Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 1 -© Gerhard M. GlaserStand: 14.08.2008 Stand: 14.08.2008© Gerhard M. Glaser
Netzwerke und Sicherheitmit TCP/IP
Netzwerke und Sicherheitmit TCP/IP
Web-Schulung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 2 -© Gerhard M. Glaser
MG G
Inhalt (1)
• Kapitel 1 – Grundlagen/ wichtige Standards− OSI-Modell− IEEE-Standards (CSMA/CD, 802.11/ WLAN etc.)− Protokollarten (verbindungsorientiert/ -los)− Layer 2 (Ethernet/ 802.3, VLANs, Bridges/ Switches)− TCP/IP-History− RFCs
• Kapitel 2 – Internet Protokoll (IP)− Type Of Service (TOS)− Fragmentierung
Gründe für FragmentierungFragment Offset, Flags etc./ Reassemblierung
− Time To Live (TTL)− IP-Protokoll-Nummern
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 3 -© Gerhard M. Glaser
MG G
Inhalt (2)
• Kapitel 3 – IP-Adressierung/ -Subnetting− Adress-Aufbau− Multicast-Adressen− Private Adressen− IP-Subnetzmasken/ -Subnetting
• Kapitel 4 – IP über serielle Leitungen (SLIP, PPP, PPPoE)• Kapitel 5 – IPv6• Kapitel 6 – Address Resolution Protocol (ARP)
− ARP− Gratuitous ARP− RARP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 4 -© Gerhard M. Glaser
MG G
Inhalt (3)
• Kapitel 7 – IP-Routing− Routing auf Backbone− Routing in vermaschten Netzen− Proxy ARP
• Kapitel 8 – Internet Control Message Protocol (ICMP)− ICMP-Fehlermeldungen− ICMP-Info-Meldungen− Trace Route Methoden
• Kapitel 9 – Routing Protokolle− RIP− Split Horizon− Classful Routing− OSPF− Nicht roubare Protokolle
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 5 -© Gerhard M. Glaser
MG G
Inhalt (4)• Kapitel 10 – Transmission Control Protocol (TCP)
− Ports, Sockets− Verbindungsaufbau/ -abbau (Three-Way Handshake)− Flow-Control (Sliding-Window-Mechanism)− Congestion Control („Slow Start“)− Verbindungsmanagement
• Kapitel 11 – User Datagram Protocol (UDP)− Eigenschaften− Dienste auf UDP− Unterschiede zu TCP
• Kapitel 12 – TELNET• Kapitel 13 – File Transfer Protocol (FTP)
− Active FTP− Passive FTP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 6 -© Gerhard M. Glaser
MG G
Inhalt (5)• Kapitel 14 – E-Mail-Protokolle
− SMTP− SPAM/ Privacy− POP3/ IMAP
• Kapitel 15 – Name Services− Internet Name Service (IEN 116)− DNS
• Kapitel 16 - BootP/ DHCP− DHCP-Ablauf− APIPA
• Kapitel 17 – Trivial File Transfer Protocol (TFTP)• Kapitel 18 – „R“-Utilities• Kapitel 19 – Network File System (NFS)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 7 -© Gerhard M. Glaser
MG G
Inhalt (6)
• Kapitel 20 – Internet− HTTP/ HTTPS− HTTP Status Codes− Proxy- und Socks-Server
• Kapitel 21 – Voice Over IP• Kapitel 22 – Simple Network Management Protocol (SNMP)
− Manager, Agent− RMON
• Kapitel 23 – Trouble Shooting− Tools (eingebaute Tools/ externe Tools)− Probe vs. Analyzer− Eigenschaften von Analysatoren
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 8 -© Gerhard M. Glaser
MG G
Inhalt (7)• Kapitel 24 – Sicherheit
− Firewalls, IDS/ IPS, Honeypots etc.− Portscanning/ Methoden− VPN/ Tunneling Protokolle
IPsecL2TPSSL
− Verschlüsselung/ Digitale Signatur− PKI/ Zertifikate (X. 509)− Authentisierung
PAP/ CHAPRADIUS
− NAT/ PAT – Funktionsweise und ProblemeVirtueller Server/ Port ForwardingSTUN/ UDP Port PunchingIPsec über NAT/ PAT-Devices („NAT Traversal“)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 9 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 1
Grundlagen/wichtige Standards
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 10 -© Gerhard M. Glaser
MG G
Transport Layer Transportschicht
ProtokolleApplication Layer
Presentation Layer
Session Layer
Network Layer
Data Link Layer
Physical Layer
Vermittlungsschicht
Sicherungsschicht
Physikalische Schicht
Anwendungsschicht
Darstellungsschicht
Sitzungsschicht
Endsystem (Sender) Endsystem (Empfänger)
Medium
ISO/OSI-Modell - Schichten
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 11 -© Gerhard M. Glaser
MG G
ISO/OSI-Modell - Schnittstelle
SAP
Schicht N
Schicht N+1
ICI SDUH
ICI SDU
Interface
IDU
PDU
Kommunikationauf Schicht N
Kommunikationauf Schicht N+1
SAP Service Access Point ICI Interface Control InformationIDU Interface Data Unit SDU Service Data UnitPDU Protocol Data Unit H Header
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 12 -© Gerhard M. Glaser
MG G
802.1 Umfeld, LAN-/MAN-Management802.1d Transparent-/ SRT-Bridging802.1p/ Q VLAN-Tagging802.1x Portbasierender Zugangsschutz
802.2 Logical Link Control (inactive)802.3 CSMA/CD*) (“Ethernet”)802.4 Token Bus802.5 Token Ring (inactiv)802.6 Distributed Queue Dual Bus (DQDB)802.7 Broadband LANs802.8 Multimode Fiber Optic Media802.9 Integrated Services LAN802.10 Std. for Interoperable LAN/MAN Security (SILS)802.11 Wireless LANs802.12 Demand Priority LAN > 10 MB (“VGanyLAN”)802.14 CATV-based Broadband Connectivity Networks802.15 Wireless Personal Area Network (WPAN) - z.B. Bluetooth802.16 Worldwide Interoperability for Microwave Access (WiMax)802.17 Resilent Packet Ring
Link: http://standards.ieee.org/getieee802/portfolio.html
*) Carrier Sense Multiple Access with Collision Detection
Wichtige Standards der Arbeitsgruppe 802
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 13 -© Gerhard M. Glaser
MG G
IEEE-Standards, MAC und LLC(im Vergleich zu Ethernet)
MAC Medium Access ControlLLC Logical Link Control
Layer 1
Layer 2
Layer 3
MACLLC
802.3 802.5
802.2
(CSMA/CD) (Token Ring)
IP
Ethe
rnet
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 14 -© Gerhard M. Glaser
MG G
IEEE-Standards802.1, 802.2, 802.3, 802.4, 802.5
802.3(CSMA/CD)
802.4(Token Bus)
802.5(Token Ring)
802.2802.1
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 15 -© Gerhard M. Glaser
MG G
IEEE 802.3 (CSMA/CD) Standard-Aktivitäten - Auswahl
802.3 CSMA/CD (Ethernet): 10Base5802.3a 10Base2 (Cheapernet)802.3b 10Broad36802.3e 1Base5 Starlan802.3i 10Base-T802.3j 10Base-F802.3u 100Base-T (“100 Mbit-Ethernet”)802.3x Full Duplex/ Flow Control802.3z Gigabit Ethernet (7/1998)802.3 ab 1000BASE-T (6/1999)802.3 ac VLAN Tag (9/1998)802.3 ae 10Gb/s Ethernet (6/2002)802.3 an 10GBase-T (6/2006)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 16 -© Gerhard M. Glaser
MG G
IEEE 802.11 (WLAN) Standard-Aktivitäten -Auswahl
• 802.11a 54 Mbps, 5 GHzkeine ETSI-Zulassung! (9/1999)
• 802.11b 11 Mbps, 2.4 GHz (9/1999)
• 802.11d „World Mode“(u.a. Roaming zwischen Ländern) (6/2001)
• 802.11e Quality Of Service• 802.11g Higher Data Rate (> 20 Mbps) (6/2003)
• 802.11i Authentication und Sicherheit(inkl. WPA) (6/2004)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 17 -© Gerhard M. Glaser
MG GEthernet-vs. 802.3-Fram
es
Protokoll-ID (3 O
ct.)
1)SFD
= Start Frame D
elimiter
2)LLC
(IEEE 802.2)
Ethernet V.2802.3/802.2
802.3 SNA
P
FCS (4 O
ctets)
Füllzeichen (variabel)
Preambel(7 O
ctets)
Rahm
enbegrenzer/SFD1)(1O
ctet)
Zieladresse (6 Octets
= 48 Bit)
Quelladresse (6 O
ctets= 48 B
it)
TypePaketlänge (2 O
ctets)
Code
1 Octet
SSAP
1 Octet
AA
DSA
P1 O
ctetA
A
Daten
(46 ... 1500 Byte)
Daten
(46 ... 1500 Byte)
Daten
(46 ... 1500 Byte)
Ether-Type (2 Oct.) 2)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 18 -© Gerhard M. Glaser
MG G
802.3 Frame - Aufbau
IG
UL Herstellerkennung Gerätenummer
1 1 22 24
Darstellung gemäß IEEE 802.3 Standard:Anordnung der Bits/ Bytes in Übertragungsreihenfolge(höchstwertigstes Byte und niederwertigstes Bit werden zuerst übertragen)
Herstellerkennungen (Auswahl):00-00-1D Cabletron 08-00-2B DEC08-00-02 3Com AA-00-04 DECnet08-00-09 HP 00-AA-00 Intel
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 19 -© Gerhard M. Glaser
MG G
IG
UL Herstellerkennung Gerätenummer
1 1 22 24
802.3 Frame - AufbauMulticast-Adressen
Adressen, die im ersten Byte einen ungeraden Wert haben, sind Multicast-Adressen
z.B. 01-00-5E-XX-XX-XX IANA Ethernet Address Block (z.B. IP-Multicasts – vgl. Folie 61)AB-00-00-XX-XX-XX DECnet BroadcastCF-00-00-00-00-00 Ethernet-Loop-BackFF-FF-FF-FF-FF-FF Ethernet Broadcast
Xxxx1 - XX - XX - XX - XX - XX
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 20 -© Gerhard M. Glaser
MG G
Wichtige Typfelder00-00 ... 05-DC IEEE802.3 Length Field (05-DD ... 05-FF nicht vergeben!)06-00 Xerox NS IDP08-00 DOD Internet Protocol (IP)08-06 Address Resolution Protocol (ARP)0B-AD Banyan Systems0B-AF Banyon VINES Echo60-00 DEC unassigned, experimental60-01 ... 60-08 DEC 80-05 HP Probe protocol80-35 Reverse Address Resolution Protocol (RARP)80-38 ... 80-42 DEC80-7D ... 80-80 Vitalink80-9B EtherTalk (AppleTalk over Ethernet)80-F3 AppleTalk Address Resolution Protocol (AARP)81-37 ... 81-38 Novell, Inc.86–DD IPv690-00 Loopback (Configuration Test Protocol)90-01 ... 90-03 3Com
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 21 -© Gerhard M. Glaser
MG G
Wichtige DSAPs/ SSAPs00 Null SAP02 Individual LLC Sublayer Mgmt Function03 Group LLC Sublayer Mgmt Function06 ARPANET Internet Protocol (IP)42 IEEE 802.1 Bridge Spanning Tree Protocol80 Xerox Network Systems (XNS)98 ARPANET Address Resolution Protocol (ARP)AA Sub-Network Access Protocol (SNAP)BC Banyan VINESE0 Novell NetwareF0 IBM NetBIOSF4/ F5 IBM LAN ManagementFE ISO Network Layer ProtocolFF Global SAP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 22 -© Gerhard M. Glaser
MG G
VLAN (802.1p/ 802.1Q)
• Logische Trennung des Datenstroms auf Layer 2• Verschiedene Typen
– Statisch (Port basierend): per Definition in Switch– Dynamisch (MAC basierend): per „Tag“ im Ethernet-Paket
• Tag (4 Byte): zwischen Source Address und Type-Field
• VID (VLAN ID): 4096 Adressen („farbliche Kennzeichnung“)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 23 -© Gerhard M. Glaser
MG G
C
A
D
B
Bridge - Arbeitsweise (1)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 24 -© Gerhard M. Glaser
MG G
C
A
D
B
A, B, ...
C, D, ...
Bridge - Arbeitsweise (2)
A, B, ...
C, D, ...
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 25 -© Gerhard M. Glaser
MG G
Bridges - Begriffe
• Filtering RateAnzahl der Pakete, die sich eine Bridge “anschauen” kann
• Forwarding RateAnzahl der Pakete, die eine Bridge weiterreichen kannAchtung: Häufig Summe für beide/alle Übertragungsrichtungen!
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 26 -© Gerhard M. Glaser
MG G
Transitsysteme im OSI-Modell
Repeater/ Sternkoppler
Bridges/ Switches
Router
Gateways
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 27 -© Gerhard M. Glaser
MG G
Transitsysteme im OSI-Modell(Aufgaben - Zusammenfassung)
RepeaterRepeater/ Hub:/ Hub: Regeneriert und verstärkt das elektrische Signal und leitet dieses an allePorts weiter (keine Broadcast!)Führt keine “Bitinterpretation” durch.
Bridge/ Switch: Nimmt physikalische Trennung von Netzen vor („Collision-Domain“).Führt Fehler- und Lasttrennung auf Basis von MAC-Adressen durch.Hat meist Mechanismen zum Filtern implementiert.Rudimentäre Mechanismen zur Wegefindung sind u.U. vorhanden(“Routing Bridge”)
Router: Entkoppelt die Netze auf logischer Basis aufgrund von Layer 3-Adressen;z.B. IP-Adressen.Arbeitet protokollabhängig!Steuert den Verkehr zwischen Netzen (“Wegefindung”).
Gateway: Nimmt eine Umwandlung von Diensten vor (i.a. oberhalb Schicht 4).Security-Mechanismen möglich (z.B. “Firewall”, “Proxy”).
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 28 -© Gerhard M. Glaser
MG G
Protokollarten(unabhängig von OSI-Schichten)
• Verbindungsorientiert (connection-oriented)− logische Verbindung zwischen Kommunikations-Partnern− Sender kennt Zustand von Empfänger und Paket(en)− vergleichbar:
klassische TelefonverbindungGespräch zwischen Menschen
• Verbindungslos (connectionless, datagram-service)− keine logische Verbindung− Pakete werden unkontrolliert versendet− vergleichbar:
SMSMarktschreier (Megafon)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 29 -© Gerhard M. Glaser
MG G
TCP/IP-History (Überblick)1969 erste Arbeiten an einem paketvermittelnden Rechnernetz1972 das ARPANET wird der Öffentlichkeit vorgestellt1973 “Ethernet is born”1975 die DCA (Defence Communications Agency) übernimmt die Federführung im
ARPANET1976 Grundsteinlegung zu TCP/IP durch die IFIP (International Federation Of
Information Processing)1979 DEC, Intel und XEROX (DIX-Group) entwickeln gemeinsam das Ethernet weiter1980 Ethernet Version 1.0 wird veröffentlicht
Bercley UNIX (BSD 4.1) wird entwickelt und enthält TCP/IP1983 Das ARPANET wird endgültig von NCP auf TCP/IP umgestellt
Aufteilung des ARPANET in MILNET und ARPANET1985 Einführung von TCP/IP in kommerzielle Anwendungen1991 mehr als 1000 Hersteller unterstützen TCP/IP1993 mehr als 10000 Hersteller unterstützen TCP/IP1994 WWW wird offizielles Projekt von CERN, die W3-ORG wird ins Leben gerufen1996 das Internet umfasst ca. 15 Mio. Anschlüsse2001 im November wird die 5 Mio. DE-Domain vergeben - pro Minute werden 2
Domains vergeben (90 000/ Monat) - Start .DE am 5.11.1986
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 30 -© Gerhard M. Glaser
MG G
RFCs, MIL-Specs u.a.RFC: Request For Comments
Arbeitspapiere, Protokollspezifikationen und Kommentare der Internet-CommunityVeröffentlicht durch das Stanford Research Institut: www.rfc-editor.orgaktueller Stand: 5082 RFCs (Ende Oktober 2007)
MIL-STD: Ausführliche Beschreibung und Implementierungs-anweisung wichtiger DoD-Protokolle
IEN: Internet Experimental/ Engineering NotesVorläufer der RFCs
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 31 -© Gerhard M. Glaser
MG G
Standardisierungsprozess / RFCs (1)
• Offener Prozess• Entwicklung durch Arbeitsgruppen der
Internet Engineering Task Force (IETF)• Entscheidung durch
Internet Engineering Steering Group (IESG)• Veröffentlichung in RFC
Achtung:Nicht jeder RFC beschreibt einen Standard („STDxxxx“)!Auflistung aller Standards in STD 1 (z.Z. RFC 3300)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 32 -© Gerhard M. Glaser
MG G
Standardisierungsprozess/ RFCs (2)
Standardisierungsstufen (STD)• Internet Draft (i.A. Arbeitsgruppe)• Proposed Standard• Draft Standard• Internet Standard
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 33 -© Gerhard M. Glaser
MG G
Standardisierungsprozess/ RFCs (3)
Keine Standards:• Experimental• Informational (FYIxxxx)• Best Current Practice (BCPxxxx)• RARE*) Technical Reports (RTRxxxx)• Historic
*) RARE = Reseaux Associes pour la Recherche Europeenne
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 34 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 2
Internet Protocol(IP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 35 -© Gerhard M. Glaser
MG G
• Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)
• (Ethernet-) Typefield: 08-00
• 802.2 DSAP/SSAP-Definition: 06
• Datagram-Service
• Kommunikation zwischen Netzen
• Datentransport von Quell- zu Zieladresse
Internet Protocol(IP)
RFC 791 - STD 5 - MIL-Std. 1777
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 36 -© Gerhard M. Glaser
MG G
IP - Wichtige RFCs
RFC 791 IP-Protokoll (STD 5)
RFC 815 IP over X.25 NetworksRFC 894 IP over Ethernet-NetworksRFC 948 IP over 802.3 NetworksRFC 1051 IP over Arcnet-NetworksRFC 1055 IP over Serial Lines (“SLIP”)RFC 1088 IP over Netbios NetworksRFC 1577 IP over ATM Networks (“Classical IP”)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 37 -© Gerhard M. Glaser
MG G
• Datagram-Service(ungesichert!)
• Definition/ Adressierung höherer Protokolle
• Adressfunktion(Ende zu Ende Adressierung)
• Routing zwischen Netzen(Netzwerke können adressiert werden)
• Fragmentierung von Datenpaketen
IP - Eigenschaften
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 38 -© Gerhard M. Glaser
MG G
IP - Header
Total LengthService TypeVersion IHL
Fragment OffsetIdentifikation Flags
Time to Live Protocoll IP Header Checksum
IP Source Addresse
IP Destination Addresse
Options Padding
Protocol
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 39 -© Gerhard M. Glaser
MG G
Service-Type (Neu-Definition)RFC 1349
• ersetzt RFC 791• TOS (Type Of Service)• 4 Bit-Feld (definierte Werte)
0 1 2
Precedence
3 4 5 6 7
T O S MBZ
MBZ = Must Be ZeroPrecedence = Vorrangssteuerung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 40 -© Gerhard M. Glaser
MG G
IP - TOSWerte
0000 Default-Wert
0001 Minimize Monetary Cost
0010 Maximize Reliability
0100 Maximize Throughput
1000 Minimize Delay
1111 Maximize Security
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 41 -© Gerhard M. Glaser
MG G
IP - TOS
TELNET 1000 minimize delay
FTP Control 1000 minimize delayFTP Data 0100 maximize troughput
SMTP (Command Phase) 1000 minimize delaySMTP (Data Phase) 0100 maximize troughput
SNMP 0010 maximize reliability
ICMP 0000 aber: request = response
Default Werte bei verschiedenen Diensten
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 42 -© Gerhard M. Glaser
MG G
IP - FragmentierungWarum Fragmentierung
• Technische Vorgaben− Hardware-/ Software-Beschränkungen− Definition des Protokolls− Beschränkung durch Norm
(z.B. Topologie-Übergang)
• Maßnahme zur Fehlerreduktion
• Erhöhen der “Zugangsgerechtigkeit” auf Datenkanal (Begrenzung der Zugriffszeit)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 43 -© Gerhard M. Glaser
MG G
IP - Fragmentierungmax. Paketlänge auf verschiendenen Netzen
Medium Bit Byte• Token Ring (16 Mbit/s) 143928 17997• Token Ring (4 Mbit/s) 36008 4501• Ethernet 12144 1518• X.25 (Maximum) 8192 1024• X.25 (Standard) 1024 128
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 44 -© Gerhard M. Glaser
MG G
• Länge relativ zum Beginn des Datenbereichs im Orginal-Datagram
• Ermöglicht Zusammensetzen in richtiger Reihenfolge
• Wert 0 bei:– Standard Datagram
(= nicht fragmentiert)– 1. Fragment
IP – FragmentierungFragment Offset
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 45 -© Gerhard M. GlaserStand: 14.08.2008
Fragment 1 Fragment 3Fragment 2 Fragment 4 Fragment 5
X1
X2
X3
X4
0
IP – FragmentierungFragment Offset
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 46 -© Gerhard M. Glaser
MG G
MF0 DF
DF (Don’t Fragment): 0 = May Fragment1 = Don’t Fragment
MF (More Fragment): 0 = Last Fragment(letztes Fragment und Standard-Paket)
1 = More Fragment
IP - FragmentierungFlags
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 47 -© Gerhard M. Glaser
MG G
• Veränderte Felder im HeaderGesamtlängeFlags (MF)Fragment-OffsetIP-Header-PrüfsummeOptionen
IP - Fragmentierung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 48 -© Gerhard M. Glaser
MG G
• Identische Felder bei ReassemblierungZieladresseQuelladresseProtokoll-TypIdentifikation
IP – FragmentierungReassemblierung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 49 -© Gerhard M. Glaser
MG GIP -Fragm
entierung
ID:
Datenlänge:
Offset
More Flag:
122100600
ID:
Datenlänge:
Offset
More Flag:
122240301
ID:
Datenlänge:
Offset
More Flag:
12224001
Netz 2
MTU
= 240
ID:
Datenlänge:
Offset
More Flag:
12258000
Netz 1
MTU
= 1000
Hinw
eis: Fragment-O
ffset hat 8B
yte als Einheit!
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 50 -© Gerhard M. Glaser
MG G
IP - Fragmentierung
68
1024
128
512
1024
R
R
R
RR
R
R
RR
R
R
R
R
RR
R
R = Border-Router
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 51 -© Gerhard M. Glaser
MG G
Der Zusammenbau fragmentierterDatagrame (Reassemblierung)erfolgt nur beim Empfänger,
nie in einem Router!
MERKE:
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 52 -© Gerhard M. Glaser
MG G
• Bei falscher Routing-EntscheidungDatagrame wandern ziellos durchs NetzDatagrame kreisen unendlich
IP – LebenszeitProblem
Ressourcen werden vergeudet
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 53 -© Gerhard M. Glaser
MG G
• Einführung TTL-Feld (Time To Live)
Wert wird in/ von Sender gesetzt− maximal: 255− typisch: 64 (empfohlen)
32 (z.B. „MS Windows“)
Wert wird in jedem Router reduziert(typisch: „1“)
Bei Wert “0”, wird Paket „vernichtet“(= nicht weitergereicht)
IP – LebenszeitLösung des Problems
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 54 -© Gerhard M. Glaser
MG G
01 ICMP Internet Control Messsage Protocol04, 94 IP in IP capsulation06 TCP Transmission Control Protocol08 EGP Exterior Gateway Protocol09 IGP any private interior gateway protocol17 UDP User Datagram Protocol29 ISO-TP4 ISO-Transport-Protocol Class 450 ESP Encapsulating Security Payload (IPsec)51 AH Authentication Header (IPsec)88 IGRP Interior Gateway Routing Protocol (CISCO)
Ausgewählte IP-Protokollnummern
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 55 -© Gerhard M. Glaser
MG G
• Optionale ServicesSecurity (16 Security Level)Loose Source RoutingStrict Source RoutingRecord RouteStream IDInternet TimestampNo Operation („NOP“) End of Option List
IP - Optionen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 56 -© Gerhard M. Glaser
MG G
IP – Felder (Übersicht)Version 4 IP Version - z.Z. 4 (bzw. 6)
IHL 4 Internet Header Length: Länge des IP Headers(wg. Optionen) - meistens: 5 (Einheit: 32 Bit)
Service Type 8 "Priorisierung" des Datenverkehrs - meistens: 0Total Length 16 Gesamtlänge des IP Datagrams
Identifikation 16 Kennzeichnung für richtige Reassemblierung(nur bei Fragmentierung)
Flags 3 Hinweise für/ bei Fragmentierung (DF, MF)
Fragment Offset 15 Gibt Reihenfolge bei Fragmentierung/ Reassemblierung an
Time To Live (TTL) 8 Verhindert das endlose Kreisen eines Datagrams (empfohlener Wert: 64)
Protocol 8 Beschreibt Protokoll der Schicht 4 (z.B. 06 = TCP)IP Header Checksum 8 Stellt Fehler im IP Header festIP Addresse 2 x 32 Beschreibt Absender (Source) und Ziel (Destination)
Options variabel Für Übertragungsoptionen. Wird durch "Padding" auf volle 32 Bit-Länge gebracht (vgl. IHL)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 57 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 3
IP- Adressierung/IP-Subnetting
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 58 -© Gerhard M. Glaser
MG G
IP AdressenAufbau
198 . 71 . 191 . 1 dezimal1100 0110 0100 0111 1011 1111 0000 0001 dual
C6 : 47 : BF : 01 hex
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 59 -© Gerhard M. Glaser
MG G
Class A (Wert 0-127 = 128 Werte)
Class B (Wert 128-191 = 64 Werte)
Class C (Wert 192-223 = 32 Werte)
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Rechner-Adresse0 Netzwerk
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Rechner-Adresse1 0 Netzwerk
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Rechner-Adresse1 1 0 Netzwerk
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 60 -© Gerhard M. Glaser
MG G
Class D (Wert 224-239 = 16 Werte)
Class E (Wert 240-255 = 16 Werte)
Multicast-Adressen
undefiniertes Format
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
1 1 1 0
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
1 1 1 1
Adress-Klassen sind definiert in RFC 1020 bzw. 1166 (Juli 1990) [Internetnumbers]
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 61 -© Gerhard M. Glaser
MG G
224.0.0.0 Base Address (reserved)224.0.0.1 All Systems on this subnet224.0.0.2 All Routers on this subnet224.0.0.5 OSPF - All Routers224.0.0.9 RIP-2224.0.0.10 IGRP-Routers224.0.0.12 DHCP Relay
224.0.1.8 SUN NIS (‘Yellow Pages’)224.0.1.24 microsoft-ds
224.0.2.2 SUN RPC (NFS)
Ausgewählte IP-Multicast-Adressen
Hinweis: Die unteren 23 Bit werden auf die Ethernet-Multi-Cast-Adressen01:00:5e:00:00:00 bis 01:00:5e:7F:FF:FF gemappt (vgl. Folie 19)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 62 -© Gerhard M. Glaser
MG G
Adressen mit besonderer Bedeutung
127.x.x.x Local Host (127.0.0.1)
255 (im Host-Teil) All-One-Broadcast255.255.255.255 All Hosts on this net
0 (im Host-Teil) All-Zero-Broadcast (veraltet!)0 (im Netz-Teil) This Net
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 63 -© Gerhard M. Glaser
MG G
Private Adressen(nach RFC 1918)
10.0.0.0 - 10.255.255.255 ein Class A-Netz
172.16.0.0 - 172.31.255.255 16 Class B-Netze
192.168.0.0 - 192.168.255.255 256 Class C-Netze
vgl. auch: „Special-Use IPv4 Addresses“ (RFC 3330)z.B.:169.254.0.0 Link Local (falls DHCP nicht funktioniert)
vgl. „APIPA“ – Folie 237
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 64 -© Gerhard M. Glaser
MG G
IP - Adressen / - Subnetz-Masken
IP-Adresse
Subnetz-Maske 255.255.255.00011111111 11111111 11111111 00000000
198 . 71 . 191 . 11100 0110 0100 0111 1011 1111 0000 0001
C6 : 47 : BF : 01
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 65 -© Gerhard M. Glaser
MG G
IP - Subnetting mit erweiterter Subnetz-Maske
IP = IP-AdresseSN = Subnetz-Maske
IP 126.xxx.xxx.xxx 0111 1110.xxxx xxxx
SN 255.128.000.000 1111 1111.1000 0000
auch: 126.x.x.x/ 9
1. Octet 2. Octet
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 66 -© Gerhard M. Glaser
MG G
Subnetting Varianten
• RFC 950(altes/ ursprüngliches Verfahren: classful routing)
Unterstes und oberstes Netz können nicht genutzt werden„0“ = eigenes Subnetz„1“ = Broadcast-Adresse
2n-2 Subnetze
• RFC 1878(„Modern software will be able to utilize all definable networks“ - classless routing)
Unterstes und oberstes Netz können genutzt werden2n Subnetze
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 67 -© Gerhard M. Glaser
MG G
IP - SubnettingInterne Vorgehensweise des Rechners
1 Eigene Adresse
Eigene SN-Maske
Ergebnis A (eigenes Netz)
^2 Ziel Adresse
Eigene SN-Maske
Ergebnis B (Ziel-Netz)
^
Wenn A = B Destination in selbem NetzWenn A ≠ B Destination in anderem Netz
Anmerkung: ^ = logisches UND
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 68 -© Gerhard M. Glaser
MG G
Bei Subnetting kann die Default-Subnetzmaske kann nur in Richtung
mehr Netze modifiziert werden !
Gegenrichtung (weniger Netze) = Supernetting
MERKE:
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 69 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 4
IP über serielle Leitungen(SLIP, PPP, PPPoE)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 70 -© Gerhard M. Glaser
MG G
Serial Line IP (SLIP)RFC 1055
• keine Fehlererkennung/ -korrektur
• nur Punkt-zu-Punkt-Verbindungen
• keine AdressinformationenAdresse des Partners muss bekannt sein
• keine Protokollidentifikation (“Type-Field”)Keine Multiprotokollübertragung über eine Leitung möglich
• Daten werden in “Framing Characters” eingepacktEND: 192 ESC: 219ESC END: 219 220 ESC ESC: 219 221
• Kompression für TCP/IP-Header in RFC 1144 definiert
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 71 -© Gerhard M. Glaser
MG G
Point To Point Protocol (PPP)RFC 1661/ 1662 - STD 51
RFC 2153 (Vendor Extensions)
• Verbindungsaufbau auf Layer 2 (HDLC-basierend bzw. asynchron)
• Fehlerkorrektur
• Adressinformationenmultipointfähig (derzeit nicht genutzt)
• Protokoll-Feldmultiprotokollfähig (auf einer Leitung)
• feste maximale Paketlänge (1500 Byte)
• echte Datenkomprimierung (optional)
• Testen der Leitungsqualität (optional)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 72 -© Gerhard M. Glaser
MG G
Point To Point Protocol (PPP)Paketaufbau (synchron/ asynchron)
0111 1110 1111 1111 0000 0011 16 bit 0111 1110< 1500 Byte
Flag Address Control DATA(Information)
FCS FlagProtocol
16 bit
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 73 -© Gerhard M. Glaser
MG G
Point To Point Protocol (PPP)Ausgewählte Protokoll-Nummern
• 80-21 IP• 80-27 DECnet• 80-2B IPX• 80-3F Netbios• 80-57 IPv6• 80-FD Compression Control Protocol
• C0-21 Link Control Protocol• C0-23 Password Authentication Protocol• C0-25 Link Quality Report• C2-25 RSA Authentication Protocol
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 74 -© Gerhard M. Glaser
MG G
PPP over Ethernet(PPPoE)RFC 2516
• PPP-Pakete werden in Ethernet Pakete „eingepackt“• (Ethernet-) Typefields: 88-63 (Discovery Stage),
88-64 (Session Stage)• max. MTU: 1492 (PPPoE-Header + PPP-Protocol-ID)
• zweistufiges Konzept:Server-Suche/ Server-Auswahl (Discovery-Stage)„stateless“ bis zum Aufbau einer PPP-VerbindungVerbindungsaufbau (Session Stage)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 75 -© Gerhard M. Glaser
MG G
PPP over Ethernet (PPPoE)
Paketaufbau (Session Stage)
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Session IDCode00-00
Version01
Type01
Length
Data
PPP Protocol*)
*) = C0-21 (Link Control Protocol)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 76 -© Gerhard M. Glaser
MG G
Kapitel 5
IP Next Generation (IPng)IP Version 6 (IPv6)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 77 -© Gerhard M. Glaser
MG G
IPv6 - Neuer Adressbereich
• Adressbereich: 128 Bit (16 Byte)[vgl.: IPv4: 32 Bit (4 Byte)]
3,4 * 1038 Adressentheoretisch:
6,66*1023 (genau: 665.570.793.348.866.943.898.599 Adressen/ m2)
666 Billiarden Adressen/ mm2
6,5*1028 Adressen pro Mensch
praktisch (worst case):ca. 1000 Adressen/ m2
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 78 -© Gerhard M. Glaser
MG G
IPv6 - Neue Eigenschaften
• Reduzierung des Header-Overheads durch Weglassen nicht benötigter Felder
• Erweiterungs-Header (optional)
• Keine Fragmentierung in Routernminimale Transportgröße: 1280 Byte/ „Path MTU Discovery“-Funktion
• Security-Features (Authentifizierung, Verschlüsselung)• Priorisierung/ Realtime-Fähigkeiten („Traffic Class“/ “Flow Label”)• Nutzdatenanzeige (“Payloadlength”)• “Jumbo-Payload”- Feld (> 65535 Byte) • automatische Systemkonfiguration („Neighbor Discovery“)• Mobile IP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 79 -© Gerhard M. Glaser
MG G
Veränderungen im IPv6-Header (zu IPv4)
IHL
Feld entfällt ersatzlos
Feld bekommt anderen Namen/ Bedeutung
Total LengthService TypeVersion IHL
Fragment OffsetIdentifikation Flags
Time to Live Protocoll IP Header Checksum
Fragmentierung
IP Header ChecksumProtocol
TOS0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 80 -© Gerhard M. Glaser
MG G
IPv6 Basis Header(Ausschnitt - ohne „Destination Address“)
Total LengthService TypeVersion IHL
Fragment OffsetIdentifikation Flags
Time to Live Protocoll IP Header Checksum
IP Source Adresse
IP Destination Adresse
Options Padding
Version Flow-Label
Payload Length
Traffic Class
Next Header Hop Limit
Source Address
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 81 -© Gerhard M. Glaser
MG G
IPv6 - Erweiterungs-Header
• Routing Header (Source Route) - Next Header = 43• Fragmentation Header (nur Host) - Next Header = 44• Authentication Header - Next Header = 51• ESP-Header - Next Header = 50
IPv6 Headernext Header =
TCP
TCP-Header +Nutzdaten IP Standard-Datagram
IPv6 Headernext Header =
Routing
Routing H.next Header =
Fragment
Fragment H.next Header =
TCP
TCP-Header +Nutzdaten(Fragment)
IP Datagrame mit verschiedenen
Headern
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 82 -© Gerhard M. Glaser
MG G
IPv6 - Adressschema und Adressarten
• Präfix (3 Bit)• öffentlicher Bereich (45 Bit)• lokaler Bereich (80 Bit)
• ‘Anycast Address’ („Mehrfach-“Adresse)• keine Broadcast Adressen
(nur Multicast Adressen)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 83 -© Gerhard M. Glaser
MG G
IPv6 Adress-Aufteilung
FP Format Prefix (001)
TLA Top Level Aggregator (Public Transport Topology)
NLA Next Level Aggregator (Provider)
SLA Site Level Aggregator (Subnet)
Local (inkl. Interface [48 Bit])
13 16 Bit32 Bit3 64 Bit
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 84 -© Gerhard M. Glaser
MG G
IPv6 - RFCs• RFC 1881 Address Allocation Management• RFC 1883 Specification ( RFC 2460 - DRAFT) • RFC 1884 Addressing ( RFC 2373) • RFC 1887 Address Allocation• RFC 1897 Testing Address Allocation ( RFC 2471) • RFC 1825 Security Architecture ( RFC 4301)• RFC 1826 IP Authentication Header ( RFC 4302)• RFC 1827 IP Encapsulation Security Payload ( RFC 4303)• RFC 1828 IP Authentication Using Keyed MD5• RFC 1829 The ESP DES-CBC Transform
• RFC 4301 - 4309: IPsec (vgl. IPsec)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 85 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 6
Address Resolution Protocol(ARP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 86 -© Gerhard M. Glaser
MG G
Adress Resolution Protocol(ARP)
RFC 826 - STD 37
• Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)• (Ethernet-) Typefield: 08-06 • keine offizielle Definition in 802.2 (DSAP/ SSAP)• Datagram-Service• Adress-Zuordnung Ebene 3 Ebene 2
(IP MAC)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 87 -© Gerhard M. Glaser
MG G
ARP – Request (schematisch)
Broadcast: “Wer kennt die MAC-Adresse von GRÜN?”
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 88 -© Gerhard M. Glaser
MG G
ARP – Standard-Response (schematisch)
Gerichtete Antwort (Unicast):“Hier ist die gesuchte (meine) MAC- Adresse”
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 89 -© Gerhard M. Glaser
MG G
ARP - Ablaufdiagramm
Kommunikation sollhergestellt werden
Timeout
ARP-Responseerhalten?
JaJa
Nein
Nein
MAC-Adressebekannt?
ARP Request
Kommunikation findet statt(IP Pakete werden gesendet)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 90 -© Gerhard M. GlaserStand: 14.08.2008
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
48 Bit Destination-Hardware-Adresse
48 Bit Source Hardware-Adresse
Ethernet Typ Feld
Hardware Typ Protokoll Typ
HW-Länge SW-Länge Option Code
48 Bit Source Hardware-Adresse
48 Bit Destination Target Adresse / Destination
IP Target Adresse / Destination
Ethe
rnet
-Hea
der
APR
-Hea
der
IP Source-Adresse
Hardware Target-/ Destination Adresse
ARP - Datenformat
IP Target-/ Destination Adresse
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 91 -© Gerhard M. Glaser
MG G
ARP - Hardware Typ
Netztyp Bezeichnung
1 Ethernet (10 Mbit/s)2 Experimental Ethernet (3Mbit)3 Amateur Radio4 Proteon Token Ring5 Chaos Net6 IEEE 802 Networks7 ARCnet
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 92 -© Gerhard M. Glaser
MG G
ARP - Protokoll Typ(vgl. Ethernet “Type-Field”)
Wert (hex) Bezeichnung
0600 XNS
0800 IP
0806 ARP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 93 -© Gerhard M. Glaser
MG G
ARP - Felder
• Hardware-LängeDefiniert Länge der Hardware-Adresse (Ethernet = 6 Byte)
• Software-LängeDefiniert Länge der Protokoll-Adresse (IP = 4 Byte)
• Option Code1 = ARP Request2 = ARP Reply
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 94 -© Gerhard M. Glaser
MG G
ARP - Adressfelder
• Hardware-Source-AdresseMAC Adresse des Senders
• Protokoll-(IP)-Source-AdresseIP-Adresse des Senders
• Hardware-Target-/Destination-AdresseMAC Adresse des Empfängers/ Ziels
• Protokoll-(IP)-Target-/Destination-AdresseIP-Adresse des Empfängers/ Ziels
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 95 -© Gerhard M. Glaser
MG G
ARP – Response von „ARP-Server“ (schematisch)
Unicast: “Hier ist die gesuchte MAC-Adresse”Unicast: “Hier ist die gesuchte (meine) MAC -Adresse”
ARP-Server
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 96 -© Gerhard M. Glaser
MG G
ARP - Befehl
• arp -aARP-Cache anzeigen
• arp -s <IP-Adr.> <HW-Adr.>Zuordnung IP-Adr./ MAC-Adresse
• arp -s <IP-Adr.> <HW-Adr.> PUBzugeordnete MAC-Adresse wird als ARP-Response gesendet(„ARP-Server“)
• arp -d <IP-Adr.> Eintrag wird gelöscht
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 97 -© Gerhard M. Glaser
MG G
Gratuitous ARP
• Host schickt eine Anfrage mit eigener IP-Adresse(als Target-Adresse) unaufgefordert ins Netz
Feststellung ob eigene IP-Adresse mehrfach vorhanden istUpdate der ARP-Tabellen in den anderen Rechnern
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 98 -© Gerhard M. Glaser
MG G
Reverse Address Resolution Protocol(RARP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 99 -© Gerhard M. Glaser
MG G
Reverse Address Resolution Protocol(RARP)
RFC 903 - STD 38
• Darunter liegende Schicht: Data-Link-Layer (z.B. Ethernet, TR)
• (Ethernet-) Type-Field: 80-35• keine 802.2-Definition (DSSAP/ SSAP)• Zuordnung Ebene 2 Ebene 3 (MAC-Adresse IP-Adresse)• Aufbau wie ARP-Paket
Ausnahme: Option Code3 = RARP Request4 = RARP Reply
♦ Funktionalität heute i.a. durch BootP abgedeckt
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 100 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 7
IP - Routing
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 101 -© Gerhard M. Glaser
MG G
Routing auf Backbone
R 1
R 2
A’ B’
ZeitpunktData Link Layer
Sender EmpfängerNetwork Layer
Sender Empfänger
t1
t2
t3
A
R1
R2
R1
R2
B
A
A
A
B
B
B
A B
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 102 -© Gerhard M. Glaser
MG G
Beim Einsatz von Routern geht die Transparenz auf Layer 2 vollständig
verloren !
MERKE:
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 103 -© Gerhard M. Glaser
MG G
Router 1
Router 3
Routing in vermaschtem Netz
Netz 126
126.2.2.1
Router 2126.1.1.1
50.1.1.1
50.1.1.2
1.1.1.2
126.1.1.2
1.1.1.1
Netz 50
Netz 1
1.1.2.1
A
B
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 104 -© Gerhard M. Glaser
MG G
Routing - Verfahren
• statisches Routing• dynamisches Routing• default Routing
IP-Optionen
• Source-RouteLoose Source-RouteStrict Source-Route
• Record Route
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 105 -© Gerhard M. Glaser
MG G
Ein IP-Router hat keine Geräte-Adresse, sondern nur seine Schnittstellen(karten) zu den
angeschlossenen Netzen!
und
Diese muss aus demselben Adressbereich stammen wie die Adressen der angeschlossenen, zu
routenden Rechner !
MERKE:
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 106 -© Gerhard M. Glaser
MG G
Proxy ARP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 107 -© Gerhard M. Glaser
MG G
• Programm/ Prozess auf Router(kein Protokoll!)
• Leitet ARP-Anfragen an Routing-Tabelle weiter
• Erspart Routing-Einträge auf Hosts
• Belastet Router(zusätzliche ARP-Bearbeitung)
Proxy ARP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 108 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 8
Internet Control Message Protocol(ICMP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 109 -© Gerhard M. Glaser
MG G
Internet Control Message Protocol(ICMP)
RFC 792 - STD 5• Darunter liegende Schicht: Internet Schicht (IP)
• IP-Protokoll-Nr.: 01
• dient dem Informationsaustausch der Endgeräte über den aktuellen Status der Ebene 3 (IP)
• Unterschiedliche Paket-VariantenError-Pakete:Fehlermeldung, Header und die ersten 64 Bit des den Fehler verursachenden Paketes.Info-Meldungen/ Pakete:Request-/ Response-Verfahren
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 110 -© Gerhard M. Glaser
MG G
ICMP- Fehlermeldungen
• Destination Unreachable• Redirect Message• Source Quench• Time Exceeded• Parameter Problem
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 111 -© Gerhard M. Glaser
MG G
ICMP - Destination Unreachable-Meldung(Auswahl)
• Net/ Host Unreachable Router• Communication with Destination Network/ Router
Host is Administratively Prohibited• Destination Network/ Host Unreachable for Router
Type of Service• Fragmentation Needed and DF Set Router• Source-Route Failed Router
• Protocol/ Port Unreachable Host
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 112 -© Gerhard M. Glaser
MG G
ICMP- Info-Meldungen
• Echo• Information• Timestamp• Address Mask• Trace Route
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 113 -© Gerhard M. Glaser
MG G
IP / ICMP “Trace-Route”„Klassische“ Methode
Absender
Absender
Absender
Absender
Router 1
Router 2
Router n
Empfänger/ Ziel
IP-Paket mit TTL = 1, 2, ..., nICMP Error (n-Mal)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 114 -© Gerhard M. Glaser
MG G
Trace Route in dynamischen Netzwerken
R8 R10R5
R6
R11
R9 R12
R4
R3
R7
R2
R1
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 115 -© Gerhard M. Glaser
MG G
IP/ ICMP “Trace-Route”Neue Methode
Absender
IP-Paket “Trace Route” (OHC wird incrementiert)ICMP-Message “Trace Route” (1, 2, ..., n) (RHC wird incrementiert)
Router 1 ZielRouter 2 Router n
OHC = Outbound Hop CountRHC = Return Hop Count
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 116 -© Gerhard M. Glaser
MG G
Code
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
ChecksumType
unused
Internet Header + 64 bits of Original Data Datagram
Code
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
ChecksumType
Sequence Number
Data . . .
Destination Unreachable Message
Identifier
Code
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
ChecksumType
Gateway Internet Adress
Internet Header + 64 bits of Original Data Datagram
Redirect Message
Echo or Echo Reply Message (“Ping”)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 117 -© Gerhard M. Glaser
MG G
ICMP - MessagesType Numbers (Auswahl)
00 Echo Reply02 Destination Unreachable04 Source Quench05 Redirect08 Echo Request11 Time Exceed12 Parameter Problem30 Traceroute
37 - 255 “reserved”
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 118 -© Gerhard M. Glaser
MG G
Kapitel 9
Routing Protokolle
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 119 -© Gerhard M. Glaser
MG G
*) EGP: RFC 877, RFC 904
Arten von Routing Protokollen
EGP*)-BereichIGP-Bereich IGP-Bereich
IGP-Bereich
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 120 -© Gerhard M. GlaserStand: 14.08.2008
Routing Information Protocol(RIP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 121 -© Gerhard M. Glaser
MG G
• kein MIL-Standard• Darunter liegende Schicht: Transport Schicht (UDP)• UDP-Port: 520• Ursprung: XNS-Protokoll-Familie• Bestandteil des BSD 4.3-UNIX
(routed-Daemon)• Klasse: Distance-Vektor-Protokolle
(Bellman-Ford-Algorithmus)
Routing Information Protocol(RIP)
RFC 1058 - STD 34
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 122 -© Gerhard M. Glaser
MG G
RIP - Paketaufbau0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
unusedCommand (1)
Adress Family Identifier (2)
IP Adress (4)
Metric (4)
Adress Family Identifier (2)
Version (1)
unused
unused
unused
unused
IP Address (4)
Address Family Identifier (2)
Address Family Identifier (2)
IP Address (4)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 123 -© Gerhard M. Glaser
MG G
RIP - Paketaufbau Bedeutung der Felder
• Command Feld: 1 = Request 2 = Response
• Address Family Identifier: 2 = IP• IP-Adress: Ziel-Netz bzw. -Rechner• Metric (=Hops): Entfernung bis Ziel
(Länge: 4 Bit = max. 15 Hops)• Länge des Paketes: max. 512 Byte
(~ 25 Info-Felder)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 124 -© Gerhard M. Glaser
MG G
Regelmäßige Routing-Updates (alle 30 sec)
Überprüfen, obneue “Metric” < alte “Metric”
⇒ JA: Wert übernehmen - Update des Eintrags beendet⇒ NEIN: Wert beibehalten und
Überprüfen, ob Routing-Update von dem Router kam, der den letzten Eintrag erstellt hat⇒ JA: Wert auf jeden Fall übernehmen (auch wenn größer)
Update des Eintrags beendet ⇒ NEIN: Update des Eintrags beendet
RIPRouting Tabelle/ Routing Updates
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 125 -© Gerhard M. Glaser
MG G
Split Horizon
• Verhindert Rückrouten (reverse route)Updates, die über eine bestimmte Schnittstelle gesendet werden, berichten nicht über Routen, die über diese Schnittstelle gelernt wurdenUpdates, die über eine bestimmte Schnittstelle gesendet werden kennzeichnen jedes über diese Schnittstelle erlernte Netzwerk als nicht erreichbar(Split Horizon with poisoned reverse)spart Ressourcenverhindert Routing-Schleifen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 126 -© Gerhard M. Glaser
MG G
Classful Routingnach RFC 950
• Subnetzmasken werden nicht mit der Ziel-Adresse verbreitet
Zieladresse befindet sich direkt in dem mit dem Router verbundenen Netzwerk:
Subnetzmaske der NIC wird verwendet
Zieladresse befindet sich in „Remote-Netzwerk“:Default-Subnetzmaske wird verwendet
Unterstes und oberstes Subnetz - alles „0“ (Hauptnetz-Netzwerknummer) bzw. alles „1“ (Broadcast des Hauptnetzes) - können nicht genutzt werden
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 127 -© Gerhard M. Glaser
MG G
= RIP v.1-Feld = neues Feld (RIP-2)
RIP-2 (STD 56)Paketaufbau
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
unusedCommand (1)
Adress Family Identifier (2)
IP Adress (4)
Metric (4)
Version (1)
Route Tag (2)
Subnet Mask (4)
Next Hop (4)
Address Family Identifier (2)
IP Address (4)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 128 -© Gerhard M. GlaserStand: 14.08.2008
Open Shortest Path First(OSPF)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 129 -© Gerhard M. Glaser
MG G
Open Shortest Path First (Version 2)OSPF 2
RFC 2328 - STD 54
• Erweiterung von OSPF (RFC 1131)
• Darunter liegende Schicht: Internet Schicht (IP)
• IP-Protokoll-Nr.: 89
• Familie: Interior Gateway Protokolle (IGP)
• Klasse: Link State Protokolle
• Virtuelle Topologie (Autonomous System = AS)alle Router haben identische Datenbank
• Dynamisches Routing Protokoll
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 130 -© Gerhard M. Glaser
MG G
OSPF 2 - Eigenschaften/ Funktionalitäten
• Routing-Updates nur bei Topologieänderungen
• Routing-Updates über IP-Multicasts
• Jeder Router berechnet (s)einen Baum (mit sich selbst als Root)
• Unterschiedliche Routen je nach Type Of Service
• Load-Balancing bei Routen mit gleichen “cost”
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 131 -© Gerhard M. Glaser
MG G
OSPF 2Areas
• Bildung von “Areas” möglich (Topologie wird verborgen)Reduzierung des Routing-VerkehrsRouting innerhalb der Area nur durch Topologie derArea selbst bestimmtunterschiedliche Topologie-DBs innerhalb eines AS
• Authentifizierung (“Trusted Router”) innerhalb eines AS durch “Router-Id”
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 132 -© Gerhard M. Glaser
MG G
Routingtabellen im Internet(Kennzahlen)
• 2005: 150.000 – 175.000• 2006: 200.000• 2011: 370.000 (geschätzt)
• 2020: 2. Mio. (möglich/ befürchtet)
• Belegter Speicherplatz heute: mind. 10 MB/ Router• IPv6 verschärft die Probleme:
Verdopplung der Einträge pro Rechner
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 133 -© Gerhard M. Glaser
MG G
EinschubNicht routbare Protokolle
• Besitzen keine Adressierungsfunktion auf Layer 3• Adressierung von Netzwerken nicht möglich• Vertreter:
– NetBIOS/ NetBEUI (NetBIOS Extended User Interface)– DEC LAT– DLC
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 134 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 10
Transmission Control Protocol(TCP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 135 -© Gerhard M. Glaser
MG G
Transmission Control Protocol(TCP)
RFC 793 - STD 7 - MIL-Std. 1778
• Darunter liegende Schicht: Internet Schicht (IP)
• IP-Protokoll-Nr.: 06
• Überträgt „Segmente“
• fehlergesicherte, zuverlässige Transport-Verbindung(Ende zu Ende Kontrolle)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 136 -© Gerhard M. Glaser
MG G
TCP - Eigenschaften
• Multiplexing
• Ende zu Ende Kontrolle
• Verbindungsmanagement („Three-Way-Handshake“)
• Flusskontrolle („Sliding-Window-Mechanism“)
• Zeitüberwachung
• Fehlerbehandlung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 137 -© Gerhard M. Glaser
MG G
TCP - Header
URG
FIN
ACK
PSH
RST
SYN
0 1 2 3 5 6 7 8 94 0 3 5 6 7 8 94 0 10 1 2 3
Destination PortSource Port
Acknowledge Number
DataOffset
Options Padding
Reserved Window Size
Urgent PointerChecksum
Data
1 2 3 5 6 7 8 94 0 1 2
Sequence Number
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 138 -© Gerhard M. Glaser
MG G
TCP - Multiplexmechanismus (1)
• PortZuordnung der Pakete zur nächsthöheren Ebene
• Socket Eindeutige Adressierung einer TCP-Verbindung(IP-Adresse + Port-Nr. – z.B. 141.6.1.16:23)
• Well Known Port/ Socket(Registrierte) Port-Nr. für (Standard-)Applikationen z. B. FTP: 21/ 20
TELNET: 23SMTP: 25(vgl. „services“-Dateien)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 139 -© Gerhard M. Glaser
MG G
TCP - Well-Known-Ports (Auswahl)
20 FTP-Data21 FTP (Steuerleitung)23 TELNET25 SMTP (Simple Mail Transfer Protocol)43 nicname (Who Is)53 domain (DNS)66 sql*net (Oracle SQL*NET)67/68 BOOTP (Server/Client)70 gopher80 WWW-HTTP110 POP3111 sunrpc (“NFS” - SUN Remote Procedure Calls)137/ 138/ 139 netbios (name-/ datagram-/ session service)161/ 162 SNMP (SNMP/ SNMP-Trap)443 https512/ 514 exec/ cmd (rexec/ rsh)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 140 -© Gerhard M. Glaser
MG G
TCP - Well-Known-Ports (Auswahl) Besonderheiten
513/ tcp login (rlogin; nur TCP-Port!)513/ udp who (rwho/ ruptime; nur UDP-Port!))
ab 1024: „High-Ports“1352 Lotus Notes1416 Novell LU 6.21525 orasrv (Oracle)1527 tlisrv ( “ )1529 coauthor ( “ )
1986-1999 cisco (u.a. licensemanager, snmp-rcp-port) 1989 mshnet (MHSnet system)
2784 www-dev (world wide web - development)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 141 -© Gerhard M. Glaser
MG G
TCP - Multiplexmechanismus (2)
21 / 2017 2018 / 21 2512 / 23
2017 / 23
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 142 -© Gerhard M. Glaser
MG G
TCP - Verbindungsaufbau(Three-Way-Handshake)
A(Client)
B(Server)
Verbindungsaufbauwunsch (SYN = 1)Sequenz-Nr. = I
Bestätigung + Verbindungsaufbauwunsch (ACK = 1, SYN = 1)ACK-Nr. = I + 1 Sequenz-Nr. = J
Bestätigung (ACK = 1)ACK-Nr. = J + 1 Sequenz-Nr. = I + 1Datenübertragung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 143 -© Gerhard M. Glaser
MG G
• gesicherter Abbau (Three-Way-Handshake)
• Vor Abbau der Verbindung werden alle Daten übermittelt(„Fin-Wait-Status“)
• nach Wartezeit wird die Verbindung abgebaut
TCP - Verbindungsabbau
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 144 -© Gerhard M. Glaser
MG G
TCP – Verbindungsabbau(Three-Way-Handshake)
A BVerbindungsabbauwunsch (FIN = 1, ACK = 1)
Bestätigung (ACK = 1)Window-Size = 0
Verbindung abgebaut (ACK = 1)
Verbindungsabbauwunsch (FIN = 1, ACK = 1)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 145 -© Gerhard M. Glaser
MG G
TCP - Flags (SYN, ACK)
URG
ACK
PSH
RST
SYN
FIN
SYN für Verbindungsaufbau (synchronisiert) werden sollACK bestätigt den Empfang von Daten (acknowledge)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 146 -© Gerhard M. Glaser
MG G
TCP - Flags (RST, FIN)
URG
ACK
PSH
RST
SYN
FIN
RST bei ungültigen Paketfolgen/ Flags (reset) FIN für Verbindungsabbau (final)
Pendant zum SYN-Flag beim Verbindungsaufbau
- 152 -
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 147 -© Gerhard M. Glaser
MG G
Senden von RST-Flag(vgl. RFC 793 – S. 36f)
• RST muss gesendet werden, wenn ein Segment offensichtlich nicht zu einer existierenden Verbindung gehört– Bei nicht existierenden (CLOSED) Verbindungen– Bei Bestätigung (ACK) eines (noch) nicht gesendeten Segments
• RST darf nicht gesendet werden, wenn nicht klar ist, ob Segment zu einer existierenden Verbindung gehört(kein Paket wird gesendet)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 148 -© Gerhard M. Glaser
MG G
TCP - Flags (PSH, URG)
URG
ACK
PSH
RST
SYN
FIN
PSH Daten müssen bei Empfänger sofort an die höhere Schicht weitergereicht (push)
URG “Urgent-Pointer” muss berücksichtigt werden(„Urgent-Pointer“ kennzeichnet das Ende von Vorrangsdaten)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 149 -© Gerhard M. Glaser
MG G
Problem:• Segmente werden schneller gesendet, als sie der
Empfänger verarbeiten kannankommende Segmente werden verworfenSendewiederholungen
schlechte PerformanceSender und Empfänger werden belastet
Lösung:• Sliding-Window-Mechanismus:
Empfänger teilt Sender mit, wie viele Segmente er (noch) aufnehmen kann
TCP - Flusssteuerung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 150 -© Gerhard M. Glaser
MG G
TCP Slow Start/ Congestion ControlBeschreibung
• Erhöhung der Übertragungsgeschwindigkeit während einer Verbindung
Verdopplung der MSS pro RTTAb Slow-Start-Threshholds –nur noch Erhöhung um 1 MSS
• Beginnt neu bei jedem ErrorSlow-Start-Threshold wird halbiert
• FTP schneller als HTTP
• http://www-vs.informatik.uni-ulm.de/teach/ws06/rn1/TCPVerstopfungskontrolle.pdf
MSS = Maximum Seqment Size(MSS ≤ MTU - 40 Bytes)
RTT = Round Trip Time
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 151 -© Gerhard M. Glaser
MG G
TCP Slow Start/ Congestion Control (Grafik)
0
5
10
15
20
25
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
RTT (Round Trip Time)
Con
gest
ion
Win
dow
s Si
ze(in
Seg
men
ten)
timeout
ssthres
ssthres
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 152 -© Gerhard M. Glaser
MG G
TCP Slow Start/ Congestion Control (Ablauf)Sender Empfänger
t t
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 153 -© Gerhard M. Glaser
MG G
• Transport-Probleme:Segmente werden
zerstört (gehen verloren)verfälscht (defekte Pakete)durcheinander gebracht (falsche Reihenfolge)verzögertdupliziert
TCP - Verbindungsmanagement
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 154 -© Gerhard M. Glaser
MG G
• Sendewiederholung, falls Segment:beschädigt ist(wird vom Empfänger vernichtet)bereits „unterwegs“ verloren
• TCP arbeitet mit dem sog. PAR - Mechanismus(Positive Acknowledgement with Retransmission)
ACK n+1alle Daten bis zur Sequenznummer “n” werden bestätigt(als nächstes wird das Segment n+1 erwartet)
TCP – Sendewiederholung („Retransmit“)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 155 -© Gerhard M. Glaser
MG G
• Segment wird wiederholt, wenn der Retransmission Timer vor Eintreffen der Empfangsbestätigung abläuft
• ProblemAnfangswert zu niedrig:zu viele Sendewiederholungen (Duplikate!)Anfangswert zu hoch:verlorenes Segment wird zu spät wiederholt
TCP - Retransmission Timer
TCP-Spezifikationen schreiben einen dynamischenRetransmission Timer vor (RFC 2988)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 156 -© Gerhard M. Glaser
MG G
TCP - Retransmission Timer
• Basis Algorithmus (Begriffe) - nach RFC 2988 (Nov. 2000)
– Retransmission Timeout (RTO)– Round-Trip Time (RTT)– Smoothed Round-Trip Time (SRTT) [= gemittelte RTT]– Round-Trip Time Variation (RTTVAR) [= Abweichung]
– Anfangswert des RTO zwischen 2,5 sec und 3 sec– danach:
RTO < SRTT + 4*RTTVAR
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 157 -© Gerhard M. Glaser
MG G
• Empfänger kann Original und Duplikat nicht voneinander unterscheiden
• Empfänger nimmt an, dass Bestätigung verloren gegangen ist und bestätigt erneut
• Sender ignoriert, wenn Segmente mehrmals bestätigt werden
• Duplikate nach dem Verbindungsabbau werden ignoriert
TCP - Duplikatbehandlung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 158 -© Gerhard M. Glaser
MG G
Wichtige TCP - Timer
• Retransmission Timernach Ablauf werden Daten neu geschickt
• Give Up Timermax. Zeit, die der Sender bis zur Bestätigung seiner Pakete wartet
• Reconnection Timermin. Zeit zwischen Abbau und Aufbau einer Verbindung
• Retransmit-Syn Timermin. Zeit zwischen erfolglosem Verbindungsaufbau und erneutemConnection Request
• Window Timermax. Zeit zur Umstellung der Window-Size
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 159 -© Gerhard M. Glaser
MG G
TCP – Felder (Übersicht)
-
Bezeichnung Länge in Bit Aufgabe/ Beschreibung
Source Port 16 Nr. des AbsenderportsDestination Port 16 Nr. des Zielports (in Richtung Server: Applikation)Sequence Number 32 Byte-Zähler - weist auf das 1. Byte im PaketAcknowledge Number 32 weist auf das nächste Byte, das empfangen werden kannData Offset 4 Definiert den Beginn der Daten (Einheit: 32 Bit)Reserved 6 (noch) nicht definiert - muss den Wert "0" habenFlags 6 steuern die VerbindungWindow Size 16 Anzahl der Byte, die der Empfänger entgegen nehmen kannChecksum 16 sichert Header und DatenUrgent Pointer 16 zeigt das Ende der "urgent" Daten anOptions variabel wird durch "Padding" auf 32 Bit-Länge gebracht
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 160 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 11
User Datagram Protocol(UDP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 161 -© Gerhard M. Glaser
MG G
UDP - Header
ChecksumLength
0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3
Destination PortSource Port
Data
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 162 -© Gerhard M. Glaser
MG G
User Datagram Protocol(UDP)
RFC 768 - STD 6
• Kein MIL-Standard
• Darunter liegende Schicht: Internet Schicht (IP)
• IP-Protokoll-Nr.: 17
• Datagram Service(keine Verbindungen)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 163 -© Gerhard M. Glaser
MG G
• Transport Protokoll ohne “Ende zu Ende Kontrolle“
Kein Verbindungsmanagement (keine aktiven Verbindungen!)
Keine Flusskontrolle
Kein Mulitplexmechanismus
Keine Zeitüberwachung
Keine Fehlerbehandlung
UDP - Eigenschaften
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 164 -© Gerhard M. Glaser
MG G
Dienste auf UDP
Dienst UDP-Portnummer
IEN 116 42DNS (Ressolve) 53
RIP 520
BootP 67, 68TFTP 69
sunrpc (NFS) 111
SNMP/ SNMP-TRAP 161, 162
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 165 -© Gerhard M. Glaser
MG G
Vergleich der Layer-4-Protokolle TCP und UDP
Eigenschaft TCP UDP
Ende zu Ende Kontrolle ja neinZeitüberwachung der Verbindung ja neinFlow-Control (über das Netz) ja neinReihenfolgerichtige Übertragung ja neinErkennung von Duplikaten ja neinFehlererkennung ja einstellbarFehlerbehebung ja neinAdressierung der höheren Schichten ja jaThree-Way-Handshake ja neinGröße des Headers 20 - 60 Byte 8 ByteGeschwindigkeit langsam schnellBelastung der Systemressourcen normal gering
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 166 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 12
Teletype Network(TELNET)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 167 -© Gerhard M. Glaser
MG G
TELNETRFC 854 - STD 8 - MIL-Standard 1782
• Darunter liegende Schicht: Transport Schicht (TCP)
• TCP/UDP Port-Nr.: 23
• Remote Login-Dienst
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 168 -© Gerhard M. Glaser
MG G
• Vielzahl von Terminal-Typen
• Verschiedene Rechner- und Terminal-Hersteller
• Unterschiedliche Übertragungseigenschaften
TELNET - Problematik
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 169 -© Gerhard M. Glaser
MG G
TELNET – Arbeitsweise(Lösung des Problems)
• Drei Funktionsgruppen:Network Virtual Terminal (NVT)TELNET-KommandosOptionen
• Kein eigener Protokoll-HeaderSteuerzeichen werden im Datenstrom verpacktInterpret As Command (IAC) (= Hex FF)wird den Kommandodaten unmittelbar vorangestellt
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 170 -© Gerhard M. Glaser
MG G
TELNET - Network Virtual Terminal (NVT)
• Fiktive Ein-/Ausgabe-Einheit mit bekannten Eigenschaften• “Drucker” zur Anzeige von Ausgabedaten• Tastatur zur Dateneingabe• 7 Bit ASCII in 8 Bit Wort (default) • Unbegrenzte Zeilen- und Seitenlänge• Steuerfunktionen• “Drucker” für Steuerzeichen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 171 -© Gerhard M. Glaser
MG G
TELNET - Network Virtual Terminal (Modell)
I/O-Steuerung
Telnet Client
TCP
IP
Netz-Zugang
Anwendung
Telnet Server
TCP
IP
Netz-Zugang
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 172 -© Gerhard M. Glaser
MG G
TELNET - Lokale Kommandos
• Lokale Kommandos werden nicht über das Netz übertragen
Erase Character: Löscht letztes eingegebenes ZeichenErase Line: Löscht letzte Eingabezeile
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 173 -© Gerhard M. Glaser
MG G
TELNET - Remote-Kommandos (Auswahl)
• Remote-Kommandos werden durch vorgestelltes <IAC> übertragen
Interrupt Process: Bewirkt den Abbruch des laufenden(dez. 244) TELNET-Prozesses. Erzwingt Abbau
der bestehenden Verbindung Abort Output: Datenausgabe wird abgebrochen.(dez. 245) Prozess bleibt bestehenAre You There: Überprüft Prozess-Prozess-(dez. 246) Kommunikation. Bewirkt SignalBreak: (dez. 243) Darstellung der Break-TasteGo Ahead: Signal zum Richtungswechsel bei(dez. 249) Halbduplex-Übertragung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 174 -© Gerhard M. Glaser
MG G
TELNET - Aushandeln von Optionen
• Regeln:
Aufforderung zum Einschalten kann zurückgewiesen werden
Aufforderung zum Ausschalten von Optionen mussakzeptiert werden
Es dürfen nie Optionen ausgehandelt werden, die sichbereits in der gewünschten Stellung befinden
Optionen werden erst nach Bestätigung gültig
Optionen treten unmittelbar nach der Bestätigung in Kraft
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 175 -© Gerhard M. Glaser
MG G
TELNET - Aushandeln von OptionenBefehle
• WILL Der Sender zeigt an, dass er eine Option einschalten möchteAntwort: DO oder DONT
• WONT Der Sender zeigt an, dass er eine Option ausschalten möchteAntwort: DONT
• DO Der Sender zeigt an, dass der Empfänger eine Option einschaltensollAntwort: WILL oder WONT
• DONT Der Sender zeigt an, dass der Empfänger eine Option ausschaltensollAntwort: WONT
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 176 -© Gerhard M. Glaser
MG G
TELNET - Optionen
• Extended ASCII (dez. 17) (RFC 698)
• Binary Transmit (dez. 0) (RFC 856)
• (local) Echo (dez. 1) (RFC 857)
• Suppress GA (dez. 3) (RFC 858)
• Terminal Speed (dez. 32) (RFC 1079)
• Terminal Type, X.3 PAD (dez. 24) (RFC 1091)
• Extended Options List (dez. 255) (RFC 861)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 177 -© Gerhard M. Glaser
MG G
TELNET - Terminal-Typen(aus „Assigned Numbers“ - Auswahl)
DEC-DECWRITER-IDEC-DECWRITER-IIDEC-GIGIDEC-GT40DEC-GT40ADEC-GT42DEC-LA120DEC-LA30DEC-LA36DEC-LA38DEC-VT05DEC-VT100DEC-VT101DEC-VT102DEC-VT125DEC-VT131DEC-VT132DEC-VT200DEC-VT220DEC-VT240DEC-VT241DEC-VT300DEC-VT320DEC-VT340
IBM-1050IBM-2741IBM-3101IBM-3101-10IBM-3151IBM-3179-2IBM-3180-2IBM-3196-A1IBM-3275-2IBM-3276-2, -3, -4IBM-3277-2IBM-3278-2, -3, -4, -5IBM-3278-2E, -3E, -4E, -5EIBM-3279-2, -3IBM-3279-2E, -3EIBM-3477-FC, -FGIBM-5081IBM-5151IBM-5154IBM-5251-11IBM-5291-1
IBM-5292-2IBM-5555-B01, -C01IBM-6153 IBM-6154IBM-6155IBM-AED
PERKIN-ELMER-550PERKIN-ELMER-1100PERKIN-ELMER-1200
TELEVIDEO-910TELEVIDEO-912TELEVIDEO-920TELEVIDEO-920BTELEVIDEO-920CTELEVIDEO-925TELEVIDEO-955TELEVIDEO-950TELEVIDEO-970TELEVIDEO-975
TEKTRONIX-4006TEKTRONIX-4010TEKTRONIX-4012TEKTRONIX-4013TEKTRONIX-4014TEKTRONIX-4023TEKTRONIX-4024TEKTRONIX-4025TEKTRONIX-4027TEKTRONIX-4105TEKTRONIX-4107TEKTRONIX-4110TEKTRONIX-4112TEKTRONIX-4113TEKTRONIX-4114TEKTRONIX-4115TEKTRONIX-4125TEKTRONIX-4404
Insgesamt: 326(Stand: 1.5. 2001)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 178 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 13
File Transfer Protocol(FTP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 179 -© Gerhard M. Glaser
MG G
File Transfer Protocol(FTP)
RFC 959 - STD 9 - MIL-Standard 1780
• Darunter liegende Schicht: Transport Schicht (TCP)
• TCP/UDP Port-Nr.: 21(ggf.) Port-Nr.: 20
• File-Transfer-Dienst
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 180 -© Gerhard M. Glaser
MG G
FTP - Problematik
• unterschiedliche Architekturen:Prozessoren, Betriebssysteme, ...
• unterschiedliche Datenformate:Bitanordnung, ASCII, EBCDIC, ...
• unterschiedliche Dateistrukturen:zeilenorientiert, record-orientiert, seitenorientiert, ...
• unterschiedliche Übertragungsweisen:stream, asynchron, blockmode, ...
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 181 -© Gerhard M. Glaser
MG G
• Konsens zwischen Systemen erfolgt durch Reduzieren individueller Eigenschaften auf Optionennicht durch Transformation auf ein Meta-Format(kein “Network Virtual File”)
FTP – Arbeitsweise(Lösung des Problems)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 182 -© Gerhard M. Glaser
MG G
FTP-Session(Prinzipdarstellung)
Aufbau einer Steuerleitung/ -verbindung(Port-Nr.: 21) durch ClientAustausch von Befehlen und Parametern1 Aufbau einer Datenleitung/ -verbindung
(typisch: Port-Nr.: 20) durch Server2 Datenübertragung3 Abbau der Datenverbindung
Abbau der Steuerleitung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 183 -© Gerhard M. Glaser
MG G
Benutzeroberfläche
Client-PI
Dateisystem Dateisystem
Client-DTP
PI = Protocol InterpreterDTP = Data Transfer Process
Port 21
Port 20
Server-PI
Server-DTP
Das FTP - Modell
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 184 -© Gerhard M. Glaser
MG G
Active FTP(Standard-FTP)
20Data
21Cmd
(1024)Cmd
(1025)Data
FTP-Server FTP Client
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 185 -© Gerhard M. Glaser
MG G
Passive FTP(„Firewall FTP“)
20Data
21Cmd
(1024)Cmd
(1025)Data
FTP-Server FTP Client
(2020)
Hinweis: Beim passiven FTP spielt Port 20 keine Rolle!
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 186 -© Gerhard M. Glaser
MG G
FTP - Transfer Parameter
• TYPE (representation type)
- A ASCII- E EBCDIC
- I image- L <byte size> local byte-size
• STRU (structure)- F file, no record structure- R record structure- P page structure
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 187 -© Gerhard M. Glaser
MG G
Wichtige FTP - Befehle
• dir, ls Inhaltsverzeichnis anzeigen• cd Inhaltsverzeichnis wechseln• pwd Name des aktuellen Inhaltsverz. anzeigen• bin/ ascii
Übertragungsmodus binär/ ascii• hash Übertragung grafisch darstellen (mit #####)• get/ put (mget/ mput)
eine Datei bzw. ein komplettes Verzeichnisholen/ senden
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 188 -© Gerhard M. GlaserStand: 14.08.2008
Kapitel 14
E-Mail Protokolle:SMTPPOP3
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 189 -© Gerhard M. Glaser
MG G
Simple Mail Transfer Protocol(SMTP)
RFC 2821- STD 10 - MIL-Standard 1781
• Darunter liegende Schicht: Transport Schicht (TCP)
• TCP/UDP Port-Nr.: 25
• E-Mail-Dienst
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 190 -© Gerhard M. Glaser
MG G
SMTP Bestandteile
• EnvelopeKommunikation zwischen Client und ServerBeginnt mit „Steuerkommandos“: HELO/ EHLOnicht sichtbar
• HeaderBestandteil der E-Mail (vgl. „Body“)Enthält Einträge des Clients bzw. der ServerEinträge nicht authentisch
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 191 -© Gerhard M. Glaser
MG G
SMTP – Übertragung
MAIL FROM:<Name_A@Rechner_1.Domain_I>250 OK
RCPT TO: <Name_A@Rechner_2.Domain_II>250 OK
RCPT TO: <Name_B@Rechner_2.Domain_II>550 No such user here
DATA354 Start mail input; end with <CRLF>.<CRLF>
Blah, blah, blah, blahRhabarber, Rhabarber, Rhabarber, Rhabarber
<CRLF>.<CRLF>250 OK
Initiieren der Transaktion
Überprüfen des EmpfängersEmpfänger existiert
Empfänger existiert nicht!
Beginn der Datenübertragung
Ende der Datenübertragung
Transaktion beendet
S E
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 192 -© Gerhard M. Glaser
MG G
SMTP Envelope(Beispiel)
S: 220 test.de SMTP server readyC: HELO xyz.de. beliebig!S: 250 xyz.de., pleased to meet youC: MAIL From:[email protected] beliebig!S: 250 <[email protected]> Sender okC: RCPT To:[email protected] muss existierenS: 250 <[email protected]> Recipient okC: RCPT TO:[email protected] muss existierenS: 250 <[email protected]> Recipient okC: DATAS: 354 Enter mailC: Hallo Eva, hallo Tom!C: Beispiel für den Mail-Versand mit SMTP.C: AdamC: .S: 250 Mail acceptedC: QUITS: 221 test.de delivering mail
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 193 -© Gerhard M. Glaser
MG G
SMTP - Kommandos (Auswahl)
• MAIL: leitet die Transaktion ein mit der Identifikation desAbsenders
• RCPT: receipient - identifiziert den/ die Empfänger
• VRFY: verify - sucht zu einem vorgegebenen Namen denzugehörigen Pfad
• EXPN: expand - interpretiert einen Namen als Mailing-Liste undlöst diesen auf
• SEND: kommuniziert direkt mit dem Terminal des Empfängers• SOML: send or mail - kommuniziert mit dem Terminal bzw. der
Mailbox, wenn das Terminal nicht erreichbar ist• SAML: send and mail - kommuniziert mit Terminal und Mail-Box
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 194 -© Gerhard M. Glaser
MG G
SMTP-Antwort-Codes (Übersicht)• 211 System-Status oder System-Hilfe• 214 Hilfe - Informationen zum Ausführen eines Kommandos• 220 Server bereit• 221 Server beendet Verbindung• 250 Kommando ausgeführt• 251 Keine lokale Mailbox; Weiterleitung an "forward-path“• 252 Überprüfung der Empfängeradresse nicht möglich; Die Nachricht wird dennoch versendet• 354 Starte Empfang der Mail; Beenden mit "CRLF". "CRLF“• 421 Service nicht verfügbar; Verbindung wird beendet• 450 Aktion nicht ausgeführt - Mailbox nicht verfügbar• 451 Aktion abgebrochen - Fehler beim Ausführen• 452 Aktion abgebrochen - Nicht genügend System-Speicher• 500 Syntax-Fehler - Kommando unbekannt• 501 Syntax-Fehler - Parameter oder Argument falsch• 502 Kommando unbekannt / nicht implementiert• 503 Falsche Reihenfolge der Kommandos• 504 Parameter unbekannt / nicht implementiert• 550 Aktion nicht ausgeführt - Mailbox nicht erreichbar (nicht gefunden, kein Zugriff)• 551 Mailbox nicht lokal; "forward-path" versuchen• 552 Aktion abgebrochen - Fehler bei der Speicherzuweisung• 553 Aktion nicht ausgeführt - Mailbox-Name nicht erlaubt (Syntax inkorrekt)• 554 Transaktion fehlgeschlagen (beim Verbindungsaufbau: Kein SMTP-Service verfügbar)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 195 -© Gerhard M. Glaser
MG G
• “822-Message-Format” (nach Original RFC) bzw.„The format of ARPA Internet text messages“)
• 7-Bit ASCII (nicht änderbar!)
• Bestandteile:HeaderBody
SMTP - Message-FormatRFC 2822 - STD 11
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 196 -© Gerhard M. Glaser
MG G
From:To:Date:Subject:
(Leerzeile)
Nachricht (beliebig lang)
Message Header
Message Body
SMTP - Message-Format(Header/ Body)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 197 -© Gerhard M. Glaser
MG G
SMTP Header(Beispiel)
Received: by xyz.de. id AABBCC; Mon, 19 Nov 2001 12:34:56 +0100Received: from adam1 (47110815@[192.168.80.201]) by fwd00.xyz.de
with smtp id 166Cyz1KXYRsC; Tue, 20 Nov 2001 16:38:45 +0100From: [email protected] (Adam)To: [email protected] (Eva)Subject: Beispiel-MailDate: Mon, 19 Nov 2001 12:34:56 +0100Reply-To: [email protected]: [email protected]
Disposition-Notification-To: [email protected]: 1.0Content-Type: text/plain; charset="iso-8859-1"X-Mailer: Winzigweich Ausschau, Build 1.2.3.4.5
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 198 -© Gerhard M. Glaser
MG G
SMTP Header interpretierenSPAM erkennen (1)
• Received-Zeilen immer von unten nach oben lesen– oberster Server ist der eigene– Einträge können „gefaked“ sein (von unten beginned)
• Im Zweifelsfall IP-Adresse auswerten– authentisch nur aus Envelope („HELO“)
• Received-Zeilen direkt hintereinander– ohne Zwischen- oder Leerzeilen– Sender der unteren Zeile = Empfänger der oberen Zeile
Vorsicht wegen:• Alias• Dial-Up
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 199 -© Gerhard M. Glaser
MG G
SMTP Header interpretierenSPAM erkennen (2)
• Verdächtig:– Standort/ Domain des Servers entspricht nicht der Zeitzone– Zeichenwirrwahr als Server-Name– IP-Adresse und Server-Namen stimmen nicht überein
(Überprüfung z.B. mittels: ‚nslookup‘)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 200 -© Gerhard M. Glaser
MG G
SMTP Header interpretieren(Header okay)
Received: from inbound2.psi.neteu.net (EHLO inbound2.psi.neteu.net) ([154.15.201.165])by mstore.psi.neteu.net (MOS 3.8.2-GA FastPath queued)with ESMTP id CJK65564 (AUTH via LOGINBEFORESMTP);Fri, 05 Oct 2007 06:02:55 +0200 (CEST)
Received: from mailfilter1.psi.neteu.net (EHLO mailfilter1.psi.neteu.net) ([154.15.200.26])by inbound2.psi.neteu.net (MOS 3.8.2-GA FastPath queued)with ESMTP id HLW03613;Fri, 05 Oct 2007 06:02:55 +0200 (CEST)
Received: from fmmailgate05.web.de ([217.72.192.243])by mailfilter1.psi.neteu.net with esmtp (Exim 4.65)(envelope-from <[email protected]>)id 1IdeOt-0001CC-3Gfor [email protected]; Fri, 05 Oct 2007 06:02:55 +0200
Received: from web.deby fmmailgate05.web.de (Postfix) with SMTP id E54F42ED0872for <[email protected]>; Fri, 5 Oct 2007 06:02:54 +0200 (CEST)
Received: from [87.178.27.130] by freemailng0801.web.de with HTTP; Fri, 05 Oct 2007 06:02:54 +0200Date: Fri, 05 Oct 2007 06:02:54 +0200Message-Id: <[email protected]>From: Hans Tschi <[email protected]>To: [email protected]
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 201 -© Gerhard M. Glaser
MG G
SMTP Header interpretieren(definitiver SPAM Header)
Return-Path: <[email protected]>Received: from inbound1.psi.neteu.net […](AUTH via LOGINBEFORESMTP);
Sat, 03 Nov 2007 03:51:25 +0100 (CET)Received: from mailfilter1.psi.neteu.net (EHLO mailfilter1.psi.neteu.net) ([154.15.200.26])[…]Received: from [77.66.146.66] (helo=comp)
by mailfilter1.psi.neteu.net with esmtp (Exim 4.65)(envelope-from <[email protected]>)id 1Io96Y-00019d-V5for [email protected]; Sat, 03 Nov 2007 03:51:24 +0100
Received: from [77.66.146.66] by smtp.secureserver.net;Sat, 3 Nov 2007 05:50:04 +0300From: Volksbanken Raiffeisenbanken<[email protected]>To: <[email protected]>Subject: Volksbanken Raiffeisenbanken AG: 02/11/2007Date: Sat, 3 Nov 2007 05:50:04 +0300MIME-Version: 1.0X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106Message-ID: <01c81ddd$619ac510$4292424d@ksr>
[…] = Auslassungen – vgl. „Header okay“
nslookup für 77.66.146.66:Non-existent domain(IP in Holland)
Securserver.net gehört zugodaddy.com (AZ, USA)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 202 -© Gerhard M. Glaser
MG G
E-Mail - Auffälligkeiten
• Absender-Adresse stimmt nicht mit Mailserver überein(u.U. nur in IP-Adresse des Envelopes erkennbar)
• Kein Absender• Zeitsprünge in Übertragung• Header-Feld „User-Agent“ zeigt nicht auf ein bekanntes E-Mail Programm
(korrekt: User-Agent: Thunderbird 2.0.0.6 (Windows/20070728))• Eine oder mehrere Zeilen komplett in Großbuchstaben
• Verweis, dass Mail nach „Senate Bill 1618“ kein Spam sei(der Verweis ist irrelevant und gerade ein Indiz für Spam)
• Mail besteht nur aus (Remote) Bildern• Eintrag in Adresse (vor @) findet sich in Subject-Feld („Betreff“) wieder
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 203 -© Gerhard M. Glaser
MG G
EinschubE-Mail Privacy: Webbugs (+ Cookies)
• Beschreibung:- Mini-Bilder (1 Pixel), die von einem externen Server abgerufen werden- In allen HTML-Mails möglich
(Achtung: HTML muss nicht erkennbar sein)
• Einsatzbereich:- Überprüfung der Existenz einer E-Mail- Zuordnung von
E-Mail-Adresse IP-Adresse (Webbug)E-Mail-Adresse Gerät (Cookie)
• Schutz:- Offline Lesen von E-Mails- Blocken externer IP-Adressen durch E-Mail-Client- Verbieten von Cookies
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 204 -© Gerhard M. Glaser
MG G
Sicherheitsmechanismen bei E-Mail
• SMTP after POP• E-Mail-Server überschreibt „FROM“ Feld
(z.B. T-Online)• SSL bzw. TLS• Digitale Unterschrift/ Nutzung von Zertifikaten
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 205 -© Gerhard M. Glaser
MG G
SMTP/ SPAM: Quellen/ URLs
• http://www.th-h.de/faq/headerfaq.phphat-h.de: „E-Mail-Header lesen und verstehen“
• http://www.tecchannel.de/kommunikation/e-mail/401772/index.htmlTec Channel: „So funktioniert E-Mail“
• http://www.gurusheaven.de/security/email_know_how.htmeMail Know-How - Tipps & Tricks zur Sicherheit
• http://www.stopspam.org/email/headers.html„Reading E-Mail-Headers“
• http://www.bsi.de/literat/studien/antispam/antispam.pdfBSI: „Anti-Spam Strategien“
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 206 -© Gerhard M. Glaser
MG G
Post Office Protocol - Version 3(POP3)
RFC 1939 - STD 53
• Darunter liegende Schicht: Transport Schicht (TCP)• TCP/UDP-Port-Nr.: 110• ermöglicht dem Client das „Abholen“ von E-Mail von
einem Mail-Server• User-Authentisierung erfolgt über Username/
Password• unterstützt keine Veränderung der Mail auf dem
Server (abgeholte Mail wird i.a. gelöscht)(Gegensatz: IMAP4 [Internet Message Access Protocol] - RFC 2060)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 207 -© Gerhard M. Glaser
MG G
POP „Envelope“(Beispiel)
S: +OK POP3 server readyC: user glaserS: +OKC: pass tschitschiS: +OKC: LISTS: +OK 2 messages (320 octets)S: 1 120S: 2 200S: .C: RETR 1S: +OK 120 octetsS: <Server sendet Nachricht 1>S: .C: DELE 1S: +OK message 1 deletedC: RETR 2S: +OK 200 octetsS: <Server sendet Nachricht 2>S: .C: DELE 2S: +OK message 2 deletedC: RETR 3S: -ERR no such messageC: QUITS: +OK
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 208 -© Gerhard M. Glaser
MG G
Multipurpose Internet Mail Extensions (MIME)
RFC 2045 - 2049
• Spezifiziert die Übertragung von 8-Bit (Nicht-ASCII) Zeichen (Umwandlung in 7 Bit Zeichen)
• Zusätzliches Header-Field: MIME-Version• Definiert
– fünf „Top-Level“ Media-Types(text, image, audio, video, application, multipart)
– viele Sub-Types(text/plain, text/ richtext, …)
• Secure MIME (S/MIME) spezifiziert in RFC 3850/ 3851• Nutzung auch im Web-Umfeld
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 209 -© Gerhard M. Glaser
MG G
Kapitel 15
Name-Services
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 210 -© Gerhard M. Glaser
MG G
Name-Services - Aufgabe
• dienen der Zuordnung Rechnername zu IP-Adresse
• im einfachsten Fall durch eine lokale Datei realisiert(z.B. C:\windows\system32\drivers\etc\hosts, /etc/hosts)
• u.U. recht komplex aufgebaut(z.B. DNS)
• können vielfältige Informationen weiterreichen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 211 -© Gerhard M. Glaser
MG G
Internet Name ServerIEN 116
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 212 -© Gerhard M. Glaser
MG G
Internet Name Server
IEN 116(August 1979)
• kein MIL-Standard
• Darunter liegende Schicht: Transport Schicht (UDP)
• UDP/TCP Port-Nr.: 42
• Zuordnen von Hostnamen zu IP-Adressen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 213 -© Gerhard M. Glaser
MG G
IEN 116-Internet-Name-ServiceEigenschaften
• Name-Server sind unabhängig voneinander
• kein hierarchisches System (flache Topologie)
• Wildcards optional
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 214 -© Gerhard M. Glaser
MG G
IEN 116-Internet-Name-Service - Beispiel
Server 1.1.1.1Test 2.1.1.1Privat 3.1.1.1DG 1.1.0.10
1.1.0.1
Server 1.1.1.1Test 5.1.1.1Privat 4.1.1.1Büro 10.1.1.1DG 1.1.0.20
1.1.0.2
Test 1.1.1.1Test_2 3.1.1.1Büro 5.1.1.1Privat 5.1.1.1DG 1.1.0.30
1.1.0.3
PNS 1.1.0.1SNS 1.1.0.2
PNS 1.1.0.2SNS 1.1.0.3
PNS 1.1.0.3SNS 1.1.0.2
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 215 -© Gerhard M. Glaser
MG G
Domain Name System/ Service(DNS)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 216 -© Gerhard M. Glaser
MG G
DNS
• kein MIL-Standard
• Darunter liegende Schicht: Transport Schicht(UDP und TCP)
• UDP/TCP Port-Nr.: 53
• Zuordnen von Hostnamen zu IP-Adressen
RFC 1033 - Administrators Operations GuideRFC 1034 - Concepts and FacilitiesRFC 1035 - Implementation and Specification
STD 13
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 217 -© Gerhard M. Glaser
MG G
DNS - Funktionsweise
• verteilten Datenhaltung
• hierarchischen Modell
• unterschiedliche DNS-Servertypen
• zusätzliche (optionale) Möglichkeiten
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 218 -© Gerhard M. Glaser
MG G
DNS - Funktionsweise(hierarchisches Modell)
COM ORG EDU MILNET
IBM
/
MIT UCLA
= Top-Level-Domains
DE
Kunz-Söhne
...
GMG
Abt-1 Abt-2
GMG
Abt-1 Abt-2
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 219 -© Gerhard M. Glaser
MG G
Top Level Domains (TLD)
• gTLD (Generic TLD):– z.B.: com, org, net
• ccTLD (Country Code TLD)– z.B.: de, ch, uk, us,
to (Tonga),tv (Tuvalu),by (Belorussland)
• sTLD (Sponsored TLD)– z.B.: jobs, info, mobi, post, mail, travel, xxx, tel (Dez. 2008)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 220 -© Gerhard M. Glaser
MG G
DNS-Aufbau
<Rechnername>.<Subdomain>.<Domain>.<TLD>
Hinweis:Im DNS kann kein Protokoll abgelesen werden!
Protokoll nur in der URL:Protokoll:// Rechnername.Subdomain.Domain.TLD
z.B.http://test.abt-1.gmg.com
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 221 -© Gerhard M. Glaser
MG G
DNS - Servertypen
• Primary Name Server (Master)Enthält Datenbank mit autorisierten DatenOrt der Datenpflege
• Secondary Name Server (Slave)Enthält Datenbank mit autorisierten DatenHolt sich regelmäßig Updates von Master
• Caching ServerMerkt (“cacht”) sich nur Daten (nicht autorisiert)verwirft “gecachte” Daten nach vorgegebener Zeit(TTL-Feld mit 32 Bit Länge)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 222 -© Gerhard M. Glaser
MG G
DNS - Funktionalitäten und Funktionsweisen
• Auflösen von Namen (in IP-Adressen)
• Auflösen von IP-Adressen (in Namen - optional)
• Übermitteln weiterer Informationen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 223 -© Gerhard M. Glaser
MG G
DNS - Funktionalitäten und Funktionsweisen
• Beantworten von Anfragen:Standard:
NameError (Name nicht bekannt)Verweis auf anderen Server
Optional (Anfrage wird ggf. weitergeleitet – rekursive Antwort):NameError
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 224 -© Gerhard M. Glaser
MG G
DNS - Query-Types (Auswahl)
• A Address (Rechneradresse)• NS Name-Server• CNAME Canonical Name (Zuordnung von Nicknames)• HINFO Rechner- (Host-) Information (CPU, Betriebssystem)• SOA Start Of Authority (Update von PNS-Daten)
SERIAL Änderungen in Datensatz (“Versionspflege”)REFRESH Zeit zwischen UpdatepollsRETRY Zeitdauer bis zum Wiederholen eines
fehlgeschlagenen REFRESHEXPIRE Zeit bis zum Löschen eines Eintrages
(nach fehlgeschlagenem REFRESH)
• MX Mail Exchange Server• WKS Well Known Services (TCP/ UDP-Dienste <256)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 225 -© Gerhard M. Glaser
MG G
DNS - Einschränkungen
• Namen (Labels): max. 63 Byte
• Rechnernamen: max. 255 Byte
• TTL: positive Werte einer vorzeichen-behafteten 32 bit Integer Zahl
• UDP Nachricht: max. 512 Byte
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 226 -© Gerhard M. Glaser
MG G
MERKE:
Ein DNS-Server muss sich nicht in der Domain befinden, für die er
Informationen bereithält!
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 227 -© Gerhard M. Glaser
MG G
Kapitel 16
BootPDHCP
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 228 -© Gerhard M. GlaserStand: 14.08.2008
BootP
(UDP Bootstrap Protocol)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 229 -© Gerhard M. Glaser
MG G
BOOTPRFC 951, RFC 1542
• kein MIL-Standard
• Darunter liegende Schicht: Transport Schicht (UDP)
• UDP/TCP Port: 67 (Client Server)68 (Server Client)
• Zuordnung Ebene 2 Ebene 3(MAC-Adresse IP-Adresse)
• Übertragen von Boot-Informationen(Vendor Specific Extensions – vgl. RFC 2132)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 230 -© Gerhard M. Glaser
MG G
BOOTP - Funktionsweise
• BOOTP-Request per IP-Broadcast (255.255.255.255)oder gerichtet
• BOOTP-Request nicht beantwortet erneute Anfrage
• Backoff-Strategie zur Verhinderung von „flooding“(vgl. CSMA/CD)
• Antwortpriorität durch “secs”-Feld
• Booten über Router (“Gateways”)(nur über BOOTP-Relay-Agent - optional)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 231 -© Gerhard M. Glaser
MG GB
OO
TP -Datenform
at
Boot File N
ame (m
ax128 B
yte)
VendorSpecificA
rea (max
64 Byte)
Client H
ardware A
dress(m
ax16 B
yte)
Server Host N
ame (m
ax64 B
yte)
Server IP Address
Gatew
ay IP Address
Client IP A
ddress
TransactionID
01
23
56
78
94
01
23
56
78
94
01
23
56
78
94
01
01
23
Hops
Operationsecs H
ardware Type
Hardw
are Length
Unused
YourIP Address
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 232 -© Gerhard M. Glaser
MG G
BOOTP - Vendor Specific Extensions (Auswahl)
• Time-of-Day aktuelle Zeit• Subnet-Mask IP-Subnetz-Maske• Router IP-Adresse Router• Time-Server IP-Adresse Time-Server• IEN116-Server IP-Adresse IEN 116 Name-Server• Domain Server IP-Adresse Domain-Name-Server• LPR-Server IP-Adresse BSD-Print-Server• Hostname Name Client (local station)• Boot Size Größe Boot-File (in 512 Byte Blocks)• Extensions Path TFTP-File - wird als VSE interpretiert• End (255h) Ende der VSE
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 233 -© Gerhard M. GlaserStand: 14.08.2008
DHCP
(Dynamic Host ConfigurationProtocol)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 234 -© Gerhard M. Glaser
MG G
DHCPRFC 2131
• nutzt BOOTP/ Erweiterung von BOOTP• Erweiterung/Änderung des BOOTP-Paket
“Vendor Specific Extensions” “Options” (RFC 2132)Minimumlänge des VSE-Feldes/ Options: 312 Bytedefiniertes “Magic Cookie” (99.130.83.99)
• Zuweisen von IP-Adressen auf Zeit bzw. unendlich(Leased Time: 1 sec - 136 Jahre – 32 Bit)
• manuelle Vergabe von IP-Adressen möglich• abwärtskompatibel zu BOOTP
(muss BOOTP-Clients bedienen können)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 235 -© Gerhard M. Glaser
MG G
DHCP-Messages• DHCPDISCOVER Broadcast von Client, zur Suche verfügbarer
Server• DHCPOFFER Server teilt Client Konfigurationsparameter mit• DHCPREQUEST Client fordert angebotene Parameter von Server
an bzw. bestätigt Parameter/ verlängert “Lease”• DHCPACK Server bestätigt Client die Richtigkeit der Adresse• DHCPNACK Server teilt Client mit, dass Adresse nicht
verwendet werden kann• DHCPDECLINE Client teilt Server mit, dass Adresse schon
genutzt wird• DHCPRELEASE Client teilt Server mit, dass Adresse nicht weiter
benötigt wird
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 236 -© Gerhard M. Glaser
MG G
DHCP - Automatische Adressvergabe
• DISCOVER:Client sucht DHCP-Server;ggf. Vorschläge” für IP-Adresse und Leased-Time
• OFFER:DHCP-Server antworten mit IP-Adresse(n)
• REQUEST:Client wählt Angebot und antwortet allen Servern;“Server Identifier Option” muss gesetzt sein
• ACK:Ausgesuchter Server reserviert vorgeschlagene Adresseund schickt Konfigurations-Parameter (falls nicht: NACK)ggf. Test der Adresse durch ICMP-Echo RequestAlle anderen Server:“Angebot” wurde abgelehnt, vorgeschlagene IP-Adresse wieder frei
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 237 -© Gerhard M. Glaser
MG G
Automatic Private IP Addressing(APIPA)
• Client findet keinen DHCP-Server (ab Windows 98)
• Wählt Adresse aus 169.254.0.0/ 16 (vgl. RFC 3330)
• Überprüft ob Adresse bereits vergeben (Gratuitous ARP)
• Überprüft alle 5 Min. ob DHCP-Server vorhanden
• Wichtig: Kann nur im eigenen Netz kommunizieren
• AbschaltbarHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\InterfacesInterface auswählenDWORD IPAutoconfigurationEnabled = 0
• Weitere Infos: http://support.microsoft.com/kb/q220874/
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 238 -© Gerhard M. Glaser
MG G
Kapitel 17
Trivial File Transfer Protocol(TFTP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 239 -© Gerhard M. Glaser
MG G
Trivial File Transfer Protocol(TFTP)
RFC 1350 - STD 33
• kein MIL-Standard
• Darunter liegende Schicht: Transport Schicht (UDP)
• UDP/TCP Port-Nr.: 69
• einfacher File-Transfer-Dienst ohne Login-Prozedur (“Poor Man’s File Transfer”)
• Einsatzgebiet: Netz-Boot-Vorgänge
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 240 -© Gerhard M. Glaser
MG G
TFTP - Funktionsweise
• TFTP verfügt über fünf Funktionen:
Read Request (RRQ):fordert File von Remote-Rechner anWrite Request (WRQ):sendet File zu Remote-RechnerData (DATA):kennzeichnet den eigentlichen DatenstromAcknowledgement (ACK):bestätigt empfangene PaketeError (ERROR):zeigt Übertragungsfehler an
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 241 -© Gerhard M. Glaser
MG G
TFTP - Übertragungsmechanismus
• „Verbindungsaufbau“ mit RRQ bzw. WRQ
• Festes Paket-Format (512 Byte)
• Pakete < 512 Byte: Ende der Übertragung
• Paketweise Bestätigung
• ERROR: Übertragungsabbruch - kein Retransmit!
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 242 -© Gerhard M. Glaser
MG G
TFTP - Übertragungsmechanismus
RRQ (Read Request)ACK
DATA (512 Byte)ACK
DATA (512 Byte)ACK
DATA (<512 Byte)ACK
Initiieren der Transaktion
Bestätigung
Daten
Bestätigung
Daten
Bestätigung
Ende der Datenübertragung(letztes Paket)Bestätigung(Ende der Transaktion)
C S
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 243 -© Gerhard M. Glaser
MG G
Kapitel 18
Die “R”-Utilitiesrlogin, rcp, rsh/rexec
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 244 -© Gerhard M. Glaser
MG G
Die “R” Utilities- rlogin, rcp, rsh/ rexec -
• Darunter liegende Schicht: Transport Schicht (TCP)
• TCP/UDP Ports:512 (rsh), 513 (rlogin), 514 (rexec)
• Funktion:Logincopy (rcp)Ausführen von Programmen (shell-scripts)auf Remote-Rechnern
• keine aktive Identifizierung und Authetifizierung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 245 -© Gerhard M. Glaser
MG G
R-Utilities - Zugriffsmechanismen
• Dateien zur Freigabe von Zugriffsberechtigungen.rhosts - im Home-Verzeichnis des Anwendershosts.equiv - unter /etc
• Freigabe bezogen auf Rechner- und Usernamen
• Anwender “root” muss immer Password eingeben
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 246 -© Gerhard M. Glaser
MG G
R-Utilities - Autorisierungsdateien (Einträge)
+von jeder Maschine/ alle Benutzer von allen Maschinen
<hostname>von der Maschine <hostname> mit eigener Kennung
<hostname><username>angegebener <username> von <hostname> unter eigener Kennung/ allen Kennungen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 247 -© Gerhard M. Glaser
MG G
R-Utilities - Ablaufdiagramm für Zugriff> rlogin HOST
Existiert USER in Password-Datei von HOST
NEIN kein Zugriff möglich
Existiert ein entsprechender Eintrag in .rhosts?JA kein Password nötig
Password nötig user=rootuser≠root
Existiert ein entsprechender Eintrag in hosts.equiv?
JA kein Password nötig
Password nötig
NEIN
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 248 -© Gerhard M. Glaser
MG G
Kapitel 19
Network File System(NFS)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 249 -© Gerhard M. Glaser
MG G
Network File System(NFS)
RFC 3010
• kein MIL-Standard• Darunter liegende Schichten:
Darstellungsschicht: XDR (RFC 1014/ RFC 1832)(“External Data Representation”)
Sitzungsschicht: SUN-RPC (RFC 1057)Transport Schicht: UDP (Port-Nr.: 111)
• einzige TCP/IP-Applikation mit separaten Schichten 5, 6 und 7• Zugriff auf “Netzwerklaufwerk” mit 80% der lokalen Performance• “stateless” Verbindung• explizite Freigabe auf dem Server (/etc/exports)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 250 -© Gerhard M. Glaser
MG G
NFS im OSI-Modell
IP
UDP
RPC
XDR
NFS
Netzzugang (802.x)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 251 -© Gerhard M. Glaser
MG G
Einschub: Remote Procedure Calls
Programm 1
Programm 2
Programm 1
Programm 2
RPC
RPCHost Grün
Host Rot
Host
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 252 -© Gerhard M. Glaser
MG GN
FS -Mount
Client
/
systemuser
network
comm
andsdata
helps
Befehl:
mount -t nfs-o ro,softserver:/helps/user/helps
Server/
network
systemapplikation
userhelps
system
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 253 -© Gerhard M. Glaser
MG G
Kapitel 20
Internet
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 254 -© Gerhard M. Glaser
MG G
World Wide WebHistory
• 1989: Ursprung in einem Projekt des CERN, Genfwar gedacht als einfaches System zur Kommunikationzwischen Physikern (Nutzung von Hypertextdokumenten)
• 1990: zeilenorientierte Oberfläche (Line-Mode-Browser)
• 1993: Browser mit grafischer Benutzeroberfläche
• 1994: die W3-Organisation (www.w3.org) wird ins Leben gerufen;Aufgabe: Weiterentwicklung und Standardisierung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 255 -© Gerhard M. Glaser
MG G
Hypertext Transfer Protocol(HTTP)
RFC 1945 HTTP 1.0 (1996)RFC 2616 HTTP 1.1 (1997)
• Darunter liegende Schicht: Transport Schicht (TCP)• TCP/ UDP-Port: 80• Request-/ Response-Verfahren zur Abfrage von Dokumenten
VerbindungsaufbauAnforderung (Request)URI, protocol version, request modifier, client informationAntwort (Response)message protocol version, success-/ error-code, server information, “data”Verbindungsabbau
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 256 -© Gerhard M. Glaser
MG G
HTTPS(Secure HTTP)
• Nutzt SSL für verschlüsseltes HTTP (Port-Nr.: 443)• Verschlüsselung erfolgt über Zertifikate
HTTP
IP
TCPSSL
HTTPS
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 257 -© Gerhard M. Glaser
MG G
1xx: InformationalRequest received, continuing process
2xx: SuccessThe action was successfully received, understood, and accepted
3xx: RedirectionFurther action must be taken in order to complete the request
4xx: Client ErrorThe request contains bad syntax or cannot be fulfilled
5xx: Server ErrorThe server failed to fulfill an apparently valid request
HTTP Status Codes (Überblick)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 258 -© Gerhard M. Glaser
MG G
100 Continue101 Switching Protocols
200 OK201 Created202 Accepted203 Non-Authoritative Information204 No Content205 Reset Content206 Partial Content
300 Multiple Choices301 Moved Permanently302 Found303 See Other304 Not Modified305 Use Proxy307 Temporary Redirect
HTTP Status Codes - nach RFC 2616 - (1)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 259 -© Gerhard M. Glaser
MG G
400 Bad Request401 Unauthorized402 Payment Required403 Forbidden404 Not Found405 Method Not Allowed406 Not Acceptable407 Proxy Authentication Required408 Request Time-out409 Conflict410 Gone411 Length Required412 Precondition Failed413 Request Entity Too Large414 Request-URI Too Large415 Unsupported Media Type416 Requested range not satisfiable417 Expectation Failed
HTTP Status Codes - nach RFC 2616 - (2)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 260 -© Gerhard M. Glaser
MG G
500 Internal Server Error501 Not Implemented502 Bad Gateway503 Service Unavailable504 Gateway Time-out505 HTTP Version not supported
HTTP Status Codes - nach RFC 2616 - (3)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 261 -© Gerhard M. Glaser
MG G
Proxy-ServerFunktionsbeschreibung (1)
• Zwischengeschaltetes „Etwas“ (Appliance),arbeitet als Client und als Server
• Anfragen werden bearbeitet, ggf. übersetzt und weitergereicht
• Steuert Zugriffe (“Firewall”)
• Reicht Anfragen für nicht unterstützte Protokolle weiter
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 262 -© Gerhard M. Glaser
MG G
Proxy-ServerFunktionsbeschreibung (2)
• Weitere Funktionalitäten:
CacheAutorisierungAccountingContent-Filterung
• Kann kaskadiert werden
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 263 -© Gerhard M. Glaser
MG G
Proxy-ServerKaskadierung
IntranetPublic Internet
Abt.-Proxy
Firmen-
Proxy
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 264 -© Gerhard M. Glaser
MG G
Socks-Server(vs. Proxy-Server)
• Einheitlicher Port für alle Dienste („Tunnel“)Port-Nr.: 1080(Proxy nutzt Port des Dienstes - z.B. Port-Nr. 80 bei HTTP)
• Dienst/ Anwendung muss „socksifiziert“ sein(Dienst/ Anwendung unterstützt normalerweise Proxy-Funktion - transparenter Proxy möglich)
• Socks muss Anwendung nicht unterstützen(Proxy muss Anwendung unterstützen)
• Anwender ist für Socks freigeschaltet - oder nicht(Proxy kann separat für jeden Dienst freigeschaltet werden)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 265 -© Gerhard M. Glaser
MG G
Kapitel 21
VoIP
(Voice over IP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 266 -© Gerhard M. Glaser
MG G
VoIP Geräte
• PC mit•Sound-Karte•Headset•Telefonie-Software
• IP-Telefon mit•Ethernet-Karte
• VoIP-Server• VoIP-Gateway
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 267 -© Gerhard M. Glaser
MG G
VoIP Technik/ Funktionsweise
• Analoges Signal: wird digitalisiert und komprimiert• Digitales Signal: wird in IP-Datenpakete verpackt• IP-Pakete: werden übertragen via (W)LAN/ MAN/ WAN
- ggf. Priorisierung
• VoIP-Server: Aufgaben der Telefonanlage(Vermittlung, Leistungsmerkmale etc.)
• VoIP-Gateway: Schnittstelle zum „klassischen“ Telefon-Netz(oft in VoIP-Server integriert)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 268 -© Gerhard M. Glaser
MG G
VoIP - Protokolle (1)
• SIP (Session Initiation Protocol)– RFC 3261 – Proposed Standard– Darunter liegende Schicht: Transport Schicht (TCP)– TCP/UDP Port-Nr.: 5060, 5061 (SIP-TLS)– steuert Verbindungsauf-/ abbau zwischen zwei oder mehr Partnern
(„Signaling Protocol“)– HTTP-ähnlich– einfach (wenig komplex)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 269 -© Gerhard M. Glaser
MG G
VoIP - Protokolle (2)
• SDP (Session Description Protocol)– RFC 4566 – Proposed Standard– Darunter liegende Schicht: Transport Schicht (TCP)– TCP/UDP Port-Nr.:
• 1297 (SDP Proxy)• 3242 (SDP-ID)• 3935 (SDP-Portmapper)
– verwaltet Kommunikationssitzung („Streaming Media“)– verhandelt die zwischen den Endpunkten Codecs,
Transportprotokolle usw.
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 270 -© Gerhard M. Glaser
MG G
VoIP - Protokolle (3)
• RTP (Realtime Transport Protocol)– RFC 3550 – STD0064
RFC 3551– Darunter liegende Schicht: Transport Schicht (UDP)– UDP/TCP-Port-Nr.:
• 5004 (RTP Media Data)• 5005 (RTP Control Protocol)
– Ende-zu-Ende-Transport– keine Ende-zu-Ende-Kontrolle
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 271 -© Gerhard M. Glaser
MG G
VoIP - Protokolle (4)
• H.323– ITU-T-Standard seit 1996
(International Telecommunication Union)– Ursprung in Festnetz-Technologie
(„robustes“ Protokoll)– Unterprotokolle:
• H.225.0 Setup• Q.931 Signalisierung• H.245 Telefonie• H.450 weitere Dienste/ Leistungmerkmale
(z.B. Parken, Rückruf, Rufweiterleitung, Namensübermittlung)– unterstützt Videokonferenz, Datenkonferenz, Synchronisation Audio/ Video– Zentrale Komponente „Gatekeeper“
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 272 -© Gerhard M. Glaser
MG G
VoIP Probleme - heute (1)
• Laufzeit/ Echo problematisch (vor allem: WLANS)• QoS (Priorisierung) dringend notwendig• Sprachqualität schlecht/ von Bandbreite abhängig• Verschlüsselung nur bedingt möglich
(z.B. nicht bei Gesprächen ins Festnetz)• DOS-Atacken wie bei allen Netzwerkanwendungen• Leistungs-/
Komfortmerkmale fehlen (z.B. Anklopfen, „Rückruf bei besetzt“)• Implementierung komplex (Layer 7!)• Interoperabilität wegen verschiedener Standards geringer
(vgl. SIP, H.323)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 273 -© Gerhard M. Glaser
MG G
VoIP Probleme - heute (2)
• Permanente Erreichbarkeit nicht gewährleistet („always on“, feste IP)• Notspeisung fehlt (Problem: Stromausfall)• Rufnummer-Zuordnung problematisch/ nicht abschließend geklärt• Notruf-Nummern nicht direkt anwählbar (z.B. 110, 112)
• Standort-Erkennung problematisch (vgl. Notruf-Nummern)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 274 -© Gerhard M. Glaser
MG G
VoIP Quellen
• http://www.voip-information.de/ umfassende Seite zum Thema VoIP und Umfeld• http://www.teltarif.de/i/voip.html allgemeine Beschreibung• http://www.elektronik-kompendium.de/sites/net/0503131.htm allgemeine Beschreibung• http://www.markenprofi.de/was-ratgeber/feld-1/nr-117/ allgemeine Beschreibung• http://www.zdnet.de/i/wp/VoIP_whitepaper_DE_SonicWALL.PDF Sicherheits-, Implementierungsprobleme• http://www.stemmer.de/service/workshops/mws2002/download/voip_vs_dect.pdf WLAN VoIP vs. DECT (besonders Seiten 31, 32)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 275 -© Gerhard M. Glaser
MG G
Kapitel 22
Simple Network Management Protocol(SNMP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 276 -© Gerhard M. Glaser
MG G
Simple Network Management Protocol(SNMP)
• kein MIL-Standard
• Darunter liegende Schicht: Transport Schicht (UDP)
• UDP/TCP Ports: 161162 (für Traps)
• dient zur Vereinheitlichung und Übertragung erfasster Daten (Variablen)
• erlaubt herstellerspezifische “Ergänzungen”
RFC 1157 - STD 15RFC 3411 - 3418 - STD 62
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 277 -© Gerhard M. Glaser
MG G
SNMP – Aufbau
SNMP SNMP
Management Station(SNMP Manager)
SNMP Agent
Netzwerkgerät Rechner, Router etc.) SNMP/ RMON Probe
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 278 -© Gerhard M. Glaser
MG G
SNMP - Aufbau
• Manager: Überwacht, konfiguriert (polling: Regel)• Agent: Sammelt/ ändert Daten (traps: Ausnahme)
• RMON: Remote MonitoringVerlagerung der Intelligenz von Manager auf Probe
Manager: zum Netz (Managed Objects)Agent: zur Management-Station
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 279 -© Gerhard M. Glaser
MG G
SNMP – Aufbau(MIB)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 280 -© Gerhard M. Glaser
MG G
SNMP - Funktionsweise• definierte Variablen (“Managed Objects”)• werden hierarchisch in der “Management Information Base” (MIB)
abgelegt• Agent sammelt Informationen auf überwachten Geräten• Werden aktiv durch Management-Server abgefragt (ggf. auch gesetzt)
get <Variable> holt spezifizierte Variableget-next holt nächste Variable im Datenmodellget-bulk holt mehrere Variablen gleichzeitig
set <Variable> setzt eine Variable• Sonderfall Traps:
bei besonderen Vorkommnissen werden Daten an Server gesendetevent <Variable>
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 281 -© Gerhard M. Glaser
MG G
SNMPwichtige RFCs (allgemeine Definitionen)
• RFC 1157 SNMP (STD0015)• RFC 1643 Definitions of Managed Objects for the Ethernet-like
Interface Types (STD0050)
• RFC 3411 Architecture for Describing SNMP Management Frameworks
• RFC 3412 Message Processing and Dispatching for SNMP • RFC 3413 SNMP Applications• RFC 3414 User-based Security Model for SNMP• RFC 3415 View-based Acces Control Model for SNMP• RFC 3418 Management Information Base (MIB) for SNMP
• RFC 2576 Coexistence between SNMP v1, SNMP v2 and SNMP v3
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 282 -© Gerhard M. Glaser
MG G
SNMP - wichtige MIBs (1)
Interface Table(vgl. RFC 1213)
• Variable 1.3.6.1.2.1.2.2.1.x• enthält Informationen über die Interfaces
AnzahlTyp (z.B. X.25, Ethernet, 802.3, 802.5, FDDI, PPP, ISDN etc.)MTUGeschwindigkeitPhysical AddressStatus (administrativ/ operational)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 283 -© Gerhard M. Glaser
MG G
SNMP - wichtige MIBs (2)
Address Translation Table(vgl. RFC 1213)
• Variable 1.3.6.1.2.1.3.1.1.1 - 3• enthält Informationen über den ARP-Table
Art des Eintrags (z.B. statisch/ dynamisch)Physical AddressNet Address (z.B. IP-Adresse)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 284 -© Gerhard M. Glaser
MG G
SNMP - wichtige MIBs (3)IP - MIB
(vgl. RFC 1213)
• Variable 1.3.6.1.2.1.4.x• enthält Informationen über das IP-Protokoll
Routing (ja/ nein)Default TTLSubnet-MaskeBroadcast-AdresseRouting TabelleRouting MaskeNext HopErrors etc.
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 285 -© Gerhard M. Glaser
MG G
SNMP - wichtige MIBs (4)Übersicht
• icmp• tcp• udp• transmission (ca. 580 Variablen!)• snmp• ospf• privat
bay networks/ wellfleetcisco3comforenovellqms
(Auswahl)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 286 -© Gerhard M. Glaser
MG G
Kapitel 23
Trouble-Shooting
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 287 -© Gerhard M. Glaser
MG G
Trouble-Shooting
• Wichtige Quelle:
RFC 2151 (Juni 1997):„A Primer On Internet and TCP/IP Tools and Utilities“
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 288 -© Gerhard M. Glaser
MG G
Fehlerursachen
Transceiver, Repeater etc.
Bridges, Switches
Router
35%25%12%10%8%7%3%
72 %
Layer 1: fehlerhafte Kabel, elektrische Störungen, Kollisionen, „Putzfrauen“ etc.Layer 2: 802.x-Inkompatibilitäten, falsch konfigurierte MAC-Adressen, BroadcaststormsLayer 3: falsch konfigurierte IP-Adressen, Subnetzmasken und Broadcast-Adressen; falsche
Routing-Tabellen/ EinträgeLayer 4 - 7: unkorrekt implementierte Protokolle
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 289 -© Gerhard M. Glaser
MG G
Trouble-Shooting - „eingebaute“ Tools/ Befehle (1)
• arp Zeigt/ modifiziert den ARP-Cache
-a Darstellen aller Einträge-d Löschen von Einträgen
-s Setzen von Einträgen-s PUB Antwortet auf Anfragen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 290 -© Gerhard M. Glaser
MG G
Trouble-Shooting - „eingebaute“ Tools/ Befehle (2)
• Netstat Zeigt eine (NIC-) Statistik
-a alle Verbindungen-e Ebene 2 (Ethernet-) Statistik -p [Protokoll] über TCP oder UDP-r Routingtable-s Statistik (ausführlich)
interval [sec] automatischer Update (in sec)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 291 -© Gerhard M. Glaser
MG G
Trouble-Shooting - „eingebaute“ Tools/ Befehle (3)
• route Zeigt/ modifiziert die Routingtabelle undroutingspezifische Einträge
Syntax: route [command [dest.] [MASK netmask] [GW]]command PRINT
ADDDELETECHANGE
dest. Zieladresse für die der Eintrag gelten sollMASK Subnetzmaske GW Gateway (Router) für dest.
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 292 -© Gerhard M. Glaser
MG G
Trouble-Shooting - „eingebaute“ Tools/ Befehle (4)
• ping Testet Erreichbarkeit von IP-Rechnern-t unbegrenzt-n <count> Anzahl von Pings-l <size> Paketgröße (Vorsicht!)-f don’t fragment-i <TTL> TTL-Wert setzen/ vorgeben-v <TOS> TOS-Wert setzen-j <host-list> Loose Source Routing-k <host-list> Strict Source Routing-w <timeout> Wartezeit in ms-R Trace Route (nicht Windows OS)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 293 -© Gerhard M. Glaser
MG G
Trouble-Shooting - „eingebaute“ Tools/ Befehle (5)
• Tracert Trace Route*)
-d keine Hostnamen anzeigen (nur IP-Adressen) -h TTL-Feld -j Loose Source Routing-w Time Out (in ms)
Syntax: tracert [-d] [-h max_hops] [-j host-list] [-w ms] Name
*) nur Windows Betriebssysteme
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 294 -© Gerhard M. Glaser
MG G
Kapitel 24
Sicherheit
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 295 -© Gerhard M. Glaser
MG G
FirewallsIDS/ IPS
Honeypot etc.
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 296 -© Gerhard M. Glaser
MG G
Firewall + DMZ (2-stufig)
Internet Firewall System
DMZ
DMZ = Demilitarisierte Zone
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 297 -© Gerhard M. Glaser
MG G
Firewall-Typen
• Packet-/ Port-Filter-Firewall (Router)– arbeitet auf IP-Address-/ Port-Ebene
(Layer 3 + 4)
• Application Level Firewall– arbeitet auf Anwendungsebene
(Layer 5 - 7)
• Stateful [Packet] Inspection Firewall (SPI)/Stateful Packet Filter Firewall (SPF)– arbeitet zwischen Schicht 3 und 7 (je nach Bedarf)– „kennt“ Zustand der Verbindungen („dynamische Paket-Filterung)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 298 -© Gerhard M. Glaser
MG G
Packet-/ Port-Filter Firewall
• Vorteile:– Schnell– Einfach zu implementieren– Kostengünstig
• Nachteil– Nur begrenzte Sicherheit
(Address Spoofing, Dienste-Tunneling, Fragmentierungs-Attacke)– Schwierigkeiten bei UDP– Schlechte Statistik-/ Logging-Funktionen– Komplexe Filterregeln
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 299 -© Gerhard M. Glaser
MG G
Application Level Firewall
• Vorteile:– Hohe Sicherheit– Gute Logging-/ Protokollierungs-Möglichkeiten– Content-Filtering– Caching– Authentisierung möglich– Interne Netzstruktur bleibt komplett verborgen
• Nachteil– Langsam– Komplex zu implementieren– Teuer– Unflexibel bzgl. neuer Services
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 300 -© Gerhard M. Glaser
MG G
Stateful (Packet) Inspection (SPI)-/Stateful Packet Filtering (SPF)- Firewall
• Vorteile:– Hohe Sicherheit– Gute Logging-/ Protokollierungs-Möglichkeiten– Gut skalierbar– Geeignet für UDP-Protokolle– Vergleichsweise schnell (aber langsamer als Packet Filter)– Ggf. Content-Filtering (kein Caching!)– Ggf. Authentisierung möglich
• Nachteil– Sorgfältige Konfiguration notwendig– Performante Rechner notwendig– Teuer
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 301 -© Gerhard M. Glaser
MG G
Filter-Regeln
• allow– Lässt Pakete passieren
• reject– Weist Pakete mit Fehlermeldung zurück– Firewall ist sichtbar
• drop/ deny– Verwirft Pakete ohne Fehlermeldung– Firewall ist unsichtbar (Achtung: ICMP-Pakete)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 302 -© Gerhard M. Glaser
MG G
IDS/ IPS
• IDS: Intrusion Detection– Analysiert Datenstrom
(Y-Anschluss möglich)– Arbeitet nur passiv
• IPS: Intrusion Prevention– Analysiert Datenstrom
(direkt im Datenstrom)– ergreift Gegenmaßnahmen
(Sperren des Rechners)– Arbeitet dynamisch
(im Vergleich zu einer Firewall)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 303 -© Gerhard M. Glaser
MG G
Honeypot, Honeynets, Honewalls
• Honeypot:– einzelner Rechner, der Angreifer anlockt– Mit interessantem Namen (z.B. forschungsrechner.basf-ag.de)– Eigene Daemons (z.B. honeyd - http://www.honeyd.org/)
• Honeynet:– ganzes Netz (http://www.honeynet.org/)– bestehend aus mehreren Honeypots - ggf.
• Honeywall:– präparierte Firewall
• Werden i.a. mit IDS bzw. IPS kombiniert• Nutzung von Root-Kits• Dienen der Erkennung neuer Angriffsversuche/ -techniken• Weitere Infos: http://www.heise.de/netze/artikel/77373
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 304 -© Gerhard M. Glaser
MG G
Honeypots, Honeynets, Honeywalls- Quellen -
• http://www.heise.de/netze/artikel/77373(Heise: „Mit Honeynet Hacker fangen”)
• http://www.testticker.de/ipro/praxis/security/article20050703006.aspx(Internet Professionell: „Falle für Hacker“)
• http://www.tecchannel.de/sicherheit/grundlagen/431426/(Tecchannel: „Grundlagen: was Sie über Honeypots wissen müssen“)
• http://project.honeynet.org/(„The Honeynet Project - engl.inkl. Hoeywall auf CD: http://project.honeynet.org/tools/cdrom/)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 305 -© Gerhard M. Glaser
MG G
Portscanning
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 306 -© Gerhard M. Glaser
MG G
Scan-Verfahren
• TCP Connect Scan• TCP SYN-Scan• TCP Stealth-Scan
• UDP-Scan
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 307 -© Gerhard M. Glaser
MG G
TCP Connect Scan
• Kompletter Verbindungsaufbau– Antworten
Verbindung erfolgreichRST geschlossener PortKeine Anwort Firewall
– Vorteil:Eindeutige Entscheidung möglich
– Keine „False Positive“Keine Root-Rechte notwendig
– Nachteile:Rechner wird belastetEntdeckungsgefahr hochGegenmaßnahmen können eingeleitet werden
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 308 -© Gerhard M. Glaser
MG G
TCP SYN (Half Open) Scan
• Es wird nur ein SYN gesendet und auf die Antwort (ACK/ RST) gewartet– Antworten:
SYN ACK Port ist geöffnetRST Port ist geschlossenKeine Antwort Portfilter (Firewall) ist vorgeschaltet
(oder Rechner existiert nicht)– Vorteil:
Rechner wird gering belastetEindeutige Entscheidung möglichEntdeckungsgefahr geringer (abhängig von Rechner, FW, IDS)
– DoD-Attacken möglich– Nachteil:
Gegenmaßnahmen können eingeleitet werdenRoot-Rechte nötig
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 309 -© Gerhard M. Glaser
MG G
TCP Stealth Scans (1)
• Es wird ein ungültiges Paket gesendet– Paket-/ Scan-Typ:
FIN (Verbindungsende)FIN, URG, PUSH (ggf. ACK, SYN) (Xmas-Scan)Null (keine Flags)
– Antworten:<drop> Port ist geöffnet (Standard-Verhalten)
Achtung: Microsoft, Cisco … senden RSTRST Port ist geschlossen
(oder auch nicht Microsoft, Cisco etc.)Keine Antwort Portfilter (Firewall) ist vorgeschaltet – oder
Rechner existiert nicht
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 310 -© Gerhard M. Glaser
MG G
TCP Stealth Scans (2)– Vorteile:
Rechner kaum belastetSchwer zu erkennen („stealthy“) - kein formeller TCP-Zustand
– Nachteile:Ergebnisinvertierung: Antworten nur für geschlossene PortsKeine eindeutigen Antworten
– „False Positive“ bei Paketverlust/ Drop– Microsoft, Cisco etc. verhalten sich nicht standard-konform:
RST auch bei offenem PortRoot-Rechte nötig
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 311 -© Gerhard M. Glaser
MG G
UDP-Scan
• kein direkter Scan möglich(keine Verbindungen/ keine Flags)
• Senden eines leeren Paketes– Antworten:
Keine Antwort: Port offenFirewallICMP gesperrt (häufig!)
ICMP Port Unreachable Port geschlossen
• Problem: Keine zuverlässigen Aussagen möglich
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 312 -© Gerhard M. Glaser
MG G
Virtuelle Private Netzwerke/Virtual Private Networks
(VPN)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 313 -© Gerhard M. Glaser
MG G
VPN – Typen
• Site-To-Site: Verbindung von Standorten(Network-To-Network)
• Client-To-Site: Remote Access• Client-To-Client: Peer To Peer
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 314 -© Gerhard M. Glaser
MG G
VPN - Einsatzgebiete
• Technologie zur Kostenersparnis• Keine Technologie für erhöhte Sicherheit
(„Was kommt nach dem Tunnel?“)
• Technologie zur Netzwerkstrukturierung(z.B. userbezogene IP-Adressen)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 315 -© Gerhard M. Glaser
MG G
VPN – Grafische Darstellung(Beispiel)
Firmennetzwerk(Intranet)
PublicInternet
VPN-ServerT-OnlineFreeNet
etc.
BWW
R3 Systeme
Lotus NotesServer
NetwareNDS
AAA-Server(RADIUS, ACE)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 316 -© Gerhard M. GlaserStand: 14.08.2008
Tunneling Protokolle
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 317 -© Gerhard M. Glaser
MG G
Tunneling Protokolle(Auswahl)
• IPsec• PPTP (Microsoft „alt“)• L2TP (Microsoft „neu“) bzw.
L2TP/ IPsec („IPsec secured L2TP“)• SSL
• Provider-Netze:MPLS (Multiprotokoll Label Switching)(vgl. RFC 4364)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 318 -© Gerhard M. Glaser
MG G
IPsecRFC 4301 - 4309 (Status: Proposed Standard – 12/2005)
• Layer 3 Protokoll• IP-Tunneling (ausschließlich!)• Paketverschlüsselung (beliebige Algorithmen)• Paketintegrität (Hash-Based Message Authentication Code)• Paketauthentifizierung („Abfallprodukt“ des HMAC)• Benutzerauthenfizierung• Schutz vor Replay-Angriffen• Schlüsselmanagement
IKE (Internet Key Exchange) - UDP-Port-Nr.: 500 – RFC 4306)• Primäre Aufgabe: Security-Protokoll
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 319 -© Gerhard M. Glaser
MG G
IPsec - Tunnel- und Transport-Modus (Verschlüsselung)
IP TCP Daten
IP TCP DatenIP ESP
TCP DatenIP ESPIPsec-Transport-Modus
Verschlüsselter Bereich
Verschlüsselter Bereich
IPsec-Tunnel-Modus
Original-Paket
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 320 -© Gerhard M. Glaser
MG G
IPsec - Tunnel- und Transport-Modus (Authentisierung)
IP TCP Daten
IP TCP DatenIP AH
TCP DatenIP AHIPsec-Transport-Modus
Authentifizierter Bereich
Authentifizierter Bereich
IPsec-Tunnel-Modus
Original-Paket
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 321 -© Gerhard M. Glaser
MG G
Layer Two Tunneling Protocol (L2TP)RFC 2661 (Status: Proposed Standard – 8/1999)
• Layer 2 (beinhaltet PPP)• Tunneling aller Layer 3 Protokolle
(z.B. IP, IPX, AppleTalk)• Keine Verschlüsselung
( „IPsec secured L2TP“)• Benutzerauthentifizieung (keine Paketauthentifizierung)• Primäre Aufgabe: Tunneling-Protokoll
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 322 -© Gerhard M. Glaser
MG G
L2TP/ IPsec - IPsec Secured L2TP RFC 3193 (Status: Proposed Standard 11/2001)
Microsoft Knowledge Base: Q265112
IP TCP Daten
IP TCP DatenPPPL2TP
IP TCP DatenPPPL2TPUDP(port 1701)
ESPIP
Original-Paket
L2TP-Tunnel (Layer 2!)
IPsec-Verschlüsselung
Verschlüsselter Bereich
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 323 -© Gerhard M. Glaser
MG G
SSL (Secure Socket Layer)TLS (Transport Layer Security)
• Darunter liegende Schicht: Transport Schicht (TCP)• Für verschiedene Dienste nutzbar (Port-Nr.) – u.a.:
– https (443)– nntp (563)– ldap (636)– ftp (data/ control) (989/ 990)– telnet (992)– pop3 (995)
• SSL: entwickelt von Netscape (1994)TLS: RFC 4346 (Proposed Standard – 4/2006)
• Basiert auf dem Austausch von Zertifikaten (X.509)• Algorithmen: RSA, RC4 (SSL v1, v2) bzw. D/H (TLS)• SSL-VPN: Die Daten müssen u.U. bis zum Application Layer
gereicht bzw. „emuliert“ werden (SSL-Appliance auf Server)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 324 -© Gerhard M. Glaser
MG G
Synonyme
• Tunneling• Encapsulation• Enveloping
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 325 -© Gerhard M. Glaser
MG G
Verschlüsselung,digitale Signatur,
PKI/ Zertifikate
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 326 -© Gerhard M. Glaser
MG G
Verschlüsselung undverwandte Sicherheitsmechanismen
• Symmetrische Verschlüsselung• Asymmetrische Verschlüsselung• Hybride Verschlüsselung
• Digitale Signatur• Hash-Verfahren• PKI/ Zertifikate• Authentisierung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 327 -© Gerhard M. Glaser
MG G
Symmetrische Verschlüsselung (1)
• Ältestes Verfahren– Caesar-Verschlüsselung (z.B. ROT-13)– XOR-Verschlüsselung– Enigma
• Ein Schlüssel zum ver- und entschlüsseln• Gebräuchliche Schlüssellängen:
– 128 – 256 Bit• Algorithmen:
– Idea– RC4– CAST– Blowfish– DES/ Triple-DES– AES
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 328 -© Gerhard M. Glaser
MG G
Symmetrische Verschlüsselung (2)
• Vorteile:– Schnell
• Nachteile:– Schlüsselübertragung unsicher– Schlüsselverwaltung aufwändig
(bei n-Partnern 2n-1 Schlüssel notwendig)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 329 -© Gerhard M. Glaser
MG G
Symmetrische Verschlüsselung (Darstellung)
Sender Empfänger
1.
3.2. 4.
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 330 -© Gerhard M. Glaser
MG G
Asymmetrische Verschlüsselung (1)
• Relativ junges Verfahren– 1975: Diffie & Hellman: erste Idee– 1977: Rivest, Sharmir & Adleman: erstes Verfahren (RSA)
• Ein Schlüsselpaar zum ver- und entschlüsseln(Prinzip „Briefkasten“)– Public Key zum Verschlüsseln– Private Key/ Secret Key zum Entschlüsseln
• Algorithmen (typische Schlüssellängen)– RSA (1024 – 4096)– Diffie-Hellmann (D/H) (768 – 3072)– ECC/ Elliptic Curve Cryptography (160 – 300)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 331 -© Gerhard M. Glaser
MG G
Asymmetrische Verschlüsselung (2)
• Vorteile:– Keine Probleme beim Schlüsselaustausch– Ein Schlüssel für jeden Partner
• Nachteile:– Langsam wg. Schlüssellänge
(ca. Faktor 1000 im Vergleich zur symmetr. Verschlüsselung; bei RSA)– Empfänger muss vor Verschlüsselung aktiv werden
(Public Key Generierung)– Absolute, theoretische Sicherheit nicht erreichbar
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 332 -© Gerhard M. Glaser
MG G
Asymmetrische Verschlüsselung (Darstellung)
Sender Empfänger1.
3.2. 4.
Public Key (Empfänger) Private Key (Empfänger)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 333 -© Gerhard M. Glaser
MG G
Hybride Verschlüsselung (1)
• Kombiniert Vorteile aus symmetrischer und asymmetrischer Verschlüsselung
• Überwiegend eingesetztes Verfahren(z.B. IPsec)
• Schlüsselwechsel während Übertragung möglich(zusätzliche Sicherheit)
• Mehrere Empfänger möglich
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 334 -© Gerhard M. Glaser
MG G
Hybride Verschlüsselung (2)
• Text/ Datei wird mit symmetrischen Schlüssel(Session Key) verschlüsselt(schnell)
• Session Key wird zur Übermittlung von Sender zu Empfänger asymmetrisch verschlüsselt(sicher, nicht langsam)
• Mehrfachverschlüsselung des Session Keys möglich(Mehrfachempfänger)
• Nachteil:– Empfänger muss vor Verschlüsselung aktiv werden
(Public Key Generierung)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 335 -© Gerhard M. Glaser
MG G
Hybride Verschlüsselung (Darstellung)
Sender Empfänger
Session Key Public Key Private KeyLegende:
2.
3.
5.
6.
1.
4.
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 336 -© Gerhard M. Glaser
MG G
Digitale Signatur
• Nutzt Public Key Verfahren• Verwendung der Schlüssel spiegelverkehrt zur
asymmetrischen (RSA-) Verschlüsselung– Verschlüsselung mit Private Key des Senders– Entschlüsselung mit dem Public Key des Senders
• „Quersumme“ (genau: Hash) über Text/ Datei• Hash wird verschlüsselt• Konsequenz
– Überprüfung des Absenders (Authentizität)– Modifikationen am Text feststellbar– Text für jeden lesbar
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 337 -© Gerhard M. Glaser
MG G
Hash
• „Quersumme“ über Datei/ Text • Eigenschaften
– Feste Länge• MD-5 (Message Digest): 128 Bit• SHA-1 (Secure Hash Algorithm): 160 Bit• SHA-512: 512 Bit
– Unumkehrbar– Eindeutig (keine Kollisionen - ideal);
nicht berechenbar (kollisions-resistent - real)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 338 -© Gerhard M. Glaser
MG G
PKI (Public Key Infrastructure)
• Standard: X.509• Dient der Ausstellung, Beglaubigung und Verteilung von öffentlichen
Schlüsseln/ Zertifikaten• Ist hierarchisch aufgebaut• Certification Authority (CA) - oberste Instanz:
– Stellt Zertifikate aus– Erstellt Sperrlisten sog. Certificate Revocation List (CRL)– Sub-CAs möglich (Delegation von Aufgaben)
• Registration Authority (RA):– Zuordnung: Person Zertifikat– Aufwand abhängig von Klasse/ Verwendungszweck des Zertifikats
• Zertifizierung zwischen zwei „Bäumen“ möglich:Cross-Zertifizierung
• Gegensatz: „Web Of Trust“ (vgl. PGP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 339 -© Gerhard M. Glaser
MG G
Zertifikate
• Dienen der Zuordnung und „Beglaubigung“ des Public Keys• Inhalt (gemäß X.509):
– Öffentlicher Schlüssel des Zertifikat-Inhabers– Signatur der ausstellenden CA– Gültigkeitsdauer– Extensions
• Formate:– PEM (.crt)– DER (.der)– PKCS#12– Text (.txt)
• Kostenlose Zertifikate:http://www.cacert.org
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 340 -© Gerhard M. Glaser
MG G
Aufbau einer SSL-Verbindung1. Initialisierung (Client Hello/ Server Hello)
3. Überprüfen des Server-zertifikats(mittels Root-Zertifikat)
4. Entnehmen des Public-Key
5. Generieren undVerschlüsseln des Session-Key
6. Senden des Session-Key
2. Senden des Server-Zertifikat
7. Empfangen und Entschlüsseln des Session Key
Verschlüsselte Kommunikation
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 341 -© Gerhard M. GlaserStand: 14.08.2008
Authentisierung
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 342 -© Gerhard M. GlaserStand: 14.08.2008
Password Authentication Protocol (PAP)/
Challenge Handshake Authentication Protocol (CHAP)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 343 -© Gerhard M. Glaser
MG G
Vergleich PAP/ CHAP
Eigenschaft PAP CHAPDefiniert in RFC 1334 RFC 1994
Verschlüsselte Passwordübertragung − X
Client-Authentisierung X −
Einsatz mit Token Cards etc. möglich X −
Überprüfung der Authentizität während einer Session − X
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 344 -© Gerhard M. Glaser
MG G
PAP (Ablauf)
Quelle: http://docs.sun.com/source/816-4555/images/PAP-auth-pro.gif
Client Server
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 345 -© Gerhard M. Glaser
MG G
CHAP (Ablauf)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 346 -© Gerhard M. GlaserStand: 14.08.2008
Remote Authentication Dial-In User Service(RADIUS)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 347 -© Gerhard M. Glaser
MG G
Remote Authentication Dial-In User Service(RADIUS)RFC 2865
• Darunter liegende Schicht: Transport Schicht (UDP)• UDP/ TCP-Port: 1812 (alt: 1645)• Protokoll (Verfahren) zur Authentisierung von
Rechnern, Netzzugängen (802.1x) und Applikationen• AAA-Server
Authentication, Authorization, Accounting
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 348 -© Gerhard M. Glaser
MG G
Remote Authentication Dial-In User Service(RADIUS)
• Authentisierungs-Informationen in zentraler Datenbank(z.B. User-ID, Password, IP-Adresse, Tunnel-Typ etc.)
• Mehrere Geräte/ Applikationen greifen auf einen zentralen Datenbestand zu– Operative Vereinfachung/ Kostenersparnis– Sicherheitsfaktor
• Genormte Schnittstelle für weitere Verfahren(z. B. RSA SecurID)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 349 -© Gerhard M. Glaser
MG G
RADIUS – unterstützte Tunnel-TypenRFC 2868
• 1 Point-to-Point Tunneling Protocol (PPTP)• 2 Layer Two Forwarding (L2F)• 3 Layer Two Tunneling Protocol (L2TP)• 4 Ascend Tunnel Management Protocol (ATMP)• 5 Virtual Tunneling Protocol (VTP)• 6 IP Authentication Header in the Tunnel-Mode (AH)• 7 IP-in-IP Encapsulation (IP-IP) (s. RFC 2003)• 8 Minimal IP-in-IP Encapsulation (MIN-IP-IP)• 9 IP Encapsulating Security Payload in the Tunnel-Mode (ESP)• 10 Generic Route Encapsulation (GRE)• 11 Bay Dial Virtual Services (DVS)• 12 IP-in-IP Tunneling (s. RFC 1853)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 350 -© Gerhard M. Glaser
MG G
RADIUS – unterstützte ProtokolleRFC 2868
• 1 IPv4 (IP version 4)• 2 IPv6 (IP version 6)• 3 NSAP – NSAP = “Network Service Access Point”• 4 HDLC (8-bit multidrop)• 5 BBN 1822• 6 802 (includes all 802 media plus Ethernet "canonical format")• 7 E.163 (POTS) – POTS = “Plain Old Telephone Service”• 8 E.164 (SMDS, Frame Relay, ATM)• 9 F.69 (Telex)• 10 X.121 (X.25, Frame Relay)• 11 IPX• 12 Appletalk• 13 Decnet IV• 14 Banyan Vines• 15 E.164 with NSAP format subaddress
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 351 -© Gerhard M. GlaserStand: 14.08.2008
NAT/ PATFunktionsweise und Probleme
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 352 -© Gerhard M. Glaser
MG G
Einschub:Network Address Translation (NAT)
Port [And] Address Translation (PAT)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 353 -© Gerhard M. Glaser
MG G
Network Address Translation (NAT)
• Überbegriff für alle Verfahren zur Adress-Umsetzung• Spezielle Bedeutung:
1-zu-1-Adressumsetzung(N-to-N-NAT)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 354 -© Gerhard M. Glaser
MG G
Network Address Translation1-zu-1-Umsetzung
• Direkte Zuordnung von Adressen unterschiedlicher Netzwerke1. Öffentliche Adressen private Adressen
(Einsparung öffentlicher Adressen)2. Private Adressen private Adressen
(z.B. bei Firmenübernahmen)
Beispiel für 2.)Fusion zweier Netze (A und B), die beide schon 192.168.x.x. nutzenNetz B nutzt darüber hinaus 10.x.x.x schon komplett
• Netz A: 172.16.x.x Netz B: 192.168.x.x• Netz B: 172.16.x.x Netz A: 192.168.x.x
• Normales Routing für 10.x.x.x
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 355 -© Gerhard M. Glaser
MG G
Port [And] Address Translation (PAT)
• Synonyme:– NAT (Achtung: Verwechlungsgefahr)– NPAT (Network and Port Address Translation)– 1-to-N-NAT– Masquerading
• Kopplung privater Netze mit einer öffentlichenIP-Adresse an das Internet
• Identifikation/ Zuordnung findet im PAT-Router statt– Private IP-Adressen/ Ports erhalten dynamisch Ports zugewiesen
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 356 -© Gerhard M. Glaser
MG G
PAT- Funktionsweise -
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 357 -© Gerhard M. Glaser
MG G
PAT - Eigenschaften
• Alle Rechner des privaten Netzes können auf das Internet zugreifen
• Probleme bei der Nutzung von FTP(vgl. aktiver/ passiver FTP)
• Zugriff aus dem Internet in das private Netz ist nicht bzw. nur eingeschränkt möglich
WICHTIG:Ein PAT-Router ist nicht automatisch eine Firewall
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 358 -© Gerhard M. Glaser
MG G
PAT – Zugriff aus dem Internet
• Ohne manuellen Eingriff am Router nicht möglich• Zusätzliche Funktionalität/ Konfiguration notwendig
– Port Forwarding– Virtueller Server
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 359 -© Gerhard M. Glaser
MG G
PAT – Zugriff aus dem Internet- Funktionsweise -
• Einem (eingehenden) Destination-/ Server-Port wirdein festes Ziel (private IP-Adresse bzw. Socket) zugewiesen
• Pro Destination-Port immer nur ein Ziel möglich• Aber:
Mehrere Server pro Rechner realisierbar(z.B. FTP- und Web-Server)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 360 -© Gerhard M. Glaser
MG G
Probleme im Umfeld von NAT/ PAT
• Probleme im Umfeld von NAT/ PATbei– UDP/ Firewalls– IPsec
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 361 -© Gerhard M. Glaser
MG G
UDP-Kommunikation über Firewallzwischen zwei PAT-Netzen
• Problem:Adressen werden dynamisch vergeben und können nicht freigeschaltet werden
• Kommunikation erfolgt immer mit Destination-Ports• Lösung:
– STUN– UDP Hole Punching
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 362 -© Gerhard M. GlaserStand: 14.08.2008
STUN(Simple Traversal of UDP
Through NAT)
UDP Port Punching
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 363 -© Gerhard M. Glaser
MG G
STUNRFC 3489
• Darunter liegende Schichten: Transport Schicht/ Layer 4: – UDP (Binding Request)– TLS (Shared Secret Requests)
• UDP/TCP Port-Nr.: 3478• Einsatz von STUN-Server:
kennt die öffentlichen/ privaten Adressen beider Partner• Erkennt NAT-Devices• Teilt anfragenden Applikationen öffentliche Adresse mit• STUN-Server Download unter:
http://sourceforge.net/projects/stun/
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 364 -© Gerhard M. Glaser
MG G
UDP Hole Punching- prizipielle Funktionsweise -
• Server teilt beteiligten Clients die öffentlichen Port-Nr. des anderen mit
• Beide Clients starten Kommunikationsversuch über diese Ports
• Ports werden in beiden Richtungen genutzt
Firewall/ PAT-Router wird „freigeschossen“
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 365 -© Gerhard M. Glaser
MG G
UDP Hole Punching- ausführliche Funktionsweise -
1. Es existiert eine Verbindung zu externem Server (mit öffentlicher IP und Port-Nr.2. A erhält öffentliche Port-Nr. (und öffentlicher IP-Adresse) von B – und
umgekehrt(durch Server)
3. A sendet Paket an B mit interner Source und als Destination öffentlicher Port-Nr. von BNAT-Device A wird für alle eingehenden Pakete mit Destination öffentliche Port-Nr. A und öffentlichem Absender B geöffnet
4. Das Paket scheitert an NAT B-Device5. B sendet Paket an A mit interner Source und Destination öffentlicher Port-Nr.
von ANAT B-Device wird für alle eingehenden Pakete mit Destination öffentlicher Port-Nr. von B geöffnet
6. Das Paket passiert NAT A-Device (vgl. 3)7. Antwortpaket von A passiert nun auch NAT B-Device (vgl. 5)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 366 -© Gerhard M. Glaser
MG G
UDP Hole Punching- Beispiel (Erklärung) -
1. Existierende Verbindungen zu externem Server S:– A (intern): Source: 4321
Destination: 1234– A (extern): Source: 62000
Destination: 1234– B (intern): Source: 4321
Destination: 1234– B (extern): Source: 31000
Destination: 1234
Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 367 -© Gerhard M. Glaser
MG G
UDP Hole Punching- Beispiel (Erklärung – Forts.) -
2. A erhält öffentliche Port-Nr. (und öffentlicher IP-Adresse) von B– und umgekehrt (durch Server)
3. A sendet Paket an B mit Source 4321 bzw. 62000 und Destination 31000.NAT-Device A wird für alle eingehenden Pakete mit Destination 62000 bzw. 4321 geöffnet
4. Das Paket scheitert an NAT B-Device (noch nicht „gepunched“)5. B sendet Paket an A mit Source 4321 bzw. 31000 und Destination 62000.
NAT B-Device wird für alle eingehenden Pakete mit Destination 31000 bzw. 4321 geöffnet.
6. Das Paket passiert NAT A-Device (vgl. 3).7. Antwortpaket von A passiert nun auch NAT B (vgl. 5)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 368 -© Gerhard M. Glaser
MG G
Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/
UDP Hole Punching- Beispiel (Grafik) -
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 369 -© Gerhard M. GlaserStand: 14.08.2008
IPsec Kommunikation überNAT-/ PAT-Devices
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 370 -© Gerhard M. Glaser
MG G
IPsec Kommunikation überNAT-/ PAT-Devices
• Problem:– Änderungen im Header nicht möglich
(Verschlüsselung)– Änderungen im Header machen das Paket ungültig
(Authentifizierung)– IKE (UDP-Port-Nr.: 500) funktioniert nicht mit mehreren Rechnern
hinter NAT-Device
• Lösung:Adressumsetzung muss vor IPsec erfolgenNAT-Traversal (NAT-T)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 371 -© Gerhard M. Glaser
MG G
NAT TraversalNAT-T
(RFC 3947)
• Untersucht ob NAT-Geräte auf Verbindungspfad existieren• Überprüft, ob beide Peers NAT-T unterstützen• Kapselt IP-Pakete in (Standard-)UDP-Pakete
UDP/TCP-Port-Nr.: 4500• Sendet NAT-Keep-Alive Pakete
IP TCP DatenUDP(port 4500)
ESPIP
Verschlüsselter Bereich
NAT-T-Paket(vgl. RFC 3948)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G
- 372 -© Gerhard M. GlaserStand: 14.08.2008
AnhangAnhang
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 373 -© Gerhard M. Glaser
MG G
Kostenlose Tools
• Wireshark (ehemals: Ethereal)Netzwerk-Protokoll-Analyzer für WindowsDownload: http://www.wireshark.org bzw. http://www.ethereal.com/
• NmapDer Portscanner (UNIX, LINUX, DOS)Download: http://www.insecure.org/nmap/
• Advanced Portscanner bzw. Advanced LAN-ScannerWindows-PortscannerDownloads:http://www.radmin.com/radmin/utility/pscanner.php/ bzw. http://www.radmin.com/radmin/utility/lscan.php
• NeotraceGrafisches Traceroute-Frontend für WindowsDownload: http://www.zdnet.de/downloads/prg/e/0/de0DE0-wc.html
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 374 -© Gerhard M. Glaser
MG G
Listen zuHerstelleradressen, Typ-Feldern und DSAP/ SSAP
www.cavebear.com/CaveBear/Ethernet/vendor.html Herstellerkennungwww.cavebear.com/CaveBear/Ethernet/type.html Typ-Felderwww.cavebear.com/CaveBear/Ethernet/multicast.html Multicast-Pakete
(Adresse + Typ)
www.ethermanage.com/ethernet/enet-numbers/ieee-oui-list.html Herstellerkennung (von IEEE mit Anschrift -aber nicht ganz so umfangreich)
www.ethermanage.com/ethernet/enet-numbers/ieee-lsap-list.html DSAP/ SSAP (bei IEEE registriert)
www.ethermanage.com/ethernet/enet-numbers/cisco-lsap-list.html DSAP/SSAP (von CISCO installiert)
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 375 -© Gerhard M. Glaser
MG G
Weitere wichtige Adressen im InternetIANA (Internet Assigned Numbers Authority): www.iana.orgAssigned Numbers: www.iana.org/numbers.htmlTCP/ UDP-Port-Nr.: www.iana.org/assignments/port-numbersWichtige Organisationen: www.iana.org/implinks.htmIPv4 Address Space: www.iana.org/assignments/ipv4-address-space
RFCs (RFC Editor): www.rfc-editor.org/RFCs (Direktaufruf): ftp.isi.edu/in-notes/rfc<Nr.>.txtInternet Standards (STD) : ftp.rfc-editor.org/in-notes/std/std1.txtOfficial Internet Protocol Standards: www.rfc-editor.org/rfcxx00.html
DE-NIC: www.denic.de/
IPv6: www.computermethods.com/ipng/
802-Standards: standards.ieee.org/catalog/802info.html
Internet-Movie (Warriors of the Net) www.warriorsofthe.net/movie.html
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 376 -© Gerhard M. Glaser
MG G
Literatur (Netzwerke)
Hein, Mathias: TCP/IP im Einsatz - mitp (Datacom)ISBN 3-8266-4094-2Hunt, Craig: TCP/ IP Netzwerk- Administration - O'Reilly,ISBN 3-8972-1110-6Doyle, Jeff: Routing TCP/IP - Markt und Technik (Cisco Press - CCIE #1919)ISBN 3-8272-533-3Dittler, Hans Peter: IPv6 - das neue Internet Protokoll - dpunkt-Verlag;ISBN 3-932588-18-5Tanenbaum, Andrew S. - Computer Networks (engl.) - Prentice HallISBN 0-13-066102-3
Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 377 -© Gerhard M. Glaser
MG G
Literatur (Security)
Lipp, Manfred: VPN - Virtuelle Private Netzwerke. Aufbau und Sicherheit –Addison-Wesley - ISBN 978-3827322524
Honeypot Project: Know Your Enemy. Mit CD-ROM: Learning About Security ThreatsAddison-Wesley – ISBN: 978-0321166463