Dienste in Netzwerken

Dienste in Netzwerken

Netzwerk

Es gibt viele unverzichtbare Dienste in Netzwerken, die eine Grundlage bilden.
Damit dadurch eine reibungslose Funktionalität gewährleistet wird, müssen diese optimal platziert und konfiguriert werden.

Dabei hat man bestimmt schon von verschiedenen Begriffen gehört, wie DHCP, Routing, DNS oder Webserver, -und was hat es mit den Zertifikaten auf sich.


Auf diese einzelnen Begriffe werde ich in den nächsten einzelnen Artikeln eingehen, um die grundlegenden Aufgaben der einzelnen Dienste vorzustellen.


Routing

Um jeweils zwei Hosts in je zwei unabhängigen Netzen untereinander zu verbinden, muss ein Router zwischen den Netzen platziert werden. Dieses Verfahren nennt man Routing.

Folgende Einstellungen sind nötig:

Routing mit 2 Router

Damit die Verbindung funktioniert, muss bei jedem einzelnen Host ein Gateway zum Router angegeben werden. (Siehe fett markierte Adressierungen).

Erweitertes Netz

Wird jedes Netzwerk durch je einen eigenen Router miteinander verbunden, benötigen die verbundenen Router ebenfalls zueinander die Angabe eines Gateways, da die jeweiligen Router ein eigenes Netzwerk bilden.

Routing mit 2 Router

Diese Vorgehensweise der Adressenkonfiguration ist für kleine Netzwerke noch zeitlich überschaubar. Bei größeren Netzwerken wäre eine manuelle Konfiguration aus dem Kosten-Zeitverhältnis nicht tragbar. Deshalb werde ich in einen weiteren Beitrag eine Möglichkeit darstellen, dass jeder Host im lokalen Netzwerk, anhand des DHCP-Dienstes, eine gültige Adresskonfiguration erhält.


DHCP

Damit jeder einzelne Host in einem Netzwerk automatisch eine gültige IP-Adresse bekommt, sorgt der Dienst DHCP (Dynamic Host Configuration Protocol) dafür. Der Netzwerkadministrator muss nur noch in jedem Host eine Einstellung vornehmen, dass die IP-Adresse via DHCP bezogen werden kann.

Im folgenden Bild wird auf dem DHCP-Server der IP-Adressraum ( zB. 192.100.0.10 bis 192.100.0.20) angegeben.

Ein typisches Netzwerk mit einem DHCP-Server

(optional)

GATEWAY
Wenn eine Verbindung in ein anderes eigenständiges Netz erfolgen soll, dann wird hier die IP-Adresse des Routers eingetragen.

DNS-SERVER
Wenn ein DNS-Server zur Namensauflösung vorhanden ist, dann ist dieser Eintrag erforderlich.
Hier wird die IP-Adresse des DNS-Servers eingetragen.
Auf dem Host müssen die Einstellungen so vorgenommen werden, damit die IP-Adresse automatisch vom DHCP-Server bezogen werden.

Du findest die Einstellungen (Win7) unter:
Start\Systemsteuerung\Netzwerk u. Internet\Netzwerk- u. Freigabecenter\Adaptereinstellungen ändern

  1. Klicke im nächsten Schritt mit der rechten Maustaste auf Deinen Netzwerkadapter.
  2. Klicke im Kontextmenü auf Eigenschaften.
  3. Mit einem Doppelklick auf Internetprotokoll Version 4 (TCP/IPv4) öffnet sich das Fenster Eigenschaften von Internetprotokoll Version 4

Eigenschaften von Internetprotokoll Version 4

Wenn alles soweit fertig konfiguriert wurde, wird jeder Host im Netzwerk bei einer Anfrage automatisch eine gültige Adresse aus dem genannten Bereich erhalten. In der Verwaltungskonsole von DHCP können die bereits vergebenen und noch verfügbaren IP-Adressen eingesehen werden.

Würde man diese Einstellungen auch bei einem Server vornehmen, erhält dieser auch automatisch eine IP-Adresse. Deshalb ist darauf zu achten, dass bei Servern in der Regel feste IP-Adressen vergeben werden müssen und nicht automatisch bezogen werden sollen.


DNS

Durch eine einmalige IP-Adresse kann ein Host in einem Netzwerk angesprochen werden.

Mit den DNS-Dienst (Domain Name System) können Hosts auch über einen eindeutigen Namen angesprochen werden,- Oder anders formuliert: Er ist für die Zuordnung von Hostnamen zu IP-Adressen zuständig. Dafür muss aber erst ein eindeutiger Name für jedes Endgerät festgelegt werden.

Um einen einzigartigen Namen zu vergeben sind folgende Zeichen erlaubt:

Buchstaben: A-Z, a-z
Zahlen: 0-9
Sonderzeichen: Bindestrich (-)

Nicht erlaubt sind: ? < > + = \ , ; : " * |

Der Computername kann auch unter folgenden Einstellung (Win7) nachträglich geändert werden:

Ändern des Computernamens

 

DNS und DHCP einrichten (Windows-Server)

Ein typisches Netzwerk mit einem DNS-Server u. einem Webserver

Ein typisches Netzwerk mit einem DNS-Server u. einem Webserver

DNS-Server

Um die Endgeräte mit dem Domain-Namen anzusprechen, muss im DNS-Server folgende Einstellungen vorgenommen werden.

Praxis anhand eines Beispiels

Beim Surfen im Internet wird der DNS-Server ständig angesprochen. Gebe ich in meinen Browser z.B. www.norbert-kreidt.de ein (In diesem Fall über cmd.exe), wird zu aller erst der DNS-Server angesprochen, der den DNS-Namen in die zugehörige IP-Adresse auflöst. Anschließend wird der eigentliche Ping ausgeführt. Der Browser selbst würde anstatt des Ping mit den jeweiligen Anfragen starten, um vom Webserver die gewünschten Informationen abzuverlangen.

net dns namensauflösung

DNS-Namensauflösung von www.norbert-kreidt.de über cmd.exe


WEBSERVER

Damit Webseiten, Dateien bzw. Anwendungen im Internet oder Intranet angeboten werden können ist ein Webserver nötig, die von Providern betrieben werden und vom Kunden angemietet werden können.

Ohne die Webserver würde praktisch das Internet/Intranet nicht funktionieren. Alle Dateien einer Webseite liegen auf einen Webserver. Die Webseiten selbst, die aus den Dateien gebildet werden, können über einen Webbrowser dargestellt werden.

Wenn Du also in Deinem Internetbrowser die Adresse https://www.norbert-kreidt.de eingibst, dann sendet der Browser die Internetadresse zum DNS-Server, der wiederum anhand des Domainnamens die IP-Adresse ermittelt.

DNS-Namensauflösung in der Eingabeaufforderung

DNS-Namensauflösung von www.norbert-kreidt.de über cmd.exe

Anschließend wird eine TCP-Verbindung von Deinem Host zum HTTP-Server aufgebaut und stellt einen sog. REQ (Request). Das ist nix anderes als eine Anfrage, die wiederum mit einen RSP (Response) bestätigt wird.
Da die vielen verschiedenen Dateien wie Bilder, Filme, Text von Quellcodes umgeben sind, muss dein Host bei jedem Aufruf einer dieser Dateien, einen zusätzlichen REQ (Request) an den HTTP-Server ausführen. Der HTTP-Server bestätigt (RSP) und übermittelt die gewünschten Dateien an den Host, der es anhand eines Interpreters auf Deinem Monitor darstellt.

Neben den dynamischen Datenbanken und Webseiten, können Webserver auch sicherheitsrelevante Funktionen übernehmen.

 

Webserver


Zertifikate

Wer heute über das Internet kommuniziert und Daten versendet, setzt sich stets der Gefahr aus, dass seine Informationen von Dritten abgefangen und missbraucht werden.

Damit der Schaden vermindert werden kann, kommen digitale Zertifikate ins Spiel, um die Verbindung zu den Servern verschlüsselt herzustellen.

Ein digitales Zertifikat für eine Software ist ähnlich wie der Personalausweis für eine Person. Ein Zertifikat dient dazu, eine einzelne Person oder eine Organisation einem öffentlichen Schlüssel zuzuordnen. Wie auch bei einem Ausweis sollte nur dann ein digitales Zertifikat beantragt werden, wenn der personenbezogenen Dateninhalt zu der Person gehört, die das Zertifikat anfordert. Die Zuordnung und Beglaubigung wird durch die vertrauenswürdige Zertifizierungsstelle "CA, Certification Authority" übernommen und versieht diese auch mit ihrer eigenen digitalen Unterschrift.

 in der Praxis

Das folgende Beispiel soll in vereinfachter Form zu verstehen geben, wie das Verschlüsselungsverfahren von statten geht. Die Schlüssel sind nur ein Teil von den Zertifikaten.
Hr. Sender will Fr. Empfänger eine verschlüsselte E-Mail zukommen lassen, damit niemand auf dem Übertragungsweg die E-Mail lesen kann.

  1. Hr. Sender fordert von Fr. Empfänger den öffentlichen Schlüssel an.
    Dieser öffentliche Schlüssel ist nicht geheim und könnte jedem zugänglich gemacht werden.
  2. Fr. Empfänger übermittelt Hr. Sender ihren öffentlichen Schlüssel, den sie auch aus dem "Aktive Directory" entnehmen kann.
  3. Hr. Sender verschlüsselt die E-Mail anhand des öffentlichen Schlüssels von Fr. Empfänger und verschickt anschließend die verschlüsselte E-Mail an Fr. Empfänger.
  4. Nachdem Fr. Empfänger die verschlüsselte E-Mail von Hr. Sender empfangen hat, kann nur Fr. Empfänger mit ihrem geheimen privaten Schlüssel die E-Mail entschlüsseln und lesen.

Aber wie kann nun Fr. Empfänger sicher sein, dass die E-Mail wirklich von Hr. Sender ist?
Wenn Hr. Sender die E-Mail nicht zusätzlich mit seiner eigenen digitalen Signatur (geheimen privaten Schlüssel) versendet hat,- Gar nicht!

  1. Hr. Sender hätte vor dem Verschlüsseln der E-Mail anhand seines privaten geheimen Schlüssels die E-Mail digital signieren müssen.
  2. Fr. Empfänger kann nur die Echtheit der E-Mail überprüfen, wenn sie den öffentlichen Schlüssel von Hr. Sender hat.

Verschlüsselungsverfahren

Symmetrische Verschlüsselung

Schlüssel sind identisch

Vorteil
Einfache und bequeme Verschlüsselungsmethode.
Die Verschlüsselung ist schnell und benötigt wenig Rechenleistung.

Nachteil
Problem beim Schlüsseltausch, da nur ein Schlüssel zum Ver- und Entschlüsseln von Informationen benötigt wird.
Der DES-Algorithmus ist nicht mehr sicher (Rückrechenbar) und sollte daher nicht mehr verwendet werden.

Beispiel

  1. Der Sender erzeugt ein unverschlüsseltes Dokument.
  2. Das Dokument wird vom Sender verschlüsselt und an den Empfänger gesendet.
  3. Der Empfänger erhält das verschlüsselte Dokument und benötigt zum Entschlüsseln denselben Schlüssel.
  4. Der Sender schickt somit auch den Schlüssel an den Empfänger.

Asymmetrische Verschlüsselung

Schlüssel sind unterschiedlich

Vorteil
Löst das Problem der Schlüsselverteilung, dass bei dem symmetrischen Verschlüsselungsverfahren ein Problem darstellt. Ist also sicher ab der ersten Nachricht.
Es muss kein privater Schlüssel zwischen Sender und Empfänger ausgetauscht werden.

Nachteil
Die Verschlüsselung ist langsam und benötigt mehr Rechenleistung.
Es ist um den Faktor 100 bis 1000 rechenintensiver als bei DES-Algorithmen und daher weniger für große Datenmengen geeignet.

Beispiel

  1. Der Sender besitzt keine Schlüssel.
  2. Der Empfänger besitzt ein Schlüsselpaar (privat u. öffentlich).
  3. Der Empfänger stellt den Sender den öffentlichen Schlüssel zur Verfügung.
  4. Der Sender verschlüsselt mit dem öffentlichen Schlüssel sein unverschlüsseltes Dokument.
    (Das Dokument kann nur verschlüsselt, aber nicht mehr entschlüsselt werden= Einwegfunktion).
  5. Der Sender sendet das verschlüsselte Dokument an den Empfänger.
  6. Der Empfänger entschlüsselt das Dokument mit seinem privaten Schlüssel.

Hybride Verschlüsselung

Das Hybride-Verschlüsselungsverfahren ist eine Art Mischung aus der symmetrischen und asymmetrischen Verschlüsselungstechnik.
Verwendet werden soll: PGP, SSH (Stand: 2018)

Vorteil
Sicher und schnell durch eine symmetrische Ver- u. Entschlüsselung.

Nachteil
Wenn eine veraltete Verschlüsselungstechnik (DES-Algorithmus) verwendet wird, ist diese Art von Verschlüsselungstechnik Rückrechenbar.

Beispiel

  1. Der Sender erzeugt ein unverschlüsseltes Dokument.
    Er besitzt einen sog. Session-Key und kann diesen nur für eine bestimmte Zeit benutzen.
    Neue Sitzung = Neuer Sesson-Key.
  2. Der Empfänger besitzt ein Schlüsselpaar (privat u. öffentlich).
  3. Der Sender verschlüsselt das Dokument mit seinem Session-Key.
  4. Der Empfänger stellt den Sender den öffentlichen Schlüssel zur Verfügung.
  5. Der Sender verschlüsselt mit dem öffentlichen Schlüssel vom Empfänger seinen Session-Key.
    Anschließend sendet er das verschlüsselte Dokument und den verschlüsselten Session-Key an den Empfänger.
  6. Der Empfänger kann mit seinen privaten Schlüssel den verschlüsselten Session-Key entschlüsseln und somit die Nachricht entschlüsseln.
Nutzdaten werden symmetrisch verschlüsselt, weil eine höhere Geschwindigkeit wichtig ist.
Schlüssel werden asymmetrisch verschlüsselt, weil die Schlüssel so klein sind, dass die langsame Rechenleistung einer asymmetrischen Verschlüsselung kaum ins Gewicht fällt.

Zertifikate

Ein Zertifikat kommt zum Einsatz, wenn es sich um sehr sichere Webseiten handelt. Heute ist es nämlich kaum mehr wegzudenken, dass die Bankgeschäfte von dem heimischen Arbeitsplatz aus getätigt werden. Hier geht es um einen besonderen gefährdeten Bereich, wenn es um Daten-Phishing geht.

Der Nutzer gibt in dem Browser die Webadresse seiner Bank ein (Abb.1) und bestätigt dann die Eingabe (Abb.2).

Adresseneingabe vor der Eingabebestätigung
Abb.1 Adresseneingabe vor der Eingabebestätigung

Adresseneingabe nach der Eingabebestätigung
Abb.2 Adresseneingabe nach der Eingabebestätigung. (siehe https)

Nachdem der Nutzer die Eingabe bestätigt hat, wird der Browser, ohne einen weiteren Hinweis, auf einen mit Zertifikat gesicherten Bereich umgeleitet. Der Browser hat das Zertifikat überprüft und die Vertrauenswürdigkeit festgestellt (siehe grünes Schloss in Abb.2). Mit einem Klick auf das grüne Schloss, können weitere Informationen zum Zertifikat angezeigt werden. In diesem Fall können die Anmeldedaten beruhigt eingegeben werden.

Sollte evtl. die Frage kommen, ob Dein soeben eingegebenes Passwort im Browser gespeichert werden soll, dann empfehle ich Dir dies aus Sicherheitsgründen NICHT zu SPEICHERN.
Zugriffe: 12324
Drucken