Ein firewall-geschützter Internet-Server unter Windows NT

Inhaltsverzeichnis

0. Vorwort

1. Danksagung

2. Inhaltsverzeichnis

3. Die Aufgabenstellung

4. Die eingesetzte Hardware

5. Das ISO-OSI Referenzmodell und die wichtigsten Protokolle
5.1 Die 7 Schichten des ISO-OSI-Referenzmodells
5.1.1 Schicht 1: Physical Layer
5.1.2 Schicht 2: Data-Link-Layer
5.1.3 Schicht 3: Network Layer
5.1.4 Schicht 4: Transport Layer
5.1.5 Schicht 5: Session Layer
5.1.6 Schicht 6: Presentation Layer
5.1.7 Schicht 7: Application Layer
5.2 Netzübergänge und deren Funktionsweise
5.2.1 Repeater
5.2.2 Bridges
5.2.3 Router
5.2.4 Gateways
5.3 Die wichtigsten Protokolle
5.3.1 Das Internet-Protocol (IP)
5.3.2 Das Transport Control Protocol (TCP)
5.3.3 Das User Datagram Protocol (UDP)
5.3.4 Das Internet Control Message Protocol (ICMP)
5.3.5 Das Routing Information Protocol (RIP)
5.3.6 Das Address Resolution Protocol (ARP)
5.3.7 Das Reverse Address Resolution Protocol (RARP)
5.3.8 Das Simple Mail Transfer Protocol (SMTP)
5.3.9 Das (Trivial) File Transfer Protocol (TFTP, FTP)
5.3.10 Das Serial Line Internet Protocol (SLIP)
5.3.11 Das Point To Point Protocol (PPP)
5.3.12 Das Hypertext Transfer Protocol (HTTP)
5.3.13 Das Domain Name System (DNS)
5.3.14 Die Terminal Emulation (Telnet)
5.4 Portnummer

6. Sicherheitskonzepte moderner Betriebssysteme, hier Windows NT 4.0

7. Sicherheitsrisiken im Intranet und Internet
7.1 Einleitung
7.2 Die Täter und deren Angriffsmotivation
7.3 Angriffe auf Computersysteme und Daten und deren Prävention
7.3.1 Viren und „Malicious Code“
7.3.1.1 Allgemeines zu Computerviren
7.3.1.1.1 Definitionen
7.3.1.1.2 Viren-History
7.3.1.1.3 Voraussetzungen für Virenbefall
7.3.1.1.4 Was sind Viren und wozu sind sie in der Lage
7.3.1.2 Virenarten
7.3.1.2.1 Boot(sektor)-Viren und deren Funktionsweise
7.3.1.2.2 Programm- oder Datei (File) -Viren
7.3.1.2.3 Hybrid- oder Multipartite-Viren
7.3.1.2.4 Daten- oder Makroviren
7.3.1.3 Tarnmechanismen der Viren
7.3.1.3.1 Polymorphismus
7.3.1.3.2 Stealth - Mechanismus
7.3.1.3.3 Slow - Mechanismus
7.3.2 Trojanische Pferde
7.3.3 Würmer
7.3.4 Hoaxes
7.3.5 Logische Bomben
7.3.6 „Back Orifice“ und „NetBus“
7.3.6.1 „Back Orifice“
7.3.6.2 „NetBus“
7.3.7 Cookies
7.3.8 Virenschutz und Virenbekämpfung
7.3.8.1 Sensibilisierung von Benutzern
7.3.8.2 Viren-Schilde
7.3.8.3 Viren-Scanner
7.3.8.4 Checksummen-Prüfer
7.3.8.5 „Mutation Engines“
7.3.9 Entwicklung der Viren während der Diplomarbeit
7.4 Sicherheitslücken moderner Betriebssysteme, hier Windows NT 4.0
7.4.1 Account- und Passwortangriffe
7.4.1.1 Passwortraten
7.4.1.2 Passwort-Cracking-Angriffe
7.4.1.2 Passwort Spionage
7.4.1.4 GetAdmin.Exe - Angriffe
7.4.1.5 Registry-Angriffe
7.4.1.6 NTFSDOS.exe - Angriffe
7.4.1.7 Linux NT-Angriffe
7.4.1.8 Samba-Angriffe
7.4.2 Netzwerkangriffe
7.4.2.1 SMB-Angriffe
7.4.2.2 RPC-Angriffe
7.4.2.3 Red-Button-Angriff
7.4.2.4 DLL-Angriffe
7.4.3 Sabotageangriffe
7.4.3.1 Ping of Death
7.4.3.2 SYN-Flooding-Angriffe
7.4.3.3 CPU-Angriffe
7.4.3.4 SMB-Crashes
7.4.3.5 Out of Band Data
7.4.4 Applikationsangriffe
7.5 Angriffe durch Sicherheitslücken in den Kommunikationsprotokollen
7.5.1 Angriffe durch Internet Protokolle
7.5.1.1 Internet Adress-/Name-Spoofing
7.5.1.2 TCP-Sequenznummer Angriff
7.5.1.3 ICMP Angriffe
7.5.1.3.1 "Destination Unreachable"
7.5.1.3.2 „Source Quench“
7.5.1.3.2 „Redirect“
7.5.1.4 IP-Fragment-Angriff
7.5.1.5 Internet Routing Angriffe
7.5.1.5.1 Der Source-Routing-Angriff
7.5.1.5.2 Der RIP-Angriff
7.5.1.6 Broadcast Stürme durch ARP Missbrauch
7.5.1.7 UDP Spoofing
7.5.2 DNS-Angriffe
7.5.3 Mail-Spoofing auf Basis von SMTP
7.5.4 Telnet
7.5.5 FTP
7.5.6 EGP Spoofing
7.6 Sicherheitslücken im World Wide Web
7.6.1 Browser
7.6.1.1 Ausspähung persönlicher Daten
7.6.2 Risiken durch Search-Engines
7.7 Sicherheitslücken von Java und Active - X
7.7.1 Java-Angriffe
7.7.1.1 Sabotageangriffe
7.7.1.2 System-Manipulation und Informationsausspähung
7.7.1.3 Inter-Applet-Manipulation
7.7.1.4 Ausnutzung von Implementationsfehler
7.7.1.5 Nutzung von Java-Funktionen
7.7.2 Java Script-Angriffe
7.7.2.1 MIME-Angriffe
7.7.2.2 Webseiten-Monitoring
7.7.2.3 Webseiten-Hijacking
7.7.2.4 LiveConnect-Angriffe
7.7.3 Active-X
7.8 Das Jahr 2000 Problem (Y2K)

8. Kryptographie
8.1 Grundlagen
8.2 Verschiedene kryptographische Verfahren zur Datenübertragung
8.2.1 Symmetrische Verschlüsselungsverfahren
8.2.2 Asymmetrische Verschlüsselungsverfahren
8.2.3 Hash-Funktionen
8.2.4 Beispiele
8.2.4.1 IDEA
8.2.4.2 RSA
8.2.4.3 Pretty Good Privacy (PGP)

9. Grundlagen von Firewall-Systemen
9.1 Grundlagen
9.2 Firewall-Architekturen
9.2.1 Verschiedene Ebenen der Zugriffskontrolle
9.2.1.1 Paketfilter
9.2.1.2 Circuit Relays
9.2.1.3 Application Relays
9.2.2 Die verschiedenen Firewall-Topologien
9.2.2.1 Begrenzungs-Router
9.2.2.2 Begrenzungs-Router mit abgesichertem Zwischennetz
9.2.2.3 Dual (Multi-) Home Bastion Host mit Paketfilter
9.2.2.4 Dual (Multi-) Home Bastion Host mit Circuit Relay
9.2.2.5 Dual (Multi-) Home Bastion Host mit Application Relay
9.2.2.6 Dual (Multi-) Home Bastion Host mit demilitarisierter Zone (DMZ)
9.2.2.7 Kaskadierte Dual (Multi-) Home Bastion Hosts
9.2.3 Grenzen von Firewall-Systemen

10. Aufwertung des Betriebssystems und Einrichtung einer Firewall-Lösung
10.1 Anpassung und Aufwertung des Betriebssystems NT 4.0
10.1.1 Generelles Sicherheitskonzept (Security Policy)
10.1.2 Service Packs und Hotfixes
10.1.3 Antiviren Programm, hier Norton-Anti-Virus 5.0 für NT
10.1.4 Sicherung durch Veränderung der Standardeinstellungen des Betriebssystems
10.1.4.1 Änderungen des Registry
10.1.4.2 Benutzerrechte
10.1.4.3 Zugriffsrechte auf Dateien und Ressourcen
10.1.5 Zusätzliche Programme zur Gefahrenabwehr
10.1.5.1 NetBuster
10.1.5.2 UltraScan
10.1.6 Überwachung aller wichtigen Vorgänge und Zugriffe
10.2 Anpassung und Aufwertung des MIIS 2.0
10.2.1 Sicherung durch Veränderung der Standardeinstellungen des MIIS
10.2.1.1 Änderungen des Registry
10.2.1.2 Zugriffsrechte auf Dateien und Ressourcen
10.2.2 Protokollierung aller wichtigen Vorgänge und Zugriffe
10.3 Anpassung und Aufwertung des MIE 4.1
10.4 Firewall-System
10.4.1 Installation des Betriebssystems Windows NT 4.0
10.4.2 Einrichtung des „NetGuard-Firewall-Systems“
10.5 Intrusion Detection Systems (IDS)
10.5.1 Erkennung von Anomalien im Datenverkehr
10.5.2 Erkennung von Einbruchssignaturen
10.6 Vorgehensweise bei eingetretenem Sicherheitsfall
10.6.1 Die Schadensbegrenzung
10.6.2 Die Täterermittlung

11. Sicherheits-Check des konfigurierten Computers
11.1 Viren

12. Schutz der Daten und Erhöhung der Verfügbarkeit
12.1 Erhöhung der Datenverfügbarkeit
12.1.1 Spiegelplatten
12.1.2 Simulation eines Festplattenausfalls
12.1.3 Inkonsistenter Spiegelplattensatz
12.2 Erhöhung der Rechnerverfügbarkeit
12.2.1 Die Umsetzung im Rahmen der Diplomarbeit

13. Die Hompage für das Labor Technische Informatik
13.1 Grundlagen
13.2 Umsetzung
13.2.1 Das Layout
13.2.2 Passwortabfragen
13.2.3 Download von Praktikumsaufgaben
13.3 Struktogramm der Homepage

14. Zusammenfassung

Anhang A: Einige wichtige „Well-Known-Ports“

Anhang B: Abbildungsverzeichnis

Anhang C: Quellennachweis

Anhang D: Glossar

Anhang E: Quellcodes der Homepage
E1: Quellcode der Seite index.htm
E2: Quellcode der Seite java.htm
E3: Quellcode der Seite Java-Downloadseite

Anhang F: Bugfixes der Service Packs 1 - 4 für NT 4.0

0. Vorwort

Immer mehr Menschen nutzen das Internet für private oder geschäftliche Zwecke. Immer mehr Firmen und Behörden wissen die Vorteile des Intranets zu schätzen. An vielen Stellen werden heutzutage die Vorteile von beiden Netzen verknüpft, um möglichst effektives Arbeiten zu ermöglichen; Stichworte sind E-Mail, Online-Shopping, Online-Banking, Internet-Surfing, Datenkonsistenz, verteilte Systeme und Client-Server-Architekturen.

Immer weniger Menschen sind jedoch in der Lage, die komplexen Strukturen, die diese neuen Techniken mit sich bringen oder durch die sie erst möglich werden, zu durchschauen. Auf der Gegenseite der vielen Vorteile, die diese nahezu grenzenlosen Kommunikationsmöglichkeiten bieten, stehen viele nicht zu unterschätzende Sicherheitsrisiken. Anders als bei den positiven Seiten dieser Entwicklung wissen aber viele Benutzer nichts von den Risiken oder unterschätzen und ignorieren diese.

In dieser Diplomarbeit können aufgrund der knapp bemessenen Zeit, vorgesehen für die Diplomarbeit an der Fachhochschule sind etwa drei Monate, keine eigenständigen Untersuchungen über Viren oder andere Bedrohungen von Computersystemen durchgeführt werden. Diese Untersuchungen werden durch eine systematische Recherche, vor allem im Internet, ersetzt.

Die Diplomarbeit soll zeigen, dass es sowohl im homogenen wie auch in einem heterogenen Umfeld - der Windows NT Server steht in einem UNIX-dominierten Netzwerk - möglich ist, mit geringem finanziellen und personellen Aufwand einen „relativ“ sicheren Netzwerkserver mit Internetanbindung aufzubauen, welcher sowohl Angriffen von innen als auch von außen in einem gewissen Rahmen widerstehen kann.

Vollkommene Sicherheit gibt es nicht und maximale Sicherheit wird man in diesem Zeit- und Kostenrahmen nicht erreichen können. Zu erreichen ist aber ein wesentlich höherer SicherheitsLevel als ihn Windows NT standardmäßig mit sich bringt.

1. Danksagung

Mein ganz besonderer Dank gilt meiner Familie, die es mir ermöglicht hat, dieses Studium trotz einiger zwischenzeitlicher Probleme und Tiefpunkte zu beenden.

Weiterhin möchte ich mich bei Herrn Professor Dr.rer.nat. Norbert Witt dafür bedanken, dass er diese Diplomarbeit betreut hat, und dass er es in der ihm eigenen Art und Weise tat. Er war immer da, hat dort wo er konnte Unterstützung angeboten, aber nicht „regulierend“ in die Diplomarbeit eingegriffen, sondern lediglich Ratschläge gegeben.

Herrn Prof. Dr.rer.nat. Manfred Langenberg möchte ich dafür danken, dass er trotz terminlichem Engpass bereit war, meine Diplomarbeit als Koreferent zu betreuen.

Obwohl eine Diplomarbeit den Nachweis erbringen soll, dass der Student in der Lage ist, ein wissenschaftliches Thema in einem angemessenen Zeitrahmen eigenständig zu bearbeiten, kommt wohl keine Diplomarbeit ohne Tips, Ratschläge oder kritische Fragen anderer Personen aus.

Unter diesem Eindruck möchte ich mich auch bei Herr Dipl.Ing. Ulrich Geupel, der sich als Laboringenieur um die Beschaffung der Hardware gekümmert hat, oft den einen oder anderen Rat hatte oder die „dringend“ benötigten Teile aus dem Ärmel zauberte, bedanken. Auch bei Herrn Dr. Dirk Böhme, der als Leiter der DVZ mit Rat und Tat bei der Realisierung des technischen Umfeldes des Internet-Servers zur Verfügung stand und als Windows-NT- Kenner die eine oder andere Anregung zum Einsatz und zur Optimierung des Betriebssystems gegeben hat, möchte ich mich bedanken.

Steinfurt, im Juni 1999

3. Die Aufgabenstellung

Ziel dieser Diplomarbeit ist die Einrichtung eines firewall-geschützten Internet-Servers unter Windows NT.

Am Anfang der Diplomarbeit steht die Recherche. In Büchern und vor allen Dingen im Internet sollen die aktuellen Sicherheitsrisiken in Bezug auf Intra- und Internets zusammengetragen werden.

Zeitgleich soll ein PC beschafft werden, der in der Lage ist, die an ihn gestellten Anforderungen zu erfüllen, dabei aber ein möglichst günstiges Preis-/Leistungsverhältnis aufweist.

Nach der Beschaffung soll zunächst ein Intranet-Server auf Grundlage des Betriebssystems „Windows NT 4.0“ erstellt werden. Der PC soll sich in das vorhandene heterogene Umfeld, Sparc-Stations mit dem Betriebssystem Unix, PCs mit dem Betriebssystem Linux und PCs mit den Betriebssystemen Windows 3.11, Windows 95 und Windows NT Workstation, einfügen. Das Sicherheitsniveau dieses Intranet-Servers soll durch Veränderung der standardmäßigen Einstellungen des Betriebssystems und frei zugänglicher Software, also Free-Ware oder Evaluation-Versionen von Programmen, angehoben werden.

Anschließend soll, aufbauend auf dem lauffähigen Intranet-Server, ein Internet-Server unter der Software „Windows Internet Information Server 2.0“ eingerichtet werden, der sowohl als WWW-Server als auch als FTP-Server genutzt werden kann.

Auf dem Internet-Server soll eine Homepage eingerichtet werden, auf der sich das Lehrgebiet für „Technische Informatik und Mikrocomputertechnik“ präsentieren soll und von der es möglich ist, Down- und Uploads vorzunehmen. Zum Einsatz kommen hier im wesentlichen HTML, Java, Java-Script und Perl.

Sowohl der Intranet- als auch der Internet-Server sollen unter besonderer Berücksichtigung des Themas „Sicherheit“ aufgebaut werden und ihr Sicherheitsniveau in abschließenden simulierten Angriffen unter Beweis stellen. Um ein Verständnis der verschiedenen Angriffsmethoden zu ermöglichen, umfasst diese Diplomarbeit einen relativ großen theoretischen Teil.

4. Die eingesetzte Hardware

Da der eingesetzte Computer auf der einen Seite in der Lage sein soll, mehrere Anfragen gleichzeitig, sei es über Intranet oder Internet, in akzeptabler Zeit zu bearbeiten, sich aber andererseits innerhalb eines vernünftigen finanziellen Rahmens bewegen soll, fiel die Wahl auf Hardware mit den folgenden Eckdaten:

Abbildung in dieser Leseprobe nicht enthalten

5. Das ISO-OSI Referenzmodell und die wichtigsten Protokolle

Natürlich kann an dieser Stelle keine umfassende Einführung in das ISO-OSI-Referenzmodell und die im Intra- und Internet verwendeten Protokolle gegeben werden. Es soll vielmehr versucht werden, die wichtigsten Eckpunkte, die zum Verständnis der Arbeit notwendig sind, darzustellen.

Als tiefergehende Literatur zu dem ISO-OSI-Modell wird das Buch „Computer Netzwerke“ von Andrew S. Tanenbaum[5] empfohlen.

Erschöpfende Beschreibungen der im Internet verwendeten Protokolle sind in Form von RFCs an vielen Stellen im Internet frei zugänglich.

5.1 Die 7 Schichten des ISO-OSI-Referenzmodells

5.1.1 Schicht 1: Physical Layer

Die Bitübertragungsschicht ist die einzige Schicht, die in direktem Kontakt zum physischen Übertragungsmedium steht. Sie ist für die elektrischen und mechanischen Definitionen, wie zum Beispiel die Pinbelegung des Steckers, die Spannungswerte und die Schnittstellensignale zuständig.

Die Bitübertragungsschicht definiert die physische Verbindung innerhalb des Netzes. Sie hat die Aufgabe der Steuerung des Mediums und des Übertragungsverfahrens sowie der Sicherung der Betriebsbereitschaft. Als einzige Schicht sendet und empfängt sie direkt die unstrukturierten Bitströme.

5.1.2 Schicht 2: Data-Link-Layer

Die Sicherungsschicht ist für die Fehlerfreiheit der Datenübertragung zuständig. Der von den Schichten 3 bis 7 kommende Bitstrom wird in Frames (engl.: Rahmen) zerlegt, da die Einzelübertragung von Datenblöcken besser kontrollierbar und leichter korrigierbar ist als die Übertragung eines längeren, „formlosen“ Bitstroms.

Auf der Empfangsseite übernimmt diese Schicht das Wiederherstellen des Bitstroms aus den von der Bitübertragungsschicht übergebenen Rahmen.

Bei leitungsvermittelten Netzen, wie zum Beispiel ISDN, steuert der Data-Link-Layer überdies den Verbindungsauf- und abbau.

Die Sicherungsschicht wird in zwei Unterschichten eingeteilt, den MAC-Layer und den LLCLayer. Der Medium-Access-Control-Layer (MAC) regelt den Zugriff auf das Übertragungsmedium, der Logical Link Layer (LLC) verwaltet die logischen Verbindungen, die Fehlererkennung und die Flusskontrolle.

Durch die Aufteilung der Schicht 2 in zwei Teilschichten wird es möglich, mit Bridges Netze mit unterschiedlichen Protokollen zu verbinden, siehe 5.2.2 Bridges.

5.1.3 Schicht 3: Network Layer

Die Vermittlungsschicht übernimmt den Verbindungsaufbau zwischen zwei beliebig miteinander verbundenen Rechnern (engl.: routing). Dies umfasst die Bereitstellung geeigneter Adressierung, die Vermittlung, den Verbindungsaufbau und -abbau, die Rücksetzung, die Unterbrechung, die Fehlererkennung und den transparenten Datentransport zwischen den Verbindungsendpunkten. Unter Transparenz fallen die Anpassungen der Eigenarten verschiedener Sicherungsschichten und die Anpassung an sich ändernde Netzwerktopologien.

Die adressierten Kommunikationspartner müssen nicht zwingend die Verbindungsendpunkte sein, sondern es können auch Netzübergänge der Schicht 3, also Router, sein.

5.1.4 Schicht 4: Transport Layer

Die Transportschicht ist für den Aufbau einer Verbindung zwischen zwei Verbindungsendpunkten, in der Regel zwei Rechnern, verantwortlich. Sie ist die einzige der Transportschichten, die eine Ende-zu-Ende-Verbindung zwischen den physikalischen Endpunkten unterhält.

Als oberste der transportorientierten Schichten bietet sie den Anwendungsschichten 5 bis 7 einen allgemeinen und unabhängigen Übertragungsdienst, sie garantiert den Aufbau und den Unterhalt von Verbindungen. Sie kümmert sich um das Multiplexing, das Ordnen der Daten und um eine eventuell notwendige Fehlerbehandlung. Die Besonderheiten der Netzdienste sind damit für die höheren Schichten ohne Relevanz und transparent. Die Schicht bietet eine vom Netzzugang unabhängige Schnittstelle und ermöglicht hierdurch für die Anwendungsseite die zwingend notwendige Hardwareunabhängigkeit.

Für die von ihr erbrachten Dienste ist das darunterliegenden Netzwerk transparent. Ob die Schichten 1 bis 3 als LAN oder WAN realisiert sind, spielt für die Transportschicht keine Rolle. Da die Schicht eine Ende-zu-Ende-Verbindung zwischen Prozessen bereitstellt, spricht man hier auch von Ende-zu-Ende-Kommunikation.

5.1.5 Schicht 5: Session Layer

Die Sitzungsschicht stellt im Netz die Verbindung für die darüberliegenden Netzdienste zur Verfügung. Als unterste der anwendungsorientierten Schichten nutzt die Sitzungsschicht als erste die von den Schichten 1 bis 4 bereitgestellten Datentransportdienste. Sie ist die letzte Ebene, auf der mit logischen und nicht mit physikalischen Namen für Netzknoten gearbeitet wird. Verantwortlich ist die Sitzungsschicht für die Dialogsteuerung zwischen zwei Anwendungsprogrammen; sie stellt hierzu umfangreiche Dienste zur Synchronisation bereit. Ihr obliegt die Steuerung der Kommunikation zwischen zwei Anwendungen.

5.1.6 Schicht 6: Presentation Layer

Die Darstellungsschicht bietet für das Anwendungsprogramm die Schnittstelle zum Netzwerk und legt für das Programm die Zugriffsart auf das Netz fest. Hierzu stellt sie Funktionen für den Datentransport zur Verfügung.

Während sich die unter ihr liegenden Schichten nur noch mit reinen Bitströmem befassen, ist für die Darstellungsschicht auch noch die volle Syntax der Daten relevant. Sie konvertiert die von oben kommenden Daten in ein für Netzwerke gültiges Standardformat. Das Formatieren, Strukturieren, Verschlüsseln und Komprimieren von Daten gehört damit zu ihren Aufgaben. Auf der Empfangsseite stellt sie aus dem von unten kommenden Bitstrom das plattformspezifische Format her und gibt die umgewandelten Daten an die Anwendungsschicht weiter.

5.1.7 Schicht 7: Application Layer

Die Anwendungsschicht stellt einen Streitfall dar, man kann sich nicht einigen, ob sie eine eigenständige Schicht im Rahmen des ISO-OSI-Modells darstellt oder ob sie bereits zu den Anwendungsprogrammen zählt.

Sie bietet ihre Dienste den Anwendungsprozessen an. Zu diesen gehört der Auf- und Abbau von Anwendungsassoziationen (auf der Schicht 7 spricht man häufig nicht mehr von Verbindungen), die Ausführung entfernter Operationen oder ein zuverlässiger Datentransport.

5.2 Netzübergänge und deren Funktionsweise

5.2.1 Repeater

Repeater sind die einfachsten Netzübergänge, sie sind simple Verstärkungseinrichtungen und dienen ausschließlich der direkten Signalweiterleitung. Ihr Aufbau ist relativ einfach und kommt ohne Software aus.

Repeater arbeiten gemäß ihrer Funktion auf der Bitübertragungsschicht (siehe Abbildung 1). Auf dieser Schicht gibt es keine Daten mit logischen Strukturen, sondern nur einzelne Bits, also auch nur zwei Zustände: Strom oder kein Strom bei asymmetrischer Signalverteilung bzw. Stromfluss in die eine oder andere Richtung bei symmetrischer Signalverteilung. Diese elektrischen Signale werden von Repeatern empfangen, verstärkt und wahllos weitergegeben.

Wahllos bedeutet, dass Repeater keinerlei Filter- oder Routingfunktionen übernehmen können, sie leiten alle Daten unkontrolliert und unabhängig von deren Herkunft oder Ziel weiter. Durch die auf Ebene 1 des OSI-Modells beschränkte Arbeitsweise des Repeaters werden die Ebenen 2 bis 7 nicht ausgewertet. Dies bedeutet, dass die beiden durch einen Repeater gekoppelten Subnetze ab OSI-Ebene 2 identisch sein müssen. Die Verbindung unterschiedlicher Netzwerktechnologien ist somit durch Repeater nicht möglich.

5.2.2 Bridges

Eine Bridge ist ein Netzübergang, der gemäß der Spezifikationen der Ebene 2 des ISO-OSI- Modells arbeitet (siehe Abbildung 1). Die verwendete Technik ist im Vergleich zu Repeatern aufwendiger und erfordert in der Regel eigene Software. Eine Bridge ist meistens ein kleines Bauteil mit eigener Schaltungslogik und Netzschnittstellen. Sie wird zur Lastverteilung in größeren Netzen eingesetzt, da sie anhand einer Adresstabelle in der Lage ist zu entscheiden, ob sich die Adresse eines Datenpakets innerhalb eines Subnetzes befindet oder ob die Datenpakete in ein anderes Subnetz vermittelt werden müssen. Hierdurch werden die einzelnen Subnetze merklich entlastet, da Datenpakete nur noch dann übertragen werden, wenn es notwendig ist.

Eine Bridge lässt sich zur Verbindung gleichartiger Netze einsetzen. Hierbei unterscheidet man zwei verschiedene Typen:

- Die „normale“ MAC-Layer-Bridge arbeitet im unteren Teil der Schicht 2. Ihre Funktionalität entspricht der ursprünglichen OSI-Spezifikation der Ebene 2. Damit die Bridge eingesetzt werden kann, muss bereits der Medienzugriff der beiden Subnetze übereinstimmen. Die Verbindung von zum Beispiel Ethernet mit Token-Ring ist mit einer solchen Bridge also nicht möglich.

- Die LLC-Layer-Bridge wandelt die MAC-Adressen des ersten Subnetzes in MAC-Adressen des zweiten Subnetzes um und ermöglicht so die Verbindung von zum Beispiel Ethernet und Token-Ring.

5.2.3 Router

Router sind Netzübergänge, die den Bridges ähneln, jedoch „intelligenter“ und komplexer sind. Ihre Funktionalität entspricht der Ebene 3 des ISO-OSI-Modells (siehe Abbildung 1). Damit sind sie vom eingesetzten Protokoll abhängig und im Gegensatz zu Bridges nicht mehr nach oben transparent. Router bieten den auf ihnen aufsetzenden Protokollen eine Schnittstelle zu den Schichten 1 und 2, eignen sich also gut dazu, verschiedene LANs miteinander zu verknüpfen. Die Hauptaufgabe von Routern ist die Wegwahl, das Routen, vom Sender zum Empfänger. Dazu gehört der Aufbau, das Aufrechterhalten und der Abbau einer geordneten Ende-zu-Ende- Verbindung. Für die Wegwahl muss der Router die eingesetzten Netzwerkprotokolle verstehen, da das Routen von TCP/IP-Paketen anders erfolgt als das für IPX-Pakete oder eines Novell- Netzwerks.

Da Router auf der Ebene 3 des OSI-Modells arbeiten, müssen sie alle Protokolle, die über sie geroutet werden sollen, „verstehen“. Um heterogene Netze mit möglichst wenigen, oft teuren Routern betreiben zu können, hat man sogenannte Multi-Protokoll-Router entwickelt, die mehrere Protokolle verarbeiten können. Anhand der Adresse der eingehenden Pakete wird in den Routern zur entsprechenden Routine verzweigt, die das Routing vornimmt.

5.2.4 Gateways

Ein Gateway ist ein Rechner, meist sogar ein Zentralrechner, der vollkommen unterschiedliche Netze koppeln kann. Je nachdem wie groß der Unterschied der zu koppelnden Netze ist, arbeitet das Gateway in einer der Ebenen 4 bis 7, auf jeden Fall oberhalb der Ebene 3. Entsprechen sich zwei eingesetzte Netzwerke zum Beispiel in den Ebenen 6 und 7, so koppelt das Gateway diese Netzwerke auf der Ebene 5.

Gateways sind notwendig, um herstellerspezifische Protokolle ineinander umzusetzen und eine herstellerübergreifende Kommunikation zu ermöglichen. Für die angeschlossenen Netzwerke ist das Gateway ein direkt adressierbarer Rechner innerhalb des Gesamtnetzwerks, der die Adress- und Formatumsetzungen, die Konvertierungen, die Flusskontrolle und eventuelle Geschwindigkeitsanpassungen für den Übergang in das jeweils andere Teilnetz übernimmt. Man braucht Gateways beispielsweise zur Ankopplung von PCs an Hostsysteme wie zum Beispiel IBM- oder Siemens-Mainframes oder öffentliche Weitverkehrsverbindungen, zum Beispiel WAN-Verbindungen der Telekom. Im Gegensatz zu Routern und Bridges, die zur Strukturierung und Lastverteilung in Netzen eingesetzt werden, ist die Hauptaufgabe der Gateways die Anpassung verschiedener Netzwelten.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Verschiedene Geräte im ISO-OSI-Modell

5.3 Die wichtigsten Protokolle

5.3.1 Das Internet-Protocol (IP)

Das Internet-Protokoll (IP), das auf der Netzwerkschicht angesiedelt ist, bildet zusammen mit dem Transmission-Control-Protocol der Transportschicht das zentrale Protokollpaar der Internet- Architektur.

Das Prinzip, mit dem das Internet-Protokoll Daten überträgt, bezeichnet man als paketorientiert, verbindungsunabhängig und unzuverlässig.

Paketorientiert bedeutet, dass alle zu übertragenden Daten in Pakete zerlegt werden. Das Internet-Protokoll legt das Paketformat für alle Übertragungen im Intra- und Internet fest. Dass die Pakete verbindungsunabhängig übertragen werden bedeutet, dass jedes Paket für sich betrachtet wird, also die Übertragung unabhängig von Vorgängern und Nachfolgern erfolgt und zur Übertragung der Pakete keinerlei direkte Verbindung mit dem korrespondierenden Host aufgebaut wird. Dass die Übertragung nicht zuverlässig ist bedeutet, dass im Internet-Protokoll keinerlei Mechanismen vorgesehen sind, wie zum Beispiel die erneute Übertragung verlorengegangener Pakete, die eine Ankunft der Pakete beim Empfänger sicherstellen.

Die maximale Länge eines IP-Datenpakets beträgt 65535 Bytes, was bedeutet, dass dieses vor der Übertragung, je nach verwendeter Infrastruktur, nochmals zerlegt werden muss. Bei der Übertragung über das Ethernet steht zum Beispiel lediglich eine Nutzlast von 1500 Bytes pro übertragenem Paket zur Verfügung. Auch manche Gateways sind nicht in der Lage, Pakete mit der maximal möglichen IP-Paketlänge zu übertragen. Die Spezifikationen des Internet-Protokolls sehen vor, dass Intersegmentkomponenten, wie zum Beispiel Router, Datenpakete mit einer Mindestlänge von 566 Bytes verarbeiten können müssen. Jedes bei der Fragmentierung eines IP- Pakets entstandene Segment besitzt wieder die Struktur eines IP-Pakets. Der Inhalt der Felder Identifikation, Flag und Fragment-Offset ermöglicht dem Empfänger der Daten das Zusammensetzen des ursprünglichen IP-Pakets.

Durch Setzen des ersten Bits der Flags kann eine Fragmentierung des Pakets verhindert werden (sog. Do-Not-Fragment-Bit), was aber dazu führen kann, dass ein Paket nicht bis zum Ziel vermittelt werden kann und verworfen wird. Ein Datenpaket wird auch verworfen, wenn der TTL-Counter (Time To Live) den Wert Null erreicht hat, bevor das Datenpaket an seinem Ziel angekommen ist. Der TTL-Counter wird mit einem bestimmten Wert initialisiert, der an jedem Netzknoten, an dem das Datenpaket vorbeikommt, um 1 dekrementiert wird.

Auf das Prüfsummenfeld, das zur Verifizierung der Fehlerfreiheit des übertragenen Headers dient, folgen die beiden 32-Bit Adressen des Senders und des Empfängers und anschließend die zu übertragenden Daten.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: IP-Header IPV4

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: IP-Header IPV6, IPng (next Generation)

5.3.2 Das Transport Control Protocol (TCP)

Das zweite zentrale Internet-Transport-Protokoll ist das auf dem Internet Protocol aufsetzende Transmission Control Protocol (TCP). Im Unterschied zu IP überträgt es die Daten zuverlässig im Rahmen einer virtuellen Verbindung. Dies bedeutet, dass das TCP die Funktionalität des IP dahingehend erweitert, dass es Mechanismen wie Sequenznummernvergabe, Prüfsummen- bildung und Empfangsquittungen hinzufügt, die es gestatten zu überprüfen, ob ein Datenpaket korrekt beim Empfänger angekommen ist. Sollte dies nicht der Fall sein, wird eine erneute Übertragung der Daten veranlasst.

Nach dem Aufbau einer Verbindung zu einem anderen Host wird, abhängig von dem zur Verfügung stehenden Pufferspeicher der kommunizierenden Rechner, die Größe der Segmente bestimmt, in die das TCP-Protokoll den zu übertragenden Datenstrom aufteilt. Standardmäßig sind hier 546 Bytes vorgesehen, die Standard-IP-Paketlänge von 566 Bytes minus 20 Bytes für den IP-Header.

Jedes erzeugte Segment wird vor seiner Versendung mit einer Segmentnummer ausgestattet, die es dem Empfänger erlaubt, die Pakete in der richtigen Reihenfolge zusammenzusetzen oder das Fehlen eines Paketes zu erkennen und eine neue Übertragung zu veranlassen. Weiterhin dient diese Sequenznummer dazu, dem Absender den Empfang von Segmenten zu quittieren. Der Empfang der Pakete wird vom Empfänger nur alle n Segmente bestätigt, wobei man n Fenstergröße nennt.

Bei einer Fenstergröße n kann die sendende Station n Pakete versenden, ohne auf eine Empfangsbestätigung des Empfängers zu warten. Spätestens nach der Versendung des n-ten Pakets muss jedoch eine Empfangsbestätigung für eines oder mehrere der versendeten Pakete eingehen, da erst dann das n+1-te Pakete versendet werden darf.

Die Empfangsstation quittiert in der Regel den Erhalt von mehreren Paketen gleichzeitig, so gelten mit der Bestätigung des Empfangs des Pakets n-1 auch die Pakete 0 bis n-2 als bestätigt, da der Empfänger anhand der Sequenznummern erkennen kann, ob alle Segmente angekommen sind. Sollte jedoch ein Segment fehlen, so muss das gesamte Fenster neu übertragen werden. Die Adressierung auf der Ebene des TCP-Protokolls erfolgt über Ports, das sind Softwareadressen, an denen sich auf TCP aufsetzende Internet Dienstprogramme orientieren.

Soll auf einem Computer eine TCP-Verbindung zu einer Anwendung hergestellt werden, so muss ihre Portnummer bekannt sein. Nach dem Verbindungsaufbau unter Angabe der Portnummer wird direkt zu dem Dienstprogramm verzweigt, welches an dem betreffenden Port liegt, siehe Well-Known-Ports.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Der TCP-Header

5.3.3 Das User Datagram Protocol (UDP)

Das ebenfalls auf IP aufsetzende User-Datagram-Protokoll (UDP) stellt eine vereinfachte Version des TCP-Protokolls dar. Es ist in seiner Funktion beschränkt auf die Zuordnung von Portnummern zu den Applikationen. Eine zuverlässige Übertragung von Datenpaketen in der richtigen Reihenfolge leistet UDP nicht. Ereignisse wie Paketverlust, Übertragungsverzögerung oder vertauschte Pakete müssen von den Applikationen kompensiert werden, die dieses Protokoll nutzen.

Jedoch benötigen nicht alle Applikationen und nicht alle Netzwerkarchitekturen eine gesicherte Verbindung zwischen zwei Kommunikationspartnern. So kann man im Regelfall davon ausgehen, dass LANs sicher genug sind, um auf gesicherte Verbindungen verzichten zu können und dadurch mit einem relativ einfachen Transportprotokoll zurechtkommen. Der Vorteil des einfacheren UDP gegenüber TCP ist, dass ein großer Teil des KontrollOverheads wegfällt, wodurch die Datenübertragung beschleunigt wird.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 5: Der UDP-Header

5.3.4 Das Internet Control Message Protocol (ICMP)

Da das Internet Protokoll nur einen verbindungslosen Dienst anbietet, der keinerlei Kontrolloder Sicherheitsfunktionen implementiert hat, spricht man von einem unzuverlässigen Dienst. In Ergänzung zum Internet Protokoll setzt man das Internet Control Message Protocol (ICMP) zum Senden von Kontrollmeldungen in der Vermittlungsschicht ein.

Ist zum Beispiel der Adressat von Datenpaketen nicht vorhanden, so werden diese Datenpakete nicht nur vernichtet, sondern der Absender erhält zusätzlich eine Nachricht, damit dieser keine weiteren Pakete an die betreffende Adresse versendet.

Ein bekannter Befehl, der auf ICMP beruht, ist der „ping“-Befehl.

5.3.5 Das Routing Information Protocol (RIP)

Das Routing Information Protocol (RIP) setzt auf UDP auf. Es dient allen Teilnehmern eines Netzes, die als Router fungieren können dazu, untereinander Informationen darüber auszutauschen, welche Netze sie erreichen können und wie weit diese entfernt sind. Durch Auswertung dieser Informationen können Router und Hosts dann erkennen, welche Netze erreichbar sind und welcher Weg dorthin der kürzeste ist.

5.3.6 Das Address Resolution Protocol (ARP)

Das Adress Resolution Protocol (ARP) dient der Umsetzung der logischen Internet Adressen in die Ethernet-Adressen der entsprechenden Netzwerkkarten der Rechner. Hält ein Host eine Nachricht für einen anderen bereit, so muss zur Übertragung dem Link Layer die EthernetAdresse des Empfängers bekannt sein. Ist sie dies nicht, sendet der Host einen ARP-Broadcast über das Computernetz, den alle Rechner empfangen, der aber nur von dem betroffenen Rechner durch Rücksendung seiner Ethernet-Adresse beantwortet wird.

Damit nicht vor jeder Versendung von Datenpaketen das Netz durch einen Broadcast belegt werden muss und damit Übertragungen schneller ablaufen, werden einmal bekannte Ethernet- Adressen von den Rechnern in einem Cache-Speicher abgelegt, um bei Bedarf schnellen Zugriff auf diese zu haben.

5.3.7 Das Reverse Address Resolution Protocol (RARP)

Das Revers Adress Resolution Protocol (RARP) sorgt für die entgegengesetzte Auflösung von Adressen wie das ARP. Bei bekannter Ethernet-Adresse wird versucht, die zugehörige logische Adresse herauszufinden. Zum Einsatz kommt RARP zum Beispiel bei Terminals, die Zugriff auf ihre eigene Ethernet-Adresse haben, ihre Internet-Adresse aber erfragen müssen.

5.3.8 Das Simple Mail Transfer Protocol (SMTP)

Das Simple Mail Transfer Protocol (SMTP) ermöglicht den Austausch von Electronic Mail (EMail). Es baut eine bidirektionale Verbindung zum nächsten Vermittlungsrechner auf, der die Mitteilung entgegennimmt und weiterleitet. Eine Bestätigung über den Empfang einer Mail gibt nur dieser erste Vermittlungsrechner, nicht aber der Empfänger.

5.3.9 Das (Trivial) File Transfer Protocol (TFTP, FTP)

Das File Transfer Protocol (FTP) ist für den benutzergesteuerten Datenaustausch vorgesehen und steuert den Dateitransfer via TCP. Zu den Aufgaben von FTP gehört der Verbindungsaufbau, das Bereitstellen von Kopier- und Übertragungsdiensten und der Verbindungsabbau am Ende der Sitzung. Es werden verschiedene Übertragungsarten, wie zum Beispiel ASCII oder binäre Übertragung, unterstützt, wodurch die Dateiübertragung zwischen verschiedenen Rechnerwelten problemlos möglich ist.

Das Trivial File Transfer Protocol (TFTP) basiert im Unterschied zu FTP auf UDP und bringt die damit verbundenen Nachteile mit sich.

5.3.10 Das Serial Line Internet Protocol (SLIP)

Beim Serial Line Internet Protocol (SLIP) handelt es sich um ein Protokoll, das hauptsächlich dazu verwendet wird, Hosts über analoge oder digitale Telefonleitungen miteinander zu koppeln. Im Rahmen der Diplomarbeit spielt es eine untergeordnete Rolle und soll hier nur der Vollständigkeit halber erwähnt werden.

Aufgrund seiner Einfachheit ist SLIP relativ leicht zu implementieren und weit verbreitet. Es gibt aber eine Reihe von Einschränkungen, die SLIP nur bedingt tauglich erscheinen lassen. So können über SLIP keine Adressinformationen ausgetauscht werden, der Computer, der eine Verbindung aufbauen möchte, muss also die Adresse seines Kommunikationspartners bereits kennen.

Da SLIP kein Protokolltypenfeld besitzt, kann also immer nur ein Protokoll übertragen werden, wodurch es sich nicht für Multiprotokollsysteme eignet. Schließlich gibt es in SLIP keinerlei Fehlerkorrekturverfahren, wodurch höhere Schichten gezwungen sind, diese vorzunehmen, was aber zu starken Einbrüchen in der Übertragungsrate führen kann, wenn man an einen Kanal mit hoher Bitfehlerrate gerät.

5.3.11 Das Point To Point Protocol (PPP)

Das Point To Point Protocol (PPP) dient demselben Zweck wie SLIP, ist aber wesentlich komplexer. Es ermöglicht die Übertragung verschiedener Protokolle über eine serielle Datenleitung und verfügt über eine Vielzahl von Funktionen wie Fehlerkorrektur oder die Möglichkeit der Zuweisung von Netzwerkadressen. PPP besteht aus drei Komponenten, auf die hier aber nicht näher eingegangen werden soll: Der Enkapsuliering der Datenpakete, dem Link Control Protocol (LCP) zum Aufbau der Verbindung sowie verschiedenen Netzwerk-Kontroll- Protokollen, zum Beispiel IP, IPX, DECnet, etc.

5.3.12 Das Hypertext Transfer Protocol (HTTP)

Beim Hyper Text Transfer Protocol (HTTP) handelt es sich um ein einfaches, zustandsloses Übertragungsprotokoll für Hyper Text Markup Language (HTML), das auf das TCP Protokoll aufsetzt. Zustandslos bedeutet, dass die Übertragung jedes einzelnen Datenpakets zwischen Sender und Empfänger vollkommen unabhängig von vorher übertragenen Paketen ist. Man unterscheidet hierbei nicht zwischen den Protokollzuständen Verbindungsaufbau, Verbindung, Datenübertragung und Verbindungsabbau wie dies zum Beispiel bei TCP-Protokoll selbst der Fall ist. Die Server-Client Kommunikation erfolgt stets nach dem Schema:

Client -> Server: Aufbau einer TCP/IP-Verbindung

Übertragung der HTTP-Anforderung

Server -> Client: Übertragung der HTTP-Antwort

Abbau der Verbindung

Die HTTP-Verbindung wird also in dem Moment wieder abgebaut, in dem die Antwort an den Client versendet wird und bleibt nicht über mehrere Anforderungen bestehen. Wesentlicher Vorteil dieses zustandslosen Protokolls ist, dass der Server keine Daten über bestehende oder im Aufbau befindliche Verbindungen speichern oder mehrere Verbindungen gleichzeitig aufrecht erhalten muss.

Da jede HTTP-Anforderung quasi in einem Schritt bearbeitet werden kann, können mit dieser Protokollarchitektur WWW-Server mit hoher Geschwindigkeit eine große Anzahl gleichzeitiger HTTP-Anforderungen verarbeiten.

5.3.13 Das Domain Name System (DNS)

Bei der Vermittlung von IP-Datenpaketen können Router keine Domain-Namen benutzen, sondern sind auf die numerischen Internetadressen und die zugehörigen Subnet-Adressmasken angewiesen. Aus diesem Grund ist ein Mechanismus notwendig, der die vom Benutzer als Zieladresse angegebenen Domain-Namen in numerische Internet-Adressen umwandeln kann. Dies wird mit Hilfe des DNS-Protokolls und sogenannten Domain-Name-Servern durchgeführt. Ist das DNS-System ausgefallen, so ist ein Verbindungsaufbau nur noch durch die Eingabe der numerischen Adresse möglich. Alle Domain-Name-Server sind analog der Struktur des Namensystems hierarchisch organisiert. Um einen Adressnamen zuzuordnen, wird vom sogenannten Root-Server ein Namen-Server für die Top-Level-Domain ausgewählt. Dieser wählt wiederum einen Namen-Server für die erste Sub-Domain aus usw. Auf den jeweiligen NamenServern befinden sich die vier sogenannten Zonen-Datenbanken:

- Forward Zone
- Reverse Zone
- Localhost
- Reverse Localhost

In der Forward Zone befinden sich die Zuordnungen der Domain-Namen zu den jeweiligen Internet-Adressen, in der Reverse Zone eine umgekehrte Tabelle, mit deren Hilfe das identifizieren von Domain-Namen - ausgehend von den Internet-Adressen - möglich ist. Zu diesem Zweck wurde eine eigene Internet-Adressen-Domain, in-addr.arpa, definiert. Dieses Anwendung dient insbesondere Diskless-Systemen dazu - ausgehend von ihrer InternetAdresse - die nach dem Systemstart mit Hilfe der Hardware-Adresse und dem RARP-Protokoll ermittelt wird, ihren Domain-Namen zu finden. Darüber hinaus benutzen auch Remote-Dienste die inversen DNS-Tabellen zur Authentifikation der Benutzer.

Die beiden Localhost Zonendateien dienen der Unterstützung des Loopback-Interfaces (127.0.0.0).

Jeder, der an das Internet angebunden ist, muss zur Gewährleistung des internetweiten DNSMechanismus auf zwei unabhängigen Computern je einen DNS-Server mit Zuordnungstabellen der eigenen, öffentlich gültigen Domains und Subdomains führen.

Für private Anwender übernimmt dies der Internet-Provider. Normalerweise wird bei Unternehmen, aus Sicherheitsgründen von Internet-DNS-Servern getrennt, für die unternehmensinterne Adressauflösung ein interner DNS-Server betrieben. Wird eine Namenszuordnung für einen externen Host angefordert, wird diese an den öffentlichen DNSServer weitergereicht, der die Zuordnung mit Hilfe des internetweiten DNS-Netzes durchführt. Das Resultat wird dem anfragenden Clienten über den internen DNS-Server mitgeteilt, und dieser kann die gewünschte Verbindung aufbauen.

Um nicht bei jedem Verbindungsaufbau nach außerhalb auf Domain-Name-Server im Internet zugreifen zu müssen und dadurch Zeit- und Netzwerkressourcen zu vergeuden, legt jeder DNS- Server einen lokalen Adress-Pufferspeicher (Cache) an. Im Cache-Speicher werden alle von den Clients einmal nachgefragten Domain-Namen und Adressen abgelegt. Nach einiger Zeit können so die meisten DNS-Anfragen aus dem Cache heraus beantwortet werden. Der zweite DNS- Server, der „Secondary DNS Server“, dient dazu, den primären DNS-Server zu entlasten, und bei Problemen als Backup zu fungieren. Hierzu werden die Zonendateien des DNS-Servers regelmäßig auf den Secondary Server übertragen. Man spricht hierbei vom „Bulk-Zone- Transfer“.

5.3.14 Die Terminal Emulation (Telnet)

Telnet ist eine ursprünglich aus der UNIX-Welt stammende Anwendung, welche die interaktive Nutzung von Computersystemen über Datennetze hinweg ermöglicht. Die Möglichkeit der Fernbedienung beschränkt sich allerdings auf Programme mit textorientierter Bedienoberfläche, da das Telnet-Protokoll lediglich ASCII-Zeichen übertragen kann. Heute sind Telnet- Anwendungen für alle Computerplattformen und Betriebssysteme verfügbar. Nach dem Start der Telnet-Applikation und der Eingabe der Internetadresse des gewünschten Rechners baut der Telnet-Client zunächst via TCP eine Verbindung zum Remote-Server auf und ruft dessen Login-Programm auf. Nach der Eingabe von Account und Passwort wird dann eine Telnet -Session etabliert. Von jetzt an wird jede Keyboardeingabe an den Remote-Server und jede Ausgabe an den Telnet-Clienten weitergeleitet.

Da alle Telnet-Applikationen netzwerkseitig das Network Virtual Terminal benutzen, ist die Benutzung von Telnet plattform- und betriebssystemunabhängig. Dadurch, dass alle Daten, auch Accounts und Passwörter, unverschlüsselt im 7-Bit ASCII-Code übertragen werden, ist es ein leichtes diese abzufangen und zu Angriffsversuchen zu missbrauchen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 6: Die Internet-Protokoll-Familie

5.4 Portnummer

Die Kommunikation auf der Transportebene erfolgt über sogenannte Portnummern, die zusammen mit den IP-Nummern die Kommunikationsendpunkte bilden. Die Portnummern ermöglichen das Ansprechen unterschiedlicher Dienste und die quasi parallele Kommunikation unterschiedlicher Prozesse in der Anwendungsschicht mit verschiedenen Partnern. Die Portnummern bestehen in der Regel aus 16 Bit, so dass ein Rechner maximal 65535 verschiedene Ports realisieren kann. Hinzu kommt, dass diese Portnummern für jeden Dienst vergeben werden, so ist zum Beispiel der Port 4711 innerhalb einer auf TCP beruhenden Verbindung ein anderer als der Port 4711 einer auf UDP beruhenden Verbindung. Von diesen Ports sind einige für Standarddienste von der IANA vergeben, siehe RFC 1700. Diese stellen die sogenannten „Well-Known-Ports“ dar und befinden sich innerhalb der Portnummern 0 bis 1023. Sie geben vor, welcher Dienst an welchem Port bereitgestellt werden sollte.

Im Gegensatz zu UNIX ermöglicht Windows NT 4.0 standardmäßig jedem Benutzer, die ersten 1024 Ports neu zu belegen bzw. die Belegung der Ports zu ändern. So kann ein einfacher Benutzer dafür sorgen, dass zum Beispiel der Online-Katalog eines Kaufhauses nicht mehr erreicht werden kann, weil er den WWW-Server des Kaufhauses von Port 80 auf einen anderen, willkürlich gewählten Port legt. Unter UNIX sind für diese Veränderung der ersten 1024 Ports „Root“-Rechte erforderlich.

6. Sicherheitskonzepte moderner Betriebssysteme, hier Windows NT 4.0

Die Sicherheitsarchitektur von Windows NT baut im Wesentlichen auf den drei folgenden Systemkomponenten auf:

- Local Security Authority (LSA)
- Security Account Manager (SAM)
- Security Reference Monitor (SRM)

Die LSA ist das zentrale Sicherungsmodul von Windows NT. Sie hat die Aufgabe, die BenutzerAuthentifikation durchzuführen, die lokalen Sicherheitsmaßnahmen auf dem System umzusetzen sowie das Anlegen von Audit-Nachrichten durchzuführen.

Der SAM dient dem Management von Benutzer- und Gruppenaccounts und führt für den LSA die Benutzer-Authentifikation durch.

Der SRM stellt schließlich die Schnittstelle für die Zugriffsüberwachung der Datei- und Verzeichniszugriffe im Zusammenspiel mit den Benutzeraccounts dar.

Alle Hard- und Softwarekonfigurationen, Benutzer- und Zugriffsrechte sowie sämtliche Systemeinstellungen sind unter Windows NT in einer zentralen, internen Datenbank, dem Registry, abgelegt. Die darin enthaltenen Informationen sind vergleichbar mit den Inhalten von config.sys, system.ini, win.ini, etc. unter Windows 3.x oder Windows 9x. Das Registry enthält diese Informationen in Form von Einträgen, die in sogenannten Keys organisiert sind. Das Registry selbst gliedert sich in drei Untereinheiten:

- LOCAL_MACHINE
- USERS
- CURRENT_USERS

Sichtbar werden die Einträge aus der Registry-Datenbank über spezielle Dateien, sogenannten Hives (engl.: Sammelpunkten), in denen alle nach Funktionen zusammengehörende Keys enthalten sind. Alle Hives befinden sich im Verzeichnis root\system32\config\.

7. Sicherheitsrisiken im Intranet und Internet

"Totale Sicherheit ist akademisch, unmöglich und unbezahlbar. Teilweise Sicherheit ist nicht akzeptabel."

7.1 Einleitung

Der Begriff Sicherheit bezieht sich in diesem Zusammenhang auf Computer- und Informationssicherheit.

Definition: „Computer-Sicherheit wird erreicht durch Prozesse, Prozeduren oder Tools, die sicherstellen, dass auf Daten, die jetzt in den Computer eingegeben werden, später noch zugegriffen werden kann, und zwar nur durch die Personen, die zum Zugriff berechtigt sind. Dazu gehören auch Tools, durch die Systemadministratoren informiert werden, wenn versucht wird, die Sicherheit anzugreifen.

Die Sicherheit ist verletzt, sobald es einer Person gelingt, an Daten zu gelangen, für die sie keine Autorisierung besitzt. Sicherheit ist auch dann verletzt, wenn es jemand schafft, Daten von anderen zu zerstören oder zu verändern, so dass kein Zugriff auf die Originaldaten möglich ist.“

An dem einführenden Satz erkennt man das große Problem in bezug auf Sicherheit. Man muss für den jeweils vorliegenden Fall beurteilen, wieviel und welche Sicherheit man braucht und wie man diese Sicherheit mit möglichst angepasstem, vor allem finanziellen, Aufwand erreichen kann. So braucht der Stand-Alone Internet-Server einer kleinen Firma sicherlich einen ganz anderen Sicherheitsstandard als das Computernetz einer Sparkasse, einer Versicherung oder gar der NATO, das während dieser Diplomarbeit wiederholt und auch erfolgreich angegriffen wurde. Hier wird ein Zusammenhang mit ihrem Eingreifen im Kosovo vermutet.

Eng verknüpft mit dem Begriff „Sicherheit“ ist der Begriff „Risiko“. Die Höhe des Risikos ist nach VDE Norm 31000 abhängig von der Häufigkeit des gefährdenden Ereignisses und dem Schadensausmaß bei dessen Eintritt. Um nun eine adäquate Sicherheitsstufe zu finden, muss man eine Risikoanalyse vornehmen, in die viele Faktoren einfließen. Ein paar statistische Zahlen helfen einzuschätzen, wie hoch das Risiko wirklich ist.

Einige Zahlen zur Risikoeinschätzung für Computersysteme:

- ein einzelner Host wird etwa alle 45 Jahre von einem „Internet-Sicherheitsrisiko“ betroffen
- eine Domain wird etwa alle 0,8 Jahre von einem „Internet-Sicherheitsrisiko“ betroffen
- 2/3 aller Angriffe auf Daten und Computersysteme werden aus dem Intranet vorgetragen
- ein „Headcrash“ einer Festplatte ereignet sich pro Rechner etwa alle 75 Jahre
- ein tödlicher Autounfall ereignet sich pro Person etwa alle 6250 Jahre
- die allgemeine Kriminalität in Deutschland war 1997 leicht rückläufig, die Computer- Kriminalität stieg um 22% an

Gegen die Folgen eines tödlichen Unfalls sichern sich die meisten Leute durch eine Lebensversicherung ab, selbst gegen die Zerstörung einer Festplatte und dem daraus resultierenden Datenverlust schützt man sich in der Regel durch Backups, Spiegelplatten oder Backup-Server, etc. Das zumindest statistisch größere Risiko, aus dem Intranet oder Internet heraus geschädigt zu werden, wird jedoch oft sowohl quantitativ als auch qualitativ nicht richtig bewertet. Hierbei ist es einerlei, ob es sich bei dem „Internet-Sicherheitsrisiko“ um einen eingeschleppten Virus oder um einen gezielten Angriff handelt. Auch ist es letztlich gleichgültig, aus welchen Motiven heraus der Angriff im Intranet erfolgt.

7.2 Die Täter und deren Angriffsmotivation

Der Begriff „Täter“ ist hier gezielt gewählt, um zu verdeutlichen, dass es sich bei Angriffen auf Computer und auf Computersysteme keinesfalls um sogenannte „Kavaliersdelikte“ handelt. Auch die deutsche Gesetzgebung ist in den letzten Jahren wesentlich sensibler für dieses Thema geworden, was sich im Strafgesetzbuch (StGB), hier ein Auszug der in Verbindung mit der Diplomarbeit steht, widerspiegelt.

§ 202a [Ausspähen von Daten]

(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 303a [Datenveränderung]

(1) Wer rechtswidrig Daten (§ 202a Abs.2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.

§ 303b [Computersabotage]

(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, dass er

1.eine Tat nach § 303a Abs.1 begeht oder

2.eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

§ 303c [Strafantrag]

In den Fällen der §§ 303 bis 303b wird die Tat nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.

So vielfältig die Angriffsmöglichkeiten auf Computer sind, so vielfältig sind auch die Tätergruppen und mit ihnen die Motivationen, die zu einem Angriff auf die Sicherheit führen. Motive für den Angriff auf Computer und Computernetze reichen von der Unwissenheit des Benutzers über den Beweis der (scheinbaren) „Überlegenheit“ den sich der Angreifer liefert, wenn es ihm gelingt, die Barrieren eines Computersystems zu überwinden, bis hin zur handfesten Industriespionage.

Je nach Art des Angriffs unterscheiden sich regelmäßig auch die Motive derjenigen, die einen Angriff auf Computer durchführen. Da Angriffe auf Computersysteme zu etwa zwei Dritteln aus dem Intranet vorgetragen werden, sollen diese Fälle zuerst betrachtet werden. Die vom Motiv her harmloseste Form des Angriffs, ist der Angriff aus Unwissenheit. Wegen unzureichender Schulung von Computerbenutzern, kommt es immer wieder zu Datenverlust oder Störungen der Netztätigkeit, zum Beispiel durch Einbringung von Viren oder das Abschalten von Netzwerkservern zum Feierabend. Das fehlende Motiv dieser Angriffe impliziert jedoch nicht ihre Folgenlosigkeit. Auch aus solchen „Versehen“ kann schnell ein erheblicher Schaden entstehen.

Zu Beeinträchtigungen kommt es auch immer wieder durch Eingriffe von Benutzern, die „nur mal schauen wollten, was wohl passiert, wenn...“! Obwohl vom Motiv her eventuell nachzuvollziehen, können auch hier erhebliche Schäden entstehen.

Im Gegensatz zu den oben genannten „uneigentlichen“ Angriffen durch die Benutzer, gibt es aber auch den vorsätzlichen, schädigenden Eingriff in das Computersystem. Diese Art von Angriffen findet oft statt, wenn Mitarbeiter sich ungerecht behandelt fühlen (zum Beispiel ein Kollege die Stelle des Systemadministrators bekommt) oder ihnen gekündigt wurde. Motivation ist oft der Rachegedanke: „Jetzt zeige ich es denen mal so richtig...“. Ein weiteres Motiv für Angriffe aus dem Intranet ist die Bereicherung, sowohl die materielle als auch die immaterielle.

Manche Mitarbeiter versuchen, Zugang zu Daten zu bekommen, der ihnen eigentlich nicht gestattet ist. Hierfür kann es zwei verschiedene Motivationen geben:

Entweder die Mitarbeiter wollen vor ihren Kollegen durch „Wissen“ über Internes der Firma glänzen, um ihr Ansehen zu erhöhen oder die Mitarbeiter wollen ihre finanzielle Situation zum Beispiel durch Industriespionage verbessern.

Als Schutz gegen solche Angriffe hilft nur ein sicher aufgebautes Netzwerk, in dem möglichst alle unberechtigten Zugriffsversuche dokumentiert werden. Entweder um dem Benutzer nochmals Hilfestellung bei der Arbeit mit dem Computer zu geben, sofern diese Zugriffsversuche sichtlich durch Unwissenheit geschehen, oder aber geeignete Maßnahmen gegen den Benutzer zu ergreifen, der versucht, die Sicherheit des Computersystems zu unterwandern.

Zur Sicherheit eines Computernetzes gehört aber auch die mechanische Sicherheit. Was nutzt ein noch so perfekt gesichertes Betriebssystem, wenn die Netzwerkserver für alle zugänglich in der Besenkammer stehen? Sowohl die Datensicherheit als auch die Verfügbarkeit der Server werden durch Limitierung des mechanischen Zugriffs auf diese erheblich erhöht. So ist es schon vorgekommen, dass an Wochenenden frei zugängliche Server von Mitarbeitern komplett ausgeschlachtet wurden, um in aller Ruhe an die gespeicherten Daten zu kommen oder dass Server mit dem Vorschlaghammer bearbeitet wurden.

Angriffe über das Internet machen ungefähr ein Drittel aller Angriffe aus, sind jedoch meistens professioneller vorgetragen, als Angriffe aus dem Intranet.

Menschen, die versuchen, via Internet Zugang zu anderen Computersystemen zu bekommen, haben oft eine tiefergehende Kenntnis der Betriebssysteme und Protokolle und wissen, wo diese angreifbar sind. Auch hier gibt es einige die versuchen, in fremde Computernetze zu gelangen, nur um zu schauen, ob es ihnen gelingt.

Oft werden diese Angriffe aber systematisch und mit Vehemenz vorgetragen, so dass man vermuten muss, dass sich der Angreifer durch einen gelungenen Angriff Vorteile verspricht. Diese können finanzieller Art sein, wie zum Beispiel die Nummer einer Kreditkarte, die auf der Festplatte eines Benutzers gespeichert ist oder „geheime“ Daten der Firma, mit denen sich Geld verdienen lässt oder ideeller Art, wie zum Beispiel die formatierte Festplatte eines Konkurrenten.

Immer häufiger werden schlecht gesicherte Systeme von Angreifern benutzt, um entweder Rechenleistung zu erschleichen oder aber um Speicherplatz, meist für illegale Angebote, zu bekommen. So kam es in letzter Zeit wiederholt vor, dass auf den Festplatten „unbeteiligter“ Internet-User oder Firmen Angebote für Kinderpornographie zu finden waren. Allein der Aufwand zum Beweis der eigenen Unschuld und - besonders bei bekannten Firmen - der ImageVerlust durch das Bekanntwerden solcher Vorgänge ist kaum zu überschätzen.

Eine andere Form des Angriffs ist die Veränderung des Inhalts der Internetpräsentation eines Opfers, die dieses bestenfalls nur zum Gespött derer macht, die diese Seite besuchen. Vorstellbar sind auch hier andere Szenarien, wie zum Beispiel Links auf Seiten, die eigentlich nicht mit dem Opfer in Verbindung gebracht werden sollten.

Durch die meist höhere Qualifizierung der Angreifer ist es schwierig und aufwendig, ihre Angriffe abzuwehren. Auch hier gilt, dass möglichst viele ungewöhnliche Ereignisse im Netz dokumentiert werden sollten, um gegebenenfalls die Sicherheitsmaßnahmen zu verstärken. Stellt man anhand von den Logdateien fest, dass ein Einbruch in das Computersystem stattgefunden hat oder stattfindet, so sollte ein Sicherheitsplan existieren, der allgemein bekannt ist und nach dem vorgegangen wird, um den entstandenen/entstehenden Schaden zu minimieren und des Verursachers möglichst habhaft zu werden.

7.3 Angriffe auf Computersysteme und Daten und deren Prävention

7.3.1 Viren und „Malicious Code“

7.3.1.1 Allgemeines zu Computerviren

7.3.1.1.1 Definitionen

Definitionen: "Ein Computer - Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Zusätzlich können programmierte Schadensfunktionen des Virus vorhanden sein."[1]

Viren - Programmierer sind Exzentriker, meist im Alter zwischen 20 und 30 Jahren und ausschließlich männlich. Nach Erfahrungen der SARC[3] - Forscher besteht der Hauptantrieb dieser Randgruppe darin, sich und der Welt zu beweisen, dass sie andere Menschen und/oder Computer manipulieren können. Nur wenige wurden bislang entdeckt und strafrechtlich verfolgt. Zu den bekanntesten Viren-Programmierern gehört der Dark Avenger, dessen Identität nie geklärt werden konnte. Black Baron dagegen konnte von Scotland Yards Abteilung für Computerkriminalität aufgespürt und verurteilt werden.[3]

7.3.1.1.2 Viren-History

1984 Fred Cohen behandelte in seiner Doktorarbeit als erster das Thema Computerviren. 1986 Erstes Virus auf MS-DOS-PCs, Brain-Virus, taucht auf.

1987 Erstes Virus auf Macintosh-Rechnern taucht auf.

Ein Internet-Wurm, der einen Weihnachtsbaum auf den Bildschirm zeichnet, verbreitet sich weltweit auf dem IBM-Rechnernetz.

1988 Robert Morris entwickelt ein Virus, das Tausende von vernetzten UNIX-Rechnern, unter anderem der NASA und des Pentagon, lahmlegte. Er wurde zu fünf Jahren Haft und einer Geldstrafe von 250.000 US$ verurteilt.

1989 In England stehen viele PCs und Bankennetzwerke still, weil sich mit infizierten Kopien des Spiels „Lazy Larry“ ein Virus ausgebreitet hat.

1990 Ein neues Virenzeitalter beginnt, die Stealth-Viren tauchen auf.

1991 Das DoD bietet Entwicklern 50.000 US$ für militärisch nutzbare Viren 1992 Die vierte Generation der Tarnkappenviren beginnt.

Die rasche Entwicklung der Viren nach 1992 ist kaum noch an Eckpunkten festzumachen. Einziger markanter Einschnitt war die Entstehung der Makroviren.

7.3.1.1.3 Voraussetzungen für Virenbefall

Letztendlich gibt es kein Betriebssystem, das wirklich 100 prozentig gegen einen Virenbefall geschützt ist. Es gibt jedoch sehr wohl Unterschiede in der Anfälligkeit von Betriebssystemen für Viren.

Das Betriebssystem MS-DOS der Firma Microsoft, manchmal boshaft selbst als Boot-Virus tituliert, realisierte keine Schutzmaßnahmen, wie zum Beispiel Speicherschutz oder Zugriffsregelung auf Dateien durch Vergabe von Rechten. Jeder Anwender und jeder ablaufende Prozess hatten „Super-User“-Rechte. Eine ideale Voraussetzung für die explosionsartige Ausbreitung von Viren. Gleiches gilt auch für die grafischen Benutzeroberflächen, die auf dieses Betriebssystem aufgesetzt wurden, wie Windows 3.0, 3.1, 3.11 oder 95(a,b,c).

Mit der Einführung von Windows NT realisierte auch Microsoft einen besseren Schutz der Ressourcen, was dazu führte, dass die Anzahl der Viren, die explizit für NT geschrieben worden sind, verschwindend gering ist.

Das Betriebssystem OS2 von IBM, in vielen Punkten NT sehr ähnlich, bietet für Ressourcen den gleichen Schutz wie NT, auch hier ist die Folge eine sehr geringe Anzahl von Viren. Das wohl sicherste Betriebssystem im Hinblick auf Viren, mit dem „normale“ Benutzer in Kontakt kommen, ist nach wie vor UNIX. Die strenge Regelung für den Zugriff auf die Ressourcen macht es Viren nahezu unmöglich, sich zu vermehren oder auszubreiten. Selbst für die Betriebssysteme der Mainframes, zum Beispiel AIX auf IBM S/390 Servern, eine Kombination, die lange Zeit als virenresistent galt, werden im Moment Virenschutzprogramme entwickelt.

Natürlich muss man bei der Einordnung von Betriebssystemen als anfällig oder resistent für/gegen Viren auch die Verfügbarkeit der einzelnen Systeme betrachten. So ist es nicht weiter verwunderlich, dass auf einem PC mit einem unsicheren Betriebssystem wie DOS eine Fülle von Viren entsteht. Für Virenprogrammierer ist es relativ leicht, „erfolgreiche“ Viren zu schreiben, da sich das System nicht „wehrt“. Außerdem können sie auf diesem System die vermeintlich weiteste Verbreitung (sowohl räumlich als auch quantitativ) ihrer Viren erzielen, was sicherlich einen Anreiz darstellt.

Ganz anders verhält es sich bei dem Betriebssystem UNIX und den Plattformen, auf denen es läuft. Lange Zeit führte UNIX ein Schattendasein in Universitätsrechenzentren und tritt erst jetzt, auch begünstigt durch die PC-Variante Linux, seinen Siegeszug in die Öffentlichkeit an.

[...]