Komplexe Architektur
Netzwerkgrundlagen für die Systemanalyse
Pakete weiterleiten
Grundwissen über das Schichtenmodell hilft beim Verständnis, wie Netzwerkhardware arbeitet. Während einfache Switches auf der Zugangsebene des TCP/IP-Modells (OSI-Schicht 2) mehrere Geräte zu einem Segment zusammenfassen, verbinden Router mehrere unterschiedliche Netzwerksegmente, in dem Sie auf der Internet-Ebene (OSI-Schicht 3) IP-Pakete weiterleiten (siehe Abbildung 3).
ARP-Anfragen funktionieren nur innerhalb eines Netzwerksegments, da das Internet ansonsten mit nichts anderem mehr beschäftigt wäre. Daher ersetzt der Router die Absender-MAC-Adresse eines weiterzuleitenden IP-Pakets durch die MAC-Adresse des Gerätes, über den er es weiterleitet.
Abbildung 3: Router leiten auf der Internet-Ebene einzelne Pakete zwischen unterschiedlichen Netzwerksegmenten weiter.
Router entscheiden anhand einer Routing-Tabelle. Diese enthält mehrere Routen, die anhand der Ziel-IP-Adresse eines Pakets angeben, wohin es weiterzuleiten ist (Abbildung 4).
Abbildung 4: Beispiel für statisches Routing zwischen zwei internen Netzen und dem Internet.
In der Regel kennt jeder Router nur die nächste Station des Weges für ein Paket. Es hüpft also von einer Station zur nächsten seinem Ziel entgegen, oder in der Fachsprache: Es macht einen Hop. Ein Linux-System arbeitet nur dann als Router, wenn das Sie das Weiterleiten von Paketen (Forwarding) aktivieren.
Schnittstellen-Routen geben an, welches Netzwerk über welche Schnittstelle zu erreichen ist. Typische Schnittstellen unter Linux sind eth0 für die erste Ethernet-Karte, ppp0 für eine PPP-Verbindung oder lo für die Kommunikation auf dem lokalen Host (Loopback-Schnittstelle). Eine Route über ein Gateway gibt als Ziel hingegen einen anderen Host an. Der Router wählt dabei immer die speziellste Route, die auf die Zieladresse eines Paketes passt. So haben die Routen für 192.168.1.0/24 und 10.1.1.0/24 Vorrang vor der Standardroute default oder 0.0.0.0/0.
Der Router verringert den TTL-Zähler eines IP-Paketes, wenn er es weiterleitet, um der Wert 1. Sinkt der Zähler auf Null, sendet er die entsprechende ICMP-Fehlernachricht. Mit dieser Technik vermeiden es Router, unzustellbare Pakete unendlich lange weiterzuleiten.
Ein typisches Setup für zu Hause besteht aus zwei Routen: Eine Route leitet alle Pakete an das lokale Netzwerk über die Schnittstelle weiter. Eine allgemeine Standard-Route leitet alle anderen Pakete über ein Gateway weiter, welches das LAN an ein anderes LAN oder WAN anbindet. Als Gateway arbeitet heutzutage bei Privatpersonen oft ein DSL-Router oder eine Kombination aus DSL-Modem und Switch.
Doch was passiert mit den IP-Paketen, die eine IP-Adresse aus dem lokalen Netz als Absender haben? Internet-Router leiten diese nicht weiter. Daher ersetzt der lokale Router die Quelladresse jedes Pakets durch seine eigene Internet-Adresse (Abbildung 5). Den Quell-Port ersetzt er durch einen eigenen, dynamisch belegten Port. So schickt er das Paket weiter und merkt sich Quelladresse, Quell-Port und den neuen eigenen Port. Kommt an diesem ein Paket an, übersetzt der Router die Zieladresse und den Ziel-Port und gibt es an den lokalen Host weiter. Dieses Verfahren, genannt Masquerading, ist eine spezielle NAT-Variante.
Abbildung 5: Masquerading erlaubt Hosts aus lokalen Netzwerken mit der öffentlichen IP-Adresse des Routers mit dem Internet zu kommunizieren.
Linux bietet weitere Möglichkeiten: So verwenden Sie mehrere Routing-Tabellen, um zum Beispiel bei mehreren DSL-Zugängen je nach Quell-IP-Adresse eines Pakets ein anderes Standard-Gateway anzusprechen [4]. Traffic Shaping hingegen erlaubt zum Beispiel, eine SSH-Sitzung gegenüber Filesharing-Verbindungen zu priorisieren [4][5][6]. Virtuelle Netzwerke, kurz VLANs, sparen Hardware ein und erlauben eine flexiblere Konfiguration als physikalische Netze [7].
Ein funktionierendes Netzwerk setzt voraus, dass Sie die IP-Adresse und die Netzwerkmaske der Schnittstelle konfigurieren und die Routen und Adresse DNS-Server eintragen. Dank DHCP funktioniert das mit Hilfe eines Servers, der den Clients die benötigten Angaben zuweist, heute in vielen Fällen automatisch.
Und die Sicherheit?
Einige vergleichsweise einfache Maßnahmen erhöhen die Sicherheit Ihres Netzwerkes ganz erheblich: Verwenden Sie aktuelle Software, spielen Sie Sicherheitspatches ein, und informieren Sie sich über Sicherheitslücken. Mailinglisten wie Buqtraq geben allgemein über aktuelle Probleme Auskunft [8]. Gängige Distributionen informieren in sogenannten Security Advisories über Sicherheitslücken in den Paketen der Distribution [9][10][11].
Konfigurieren Sie Ihre Rechner nach dem KISS-Prinzip: Bieten Sie beispielsweise nur die für den Betrieb des Servers erforderlichen Dienste an. Erlauben Sie für ausschließlich lokal verwendete Dienste auch nur Anfragen aus dem lokalen Netz. Setzen Sie zum Beispiel auf Ihrem Notebook einen Webserver ein, um HTML-Seiten zu testen, so konfigurieren Sie diesen so, dass er nur auf Anfragen über die Loopback-Schnittstelle reagiert.
Ein Netzwerk ist nur so sicher, wie das unsicherste Passwort, das darin zum Einsatz kommt. Verwenden Sie daher nur Passwörter mit ausreichender Länge und genügend Vielfalt in Bezug auf Groß- und Kleinbuchstaben und Sonderzeichen. Benutzen Sie zudem nur Dienste, die die Login-Informationen verschlüsselt übertragen. Das sicherste Passwort nützt nicht viel, wenn der Client es wie bei Telnet oder FTP im Klartext überträgt. Sie gewinnen noch mehr Sicherheit, wenn Sie Passwörter durch ein Public-Key-Verfahren ersetzen.
Einem Freund empfehlen
