1	_{Netzwerke und Sicherheit mit TCP/IP} Web-Schulung
2	_{Inhalt (1)}
3	_{Inhalt (2)}
4	_{Inhalt (3)}
5	_{Inhalt (4)}
6	_{Inhalt (5)}
7	_{Inhalt (6)}
8	_{Inhalt (7)}
9	_{Kapitel 1}_{Grundlagen/ wichtige Standards}
10
11	_{ISO/OSI-Modell - Schnittstelle}
12
13	_{IEEE-Standards, MAC und LLC}_{(im Vergleich zu Ethernet)}
14	_{IEEE-Standards 802.1, 802.2, 802.3, 802.4, 802.5}
15
16	_{IEEE 802.11 (WLAN) Standard-Aktivitäten - Auswahl} 802.11a 54 Mbps, 5 GHz keine ETSI-Zulassung! (9/1999) 802.11b 11 Mbps, 2.4 GHz (9/1999) 802.11d „World Mode“ (u.a. Roaming zwischen Ländern) (6/2001) 802.11e Quality Of Service 802.11g Higher Data Rate (> 20 Mbps) (6/2003) 802.11i Authentication und Sicherheit (inkl. WPA) (6/2004)
17	_{Ethernet- vs. 802.3-Frames}
18
19
20	_{Wichtige Typfelder}
21	_{Wichtige DSAPs/ SSAPs}
22	_{VLAN (802.1p/ 802.1Q)} Logische Trennung des Datenstroms auf Layer 2 Verschiedene Typen Statisch (Port basierend): per Definition in Switch Dynamisch (MAC basierend): per „Tag“ im Ethernet-Paket Tag (4 Byte): zwischen Source Address und Type-Field VID (VLAN ID): 4096 Adressen („farbliche Kennzeichnung“)
23
24	_{Bridge - Arbeitsweise (2)}
25
26	_{Transitsysteme im OSI-Modell}
27	_{Transitsysteme im OSI-Modell}_{(Aufgaben - Zusammenfassung)}
28
29
30	_{RFCs, MIL-Specs u.a.}
31	_{Standardisierungsprozess / RFCs (1)}
32	_{Standardisierungsprozess/ RFCs (2)}
33	_{Standardisierungsprozess/ RFCs (3)}
34	_{Kapitel 2}_{Internet Protocol (IP)}
35	_{Internet Protocol (IP)}_{RFC 791 - STD 5 - MIL-Std. 1777}
36	_{IP - Wichtige RFCs}
37	_{IP - Eigenschaften}
38
39
40
41
42	_{IP - Fragmentierung Warum Fragmentierung}
43	_{IP - Fragmentierung max. Paketlänge auf verschiendenen Netzen}
44	"Länge relativ zum Beginn des..." Länge relativ zum Beginn des Datenbereichs im Orginal-Datagram Ermöglicht Zusammensetzen in richtiger Reihenfolge Wert 0 bei: Standard Datagram (= nicht fragmentiert) 1. Fragment
45
46	IP - Fragmentierung Flags
47
48
49	_{IP - Fragmentierung}
50
51
52
53
54
55
56
57	_{Kapitel 3}_{IP- Adressierung/ IP-Subnetting}
58	IP Adressen Aufbau
59
60
61
62	_{Adressen mit besonderer Bedeutung}
63	_{Private Adressen}_{(nach RFC 1918)}
64
65
66
67
68
69	_{Kapitel 4}_{IP über serielle Leitungen (SLIP, PPP, PPPoE)}
70	_{Serial Line IP (SLIP)}_{RFC 1055}
71	_{Point To Point Protocol (PPP)}_{RFC 1661/ 1662 - STD 51 RFC 2153 (Vendor Extensions)}
72	_{Point To Point Protocol (PPP)}_{Paketaufbau (synchron/ asynchron)}
73	_{Point To Point Protocol (PPP)}_{Ausgewählte Protokoll-Nummern}
74	_{PPP over Ethernet (PPPoE)}_{RFC 2516} PPP-Pakete werden in Ethernet Pakete „eingepackt“ (Ethernet-) Typefields: 88-63 (Discovery Stage), 88-64 (Session Stage) max. MTU: 1492 (PPPoE-Header + PPP-Protocol-ID) zweistufiges Konzept: Server-Suche/ Server-Auswahl (Discovery-Stage) „stateless“ bis zum Aufbau einer PPP-Verbindung Verbindungsaufbau (Session Stage)
75	_{PPP over Ethernet (PPPoE)}_{Paketaufbau (Session Stage)}
76	_{Kapitel 5}_{IP Next Generation (IPng) IP Version 6 (IPv6)}
77	_{IPv6 - Neuer Adressbereich}
78	_{IPv6 - Neue Eigenschaften}
79	_{Veränderungen im IPv6-Header (zu IPv4)}
80	_{IPv6 Basis Header}_{(Ausschnitt -}_ohne_{„Destination Address“)}
81	_{IPv6 - Erweiterungs-Header} Routing Header (Source Route) - Next Header = 43 Fragmentation Header (nur Host) - Next Header = 44 Authentication Header - Next Header = 51 ESP-Header - Next Header = 50
82	_{IPv6 - Adressschema und Adressarten}
83	_{IPv6 Adress-Aufteilung}
84	_{IPv6 - RFCs}
85	_{Kapitel 6}_{Address Resolution Protocol (ARP)}
86
87
88
89
90
91
92
93
94
95
96
97	_{Gratuitous ARP}
98
99
100	_{Kapitel 7}_{IP - Routing}
101	_{Routing auf Backbone}
102
103	_{Routing in vermaschtem Netz}
104	_{Routing - Verfahren}
105
106
107	_{Proxy ARP}
108	_{Kapitel 8}_{Internet Control Message Protocol (ICMP)}
109	_{Internet Control Message Protocol (ICMP)}_{RFC 792 - STD 5}
110	_{ICMP- Fehlermeldungen}
111
112	_{ICMP- Info-Meldungen}
113
114	_{Trace Route in dynamischen Netzwerken}
115
116
117
118	_{Kapitel 9}_{Routing Protokolle}
119	_{Arten von Routing Protokollen}
120	_{Routing Information Protocol (RIP)}
121	_{Routing Information Protocol (RIP)}_{RFC 1058 - STD 34}
122
123	_{RIP - Paketaufbau}_{Bedeutung der Felder}
124	_{RIP Routing Tabelle/ Routing Updates}
125	_{Split Horizon} Verhindert Rückrouten (reverse route) Updates, die über eine bestimmte Schnittstelle gesendet werden, berichten nicht über Routen, die über diese Schnittstelle gelernt wurden Updates, die über eine bestimmte Schnittstelle gesendet werden kennzeichnen jedes über diese Schnittstelle erlernte Netzwerk als nicht erreichbar (Split Horizon with poisoned reverse) spart Ressourcen verhindert Routing-Schleifen
126	_{Classful Routing}_{nach RFC 950} Subnetzmasken werden nicht mit der Ziel-Adresse verbreitet Zieladresse befindet sich direkt in dem mit dem Router verbundenen Netzwerk: Subnetzmaske der NIC wird verwendet Zieladresse befindet sich in „Remote-Netzwerk“: Default-Subnetzmaske wird verwendet Unterstes und oberstes Subnetz - alles „0“ (Hauptnetz-Netzwerknummer) bzw. alles „1“ (Broadcast des Hauptnetzes) - können nicht genutzt werden
127
128	_{Open Shortest Path First (OSPF)}
129
130
131
132	_{Routingtabellen im Internet (Kennzahlen)} 2005: 150.000 – 175.000 2006: 200.000 2011: 370.000 (geschätzt) 2020: 2. Mio. (möglich/ befürchtet) Belegter Speicherplatz heute: mind. 10 MB/ Router IPv6 verschärft die Probleme: Verdopplung der Einträge pro Rechner
133	_Einschub_{Nicht routbare Protokolle} Besitzen keine Adressierungsfunktion auf Layer 3 Adressierung von Netzwerken nicht möglich Vertreter: NetBIOS/ NetBEUI (NetBIOS Extended User Interface) DEC LAT DLC
134	_{Kapitel 10}_{Transmission Control Protocol (TCP)}
135
136
137
138
139
140
141
142	_{TCP - Verbindungsaufbau}_{(Three-Way-Handshake)}
143
144	_{TCP – Verbindungsabbau}_{(Three-Way-Handshake)}
145	_{TCP - Flags (SYN, ACK)}
146	_{TCP - Flags (RST, FIN)}
147	_{Senden von RST-Flag}_{(vgl. RFC 793 – S. 36f)} RST muss gesendet werden, wenn ein Segment offensichtlich nicht zu einer existierenden Verbindung gehört Bei nicht existierenden (CLOSED) Verbindungen Bei Bestätigung (ACK) eines (noch) nicht gesendeten Segments RST darf nicht gesendet werden, wenn nicht klar ist, ob Segment zu einer existierenden Verbindung gehört (kein Paket wird gesendet)
148	_{TCP - Flags (PSH, URG)}
149
150	_{TCP Slow Start/ Congestion Control Beschreibung} Erhöhung der Übertragungsgeschwindigkeit während einer Verbindung Verdopplung der MSS pro RTT Ab Slow-Start-Threshholds – nur noch Erhöhung um 1 MSS Beginnt neu bei jedem Error Slow-Start-Threshold wird halbiert FTP schneller als HTTP http://www-vs.informatik.uni-ulm.de/teach/ws06/rn1/TCPVerstopfungskontrolle.pdf
151	_{TCP Slow Start/ Congestion Control (Grafik)}
152	_{TCP Slow Start/ Congestion Control (Ablauf)}
153
154
155
156
157
158
159
160	_{Kapitel 11}_{User Datagram Protocol (UDP)}
161
162
163	UDP - Eigenschaften
164	_{Dienste auf UDP}
165
166	_{Kapitel 12}_{Teletype Network (TELNET)}
167
168
169
170
171	TELNET - Network Virtual Terminal (Modell)
172	TELNET - Lokale Kommandos
173	TELNET - Remote-Kommandos (Auswahl)
174
175	TELNET - Aushandeln von Optionen Befehle
176	TELNET - Optionen
177	TELNET - Terminal-Typen (aus „Assigned Numbers“ - Auswahl)
178	_{Kapitel 13}_{File Transfer Protocol (FTP)}
179
180	FTP - Problematik
181	_{FTP – Arbeitsweise}_{(Lösung des Problems)}
182	FTP-Session (Prinzipdarstellung)
183	Das FTP - Modell
184	Active FTP (Standard-FTP)
185	Passive FTP („Firewall FTP“)
186	FTP - Transfer Parameter
187	Wichtige FTP - Befehle
188	_{Kapitel 14}_{E-Mail Protokolle: SMTP POP3}
189
190	SMTP Bestandteile Envelope Kommunikation zwischen Client und Server Beginnt mit „Steuerkommandos“: HELO/ EHLO nicht sichtbar Header Bestandteil der E-Mail (vgl. „Body“) Enthält Einträge des Clients bzw. der Server Einträge nicht authentisch
191	SMTP – Übertragung
192	SMTP Envelope (Beispiel) S: 220 test.de SMTP server ready C: HELO xyz.de. beliebig! S: 250 xyz.de., pleased to meet you C: MAIL From:adam@xyz.de beliebig! S: 250 <adam@xyz.de> Sender ok C: RCPT To:eva@test.de muss existieren S: 250 <eva@test.de> Recipient ok C: RCPT TO:tom@test.de muss existieren S: 250 <tom@test.de> Recipient ok C: DATA S: 354 Enter mail C: Hallo Eva, hallo Tom! C: Beispiel für den Mail-Versand mit SMTP. C: Adam C: . S: 250 Mail accepted C: QUIT S: 221 test.de delivering mail
193	SMTP - Kommandos (Auswahl)
194	SMTP-Antwort-Codes (Übersicht) 211 System-Status oder System-Hilfe 214 Hilfe - Informationen zum Ausführen eines Kommandos 220 Server bereit 221 Server beendet Verbindung 250 Kommando ausgeführt 251 Keine lokale Mailbox; Weiterleitung an "forward-path“ 252 Überprüfung der Empfängeradresse nicht möglich; Die Nachricht wird dennoch versendet 354 Starte Empfang der Mail; Beenden mit "CRLF". "CRLF“ 421 Service nicht verfügbar; Verbindung wird beendet 450 Aktion nicht ausgeführt - Mailbox nicht verfügbar 451 Aktion abgebrochen - Fehler beim Ausführen 452 Aktion abgebrochen - Nicht genügend System-Speicher 500 Syntax-Fehler - Kommando unbekannt 501 Syntax-Fehler - Parameter oder Argument falsch 502 Kommando unbekannt / nicht implementiert 503 Falsche Reihenfolge der Kommandos 504 Parameter unbekannt / nicht implementiert 550 Aktion nicht ausgeführt - Mailbox nicht erreichbar (nicht gefunden, kein Zugriff) 551 Mailbox nicht lokal; "forward-path" versuchen 552 Aktion abgebrochen - Fehler bei der Speicherzuweisung 553 Aktion nicht ausgeführt - Mailbox-Name nicht erlaubt (Syntax inkorrekt) 554 Transaktion fehlgeschlagen (beim Verbindungsaufbau: Kein SMTP-Service verfügbar)
195	_{SMTP - Message-Format}_{RFC 2822 - STD 11}
196	_{SMTP - Message-Format}_{(Header/ Body)}
197	SMTP Header (Beispiel) Received: by xyz.de. id AABBCC; Mon, 19 Nov 2001 12:34:56 +0100 Received: from adam1 (47110815@[192.168.80.201]) by fwd00.xyz.de with smtp id 166Cyz1KXYRsC; Tue, 20 Nov 2001 16:38:45 +0100 From: adam@xyz.de (Adam) To: eva@test.de (Eva) Subject: Beispiel-Mail Date: Mon, 19 Nov 2001 12:34:56 +0100 Reply-To: adam@xyz.de Message-ID: 1234567890.Adam@xyz.de Disposition-Notification-To: adam@xyz.de MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" X-Mailer: Winzigweich Ausschau, Build 1.2.3.4.5
198	SMTP Header interpretieren SPAM erkennen (1)
199	SMTP Header interpretieren SPAM erkennen (2)
200	SMTP Header interpretieren (Header okay) Received: from inbound2.psi.neteu.net (EHLO inbound2.psi.neteu.net) ([154.15.201.165]) by mstore.psi.neteu.net (MOS 3.8.2-GA FastPath queued) with ESMTP id CJK65564 (AUTH via LOGINBEFORESMTP); Fri, 05 Oct 2007 06:02:55 +0200 (CEST) Received: from mailfilter1.psi.neteu.net (EHLO mailfilter1.psi.neteu.net) ([154.15.200.26]) by inbound2.psi.neteu.net (MOS 3.8.2-GA FastPath queued) with ESMTP id HLW03613; Fri, 05 Oct 2007 06:02:55 +0200 (CEST) Received: from fmmailgate05.web.de ([217.72.192.243]) by mailfilter1.psi.neteu.net with esmtp (Exim 4.65) (envelope-from <hatschi@web.de>) id 1IdeOt-0001CC-3G for htschi@cyberspace.de; Fri, 05 Oct 2007 06:02:55 +0200 Received: from web.de by fmmailgate05.web.de (Postfix) with SMTP id E54F42ED0872 for <htschi@cyberspace.de>; Fri, 5 Oct 2007 06:02:54 +0200 (CEST) Received: from [87.178.27.130] by freemailng0801.web.de with HTTP; Fri, 05 Oct 2007 06:02:54 +0200 Date: Fri, 05 Oct 2007 06:02:54 +0200 Message-Id: <1866780544@web.de> From: Hans Tschi <hatschi@web.de> To: htschi@cyberspace.de
201	SMTP Header interpretieren (definitiver SPAM Header) Return-Path: <ksr@bptdesign.com> Received: from inbound1.psi.neteu.net […](AUTH via LOGINBEFORESMTP); Sat, 03 Nov 2007 03:51:25 +0100 (CET) Received: from mailfilter1.psi.neteu.net (EHLO mailfilter1.psi.neteu.net) ([154.15.200.26]) […] Received: from [77.66.146.66] (helo=comp) by mailfilter1.psi.neteu.net with esmtp (Exim 4.65) (envelope-from <ksr@bptdesign.com>) id 1Io96Y-00019d-V5 for htschi@cyberspace.de; Sat, 03 Nov 2007 03:51:24 +0100 Received: from [77.66.146.66] by smtp.secureserver.net; Sat, 3 Nov 2007 05:50:04 +0300 From: Volksbanken Raiffeisenbanken<16092007shrt@volksbank.de> To: <htschi@cyberspace.de> Subject: Volksbanken Raiffeisenbanken AG: 02/11/2007 Date: Sat, 3 Nov 2007 05:50:04 +0300 MIME-Version: 1.0 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106 Message-ID: <01c81ddd$619ac510$4292424d@ksr>
202	E-Mail - Auffälligkeiten Absender-Adresse stimmt nicht mit Mailserver überein (u.U. nur in IP-Adresse des Envelopes erkennbar) Kein Absender Zeitsprünge in Übertragung Header-Feld „User-Agent“ zeigt nicht auf ein bekanntes E-Mail Programm (korrekt: User-Agent: Thunderbird 2.0.0.6 (Windows/20070728)) Eine oder mehrere Zeilen komplett in Großbuchstaben Verweis, dass Mail nach „Senate Bill 1618“ kein Spam sei (der Verweis ist irrelevant und gerade ein Indiz für Spam) Mail besteht nur aus (Remote) Bildern Eintrag in Adresse (vor @) findet sich in Subject-Feld („Betreff“) wieder
203	Einschub E-Mail Privacy: Webbugs (+ Cookies) Beschreibung: Mini-Bilder (1 Pixel), die von einem externen Server abgerufen werden In allen HTML-Mails möglich (Achtung: HTML muss nicht erkennbar sein) Einsatzbereich: Überprüfung der Existenz einer E-Mail Zuordnung von E-Mail-Adresse ó IP-Adresse (Webbug) E-Mail-Adresse ó Gerät (Cookie) Schutz: Offline Lesen von E-Mails Blocken externer IP-Adressen durch E-Mail-Client Verbieten von Cookies
204	Sicherheitsmechanismen bei E-Mail SMTP after POP E-Mail-Server überschreibt „FROM“ Feld (z.B. T-Online) SSL bzw. TLS Digitale Unterschrift/ Nutzung von Zertifikaten
205	SMTP/ SPAM: Quellen/ URLs http://www.th-h.de/faq/headerfaq.php hat-h.de: „E-Mail-Header lesen und verstehen“ http://www.tecchannel.de/kommunikation/e-mail/401772/index.html Tec Channel: „So funktioniert E-Mail“ http://www.gurusheaven.de/security/email_know_how.htm eMail Know-How - Tipps & Tricks zur Sicherheit http://www.stopspam.org/email/headers.html „Reading E-Mail-Headers“ http://www.bsi.de/literat/studien/antispam/antispam.pdf BSI: „Anti-Spam Strategien“
206	Post Office Protocol - Version 3 (POP3) _{RFC 1939 - STD 53} Darunter liegende Schicht: Transport Schicht (TCP) TCP/UDP-Port-Nr.: 110 ermöglicht dem Client das „Abholen“ von E-Mail von einem Mail-Server User-Authentisierung erfolgt über Username/ Password unterstützt keine Veränderung der Mail auf dem Server (abgeholte Mail wird i.a. gelöscht) (Gegensatz: IMAP4 [Internet Message Access Protocol] - RFC 2060)
207	POP „Envelope“ (Beispiel) S: +OK POP3 server ready C: user glaser S: +OK C: pass tschitschi S: +OK C: LIST S: +OK 2 messages (320 octets) S: 1 120 S: 2 200 S: . C: RETR 1 S: +OK 120 octets S: <Server sendet Nachricht 1> S: . C: DELE 1 S: +OK message 1 deleted C: RETR 2 S: +OK 200 octets S: <Server sendet Nachricht 2> S: . C: DELE 2 S: +OK message 2 deleted C: RETR 3 S: -ERR no such message C: QUIT S: +OK
208	_{Multipurpose Internet Mail Extensions (MIME)}_{RFC 2045 - 2049} Spezifiziert die Übertragung von 8-Bit (Nicht-ASCII) Zeichen (Umwandlung in 7 Bit Zeichen) Zusätzliches Header-Field: MIME-Version Definiert fünf „Top-Level“ Media-Types (text, image, audio, video, application, multipart) viele Sub-Types (text/plain, text/ richtext, …) Secure MIME (S/MIME) spezifiziert in RFC 3850/ 3851 Nutzung auch im Web-Umfeld
209	_{Kapitel 15}_{Name-Services}
210	Name-Services - Aufgabe
211	_{Internet Name Server IEN 116}
212	Internet Name Server IEN 116 (August 1979)
213	IEN 116-Internet-Name-Service Eigenschaften
214	IEN 116-Internet-Name-Service - Beispiel
215	_{Domain Name System/ Service (DNS)}
216	DNS
217	DNS - Funktionsweise
218	DNS - Funktionsweise (hierarchisches Modell)
219	Top Level Domains (TLD) gTLD (Generic TLD): z.B.: com, org, net ccTLD (Country Code TLD) z.B.: de, ch, uk, us, to (Tonga), tv (Tuvalu), by (Belorussland) sTLD (Sponsored TLD) z.B.: jobs, info, mobi, post, mail, travel, xxx, tel (Dez. 2008)
220	DNS-Aufbau <Rechnername>.<Subdomain>.<Domain>.<TLD> Hinweis: Im DNS kann kein Protokoll abgelesen werden! Protokoll nur in der URL: Protokoll:// Rechnername.Subdomain.Domain.TLD z.B. http://test.abt-1.gmg.com
221	DNS - Servertypen
222	DNS - Funktionalitäten und Funktionsweisen
223	DNS - Funktionalitäten und Funktionsweisen
224	DNS - Query-Types (Auswahl)
225	DNS - Einschränkungen
226	MERKE:
227	_{Kapitel 16}_{BootP DHCP}
228	_BootP_{(UDP Bootstrap Protocol)}
229	BOOTP RFC 951, RFC 1542
230	BOOTP - Funktionsweise
231	BOOTP - Datenformat
232	BOOTP - Vendor Specific Extensions (Auswahl)
233	_DHCP_{(Dynamic Host Configuration Protocol)}
234	DHCP RFC 2131
235	DHCP-Messages
236	DHCP - Automatische Adressvergabe
237	Automatic Private IP Addressing (APIPA)
238	_{Kapitel 17}_{Trivial File Transfer Protocol (TFTP)}
239	Trivial File Transfer Protocol (TFTP) RFC 1350 - STD 33
240	TFTP - Funktionsweise
241	TFTP - Übertragungsmechanismus
242	TFTP - Übertragungsmechanismus
243	_{Kapitel 18}_{Die “R”-Utilities rlogin, rcp, rsh/rexec}
244	Die “R” Utilities - rlogin, rcp, rsh/ rexec -
245	R-Utilities - Zugriffsmechanismen
246	R-Utilities - Autorisierungsdateien (Einträge)
247	R-Utilities - Ablaufdiagramm für Zugriff
248	_{Kapitel 19}_{Network File System (NFS)}
249	Network File System (NFS) RFC 3010
250	NFS im OSI-Modell
251	Einschub: Remote Procedure Calls
252	NFS - Mount
253	_{Kapitel 20}_Internet
254	World Wide Web History
255	Hypertext Transfer Protocol (HTTP) RFC 1945 HTTP 1.0 (1996) RFC 2616 HTTP 1.1 (1997)
256	HTTPS (Secure HTTP)
257	HTTP Status Codes (Überblick)
258	HTTP Status Codes - nach RFC 2616 - (1)
259	HTTP Status Codes - nach RFC 2616 - (2)
260	HTTP Status Codes - nach RFC 2616 - (3)
261	Proxy-Server Funktionsbeschreibung (1)
262	Proxy-Server Funktionsbeschreibung (2)
263	Proxy-Server Kaskadierung
264	Socks-Server (vs. Proxy-Server)
265	_{Kapitel 21}_VoIP_{(Voice over IP)}
266
267	VoIP Technik/ Funktionsweise Analoges Signal: wird digitalisiert und komprimiert Digitales Signal: wird in IP-Datenpakete verpackt IP-Pakete: werden übertragen via (W)LAN/ MAN/ WAN - ggf. Priorisierung VoIP-Server: Aufgaben der Telefonanlage (Vermittlung, Leistungsmerkmale etc.) VoIP-Gateway: Schnittstelle zum „klassischen“ Telefon-Netz (oft in VoIP-Server integriert)
268	VoIP - Protokolle (1) SIP (Session Initiation Protocol) RFC 3261 – Proposed Standard Darunter liegende Schicht: Transport Schicht (TCP) TCP/UDP Port-Nr.: 5060, 5061 (SIP-TLS) steuert Verbindungsauf-/ abbau zwischen zwei oder mehr Partnern („Signaling Protocol“) HTTP-ähnlich einfach (wenig komplex)
269	VoIP - Protokolle (2) SDP (Session Description Protocol) RFC 4566 – Proposed Standard Darunter liegende Schicht: Transport Schicht (TCP) TCP/UDP Port-Nr.: 1297 (SDP Proxy) 3242 (SDP-ID) 3935 (SDP-Portmapper) verwaltet Kommunikationssitzung („Streaming Media“) verhandelt die zwischen den Endpunkten Codecs, Transportprotokolle usw.
270	VoIP - Protokolle (3) RTP (Realtime Transport Protocol) RFC 3550 – STD0064 RFC 3551 Darunter liegende Schicht: Transport Schicht (UDP) UDP/TCP-Port-Nr.: 5004 (RTP Media Data) 5005 (RTP Control Protocol) Ende-zu-Ende-Transport keine Ende-zu-Ende-Kontrolle
271	VoIP - Protokolle (4) H.323 ITU-T-Standard seit 1996 (International Telecommunication Union) Ursprung in Festnetz-Technologie („robustes“ Protokoll) Unterprotokolle: H.225.0 Setup Q.931 Signalisierung H.245 Telefonie H.450 weitere Dienste/ Leistungmerkmale (z.B. Parken, Rückruf, Rufweiterleitung, Namensübermittlung) unterstützt Videokonferenz, Datenkonferenz, Synchronisation Audio/ Video Zentrale Komponente „Gatekeeper“
272	VoIP Probleme - heute (1) Laufzeit/ Echo problematisch (vor allem: WLANS) QoS (Priorisierung) dringend notwendig Sprachqualität schlecht/ von Bandbreite abhängig Verschlüsselung nur bedingt möglich (z.B. nicht bei Gesprächen ins Festnetz) DOS-Atacken wie bei allen Netzwerkanwendungen Leistungs-/ Komfortmerkmale fehlen (z.B. Anklopfen, „Rückruf bei besetzt“) Implementierung komplex (Layer 7!) Interoperabilität wegen verschiedener Standards geringer (vgl. SIP, H.323)
273	VoIP Probleme - heute (2) Permanente Erreichbarkeit nicht gewährleistet („always on“, feste IP) Notspeisung fehlt (Problem: Stromausfall) Rufnummer-Zuordnung problematisch/ nicht abschließend geklärt Notruf-Nummern nicht direkt anwählbar (z.B. 110, 112) Standort-Erkennung problematisch (vgl. Notruf-Nummern)
274	VoIP Quellen http://www.voip-information.de/ umfassende Seite zum Thema VoIP und Umfeld http://www.teltarif.de/i/voip.html allgemeine Beschreibung http://www.elektronik-kompendium.de/sites/net/0503131.htm allgemeine Beschreibung http://www.markenprofi.de/was-ratgeber/feld-1/nr-117/ allgemeine Beschreibung http://www.zdnet.de/i/wp/VoIP_whitepaper_DE_SonicWALL.PDF Sicherheits-, Implementierungsprobleme http://www.stemmer.de/service/workshops/mws2002/download/voip_vs_dect.pdf WLAN VoIP vs. DECT (besonders Seiten 31, 32)
275	_{Kapitel 22}_{Simple Network Management Protocol (SNMP)}
276	Simple Network Management Protocol (SNMP)
277	SNMP – Aufbau
278	SNMP - Aufbau
279	SNMP – Aufbau (MIB)
280	SNMP - Funktionsweise
281	SNMP wichtige RFCs (allgemeine Definitionen)
282	SNMP - wichtige MIBs (1)
283	SNMP - wichtige MIBs (2)
284	SNMP - wichtige MIBs (3)
285	SNMP - wichtige MIBs (4)
286	_{Kapitel 23}_{Trouble-Shooting}
287	Trouble-Shooting
288	Fehlerursachen
289	Trouble-Shooting - „eingebaute“ Tools/ Befehle (1)
290	Trouble-Shooting - „eingebaute“ Tools/ Befehle (2)
291	Trouble-Shooting - „eingebaute“ Tools/ Befehle (3)
292	Trouble-Shooting - „eingebaute“ Tools/ Befehle (4)
293	Trouble-Shooting - „eingebaute“ Tools/ Befehle (5)
294	_{Kapitel 24}_Sicherheit
295	Firewalls IDS/ IPS Honeypot etc.
296	Firewall + DMZ (2-stufig)
297	Firewall-Typen Packet-/ Port-Filter-Firewall (Router) arbeitet auf IP-Address-/ Port-Ebene (Layer 3 + 4) Application Level Firewall arbeitet auf Anwendungsebene (Layer 5 - 7) Stateful [Packet] Inspection Firewall (SPI)/ Stateful Packet Filter Firewall (SPF) arbeitet zwischen Schicht 3 und 7 (je nach Bedarf) „kennt“ Zustand der Verbindungen („dynamische Paket-Filterung)
298	Packet-/ Port-Filter Firewall Vorteile: Schnell Einfach zu implementieren Kostengünstig Nachteil Nur begrenzte Sicherheit (Address Spoofing, Dienste-Tunneling, Fragmentierungs-Attacke) Schwierigkeiten bei UDP Schlechte Statistik-/ Logging-Funktionen Komplexe Filterregeln
299	Application Level Firewall Vorteile: Hohe Sicherheit Gute Logging-/ Protokollierungs-Möglichkeiten Content-Filtering Caching Authentisierung möglich Interne Netzstruktur bleibt komplett verborgen Nachteil Langsam Komplex zu implementieren Teuer Unflexibel bzgl. neuer Services
300	Stateful (Packet) Inspection (SPI)-/ Stateful Packet Filtering (SPF)- Firewall Vorteile: Hohe Sicherheit Gute Logging-/ Protokollierungs-Möglichkeiten Gut skalierbar Geeignet für UDP-Protokolle Vergleichsweise schnell (aber langsamer als Packet Filter) Ggf. Content-Filtering (kein Caching!) Ggf. Authentisierung möglich Nachteil Sorgfältige Konfiguration notwendig Performante Rechner notwendig Teuer
301	Filter-Regeln allow Lässt Pakete passieren reject Weist Pakete mit Fehlermeldung zurück Firewall ist sichtbar drop/ deny Verwirft Pakete ohne Fehlermeldung Firewall ist unsichtbar (Achtung: ICMP-Pakete)
302	IDS/ IPS IDS: Intrusion Detection Analysiert Datenstrom (Y-Anschluss möglich) Arbeitet nur passiv IPS: Intrusion Prevention Analysiert Datenstrom (direkt im Datenstrom) ergreift Gegenmaßnahmen (Sperren des Rechners) Arbeitet dynamisch (im Vergleich zu einer Firewall)
303	Honeypot, Honeynets, Honewalls Honeypot: einzelner Rechner, der Angreifer anlockt Mit interessantem Namen (z.B. forschungsrechner.basf-ag.de) Eigene Daemons (z.B. honeyd - http://www.honeyd.org/) Honeynet: ganzes Netz (http://www.honeynet.org/) bestehend aus mehreren Honeypots - ggf. Honeywall: präparierte Firewall Werden i.a. mit IDS bzw. IPS kombiniert Nutzung von Root-Kits Dienen der Erkennung neuer Angriffsversuche/ -techniken Weitere Infos: http://www.heise.de/netze/artikel/77373
304	Honeypots, Honeynets, Honeywalls - Quellen - http://www.heise.de/netze/artikel/77373 (Heise: „Mit Honeynet Hacker fangen”) http://www.testticker.de/ipro/praxis/security/article20050703006.aspx (Internet Professionell: „Falle für Hacker“) http://www.tecchannel.de/sicherheit/grundlagen/431426/ (Tecchannel: „Grundlagen: was Sie über Honeypots wissen müssen“) http://project.honeynet.org/ („The Honeynet Project - engl. inkl. Hoeywall auf CD: http://project.honeynet.org/tools/cdrom/)
305	Portscanning
306	Scan-Verfahren TCP Connect Scan TCP SYN-Scan TCP Stealth-Scan UDP-Scan
307	TCP Connect Scan Kompletter Verbindungsaufbau Antworten Verbindung erfolgreich RST à geschlossener Port Keine Anwort à Firewall Vorteil: Eindeutige Entscheidung möglich Keine „False Positive“ Keine Root-Rechte notwendig Nachteile: Rechner wird belastet Entdeckungsgefahr hoch Gegenmaßnahmen können eingeleitet werden
308	TCP SYN (Half Open) Scan Es wird nur ein SYN gesendet und auf die Antwort (ACK/ RST) gewartet Antworten: SYN ACK à Port ist geöffnet RST à Port ist geschlossen Keine Antwort à Portfilter (Firewall) ist vorgeschaltet (oder Rechner existiert nicht) Vorteil: Rechner wird gering belastet Eindeutige Entscheidung möglich Entdeckungsgefahr geringer (abhängig von Rechner, FW, IDS) DoD-Attacken möglich Nachteil: Gegenmaßnahmen können eingeleitet werden Root-Rechte nötig
309	TCP Stealth Scans (1) Es wird ein ungültiges Paket gesendet Paket-/ Scan-Typ: FIN (Verbindungsende) FIN, URG, PUSH (ggf. ACK, SYN) (Xmas-Scan) Null (keine Flags) Antworten: <drop> à Port ist geöffnet (Standard-Verhalten) Achtung: Microsoft, Cisco … senden RST RST à Port ist geschlossen (oder auch nicht à Microsoft, Cisco etc.) Keine Antwort à Portfilter (Firewall) ist vorgeschaltet – oder Rechner existiert nicht
310	TCP Stealth Scans (2) Vorteile: Rechner kaum belastet Schwer zu erkennen („stealthy“) - kein formeller TCP-Zustand Nachteile: Ergebnisinvertierung: Antworten nur für geschlossene Ports Keine eindeutigen Antworten „False Positive“ bei Paketverlust/ Drop Microsoft, Cisco etc. verhalten sich nicht standard-konform: RST auch bei offenem Port Root-Rechte nötig
311	UDP-Scan kein direkter Scan möglich (keine Verbindungen/ keine Flags) Senden eines leeren Paketes Antworten: Keine Antwort: à § Port offen § Firewall § ICMP gesperrt (häufig!) ICMP Port Unreachable à Port geschlossen Problem: Keine zuverlässigen Aussagen möglich
312	Virtuelle Private Netzwerke/ Virtual Private Networks (VPN)
313	VPN – Typen Site-To-Site: Verbindung von Standorten (Network-To-Network) Client-To-Site: Remote Access Client-To-Client: Peer To Peer
314	VPN - Einsatzgebiete Technologie zur Kostenersparnis Keine Technologie für erhöhte Sicherheit („Was kommt nach dem Tunnel?“) Technologie zur Netzwerkstrukturierung (z.B. userbezogene IP-Adressen)
315	VPN – Grafische Darstellung (Beispiel)
316	Tunneling Protokolle
317	Tunneling Protokolle (Auswahl) IPsec PPTP (Microsoft „alt“) L2TP (Microsoft „neu“) bzw. L2TP/ IPsec („IPsec secured L2TP“) SSL Provider-Netze: MPLS (Multiprotokoll Label Switching) (vgl. RFC 4364)
318	IPsec RFC 4301 - 4309 (Status: Proposed Standard – 12/2005) Layer 3 Protokoll IP-Tunneling (ausschließlich!) Paketverschlüsselung (beliebige Algorithmen) Paketintegrität (Hash-Based Message Authentication Code) Paketauthentifizierung („Abfallprodukt“ des HMAC) Benutzerauthenfizierung Schutz vor Replay-Angriffen Schlüsselmanagement IKE (Internet Key Exchange) - UDP-Port-Nr.: 500 – RFC 4306) Primäre Aufgabe: Security-Protokoll
319	IPsec - Tunnel- und Transport-Modus (Verschlüsselung)
320	IPsec - Tunnel- und Transport-Modus (Authentisierung)
321	Layer Two Tunneling Protocol (L2TP) RFC 2661 (Status: Proposed Standard – 8/1999) Layer 2 (beinhaltet PPP) Tunneling aller Layer 3 Protokolle (z.B. IP, IPX, AppleTalk) Keine Verschlüsselung (è „IPsec secured L2TP“) Benutzerauthentifizieung (keine Paketauthentifizierung) Primäre Aufgabe: Tunneling-Protokoll
322	L2TP/ IPsec - IPsec Secured L2TP RFC 3193 (Status: Proposed Standard 11/2001) Microsoft Knowledge Base: Q265112
323	SSL (Secure Socket Layer) TLS (Transport Layer Security) Darunter liegende Schicht: Transport Schicht (TCP) Für verschiedene Dienste nutzbar (Port-Nr.) – u.a.: https (443) nntp (563) ldap (636) ftp (data/ control) (989/ 990) telnet (992) pop3 (995) SSL: entwickelt von Netscape (1994) TLS: RFC 4346 (Proposed Standard – 4/2006) Basiert auf dem Austausch von Zertifikaten (X.509) Algorithmen: RSA, RC4 (SSL v1, v2) bzw. D/H (TLS) SSL-VPN: Die Daten müssen u.U. bis zum Application Layer gereicht bzw. „emuliert“ werden (SSL-Appliance auf Server)
324	Synonyme Tunneling Encapsulation Enveloping
325	Verschlüsselung, digitale Signatur, PKI/ Zertifikate
326	Verschlüsselung und verwandte Sicherheitsmechanismen Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybride Verschlüsselung Digitale Signatur Hash-Verfahren PKI/ Zertifikate Authentisierung
327	Symmetrische Verschlüsselung (1) Ältestes Verfahren Caesar-Verschlüsselung (z.B. ROT-13) XOR-Verschlüsselung Enigma Ein Schlüssel zum ver- und entschlüsseln Gebräuchliche Schlüssellängen: 128 – 256 Bit Algorithmen: Idea RC4 CAST Blowfish DES/ Triple-DES AES
328	Symmetrische Verschlüsselung (2) Vorteile: Schnell Nachteile: Schlüsselübertragung unsicher Schlüsselverwaltung aufwändig (bei n-Partnern 2ⁿ-1 Schlüssel notwendig)
329	Symmetrische Verschlüsselung (Darstellung)
330	Asymmetrische Verschlüsselung (1) Relativ junges Verfahren 1975: Diffie & Hellman: erste Idee 1977: Rivest, Sharmir & Adleman: erstes Verfahren (RSA) Ein Schlüsselpaar zum ver- und entschlüsseln (Prinzip „Briefkasten“) Public Key zum Verschlüsseln Private Key/ Secret Key zum Entschlüsseln Algorithmen (typische Schlüssellängen) RSA (1024 – 4096) Diffie-Hellmann (D/H) (768 – 3072) ECC/ Elliptic Curve Cryptography (160 – 300)
331	Asymmetrische Verschlüsselung (2) Vorteile: Keine Probleme beim Schlüsselaustausch Ein Schlüssel für jeden Partner Nachteile: Langsam wg. Schlüssellänge (ca. Faktor 1000 im Vergleich zur symmetr. Verschlüsselung; bei RSA) Empfänger muss vor Verschlüsselung aktiv werden (Public Key Generierung) Absolute, theoretische Sicherheit nicht erreichbar
332	Asymmetrische Verschlüsselung (Darstellung)
333	Hybride Verschlüsselung (1) Kombiniert Vorteile aus symmetrischer und asymmetrischer Verschlüsselung Überwiegend eingesetztes Verfahren (z.B. IPsec) Schlüsselwechsel während Übertragung möglich (zusätzliche Sicherheit) Mehrere Empfänger möglich
334	Hybride Verschlüsselung (2) Text/ Datei wird mit symmetrischen Schlüssel (Session Key) verschlüsselt (schnell) Session Key wird zur Übermittlung von Sender zu Empfänger asymmetrisch verschlüsselt (sicher, nicht langsam) Mehrfachverschlüsselung des Session Keys möglich (Mehrfachempfänger) Nachteil: Empfänger muss vor Verschlüsselung aktiv werden (Public Key Generierung)
335	Hybride Verschlüsselung (Darstellung)
336	Digitale Signatur Nutzt Public Key Verfahren Verwendung der Schlüssel spiegelverkehrt zur asymmetrischen (RSA-) Verschlüsselung Verschlüsselung mit Private Key des Senders Entschlüsselung mit dem Public Key des Senders „Quersumme“ (genau: Hash) über Text/ Datei Hash wird verschlüsselt Konsequenz Überprüfung des Absenders (Authentizität) Modifikationen am Text feststellbar Text für jeden lesbar
337	Hash „Quersumme“ über Datei/ Text Eigenschaften Feste Länge MD-5 (Message Digest): 128 Bit SHA-1 (Secure Hash Algorithm): 160 Bit SHA-512: 512 Bit Unumkehrbar Eindeutig (keine Kollisionen - ideal); nicht berechenbar (kollisions-resistent - real)
338	PKI (Public Key Infrastructure) Standard: X.509 Dient der Ausstellung, Beglaubigung und Verteilung von öffentlichen Schlüsseln/ Zertifikaten Ist hierarchisch aufgebaut Certification Authority (CA) - oberste Instanz: Stellt Zertifikate aus Erstellt Sperrlisten sog. Certificate Revocation List (CRL) Sub-CAs möglich (Delegation von Aufgaben) Registration Authority (RA): Zuordnung: Person ó Zertifikat Aufwand abhängig von Klasse/ Verwendungszweck des Zertifikats Zertifizierung zwischen zwei „Bäumen“ möglich: Cross-Zertifizierung Gegensatz: „Web Of Trust“ (vgl. PGP)
339	Zertifikate Dienen der Zuordnung und „Beglaubigung“ des Public Keys Inhalt (gemäß X.509): Öffentlicher Schlüssel des Zertifikat-Inhabers Signatur der ausstellenden CA Gültigkeitsdauer Extensions Formate: PEM (.crt) DER (.der) PKCS#12 Text (.txt) Kostenlose Zertifikate: http://www.cacert.org
340	_{Aufbau einer SSL-Verbindung}
341	Authentisierung
342	Password Authentication Protocol (PAP)/ Challenge Handshake Authentication Protocol (CHAP)
343	Vergleich PAP/ CHAP
344	PAP (Ablauf)
345	CHAP (Ablauf)
346	Remote Authentication Dial-In User Service (RADIUS)
347	Remote Authentication Dial-In User Service (RADIUS) RFC 2865 Darunter liegende Schicht: Transport Schicht (UDP) UDP/ TCP-Port: 1812 (alt: 1645) Protokoll (Verfahren) zur Authentisierung von Rechnern, Netzzugängen (802.1x) und Applikationen AAA-Server Authentication, Authorization, Accounting
348	Remote Authentication Dial-In User Service (RADIUS) Authentisierungs-Informationen in zentraler Datenbank (z.B. User-ID, Password, IP-Adresse, Tunnel-Typ etc.) Mehrere Geräte/ Applikationen greifen auf einen zentralen Datenbestand zu Operative Vereinfachung/ Kostenersparnis Sicherheitsfaktor Genormte Schnittstelle für weitere Verfahren (z. B. RSA SecurID)
349	RADIUS – unterstützte Tunnel-Typen RFC 2868 1 Point-to-Point Tunneling Protocol (PPTP) 2 Layer Two Forwarding (L2F) 3 Layer Two Tunneling Protocol (L2TP) 4 Ascend Tunnel Management Protocol (ATMP) 5 Virtual Tunneling Protocol (VTP) 6 IP Authentication Header in the Tunnel-Mode (AH) 7 IP-in-IP Encapsulation (IP-IP) (s. RFC 2003) 8 Minimal IP-in-IP Encapsulation (MIN-IP-IP) 9 IP Encapsulating Security Payload in the Tunnel-Mode (ESP) 10 Generic Route Encapsulation (GRE) 11 Bay Dial Virtual Services (DVS) 12 IP-in-IP Tunneling (s. RFC 1853)
350	RADIUS – unterstützte Protokolle RFC 2868 1 IPv4 (IP version 4) 2 IPv6 (IP version 6) 3 NSAP – NSAP = “Network Service Access Point” 4 HDLC (8-bit multidrop) 5 BBN 1822 6 802 (includes all 802 media plus Ethernet "canonical format") 7 E.163 (POTS) – POTS = “Plain Old Telephone Service” 8 E.164 (SMDS, Frame Relay, ATM) 9 F.69 (Telex) 10 X.121 (X.25, Frame Relay) 11 IPX 12 Appletalk 13 Decnet IV 14 Banyan Vines 15 E.164 with NSAP format subaddress
351	NAT/ PAT Funktionsweise und Probleme
352	Einschub: Network Address Translation (NAT) Port [And] Address Translation (PAT)
353	Network Address Translation (NAT) Überbegriff für alle Verfahren zur Adress-Umsetzung Spezielle Bedeutung: 1-zu-1-Adressumsetzung (N-to-N-NAT)
354	Network Address Translation 1-zu-1-Umsetzung Direkte Zuordnung von Adressen unterschiedlicher Netzwerke Öffentliche Adressen ó private Adressen (Einsparung öffentlicher Adressen) Private Adressen ó private Adressen (z.B. bei Firmenübernahmen) Beispiel für 2.) Fusion zweier Netze (A und B), die beide schon 192.168.x.x. nutzen Netz B nutzt darüber hinaus 10.x.x.x schon komplett Netz A: 172.16.x.x à Netz B: 192.168.x.x Netz B: 172.16.x.x à Netz A: 192.168.x.x Normales Routing für 10.x.x.x
355	Port [And] Address Translation (PAT) Synonyme: NAT (Achtung: Verwechlungsgefahr) NPAT (Network and Port Address Translation) 1-to-N-NAT Masquerading Kopplung privater Netze mit einer öffentlichen IP-Adresse an das Internet Identifikation/ Zuordnung findet im PAT-Router statt Private IP-Adressen/ Ports erhalten dynamisch Ports zugewiesen
356	PAT - Funktionsweise -
357	PAT - Eigenschaften Alle Rechner des privaten Netzes können auf das Internet zugreifen Probleme bei der Nutzung von FTP (vgl. aktiver/ passiver FTP) Zugriff aus dem Internet in das private Netz ist nicht bzw. nur eingeschränkt möglich WICHTIG: Ein PAT-Router ist nicht automatisch eine Firewall
358	PAT – Zugriff aus dem Internet Ohne manuellen Eingriff am Router nicht möglich Zusätzliche Funktionalität/ Konfiguration notwendig Port Forwarding Virtueller Server
359	PAT – Zugriff aus dem Internet - Funktionsweise - Einem (eingehenden) Destination-/ Server-Port wird ein festes Ziel (private IP-Adresse bzw. Socket) zugewiesen Pro Destination-Port immer nur ein Ziel möglich Aber: Mehrere Server pro Rechner realisierbar (z.B. FTP- und Web-Server)
360	Probleme im Umfeld von NAT/ PAT Probleme im Umfeld von NAT/ PAT bei UDP/ Firewalls IPsec
361	UDP-Kommunikation über Firewall zwischen zwei PAT-Netzen Problem: Adressen werden dynamisch vergeben und können nicht freigeschaltet werden Kommunikation erfolgt immer mit Destination-Ports Lösung: STUN UDP Hole Punching
362	STUN (Simple Traversal of UDP Through NAT) UDP Port Punching
363	STUN RFC 3489 Darunter liegende Schichten: Transport Schicht/ Layer 4: UDP (Binding Request) TLS (Shared Secret Requests) UDP/TCP Port-Nr.: 3478 Einsatz von STUN-Server: kennt die öffentlichen/ privaten Adressen beider Partner Erkennt NAT-Devices Teilt anfragenden Applikationen öffentliche Adresse mit STUN-Server Download unter: http://sourceforge.net/projects/stun/
364	UDP Hole Punching - prizipielle Funktionsweise - Server teilt beteiligten Clients die öffentlichen Port-Nr. des anderen mit Beide Clients starten Kommunikationsversuch über diese Ports Ports werden in beiden Richtungen genutzt Firewall/ PAT-Router wird „freigeschossen“
365	UDP Hole Punching - ausführliche Funktionsweise - Es existiert eine Verbindung zu externem Server (mit öffentlicher IP und Port-Nr. A erhält öffentliche Port-Nr. (und öffentlicher IP-Adresse) von B – und umgekehrt (durch Server) A sendet Paket an B mit interner Source und als Destination öffentlicher Port-Nr. von B NAT-Device A wird für alle eingehenden Pakete mit Destination öffentliche Port-Nr. A und öffentlichem Absender B geöffnet Das Paket scheitert an NAT B-Device B sendet Paket an A mit interner Source und Destination öffentlicher Port-Nr. von A NAT B-Device wird für alle eingehenden Pakete mit Destination öffentlicher Port-Nr. von B geöffnet Das Paket passiert NAT A-Device (vgl. 3) Antwortpaket von A passiert nun auch NAT B-Device (vgl. 5)
366	UDP Hole Punching - Beispiel (Erklärung) - Existierende Verbindungen zu externem Server S: A (intern): Source: 4321 Destination: 1234 A (extern): Source: 62000 Destination: 1234 B (intern): Source: 4321 Destination: 1234 B (extern): Source: 31000 Destination: 1234
367	UDP Hole Punching - Beispiel (Erklärung – Forts.) - A erhält öffentliche Port-Nr. (und öffentlicher IP-Adresse) von B – und umgekehrt (durch Server) A sendet Paket an B mit Source 4321 bzw. 62000 und Destination 31000. NAT-Device A wird für alle eingehenden Pakete mit Destination 62000 bzw. 4321 geöffnet Das Paket scheitert an NAT B-Device (noch nicht „gepunched“) B sendet Paket an A mit Source 4321 bzw. 31000 und Destination 62000. NAT B-Device wird für alle eingehenden Pakete mit Destination 31000 bzw. 4321 geöffnet. Das Paket passiert NAT A-Device (vgl. 3). Antwortpaket von A passiert nun auch NAT B (vgl. 5)
368	UDP Hole Punching - Beispiel (Grafik) -
369	IPsec Kommunikation über NAT-/ PAT-Devices
370	IPsec Kommunikation über NAT-/ PAT-Devices Problem: Änderungen im Header nicht möglich (Verschlüsselung) Änderungen im Header machen das Paket ungültig (Authentifizierung) IKE (UDP-Port-Nr.: 500) funktioniert nicht mit mehreren Rechnern hinter NAT-Device Lösung: Adressumsetzung muss vor IPsec erfolgen NAT-Traversal (NAT-T)
371	NAT Traversal NAT-T (RFC 3947) Untersucht ob NAT-Geräte auf Verbindungspfad existieren Überprüft, ob beide Peers NAT-T unterstützen Kapselt IP-Pakete in (Standard-)UDP-Pakete UDP/TCP-Port-Nr.: 4500 Sendet NAT-Keep-Alive Pakete
372	Anhang
373	Kostenlose Tools Wireshark (ehemals: Ethereal) Netzwerk-Protokoll-Analyzer für Windows Download: http://www.wireshark.org bzw. http://www.ethereal.com/ Nmap Der Portscanner (UNIX, LINUX, DOS) Download: http://www.insecure.org/nmap/ Advanced Portscanner bzw. Advanced LAN-Scanner Windows-Portscanner Downloads: http://www.radmin.com/radmin/utility/pscanner.php/ bzw. http://www.radmin.com/radmin/utility/lscan.php Neotrace Grafisches Traceroute-Frontend für Windows Download: http://www.zdnet.de/downloads/prg/e/0/de0DE0-wc.html
374	_{Listen zu Herstelleradressen, Typ-Feldern und DSAP/ SSAP}
375	Weitere wichtige Adressen im Internet
376	Literatur (Netzwerke) Hein, Mathias: TCP/IP im Einsatz - mitp (Datacom) ISBN 3-8266-4094-2 Hunt, Craig: TCP/ IP Netzwerk- Administration - O'Reilly, ISBN 3-8972-1110-6 Doyle, Jeff: Routing TCP/IP - Markt und Technik (Cisco Press - CCIE #1919) ISBN 3-8272-533-3 Dittler, Hans Peter: IPv6 - das neue Internet Protokoll - dpunkt-Verlag; ISBN 3-932588-18-5 Tanenbaum, Andrew S. - Computer Networks (engl.) - Prentice Hall ISBN 0-13-066102-3
377	Literatur (Security) Lipp, Manfred: VPN - Virtuelle Private Netzwerke. Aufbau und Sicherheit – Addison-Wesley - ISBN 978-3827322524 Honeypot Project: Know Your Enemy. Mit CD-ROM: Learning About Security Threats Addison-Wesley – ISBN: 978-0321166463