Netzwerk

Netzwerke verbinden verschiedene Systeme miteinander, um einen Datenaustausch zwischen diesen Systemen zu ermöglichen. Dies hat nicht nur den Vorteil, dass die Systeme Informationen untereinander austauschen können, sondern ein Netzwerk ermöglicht auch das gemeinsame Nutzen von Ressourcen. Ein weiterer Vorteil von Netzwerken liegt darin, dass eine Kommunikation zwischen verschiedenen Systemen auch über eine große räumliche Entfernung möglich wird. So kann beispielsweise eine Firma mit zwei Standorten und einem Rechenzentrum in der Cloud systemtechnisch trotzdem miteinander verbunden sein.

Merkmale, die Netzwerke ausmachen

Netzwerke können nach der räumlichen Ausdehnung, also ihrer Größe unterschieden werden.

  • Das PAN (Personal Area Network) hat einen Umfang von circa 10m und bezeichnet die Vernetzung von Geräten im direkten persönlichen Umfeld, wie z.B. das Heimnetzwerk im Wohnzimmer oder die Verbindung von PDA und Rechner.
  • Das LAN (Local Area Network) hat eine Ausdehnung bis zu 900m und wird meistens in Unternehmen eingesetzt.
  • Das MAN (Metropolitan Area Network) umfasst bis zu 60 km. Das MAN ist ein Stadt- bzw. Regionalnetz.
  • Das WAN (Wide Area Network) ist das Weitverkehrsnetz und für weite Strecken konzipiert und streckt sich über Länder wie auch Kontinente.

Netzwerke werden auch durch die Art der Leitungsführung (Topologie), nach Art der Übertragung oder nach Übertragungsgeschwindigkeit unterschieden.



neueste Konzepte neueste Blog Beiträge Konzepte Seite Blog Seite

Blogeinträge
Palo Alto PA-200 Angriffe

Übersicht über die Profile zum Sperren von Dateien

Die Firewall verwendet Profile zur Dateisperrung, um bestimmte Dateitypen über bestimmte Anwendungen und in der angegebenen Sitzungsflussrichtung (eingehend/ausgehend/beide) zu blockieren.
Palo Alto PA-200 Angriffe

Schutz gegen Ransomware (Filtern von Windows PE-Dateien)

Zum Schutz vor Ransomware sollten die ausführbaren Windows PE-Dateien nach Inhalt und nicht nur nach deren Erweiterung gefiltert werden.
Palo Alto PA-200 Factory reset

Wie führe ich einen Werksreset bei einer PA-200 durch?

Die folgenden Schritte beschreiben, wie du eine PA-200 auf die Werkseinstellungen zurücksetzt.

Sicherheitsrichtlinien
VoIP

Sicherheitsrichtlinie "Voice over IP (VoIP)"

Diese Sicherheitsrichtlinie betrachtet die Sicherheitsaspekte der VoIP-Endgeräte und Vermittlungseinheiten (Middleware). Die hier beschriebenen Komponenten gleichen hinsichtlich ihrer Funktionalität den in der Sicherheitsrichtlinie „TK-Anlage“ beschriebenen Telekommunikationsanlagen. Bei der Erstellung dieser Sicherheitsrichtlinie wurden die Vorgaben des BSI Bausteines NET.4.2 "VoIP" aus dem Kompendium 2020 beachtet.
TK-Anlage

Sicherheitsrichtlinie "TK-Anlage"

Das Ziel der Sicherheitsrichtlinie ist der Schutz der Informationen, die über TK-Anlagen übermittelt werden sowie der Schutz der Anlage vor Fremdeingriffen und Manipulationen. Bei der Erstellung dieser Sicherheitsrichtlinie wurden die Vorgaben des BSI Bausteines NET.4.1 "TK-Anlagen" aus dem Kompendium 2020 beachtet.
VPN

Sicherheitsrichtlinie "VPN"

Diese Sicherheitsrichtlinie definiert Anforderungen, mit denen sich ein VPN zielgerichtet und sicher planen, umsetzen und betreiben lässt. Bei der Erstellung dieser Sicherheitsrichtlinie wurden die Vorgaben des BSI Bausteines NET.3.3 "VPN" aus dem Kompendium 2020 beachtet.

Konzepte
Cisco IOS NX-OS Härtung

Härtungsempfehlungen für IOS und NX-OS

Dieser Artikel benennt Konfigurationsempfehlungen für Cisco IOS und NX-OS Systeme und ermöglicht es die Sicherheit des Netzwerks insgesamt zu erhöhen. 

IPv6 Notation

Gegenüber der bekannten Schreibweise von IPv4 ist die Notation von IPv6 etwas gewöhnungsbedürftig. Getrennt durch einen Doppelpunkt bestehen IPv6-Adressen aus 8 Blöcken mit jeweils vierstelligen Hexadezimalzahlen. Somit sieht eine IPv6-Adresse wie folgt aus 2001:db8:838a:1349:42db:8371:3050:ff34

Wie bei fast allem, gibt es auch für IPv6 gewisse Sonderregeln, um zum einen die Schreibweise aber auch die Lesbarkeit zu erleichtern. Folgende Schreibweisen sind ebenfalls legitim:

  • Führende Nullen innerhalb eines Segments können weggelassen werden, wobei mindestens eine Stelle bleiben muss.
  • Wenn ein oder mehrere Segmente den Wert 0 haben, können diese ausgelassen und durch einen zweiten Doppelpunkt ersetzt werden. Somit lässt sich die IPv6 Adresse 2001:db8:0:0:0:0:4ab:3054 auch wie folgt einkürzen 2001:db8::4ab:3054. Eine Kürzung darf jedoch nur einmal in einer Adresse vorgenommen werden, da sonst die Eindeutigkeit verloren ginge.

Damit nicht die Schreibweise mit dem Port in IPv4 in Verbindung gebracht wird,  wird bei einer URL Notation die IPv6-Adresse in eckige Klammern http://[2001:db8:db34:a::34:8420]/ gesetzt.

IPv6 Netznotation

Netze (Netzwerke) werden wie auch schon bei IPv4 unterteilt in Netzpräfix und Subnetz.

Das Subnetz hat dabei immer die Größe einer Zweierpotenz. Hieraus ableitend sind folgende Notation für Netzwerke üblich 2001:db8:94::/48. Der IP Adressraum reicht in diesem Beispiel von 2001:db8:94:0000:0000:0000:0000:0000 bis 2001:db8:94:ffff:ffff:ffff:ffff:ffff, wobei die Maske des Subnetzes in diesem Beispiel ffff:ffff:ffff:: ist. Dies bedeutet insgesamt beinhaltet dieses Netzwerk 280 IP Adressen.

Netzwerke in dieser Größe werden in der Regel an Endkunden vergeben. Dies hat zur Folge, dass die bisher gekannte Aufteilung aus dem Adressraum von IPv4 nicht mehr nötig sein wird.

Der Internet Service Provider ISP erhält meist von der RIR ein /32 Netz, für Endkunden ist entweder ein /48 oder /56 großes Netz vorgesehen.

IPv6 Adressbereiche

Loopback-Adresse: ::1/128

Die wohl einfachste und zudem sehr wichtige IP Adresse ist die Loopback-Adresse. Sie hat eine identische Aufgabe zu der IPv4-Adresse 127.0.0.1.

Link Local Unicast Adressraum: fe80::/10 -- fe80:: - febf::

Alle Adressen im Link Local Unicast Bereich werden nicht vom Router weitergeleitet und sind somit nur im LAN erreichbar. Dies bedeutet eine Netzwerkschnittstelle muss nicht mit angegeben werden. Die Link Local Unicast Adresse dient hauptsächlich der Autokonfiguration, kommt also nur zum Einsatz, wenn ansonsten keinen Adresse gebunden ist.

Unique Local Unicast Adressraum: fc00::/7 -- fc00:: - fd00

Die Local Unicast Adressen dienen der lokalen Adressvergabe, also innerhalb eines LANs. Bei IPv4 liegen die Bereiche für diesen Zweck bei 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16. Derzeitig wird nur das Netz fd00::/8 für lokal generierte Adressen verwendet, das Präfix fc00 hingegen soll in Zukunft der eindeutigen Zuweisung von Local Unicast Adressen dienen. Nach den 8 Bit, die für fc bzw. fd genutzt werden, folgen 40 Bit für die eindeutige Site-ID, danach 16 Bit als Subnetz. Die letzten 64 Bit sind der Interface Identifier.

Multicast Adressraum: ff00::/8 -- ff00:: - ffff::

Multicast Adressen dienen als Verteiler, über eine IP-Adresse werden somit mehrere Geräte angesprochen. Da es bei IPv6 keine eigene Broadcast Adresse gibt, werden hierfür zwei Multicast Adressen verwendet ff01::1 und ff02::1 Des Weiteren sind noch drei IP-Adressen wichtig, da mittels dieser Multicast Adressen alle Router in einem Bereich angesprochen werden ff01::2,ff02::2 und ff05::2

Global Unicast Adressraum

Alle andere Adressräume sind grundsätzlich Global Unicast Adressen. Jedoch wurden bis jetzt nur vier Bereiche definiert, die restlichen Adressen wurden bisher nicht zugewiesen.

  • 0:0:0:0:0:ffff::/96 -- IPv4 mapped (abgebildet)
  • 2000::/3 -- von der IANA an die RIRs vergebene Netze
  • 2002::/4 -- für den Tunnelmechanismus 6to4
  • 2001:db8::/32 -- für Dokumentationszwecke

Der erste Adressbereich dient dem zeitweisen Übergang von IPv4 zu IPv6. Die 32 Bit nach dem Präfix stellen die IPv4 Adresse dar, sodass ein Router zwischen den beiden Protokollen vermitteln kann, dennoch die IPv4 Adresse erkennbar bleibt.

IPv6 Privacy Extension

Mittels der Funktion Autokonfiguration bringt IPv6 eine bequeme und schnelle Möglichkeit mit, automatisch eine eindeutige IP-Adresse beziehen zu können. Die IP Adresse wird automatisch auf Basis des Interface Identifiers in diesem Fall generiert.

Durch die Einbeziehung der MAC-Adresse verliert man die Anonymität. Im Umkehrschluss bedeutet dies, alle Daten können immer einer IP Adresse zugeordnet werden. Um die genaue Zuordnung zu unterbinden wurde die Erweiterung „Privacy Extension" entworfen. Diese verhindert, dass die IP-Adresse stets gleich bleibt.

Durch einen Einschub von zufällig erzeugten Bytes in der Adresse wird die ein Einmaligkeit aufgebrochen. Natürlich sorgt dies nicht dafür, dass der Anwender völlig unentdeckt im Netz Daten abrufen kann, es ist jedoch ein Schritt in die Richtung, den Datenschutzbestimmungen gerecht zu werden. Dennoch nutzen sie viele Betriebssysteme noch nicht standardmäßig.

IPv6 Autokonfiguration

Um Endgeräten (Hosts) den automatischen Aufbau einer IP-Verbindung mit dem Netzwerk zu ermöglichen wurde mit IPv6 die Stateless Address Autoconfiguration eingeführt.

Für die initiale „Kontaktaufnahme“ mit dem für das Netzwerksegment zuständigem Router weist sich der Host selber eine sogenannte link-lokale Adresse zu. Diese wird aus dem Netzwerk-Präfix und dem Interface Identifier zusammengesetzt gebildet.

Als nächstes sendet der Host über das Neighbor Discovery Protocol (NDP) eine Multicast-Anfrage an die Multicast-Adresse ff02::2. Auf diese Anfrage melden sich alle im Netzwerk erreichbaren Router (Router Solicitation). Grundsätzlich sollte die Unicast-Adresse des Hosts eindeutig sein. Um einem IPv6 Konflikt vorzubeugen wurde mit IPv6 eine Duplicate Address Detection (DAD) implementiert. Die DAD muss von jedem Host bei der Selbstzuteilung einer Adresse durchgeführt werden. Über das NDP wird auch DAD ausgeführt.

Ein Nachteil der Autokonfiguration liegt darin, dass der Client keine Informationen über den gültigen Domainnamen, die zugehörigen NTP- oder DNS-Server erhalten. Daher kann die Verwendung eines DHCPv6-Server trotz der Autokonfiguration sinnvoll sein.

DHCPv6

Das Dynamic Host Configuration Protokoll (DHCP) verwaltet die Netzwerkkonfiguration von IT-Systemen innerhalb eines Netzwerkes. Ein neues IT-System im Netzwerk muss durch die Verwendung von DHCP nicht manuell konfiguriert werden, sondern stellt eine Anfrage über die IPv4 Broadcast Adresse des Netzwerksegments. Im Falle von IPv6 wird die DHCP Anfrage an die Multicast Adresse ff01::1 gestellt. In Abhängigkeit der Konfiguration des DHCP-Server kann dieser bspw. die folgenden Parameter an die anfragenden Hosts zuweisen.

  • IP-Adresse mit Netzmaske
  • Gateway
  • DNS-Server
  • Time- und NTP-Server
  • WINS-Server (für Windows Clients)

Bei IPv6 ist die automatische Verteilung von IP-Adressen über die Autokonfiguration ursprünglich geregelt somit entfällt diese Aufgabe für einen DHCPv6-Server. Es ist aber möglich, dieses Verhalten zu ändern und per DHCPv6 die Konfigurationsparameter zuzuteilen. Eine wichtige Neuerung bei DHCPv6 ist, dass nur autorisierten Clients Zugang zum DHCP-Server erhalten.

6to4 Tunnel

Speziell für die Übergangsphase von IPv4 zu IPv6 besteht die Möglichkeit des „Tunnelings" von IPv6 Paketen durch IPv4 Netzwerke. Um dieses zu ermöglichen wurde der Mechanismus 6to4 entwickelt. Das in dem Standard RFC3056 dokumentierte Verfahren legt ein spezielles Vorgehen bei der Umrechnung einer Adresse zu einem IPv6-Tunnelnetz vor. Dabei wird dem Netz zunächst das Präfix für 6to4 Tunnel („2002") vorangestellt gefolgt von der IPv4 Adresse in Hexadezimal und dem Interface Identifier.

Für die IPv4-Adresse „203.0.113.64" würde sich daher folgendes 6to4-Tunnelnetz ergeben:

  • 2002 - Präfix
  • cb00:7140 - IPv4 Adresse 203.0.113.64 in Hexadezimal
  • Das Netz sieht somit wie folgt aus: 2002:cb00:7140::/48.

Der lokale Host oder Router mit öffentlicher IPv4-Adresse schachtelte ein IPv6-Paket in ein IPv4-Paket. Sollte das Paket ein natives IPv6 Netz erreichen, wurde es an ein 6to4-Relay geschickt. Am Relay wird das IPv6-Paket wieder ausgepackt und ans eigentliche Ziel gesandt. Sendete der entfernte Host etwas zum lokalen Host zurück, wird das Antwortpaket nicht zwingend wieder über dasselbe 6to4-Relay geleitet, sondern könnte über jedes beliebige 6to4-Relay geroutet werden.

Öffentliche 6to4-Relays stellen einfache Zugänge ins IPv6-Netz bereit. Zur weiteren Vereinfachung kann über die Anycast-Adresse 192.88.99.1 (bzw. 2002:c058:6301::) das nächste öffentliche 6to4-Relay erreicht werden.

ICMPv6

Das Internet Control Message Protocol for IP version 6 dient dem Austausch von Fehler- und Informationsmeldungen. Es übernimmt somit dieselben Aufgaben wie schon der Vorgänger für IPv4, mit dem entscheidenden Unterschied, dass eine IPv6 Verbindung nur zustanden kommen kann, wenn auch der Betrieb von ICMPv6 funktioniert. Dies hat die Ursache hauptsächlich darin, dass das Neighbor Discovery Protocoll (NDP) darauf angewiesen ist.

Der IPv6-Header verweist im Next Header mit einer Protokoll-Nummer 58 auf ein ICMPv6 Paket. Wie auch schon beim IPv6-Header gibt der ICMPv6-Header genauere Auskunft über den Inhalt der Nachricht

Neighbor Discovery Protokoll (NDP)

Das Neighbor Discovery Protokoll (NDP) stellt eine mit dem Address Resolution Protocol (ARP) von IPv4 vergleichbare Funktion bereit und dient ebenfalls der Kommunikation mit den benachbarten Hosts innerhalb eines lokalen Netzwerkes. Darüber hinaus wird per NDP der Router  „Gateway-Router“ ermittelt, der Pakete in ein "fremdes" Netzwerk weiterleiten könnte. Der Austausch dieser Informationen erfolgt mittels verschiedener ICMPv6 Pakettypen. So werden bspw. Router über den Typ 133 (Router Solicitation) dazu aufgefordert mit dem Typ 134 (Router Advertisement) zu antworten. Als Ergebnis kann die Default Router List erstellt bzw. erneuert werden.

typische Netzwerkangriffe

Welche Auswirkungen hat eine erfolgreiche DDoS-Attacke?

Eine erfolgreiche DDoS-Attacke kommt einer Einladung zu weiteren Angriffen gleich. Die Betroffenen müssen damit rechnen, dass weitere Angriffe folgen, bis zuverlässigere Abwehrmaßnahmen implementiert sind.

Was versteht man unter hochvolumige Angriffe?

Bei hochvolumigen Angriffen handelt es sich um den Versuch, den Bandbreitenverbrauch im anvisierten Netzwerk/Dienst oder zwischen dem anvisierten Netzwerk/Dienst und dem restlichen Internet zu erhöhen. Diese Art der Angriffe führt zu Überlastungen und Engpässen.

Was sind Angriffe auf Applikationsebene?

Diese Angriffe sind gegen bestimmte Aspekte einer Anwendung oder eines Diensts der Applikationsschicht (Layer 7) gerichtet. Hierbei handelt es sich um die gefährlichste Art von Angriffen, da mit nur einem angreifenden Gerät, das eine niedrige Datenrate generiert, ein sehr effizienter Angriff ausgeführt werden kann (aus diesem Grund ist eine proaktive Erkennung und Bekämpfung äußerst schwierig). Diese Angriffe haben in den letzten drei bis vier Jahren stark zugenommen und einfache Flooding-Angriffe auf Applikationsebene (HTTP GET etc.) zählen zu den am häufigsten beobachteten DDoS-Angriffen.

Was ist ein TCP-State-Exhaustion Angriff?

Bei diesem Angriff wird versucht, die Verbindungskapazität von State Tables zu überlasten, die in vielen Infrastrukturkomponenten wie Loadbalancern, in Firewalls und in den eigentlichen Applikationsservern vorhanden sind. Selbst Geräte mit hoher Kapazität, die in der Lage sind, den Zustand von Millionen von Verbindungen zu speichern und zu verwalten, können durch diese Art von Angriffen außer Kraft gesetzt werden.