Netzwerke und Sicherheit mit TCP/IP

Transkript

1 Netzwerke und Sicherheit mit TCP/IP Web-Schulung Stand: Gerhard. Glaser Gerhard. Glaser -1- Stand:

2 Inhalt (1) Kapitel 1 Grundlagen/ wichtige Standards OSI-odell IEEE-Standards (CSA/CD, / WLAN etc.) Protokollarten (verbindungsorientiert/ -los) Layer 2 (Ethernet/ 802.3, VLANs, Bridges/ Switches) TCP/IP-History RFCs Kapitel 2 Internet Protokoll (IP) Type Of Service (TOS) Fragmentierung Gründe für Fragmentierung Fragment Offset, Flags etc./ Reassemblierung Time To Live (TTL) IP-Protokoll-Nummern Stand: Gerhard. Glaser -2-

3 Inhalt (2) Kapitel 3 IP-Adressierung/ -Subnetting Adress-Aufbau ulticast-adressen Private Adressen IP-Subnetzmasken/ -Subnetting Kapitel 4 IP über serielle Leitungen (SLIP, PPP, PPPoE) Kapitel 5 IPv6 Kapitel 6 Address Resolution Protocol (ARP) ARP Gratuitous ARP RARP Stand: Gerhard. Glaser -3-

4 Inhalt (3) Kapitel 7 IP-Routing Routing auf Backbone Routing in vermaschten Netzen Proxy ARP Kapitel 8 Internet Control essage Protocol (ICP) ICP-Fehlermeldungen ICP-Info-eldungen Trace Route ethoden Kapitel 9 Routing Protokolle RIP Split Horizon Classful Routing OSPF Nicht roubare Protokolle Stand: Gerhard. Glaser -4-

5 Inhalt (4) Kapitel 10 Transmission Control Protocol (TCP) Ports, Sockets Verbindungsaufbau/ -abbau (Three-Way Handshake) Flow-Control (Sliding-Window-echanism) Congestion Control ( Slow Start ) Verbindungsmanagement Kapitel 11 User Datagram Protocol (UDP) Eigenschaften Dienste auf UDP Unterschiede zu TCP Kapitel 12 TELNET Kapitel 13 File Transfer Protocol (FTP) Active FTP Passive FTP Stand: Gerhard. Glaser -5-

6 Inhalt (5) Kapitel 14 E-ail-Protokolle STP SPA/ Privacy POP3/ IAP Kapitel 15 Name Services Internet Name Service (IEN 116) DNS Kapitel 16 - BootP/ DHCP DHCP-Ablauf APIPA Kapitel 17 Trivial File Transfer Protocol (TFTP) Kapitel 18 R -Utilities Kapitel 19 Network File System (NFS) Stand: Gerhard. Glaser -6-

7 Inhalt (6) Kapitel 20 Internet HTTP/ HTTPS HTTP Status Codes Proxy- und Socks-Server Kapitel 21 Voice Over IP Kapitel 22 Simple Network anagement Protocol (SNP) anager, Agent RON Kapitel 23 Trouble Shooting Tools (eingebaute Tools/ externe Tools) Probe vs. Analyzer Eigenschaften von Analysatoren Stand: Gerhard. Glaser -7-

8 Inhalt (7) Kapitel 24 Sicherheit Firewalls, IDS/ IPS, Honeypots etc. Portscanning/ ethoden VPN/ Tunneling Protokolle IPsec L2TP SSL Verschlüsselung/ Digitale Signatur PKI/ Zertifikate (X. 509) Authentisierung PAP/ CHAP RADIUS NAT/ PAT Funktionsweise und Probleme Virtueller Server/ Port Forwarding STUN/ UDP Port Punching IPsec über NAT/ PAT-Devices ( NAT Traversal ) Stand: Gerhard. Glaser -8-

9 Kapitel 1 Grundlagen/ wichtige Standards Stand: Gerhard. Glaser -9-

10 ISO/OSI-odell - Schichten Endsystem (Sender) Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Protokolle Endsystem (Empfänger) Anwendungsschicht Darstellungsschicht Sitzungsschicht Transportschicht Vermittlungsschicht Sicherungsschicht Physikalische Schicht edium Stand: Gerhard. Glaser -10-

11 ISO/OSI-odell - Schnittstelle IDU ICI SDU Kommunikation auf Schicht N+1 Interface Schicht N+1 Schicht N ICI SAP H SDU PDU Kommunikation auf Schicht N SAP Service Access Point ICI Interface Control Information IDU Interface Data Unit SDU Service Data Unit PDU Protocol Data Unit H Header Stand: Gerhard. Glaser -11-

12 Wichtige Standards der Arbeitsgruppe Umfeld, LAN-/AN-anagement 802.1d Transparent-/ SRT-Bridging 802.1p/ Q VLAN-Tagging 802.1x Portbasierender Zugangsschutz Logical Link Control (inactive) CSA/CD *) ( Ethernet ) Token Bus Token Ring (inactiv) Distributed Queue Dual Bus (DQDB) Broadband LANs ultimode Fiber Optic edia Integrated Services LAN Std. for Interoperable LAN/AN Security (SILS) Wireless LANs Demand Priority LAN > 10 B ( VGanyLAN ) CATV-based Broadband Connectivity Networks Wireless Personal Area Network (WPAN) - z.b. Bluetooth Worldwide Interoperability for icrowave Access (Wiax) Resilent Packet Ring Link: *) Carrier Sense ultiple Access with Collision Detection Stand: Gerhard. Glaser -12-

13 IEEE-Standards, AC und LLC (im Vergleich zu Ethernet) Layer 3 IP Layer 2 Layer 1 LLC AC (CSA/CD) (Token Ring) Ethernet AC LLC edium Access Control Logical Link Control Stand: Gerhard. Glaser -13-

14 IEEE-Standards 802.1, 802.2, 802.3, 802.4, (CSA/CD) (Token Bus) (Token Ring) Stand: Gerhard. Glaser -14-

15 IEEE (CSA/CD) Standard-Aktivitäten - Auswahl CSA/CD (Ethernet): 10Base a 10Base2 (Cheapernet) 802.3b 10Broad e 1Base5 Starlan 802.3i 10Base-T 802.3j 10Base-F 802.3u 100Base-T ( 100 bit-ethernet ) 802.3x Full Duplex/ Flow Control 802.3z Gigabit Ethernet (7/1998) ab 1000BASE-T (6/1999) ac VLAN Tag (9/1998) ae 10Gb/s Ethernet (6/2002) an 10GBase-T (6/2006) Stand: Gerhard. Glaser -15-

16 IEEE (WLAN) Standard-Aktivitäten - Auswahl a 54 bps, 5 GHz keine ETSI-Zulassung! (9/1999) b 11 bps, 2.4 GHz (9/1999) d e World ode (u.a. Roaming zwischen Ländern) (6/2001) Quality Of Service g Higher Data Rate (> 20 bps) (6/2003) i Authentication und Sicherheit (inkl. WPA) (6/2004) Stand: Gerhard. Glaser -16-

17 GG Ethernet- vs Frames Ethernet V / SNAP Type Daten ( Byte) 1) SFD = Start Frame Delimiter 2) LLC (IEEE 802.2) Preambel (7 Octets) Rahmenbegrenzer/SFD 1) (1Octet) Zieladresse (6 Octets = 48 Bit) Quelladresse (6 Octets = 48 Bit) Paketlänge (2 Octets) DSAP 1 Octet AA SSAP 1 Octet AA Code 1 Octet Daten ( Byte) FCS (4 Octets) Stand: Gerhard. Glaser Protokoll-ID (3 Oct.) Ether-Type (2 Oct.) Daten ( Byte) Füllzeichen (variabel) 2)

18 802.3 Frame - Aufbau I G U L Herstellerkennung Gerätenummer Darstellung gemäß IEEE Standard: Anordnung der Bits/ Bytes in Übertragungsreihenfolge (höchstwertigstes Byte und niederwertigstes Bit werden zuerst übertragen) Herstellerkennungen (Auswahl): D Cabletron B DEC Com AA DECnet HP 00-AA-00 Intel Stand: Gerhard. Glaser -18-

19 802.3 Frame - Aufbau ulticast-adressen I G U L Herstellerkennung Gerätenummer Xxxx1 - XX - XX - XX - XX - XX Adressen, die im ersten Byte einen ungeraden Wert haben, sind ulticast-adressen z.b E-XX-XX-XX IANA Ethernet Address Block (z.b. IP-ulticasts vgl. Folie 61) AB XX-XX-XX DECnet Broadcast CF Ethernet-Loop-Back FF-FF-FF-FF-FF-FF Ethernet Broadcast Stand: Gerhard. Glaser -19-

20 Wichtige Typfelder DC IEEE802.3 Length Field (05-DD FF nicht vergeben!) Xerox NS IDP DOD Internet Protocol (IP) Address Resolution Protocol (ARP) 0B-AD Banyan Systems 0B-AF Banyon VINES Echo DEC unassigned, experimental DEC HP Probe protocol Reverse Address Resolution Protocol (RARP) DEC 80-7D Vitalink 80-9B EtherTalk (AppleTalk over Ethernet) 80-F3 AppleTalk Address Resolution Protocol (AARP) Novell, Inc. 86 DD IPv Loopback (Configuration Test Protocol) Com Stand: Gerhard. Glaser -20-

21 Wichtige DSAPs/ SSAPs 00 Null SAP 02 Individual LLC Sublayer gmt Function 03 Group LLC Sublayer gmt Function 06 ARPANET Internet Protocol (IP) 42 IEEE Bridge Spanning Tree Protocol 80 Xerox Network Systems (XNS) 98 ARPANET Address Resolution Protocol (ARP) AA Sub-Network Access Protocol (SNAP) BC Banyan VINES E0 Novell Netware F0 IB NetBIOS F4/ F5 IB LAN anagement FE ISO Network Layer Protocol FF Global SAP Stand: Gerhard. Glaser -21-

22 VLAN (802.1p/ 802.1Q) Logische Trennung des Datenstroms auf Layer 2 Verschiedene Typen Statisch (Port basierend): per Definition in Switch Dynamisch (AC basierend): per Tag im Ethernet-Paket Tag (4 Byte): zwischen Source Address und Type-Field VID (VLAN ID): 4096 Adressen ( farbliche Kennzeichnung ) Stand: Gerhard. Glaser -22-

23 Bridge - Arbeitsweise (1) A B C D Stand: Gerhard. Glaser -23-

24 Bridge - Arbeitsweise (2) A B A, B,... A, B,... C, D,... C, D,... C Stand: Gerhard. Glaser -24- D

25 Bridges - Begriffe Filtering Rate Anzahl der Pakete, die sich eine Bridge anschauen kann Forwarding Rate Anzahl der Pakete, die eine Bridge weiterreichen kann Achtung: Häufig Summe für beide/alle Übertragungsrichtungen! Stand: Gerhard. Glaser -25-

26 Transitsysteme im OSI-odell Gateways Router Bridges/ Switches Repeater/ Sternkoppler Stand: Gerhard. Glaser -26-

27 Transitsysteme im OSI-odell (Aufgaben - Zusammenfassung) Repeater/ / Hub: Regeneriert und verstärkt das elektrische Signal und leitet dieses an alle Ports weiter (keine Broadcast!) Führt keine Bitinterpretation durch. Bridge/ Switch: Router: Nimmt physikalische Trennung von Netzen vor ( Collision-Domain ). Führt Fehler- und Lasttrennung auf Basis von AC-Adressen durch. Hat meist echanismen zum Filtern implementiert. Rudimentäre echanismen zur Wegefindung sind u.u. vorhanden ( Routing Bridge ) Entkoppelt die Netze auf logischer Basis aufgrund von Layer 3-Adressen; z.b. IP-Adressen. Arbeitet protokollabhängig! Steuert den Verkehr zwischen Netzen ( Wegefindung ). Gateway: Nimmt eine Umwandlung von Diensten vor (i.a. oberhalb Schicht 4). Security-echanismen möglich (z.b. Firewall, Proxy ). Stand: Gerhard. Glaser -27-

28 Protokollarten (unabhängig von OSI-Schichten) Verbindungsorientiert (connection-oriented) logische Verbindung zwischen Kommunikations-Partnern Sender kennt Zustand von Empfänger und Paket(en) vergleichbar: klassische Telefonverbindung Gespräch zwischen enschen Verbindungslos (connectionless, datagram-service) keine logische Verbindung Pakete werden unkontrolliert versendet vergleichbar: SS arktschreier (egafon) Stand: Gerhard. Glaser -28-

29 TCP/IP-History (Überblick) 1969 erste Arbeiten an einem paketvermittelnden Rechnernetz 1972 das ARPANET wird der Öffentlichkeit vorgestellt 1973 Ethernet is born 1975 die DCA (Defence Communications Agency) übernimmt die Federführung im ARPANET 1976 Grundsteinlegung zu TCP/IP durch die IFIP (International Federation Of Information Processing) 1979 DEC, Intel und XEROX (DIX-Group) entwickeln gemeinsam das Ethernet weiter 1980 Ethernet Version 1.0 wird veröffentlicht Bercley UNIX (BSD 4.1) wird entwickelt und enthält TCP/IP 1983 Das ARPANET wird endgültig von NCP auf TCP/IP umgestellt Aufteilung des ARPANET in ILNET und ARPANET 1985 Einführung von TCP/IP in kommerzielle Anwendungen 1991 mehr als 1000 Hersteller unterstützen TCP/IP 1993 mehr als Hersteller unterstützen TCP/IP 1994 WWW wird offizielles Projekt von CERN, die W3-ORG wird ins Leben gerufen 1996 das Internet umfasst ca. 15 io. Anschlüsse 2001 im November wird die 5 io. DE-Domain vergeben - pro inute werden 2 Domains vergeben (90 000/ onat) - Start.DE am Stand: Gerhard. Glaser -29-

30 RFC: RFCs, IL-Specs u.a. Request For Comments Arbeitspapiere, Protokollspezifikationen und Kommentare der Internet-Community Veröffentlicht durch das Stanford Research Institut: aktueller Stand: 5082 RFCs (Ende Oktober 2007) IL-STD: Ausführliche Beschreibung und Implementierungsanweisung wichtiger DoD-Protokolle IEN: Internet Experimental/ Engineering Notes Vorläufer der RFCs Stand: Gerhard. Glaser -30-

31 Standardisierungsprozess / RFCs (1) Offener Prozess Entwicklung durch Arbeitsgruppen der Internet Engineering Task Force (IETF) Entscheidung durch Internet Engineering Steering Group (IESG) Veröffentlichung in RFC Achtung: Nicht jeder RFC beschreibt einen Standard ( STDxxxx )! Auflistung aller Standards in STD 1 (z.z. RFC 3300) Stand: Gerhard. Glaser -31-

32 Standardisierungsprozess/ RFCs (2) Standardisierungsstufen (STD) Internet Draft (i.a. Arbeitsgruppe) Proposed Standard Draft Standard Internet Standard Stand: Gerhard. Glaser -32-

33 Standardisierungsprozess/ RFCs (3) Keine Standards: Experimental Informational (FYIxxxx) Best Current Practice (BCPxxxx) RARE *) Technical Reports (RTRxxxx) Historic *) RARE = Reseaux Associes pour la Recherche Europeenne Stand: Gerhard. Glaser -33-

34 Kapitel 2 Internet Protocol (IP) Stand: Gerhard. Glaser -34-

35 Darunter liegende Schicht: Data Link Layer (z.b. Ethernet, TR) (Ethernet-) Typefield: DSAP/SSAP-Definition: 06 Datagram-Service Internet Protocol (IP) RFC STD 5 - IL-Std Kommunikation zwischen Netzen Datentransport von Quell- zu Zieladresse Stand: Gerhard. Glaser -35-

36 IP - Wichtige RFCs RFC 791 IP-Protokoll (STD 5) RFC 815 RFC 894 RFC 948 RFC 1051 RFC 1055 RFC 1088 RFC 1577 IP over X.25 Networks IP over Ethernet-Networks IP over Networks IP over Arcnet-Networks IP over Serial Lines ( SLIP ) IP over Netbios Networks IP over AT Networks ( Classical IP ) Stand: Gerhard. Glaser -36-

37 IP - Eigenschaften Datagram-Service (ungesichert!) Definition/ Adressierung höherer Protokolle Adressfunktion (Ende zu Ende Adressierung) Routing zwischen Netzen (Netzwerke können adressiert werden) Fragmentierung von Datenpaketen Stand: Gerhard. Glaser -37-

38 IP - Header Version IHL Service Type Total Length Identifikation Flags Fragment Offset Time to Live Protocoll IP Header Checksum IP Source Addresse IP Destination Addresse Options Padding Stand: Gerhard. Glaser -38-

39 Service-Type (Neu-Definition) RFC 1349 ersetzt RFC 791 TOS (Type Of Service) 4 Bit-Feld (definierte Werte) Precedence T O S BZ Precedence = Vorrangssteuerung BZ = ust Be Zero Stand: Gerhard. Glaser -39-

40 IP - TOS Werte 0000 Default-Wert 0001 inimize onetary Cost 0010 aximize Reliability 0100 aximize Throughput 1000 inimize Delay 1111 aximize Security Stand: Gerhard. Glaser -40-

41 IP - TOS Default Werte bei verschiedenen Diensten TELNET FTP Control FTP Data 1000 minimize delay 1000 minimize delay 0100 maximize troughput STP (Command Phase) 1000 minimize delay STP (Data Phase) 0100 maximize troughput SNP ICP 0010 maximize reliability 0000 aber: request = response Stand: Gerhard. Glaser -41-

42 IP - Fragmentierung Warum Fragmentierung Technische Vorgaben Hardware-/ Software-Beschränkungen Definition des Protokolls Beschränkung durch Norm (z.b. Topologie-Übergang) aßnahme zur Fehlerreduktion Erhöhen der Zugangsgerechtigkeit auf Datenkanal (Begrenzung der Zugriffszeit) Stand: Gerhard. Glaser -42-

43 IP - Fragmentierung max. Paketlänge auf verschiendenen Netzen edium Bit Byte Token Ring (16 bit/s) Token Ring (4 bit/s) Ethernet X.25 (aximum) X.25 (Standard) Stand: Gerhard. Glaser -43-

44 IP Fragmentierung Fragment Offset Länge relativ zum Beginn des Datenbereichs im Orginal-Datagram Ermöglicht Zusammensetzen in richtiger Reihenfolge Wert 0 bei: Standard Datagram (= nicht fragmentiert) 1. Fragment Stand: Gerhard. Glaser -44-

45 IP Fragmentierung Fragment Offset 0 Fragment 1 Fragment 2 Fragment 3 Fragment 4 Fragment 5 X 1 X 2 X 3 X 4 Stand: Gerhard. Glaser -45-

46 IP - Fragmentierung Flags 0 DF F DF (Don t Fragment): 0 = ay Fragment 1 = Don t Fragment F (ore Fragment): 0 = Last Fragment (letztes Fragment und Standard-Paket) 1 = ore Fragment Stand: Gerhard. Glaser -46-

47 IP - Fragmentierung Veränderte Felder im Header Gesamtlänge Flags (F) Fragment-Offset IP-Header-Prüfsumme Optionen Stand: Gerhard. Glaser -47-

48 IP Fragmentierung Reassemblierung Identische Felder bei Reassemblierung Zieladresse Quelladresse Protokoll-Typ Identifikation Stand: Gerhard. Glaser -48-

49 GG ID: Datenlänge: Offset ore Flag: ID: Datenlänge: Offset ore Flag: ID: Datenlänge: Offset ore Flag: IP - Fragmentierung Netz 2 TU = Netz 1 TU = 1000 ID: Datenlänge: Offset ore Flag: Hinweis: Fragment-Offset hat 8 Byte als Einheit! Stand: Gerhard. Glaser - 49-

50 IP - Fragmentierung 1024 R R R R R 512 R R R 68 R R R 128 R R R R R 1024 R = Border-Router Stand: Gerhard. Glaser -50-

51 ERKE: Der Zusammenbau fragmentierter Datagrame (Reassemblierung) erfolgt nur beim Empfänger, nie in einem Router! Stand: Gerhard. Glaser -51-

52 IP Lebenszeit Problem Bei falscher Routing-Entscheidung Datagrame wandern ziellos durchs Netz Datagrame kreisen unendlich Ressourcen werden vergeudet Stand: Gerhard. Glaser -52-

53 IP Lebenszeit Lösung des Problems Einführung TTL-Feld (Time To Live) Wert wird in/ von Sender gesetzt maximal: 255 typisch: 64 (empfohlen) 32 (z.b. S Windows ) Wert wird in jedem Router reduziert (typisch: 1 ) Bei Wert 0, wird Paket vernichtet (= nicht weitergereicht) Stand: Gerhard. Glaser -53-

54 Ausgewählte IP-Protokollnummern 01 ICP Internet Control esssage Protocol 04, 94 IP in IP capsulation 06 TCP Transmission Control Protocol 08 EGP Exterior Gateway Protocol 09 IGP any private interior gateway protocol 17 UDP User Datagram Protocol 29 ISO-TP4 ISO-Transport-Protocol Class 4 50 ESP Encapsulating Security Payload (IPsec) 51 AH Authentication Header (IPsec) 88 IGRP Interior Gateway Routing Protocol (CISCO) Stand: Gerhard. Glaser -54-

55 IP - Optionen Optionale Services Security (16 Security Level) Loose Source Routing Strict Source Routing Record Route Stream ID Internet Timestamp No Operation ( NOP ) End of Option List Stand: Gerhard. Glaser -55-

56 IP Felder (Übersicht) Version 4 IP Version - z.z. 4 (bzw. 6) IHL 4 Internet Header Length: Länge des IP Headers (wg. Optionen) - meistens: 5 (Einheit: 32 Bit) Service Type 8 "Priorisierung" des Datenverkehrs - meistens: 0 Total Length 16 Gesamtlänge des IP Datagrams Identifikation 16 Kennzeichnung für richtige Reassemblierung (nur bei Fragmentierung) Flags 3 Hinweise für/ bei Fragmentierung (DF, F) Fragment Offset 15 Gibt Reihenfolge bei Fragmentierung/ Reassemblierung an Time To Live (TTL) 8 Verhindert das endlose Kreisen eines Datagrams (empfohlener Wert: 64) Protocol 8 Beschreibt Protokoll der Schicht 4 (z.b. 06 = TCP) IP Header Checksum 8 Stellt Fehler im IP Header fest IP Addresse 2 x 32 Beschreibt Absender (Source) und Ziel (Destination) Options variabel Für Übertragungsoptionen. Wird durch "Padding" auf volle 32 Bit-Länge gebracht (vgl. IHL) Stand: Gerhard. Glaser -56-

57 Kapitel 3 IP- Adressierung/ IP-Subnetting Stand: Gerhard. Glaser -57-

58 IP Adressen Aufbau dezimal dual C6 : 47 : BF : 01 hex Stand: Gerhard. Glaser -58-

59 Class A (Wert = 128 Werte) Netzwerk Rechner-Adresse Class B (Wert = 64 Werte) Netzwerk Rechner-Adresse Class C (Wert = 32 Werte) Netzwerk Rechner-Adresse Stand: Gerhard. Glaser -59-

60 Class D (Wert = 16 Werte) ulticast-adressen Class E (Wert = 16 Werte) undefiniertes Format Adress-Klassen sind definiert in RFC 1020 bzw (Juli 1990) [Internetnumbers] Stand: Gerhard. Glaser -60-

61 Ausgewählte IP-ulticast-Adressen Base Address (reserved) All Systems on this subnet All Routers on this subnet OSPF - All Routers RIP IGRP-Routers DHCP Relay SUN NIS ( Yellow Pages ) microsoft-ds SUN RPC (NFS) Hinweis: Die unteren 23 Bit werden auf die Ethernet-ulti-Cast-Adressen 01:00:5e:00:00:00 bis 01:00:5e:7F:FF:FF gemappt (vgl. Folie 19) Stand: Gerhard. Glaser -61-

62 Adressen mit besonderer Bedeutung 127.x.x.x Local Host ( ) 255 (im Host-Teil) All-One-Broadcast All Hosts on this net 0 (im Host-Teil) All-Zero-Broadcast (veraltet!) 0 (im Netz-Teil) This Net Stand: Gerhard. Glaser -62-

63 Private Adressen (nach RFC 1918) ein Class A-Netz Class B-Netze Class C-Netze vgl. auch: Special-Use IPv4 Addresses (RFC 3330) z.b.: Link Local (falls DHCP nicht funktioniert) vgl. APIPA Folie 237 Stand: Gerhard. Glaser -63-

64 IP - Adressen / - Subnetz-asken IP-Adresse C6 : 47 : BF : 01 Subnetz-aske Stand: Gerhard. Glaser -64-

65 IP - Subnetting mit erweiterter Subnetz-aske 1. Octet 2. Octet IP 126.xxx.xxx.xxx xxxx xxxx SN auch: 126.x.x.x/ 9 IP = IP-Adresse SN = Subnetz-aske Stand: Gerhard. Glaser -65-

66 Subnetting Varianten RFC 950 (altes/ ursprüngliches Verfahren: classful routing) Unterstes und oberstes Netz können nicht genutzt werden 0 = eigenes Subnetz 1 = Broadcast-Adresse 2 n -2 Subnetze RFC 1878 ( odern software will be able to utilize all definable networks - classless routing) Unterstes und oberstes Netz können genutzt werden 2 n Subnetze Stand: Gerhard. Glaser -66-

67 IP - Subnetting Interne Vorgehensweise des Rechners 1 Eigene Adresse 2 Ziel Adresse ^ ^ Eigene SN-aske Eigene SN-aske Ergebnis A (eigenes Netz) Ergebnis B (Ziel-Netz) Wenn A = B Destination in selbem Netz Wenn A B Destination in anderem Netz Anmerkung: ^ = logisches UND Stand: Gerhard. Glaser -67-

68 ERKE: Bei Subnetting kann die Default- Subnetzmaske kann nur in Richtung mehr Netze modifiziert werden! Gegenrichtung (weniger Netze) = Supernetting Stand: Gerhard. Glaser -68-

69 Kapitel 4 IP über serielle Leitungen (SLIP, PPP, PPPoE) Stand: Gerhard. Glaser -69-

70 Serial Line IP (SLIP) RFC 1055 keine Fehlererkennung/ -korrektur nur Punkt-zu-Punkt-Verbindungen keine Adressinformationen Adresse des Partners muss bekannt sein keine Protokollidentifikation ( Type-Field ) Keine ultiprotokollübertragung über eine Leitung möglich Daten werden in Framing Characters eingepackt END: 192 ESC: 219 ESC END: ESC ESC: Kompression für TCP/IP-Header in RFC 1144 definiert Stand: Gerhard. Glaser -70-

71 Point To Point Protocol (PPP) RFC 1661/ STD 51 RFC 2153 (Vendor Extensions) Verbindungsaufbau auf Layer 2 (HDLC-basierend bzw. asynchron) Fehlerkorrektur Adressinformationen multipointfähig (derzeit nicht genutzt) Protokoll-Feld multiprotokollfähig (auf einer Leitung) feste maximale Paketlänge (1500 Byte) echte Datenkomprimierung (optional) Testen der Leitungsqualität (optional) Stand: Gerhard. Glaser -71-

72 Point To Point Protocol (PPP) Paketaufbau (synchron/ asynchron) Flag Address Control Protocol DATA FCS Flag (Information) bit < 1500 Byte 16 bit Stand: Gerhard. Glaser -72-

73 Point To Point Protocol (PPP) Ausgewählte Protokoll-Nummern B 80-3F FD C0-21 C0-23 C0-25 C2-25 IP DECnet IPX Netbios IPv6 Compression Control Protocol Link Control Protocol Password Authentication Protocol Link Quality Report RSA Authentication Protocol Stand: Gerhard. Glaser -73-

74 PPP over Ethernet (PPPoE) RFC 2516 PPP-Pakete werden in Ethernet Pakete eingepackt (Ethernet-) Typefields: (Discovery Stage), (Session Stage) max. TU: 1492 (PPPoE-Header + PPP-Protocol-ID) zweistufiges Konzept: Server-Suche/ Server-Auswahl (Discovery-Stage) stateless bis zum Aufbau einer PPP-Verbindung Verbindungsaufbau (Session Stage) Stand: Gerhard. Glaser -74-

75 PPP over Ethernet (PPPoE) Paketaufbau (Session Stage) Version 01 Type 01 Length Code Data Session ID PPP Protocol *) *) = C0-21 (Link Control Protocol) Stand: Gerhard. Glaser -75-

76 Kapitel 5 IP Next Generation (IPng) IP Version 6 (IPv6) Stand: Gerhard. Glaser -76-

77 IPv6 - Neuer Adressbereich Adressbereich: 128 Bit (16 Byte) [vgl.: IPv4: 32 Bit (4 Byte)] 3,4 * Adressen theoretisch: 6,66*10 23 (genau: Adressen/ m 2) 666 Billiarden Adressen/ mm 2 6,5*10 28 Adressen pro ensch praktisch (worst case): ca Adressen/ m 2 Stand: Gerhard. Glaser -77-

78 IPv6 - Neue Eigenschaften Reduzierung des Header-Overheads durch Weglassen nicht benötigter Felder Erweiterungs-Header (optional) Keine Fragmentierung in Routern minimale Transportgröße: 1280 Byte/ Path TU Discovery -Funktion Security-Features (Authentifizierung, Verschlüsselung) Priorisierung/ Realtime-Fähigkeiten ( Traffic Class / Flow Label ) Nutzdatenanzeige ( Payloadlength ) Jumbo-Payload - Feld (> Byte) automatische Systemkonfiguration ( Neighbor Discovery ) obile IP Stand: Gerhard. Glaser -78-

79 Veränderungen im IPv6-Header (zu IPv4) Version IHL TOS Service Type Total Length Identifikation Fragmentierung Flags Fragment Offset IP Header Checksum Time to Live Protocoll IP Header Checksum Feld entfällt ersatzlos Feld bekommt anderen Namen/ Bedeutung Stand: Gerhard. Glaser -79-

80 IPv6 Basis Header (Ausschnitt - ohne Destination Address ) Version Traffic IHL Class Service Type Payload Identifikation Length Flow-Label Total Length Flags Next Header Fragment Hop Offset Limit Time to Live Protocoll IP Header Checksum IP Source Adresse Source Address IP Destination Adresse Options Padding Stand: Gerhard. Glaser -80-

81 IPv6 - Erweiterungs-Header Routing Header (Source Route) - Next Header = 43 Fragmentation Header (nur Host) - Next Header = 44 Authentication Header - Next Header = 51 ESP-Header - Next Header = 50 IPv6 Header next Header = TCP TCP-Header + Nutzdaten IP Standard-Datagram IPv6 Header next Header = Routing Routing H. next Header = Fragment Fragment H. next Header = TCP TCP-Header + Nutzdaten (Fragment) IP Datagrame mit verschiedenen Headern Stand: Gerhard. Glaser -81-

82 IPv6 - Adressschema und Adressarten Präfix (3 Bit) öffentlicher Bereich (45 Bit) lokaler Bereich (80 Bit) Anycast Address ( ehrfach- Adresse) keine Broadcast Adressen (nur ulticast Adressen) Stand: Gerhard. Glaser -82-

83 IPv6 Adress-Aufteilung Bit 16 Bit 64 Bit FP Format Prefix (001) TLA Top Level Aggregator (Public Transport Topology) NLA Next Level Aggregator (Provider) SLA Site Level Aggregator (Subnet) Local (inkl. Interface [48 Bit]) Stand: Gerhard. Glaser -83-

84 IPv6 - RFCs RFC 1881 Address Allocation anagement RFC 1883 Specification ( RFC DRAFT) RFC 1884 Addressing ( RFC 2373) RFC 1887 Address Allocation RFC 1897 Testing Address Allocation ( RFC 2471) RFC 1825 Security Architecture ( RFC 4301) RFC 1826 IP Authentication Header ( RFC 4302) RFC 1827 IP Encapsulation Security Payload ( RFC 4303) RFC 1828 IP Authentication Using Keyed D5 RFC 1829 The ESP DES-CBC Transform RFC : IPsec (vgl. IPsec) Stand: Gerhard. Glaser -84-

85 Kapitel 6 Address Resolution Protocol (ARP) Stand: Gerhard. Glaser -85-

86 Adress Resolution Protocol (ARP) RFC STD 37 Darunter liegende Schicht: Data Link Layer (z.b. Ethernet, TR) (Ethernet-) Typefield: keine offizielle Definition in (DSAP/ SSAP) Datagram-Service Adress-Zuordnung Ebene 3 Ebene 2 (IP AC) Stand: Gerhard. Glaser -86-

87 ARP Request (schematisch) Broadcast: Wer kennt die AC-Adresse von GRÜN? Stand: Gerhard. Glaser -87-

88 ARP Standard-Response (schematisch) Gerichtete Antwort (Unicast): Hier ist die gesuchte (meine) AC- Adresse Stand: Gerhard. Glaser -88-

89 ARP - Ablaufdiagramm Kommunikation soll hergestellt werden AC- Adresse bekannt? Nein ARP Request Ja Ja ARP-Response erhalten? Nein Kommunikation findet statt (IP Pakete werden gesendet) Timeout Stand: Gerhard. Glaser -89-

90 ARP - Datenformat Ethernet-Header 48 Bit Destination-Hardware-Adresse 48 Bit Source Hardware-Adresse Ethernet Typ Feld Hardware Typ Protokoll Typ HW-Länge SW-Länge Option Code APR-Header 48 Bit Source Hardware-Adresse IP Source-Adresse 48 Hardware Bit Destination Target-/ Target Destination Adresse Adresse / Destination Stand: IP Target-/ Adresse Destination / Destination Adresse Gerhard. Glaser -90-

91 ARP - Hardware Typ Netztyp Bezeichnung 1 Ethernet (10 bit/s) 2 Experimental Ethernet (3bit) 3 Amateur Radio 4 Proteon Token Ring 5 Chaos Net 6 IEEE 802 Networks 7 ARCnet Stand: Gerhard. Glaser -91-

92 ARP - Protokoll Typ (vgl. Ethernet Type-Field ) Wert (hex) Bezeichnung 0600 XNS 0800 IP 0806 ARP Stand: Gerhard. Glaser -92-

93 ARP - Felder Hardware-Länge Definiert Länge der Hardware-Adresse (Ethernet = 6 Byte) Software-Länge Definiert Länge der Protokoll-Adresse (IP = 4 Byte) Option Code 1 = ARP Request 2 = ARP Reply Stand: Gerhard. Glaser -93-

94 ARP - Adressfelder Hardware-Source-Adresse AC Adresse des Senders Protokoll-(IP)-Source-Adresse IP-Adresse des Senders Hardware-Target-/Destination-Adresse AC Adresse des Empfängers/ Ziels Protokoll-(IP)-Target-/Destination-Adresse IP-Adresse des Empfängers/ Ziels Stand: Gerhard. Glaser -94-

95 ARP Response von ARP-Server (schematisch) ARP-Server Unicast: Hier ist die gesuchte AC-Adresse Unicast: Hier ist die gesuchte (meine) AC -Adresse Stand: Gerhard. Glaser -95-

96 ARP - Befehl arp -a ARP-Cache anzeigen arp -s <IP-Adr.> <HW-Adr.> Zuordnung IP-Adr./ AC-Adresse arp -s <IP-Adr.> <HW-Adr.> PUB zugeordnete AC-Adresse wird als ARP-Response gesendet ( ARP-Server ) arp -d <IP-Adr.> Eintrag wird gelöscht Stand: Gerhard. Glaser -96-