Prof. Gustaf Neumann Dr. Momtchil Peev Alfred Nagl Dr. Grégoire Ribordy Günther Schwarz (WLAN) Dr. Martin Suda

Transkript

1 Vorwort Das voriegende Lehrbuch zur Netzwerksicherheit vermittet ein übergreifendes, praktisches Verständnis von der Sicherheit in Kommunikationsnetzen. Das Buch richtet sich an ae Personen, die entweder praktisch oder in der Ausbidung mit Netzwerksicherheit befasst sind, insbesondere Lernende wie Studenten von Hochschukursen. Leser ernen durch dieses Buch, Netzwerksicherheit im Unternehmen zu verstehen, zu panen und zu verbessern. Das Buch gibt sowoh eine theoretische Einführung as auch praktische (beispieorientierte) Einsicht in die Funktionsweise wesenticher Netzwerksicherheitssoftware. Es vermittet praxisnah den neuesten Stand zur Sicherheit in der Datenkommunikation. In Anaogie zu einer Kette ist die Sicherheit in Netzen nur so gut wie die des schwächsten Giedes. Entsprechend behandet das Buch Sicherheit gemeinsam mit Netzwerken, so zum Beispie verschiedene Verfahren der auf dem IP- Protoko basierenden Sicherheit, Kryptographie, VPNs und Standards, die das Sicherheitsmanagement betreffend. Das Buch wird von einer virtueen Netzwerkabor-Übungsumgebung auf und Voresungsfoien (für Dozenten) unterstützt. Das Buch Netzwerke-und Netzwerksicherheit fokussiert Windows und Linux as Pattformen. Es zeigt anschauich anhand praktischer Beispiee, wie unter diesen Betriebssystemen VPNs und Firewas eingerichtet werden und andere sicherheitsreevante Vorkehrungen getroffen werden können. Danksagungen Markus Baumgartner DI Heinz Buczoich Dr. Water Ebner Martin Gafner Dr. Michae Hauser Junyeob Anton Lee (Teie IDS) Prof. Gustaf Neumann Dr. Momtchi Peev Afred Nag Dr. Grégoire Ribordy Günther Schwarz (WLAN) Dr. Martin Suda Weitere Information Wien, im Oktober 2006 Dr. Michae Aexander

2 1 Erweiterte Grundagen von Internet-Netzwerken Das voriegende Buch zur Netzwerksicherheit vermittet ein übergreifendes, praktisches Verständnis zur Sicherheit in Kommunikationsnetzen. Der Schwerpunkt iegt auf Netzen, die auf dem Internet Protoco (IP) basieren. Das Studium der Sicherheit in Netzen setzt ein Basiswissen zu Netzwerken im Agemeinen und IP-Netzen im Spezieen voraus. Viee Schwachsteen und Gegenmaßnahmen der Netzwerksicherheit beruhen auf detaiierten Eigenschaften der zugrunde iegenden Netze. Daher werden erweiterte Grundagen zu Internet-Netzwerken as Referenz zu den entsprechenden Sicherheitskapiten behandet. Dazu gehören TCP/IP, Protokoe im ISO/OSI-Schichtenmode, ICMP, ARP, DNS, Routing und Koppungseinheiten. 1.1 TCP/IP Das Transmission Contro Protoco/Internet Protoco (TCP/IP) und assoziierte Protokoe biden die Grundage des Internets. Das Internet sebst definiert sich aus der Summe der auf dem IP-Protoko basierenden und miteinander verbundenen Netze. Es ist das Massenmedium mit der bis jetzt höchsten Diffusions/Adoptionsrate, weches nur 5 Jahre 1 brauchte, um 50 Miionen Benutzer zu erreichen, vergichen mit 13 Jahren für TV und 38 Jahren für Radio [7]. Seine Historie und die der paketvermittenden Rechner reicht zurück bis in das Jahr 1965, in dem Donad Davies erstmas paketvermittende Datenkommunikation beschrieb [3] erfogte die Ausschreibung des ARPANETs der Advanced Research Projects Agency (ARPA) [57], aus dem das Internet entstand. Die erste eigentiche Kommunikation zweier ARPANET-Hosts fand am 29. Oktober 1969 [65] statt, bei der die ersten Zeichen zwischen den Netzwerkendpunkten Stanford mit einem DEC-PDP-Host und der University of Caifornia Los Angees (UCLA) mit einem SDS-Sigma-7-Host ausgetauscht wurden. Die Koppungseinheit war dabei der in Abbidung 1.1 gezeigte Interface Message Processor (IMP). TCP/IP-Historie Abb. 1.1: Interface Message Processor (IMP) 1. Referenzpunkt ist das Jahr 1991, in dem der NSFNET-Backbone (Nationa Science Foundation Network) für kommerziee Nutzung freigegeben wurde.

3 2 1 Erweiterte Grundagen von Internet-Netzwerken Internet-Wachstum Abb. 1.2: Internet- Hosts: Wachstum Das Wachstum des Internets in den Jahren seit dem ersten Zeichenaustausch ist in Abbidung 1.2 dargestet 2. Die Zähung basiert auf der Erhebung von Hosts im Domain Name System (DNS), für weche eine statische IP-Adresse (DNS A-Record) vorhanden ist. Das Wachstum veräuft exponenzie über die Zeit. Durch die ogarithmische Ordinate im Diagramm zeigt sich die Regression der Datenpunkte as Gerade. Eine andere Maßzah, die Anzah der registrierten Domänen, erreichte 2004 wetweit 66,3 Miionen [12]. Das weitere starke Wachstum des Internets ist voraussehbar, da soche großen Benutzergruppen wie die der mobien Endgeräte sukzessive in das Internet gebracht werden und Bereiche wie die der Maschine-zu-Maschine-Kommunikation über das Internet noch nicht annähernd ausgeschöpft sind Internet Hosts z e D 2.7 z e D 5.7 z e D 8.7 z e D 1.8 z e D 4.8 z e D 7.8 z e D 0.9 z e D 3.9 z e D 6.9 z e D 9.9 z e D 2.0 z e D 5.0 z e D Ein wesenticher Aspekt von TCP/IP und des Internets ist deren Skaierbarkeit, das heißt die Unterstützung einer großen Bandbreite von Verwendern mit der geichen Protokotechnoogie. So wurde zum Beispie das heute aktue im Einsatz befindiche Request for Comments (RFC) für das IPv4-Protoko schon 1981 pubiziert [22], as die Hostanzah noch unter ag. Wenn inhärente Limitationen vorhanden sind, werden soche im Rahmen der Skaierung zumeist durch evoutionäre Erweiterungen geöst. Fas dies nicht mögich ist wie beispiesweise für den auf rund 4 Miiarden Adressen begrenzten IPv4-Adressraum (32 Adressbits ergeben 2 32 mögiche Einträge), dann kommt es zu wesentichen Revisionen wie der der Version 6 des Internet-Protokos (weches 128 Adressbits umfasst und daher mögiche Adresseinträge bietet 5,3 Quadriiarden Adressen für ae Erdbewohner). Sicherheit Während auf Skaierbarkeit in der Entwickung der TCP/IP-Protokofamiie großes Augenmerk gerichtet wurde, war Sicherheit historisch gesehen kein Designkriterium. Die TCP/IP-Basisprotokoe betonen Simpizität, häufig mit einer daraus fogenden Eeganz, jedoch schränkt das ihre Fähigkeiten zur Behandung der der Sicherheit eigenen Kompexität ein. Vereinfachungsannahmen wie Vertrauen in die Identität einzener Hosts oder das Außerauchtassen 2. Internet Domain Survey [67]. 3. Von der Internet Engineering Task Force (IETF) herausgegebenes Internet Standards Dokument.

4 1.1 TCP/IP 3 der Tatsache, dass geringe (oder 0) Grenzkosten der Verwendung mancher Anwendungen zu hohen Transaktionsraten führen (so zum Beispie für Spam), zeigten sich erst über 15 Jahre nach der TCP/IP-Entwickung as probematisch. Das Grundverständnis über menschiches Verhaten in eektronischen Netzwerken war sehr woh vorhanden, wie das fogende Zitat zeigt, nur wurde es unzureichend internaisiert und in den Protokoen operationaisiert. There is ingering affection for the chaenge of breaking someone's system. Bob Metcafe [18] Das Network Contro Protoco (NCP) war für die Host-zu-Host-Kommunikation der ersten IMPs zuständig. Die Entstehung der TCP/IP-Protokofamiie wurde durch Beschränkungen der Skaierbarkeit des NCP herbeigeführt. Der Nachfoger von NCP war zuerst as integriertes Protoko gedacht, das heißt, die Funktionaität von TCP und IP (siehe TCP/IP-Protoko auf Seite 10) war integriert. Das erste Dokument, weches den NCP-Nachfoger beschrieb, war A Partia Specification of an Internationa Transmission Protoco von Vinton Cerf [2]. In der Foge und nach mehrfacher Iteration (siehe [70] für eine punktuee Liste und [26] für eine kompette RFC-Historie) wurde 1974 ein vervoständigtes kombiniertes TCP-IP as RFC 657 pubiziert [19]. Ein wesenticher weiterer Schritt war die Trennung der Wegewah- und Transportfunktion von der gesicherten verbindungsorientierten Koppung. Letzteres wurde 1978 erstma von V. Cerf und Jon Poste gemeinsam erarbeitet. Die heute aktuee Version von IP wurde schussendich 1981 im RFC 791 veröffenticht, genauso wie das nun separate TCP im RFC 793 [21]. Beide wurden von Jon Poste editiert und sind zum Zeitpunkt der Pubikation dieses Buches 24 Jahre unverändert gütig. Das ARPANET sebst wurde 1983 von NCP auf TCP/IP umgestet. TCP/IP- Entwickungsinie Die weitere Evoution des TCP/IP konzentrierte sich vor aem auf höher geordnete Protokoe, wobei hierbei zumeist IP as das universee Trägerprotoko fungiert. Der gänziche Erfog des IP spieget sich in seiner Durchgängigkeit im heutigen Internet wider: Ae internetbasierende Kommunikation verwendet IP, obwoh manchma in eingebetteter (encapsuated) Form. Protokoe auf geichen und benachbarten Schichten des ISO/OSI-Referenzmodes der fogenden Sektion wurden und werden kontinuierich auf IP umgestet. Die derzeit umfangreichste Konversion ist die des öffentichen eitungsvermitteten Teefonnetzes (Pubic Switched Teephone Network PSTN) auf IP-Basis ISO/OSI-Referenzmode Das ISO/OSI-Referenzmode (Internationa Standards Organization/Open Systems Interconnection) gibt eine Architektur der Verbindung von Computern und Kommunikationseinrichtungen vor. Es wurde unabhängig von zwei Standardisierungsorganisationen entwicket, der ISO und der Comité Consu-

5 4 1 Erweiterte Grundagen von Internet-Netzwerken tatif Internationa Tééphonique et Téégraphique (CCITT) 4, und unter dem Standard X.200 von der Internationa Teecommunications Union (ITU) pubiziert. Es definiert sieben Schichten der zur Übertragung von Anwendungsdaten einer Appikation nötigen Funktionsböcke. Das Zie des ISO/OSI-Modes ist die vereinfachte Interoperabiität in der Kommunkation zwischen verschiedenen Datenendgeräten, obwoh originär auch die eigentiche Umsetzung einer eigenen darauf abgebideten Protokofamiie verfogt wurde 5. Abbidung 1.3 zeigt die hier definierten Schichten mit ihrer deutschen und engischen Bezeichnung. Abb. 1.3: ISO/OSI- 7-Schichten-Mode Anwendungsschicht 7 Appication Darsteungsschicht 6 Presentation Sitzungsschicht 5 Session Transportschicht 4 Transport Vermittungsschicht 3 Network Sicherungsschicht 2 Data Link Bitübertragungsschicht 1 Physica Eine Merkhife für die engischen Bezeichnungen ist der Satz: Ae Personen senden toe Netzwerk Daten physikaisch, und auf Engisch: Pease do not throw sausage pizza away. Das ISO/OSI-Mode ist für mehrere Aufgaben nötig: Die oft große Zah von Kommunikationsprotokoen so strukturiert werden: Für TCP/IP ist die Zah der Basisprotokoe finit (siehe TCP/IP-Protoko auf Seite 10), jedoch in ihrer Gesamtzah hoch. In anderen Netzwerkkassen wie zum Beispie für ATM-Netzen (Asynchroner Transfer-Modus) oder im Mobifunk existieren noch umfang- 4. Die CCITT ist heute ein ständiger Teibereich der Internationa Teecommunications Union (ITU), organisiert as Subkomitee ITU-T. 5. Die Protokofamiie der Open Systems Interconnection (kurz OSI) wurde basierend auf dem ISO/OSI-Mode spezifiziert und von zahreichen Hersteern auf mutipen Pattformen impementiert. Die OSI-Protokofamiie konnte sich jedoch nicht gegen das rapide angenommene TCP/IP durchsetzen und wird heute nicht mehr angewandt.

6 1.1 TCP/IP 5 reichere Protokoe, die ohne hierarchische Strukturierung nur schwer behandebar sind. Die Kommunikation von Sender zu Empfänger um gewähten physischen Transportmedium und (idea) Transportprotoko so unabhängig sein. Praktisch sind diesem Zie Grenzen gesetzt, da es perfekte Verkapseung des nächsten Punktes voraussetzt, wobei Transparenz gegenüber Schicht 1 und 2 erreicht wird. IP kann heute kompett unabhängig von der darunteriegenden Infrastruktur transportiert werden, das Anwendungsprotoko HTTP ist aerdings nicht unabhängig von IP. Die Aufteiung der Aufgaben: Jede Protokoschicht so für die Schicht spezifische Aufgaben voführen und ohne Dupizität von den darüberiegenden Schichten verwendet werden können. Fas dieses Kriterium erfüt ist, wird es mögich, die einzenen Protokoe der Schichten im Verkapseungsverfahren aneinanderzureihen. Fas sich die Aufgaben überschneiden, kommt es dann zur redundanten Mehrfachverwendung von Federn. Dies ist zum Beispie bei FTP und HTTP der Fa, was Veränderungen von Servern und Cients für IPv6 notwendig macht. Der Regeung der Kommunikation von Protokoen miteinander, Protokoe im ISO/OSI-Mode soten nur entweder mit demseben Protoko der geichen Schicht kommunizieren (IP-zu-IP, Ethernet MAC-zu- Ethernet MAC) oder mit Protokoen der jeweis eine Schicht darüberoder darunteriegenden Schicht. Dies trägt zu einer Minderung an Kompexität bei und ist auch die konsistenteste Eigenschaft von TCP/IP-Protokoen reativ zum ISO/OSI-Mode. Das ISO/OSI-Mode ist wichtig für das Verständnis des Zusammenspies der einzenen TCP/IP-Protokoe. Nachfogend wird dies Mode verdeuticht. Das Durchaufen des ISO/OSI-Modes von der Datenquee zur Datensenke ist anhand eines Beispies wie ein U-förmiger Weg vorstebar: Generiert ein Anwendungsprotoko wie auf der Anwendungsschicht des Senders Daten, werden sie Schicht für Schicht an die nächsttiefer iegenden Protokoe weitergegeben. Schicht 1 die Bitübertragungsschicht übermittet schießich die Daten auf einem Übertragungsmedium zum Empfänger. Dort durchaufen sie die Schichten in umgekehrter Reihenfoge, bis sie wieder bei in unserem Fa der Anwendungsschicht einem HTTP-Web-Server ankommen. Im ersten Schritt generiert eine Anwendung auf der Appikationsschicht einen Datenstrom. Diese Daten werden mit sogenannten Protoco Data Units (PDUs) des verwendeten Protokos umrahmt. In der Foge werden diese an

7 6 1 Erweiterte Grundagen von Internet-Netzwerken die darunteriegenden Schichten sequenzie weitergereicht, wobei jede Schicht ihrerseits eine Verkapseung durch Hinzufügen ihrer PDUs durchführt. Sobad die Originadaten und PDUs der Anwendungsschicht die Bitübertragungsschicht erreicht haben, voführt diese die eigentiche Übertragung (zu einem räumich verschiedenen Empfänger). Der Empfänger (die sogenannte Senke) ässt dann die Daten revers sequenzie dieseben Schichten durchaufen, wobei jede Schicht die ihr zugehörigen PDUs ausiest und aus der Verkapseung entfernt. Sobad die Daten auf der Anwendungsschicht des Empfängers angekommen sind, entfernt die empfangende Anwendung noch ihre PDUs, wobei dann die eigentichen Übertragungsdaten übrig beiben, weche schussendich einen U-förmigen Weg beschritten haben. Bitübertragungsschicht Abb. 1.4: Physisches Interface (PHY) Die Bitübertragungsschicht (Schicht 1 eng.: Physica Layer) ist die Schicht des physischen Übertragungsmediums. Letzteres kann auf Kabe oder Funk basieren. Die Schicht wicket das Senden und das Empfangen von Daten auf diesen eektrischen/optischen oder drahtosen Medien ab. Die Bitübertragungsschicht einer Sender-Datenstation kommuniziert ausschießich mit der Bitübertragungsschicht einer Empfänger-Datenstation und den jeweis darüberiegenden Sicherungsschichten. Genauso wie für die höheriegenden Schichten müssen Sender und Empfänger geichartig sein: Eine Gigabit-Ethernet-Verbindung (IEEE Standard 802.3z) über Kupferkabe (IEEE ab Base-T) muss sowoh eine Quee as auch eine Senke mit einer 802.3z- 1000Base-T-NIC (Network Interface Card) haben. Ein physisches Interface der Bitübertragungsschicht, so zum Beispie eine Ethernet-NIC, wird auch PHY (Kurzform für eng.: physica) genannt. Eine Interface-Karte wie in Abbidung 1.4, weche in Metro- und WAN-Netzen auch as Line Termination- Karte bezeichnet wird, beinhatet wiederum den sogenannten Transponder. Letzterer führt das eigentiche Senden/Empfangen/Verstärken/Konditionieren von Signaen durch. In drahtosen Netzwerken bidet der Transponder hin zum nichteitenden Medium die sogenannte Luftschnittstee (eng.: Air Interface). } PHY Transponder MAC Kabebasierendes Medium Network-Interface-Karte Sicherungsschicht Die Sicherungsschicht (Schicht 2 eng.: Data Link Layer) ist für das Einsetzen und Ausesen von Daten in das Medium zuständig. Sie kümmert sich genauso um die Fusssteuerung, Fehererkennung und Zugriffskontroe auf das Medium. Genau diese Schicht ist es auch, die die Mehrfachverwendung des Mediums durch sogenannte ogische Kanäe ermögicht. Die Sicherungsschicht teit sich in zwei Subschichten, die sogenannte Zugangsschicht bzw. MAC-Schicht (Media Access Contro) und die Verbindungskontroschicht, auch LLC-Schicht (Logica Link Contro) genannt.

8 1.1 TCP/IP 7 Die MAC-Schicht reget den Zugriff auf das Medium. Bei Übertragungsmedien, die zwei Punkte verbinden (eng.: Point-to-Point Connection), ist der Zugriff auf ein Medium unprobematisch, wenn zum Beispie separate Kabestränge für die Sende- und die Empfangsrichtung existieren. Sobad jedoch mehrere Einheiten auf ein physisches Medium wie ein einziges Paar Kupferkabe, ein einziges Frequenzband auf einem Gasfasereiter oder spezifische Frequenzen in Funknetzen von mehr as zwei Steen aus zugreifen woen, muss dies gereget werden. Der Zugriff auf das Medium kann dabei entweder deterministisch oder stochastisch erfogen. Ein Beispie für ersteren Fa ist Zeitmutipex (Time Division Mutipex TDM), bei dem eine Datenstation nur in einem fixen (Zeit)-Raster Daten auf das Medium bringen bzw. zurückesen kann. Ein anderes Beispie ist das ursprüngiche IBM Token Ring LAN, weches deterministischen Medienzugriff durch einen im LAN-Ring kursierenden Token ermögichte. Ein Beispie für stochastischen Medienzugriff ist Ethernet, das nicht auf Switches basiert (das heißt Shared Media). Ethernet- Frames werden im Broadcast-Modus versendet. Durch das Zugriffsverfahren Carrier Sense Mutipe Access with Coision Detection (CSMA/CD) können hierbei mutipe Datenstationen ohne vorherige Eraubnis auf das Medium zugreifen. Koisionen werden erkannt und nach einer zufäigen Wartezeit werden Daten erneut gesendet. Die LLC-Schicht iegt über der MAC-Subschicht und der Vermittungsschicht (Schicht 3). Sie ist unter anderem für die Schicht-2-Adressierung, für Frame-Sequenzierung (Synchronisierung), für Übertragung verschiedener Netzwerkschichtprotokoe (IP, ICMP etc.) auf Schicht 2 6, Fusskontroe und Fehersicherung 7 zuständig. Für ae IEEE 802.x LANs (Ethernet 802.3, WiFi etc.) existiert der gemeinsame Standard IEEE LLC. Reevant für die Sicherheit der Schicht 2 ist die Hardwareadresse einer Network Interface Card (NIC). Diese sogenannte MAC-Adresse ist bei Ethernet 6 Byte (48 Bit) ang und ist per Definition wetweit einmaig 8. Sie wird nach dem fogenden Schema <{0,1}> <23 Bit Hersteer ID> <24 Bit Seriennummer> gebidet. Unter Linux kann die MAC-Adresse über den Befeh ifconfig ausgegeben werden: # ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:E0:18:8E:85:63 inet addr: Bcast: Mask: Schicht-3-zu-Schicht-2-Protoko-Binding über sogenannte Service Access Port (SAP) Pointer. Eine Erweiterung der SAPs ist das Subnet Access Protoco (SNAP) Bit Cycic Redundancy Check (CRC) für Ethernet. 8. Bei Linux kann aerdings über den Befeh ifconfig eicht einem Interface eine andere MAC-Adresse as das Hardware-Defaut gegeben werden; für Windows existieren hierzu Programme zusätzich zum Betriebssystem.

9 8 1 Erweiterte Grundagen von Internet-Netzwerken inet6 addr: fe80::2e0:18ff:fe8e:8563/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 Unter Windows ist ipconfig /a der äquivaente Befeh, der ae Konfigurationsinformationen zu aen Interfaces anzeigt (Ausgabe gekürzt): C:\ipconfig /a Ethernetadapter LAN-Verbindung:... Physikaische Adresse : 00-0D E4-39 Vermittungsschicht Transportschicht Die Vermittungsschicht (Schicht 3 eng.: Network Layer) befasst sich mit dem transparenten Transport von Schicht-3-Datagrammen (in unserem Fa IP) über geiche oder verschiedene Schicht-1- und -2-Medien. Die Vermittungsschicht ist damit das Bindegied zwischen verschiedenen Netzwerktypen und Netzwerken. Daher ist auch eine Definition des Internets, dass es ae Netze mit einschießt, die über das gemeinsame Schicht-3-Protoko IP erreichbar sind. Ae Wegewah zwischen Vermittungsknoten im IP geschieht auf der Vermittungsschicht. Die Wegewahprotokoe Routing Information Protoco (RIP), Internet Gateway Management Protoco (IGMP) und Border Gateway Protoco (BGP) werden im Fogenden besprochen. Neben IP sind weitere TCP/IP-Schicht-3-Protokoe das Internet Contro Message Protoco (ICMP), das Address Resoution Protoco (ARP) und das Internet Gateway Management Protoco (IGMP) für Muticast. Da IP ein reativ simpes Schicht-3-Protoko ist, faen zahreiche Funktionen wie Fusssteuerung und Quaity of Service (QoS) weg, die sonst auf dieser Schicht gemacht werden. Der IP RFC 791 [22] egt dazu fest: There are no mechanisms to augment end-to-end data reiabiity, fow contro, sequencing, or other services commony found in hostto-host protocos. Während IPv4 noch einen Fehererkennungsmechanismus der Headerdaten (d.h. nicht der Payoad) hat, wurde diese Eigenschaft mit IPv6 entfernt. Die Vermittungsschicht ist im Fa von IP verbindungsos, womit jedes einzene IP-Paket unabhängig vom vorherigen oder nachfogenden Paket ist. Es obiegt damit den höheren Schichten (und damit dem TCP-Protoko in TCP/IP), verbindungsorientierte Dienste, Fehersicherung und Fusssteuerung bereitzusteen. Die Aufgabe der Transportschicht (Schicht 4 eng.: Transport Layer) in TCP/IP ist, Kommunikationskanäe 9 zur Verfügung zu steen. Während IP auf Schicht 3 noch jedes Paket as einzen und unabhängig behandet, fassen die TCP/IP-Protokoe der Transportschicht Pakete zu Kanäen zusammen. Ein Programm kann dann die Kanainfrastruktur in Windows und Linux durch sogenannte Sockets 10 (und damit Socket-Verbindungen) nutzen. TCP/IP kennt zwei Hauptprotokoe der Transportschicht: das verbindungsorientierte Transmission Core Protoco (TCP) und das verbindungsose User Datagram 9. Kommunikationskanäe sind durchgängige (eng.: end-to-end) Verbindungen zwischen Quee und Senke. 10. Sockets genere sind eine aus dem UNIX-Zweig BSD kommende Interprozess-Kommunikation. Im Spezieen sind sie Kommunikationsendpunkte as 2-Tupen aus IP-Adresse und TCP/UDP-Portnummer.

10 1.1 TCP/IP 9 Protoco (UDP). Verbindungsorientierte Protokoe unterscheiden sich von verbindungsosen unter anderem dadurch, dass sie Handshaking 11 sowie Fusskontroe zwischen Sender und Empfänger durchführen. Wie in Tabee 1.1 gezeigt, unterscheiden sich beide stark bei Kriterien wie dem Overhead oder der Zuverässigkeit. Die Transportschicht ist die für die Netzwerksicherheit wichtigste Schicht, da ein Großtei der Schwachsteen/Attacken und Gegenmaßnahmen die Transportschichtprotokoe zumindest mitbetreffen. TCP UDP Verbindungsorientierung verbindungsorientiert verbindungsos Tab. 1.1: TCP und UDP im Vergeich Fehersicherung fehergesichert optiona fehergesichert Zuverässigkeit garantierte Zusteung Datagrammzusteung nicht garantiert Paketsequenz garantierte Paketsequenz keine garantierte Paketsequenz Fusskontroe enthaten nicht enthaten Kommunikationsmodi unicast unicast, broadcast und muticast Overhead hoch (20 Byte) gering (8 Byte) Die Sitzungsschicht (Schicht 5 eng.: Session Layer) ist für den Auf- und Abbau von Sessions zwischen zwei Kommunikationspartnern zuständig. Sie wird bei TCP/IP oftmas nicht as eigene Schicht, sondern as Tei der Anwendungsschicht dargestet (siehe Sektion 1.1.2). Die Verwendung von expiziten ISO/OSI-Sitzungsschichtprotokoen ist in TCP/IP weiterhin seten, da es sich entweder um nicht zustandsorientierte (eng.: stateess) Protokoe handet oder das Sitzungsmanagement Tei eines Anwendungsschichtprotokos ist, wie zum Beispie bei dem Session Initiation Protoco (SIP) für Voice-over-IP (VoIP). Das wichtigste Protoko der Sicherungsschicht im TCP/IP-Kontext ist das in Sektion behandete Protoko Secure Socket Layer (SSL) zur sicheren Kommunikation über Sockets. Ein weiteres, wesentich weniger genutztes Protoko der Schicht ist das Sun Remote Procedure Ca (RPC) Protoko [44]. Die Darsteungsschicht (Schicht 6 eng.: Presentation Layer) ist für die Umsetzung von Daten in das Präsentationsformat zuständig. Sie besitzt in TCP/IP kaum direkt zugeordnete Standardprotokoe; ein Beispie für eine (nicht praxisreevante) Datenbeschreibungssprache der Schicht ist der Externa Data Representation Standard [28]. Bereiche, in denen der Schicht entsprechende Operationen benutzt werden, sind mobie Netze, bei denen die Darsteung von Webdaten auf verschiedenen mobien Devices mit einer Umsetzung (Transcoding) verbunden sein kann. Beispiee hier sind HTML-Seiten, die onine in die Wireess Markup Language (WML) bzw. in chtml (Compact HTML) umgesetzt werden. Sitzungsschicht Darsteungsschicht 11. In TCP sind dies der initiae 3-Wege-Handshake (eng.: 3-way) und Segment-Acknowedgement(ACK)-Pakete.

11 10 1 Erweiterte Grundagen von Internet-Netzwerken Anwendungsschicht In die Anwendungsschicht (Schicht 7 eng.: Appication Layer) faen ae Protokoe, die anwendungsbezogene Middeware-Dienste voführen oder direkt Tei einer Benutzeranwendung sind. Unter TCP/IP werden, wie in der Fogesektion gezeigt, ae Protokoe über der ISO/OSI-Transportschicht der Anwendungsschicht zugeordnet. Dazu gehören unter anderem das Hyptertext Transfer Protoco (HTTP), (secure) Fie Tranfer Protoco (S)FTP, Simpe Mai Transfer Protoco (SMTP), SIP, Post Office Protoco (POP), Network Time Protoco (NTP) etc Schichtmode für TCP/IP Wie eingangs besprochen, stammt das ISO/OSI-Mode der sieben Schichten aus dem OSI-Architekturprogramm der ISO under Comité Consutatif Internationa Tééphonique et Téégraphique (CCITT). Das im Gegensatz zu den OSI-Protokoen wetweit angenommene TCP/IP ist jedoch kein ursprüngicher Tei dieser Architektur und kann deswegen nur bedingt auf ISO/OSI abgebidet werden. Abb. 1.5: TCP/IP im 7-Schichten-Mode Anwendungsschicht 7 Darsteungsschicht Sitzungsschicht Transportschicht Vermittungsschicht Sicherungsschicht Bitübertragungsschicht Anwendungsschicht Transportschicht Internetschicht Verbindungsschicht Abbidung 1.5 zeigt die Schichten von TCP/IP reativ zum ISO/OSI-Mode. Wesentich ist die Zusammenfassung der ISO/OSI-Schichten 5 bis 7 in die TCP/IP- Anwendungsschicht. Seektierte TCP/IP-Protokoe über der Transportschicht wie zum Beispie SSL werden häufig aerdings noch einer ISO/OSI-Schicht zugeordnet für SSL ist es die Sitzungsschicht TCP/IP-Protoko TCP/IP ist eine Protokofamiie, in deren Kern IP und das darüberiegende TCP steht. Im Fogenden werden zuerst der Protoko-Stack, die Verkapseung

12 1.1 TCP/IP 11 und dann die Protokoe IP, UDP, TCP, ARP und ICMP basierend auf [10] vorgestet. Auf Sicherheitsaspekte wird hingewiesen. Den meisten Protokoen dieses Stacks ist jedoch gemein, dass sie auf Simpizität und Effizienz hin entwicket wurden und Sicherheit damit bei ihrer Definition nicht Haupkriterium war. Protoko-Stack Der TCP/IP-Protoko-Stack ist die Gruppe der auf TCP/IP aufbauenden Kernprotokoe. In Abbidung 1.6 [3] wird die Lage der Protokoe im Schichtmode verdeuticht. So befindet sich SMTP über TCP, das wiederum über IP transportiert wird. ICMP befindet sich neben IP auf Schicht 3. ARP bzw. das Reverse Address Resoution Protoco (RARP) sind zwischen Schicht 2 und 3 und können deswegen auch as Schicht-2,5-Protokoe bezeichnet werden. Die Routing-Protokoe RIP, Open Shortest Path First (OSPF), Interior Gateway Protoco (IGP) und BGP werden ebenfas der Vermittungsschicht zugeordnet. 7 Abb. 1.6: TCP/IP und das ISO/OSI- 7-Schichten-Mode 6 5 SMTP POP3 (S)FTP SSH/Tenet HTTP NTP SNMP RTP/SIP XDR SSL 4 TCP UDP 3 ARP RARP ICMP IP RIP OSPF IGP 2 1 Ethernet Token Ring SDH FDDI Frame Reay ATM SLIP PPP Die fogende Abbidung 1.7 verdeuticht nun die Verkapseung (eng.: Encapsuation) von Benutzerdaten beim Durchaufen des TCP/IP-Stacks. Benutzerdaten, die über TCP von einem Sender zu einem Empfänger geschickt werden, können zuerst einen anwendungsspezifischen Header erhaten. In der Foge wird ihnen ein TCP-Header vorangestet. Die Dateneinheit auf TCP-Ebene ist das TCP-Segment. Nachdem der TCP-Header (ink. der Prüfsumme) geschrieben wurde, übergibt der TCP/IP-Stack die Daten an die darunteriegende Schicht IP. IP stet nun genauso einen Header voran, wobei sowoh die TCP- Headerdaten as auch die Anwendungsdaten unverändert beiben.

13 12 1 Erweiterte Grundagen von Internet-Netzwerken Abb. 1.7: TCP/IP- Verkapseung Userdaten Anwendung Anw.- Header Userdaten TCP IP- Header TCP- Anwendungsdaten Header TCP-Segment TCP- Header IP-Datagramm Anwendungsdaten Ethernet IP- TCP- Ethernet- Anwendungsdaten Header Header Header Traier Ethernet-Rahmen IP Ethernet- Treiber Ethernet14 46 bis Bytes Die Dateneinheit auf IP-Ebene ist das IP-Datagramm. Schussendich wird in Abbidung 1.7 das IP-Paket über Ethernet übertragen, wobei nun der Ethernet-Netzwerktreiber (und damit nicht mehr der TCP/IP-Stack) noch einen 14- Byte 12 -Ethernet-Header und einen 4-Byte-Ethernet-Traier hinzufügt. Die Übertragungseinheit auf Ethernet-Ebene ist nun der Rahmen (eng.: Frame), wecher bei Standard IEEE Ethernet bis zu Byte 13 groß sein kann. Internet Protoco Das Internet Protoco (IP) ist der Kern des TCP/IP-Protoko-Stacks. Es ist das Transportprotoko aer TCP/IP-Protokoe der höheren Schichten. Es gibt neben IP kein anderes Kerntransportprotoko im Internet. IP ist wie eingangs in besprochen as IPv4-Protoko schon 1981 im RFC 791 [22] pubiziert worden und damit über geraume Zeit unverändert im wetweiten Einsatz. Es ist ein eichtgewichtiges Protoko, weches auf hohe Skaierbarkeit, Unterstützung der Wegewah in vermaschten Netzen, Fragmentierungsbehandung und Eignung sowoh für verbindungsorientierte as auch verbindungsose Protokoe der darüberiegenden Schichten ausgerichtet ist. Die aktue im Einsatz befindiche Version ist unverändert IPv4, wobei die Fogeversion IPv6 zwar vorhanden, aber derzeit nur seten wie zum Beispie in Mobifunknetzen im genereen Einsatz ist. Der Abschnitt IPv6 am Ende der Sektion behandet die Neuigkeiten des Protokos gegenüber IPv4 weiter. IP-Datagramm Der IP-Header ist in Abbidung 1.8 gezeigt. Die Minimaänge eines IP-Pakets (generisch as Datagramm bezeichnet) beträgt 20 Byte, die Maximaänge inku- 12. Auch Oktett genannt, wobei ein Oktett anders as ein Byte immer 8 Bit ang ist (die Byteänge ist gewöhnich 8 Bit, kann aber auch je nach Computerarchitektur variieren). 13. Ethernet Jumbo Frames (auch as Extended Frames bezeichnet) vergrößern die maximae Payoad auf Byte pro Frame.

14 1.1 TCP/IP 13 sive Header kann entsprechend dem Gesamtängenfed bis zu = Byte betragen. Das Datagramm beginnt mit einem 4-Bit-Versionsfed, weches für IPv4 die Dezimazah 4 behinhatet, für IPv6 die Zah 6. Das fogende Fed gibt die Größe des IP-Headers eines Pakets in 32-Bit-Worten an. Über dieses Fed kann ein Netzwerkeement erkennen, wo die Datenpayoad beginnt. Das 8-Bit-Type of Service-Fed (TOS) kann optiona und pro Paket eine Prioritätsangabe enthaten (Tabee 6.2 auf Seite 341 zeigt die verschiedenen Stufen). IP Differentiated Services nach RFC 2474 [407] definieren die Bedeutung des IP-TOS-Fedes neu anhand sogenannter DiffServ-Codepoints (DSCPs), die Pakete nach Servicekassen zuordnen. Das Gesamtängenfed wird von Routern benutzt, um das Ende einzener Datagramme zu erkennen. 0 4-Bit- Version 4-Bit- Header 16-Bit-Identifikation 8-Bit-Servicetyp (TOS) Bit- Faggen 16-Bit-Gesamtänge (in Bytes) 13-Bit-Fragment-Offset Abb. 1.8: IP-Datagramm 8-Bit-Time-to-Live (TTL) 8-Bit-Protoko 16-Bit-Header-Prüfsumme 20 Bytes 32-Bit-IP-Queadresse 32-Bit-IP-Zieadresse Optionen (fas gesetzt) Daten Das 16-Bit-Identifikationsfed, das 3-Bit-Faggenfed und das 13-Bit-Fragment-Offset-Fed werden in der Fragmentierungsbehandung (eng.: Fragmentation & Reassemby) benötigt. IP erstet nur Pakete, die nicht größer der Maximum Transmission Unit (MTU) des darunteriegenden Mediums sind. Für Ethernet entspricht die MTU Byte, wobei IP größere Datenböcke in mutipe Datagramme fragmentiert und beim Empfänger wieder zusammensetzt. Dabei ist zu beachten, dass Fragmente unterschiediche Wege nehmen und zwischengeschatete Router-Pakete weiter fragmentieren können, soten sie feststeen, dass die MTU der fogenden Übertragungsstrecke keiner as die der vorherigen ist 14. Das 8-Bit-Time To Live-Fed (TTL) wird in IP zur Verhinderung endos im Netzwerk kreisender Pakete benötigt. Eine sendende Datenstation setzt initia einen TTL-Wert des ausgehenden Pakets. Unter Windows XP/Vista ist der 14. Das heißt, IP berücksichtigt nicht die keinste MTU des gesamten Übertragungsweges (eng.: Path MTU), sondern immer nur die nächste reevante MTU.

15 14 1 Erweiterte Grundagen von Internet-Netzwerken Standardwert dazu 128, unter Fedora Core 3 Linux Jeder IP-Router auf dem Pfad zwischen Sender und Empfänger reduziert den TTL-Wert des Pakets um eins. Sobad eine TTL von 0 erreicht ist, wird das Paket vom Netz genommen und nicht mehr weitergeeitet. Das 8-Bit-Protokofed wird zur Zuordnung des IP-Pakets zu einem darüberiegenden Protoko wie TCP und UDP benötigt. Es ist daher dem zuvor bei der Schicht 2 LLC beschriebenen SAP/SNAP ähnich. Die 16-Bit-Header-Prüfsumme versucht, den Header eines IP-Pakets (und nicht die Payoad) abzusichern. Das Verfahren ist reativ einfach und erkennt vergichen mit dem 32-Bit-Ethernet-CRC nur einen Bruchtei der Feher. Es werden dabei die Headerbits in 16-Bit-Böcken addiert und dann wird das Einerkompement gebidet. Die IP-Header-Prüfsumme ist in IPv6 nicht mehr enthaten, wo ae Fehersicherung auf dem Link Layer und/oder der Transportschicht und darüber durchgeführt wird. Die 32-Bit-Que- und -Zieadresse bezeichnen den Sender und Empfänger. Das IP-Adressierungsschema wird in der Fogesektion behandet. Hier ist sicherheitsreevant, dass oftmas (fäschicherweise) Vertrauen in Netze geegt wird, die auf IP-Adressen basieren. Da jedoch die IP-Adresse eicht fäschbar ist und das IP-Protoko wie in Abbidung 1.8 gezeigt keine kryptographischen etc. Authentifizierungs-/Authentizitätsprüfungen einschießt, ist diese Vertrauensbidung eine Ursache vieer Sicherheitsschwachsteen und Expoits. Der Zieadresse fogen zehn Optionen betreffend Routing, Security, Zeitstempe, Data-Fow-Kennzeichnung etc. Die Optionen in ihrer Gesamtheit sind variaber Länge und werden seten oder anders as den Definitionen in RFC 791 [22] und [31] entsprechend genutzt. Sicherheitsreevant ist hier das Fed Security, weches aut dem IP-RFC die in Tabee 1.2 gezeigten Paketkennzeichnungen eraubt. Tab. 1.2: Options- Bits der IP Security Security-Fed-Bits Kassifizierung uncassified confidentia EFTO MMMM PROG restricted secret top secret 15. Der aktuee TTL-Wert kann über das proc fiesystem durch # cat /proc/sys/net/ipv4/ip_defaut_tt ausgegeben werden.

16 1.1 TCP/IP 15 8 Bit des Fedes sind nicht definiert und könnten daher frei verwendet werden, was für manche Sicherheits-Poicy-Anwendungen von Nutzen wäre. Von spezieem Interesse sind noch Option 3 (Loose Source Routing) und Option 9 (Strict Source Routing). Hier können für Loose Source IP-Adressen mitgesendet werden, über weche geroutet werden muss. Strict Source Routing gibt den kompetten Pfad eines Pakets zum Empfänger an. Soweit Router die Unterstützung für diese Optionen impementiert haben, ist es in sicherheitskritischen Anwendungen eine sinnvoe Maßnahme, anstatt dynamischer Wegewah Routen senderseitig expizit mitzusenden. Das Standardverhaten der Cisco- IOS-Software ist, Pakete zu verwerfen, bei denen Loose/Strict Source Routing-Kriterien nicht erfüt werden, und eine ICMP-Nachricht an den Sender zu generieren. Das IPv4-Datenfed ist der Container, in dem die Protokoe der Transportschicht (TCP/UDP etc.) eingebettet werden. Es werden keine weiteren Headerdaten je nach verkapsetem Protoko gesetzt. IPv6 [49] unterscheidet sich von IPv4 in den fogenden Merkmaen [6]: IPv6 Adressraum: IPv6 hat im Vergeich zu IPv4 128 Bit anstatt nur 32 Bit Adressänge, was 3, mögichen Adressen entspricht. Adressaokation: Durch den immensen Adressraum können Adressen in IPv6 geografisch-hierarchisch vergeben werden. Lokae Adressvergabe: Adressen können in IPv6 automatisch (d.h. anders as IPv4 statisch und dynamisch mittes DHCP) vergeben werden. Ein IPv6-Host kann sich autark eine auf der MAC-Adresse basierende IP-Adresse geben bzw. mit angrenzenden Nodes und Routern zur Abstimmung der Adresse kommunizieren. Die Notation von IPv6-Adressen ist nicht mehr die von IPv4 gewohnten vier mit Punkt getrennten Dezimazahen (à 8 Bit) wie IPv6 benutzt acht durch Doppepunkt getrennte Hexadezimazahen à 16 Bit wie zum Beispie die Adresse 2002:89d0:e02e::89d0:e02e für IPv6 beinhatet Sicherheitsfunktionen, die auf IPSec basieren (siehe dazu auch IPSec auf Seite 346). Das heißt, die erweiterte Sicherheit von IPv6 entspricht IPv4 gemeinsam mit IPSec mit dessen Authentication Header, Encapsuating Security Payoad etc. Es ist vergichen mit IPv4 daher nur sicherer, wenn die IPSec-basierten Sicherheitsfunktionen auch tatsächich verwendet werden. Der wichtige Bereich der Schüssehierarchien ist beispiesweise in IPv6 noch nicht standardisiert, was die Sicherheits-Interoperabiität mehrerer IPv6-Netze derzeit erschwert. IPv6 unterstützt QoS über sogenannte Fow Labes. Hier werden Sequenzen an Pakete, die einer Dienstkasse zugehörig sind, entsprechend markiert. Router können sie entsprechend der Priorität weitereiten.

17 16 1 Erweiterte Grundagen von Internet-Netzwerken Das Protoko unterstreicht Effizienz, indem ein Minimum an Headerdaten im Basisheader steht und zusätziche und optionae Header fexibe in sogenannte Extension Headers geschrieben werden können. Die in IPv4 vorhandene 16-Bit-Header-Prüfsumme wurde gestrichen, da die Zuverässigkeitsprüfung effizienter auf der Schicht 4 über TCP und zusätzich weiter darüberiegendenden Protokoen durchgeführt werden kann. Das neu hinzugekommene IPv6-Neighbor Discovery-(ND)-Protoko [50] beinhatet die Funktionen des IPv4-ARP-Protokos und hift zusätzich bei Discovery von Nodes an einem LAN-Segment und bei der automatischen Adressvergabe. IPv6 ist erweiterbar, indem mutipe Header aneinandergereiht werden können und damit zusätziche Informationen wie zum Beispie Sicherheitsinformationen auf der Netzwerkschicht mit jedem Paket mitgesendet werden können. IPv4 Broadcast und Muticast wurde um Anycast (siehe auch DNS auf Seite 41) erweitert. IP-Adressierung Die IP-Adressierung dient dazu, Hosts auf der Vermittungsschicht (eindeutig) ansprechen zu können und die Wegewah von IP-Paketen zwischen Sender und Empfänger zu unterstützen (Routing bzw. der Abauf der Wegewah wird in Sektion 1.2 erkärt). Man unterscheidet in der IPv4-Adressierung zwischen Unicast-, Muticast- und Broadcast-Adressen. Unicast adressiert einen einzenen Host. Muticast spricht eine Gruppe von Hosts an und Broadcast ae Hosts eines Subnets (zumeist äquivaent mit einem LAN-Segment). Weiterhin existieren drei verschiedene im Fogenden vorgestete IPv4-Adressierungsvarianten: Standardadressen, Subnetzadressen (eng.: Subnetting) und das sogenannte Cassess Inter-Domain Routing (CIDR) (eng.: Supernetting). Eine IPv4-Adresse ist, wie in Abbidung 1.9 gezeigt, 32 Bit ang und setzt sich aus vier 8-Bit-Böcken zusammen. Die Angabe von IPv4-Adressen erfogt wie zuvor beschrieben in vier mit Punkt getrennten Dezimazahen so zum Beispie für die private Adresse Sie teit sich weiter in eine Netzwerkadresse (eng.: Network Number) und eine Hostadresse (eng.: Host Address). Erstere wird im Fogenden as netid und etztere as hostid bezeichnet. Abb. 1.9: IP- Adressformat 32 Bit 8 Bit 8 Bit 8 Bit 8 Bit Netzwerkadresse Hostadresse

18 1.1 TCP/IP 17 Die netid ist die Adresse eines Netzwerks, der Hosts zugeordnet sind. Die Aufteiung des 32-Bit-Adressfedes in netid und hostid ist variabe, was es eraubt, die Anzah der mögichen Netze und korrespondierend die der pro Netz mögichen Hosts den jeweiigen Anforderungen anzupassen. In der IPv4-Standardadressierung gibt es vier Hauptadresskassen und eine experimentee Kasse, bei denen die netid-hostid-aufteiung einem fixen Schema unteriegt. Abbidung 1.10 zeigt die Adresskassen, weche von A bis E nummeriert und durch die führenden Bits bestimmt sind. Adresskasse A ist mit einer Zuordnung von 7 Bit für die netid und 24 Bit für die hostid abgebidet. Das heißt, dass mit ihr bis zu 128 Netze definiert werden und pro Netz = Hosts 16 beinhatet sein können. Kasse-A-Adressen wurden demnach initia von dem Verwater Internet Assigned Numbers Authority (IANA) [66] nur für große Organisationen ausgehändigt, die sich auch früh um damas noch kostenose Adressen bemüht hatten. Eine Liste von Kasse-A- Adressbesitzern kann in [68] gefunden werden. Eine der wenigen europäischen Organisationen mit Kasse-A-Adresse sind die Société Internationae de Téécommunications Aéronautiques (SITA) und DaimerChryser. Erstere hat zum Beispie den Kasse-A-Adressbereich von von der IANA zugewiesen bekommen, Daimer Nicht zuetzt durch die aus der frühen Vergabepraxis resutierendes Adressknappheit ist aber die am häufigsten anzutreffende Adresskasse C. Kasse A 0 7 Bits netid 24 Bits hostid Abb. 1.10: Internet- Adresskassen Kasse B Bits netid 16 Bits hostid 21 Bits netid 8 Bits hostid Kasse C Kasse D Kasse E Bits Muticast-Gruppen-ID 28 Bits Für künftige Nutzung reserviert Die Adresskasse C teit im Gegenzug nur 8 Bit für die hostid zu, was bis zu 254 Hosts eraubt. Kasse-D-Adressen sind für Muticast reserviert. Tabee 1.3 zeigt die Adressbereiche der einzenen Adresskassen. 16. Der Abzug von 2 Hosts ergibt sich daraus, dass die niedrigste und die höchste Adresse ein speziee Bedeutung haben: Die Zah 0 bezieht sich auf den eigenen Host und 255 bedeutet, dass sich eine Adresse auf das gesamte Subnetz bezieht die höchstmögiche Hostadresse ist eine Broadcast-Adresse. 17. Die Adressdatenbank kann zum Beispie über [73] abgefragt werden.

19 18 1 Erweiterte Grundagen von Internet-Netzwerken Tab. 1.3: IP- Adressbereiche Kasse Bereich (von bis) A B C D E Der Großtei der obigen Adressen sind standardöffentichen Adressen zugeordnet. Teibereiche des Adressraumes sind aerdings private Adressen, für speziee Anwendungen oder für Loopback und Muticast reserviert. Die wichtigsten Adressen dazu sind: as okae Loopback-Adresse: Ae an diese IP geschickten Pakete müssen oka an den Sender retourniert werden. 18 Der private Kasse-A-Bereich Der private Kasse-B-Bereich Der private Kasse-C-Bereich Zusätzich haben die Zahen 0 und 255 speziee Bedeutungen: 0 bezeichnet den eigenen Host/das eigene Netzwerk, 255 bedeutet ein Broadcast zu aen Hosts in der Standardadressierung. Zum Beispie sendet unterer Befeh unter Linux ein ping an ae Hosts im okaen Subnetz 19 : # ping -b Subnetz-Adressierung Subnetze erauben die Partitionierung von Kasse-A-, -B- und -C-Adressen in Untergruppen. Subnetze sind as Antwort auf hohe Granuarität der Adressvergabe aus den Adresskassen A C und der daraus resutierenden Ineffizienz entwicket worden. Sie werden für private Netze eingesetzt und in RFC 950 [25] beschrieben. Mittes Subnetz-Adressierung können okae Netzwerkadministratoren zugewiesene Kasse-B-, Kasse-C-Adressen in keinere Teie aufteien. Zum Beispie kann, anstatt für 4 Netze à 10 Hosts 4 separate Kasse- 18. Diese Adresse ist in den meisten Betriebssystemen as eigene Loopback Device impementiert, d.h., sie ist damit genauso ansprechbar wie ein Ethernet Interface. Unter Fedora Core 3 Linux heißt die Loopback Device o und wird über den ifconfig-befeh angezeigt. Unter Windows XP ist ordnungsgemäß geoopt, es muss aber der Microsoft Loopback Adapter eigens über den Hardware-Assistent und Neue Hardware Hinzufügen eingerichtet werden. Der Loopback Adapter steht dann unter der privaten Adresse und nicht unter 127.x.y.z zur Verfügung. 19. Unter Subnetz wird sowoh die fogende Subnetzadresse subnetid as auch generisch ein nicht durch Subnetz-Adressierung partitioniertes Teinetz verstanden.

20 1.1 TCP/IP 19 C-Adressen zu benötigen, eine Kasse-C-Adresse in 4 Subnetze mit jeweis 64 Hosts Kapazität aufgeteit werden. Abbidung 1.11 zeigt das Schema der Subnetz-Adressierung anhand einer Kasse-B-Adresse. Das ohne Subnetz ungeteite Fed der Hostadresse wird hier in ein Fed Subnetzwerknummer (subnetid im Fogenden) und Hostadresse aufgteiet. Kasse B 16 Bits netid = Bits subnetid 8 Bits hostid Abb. 1.11: IP-Subnetz-Adressierung Die sogenannte Netzmaske bzw. Subnetzmaske, weche die Aufteiung bestimmt, wird in einer der IP-Adresse ähnichen Notation angegeben. Sie ist zum Beispie , fas keine Subnetz-Adressierung verwendet wird. Eine aternative Notation, die auch in diesem Buch im Fogenden verwendet wird, ist die gemeinsame Angabe der IP-Adresse und Subnetz-Adresse in der Form <IP-Adresse>/<Subnetzbits in Dezimadarsteung>, so zum Beispie /24 für eine Kasse-C-Adresse ohne Subnetz-Adressierung. Ein Subnetz wird dann anhand seiner ersten Adresse bezeichnet werden so zum Beispie /26, /26 etc. Die Subnetzmaske ist damit die Angabe, wie viee Bits einer Nicht-Subnetz-IP-Hostadresse der subnetid zuzuordnen sind. Die Rege ist, dass eine binäre 1 in der Subnetzmaske die Stee in der IPv4-32-Bit-Adresse für eine Netzwerkadresse reserviert. Eine 0 in der Subnetzmaske bedeutet Zuteiung zu einer Hostadresse. Die Bits 1 des Netzwerkadressenteis der Subnetzmaske müssen kontinuierich sein, so zum Beispie für ein Kasse-C- Netz, weches nicht weiter partitioniert ist und damit einen 24 Bit breiten Netzwerk-Adressraum und einen 8 Bit breiten Host-Adressraum besitzt. Das untere Beispie teit ein zugeordnetes Kasse-C-Netzwerk entsprechend den vorherigen Anforderungen in vier Netze à zehn Hosts auf und zeigt dabei, wie sich die Partitionierung anhand eines der vier Subnetze aus der binären Darsteung der netid und subnetid abeitet. Das im fogenden Beispie verwendete zweite Subnetz hat die Adresse /26. Die exemparisch aus dem Adressbereich gewähte IP-Adresse ist Oktett 1 Oktett 2 Oktett 3 Oktett 4 1 Netzmaske binär Netzmaske dezima IP-Adresse dezima Subnetz 2: IP-Adresse binär Subnetz-2-Basisadresse binär ogisches AND 6 netid binär netid dezima netid Netzmaske Beispie zur Subnetz- Adressierung Tab. 1.4: Beispie zur Subnetz- Adressierung

21 20 1 Erweiterte Grundagen von Internet-Netzwerken 8 IP-Adresse binär Subnetz-2-Basisadresse a binär hostid ogisches AND 10 hostid binär hostid dezima Subnetz-2-Basisadresse binär 13 hostid ogisches XOR 14 Broadcast-Adresse binär 15 Broadcast-Adresse dezima Broadcast-Adresse a. Invers der Subnetz-Basisadresse Die erste Zeie in Tabee 1.4 ist die Netzmaske in Binärform, weche sowoh die Adresskasse as auch die Subnetzeinteiung bestimmt. Die zweite Zeie zeigt etztere Netzmaske in Dezimadarsteung. Zeie 3 ist eine frei gewähte IP-Adresse aus dem Adressbereich des zweiten Subnetzes: In der Fogenden wird für eines der vier mögichen Subnetze netid, hostid und die Broadcast-Adresse bestimmt. Da vier Netze gewünscht werden und es sich um ein partitioniertes Kasse-C-Netz handet, wird das etzte Oktett aufgeteit: 2 Bit für die subnetid (= 4 Subnetze) und 6 Bit für die hostid (= maxima 62 Hosts pro Subnetz). Zeie 5 zeigt die Subnetz-Basisadresse unseres zweiten Subnets. Durch ogische Verundung aus der IP-Adresse und der Subnetz-Basisadresse ergibt sich die netid in Zeie 6 und 7. Die hostid aus Zeie 10 und 11 wird aus der IP-Adresse und der invertierten Subnetz Basisadresse gebidet. Um an ae Nodes dieses zweiten Subnetzes zu broadcasten, kann in der Subnetz-Adressierung durch die Adressaufteiung natürich nicht die speziee Adresse 255 verwendet werden. Eine entsprechende Broadcast-Adresse resutiert aus einem ogischen XOR aus der Subnetz-2-Basisadresse und der hostid und ist in Zeie 14 und 15 gezeigt. In der Praxis sind Netzwerkadressenrechner wie in [25] hifreich bei der Partitionierung von Subnetzen. Durch diesebe Rechnung wie für Subnetz 2 ergeben sich die restichen drei Subnetze unserer 4er Partitionierung aus dem Booe schen AND aus der invertierten Subnetzadresse und der IP-Adresse: Das vierte Oktett für Subnetz 1 beginnt mit 00, obiges Subnetz 2 mit 01, Subnetz 3 mit 10 und Subnetz 4 mit 00. Die resutierenden dezimaen Adressbereiche sind: Subnetz 1: Subnetz 2: Subnetz 3: Subnetz 4:

22 1.1 TCP/IP 21 Die nicht as reguäre IP-Adressen verwendbaren , und im ersten Subnetz ergeben sich aus den zuvor besprochenen spezieen Bedeutungen für die Zahen 0 (binär: ) und 255 (binär: ). Der Nachtei der Subnetz-Adressierung ist zum einen, dass ae resutierenden Subnetze geich groß sind. Weiterhin können Subnetze nicht kaskadiert werden, was der effizienten Adressaokation auch entgegensteht. Die Lösung zu dem Kaskadierungsprobem ist das Variabe Length Subnet Masking (VLSM) [45]. Es ist eine Erweiterung zur Subnetz-Adressierung, bei der ein schon partitioniertes Subnetz weiter geteit werden kann. Eine weitere VLSM- Partitionierung anhand unseres Beispiesubnetzes /26 ist wie fogt: Wenn anstatt eines Subnetzes /26 2 separate Subnetze gewünscht sind, wird einfach ein Bit, das zuvor zur hostid gehört hatte, in eine verängerte subnetid eingefügt. Das zusätziche Bit der netid eraubt kaskadierte zwei Subnetze zu bezeichnen, die dann fogende Adressen haben: /27 und /27. VLSM wird von TCP/IP-Stacks unter Windows und Linux unterstützt sowie von Routern und Routing Software wie OSPF und RIPv2. Während Subnetz-Adressierung hift, private Netze effizient zu partitionieren, bringt das Cassess Interdomain Routing (CIDR) dassebe Konzept in die öffentiche Internet-Adressierung. Das Rationa ist dassebe, wobei der große Sprung von Kasse-C-Adressen mit 254 Hosts zu Kasse-B-Adressen mit Hosts hier weitere Partitionierung besonders notwendig macht. CIDR ist in den RFCs [35], [36], [37] und [38] spezifiziert. Es partitioniert genauso variabe bitweise wie das zuetzt besprochene VLSM. Zusätzich inkudiert CIDR Route Aggregation (auch Supernetting genannt) oder die Fähigkeit, mutipe Netze unter einer durch die Netzmaske definierten Adresse zusammenzufassen. CIDR Route Aggregation ist ein wesenticher Faktor, der zur Skaierbarkeit des Internets beiträgt. Ohne Supernetting müssten Router wesentich mehr Wege in ihren Routingtabeen führen as bei CIDR, wo eine IP-Adresse + Netzmaske eine Gruppe an Netzen repräsentieren kann. Variabe Length Subnet Masking (VLSM) Cassess Interdomain Routing CIDR-Subnetz-Adressierung ermögicht es, Adressräume hierarchisch bzw. geografisch strukturiert zu gestaten. CIDR berücksichtigt die fünf Kassen der Standard-Adressierung nicht, d.h., die ersten 3 Bit einer IP-Adresse werden Tei der CIDR-Adressierung. Letztere basiert auf einem kontinuierichen sogenannten Präfix, das einer Netzmaske entspricht und von 13 Bit bis 27 Bit ang sein kann. Zum Beispie ist das Präfix einer CIDR-Adresse, weche 14 Bit für die netid reserviert, aiquot zum vorherigen Subnetz-Adressierungsbeispie /14. Die CIDR-Notation wird sowoh in IPv6 as auch in IPv4 verwendet. Sie wird aerdings in Windows und Linux noch nicht von aen Programmen aternativ zur Subnetz-Notation akzeptiert. CIDR ist in aktueen Routern und Routing-Software standardmäßig verfügbar. Die Adressvergabe in Europa ist von der IANA an die regionaen Internet Registry Réseaux IP Européens (RIPE) [72] deegiert worden. Lokae Internet Service Provider (ISPs) erhaten ihre Adressaokationen gebockt von RIPE und geben sie nach Bedarf an ihre Kunden weiter. Abbidung 1.12 zeigt die Hierarchie der mit der Adressvergabe befassten Organisationen. IP-Adressvergabe