweite innen: typisch 20m / Reichweite aussen: bis 100m
    Max. Sendeleistung: 100mW
  • 802.11i: Sicherheit/Verschlüsselung WPA2
  • 802.11n: Bruttodatenrate: 65-600MBit/s / Nettodatenrate: 30-240MBit/s
    Frequenzband: 2.4-2.4835 GHz (3 Kanäle) oder 5.47-5.735GHz (19 Kanäle)
    Reichweite aussen: bis 100m
  • 802.11p: Drahtloser Funkzugriff von Fahrzeugen aus
  • 802.11r: Fast Roaming beim Wechsel zwischen AP’s (VoIP)
  • 802.11s: Regelt den Aufbau von Wireless Mesh Networks
  • 802.11t: Wireless Performance Prediction (WPP), legt unter anderem Testverfahren fest
  • 802.11u: Behandelt das Zusammenspiel mit anderen nicht 802-konformen Netzen (z.B. den zellularen Handy-Netzen)
  • 802.11v: Wireless-Network-Management
  • 802.11w: Protected Management Frames
  • 802.11ac: Bruttodatenrate: bis zu 6.9GBit/s / Nettodatenrate: bis zu 3.5GBit/s
    Frequenzband: 5.47-5.735GHz / Bandbreite: 80/160MHz
  • 802.11ad: Bruttodatenrate: bis zu 6.7GBit/s / Nettodatenrate: bis zu 3.5GBit/s
    Frequenzband: 60GHz / Bandbreite: 2GHz
    Reichweite: wenige Meter

3.9 WLAN-Begriffe und Abkürzungen

  • WLAN: Wireless LAN (Drahtloses lokales Netzwerk nach IEEE 802.11)
  • WIFI: Wireless Fidelity (Firmenkennzeichnung für IEEE 802.11-Kompatibilität)
  • AP: Access Point (OSI-Layer 1-2; Bridge. AP im Client-Mode ist nur ein einfacher WLAN-Adapter)
    • Access-Point-Betriebsart
    • Client-Betriebsart PC-WLAN
    • Repeater-Funktion (Reichweitenerhöhung / Netzwerkkopplung)
  • WLAN-Router: WLAN-Router mit AP und meistens auch xDSL (OSI-Layer 1-3)
  • BSS: Basic Service Set (WLAN-Zelle mit Access Point oder ohne=IBSS)
  • IBSS: Independend BSS (Ad hoc WLAN ohne AP’s, Tipp: Besser via Bluetooth!)
  • ESS: Extended Service Set (Verknüpfung von mehreren BSS-Zellen)
  • DS: Distribution System (für drahtgebundene WLAN-Reichweitenerweiterung; LAN verbindet AP’s, BSS wird zu ESS)
  • WDS: Wireless Distribution System (für drahtlose WLAN Reichweitenerweiterung; Funkstrecke verbindet AP’s; weniger
    nutzbare Bandbreite)
    Single-Radio-WDS: Ein Kanal für Weiterleitung an benachbarte AP’s und
    Clients
    Dual-Radio-WDS: Ein Kanal für Weiterleitung an AP’s, ein weiterer für die
    Clients
    WDS-Bridging: Direktverbindung zwischen zwei AP’s (Weitere Clients können
    sich nicht verbinden)
    WDS-Repeating: Mehrere AP’s und Clients über WDS verbunden
    WDS Alternative: Universal-Repeating-Mode (Proprietärer Standard)
    Für «Repeating» notwendig:
    ◊ Den AP’s müssen die BSSID’s der anderen AP’s bekannt sein
    ◊ Dieselbe SSID
    ◊ Denselben WPA-Schlüssel
    ◊ Denselben Funkkanal
  • WPS: Wi-Fi Protected Setup (Ist ein von der Wi-Fi Alliance entwickelter Standard zum einfachen Aufbau eines drahtlosen lokalen Netzwerkes mit Verschlüsselung)
  • SSID: Service Set Identifikation (Name des Service-Set’s)
  • BSSID: Basic SSID (MAC-Adresse des AP’s. CSMA/CA Carrier Sense Multiple Access/Collision Avoidance. Kollisionsvermeidung bei WLAN’s, bei Ethernet ist es CSMA/CD!)
  • MIMO: Multiple Input Multiple Output (Nutzung mehrerer Sende- und Empfangsantennen zur Verbesserung der Übertragungsleistung; höherstufiges Modulationsverfahren. Vgl. Antenna Diversity)
  • QoS: Quality of Service (Dienstgüte / Dienstqualität)
  • WEP: Wired Equivalent Privacy (unsicheres WLAN-Verschlüsselungsprotokoll)
  • WPA: WIFI Protected Access (ältere WLAN Verschlüsselung mit RC4, TKIP und MIC)
  • WPA2: WIFI Protected Access 2 (aktuelle WLAN Verschlüsselung mit AES und CCMP, 802.11i)
  • PSK: Pre Shared Key (Symmetrisches Verschlüsselungsverfahren zur Teilnehmer- authentifizierung, vgl. PKI)
  • RC4: Ron’s Code 4 (Stromchiffre)
  • TKIP: Temporal Key Integration Protocol (Sicherheitsprotokoll)
  • MIC: Message Integrity Check (Verfahren zur Überprüfung der Vertrauenswürdigkeit)
  • AES: Advanced Encryption Standard (Blockchiffre)
  • CCMP: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (Sicherheitsstandard)
  • IKE: Internet Key Exchange (Schlüsseltausch bei IPsec)
  • PKI: Public Key Infrastuktur (System, das digitale Zertifikate ausstellt, für asymmetrische Verschlüsselungsverfahren)
  • ISM: Industrial, Scientific and Medical Band (Gebührenfreie und freigegebene Frequenzbereiche, die in Industrie, Wissenschaft, Medizin, in häuslichen und ähnlichen Bereichen genutzt werden, wie z.B. das 2.4GHz-WLAN)
  • IDS: Intrusion Detection System (Angrifferkennungssystem zur Dedektierung von Angriffen gegen ein Computersystem oder Rechnernetz)

4. Mobilfunk

4.1 Die Generationen beim Mobilfunk

1. Generation (1G)

Analoge Systeme, z.B. C-Netz (CH-Natel)

2. Generation (2G)

GSM = Global System for Mobile Communications (früher Groupe Spécial Mobile)
Datenübertragungsraten bei 2G bis zu 53.6 kbit/s, bei 2G+ bis zu 256 kbit/s.
GSM ist der erste Standard der zweiten Generation, Nachfolger der analogen Systeme der ersten Generation und der weltweit am meisten verbreitete Mobilfunk-Standard.
Später sind Erweiterungen des Standards HSCSD, GPRS und EDGE zur schnelleren Datenübertragung hinzugekommen. (EDGE = Enhanced Data Rates for GSM Evolution / GPRS = General Packet Radio Service)
Ein Mobiltelefon, dass auf drei Frequenzen sendet und empfängt, nennt man «Tri-Band», ein solches, mit vier Frequenzen «Quad-Band». Bei globalem Einsatz wird «Quad-Band» empfohlen.

  • 850 MHz
  • 900 MHz
  • 1800 MHz
  • 1900 MHz

Situation Schweiz: Swisscom wird die in die Jahre gekommene 2G-Technologie (GSM) ab Ende 2020 nicht mehr unterstützen, um genügend Frequenzen und Kapazitäten für zukünftige Kundenbedürfnisse bei der Telefonie und Datenkommunikation zu erhalten!

3. Generation (3G)

UMTS = Universal Mobile Telecommunications System
Datenübertragungsraten bei 3G+ bis zu 42 Mbit/s mit HSPA+, sonst bei 3G max. 384 kbit/s.
HSDPA, HSUPA

  • Band 1: 2100 MHz (IMT)
  • Band 2: 1900 MHz (PCS)
  • Band 4: 1700 MHz (AWS)
  • Band 5: 850 MHz (CLR)
  • Band 8: 900 MHz (E-GSM)
  • Band 19 (vormals Band 6): 800 MHz (nur Japan)

4. Generation (4G)

LTE - FDD = Long-Term-Evolution - Frequency Division Duplexing
Bandbreite bei 4G bis zu 150 Mb/sec und bei 4G+ bis zu 1000 Mb/s. FDD-LTE gilt dabei als die moderne 4G-Variante und ist weltweit am meisten verbreitet. (Stand 2018)

  • Band 1: 2100 MHz (IMT)
  • Band 2: 1900 MHz (PCS)
  • Band 3: 1800 MHz (DCS)
  • Band 4: 1700 MHz (AWS)
  • Band 5: 850 MHz (CLR)
  • Band 7: 2600 MHz (IMT-E)
  • Band 8: 900 MHz (E-GSM)
  • Bands 12-17: 700 MHz (USMH, LSMH) *
  • Band 20: 800 MHz (EUDD)
  • Band 28: 700 MHz (APT)*

* «700 MHz / Band 12-17» findet man vorwiegend in den; USA und Kanada und ist nicht kompatibel mit «700 MHz / Band 28» welches in Europa, Südamerika, Asien und Australien verbreitet ist.

LTE - TDD = Long-Term-Evolution - Time Division Duplexing
TDD-LTE ist heute vor allem in China und Indien verbreitet.

  • Band 38: 2600 MHz (IMT-E)
  • Band 40: 2300 MHz
  • Band 41: 2500 MHz
  • Band 42: 3500 MHz
  • Band 44: 700 MHz (APT)

5. Generation (5G)

Datenübertragungsraten bei 5G aktuell bis zu 3 Gbit/s. Die 5. Generation des Mobilfunks soll aber Datenraten von bis zu 10 Gbit/s erreichen. Einführung bei Swisscom 2018-2020.


5. VLAN

VLAN → Virtual Local Area Network

5.1 Einführung

Ohne VLAN:

IP-Netzwerke werden mit auf OSI-Ebene 2 arbeitenden Switches aufgebaut und mit Router verbunden. Jedes an einem Standort erforderliche Netzwerk muss physikalisch dorthin gebracht werden, was einen nicht unerheblichen Verkabelungsaufwand bedeuten kann.

Mit VLAN:

Ein VLAN ist ein logisches, virtuelles Teilnetz innerhalb eines physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Man kann sich das VLAN in einem Kabel oder einer Glasfaser so vorstellen, dass innerhalb eines Kupferdrahtes mehrere virtuelle Kupferdrähte angeordnet sind und im Innern des Switches jeder Kupferdraht separat geswitcht wird. Jeder Port des Switches hat somit unterschiedliche VLANs aufgeschaltet. Aus diesem Grund darf niemals ein Kabel von einem Port am VLAN-Switch ohne Rekonfiguration der Ports am Switch umgesteckt werden. Sonst kann es geschehen, dass die VLANs an die falschen Geräte und Switches weitergeleitet werden und die Dienste nicht dort zur Verfügung stehen, wo sie sollten. Jedes VLAN bildet (wie ein normales, physisch separiertes Netzwerksegment) eine eigene Broadcast-Domäne.

Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3-Switch.

5.2 Der Nutzen beim Einsatz von VLAN

  • Flexibilität bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Basisstation. Die Überlegenheit von VLAN’s im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass ein Wechsel von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
  • Abgrenzung: Zum Beispiel exisiert an der Schule ein eigenes IP-Netzwerk für Drucker, das nicht in die Klassenzimmer geroutet wird. Damit stellt man z.B. sicher, dass die Drucker von den Benutzern nicht direkt in ihre PC's eingebunden werden können, sondern nur über den Druckerserver erreichbar sind.
    In jedem Raum kann mit einem AccessPoint (AP) ohne weiteren Verkabelungsaufwand ein Gäste-WLAN eingerichtet werden, dass sich in einem separaten IP-Netzwerk befindet.
  • Priorisierung von bestimmtem Datenverkehr wie z.B. VoIP. Verkleinerung der Broadcast- Domänen.
  • Komplexität reduzieren: Mehr Dienste im Netz (IP-Telefonie, IP-TV, IP-Radio) etc.) ziehen auch eine grössere Komplexität nach sich. Diese kann man reduzieren, indem man konsequent für jeden Dienst ein eigenes VLAN im Netz bezeichnet.
  • Die Abhörsicherheit ist bei VLAN’s besser als bei geswitchten Netzen, wo verschiedene Angriffsszenarios wie MAC-Flooding / MAC-Spoofing existieren. Zur Verbindung von VLAN’s kommen Router zum Einsatz, die gegen Layer-2-Attacken unempfindlich sind. Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen. Diesen Vorteil könnten auch segmentierte LAN’s bieten. Dabei ist man aber im Gegensatz zu VLAN’s von der physischen Verkabelung abhängig

5.3 VLAN-Switches verbinden

Der Switch muss VLAN’s unterstützen. Neuere Netzwerkkarten in Server/PC sind meist auch VLAN-fähig (und somit über verschiedene VLAN’s erreichbar).

Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz. (Das Verfahren entspricht einem asynchronen Multiplexing. Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLAN’s über eine einzige Verbindung weiterzuleiten.).
IP-Subnetze bzw. Teilnetze können auf verschiedene Arten den VLANs zugeordnet werden:

  • Portbasiert
  • Tagged
  • Statisch
  • Dynamisch

5.4 Portbasierte VLANs

Die Urform des VLAN's. Ältere VLAN-fähige Switches beherrschen nur portbasiertes VLAN, das statisch konfiguriert werden muss. Hier wird ein managebarer Switch portweise in mehrere logische Switches segmentiert – alternativ können sich portbasierte VLAN’s auch über mehrere Switches hinweg ausdehnen. Ein Port gehört dann immer nur zu einem VLAN oder ist ein Trunk-Port. Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz. Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den dynamischen VLAN’s und zu den tagged VLAN’s. Überall dort, wo eine bessere Übersicht gefordert ist und ein höherer Ressourcenverbrauch (Platz, Energie) vermieden werden muss, kommen statische, portbasierte VLAN’s zum Einsatz.

5.5 Tagged VLANs

Das heute fast ausschliesslich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag:

Die paketbasierten tagged VLAN’s stehen im Unterschied zu den älteren markierungslosen, portbasierten VLAN’s. (Der Ausdruck tagged leitet sich vom englischen Ausdruck «Material Tags» ab was einem Anhänger entspricht, mit dem man eine Ware markiert). Es handelt sich also bei tagged VLAN’s um Netzwerke, die Netzwerkpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen. Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLAN’s z. B. über mehrere Switches hinweg erstrecken, etwa über Trunkports. Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt. Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q. Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.
(Bei portbasierten VLAN’s (d. h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört. Der Switch auf Empfängerseite muss dieses wieder entfernen. Bei Tagged VLAN’s nach IEEE 802.1q hingegen werden die Pakete entweder vom Endgerät (z. B. Taggingfähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen. Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen. Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1q, kann auch dieser es unverändert weiterleiten. Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann muss das Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen). Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.)
Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-ID’s, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLAN’s konfiguriert. Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen. Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen. Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet. Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden). Das automatische Lernen der zu den VLT’s (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches. Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können. Das Erlernen der VLT’s erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu. Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt. Einfache Switches ohne Verwaltungsmöglichkeit bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten. Solche Pakete werden meist belassen wie sie sind. Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt. Alternativ kann auch ein Default-Tag angefügt werden. Der Begriff Trunk wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch Bündelung (Datenübertragung). Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen. Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden. Man kann aber auch direkt bei der Verkabelung ansetzen. Es gibt beispielsweise Messklemmen als Zubehör zu Profi-Netzwerkanalysegeräten, die äusserlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen. So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden. Dagegen hilft nur eine starke Verschlüsselung (z.B. mit IPsec), die manche LAN-Karten direkt in Hardware implementieren.

5.6 Statische VLANs

Hier wird einem Switch-Port fest eine VLAN-Konfiguration zugeordnet. Er gehört dann zu einem portbasierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört. Die Konfiguration eines Ports ist bei statischen VLAN’s fest durch den Administrator vorgegeben. Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLAN’s unveränderlich fest. Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLAN’s möglich. Gehört ein Port zu mehreren VLAN’s, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLAN’s über mehrere Switches hinweg.Durch die Möglichkeit, einen Port mehreren VLAN’s zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLAN’s angebunden werden, ohne dass für jedes Teilnetz eine physische Netzwerkschnittstelle vorhanden sein muss. Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLAN’s miteinander kommunizieren können. Diese VLAN-Trunk’s dürfen nicht mit den Trunk’s im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.

5.7 Dynamische VLANs

Bei der dynamischen Implementierung eines VLAN’s wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLAN’s verzichtet werden. Dynamische VLAN’s stehen im Gegensatz zu den statischen VLAN’s. Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern. In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN. Durch Dynamische VLAN’s kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzwerkdose, an die es angeschlossen wird. Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs in ein spezielles VLAN zu leiten.

5.8 Router on a Stick

Router haben üblicherweise mindestens zwei Netzwerkanschlüsse, denen unterschiedliche Netze zugeordnet sind. Bei «Router on a Stick» führt nur eine Verbindung (Stick bzw. Stock) an den Router: Zwei unterschiedliche Netze als VLANs über dieselbe Leitung. Der Router muss dafür natürlich VLAN-Tags verstehen. Dank des Routers können nun die VLANs gegenseitig erreichbar gemacht werden. Nachteil dieser Lösung: Flaschenhals bzw. reduzierte Bandbreite, da auf der einen physikalischen Leitung zwei Netzwerke übertragen werden müssen (Hin und zurück). Besser wäre die Verwendung eines L3-Switchs (Layer3-Switch) wo die Routing-Funktion bereits im «Switch» implementiert ist.


6. WAN

WAN → Wide Area Network

6.1 Einführung

WAN's werden benutzt, um verschiedene LAN's, aber auch einzelne Rechner miteinander zu vernetzen. Einige WANs gehören bestimmten Organisationen und werden ausschließlich von diesen genutzt. Andere WAN's werden durch Internetdienstanbieter errichtet oder erweitert, um einen Zugang zum Internet anbieten zu können.

Eigenschaften von LANs:

  • Übertragung von Daten in einem begrenzten Bereich. z.B. Gebäude, Firmengelände, Campus.
  • Tendenziell schnell, 100 Mbps bis 16 Gbps.
  • Im Besitz des Benutzers (Privates Gelände)
  • Keine Kosten für den Datentransport.

Eigenschaften von WANs:

  • Übertragung von Daten über weite Entfernungen / Ausdehnung unbeschränkt über Länder, Kontinente oder auch weltweit.
  • Tendenziell langsam, 64 Kbps bis 622 Mbps, bzw. 10 Gbps
  • Im Besitz öffentlicher oder privater Betreiber (Carrier/Provider) (öffentliches Gelände)
  • Kosten In Abhängigkeit von Bandbreite, Distanz etc.

6.2 Verbinden von Firmenstandorten

Nahe beieinanderliegende Standorte:

Die einfachste und billigste Variante, zwei nahe beieinanderliegende Standorte zu verbinden, ist die Funkbrücke (WLAN-Bridging)

  • Für Distanzen im Kilometerbereich
  • Den öffentlichen Raum mit Funk «überbrücken»

Entfernte Standorte:

Sollen zwei entfernte Firmenstandorte (Sites/LAN’s) wie z.B. den Haupsitz in Ortschaft A und die Filiale in Ortschaft B verbunden werden (LAN-Interconnection), kann dies auf folgende Arten realisiert werden:

  • Verbinden der Sites über eine Stand/Miettelefonleitung
    (Nur für kleine Bandbreiten und daher veraltet. Ist aber als Verbindungsbackup oder bei gelegentlichem Verbindungsaufbau, Fernwartung allenfalls noch von Interesse)
  • Verbinden der Sites über das Internet mit je einem Internetzugang
    (Wegen dem abhör- und manipulierbaren WorldWideWeb muss die Übertragung verschlüsselt mit VPN erfolgen)
  • Verbinden der Sites über den Backbone (Core-Network) eines Service-Providers
    (Man nutzt dieselbe Infrastruktur/WAN/Core-Network wie das Internet, ist allerdings von diesem getrennt, ausser das sei explizit erwünscht)

Die beiden LAN’s erhalten je einen privaten IP-Adressbereich und dürfen sich nicht im selben Subnetz befinden. Zwischen den LAN’s wird geroutet, wobei LAN1, LAN2 und die WAN-Strecke je ein Subnetz bilden.

6.3 LAN to LAN über Internet

  • Benötigt einen Internetzugang bzw. einen Internet-Service-Provider (ISP)
    Zugang zum ISP per Kabelnetze (UPC etc.) oder Telefonleitung (Swisscom etc.) PSTN/ISDN und SDSL/VDSL.
    (ADSL ist ungeeignet, da Uploadgeschwindigkeit und Downloadgeschwindigkeit ungleich)
  • Zugang zum ISP über Glasfaseranschluss (Direktanschluss)
    (Siehe auch LAN-to-LAN über Provider-Backbone mit Anbindung an das Internet)
  • Benötigt wegen unsicherem Internet einen schutzbietenden VPN-Tunnel (In diesem Fall: Site-to-Site)

6.4 LAN-to LAN über Provider-Backbone

  • Benötigt einen Zugang zu einem Netzbetreiber/Service-Provider:
    Früher: Analoge Miet/Standleitungen
    Heute: Access-Network oder Direktanschluss
  • Access-Network: LastMile, Teilnehmerkabelanschluss, analog PSTN mit SDSL/VDSL, oder digital ISDN (ISDN ist bereits veraltet)
  • Direktanschluss (Direkter Glasfaser-Anschluss ins Core-Network)
  • PoP: Point-of- Presence bzw. Knotenpunkt innerhalb eines Kommunikationssystems
  • Das Core-Network (Provider-Backbone) ist das Kernstück des Telekommunikationsnetzwerks, welches von den Verbindungsnetzwerkbetreibern unterhalten wird, und bietet den Teilnehmern/Kunden, welche über das Access-Network angeschlossen sind, verschiedene Dienstleistungen an.
    • Aufbau: Glasfaser
    • OSI-Layer: 1/2/(3)
    • Früher: X25, ATM, FrameRelay
    • Heute: Ethernet MPLS,PDH,SDH
  • Mit einem WAN-Anschlussgerät wird man mit dem Core-Network verbunden. Es kann optional auch eine Verbindung ins Internet erstellt werden. Dieser Zugang sollte aber speziell abgesichert sein. (Firewall)

6.5 Evaluation eines Anbieters fü LAN-to-LAN Interconnection

LAN-Interconnect-Projekte mit z.B. Swisscom gestalten sich heutzutags etwa wie folgt: (Stand 2016)

Der Kunde formuliert seine Bedürfnisse und der Anbieter bietet einen kompletten LAN-Interconnect-Service auf einer dedizierten MPLS Plattform (=sicher und internetunabhängig) an. Das beinhaltet u.a.:

  • Access-Typ des Service-Access-Point’s (EnterpriseAccess bis 10Gbps über Glasfaser / BusinessAccess mit xDSL über Glas- oder Kupferkabel / MobileVPNAccess über Mobilfunknetz etc.)
  • Service Elemente gem. Service-Level-Agreement (SLA) (98.9..100% Mtl. Verfügbarkeit / Max. Summe der Ausfallzeiten 0..8h / Access Redundanz / 11..24h Support etc.)
  • Design, Engineering, Projekt Management, Implementierung (u.a. Planung, Konfiguration und Dokumentation der Zugangsleitung und gelieferten Kundenausrüstung/Anschlussgerät)
  • Konfigurationsänderungen, Migrationen von alten WAN-Zugängen
  • Optional: Direkter firewallgeschützter Internetzugang

Der Kunde erhält eine LAN-Schnittstelle mit IP-Protokoll und muss sich nicht um den WAN-Teil kümmern.

Ein Beispiel einer WAN-Offerte für eine LAN-Interconnection finden sie hier: Standortverbindung.pdf

6.6 WAN-Entscheidungskriterien

Für die Auswahl eines WAN-Dienstes beurteile man folgende Kriterien:

  • Bandbreite (maximale, durchschnittliche)
  • Distanz
  • Erhältlichkeit (wo überall, verschiedene Länder?)
  • Kosten
  • Sicherheit
  • Support / Service
  • Zuverlässigkeit, Verfügbarkeit
  • Skalierbarkeit (Flexibilität für Änderungen z.B. bei Wachstum/Ausbau)

Heutzutage wird man auf dem Internet kaum mehr konkrete WAN-Angebote mit Preisangaben finden. Die Anbieter lassen sich nicht von ihren Mitbewerbern in die Karten blicken und ermitteln die individuellen Bedürfnisse gleich direkt beim Kunden um ihm dann massgeschneiderte Angebote offerieren zu können.

Denken Sie bei WAN in den OSI-Layers und unterscheiden Sie Angebote, Dienste und Technologien:

  • Q: «Als Verbindung zwischen den zwei Standorten würde ich eine ADSL-Standleitung nehmen…»
    A: «Standleitung» hat mit Internet nichts zu tun. (Ausserdem sind Standleitung kaum noch erhältlich) ADSL (Asymmetric Digital Subscriber Line) ist wegen der Asymmetrie Upload/Download für LANVerbindungen ungeeignet. Besser SDSL. Bei ADSL gibt es übrigens einen Verbindungsaufbau.
  • Q: «Wir bestellen bei einem Internetprovider eine sichere WANVerbindung… »
    A: Auf die Abhörsicherheit einer WAN-Verbindung haben sie keinen Einfluss, ausser sie verschlüsseln ihre Daten bei Verlassen ihres LAN’s und entschlüsseln sie erst wieder bei Eintritt in das Partner-LAN. Man erstellt damit ein VPN (Virtual Private Network) VPN ist Software!
  • Q: «Für die Verbindung der zwei Standorte werden zwei Server für diesen Datenstrom gekauft…»
    A: Dafür müssen nicht zwei Server sondern zwei Router, bzw. Anschlussgeräte in Form von xDSL oder Fibre-Direktanschluss gekauft werden. Heutzutags wird dies allerdings als Gesamtpaket vom Serviceprovider (Swisscom etc.) geliefert.

7. VPN

VPN → Virtual Private Network

7.1 Einführung

Das Internetprotokoll IPv4 stammt aus dem Jahre 1974. Damals ahnte noch niemand den durschschlagenden und weltweiten Erfolg von TCP/IP und dass dieser auch unlautere Akteure anziehen werde. Darum weist das IPv4-Protokoll bis heute gravierende Sicherheitsmängel auf wie:

  • fehlende Verschlüsselung um Daten vor neugierigen Blicken zu schützen (Nutzdaten werden transparent bzw. im Klartext übermittelt und sind damit für Network-Sniffern wie Wireshark einsehbar)
  • die Möglichkeit von «Man-in-the-Middle» Angriffen (um z.B. Passwörter auszuhorchen)
  • mit Spoofing etwas «vorgaukeln» (IP/Port-Adressen verfälschen und Daten des Angreifers somit verschleiern)
  • keine Garantie über die Identität des Kommunikationspartners
  • keine Garantie über die Echtheit der Pakete

Was möchte man gerne:

  • Vertraulichkeit (Verschlüsselung)
  • Datenintegrität (Digitale Signierung)
  • Authentifizierung (Server und Client sind verifiziert)
  • Implementierung in der Netzwerkschicht, damit die Kommunikationsendpunkte nichts davon merken (z.B. IPsec arbeitet auf Layer3 und betrifft höhere Layer nicht. Aber: Netzwerkendpunkte müssen IPsec auch unterstützen)

Die Lösung ist VPN: VPN bedeutet ein virtuelles privates (in sich geschlossenes) Kommunikationsnetz, das ein bestehendes Kommunikationsnetz als Transportmedium verwendet.

7.2 Die VPN-Verbindungsarten

7.3 Das VPN-Protokoll IPsec

Das derzeit am häufigsten eingesetzte VPN-Protokoll ist IPSec (IP Security). IPsec ist eine Protokoll-Suite, die eine gesicherte Kommunikation über potentiell unsichere IP-Netze wie das Internet ermöglichen soll. IPsec arbeitet direkt auf der Internetschicht (Internet Layer) des Protokollstapels und ist damit für die Anwendung transparent.
Mittlerweile findet man es so gut wie in jedem Firewall-Produkt, einige Heim-Router im oberen Preissegment haben es eingebaut und seit Windows 2000 ist es Bestandteil von Microsofts Betriebssystem.

7.4 IPsec: Transportmodus versus Tunnelmodus / AH und ESP

IPSec bietet zwei Sicherungsarten:

  • AH (Authentication Header)
    (Mit AH kann der Anwender nur die Integrität und Echtheit der Daten sicherstellen. Das heisst: AH stellt sicher, dass keine Datenveränderung zwischen Absender und Empfänger erfolgen kann. AH wird allerdings nur selten eingesetzt, da es kaum Anwendungen gibt, in denen nur die Integrität zählt.)

  • ESP (Encapsulation Security Payload)
    (ESP stellt Mechanismen zur Sicherstellung der Authentizität, Integrität und Vertraulichkeit der übertragenen IP-Pakete bereit. Die Nutzdaten werden verschlüsselt übertragen.)

jeweils in Kombination mit einem der beiden Betriebsmodis

  • Tunnelmodus: Im Tunnelmodus wird das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das gesamte Paket angewandt. Der neue (äussere) IP-Header dient dazu, die Tunnelenden zu adressieren, während die Adressen der eigentlichen Kommunikationsendpunkte im inneren IP-Header stehen. Der ursprüngliche (innere) IP-Header stellt für Router usw. auf dem Weg zwischen den Tunnelenden nur Nutzlast dar und wird erst wieder verwendet, wenn das empfangende Security-Gateway (das Tunnelende auf der Empfangsseite) die IP-Kapselung entfernt hat und das Paket dem eigentlichen Empfänger zustellt.
    Im Tunnelmodus sind Site-to-Site Verbindungen (Gateway-Gateway) oder auch End-to-Site Verbindungen (Peer-Gateway) möglich. Wenn an jeweils einer Seite Tunnelende und Kommunikationsendpunkt auf demselben Rechner zusammenfallen, sind auch im Tunnelmodus End-to-End Verbindungen (Peer-Peer) möglich. Ein Vorteil des Tunnelmodus ist, dass bei Site-to-Site Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung.
    Tunnelmodus bedeutet also, dass ein IP-Paket in einem weiteren IP-Paket «gekapselt» wird.
    Üblicherweise kommt die Kombination ESP und Tunnelmode auf VPN-Gateways zum Einsatz, wenn entfernte Subnetze miteinander über ein unsicheres Netz gekoppelt werden.

  • Transportmodus: Im Transportmodus wird der IPsec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert und dient weiterhin zum Routing des Pakets vom Sender zum Empfänger. Der Transportmodus wird verwendet, wenn die «kryptographischen Endpunkte» auch die «Kommunikations-Endpunkte» sind. Nach dem Empfang des IPsec-Paketes werden die ursprünglichen Nutzdaten (TCP-/UDP-Pakete) ausgepackt und an die höherliegende Schicht weitergegeben. Der Transportmodus wird vor allem für End-to-End Verbindungen (Host-Host) oder End-zu-Router-Verbindungen zwecks Netzwerkverwaltung verwendet.
    Üblicherweise kommt die Kombination ESP und Transportmode zum Einsatz, wenn zwei Rechner miteinander über IPSec im LAN kommunizieren sollen.

7.5 Der Verbindungsaufbau - Kryptographische Funktionen von IPsec

Die kryptographischen Funktionen von AH und ESP beruhen auf symmetrischen Schlüsseln. Um diese nicht vorab austauschen zu müssen, handelt das IKE-Protokoll (Internet Key Exchange) diese beim Aufbau der Verbindung dynamisch aus. Nebenbei erledigt IKE auch noch die Authentifizierung der Teilnehmer und das Aushandeln der Security Associations (SA), in denen die Konfiguration der Verbindung festgehalten wird.
Beim Verbindungsaufbau durchläuft IKE zwei Phasen:

  • In Phase 1 (Main Mode) tauschen die Partner in vier Nachrichten Schlüsselmaterial aus, um sich auf einen gemeinsamen symmetrischen Schlüssel (SKEYID) zu einigen. Aus SKEYID werden ein Schlüssel zur Authentisierung und einer zur Verschlüsselung der weiteren IKE-Nachrichten abgeleitet sowie ein Schlüssel für die spätere Phase 2.
    (Alternative zu Main Mode: Aggressive Mode)
  • Anschließend in Phase 2 (Quick Mode) erfolgt über zwei weitere, nun verschlüsselte Nachrichten die Authentifizierung der VPN-Teilnehmer durch digitale Signaturen, RSA-Schlüssel (X509-Zertifikate) oder PSK (Pre-Shared Keys). Letztere sind nichts anderes als geheime Passwörter, die auf beiden Seiten der IPSec-Verbindung identisch sein müssen. (Bei Actctiv-Directory: Kerberos)

PSKs sind wesentlich einfacher zu handhaben als Zertifikate, haben aber im Main Mode einen entscheidenden Nachteil: Sie funktionieren nur mit statischen IP-Adressen.

7.6 VPN-Tunnel Adressierungsbeispiele

End-to-End Tunneling:

Es werden zwei Endpunkte direkt miteinander verbunden. Auf beiden Endgeräten muss eine VPN-Software installiert sein.

Site-to-End Tunneling:

Damit kann ein externer Rechner mit dem Firmennetzwerk verbunden werden z.B. für Remoteverwaltung oder Homeoffice. Der Tunnelmodus verbindet ein IP-Netz und ein Endpunkt. Die Tunnelendpunkte bilden somit der VPN-Gateway und der VPN-Client. Die IP-Pakete erhalten bei IPsec ESP einen neuen, weiteren IP-Header. Der VPN-Client muss mit einer entsprechenden VPN-Software ausgerüstet sein.
Die Unverfälschbarkeit des transportierten Daten ist hier gewährleistet. Ebenso der Schutz vor Verfälschung der IP-Adressen. Da der Inhalt verschlüsselt übertragen wird, sind sogar die IP-Adressen der Endgeräte «unsichtbar».
Der hier rot dargestellte VPN-Client bzw. VPN-Endpunkt erhält seine IP-Adresse aus dem hier blau dargestellten LAN1-Bereich. Der VPN-Client besitzt nun zwei Netzwerkadressen. Die eine im eigenen LAN und die andere in der VPN-Applikation mit einer IP-Adresse aus dem Site-LAN-Bereich.

Site-to-Site Tunneling:

Damit verbindet man zwei private Netzwerke über ein drittes, meist unsicheres Netzwerk. Man kann hier von einer Art LAN-to-LAN Interconnection sprechen.
Der Tunnelmodus verbindet zwei IP-Netzen. Die Endpunkte bilden zwei VPN-Gateways, dazwischen verläuft der Tunnel. Die IP-Pakete erhalten bei IPsec ESP einen neuen, weiteren IP-Header.
Die Unverfälschbarkeit des transportierten Daten ist hier gewährleistet. Ebenso der Schutz vor Verfälschung der IP-Adressen. Da der Inhalt verschlüsselt übertragen wird, sind sogar die IP-Adressen der Endgeräte «unsichtbar».
Wäre das LAN2 im selben Netz wie LAN1, würden z.B. Pakete aus LAN1 mit Bestimmung LAN2 nie dort ankommen, weil sie ja nicht geroutet würden. Ein Paket in LAN1 findet erst dann zu «seinem» VPN-Gateway, wenn das Zielnetzwerk nicht das eigene ist.

7.7 NAT-Traversal

IPSec hat immense Probleme mit dem heute in vielen Netzen eingesetzten NAT, weil dabei das IPSec-Paket verändert wird. Je nach NAT-Art erhält ein Paket eine neue IP-Adresse und gegebenenfalls noch eine neue Quell-Portnummer. AH, egal ob im Transport- oder Tunnel-Mode, streckt hier sofort die Waffen. Weil der Paket-Header verändert wurde, stimmt der HMAC nicht mehr. Bei ESP ist es etwas komplizierter: Um Ports umzuschreiben, müsste ein NAT-Router den TCP/UDP-Header lesen können. Der Original-Header ist aber verschlüsselt, sodass eine Zuordnung unmöglich ist. Mit ESP im Tunnelmode würde NAT zwar klappen, vorher scheitert aber schon IKE an NAT. Denn IKE kommuniziert fest über den UDP-Quell- und Zielport 500. Wird der verändert, kommt keine Verbindung zu Stande. Einige Router unterstützen deshalb das IPSec-Passthrough-Verfahren, bei dem die IKE-Ports nicht verändert werden. Zudem leitet der Router ESP-Pakete damit richtig weiter. Da die ESP-Pakete nur einer Verbindung zugeordnet werden können, funktioniert Passthrough nur mit einem einzigen Client. Um sich nicht auf den Router verlassen zu müssen, ist das ursprüngliche IPSec daher kaum noch gebräuchlich. Vielmehr setzt man es mit der IPSec-Erweiterung NAT-Traversal ein. Dabei tauschen beide Seiten über das NAT-Traversal-Protokoll verschiedene Informationen aus. Anschließend werden ESP-Pakete in UDP-Pakete verpackt und über Port 4500 verschickt. Nun können NAT-Router ohne Probleme sowohl IP-Adressen als auch Ports umschreiben.

7.8 Weitere VPN-Protokolle

(Mit IPsec haben wir die sicherste VPN-Variante, doch auch eine eher schwierige Konfiguration.)

  • SSL/TLS (Secure Sockets Layer / Transport Layer Security)
    • Sicherheitsmechanismen für z.B. HTTP (HTTPS)
    • Zunehmend auch „einfachere“ Alternative zu IPsec bei VPN’s
    • SSL/TLS: Arbeitet ab Layer4
    TLS hat SSL abgelöst. SSL wird nicht mehr weiter entwickelt!
    • Site-to-Site / End-to-Site, OpenVPN, Schwachstellen!?
  • PPTP (Point to Point Tunneling Protocol) Ist aber geknackt!
    Einfach einzurichten aber schwache Authentifizierung
  • L2TP (Layer 2 Tunneling Protocol; mit IPsec-Verschlüsselung)
    PAP/ CHAP/IPsec, Mühsame Installation
  • SSTP (Secure Socket Tunneling Protocol; nur Microsoft)
  • getVPN (Group Encrypted Transport VPN; von CISCO)

7.9 VPN-Software

  • OpenVPN: Freie Software zum Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte TLS-Verbindung. Zur Verschlüsselung wird die Bibliothek OpenSSL benutzt. OpenVPN verwendet wahlweise UDP oder TCP zum Transport.
    Link: www.openvpn.net
  • OpenSSL: Freie Software für TLS (Transport Layer Security). OpenSSL umfasst Implementierungen der Netzwerkprotokolle und verschiedener Verschlüsselungen sowie das Programm openssl für die Kommandozeile zum Beantragen, Erzeugen und Verwalten von Zertifikaten.
    Link: www.openssl.org
  • OpenSSH: Programmpaket zur Dateiübertragung. Dazu nutzt es Secure Shell (SSH) inklusive SSH File Transfer Protocol und beinhaltet dafür Clients, Dienstprogramme und einen Server.
    Link: www.openssh.com
  • STUNNEL: Kommunikationsschnittstelle mit TLS-Verschlüsselungsfunktionalität die OpenSSL nutzt.
    Link: www.stunnel.org
  • PuTTY: Freie Software zum Herstellen von Verbindungen über Secure Shell, Telnet, Remote login oder serielle Schnittstellen. Dabei dient PuTTY als Client und stellt die Verbindung zu einem Server her.
    Link: www.chiark.greenend.org.uk
  • Shrew-Soft VPN-Client: VPN-Client für Windows und Linux
    Link: www.shrew.net
  • pfSense: Firewall-Distribution auf der Basis des Betriebssystems FreeBSD und des Paketfilters pf. PfSense verwendet OpenSSL.
    Link: www.pfsense.org