Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 1. GRUNDLAGEN: INTERNET-PROTOKOLLE<br />
bereitgestellt, beispielsweise durch Angabe der Netzmaske durch den Adm<strong>in</strong>istrator e<strong>in</strong>es Hosts. E<strong>in</strong>e<br />
Netzmaske ist e<strong>in</strong> Feld von 32 Bit, das e<strong>in</strong>er IP-Adresse zugeordnet wird. Die Bits, die <strong>in</strong> der<br />
Netzmaske auf 1 gesetzt s<strong>in</strong>d, geben an, daß die Bits an der gleichen Stelle <strong>in</strong> der IP-Adresse zum<br />
Netzanteil gehören. Die auf 0 gesetzten Bits geben an, daß diese Bits der IP-Adresse zum Hostanteil<br />
gehören. Der Bereich der auf 1 gesetzten Bits muß zusammenhängend se<strong>in</strong>. Notwendig wurde diese<br />
Vorgehensweise durch die Verknappung des <strong>in</strong>sgesamt zur Verfügung stehenden Adreßraums, speziell<br />
bei Adressen mit kurzem (8 oder 16 Bit) Netzanteil.<br />
Um auch <strong>in</strong>nerhalb e<strong>in</strong>es zugewiesenen Adreßbereichs die Adm<strong>in</strong>istration des Gesamtnetzes <strong>in</strong> e<strong>in</strong>zelne<br />
Teilnetze untergliedern zu können, beispielsweise <strong>in</strong>nerhalb e<strong>in</strong>es größeren Unternehmens, kann<br />
der Netzanteil e<strong>in</strong>er IP-Adresse verlängert werden, um so <strong>in</strong>nerhalb e<strong>in</strong>es zugewiesenen Bereichs Subnetze<br />
bilden zu können. Diese Subnetze werden i.d.R. 1 : 1 auf Schicht-2 Netzwerke abgebildet. Dies<br />
führt <strong>in</strong> der Praxis dazu, daß häufig Schicht-2 Netze mit IP-Subnetzen identifiziert werden, obwohl es<br />
sich um verschiedene Konzepte handelt.<br />
1.3.3 Wegewahl<br />
Liegt der Empfänger <strong>in</strong>nerhalb des gleichen Subnetzes wie der Absender, kann das IP-Paket direkt<br />
über das entsprechende Protokoll der Sicherungsschicht an den Empfänger ausgeliefert werden. Anderenfalls<br />
muß das IP-Paket über Zwischenstationen an den Empfänger weitergeleitet werden.<br />
Die Auswahl der geeigneten nächsten Zwischenstation („Next-Hop“) wird als Wegewahl bezeichnet.<br />
Dazu hat jeder Host e<strong>in</strong>e sog. Wegewahl (Rout<strong>in</strong>g)-Tabelle, aus der zu entnehmen ist, ob die betreffende<br />
IP-Adresse direkt erreichbar ist, oder an welche Zwischenstation das IP-Paket zu senden ist<br />
oder ob die IP-Adresse nicht erreichbar ist. Alle Next-Hops müssen selbst direkt über angeschlossene<br />
Schicht-2 Netze erreichbar se<strong>in</strong>.<br />
Um die Größe der Rout<strong>in</strong>gtabelle zu beschränken, wird nicht jede IP-Adresse e<strong>in</strong>zeln e<strong>in</strong>getragen,<br />
sondern nur Teilnetze mit ihrem Präfix. Zusätzlich kann e<strong>in</strong>e sog. „Default Route“ e<strong>in</strong>getragen werden,<br />
die für alle nicht explizit e<strong>in</strong>getragenen Teilnetze und Adressen gilt. E<strong>in</strong>e e<strong>in</strong>zelne IP-Adresse<br />
kann hierbei als e<strong>in</strong> Sonderfall e<strong>in</strong>es Teilnetzes mit e<strong>in</strong>em 32-Bit langen Präfix (e<strong>in</strong>e sog. Host-Route)<br />
betrachtet werden. Treffen auf e<strong>in</strong>e Empfängeradresse mehrere Präfixe zu, so wird der längste übere<strong>in</strong>stimmende<br />
Präfix genommen, da man davon ausgeht, daß dieser den genauesten Weg zum Ziel beschreibt.<br />
Trifft ke<strong>in</strong>e Route zu, wird das Paket verworfen und der Absender benachrichtigt (vgl. 1.3.5).<br />
Die Rout<strong>in</strong>g-Tabelle kann entweder statisch durch den Adm<strong>in</strong>istrator des Hosts e<strong>in</strong>getragen werden<br />
oder auch automatisch über sog. Rout<strong>in</strong>g-Protokolle gebildet werden. E<strong>in</strong>e Betrachtung der e<strong>in</strong>zelnen<br />
Rout<strong>in</strong>g-Protokolle würde den Rahmen dieses Artikels sprengen, hier sei auf [Comer 1995] verwiesen.<br />
Gebräuchliche Rout<strong>in</strong>g-Protokolle s<strong>in</strong>d beispielsweise Rout<strong>in</strong>g Information Protocol (RIP), Open<br />
Shortest Path First (OSPF) oder Border Gateway Protocol (BGP). Zum Transport ihrer Informationen<br />
können Rout<strong>in</strong>g-Protokolle sowohl auf Transportprotokolle (z.B. RIP: UDP, BGP: TCP), als auch<br />
direkt auf IP aufsetzen (z.B. OSPF). Die Rout<strong>in</strong>g<strong>in</strong>formation wird aus Sicht von IP dann wie e<strong>in</strong> weiteres<br />
Schicht-4-Protokoll (mit entsprechendem E<strong>in</strong>trag im Protokollfeld, z.B. für OSPF die Nr. 89)<br />
transportiert.<br />
Die Entscheidung, an welche Zwischenstation e<strong>in</strong> Datenpaket weitergeleitet wird, erfolgt ausschließlich<br />
lokal im Rechner oder Router, der das IP-Paket gerade bearbeitet. Weder Absender noch Empfänger<br />
haben e<strong>in</strong>en E<strong>in</strong>fluß auf den Weg des Datenpaketes (e<strong>in</strong>e Ausnahme ist die Source-Rout<strong>in</strong>g<br />
Option, siehe Abschnitt 1.3.1). Die Entscheidung wird für jedes e<strong>in</strong>treffende Paket neu getroffen,<br />
6 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>