Millionen vernetzter Computer auf denen

Anwendungen mit Netzzugriff laufen.

• Leitungen und Funkstrecken

• Glasfaser, Kupfer, Funk,Satellit,

• Übertragungsbandbreiten

• Datenpakete

• Router

• Repeater

• Hubs

• Switches

• kontrollieren das Senden und Empfangen von Nachrichten:

  • TCP

  • IP

  • HTTP

  • Skype

  • Ethernet

“Netzwerk von Netzwerken”

• Hierarchisch

• Öffentliches Internet

• privates Intranet

• RFC: Request For Comments

• IETF: Internet Engineering Task Force

• verteilte Anwendungen

• Web, VoIP, E-Mail,

• Spiele, eCommerce,

• File Sharing

Bieten Anwendungen

• Zuverlässige Datenübertragung

• Unzuverlässige Datenübertragung

Ein Kommunikationssystem kann…

• Daten zu übertragen

  • von einer Quelle (Sender)

  • zu ein oder mehreren Zielen (Empfänger)

  • unter Benutzung technischer Vorrichtungen an den Endpunkten

  • in einer bestimmten Sprache (Codierung)

  • nach bestimmten Regeln (Protokoll)

  • über einen Übertragungskanal

  • unter Nutzung eines Mediums

• Nutzung zentraler Ressourcen (Cloud)

  • Zugriff auf einen gemeinsamen Datenbestand

  • Gemeinsame Nutzung von peripheren Geräten

• Kommunikation

  • Telefon, Fax, E-Mail,

  • Groupware, Workflow, Terminorganisation

  • Gemeinsame Dokumentenbearbeitung

• Haustechnik

  • Videoüberwachung

  • Steuerung von Aufzügen

  • Steuerung von Haushaltsgeräten

• Internet of Things

  • Verbinden von Sensoren

  • Industrie 4.0

  • Cloud-Systeme

Protokoll:

• es werden „standardisierte“ Nachrichten übertragen

• durch den Empfang dieser Nachrichten werden „standardisierte“ Aktionen ausgelöst

Netzwerkprotokoll:

Protokolle definieren..

• das Format und die Reihenfolge, in der Nachrichten von Systemen im Netzwerk gesendet und empfangen werden

• sowie die Aktionen, welche durch diese Nachrichten ausgelöst werden.

Sämtliche Kommunikation im Internet wird durch Protokolle geregelt

Nachrichten vom Client zum Server ----->

Nachrichten vom Server zum Client <-----

• POP3 Verbindungsaufbau läst sich in 2 Phasen unterteilen

  <----- OK POP3 Server ready ( Nacheinloggen in den Server)

• Anmelden

  -----> USER gerd (userid-Eingabe)

  <----- OK Gerd is a defined user

  -----> PASS geheim

  <----- OK gerd‘s maildrop has 2 messages (320 octets)

• Nach dem Einloggen geht der Server in den Status Transaction:

  -----> LIST (gibt die Anzahl der Nachrichten und deren Größe zurück)

  <----- OK 2 messages(320 octets)

  <----- : 1 120

  <----- : 2 200

  <----- : .

• .....

  -----> DELE 1 (Lösche die 1. Nachricht)

  <----- OK message 1 deleted

  -----> QUIT ( Beenden der Session)

• Randbereich

  Anwendungen und Endsysteme

• Zugangsnetzwerke, physikalische Medien

  Kabel und drahtlose Verbindungen

• Inneres des Netzwerkes

  • Router

  • Netzwerke von Netzwerken

Endsysteme (Hosts):

• Für Anwendungsprogramme

  z.B. für Web, E-Mail

• Am Rand des Netzwerkes

Client/Server-Architektur:

• Client fragt Dienste von einem Server an

  z.B. Webbrowser /Server; E-Mail-Client/Server

Peer to Peer Architektur:

• Minimaler oder gar kein Einsatz von dedizierten Servern

  z.B. Skype, BitTorrent

• Anbindung von Privathaushalten

• Anbindung von Institutionen

• Mobile Anbindung

• Wichtige Eigenschaften:

  • Bandbreite (Bits pro Sekunde) der Anbindung

  • Geteilte oder exklusive Nutzung der Anbindung

• Anbindung Privathaushalt:

• Anbindung Unternehmen:

• Drahtlose Zugangsnetzwerke verbinden Endsysteme mit einem Router

  • Über eine Basisstation (auch „Access Point“)

• Wireless LANs

  • 802.11b (WiFi): 11 Mbit/s

  • 802.11a/g (WiFi): 11/54 Mbit/s

  • 802.11n (WiFi): 200 Mbit/s

• Drahtlose Weitverkehrsnetze

• Durch Serviceprovider (z.B. T-Mobile, O2, E-plus etc.) bereitgestellt

• ~2 Mbit/s in zellulären Systemen (3G)

• ~75-300 Mbit/s LTE (4G)

• 3 Gbit/s LTE Advance

• 10 Gbit/s (5G)

• Bit:

  wird von einem Sender zu einem Empfänger übertragen

• Leitung:

  das, was sich zwischen Sender und Empfänger befindet

• Gerichtete Medien:

  Signale breiten sich in festen Medien in eine Richtung aus: Kupfer-, Glasfaser-, Koaxialkabel

• Ungerichtete Medien:

  Signale breiten sich frei aus: Funk, Mikrowellen

• Zwei mit einander verdrillte Paare

• Bidirektional

• Geschirmte (STP) und ungeschirmte (UTP) Kabel

• Zwei isolierte Kupferleiter

  • Kategorie 3: Telefonkabel, 10 Mbit/s Ethernet

  • Kategorie 5: 100 Mbit/s Ethernet

  • Kategorie 5e: 1000 Mbit/s Ethernet

  • Kategorie 6: 10 Gbit/s Ethernet

• Glasfaserkabel übertragen Lichtpulse, jeder Puls ist ein Bit

• Hohe Geschwindigkeit

  • bis zu mehreren 100 Gbit/s

• Geringe Fehlerrate

  • unempfindlich gegen elektromagnetische Störer

• Signal wird von elektromagnetischen Wellen übertragen

• Kein „Draht“, deswegen drahtlose Kommunikation

• Bidirektional

• Signalausbreitung wird von der Umgebung beeinflusst:

  • Reflexion

  • Abschattung durch Hindernisse

  • Interferenz

Arten von Funk:

• Mikrowelle

  • Kanäle mit bis zu 45 Mbit/s

• WLAN (auch Wifi)

  • 54 Mbit/s

• Weitverkehr (zellulär)

  • 3G/UMTS: ~ 1 Mbit/s

  • 4G/LTE: ~ 300 Mbit/s

• Satellit

  • Kanäle mit bis zu 45 Mbit/s (oder mehrere kleine Kanäle)

  • 270ms Ende zu Ende Verzögerung

  • Geostationär oder Satelliten in geringer Höhe

Die 4 Grundsätze eines Standards:

• Transparency:

  Veröffentlichung von Interims während des Standardisierungsprozesses und Veröffentlichung des endgültigen Standards.

• Public enquiry:

  Öffentlichkeit hat Einspruchsmöglichkeit

• Transposition:

  Übernahme internationaler Normen in nationale.

• Standstill:

  Einstellen nationaler Normierungsarbeit, sobald auf demselben Gebiet internationale Normierungsarbeit aufgenommen wird.

• Ende-zu-Ende-Ressourcen werden für einen Ruf reserviert

• Bandbreite auf Leitungen, Kapazität in Routern

• Dedizierte Ressourcen: keine gemeinsame Nutzung

• Garantierte Dienstgüte wie beim “Durchschalten” einer physikalischen Verbindung

• Vor dem Austausch von Daten müssen die notwendigen Ressourcen reserviert werden

• Netzwerkressourcen (z.B. Bandbreite) werden in Einheiten aufgeteilt

• Einheiten werden Rufen zugewiesen

• Einheiten bleiben ungenutzt, wenn sie von ihrem Ruf nicht verwendet werden (keine gemeinsame Nutzung von Ressourcen)

• Frequenzmultiplex (Frequency Division Multiplex, FDM)

  • Dauernder Datenversand möglich

• Zeitmultiplex (Time Division Multiplex, TDM)

  • Bessere Nutzung der Bandbreite, weil man keine Frequenz für einen Teilnehmer blockiert

• bei Funknetzen kann FDM und TDM auch gemischt sein

Jeder Ende-zu-Ende-Datenstrom wird in Pakete aufgeteilt:

• Die Pakete aller Nutzer teilen sich die Netzwerkressourcen

• Jedes Paket nutzt die volle Bandbreite der Leitung

• Ressourcen werden nach Bedarf verwendet

  
  

Wettbewerb um Ressourcen:

• Die Nachfrage nach Ressourcen kann das Angebot übersteigen

• Überlast:

  Pakete werden zwischengespeichert und warten darauf, eine Leitung benutzen zu können

• Store and Forward:

  Pakete durchqueren eine Leitung nach der anderen

• Knoten (z.B. Router) empfangen ein komplettes Paket, bevor sie es weiterleiten

Statistisches Multiplexing:

• Die Folge von Paketen auf der Leitung hat kein festes Muster, die Bandbreite wird nach Bedarf verteilt statistisches Multiplexing

• Jede Verbindung erhält immer den gleichen Zeitrahmen in einem sich wiederholenden Muster

-> Zeit in der Frequenz wird statistisch optimiert weiterverteilt

Store and Forward:

-> Wie lange braucht eine Nachricht von A nach B?

“Leitet man das Paket weiter wie Wasser oder wie einen Brief?”

Hier: Man schreibt den kompletten Brief und schickt den zum Router und er wird komplett weiter gegeben.

• Es dauert L/R Sekunden, um ein Paket von L Bits auf einer Leitung mit der Rate R bps zu übertragen

• Store and Forward: Das gesamte Paket muss bei einem Router angekommen sein, bevor es auf der nächsten Leitung übertragen werden kann

• Verzögerung = 2L/R (wenn die Ausbreitungsverzögerung vernachlässigt wird)

• Funktioniert nur bei paketbasierter Infrastruktur (nur digital)

  
  

Aktuell: es wird eine Art von Store and Forward genutzt, bei der die einzelnen Sätze des Briefes weiter gegeben werden - wie beim Morsen

Beispiel:

L = 7,5 Mbits

R = 1,5 Mbit/s

Verzögerung pro Hop: 5 sec

Vorteile Paketvermittlung:

• Sehr gut für unregelmäßigen Verkehr (bursty traffic)

• Gemeinsame Verwendung von Ressourcen

• Einfacher, keine Reservierungen

Nachteil Paketvermittlung:

Überlast:

• Verzögerung und Verlust von Paketen

• Protokolle für zuverlässigen Datentransfer und Überlastkontrolle werden benötigt

• Grob hierarchisch

• “Tier-1” Internet Service Providers (ISPs) (Beispiele: Verizon, SprintLink, AT&T, Telekom) - im Zentrum

  • Behandeln sich als gleichberechtigte Partner

  • Sind vollständig miteinander verbunden

• “Tier-2” ISPs: kleinere, oft nationale oder regionale ISPs

  • Sind mit einem oder mehreren Tier-1 ISPs verbunden, oft auch mit anderen Tier-2 ISPs (Vodafone, AldiTalk)

  • Tier-2 ISP bezahlt Tier-1 ISP für Konnektivität zum Rest des

    Internets. Tier-2 ISP ist Kunde eines Tier-1 ISP

• “Tier-3” ISPs und lokale ISPs

  • Zugangsnetzwerke (last hop, access network)

  • Lokale und Tier-3 ISPs sind Kunden von Tier-1 und Tier-2 ISPs, welche sie mit dem Rest des Internets verbinden

Pakete warten in den Puffern von Routern wenn die Ankunftsrate die Kapazität der Ausgangsleitungen übersteigt.

Es gibt 4 Quellen für Verzögerungen:

1. Verarbeitung im Knoten:

   • Auf Bitfehler prüfen

   • Wahl der ausgehenden Leitung

2. Warten auf die Übertragung:

   • Wartezeit, bis das Paket auf die Ausgangsleitung gelegt werden kann

   • Hängt von der Last auf der Ausgangsleitung ab

3. Übertragungsverzögerung:

   • R = Bandbreite einer Leitung (Bit/s)

   • L = Paketgröße (Bit)

   • Übertragungsverzögerung = L/R

4. Ausbreitungsverzögerung:

   • d = Länge der Leitung

   • s = Ausbreitungsgeschwindigkeit des Mediums (~2x108 m/s)

   • Ausbreitungsverzögerung = d/s

• Warteschlange vor einer Ausgangsleitung hat endlich viele Pufferplätze

• Wenn alle Pufferplätze belegt sind, werden neu ankommende Pakete verworfen: Paketverlust

• Verlorene Pakete können vom vorangegangenen Knoten oder vom Sender erneut übertragen werden – oder auch gar nicht!

Umgang mit komplexen Systemen:

• Strukturierung ermöglicht die Identifikation und das Verständnis des Zusammenspiels einzelner Bestandteile des Systems

  • Referenzmodell für die Diskussion des Systems

• Modularisierung vereinfacht die Wartung und das Arbeiten mit dem System:

  • Änderungen an der Implementierung einer Schicht sind transparent für den Rest des Systems

  • Beispiel: Eine Veränderung der Einsteigeprozedur am Gate beeinflusst nicht den Rest des Systems

• Anwendungsschicht:

  • Unterstützung von Netzwerkanwendungen

  • FTP, SMTP, HTTP

• Transportschicht:

  • Datentransfer zwischen Prozessen

  • TCP, UDP

• Netzwerkschicht (auch Vermittlungsschicht):

  • Weiterleiten der Daten von einem Sender zu einem Empfänger

  • IP, Routing-Protokolle

• Sicherungsschicht:

  • Datentransfer zwischen benachbarten Netzwerksystemen

  • PPP, Ethernet

• Bitübertragungsschicht:

  • Bits auf der Leitung

• Darstellungsschicht:

  • Ermöglicht es Anwendungen, die Bedeutung von Daten zu interpretieren,

  • z.B. Verschlüsselung, Kompression, Vermeidung systemspezifischer Datendarstellung

• Kommunikationssteuerungsschicht:

  • Synchronisation, Setzen von Wiederherstellungspunkten

-> Der Protokollstapel des Internets bietet diese Funktionalitäten nicht!

• Angriffe auf die Infrastruktur des Internets

  • Kompromittieren/Angreifen von Endsystemen:

    • Malware,

    • Spyware,

    • Würmer,

    • unberechtigter Zugriff (Diebstahl von Daten und Accounts)

  • Denial of Service:

    den Zugang zu Ressourcen verhindern

    • Server,

    • Bandbreite

• Vision: “Eine Gruppe von Benutzern, die sich gegenseitig vertrauen, sind über ein transparentes Netzwerk miteinander verbunden“

  
  

  -> Das Internet wurde nicht mit dem Ziel Sicherheit entworfen

Logische Bomben:

Logikbomben zählen zu den ältesten und einfachsten Malware-Vertretern und wurden bereits vor den ersten Computerviren eingesetzt.

• Eine Logikbombe besteht aus zwei Komponenten:

  • eine hinreichend spezifische Bedingung, bspw.

    • Erreichen eines bestimmten Datums

    • Fehlen einer bestimmten Datei

    • Ausführen durch einen bestimmten Benutzer

  • eine Explosion, d. h., eine schädliche Aktion. Bspw.

    • Löschen von Daten

    • Infizieren eines Systems mittels eines Virus

• Bevor die Bedingung erfüllt ist, macht sich eine Logikbombe nicht bemerkbar.

Spyware:

• Infektion durch Laden einer Webseite, die Spyware enthält

• Aufzeichnen und Weitermelden von Tastenanschlägen, besuchten Websites etc.

Virus:

• Infektionen über empfangene Objekte (z.B. per E-Mail), erfolgen aktiv

• Selbst replizierende Viren verbreiten sich über weitere Endsysteme und Benutzer

Würmer:

• Infektion durch Objekte, die ohne Benutzereingriff empfangen wurden

• Selbst replizierende Würmer verbreiten sich über weitere Endsysteme und Benutzer

  • Sapphire Wurm: scans/s in den ersten 5 Minuten des Ausbruchs (Daten von CAIDA, UWisc)

Ransomware:

• Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann.

• Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.

Phishing:

• Phishing ist der Versand gefälschter E-Mails, die Menschen dazu verleiten sollen, auf einen Betrug hereinzufallen.

• Phishing-Mails zielen häufig darauf ab, dass die Nutzer Finanzinformationen, Zugangsdaten oder andere sensible Daten preisgeben.

• Phishing ist ein Beispiel für Social Engineering:

  • eine Sammlung von Methoden, die Betrüger anwenden, um die menschliche Psychologie zu manipulieren.

  • Hierzu gehören Fälschung, Irreführung und Lügen - alles Methoden, die bei Phishing-Attacken eine Rolle spielen.

Denial of Service:

• Angreifer verhindern den Zugriff von Benutzern auf Ressourcen (Server, Bandbreite), indem diese durch den Angreifer belegt werden

  1. Wähle ein Ziel

  2. Kompromittiere andere Systeme

  3. Sende viele Pakete von den kompromittierten Systemen an das Ziel

Mithören, Verändern und Löschen von Paketen:

Mithören von Paketen:

• Broadcast-Medien (Ethernet, WLAN)

• Netzwerkkarten im Promiscuous Mode zeichnen alle Pakete auf, die sie hören können (z.B. mit Wireshark)

IP-Spoofing:

• Sende Pakete mit falscher Absenderadresse

Aufzeichnen und Abspielen:

• Sicherheitsrelevante Informationen (z.B. Passwort) mithören und später verwenden

  • Aus Sicht des Systems ist jemand, der das Passwort eines Benutzers kennt, dieser Benutzer