Netzwerkerweiterung

WLAN, VLAN, WAN, VPN, Netzwerkmanagement & Dokumentation (Version: 18. April 2023)

INHALTSVERZEICHNIS

Extras ∇ INFO ZU CISCO-PACKET-TRACER


1. WLAN → Wireless Local Area Network

Das WLAN ist ein drahtloses lokales Funknetzwerk.

Ist wirklich alles Gold was glänzt? Kabelsalat war gestern, das «Heute» ist kabellos! So mindestens verkünden es die Marketingabteilungen der führenden Technologieunternehmen. Und siehe da: Aktuelle Notebook besitzen kaum noch RJ45-Netzwerkbuchsen und verbliebene kabelgebundene Schnittstellen wie USB, HDMI und Displayport sind wohl ein Auslaufmodell. Bei modernen Tablets wurde sogar das letzte verbliebene Kabel gekappt: Stromversorgung geht auch berührungslos! Hat Kupfer oder Glas in der Netzwerktechnik ausgedient? Sicher nicht! Im Gegensatz zu Kupfer und Glas teilt sich Drahtlos nämlich ein einziges Medium: Unsere Luft. Und da möchten ganz viele mitmachen und die nutzbaren Frequenzbänder sind nun mal endlich. Zum Beispiel verspricht der Standard IEEE 802.11ac eine Brutto-Datenrate von 7 GBit/s. Dies ist jedoch abhängig von Funkkanalbreite, Übertragungsart, Anzahl der Antennen am AccessPoint, der Bausubstanz des Gebäudes wie Art der Decke, Wände, Möbel etc., Einfluss von benachbarten Funknetzwerken, Anzahl teilnehmender Endgeräte (Notebook, Tablets etc. - CSMA-CA lässt grüssen), dann die eigene Entfernung zum WLAN-AccessPoint und so weiter und so fort. Kurzum: Man wird nur einen Bruchteil der versprochenen Datenrate erreichen! Wireless bzw. WLAN macht schon Sinn. Kupfer oder Glas aber auch. Wie immer kommt es auf den Verwendungszweck an.

WLAN ist unterhalb dem OSI-Layer 3 (also L1/L2) angesiedelt. Begründung: Die Aufgabe des Layer 2 im OSI-Schichtenmodell ist die abschnittsweise Sicherungen des Datenaustauschs. Hierfür werden die Bits in Datenblöcke zusammengefasst. Es sind Verfahren zur Fehlerkorrektur, zur Flusskontrolle und für den Zugriff auf das Übertragungsmedium definiert.

1.1 WLAN-Betriebsarten

WLAN (Wireless Local Area Network) gibt es in den folgenden Betriebsarten:

WDS (Wireless Distribution Repeater)

Ein als WDS konfigurierter Access Point ist eine WLAN-Basisstation, die schwache Funksignale empfängt, neu aufbereitet und verstärkt wieder abstrahlt. WLAN-Repeater vergrössern im Prinzip die Reichweite einer einzelnen Basisstation, die sie über ihre Hardware-Adresse (MAC) identifizieren. Bei der Repeater-Funktion handelt es sich praktisch um eine Funkverlängerung. Der WLAN-Repeater verteilt dabei die Datenpakete per Broadcast an alle WLAN-Teilnehmer und erzeugen damit eine Datenflut im WLAN. AP und Repeater haben dieselbe SSID, denselben WPA/WEP-Schlüssel und denselben Funkkanal. Da der AccessPoint und Repeater die gleiche SSID haben, können sich die WLAN-Clients wahlweise mit dem Repeater oder dem Access Point verbinden. Je nachdem, welches Funksignal stärker ist. WDS gibt es als Single-Radio-WDS (Ein Kanal für Weiterleitung an benachbarte AP’s und Clients) und Dual-Radio-WDS (Zwei Kanäle, davon einer für Weiterleitung an AP’s und ein weiterer für die Clients. Dieses Verfahren ist daher effizienter)

1.2 WLAN-Sicherheit

  • Die Sicherheit von WLANs basiert auf einer Kombination aus Authentifizierung und Verschlüsselung.
  • Ein offenes WLAN stellt sich wie ein offenes Scheunentor dar. Beim Surfen über das offene WLAN hinterlässt die IP-Adresse des WLAN-Betreibers eine Spur im Netz. Diese IP-Adresse kann im nachhinein dem Anschlussinhaber zugeordnet werden. Der Anschlussinhaber wird daher im Rahmen einer Rechtsverletzung als erster Verdächtiger ermittelt.
  • Wenn immer möglich mit WPA2 (WIFI Protected Access 2 – AES/CCMP/IEEE802.11i) verschlüsselt verbinden – WPA2 gilt als hinreichend sicher, wenn das WLAN-Passwort möglichst lang und komplex ist – Befindet sich das Passwort in einem Wörterbuch, dann bestehen gute Chancen, dass ein Angreifer das Passwort herauszufinden kann.
  • WEP ist geknackt und sollte nicht mehr verwendet werden.
  • Im kommerziellen oder großräumigen Einsatz sollte ein WLAN immer im Enterprise Mode mit IEEE 802.1x gesichert werden.
  • WPS ausschalten.
  • Die WLAN-Reichweite bzw. Antenne und Sendeleistung den Bedürfnissen anpassen um ein «Mithören» nicht zu fördern.
  • Default-Admin-Passwort ändern.
  • Aktuelle Patches einspielen.
  • SSID wählen, die keine Rückschlüsse auf die Firma oder Namen zulässt.
  • MAC-Adressfilter einsetzen ist fraglich – Ein Hacker wird sich einfach seinen WLAN-Adapter mit der MAC-Adresse eines berechtigten WLAN-Adapters überschreiben und schon ist der MAC-Filter umgangen.
  • SSID-Broadcast verstecken ist fraglich und wird auch nicht offiziell unterstützt bzw. ist für Hacker kein wirkliches Hindernis, denn sobald sich ein Client an einem WLAN mit versteckter SSID anmeldet, wird dabei die SSID übertragen)
    (Es entsteht sogar eine Sicherheitslücke: Normalerweise würde der WLAN-Access-Point regelmässig über sein WLAN informieren. Wenn er das nicht tut, dann muss der WLAN-Client, der einmal damit verbunden war, aktiv nach diesem WLAN suchen. Deshalb broadcastet dieser Client regelmäßig die SSID von sich aus heraus. Er ruft praktisch ständig nach dem versteckten WLAN. Auch wenn das gar nicht in der Nähe ist.)
  • WLANs von anderen Netzwerk-Segmenten logisch trennen.
  • Firewall zwischen WLAN und LAN.
  • VPN einsetzen.
  • IDS (Intrusion Detection System) im WLAN aufstellen, um Angriffe zu erkennen.
  • Regelmässige Audits mit aktuellen Hacker-Tools.
  • Netzzugang regeln mit z.B. Radius-Server.
  • Wie man ein WLAN «hacken» kann, wird z.B. ausführlich auf www.elektronik-kompendium.de beschrieben. Stichwort: «WLAN-Hacking» oder hier der Direktlink.

1.3 WLAN-Frequenzen und Kanäle

Für WLAN im Frequenzband 2.4GHz sind 13 Kanäle 1-13 nutzbar. Kanalabstand: 5MHz
Für WLAN im Frequenzband 5GHz sind 24 Kanäle 36,40,44,48,52,56,60,64,100,104,108,112,116,120,124,128,132,136, 140,149,153,157,161,165 nutzbar. Kanalabstand: 20MHz
Die Kanalanzahl bzw. nutzbare Kanäle sind regional und auch überregional sehr unterschiedlich.

Eine Videoerklärung zum Thema WLAN Frequenzen und Kanalüberlappung kann hier heruntergeladen werden: WLANFrequenzenKanaele.mp4

Beispiel 2.4GHz:

Sowohl der 2.4GHz- wie auch im 5GHz Bereich ist in verschiedene Kanäle unterteilt. Ein Kanal hat eine Bandbreite von 20MHz, 22MHz oder 40MHz. Der AP sendet auf genau einem dieser Kanäle. Dies kann man am AP entsprechend konfigurieren. Benachbarte AP’s sollten aber nicht denselben Kanal benutzen, sonst kommt es zu einer Kanalüberlappung.

  • Bei 13 Kanälen (Europa) sind je nach Bandbreite (20/22/40MHz) jeweils 2, 3, max. 4 Kanäle ohne Überlappung nutzbar.
  • Falls mehrerer Access Points geplant sind ist darauf zu achten, dass die genutzten Kanäle nicht zu dicht beieinander liegen.
  • Eine Kanalüberlappung ist unbedingt zu vermeiden, weil dies sonst zu einer geringeren Übertragungsrate führen würde.
  • Eine Kanalüberlappung ist nur bei AP’s zulässig, die mindestens 30 Meter auseinander liegen.
  • Die Bandbreite, je nach IEEE802.11-Norm 20MHz, 40MHz. 80MHz oder 160MHz kann bei professionellen APs eingestellt werden und wird bei einfacheren APs zwischen den Teilnehmern ausgehandelt. Je höher die Bandbreite, umso weniger verfügbare bzw. überlappungsfreie Kanäle, dafür potentionell höhere Datenübertragungsrate. (Abhängig von weiteren Kriterien)
  • Ausserdem muss jeder PC die Übertragungsleistung auf dem selben Kanal mit anderen PC’s teilen (Shared Medium/Kollisionsdomäne)
Kanalwahl fix oder dynamisch? Der Accesspoint prüft die verfügbaren Kanäle und wählt den aus, den ihm am vorteilhaftesten erscheint, weil darauf am wenigsten Traffic messbar ist. Das ist sinnvoll und auch die einzige Möglichkeit an Orten, wo eine hohe WLAN-Dichte besteht und man kein Einfluss auf benachbarte APs hat. Auf dem eigenen Campus hat man aber die Möglichkeit, die Kanäle bezüglich den geografischen Gegebenheiten sorgfältig zu planen und fix zuzuteilen. Dagegen spricht dann allerdings wieder, dass wenn ein Mitarbeiter mit seinem z.B. Smartphone einen eigenen HotSpot eröffnet, es zu Interferenzen kommen kann, weil die fix eingestellten APs frequenzmässig nun nicht mehr ausweichen können.

1.4 WLAN-Funkantennen

Die Antenne ist lediglich ein Baustein bei einem WLAN-Aufbau. Viele AccessPoints haben bereits eine oder mehrere der folgenden Antennentypen fest eingebaut. Professionelle APs weisen einen Antennenstecker (SMA, RP-SMA) auf, der den Anschluss einer externen Antenne zulässt. Die Antenne muss auf die Frequenz (2.4GHz, 5GHz, 6GHz) abgestimmt sein, auf der sie betrieben werden soll.

  • Stabantenne oder Rundumstrahlantenne strahlt die elektromagnetischen Wellen gleichmässig in alle Richtungen ab. Dabei sollte die Antenne vertikal stehen. Stabantennen sind in Stabrichtung am wenigsten Effizient.
  • Richtantenne bündelt die Energie und strahlt die elektromagnetischen Wellen in eine bestimmte Richtung ab.
    Vorteil: Grössere Reichweite.
    Nachteil: Man muss die Antenne genau auf die Gegenstelle ausrichten
  • Sektorantenne zählt zur Gruppe «Richtantenne», weist aber einen etwas grösseren Öffnungswickel auf. Um verschieden Richtungen «auszuleuchten», setzt man mehrere Sektorantennen an einem Standort ein.

1.5 WLAN-Fehlersuche und Korrektur

Folgende Parameter beeinflussen die nutzbare Übertragungsgeschwindigkeit:

  • Frequenzband 2.4GHz, 5GHz (HW- bzw. Geräteabhängig, unterstützter WLAN-Standard 802.11??)
  • AP-Kanalbreite 20MHz, 40MHz, 80MHz, 160MHz (HW- bzw. Geräteabhängig, unterstützter WLAN-Standard 802.11??)
  • Anzahl nutzbarer Streams bzw. Sende/Empfangseinheiten (HW- bzw. Geräteabhängig, unterstützter WLAN-Standard 802.11??)
  • Räumliche Distanz zwischen Access Point und Client.
  • Benachbarte WLANs im selben Funkkanal. (Grosse Liegenschaft, Campus etc.)
  • Andere Funksysteme im selben Frequenzbereich. (Bluetooth, Modellfernsteuerungen etc.)
  • Räumliche Hindernisse. (Decken, Wände etc.)
  • Anzahl der Clients im selben WLAN.
  • Alte und langsame Clients im WLAN.
  • WLAN-Repeater oder Access Point im Repeater-Betrieb zwecks Bereichserweiterung.
  • Sonstige elektromagnetische Störungen. (Maschinen etc.)
Was kann man dagegen tun?
  • keine Frequenzbandauswahl, kleine Kanalbreite, wenig Sende/Empfangseinheiten → allenfalls neue HW (AP) kaufen.
  • Überprüfen sie die Funksignalstärke am Empfangsort.
  • Überprüfen sie eine allfällige Überlappung aktiver Funkkanäle.
  • Überprüfen sie die Anzahl verbundener Geräte und beachten sie, dass der Funkkanal eine einzige Kollisionsdomäne bildet und somit jeder weitere Teilnehmer die am AP zur Verfügung stehende Netzwerkbandbreite proportional reduziert (so ähnlich wie beim Hub)
  • Nutzen sie, sofern ihr AP das zulässt, die zurzeit noch weniger genutzten Kanäle im 5GHz-Bereich.
  • Für mehr Verbindungsqualität und Reichweite Client und Access Point in Sichtlinie aufstellen.
  • Access Point leicht erhöht aufstellen oder wenn möglich an Wand oder Decke anbringen.
  • Empfangsverbesserung bei WLAN über mehrere Etagen durch Schrägstellen der Antenne.
  • Mit der Antennenausrichtung experimentieren. Das Umsetzen oder Drehen der Basisstation kann die Verbindung deutlich verbessern.
  • Wände in Leichtbauweise stellen kein Problem dar. Wände und Decken aus Stahl oder Beton, sowie Brandschutztüren schränken die Reichweite des WLAN ein.
  • Fenster lassen zwar Licht durch, dämpfen aber das WLAN-Signal, insbesondere bei Wärmeschutzverglasung.
  • Ecken und Nischen meiden. Dort bilden sich häufig Funklöcher.
  • Zur Reichweitenerhöhung im Aussenbereich Aussenantennen verwenden.
  • Mehrere Access Points mit ausreichendem Abstand zueinander aufstellen.

1.6 Dämpfung von WLAN-Funkwellen

Geringe Dämpfung Mittlere Dämpfung Hohe Dämpfung Sehr hohe Dämpfung
Material Holz, Gips, Glas Wasser, Mauersteine Beton, Gips Metall
Beispiel Möbel, Decken,
Zwischenwände ohne Metallgitter,
Fensterscheiben
Mensch, feuchte Materialien
Aquarium, Wände Decken
Massive Wände,
Stahlarmierte Betonwände,
Zwischenwände mit Metallgitter
Liftschacht,
Brandschutztüren,
Stahlbetonkonstruktionen

1.7 Die WLAN-Norm IEEE 802.11

Hinweise zur Übersichtstabelle:

  • Sendeleistung: Die Sendeleistungen der Funkeinheiten varieren je nach Standard zwischen 100mW bis 1W.
  • Bruttodatenrate: Darunter ist die maximale Datenrate zu verstehen, die unter Nutzung der höchsten Kanalbreite/Bandbreite (20MHz, 40MHz, 80MHz, 160MHz) und maximaler Anzahl Sende/Empfangseinheiten (1-8, MIMO) des jeweilige WLAN-Standards theoretisch zu erzielen ist.
  • Nettodatenrate: Die Bruttodatenrate kann aus verschiedenen Gründen in der realen Welt nicht erreicht werden. Für die Netzwerkdimensionierung muss von einer Nettodatenrate ausgegangen werden und diese liegt bei ca. 15% bis 50% der Bruttodatenrate.
  • Frequenzband: Mit Frequenzband sind die in Europa zugelassenen 2.4GHz (2.4-2.4835 GHz), 5GHz (5.47-5.735GHz) und 60GHz (57-66GHz) gemeint.
  • Bandbreite/Kanalbreite: Jeder Accesspoint arbeitet auf einer Frequenz (2.4GHz, 5GHz oder 60GHz) und da auf einem bestimmten Kanal. 2,4-GHz-Band wurde in 13 Kanäle aufgeteilt, das 5GHz-Band in wesentlich mehr. Auch APs mit MIMO-Antennentechnik arbeiten auf einer Frequenz und da in einem Kanal.
  • Antennentechnik: In den WLAN-Anfängen kamen SISO-Antennen zum Einsatz. Die heutigen Bandbreiten werden aber mit MIMO erreicht:
    • SISO: Single Input, Single Output mit jeweils einer Antenne auf Sender- und Empfängerseite.
    • MIMO: Multiple Input Multiple Output mit jeweils mehreren Antenne auf Sender- und Empfängerseite.
    • MU-MIMO: Multi-User-MIMO. Effizienzsteigerung → AP kann mehreren Clients gleichzeitig verschiedene Datensätze schicken → Funkkanal wird schneller wieder frei.
  • Maximale Reichweite: Mit normalen 2.4GHz-AP's erschliesst man so zwischen 50m bis 100m, mit solchen im 5GHz-Bereich ca. 20m bis 100m, und solchen im 6GHz mitunter nur wenige Meter. Die genauen Angaben entnehme man dem entsprechenden Datenblatt. Grundsätzlich entscheidend ist:
    • Max. Sendeleistung.
    • Innenbereich oder Aussenbereich.
    • Antennenart, z.B. kann mit einer Richtantenne die Reichweite signifikant erhöht werden.
    • Frequenzbereich. Je höher die Frequenz, umso tiefer die Reichweite, wegen nachhaltiger einwirkenden Störeinflüssen.
      Zum Vergleich: Stellen wir uns ein Funkgerät vor. Mit diesem kann man über weite Distanzen kommunizieren. Häuser, Hügel oder gar Nebel und Regen bilden da kein grosses Hindernis. Eine sehr hohe Frequenz hat Licht. Bei Regen und Nebel wird die Sichtdistanz, wie jeder weiss, sehr überschaubar. Auch kann ich nicht um Ecken, über Häuser oder Hügel schauen. Vereinfacht ausgedrückt: Je höher die Frequenz, umso mehr muss «Sichtkontakt» bestehen.
WLAN-Standard Bruttodatenrate Frequenz Bandbreiten (Kanal) Streams/SIMO,MIMO
802.11 2MBit/s 2.4GHz 20MHz 1
802.11a/h/j 54MBit/s 5GHz 20MHz 1
802.11g 54MBit/s 2.4GHz 20MHz 1
802.11n 600MBit/s 2.4GHz, 5GHz 20MHz, 40MHz 4
802.11ac 6.9GBit/s 5GHz 80MHz, 160MHz 8
802.11ad 6.7GBit/s 60GHz 1760MHz 8
802.11ax 9.6GBit/s 2.4GHz, 5GHz, 6GHz 20MHz, 40MHz, 80MHz, 160MHz 8
802.11ah 9.6GBit/s 900MHz 750MHz - 950MHz
  • 802.11c: Wireless Bridging zwischen Access Points
  • 802.11d: Länderspezifische Anpassungen: Funkkanäle, Frequenzbereich etc.
  • 802.11e: Erweitert WLAN um Quality of Service (QoS)
  • 802.11f: Regelt die Interoperabilität zwischen Basisstationen – Roaming
  • 802.11i: Sicherheit/Verschlüsselung WPA2
  • 802.11p: Drahtloser Funkzugriff von Fahrzeugen aus
  • 802.11r: Fast Roaming beim Wechsel zwischen AP’s (VoIP)
  • 802.11s: Regelt den Aufbau von Wireless Mesh Networks
  • 802.11t: Wireless Performance Prediction (WPP), legt unter anderem Testverfahren fest
  • 802.11u: Behandelt das Zusammenspiel mit anderen nicht 802-konformen Netzen (z.B. den zellularen Handy-Netzen)
  • 802.11v: Wireless-Network-Management
  • 802.11w: Protected Management Frames

1.8 WLAN abhören

  • WLAN-Sniffer: Programm zum Auffinden von WLANs und Abhören darüber übertragener Daten. Aktive WLAN-Sniffer → z.B. NetStumbler (WIN) senden sogenannte Probe-Request-Pakete an den Access Point, welcher daraufhin mit einem Probe-Response-Paket antwortet.
    Passive WLAN-Sniffer → z.B. Kismet (LIN) Wireless Adapter in Monitormodus geschaltet reicht die empfangenen Pakete direkt und unverändert an den WLAN-Sniffer weiter.
  • Monitormodus → Alle empfangenen Frames, nicht nur die des Netzwerks mit dem der Client momentan verbunden ist, werden an die Applikation weitergeleitet.
  • Promiscuous-Modus → Das Gerät liest, anstatt nur den für das Gerät bestimmten Datenverkehr, den gesamten ankommenden Datenverkehr an die in diesen Modus geschaltete Netzwerkschnittstelle mit und gibt die Daten zur Verarbeitung an das Betriebssystem weiter. Dies kann beispielsweise zum Betrieb virtueller Maschinen notwendig sein, die hierdurch eine eigene Netzwerkschnittstelle erhalten.
  • Open WLAN (Hot Spot) → Bei Hot Spots ist in der Regel eine Benutzerisolierung konfiguriert um eine Kommunikation zwischen den Teilnehmern zu verhindern, da dies bösartig ausgenutzt werden könnte. Die Benutzerisolierung bietet jedoch keinen Schutz gegen das Abhören eigener Daten, da diese von anderen Benutzern mit sogenannten Sniffer-Programmen auch direkt empfangen werden können. Bei einem Hot Spot ist der Zugang zum WLAN meist unverschlüsselt.
  • Gesichertes WLAN → Es wird ein Verschlüsselungsprotokoll eingesetzt. Usprünglich das heute als unsicher geltende WEP, danach WPA in aktuell der dritten Version (2022).
    Grundsätzlicher Ablauf: Benutzer mit gültiger SSID und Passwort erhält Zugang zum Netzwerk (Asymmetrische Verschlüsselung). Für jede Kommunikation wird danach ein temporärer Schlüssel ausgehandelt und der Datenstrom entsprechend verschlüsselt (Symmetrische Verschlüsselung).

1.9 WLAN-Begriffe und Abkürzungen

  • WLAN: Wireless LAN: Drahtloses lokales Netzwerk nach IEEE 802.11
  • WIFI: Wireless Fidelity: Firmenkennzeichnung für IEEE 802.11-Kompatibilität
  • AP: Access Point: OSI-Layer 1-2; Bridge. AP im Client-Mode ist nur ein einfacher WLAN-Adapter
    • Access-Point-Betriebsart
    • Client-Betriebsart PC-WLAN
    • Repeater-Funktion (Reichweitenerhöhung / Netzwerkkopplung)
  • WLAN-Router: WLAN-Router mit AP und meistens auch xDSL (OSI-Layer 1-3)
  • BSS: Basic Service Set: WLAN-Zelle mit Access Point oder ohne=IBSS
  • IBSS: Independend BSS: Ad hoc WLAN ohne AP’s, Tipp: Besser via Bluetooth!
  • ESS: Extended Service Set: Verknüpfung von mehreren BSS-Zellen
  • DS: Distribution System: Für drahtgebundene WLAN-Reichweitenerweiterung; LAN verbindet AP’s, BSS wird zu ESS.
  • WDS: Wireless Distribution System: Für drahtlose WLAN Reichweitenerweiterung; Funkstrecke verbindet AP’s; weniger nutzbare Bandbreite
    • Single-Radio-WDS: Ein Kanal für Weiterleitung an benachbarte AP’s und Clients
    • Dual-Radio-WDS:: Ein Kanal für Weiterleitung an AP’s, ein weiterer für die Clients
    • WDS-Bridging: Direktverbindung zwischen zwei AP’s. Weitere Clients können sich nicht verbinden<
    • WDS-Repeating:: Mehrere AP’s und Clients über WDS verbunden
      WDS Alternative: Universal-Repeating-Mode Ist ein proprietärer Standard. Für «Repeating» notwendig:
      • Den AP’s müssen die BSSID’s der anderen AP’s bekannt sein.
      • Dieselbe SSID
      • Denselben WPA-Schlüssel
      • Denselben Funkkanal
  • WPS: Wi-Fi Protected Setup: Ist ein von der Wi-Fi Alliance entwickelter Standard zum einfachen Aufbau eines drahtlosen lokalen Netzwerkes mit Verschlüsselung.
  • SSID: Service Set Identifikation: Name des Service-Set’s
  • BSSID: Basic SSID: MAC-Adresse des AP’s. CSMA/CA Carrier Sense Multiple Access/Collision Avoidance. Kollisionsvermeidung bei WLAN’s. Zum Vergleich: Bei Ethernet ist es CSMA/CD
  • MIMO: Multiple Input Multiple Output: Nutzung mehrerer Sende- und Empfangsantennen zur Verbesserung der Übertragungsleistung; höherstufiges Modulationsverfahren. Vgl. Antenna Diversity.
  • QoS: Quality of Service: Dienstgüte und Dienstqualität
  • WEP: Wired Equivalent Privacy: Unsicheres WLAN-Verschlüsselungsprotokoll
  • WPA: WIFI Protected Access: Ältere WLAN Verschlüsselung mit RC4, TKIP und MIC
  • WPA2: WIFI Protected Access 2: Aktuelle WLAN Verschlüsselung mit AES und CCMP, 802.11i
  • PSK: Pre Shared Key: Symmetrisches Verschlüsselungsverfahren zur Teilnehmer- authentifizierung, vgl. PKI.
  • RC4: Ron’s Code 4: Stromchiffrierung/Verschlüsselung
  • TKIP: Temporal Key Integration Protocol: Sicherheitsprotokoll
  • MIC: Message Integrity Check: Verfahren zur Überprüfung der Vertrauenswürdigkeit
  • AES: Advanced Encryption Standard: Blockchiffre, Asymmetrische Verschlüsselung
  • CCMP: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol: Sicherheitsstandard
  • IKE: Internet Key Exchange: Schlüsseltausch bei IPsec.
  • PKI: Public Key Infrastuktur: System, das digitale Zertifikate ausstellt, für asymmetrische Verschlüsselungsverfahren.
  • ISM: Industrial, Scientific and Medical Band: Gebührenfreie und freigegebene Frequenzbereiche, die in Industrie, Wissenschaft, Medizin, in häuslichen und ähnlichen Bereichen genutzt werden, wie z.B. das 2.4GHz-WLAN.
  • IDS: Intrusion Detection System: Angrifferkennungssystem zur Dedektierung von Angriffen gegen ein Computersystem oder Rechnernetz.

Praxisaufgabe ∇ AUFGABEN
∇ LÖSUNGEN

2. Mobilfunk

2.1 Die Generationen beim Mobilfunk

1. Generation (1G)

Analoge Systeme, z.B. C-Netz (CH-Natel)

2. Generation (2G)

GSM = Global System for Mobile Communications (früher Groupe Spécial Mobile)
Datenübertragungsraten bei 2G bis zu 53.6 kbit/s, bei 2G+ bis zu 256 kbit/s.
GSM ist der erste Standard der zweiten Generation, Nachfolger der analogen Systeme der ersten Generation und der weltweit am meisten verbreitete Mobilfunk-Standard.
Später sind Erweiterungen des Standards HSCSD, GPRS und EDGE zur schnelleren Datenübertragung hinzugekommen. (EDGE = Enhanced Data Rates for GSM Evolution / GPRS = General Packet Radio Service)
Ein Mobiltelefon, dass auf drei Frequenzen sendet und empfängt, nennt man «Tri-Band», ein solches, mit vier Frequenzen «Quad-Band». Bei globalem Einsatz wird «Quad-Band» empfohlen.

  • 850 MHz
  • 900 MHz
  • 1800 MHz
  • 1900 MHz
Situation Schweiz: Swisscom wird die in die Jahre gekommene 2G-Technologie (GSM) ab Ende 2020 nicht mehr unterstützen, um genügend Frequenzen und Kapazitäten für zukünftige Kundenbedürfnisse bei der Telefonie und Datenkommunikation zu erhalten!

3. Generation (3G)

UMTS = Universal Mobile Telecommunications System
Datenübertragungsraten bei 3G+ bis zu 42 Mbit/s mit HSPA+, sonst bei 3G max. 384 kbit/s.
HSDPA, HSUPA

  • Band 1: 2100 MHz (IMT)
  • Band 2: 1900 MHz (PCS)
  • Band 4: 1700 MHz (AWS)
  • Band 5: 850 MHz (CLR)
  • Band 8: 900 MHz (E-GSM)
  • Band 19 (vormals Band 6): 800 MHz (nur Japan)

4. Generation (4G)

LTE - FDD = Long-Term-Evolution - Frequency Division Duplexing
Bandbreite bei 4G bis zu 150 Mb/sec und bei 4G+ bis zu 1000 Mb/s. FDD-LTE gilt dabei als die moderne 4G-Variante und ist weltweit zurzeit immer noch am meisten verbreitet.

  • Band 1: 2100 MHz (IMT)
  • Band 2: 1900 MHz (PCS)
  • Band 3: 1800 MHz (DCS)
  • Band 4: 1700 MHz (AWS)
  • Band 5: 850 MHz (CLR)
  • Band 7: 2600 MHz (IMT-E)
  • Band 8: 900 MHz (E-GSM)
  • Bands 12-17: 700 MHz (USMH, LSMH) *
  • Band 20: 800 MHz (EUDD)
  • Band 28: 700 MHz (APT)*
(* «700 MHz / Band 12-17» findet man vorwiegend in den; USA und Kanada und ist nicht kompatibel mit «700 MHz / Band 28» welches in Europa, Südamerika, Asien und Australien verbreitet ist.)

LTE - TDD = Long-Term-Evolution - Time Division Duplexing
TDD-LTE ist heute vor allem in China und Indien verbreitet.
  • Band 38: 2600 MHz (IMT-E)
  • Band 40: 2300 MHz
  • Band 41: 2500 MHz
  • Band 42: 3500 MHz
  • Band 44: 700 MHz (APT)

5. Generation (5G)

Das Frequenzspektrum bei 5G wird in zwei Bereiche unterteilt, die FR1 und FR2 (Frequency Range) genannt werden. FR1 umfasst im Wesentlichen die Frequenzen zwischen 600 MHz und 6 GHz. In diesem Frequenzbereich werden sowohl FDD (Frequency Division Duplexing) als auch TDD (Time Division Duplexing) verwendet. Der Frequenzbereich FR2 beginnt oberhalb von 24 GHz und arbeitet im Millimeterwellenbereich.
Datenübertragungsraten bei 5G liegen aktuell bei ca. 3 Gbit/s. Die 5. Generation des Mobilfunks soll aber Datenraten von bis zu 10 Gbit/s erreichen.


3. VLAN → Virtual Local Area Network

Ein VLAN ist ein logisches Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches die Frames bzw. Datenpakete eines VLANs nicht in ein anderes VLAN weiterleiten, obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können.

Was bringt mir VLAN? Betrachten wir dazu zwei Szenarios (Beispiel-A und Beispiel-B). Und zwar in drei Versionen:

  • Neue Anforderungen und Bedürfnisse an das bestehende Netzwerk
  • Erfüllung der neue Anforderungen und Bedürfnisse im Rahmen der bestehenden Verkabelung
  • Erfüllung der neue Anforderungen und Bedürfnisse mittels Einsatz von VLAN-Technologie

Ausgangssituation:

Je nach Situation in einer Firma (Örtlichkeiten, Raum- und Arbeitsplatzkonzept - Büronomaden, Sicherheitsbedürfnisse etc.) kann folgendes erwünscht sein:

Lösung ohne VLAN:

Entweder mit hohem Verkabelungsaufwand verbunden oder schlicht nicht umsetzbar:

Lösung mit VLANs

VLANs (Virtual Local Area Networks) unterteilen ein bestehendes einzelnes physisches Netzwerk in mehrere logische Netzwerke. Jedes VLAN bildet dabei eine eigene Broadcast-Domain. Eine Kommunikation zwischen zwei unterschiedlichen VLANs ist nur über einen Router möglich, der an beide VLANs angeschlossen ist. VLANs verhalten sich also so, als ob sie jeweils mit eigenen, voneinander unabhängigen Switchen aufgebaut wären.

3.1 Der Nutzen beim Einsatz von VLAN

Fassen wir die Erkentnisse aus der vorangegangenen VLAN-Einleitung zusammen:

Ohne VLAN:

IP-Netzwerke werden mit auf OSI-Ebene 2 arbeitenden Switches aufgebaut und mit Router verbunden. Jedes an einem Standort erforderliche Netzwerk muss physikalisch dorthin gebracht werden, was einen nicht unerheblichen Verkabelungsaufwand bedeuten kann.

Mit VLAN:

Ein VLAN ist ein logisches, virtuelles Teilnetz innerhalb eines physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Man kann sich das VLAN in einem Kabel oder einer Glasfaser so vorstellen, dass innerhalb eines Kupferdrahtes mehrere virtuelle Kupferdrähte angeordnet sind und im Innern des Switches jeder Kupferdraht separat geswitcht wird. Jeder Port des Switches hat somit unterschiedliche VLANs aufgeschaltet. Aus diesem Grund darf niemals ein Kabel von einem Port am VLAN-Switch ohne Rekonfiguration der Ports am Switch umgesteckt werden. Sonst kann es geschehen, dass die VLANs an die falschen Geräte und Switches weitergeleitet werden und die Dienste nicht dort zur Verfügung stehen, wo sie sollten. Jedes VLAN bildet (wie ein normales, physisch separiertes Netzwerksegment) eine eigene Broadcast-Domäne.
Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3-Switch.

  • Flexibilität bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Basisstation. Die Überlegenheit von VLAN’s im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass ein Wechsel von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
  • Abgrenzung: Zum Beispiel exisiert an der Schule ein eigenes IP-Netzwerk für Drucker, das nicht in die Klassenzimmer geroutet wird. Damit stellt man z.B. sicher, dass die Drucker von den Benutzern nicht direkt in ihre PC's eingebunden werden können, sondern nur über den Druckerserver erreichbar sind.
    In jedem Raum kann mit einem AccessPoint (AP) ohne weiteren Verkabelungsaufwand ein Gäste-WLAN eingerichtet werden, dass sich in einem separaten IP-Netzwerk befindet.
  • Priorisierung von bestimmtem Datenverkehr wie z.B. VoIP. Verkleinerung der Broadcast- Domänen.
  • Komplexität reduzieren: Mehr Dienste im Netz (IP-Telefonie, IP-TV, IP-Radio) etc.) ziehen auch eine grössere Komplexität nach sich. Diese kann man reduzieren, indem man konsequent für jeden Dienst ein eigenes VLAN im Netz bezeichnet.
  • Die Abhörsicherheit ist bei VLAN’s besser als bei geswitchten Netzen, wo verschiedene Angriffsszenarios wie MAC-Flooding / MAC-Spoofing existieren. Zur Verbindung von VLAN’s kommen Router zum Einsatz, die gegen Layer-2-Attacken unempfindlich sind. Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen. Diesen Vorteil könnten auch segmentierte LAN’s bieten. Dabei ist man aber im Gegensatz zu VLAN’s von der physischen Verkabelung abhängig

3.2 VLAN-Switches verbinden

Der Switch muss VLAN’s unterstützen. Neuere Netzwerkkarten in Server/PC sind meist auch VLAN-fähig (und somit über verschiedene VLAN’s erreichbar).

Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz. (Das Verfahren entspricht einem asynchronen Multiplexing. Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLAN’s über eine einzige Verbindung weiterzuleiten.).
IP-Subnetze bzw. Teilnetze können auf verschiedene Arten den VLANs zugeordnet werden:

  • Portbasiert
  • Tagged
  • Statisch
  • Dynamisch

3.3 Portbasierte VLANs

Die Urform des VLAN's. Ältere VLAN-fähige Switches beherrschen nur portbasiertes VLAN, das statisch konfiguriert werden muss. Hier wird ein managebarer Switch portweise in mehrere logische Switches segmentiert. Alternativ können sich portbasierte VLAN’s auch über mehrere Switches hinweg ausdehnen. Ein Port gehört dann immer nur zu einem VLAN oder ist ein Trunk-Port. Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz. Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den dynamischen VLAN’s und zu den tagged VLAN’s. Überall dort, wo eine bessere Übersicht gefordert ist und ein höherer Ressourcenverbrauch (Platz, Energie) vermieden werden muss, kommen statische, portbasierte VLAN’s zum Einsatz.

3.4 Tagged VLANs

Das heute fast ausschliesslich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag:

Die paketbasierten tagged VLAN’s stehen im Unterschied zu den älteren markierungslosen, portbasierten VLAN’s. (Der Ausdruck tagged leitet sich vom englischen Ausdruck «Material Tags» ab was einem Anhänger entspricht, mit dem man eine Ware markiert). Es handelt sich also bei tagged VLAN’s um Netzwerke, die Netzwerkpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen. Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLAN’s z. B. über mehrere Switches hinweg erstrecken, etwa über Trunkports. Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt. Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q. Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.
(Bei portbasierten VLAN’s (d. h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört. Der Switch auf Empfängerseite muss dieses wieder entfernen. Bei Tagged VLAN’s nach IEEE 802.1q hingegen werden die Pakete entweder vom Endgerät (z. B. Taggingfähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen. Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen. Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1q, kann auch dieser es unverändert weiterleiten. Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann muss das Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen). Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.)
Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-ID’s, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLAN’s konfiguriert. Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen. Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen. Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet. Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden). Das automatische Lernen der zu den VLT’s (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches. Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können. Das Erlernen der VLT’s erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu. Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt. Einfache Switches ohne Verwaltungsmöglichkeit bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten. Solche Pakete werden meist belassen wie sie sind. Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt. Alternativ kann auch ein Default-Tag angefügt werden. Der Begriff Trunk wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch Bündelung (Datenübertragung). Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen. Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden. Man kann aber auch direkt bei der Verkabelung ansetzen. Es gibt beispielsweise Messklemmen als Zubehör zu Profi-Netzwerkanalysegeräten, die äusserlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen. So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden. Dagegen hilft nur eine starke Verschlüsselung (z.B. mit IPsec), die manche LAN-Karten direkt in Hardware implementieren.

3.5 Statische VLANs

Hier wird einem Switch-Port fest eine VLAN-Konfiguration zugeordnet. Er gehört dann zu einem portbasierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört. Die Konfiguration eines Ports ist bei statischen VLAN’s fest durch den Administrator vorgegeben. Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLAN’s unveränderlich fest. Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLAN’s möglich. Gehört ein Port zu mehreren VLAN’s, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLAN’s über mehrere Switches hinweg.Durch die Möglichkeit, einen Port mehreren VLAN’s zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLAN’s angebunden werden, ohne dass für jedes Teilnetz eine physische Netzwerkschnittstelle vorhanden sein muss. Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLAN’s miteinander kommunizieren können. Diese VLAN-Trunk’s dürfen nicht mit den Trunk’s im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.

3.6 Dynamische VLANs

Bei der dynamischen Implementierung eines VLAN’s wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLAN’s verzichtet werden. Dynamische VLAN’s stehen im Gegensatz zu den statischen VLAN’s. Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern. In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN. Durch Dynamische VLAN’s kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzwerkdose, an die es angeschlossen wird. Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs in ein spezielles VLAN zu leiten.

3.7 Router on a Stick

Router haben üblicherweise mindestens zwei Netzwerkanschlüsse, denen unterschiedliche Netze zugeordnet sind. Bei «Router on a Stick» führt nur eine Verbindung (Stick bzw. Stock) an den Router: Zwei unterschiedliche Netze als VLANs über dieselbe Leitung. Der Router muss dafür natürlich VLAN-Tags verstehen. Dank des Routers können nun die VLANs gegenseitig erreichbar gemacht werden. Nachteil dieser Lösung: Flaschenhals bzw. reduzierte Bandbreite, da auf der einen physikalischen Leitung zwei Netzwerke übertragen werden müssen (Hin und zurück). Besser wäre die Verwendung eines L3-Switchs (Layer3-Switch) wo die Routing-Funktion bereits im «Switch» implementiert ist.

Begriffe und Abkürzungen

  • LAG: Link Aggregation Group
  • PVID: Port VLAN ID
  • VLT: VLAN Trunk


Extras ∇ NOTEBOOK VLAN-FÄHIG MACHEN
∇ PACKETTRACER VLAN-SWITCHS und VLAN-ROUTING


Praxisaufgabe ∇ AUFGABEN
∇ LÖSUNGEN

4. WAN → Wide Area Network

Ein WAN ist ein Rechnernetz, das sich im Unterschied zu einem LAN oder MAN über einen sehr grossen geografischen Bereich erstreckt.

4.1 Einführung

WAN's werden benutzt, um verschiedene LAN's, aber auch einzelne Rechner miteinander zu vernetzen. Einige WANs gehören bestimmten Organisationen und werden ausschließlich von diesen genutzt. Andere WAN's werden durch Internetdienstanbieter errichtet oder erweitert, um einen Zugang zum Internet anbieten zu können.

Eigenschaften von LANs:

  • Übertragung von Daten in einem begrenzten Bereich. z.B. Gebäude, Firmengelände, Campus.
  • Tendenziell schnell, 100 Mbps bis 16 Gbps.
  • Im Besitz des Benutzers (Privates Gelände)
  • Ausser Anschaffungs- und Betriebskosten keine externen Kosten für den Datentransport.

Eigenschaften von WANs:

  • Übertragung von Daten über weite Entfernungen / Ausdehnung unbeschränkt über Länder, Kontinente oder auch weltweit.
  • Tendenziell langsam, 64 Kbps bis 622 Mbps, bzw. 10 Gbps
    Bsp.: Seekabel mit 12 Glasfaser-Paaren im SDM-Design (Space-Division Multiplexing) ergibt eine Datenübertragungsrate von bis zu 250 Tbit/s
  • Im Besitz öffentlicher oder privater Betreiber (Carrier/Provider) (öffentliches Gelände)
  • Externe Kosten in Abhängigkeit von Bandbreite, Distanz etc.

4.2 Verbinden von Firmenstandorten

A: Nahe beieinanderliegende Standorte:

Die einfachste und billigste Variante, zwei nahe beieinanderliegende Standorte zu verbinden, ist die Funkbrücke (WLAN-Bridging)

  • Für Distanzen im Kilometerbereich
  • Den öffentlichen Raum mit Funk «überbrücken»

B: Entfernte Standorte:

Sollen zwei entfernte Firmenstandorte (Sites/LAN’s) wie z.B. den Haupsitz in Ortschaft A und die Filiale in Ortschaft B verbunden werden (LAN-Interconnection), kann dies auf folgende Arten realisiert werden:

  • Verbinden der Sites über eine Stand/Miettelefonleitung
    (Nur für kleine Bandbreiten und daher veraltet. Ist aber als Verbindungsbackup oder bei gelegentlichem Verbindungsaufbau, Fernwartung allenfalls noch von Interesse)
  • Verbinden der Sites über das Internet mit je einem Internetzugang
    (Wegen dem abhör- und manipulierbaren WorldWideWeb muss die Übertragung verschlüsselt mit VPN erfolgen)
  • Verbinden der Sites über den Backbone (Core-Network) eines Service-Providers
    (Man nutzt dieselbe Infrastruktur/WAN/Core-Network wie das Internet, ist allerdings von diesem getrennt, ausser das sei explizit erwünscht)
Die beiden LAN’s erhalten je einen privaten IP-Adressbereich und dürfen sich nicht im selben Subnetz befinden. Zwischen den LAN’s wird geroutet, wobei LAN1, LAN2 und die WAN-Strecke je ein Subnetz bilden.

4.3 LAN to LAN über Internet

  • Benötigt einen Internetzugang bzw. einen Internet-Service-Provider (ISP)
    Zugang zum ISP per Kabelnetze (UPC etc.) oder Telefonleitung (Swisscom etc.) PSTN/ISDN und SDSL/VDSL.
    (ADSL ist ungeeignet, da Uploadgeschwindigkeit und Downloadgeschwindigkeit ungleich)
  • Zugang zum ISP über Glasfaseranschluss (Direktanschluss)
    (Siehe auch LAN-to-LAN über Provider-Backbone mit Anbindung an das Internet)
  • Benötigt wegen unsicherem Internet einen schutzbietenden VPN-Tunnel (In diesem Fall: Site-to-Site)

4.4 LAN-to LAN über Provider-Backbone

  • Benötigt einen Zugang zu einem Netzbetreiber/Service-Provider:
    Früher: Analoge Miet/Standleitungen
    Heute: Access-Network oder Direktanschluss
  • Access-Network: LastMile, Teilnehmerkabelanschluss, analog PSTN mit SDSL/VDSL, oder digital ISDN (ISDN ist bereits veraltet)
  • Direktanschluss (Direkter Glasfaser-Anschluss ins Core-Network)
  • PoP: Point-of- Presence bzw. Knotenpunkt innerhalb eines Kommunikationssystems
  • Das Core-Network (Provider-Backbone) ist das Kernstück des Telekommunikationsnetzwerks, welches von den Verbindungsnetzwerkbetreibern unterhalten wird, und bietet den Teilnehmern/Kunden, welche über das Access-Network angeschlossen sind, verschiedene Dienstleistungen an.
    • Aufbau: Glasfaser
    • OSI-Layer: 1/2/(3)
    • Früher: X25, ATM, FrameRelay
    • Heute: Ethernet MPLS,PDH,SDH
  • Mit einem WAN-Anschlussgerät wird man mit dem Core-Network verbunden. Es kann optional auch eine Verbindung ins Internet erstellt werden. Dieser Zugang sollte aber speziell abgesichert sein. (Firewall)

4.5 Evaluation eines Anbieters für LAN-to-LAN Interconnection

LAN-Interconnect-Projekte mit z.B. Swisscom gestalten sich heutzutags etwa wie folgt: (Stand 2016)
Der Kunde formuliert seine Bedürfnisse und der Anbieter bietet einen kompletten LAN-Interconnect-Service auf einer dedizierten MPLS Plattform (=sicher und internetunabhängig) an. Das beinhaltet u.a.:

  • Access-Typ des Service-Access-Point’s (EnterpriseAccess bis 10Gbps über Glasfaser / BusinessAccess mit xDSL über Glas- oder Kupferkabel / MobileVPNAccess über Mobilfunknetz etc.)
  • Service Elemente gem. Service-Level-Agreement (SLA) (98.9..100% Mtl. Verfügbarkeit / Max. Summe der Ausfallzeiten 0..8h / Access Redundanz / 11..24h Support etc.)
  • Design, Engineering, Projekt Management, Implementierung (u.a. Planung, Konfiguration und Dokumentation der Zugangsleitung und gelieferten Kundenausrüstung/Anschlussgerät)
  • Konfigurationsänderungen, Migrationen von alten WAN-Zugängen
  • Optional: Direkter firewallgeschützter Internetzugang
Der Kunde erhält eine LAN-Schnittstelle mit IP-Protokoll und muss sich nicht um den WAN-Teil kümmern.

Ein Beispiel einer WAN-Offerte für eine LAN-Interconnection finden sie hier: Standortverbindung.pdf

4.6 WAN-Entscheidungskriterien

Für die Auswahl eines WAN-Dienstes beurteile man folgende Kriterien:

  • Bandbreite (maximale, durchschnittliche)
  • Distanz
  • Erhältlichkeit (wo überall, verschiedene Länder?)
  • Kosten
  • Sicherheit
  • Support / Service
  • Zuverlässigkeit, Verfügbarkeit
  • Skalierbarkeit (Flexibilität für Änderungen z.B. bei Wachstum/Ausbau)
Heutzutage wird man auf dem Internet kaum mehr konkrete WAN-Angebote mit Preisangaben finden. Die Anbieter lassen sich nicht von ihren Mitbewerbern in die Karten blicken und ermitteln die individuellen Bedürfnisse gleich direkt beim Kunden um ihm dann massgeschneiderte Angebote offerieren zu können.

Denken sie bei WAN in den OSI-Layers und unterscheiden sie Angebote, Dienste und Technologien:
  • Q: «Als Verbindung zwischen den zwei Standorten würde ich eine ADSL-Standleitung nehmen…»
    A: «Standleitung» hat mit Internet nichts zu tun. (Ausserdem sind Standleitung kaum noch erhältlich) ADSL (Asymmetric Digital Subscriber Line) ist wegen der Asymmetrie Upload/Download für LANVerbindungen ungeeignet. Besser SDSL. Bei ADSL gibt es übrigens einen Verbindungsaufbau.
  • Q: «Wir bestellen bei einem Internetprovider eine sichere WANVerbindung… »
    A: Auf die Abhörsicherheit einer WAN-Verbindung haben sie keinen Einfluss, ausser sie verschlüsseln ihre Daten bei Verlassen ihres LAN’s und entschlüsseln sie erst wieder bei Eintritt in das Partner-LAN. Man erstellt damit ein VPN (Virtual Private Network) VPN ist Software!
  • Q: «Für die Verbindung der zwei Standorte werden zwei Server für diesen Datenstrom gekauft…»
    A: Dafür müssen nicht zwei Server sondern zwei Router, bzw. Anschlussgeräte in Form von xDSL oder Fibre-Direktanschluss gekauft werden. Heutzutags wird dies allerdings als Gesamtpaket vom Serviceprovider (Swisscom etc.) geliefert.



Praxisaufgabe ∇ AUFGABEN
∇ LÖSUNGEN

5. VPN → Virtual Private Network

Ein VPN ist ein logisches privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur. Nur die Kommunikationspartner, die zu diesem privaten Netzwerk gehören, können miteinander kommunizieren und Informationen und Daten austauschen.

5.1 Einführung

Das Internetprotokoll IPv4 stammt aus dem Jahre 1974. Damals ahnte noch niemand den durschschlagenden und weltweiten Erfolg von TCP/IP und dass dieser auch unlautere Akteure anziehen werde. Darum weist das IPv4-Protokoll bis heute gravierende Sicherheitsmängel auf.

Sicherheitsmängel:

  • fehlende Verschlüsselung um Daten vor neugierigen Blicken zu schützen (Nutzdaten werden transparent bzw. im Klartext übermittelt und sind damit für Network-Sniffern wie Wireshark einsehbar)
  • die Möglichkeit von «Man-in-the-Middle» Angriffen (um z.B. Passwörter auszuhorchen)
  • mit Spoofing etwas «vorgaukeln» (IP/Port-Adressen verfälschen und Daten des Angreifers somit verschleiern)
  • keine Garantie über die Identität des Kommunikationspartners
  • keine Garantie über die Echtheit der Pakete
Was möchte man gerne:
  • Vertraulichkeit (Verschlüsselung)
  • Datenintegrität (Digitale Signierung)
  • Authentifizierung (Server und Client sind verifiziert)
  • Implementierung in der Netzwerkschicht, damit die Kommunikationsendpunkte nichts davon merken (z.B. IPsec arbeitet auf Layer3 und betrifft höhere Layer nicht. Aber: Netzwerkendpunkte müssen IPsec auch unterstützen)
Die Lösung ist VPN: VPN bedeutet ein virtuelles privates (in sich geschlossenes) Kommunikationsnetz, das ein bestehendes Kommunikationsnetz als Transportmedium verwendet.

5.2 Die VPN-Verbindungsarten

  • Verbinden von zwei privaten Netzwerken über ein drittes Netzwerk (meistens Internet)
  • Die entstehende Verbindung entspricht einem direkten Netzwerkanschluss
  • VPN ist ein reines SW-Produkt
  • SITE-to-SITE: Geschäftsstellennetzwerke verbinden. Bsp.: Verschiedene Firmenstandorte vernetzen
  • SITE-to-END: Externer Rechner mit Firmennetzwerk verbinden. Bsp.: Remoteverwaltung, Homeoffice
  • END-to-END: Zwei Rechner miteinander verbinden. Bsp.: Netzwerkverwaltung im Intranet, Sichere Webseite mit HTTPS

5.3 Das VPN-Protokoll IPsec

Das derzeit am häufigsten eingesetzte VPN-Protokoll ist IPSec (IP Security). IPsec ist eine Protokoll-Suite, die eine gesicherte Kommunikation über potentiell unsichere IP-Netze wie das Internet ermöglichen soll. IPsec arbeitet direkt auf der Internetschicht (Internet Layer) des Protokollstapels und ist damit für die Anwendung transparent.
Mittlerweile findet man es so gut wie in jedem Firewall-Produkt, einige Heim-Router im oberen Preissegment haben es eingebaut und seit Windows 2000 ist es Bestandteil von Microsofts Betriebssystem.

5.4 IPsec: Transportmodus versus Tunnelmodus / AH und ESP

IPSec bietet zwei Sicherungsarten:

  • AH (Authentication Header)
    (Mit AH kann der Anwender nur die Integrität und Echtheit der Daten sicherstellen. Das heisst: AH stellt sicher, dass keine Datenveränderung zwischen Absender und Empfänger erfolgen kann. AH wird allerdings nur selten eingesetzt, da es kaum Anwendungen gibt, in denen nur die Integrität zählt.)
  • ESP (Encapsulation Security Payload)
    (ESP stellt Mechanismen zur Sicherstellung der Authentizität, Integrität und Vertraulichkeit der übertragenen IP-Pakete bereit. Die Nutzdaten werden verschlüsselt übertragen.)
  • AH und ESP können gemäss IETF RFC 4301 einzeln oder kombiniert verwendet werden. Ohne Verwendung von AH ist allerdings die Authentisierung des Headers nicht möglich. Der Schutz für IPv6 ist grösser als der für IPv4.
    Die meisten kommerziellen Implementierungen unterstützen den AH nicht mehr, da er sich negativ auf die Rechenanforderungen und den Overhead auswirkt. High Assurance-Lösungen erlauben die Kombination von AH und ESP.
    Wenn RFC 4106 für die Verwendung von AES-GCM für ESP nicht so restriktiv wäre in Bezug auf die "Additional Data", dann liesse sich der Header (Outer Header bei Tunnel-Modus) auch deutlich effizienter authentisieren und Integritätsschützen.
Jeweils in Kombination mit einem der beiden Betriebsmodis:

  • Tunnelmodus: Im Tunnelmodus wird das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das gesamte Paket angewandt. Der neue (äussere) IP-Header dient dazu, die Tunnelenden zu adressieren, während die Adressen der eigentlichen Kommunikationsendpunkte im inneren IP-Header stehen. Der ursprüngliche (innere) IP-Header stellt für Router usw. auf dem Weg zwischen den Tunnelenden nur Nutzlast dar und wird erst wieder verwendet, wenn das empfangende Security-Gateway (das Tunnelende auf der Empfangsseite) die IP-Kapselung entfernt hat und das Paket dem eigentlichen Empfänger zustellt.
    Im Tunnelmodus sind Site-to-Site Verbindungen (Gateway-Gateway) oder auch End-to-Site Verbindungen (Peer-Gateway) möglich. Wenn an jeweils einer Seite Tunnelende und Kommunikationsendpunkt auf demselben Rechner zusammenfallen, sind auch im Tunnelmodus End-to-End Verbindungen (Peer-Peer) möglich. Ein Vorteil des Tunnelmodus ist, dass bei Site-to-Site Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung.
    Tunnelmodus bedeutet also, dass ein IP-Paket in einem weiteren IP-Paket «gekapselt» wird.
    Üblicherweise kommt die Kombination ESP und Tunnelmode auf VPN-Gateways zum Einsatz, wenn entfernte Subnetze miteinander über ein unsicheres Netz gekoppelt werden.

  • Transportmodus: Im Transportmodus wird der IPsec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert und dient weiterhin zum Routing des Pakets vom Sender zum Empfänger. Der Transportmodus wird verwendet, wenn die «kryptographischen Endpunkte» auch die «Kommunikations-Endpunkte» sind. Nach dem Empfang des IPsec-Paketes werden die ursprünglichen Nutzdaten (TCP-/UDP-Pakete) ausgepackt und an die höherliegende Schicht weitergegeben. Der Transportmodus wird vor allem für End-to-End Verbindungen (Host-Host) oder End-zu-Router-Verbindungen zwecks Netzwerkverwaltung verwendet.
    Üblicherweise kommt die Kombination ESP und Transportmode zum Einsatz, wenn zwei Rechner miteinander über IPSec im LAN kommunizieren sollen.

5.5 Der Verbindungsaufbau - Kryptographische Funktionen von IPsec

Die kryptographischen Funktionen von AH und ESP beruhen auf symmetrischen Schlüsseln. Um diese nicht vorab austauschen zu müssen, handelt das IKE-Protokoll (Internet Key Exchange) diese beim Aufbau der Verbindung dynamisch aus. Nebenbei erledigt IKE auch noch die Authentifizierung der Teilnehmer und das Aushandeln der Security Associations (SA), in denen die Konfiguration der Verbindung festgehalten wird.
Beim Verbindungsaufbau durchläuft IKE zwei Phasen:

  • In Phase 1 (Main Mode) tauschen die Partner in vier Nachrichten Schlüsselmaterial aus, um sich auf einen gemeinsamen symmetrischen Schlüssel (SKEYID) zu einigen. Aus SKEYID werden ein Schlüssel zur Authentisierung und einer zur Verschlüsselung der weiteren IKE-Nachrichten abgeleitet sowie ein Schlüssel für die spätere Phase 2.
    (Alternative zu Main Mode: Aggressive Mode)
  • Anschließend in Phase 2 (Quick Mode) erfolgt über zwei weitere, nun verschlüsselte Nachrichten die Authentifizierung der VPN-Teilnehmer durch digitale Signaturen, RSA-Schlüssel (X509-Zertifikate) oder PSK (Pre-Shared Keys). Letztere sind nichts anderes als geheime Passwörter, die auf beiden Seiten der IPSec-Verbindung identisch sein müssen. (Bei Actctiv-Directory: Kerberos)
PSKs sind wesentlich einfacher zu handhaben als Zertifikate, haben aber im Main Mode einen entscheidenden Nachteil: sie funktionieren nur mit statischen IP-Adressen.

5.6 VPN-Tunnel Adressierungsbeispiele

End-to-End Tunneling:

Es werden zwei Endpunkte direkt miteinander verbunden. Auf beiden Endgeräten muss eine VPN-Software installiert sein.

Site-to-End Tunneling:

Damit kann ein externer Rechner mit dem Firmennetzwerk verbunden werden z.B. für Remoteverwaltung oder Homeoffice. Der Tunnelmodus verbindet ein IP-Netz und ein Endpunkt. Die Tunnelendpunkte bilden somit der VPN-Gateway und der VPN-Client. Die IP-Pakete erhalten bei IPsec ESP einen neuen, weiteren IP-Header. Der VPN-Client muss mit einer entsprechenden VPN-Software ausgerüstet sein.
Die Unverfälschbarkeit des transportierten Daten ist hier gewährleistet. Ebenso der Schutz vor Verfälschung der IP-Adressen. Da der Inhalt verschlüsselt übertragen wird, sind sogar die IP-Adressen der Endgeräte «unsichtbar».
Der hier rot dargestellte VPN-Client bzw. VPN-Endpunkt erhält seine IP-Adresse aus dem hier blau dargestellten LAN1-Bereich. Der VPN-Client besitzt nun zwei Netzwerkadressen. Die eine im eigenen LAN und die andere in der VPN-Applikation mit einer IP-Adresse aus dem Site-LAN-Bereich.

Site-to-Site Tunneling:

Damit verbindet man zwei private Netzwerke über ein drittes, meist unsicheres Netzwerk. Man kann hier von einer Art LAN-to-LAN Interconnection sprechen.
Der Tunnelmodus verbindet zwei IP-Netzen. Die Endpunkte bilden zwei VPN-Gateways, dazwischen verläuft der Tunnel. Die IP-Pakete erhalten bei IPsec ESP einen neuen, weiteren IP-Header.
Die Unverfälschbarkeit des transportierten Daten ist hier gewährleistet. Ebenso der Schutz vor Verfälschung der IP-Adressen. Da der Inhalt verschlüsselt übertragen wird, sind sogar die IP-Adressen der Endgeräte «unsichtbar».
Wäre das LAN2 im selben Netz wie LAN1, würden z.B. Pakete aus LAN1 mit Bestimmung LAN2 nie dort ankommen, weil sie ja nicht geroutet würden. Ein Paket in LAN1 findet erst dann zu «seinem» VPN-Gateway, wenn das Zielnetzwerk nicht das eigene ist.

5.7 NAT-Traversal

IPSec hat immense Probleme mit dem heute in vielen Netzen eingesetzten NAT, weil dabei das IPSec-Paket verändert wird. Je nach NAT-Art erhält ein Paket eine neue IP-Adresse und gegebenenfalls noch eine neue Quell-Portnummer. AH, egal ob im Transport- oder Tunnel-Mode, streckt hier sofort die Waffen. Weil der Paket-Header verändert wurde, stimmt der HMAC nicht mehr. Bei ESP ist es etwas komplizierter: Um Ports umzuschreiben, müsste ein NAT-Router den TCP/UDP-Header lesen können. Der Original-Header ist aber verschlüsselt, sodass eine Zuordnung unmöglich ist. Mit ESP im Tunnelmode würde NAT zwar klappen, vorher scheitert aber schon IKE an NAT. Denn IKE kommuniziert fest über den UDP-Quell- und Zielport 500. Wird der verändert, kommt keine Verbindung zu Stande. Einige Router unterstützen deshalb das IPSec-Passthrough-Verfahren, bei dem die IKE-Ports nicht verändert werden. Zudem leitet der Router ESP-Pakete damit richtig weiter. Da die ESP-Pakete nur einer Verbindung zugeordnet werden können, funktioniert Passthrough nur mit einem einzigen Client. Um sich nicht auf den Router verlassen zu müssen, ist das ursprüngliche IPSec daher kaum noch gebräuchlich. Vielmehr setzt man es mit der IPSec-Erweiterung NAT-Traversal ein. Dabei tauschen beide Seiten über das NAT-Traversal-Protokoll verschiedene Informationen aus. Anschließend werden ESP-Pakete in UDP-Pakete verpackt und über Port 4500 verschickt. Nun können NAT-Router ohne Probleme sowohl IP-Adressen als auch Ports umschreiben.

5.8 Weitere VPN-Protokolle

(Mit IPsec haben wir die sicherste VPN-Variante, doch auch eine eher schwierige Konfiguration.)

  • SSL/TLS (Secure Sockets Layer / Transport Layer Security)
    • Sicherheitsmechanismen für z.B. HTTP (HTTPS)
    • Zunehmend auch einfachere Alternative zu IPsec bei VPN's
    • SSL/TLS: Arbeitet ab Layer4
    • TLS hat SSL abgelöst. SSL wird nicht mehr weiter entwickelt!
    • Site-to-Site / End-to-Site, OpenVPN, Schwachstellen!?
  • PPTP (Point to Point Tunneling Protocol) Ist aber geknackt!
    Einfach einzurichten aber schwache Authentifizierung
  • L2TP (Layer 2 Tunneling Protocol; mit IPsec-Verschlüsselung)
    PAP/ CHAP/IPsec, Mühsame Installation
  • SSTP (Secure Socket Tunneling Protocol; nur Microsoft)
  • getVPN (Group Encrypted Transport VPN; von CISCO)

5.9 VPN-Software

Eine Auswahl:

  • OpenVPN: OpenSource-Software zum Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte TLS-Verbindung. Zur Verschlüsselung wird die Bibliothek OpenSSL benutzt. OpenVPN verwendet wahlweise UDP oder TCP zum Transport.
    Link: www.openvpn.net
  • WireGuard: WireGuard ist eine sehr leicht verständliche und moderne VPN Lösung. Es setzt sich zum Ziel, schneller, einfacher und schlanker als IPsec zu sein. Dabei möchte es auch deutlich performanter als OpenVPN sein. Im Gegensatz zu OpenVPN wird auf eine reduzierte Anzahl von (state-of-the-art) Kryptografiemethoden gesetzt. WireGuard ist als universelles VPN für den Betrieb auf Embedded Devices und Supercomputern konzipiert.
    Link: www.wireguard.com




Extras ∇ UBIQUITI EDGE-ROUTER DEMO-VPN-SETUP

Praxisaufgabe ∇ AUFGABEN
∇ LÖSUNGEN

6. Netzwerkdokumentation

Visualisierung komplexer System- und Netzwerkumgebungen und Speicherung wichtiger Systeminformationen.
Grundsätzlich sollten lnformationen über das bestehende Netzwerk und alle erfolgten Aktivitäten resp. Änderungen am Netzwerk gesammelt werden. Wichtig ist:

  • Die Daten unmittelbar bei Arbeiten am Netzwerk zu sichern, damit die Dokumente aktuell sind.
  • Die Dokumente zu datieren und die Personen, welche Arbeiten ausgeführt haben anzugeben, damit Rückfragen möglich sind.
  • Diese lnformationen geeignet zu strukturieren und übersichtlich zu gestalten, damit die Dokumente für den Benutzer einen optimalen Nutzen erzeugen.
  • Den Aufwand möglichst klein zu halten, damit die Motivation zum Erstellen und Nachführen von Änderungen nicht verloren geht.

6.1 Ziele einer Netzwerkdokumentation

Netzwerkdokumentationen sollten zwei grundsätzliche Ziele erfüllen:

  • Visualisierung komplexer System- und Netzwerkumgebungen mit dem Ziel, möglichst schnell einen Überblick zu gewinnen bzw. diesen nicht zu verlieren. «Ein Bild sagt mehr als tausend Worte»
  • Speicherung wichtiger Systeminformationen mit dem Ziel der raschen und verlässlichen Verfügbarkeit dieser lnformationen in bestimmten Situationen z.B. zur Unterstützung der Fehlersuche in einem Netzwerk, Planung von Netzwerkerweiterungen etc.

6.2 Dokumentenstruktur

Die Netzwerkadministration hat ähnliche lnformationsbedürfnisse wie die Systemadministration. Für die grundlegenden konzeptionellen Vorgaben des Netzwerks ist die Systemadministration zuständig, die auch die Dokumente herausgibt. Diese Dokumente sind für die Netzadministratoren verbindlich. Zu den vorhandenen Dokumenten der Systemadministration benötigt das Netzwerkmanagement zusätzliche Dokumente, welche die Eigenschaften der Netzwerkkomponenten schriftlich festhalten.

DOKUMENT HERAUSGEBER (Verantwortlich) HAUPTINHALT des Dokuments AUFGABE des Dokuments
Dokumentenliste IT-Leitung Auflistung aller IT-Dokumente. Zuständigkeiten und Auf bewahrungsort. Übersicht über alle Systembeschreibungen.
Inventarliste Hardware IT-Leitung Alle HW-Komponenten innerhalb der IT-Infrastruktur. Dient als Grundlage für:
  • Accounting-Management
  • Anlagebuchhaltung
  • Life-Cycle-Management (Produktelebenszyklus)
Inventarliste Software IT-Leitung Alle SW-Komponenten innerhalb der IT-Infrastruktur. Dient als Grundlage für:
  • Accounting-Management
  • Anlagebuchhaltung
  • Lizenzverwaltung
Inventar IT-Verträge IT-Leitung Übersicht über alle Verträge mit IT-Dienstleistern. Dient als Grundlage für:
  • Accounting-Management
  • Service-Level-Management z.B. SLA's
Netzwerkdiagramm (Logische Netzwerkstruktur) Netzwerkadministration Grafische Darstellung aller Netzkomponenten, der Server/Workstations mit den wichtigsten Daten. Übersicht über alle Netzkomponenten und Systeme im Netzwerk.
Verkabelungsplan inkl. Anlagedokumentation (physikalische Netzwerkstruktur) Netzwerkadministration Informationen über die tatsächliche Verkabelung des Nelzwerks.
Belegungsplan der Switchs (Switch-Port-Nr, VLAN-Nr., PoE ja/nein, Zielsteckdose etc.)
Belegungsplan weiterer Netzwerkkomponenten wie Router etc.
Dient als Grundlage für:
  • Configuration-Management z.B. weitere Ausbauten
  • Fault-Management
Liste der Netzwerkdienste Netzwerkadministration Konfigurationsangaben über die eingesetzten Netzwerkdienste. Dient als Grundlage für:
  • Configuration-Management
  • Fault-Management
  • Performance-Management
  • Security-Management
Adressierungskonzept Netzwerkadministration Richtlinien für die Adressierung (Identifikation) von Netzwerkkomponenten. Dient als Grundlage für:
  • Configuration-Management z.B. IP-Adressierung
  • Fault-Management
Namenskonzept Systemadministration Richtlinien für die Benennung von Geräen, Benutzerkonten, etc. Dient als Grundlage für das Configuration-Management z.B. Namensvergabe.

Praxisaufgabe ∇ AUFGABEN
∇ LÖSUNGEN

7. Netzwerkmanagement

Unter Netzwerkmanagement versteht man die Verwaltung, Betriebstechnik und Überwachung von IT-Netzwerken und Telekommunikationsnetzen.
IP-Netze werden überwacht, mittels...
SNMP (Simple Network Management Protocol) und/oder
WMI (Windows Management Instrumentation) verwaltet und überwacht.
Syslog ist ein Standard zur Übermittlung von Log-Meldungen.

Das OSI-Modell kategorisiert fünf Funktionsbereiche des Netzwerkmanagements:

  • Fehler (Schwellwerte, Problembestimmung & Diagnose; z.B. mit SNMP)
  • Konfiguration (Inventarisierung, Veränderungen)
  • Performance (Analyse und Tuning, Statistische Auswertungen; z.B. mit SNMP)
  • Accounting (Kostenverrechnung, Ressourcenutzung, Passwortverwaltung)
  • Sicherheit (Sichere Datenübertragung gewährleisten; z.B. mit VPN)
Dabei stehem folgende Fehlerursachen im Vordergrund:
  • OSI-Layer-1: Fehlerhafte Kabel; Elektrische Störungen; Kollisionen usw.
  • OSI-Layer-2: 802.x-Inkompatibilitäten; Falsch konfigurierte HW-Adressen; Broadcaststorms
  • OSI-Layer-3: Falsch konfigurierte IP-Adressen, Subnetzmasken und Broadcastadressen; Falsche Routingtabellen bzw. Einträge; Protokollinkompatibilitäten
  • OSI-Layer4-7: Unkorrekt implementierte Protokolle
Was kann alles überwacht werden?
Was für Komponenten im Netzwerk und was kann dabei getestet werden? (Allgemein, Erreichbarkeit, Dienst läuft, Datenströme…)

7.1 Netzwerkmanagement mit SNMP

  • SNMP bedeutet Simple Network Management Protocol, was soviel heisst, wie «Einfaches Netzwerkverwaltungsprotokoll»
  • Mittels geeigneter Überwachungswerkzeuge werden Betriebszustände und Kenngrössen von Netzwerkkomponenten effizient abgefragt
  • SNMP bietet ein einheitliches Managementprotokoll bei unterschiedlichen System- und Netzwerkkomponentenhersteller
  • SNMP ermöglicht den Austausch von Informationen zwischen Managementkonsole wie z.B. ihr PC und den Agenten auf den entsprechenden Geräten
  • Allerdings muss das System- bzw. die Netzwerkkomponente SNMP-fähig sein (Agent)
  • Die Managementkonsole speichert Informationen der zu verwaltenden Objekten MO (Managed Objects) zentral in einer MIB (Management Information Database) ab und kann bei Unregelmässigkeiten reagieren
  • Auf dem Markt werden unter anderem folgende Produkte angeboten: IBM Tivoli, HP OpenView, Nagios (OpenSource-SW)

7.2 Die MIB-Struktur

  • Die MIB hat eine baumartige bzw. hierarchische Struktur
  • Der OID (Object Identifier) bezeichnet einen Pfad zu einem bestimmten Objekt
  • Man kann durch den MIB-Baum mittels Pfadnummern navigieren
  • Es existiert eine globale MIB und Verzweigungen von diesem globalen Baum, nämlich die produktspezifischen MIB-Module

7.3 Polling und Trap

  • Polling: Die Managementkonsole fordert periodisch den Status der überwachten Geräte an, belastet damit je nach Abfragehäufigkeit das Netzwerk und hat den Nachteil, das Fehler die sich zwischen den Abfrageintervallen ereignen, vorerst unentdeckt bleiben
  • Trap: Diese werden auf der Ziel-HW implementiert, werden ausgelöst, wenn ein vordefiniertes Ereignis eintritt und schicken sofort eine Meldung an die Managementkonsole

7.4 Datenaustausch zwischen Agent und Managementkonsole

  • get / getnext / getbulk: Datensatz abfragen
  • set: Informationen eines Datensatzes ändern
  • response: Antwort auf get
  • trap: Unaufgeforderte Nachricht bei bestimmtem Ereignis

7.5 SNMP-Versionen

  • SNMPv1: 1988, schwache Sicherheitsmerkmale, Passwörter im Klartext
  • SNMPv2: 1993, verbesserte Sicherheitsfunktionen, neu: getbulk
  • SNMPv3: 2002, starke Sicherheitsfunktionen, wesentlich komplexer als v2 und abwärtskompatibel!

7.6 RMON, eine Erweiterung von SNMP

  • Einführung 1992 - Motiviert durch die Gegebenheit, dass SNMP durch ständiges Abfragen viel Netzwerktraffic generiert
  • RMON ist ein verteiltes, kostengünstiges Instrument der Netzwerküberwachung
  • RMON ermöglicht das Sammeln von Statistiken durch die Analyse jedes Paketes auf einem LAN-Segment oder Switch-Port
  • RMON nutzt SNMP als Transportprotokoll

7.7 Syslog, ein weiteres Werkzeug für die Netzwerküberwachung

  • Standard zur Übermittlung von Log-Meldungen
  • Der Begriff «syslog» wird oft sowohl für das eigentliche syslog-Netzwerkprotokoll als auch für die Anwendung oder Bibliothek benutzt, die syslog-Meldungen sendet oder empfängt

7.8 Networkmanagement-Tools

iReasoning MIB-Browser Printscreen:



Praxisaufgabe ∇ AUFGABEN
∇ LÖSUNGEN



7.9 Management-Funktionsbereiche

Das Netzwerkmanagement lässt sich in fünf Funktionsbereiche gliedern, wobei jeder eigene Ziele verfolgt und eigene Aufgaben beinhaltet. Zusammen bilden diese Funktionbereiche den sogenannten FCAPS-Rahmen bzw. das FCAPS Management Framework.

  • Fault Management (Fehlermanagement)
    Ziele: Gewährleistung der Verfügbarkeit bzw. Stabilität des Netzwerks, damit ein fehler- und unterbruchsfreier Netzwerkbetrieb gewährleistet ist. Im Fall einer Störung hat die rasche Wiederherstellung des normalen Netzbetriebs erste Priorität. In einem zweiten Schritt wird dann die nachhaltige Beseitigung der Problemursache angegangen.
    Aufgaben: Störungen und Netzwerkausfälle erkennen und beheben. Proaktive Massnahmen zur Verhinderung von Störungen und Netzwerkausfällen definieren.
  • Configuration Management (Konfigurationsmanagement)
    Ziele: Dokumentation und Aktualisierung der Konfigurationen aller Netzwerkkomponenten. Konfigurationsänderungen dürfen nur unter Einhaltung definierter Regeln erfolgen.
    Aufgaben: Bestehende Konfiguration ermitteln und dokumentieren. Neue Konfigurationen in Kraft setzen.
  • Accounting Management (Abrechnungsmanagement)
    Ziele: Bereitstellung statistischer lnformationen über den Verbrauch von Netzwerkressourcen. Anhand dieser Informationen kann eine aufwandorientierte Verrechnung der benutzten Netzwerkressourcen vorgenommen oder mittels Quoten eine Beschränkung der zur Verfügung stehenden Netzwerkressourcen definiert werden.
    Aufgaben: Statistiken über die Verwendung der Netzwerkressourcen erstellen. Benutzer über verbrauchte Netzwerkressourcen informieren. Verbrauchte Netzwerkressourcen abrechnen. Quoten für den überplanmässigen Verbrauch bestimmter Netzwerkressourcen definieren.
  • Performance Management (Leistungsmanagement)
    Ziele: Sicherstellung der Leistungsfähigkeit des Netzwerks mittels kontinuierlich erhobener Leistungsdaten von den Netzwerkkomponenten. Durch das Erkennen bestimmter Trends sollen Probleme erkannt werden, noch bevor diese zu Engpässen oder gar Ausfällen in Teilen des Netzes führen.
    Aufgaben: Leistungsdaten erheben und auswerten. Analysen bzw. Messungen durchführen, um leistungsrelevante Ereignisse abzuklären. Massnahmen zur Sicherstellung oder Steigerung der Netzwerkleistung vorschlagen.
  • Security Management (Sicherheitsmanagement)
    Ziele: Gewährleistung der Netzwerksicherheit entsprechend den unternehmerischen Vorgaben mithilfe von Massnahmen, die sicherheitsrelevante Funktionen der Netzwerkkomponenten überwachen.
    Aufgaben: Systemmeldungen auf sicherheitsrelevante Vorkommnisse hin untersuchen. Datenströme auf unerlaubte und schädliche Aktivitäten hin analysieren. Bei Erkennung unerlaubter und schädlicher Aktivitäten Sofortmassnahmen ergreifen. Sicherheitsvorkehrungen aufgrund der aktuellen Bedrohungslage überprüfen und anpassen.
Praxisaufgabe ∇ AUFGABEN