Firma mit Subnetzen. Internet. NAT- Router

Transkript

1 1. Beschreiben Sie das Verfahren, mit welchem in einem Ethernet- Segment/lokalen Netz die Zuordnung zwischen IP-Adresse und Busadresse hergestellt wird. Wie wird festgestellt, ob sich der Partner im selben Segment befindet? Was geschieht mit einem zu sendenden Paket, dessen Empfänger sich in einem anderen Segment befindet? /Beschreiben Sie das ARP-Verfahren ARP (Address Resolution Protocol) - Durch Verrundung der Empfänger IP-Adresse (z.b ) mit netmask wird festgestellt ob, Empänger im selben Segment ist, ist dies der Fall: Rechner schickt ein ARP Request auf das Bussegment, als MAC- Zieladresse wird die Broadcast-Adresse (FF FF FF FF FF FF FF FF) verwendet diese richtet sich an alle Teilnehmer im Bussegment [Das Request enthält die Frage: Welcher Rechner hat die IP Adresse ?] Der Rechner mit der IP antwortet mit einem ARP Reply [Antwort: hat Busadresse 08 01] Zuordnung IP-Adresse Busadresse wird von jedem Rechner in seiner ARP-Tabelle verwaltet Ist die Zuordnung IP-Adresse Busadresse hergestellt, kann der eigentliche Datenverkehr auf IP- und TCP-Ebene erfolgen [Skript S.22-23] Segmentüberschreitende Kommunikation - Für die Kommunikation mit einem Rechner, außerhalb des eigenen Bussegmentes sind die Leistungen eines Routers (Gateways) in Anspruch zu nehmen. [Router hat Vermittlungsfunktion] ARP-Request wird auf Router-IP abgesetzt (! Nicht direkt auf Zielrechner) Router antwortet mit ARP-Reply ab jetzt kommunizieren auf IP-Ebene die beiden Rechner auf MAC-Ebene kommunizieren Sender Router bzw. Empfänger Router miteinander, da sämtliche zu sendenden Pakete an die Busadresse des Routers gerichtet sind [Skript S ]

2 2. Was versteht man unter Network Address Translation? Wie funktioniert dieses Verfahren? Was ist dabei zu beachten, wenn sich im internen Netz Server befinden, die von außen erreichbar sein sollen? Was sollte bei der Vergabe von internen IP-Adressen beachtet werden? Network Adress Translation: Nach außen eine einzige IP-Adresse (intern benutzte IP- Adressen und Subnetzstrukturen bleiben nach außen verborgen) trotzdem ist von jedem internen Rechner Zugang zum Internet möglich NAT arbeitet auf Basis der TCP-Ports & läuft auf einem NAT- Router der sich zwischen internem Netz und Internet befindet In Masquerading table festgehalten Firma mit Subnetzen interner Rechner NAT- Router Internet Kommunikation Internet Interner Rechner schickt Datenpaket mit folgenden Daten zum NAT-Router: o Eigene IP-Adresse = Source IP o Empfänger IP-Adresse = Destination IP o gewünschter Anwendung Destination Port o dynamische Zuweisung Source Port im NAT-Router wird die Source IP des internen Rechners durch IP des Routers ersetzt; der Source Port wird durch einen freien Port (aus einem speziellen Bereich ersetzt >60 000) ersetzt

3 Kommunikation Internet interner Rechner IP-Datagramm kommt aus Internet beim NAT-Router an Dieser prüft ob Destination Port in dem für Masquerading reservierten Bereich liegt, schaut ggf. in Masquerading table nach, findet er den betreffenden Port, so ersetzt er Destination Port und Destination IP durch die in der Tabelle hinterlegten Werte Server die von außen erreichbar sein sollen, sind vom Masquerading ausgenommen und besitzen eine offizielle, gültige, statische IP-Adresse Damit es bei einem nachträglichen Internet-Anschluss nicht zu Problemen kommt, sollte bei der Vergabe der IP-Adressen darauf geachtet werden, dass diese aus den 3 IP-Adressbereichen der RFC 1597 gewählt werden. Diese sind vom offiziellen Routing ausgenommen. [Skript S.41-42] 3. Erläutern Sie die beiden Begriffe Paketfilter (Filtering Firewall) und Application Gateway. Auf welcher Basis fällen Paketfilter bzw. Application Gateways (Proxies) ihre Entscheidungen? Paketfilter: - Aufgrund von IP-Adressen & Portnummern wird Datenverkehr erlaubt oder verboten - Regeln des Packet Filtering zu grob, da nur ganz gesperrt, oder auf bestimmte IP-Adressen eingeschränkt werden kann z.b. Source IP Destination IP Source IP Destination IP Aktion * > permit Telnet-Verbindung von überall her zum Rechner möglich

4 Application Gateway (Proxy Server): - Anstelle des eigentlichen Dienstes tritt Proxy ein, o er fordert bspw. (strenge) Authentifizierung (z.b. durch Einmalpasswort) - nach gelungener Authentifizierung baut er Verbindung zum Zielsystem auf - Vorteile o Verschlüsselung von Daten möglich o Protokollierung möglich, da sämtliche Daten durch den Proxy laufen Welche der folgenden Aufgaben erledigt ein Paketfilter, welche ein Proxy? Geben Sie bei einem Proxy zusätzlich den Dienst an. Aufgabe erledigt von HTML-Seiten, die bestimmte Wörter enthalten, werden abgewiesen. AG http_proxy FTP-Zugriff ist nur auf den Rechner zugelassen. Dabei AG darf nur anonymer FTP erfolgen, und es ist nur Download erlaubt. ftp-proxy Webverkehr wird generell blockiert, wird generell PF zugelassen. Rechner aus dem internen Netz erhalten nur Zugriff auf den Web- PF Server Anhänge ankommender und abgehender s werden AG automatisch auf Viren geprüft Mail-Proxy Bei Web-Seiten, die aktive Inhalte enthalten (Java-Applets, AG JavaScript, ActiveX-Controls,...) werden die aktiven Inhalte http-proxy deaktiviert. Aufgabe Der Zugriff auf Web-Seiten mit best. Inhalten soll für alle Rechner aus dem internen Netz gesperrt werden. TELNET ist nur zwischen den Rechnern und zugelassen. Beim ftp wird der Upload (Kommando put) gesperrt. Rechner aus dem internen Netz erhalten nur Zugriff auf den Web-Server Anhänge ankommender und abgehender s werden automatisch auf Viren geprüft. Bei Web-Seiten, die aktive Inhalte enthalten (Java-applets, JavaScript, ActiveX-Controls, ) werden die aktiven Inhalte deaktiviert. Erledigt von Application Filter, HTML/HTTP-Proxy Paketfilter Application-Filter, FTP-Proxy Paketfilter Application- Filter, Mail-Proxy Application-Filter, HTTP-Proxy

5 4. Was wird durch die Manchester-Kodierung erreicht? Weshalb wird z.b. bei Fast Ethernet über Twisted Pair (100BaseTX) anstelle der Manchester-Kodierung MLT-3 in Kombination mit 4B5B eingesetzt? Skizzieren Sie die Manchester-Kodierung und die Differentielle Manchester- Kodierung der Zahl 13. Unterstellen Sie bei der Differentiellen Manchester- Kodierung einen Low-Pegel am Anfang. - Empfangtakt kann aus der Codierung der Daten regeneriert werden - Manchester Codierung benötigt große Bandbreite; bei hohen Übertragungsraten kommt man schnell an die Grenzbereiche der verwendeten Kabel Bei der MLT3-Codierung in Kombination mit 4B5B benötigt bspw. Ein 8 Bit-Wert (da 4-Bit pro Wellenform kodiert werden) nur 31,21 MHz 5. Beschreiben Sie das Zugriffsverfahren beim CAN-Bus (CSMA/CA) (Stichwörter: Objekt-ID, bitsynchrone Übertragung, Priorisierung, Bit stuffing). Was kann man zum CAN-Zeitverhalten sagen? Nennen Sie ein typisches CAN-Einsatzfeld. Für welche Einsatzfelder eignet sich CAN eher als z.b. PROFIBUS-DP oder INTERBUS-S? Zugriffsverfahren: - Zugriffsverfahren CSMA/CA ( Carrier Sense Multiple Access with Collision Avoidance). - jede sendewillige Station prüft, ob gerade eine andere Station sendet Entdeckt sie keinen Carrier, greift sie auf den Bus zu - Bei fast gleichzeitigem Sendewunsch mehrerer Stationen erkennen die Teilnehmer aufgrund der Signalausbreitung einen freien Bus und senden Überlagerung höchstpriore Nachricht setzt sich durch Jede Station sendet die Quelladresse (ID), die die Nachricht identifiziert dominante Quelladresse ist die mit der kleineren ID, da ein 0-Bit (dominant) ein 1-Bit (rezessiv) dominiert.

6 dominanter Zustand setzt sich am Bus durch, alle anderen Teilnehmer brechen Sendeversuch ab - Damit dieses Verfahren der Kollisionsvermeidung funktioniert, muss gleichzeitig (bitsychron) an jeder Station der gleiche Spannungspegel anliegen. - Ein Master kann mehrere Objekte (verschiedene IDs) verwalten.! die gleiche ID darf nicht von mehreren Mastern verwendet werden - Durch die NRZ-Kodierung besteht bei längeren Folgen von gleichwertigen Bits keine Möglichkeit für die Nachsynchronisation der Empfangseinrichtung durch Flanken. Daher wird eine Technik namens Bit Stuffing verwendet: Nach 5 gleichwertigen Bits fügt der Sender ein komplementäres Bit in den Datenstrom ein. Die stuffed bits werden vom Empfänger wieder entfernt. Zeitverhalten - Die genaue Zeit wie lange eine Nachricht benötigt, bis sie bei der Steuerung ist, kann nicht berechnet/garantiert werden Anwendungsgebiete - Vernetzung komplexer Controller und Steuergeräte - Wichtigster Anwendungsbereich ist die Automobilindustrie, die in den Limousinen CAN einsetzt, um den wegen des hohen Elektronikanteils entstehenden Verkablungsaufwand zu reduzieren - CAN wird ferner eingesetzt in Textilmaschinen, in Geräten und Apparaten der Medizintechnik (in CTs, MRTs, Zahnarztstühlen zur Steuerung von Positionierungsantrieben für Röntgeneinheiten etc ) - bei Aufzügen und Nutzfahrzeugen. Datenkonsistenz sehr gut im Bezug auf starke Störeinflüsse (z.b. in PKWs)

7 6. Erläutern Sie die Begriffe Bridge, Routing und Switching.Nennen Sie wichtige Leistungsmerkmale eines Switches. Bridge: - Arbeitet auf MAC-Ebene - Akzeptiert jeden Frame von allen angeschlossenen LANs - Für Enteilnehmer nicht sichtbar (transparente Brücken) - Lernen selbstständig welche MAC-Adresse wie zu erreichen ist indem sie in der Hash-Tabelle verwalten welche MAC-Adresse sich in welchen LAN befindet Bei Inbetriebnahme ist die Tabelle leer: Frame dessen Ziel-LAN nicht bekannt ist, wird in jedes angeschlossene LAN weitergeleitet, außer ins Herkunft - LAN (= fluten) [Skript S. 72] Routing: - Router haben eine Vermittlungsfunktion - Ein Host entscheidet mit Hilfe der netmask, ob sein Kommunikationspartner im selben Netzsegment ist, ist dies nicht der Fall muss er die Leistungen des Routers (Gateways) in Anspruch nehmen - Zu jedem Netzsegment, das über den Router erreichbar ist, ist im Router eine Baugruppe installiert. Jeder dieser Eingänge ist mit einer IP-Adresse belegt, die den Router zu einem normalen Teilnehmer an jedem Segment macht: - Will man LAN-Segmente über die durch die Übertragungstechnik vorgegebene Reichweite erweitern, so kann man Router einsetzen. - Router arbeiten auf Basis der Netzwerkadressen (bei TCP/IP: IP- Adressen), um zu entscheiden, über welchen Ausgang ein Paket weiterzuleiten ist. - Durch den Einsatz von Routern kann man auch ein Ethernet-Segment, welches überlastet ist (viele Kollisionen, dadurch schlechte Performance), in mehrere kleinere Segmente (sog. Collision Domains) aufspalten.

8 Switches: - Switches = Multiport-Bridges, die mehrere Verbindungen gleichzeitig schalten - Wegentscheidung auf Basis der MAC-Adressen - Switches verfügen über internen Bus (Backplane): o Hohe Datenrate o Frames über Backplane direkt an Port weitergeleitet, mit dem die zur Destination Address gehörige Station verbunden ist Weiterleitung mit Netzgeschwindigkeit - Kommunikationspartnern steh gesamte Bandbreite exklusiv zur Verfügung - Kollisionen nur direkt auf Verbindung möglich o Vollduplex Modus = separate Leitungen für beide Übertragungsrichtungen keine Kollision Leistungsmerkmale: Bandbreite des Backplane (2x Bandbreite der verfügbaren Ports) Anzahl der MAC-Adressen, die verwaltet werden können 7. Mit welchem Schlüssel findet a) Wie wird eine verschlüsselt?. (Erläutern Sie das Prinzip einer verschlüsselten .) b) Wie kann man die Authentizität einer garantieren, d.h. wie wird sichergestellt, dass eine tatsächlich vom angegebenen Absender stammt und unterwegs nicht verfälscht wurde? Welche Rolle spielt ein X.509-Zertifikat in diesem Zusammenhang? (Verschlüsselung bzw. Entschlüsselung des Fingerabdrucks bei der digitalen Unterschrift) statt? Begründen Sie Ihre Antworten. a) Verschlüsselung mit dem public key des Empfängers, Entschlüsselung mit dem private key des Empfängers Verschlüsselung mit private & public key = asymmetrische Verschlüsselung

9 b) durch Fingerprint: Bildung der Prüfsumme des Dokumentes (mit Einweg-Hashfunktion MD5) = Fingerprint Fingerprint wird mit private key des Absenders verschlüsselt und mit dessen mitgeschickten public key entschlüsselt X.509 ist ein Protokoll und stellt einen Rahmen zur Authentifizierung dar Das Verzeichnis dient zur Aufbewahrung von Zertifikaten von öffentlichen Schlüsseln. Jedes X.509-Zertifikat enthält den öffentlichen Schlüssel des Anwenders und ist mit dem privaten Schlüssel der CA versehen. X.509 Zertifikat dient der Authentifizierung und erhöht die Sicherheit, dass der Sender auch wirklich eine bestimmte Person ist. 8. Im Fachbereich MA gab es Anfang 1997 folgendes Problem: Der Rechner fhfma04 (IP-Adresse ) ließ sich nur von Rechnern mit IP- Adressen n direkt ansprechen. Wollte man z.b. von einem Rechner mit Adresse eine TELNET-Session an fhfma04 ausführen, so ließ sich dies nur auf dem Umweg über einen Rechner mit Adresse n realisieren. Man hatte also zunächst auf eine TELNET-Session z.b. am Rechner fhfma01 zu starten, um in dieser Session den TELNET-Zugang zu fhfma04 zu erhalten. Was war die Ursache dieses Problems? - Problem beim Teilnehmer - Gateway-Eintrag falsch, oder nicht vorhanden - Rechner kann nicht vom n ins n Netz wechseln

10 9. Die HL7-Nachricht Aufnahme eines Patienten wird an die Verwaltung eines Krankenhauses geschickt. Die Transportschicht des Absenders erhält eine positive Quittung, die Anwendungsschicht eine negative Quittung. Was bedeuten diese Quittungen? Positive Quittungen Transportschicht: - Übertragung O.K., Sendung vollständig angekommen Negative Quittungen Anwenderschicht: - SPS kennt die Anwendung nicht; Variable ist der SPS nicht bekannt 10. Nennen Sie ein Beispiel für eine Nachricht auf Transportebene, die nicht bis zur Anwendungsschicht durchdringt - Anforderung einer Sendewiederholung eines best. Datenpaketes im Fehlerfall 11. Zu welcher Schicht des OSI-Referenzmodells gehören die folgenden Teilaufgaben/Festlegungen? Aufgabe OSI-Schicht Bei der Übertragung wird die Manchester-Codierung verwendet 1 Das Ergebnis einer Blutuntersuchung soll von der EDV-Anlage des Labors auf d. 7 Computer des Stationsarztes überspielt werden. Dazu muss z.b. festgelegt sein, dass der Nachname zuerst, dann der Vorname, dann der Geb.monat, dann der Geb.tag usw. übermittelt werden soll. Die Übertragung erfolgt gemäß RS Der Zugriff auf einen Web Server erfolgt über SSL 6 Von einem PC aus soll eine best. Variable aus dem Speicher einer SPS gelesen werden. 6 Das Format der entspr. Nachricht soll festgelegt werden. Die Endteilnehmer prüfen, ob die empfangenen Datenpakete in der richtigen Reihenfolge ankommen. Im Fehlerfall wird eine Sendewiederholung angefordert. 4 Es wird über Twisted Pair übertragen. 1 Als Zugriffsverfahren wird CSMA/CD verwendet 1 Bei einem ftp stellt der Empfänger einen Übertragungsfehler fest und fordert eine 4 Sendewiederholung an. Es sollen Krankenbefunde und Patientendaten übertragen werden. Das Format, in welchem diese Daten zu übertragen sind, ist festzulegen. 7 Bei einer Homebanking-Anwendung werden die Datenblöcke, die zwischen den Partnern ausgetauscht werden, verschlüsselt. Es wird über Lichtwellenleiter übertragen. 1 Zwei Partneranwendungen laufen auf Rechnern, die untersch. interne Darstellungen für 6 ganze Zahlen verwenden. Es ist sicherzustellen, dass keine Fehlinterpretationen möglich sind.

11