Netzwerksysteme und Cybersecurity

Folien für das 5. und 6. Semester Aufbaulehrgang

Präsentation unter: https://www.coufal.info/spgslides/nscs_a56.html

Klaus Coufal

2024/25

Übersicht

• Kompetenzbereiche
  • Netzwerktechnologien (Netzwerkmanagement und -sicherheit)
  • Architektur und Entwicklung verteilter Systeme
  • Cybersecurity (Sicherheitsrisiken und -lösungen)

Übersicht: Details 1

• Netzwerktechnologien (Netzwerkmanagement und -sicherheit)
  • Betrieb
  • Fehlersuche
  • Verfügbarkeit
  • Sicherheitsrisiken und Komponenten von Sicherheitslösungen
  • Security Policy und Sicherheitsverwaltung
  • Verwaltungssysteme

Übersicht: Details 2

• Architektur und Entwicklung verteilter Systeme
  • Synchronisation und Interprozesskommunikation
  • Webapplikationen
  • Client-Server und Multi Tier Systeme
  • Serviceorientierte Architektur (SOA)
  • Cloud Computing
  • Enterprise Application Architecture und Middleware

• Cybersecurity (Sicherheitsrisiken und -lösungen)
  • Sicherheitsrisiken und -bedrohungen
  • Komponenten von Sicherheitslösungen
  • Sicherheitsverwaltung

Sicherheit: Einführung

• Ausgangspunkt für Sicherheit
• Sicherheit ist ein Prozess
• Zutrittsschutz und Zugriffsschutz
• Gefährdungen
• Sicherheitsdienste und -mechanismen
• Verschlüsselung
• Schlüsselverteilung
• Zertifikate

Sicherheit: Einführung - Basis

• Sicherheit und Bequemlichkeit vertragen sich nicht

  Was sicher ist, ist mit Sicherheit unbequem! Was bequem ist, ist mit Sicherheit unsicher!

• Notwendigkeit, Sicherheit und Bequemlichkeit auszubalancieren
• Ein zu viel an Sicherheitsmaßnahmen führt durch ihre Umgehung ebenfalls zu Unsicherheit

Sicherheit: Einführung - Prozess

• Sicherheit ist kein einmaliger Vorgang sondern ein ständiger Prozess
• Sicherheit muß daher ständig weiterentwickelt werden
• Der Sicherheitsprozess könnte folgendermaßen aussehen
  1. Sichern
  2. Beobachten und Überwachen
  3. Testen
  4. Verbessern
  5. Weiter bei 1.

Sicherheit: Einführung - Zutrittsschutz

• Verhinderung des physikalischen Zuganges (z.B.: Mauer mit versperrter Tür), damit unbefugte Personen nicht an Systeme herankommen
• Probleme: Zentralschlüssel, Reinigungspersonal und Notfall
• Softwarebasierender Zutrittsschutz (z.B.: Accountname/Passwort bzw. PIN)
• Biometrische Verfahren (z.B.: Fingerabdruck)
• Schlüssel (z.B.: Chipkarte)

Sicherheit: Einführung - Zugriffsschutz

• Im Bereich der Betriebssysteme (WS-OS, Server-OS, NOS) üblicherweise nur auf Verzeichnis bzw. Dateiebene möglich
• In Datenbankanwendungen auf Satzebene verwirklichbar
• In sonstigen Anwendungen ebenfalls detaillierter realisierbar
• ACL - Access Control List

Sicherheit: Einführung - Gefährdungen

• Art der Gefährdung
  • Passive Angriffe
  • Aktive Angriffe
  • Zufällige Verfälschungen
• Ausgangspunkt der Gefährdung
  • Intern (ca. 80%)
  • Extern (ca. 20%)
• Motivation der Gefährdung
  • Geplanter (strukturierter) Angriff
  • Ungeplanter (unstrukturierter) Angriff

Sicherheit: Einführung - Passive Angriffe

• Abhören der Teilnehmeridentitäten
  • wer mit wem
• Abhören der Daten
  • Mißbrauch der Daten
• Verkehrflußanalyse
  • Größenordnungen, Zeitpunkte, Häufigkeit und Richtung des Datentransfers

Sicherheit: Einführung - Aktive Angriffe

• Wiederholung oder Verzögerung einer Information
• Einfügen oder Löschen bestimmter Daten
• Boykott des Informationssystems ((D)DOS)
• Modifikation der Daten
• Vortäuschung einer falschen Identität
• Leugnen einer Kommunikationsbeziehung

Sicherheit: Einführung - Zufällige Verfälschungsmöglichkeiten

• Fehlrouting von Information
  • Durch "Vermittlungsfehler" in Knotenrechner
• Fehlbedienung
  • Löschen noch nicht versandter Informationen
  • Ausdrucken sensibler Daten
  • Kopieren in die "falsche" Richtung

Sicherheit: Einführung - Maßnahmen gegen Gefährdungen

• Aus den potentiellen Gefährdungen können nun die notwendigen Sicherheitsdienste abgeleitet werden
• Diese Dienste werden durch Sicherheitsmechanismen umgesetzt
• Ein Sicherheitsdienst ist eine Dienstleistung, um einer Gefährdung zu begegnen
• Ein Sicherheitsmechanismus ist eine Funktion, die eine oder mehrere Aufgaben eines Sicherheitsdienst konkret umsetzt

Sicherheit: Einführung - Sicherheitsdienste

• Vertraulichkeit der Daten (Vertraulichkeit)
• Verhinderung einer Verkehrflußanalyse
• Datenunversehrtheit (Integrität)
• Authentizitätsprüfung der Kommunikationspartner (Authentizität)
• Zugangskontrolle
• Sender- und Empfängernachweis
• Verfügbarkeit der Daten (Verfügbarkeit)

Sicherheit: Einführung - Sicherheitsmechanismen 1

• Verschlüsselung
• Digitale Unterschrift
• Hashfunktion
• Authentizitätsprüfung
• Zugangskontrolle
• Sicherstellung der Datenunversehrtheit
• Verhinderung der Verkehrsflußanalyse

Sicherheit: Einführung - Sicherheitsmechanismen 2

• Routingkontrolle
• Notariatsfunktion
• Vertrauenswürdige Implementation
• Abstrahlsichere Endgeräte und Vermittlungseinrichtungen
• Überwachung und Alarmierung (Alert)
• Logbuch

Verschlüsselung

• Motivation
• Symmetrische Verschlüsselung
• Asymmetrische Verschlüsselung
• Rechenleistung
• Primzahlenzerlegung
• Quantenkryptographie
• Schlüsselverwaltung und -verteilung
• Anwendung zur Authentizitätsprüfung

Verschlüsselung: Motivation

• Die meisten von uns haben schon einmal einen Text verschlüsselt, um ihn vor anderen geheim zu halten
• Wer z.B. einen Passwortmanager verwendet, möchte seine Passwörter von anderen geheim halten
• Bei der Eingabe eines Passwortes oder eines PINs am Bankomaten sind Zuseher unerwünscht

Verschlüsselung: Symmetrisch

• Der Schlüssel für die Verschlüsselung und Entschlüsselung ist gleich und muß daher beiden Kommunikationspartnern bekannt sein.
• Schlüsseltausch problematisch
• Bleibt lange Zeit konstant und ist daher leichter herauszufinden

Verschlüsselung: Symmetrisch - Schlüsseltausch 1

• Alice nimmt eine Kiste, steckt die Botschaft hinein und schließt sie mit einem Vorhängeschloss ab

Verschlüsselung: Symmetrisch - Schlüsseltausch 2

• Ein möglicherweise unehrlicher Bote bringt die verschlossene Kiste zu Bob

Verschlüsselung: Symmetrisch - Schlüsseltausch 3

• Auf der anderen Seite fügt Bob eines seiner Vorhängeschlösser dazu

Verschlüsselung: Symmetrisch - Schlüsseltausch 4

• Der möglicherweise unehrliche Bote bringt die verschlossene Kiste zu Alice zurück

Verschlüsselung: Symmetrisch - Schlüsseltausch 5

• Alice entfernt ihr Schloß von der Kiste

Verschlüsselung: Symmetrisch - Schlüsseltausch 6

• Der möglicherweise unehrliche Bote bringt die verschlossene Kiste wieder zu Bob

Verschlüsselung: Symmetrisch - Schlüsseltausch 7

• Bob kann die Kiste nun öffnen und die Nachricht entnehmen

Verschlüsselung: Symmetrisch - Einfachverschlüsselung

• Substitutionsverfahren
  • Caesarcode
  • Zeichencodes
  • ...
• Transpositionsverfahren
  • Permutation
  • Zick Zack
  • ...
• Kombinationen daraus

Verschlüsselung: Symmetrisch - Beispiel Caesarcode

Verschlüsselung: Symmetrisch - Beispiel Zeichencode

Verschlüsselung: Symmetrisch - Beispiel Transposition

Verschlüsselung: Symmetrisch - Secret Key Verfahren

• Polyalphabetische Substitution
• Produktverschlüsselung
• Blockverschlüsselungen
  • ECB (Electronic Code Book)
  • CBC (Cipher Block Chaining)
  • CFB (Cipher Feed Back)
  • OFB (Output Feed Back)
• Bitstromverschlüsselungen

Verschlüsselung: Symmetrisch - Beispiel

• AES (Advanced Encryption Standard)
  • Schlüssellänge: 128, 192 oder 256 Bit
  • Blockverschlüsselung
• DES (Data Encryption Standard)
  • Amerikanischer Standard, in Polen entwickelt, Chips unterliegen dem Exportembargo
  • Schlüssellänge: 56 Bit
  • Blockverschlüsselung
  • Gilt als nicht mehr sicher
• 3DES (Triple-DES)
  • Der DES-Algorithmus wird mit 2 unterschiedlichen Schlüsseln dreimal hintereinander angewendet
  • Schlüssellänge: 112 Bit
  • Blockverschlüsselung

Verschlüsselung: Asymmetrisch

• Bei der asymmetrischen Verschlüsselung sind die Schlüssel für die Verschlüsselung bzw. Entschlüsselung verschieden
• Kein Schlüsseltausch notwendig
• Einer der beiden Schlüssel wird öffentlich verfügbar (public) gemacht
• Der zweite Schlüssel wird geheim (private) gehalten

Verschlüsselung: Asymmetrisch - Verfahren

• DH (Whitfield Diffie, Martin Hellman) Verfahren (auch DHM Diffie-Hellman-Merkle-Verfahren, Ralph Merkle)
• RSA (Ronald Linn Rivest, Adi Shamir, Leonard Max Adleman, 1978) Verfahren
• Für verschlüsselte Kommunikation wird mit dem "Public Key" verschlüsselt und dem "Private Key" entschlüsselt
• Für die digitale Unterschrift wird mit dem "Private Key" verschlüsselt und dem "Public Key" entschlüsselt

Verschlüsselung: Asymmetrisch - DH-Verfahren

• Ermöglicht die Vereinbarung eines Secret Keys über eine nicht sichere Leitung, da aus dem Belauschen der Kommunikation nicht auf den geheimen Schlüssel geschlossen werden kann
• Dazu werden eine große Primzahl p und eine natürliche Zahl g<p über die öffentliche Leitung vereinbart
• Jeder der beiden Teilnehmer erzeugt eine geheime Zufallszahl (ebenfalls natürliche Zahlen) a bzw. b < (p-1)
• Beide Teilnehmer berechnen A=g^a mod p bzw. B=g^b mod p und schicken diese an den jeweils anderen Teilnehmer
• Der gemeinsame geheime Schlüssel K wird dann jeweils aus B^a mod p bzw. A^b mod p berechnet
• Mittels K kann nun eine symmetrische Verschlüsselung durchgeführt werden

Verschlüsselung: Asymmetrisch - RSA-Verfahren

• Schlüsseltext=Klartext^e(mod n)
• Klartext=Schlüsseltext^d(mod n)
• Das Paar (e,n) ist dabei der Public Key
• Das Paar (d,n) ist dabei der Secret Key
• n ist das Produkt zweier sehr großer Primzahlen (100-stellig und mehr)

Verschlüsselung: Asymmetrisch - Zahlenbeispiel 1

• Man sucht zwei Primzahlen (p,q) und eine dritte Zahl e
• z.B.: p=11, q=19 und e=17
• Man bildet das Produkt n von p und q und sucht zu e das passende d (Euklidsches Verfahren)
• Bei unserem Beispiel: n=209 und d=53
• Der Klartext 5 ergibt den Schlüsseltext 5¹⁷(mod 209)=80
• Der Schlüsseltext 80 ergibt den Klartext 80⁵³(mod 209)=5
• Kann durch Faktorisieren von n gebrochen werden (i.a. zeitaufwendig)

Verschlüsselung: Asymmetrisch - Zahlenbeispiel 2

• Zum Finden von e und d:
  • Berechne y=(p-1)(q-1)
  • Wähle 1<e<y mit q und y relativ prim (kein gemeinsamer Teiler)
  • Berechne d so, daß d*e=1(mod y)
  • d=(x(p-1)(q-1)+1)/e x so, daß d ganzzahlig wird)

Verschlüsselung: Asymmetrisch - PGP

• PGP - Pretty Good Privacy
• PGP ist eine Anwendung des RSA-Verfahren, daß diese Methode in das e-Mail-System (den Client) einbindet bzw. beliebige Texte über die Zwischenablage behandeln kann
• lokale Schlüsselverwaltung integriert
• Verschlüsselung und Signatur möglich
• In letzter Zeit in Verruf gekommen, da die Anwendung zu kompliziert ist und nicht automatisch im Hintergrund abläuft

Verschlüsselung: Asymmetrisch - Primzahlenzerlegung

• Der Schutz der meisten bestehenden Verfahren beruht darauf, daß die Primzahlenzerlegung (Faktorisierung) von großen Zahlen sehr zeitaufwendig ist
• Das ist aber weder bewiesen noch widerlegt!

Verschlüsselung: Rechenleistung

• Verschlüsselung benötigt zusätzliche Ressourcen (vor allem Rechenleistung)
• Insbesondere die asymmetrische Verschlüsselung fordert leistungsschwache Geräte
• Abhilfe schafft hier die hybride Verschlüsselung: Vereinbarung symmetrischer Schlüssel (Sessionkeys) mit asymmetrischen Methoden
• Mit steigender Rechenleistung (Taktrate, Parallelisierung) wird das Brechen der Verschlüsselung in kürzerer Zeit möglich
• Mit steigendem Hauptspeicher ebenfalls, da vorberechnete Tabellen zum Einsatz kommen können

Verschlüsselung: Quantenkryptographie

• Quantencomputer ermöglichen eine einfache Faktorisierung auch großer Primzahlen
• Quantenkryptographie gilt derzeit als unknackbar, da jeder Versuch die Daten abzufangen diese zerstört

Verschlüsselung: Schlüsselverwaltung und -verteilung

• Allgemeines
• Begriffe
• Schlüsselerzeugung
• Interne Schlüsselverteilung
• Externe Schlüsselverteilung
• Schlüsselinstallation
• Schlüsselverteilzentralen

Verschlüsselung: Verwaltung - Allgemeines

• Wie kann sichergestellt werden, daß ein bestimmter Schlüssel zu einer bestimmten Person gehört?
• Persönliche Übergabe weltweit?
• Übertragung über e-Mail, Telefon, ...?

Verschlüsselung: Verwaltung - Begriffe

• PKI - Public Key Infrastructure
• CA - Certificate Authority (Zertifizierungsstelle)
• RA - Registration Authority (Registrierungsstelle)
• CRL - Certificate Revocation List (Zertifikatssperrliste)
• DS - Directory Service (Verzeichnisdienst)
• Subscriber (Zertifikatsinhaber)
• Participant (Zertifikatsnutzer)

Verschlüsselung: Verwaltung - Schlüsselerzeugung

• Deterministisch
  • Pseudozufallszahlen
  • Rekonstruierbar
• Nicht deterministisch
  • "Echte" Zufallszahlen
  • "Nicht" rekonstruierbar
• Erzeugung der Schlüssel
  • durch die Teilnehmer selbst
  • durch die SVZ (Transport der Schlüssel?; Vertrauenswürdigkeit?)
  • durch Dritte (Signaturstellen, ... ,Transport der Schlüssel?; Vertrauenswürdigkeit?)

Verschlüsselung: Verwaltung - Interne Schlüsselverteilung

• Erfolgt im Netz
• Abhörgefährdet
• Gefahr der Fälschung des Schlüssels
• Fälschung der Identität

Verschlüsselung: Verwaltung - Externe Schlüsselverteilung

• Erfolgt durch systemfremde Übertragung (z.B.: Boten)
• Weniger abhörgefährdet
• Geringere Fälschungsgefahr des Schlüssels
• Fälschung der Identität aufwendiger

Verschlüsselung: Verwaltung - Schlüsselinstallation

• Laden der Schlüssel
• Speichern der Schlüssel
• Erschwerung des Zugangs
• Für Richtigkeitsprüfung soll die Kenntnis des Schlüssels nicht notwendig sein

Verschlüsselung: Verwaltung - Schlüsselverteilung Secret Keys

• Da die Zahl der Schlüssel mit steigender Zahl der Teilnehmer schnell sehr groß wird (n*(n-1)/2), verwendet man Schlüsselverteilzentralen (SVZ)
• 
• Damit sind nur mehr sogenannte Masterkeys zur Kommunikation mit der Schlüsselverteilzentrale notwendig

Verschlüsselung: Verwaltung - Master Keys

• Masterkeys werden für den Austausch der "Session"-Keys benutzt
• Allerdings verlagert sich das Problem der Schlüsselverteilung auf die Masterkeys (Seltener im Einsatz)
• Sessionkeys können oft gewechselt werden
• Keinerlei Kenntnis von Schlüsseln anderer Kommunikationsteilnehmer notwendig

Verschlüsselung: Verwaltung - SVZ sym. und zweiseitig 1

• Schlüsselverteilzentrale (SVZ) reduziert den Aufwand für die Verwaltung der Schlüssel bei den einzelnen Teilnehmern
• Alice möchte mit Bob kommunizieren
• M_A und M_B sind die Masterkeys von Alice bzw. Bob
• Alice fordert von der SVZ einen Sessionkey an
• SVZ schickt den Sessionkey an Alice
• Bob fordert ebenfalls von der SVZ diesen Sessionkey an
• SVZ schickt den Sessionkey an Bob
• Alice und Bob kommunizieren, obwohl beide nur ihren Masterkey besitzen

Verschlüsselung: Verwaltung - SVZ sym. und zweiseitig 2

Verschlüsselung: Verwaltung - SVZ sym. und einseitig 1

• Schlüsselverteilzentrale (SVZ) reduziert auch hier den Aufwand für die Verwaltung der Schlüssel bei den einzelnen Teilnehmern
• Alice möchte mit Bob kommunizieren
• M_A und M_B sind die Masterkeys von Alice bzw. Bob
• Alice fordert von SVZ einen Sessionkey an
• SVZ schickt den Sessionkey und einen Block für Bob an Alice (inkl. Zeitstempel)
• Alice schickt das für Bob bestimmte Paket an Bob (Inhalt ist für Alice unbrauchbar)
• Alice und Bob kommunizieren, obwohl beide nur ihren Masterkey besitzen

Verschlüsselung: Verwaltung - SVZ sym. und einseitig 2

Verschlüsselung: Verwaltung - Schlüsselverteilung Public Keys

• Schlüsselaustausch zu Beginn der Kommunikation (Problem der Validierung: Gehört der Public Key wirklich dem Kommunikationspartner)
• Teilnehmer haben Public Key-Verzeichnis (So ein Verzeichnis bedeutet enormen Wartungsaufwand, um es aktuell zu halten)
• Da die Zahl der Schlüssel mit steigender Zahl der Teilnehmer auch hier schnell sehr groß wird (n*(n-1)/2), verwendet man Schlüsselverteilzentralen (SVZ)

Verschlüsselung: Verwaltung - Schlüsseltausch

• Austausch der jeweiligen öffentlichen Schlüssel (Public Keys) vor der eigentlichen Kommunikation

Verschlüsselung: Verwaltung - Public Keys Verzeichnis

• Vorteile
  • Sichere Kommunikation ohne Schlüsselaustausch möglich
  • Authentizität ist "gewährleistbar"
• Nachteile
  • Verzeichnis wird rasch umfangreich
  • Alle Teilnehmer müssen von einem Schlüsselwechsel informiert werden

Verschlüsselung: Verwaltung - SVZ asym. und zweiseitig

• Analog zum Secret-Key-Verfahren
• Statt der Masterkeys werden aber auch für die Kommunikation zur SVZ Public Keys verwendet
• Wenig praktische Bedeutung, da hier ohne Verlust an Sicherheit auf das "einseitige" Verfahren ausgewichen werden kann

Verschlüsselung: Verwaltung - SVZ asym. und einseitig 1

• Annahmen:
  • SVZ kennt alle Public Keys und den eigenen Private Key
  • SVZ_pk, A_pk, B_pk sind die Public Keys
  • SVZ_vk, A_vk, B_vk sind die Private Keys
  • Alice möchte gesichert mit Bob kommunizieren
• Alice fordert von SVZ den öffentlichen Schlüssel von Bob an (die Anfrage ist mit SVZ_pk verschlüsselt und enthält die Teilnehmerkennungen von Alice und Bob sowie Datum/Uhrzeit)
• SVZ antwortet mit einer Nachricht, die zwei Zertifikate enthält

Verschlüsselung: Verwaltung - SVZ asym. und einseitig 2

• Das Zertifikat für Alice enthält:
  • Teilnehmernummer von Bob
  • Den öffentlichen Schlüssel von Bob: B_pk
  • Datum/Uhrzeit
• Das Zertifikat ist von SVZ digital unterschrieben (SVZ_vk) und mit A_pk verschlüsselt

Verschlüsselung: Verwaltung - SVZ asym. und einseitig 3

• Das Zertifikat für Bob enthält:
  • Teilnehmernummer von Alice
  • Den öffentlichen Schlüssel von Alice: A_pk
  • Datum/Uhrzeit
• Das Zertifikat ist von SVZ digital unterschrieben (SVZ_vk) und mit B_pk verschlüsselt
• Das Zertifikat wird von Bob entschlüsselt (B_vk) und auf Echtheit überprüft (SVZ_pk)

Verschlüsselung: Verwaltung - SVZ asym. und einseitig 4

• Auswertung durch Alice
  • Das Paket wird von Alice entschlüsselt (A_vk) und auf Echtheit überprüft (SVZ_pk)
  • Das zweite Zertifikat wird an Bob weitergeleitet
  • Eine Kontrollnachricht mit den Daten im Zertifikat der SVZ wird ebenfalls an Bob geleitet (von Alice unterschrieben (A_vk) und mit B_pk verschlüsselt)

Verschlüsselung: Verwaltung - SVZ asym. und einseitig 5

• Auswertung durch Bob
  • Das Zertifikat und die Kontrollnachricht wird von Bob geprüft
  • Bob sendet seinerseits eine analoge Kontrollnachricht an Alice
  • Nach Prüfung dieser durch Alice kann die gesicherte Kommunikation beginnen

Verschlüsselung: Verwaltung - SVZ asym. und einseitig 5

Verschlüsselung: Mehrere SVZs

• Analog zur gesicherten Kommunikation zwischen Alice und Bob muß eine verschlüsselte Kommunikation zwischen den SVZs hergestellt werden und die öffentlichen Schlüssel der Teilnehmer zwischen den SVZs ausgetauscht werden
• Beispiel: Zentrale hierarchische Schlüsselverteilung

Verschlüsselung: Anwendung zur Authentizitätsprüfung

• Schwache Authentizitätsprüfung (Passwort, ...)
• Starke Authentizitätsprüfung (Verschlüsselung eines "Tokens" mit kryptographischen Methoden)
• Das Problem der Übertragung ist bei beiden Arten gleich
• z.B.: Sichere Aufbewahrung der Secret Keys in einer Chipcard - Hardware zum Lesen der Karte notwendig (Bürgerkarte)
• z.B.: Handysignatur (funktioniert allerdings nur mit einem Smartphone und nicht mit einem Handy)
• z.B.: FIDO 2 (Fast IDentity Online)

Sicherheit: Einführung - Zertifikate

• Ein Zertifikat (z.B.: Browser) bestätigt bestimmte Eigenschaften von Personen, Server, Objekten
• Die Authentizität und Integrität eines Zertifikates ist durch kryptographische Verfahren überprüfbar
• Enthalten sind alle für die Prüfung notwendigen Parameter
  • Eigenschaftsbeschreibung
  • Ausstellerdaten
  • Öffentlicher Schlüssel
  • Gültigkeitszeitraum
• Vertrauen wird auf den Aussteller übertragen

Sicherheit und ISO-Modell: ISO-Referenzmodell

• Application Layer
• Presentation Layer
• Session Layer
• Transport Layer
• Network Layer
• Data Link Layer
• Physical Layer
• Details siehe hier

Sicherheit und ISO-Modell: Routingproblem

• Für den Verbindungsaufbau sind Daten notwendig, die nicht verschlüsselt sein dürfen
• Sicherung bis zur Schicht 3 schwierig
• Paketvermittlung
• Leitungsvermittlung
• Details zu Vermittlungstechniken siehe hier

Sicherheit und ISO-Modell: Physical Layer

• Dienste
  • Vertraulichkeit der Verbindung
  • Verhinderung einer Verkehrsflußanalyse
• Mechanismen
  • Verschlüsselung (außer Start- und Stopbits) zwischen nächsten Nachbarn (meist auf HW-Ebene)
• Einsatzmöglichkeiten
  • Nur in Schicht 1 ist der gesamte Verkehrsfluß schützbar
  • Entzieht sich aber den Möglichkeiten eines Anwenders
  • Derzeit von keinem Leitungsprovider angeboten

Sicherheit und ISO-Modell: Data Link Layer

• Dienste
  • Vertraulichkeit bei verbindungsorientierten und verbindungslosen Kommunikationen
• Mechanismen
  • Verschlüsselung der Verbindung (Linkverschlüsselung)
• Einsatzmöglichkeiten
  • Entzieht sich den Möglichkeiten eines Anwenders
  • Derzeit von keinem Leitungsprovider angeboten (anders im Funkbereich)

Sicherheit und ISO-Modell: Network Layer 1

• Dienste
  • Authentizitätsprüfung der Instanz des Kommunikationspartners
  • Zugangskontrolle
  • Vertraulichkeit bei verbindungsorientierten und verbindungslosen Kommunikationen
  • Verhinderung einer Verkehrsflußanalyse
  • Datenunversehrtheit ohne Recovery
  • Authentizitätsprüfung des Absenders der Daten

Sicherheit und ISO-Modell: Network Layer 2

• Mechanismen
  • Die Authentizitätsprüfung wird durch eine Kombination aus kryptographischen Methoden, digitaler Unterschrift, Passwörtern und ein eigenes Authentizitätsprüfungsprotokoll unterstützt
  • Die Zugangskontrolle erfordert eigene Zugangskontrollmechanismen sowohl in den Vermittlungsknoten (Kontrolle durch den Netzbetreiber) als auch im Zielsystem (Abweisung unerwünschter Verbindungen)
  • Knotenverschlüsselung für die Vertraulichkeit der Verbindung und die Vertraulichkeit der Daten. Zusätzliche Routingkontrollfunktionen können dem Benutzer eine Auswahl der Wege erlauben
  • Zur Verhinderung der Verkehrsflußanalyse werden vom Netzbetreiber Fülldaten geschickt (müssen verschlüsselt sein oder von einer der unteren Schichten verschlüsselt werden); dabei muß aber durch eine Flußkontrolle gewährleistet bleiben, daß noch immer Daten übertragen werden können

Sicherheit und ISO-Modell: Network Layer 3

• Mechanismen Fortsetzung
  • Die Datenunversehrtheit kann durch eine Prüfsumme oder Hashwerte sichergestellt werden, dabei ist in dieser Schicht keine "Recovery" vorgesehen (siehe auch ISO-Referenzmodell)
  • Der Sendernachweis wird ebenfalls über die Authentizitätsprüfung (des Senders) erreicht
• Einsatzmöglichkeiten
  • Durch Netzbetreiber (siehe oben)
  • Durch Anwender (VPN)

Sicherheit und ISO-Modell: Transport Layer

• Dienste
  • Authentizitätsprüfung der Instanz des Kommunikationspartners
  • Zugangskontrolle
  • Vertraulichkeit bei verbindungsorientierten und verbindungslosen Kommunikationen
  • Datenunversehrtheit der Verbindung mit bzw. ohne Recovery
  • Authentizitätsprüfung des Absenders der Daten
• Mechanismen
  • Siehe Schicht 3 allerdings werden aus den "Next Hop"-Mechanismen "End-to-End"-Mechanismen
• Einsatzmöglichkeiten
  • Ab dieser Schicht liegt der Einsatz der Mechanismen vollständig in der Verantwortung des Netzbenutzers

Sicherheit und ISO-Modell: Session Layer

• Dienste
  • Keine eigenen Sicherheitsdienste aber die Vereinbarung von notwendigen Diensten für die Session
• Mechanismen
  • Keine
• Einsatzmöglichkeiten
  • Keine außer der Vereinbarung

Sicherheit und ISO-Modell: Presentation Layer

• Dienste
  • Keine eigenen Dienste
• Mechanismen
  • Sendernachweis
  • Empfängernachweis
  • Notariatsfunktion
• Einsatzmöglichkeiten
  • Anbieten von Mechanismen um der Anwendungsschicht alle notwendigen Dienste zu ermöglichen

Sicherheit und ISO-Modell: Application Layer

• Dienste
  • Anwendungsabhängig
• Mechanismen
  • Entweder anwendungseigene Mechanismen
  • Nutzung von Mechanismen der darunter liegenden Schichten
• Einsatzmöglichkeiten
  • Die der Anwendung

Sicherheitsverwaltung

• Motivation
• Security Policies
• Sicherheitsverwaltung

Sicherheitsverwaltung: Motivation

• Sicherheitsrisiken werden ständig größer
• Welche Systeme sind welchen Bedrohungen ausgesetzt?
• Welche Systeme sind auf welchem Sicherheitslevel?
• Änderungen werden vorgenommen ohne das System erneut auf Sicherheit zu prüfen
• Alte Systeme (Betriebssysteme, Software, ...) bleiben lange nach dem EOL von Teilkomponenten noch in Betrieb
• Zertifizierung von Teilsystemen hängen vom Gesamtsystem ab

Sicherheitsverwaltung: Security Policies

• Einführung und Normen
• Ziele von Security Policies
• Arten von Security Policies
• Verantwortung für Security Policies
• Umsetzung von Security Policies

Sicherheitsverwaltung: Security Policies - Einführung

• Eine Security Policy beschreibt den erstrebten Anspruch einer Institution nach Informationssicherheit
• In einer Security Policy werden die Verhaltensweisen beschrieben, die zur Erreichung der Ziele notwendig sind (z.B. wie oft muß ein Passwort geändert werden)
• "Definition":
  Eine Sicherheitsrichtlinie ist ein Satz von Regeln, die definieren wer autorisiert ist, auf was zuzugreifen und unter welchen Bedingungen diese bzw. die Kriterien nach denen diese Autorisation gewährt oder verwehrt wird

Sicherheitsverwaltung: Security Policies - Normen

• Vorreiter BS 7799-1 (British Standard)
• ISO/IEC 27001 und ISO/IEC 27002
• ITU-Empfehlung X.800
• RFC 2196 (Site Security Handbook)
• RFC 4949 (Internet Security Glossary, Version 2)
• ISO/IEC 13335 (Management der Informationssicherheit)
• ITIL (IT Infrastructure Library, http://www.itsmf.at/)
• ISO/IEC 25010 (Softwarequalität)
• PCI-DSS (Payment Card Industry Data Security Standard; Sicherheitsstandard der Zahlungssysteme (VISA, …))

Sicherheitsverwaltung: Security Policies - Ziele

• AAA
  • Authentication (Authentisierung)
  • Authorization (Autorisierung)
  • Accounting (Zurechenbarkeit)
• CIA
  • Confidentiality (Vertraulichkeit)
  • Integrity (Unversehrtheit)
  • Availability (Verfügbarkeit)
• Das Ziel der Security Policies ist es "AAA" von Personen und "CIA" von Daten sowie die Nachweisbarkeit aller Änderungen (Protokollierung) sicherzustellen, sowie die Benutzer (Mitarbeiter) zu sensibilisieren und dies durch laufende Audits zu belegen und zu verbessern

Sicherheitsverwaltung: Security Policies - Arten

• Allgemeine Richtlinien (Sicherheitsziele und –strategien)
• Besondere Richtlinien für die einzelnen Einsatzgebiete (Zutrittsschutz, Zugriffsschutz, Schutz vor Verlust)

Sicherheitsverwaltung: Security Policies - Allgemeine Richtlinien

• Festlegung von Verantwortlichkeiten
• Festlegung der übergeordneten Ziele
• Auswahl geeigneter Methoden
• Mechanismen zur Kontrolle
• Schulungspläne
• Notfallpläne
• Vorgaben für besondere Richtlinien

Sicherheitsverwaltung: Security Policies - Besondere Richtlinien

• S.o.
• Einsatzbereich
• Konfigurationsdetails
• Berechtigungen
• Protokollierungsmaßnahmen
• Je nach Richtlinie weitere Maßnahmen

Sicherheitsverwaltung: Security Policies - Benutzerrichtlinien

• Umgang mit Betriebsinterna
• Umgang mit Berechtigungen
• Umgang mit neuen Medien (Internet,…)
• Beiträge der Benutzer zu Schutzsystemen
• Urheberrecht
• Konsequenzen aus Fehlverhalten

Sicherheitsverwaltung: Security Policies - Verantwortung

• Die Security Policies werden von der obersten Leitung erlassen, daher ist auch diese für die Vollständigkeit und die Einhaltung verantwortlich
• Dazu müssen alle Mitarbeiter darüber geschult werden
• Für die Umsetzung sind alle betroffenen Mitarbeiter verantwortlich

Sicherheitsverwaltung: Security Policies - Umsetzung

• Anhand von Checklisten analog zu den sonstigen Notfallplänen der Institution
• An Hand von Mustern für viele Fälle diverser einschlägiger Organisationen
• z.B.: BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • IT Grundschutzkataloge
  • IT Grundschutzkompendium
• Konkrete Beispiel:
  • Universität für Bodenkultur Wien
  • Freie Universität Berlin
  • Secupedia

Sicherheitsverwaltung: Sicherheitsverwaltung

• Netzwerkmanagement zur Sicherheitsverwaltung
• Intrusion Detection/Prevention Systeme zur Sicherheitsverwaltung
• Eigenständige Lösungen z.B. von Antimalwareherstellern
• Berichte zur Sicherheitssituation

Sicherheitsverwaltung: Netzwerkmanagement (NM)

• Warum
• Anforderungen
• Einordnung in Managementsysteme
• Standards und Protokolle
• Aufbau von Managementsystemen
• OSI-NMS
• SNMP-NMS
• Webbasierendes Management

Sicherheitsverwaltung: NM - Warum

• In den 80er Jahren wurde durch das Wachstum der Netzwerke der Bedarf nach Netzwerkmanagement immer dringender. Beginnend mit "Remote Login" wurde ein Framework zur zentralen Verwaltung der Netzwerke geschaffen, um die Administration zu vereinfachen

Sicherheitsverwaltung: NM - Anforderungen

• Faultmanagement
• Configurationmanagement
• Performancemanagement
• Accountingmanagement
• Securitymanagement

Sicherheitsverwaltung: NM - Faultmanagement

• Fehler erkennen
• Fehler lokalisieren
• Rekonfiguration zur Umgehung
• Fehler beheben
• Originalkonfiguration wiederherstellen

Sicherheitsverwaltung: NM - Configurationmanagement

• Rekonfiguration aktiver Komponenten (z.B.: Router)
• Stilllegung von Komponenten
• Aktivierung neuer Komponenten
• Erkennen neuer Komponenten

Sicherheitsverwaltung: NM - Performancemanagement

• Wie groß ist die Auslastung?
• Intensiver Datenverkehr einzelner Stationen?
• Gesamtdurchsatz?
• Flaschenhälse?
• Antwortzeiten?

Sicherheitsverwaltung: NM - Accountingmanagement

• Zugangskontrolle und Abrechnung
• Benutzerberechtigungen und deren unerlaubte Weitergabe
• Ineffiziente Nutzung des Netzes durch Benutzer
• Ausbauplanung

Sicherheitsverwaltung: NM - Securitymanagement

• Erzeugung, Verteilung und Speicherung von Verschlüsselungsinformationen (CA, PKI)
• Überwachung des Netzes
• Log-File-Analyse

Sicherheitsverwaltung: NM - Einordnung

• Anwendungsmanagement
• Informationsmanagement
• Systemmanagement
• Netzwerkmanagement
• Facilitymanagement

Sicherheitsverwaltung: NM - Anwendungsmanagement

• Anwendungen
• Globale Einstellungen (CI)
• Benutzerspezifische Einstellungen
• Installation
• Deinstallation

Sicherheitsverwaltung: NM - Informationsmanagement

• Datenbestände
• Datenbanken
• DMS - Dokumentenmanagementsysteme
• Backup and Restore

Sicherheitsverwaltung: NM - Systemmanagement

• Host
• Server
• Workstation
• PC
• NC, Thin Client, ...
• Meist inkl. NMS (Network Management System)

Sicherheitsverwaltung: NM - Netzwerkmanagement

• "Aktive" Netzwerkkomponenten
  • Hubs, Repeater, Bridge
  • Switches
  • Router
  • Appliances (Firewall, IPS, ...)
• "Passive" Netzwerkkomponenten
  • Verkabelung
  • Dokumentation
  • ...

Sicherheitsverwaltung: NM - Facilitymanagement

• Gerätemanagement
  • Fax
  • Telephonanlage
  • Zeitabrechungssysteme
  • Zugangskontrollsysteme
  • ...
• Verbindungsmanagement
  • Schaltschrank und Patchkabel
  • Glasfaserleitung
  • ...

Sicherheitsverwaltung: NM - Standards

• ISO 10164-x (x=1..22)
• SNMP (RFCs 1155, 1157, 1213, 1351..3, 1441..52, 1901..10, 2011..13, 3410..18, ... davon vieles aber DRAFT, PROPOSAL oder HISTORIC, Übersicht hier)
• CCITT X.700 (=ISO/IEC 7498-4)

Sicherheitsverwaltung: NM - Protokolle und Abkürzungen

• OSI-CMIP (Common Management Information Protocol)
• OSI-CMIS (Common Management Information Service)
• SNMP (Simple Network Management Protocol)
• RMON (Remote MONitoring)
• MIB (Management Information Base)

Sicherheitsverwaltung: NM - Aufbau

• Managementkonsole, Management Station (GUI für das Gesamtsystem)
• Managementserver (Datenbank; Sammlung von Informationen)
• Management Agents (in allen managebaren Geräten bzw. eigene Geräte, die Information sammeln)

Sicherheitsverwaltung: NM - OSI-NMS

Sicherheitsverwaltung: NM - SNMP-NMS

Sicherheitsverwaltung: NM - Webbasierend

• Verwaltung eines Geräts mit einem Webinterface

Sicherheitsverwaltung: NM - Webbasierend VT

• Keine Managementsoftware notwendig (Jede managebare Komponenten beinhaltet Webserver und die Managementkonsole ist ein Browser)
• Das Protokoll ist herstellerunabhängig
• Geringe Kosten
• Gesicherte Übertragung durch TCP

Sicherheitsverwaltung: NM - Webbasierend NT

• Sicherheit des Webservers in dem Gerät
• Keine Traps
• Geringer Funktionsumfang
• Graphische Konfiguration verleitet mehr zum Probieren
• Meist reines Konfigurationsmanagement
• Unterschiedliche GUIs an vergleichbaren Geräten

Sicherheitsverwaltung: IDS/IPS

• Mit IDS/IPS-Produkten kann ebenfalls die Sicherheit verwaltet werden, allerdings nur der Bereich, den diese überwachen
• Hybride Systeme, die nicht nur das Netz sondern auch Hosts überwachen, bieten hier mehr Möglichkeiten
• Aus den Ergebnissen der Arbeit von IDS/IPS-Systemen werden Reports erstellt, die eine der Grundlagen für Sicherheitsberichte bilden können
• Einige IDS/IPS-Systeme können auch aktiv in die Konfiguration von z.B. Firewalls eingreifen und so auch präventiv die Sicherheit verwalten

Sicherheitsverwaltung: Antimalware

• Bei den meisten Antimalherstellern (Kaspersky, Symantec, ...) gibt es Administration Software, mit deren Hilfe man die Antimalwareprodukte des jeweiligen Herstellers im gesamten Netz verwalten kann
• Damit hat man in einer zentralen Konsole alle Informationen über den Schutzzustand der Server und Clients
  • Lizenzstatus
  • Installierte Programmversion
  • Letzter Patternupdate
  • Letzter Scan und eventuelle Antimalwarefunde
• Zusätzlich ist oft noch eine zentrale Aufgabenplanung und zentrales "Eventlogging" enthalten
  • Installation
  • Updates einspielen
  • Scan durchführen
  • ...

Sicherheitsverwaltung: Bericht

• Aus allen sicherheitsrelevanten Informationen (Logfiles, Reports von IDS/IPS-Systemen, ...) wird ein Sicherheitsbericht erstellt
• Dieser stellt die Sicherheitssituation dar, dazu umfasst er
  • alle Sicherheitssysteme
  • alle sicherheitskritischen Ereignisse eines bestimmten Zeitraums
  • Empfehlungen zur Verbesserung der Situation (z.B.: Einsatz von fail2ban, ...)
• Die graphische Darstellung der Situation hilft vor allem beim Aufbereiten der Situation für die Managementebene

Sicherheit: Einführung - Hacken wird immer leichter

• Durch Tools, die immer mehr Aufgaben übernehmen, wird es für Hacker immer einfacher
• Dadurch werden automatisch immer mehr Angriffe im Internet ausgeführt

Sicherheit: Einführung - Hackerarbeitsweise

Sicherheit: Einführung - Generalmaßnahmen

• Sicherheitsrelevante Updates in allen(!) Geräten
• Antimalwaresoftware (mit aktuellen Signaturen)
• Firewalls, wo immer notwendig und sinnvoll
• "Device Hardening"
• Firmenweite Sicherheitspolitik
• IDS/IPS - Intrusion Detection/Prevention System
• Benutzer sensibilisieren

Sicherheit: Firewall

• Allgemeines
• Aufgaben
• Architekturen
• Funktionsweise
• Beispiele

Sicherheit: Firewall - Allgemeines

• Stehen direkt im Datenstrom (i.A. zwischen Internet und Intranet)
• Werden oft als Appliance ausgeführt
• Wenn als Software, dann meist mit eigenem angepaßten Betriebssystem
• Einfachere Modelle haben zur Administration ein Webinterface
• Professionellere Modelle haben eigene Software zur Administration oder ein Command-Line-Interface (CLI)

Sicherheit: Firewall - Aufgaben

• Lesen des Datenpakets
• Vergleich einzelner Parameter des Pakets mit einem Regelset
• Behandlung des Pakets (nicht alle Produkte unterstützen alle Möglichkeiten):
  • Durchlassen (permit, accept, allow, ...)
  • Wegwerfen (deny, drop, ...)
  • Verweigern (reject, ...)
  • Weiterleiten an eine weitere Instanz (Mailrelay, Proxy, ...)
  • Abänderung eines Parameterteils (Ändern des Headers, um Produkt zu verschleiern, ...)
  • ... (NAT, Encrypt, Decrypt, ...)
• Optionales Aufzeichnen der Aktivitäten (Logging)
• Eventuelle Alarmierung (PopUp, Mail, SMS, ...)

Sicherheit: Firewall - Architekturen

• Firewallarchitekturen
  • Standardposition der Firewall
  • Single Firewall
  • Router als Filter
  • Dual Firewall
  • Dual Firewall Redundant
  • Dual Firewall mit DMZ
  • Remote User (Teleworker)
  • Praktisches Beispiel
  • Enterprise Security

Sicherheit: Firewall - Standardposition der Firewall

Sicherheit: Firewall - Single Firewall

Sicherheit: Firewall - Router als Filter

Sicherheit: Firewall - Dual Firewall

Sicherheit: Firewall - Dual Firewall Redundant

Sicherheit: Firewall - Dual Firewall mit DMZ

Sicherheit: Firewall - Remote User (Teleworker)

Sicherheit: Firewall - Praktisches Beispiel

Sicherheit: Firewall - Enterprise Security

Sicherheit: Firewall - Funktionsweise

• Packet Filtering (Überwachungsrouter)
  • In der Netzwerkschicht (Layer 3)
  • Die meisten Packetfilterfirewalls können auch Layer 4
• Application Layer Gateway (ALG)
  • In der Anwendungsschicht (Layer 7)
• Stateful Inspection
  • Zwischen der Datensicherungs- und der Netzwerkschicht (Layer 2,5)
  • Die meisten Stateful-Inspection-Firewall können auch ein bißchen Applikationsdurchgriff
• Next Generation Firewalls

Sicherheit: Firewall - Packet Filtering

• Primär in Layer 3
• Anhand der Quell- und Zieladresse werden die Entscheidungen getroffen
• z.B: Antispoofing-Regeln
  • RFC 1918-Adressen werden nicht durchgelassen
  • Adressen des LANs dürfen nicht von der Outside-Schnittstelle kommen
• z.B.: Vom Internet werden nur Antworten zugelassen
• z.B.: Von bekannten IP-Adressen werden keine/alle Pakete durchgelassen
• Vorteile: Einfach, billig und transparent für Applikationen
• Nachteile: Schwache Performance, nicht transparent, eingeschränkte Skalierbarkeit und wenige Applikationen

Sicherheit: Firewall - Application Layer Gateway (ALG)

• Arbeitet in der Applikationschicht (Layer 7) als Proxyserver
• Kennt die Protokolle der jeweiligen Applikation und kann daher das gesamte Datenpaket analysieren
• Problematisch sind die verschlüsselten Protokolle (SSL/TSL):
  • Aufbrechen der Verschlüsselung (=Man in the Middle-Attacke)
  • Verschlüsselte Pakete nicht prüfen (ALG wird sinnlos)
• z.B.: Erkennen von Tunneln mit Hilfe von Applikationsprotokollen (der meist offene Port 80 wird zum Tunneln benutzt)
• Vorteil: Hohe Sicherheit im Bereich der Applikationen
• Nachteile: Geringe Security (untere ISO-Schichten ungeschützt), ACLs aufwendiger, nicht erweiterbar, existiert nur für wenige Applikationen

Sicherheit: Firewall - Stateful Inspection

• Mit Hilfe von dynamischen Zustandtabellen wird der gesamte Datenverkehr beobachtet (nicht nur ein einzelnes Paket)
• Dadurch wird es möglich, automatisch Antworten aus dem Internet auf Anfragen aus dem Intranet zuzulassen
• Auch können komplexere Angriffe, bei denen jedes einzelne Paket harmlos ist, erkannt werden
• Viele DOS-Attacken (z.B. mit halboffenen TCP-Verbindungen) können unterbunden werden
• Unterstützt auch alle Möglichkeiten der Packet-Filter-Firewalls
• Vorteil: Hohe Sicherheit (alle ISO-Schichten werden geschützt), hohe Leistung (eigener Modul im Kernel oder Spezialkernel), Applikationsdurchgriff, skalierbar, erweiterbar, transparent für Applikationen

Sicherheit: Firewall - Next Generation Firewalls

• Da eine Firewall zur Sicherung des Netzes heute nicht mehr ausreicht, bieten einige Hersteller "Next Generation Firewalls" an
• Dabei werden Firewalltechniken mit weiteren bekannten Sicherheitstechniken kombiniert
  • IDS/IPS
  • Antimalwaresystemen
  • Anti-SPAM-Systeme
  • ...
• D.h. diese bringen keine neue Security aber u.U. eine wesentlich einfachere Verwaltung und eine geringere Zahl an Geräten im Netz

Sicherheit: Firewall - Beispiel

Sicherheit: Einführung in die VPN-Technik

• Was ist ein VPN-Tunnel?
• Wozu werden VPN-Tunnel benötigt?
• Grundlagen
• Realisierungsmöglichkeiten
• Notwendige Parameter
• Lücken
• Tunnelprotokolle

Sicherheit: VPN - Was ist ein VPN-Tunnel?

• Ein virtueller Kommunikationspfad über ein anderes (anderes Protokoll, Datenkapselung, ...) Netz
• Dabei werden die Datenpakete einer Kommunikation in andere Datenpakete eingepackt (z.B.: IPX/IP-Tunnel, IP/IP-Tunnel, ...)
• Im Gegensatz zum Transportmodus, bei dem Datenpakete um gewisse Eigenschaften erweitert werden
• Diese Eigenschaften können z.B.:
  • Das Verbergen von RFC 1918-Adressen im Internet sein
  • Das Verschlüsseln von Daten sein
  • Der Transport von nicht direkt routbaren Protokollen sein

Sicherheit: VPN - Wozu VPN-Tunnel?

• Heute meist zur Erhöhung der Sicherheit
• Daten werden verschlüsselt über ein öffentliches Netz übertragen
• Kostenreduzierung, da bisher verwendete Standleitungen durch VPNs ersetzt werden können, ohne das Sicherheitsrisiko zu erhöhen
• Zugriff auf Firmenressourcen für Mitarbeiter auch von außerhalb der Firma
• Zugriff auf Teile eines Netzes zu Wartungszwecken (z.B.: Telephonanlage in einem Netz)
• ...

Sicherheit: VPN - Grundlagen 1

• Je nach gewünschter Sicherheit werden im Tunnel verschiedene Stufen angeboten
  • Nur Kapselung
  • Verschlüsselung
  • Digitale Signatur
• Bei der Kapselung werden nur die Daten neu verpackt d.h. kein Sicherheitsgewinn
• Wenn die Daten dabei auch verschlüsselt werden, können schon Sicherheitsdienste implementiert werden
• Auch die Digitale Signatur stellt einen Sicherheitsdienst dar

Sicherheit: VPN - Grundlagen 2

• Internetanbindungen sind i.a. unsicher
• Durch einen Tunnel können abhörsichere Verbindungen aufgebaut werden
• Oder auch Verbindungen, die nicht durch das IP-Protokoll abgedeckt werden

Sicherheit: VPN - Grundlagen 3

• Mittels zusätzlicher Header werden weitere Funktionen implementiert

Sicherheit: VPN - Realisierungsvarianten

• Rechner zu Rechner (Client to Host VPN)
• Rechner zu Netz (Client to Site VPN)
• Netz zu Netz (Site to Site VPN)
  • VPN-Ende in einer Firewall
  • VPN-Ende in einem Router
  • VPN-Ende in einem eigenen Server (VPN-Konzentrator)
  • VPN durch ISP zur Verfügung gestellt

Sicherheit: VPN - Realisierungsvariante 1

• Rechner zu Rechner (Client to Host VPN)

• Unsichere Internetanbindungen werden zu einem sicherem Kommunikationskanal
• Daten werden im Klartext nur in den beiden Endpunkten zur Verfügung gestellt

Sicherheit: VPN - Realisierungsvariante 2

• Rechner zu Netz (Client to Site VPN)

• Daten stehen im Klartext nur an einem Endpunkt und im Zielnetz zur Verfügung

Sicherheit: VPN - Realisierungsvariante 3

• Netz zu Netz (VPN-Ende in einer Firewall)

• Daten stehen in beiden Netzen im Klartext zur Verfügung

Sicherheit: VPN - Realisierungsvariante 4

• Netz zu Netz (VPN-Ende in einem Router)

• Daten stehen in beiden (Teil-)Netzen im Klartext zur Verfügung

Sicherheit: VPN - Realisierungsvariante 5

• Netz zu Netz (VPN-Ende in einem VPN-Konzentrator)

• Daten stehen in beiden (Teil-)Netzen im Klartext zur Verfügung

Sicherheit: VPN - Realisierungsvariante 6

• Netz zu Netz (VPN durch ISP)

• Daten stehen in beiden Netzen inkl. der Internetanschlußleitungen im Klartext zur Verfügung

Sicherheit: VPN - Notwendige Parameter 1

• Verschlüsselungschema
  • IKE
  • FWZ
  • ...
• Verschlüsselung
  • DES
  • 3DES
  • ...
• Authentifikationsmethode
  • Preshared Secret
  • Public Key Signatures
  • ...

Sicherheit: VPN - Notwendige Parameter 2

• Methode zur Datenunversehrtheit
  • MD5
  • SHA1
  • ...
• Schlüsselaustausch-Parameter
  • Diffie Hellman 768 Bit
  • Diffie Hellman 1024 Bit
  • IKE (RFC 2409)
  • ...
• ...

Sicherheit: VPN - Lücken

• Private Schlüssel, die lange Zeit gleich bleiben, können gebrochen werden
• Lange Leertexte sind bei einigen Verfahren problematisch
• Lücken in der Ausführung (Programmierung) der Verfahren
• Benutzer (Preshared, Fingerprint, ...)

Sicherheit: VPN - Tunnelprotokolle

• L2F - Layer 2 Forwarding
• PPTP - Point-to-Point Tunneling Protocol
• L2TP - Layer 2 Tunneling Protocol
• IPv4/IPv6 - Internet Protocol
• IPSec - Internet Protocol Security
• AH - Authentication Header
• ESP - Encapsulating Security Payload

Sicherheit: VPN - L2F

• Layer 2 Forwarding
• Entwickelt von Cisco (Nortel, Shiva)
• RFC 2341 aus 1998 (historic!)
• Reines Tunnelprotokoll (d.h. keine Verschlüsselung)
• Punkt zu Mehrpunktverbindungen möglich
• ISO-Schicht 2
• Sollte nicht mehr im Einsatz sein!

Sicherheit: VPN - PPTP

• Point-to-Point Tunneling Protocol
• Entwickelt vom PPTP-Forum (Microsoft, U.S.-Robotics, ...)
• Kein Standard, kein Keymanagement, keine Integritätsprüfung
• Verschlüsselung (40, 56 und 128 Bit)
• ISO-Schicht 2
• Dringendst ersetzen! (z.B.: Artikel in Heise Security)

Sicherheit: VPN - L2TP

• Layer 2 Tunneling Protocol
• Zusammenführung von L2F und PPTP
• RFC 2661 aus 1999 (proposed)
• Unterstützung von Mehrpunktverbindungen und NAT
• Authentifizierung mittels PAP/CHAP
• Keine Verschlüsselung (kann aber ergänzt werden z.B.: RFC 3193)
• Version 3 aus 2005 in RFC 3931 definiert

Sicherheit: VPN - IPv4/IPv6

• Internet Protocol
• Im IPv4-Protokoll keine Sicherheitsfunktionen implementiert
• Daher kann auch nur innerhalb der Nutzdaten mit Hilfe von Sicherheitsfunktionen (Verschlüsselung) gearbeitet werden
• IPSec (s.u.) später für IPv4 adaptiert.
• In IPv6 sind Sicherheitsfunktionen in das Protokoll implementiert
• In IPv6 mehr Sicherheit, da ganze Pakete gesichert werden können

Sicherheit: VPN - IPSec

• Internet Protocol Security Protocol
• RFCs 2401 – 2412
• 2 Modi
  • Transportmodus (nur die Daten werden verschlüsselt)
  • Tunnelmodus (das ganze Paket wird verschlüsselt)

Sicherheit: VPN - AH

• Authentication Header
• RFC 2402
• Im Header davor steht 51 als Protokolltyp
  (IPv4 Protocol- bzw. IPv6 Next Header-Field)

Sicherheit: VPN - ESP

• Encapsulating Security Payload
• RFC 2406
• Im Header davor steht 50 als Protokolltyp
  (IPv4 Protocol- bzw. IPv6 Next Header-Field)

Sicherheit: VPN - Sonstiges

• Hashfunktion
  • HMAC (RFC2104) keyed-Hashing for Message AuthentiCation
  • MD5 (RFC 1321) Message Digest algorithm
  • SHA (FIPS 180-1 1994) Secure HAsh standard
  • ...
• Verschlüsselungsalgorithmen
  • DES (ANSI X3.106) Data Encryption Standard bzw. 3DES
  • Blowfish (Dr.Dobb's Journal, April 1994)
  • RC5 Rivest Cipher 5 (RSA Data Security 1994) bzw. RC6
  • AES Advanced Encryption Standard (NIST 2000)
  • ...

Sicherheit: IDS/IPS

• Angriffsabwehrmanagement
• Definition
• Sensorarten
• Fehlalarme
• Varianten
• Aufgaben
• Anomalieerkennung
• Auswirkungen auf das Netzwerk

Sicherheit: IDS/IPS - Angriffsabwehrmanagement

Sicherheit: IDS/IPS - Definition

• Ein Intrusion Detection System ist ein Konglomerat von Möglichkeiten, Angriffe zu erkennen und – im Gegensatz zu statischen Firewallsystemen - darauf reagieren zu können.
• Die Reaktion besteht bei einem IDS aus der Aufzeichnung des Ereignisses
• Weiters besteht die Möglichkeit der Alarmierung
  • PopUp
  • e-Mail
  • SMS
  • ...
• Ein Intrusion Prevention System bietet zusätzlich die Möglichkeit, den Angriff zu unterbinden

Sicherheit: IDS/IPS - Sensorarten

• Network Based Sensor
  • Beobachtet den Netz-Traffic
  • Dedizierte Hardware/Software Lösung
  • Verwendet Daten-Pakete am Netz für die Informationsgewinnung
• Host Based Sensor
  • Benötigt LOG-Files und auditing agents
  • Man muß Software auf das zu überwachende System laden
  • Verwendet Daten-Pakete am Netz für die Informationsgewinnung
• Hybrid Sensor
  • Kombination aus Network und Host Based Sensor

Sicherheit: IDS/IPS - Fehlalarme

Sicherheit: IDS/IPS - Varianten

• Background Operation
  • Kein menschlicher Eingriff notwendig
• On-demand Operation
  • Reaktion ja – aber erst nach Operator-Anforderung
• Scheduled Operation
  • "On-Demand", zu definierten Zeitpunkten
• Real-Time Operation
  • Automatische Reaktion in Minuten oder Sekunden
• 7*24 Monitoring
  • Ständiges "human" controlling für neue Situationen
• Incident Response
  • Reaktion auf Meldungen von "außen"

Sicherheit: IDS/IPS - Aufgaben

• Die Analysekomponente hat zwei Teilbereiche
  • Signaturanalyse
    • Bekannte Angriffe → "Mißbrauchserkennung"
    • Analog den Scanengines der Antimalwareprogramme
    • Benötigt regelmäßige Updates
  • Anomalieerkennung
    • Unbekannte Angriffe → "auffälliges" Verhalten
    • Analog den Heuristikanalyse der Antimalwareprogramme

Sicherheit: IDS/IPS - Anomalieerkennung - Anforderungen

• Anforderungen:
  • Echtzeitfähigkeit
    • Schnelle Reaktion ist notwendig, da Intruder ihre Spuren verwischen
  • Adaptivität
    • Profile und Schwellwerte müssen ständig aktualisiert werden
  • Einfache Konfiguration
    • Mittels "Default-Profile" muß ein schnelles Umkonfigurieren möglich sein

Sicherheit: IDS/IPS - Anomalieerkennung - Profilarten 1

• Profilarten:
  • Benutzerprofile
    • Individuelle Arbeitsprofile, die bei jeder Benutzeraktion aktualisiert werden
    • Beispiele:
      • CPU
      • Tippgeschwindigkeit
      • Art & Häufigkeit der verwendeten Programme
      • bevorzugte Arbeitszeit
  • Benutzergruppenprofile
    • Zusammenfassung von Benutzern mit ähnlichen Arbeitsmustern
  • statische Benutzerprofile
    • Benutzerprofile, die nur in unregelmäßigen Abständen aktualisiert werden (gegen langsame, gezielte Benutzerveränderung der Hacker)

Sicherheit: IDS/IPS - Anomalieerkennung - Profilarten 2

• Profilarten:
  • Ressourcenprofile
    • Beschreibung systemweiter, benutzerunabhängiger Systemressourcen
    • Beispiele:
      • Speicherbedarf
      • Dateizugriffe
      • I/O-Aktivitäten an Ports
      • verwendete Protokolle
  • Prozessprofile
    • Überwachung der Systemprozesse, speziell, wenn sie keinem Benutzer zugeordnet sind (z.B: Hintergrundprogramme)

Sicherheit: IDS/IPS - Anomalieerkennung - Modelle

• Profilarten:
  • Operationales Modell
    • "Schwellwert-Modell" – ein Alarm wird ausgelöst, wenn eine Variable einen bestimmten Wert erreicht (z.B.Loginversuche).
  • Modell von Mittelwert und Standardabweichung
    • Ein Alarm wird ausgelöst, wenn sich eine Beobachtung nicht in einem "Konfidenzintervall" befindet
  • Modell von Zeitreihen
    • Ein Alarm wird ausgelöst, wenn sich eine Beobachtung nicht in einem "Konfidenzintervall" befindet. Die Zeit, zu der ein Ereignis eintritt, fließt in die Entscheidung mit ein
    • 

Sicherheit: IDS/IPS - Anomalieerkennung - Neuronale Netze

• Die Anomalieerkennung kann auch mit Neuronalen Netzen trainiert werden
• Dabei wird nach einer Lernphase auf die Vorhersagephase umgeschaltet
• Vorteil:
  • Kann auch mit "verrauschten" Daten umgehen
• Nachteil:
  • Angreifbar in der Lernphase
  • Benötigt viel "trial & error" in der Lernphase

Sicherheit: IDS/IPS - Auswirkungen auf das Netzwerk

• IDS
  • Wird i.a. offline installiert
  • Arbeitet meist mit Kopien der Netzwerkpakete
  • Zeitverzögerung des Alarms kann bei hoher Netzlast entstehen
  • Port-Mirror bei den Switches notwendig (RFC 2613)
• IPS
  • Wird i.a. online installiert
  • Arbeitet mit den Originalen der Netzwerkpakete
  • Netzwerkpakete werden bei hoher Netzlast verzögert
  • Oft in der Firewall installiert, da ähnliche Aufgaben

Sicherheit: Honeypot

Sicherheit: Man In The Middle-Attacke

• Ziel
• Arten
• Vorgehensweise auf Layer 2
• Beispiel

Sicherheit: MITM - Ziel

• Einen Rechner in ein beliebiges Netz als MITM (Man-In-The-Middle) platzieren und damit Netzwerkverkehr beobachten
• Zugriff von außen auf diesen Rechner
• Der Angriff sollte so lange wie möglich unbemerkt bleiben
• Damit sind auch Manipulationen des Datenverkehrs machbar, allerdings bleibt das oft nicht unbemerkt

Sicherheit: MITM - Arten

• Layer 2: Mit Hilfe von ARP-Spoofing
• Layer 3: Mit einen Rogue-DHCP-Server
• Layer 7: Mit einem Spoofing-DNS-Server
• ...

Sicherheit: MITM - Vorgehensweise

• Schritt 1:
  • Das betreffende Netzwerk finden
• Schritt 2:
  • Platzieren eines Rechner im betreffenden (V)LAN
• Schritt 3:
  • Starten der MITM-Attacke (d.h. Umleitung der Datenpakete des Opfers zur Analyse)

Sicherheit: MITM - Beispiel 1

Sicherheit: MITM - Beispiel 2

Sicherheit: MITM - Beispiel 3

Sicherheitsverwaltung: Labor

• Auswerten von Logfiles zu einem Sicherheitsbericht
• Welche Logfiles
  • Syslog
  • Windows Ereignisanzeige
  • Firewall
  • Intrusion Detection System
  • ...
• Auswerten der Logfiles
• Erstellen des Sicherheitsberichts

Betriebsparameter

• Betriebsparameter definieren
• Beispiele für Betriebsparameter
• Wichtige Betriebsparameter erkennen
• Wichtige Betriebsparameter überwachen
• Konsequenzen aus der Überwachung

Betriebsparameter: Definition

• Ein Betriebsparameter ist eine Eigenschaft, die den "Betrieb" charakterisiert
• Oft durch eine Kennzahl oder eine Kenngröße beschrieben
• Abweichungen von den Sollwerten haben i.a. negative Auswirkungen auf den Betrieb

Betriebsparameter: Gliederung

• Hardware
• Dienste
• Betriebssystem
• Applikationen
• Protokolle
• ...

Betriebsparameter: Hardware

• Client-Computer
• Router
• Switch
• Kabel
• Access Point
• Appliance (Firewall, NAS, ...)
• Server
• ...

Betriebsparameter: Dienste

• Webserver
• Mailserver
• VoIP-Server
• Verzeichnisdienst
• Datenbankserver
• Groupwareserver
• ...

Betriebsparameter: OS

• Clientbetriebssysteme
• Serverbetriebssysteme
• Routerbetriebssysteme
• Switchbetriebssysteme
• Appliancebetriebssysteme
• "Telephon"betriebssysteme
• ...

Betriebsparameter: Applikationen

• Büroapplikationen (Text, Tabellenkalkulation, Präsentation, …)
• Datenbankapplikationen (CRM, …)
• Groupware (Kalender, Workflow, …)
• Geschäftsanwendungen
• "Netz"-Anwendungen (Browser, Mail, …)
• Entwicklungsapplikationen (Compiler, …)
• ... (Antimalwareprogramme, …)

Betriebsparameter: Protokolle

• Protokolle der Anwendungsschicht
• Protokolle der Transportschicht
• Protokolle der Netzwerkschicht
• Protokolle der Datenverbindungsschicht
• ...

Betriebsparameter: Beispiele

Betriebsparameter: Auswahl

• Kriterien erstellen, nach denen aus der Unzahl von Parametern, die ausgewählt werden, die wichtig (=notwendig für den Betrieb der Firma (Institution, …)) sind
• Meßbarkeit dieser Parameter sicherstellen
• Definition von Grenzwerten

Betriebsparameter: Überwachung

• Festlegung, wie diese Parameter überwacht und protokolliert werden
• Automatisch und/oder Manuell
• Laufend ("Trap"gesteuert) / Zyklisch / Bei Bedarf
• Zentral oder Dezentral
• Verantwortung für Überwachung

Betriebsparameter: Konsequenzen

• Passiv: Logfiles bzw. Datenbank
• Aktiv: Meldung bzw. Alarmierung
• Meldung: Popup, Mail, SMS, …
• Einstufung der "Dringlichkeit"
• Reaktion?
  • Wer, Wie, Wann
  • Protokollierung der Reaktion

Betriebsparameter: Überwachungsframeworks - NonOSS

• HP OpenView → HP Business Technology Optimization bzw. HP Service Activator
• IBM Tivoli
• (CA NSM → CA Netmaster, CA wurde zu CA Technologies als Teil von Broadcom)
• Microsoft Operation Manager (MOM) → Microsoft System Center Operations Manager (MS-SCOM)

Betriebsparameter: Überwachungsframeworks - OSS

• NAGIOS
• ZENOSS
• OpenNMS
• Cacti
• Zabbix
• Spiceworks
• ...

NAGIOS

• Was ist das
• Geschichte
• Features
• Versionen
• Umsetzung

NAGIOS

• Nagios
• Ain´t
• Gonna
• Insist
• On
• Sainthood

NAGIOS: Fakten

• OSS (Open Source Software)
• Autor: Ethan Galstad (et al.)
• NAGIOS ist ein Monitoring System zur Überwachung der IT-Infrastruktur
• Schwierigkeiten sollen erkannt werden, bevor sie "kritisch" werden (d.h. den Betrieb stören)

NAGIOS: Geschichte

• 1996
  • MS-DOS Applikation, um die Funktion von Netwareservern zu überwachen
• 1998
  • Umstellung auf Linux
• 1999
  • Open Source Projekt "NetSaint"
  • PlugIns
• 2002
  • Aus markenschutzrechtlichen Gründen Umbenennung in NAGIOS
• 2007
  • Gründung der Nagios Enterprises, LLC zur Vermarktung der Dienstleistung und der Entwicklung

NAGIOS: Features 1

• Umfangreiche Überwachung
  • Überwachung von Applikationen, Diensten, Betriebssystemen, Netzwerkprotokollen, Infrastrukturkomponenten
  • Script APIs erlauben die Überwachung von Nichtstandardkomponenten (z.B.: eigener Software)
• Aufbereitete Darstellung
  • Zentrale Sicht auf die gesamte IT-Infrastruktur
  • Detaillierte Statusinformationen im Webinterface
• Wahrnehmung
  • Rasches Erkennen von Ausfällen einer Infrastrukturkomponente
  • Alarme an die zuständigen Personen mittels eMail oder SMS
  • Eskalationsmöglichkeiten sichern die Zustellung eines Alarms an die richtigen Personen

NAGIOS: Features 2

• Problembeseitigung
  • Alarmbestätigungen erleichtern die Kommunikation und die Problembearbeitung
  • Ereignissteuerungen (Event handler) erlauben den automatischen Neustart von Anwendungen oder Diensten
• "Proaktive" Planung
  • Erweiterungen zur Beobachtung von Trends und zur Planung der Kapazität bewahren vor Engpässen
  • Geplante Ausfälle erlauben die Verhinderung von Alarmen während des Ausbaus der Infrastruktur
• Auswertung und Berichte
  • Verfügbarkeitsberichte sichern die Einhaltung von SLAs
  • Historische Berichte bieten die Aufzeichnung von Alarmen, deren Bestätigung und Beantwortung
  • "Addons" erweitern die Berichtsmöglichkeiten

NAGIOS: Features 3

• Mandantenfähigkeit
  • Der mehrbenutzerfähige Zugriff erlaubt allen Berechtigten die jeweilige Sicht auf ihre Infrastruktur
  • Benutzerspezifische Darstellungen sichern die jeweils notwendige Detailtiefe
• Erweiterbare Architektur
  • Einfache Integration in Anwendungen von Drittanbietern mit Hilfe mehrerer APIs
  • Erweiterung der Basisfunktionalität durch zahlreiche AddOns (nicht alle OSS)
• Bewährte und stabile Plattform
  • Mehr als 20 Jahre in Entwicklung/am Markt
  • Skalierbar auch für viele zu überwachende Knoten (mehrere 1000)
  • Redundanz zur Ausfallssicherung garantiert die unterbrechungsfreie Überwachung kritischer IT-Infrastruktur

NAGIOS: Features 4

• Dynamische "Community"
  • Mehr als eine Million Benutzer
  • Kostenloser Support über Mailinglisten
  • Viele Addons
• Anpassbarer Programmcode
  • OSS (Open Source Software)
  • GPL (General Public License)
  • Damit Zugriff auf den gesamten Quellcode

NAGIOS: Installation

• Die Installation erfolgt abhängig vom eingesetzten Betriebssystem am Überwachungsserver
• Schnellstartanleitungen für verbreitete Betriebssysteme (z.B.: OpenSuSE, Ubuntu, …) finden sich unter:
  NAGIOS Quickstart

NAGIOS: Überwachung Windows

• Agent (NSClient++, NC_Net, …) am Zielsystem Windows

Quelle: http://nagios.sourceforge.net/docs/nagioscore-3-en.pdf

NAGIOS: Überwachung Linux

• Agent am Zielsystem Linux

Quelle: http://nagios.sourceforge.net/docs/nagioscore-3-en.pdf

NAGIOS: Überwachung Drucker

• Agent am Zielsystem Netzwerkdrucker

Quelle: http://nagios.sourceforge.net/docs/nagioscore-3-en.pdf

NAGIOS: Überwachung Router/Switch

• Agent am Zielsystem Router/Switch

Quelle: http://nagios.sourceforge.net/docs/nagioscore-3-en.pdf

NAGIOS: Konfiguration Überwachung

• Konfiguration am NAGIOS-Server
  • ev. Installieren bzw. Aktivieren eines PlugIns (z.B.: check_nt;)
  • Definition des neuen Hosts (unter Verwendung von Templates)
  • ev. Definition neuer Dienste
  • Neustart des NAGIOS-Dämons

NAGIOS: Konfiguration - Beispiel Windows 1

• Host Definition (/usr/local/nagios/etc/objects/windows.cfg)
  • define host{
  • use windows-server ; (Template)
  • host_name spgsrv
  • alias Server_Spengergasse1
  • address 192.168.1.2
  • }

NAGIOS: Konfiguration - Beispiel Windows 2

• Überwachung der Agentversion
  • define service{
  • use generic-service; (Template)
  • host_name spgsrv
  • service_description NSClient++ Version
  • check_command check_nt!CLIENTVERSION
  • }

NAGIOS: Konfiguration - Beispiel Windows 3

• Überwachung der Laufzeit
  • define service{
  • use generic-service; (Template)
  • host_name spgsrv
  • service_description Uptime
  • check_command check_nt!UPTIME
  • }

NAGIOS: Konfiguration - Beispiel Windows 4

• Überwachung der CPU-Auslastung
  • define service{
  • use generic-service; (Template)
  • host_name spgsrv
  • service_description CPU Load
  • check_command check_nt!CPULOAD!-l 5,80,90
  • }
  • Anmerkung: 5=5Minuten, 80%=Warnung, 90%=Critical

NAGIOS: Konfiguration - Beispiel Drucker 1

• Host Definition (/usr/local/nagios/etc/objects/printer.cfg)
  • define host{
  • use generic-printer ; (Template)
  • host_name hplaserjetnet
  • alias HP LaserJet 4000 dn
  • address 192.168.1.30
  • hostgroups allhosts
  • }

NAGIOS: Konfiguration - Beispiel Drucker 2

• Überwachung des Druckers
  • define service{
  • use generic-service; (Template)
  • host_name hplaserjetnet
  • service_description Printer Status
  • check_command check_hpjd!-C public
  • normal_check_interval 10
  • retry_check_interval 1
  • }

NAGIOS: Konfiguration - Beispiel Switch 1

• Host Definition (/usr/local/nagios/etc/objects/switch.cfg)
  • define host{
  • use generic-switch ; (Template)
  • host_name cisco-2960-253
  • alias Cisco 2960 Switch Etage1
  • address 192.168.1.253
  • hostgroups allhosts,switches
  • }

NAGIOS: Konfiguration - Beispiel Switch 2

• Überwachung des Pingverhaltens
  • define service{
  • use generic-service; (Template)
  • host_name cisco-2960-253
  • service_description PING
  • check_command check_ping!200.0,20%!600.0,60%
  • normal_check_interval 5
  • retry_check_interval 1
  • }
  • Anmerkung1: WARNING: RTA von 200ms oder Packetloss von 20%
  • Anmerkung2: CRITICAL: RTA von 600ms oder Packetloss von 60%

NAGIOS: Konfiguration - Beispiel Webserver 1

• Host Definition (/usr/local/nagios/etc/objects/hosts.cfg)
  • define host{
  • use host ; (Template)
  • host_name webserver
  • alias External Web Server
  • address 192.189.51.132
  • hostgroups allhosts
  • }

NAGIOS: Konfiguration - Beispiel Webserver 2

• Überwachung des Webservers
  • define service{
  • use generic-service; (Template)
  • host_name webserver
  • service_description HTTP
  • check_command check_http
  • }

NAGIOS: Labor

• Konfiguration der Überwachung einiger Geräte
• Fertiges NAGIOS-System
  • z.B.: NAGIOS XI
  • ...
• Konfiguration mittels Webinterface
• Kontrolle der Funktionsweise

Troubleshooting

• Motivation
• Fehlermöglichkeiten
• Vorgangsweise
• Prüfmittel - Software
• Prüfmittel - Hardware
• Vorbeugung

Troubleshooting: Motivation

• Fehler im Netzwerk verursachen Ärger und vorallem Kosten
• Daher sollen diese vermieden werden und im Falle des Falles rasch gefunden und beseitigt werden können
• Ein systematische Fehlersuche reduziert eventuelle Ausfallszeiten und behebt Fehler (nicht nur ein "Workaround")
• Auch bei der Wahl eines Workarounds muß im Anschluß der eigentliche Fehler gesucht und beseitigt werden
• Monitoringsysteme (z.B.:NAGIOS) helfen bei der Fehlererkennung

Troubleshooting: Fehlermöglichkeiten

• Arbeitsstation
  • Hardware
  • Software
• Übertragung
  • Hardware
  • Software
• Server
  • Hardware
  • Software

Troubleshooting: Arbeitsstation Hardware

• Netzwerkkarte
• Einstellungen (PnP, (IRQ, Port, DMA))
• Motherboard
• Peripheriegeräte (Platten, ...)
• Stromversorgung
• ...

Troubleshooting: Arbeitsstation Software

• Konfigurationsdateien (z.B.: Registry, CONFIG.SYS, /etc/modules.conf)
• Netzwerkkonfiguration (Registry, /etc/sysconfig/network/ifcfg-eth0)
• Treiber
• Anwendung
• ...

Troubleshooting: Übertragung Hardware

• Verkabelung (Kabellänge)
• Abschlußwiderstand
• Stecker
• Wackelkontakte
• Kurzschlüsse
• Erdung
• Übertragungstechnik
• ...

Troubleshooting: Übertragung Software

• Topologie
• Routing / Router
• Segmentierung (Physisch / Logisch)
• Adress-Schema
• Konfiguration
• ...

Troubleshooting: Server Hardware

• Netzwerkkarte
• Einstellungen (PnP, (IRQ, Port, DMA))
• Motherboard
• Peripheriegeräte (Platten, ...)
• Stromversorgung
• ...

Troubleshooting: Server Software

• Konfigurationsdateien (z.B.: Registry, STARTUP.NCF, AUTOEXEC.NCF, /etc/inetd.conf)
• Treiber und ihre Parameter
• Netzwerkkonfiguration
• ...

Troubleshooting: Vorgangsweise

• Einschränken, welche Komponente für den Fehler verantwortlich ist
• Grobprüfung der Arbeitsstation (Reboot)
• Sichtprüfung des Netzwerkanschlusses
• Sichtprüfung des Servers (OK?)
• Auslesen der Log-Dateien
• Detailprüfung der Arbeitsstation
• Prüfmittel (Software)
• Prüfmittel (Hardware)

Troubleshooting: Prüfmittel - Software

• Prüfen der Konfiguration der Arbeitsstation
• Prüfen der Übertragungsstrecke
• Prüfen der aktiven Komponenten (Switch, ...)
• Prüfen des Servers
• ...

Troubleshooting: Prüfmittel - Software - Arbeitsstation

• Konfigurationsdateien mit aktueller Kopie vergleichen
• Funktionsfähigkeit ohne Netz prüfen
• Funktionsfähigkeit im Netz mit einfacher Anwendung prüfen (ev. Bootstick)
• ...

Troubleshooting: Prüfmittel - Software - Übertragungsleistung

• COPY, XCOPY, cp,
• ...

Troubleshooting: Prüfmittel - Software - Komponenten

• Repeater
• Bridges
• Hubs
• Switches
• Router
• SNMP, Managementsoftware
• ...

Troubleshooting: Prüfmittel - Software - Windowsserver

• AUTORUNS.EXE
• REGMON.EXE
• TCPVIEW.EXE
• Eventviewer
• Taskmanager
• Ressourcenmonitor
• ...

Troubleshooting: Prüfmittel - Software - Linuxserver

• ps
• netstat
• iptraf
• systat
• /var/log/messages (bzw. journalctl)
• ...

Troubleshooting: Prüfmittel - Hardware

• Kabeltester (Layer 0,1)
• LAN Troubleshooter (Layer (0,1),2,3)
• LAN Analyzer (Layer 3,4,5,6,7)
• ...

Troubleshooting: Vorbeugung Arbeitsstation

• Benutzerschulung
• Kopie der Konfigurationsdateien
• Backup
• Zertifizierte Hardware
• Standardisierung (so wenig Typen wie möglich)
• Dokumentation
• ...

Troubleshooting: Vorbeugung Übertragungsstrecke

• Zertifizierte Hardware
• Abnahme vor erster Inbetriebnahme
• Dokumentation aller Komponenten
• Laufende Prüfungen
• Dokumentation aller Änderungen
• Wichtige Systeme mit Ersatzstrecken ausstatten
• ...

Troubleshooting: Vorbeugung Server

• Kopie der Konfigurationsdateien
• Backup
• Zertifizierte Hardware
• UPS, SFT-Level, RAID, Cluster, ...
• Dokumentation
• ...

Troubleshooting: Labor

• Meßgeräte und deren Einsatz in der Fehlersuche

Systemcalls

• Definition (Was ist das?)
• Zweck (Warum?)
• Umsetzung
• APIs (Application Programming Interface)
• Bibliotheken
• Beispiel

Systemcalls: Definition

• Systemcalls sind vom Betriebssystem zur Verfügung gestellte Aufrufe, um die Funktionen des Betriebssystems von einem Programm aus benutzen zu können

Systemcalls: Zweck

• Umsetzung der Trennung verschiedener Modi (Kernel, User)
• Datenübergabe zwischen Programm und Betriebssystem
• Nutzen der vorhandenen Betriebssystemfunktionen (z.B.: Datei öffnen, …)

Systemcalls: Umsetzung

• Sehr von der verwendeten Hardware abhängig
• Häufig als Softwareinterrupt implementiert
• Programm meldet damit dem Betriebssystem, welche Funktion benötigt wird

Systemcalls: APIs

• Für eine möglichst einfache Benutzung der Systemcalls stellen die Betriebssysteme APIs (Application Programming Interface) zur Verfügung, über die der Anwendungsprogrammierer die Funktionen benutzen kann

Systemcalls: Bibliotheken

• Da die Betriebssysteme immer mehr Funktionen zur Verfügung stellen, werden auch die Zahl der Systemcalls mehr
• Für unterschiedliche Entwicklungsumgebungen werden Bibliotheken angeboten, die die Verwendung der APIs wesentlich vereinfachen

Systemcalls: Bibliotheken - Bereiche

• I/O
• Dateioperationen
• Windowmanagement
• Timerfunktionen
• Prozessmanagement
• ...

Systemcalls: Beispielübersicht

• Lesen/Schreiben einer Registryeinstellung unter Windows mittels Bibliotheksaufruf
• Lesen einer Datei unter C

Systemcalls: Beispiel1

• z.B.: in der Scriptsprache Autohotkey
• Lesen:
  • RegRead, Value, HKCU, Software\CKTools\sudokum, StartX
• Schreiben:
  • RegWrite, REG_DWORD, HKCU, Software\CKTools\sgm, StartX, 100

Systemcalls: Beispiel2

• #include <stdio.h>
• ...
• datvar=fopen(filetoread, "r")
• fgets(vektor, maxzeichen, datvar)
• ...
• fclose(datvar)

Systemcalls: Labor

• Schreiben einer Anwendung, die vom Betriebssystem Datum und Uhrzeit in lokaler Darstellung und eventuelle Lokalisierungs- und Spracheinstellungen abfrägt und diese in einem Fenster darstellt (optional mit einem Button zum Aktualisieren, …)

Shellprogrammierung

• Übersicht
• Shellprogrammierung Windows
• Shellprogrammierung Linux
• Beispiel Windows Shell Script
• Beispiele Windows Powershell
• Beispiel Autohotkey
• Beispiel Bashscript
• Beispiel TCL

Shellprogrammierung: Übersicht

• Auftragssteuersprachen
• Je nach Betriebssystem unterschiedliche Skriptsprachen
  • VSE: JCL (Job Control Language)
  • VMS: DCL (Digital Command Language)
  • Windows: BATch, CoMmanD und Powershell
  • Linux: Shellscripte
  • ...

Shellprogrammierung: Windows

• Betriebssystemeigene Sprachen
  • Windows Shell Skript (cmd.exe)
  • Windows Power Shell
• Zusätzliche Programme
  • VBScript, JScript
  • AutoIT, AutoHotKey
  • TCL (Tool Command Language)

Shellprogrammierung: Linux

• Betriebssystemeigene Sprachen
  • Shellscripte (bash, csh, sh, ksh)
• Zusätzliche Programme
  • TCL (Tool Command Language)
  • ...

Shellprogrammierung: Windows Shell Script

• Alle Dateien mit bestimmtem Datum anzeigen
•  
• @ECHO OFF
• IF %1.==. GOTO EXIT
• DIR | FIND "%1"
• :EXIT

Shellprogrammierung: Windows Powershell

• Alle Prozesse, die mehr als 10MB RAM benötigen, beenden
•  
• Get-Process | where { $_.WS -gt 10MB } | Stop-Process
•  
• Warten bis Notepad terminiert wird
•  
• $processToWatch = Get-Process notepad
• $processToWatch.WaitForExit()

Shellprogrammierung: Autohotkey

• Programm setzt Datum/Uhrzeitinfos einer Datei auf den aktuellen Wert
  • P1=%1%
  • Start:
  • if P1 {
    • Filename:=P1
    • FileSetTime,,%Filename%,C,0,0}
  • else {
    • MsgBox, 64, SetDate, Programm setzt Zeitstempel,5}
  • ExitApp
  • GuiDropFiles:
  • P1:=A_GuiControlEvent
  • Goto Start

Shellprogrammierung: Bashscript

• Neuen Mailuser auf einem Linuxserver anlegen
  • #!/bin/bash
  • # Usage: addmailuser username prename lastname
  • if ["$1" = ""]
  • then
    • echo Usage: $0 username prename lastname
  • else
    • useradd -c "$2 $3" -p -u $1
    • passwd $1
    • mkdir /home/$1
    • chown $1:users /home/$1
    • echo "Das ist eine Testnachricht" | mail -s Test $1
  • fi

Shellprogrammierung: TCL

• Ausgeben eines Textes
•  
• # Erstes TCL-Programm
• button .btn -text "Hallo Benutzer"
• pack .btn

Regular Expressions

• Einführung
• Zeichenausdrücke
• Bereiche und Klassen
• Besondere Zeichen
• Zeichenposition
• Sonderzeichen
• Optionen

Regular Expressions: Einführung

• Reguläre Ausdrücke sind Zeichenketten, die mittels syntaktischer Regeln Mengen von Zeichenketten dient
• \b[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,4}\b
• Beschreibt e-Mail-Adressen

Regular Expressions: Zeichenausdrücke

• Beliebiges Zeichen (außer Zeilenumbruch)
• kein oder mehr Vorkommen vom vorangegangenen Zeichen
• kein oder ein Vorkommen vom vorangegangenen Zeichen
• ein oder mehr Vorkommen vom vorangegangenen Zeichen

Regular Expressions: Bereiche und Klassen

• {min,max}

  zwischen min und max Vorkommen vom vorangegangenen Zeichen

• [...]

  Klasse von Zeichen

  • [abc]

    a oder b oder c

  • [a-z]

    beliebiger Kleinbuchstabe

  • [A-Z]

    beliebiger Großbuchstabe

  • [0-9]

    beliebige Ziffer

  • [a-zA-Z]

    beliebiger Buchstabe

• [^…]	Zeichen, das nicht in Klasse ist

Regular Expressions: Besondere Zeichen

• \d	Eine Ziffer

• \D	Eine "Nichtziffer"

• \s	Ein "Whitespace"-Zeichen" (Leerzeichen, Tabulator, Zeilenumbruch)

• \S	Ein "Nicht-Whitespace-Zeichen"

• \w	Ein "Wortzeichen" [a-zA-Z0-9_]

• \W	Ein "Nichtwortzeichen"

Regular Expressions: Zeichenposition

• ^	Zeichen muß erstes Zeichen sein

• $	Zeichen muß letztes Zeichen sein

• \b	Wortgrenze

• |	Auswahl (entweder oder)

• (…)	z.B.: (Mon|Diens|Donners|Frei)tag (xy)+ ein oder mehr "xy"

Regular Expressions: Sonderzeichen

• \t

  Tabulator

• \r	Carriage Return

• \n	Neue Zeile

• \xHH	Zeichen in Hexcodeangabe

• \.

  Punkt

• \\	Backslash (Methode funktioniert für alle Sonderzeichen (.*?+[{|()^$)

Regular Expressions: Optionen

• An Anfang einer Regular Expression können Optionen stehen: "opt)RegEx"

• i	Groß-/Kleinschreibung irrelevant

• m	Mehrzeilig

• s	"." inklusive Zeilenumbruch

• x	ignoriert Whitespace im Muster

• ...

Webapplikationen

• Architektur von Webapplikationen
• Verteilung der Aufgaben bei Webapplikationen
• Speicherung von Daten bei Webapplikationen
• Entwicklungswerkzeuge für Webapplikationen

Webapplikationen: Architektur

• Webserver
• Applikationsserver
• Authentifikationsserver
• Client

Webapplikationen: Webserver - Aufgaben

• Dokumente (HTML-Dateien, CSS-Dateien, Bilder, …) an Clients ausliefern
• Das verwendete Protokoll ist dabei HTTP (Port 80) bzw. HTTPS (Port 443)
• Heute zunehmend dynamisch erstellte Dokumente (SSI, PHP, JSP, ASP, …)

Webapplikationen: Webserver - Zusatzaufgaben

• Cookieverwaltung
• Zugriffsbeschränkungen
• Weiterleitung – Rewrite
• Fehlerbehandlung (Fehlerseiten)
• Protokollierung
• (Caching)

Webapplikationen: Webserver - Produkte

• Apache HTTP Server
  • Apache Software Foundation
• IIS (Internet Information Server)
  • Microsoft
• Nginx
  • NGINX, Inc. (Igor Sysoev)
• Sonstige
  • CERN httpd
  • lighttpd
  • ...

Webapplikationen: Applikationsserver - Aufgaben

• Server auf dem Anwendungsprogramme ausgeführt werden
• Laufzeitumgebung für den Serverteil einer Client-Server-Anwendung
• Daten vom Client verarbeiten und die Ergebnisse wieder dem Client zur Verfügung stellen

Webapplikationen: Applikationsserver - Produkte

• Adobe ColdFusion
• IBM Websphere
• Oracle (BEA) Weblogic
• Apache Tomcat
• Zope
• ...

Webapplikationen: Authentifikationserver - Aufgaben

• Webinterface für Benutzer (i.A. https)
• Sicherheit nach außen (Problematik mehrerer Server im Inneren und damit unterschiedliche Zertifikate)
• Funktionsweise eines "Reverse Proxy"
• Oft Anbindung an Verzeichnisdienst, selten eigene Benutzerdatenbank

Webapplikationen: Authentifikationserver - Produkte

• Sun ONE (Open Network Environment) -> Sun Java Enterprise System
• Novell iChain -> Novell Access Manager -> NetIQ Access Manager
• Microsoft Forefront

Webapplikationen: Client

• Browser
  • Mozilla Firefox
  • Chromium/Google Chrome
  • Microsoft Internet Explorer/Edge
  • Apple Safari
  • ...
• Apps

Client-Server-Architektur

• Definition
• Zutaten
• Serverbeispiele
• Schichten
• 2-Schicht-Architektur
• 3-Schicht-Architektur
• Mehrschichtarchitekturen

Client-Server-Architektur: Definition

• Client-Server-Architektur beschreibt ein Modell Aufgaben in einem Netzwerk zu verteilen
• Dabei übernehmen Server die zentralen Aufgaben und stellen sie Clients zur Verfügung

Client-Server-Architektur: Zutaten

• Server (Dienstleister)
• Client (Nutzer)
• Protokoll (erlaubt dem Client einen Request an den Serverdienst zu stellen und eine entsprechende Response auszuwerten)

Client-Server-Architektur: Serverbeispiele

• Fileserver (NCP, SMB, NFS, …)
• Printserver (LP, NCP, …)
• Medienserver (CD-ROM, DVD, Streams)
• Datenbankserver
• Mailserver (smtp, pop, imap)
• Webserver (http)
• Applikationsserver
• ...

Client-Server-Architektur: Schichten

• Um die Komplexität von Anwendungen zu reduzieren bzw. die Modularität zu erhöhen, wird auch bei Softwarearchitekturen ein Schichtenmodell eingesetzt, allerdings mit deutlich weniger Schichten, wie im ISO-Referenzmodell

Client-Server-Architektur: 2-Schicht-Architektur

• "Two-Tier-Architecture"
• Klassische Client-Server-Architektur
• Clientschicht (oft auf Fat-Client, d.h. Client übernimmt auch Logikaufgaben)
• Serverschicht (immer auf Fat-Server)

Client-Server-Architektur: 3-Schicht-Architektur

• "Three-Tier-Architecture"
• Aktuelle Realisierungen beruhen meist auf diesem Modell
• Präsentationsschicht (Client Tier)
• Logikschicht (Middle Tier)
• Datenhaltungsschicht (Database Server Tier)

Client-Server-Architektur: Client Tier

• "Front End"
• Benutzerschnittstelle (GUI)
• Benutzereingaben
• Kommunikation mit der Middle Tier
• i.A. keine direkte Kommunikation mit dem Back End
• Oft im Webbrowser realisiert

Client-Server-Architektur: Middle Tier

• "Application-Server-Tier", "Enterprise Tier", "Businesslogikschicht"
• Umsetzung der Businesslogik
• Kommunikation mit den anderen beiden Schichten (getrennt von einander)
• Realisierung mit einem Anwendungsserver

Client-Server-Architektur: Database Server Tier

• "Back End"
• Datenhaltung i.A. auf einem Datenbankserver
• Kommunikation mit der Middle Tier

Client-Server-Architektur: Beispiel

Quelle: https://de.wikipedia.org/wiki/3-Tier-Architektur#Drei-Schichten-Architektur

Client-Server-Architektur: Mehrschichtarchitekturen

• Hier wird das 3-Schichten-Modell erweitert, indem einzelne Aufgaben aus einer der drei Schichten herausgelöst werden und in einer eigenen Schicht implementiert werden
• z.B.: Präsentation, Steuerung, Datenzugriff

Prozesskommunikation

• Prozesslebenszyklus
• Prozesssynchronisation
• Semaphoren
• Pipes
• RPC
• RPC-SOAP

Prozesskommunikation: Prozesslebenszyklus

Prozesskommunikation: Prozesssynchronisation

• Prozesse sind oft voneinander abhängig
• z.B.:
  • Schreibprozess muß auf Daten warten
  • Zwei Prozesse wollen gleiche HW nutzen
• => 2 Grundklassen der Synchronisation
  • Wechselseitiger Ausschluss
  • Prozesskooperation

Prozesskommunikation: Semaphoren

• Binärsemaphoren
  • Ampel (rot/grün)
  • Flag (aus/ein, wahr/falsch, up/down, ...)
  • ...
• allgemeine Semaphoren
  • Zähler
  • ...

Prozesskommunikation: Pipes

• Manche Betriebssysteme bzw. Prozessoren stellen für die einfachere Synchronisation sogenannte Pipes ("Röhren" für einen Datenstrom) zur Verfügung. Dabei werden die Ergebnisse eines Befehls als Eingabe für den nächsten Befehl verwendet (FIFO)
• z.B.: dir | sort | more >filelist.txt

Prozesskommunikation: Pipes - Symbole

• |	Anonyme Pipe

• <	Named Pipe für die Eingabe

• >	Named Pipe für die Ausgabe

• >>	Named Pipe für die Ausgabe (append)

• [unit]>

  Angabe einer Ein- oder Ausgabeeinheit (z.B. 2>&1)

Prozesskommunikation: RPC

• Remote Procedure Call
• RFC 707, 1057, 5531
• Viele inkompatible Implementierungen
  • XNS Xerox Network System
  • Sun ONC RPC (Open Network Computing)
  • DCE RPC (Distributed Computing Env.)
  • MSRPC → DCOM → .NET Remoting

Prozesskommunikation: RPC - Ablauf

• Client sendet eine Anfrage an den Server
• Server verarbeitet diese Anfrage
• Server schickt eine Antwort
• Client arbeitet mit der Anwort weiter

Prozesskommunikation: RPC - SOAP

• Simple Object Access Protocol → Eigenständiges Acronym
• Weiterentwicklung von XML-RPC
• Spezifikationen: https://www.w3.org/TR/soap/

Prozesskommunikation: RPC - SOAP Request Beispiel

• <?xml version="1.0"?>
• <s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope">
  • <s:Body>
    • <m:TitleInDatabase xmlns:m="http://www.spg.at/db/soap">
      • NVS1 und Coufal
    • <:/m:TitleInDatabase>
  • </s:Body>
• </s:Envelope>

Prozesskommunikation: RPC - SOAP Reply Beispiel

• <?xml version="1.0"?>
• <s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope">
  • <s:Header>
    • <m:RequestID xmlns:m="http://www.spg.de/db/soap">FC</m:RequestID>
  • </s:Header>
  • <s:Body>
    • <m:DbResponse xmlns:m="http://www.spg.at/db/soap">
      • <m:title value="NVS1 und Coufal">
        • <m:Choice value="1">NVS1_H4.PDF</m:Choice>
        • <m:Choice value="2">NVS1_B78.PDF</m:Choice>
      • </m:title>
    • <:/m:DbResponse>
  • </s:Body>
• </s:Envelope>

ASA: Übersicht

• ASA – Was ist das?
• Betriebsmodi
• Commandline - Bedienung
• Schnittstellen
• ASA-OS (Finesse -> Linux)
• Unterlagen beziehen sich auf ASA-OS ab V8.4

ASA: Was ist das?

• Advanced Security Appliance
• ASA steht für eine Familie von Stateful Inspection Firewalls der Firma Cisco
• Kein Router!
• NAT, PAT und DHCP-Support
• Automatische Konfiguration der Sicherheit über Sicherheitsstufen

ASA: Betriebsmodi

• User Mode (Runmode, kaum Befehle)

• ↓ (enable)

  ↑ (disable)

• Privileged Mode (Alle Befehle außer Konfiguration)

• ↓ (configure terminal)

  ↑ (exit)

• Configuration Mode (Alle Befehle)
• Anmerkung zu "enable": Sollte noch kein enable-Passwort gesetzt sein, wird trotzdem danach gefragt, in diesem Fall eingeben.

ASA: Commandline - Bedienung

• Hilfe
• Abkürzungen
• Mehrseitige Ausgaben
• Kontrollzeichen

ASA: Hilfe

• Durch den Befehl "help" oder das "?" wird ein Hilfetext ausgegeben
• Ebenso bei einem Syntaxfehler
• Wie bei IOS kann die Hilfe auch für eine Subebene eines Befehls angefordert werden

ASA: Abkürzungen

• Alle Befehle können soweit abgekürzt werden, bis sie noch eindeutig sind
• 0 als IP-Adresse wird als 0.0.0.0 interpretiert

ASA: Mehrseitige Ausgaben

Mehrseitige Ausgaben bleiben nach 24 Zeilen (einstellbar) stehen, dabei gelten folgende Steuerzeichen:

Steuerzeichen	Beschreibung
	Bei mehrseitigen Ausgaben, zeigt diese Taste die nächste Zeile an
	Bei mehrseitigen Ausgaben, zeigt diese Taste die nächste Seite an
	Bei mehrseitigen Ausgaben wird abgebrochen

ASA: Steuerzeichen 1

Steuerzeichen	Beschreibung
	Zeilenanfang
	Zeilenende
	Zeile löschen
	Zeile wiederherstellen
oder	Ein Zeichen nach links
oder	Ein Zeichen nach rechts
oder	Vorige Zeile
oder	Nächste Zeile
oder	Löscht das Zeichen links vom Cursor

ASA: Steuerzeichen 2

Steuerzeichen	Beschreibung
	Verlassen des Konfigurationsmodus (auch aus einem Submodus)
	Ergänzt einen Befehl
	Bricht bestimmte Befehle ab (z.B.: traceroute, telnet)

ASA: Schnittstellen

• Je nach Modell sind verschiedene Ethernet-Netzwerkschnittstellen implementiert z.B.:
• ASA 5505 >2 (8*10/100 MBit/s Switch mit VLAN-Support)
• ASA 5506 8*10/100/1000 MBit/s
• ...
• ASA 5585-X bis zu 10 (GBit/s)

ASA: ASA-OS 1

• Unterschiede zu IOS
• Wichtige Befehle
• Konfiguration ansehen, speichern, ...
• Allgemeine Konfigurationsbefehle
• Schnittstellenkonfiguration
• Translation Rules
• ACLs (Access Control Lists)

ASA: ASA-OS 2

• ASA als DHCP-Server
• VPN-Tunnel
• Management der ASA
  • Telnet
  • SSH
  • ASDM (ASA Secure Device Manager)
• Datum, Uhrzeit und ntp
• Logging

ASA: Unterschiede zu IOS

• Keine sekundären IP-Adressen
• In ACLs Subnetmasken statt Wildcards

ASA: Wichtige Befehle

• reload
• ping <name|ip>
• show <befehl>
  • show dhcpd bindings
  • ...
• clear <befehl>
  • clear arp
  • ...
• passwd <linepassword> (Kein Default)
• enable password <enablepassword> (Kein Default)

ASA: Konfiguration bearbeiten

• show configuration - Anzeige der Startupkonfiguration
• show running-config (write terminal) - Anzeige der laufenden Konfiguration
• copy running-config startup-config (write memory) - Sichern der laufenden Konfiguration in das NVRAM
• write erase - Löschen der Konfiguration
• copy running-config tftp:[//<server>:/<file>] (write net <ip>:<file>) - Kopieren der Konfiguration auf einen TFTP-Server

ASA: Allgemeine Konfigurationsbefehle

• hostname <Name>
• domain-name <dns-domain>
• crypto key generate rsa modulus <keylength>
  • z.B.: crypto key generate rsa mod 2048
• show crypto key mypubkey rsa
• crypto key zeroize rsa

ASA: Schnittstellenkonfiguration

• Interface auswählen
  • interface <interfaceID>
• Namen und Sicherheitsstufe vergeben
  • nameif <name>
  • security-level <perimeter>
• IP-Adresse zuordnen
  • ip address <ip> <mask>
  • oder
  • ip address dhcp [setroute]
  • (Die Option "setroute" bewirkt, daß das "Default Gateway" aus der DHCP-Antwort automatisch zum Setzen einer Default-Route verwendet wird.)

ASA: Perimeter

• Wert zwischen 0 und 100
• 0 ist unsicher (Internet)
• 100 sicher (Intranet; nur für "inside")
• 0 und 100 müssen existieren
• Schnittstellen mit dem selben Perimeterwert können keine Daten austauschen!

ASA: Perimeter-Bedeutung

• Je höher der Perimeterwert desto sicherer ist die Schnittstelle
• Ohne Regeln gilt:
• Von einer Schnittstelle mit höherem Perimeterwert zu einer Schnittstelle mit niederem Perimeterwert ist Alles erlaubt und umgekehrt gar nichts!

ASA: Schnittstellenkonfiguration - Beispiel

• interface vlan1
  • nameif outside
  • security-level 0
  • ip address dhcp setroute
• interface vlan2
  • nameif inside
  • security-level 100
  • ip address 192.168.1.1 255.255.255.0

ASA: Translation Rules

• Meist als Angabe innerhalb eines Netzwerkobjektes
  • nat [static]
• Befehle zum Ansehen und Löschen der Translation Slots
  • show xlate
  • clear xlate

ASA: Translation – Objekte

• Für Translationregeln werden Netzwerkobjekte benötigt
• Definition mit "object network"
• object network <name>
  • subnet <netaddress> <subnetmask>
  • oder
  • host <hostaddress>

ASA: Translation – Kein NAT

• Identity NAT (ehemals Nat 0)
  • nat (real_if,mapped_if) source static obj1 obj1 destination static obj2 obj2
  • Kein Zugriff von außen möglich
  • Statt "mapped-if" auch "any" möglich

ASA: Translation – Static NAT

• Auch One-to-One-NAT genannt
• object network <name>
  • host <hostaddress>
  • nat (real_if,mapped_if) static {interface | <mapped_IP> | <mapped_object>} [dns] [service <protocol> <real-port> <mapped-port>] [no-proxy-arp] [route-lookup]

ASA: Translation – Dynamic NAT

• One-to-One NAT mit IP-Address-Pool
• object network <name>
  • subnet <netaddress> <subnetmask>
  • nat [(real_if,mapped_if)] dynamic {[mapped_inline_host_ip] [interface] | [mapped_obj] [pat-pool mapped_obj [round-robin]] [interface]} [dns]
• Kein Zugriff von außen möglich

ASA: Translation - PAT

• Port-level multiplexed NAT
• object network <name>
  • subnet <netaddress> <subnetmask>
  • nat (real_if,mapped_if) dynamic <NAT-IP>
• oder
• object network <name>
  • subnet <netaddress> <subnetmask>
  • nat (real_if,mapped_if) dynamic interface

ASA: Translation – Parameter

• no-proxy-arp
  • Kein proxy-arp für diese IP
• route-lookup
  • Nat in Abhängigkeit von der Schnittstelle
• round-robin
  • Alle IP-Addressen gleichmäßig für PAT verwenden
• pat-pool
  • Benütze mehrere Adressen für das PAT

ASA: ACL – Grundlagen

• Abarbeitung von oben nach unten bis ein passender Eintrag gefunden wird (spätestens beim impliziten "deny ip any any" am Ende)
• Eine ACL wird mit "access-group" einer Schnittstelle zugeordnet
• Nur eine "incoming" ACL pro Schnittstelle und Protokoll
• Nur eine "outgoing" ACL pro Schnittstelle und Protokoll
• Im Gegensatz zu früher wird die Real-IP in ACLs eingesetzt und nicht die Mapped-IP.

ASA: ACL – Syntax

• access-list <name|nr> permit|deny <protocol> <source> <destination> [<parameter>]
  • access-list 3 permit icmp any any echo-reply
  • access-list 7 permit tcp any any eq 22
• access-group <name|nr> { in | out } interface <if-name>

ASA: ACL – IP-Angaben

• <Netaddress> <Subnetmask>
  • 192.168.0.0 255.255.255.0
• host <IP>
  • host 192.189.51.100
  • (=192.168.51.100 255.255.255.255)
• any
  • any
  • (= 0.0.0.0 0.0.0.0)

ASA: ACL – Protokolle

• icmp
  • icmp <quelle> <ziel> [<teilprotokoll>]
• tcp
  • tcp <quelle> <ziel> [range <port1> <port2>]
• udp
  • udp <quelle> <ziel> [eq <portname|portnr>]
• ip
• ...

ASA: ACL – Beispiel 1

• access-list zentral permit icmp any any echo-reply
• access-list zentral permit icmp any any unreachable
• access-list zentral permit icmp any any time-exceeded
• access-list zentral permit tcp host 192.189.51.100 62.199.66.16 255.255.255.240 eq 22
• access-list zentral permit udp any host 62.199.66.23 eq 53
• access-list zentral permit tcp any host 62.199.66.23 eq 53
• access-list zentral permit tcp any host 62.199.66.24 eq 25
• access-list zentral permit tcp any host 62.199.66.25 eq 80
• access-group zentral in interface outside

ASA: ACL – Beispiel 2

• access-list 3 permit icmp any any echo
• access-list 3 permit icmp any any unreachable
• access-list 3 permit icmp any any time-exceeded
• access-list 3 permit tcp any any eq 80
• access-list 3 permit udp any host 192.189.51.195 eq 53
• access-list 3 permit tcp any host 192.189.51.195 eq 53
• access-list 3 permit tcp any host 192.189.51.100 eq 25
• access-list 3 permit tcp any host 192.189.51.100 eq 110
• access-group 3 in interface inside

ASA: ASA als DHCP-Server

• dhcpd address <first>-<last> <if>
• dhcpd domain <dns-domain>
• dhcpd dns <dnsserverip1> [<ip2>]
• dhcpd wins <winserverip1> [<ip2>]
• dhcpd lease <lease-time>
• dhcpd enable <if>
• dhcpd auto_config <if>

ASA: DHCP-Server Troubleshooting

• show dhcpd statistics
• Anzeige von Statistik-Information des DHCP-Servers
• show dhcpd binding
• Anzeige der vergebenen IP-Adressen
• debug dhcpd event
• debug dhcpd packet

ASA: VPN-Tunnel Vorbereitung

• Definieren der Datenpakete für den Tunnel
  • access-list <name|nr> permit ip <quelle> <ziel>
• Erlauben des VPN-Traffics
  • Mit dem Befehl:
  •    sysopt connection permit-vpn
  • oder
  •    entsprechenden Einträgen in den ACLs
• Ausnahme für NAT wenn notwendig
  • NAT <if,any> source static obj1 obj1 dest static obj2 obj2 no-proxy-arp route-lookup

ASA: VPN-Tunnel

• Einrichten der Verbindungsparameter
  • crypto ipsec ikev1 transform-set <name> <parameter>
  • crypto map <mapname> <nr> <parameter>
• Einrichten der Policy
  • crypto ikev1 policy <nr>
    • <parameter> <value>
• Aktivieren des Tunnels
  • tunnel-group <peer-IP> type <type>
  • tunnel-group <peer-IP> ipsec-attributes
    • <attr> <val>

ASA: VPN-Tunnel – Beispiel Teil 1

• object network LAN
  • Subnet 192.168.1.0 255.255.255.0
• object network REMOTE
  • Subnet 192.168.2.0 255.255.255.0
• access-list VPN permit ip object LAN object REMOTE
• sysopt connection permit-vpn
• crypto ipsec ikev1 transform-set filial esp-3des esp-md5-hmac
• crypto map filialmap 30 match address VPN
• crypto map filialmap 30 set peer 192.168.0.2
• crypto map filialmap 30 set ikev1 transform-set filial

ASA: VPN-Tunnel – Beispiel Teil 2

• crypto map filialmap interface outside
• nat (inside,any) source static LAN LAN destinaton static REMOTE REMOTE no-proxy-arp route-lookup
• crypto ikev1 enable outside
• crypto ikev1 policy 10
  • authentication pre-share
  • encryption 3des
  • hash md5
  • group 2
• tunnel-group 192.168.0.2 type ipsec-l2l
• tunnel-group 192.168.0.2 ipsec-attributes
  • ikev1 pre-shared-key test

ASA: VPN-Tunnel Überprüfung

• show crypto ikev1 sa
  • Anzeige der aktuellen "IKE security associations"
• show crypto ipsec sa
  • Anzeige der aktuellen "IPsec security associations"
• debug crypto ikev1 sa <level>
• debug crypto ipsec sa <level>

ASA: ASA – Management

• Zugriff direkt auf die Konsole (VT100)
• Zugriff via Telnet
• Zugriff via SSH
• Zugriff via HTTP/ ASDM (ASA Secure Device Manager)

ASA: Management – Telnet

• IPs müssen freigeschalten werden
  • telnet <ip> <mask> <if>
  • z.B.:
  • telnet 192.168.1.2 255.255.255.255 inside
  • Von "Outside" nicht direkt möglich
• Timeout festlegen (Default: 5 min)
  • telnet timeout 10

ASA: Management – SSH 1

• Schlüsselpaar notwendig
• IPs müssen freigeschalten werden
  • ssh <ip> <mask> <if>
  • z.B.:
  • ssh 192.168.1.2 255.255.255.255 inside
  • ssh 192.189.51.0 255.255.255.0 outside
• Timeout festlegen (Default: 5 min)
  • ssh timeout 10

ASA: Management – SSH 2

• SSH Version 1 und 2
  • Einstellbar mit dem Kommando:
  • ssh version { 1 | 2 }
• Bei älteren Versionen;
  • Default Benutzername: pix
  • Password: <linepassword>
  • oder konfigurierter Benutzer
• Bei aktuellen Versionen:
  • Kein Default Benutzer mehr
  • Zugriff nur mehr mit einem konfigurierten Benutzer
  • (user <user> password <password>)

ASA: Management – http, ASDM

• Schlüsselpaar notwendig
• http-Server aktivieren:
  • http server enable [port]
• IPs müssen freigeschalten werden
  • http <ip> <mask> <if>
• Zugriff via https://<ASA-IP|ASA-DNS-name>[:port]
• Kein Benutzername notwendig
• Password: <enablepassword>
• oder konfigurierter Benutzer

ASA: Datum, Uhrzeit und ntp

• clock set <hh:mm:ss> {<day> <month> | <month> <day>} <year>
• clock summer-time <zone> recurring [<week> <weekday> <month> <hh:mm> <week> <weekday> <month> <hh:mm>] [<offset>]
• clock timezone <zone> <hours> [<minutes>]
• show clock [detail]
• ntp server <ip_address> [key <number>] source <if_name> [prefer]
• show ntp [associations [detail] | status]

ASA: Logging 1

• [no] logging on
• [no] logging timestamp
• [no] logging standby
• [no] logging host [<ifname>] <logip> [{tcp|6}|{udp|17}/port#] [format emblem] [secure]
• [no] logging console <level>
• [no] logging buffered <level>
• [no] logging monitor <level>

ASA: Logging 2

• [no] logging history <level>
• [no] logging trap <level>
• [no] logging message <syslog_id> level <level>
• [no] logging facility <fac>
• [no] logging device-id hostname | ipaddress <if_name> | string <text>
• logging queue <queue_size>
• show logging [{message [<syslog_id>|all]} | level | disabled]

ASA: Logging – Loglevels

ASA: Logging – Beispiel

• logging on
• logging console error
• logging buffered warning
• logging host (inside) 192.168.1.23
• logging trap informational
• logging timestamp

VoIP: Übersicht

• Einführung und Ziel
• Abgrenzung zu herkömmlicher Telephonie
• Begriffserklärungen und Gefährdungen
• Vor- und Nachteile
• Technik
• Standards
• Implementierung

VoIP: Einführung

• Warum diese Thematik?
• Computernetze und Telephonnetze zuerst völlig unabhängig
• Das Zusammenwachsen beider Welten in den letzten Jahren immer rascher
• Dabei werden mögliche Probleme "übersehen"
• CTI ist aber zunehmend "Businesscritical"
• Ein sichere Integration ist unabdingbar und möglich
• Nur wenn die Gefährdungen erkannt werden, kann darauf reagiert werden

VoIP: Ziel

• Vertraut werden mit den Begriffen
• Unterschiede zu herkömmlicher Telephonie klarstellen
• Sicherheitsproblematik kennenlernen
• Gefahren kennenlernen
• Sensibilisieren der Planer und Verantwortlichen
• Überraschungen durch die Telephonintegration vermeiden
• Lösungsmöglichkeiten für eine sichere Integration

VoIP: Telephonie ↔ VoIP 1

• Klassische Telephonie verwendet eigene Netze (abgeschottet) mit eigenen Standards
• Die einzige Gefahr: mißbräuchliche Verwendung
• Bekannt sind in diesem Zusammenhang: Phreaking (Phone Freak) Techniken
• Das Ziel waren in erster Linie kostenlose Telephonate
• z.B.: Durch Manipulation der Tonsignale (Pfeifen)
• Die Schäden waren bei den Telekomgesellschaften
• Akustikkoppler → Gefährdungen über das Telephonnetz hinaus

VoIP: Telephonie ↔ VoIP 2

• VoIP baut auf einer vorhandenen Infrastruktur auf (Internet)
• Die benutzten Standards sind nicht mehr unabhängig
• Rücksichtnahme auf andere Teilnehmer ist notwendig
• Umstellung von Leitungsvermittlung zu Paketvermittlung
• Jede VoIP-Anlage stellt damit auch eine Gefährdung für die Netzwerkinfrastruktur dar
• Viele VoIP-Anlagen erlauben damit einem Eindringling auch Zugang zum Firmennetz
• Damit ist das gesamte Netz und die darin vorhandenen Daten gefährdet

VoIP: Telephonie ↔ VoIP - Auswirkungen

• Telephonie benötigt zwar nur sehr geringe Bandbreiten aber Echtzeitfähigkeit
• IP-Netze haben quasi "per Definition" keine Echtzeitfähigkeit
• Störungen durch
  • "Delay"
  • "Jitter"
  • "Packet Loss"
• Im Internet daher mit Schwierigkeiten verbunden
• Im Firmennetz durch Priorisierungen (QoS) besser nutzbar

VoIP: Telephonie ↔ VoIP - Delay

• Leitungsvermittlung:
  • Verzögerungen durch Verbindungsaufbau/-abbau
  • Verzögerungen im Betrieb nur durch Laufzeit bedingt
• IP-Netze:
  • Verzögerung durch Verbindungsaufbau vernachläßigbar
  • Verzögerung im Betrieb durch die Netzkomponenten bestimmt
    • Switch, Router, Firewall
• Diese Verzögerungen sind nur im eigenen Netz beeinflußbar
• Sobald WAN-Strecken überbrückt werden müssen, nicht mehr

VoIP: Telephonie ↔ VoIP - Jitter

• Bei Leitungsvermittlung sind Verzögerungen im Betrieb konstant
• In IP-Netzen ist die Verzögerung im Betrieb variabel
• Manche Pakete kommen schneller zum Ziel als andere
• Das kann beim "Streamen" noch durch Buffering ausgeglichen werden (siehe IP-TV)
• Beim Telephonieren ist das Buffering aber unerwünscht (Verzögerung vergleichbar Telephonieren via Satellit)
• Durch Priorisierung nur im "eigenen" Netz minimierbar

VoIP: Telephonie ↔ VoIP - Packet Loss

• Bei Leitungsvermittlung geht das Signal i.a. nicht verloren
• In IP-Netzen durch verschiedene Effekte Paketverlust
• Bei nicht echtzeitfähigen Kommunikationen werden diese nachgereicht
• Bei echtzeitfähiger Kommunikation (wie Video oder Telephonie) würden diese stören
• Zu spät kommende Pakete werden ebenfalls verworfen
• ⇒ Telephonie muß mit dem Verlust einer Teilinformation umgehen können
• Diese Verluste müssen im Vorfeld aber minimiert werden

VoIP: Begriffe aus der VoIP-Welt

• SIP - Session Initiation Protocol
• SIP-Trunk - SIP Anlagen-Anschluß (Durchwahlfähig)
• SIP-Proxy - Stellvertreterserver (Proxy) für SIP
• RTP - Real-Time Transport Protocol
• PoE - Power over Ethernet
• QSIG-IP - QSIG over IP
• ENUM - tElephone/E.164 NUmber Mapping

VoIP: SIP

• Session Initiation Protocol nach RFC 3261
• Entwickelt von der IETF
• Verwendeter Port 5060 bzw. 5061 (verschlüsselt)
• Protokoll der Anwendungsschicht
• "Mitbewerber" von H.323 (von der ITU)
• Dient nur zur Aushandlung von Kommunikationsmodalitäten
• z.B. Codecs werden nicht mit SIP vereinbart (sondern mit SDP - Session Description Protocol)

VoIP: SIP-Trunk

• Durchwahlfähiger SIP Anlagenanschluß
• Ein Provider (z.B. Colt, ...) stellt darüber den Anschluß und die Verbindung mit der analogen Telephonie bereit
• Der Provider "mappt" die Telephonnummer auf eine Adresse im Internet
• Damit können die klassischen Telephonanlagen mit IP (Anschluß an Telephonnetz und an das LAN) durch reine Softwarelösungen ersetzt werden (z.B.: Asterisk)
• Die meisten Anbieter haben Ihre Anlagen bereits für ein solches Szenario vorbereitet und zertifiziert
• Ermöglicht das Telephonieren ohne "Telephonleitung"

VoIP: SIP-Proxy

• Stellvertreterserver (Proxy) für SIP
• Stateful Proxy
  • Hilft zusätzlich noch bei der NAT-Problematik
  • Verwaltet zusätzlich auch den Kontext
• Stateless Proxy
  • Funktioniert völlig anonym
  • Leitet nur die Daten weiter
• SIP Redirect Server
  • Dabei benötigen die Teilnehmer keine offizielle IP-Adresse
  • Quasi-Verbindung der Teilnehmer mittels eines Servers

VoIP: RTP

• Real-Time Transport Protocol nach RFC 1989 (1996) jetzt RFC 3550 (2003)
• Protokoll der Anwendungsschicht
• Transportiert Multimediadatenströme
• Verwendet UDP in der Transportschicht (verbindungslos)
• RTCP Realtime Control Protocol handelt QoS Parameter für RTP aus
• RTP überträgt nur Daten, Steuerung durch andere Protokolle
• Keinerlei Zustellungsgarantie

VoIP: PoE

• Power over Ethernet nach IEEE 802.3af-2003
• Stromversorgung mittels Ethernetkabel für Geräte mit geringem Stromverbrauch
• 15,4 Watt pro Ethernetport (Spannung ca. 48 V)
• VoIP-Telephone nutzen oft PoE (nur ein Kabel)
• Achtung im Patchschrank
  • 24 Ports pro Switch ergibt 370 Watt nur für PoE
  • 42 HE-Schrank mit 20 Switches ⇒ 7,4kW
  • Stromzufuhr > 30 A, Wärmeabfuhr!
• Nachfolgestandard PoE+ nach IEEE 802.3at-2009 (25,4 Watt pro Ethernetport)

VoIP: QSIG-IP

• Signalisierung am Q-Referenzpunkt nach ECMA TC32-TG14
• Ursprünglich für ISDN entwickelt
• Standardisiert die Kommunikation von Telephonanlagen verschiedener Hersteller
• QSIG durch IP-Netze nach ECMA 336
• Dabei wird das QSIG-Protokoll durch IP-Netze getunnelt
• Meist über VPN-Verbindungen

VoIP: ENUM

• Übersetzung von Telephonnummern in Internetadressen nach RFC 6116
• +43 1 54 615 0 ⇔ 0.5.1.6.4.5.1.3.4.e164.arpa
• Telephonnummern können damit in das DNS aufgenommen werden
• Eigene Nummernkreise für VoIP:
  • Österreich: 0720 (Standortunabhängige Festnetznummern)
  • Österreich: 0780 (Rufnummern für konvergente Dienste)
  • Deutschland: 032 (Rufnummern für nomadische Nutzung von VoIP)
  • ...
• Damit werden auch alle Risiken des DNS im Telephonnetz sichtbar
  • z.B.: Verschleierter Anrufer (SPAM, ...)

VoIP: VoIP-Protokolle im ISO-Modell

VoIP: Gefährdungen

• Die bekannten Gefahren im Netz
  • Schadprogramme
  • Hacker
  • Fehlkonfigurationen
  • ...
• Die Gefahren aus der Telephonie
  • Phreaking
  • ...
• Die Gefahren aus der Verbindung dieser beiden Technologien
  • Schlecht gesicherte Telephonanlagen ermöglichen das Eindringen in das Netz
  • Umgehung der Firewall
  • "Mitschneiden" von Telephongesprächen auf Datenleitungen
  • ...

VoIP: VoIP-Spezifika 1 (Zusätzliche Gefahren)

• Netzausfall
  • Routerausfall
  • Switchausfall
  • Kabelbruch
  • VoIP-Serverausfall
• Stromausfall
• In der klassischen Telephonie sind wir gewohnt, daß der Dienst immer funktioniert
• Bei VoIP kommen zusätzliche Ausfallszenarien dazu, die ebenfalls abgesichert werden müssen

VoIP: VoIP-Spezifika 2 (Auswirkungen)

• Abhören von Gesprächen
• Abhören von Räumen mit Hilfe von VoIP-Geräten
• Abhören vom Kommunikationsdaten (wer, wann, mit wem, wie lange)
• Unbefugter Zugriff auf Konfigurationseinstellungen
• Gebührenbetrug
• Vortäuschen einer Identität
• Eingeschränkte Notrufmöglichkeit (Standort nicht eindeutig)

VoIP: VoIP-Spezifika 3

• Gefährdungen nur für VoIP
• SPIT - Spam over Internet Telephony
  • Anrufe können leicher automatisiert werden
  • Damit werden unerwünschte Anrufe mehr
  • Gegenmaßnahmen schwierig (kein Whitelisting)
• Vishing - Voice Phishing (Password harvesting fishing)
  • Ebenfall automatisierte Anrufe um Benutzer zur Herausgabe von Zugangsdaten zu bewegen
  • Durch geringe Kosten viele Anrufe möglich
  • Das Vertrauen in das Telephon ist bei vielen Benutzern sehr groß
  • Der Hinweis der Banken in diesem Bereich nicht auf e-Mails zu vertrauen, sondern dem Telephon, ist nicht hilfreich

VoIP: Vorteile von VoIP

• Kosteneinsparung
  • VoIP zu VoIP-Gespräche oft kostenlos
  • Einheitliche Infrastruktur
  • Anlagenvernetzung über VPN statt eigene Leitungen
• Neue Anwendungen (Gruppengespräche, Webseite mit Anrufbutton, ...)
• Weltweite Rufumleitung
• Weltweite Erreichbarkeit unter der selben Nummer (z.B. Teleworker)
• Unified Messaging
• Nur ein Netz (nur eine Kabeltype)
• Einfachere CTI

VoIP: Nachteile von VoIP

• Netzwerkkenntnisse für die Konfiguration notwendig
• Zusätzliche Hardware in Netz- und im Telephoniebereich
• Herausforderungen an Qualität und Zuverlässigkeit
• Bei Stromausfall telephonieren nicht möglich
• Notrufe (Woher kommt der Notruf?)
• SPIT (SPam über Internet-Telephonie)
• Visphing (Phishing mittels VoIP)
• Inkompatibilitäten der Standards bzw. zwischen Netz- und Telephonwelt

VoIP: Technik 1

• Codec
  • Kurz für Kodieren/Dekodieren (Co(der)dec(oder))
  • Die analogen Signale werden wie in Bits übersetzt
  • Der verwendete CODEC hat Auswirkungen auf Datenmenge und Qualität
• QoS - Quality of Service
  • Der Versuch durch Priorisierung einzelner Pakete ein bestimmte Bandbreite zu garantieren
  • im LAN durch geeignete Switches möglich, im WAN nur eingeschränkt realisierbar
• VoIP-Telephon
  • Spezielles Telephon, das die Technik für VoIP schon in der Hardware umsetzt
  • i.A. mit einem integrierten Switch, damit es den Computeranschluß mitbenutzen kann

VoIP: Technik 2

• VoIP-Adapter
  • Ein Adapter, der aus einem herkömmlichen Telephon ein VoIP-Telephon macht
  • nur eine Übergangstechnologie bis sich VoIP-Telephone verbreitet haben
• VoIP - Server
  • Serverdienst, der die Verwaltung macht ("Telephonanlage")
  • Appliances (Hardwarelösungen i.A. von Herstellern klassischer Telephonanlagen)
  • Zusatzsoftware zu Server- bzw. Routerprodukten
  • Bekannteste Opensourcelösung: Asterisk
  • Übersicht z.B.: Wikipedia - Liste der Serverprodukte
• Softphone
  • Software, die aus dem Computer ein VoIP-Telephon macht
  • Übersicht z.B.: Wikipedia - Liste der Softphones

VoIP: Standards

• SIP, RTP, PoE, ENUM siehe oben
• H.323 Kommunikationsstandard
  • Ursprünglich für ISDN entwickelt, aber auch bei IP-Telephonie möglich
  • ITU Standard
  • Ist ein Rahmen für alle Bereiche der Kommunikation über Netze
  • d.h. es gibt viele weitere Standards für die Details
  • Es existiert auch eine offene Umsetzung: OpenH323
• G.711 Codec
  • Abtastrate 8kHz, Auflösung 8Bit → Übertragungsrate 64kBit/s
  • ITU Standard
• MGCP - Media Gateway Control Protocol
  • Master/Slave Protokol zur Steuerung von u.a. VoIP Gateways
  • RFC 2705
• ...

VoIP: Implementierung einer VoIP-Lösung

• Einführendes Beispiel
• Mehrzonenfähige Firewall
• Mehrere Firewalls
• Lösungsmöglichkeit mit einer mehrzonenfähigen Firewall
• Lösungsmöglichkeit mit mehreren Firewalls
• Zusammenfassung

VoIP: Implementierung - Einführendes Beispiel

• Szenario
• Sicherheitsrisiko LAN → Internet
  • Anbindung mittels ISDN
  • Anbindung mittels SIP-Trunk
• Auswirkungen für die wichtige Firmendaten
• Sicherheitsrisiko LAN ← Internet
• Auswirkungen für die wichtige Firmendaten
• Verantwortung?

VoIP: Szenario

Telephonanlage und VoIP-fähige Telephone im LAN angeschlossen.
Diese kommunizieren dort direkt mit den LAN-Clients (Computern).

VoIP: Sicherheitsrisiko LAN → Internet 1

Vom LAN können Verbindungen nach außen existieren (ohne Firewall).
In kleineren Firmen i.a. kein Problem, da oft alles erlaubt ist.

VoIP: Sicherheitsrisiko LAN → Internet 2

Auch wenn die Telephonanlage keine eigene Leitung nach außen hat, bleibt das Problem bestehen, da der SIP-Traffic nicht kontrolliert wird.

VoIP: Auswirkungen 1

• Mitarbeiter können unerlaubte Verbindungen herstellen
• Mitarbeiter können Verbindungen an Sicherheitsfiltern vorbei herstellen
• Dadurch kann "Malware" in das Firmennetz eindringen
• Mitarbeiter können unerlaubt wichtige Daten aus der Firma nach außen kopieren
• Kosten durch unerlaubte Verbindungen
• Ressourcen werden blockiert
• Listung auf "Blacklists" durch unerlaubte Aktivitäten und damit Sperre auch von legalen Aktivitäten

VoIP: Sicherheitsrisiko LAN ← Internet

Unerwünschte Verbindungen von außen nach innen sind wesentlich problematischer (z.B.: offene Modemports, Wartungszugänge, FAX).

VoIP: Auswirkungen 2

• Eindringen von Hackern in das Firmennetz
• Unerlaubte Nutzung von Firmenresourcen (Kosten!)
• Schwierigkeiten mit Firmen, die von der eigenen Firma "angegriffen" werden
• Entwenden/Kopieren von wichtigen Firmendaten
• Fehlende Bandbreite für erwünschte Aktivitäten (durch unerwünschte Aktivitäten)
• Störung des Betriebs durch Nichtverfügbarkeit von Daten
• Plazierung von "Trojanischen Pferden" bzw. "Keylogger" durch Eindringlinge

VoIP: Verantwortung?

• Im Schadensfall ist zu klären, ob nicht eine Mitverantwortung durch die Integration der Telephonie besteht
• Wurde der Kunde über das Risiko aufgeklärt?
• Wurden sichere Lösungen angeboten/vorgeschlagen?
• Wurde dem Stand der Technik gemäß installiert?
• Bei jeden Schadensfall drohen Schadenersatzforderungen
• Negative Schlagzeilen und negatives Image sind zu erwarten
• ⇒ Sichere Integration muß das Ziel sein

VoIP: Mehrzonenfähige Firewall

• Eine Firewall, die nicht nur intern/extern unterscheiden kann
• In mittleren Firmen gibt es häufig ein 3.Zone (DMZ)
• In großen Firmen existieren häufig mehrere Zonen (u.U. ist jede Abteilung eine eigene Zone)
• Regeln in der Firewall definieren exakt, welche Daten zwischen welchen Zonen ausgetauscht werden können
• Mehrzonenfähige Firewall haben i.a. für jede Zone mindestens eine Schnittstelle
• Dadurch wird ein höherer Schutz von kritischen Komponenten erreicht

VoIP: Mehrzonenfähige Firewall - Beispiel

Jeder Sicherheitsbereich bildet eine eigene Zone

VoIP: Mehrere Firewalls

• Eine Firewall, die "intern" und "extern" unterscheidet
• Für jede weitere Sicherheitszone eine weitere Firewall
• Dadurch können mehrere Zonen sicher z.B. an eine Kernzone angeschlossen werden
• Wird oft verwendet, um einzelne Abteilungen (z.B.: Entwicklung, Buchhaltung) vom Rest der Firma abzuschotten
• Bei vielen Firewalls in einer Firma wird eine(!) zentrale Verwaltung wichtig
• Weitere "innere" Firewalls können auch mit einer Mehrzonenfirewall gekoppelt werden

VoIP: Mehrere Firewalls - Beispiel

Trennung zweier innerer Bereiche durch eine weitere Firewall

VoIP: Implementierung - Lösungsmöglichkeit 1

Der Einsatz einer mehrzonenfähigen Firewall erlaubt eine eigene
Zone für die Telephonie und trotzdem CTI-Anwendungen.

VoIP: Implementierung - Lösungsmöglichkeit 2

Ohne mehrzonenfähige Firewall, kann mittels einer zusätzlichen Firewall (oder Router, ...) eine eigene Zone erreicht werden.

VoIP: Implementierung - Vorteile

• "Hintereingang" vermeidbar
• Keine Umgehung der Firewall vom LAN aus
• Keine Probleme mit Geräten von Drittherstellern (FAX, Drucker, ...)
• Genaue Definition, was zwischen Computern und Telephonen erlaubt ist
• Einfachere Fehlereingrenzung durch Zonenmodell
• Klare Verantwortungstrennung zwischen EDV und Telekommunikation
• Alle Vorteile der CTI "ohne" Sicherheitsrisiko

VoIP: Implementierung - Nachteile

• Geringer Mehraufwand bei der Installation
• ev. zusätzliches Gerät im LAN mit allen damit verbundenen Nachteilen (Ausfall, Fehlkonfiguration, ...)

VoIP: Implementierung - Zusammenfassung 1

• VoIP-Installation nie(!) direkt in das LAN
• Immer eine eigene Sicherheitszone vorsehen
• Wann immer möglich Mehrzonenfähige Firewall
• Klare Festlegung der Daten zwischen den Zonen
• z.B.:
  • permit tcp any host telesrv eq https
  • permit tcp any host telesrv eq 8894
  • deny ip any any
• Dadurch auch klare Festlegung der Verantwortung für Sicherheitslücken und Einschränkung der Auswirkungen

VoIP: Implementierung - Zusammenfassung 2

• Verwenden Sie wo und wann immer möglich die sicheren Varianten der VoIP-Protokolle
  • SIPS (SIP über TLS, Port 5061) statt SIP
  • SRTP (RTP mit AES, RFC 3711) statt RTP
• Neben der Sicherheit die grundlegenden Übertragungswerte nicht außer acht lassen
• QoS Anforderungen für VoIP
  • Der Paketverlust (packet loss) muß geringer als 1% sein
  • Die Verzögerung (latency) in eine Richtung muß geringer als 150 bis 200 ms sein
  • Die Laufzeitschwankungen (jitter) dürfen 30 ms nicht übersteigen
  • Die garantierte Bandbreite muß - je nach Codec - 21 bis 106 kbit/s betragen

VoIP: Auswirkungen auf die Firewalllösung

• Detaillierte Planung der Firewalllösung bei der VoIP-Integration!
• Alle Verantwortlichen einbeziehen (oft mehrere Bereiche betroffen)
• Durchsatzkapazitäts- und Bandbreitenüberlegungen
• QoS - Quality of Service
• Anzahl der unterstützten Zonen
• SIP-Proxy
• Testen der Einstellungen

VoIP: Auswirkungen - Bandbreite

• VoIP-Integration hat keine Auswirkungen auf die Durchsatzkapaztät (Telephonverbindungen benötigen relativ geringe Bandbreite)
• Beispiel kleine Firma (<10 Mitarbeiter)
  • Internetanbindung 2 Mbit/s
  • Ersatz von zwei ISDN-Anschlüssen
  • 2*2 B-Kanäle ⇒ 4*64KBit/s = 256KBit/s ≈ 12,5% der Internetbandbreite
• Beispiel mittlere Firma (∼50 Mitarbeiter)
  • Internetanbindung 16 Mbit/s
  • Ersatz von acht ISDN-Anschlüssen
  • 8*2 B-Kanäle ⇒ 16*64KBit/s = 1MBit/s ≈ 6,25% der Internetbandbreite

VoIP: Auswirkungen - QoS

• Wenn ein SIP-Trunk über die Firewall geführt wird und dieser auf Seite des Providers priorisiert wird, sollte diese Priorisierung in die entsprechende Zone weitergeführt werden
• Wenn ein SIP-Trunk über die Firewall geführt wird und dieser auf Seite des Providers nicht priorisiert wird, ist eine Priorisierung durch die Firewall nicht notwendig, da die Bandbreiten im LAN i.a. höher sind als im WAN
• Wenn die Telephonanlage über eigene Leitungen verfügt, ist eine Priorisierung durch Firewall i.a. nicht notwendig (Bandbreitenüberlegungen)

VoIP: Auswirkungen - Zonenzahl

• Für die VoIP-Integration benötigen wir eine eigene Zone
• Regeln zwischen der VoIP-Zone und der Internetzone (WAN) nur für den SIP-Trunk (i.a. nur Port 5060/5061)
• Regeln zwischen der VoIP-Zone und der Intranetzone (LAN) nur für CTI und eventuelle FAX-Nutzung (i.a. CTI-Server↔Verzeichnisdienst und Stationen↔CTI-Server)
• Regeln zwischen der VoIP-Zone und weiteren Zonen (z.B.: DMZ) i.a. nicht notwendig
• Bei Verbindungen zwischen mehreren Anlagen an mehreren Standorten zusätzlich noch die QSIG-IP-Pakete

VoIP: Auswirkungen - SIP-Proxy

• Für den Fall eines SIP-Trunks können die Einstellungen zum SIP-Proxy (SIP-ALG) in der Firewall wichtig werden
• Ob der SIP-Proxy auf der Firewall aktiviert wird oder nicht, muß im Einzelfall geklärt werden
• Bei unseren Test mit einem Provider für SIP-Trunks (Colt) war das nicht in allen Fällen gleich
• Wenn der SIP-Proxy notwendig ist, dann auf die Einstellungen achten
• Viele SIP-Proxies können nur eine interne IP-Adresse
• Bei mehreren IPs für die Anlage, muß die "richtige" eingestellt werden (wo terminiert der SIP-Trunk)

VoIP: Auswirkungen - Tests

• Die Reihenfolge der Tests ist sehr wichtig, da sonst Fehler in den Einstellungen nicht gefunden werden
• Zuerst Anruf von extern nach intern
• Danach Tests über QSIP-IP
• Als letztes Tests von intern nach extern
• Bei jedem Test ist darauf zu achten, ob neben der Signalisierung auch die Sprachübertragung in beide Richtungen korrekt funktioniert
• Ursache: bei Firewalls mit "Inspection Engines" wird der Retourpfad für eine Zeitspanne geöffnet

Virtualisierung: Übersicht

• Einführung und Ziel
• Idee
• Vorteile
• Nachteile
• Virtualisierungsarten
• Anwendungsbeispiele

Virtualisierung: Einführung und Ziel

• Virtualisierung spielt heute in vielen Bereichen eine Rolle
• Virtualisierung ist ein mehrdeutiger Begriff
• Sowie eine Partition eine virtuelle Festplatte und ein VLAN ein virtuelles Netz darstellt, können auch komplette Computer virtualisiert werden
• Ursprünglich entwickelt, um einem Benutzer auf einem Mehrbenutzersystem seine eigene Umgebung anbieten zu können (1960er Jahre)
• Mögliche Virtualisierungsarten kennen und einsetzen können
• Ihre Vor- und Nachteile kennen und beurteilen
• Produkte für die Umsetzung kennen

Virtualisierung: Idee

• Ein "vollwertiger" Computer wird mit Hilfe von Software auf ein Rechnersystem abgebildet
• Dabei nutzt der virtuelle Computer mittels der Software die realen Ressourcen
• Im Idealfall bemerkt der virtuelle Computer den Unterschied nicht
• Dadurch können mehrere unterschiedliche Systeme auf einer Hardware ausgeführt werden
• Mittels Emulation können auch unterschiedliche "Hardware"plattformen ausgeführt werden
• Heute wird diese Technologie durch Hardwareerweiterungen unterstützt (VT-x, AMD-V, ...)
• In professionellen Betriebssystemen direkt verfügbar (Hyper-V, KVM, XEN, ...)

Virtualisierung: Vorteile

• Bessere Ausnutzung der Hardware
  • Weniger Systeme durch Hardwarekonsolidierung
  • Niedriger Stromverbrauch (weniger Systeme, weniger Kühlung)
  • Weniger Platz, einfachere Administration
• Ausfallssicherheit und Restore
  • Verschiebung auf andere Hardware im laufenden Betrieb
  • Neue Systeme als Kopie einer Vorlage ("Template")
  • Rückkehrmöglichkeit zu einem "Snapshot"
  • Einfaches "Restore" des Gesamtsystems (=eine Datei)
• Flexibilität
  • In der VM unabhängig von der Hardware (keine Treiberprobleme)
  • Unterschiedliche Versionen eines bzw. alte Betriebssysteme möglich
  • Einfache Isolation der Anwendungen

Virtualisierung: Nachteile

• Leistungsverlust (je nach Art 2% - 10%)
• Weiterreichen von Hardware (z.B.: Dongles, ...) problematisch
• Kaum Grafikbeschleunigung
• Bei Hardwareausfall mehrere Systeme betroffen
• Lizenzen (Bestimmungen nicht eindeutig, Mehrfachlizenzen, ...)
• Kosten für die Virtualisierungslösung
• Zusätzliche Kenntnisse notwendig
• Zusätzliche Fehlermöglichkeit

Virtualisierung: Virtualisierungsarten

• Partitionierung (Großrechnerbereich)
• Emulation
• Desktop- ↔ Servervirtualisierung
• Para- ↔ Vollvirtualisierung
• Betriebssystemvirtualisierung (Container)
• Hypervisor Typ-1- ↔ Hypervisor Typ-2-Virtualisierung
• Verschachtelte Virtualisierung

Virtualisierung: Partitionierung

• Hier werden schon von der Hardware Möglichkeiten angeboten
• Ressourcen werden über die Firmware verwaltet
• Jedes Teilsystem benötigt eigene Betriebssysteminstanz
• Großrechnerbereich (z.B.: IBM zSeries)
• Wird im x86-Bereich nicht eingesetzt

Virtualisierung: Emulation

• Hier wird die gesamte Hardware in Software abgebildet
• Daher kann auch eine andere Hardwarearchitektur zur Verfügung gestellt werden
• Dadurch auch große Leistungseinbußen
• Hohe Flexibilität (Komplettrechner in Software)
• Einsatz für die Entwicklung (z.B.: Handyapps am PC, Embedded Anwendungen, ...)
• Emulation älterer Systeme zur Steuerung (kein Softwaretransfer notwendig)
• Produkte: Bochs, QEMU, MS Virtual PC für MacOS, ...
• Auch Teilemulation existieren: z.B.: Wine emuliert nur Windowsschnittstellen

Virtualisierung: Desktopvirtualisierung

• Servervirtualisierung weitverbreitet
• Desktopvirtualisierung bisher nur ein Thema für wenige Interessierte
• Oft nur Anwendungsvirtualisierung (z.B.: JVM, ...)
• Heute zunehmend wichtig, da
  • Höhere Betriebssicherheit
  • Bessere Wartbarkeit
  • Abwärtskompatibilität (z.B.: XPMode in Win7)
• zunehmend Aufbau von VDI (Virtual Desktop Infrastructure)
• Produkte: Citrix, Wyse, Terminalserver, Browserbasierende Lösungen, Thin Client-Lösungen, ...

Virtualisierung: Para- ↔ Vollvirtualisierung

• Paravirtualisierung
  • Angepasste Betriebssysteme
  • Hardwarenah und dadurch wesentlich performanter
  • nutzt Teile des Hypervisors mit (API des Hypervisors)
  • Weniger flexibel
  • Produkte: XEN, ...
• Vollvirtualisierung
  • Beliebiges Standardbetriebssystem
  • Weniger Performance da Hardware virtualisiert ist
  • Von den Möglichkeiten vollkommen unabhängig von Hypervisor
  • höhere Flexibilität
  • Produkte: KVM, VMWare Server und Workstation, Virtual Box, ...

Virtualisierung: Betriebssystemvirtualisierung (Container)

• Ein Betriebssystemkern
• Mehrere Systemumgebungen (Laufzeitumgebungen)
• Anwendungen laufen voneinander getrennt mit eigener Umgebung aber auf dem selben Kernel
• Geringer Overhead (nur ein Betriebssystem)
• Hohe Sicherheit durch die Trennung
• Gerne von Providern eingesetzt (z.B.: virtuelle Rootserver)
• Produkte: Docker, Jails, ...

Virtualisierung: Hypervisor Typ-1-Virtualisierung

• Bare-metal (native, Typ-1) Virtualisierung
• 
• Produkte: KVM, VMWare ESX/ESXi, Hyper-V-Server, ...

Virtualisierung: Hypervisor Typ-2-Virtualisierung

• Hosted (Typ-2) Virtualisierung
• 
• Produkte: Virtual Box, VMWare Workstation, VMWare Player, ...

Virtualisierung: Verschachtelte Virtualisierung

• Hier wird in einer virtuellen Maschine wieder mit einem Hypervisor gearbeitet
• Damit sind selbstverständlich hohe Leistungseinbußen verbunden
• Daher nur in Spezialfällen (Testbetrieb, Übungsbetrieb) sinnvoll
• Meist Verschachtelungen des gleichen Typs
• Es können aber auch die Typen gemischt werden
• Theoretisch auch Mehrfachverschachtelungen denkbar
• Nicht von allen Produkten unterstützt

Virtualisierung: Nested Hypervisor Typ-1-Virtualisierung

• Nested Bare-metal (native, Typ-1) Virtualisierung
• 
• Produkte: s.o.

Virtualisierung: Nested Hypervisor Typ-2-Virtualisierung

• Nested Hosted (Typ-2) Virtualisierung
• 
• Produkte: s.o.

Virtualisierung: Anwendungsbeispiele

• Virtualisierung am Desktop
  • XP Mode unter Windows 7
  • Servertest am Desktop
  • Vorführung Virtual PC
  • Vorführung Virtual Box
  • Vorführung VMWare
• Servervirtualisierung
  • Beim Provider (Viele Kundenserver, wenig Hardware)
  • Einfacher Transfer auf neue Hardware (z.B.: nach Hardwareschaden)
  • Bessere Hardwareauslastung
  • Ausfallssicherung
  • Cloudlösungen

Cloud: Übersicht

• Einführung und Ziel
• Übersichtsgraphik und Idee
• Vorteile und Nachteile
• Arten von Cloudimplementierungen
• Hinweise zur Rechtslage
• Anwendungsbeispiele
• Quellen und Links

Cloud: Einführung und Ziel

• Cloudlösungen spielen heute in vielen Bereichen eine Rolle
• Sie werden so selbstverständlich wie Suchmaschinen verwendet
• Standortunabhängigkeit ist im Mobilitätszeitalter ein wichtiger Aspekt
• Automatische Synchronisation der Daten auf verschiedenen Geräten
• Mögliche Arten von Cloudlösungen kennen und einsetzen können
• Ihre Vor- und Nachteile kennen und beurteilen
• Produkte für die Umsetzung kennen

Cloud: Übersichtsgraphik

Quelle: https://en.wikipedia.org/wiki/File:Cloud_computing.svg

Cloud: Idee

• Grundidee: IT-Infrastruktur über das Netz nutzen
• Meist sind das IT-Services, wie z.B. Plattenplatz (DropBox, ...)
• Auch Anwendungen können über das Netz genutzt werden
• Cloudservices beziehen sich aber auf alle Arten der IT-Infrastruktur
  • Rechenkapazität (CPU-Leistung)
  • Netzwerkleistung (OS-Updates, DDOS-Abwehr, ...)
  • Spamerkennung
  • Virenerkennung
  • IPS- und IDS-Unterstützung
• Firmen lagern einzelne Server oder sogar Rechenzentren in Cloudlösungen aus

Cloud: Vorteile

• hohe Skalierbarkeit
• schnelle Servicebereitstellung
• höhere IT-Effizienz
• nutzungsbasierende Abrechnung
• i.A. aktuelle Technik
• Hohe Ausfallssicherheit und damit höhere Verfügbarkeit
• Betrieb durch spezialisierte Mitarbeiter des Cloudanbieters, d.h. Reduzierung der eigenen Personalkosten

Cloud: Nachteile

• Abhängigkeit vom Cloudanbieter (Qualität, Insolvenz, ...)
• Abhängigkeit von der eigenen Internetanbindung (Bandbreite, Verfügbarkeit)
• Verringerung der eigenen IT-Kompetenz
• Herausforderungen mit den Datenschutzbestimmungen
• Notwendige Anpassungen, an in der Cloud verfügbare Software
• Kontrolle über die eigenen Daten
• (D)DOS-Attacken (Cloudanbieter, eigenen Internetanbindung)

Cloud: Arten von Cloudimplementierungen

• Drei Grundkonzepte (je nach Tiefe des Servicemodells)
• 
• Daneben bilden sich zunehmende weitere "aaS"-Konzepte heraus:
  • MaaS - Metal as a Service (Baremetalvirtualisierung mit Hilfe einer Cloud)
  • SECaaS - Security as a Service (Verlagerung der Sicherheitslösungen in die Cloud)
  • CaaS - Communication as a Service (z.B.: virtuelle Telephonanlagen)
  • ...

Cloud: Public ⇔ Private

• Public Cloud (Anbieter und Anwender in verschiedenen Firmen)
  • Open Cloud (Zugang für viele Benutzer)
    • Dropbox
    • iCloud
    • ...
  • Exclusive Cloud (Zugang für bestimmte Benutzer, z.B.: eine Firma)
    • Amazon Web Services
    • Google Cloud
    • Microsoft Azure
    • APA-IT
    • ...
• Private Cloud (Anbieter und Anwender in einer Firma)
  • Firmencloud (Enterprise)
  • Abteilungscloud (Department)
  • Personal-/Teamcloud

Cloud: Hinweise zur Rechtslage

• Europäische Datenschutzbestimmungen erlauben keine Speicherung von bestimmten Daten auf Systemen außerhalb der EU
• Das "Safe Harbour"-Abkommen bzw. das "Privacy Shield"-Abkommen waren nie ein entsprechender Schutz und gelten auch nicht mehr
• Die geplanten Nachfolgebestimmungen werden wegen der Unvereinbarkeit der Datenschutzbestimmungen innerhalb und außerhalb der EU auch nicht halten
• Vereinfachtes Beispiel:
  • Nach europäischen Datenschutzbestimmungen darf ein Suchmaschinenbetreiber keine in der EU erfaßten Daten an Organisationen außerhalb der EU weitergeben
  • Nach US-amerikanischem Recht muß dieser Suchmaschinenanbieter (da er einen Sitz in den USA hat) diese Daten an bestimmte US-Organisationen auf Verlangen übergeben.
  • Die Einhaltung beider Bestimmungen ist nicht möglich!

Cloud: Hinweise zur Rechtslage - Daten

• Safe Harbour
  • ab 26.7.2000 in Kraft, umfasste ca. 5500 registrierte Unternehmen
  • Entscheidung 2000/520/EG gemäß Richtlinie 95/46/EG
  • ab 2013 in der Kritik als möglichweise rechtswidrig (nach den Enthüllungen von Edward Snowdon)
  • am 6.10.2015 vom EuGH als rechtswidrig aufgehoben (Schrems I)
• EU-US Privacy Shield
  • ab 12.6.2016 in Kraft
  • Durchführungsbeschluß 2016/1250/EU gemäß Richtlinie 95/46/EG
  • am 16.7.2020 vom EuGH als rechtswidrig aufgehoben (Schrems II)
• EU-US Data Privacy Framework
  • ab 10.7.2023 in Kraft
  • "Angemessenheitsbeschluß" vom 10.7.2023
  • von Anfang in der Kritik als möglichweise rechtswidrig

Cloud: Anwendungsbeispiele

• Akamai (IaaS)
• Google App Engine (PaaS, für Webanwendungen mit Java VM bzw. Python)
• Cisco Netacad (SaaS, (PaaS, IaaS))
• Office 365 (SaaS)
• Google Kalender (SaaS, als Beispiel für viele Google-Dienste)
• GMX(SaaS)
• sipcall (CaaS)

Zeitsynchronisation

• Warum
• Wie
• Grundlagen
• Möglichkeiten Zeit zu synchronisieren
• Arten der Zeitsynchronisation
• Synchronisation über Datennetze
• ntp
• Zeitserver

Zeitsynchronisation: Warum

• Um auf allen Systemen die gleiche Uhrzeit zu haben
• Um bei Logfileauswertungen von verschiedenen Systemen mögliche Zusammenhänge erkennen zu können
• Um bei Zeiterfassungssystemen keine Probleme zu bekommen (mehr als ein Erfassungssystem)
• Um in Verzeichnisdiensten keine unterschiedlichen Zeitstempel für den gleichen Eintrag zu bekommen
• Vermeidung von Schwierigkeiten bei Zeitumstellungen (z.B.: Sommerzeit)
• Vermeidung von falschen Absende- und Ankunftszeiten beim Dienst e-Mail (die Ankunftszeit sollte nicht früher als die Absendezeit sein)

Zeitsynchronisation: Wie

• Klassisch nach der Uhrzeit zu fragen, funktioniert nur wenn die Übetragungszeit der Information kürzer als die maximal zulässige Ungenauigkeit ist
• In Netzwerken ist die Übertragungszeit meist zu lang und vor allem nicht konstant (Jitter)
• Es benötigt daher Verfahren, um sowohl die Laufzeit als auch die Schwankungen in der Laufzeit "herausrechnen" zu können
• Die Laufzeit kann mit Hilfe der RTT (round trip time) gemessen werden (Messung der Laufzeit für Hin- und Retourübetragung)
• Die Schwankungen der Laufzeit können mit Hilfe der Mittelung vieler Übertragungen eruiert werden

Zeitsynchronisation: Grundlagen

• Kurzzeitige Netzwerkausfälle müssen mit Hilfe einer möglichst genauen lokalen Uhr überbrückt werden
• Die lokale Uhrzeit darf nicht in einem großen Schritt an die Netzwerkzeit angepasst werden, sondern in vielen kleinen, um zu vermeiden, daß Zeitstempel doppelt vergeben werden bzw. Lücken in Log-Dateien entstehen
• Wenn die Netzwerk-Zeit bei mehreren Anfragen konsistent bleibt, wird die eigene Uhrzeit in einem kleinen Schritt in Richtung dieser Zeit korrigiert
• Initial kann auch einmalig die Netzwerk-Zeit direkt in die lokale Uhr übernommen werden (unter Berücksichtigung der Zeitzonen; das wird vor allem bei Clients verwendet)

Zeitsynchronisation: Möglichkeiten Zeit zu synchronisieren

• Manuell
• Funkuhren mit DCF77 oder ähnlichen Standards
• Funkuhren mit GPS oder ähnlichen Standards
• Synchronisation über Datennetze (z.B.: Internet)

Zeitsynchronisation: Arten der Zeitsynchronisation

• Abstimmung - Alle Teilnehmer einigen sich auf eine gemeinsame Zeit (Mittelwert der Zeiten) und passen die eigene ein wenig daran an
• Dikatorisch - Einer bestimmt die Zeit und alle anderen übernehmen diese
• Hierarchisch - Server holen die Zeit von einem Zeitnormal und geben Sie an Clients weiter (mehrere Stufen möglich)
• Hybrid - Eine Mischung aus obigen Modellen

Zeitsynchronisation: Synchronisation über Datennetze

• Daytime (ASCII-Protokoll über UDP/TCP Port 13)
• NCP (Novell Core Protocol) - Zeitsynchronisation
• IEEE-1588 PTPv2 (Precision Time Protocol, UDP 319/320)
• ntp
• sntp (RFC 4330)

Zeitsynchronisation: ntp

• ntp - Network Time Protokoll (RFC 5905)
• NTP verwendet UDP-Port 123
• Ein NTP-Client frägt bei einem NTP-Server nach Datum und Uhrzeit (viele aufeinanderfolgende Anfragen)

Zeitsynchronisation: ntp - Stratum

• Stratum gibt die Entfernung zu einem externen Zeitnormal (z.B.: Atomuhr, GPS) an
• Die Stratum-Werte und ihre Bedeutung:
  
  

  Wert	Bedeutung
  0	Nicht spezifiziert oder ungültig
  1	Primärer Server mit direkter Verbindung zur Zeitquelle
  2-15	Sekundärer Server (Zeit via ntp)
  16	Nicht synchronisiert
  17-255	Reserviert

Zeitsynchronisation: Zeitserver

• pool.ntp.org, at.pool.ntp.org, europe.pool.ntp, .... (aus dem NTP-Projekt bzw. Pool-Servers)
• Bei mehreren Servern aus dem gleichen Pool: z.B.: 0.at.pool.ntp.org, 1.at.pool.ntp.org, ...
• time.metrologie.at, bevtime1.metrologie.at, bevtime2.metrologie.at (BEV)
• ts1.aco.net, ts2.aco.net (ACOnet)
• ptbtime1.ptb.de, ptbtime2.ptb.de, ptbtime3.ptb.de (PTB bzw. PTB-Uhr)
• Providerspezifische: ntp.a1.net (A1), ntp.sil.at ("3"), ntp.inode.at (Magenta)

Verzeichnisdienste

• Was ist das?
• Warum?
• Vorteile für den Benutzer
• Vorteile für den Administrator
• Standards

Verzeichnisdienste: Was ist das?

• Ein zentraler Informationsspeicher der Netzwerkumgebung
• Nicht gebunden an einen oder mehrere physikalische Standorte
• Hierarchisch aufgebaut
• Plattformunabhängig
• Standardisiertes Zugriffsprotokoll

Verzeichnisdienste: Beispiel DNS

• Im Internet wird – meist transparent – der DNS-Dienst für die Zuordnung von DNS-Namen zu IP-Adressen verwendet
• Plattformunabhängig, hierarchisch, standardisiert
• Nur eine Aufgabe (DNS-Name auf eine IP-Adresse abbilden)

Verzeichnisdienste: Aufbau

• Container
  • Firma
  • Abteilung
  • ...
• Objekte
  • Benutzer
  • Server
  • ...
• Eigenschaften
  • Werte der Objekte
  • z.B.: e-Mailadresse eines Benutzers
  • ...

Verzeichnisdienste: Anforderungen

• anpaßbar an Firmenstruktur
• Integration aller Netzwerkkomponenten
• Standardobjekttypen (User, Drucker, ...)
• freie Objekttypen
• Sinnvolle Standardattribute (e-Mail, ...)
• Definition freier Attribute
• ...

Verzeichnisdienste: Warum?

• Reduktion der Benutzer- bzw. Ressourcenverwaltung
  • e-Mail-Systeme
  • Netzwerkbetriebssysteme
  • Anwendungsprogramme
  • Datenbankzugriffe
  • ...
• Vereinheitlichung der Parameter und der Suche danach

Verzeichnisdienste: Resourcen

• Dateien
• Dateiverzeichnisse (Ordner)
• Datenbanken
• Dienste
• Druckerwarteschlangen
• Drucker
• Speichereinheiten
• Server
• Arbeitsstationen
• Anwendungen
• Gateways
• ...

Verzeichnisdienste: Angaben (Beispiele)

• zu Mitarbeitern
  • Name
  • Adresse
  • Telephonnummer
  • ...
• zu Ressourcen
  • Drucker: Standort, Fähigkeiten, ...
  • Arbeitsstationen: Betriebssystem, Ausstattung, ...
  • ...
• Zugriffsmöglichkeiten
• Zugriffsrechte
• Verfügbare Anwenderdienste

Verzeichnisdienste: Einsatzmöglichkeiten

• Wie ist die Telephonnummer von X?
• Wie lautet die e-Mail-Adresse von y?
• Wo ist die Anwendung z?
• Wie melde ich mich an die Datenbank abc an?
• Wo ist der aktuelle Geschäftsbericht?
• Wo ist ein Farbdrucker?
• ...

Verzeichnisdienste: Nachteile für den Benutzer

• Umstellung auf ein neues System
• Namen gewohnter Dienste können länger werden, da sie in einem Kontext gesehen werden müssen

Verzeichnisdienste: Vorteile für den Benutzer

• Einfache Abfrage von Informationen zu einem Objekt
• Nur ein(?) Passwort
• Keine Notwendigkeit über Änderungen im Netz informiert zu werden (Änderung von Speicherplätzen, Faxdiensten, ...)
• Transparenter Zugriff auf Objekte (interner Aufbau ist für den Anwender nicht relevant)

Verzeichnisdienste: Nachteile für den Administrator

• Umstellung (Aufwand)

Verzeichnisdienste: Vorteile für den Administrator

• "Single Point of Administration"(!) statt mehrere Administrationsprogramme
• Änderungen in der Netzwerkinfrastruktur bleiben für den Benutzer transparent (d.h. weniger Rückfragen)
• Weniger Benutzerunterstützung notwendig (wegen der Transparenz)

Verzeichnisdienste: Standards

• ISO/IEC 9594/ITU-TS X-500
  • Basisnorm für alle Verzeichnisdienste
• ENV 41210
  • DAP (Directory Access Protocol)
• LDAP (Lightweight DAP)
  • Derzeitiger Defacto-Standard mit dem verschiedene Verzeichnisdienste kommunzieren

Verzeichnisdienste: X.500

• DIT (Directory Information Tree)
• DN (Distinguished Name)
  • global eindeutig
• RDN (Relative Distinguished Name)
• CN (Common Name)
• @c=AT@o=SPG@ou=EDV@cn=xyz

Verzeichnisdienste: LDAP

• Defacto-Standard für die Kommunikation verschiedener Verzeichnisdienste
• RFC 1777 (März 1995) LDAPv2
• RFC 2251 (Dezember 1997) LDAPv3
• cn=xyz, ou=EDV, o=SPG, c=AT

Verzeichnisdienste: Übersicht – Verzeichnisdienste

• Laut der US-Vereinigung Network Applications Consortium gibt es nur zwei die den Namen Verzeichnisdienst verdienen:
  • Banyan Streettalk (nicht mehr am Markt)
  • Novell NDS/e-Directory
• Daneben noch:
  • IBM Secure Directory
  • IBM/Lotus NAB (Namen- und Adressbuch)
  • Microsoft ADS
  • ...

e-Directory

• Allgemeines
• Aufbau
• Objekttypen und deren Eigenschaften
• Kontext
• Partitionen und Replikationen
• Zeitsynchronisation
• Verwaltung

e-Directory: Allgemeines

• NDS als Netware Directory Services im Jahr 1994 mit Netware 4 als Nachfolger des Bindery-Systems eingeführt
• Später auf Novell Directory Services umbenannt, da auch auf Windows-Server und Unix-System lauffähig
• Heute oft als e-Directory bezeichnet

e-Directory: AUfbau

• Baumartig mit drei Klassen von Objekten
  • Rootobject (Wurzel des Baumes; bezeichnet mit dem Pseudonamen [Root])
  • Containerobjects (C, O und OU)
  • Leafobjects (Blattobjekte, CN)

e-Directory: Rootobject

• Einmalig in einem Tree
• Der Name des Trees ist mit diesem Objekt verbunden
• Alle Eigenschaften für den gesamten Tree sind mit diesem Objekt verbunden (z.B.: B-Recht für [Public])

e-Directory: Containerobjects

• Nur Containerobjekte können weitere Objekte beinhalten
• Containerobjekte haben auch Eigenschaften für alle Objekte darin
• C
  • Countryobject
• O
  • Organisation Object
• OU
  • Organizational Unit Object

e-Directory: Countryobject

• Countryobjects können nur in [Root] existieren
• Namen müssen den international üblichen Namen (ISO 3166-1) der Länder entsprechen
• Countryobjects können nur Objekte des Types O beinhalten

e-Directory: Organisationobject

• Organisationobjects können in [Root] oder in Objekten des Typs C existieren
• Organisationobjects können OU- oder Leafobjects beinhalten
• Die Namen entsprechen üblicherweise den Firmennamen

e-Directory: Organizational Unit Object

• Diese Objekte können in Objekten der Typen O oder OU existieren
• In diesen Objekten können weitere OU oder Leafobjekte untergebracht sein
• Die Namen können frei gewählt werden, sollten aber "sprechend" sein

e-Directory: Leafobjects

• Blatt- oder Endobjekte stellen die eigentlichen Elemente des Netzwerkes dar
• Je nach Art des Objektes sind hier verschiedene Eigenschaften möglich (z.B.: Drucker hat einen Standort, Benutzer?)

e-Directory: Leafobjekttypen

• Einige Standardtypen:
  • Alias
  • User (Benutzer)
  • Workstation (Computer)
  • Volume (Datenträger)
  • Group (Gruppe)
  • Server
  • Profile (Profil)
  • Directory (Verzeichniszuordnung)
  • Role (Organisatorische Funktion)
  • License (Lizenz)
  • Application (Anwendungsprogramm)
  • Printer (Drucker), Printserver (Druckserver), Queue (Warteschlange)
  • ...

e-Directory: Leafobjekttypen (Nichtstandard)

• Neben den Standardtypen sind noch beliebige Erweiterungen möglich:
  • fw1 User (Checkpoint Firewall-1)
  • Bagger
  • Kran
  • Flugzeug
  • Elternteil (spezieller Benutzertyp)
  • ...

e-Directory: Kontext

• Um ein Objekt korrekt zu beschreiben muß der DN verwendet werden
• Der Kontext ist jener Teil des DN, der zum CN hinzugefügt werden muß
• Ein "Default Context" (Standard Kontext) spart die Angabe des Kontexts für Objekte in diesem Kontext

e-Directory: Beispiel

e-Directory: Beispiel - Erläuterungen 1

• Kein Countryobject
• Ein Organisationobject names HTBLVA
• Viele OU-Objects
• Viele Leafobjects von denen nur drei Benutzer und ein Volume eingezeichnet ist
• Der Name des Benutzers Admin:
  • <treename>/cn=admin.o=htblva oder kurz
  • <treename>/admin.htblva

e-Directory: Beispiel - Erläuterungen 2

• Der RDN des Benutzers Admin:
  • im Kontext HTBLVA: cn=admin
  • im Kontext [Root]: cn=admin.ou=htblva
  • im Kontext Kolleg.EDV.HTBLVA: admin..
• DN des Objektes MIRACULIX_PUPIL:
  • MIRACULIX_PUPIL.EDV.HTBLVA
• RDN des Objektes:
  • Kontext EDV.HTBLVA: MIRACULIX_PUPIL
  • Kontext HDV.EDV.HTBLVA: MIRACULIX_PUPIL.
  • Kontext HTBLVA: MIRACULIX_PUPIL.EDV

e-Directory: Eigenschaften

• Jedes Objekt im eDirectory hat Eigenschaften (Properties)
• Containereigenschaften beziehen sich oft auf alle Objekte im Container
• Mögliche Eigenschaften im Schema beschrieben
• Eigenschaften können optional oder mandatory sein

e-Directory: Eigenschaften von Organizations

• Name
• Login Script
• Rechte
• ...

e-Directory: Eigenschaften von Volumes

• Name
• Host Server
• Host Volume Name
• Version
• ...

e-Directory: Eigenschaften von Benutzern

• First Name, Last Name, Full Name
• UserID (Login Name)
• Key Material (Verschlüsselung, Anmelden, ...)
• e-Mail-Address
• Title, Telephone Number, Address
• Home Directory Volume, Home Directory Path
• Password Parameter, Account Ablaufdatum, Beschränkung gleichzeitiger Verbindungen, Last Login
• Gruppenmitgliedschaften
• ...

e-Directory: Eigenschaften von Gruppen

• Name
• Beschreibung
• Mitglieder
• Rechte auf Verzeichnisse und Dateien
• ...

e-Directory: Partitionen

• Ein NDS-Baum kann in mehrere Partitionen aufgeteilt werden
• Ein Aufteilung hat nur dann Sinn, wenn mehrere Server vorhanden sind
• Von jeder Partition existieren standard-mäßig 2 Kopien (Replikationen) auf unterschiedlichen Servern

e-Directory: Replikationen

• Replikationen sind Kopien aller Daten einer Partition
• Automatische Erstellung beim Partitionieren
• Manuelle Erstellung durch den Administrator

e-Directory: Replikationstypen

• Masterreplikation (Masterreplica)
• [Gefilterte] Schreiben/Lese-Replikation ([Filtered] Read-Write-Replica)
• [Gefilterte] Nur-Lese-Replikation ([Filtered] Readonly-Replica)
• Linkreplikationen (Subordinate Reference Replica)

e-Directory: Zeitsynchronisation

• Damit mehrere Server korrekt mit e-Directory arbeiten können, muß(!) eine einheitliche Zeit im System herrschen
• Alle Server haben daher intern UTC (gleich GMT = MEZ-1Stunde/2Stunden)
• Zusätzlich wird die lokale Zeit für die Anzeige verwendet (aus UTC gebildet und Zeitzone)
• e-Directory hat seine eigene Zeitsynchronisation, unterstützt aber auch ntp (siehe eigene Präsentation)

e-Directory: Zeitsynchronisation - Zeitservertypen

• SINGLE REFERENCE
• REFERENCE
• PRIMARY
• SECONDARY

e-Directory: Zeitsynchronisation - SINGLE REFERENCE

• Die Uhrzeit dieses Servers wird als Referenz für das Netzwerk verwendet
• Daneben nur SECONDARY Timeserver sinnvoll
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Zeitsynchronisation - REFERENCE

• Referenzzeitserver, der allerdings mit anderen Zeitservern die Netzwerkzeit abstimmt (seine eigene Zeit aber nicht daran anpaßt)
• Daneben sind SECONDARY und PRIMARY Timeserver möglich
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Zeitsynchronisation - PRIMARY

• Zeitserver, der mit anderen Zeitservern (PRIMARY oder REFERENCE) die Netzwerkzeit abstimmt
• Daneben sind SECONDARY, PRIMARY und REFERENCE Timeserver möglich
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Zeitsynchronisation - SECONDARY

• Zeitserver, der selbst seine Uhrzeit von anderen Zeitservern (PRIMARY, SINGLE REFERENCE oder REFERENCE) bekommt
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Verwaltung

• Namensgebung
• i-Monitor
• i-Manager

e-Directory: Verwaltung - Namensgebung

• In eDirectory-Namen sollten folgende Zeichen nicht verwendet werden:
  . [ , ] + =
• Möglich sind aber auch diese mit dem \ (=Fluchtsymbol) davor
• 47 Zeichen maximale Länge für Namen, die SAP (Service Advertising) benötigen
• Richtlinien für Namensgebung sinnvoll

e-Directory: Verwaltung - Richtlinien Namensgebung

• Damit später der Baum einfacher durchsucht werden kann
• Genaue Beschreibung der Namensbildung
• Genaue Beschreibung der Schreibweise und der Trennzeichen
• Strikte Einhaltung (!)

e-Directory: Verwaltung - Beispiele Namensgebung

• Login Name
  • Erster Buchstabe Vorname
  • Familienname (z.B.: hhabicht)
• Telefonnummer
  • Internationale Schreibweise (z.B.: +49 89 5475)
• Full Name
  • Vorname Zuname (z.B.: Hugo Habicht)

e-Directory: Verwaltung - i-Monitor

• Webbasierendes Monitoring und Diagnosetools
• eDirectory Zustandsübersicht
• Fehlermonitoring
• Verbindungsübersicht der Replikationen
• ...

e-Directory: Verwaltung - i-Manager

• Webbasierende Verwaltung des eDirectories
• Durch PlugIns erweiterbar
• Rollenbasierendes Management möglich
  • Unrestricted
    • Anzeige aller Rollen und Tätigkeiten
  • Assigned
    • Zugeordnete Rollen und Tätigkeiten für den Benutzer
  • Collection owner
    • Mehrere Rollen für eine Sammlung

Topologien

• Begriffe
• Bewertungskriterien
• Verbreitete Topologien
• Besondere Topologien

Topologien: Begriffe

• Zusammenhangsgrad
• Teilstreckennetze
• Diffusionsnetze
• Zugriffsverfahren

Topologien: Zusammenhangsgrad

• Ein Netzwerk wird dann N-zusammen-hängend genannt, wenn nach Ausfall von N-1 Verbindungen noch immer jeder Knoten des Netzwerkes mit jedem anderen Knoten Verbindung hat. (0-Zusammenhängend wird in der Literatur oft mit 1-zusammenhängend gleich gesetzt)

Topologien: Teilstreckennetze

• Netzwerke, bei denen die Daten über eine oder mehrere unabhängige Übertragungsstrecken von einer Quelle zum Ziel transportiert werden, dabei können die einzelnen Teilstrecken technisch verschieden sein (optisch, elektrisch, ...). Jede Teilstrecke hat eine Anfangs- und einen Endpunkt

Topologien: Diffusionsnetze

• Netzwerke bei denen alle Stationen an ein gemeinsames Übertragungsmedium angeschlossen sind, dabei wird die Nachricht vom Sender in das Medium übergeben und vom Empfänger ausgewertet. „Mithören“ für andere Stationen ist grundsätzlich möglich

Topologien: Zugriffsverfahren

• Random Access
• Gesteuerte Zugriffe
• Token/Polling

Topologien: Zugriffsverfahren - Random Access

• Jeder Benutzer hat grundsätzlich jederzeit Zugriff
• Kollisionsmöglichkeit
• Varianten:
  • ALOHA, S-ALOHA
  • CSMA/CD, CSMA/CA
  • BTMA, CDMA

Topologien: Zugriffsverfahren - ALOHA

• 1970 an der Universität Hawaii entwickelt
• Jeder sendet nach Bedarf
• Keine Abstimmung
• Schlechter Durchsatz: (ca. 18%)

Topologien: Zugriffsverfahren - Random Acces - S-ALOHA

• Slotted ALOHA (1972)
• Festgesetzte Time-Slots
• „Master“, der die Slots definiert (Setzen der Anfangszeiten)
• Durchsatz ca. 36%
• Beispiel: Satellitenkommunikation

Topologien: Zugriffsverfahren - CSMA/CD

• Carrier Sense Multiple Access with Collision Detection
• Abhören der Leitung, ob sie frei ist
• Senden und weiterhören, ob dabei eine Kollision entstanden ist
• Wenn notwenig: JAM-Signal
• Erneutes nach „zufälliger“ Wartezeit (2ⁿ)
• Beispiel: Ethernet (802.3)

Topologien: Zugriffsverfahren - CSMA/CA

• Carrier Sense Multiple Access with Collision Avoidance
• Ähnlich CSMA/CD
• Durch Prioritäten werden Kollisionen vermieden (nicht verhindert!)
• Beispiel: Appletalk, WLAN (802.11)

Topologien: Zugriffsverfahren - BTMA

• Busy Tone Multiple Access
• Speziell für Funknetze entwickelt
• Steuerung über Sonderkanal (Blockierung durch einen Busy Tone)
• Varianten:
  • RD-BTMA (Receiving Destination BTMA)
  • C-BTMA (Conservative BTMA)

Topologien: Zugriffsverfahren - CDMA

• Code Division Multiple Access
• Speziell für Funknetze entwickelt
• Mit Hilfe von CDM werden mehrere Signale gleichzeitig übertragen
• Varianten:
  • Einheitlicher Code
  • Sender- oder Empfängerspezifischer Code

Topologien: Zugriffsverfahren - Gesteuerte Zugriffe

• Jeder Teilnehmer bekommt einen fixen Anteil an der gesamten Bandbreite
• Inflexibel und schlechte Gesamtauslastung
• TDMA (Time Division Multiplex Access)
• FDMA (Frequency Division Multiplex Access)

Topologien: Zugriffsverfahren - Token/Polling

• Jeder Teilnehmer wird von einem zentralen Vermittler zum Senden aufgefordert (Polling) oder ein spezielles Packet wird weitergereicht (Token)
• Echtzeitfähig (garantierte Antwortzeit)
• Beispiel: Token Ring (802.5)

Topologien: Bewertungskriterien

• Modularität
• Modularität der Kosten
• Zusammenhangsgrad
• Stabilitäts- und Rekonfigurationsverhalten
• Logische Komplexität
• Durchsatzkapazität

Topologien: Verbreitete Topologien

• Stern (Star)
• Erweiterter Stern (Extended Star)
• Ring
• Bus

Topologien: Stern

Topologien: Stern - Eigenschaften

• Alle Nachrichten laufen über ein Zentralsystem (aktiv, passiv)
• Aktiv
  • Zentraler Vermittler
  • Switch
• Passiv
  • Hub

Topologien: Stern - Kriterien

Topologien: Erweiterter Stern

Topologien: Erweiterter Stern - Eigenschaften

• Auch „Baumartig mit zentralen Teilvermittlern“ genannt
• Möglicher Zerfall in Teilnetze
• Mögliche Durchsatzengpässe zwischen den Teilvermittlern
• Als Vermittler heute i.a. Switches im Einsatz

Topologien: Erweiterter Stern - Kriterien

Topologien: Ring

Topologien: Ring - Eigenschaften

• Kann mit oder ohne zentralem Vermittler betrieben werden
• Uni- oder bidirektionaler Betrieb möglich
• Kopplung mehrerer Ringe machbar (meist bei ZV)
• Heute i.a. unidirektional ohne ZV

Topologien: Ring - Kriterien

Topologien: Bus

Topologien: Bus - Eigenschaften

• Alle Stationen sind an ein gemeinsames Medium (Bus) angeschlossen
• Zugriffsverfahren besonders wichtig
• Abhörsicherheit problematisch
• Broadcastmöglichkeit

Topologien: Bus - Kriterien

Topologien: Besondere Topologien

• „Der vollständige Graph“
• „Reguläre Strukturen“
• Liniennetz
• Bus mit zentralem Vermittler
• Unregelmäßige Strukturen

Topologien: Vollständiger Graph

Topologien: Vollständiger Graph - Eigenschaften

• Jeder Knoten (N) ist mit jedem anderen Knoten verbunden
• Zwei Betriebsarten
  • Indirekt (mit Routing)
  • Direkt (ohne Routing)
• Nur bei kleiner Anzahl (<20) sinnvoll
• Hohe Störsicherheit und hohe Kosten

Topologien: Vollständiger Graph - Kriterien

Topologien: Reguläre Struktur

Topologien: Reguläre Struktur - Eigenschaften

• Jeder Knoten hat die gleich Anzahl von nächsten Nachbarn (n)
• Bei manchen n Randproblem (3,5)
• Große (>6) n selten
• Für Sonderfälle gelten die Bewertungs-kriterien nicht vollständig (s. Beispiel)
• Der vollständige Graph und der Ring sind ebenfalls Sonderformen

Topologien: Reguläre Struktur - Kriterien

Topologien: Reguläre Struktur - Sonderfall

• Drei nächste Nachbarn, trotzdem ist der Zusammenhangsgrad nur 1

Topologien: Liniennetz

Topologien: Liniennetz - Eigenschaften

• Die Knoten sind linear angeordnet
• Minimale Leitungsanzahl
• Mittlere Leitungen stärker belastet als die Randleitungen
• Durch eine zusätzliche Leitung zu einem Ring erweiterbar

Topologien: Liniennetz - Kriterien

Topologien: Bus mit zentralem Vermittler

Topologien: Bus mit zentralem Vermittler - Eigenschaften

• Alle Nachrichten werden von den Knoten zu einem zentralem Vermittler übertragen und werden von diesem an das Ziel gesandt
• Mangelnde Abhörsicherheit
• Broadcastfähigkeit
• Beispiel: Funknetze mit Benutzermobilität

Topologien: Bus mit zentralem Vermittler - Kriterien

Topologien: Unregelmäßige Strukturen

• Durch das Zusammenwachsen verschiedener Netze entstehen oft unregelmäßige Strukturen (verschiedene Teile bestehen aus unterschiedlichen Topologien)
• Die Bewertungskriterien sind daher sinnvoll nur auf Teile des Netzes anwendbar
• Der Zusammenhangsgrad ist bei dieser "Topologie" i.a. 1

Quellen

• Die meisten Quellen sind direkt im Text verlinkt, hier noch einige zusätzliche Informationen
• The Origins of Phreaking
• IETF - Internet Engineering Task Force
• ITU - International Telecommunications Union (ehemals CCITT)
• Wikipedia: Liste der Virtualisierungsprodukte
• Virtualbox Startseite
• VMWare Startseite
• Cloud Computing bei Wikipedia
• The NIST Definition of Cloud Computing (800-145/2011)
• S5: A Simple Standards-Based Slide Show System
• Mein Informationsportal (www.coufal.info)

Fragen

?

Danke für Ihre Aufmerksamkeit