Ergänzungen der fünften Auflage in Hinblick auf die Prüfung N10-005

Transkript

1 Ergänzungen der fünften Auflage in Hinblick auf die Prüfung N10-005

2 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 2 Alle Rechte, auch die der Übersetzung bleiben vorbehalten. Kein Teil dieses Ergänzungswerks darf in irgendeiner Form ohne schriftliche Genehmigung des Verlages reproduziert oder unter Verwendung elektronischer Systeme weiterverarbeitet, publiziert oder verteilt werden. Der Verlag übernimmt keine Gewähr für die Angaben in diesem Unterrichtsmittel - insbesondere übernimmt er auch keinerlei Haftung für eventuelle aus dem Gebrauch resultierende Probleme oder Folgeschäden. Weder der Autor noch der Verlag oder CompTIA garantieren durch den Inhalt dieses Werkes in irgendeiner Weise dafür, dass ein Examen garantiert bestanden wird. Die Wiedergabe von genannten Handelsnamen, Warenbezeichnungen, Organisationen oder Firmen in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zur Annahme, dass solche Normen im Sinne des Warenzeichen- und Markenschutzgesetzes als frei zu betrachten wären. Alle Rechte bleiben in jedem Fall gewahrt. Educomp ist zudem in keiner Weise mit der Firma CompTIA verbunden, dasselbe gilt auch umgekehrt. Für weitere Fragen wenden Sie sich bitte an Educomp c/o Kabera Brainware GmbH Im Winkel 10 CH-8460 Marthalen Schweiz áåñç]éçìåçãékåü Fassung: Ergänzung zu NetworkPlus Objectives 2012 (N10-005) Version: Autor: Markus Kammermann Copyright: 2012 educomp

3 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 3 Inhalt TKT si^kë=eh~éáíéä=éêö åòíf... 4 UKQ báåêáåüíìåö=ìåç=páåüéêüéáí=eéêö åòíéë=h~éáíéäf... 8 UKQKN báåêáåüíéå=çéë=çê~üíäçëéå=kéíòïéêâë... 8 UKQKO hçåñáöìê~íáçå=çéë=çê~üíäçëéå=kéíòïéêâë UKQKP táêéç=bèìáî~äéåí=mêáî~åó UKQKQ tm^=ìåç=umoknná VKU cáäéê=íç=íüé=eçãé=eåéìf NMKS fmîs=efmåö=ó=fm=åéñí=öéåéê~íáçåf=eéêö åòíéë=h~éáíéäf NTKP smk=eëí~êâ=éêïéáíéêíéë=h~éáíéäf NTKPKN páíéjíçjpáíé=smk NTKPKO `äáéåíjíçjpáíéjsmk NTKPKP aóå~ãáëåüéë=smk=e`äáéåíjíçjpáíéi=páíéjíçjpáíéf NUKO aáé=kéíòïéêâççâìãéåí~íáçå=eåéìf NUKOKN séêâ~äéäìåöëëåüéã~ NUKOKO ^åëåüäìëëçá~öê~ããé NUKOKP içöáëåüéë=kéíòïéêâçá~öê~ãã NUKOKQ fåîéåí~êj=ìåç=hçåñáöìê~íáçåëççâìãéåí~íáçå NUKOKR jéëëçá~öê~ããé NUKOKS ûåçéêìåöëççâìãéåí~íáçå NUKR kéíòïéêâ~å~äóëééêçöê~ããé=eåéìé=qéáäâ~éáíéäf NUKRKP jéëëìåö=çéê=kéíòïéêâäéáëíìåö NUKRKQ t~ë=áëí=éáå=mçêíëå~ååéê\ NVKR ^êäéáíéå=áå=çéê=püéää=ãáí=åéíëü=eåéìf OP aáé=`çãéqf^=kéíïçêâhjmêωñìåö=e~åöéé~ëëíf OPKN t~ë=îçå=füåéå=îéêä~åöí=ïáêç OPKO táé=páé=ëáåü=îçêäéêéáíéå=â ååéå OPKP táé=éáåé=mêωñìåö=~ìëëáéüí... 38

4 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite VLANs (ergänztes Kapitel) Ein virtuelles lokales Netz (Virtual Local Area Network, VLAN) stellt ein logisches Netzwerk innerhalb eines physischen Netzwerks dar. Wir behandeln dieses Thema an dieser Stelle, da die technische Realisierung zumindest teilweise im Rahmen von IEEE 802.1Q definiert ist, z.b. das "tagging", sprich die Art, wie die VLAN- Identifikation in ein Ethernet-Frame eingefügt wird. Die Idee von VLANs kommt daher, dass durch den Einsatz von Switches große lokale Netzwerke entstehen können. Dies führt zu einer zunehmend schwieriger zu kontrollierenden Umgebung, sowohl was die Verwaltung benötigter (oder zu garantierender) Bandbreiten als auch die Gewährung von Sicherheit im Netzwerk anbelangt. Mit virtuellen Netzwerken kann hier Abhilfe geschaffen werden, indem das (große) physische Netzwerk wieder unterteilt werden kann - ohne neue Hardware zu benötigen. Anders gesagt: VLANs sind geswitchte Netze, die logisch segmentiert werden können. VLANs können ohne physikalische Veränderungen des Netzes eingerichtet werden. Notwendig ist lediglich die Voraussetzung, dass die Switches im Netzwerk VLAN unterstützen. Dazu benötigen Sie Switches, die verwaltbar sind und welche eben z.b Q unterstützen. Die Vorteile von VLANs sind: Keine Verbreitung von Broadcasts über das gesamte Netzsegment mehr Einfache Abbildung der Organisationsstruktur auf die Netzwerkstruktur Unterstützung dynamischer Netzwerkumbildung Räumliche Entfernung der Mitarbeiter spielt keine Rolle bei der Aufgabenverteilung oder Netzwerkzuteilung. Innerhalb von VLANs ist durch Mitgliedschaften kein Routing nötig. Ein weiterer Vorteil von VLANs ist die Möglichkeit, einzelne virtuelle Netze zu priorisieren, um so die Bandbreite zu gewähren, z.b. für Dienste wie Sprache (für Voice over IP). Es gibt unterschiedliche Möglichkeiten, um ein VLAN zu unterteilen, so z.b.: Portbasiertes VLAN (Switch-Ports) MAC-basiertes VLAN (angeschlossene Endgeräteadresse) Protokollbasiertes VLAN (Tagged VLAN) Je nach Methode wird die Unterteilung anhand oben genannter Merkmale unterschiedlich vorgenommen.

5 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 5 Beim portbasierten VLAN wird die Zuordnung an den Ports auf dem Switch selber vorgenommen. Das heißt, die physischen Ports werden direkt zu verschiedenen Gruppen logischer Netze zusammengefasst und bilden statisch ein logisches Netz. Alle Ports im selben logischen Segment bilden damit eine Broadcast-Domäne - als hingen sie an einem physischen Switch. Dadurch erhalten sie nach wie vor alle Broadcasts - nicht aber alle Datenpakete (dann bildeten sie ja eine Kollisionsdomäne wie an einem Hub). Kein Port kann in mehr als einem Netz sein. Durch den statischen Aufbau muss die Verbindung der Segmente über eine Routing-Funktion gewährleistet werden. Die VLAN-Verwaltung bleibt dabei auf einen einzelnen Switch beschränkt. Ebenfalls statisch ist das MAC-basierte Verfahren. Hierbei werden aber nicht die Ports am Switch einem VLAN zugeordnet, sondern die MAC-Adressen der angeschlossenen Endgeräte. Anders verläuft die Bildung von VLANs beim protokollbasierten Ansatz. Um verschiedene VLANs unterscheiden zu können, erhält jedes VLAN eine sogenannte Identifikation, eine ID. Dafür wird nach IEEE 802.1Q das Ethernet- Frame um 32 Bit erweitert. Davon sind 12 Bit zur Bestimmung der VLAN-ID reserviert, sodass insgesamt 4094 unterschiedliche VLANs möglich sind. Protokollbasierte VLANs sind wesentlich flexibler. Damit man jetzt mehrere VLANs auf einem Switch oder über mehrere Switches verwalten kann, enthält jedes Datenpaket einen "tag" [gesprochen: täg] zur Identifikation, wodurch der Switch die Datenpakete einem logischen Netzwerk eindeutig zuordnen kann. Sind dann mehrere Switches miteinander verbunden, reicht eine einzelne Verbindung aus (Trunk Link), da die unterschiedlichen VLANs anhand des "tags" identifiziert und auf den Switches den Netzwerken zugeordnet werden können. Endgeräte dagegen verstehen in der Regel diese "tags" nicht, d.h. man stellt auf einem "Trunk Port" das "tagging" ein, um mehrere VLANs zu verbinden, auf einem normalen "Access Port" dagegen stellt man das "tagging" aus (untagged), da die Endgeräte das Datenpaket ohne "tag" erhalten wollen. Abb. 7.4: VLANs in einem lokalen Netzwerk

6 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 6 Das heißt auch: Hat man nur ein VLAN an einem Switch, benötigt man kein "tagging". Es kommt erst dann zum Einsatz, wenn mehrere VLANs auf einem Switch verwendet werden sollen, damit der Switch die Pakete eben anhand des "tags" dem jeweiligen VLAN zuordnen kann. Wenn Sie nun an einem Switch ein VLAN konfigurieren möchten, müssen Sie jedem Port an diesem Switch drei Informationen mitgeben: Zu welchem VLAN gehört der Datenverkehr, der an diesem Port ankommt? Welche VLANs dürfen zum an diesem Port angeschlossenen Gerät kommunizieren? Braucht das an diesem Port angeschlossene Gerät die Information darüber, aus welchem VLAN der Datenverkehr stammt (tagged/untagged)? Abb. 7.5: Konfiguration von VLANs auf einem managed Switch (Quelle: Cisco SG300) Nicht zu vergessen ist dabei natürlich, dass Sie auch die IP-Adressierung einen Layer höher korrekt vergeben müssen. Wenn zum Beispiel ein Drucker Mitglied in mehreren VLANs ist, sodass mehrere Netze sich zwar gegenseitig nicht sehen, aber den Drucker gemeinsamen nutzen können, dann geht das nur, wenn der Drucker im selben IP-Netzwerk adressiert ist wie alle angeschlossenen logischen Netzwerke - oder Sie benötigen einen Router bzw. eine Routing-Funktion. Das wiederum kann auch Absicht sein, Stichwort Netzwerksicherheit. Es sei hier einfach erwähnt. Zum Schluss noch ein paar Hinweise zur Sicherheit von VLANs. Managed Switches haben den Vorteil der Konfigurierbarkeit. Nutzen Sie diese - alle unbelegten Ports auf dem Switch sollte man deaktivieren und ihnen ein unbenutztes VLAN zuweisen. Aktive Ports, an denen ein Endgerät angeschlossen ist, sind so zu konfigurieren, dass sie kein Trunking akzeptieren. Das heißt, es wird nur das eine angeschlossene Endgerät mit seinen VLAN-Mitgliedschaften zugelassen.

7 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 7 Gerade hier sind aber auch die Hersteller in der Pflicht, da sie die Geräte oft eher unter dem Bequemlichkeits- denn dem Sicherheitsaspekt implementieren. Bekannt sind etwa von Cisco das Virtual Trunking Protocol (VTP), mit dem auf Cisco-Geräten VLANs konfiguriert und administriert werden können. VLANs werden auf dem VTP-Server eingerichtet und automatisch an die VTP-Clients propagiert. Ein Angreifer, der einen Rechner dazu bringen kann, eine solche 802.1Q-Negotiation zu starten, bekommt so Zugriff auf alle VLANs. Und natürlich: Der Zugriff auf Konfigurationsschnittstellen muss mit einem Passwort gesichert werden, um unbefugtes Bearbeiten von Einstellungen zu verhindern. Zudem ist es durch einen Einsatz von IEEE 802.1X möglich, zuzulassende Endgeräte durch Maschinenpasswörter oder Public-Key-Zertifikate zu identifizieren. Switch-Ports werden nur dann aktiviert, wenn an ihnen autorisierte Geräte angeschlossen sind. Dies bietet eine hohe Sicherheit bei vergleichsweise hohem Aufwand auf der anderen Seite.

8 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite Einrichtung und Sicherheit (ergänztes Kapitel) Das IEEE-Komitee hat bei der Entwicklung der WLAN-Sicherheitsstandards ursprünglich kein perfektes Verschlüsselungsverfahren mit eingeplant. Man nahm an, dass die Verschlüsselung auf Anwendungsebene (z.b. elektronischer Zahlungsverkehr) realisiert würde und es darüber hinaus nicht notwendig ist, weitere Verschlüsselungen zu definieren. Mit dem WEP-Standard (Wired Equivalent Privacy) kam daher lediglich ein aus heutiger Sicht unsicherer Sicherheitsmechanismus zum Tragen. Erst nach lauter Kritik an diesem Verfahren wurden mit (privat entwickeltem) WPA und dem darauf folgenden Standard WPA2 sichere Verschlüsselungen entwickelt WPA2 hält bei geeigneter Umsetzung auch heutigen Anforderungen stand. Um den Zugang zu öffentlichen Netzwerken zu kontrollieren, wurde zudem der Standard 802.1x entwickelt. Eine mögliche Lösung für eine solche Verbindung sollte kostengünstig und einfach zu implementieren sein. Dabei sollten die bestehende Netzwerkinfrastruktur verwendet und standardisierte Netzwerkprotokolle eingesetzt werden. Das Konzept für 802.1x wurde gemeinsam von den Firmen 3Com, HP und Microsoft entwickelt und im Juni 2001 durch die IEEE als Standard verabschiedet. Das Modell wurde übrigens ursprünglich für Switches entwickelt (802.1d) und erst später auf die Standards von erweitert Einrichten des drahtlosen Netzwerks Bei der Einrichtung geht es zunächst um die Frage der geeigneten Geräte und Standorte. Abhängig vom Standort kann der Sendebereich der Access Points stark variieren, die bereits erwähnten Hindernisse baulicher oder geografischer Natur sind darum im Vorfeld zu berücksichtigen. Und nicht zu vergessen sind die Endgeräte, denn ein Notebook empfängt nicht nur Signale, sondern hat auch eine Antenne, um Daten zu senden was für den Access Point gilt, gilt daher im Wesentlichen auch für die (mobilen) Endgeräte. Ein wesentlicher Aspekt für die Sendeleistung ist die Art und Ausrichtung der Antennen. Deren Leistung hängt von mehreren Faktoren ab: Der Standort: Im optimalen Fall sehen sich alle Antennen eines WLAN, zumindest erhöht dies deren Leistungsfähigkeit. Zumindest sollten Wände und Hindernisse weiter entfernt sein von den Antennen, um die Ausbreitung des Signals nicht zu unterbrechen (Grundsatz des Richtfunks: Halte die erste Fresnelzone frei). Der Wirkungsgrad: wie viel der eingespeisten elektrischen Energie die Antenne wirklich in Sendestrahlung umwandelt. Hier gilt: Gute Antennen sind mindestens eine halbe Wellenlänge lang bei einer Sendefrequenz

9 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 9 von 2,4 GHz und einer Wellenlänge von daher rund 12 cm heißt das: keine Antennen unter sechs Zentimeter. Stichwort: WLAN-Stecker im Miniformat oder USB-WLAN-Sticks. Verbindungskabel: Gerade bei Access Points werden gerne Verbindungskabel zur Ausrichtung der Antennen eingesetzt: je länger das Kabel ist, desto größer ist die Dämpfung (also der Signalverlust). Wenn Sie also anstelle der im Access Point eingebauten 3-dBi-Antenne eine externe 7- dbi-antenne anschließen und diese mit einem 2 Meter langen Kabel verbinden, ist der eigentliche Gewinn schon um rund die Hälfte (ca. 2 dbi) verloren. Dabei gilt: je dünner das Kabel, desto größer der Verlust. Die Konzentration der Strahlung: Eine Rundstrahlantenne sendet in alle Richtungen, eine Richtantenne dagegen kann bei gleicher Sendeleistung eine wesentlich höhere Reichweite erzielen, weil die Strahlung in eine bestimmte Richtung gelenkt wird (sogenannter Antennengewinn). Dafür ist die Abdeckung bei einer Rundstrahlantenne größer. Hier ist also der Einsatzweck gefragt, um zu bestimmen, welche Antenne die richtige ist. Typ der Antenne: Gebräuchliche Typen für WLAN sind Rundstrahlantennen, Richtantennen (Yagi) oder BiQuad-Antennen. Der Antennengewinn dieser Typen ist sehr unterschiedlich. Er kommt dadurch zustande, dass die Strahlung auf einen bestimmten Strahlungswinkel konzentriert wird. Jeweils 3 dbi entsprechen dabei einer Verdoppelung der Leistung, immer bezogen auf den sogenannten Isostrahler, einer nur theoretisch existierenden omnidirektionalen Antenne mit 360 Grad Rundstrahlung. Eine doppelte Leistung erhält man also dadurch, dass man die Richtung halbiert. Eine vierfache Leistung mündet also in einen maximalen Sendebereich von 90 Grad Ausdehnung usw. Ein mehr an Energie kommt ja nirgendwo her, es ist schließlich kein elektronischer Verstärker in die Antenne eingebaut. OMNI Yagi-Direktional Dipol Richtantenne Abb. 0.1: Verschiedene WLAN-Antennen für den Innen- und Außeneinsatz Die Sendeleistung dürfen Sie dabei nicht über das gesetzliche Maß von je nach Frequenzband und Landesbestimmung 100 Milliwatt EIRP (20 dbm) (2,4 GHz) bis

10 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite Milliwatt (5 GHz indoor) hinaus verstärken. Zusätzliche Antennengewinne müssen also mitunter durch Reduktion der Sendeleistung wieder ausgeglichen werden, um die zulässige Feldstärke von 20 dbm nicht zu überschreiten. Dazu bieten gute Access Points entsprechende Einstellungsmöglichkeiten an. Die Empfängerempfindlichkeit ist gesetzlich nicht begrenzt, aber physikalisch bei etwa -97 dbm. Ein gutes bzw. stabiles Signal erhalten Sie bis etwa einem Leistungspegel von -75 dbm. Darunter ist zwar eine Verbindungsherstellung bis zum Grenzwert der Empfindlichkeit möglich, die eigentliche Datenübertragungsrate sinkt aber gegen 0 Mbps ab oder es kommt immer wieder zu Unterbrechungen. Abb. 0.2: Gemessener Leistungspegel eines WLAN-Signals, (Quelle: inssider von Metageek) Wenn Sie ein Feld abdecken möchten, das größer ist, als es ein einzelner Access Point abdecken kann, empfiehlt sich der Einsatz von WLAN-Repeatern. Diese können das Signal entsprechend in verschiedene Richtungen verstärken und damit die Abdeckung vergrößern Konfiguration des drahtlosen Netzwerks Wie wir gesehen haben, benötigen wir unabhängig vom Aufbau des Netzwerks zumindest einen eindeutigen Namen, welcher das Netzwerk identifiziert. Diese Identifikation nennt sich Service Set Identifier (SSID). Zusätzlich können weitere Identifikationsmerkmale wie die Verschlüsselung oder Authentifizierung mit angegeben werden. Gesteuert werden diese Möglichkeiten von den Fähigkeiten der installierten Hardware, sei es vom Access Point oder durch die installierte drahtlose Netzwerkkarte. Für das Infrastrukturnetz gilt zudem: Nur wenn der Access Point und die Netzwerkkarte dieselben Standards unterstützen, können sie miteinander kommunizieren. Dies ist auch eine Erklärung dafür, warum man mit dem Standard

11 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite n einen abwärtskompatiblen Standard entwickelt hat, sodass n und g nebeneinander existieren und miteinander kommunizieren können. Welche Werte müssen Sie einrichten, damit Ihr drahtloses Netzwerk funktioniert? Identifikation: Die SSID kann in der Regel durch Scannen mit der Verbindungssoftware der drahtlosen Netzwerkkarte gesehen werden. Zahlreiche Access Points bieten die Option, die Übermittlung der SSID zu unterdrücken. Das Beacon-Frame wird dadurch um einen Teil seiner Information beschnitten, und der Client muss die SSID selber kennen (wissen statt suchen). Methode: Ad hoc oder Infrastruktur. Bei Ad hoc muss zudem eingestellt werden, auf welchem der 13 möglichen Kanäle die Übertragung stattfinden soll. Bei Infrastruktur wird diese Einstellung am Access Point vorgenommen, der diese Information an die Endgeräte weitergibt. Verschlüsselung: Die verwendete Verschlüsselung muss bei Sender und Empfänger gleich eingestellt sein, nur dann kann eine gültige Kommunikation hergestellt werden. MAC-Filter: Viele Access Points erlauben die Einschränkung des Zugriffs für bestimmte Endgeräte. Dies wird in der Regel über die Identifikation der MAC-Adresse vorgenommen. Ist eine solche Einschränkung aktiv, muss die MAC-Adresse des Endgerätes in die Liste aufgenommen werden, um Zugang zum Netzwerk zu erhalten. Und so kann dies dann in der konkreten Konfiguration aussehen: ^ÄÄK=MKPW=hçåÑáÖìê~íáçå=ÉáåÉê=Çê~ÜíäçëÉå=kÉíòïÉêââ~êíÉ= Seitens des Access Points wird dies wie folgt konfiguriert (hier als Beispiel mit WPA-PSK anstelle von WEP):

12 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 12 ^ÄÄK=MKQW=ti^kJbáåëíÉääìåÖÉå=áã=oçìíÉê= Wired Equivalent Privacy Die Entwicklung der Sicherheitseinstellungen bei drahtlosen Netzwerken ermöglicht heute eine Vielzahl unterschiedlicher Einstellungen. Dabei geht es, wie Sie auch in Kapitel Fehler! Verweisquelle konnte nicht gefunden werden. noch sehen werden, um die Frage, wie der Datenverkehr gesichert werden kann, damit obwohl die Daten frei durch die Luft übertragen werden niemand diesen Datenfluss einfach ablesen kann. Die bekanntesten Verschlüsselungen für drahtlose Netzwerke sind bis heute WEP, WPA und WPA2, die es wiederum in verschiedenen Ausführungen gibt. WEP ist die älteste Verschlüsselungstechnik. Die Abkürzung heißt ausgeschrieben Wired Equivalent Privacy und bedeutet damit Sicherheit wie bei einem Kabelnetz. Diese Technik benutzt entweder einen 40 Bit, einen 64 Bit oder in letzter Ausführung einen 128 Bit statischen Schlüssel, um die Kommunikation zu verschlüsseln. Bald zeigte sich, dass dieser Schlüssel relativ einfach geknackt werden kann und daher zumindest aus heutiger Sicht als nicht mehr sicher gilt. Einige der wichtigsten Schwachstellen von WEP sind: Kurze Schlüssel mit nur 40 Bit oder 104 effektiver Verschlüsselungslänge (abzüglich der Initialisierungsvektoren, IV) Bei WEP ist kein Schlüsselmanagement vorhanden. Die statischen WEP- Schlüssel müssen manuell bei allen Clients und Access Points im Netzwerk implementiert und aktualisiert werden. Daher werden sie häufig nicht oder nur selten geändert. Zu kurze oder schwache Initialisierungsvektoren. Mit einer Länge von 24 Bit gibt es nur eine Gesamtmenge von 2^24 möglichen IVs. Das führt zu einer

13 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 13 häufigen Wiederverwendung. Somit entstehen aus den wiederholten IVs und dem WEP-Schlüssel auch Schlüsselströme, die bereits verwendet wurden. Fälschbare Authentisierung: Ein Angreifer kann die Authentisierung (korrekte Anmeldung) eines anderen Clients beobachten und dabei den IV sowie den Challenge-Text sowohl im Klartext als auch verschlüsselt aufzeichnen. Daraus kann er anschließend den Schlüsselstrom berechnen. Diesen kann er für seine eigene Authentisierung nutzen. Keine Benutzerauthentifizierung: Die Authentisierung überprüft die Authentizität des Benutzers nicht. Es werden lediglich die WLAN-Adapter authentifiziert. Dazu ist der WEP-Schlüssel auf dem jeweiligen Gerät z.t. sogar im Klartext abgelegt. So kann ein verloren gegangenes Notebook zum Eindringen in das WLAN verwendet werden WPA und i Die IEEE entwickelte unter dem Standard i einen besseren Sicherheitsstandard. Da dies aber zu viel Zeit in Anspruch nahm, hatten die Hersteller zwischenzeitlich den Pseudo-Standard Wi-Fi Protected Access (WPA) entwickelt. Nach Abschluss der Standardisierung wurde WPA dann entsprechend erweitert, und es wurde WPA2 als Standard publiziert. Mit dem Standard i von 2004, der mittlerweile im Standard aufgegangen ist, wurde das WEP-Verfahren durch neue Verfahren zur Erhöhung der Sicherheit abgelöst. Die wesentlichen Neuerungen von WPA sowie dem später folgenden Standard i waren: WPA: WPA mit Temporal Key Integrity Protocol (TKIP) als Ersatz für WEP (allerdings immer noch auf der Verschlüsselung RC4 basierend) i: CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) zur Behebung der Schwächen von TKIP. Daher auch die Bezeichnung WPA2. CCMP basiert im Unterschied zu TKIP auf der AES-Verschlüsselung. Ein standardisiertes Handshake-Verfahren zwischen Client und Access Point zur Ermittlung/Übertragung der Sitzungsschlüssel Ein vereinfachtes Verfahren zur Ermittlung des Master Secrets, das ohne einen RADIUS-Server auskommt Aushandlung des Verschlüsselungsverfahrens zwischen Access Point und Client Das WPA-Protokoll ersetzt die statischen Codes von WEP durch dynamische Schlüssel, die schwerer zu manipulieren sind. Je länger der benutzte Schlüssel ist

14 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 14 und je häufiger er in kurzen Abständen gewechselt wird, desto zuverlässiger der Schutz. Hier kommt allerdings nach wie vor eine symmetrische Verschlüsselung zum Einsatz. Zwischen WPA und WPA2 ergibt sich durch die Verwendung von CCMP anstelle von TKIP immer noch ein großer Unterschied in der Sicherheit zugunsten von WPA2. Die Verschlüsselungsmethode wird von der Software der WLAN-Karte vorgegeben, und alle neueren Karten unterstützen heute dieses Verfahren. Der wie gesagt nach erst nach WPA verabschiedete Standard i wurde danach in WPA2 implementiert. Damit kann die Wireless-Sicherheit in zwei verschiedenen Funktionsmodi betrieben werden. WPA Personal: Der Modus WPA Personal ermöglicht die Einrichtung einer gesicherten Infrastruktur basierend auf WPA, allerdings ohne die Einrichtung eines Authentifizierungsservers. WPA Personal beruht auf der Verwendung eines gemeinsamen Schlüssels namens PSK für Pre-Shared Key, der im Access Point und den Clientstationen eingegeben wird. Im Gegensatz zu WEP ist es nicht notwendig, einen Schlüssel mit einer vordefinierten Länge zu verwenden. WPA erlaubt die Verwendung einer passphrase (Geheimphrase), die durch einen Hash-Algorithmus in einen PSK übersetzt wird. Je länger diese ist, umso sicherer ist der generierte Schlüssel. WPA Enterprise: Der Enterprise-Modus verlangt die Verwendung einer 802.1x-Authentifizierungsinfrastruktur, die auf der Verwendung eines Authentifizierungsservers basiert, normalerweise ein RADIUS-Server und ein Netzwerk-Controller (der Access Point). Auch WPA/WPA2 ist nicht frei von Schwachstellen: Die Verschlüsselung von WPA2 wurde aber bisher noch nicht geknackt. Es gibt aber auch eine Ausnahme: Wenn ein zu einfacher Pre-Shared Key verwendet wird, kann auch WPA2 gehackt werden. Hier liegt die Verantwortung daher primär beim Administrator, der diese Schlüssel einrichtet. PSKs sollten nicht unter 28 Zeichen lang sein. Da dieses Passwort nur während der Einrichtung des WLANs und beim Hinzufügen weiterer Clients eingegeben werden muss, nicht aber bei jedem Anmelden eines Gerätes, spielt diese Länge für den administrativen Aufwand nur eine untergeordnete Rolle, für die Sicherheit gegenüber Angriffen aber eine große.

15 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite Fiber to the Home (neu) Die bisher beschriebenen Anschlussmöglichkeiten wie Breitband oder CATV werden zunehmend durch die neue Lichtwellenleitertechnik ersetzt, wenn auch je nach Land und Region in sehr unterschiedlichem Tempo. Das Stichwort dazu lautet: FTTH für Fiber to the Home, also in etwa Glasfaser bis zur Haustür. Technisch werden hier passive optische Zugangsnetze bis zu den Haushaltungen verlegt, sogenannte Passive Optical Networks (PON). Das heißt, es wird mit passiven optischen Zugangskomponenten gearbeitet, das Signal wird mittels eines passiven Splitters an die Teilnehmer verteilt, und jeder Kunde kann nur die für ihn bestimmten Pakete nutzen. Lediglich das OLT (Optical Line Terminal) beim Provider und das ONT (Optical Network Termination) beim Kunden sind aktive Komponenten, welche eine Stromversorgung benötigen. PONs erlauben die Bildung neuer, bandbreitenstarker Zugangsnetze für verschiedenste Dienste von Internet bis PayTV bzw. für die bereits erwähnten Triple-Play -Angebote (Internet, Telefonie, Fernsehen bzw. Multimediainhalte). Die Glasfasertechnologie erlaubt dabei gegenüber den kupferbasierten Breitbandverbindungen wesentlich höhere Reichweiten (bis zu 20 km), höhere Bandbreiten im Gigabitbereich, und sie arbeiten bidirektional. Je nach Basis der Datenübertragung finden sich dazu passend verschiedene Abkürzungen wie APON (ATM-basiertes PON), BPON (Breitband, ATM-basierend) oder GPON für ein Gigabit-basiertes Netzwerk und andere mehr. Die ITU- Standards G.983 und G.984 kümmern sich um die Standardisierung dieser passiven Netzwerkarchitekturen.

16 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite IPv6 (IPng IP next generation) (ergänztes Kapitel) Trotz privater Netzadressen und technischer Tricks wie NAT (Network Address Translation, siehe Kapitel 11), mit der man private Netze via Maskierung ans Internet anschließen kann, wird der Adressraum im aktuellen, Version4 oder auch IPv4 genannten Adressschema knapp. Aus diesem Grund wurde vor bereits etlichen Jahren eine neue Version entwickelt, die Version IPv6. Diese Version bietet wesentliche Verbesserungen: Einen erweiterten Adressraum von 2 32 auf Adressen Anycast-Adressen (bestehend: Unicast, Broadcast und Multicast) Vereinfachung des Headers Verbesserte Unterstützung von Optionen (z.b. Verschlüsselung) Funktionen im Zusammenhang mit der Dienstqualität Authentifizierung und Datenschutz Doch die Umsetzung dieser Version kommt nur äußerst schleppend voran. Windows Vista war beispielsweise das erste Microsoft-Betriebssystem, welches diese IP-Implementierung von Haus aus mitbrachte. Es folgte Windows 2008 Server, nachdem unter Windows 2003 Server IPv6 zwar installiert werden konnte, aber für den produktiven Betrieb nicht freigegeben war. Bei der aktuellen Version von Windows 7 wird IPv6 als Standardprotokoll installiert. Unter Linux ist es der Kernel 2.6, der IPv6 produktiv unterstützt. Eine IPv6-Adresse ist 128 _áí lang. Dies ergibt die Zahl von oder umgerechnet 340,28 Sextillionen IPv6-Adressen. Das bedeutet, Sie können auf jedem Quadratmeter dieser Erde IP-Geräte eindeutig adressieren. Das dürfte auch bei fortschreitendem Bevölkerungswachstum eine Weile ausreichen (für die Nachrechner, bei 510 Millionen qkm Erdfläche). Die IPv6-Adressen werden aufgrund ihrer Länge nicht mehr in dezimaler oder binärer Form wiedergegeben, sondern hexadezimal mit Doppelpunktnotation, und zwar immer in acht Blöcken zu 16 Bit. Eine IPv6-Adresse sieht dann z.b. so aus: FE04:B60D:85A3:07D3:1319:0370:8A2E:6522 Hierzu eine Erklärung anhand des ersten Adressblocks: FE04. F als hexadezimale Ziffer entspricht im dualen System der 4-Bit Zahlenfolge 1111, E entspricht der Zahlenfolge 1110 usw. In binärer Schreibweise würde also die Adresse allein für diesen ersten Block wie folgt heißen: verstehen Sie jetzt, warum eine hexadezimale Notation wesentlich praktischer sein kann für dieses Unterfangen?

17 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 17 Eine Besonderheit bei der Darstellung ist die Möglichkeit, dass Zahlengruppen, die nur aus Nullen bestehen, durch zwei aufeinander folgende Doppelpunkte ausgelassen werden können. Die Adresse FCFF:0000:57BB:0000:AB34:2300:EE22:0BF0 lautet dann FCFF::57BB::AB34:2300:EE22:0BF0 Die ersten 64 Bit der IPv6-Adresse dienen üblicherweise der Netzadressierung, die letzten 64 Bit werden zur Host-Adressierung verwendet. Beispiel: Hat ein Netzwerkgerät die IPv6-Adresse FE04: b60d:85a3:07d3:1319:0370:8a2e:6522 so stammt es aus dem Subnetz FE04: b60d:85a3:07d3 das mit den ersten 64 Bit seiner Adresse identifiziert wird. In einer URL wird die IPv6-Adresse in eckigen Klammern eingeschlossen. Beispiel einer korrekten URL: FE04: b60d:85a3:07d3:1319:0370:8a2e:6522]/ Eigene Adressklassen kennt IPv6 nicht mehr. Die Site-local-Adressen entsprechen dem im IPv4 genannten privaten Adressraum ( /8, /12, /16). Sie werden lediglich noch zur Konfiguration eines LANs verwendet, das nicht an ein IPv6-Netzwerk angeschlossen ist. Diese Adressen müssen auch manuell konfiguriert werden. Sie beginnen immer mit FEC0 und schließen einen /48-Präfix ein. Und sie werden wie bisher auch von keinem Router weitergeleitet. Natürlich gibt es auch bei IPv6 reservierte Adressen und Sonderfälle. Einige wenige sollen hier im Vergleich mit IPv4 angezeigt werden: IPv6-Adresse Präfixlänge Beschreibung Anmerkungen :: 128 Bit nicht festgelegt ::1 128 Bit Loopback- Adresse 00-Präfix entspricht IPv entspricht IPv IPv6- Kompatibilitätsadressen 2001-Präfix Provider Adressen für Provider 2002-Präfix 6to4 6to4-Tunneladressen

18 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 18 IPv6-Adresse Präfixlänge Beschreibung Anmerkungen ::00:xx:xx:xx:xx 96 Bit ::ff:xx:xx:xx:xx 96 Bit Eingebettete IPv4-Adresse Auf IPv6 abgebildete IPv4-Adresse Die niedrigen 32 Bit entsprechen der IPv4-Adresse. Auch als IPv4-kompatible IPv6-Adresse bezeichnet. Die niedrigen 32 Bit entsprechen der IPv4-Adresse. Notwendig für Rechner, die IPv6 nicht unterstützen. fe80:: bis feb:: 10 Bit link-local Nicht zu routende Adressen für private Netzwerke fec0 bis feff 10 Bit Site-local Präfix = Nachfolger der privaten IP-Adressen dürfen nur innerhalb der gleichen Organisation geroutet werden. Tabelle 0.1: IP v6-adressen Man nennt sie auch sitelocal (standortlokal). Diese Adressen sind inzwischen abgelehnt (engl. deprecated) und werden aus zukünftigen Standards möglicherweise verschwinden. Ein wichtiger Faktor für die Implementation von IPv6 war die Einführung der IEEE- Norm EUI-64 (Extended Unique Identifier) als Teil der IP-Adresse. Um die Einzigartigkeit einer Adresse (Unique Identification) zu garantieren, wurde zunächst die MAC-Adresse der Schnittstelle implementiert. Aus Sicherheits- und Datenschutzgründen wird diese danke der EUI-64-Norm nun lediglich in durch einen Algorithmus veränderter Form in die IPv6-Adresse geschrieben. IPv6-Adressen können zudem als Multicast-Adressen eingerichtet werden: Das Präfix ff = Multicast-Adressen. Dem Präfix folgen Angaben über den Gültigkeitsbereich des Pakets. Anstelle des x steht jeweils eine 0, wenn es sich um eine permanente Multicast-Gruppe handelt, und eine 1, wenn die Gruppe nur temporär besteht: ffx1: knotenlokal, diese Pakete verlassen den Knoten nie.

19 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite 19 ffx2: link-lokal, kein Routing ffx5: site-lokal (siehe dazu Anmerkung in der vorhergehenden Tabelle) ffx8: organisationslokal ffxe: globaler Multicast, der überall hin geroutet werden darf Der IP-Header hat bei IPv6 eine feste Länge. Router fragmentieren überlange Pakete nicht mehr selbst, sondern fordern den Absender mit einer ICMP-Nachricht auf, kleinere Pakete zu schicken. Zudem werden keine Prüfsummen mehr berechnet. Das ARP-Protokoll wurde durch das neue Verfahren Neighbour Solicitation ergänzt: Die MAC-Adresse eines Hosts lässt sich auch über eine aus der IP gebildeten Multicast-Gruppe herausfinden. Diese Anfragen werden nicht mehr wie Broadcasts im ganzen LAN verteilt, sondern gehen in Umgebungen mit Netzwerk-Switch idealerweise nur noch über den direkten Weg zum eigentlichen Ziel. Damit Sie IPv6 einsetzen können, müssen aber nicht nur Ihre eigenen Computer diese Adressierung verstehen, sondern alle beteiligten Router und Gateways. Die Telekomprovider haben diesbezüglich aber vorgesorgt, sodass die Umstellungen nun langsam vorankommen. IPv6 wird uns in den nächsten Jahren noch lange und ausführlich beschäftigen, also machen Sie sich am besten schon heute damit vertraut!

20 CompTIA Network+ - Ergänzungen von der vierten zur fünften Auflage Seite VPN (stark erweitertes Kapitel) Der nächste und zurzeit sicherste Weg, um von außen auf ein Netzwerk zuzugreifen, oder auch, um zwei entfernte Netzwerke miteinander zu verbinden, nennt sich Virtual Private Network (VPN). Wie der Name bereits andeutet, handelt es sich dabei um ein virtuelles Netzwerk, das mittels Software aufgebaut wird umso ein in sich geschlossenes Netzwerk über die vorhandenen physikalischen Netze zu legen. Damit eine solche virtuelle Kommunikation aufgebaut werden kann, werden die eigentlichen Datenpakete in einen VPN-Protokoll verpackt und so versandt von daher stammt auch der Begriff des Tunnels. Auf der anderen Seite steht der Kommunikationspartner, welcher den VPN-Tunnel beendet und die Pakete wieder entschlüsseln kann. Der VPN-Aufbau zeichnet sich dadurch aus, dass er über Layer 4 hinaus protokolltransparent funktioniert. Daher ist es möglich, Daten auch über eigentlich inkompatible Netze zu versenden, weil der Inhalt der Tunnel nicht mit den Transportprotokollen der unterwegs liegenden Netze in Kontakt tritt. Die virtuelle Verbindung wird auf Layer 4 (Transport) hergestellt. Zudem kann VPN einzelne Computer oder Netzwerke manipulationssicher miteinander verbinden, wodurch eine Verbindung zum VPN-Partner auch durch ein unsicheres Netz wie das Internet aufgebaut werden kann. ^ÄÄK=MKRW=^ìÑÄ~ì=ÉáåÉê=smkJsÉêÄáåÇìåÖ= Damit VPN möglich wird, müssen auf beiden Seiten der Kommunikation entsprechende VPN-Server und/oder Clients installiert werden. Zum Aufbau eines VPN können verschiedene Protokolle genutzt werden. Häufig werden neben IPSec noch L2TP und PPTP verwendet, aber auch SSL oder PPP over SSH sind möglich. L2TP (Layer 2 Tunneling Protocol) ist ein Standard der IETF und wird zur Tunnelbildung eingesetzt. Es ermöglicht mehrere VPN-Verbindungen und entsprechend den Aufbau mehrerer Tunnels gleichzeitig. Ebenso ist es möglich, NAT zu nutzen.