Rechnernetze 1 Fragebogen 7 Teil 1: Betriebsprotokolle 1) Wie arbeitet SNMP in etwa? Nenne einige Beispiele für Informationen in einer Management Information Base (MIB). Warum ist es naheliegend, als unterliegende Repräsentationstechnik eine Typdefinitionssprache wie ASN.1 einzusetzen? (3-130) (3-132) SNMP (simple network management protocol) setzt auf UDP auf und erfüllt im wesentlichen 3 Aufgaben. Als erstes kann man damit den Zustand eines Servers abfragen. Dieser kann auch geändert werden. Schließlich können noch automatische Meldungen bei bestimmten Ereignissen angefordert werden. In einer MIB befinden sich sowohl Zustandsinformationen als auch statistische Informationen. Beispiele: #Datagrams received/forwarded #Routing failures #Datagrams fragmented Value od TTL- field MTU for particular interface IP routing table Es ist naheliegend eine Sprache wie ASN.1 einzusetzen, weil... keine Ahnung! 2) Welches Problem löst das Boot Protocol (bootp) bzw. das Dynamic Host Configuration Protocol (dhcp) in etwa? Kurze Beschreibung. Mit welcher ungewöhnlichen Situation müssen diese Protokolle umgehen? (2-2) Die Protokolle ermöglichen es, einen Rechner über ein LAN zu booten und auch zu konfigurieren. Das DHCP Protokoll ist dabei mächtiger, weil es unter anderem die Zuweisung von dynamischen Adressen und die Verwendung von mehreren DHCP- Servern ermöglicht. Die Protokolle müssem mit der Situation umgehen, dass ihnen anfangs keine Informationen zur Verfügung stehen, in was für einem Netzwerk sie sich befinden. Gleichzeitig sollen sie aber für das gerade aktuelle Netz alle Netzeinstellungen korrekt vornehmen. 3) Wie arbeitet die IPv6-Autokonfiguration in etwa? (2-7) 1
Aus der Wikipedia(http://de.wikipedia.org/wiki/IPv6#Autokonfiguration): Ein IPv6-fähiges Interface kann aus seiner Layer 2-MAC-Adresse eine sog. Link-lokale Adresse errechnen, mit der es sich auf die Suche nach den Routern in seinem Netzwerksegment machen kann. Der Router kann dem Gerät dann eine ÜnicastAdresse aus seinem Adressbereich zuweisen, mit der das Gerät aufs Internet zugreifen kann. Der ganze Vorgang läuft ohne Benutzerintervention vollautomatisch ab und ist eine Verbesserung des IPv4-DHCP (er kommt ohne Server aus). Ein IPv6-fähiges Gerät ist so öut-of-the-boxßtartklar, was besonders für unerfahrene Endnutzer oder stressgeplagte Admins ein großer Vorteil ist. 4) Skizziere kurz das Konzept von MPLS. Welche Ziele sollen damit erreicht werden? Skizziere den Einsatz von MPLS für Zwecke des Traffic Engineering sowie im Kontext von VPNs (Virtual Private Networks). Und wieder Wikipedia (http://de.wikipedia.org/wiki/mpls): Multiprotocol Label Switching (MPLS) stellt ein Verfahren zum Label Switching dar. Es kann unter anderem für das IP-Switching, d.h. für die Vermittlung von Paketen auf Basis von IP verwendet werden. Die IP-Pakete werden zusätzlich mit einem Label versehen und durch das Netz geswitcht (siehe Routing und Switching). MPLS kombiniert Layer 2 Switching mit Routing auf Layer 3 (OSI-Modell) Vorteile von MPLS -VPN - Vom Provider aus können beliebig viele virtuelle Netze über eine gemeinsame Infrastruktur erstellt werden. -QoS - Bandbreiten und Transportklassen können vom Provider aus garantiert werden -Traffic Engineering - Besondere oder spezielle Pfade können für den Datenstrom reserviert werden. Als Routingprotokoll wird IS-IS benutzt Teil 2: Sicherheit in verteilten Systemen 5) Skizziere einige typische Angriffe auf vernetzte Systeme. (3-136) -passive Angriffe: reines Mitlauschen. schwer zu entdecken -durch Verschlüsselung im Vorfeld zu vermeiden 2
-Man-in-the-middle attack: der Angreifer hängt sich zwischen zwei Kommuniktionspartner und gibt sich jeweils für den anderen aus. durch gute Authentisierungsverfahren vermeidbar -Replay attack: Nachrichten wiederholt übertragen (z.b. Kontobuchung). -Wiederholung erkennen durch mitgesendeten Zeitstempel, Einwegfunktion -(Distributed) Denail-of-service attack: Überlastung von Rechnern durch Vielzahl von (unsinnigen) Anfragen, u.u. von diversen gehackten Rechnern aus. -unsinnige Anfragen frühzeitig erkennen und abbrechen -IP spoofing: Fälschen der Absenderadresse in IP- Datagramm. -Angreifer schwer zu erkennen (z.b. bei D-o-S attack), Angreifer wird u.u. als vertrauenswürdig angesehen -u.a. Authentisierung des IP- Headers (IP-Sec) -DNS spoofing: Fälschen der Antwort auf DNS Anfrage. Angreifer wird fälschlich für eigentlichen Kommunikationspartner gehalten -Authentisierung der DNS Antwort 6) Erläutere kurz die Bedeutung der Begriffe Geheimhaltung, Integrität, Nichtabstreitbarkeit und Authentisierung. Wie kann man diese Sicherheitsdienste in etwa realisieren? (3-138) (http://www.cio.gv.at/securenetworks/vpn/kryptologie/kryptologie.html) Geheimhaltung: Geheimhaltung von Information vor all jenen, die nicht autorisiert sind Information zu lesen. Mehrere Methoden - von physischem Schutz bis hin zu mathematischen Modellen - sollen die Vertraulichkeit sicherstellen. Realisierung durch Verschlüsselung Integrität: Werden Daten auf Integrität geprüft, soll gewährleistet sein, dass diese niemand unautorisiert durch Einfügen, Löschen oder Editieren verändert hat. Bei einer Kommunikation zwischen Sender und Empfänger soll der Empfänger überprüfen können, ob die erhaltene Nachricht mit der vom Sender erzeugten übereinstimmt. Realisierung durch Verschlüsselung, Prüfsummen Nichtabstreitbarkeit: Einmal gesendete Daten sollen im Nachhinein nicht abgestritten werden können. 3
Realisierung durch Autentisierung, Logdateien Authentisierung: Bei einer Kommunikation zwischen zwei Teilnehmern sollen sich diese gegenseitig identifizieren können. Der Sender einer Nachricht kann dem Empfänger neben seiner Identität auch die Integrität und Gültigkeit der von ihm geschickten Daten nachweisen. Realisierung durch Verschlüsselung, digitales Einschreiben, Vertrauenswürdiger 3. 7) Wodurch unterscheiden sich symmetrische und asymmetrische Chiffren? Warum gibt es bei symmetrischen Verfahren ein Schlüsselverteilungsproblem? (3-142) Bei der symmetrischen Verschlüsselung wird zu Beginn einer Sitzung ein ein temporärer Sitzungsschlüssel ausgehandelt. Da dieser nicht an 3. gelangen darf ist die Schlüsselverteilung kritisch. Bei der asymmetrischen Verschlüsselung besitzt jeder Kommunikationspartner 2 Schlüssel: -ein geheimer Schlüssel, den nur dem Besitzer bekannt sein darf -ein öffentlicher Schlüssel, den alle Kommunikationspartner benötigen Wenn a eine verschlüsselte Nachricht an b schicken möchte, besorgt er sich den öffentlichen Schlüssel von b und verschlüsselt die Nachricht damit. Diese kann jetzt nur noch mit dem geheimen Schlüssel von B geöffnet werden, den (hoffentlich) nur b besitzt. 8) Wie funktioniert eine digitale Unterschrift in etwa? Wofür können Hash- Funktionen eingesetzt werden? (http://www.selflinux.org/selflinux-devel/pdf/gpg handbuch kapitel 1.pdf) Eine digitale Unterschrift bestätigt die Korrektheit des unterschriebenen Dokuments. Zu diesem Zweck kann man mit einer Hash- Funktion aus dem Dokument eine Prüfsumme errechnen. Wird das Dokument nur geringfügig geändert, passt die Prüfsumme nicht mehr und die Integrität des Dokuments kann angezweifelt werden. Der verwendete Hash- Algorithmus muss jedoch 2 Voraussetzungen erfüllen: Es muss praktisch unmöglich sein, zwei Dokumente mit dem gleichen Hash- Code zu finden und das Dokument darf sich nicht ohne weiteres aus dem Code rekonstruieren lassen. 9) Wo kann man öffentliche und geheime Schlüssel sinnvollerweise ablegen? Wozu benötigt man Zertifikate? (3-143) Der geheime Schlüssel muss unbedingt so abgelegt werden, dass nur der Besitzer Zugriff darauf hat. Im Gegensatz dazu sollte der öffentliche Schlüss 4
dort abgelegt werden, wo er möglichst gut von jedem erreicht werden kann, damit einem großen Personenkreis ermöglicht wird, die Kommunikation mit dem Schlüsselbesitzer verschlüsselt abzuwickeln. Dabei ist jedoch unbedingt zu beachten, dass der verwendete öffentliche Schlüssel wirklich zu dem gewünschten Kommunikaionspartner gehört und nicht vielleicht zu einem 3., der an den Inhalt der Nachricht gelangen möchte. Es muss also sichergestellt werden, dass die Schlüsselquelle vertrauenswürdig ist. Dies kann mit Hilfe von Zertifikaten gewährleistet werden. Erst dann kann man sicher sein, dass der richige Schlüsselserver nicht z.b. mit Hilfe einer man-in-the-middle attack umgangen wird. 10) Welcher grundsätzliche Unterschied besteht im allgemeinen zwischen Network/Transport Security und Application Security? (3-149) Bei der Network/Transport Security geht es darum, die Kommunikationsbeziehung zwischen zwei Partnern zu schützen. Bei der Application Security geht es darum, Anwendungsdaten (auch über einen längeren Zeitraum) zu schützen. 11) Welche Sicherheitsziele stehen im Bereich Internet Security im allgemeinen im Vordergrund? Mit welchen Verfahren werden sie typischerweise erreicht? (3-149) Bei der Internet Security geht es vor allem um Authentisierung und Integritätschecks. Es werden vor allem symmetrische Verschlüsselungstechniken zu diesem Zweck eingesetzt. 12) Welche Aufgabe erfüllt ein Key Management Protocol? Wozu kann man das Diffie-Hellman-Verfahren verwenden? (3-155) Ein Key Management Protokoll hat die Aufgabe einen Sitzungsschlüssel an alle Kommunikationsteinehmer zu verteilen. Dies muss beim Aufbau einer Verbindung geschehen und kann dann auch während der Sitzung noch mehrfach geschehen, um die Sicherheit weiter zu erhöhen (dann müsste der Schlüssel jedes mal neu geknackt werden). Das Diffie-Hellman-Verfahren ist ein asymetrisches Verfahren zur Verteilung von Sitzungsschlüsseln. Es sieht keine Authentisierung vor. Es gibt zwei allgemein bekannte Zahlen g und n, wobei g kleiner als n sein muss. Jeder Kommunikationspartner denkt sich eine große, geheime Zahl aus. 5
0 Kommunikationspartner A Kommunikationspartner B 1 2 g,n bekannt g,n bekannt 3 4 x geheim y geheim 5 6 X = g^x mod n Y = g^y mod n 7 8 gibt X an B gibt Y an A 9 10 sitzungsschlüssel= Y^x mod n sitzungsschlüssel= X^y mod n Aus x,y dürfen X,Y nicht herleitbar sein. 13) Wie arbeitet eine Firewall in etwa? Welche Aufgabe hat ein Paketfilter? Was ist ein Application Layer Proxy? (3-159) Eine Firewall hat verschiedene Formen. Zum einen kann sie einen Bastion Host verwenden, der zwischen dem Internet und dem LAN liegt. Auf diesem können dann Application Layer Proxies/Gateways laufen. Zum anderen kann eine Firewall mit Hilfe eines Paketfilters realisiert werden. Ein Paketfilter hat die Aufgabe nur bestimmte Pakete durchzulassen und alle anderen aus dem Datenstrom herauszufiltern, Ein Application Layer Proxy verhindert den direkten Zugriff auf bestimmte Dienste, z.b. ftp. Er gibt nach außen hin vor, selbst der Server zu sein und leitet an den richtigen Server nur überprüfte Anfragen weiter. 14) Welche Probleme können durch NAT(Network Address Translator) gelöst werden? (3-161) Mit NAT werden Internetadressen auf LAN interne Adressen abgebildet. Dies bietet viele Möglichkeiten. -Schutzfunktion -Unternehmensnetz besitzt zu wenig IP- Adressen (IP-Adr/Portnum- Paare auf interne Adressen abbilden) -bei ISP- wechsel oder dynamischer adresszuweisung können die internen Adressen erhalten bleiben -alte interne Adressschemata können weiterverwendet werden -Internet Philosophie unterlaufen (Zustandslosigkeit im Netz, jeder Host adressierbar...) 6
Teil 3: Standardisierungsprozesse 15) Wie sind ISO, ITU-T und IETF in etwa organisiert? (2-209) ISO (International Organization for Standardization): Die weltweite Normung wird von der Internationalen Organisation für Normung (ISO), der Internationalen Elektronische Kommission (IEC) und dem Internationalen beratenden Ausschuss für den Telegraphen- und Fernsprechdienst (ITU), alle in Genf, wahrgenommen. In die ISO arbeiten die nationalen Normungsinstitute aus 118 Ländern zusammen. Ziel der ISO ist es, mit weltweit einheitlichen Normen den internationalen Austausch von Gütern und Dienstleistungen zu erleichtern sowie die Zusammenarbeit auf wissenschaftlichem, technischem und ökonomischem Gebiet über die Grenzen hinweg zu aktivieren. http://www.iso.ch Quelle: http://www.networks.siemens.de/solutionprovider/ online lexikon/1/f007181.htm ITU-T (ITU=International Telecommunication Unit, ITU-T=Telecommunication Standardization Bureau): Die ITU-T ist ein Sektor der ITU, der Internationalen Fernmeldeunion, der für internationale Empfehlungen und Standardisierungen im Fernmeldewesen zuständig ist. In diesem international beratenden Ausschuss für Telegrafen-, Fernsprech- und Telekommunikationsdienste erarbeiten die Fernmeldeverwaltungen und Hersteller die so genannten ITU-T-Empfehlungen. Sie dienen als Richtlinien für die Beschaffung von Ausrüstungen, für die Fernmeldedienste und für die Zulassung von Endgeräten, die diese Dienste nutzen möchten. Allgemein bekannt sind die Empfehlungen der V.- und X.- Serien für Schnittstellen, die I.-Serie und Q.-Serie für ISDN und B-ISDN sowie die G.-Serie für SDH und ATM. Quelle: http://www.networks.siemens.de/solutionprovider/ online lexikon/7/f008137.htm IETF (Internet Engineering Task Force): Die Internet Engineering Task Force ist eine offene internationale Gemeinschaft von Netzwerkdesignern, professionellen Anwendern und Herstellern, die zur Entwicklung des Internet und dessen reibungslosem Betrieb beitragen. Das IETF ist offen für jedes Unternehmen und jede interessierte Person und wird durch die ISOC offiziell vertreten. Es handelt sich um eine Interessengemeinschaft, die sich mit kurz- und mittelfristigen Problemen des TCP/IP und des zugehörigen Internet befassen. Das Gremium behandelt auch Netzwerkmanagement-Themen, so beispielsweise Fragen des RMON und des MIB. Die IETF ist in zehn Bereiche unterteilt, die wieder- 7
um in Untergruppen aufgeteilt sind: Anwendungen, Internet-Dienste, IPnG (Next Generation), Netzwerkmanagement, Betrieb, Routing, Sicherheit, Transportdienste und Benutzerdienste. Derzeit existieren mehr als achtzig Arbeitsgruppen mit mehr als 700 Mitgliedern, die Vorschläge erarbeiten. http://www.ietf.org Quelle: http://www.networks.siemens.de/solutionprovider/ online lexikon/4/f007334.htm 16) Nenne einige wesentliche Punkte, in denen sich ein ISO-Standardisierungsvorgang von einem IETF-Standardisierungsvorgang unterscheidet. (2-212)(2-219) Bei der ISO wird an mehreren Punkten des Vorgangs abgestimmt, was bei der IETF nicht der Fall ist. Bei der IETF gibt es vor der Arbeit in Arbeitsgruppen bereits erste Implementierungen. Schaut euch die Teile auf den Seiten 2-212 und 2-219 am besten noch mal an... 8