Grundlagen: Rechnernetze und Verteilte Systeme - Lehrstuhl für ...

Weitere Magazine

Empfehlungen

Info

Zertifikate � X.509 - Standard für Public-Key- Infrastruktur � hierarchisches System von vertrauenswürdigen Zertifizierungsstellen (engl. certificate authority, kurz CA) � Webbrowser beinhalten eine vorkonfigurierte Liste vertrauens- würdiger Zertifizierungsstellen, deren ausgestellten g SSL-Zertifikaten der Browser vertraut. � Zertifizierungsstelle kann ungültige Zertifikate in Zertifikatsperrlisten (certificate revocation list, kurz CRL) führen Struktur eines X-509-v3-Zertifikats � Zertifikat � Version � Seriennummer � Algorithmen-ID � Aussteller � Gültigkeit von bis �� Subject � Subject Public Key Info Public-Key-Algorithmus Subject Public Key � Eindeutige ID des Ausstellers (optional) � Eindeutige ID des Inhabers (optional) � Erweiterungen … � Zertifikat-Signaturalgorithmus � Zertifikat-Signatur Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 627 Zugriffskontrolle � Auf Anwendungsebene: System von Zugriffsrechten � Beispiele: Unix/NT-Dateirechte, SNMP-Objektrechte � Auf Netzwerk-/Transportebene: Firewalls � Paketfilter filtern nach Quell/Zieladresse + Ports (TCP/UDP) � Unterscheidung: ingress/egress filtering (inbound / outbound packets) � Anwendungs-Gateways (Zugriffskontrolle, Protokollierung) � Kann mit privaten Adressen und Adressumsetzung (NAT) kombiniert werden � Probleme mit manchen Protokollen (z.B. FTP, H.323) Internet Äußerer Filter Gateways Innerer Filter „Demilitarisierte Zone“ Intranet Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 628 Firewall � Ziel: Schutz des lokalen Netzes hauptsächlich gegenüber externen (aktiven/passiven) Angriffen („keep the good bits in and the bad bits out“) � Vorteile: � Kosten: Die zentrale Realisierung von Sicherheitsmechanismen ist wesentlich kostengünstiger als die Absicherung jedes einzelnen Rechners. � Wirkung: Die Sicherheitspolitik eines Unternehmens kann sehr einfach durchgesetzt bzw. angepasst werden. � Sicherheit: Es existieren nur wenige Angriffspunkte im Netz (im Idealfall nur das Firewall Firewall-System System selbst) selbst). � Überprüfbarkeit: Sämtliche Kommunikationsvorgänge können auf einfache Weise protokolliert werden. Internet Firewall „Common Point of Trust“ Lokales Netz Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 629 Beispiel: Firewall zum Schutz eines WWW-Servers Proprietäre Systeme: - Deep Space Network (Erde-Mars) - 9600bps Funkmodem (Pathfinder-Sojourner) Notebook WWW-Browser HTTP TCP IP LLC MAC (WLAN) PHY (Code...) Funk Gateway WWW-Server HTTP TCP IP LLC MAC PHY Bridge LLC MAC (WLAN) MAC (Ethernet) PHY (Code...) PHY Router Coax Fi Firewall ll Router UTP5 – Twisted Pair Funk Router Glasfaser Router Glasfaser Router IP LLC LLC MAC (Ethernet) MAC (FDDI) PHY PHY Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 630
Firewalls im Internet � Firmen, Behörden, Privatpersonen, Universitäten sind von den Protokollen TCP/IP her gleichberechtigt an das Internet angebunden �Das interne Netz von unerwünschten Zugriffen von außen schützen: � am sichersten ist nur die physikalische Trennung zwischen Rechnern am Internet und firmeninternen Rechnern � Firewalls sind meist Router, die Pakete anhand der IP-Adresse und Port- Nummer herausfiltern können (zusätzliche Vermerke in einer Log-Datei möglich) Beispiel: Ausfiltern von Paketen mit dem Port 80 verhindert den Zugriff auf normale WWW-Server; werden z.B. 129.13.x.y Adressen gefiltert, kann kein Rechner aus diesem Subnetz auf etwas zugreifen! � Außer Paketfilter sind oft noch Anwendungsgateways und Adressübersetzung integriert Umsetzung zwischen verschiedenen mail-Systemen dynamische Abbildung einer IP-Adresse auf viele verschiedene interne Endsysteme Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 631 Firewall � Kann auf verschiedenen Protokollschichten arbeiten, viele unterschiedliche Funktionen anbieten � Schicht 2 � Filtern nach MAC-Adressen � lässt z.B. nur Adapter zu, die in der Firewall bekannt sind � Schicht 3 � Filtern nach IP-Adressen �� kann zz.B. B Verkehr nach Herkunft und Ziel filtern � Schicht 4 � Filtern nach Ports � kann z.B. Pakete je nach Anwendung filtern � Anwendungsschicht - Proxy � Virenscanner, Inhaltsüberprüfung (Text, Bilder), WWW-Adressen, ... Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 632 Firewall Beispiel � Gezielte Aktionen in Abhängigkeit von Adressen und Anwendungen � Spezielle Firewall-Lösungen mit hoher Leistungsfähigkeit erhältlich � Sicherheit aber nur so gut wie die Wartung! Quelladresse Zieladresse Dienst Aktion Protokoll beliebig Web-Server http akzeptieren kurz Intranet Intranet smtp verschlüsseln normal Intranet alle http akzeptieren kurz Extranet Intranet smtp, http akzeptieren, Viren-Scan normal alle alle alle verwerfen Alarm, lang Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 633 Firewall-Mechanismen � Analyse der ein-/ausgehenden Datenpakete (Packet Filtering) � Kontrolle der Felder des Paketkopfes, z.B. Flags, IP-Adresse und Portnummer � Erlaubter/nicht erlaubter Datenverkehr ist in Access-Liste vermerkt eingehend: deny *.*.*.*, 23 blockiert telnet ausgehend: permit 129.13.*.*, 80 erlaubt http nur für Rechner mit IP=129.13.x.y � Adressumsetzung (Network Address Translation, NAT) � Rechner im lokalen Netz von außen nicht erreichbar (z.B. 192.168.x.y) � Firewall/Gateway nimmt Abbildung auf gültige Adressen vor � Proxy-Dienste (Proxy Services) � Endsysteme im geschützten Netz nur über (Application-)Gateway erreichbar � Für jede zulässige Anwendung fungiert Gateway als Proxy � Verbindungsaufbau zu Zielrechner nur nach Authentifikation � Filterung auf Anwendungsebene (z.B. nur ftp-get aber kein ftp-put) � Detaillierte Rechteverwaltung und Protokollierung Grundlagen: Rechnernetze und Verteilte Systeme – IN0010, SS 2010, Kapitel 10 634
Seite 1 und 2:
Lehrstuhl für Netzarchitekturen un
Seite 3 und 4:
Schalttechnik leicht gemacht, Beisp
Seite 5 und 6:
Entwicklungstrend: Ubiquitäre Info
Seite 7 und 8:
Qualität des Internet � Zahlreic
Seite 9 und 10:
2.1. Grundlegende Begriffe - Der Be
Seite 11 und 12:
Wegewahl (Routing) � Auffinden de
Seite 13 und 14:
(5) Qualität � Bezüglich Qualit
Seite 15 und 16:
Hierarchische Netztopologien � Be
Seite 17 und 18:
Dienst der Schicht N � (N) - Dien
Seite 19 und 20:
Datagramm-Dienste Medium UnitData.R
Seite 21 und 22:
Die OSI-Schichten im Überblick Anw
Seite 23 und 24:
Anwendungsorientierte Schichten �
Seite 25 und 26:
Eigenschaften von SDL � Prozess a
Seite 27 und 28:
Symbole im Prozessgraphen Symbol Be
Seite 29 und 30:
Standardisierung: Beispiel Internet
Seite 31 und 32:
3.1.1. Data Link Control-Protokolle
Seite 33 und 34:
4b3b2b1 0000 0001 0010 0011 0100 01
Seite 35 und 36:
Fehlerhäufigkeiten � Maß für d
Seite 37 und 38:
Fehlererkennung: CRC-Beispiel - Emp
Seite 39 und 40:
Protokolle zur Fehlerbehandlung �
Seite 41 und 42:
3.3.2. Schiebefenster (Sliding Wind
Seite 43 und 44:
3.4. Zugriffsverfahren � Szenario
Seite 45 und 46:
Konkurrierender Zugriff: Slotted AL
Seite 47 und 48:
HDLC: Konfigurationen � Zu unters
Seite 49 und 50:
3.5.2. PPP (Point-to-Point Protocol
Seite 51 und 52:
LAN-Topologie Bus � Verbindungsst
Seite 53 und 54:
LAN: Logical Link Control (LLC) IEE
Seite 55 und 56:
LAN: CSMA/CD - Ausdehnungsproblemat
Seite 57 und 58:
Ethernet-Weiterentwicklung: Gigabit
Seite 59 und 60:
Seite 61 und 62:
4.1.1. Repeater � Kopplung von Ne
Seite 63 und 64:
Typen von Brücken � Zwei Basisva
Seite 65 und 66:
Spanning-Tree-Algorithmus (Ergebnis
Seite 67 und 68:
Weitere Switching-Verfahren � Lay
Seite 69 und 70:
Inhalt des 2. Teils des Kapitels 4.
Seite 71 und 72:
Leitungsvermittlung im Telefonnetz
Seite 73 und 74:
Segmentieren von Nachrichten � Se
Seite 75 und 76:
Virtuelle Verbindungen � Eigensch
Seite 77 und 78:
4.2.4. Router - Kopplung von Netzwe
Seite 79 und 80:
Routingverfahren - Routingnetzwerk
Seite 81 und 82:
Broadcast-Routing � Broadcast-Rou
Seite 83 und 84:
Verteiltes adaptives Routing � Je
Seite 85 und 86:
Beispiel 1: Distance Vector Routing
Seite 87 und 88:
Seite 89 und 90:
Die TCP/IP-Protokollfamilie: Protok
Seite 91 und 92:
5.1.6. DHCP: Dynamic Host Configura
Seite 93 und 94:
Dynamische Wegewahl im Internet Weg
Seite 95 und 96:
Zusammenspiel: OSPF �� BG
Seite 97 und 98:
Reverse Address Resolution Protocol
Seite 99 und 100:
Überblick: Neuerungen in IPv6 (2)
Seite 101 und 102:
Automatische Systemkonfiguration
Seite 103 und 104:
5.2. Internet und Mobilität � We
Seite 105 und 106:
Seite 107 und 108:
6.1.2. Fehler beim Verbindungsaufba
Seite 109 und 110:
TCP: Adressierung � Identifikatio
Seite 111 und 112: TCP: Mechanismen (II) � Piggyback
Seite 113 und 114: 7.1. Lastkontrolle � An einem Kom
Seite 115 und 116: Flusssteuerung auf verschiedenen Sc
Seite 117 und 118: 7.1.3.1. Stau-/Verkehrskontrolle
Seite 119 und 120: Größe des Fluss skontrollfensters
Seite 121 und 122: 7.2.2. Dienstklassen (QoS-Klassen)
Seite 123 und 124: Aufgaben und Ziele für das Netzwer
Seite 125 und 126: SNMP: Client-Server-Prinzip Netz Ma
Seite 127 und 128: Internet Mail: Das SMTP-Modell �
Seite 129 und 130: Internet-Mail: Verwaltung durch Mai
Seite 131 und 132: DNS (Domain Name System) � DNS st
Seite 133 und 134: Lehrstuhl für Netzarchitekturen un
Seite 135 und 136: Die Rolle von Middleware � Client
Seite 137 und 138: Die IBM Referenzarchitektur � Cli
Seite 139 und 140: Transport-Indeptendent RPC (2) Clie
Seite 141 und 142: Fehlerbehandlung in RPC-Systemen
Seite 143 und 144: Parameterübergabe und Rückgabewer
Seite 145 und 146: Merkmale von CORBA � Kommunikatio
Seite 147 und 148: HTML - Hypertext Markup Language
Seite 149 und 150: Rummpf Kopf XML - Beispiel Steve
Seite 151 und 152: 9.9 Definition von Web Services A W
Seite 153 und 154: XML-RPC - Prozeduraufruf HOST /xml-
Seite 155 und 156: Java Web Service Developer Pack �
Seite 157 und 158: Angriffsmöglichkeiten � Passive
Seite 159 und 160: Erbringung von Sicherheitsdiensten
Seite 161: Secure Shell (SSH) � Aufgabe: sic
Seite 165 und 166: Ort eines VPN � In-house VPN, VPN
Seite 167 und 168: � Signal Wiederholung: Der Begrif
Seite 169 und 170: Periodische Signale: Fourier-Analys
Seite 171 und 172: Fortpflanzungsgeschwindigkeit von S
Seite 173 und 174: Glasfaser - Typen Plastikaußenhül
Seite 175 und 176: Schritt- versus Übertragungsgeschw
Seite 177 und 178: 11.4.2. Basisbandübertragungsverfa
Seite 179 und 180: Klassisch: Äquivalenzliste nach IT
Seite 181 und 182: Anforderungsgesteuertes Zeitmultipl
Seite 183 und 184: Wiederholung: Frequenzspektrum eine
Seite 185 und 186: U Zusammenhang bei der PCM-Technik
Seite 187 und 188: Lehrstuhl für Netzarchitekturen un
Seite 189 und 190: Zeit (t) Wiederholung: Beispiel Tel
Seite 191 und 192: Beispiel: V.21 Modem � Kennzeiche
Seite 193 und 194: 12.4. Datenübertragung über Telef
Alle anzeigen

Grundlagen: Rechnernetze und Verteilte Systeme - Lehrstuhl für ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?