Glossar
Begriffserklärungen
A...
ACK
Akronym für engl. acknowledge.
Dieses Bit kommt immer dann zum Tragen, wenn eine TCP-Verbindung auf- oder
abgebaut werden soll (also ein Paket mit gesetztem SYN- oder
FIN-Bit empfangen wird) und dient der Bestätigung der
betreffenden Anfrage.
B...
Bridge
Bei einer sog. Bridge (engl. für Brücke) werden mehrere
Netzwerkkarten zu einer logischen Einheit miteinander verknüpft – die
eigentlich vorhandene logische Lücke zwischen den Netzwerkkarten wird auf
diesem Wege im wahrsten Sinne des Wortes überbrückt.
Der Vorteil ist, daß man ein bestehendes Netz in verschiedene Segmente
unterteilen kann, die zwar physikalisch voneinander getrennt sind, aber dennoch
eine logische Einheit ergeben.
Zu unterscheiden ist hierbei zwischen Hardware- und Softwarebridges:
Während bei ersteren die Hardwarekomponenten fest miteinander verbunden
sind, sorgt in letzteren i. d. R. das installierte Betriebssystem für das
Weiterleiten von Daten zwischen den überbrückten Netzwerksegmenten.
Allerdings sind diese softwarebasierten Lösungen nicht so
leistungsfähig in Bezug auf den Datendurchsatz, da hier die interne
Architektur der Hardware einen erheblichen Flaschenhals darstellt (die
vorhandene Busarchitektur erlaubt im Normalfalle keinen direkten Datenaustausch
verschiedener Peripheriegeräte). Der Vorteil ist jedoch das breite
Spektrum an unterstützter Hardware sowie die Möglichkeit, Netzwerke
unterschiedlicher Architektur ohne große Probleme zu überbrücken.
Ein weiteres Anwendungsgebiet ist die Virtualisierung, wobei jeder virtuellen
Maschine eine virtuelle Netzwerkschnittstelle zugewiesen wird, die wiederum
allesamt an einer physikalischen Schnittstelle hängen. Dies
ermöglicht dann die Netzwerkkommunikation der Gastsysteme nach außen.
Brute-force-Angriff
Dies bezeichnet einen Angriff auf ein anderes System, mit dem mit aller Macht
versucht wird sich Zutritt dazu zu verschaffen.
Er zeichnet sich dadurch aus, daß ein Login-Mechanismus mit allen
möglichen Passwörtern bombardiert wird (Wörterbuchattacken
oder auch zufällig oder systematisch erzeugte Zeichenkombinationen), um
das richtige Passwort herauszufinden.
Da man einen solchen Angriff nicht komplett verhindern kann, bleibt als einzige
gangbare Option i. d. R. nur, dem Angreifer möglichst viele Steine in den
Weg zu legen, ohne dabei normale Verbindungsversuche nennenswert zu behindern.
Dies wird am besten durch zeitlich gesteuerte Sperren in der Firewall und
Hilfsprogramme, die sich an diese Angriffsart anpassen können,
bewerkstelligt.
C...
Cache
Schneller Zwischenspeicher zum Puffern häufig benötigter Daten. Dieser findet
in allen Fällen Anwendung, wenn es darum geht, schnell auf irgendwelche Daten
zugreifen zu müssen.
Dies findet insbesondere in CPUs Anwendung, da sie auf die Daten, die in ihrem
Cache stehen, wesentlich schneller zugreifen kann, da sie nicht auf den
externen Datenbus warten muß, der die Datenübertragung ausbremst.
Allerdings verfügen mittlerweile auch Festplatten und andere Geräte
über einen entsprechenden Zwischenspeicher, der bestimmte Zugriffe
drastisch beschleunigt. Aber auch Betriebssysteme können Cache-Speicher
einrichten, um z. B. oft genutzte Daten für einen schnellen Zugriff
vorzuhalten.
Zudem bietet es sich gerade in Netzwerken an, an strategisch günstigen
Stellen Proxies einzurichten, die ebenfalls Daten puffern, um so einerseits
das Datenaufkommen im Netzwerk jenseits des Proxys zu verringern respektive
schmalbandige Verbindungen zu entlasten, und andererseits oft genutzte Daten
für einen schnellen Zugriff vorzuhalten.
D...
Demilitarisierte Zone (DMZ)
Hierbei handelt es sich um Netzwerke, in denen sich Server befinden, die
Dienste für das Internet bereitstellen (z. B. Mail-, FTP- oder Webserver,
aber auch verschiedene andere Dienste), die das Ziel von Attacken aus dem
Internet sein können. Um hier eine Gefährdung des eigentlichen
internen Netzwerkes zu verringern, werden solche Dienste auf Maschinen
innerhalb eines weiteren Netzwerkes ausgelagert, dessen Sicherheitsstufe zwar
höher ist als die des Internets (vom Standpunkt der Firewall aus
betrachtet), aber dennoch niedriger als die des eigentlichen internen
Netzwerks.
Dadurch ist es möglich, daß man ungehindert aus dem internen Netz
auf die Dienste innerhalb der DMZ zugreifen kann (z. B. um seine E-Mails
abzuholen, o. ä.), aber die Rechner aus der DMZ heraus nicht selbst an das
interne Netzwerk herankommen. Allerdings ist es den Rechnern innerhalb der DMZ
jederzeit möglich, ihrerseits ungehindert auf das Internet zuzugreifen.
Denial of Service
Ein Verfahren, bei dem ein Server mit ungültigen Anfragen überflutet
wird oder so viele halboffene Verbindungen
erhält, daß er berechtigte Anfragen nicht mehr korrekt verarbeiten
kann, was sich im Regelfalle als verlorengegangene Datenpakete
äußert – und im schlimmsten Fall dazu führt, daß der
Server ob der Belastung abstürzt.
Andere Möglichkeiten bestehen darin, eine bestehende Internetverbindung
einfach abzubrechen (durch Senden eines gespooften TCP-Paketes mit gesetztem
RST-Bit) oder dem Zielsystem irgendwelche Probleme mit der
Netzwerkverbindung zu signalisieren, o. ä.
E...
nach obenF...
filter-Tabelle
Hier finden die eigentlichen Entscheidungen statt, ob Pakete durchgelassen
werden oder nicht. Alle Regeln, die diese Entscheidungen betreffen, werden in
dieser Tabelle untergebracht.
Enthält die INPUT-, die
OUTPUT- und die
FORWARD-Ketten.
FIN
Akronym für engl. finish.
Eine bestehende Verbindung kann beendet werden, wenn eines der Systeme ein
Datenpaket sendet, dessen FIN-Bit gesetzt ist. Analog zu einem
Verbindungsaufbau wird die Gegenseite mit einem Datenpaket antworten, das die
Bits FIN und ACK gesetzt hat anstatt SYN
und ACK. Das System, das den Verbindungsabbau ursprünglich initiiert
hatte, sendet daraufhin ein Datenpaket, das das ACK-Bit gesetzt hat. Damit ist
die Verbindung für beide Systeme offiziell beendet, und weitere
Datenpakete, die über die geschlossene Verbindung auflaufen, werden
abgewiesen.
FORWARD-Kette
Legt fest, welche Pakete von der Firewall wohin weitergeleitet werden sollen. Sie findet Anwendung, wenn Datenpakete an der Firewall ankommen, die nicht für diese bestimmt sind.
nach obenG...
nach obenH...
Halboffene Verbindung
Ein Verbindungsaufbau mittels TCP verwendet ein dreistufiges Verfahren, um eine
Verbindung zwischen einem Client- und einem Serverrechner aufzubauen. Dazu
sendet der Client zunächst ein Datenpaket mit gesetztem
SYN-Bit an den Server, welcher dies wiederum mit einem
Datenpaket beantwortet, das die Bits SYN und ACK gesetzt
hat, um einerseits die Verbindungsanforderung des Clients zu bestätigen
und diesen gleichzeitig dazu aufzufordern, ebenfalls eine Bestätigung zu
senden.
Im Normalfall wird der Client diese Bestätigung in Form eines Datenpaketes
senden, in dem nur das ACK-Bit gesetzt ist, aber ein bösartiges System
wird den letzten Schritt eben nicht ausführen und das Serversystem mit
einer sog. halboffenen Verbindung zurücklassen – und erst einige Zeit
später wird dieser diese Verbindung verwerfen, wenn es erkennen muß,
daß keinerlei Reaktion erfolgt. Werden in dem Zuge viele halboffene
Verbindungen zu dem angegriffenen System geöffnet, so sind irgendwann alle
Möglichkeiten aufgebraucht, auf weitere Anfragen zu reagieren, was
berechtigte Anfragen unmöglich macht und das angegriffene System zum
Absturz bringen kann.
Honigtopf
Ein Rechner oder Rechnerverbund, der dazu dient herauszufinden, was etwaige
Angreifer mit dem System anstellen – ein vergifteter Köder. Ist dieser
Honigtopf richtig aufgesetzt, kann man hervorragend nachverfolgen, wozu
besagter Honigtopf eingesetzt werden soll (Bereitstellung von Malware, als
Spamschleuder, Integration in ein Botnetz, etc.), ohne daß die Angreifer
irgendwelchen Schaden anrichten können.
Allerdings gestaltet sich das sichere Aufsetzen eines Honigtopfs als schwierig,
da man dafür Sorge tragen muß, daß etwaige Angreifer nicht
anderweitig Schaden anrichten können, und ist daher nur Leuten empfohlen,
die sich mit der Materie auskennen.
I...
ICMP
Abkürzung für engl. Internet Control Message Protocol
Dieses Protokoll dient dazu, Informationen über verschiedene Zustände des
Netzwerkes zwischen einzelnen Knotenpunkten auszutauschen. Der
offensichtlichste Kandidat, der sich hierbei des ICMP bedient, ist das Programm
ping, das ein bestimmtes ICMP-Paket zu einem
bestimmten Rechner absetzt (der sog. ICMP Echo Request). Kommt ein ICMP Echo
Reply zurück, so weiß man, daß der so „angepingte“ („Ping“ ist hierbei eine
Anspielung auf die Peilung mittels Sonar, dessen Abtastung meist als hoher Ton,
dem sog. Ping, zu hören ist) Rechner aktiv ist.
Andere per ICMP versendete Nachrichten umfassen andere wichtige Statusmeldungen
wie „Host unreachable“, „Network unreachable“, „Port unreachable“ oder aber
auch die „Source Quench Notification“ sowie viele weitere.
Auch bestimmte Meldungen, die auf den Einsatz einer Firewall hindeuten
(„Administratively Prohibited“, usw.) sind hier zu finden.
IKE
Abkürzung für engl. Internet Key
Exchange
Dieser Teil von IPsec, der beim Aufbau
einer Verbindung grundsätzlich zuerst stattfindet, erlaubt den beteiligten
Stationen die Vereinbarung und den Austausch der für die Verbindung notwendigen
kryptographischen Schlüssel und die Authentifikation der Teilnehmer. Scheitert
dieser Vorgang, so kommt die Verbindung gar nicht erst zustande.
IKE liegt mittlerweile in zwei Varianten vor, wobei IKEv2 dem älteren IKEv1
vorzuziehen ist.
INPUT-Kette
Legt fest, welche Datenpakete von der Firewall angenommen werden, die für diese selbst bestimmt sind.
IP
Abkürzung für engl. Internet Protocol
Sämtlicher Datenverkehr über das Internet bedient sich letztlich immer dieses
Protokolls, auf dem diverse andere Protokolle aufsetzen. Dieses Protokoll ist
es letztenendes, das es erlaubt, daß transportierte Daten zu ihrem Zielort
finden können.
IPsec
Abkürzung für engl. Internet Protocol
secure
Dies ist eine zusätzliche Komponente, die das ursprüngliche
IP um Sicherheitsmerkmale wie
Vertraulichkeit, Datenintegrität und Authentifikation ergänzt. Während das
normale IP es ermöglicht, daß jeder mit jedem Verbindung aufnehmen kann und
jeder zu jeder Zeit die übertragenen Daten lesen und verändern kann, ist dies
im Falle von IPsec nicht möglich – zumindest nicht ohne erheblichen Aufwand.
J...
nach obenK...
kernel panic
Tritt innerhalb des Systemkerns ein besonders schwerer Fehler auf, so hält er sämtliche Prozesse an und gibt eine entsprechende Meldung aus. Mögliche Gründe hierfür sind:
- Nicht behebbare Probleme beim Systemstart
- Mögliche Ursachen:
- Fehlende initrd
- Der init-Prozeß kann nicht gestartet werden
- Probleme mit dem Hypervisor
- Probleme beim Systemzugriff
- Mögliche Ursachen:
- Schwere Treiberprobleme
L...
nach obenM...
mangle-Tabelle
Legt fest, auf welche Art und Weise Datenpakete, die die Firewall passieren,
verändert werden sollen. Beachten Sie bitte, daß hier keine
Veränderung irgendwelcher Adressen stattfindet – dies geschieht
ausschließlich in der NAT-Tabelle!
Diese Tabelle enthält sämtliche Regelketten.
marsianisch
Meist auf Adressen bezogen, die man zwar sehen, aber nicht erreichen kann. Dies
ist mit dem Mars genau das gleiche Problem: Man sieht ihn zwar, aber man kann
ihn mit herkömmlichen Mitteln nicht erreichen.
Wird eine Adresse als marsianisch bezeichnet, so handelt es sich um eine
ungültige Adresse, die in dem Bereich, in dem sie auftaucht, nichts verloren
hat, beispielsweise eine Adresse aus einem privaten Netzsegment, die aus
irgendeinem Grund im öffentlichen Netz gelandet ist.
Masquerading
Siehe auch NAT
Beschreibt das Verfahren, das es erlaubt, daß auch Rechner mit privaten
IP-Adressen auf das Internet zugreifen können. Dazu wird die private IP-Adresse
des Rechners, der die Verbindung aufbaut, durch die öffentliche IP-Adresse des
NAT-Routers ersetzt, hinter dem sich der Rechner befindet.
Multicast
Multicasting bezeichnet das Vorgehen eines Netzwerkes, einen bestehenden Datenstrom an viele verschiedene Clients aufzuteilen. Dazu eröffnet der Server eine Multicast-Gruppe und weist dieser eine Adresse zu. Etwaige Clients können dieser Gruppe beitreten, indem sie sich unter besagter Multicast-Adresse im Netzwerk anmelden. Das Netzwerk (genauer: Die zwischen Server und Clients liegenden Router) erledigt den Rest und sorgt für die Replikation der weiterzuleitenden Datenpakete, wenn dies notwendig ist.
nach obenN...
NAT
Abkürzung für engl. network address translation.
Dies bezeichnet die Veränderung von Netzwerkadressen beim Übergang
von einem Netzwerksegment zu einem anderen und findet insbesondere dann
Anwendung, wenn aus einem Netzwerk, in dem private IP-Adressen verwendet
werden, auf das Internet zugegriffen werden soll. Dabei wird in einem
abgehenden Paket die als Ursprungsadresse eingetragene private IP-Adresse durch
die Adresse des Gateways ersetzt, der das NAT betreibt.
Es gibt daneben auch noch weitere Anwendungsmöglichkeiten, die allesamt
auf einem ähnlichen Vorgehen basieren, aber andere Ansätze verfolgen.
Beispielsweise können Anfragen, die für bestimmte Ziele bestimmt
sind, auf andere Ziele umgeleitet werden. Dies wird beispielsweise von einigen
Hotspots verwendet, um Nutzer auf einen Anmeldebildschirm umzuleiten, bevor sie
darüber auf das Internet zugreifen können.
nat-Tabelle
Legt fest, wie die IP-Adressen in welchen Datenpaketen zu verändern sind.
Damit lassen sich sowohl private Netzwerke vor dem Internet tarnen und
Datenpakete, die für ein bestimmtes Ziel bestimmt sind, an andere Adressen
umleiten.
Diese Tabelle enthält die Ketten
PREROUTING, OUTPUT
und POSTROUTING.
NAT-Traversal
Dies ist ein Begriff für verschiedene Verfahrensweisen, um dem Problem
durch NAT veränderter Adressen beizukommen. Dies ist insbesondere bei
Client-zu-Client-Anwendungen vonnöten (z. B. VoIP, Peer-to-Peer-Netzwerke,
o. ä.), womit auch IPsec davon betroffen ist.
NAT hat die unangenehme Eigenschaft, Ende-zu-Ende-Verbindungen zu vereiteln,
weshalb eine problemlose Funktionalität von Verbindungen i. d. R. nur
für Maschinen garantiert werden kann, die direkt am Internet hängen
(d. h. über eine öffentliche IP-Adresse verfügen), da hier keine
Adreßumsetzungen notwendig sind.
Maschinen hinter einem NAT-Gateway können jedoch nicht auf dem einfachen
Wege erreicht werden, sondern hier sind einige zusätzliche Schritte
erforderlich, um das richtige Ziel zu erreichen. Dies können Server mit
öffentlichen IP-Adressen sein, die als Relais operieren und entweder als
Vermittlungsstelle zwischen einzelnen Clients oder aber als Knotenpunkt
für die komplette Kommunikation fungieren. Ein anderer Ansatz hingegen
kapselt die Daten auf Senderseite in ein anderes Protokoll ein und schickt sie
zu der Gegenstelle (i. d. R. ebenfalls ein NAT-Gateway), die die Daten wieder
„auspackt“ und zum eigentlichen Ziel weiterleitet.
Netzklasse
Das Internet war vor 1993 in sog. Netzklassen unterteilt, also Adreßbereiche mit fest vorgegebener Größe. Diese ließ sich ganz einfach ermitteln, indem man sich die höchstwertigen vier Bit einer IP-Adresse anschaut:
Unterteilung des Internets in Klassen | |
---|---|
Bits 31-28 | Bedeutung |
0XXX | Netzwerke der Klasse A (2²⁴ Adressen je Segment) |
10XX | Netzwerke der Klasse B (2¹⁶ Adressen je Segment) |
110X | Netzwerke der Klasse C (2⁸ Adressen je Segment) |
1110 | Netzwerke der Klasse D (Multicast-Adressen) |
1111 | Netzwerke der Klasse E (Reservierte Adressen) |
Da die strikte Unterteilung in Netzklassen auf Dauer zu unflexibel war, wurde sie letztlich aufgegeben, so daß es möglich ist, selbst festzulegen, wie groß die Netzsegmente hinter einem Router ausfallen, und so die einzelnen einem zugewiesenen IP-Adressen passend auf physikalische Teilnetze aufzuteilen. Dennoch orientieren sich viele Betriebssysteme noch an dem alten Klassenschema, so daß ein privates Subnetz aus dem Bereich 192.168.0.0/16 automatisch als Netz der alten Klasse C angenommen wird, was z. B. 192.168.1.0/24 als mögliches Subnetz ergibt.
Network File System
Dies erlaubt es, auf Daten zuzugreifen, die zentral gespeichert sind, ohne
dabei auf Hilfsmittel wie FTP, o. ä. zurückgreifen zu müssen. Wird ein
Verzeichnis innerhalb eines Netzwerkes von einem Server exportiert, so können
alle Rechner, für die es freigegeben wurde, es so in ihren Verzeichnisbaum
einbinden, daß es wie ein lokales Verzeichnis erscheint.
Dabei ist jedoch zu beachten, daß NFS selbst nur rudimentäre
Sicherheitsvorkehrungen implementiert. Da der Datenstrom weder verschlüsselt
noch gegen Veränderungen gesichert ist, ist ein NFS grundsätzlich nur in einer
sicheren Umgebung einsetzbar, und wer es dennoch über ein unsicheres Netz
exportieren muß, sollte dies nur auf gesicherten Verbindungen tun, wie sie
beispielsweise von StrongSwan aufgebaut werden.
O...
OUTPUT-Kette
Enthält die Regeln, nach denen von der Firewall abgehende Pakete behandelt werden.
nach obenP...
Point to Point Protocol
Dieses Protokoll dient der Vermittlung einer Einwahlverbindung und der Kommunikation der Verbindungspartner miteinander. Dazu stellt es verschiedene Möglichkeiten bereit, die Parameter der Verbindung auszuhandeln und die Teilnehmer an der Verbindung zu authentifizieren. Zudem wird die Übertragung von Nutzdaten über diese Verbindung geregelt.
PPP over Ethernet
Hierbei handelt es sich letztlich um eine modifizierte Variante des
Point to Point Protocol, nur daß das PPP
in diesem Fall in einen Ethernet-Frame eingekapselt wird. Aufgrund der Größe
der PPP-Kopfdaten ist die Größe einer Übertragungseinheit (MTU) auf 1492 Byte
beschränkt.
Da Ethernet eine MTU von 1500 Byte hat und das komplette PPP-Paket samt seiner
Kopfdaten in den Datenbereich des Ethernetpakets passen muß, fällt die Größe
der Nutzdaten um acht Byte – die Größe der Kopfdaten des PPP – kleiner aus.
POSTROUTING-Kette
Legt die Regeln fest, nach denen die Pakete nachbearbeitet werden sollen, die für den Versand bestimmt sind (sprich: Die die FORWARD- respektive die OUTPUT-Kette bereits durchlaufen haben und jetzt darauf warten, über das Netzwerk geschickt zu werden). Hier können noch letzte Modifikationen an den Datenpaketen vorgenommen werden, bevor sie die Maschine verlassen, und hier findet auch das Masquerading interner IP-Adressen statt.
PREROUTING-Kette
Legt die Regeln fest, nach denen Pakete, die gerade über eine der Netzwerkschnittstellen angekommen sind, bearbeitet werden sollen (sprich: Bevor sie überhaupt die INPUT- oder die FORWARD-Kette erreichen). Hier finden etwaige Anpassungen im Rahmen des Masqueradings statt (z. B. Antworten, die auf Anfragen aus einem internen Netzwerk hin zurückkehren oder von außen ankommende Anfragen, die ins Interne weitergeleitet werden sollen), aber auch ein Umleiten von Datenpaketen zu anderen Zielpunkten ist hier möglich.
Promiscuous Mode
Eine in diesen Modus versetzte Netzwerkkarte liest den gesamten an ihr
ankommenden Datenverkehr mit und reicht die Daten zur Weiterverarbeitung an das
Betriebssystem weiter.
Dieser Modus ist z. B. eine Notwendigkeit, wenn ein Rechner als Router
eingesetzt wird, da er nur so weiterzuleitende Datenströme empfangen kann.
Die so erhaltenen Daten können dann vom Betriebssystem ausgewertet und
weiterversandt werden, allerdings besteht hier immer die Gefahr, daß
dazwischengeschaltete Monitorprogramme den Datenverkehr aufzeichnen.
Q...
nach obenR...
Race condition
Ein Zustand, in dem mehrere Prozesse versuchen auf einunddieselbe Ressource
zuzugreifen. Dabei ist offen, welcher Prozeß „das Rennen macht“,
also zuerst Zugriff darauf bekommt.
Problematisch wird es immer dann, wenn die involvierten Prozesse in einer
bestimmten Reihenfolge auf besagte Ressource zugreifan müssen, damit sie
in einem definierten Zustand bleibt, dies aber aufgrund fehlender oder
unzureichender Schutzvorkehrungen nicht gewährleistet werden kann.
raw-Tabelle
Zuständig für die Verfolgung von Verbindungen. Dies ist z. B. dann
notwendig, wenn die Firewall erkennen soll, ob bestimmte neue Verbindungen im
Zusammenhang mit bereits bestehenden Verbindungen stehen.
Enthält die PREROUTING- und die
OUTPUT-Ketten.
Regulärer Ausrdruck
Ein regulärer Ausdruck legt, wie sein Name bereits
aussagt, die Regeln fest, denen eine Zeichenkette gehorchen muß, damit sie als
passend erkannt wird. Dabei kann der Ausdruck so trivial sein wie ein Wort, das
in einem Wörterbuch zu finden ist, oder auch hochkomplex, der nach
Zeichenketten suchen kann, die einem ganz bestimmten Muster entsprechen, z. B.
Telefonnummern, E-Mail-Adressen, u. v. m.
Denn wenn die Struktur eines Ausdrucks erst bekannt ist, so kann man daraus
einen Regelsatz für die Suche nach den betreffenden Ausdrücken erstellen, bis
hin zu einem ausgewachsenen Parser, der einen Quelltext entgegennimmt und ihn
nach allen möglichen Kriterien auswertet.
Auch wenn ein regulärer Ausdruck für einen Laien vollkommen unverständlich
anmutet, so ist er doch ein mächtiges Werkzeug, das es erlaubt, einen riesigen
Datenwust binnen kürzester Zeit nach den gewünschten Begriffen abzusuchen. So
entfällt die manuelle Suche nach dem gewünschten Begriff, die einerseits jede
Menge Zeit in Anspruch nimmt und bei der man ständig Gefahr läuft, irgendetwas
zu übersehen, und andererseits kann man sich die Ergebnisse auf Wunsch durch
den regulären Ausdruck auch aufbereiten lassen, so daß man die Funde gleich
weiterverarbeiten kann, ohne daß man sie erst umständlich in ein Programm
eingeben müßte.
RPC
Akronym für engl. remote procedure call.
Dies erlaubt es bestimmten Diensten, Funktionsaufrufe über eine
Netzwerkverbindung bereitzustellen, auf die Programme von entfernten Rechnern
aus zugreifen können. Ein Beispiel für eine solche Anwendung ist das
NFS, das es erlaubt, Verzeichnisse über ein Netzwerk hinweg auf einem
anderen Rechner zu mounten, so daß von dort aus Zugriffe vorgenommen
werden können, als wäre das entsprechende Verzeichnis lokal
vorhanden.
Darüber hinaus gibt es auch noch eine Vielzahl weitere
Anwendungsmöglichkeiten.
RST
Akronym für engl. reset.
Ein Datenpaket, das dieses Bit gesetzt hat, wird eine bestehende Verbindung
zurücksetzen, d. h. sie wird kurzerhand abgebrochen. Dies ist insbesondere
nach einem Systemabsturz hilfreich, wenn das abgestuuml;rzte System eine
Verbindung offen hatte. Da das System der Gegenseite jedoch nicht sofort
erkennen kann, daß etwas nicht stimmt, kann das lokale System der
Gegenseite nach seinem Neustart auf diesem Wege sehr elegant mitteilen, daß es
ein Problem gegeben hat und die Verbindung nicht länger gültig ist.
S...
Schicht
Hierbei handelt es sich um die Ebene des OSI-Modells (Abkürzung für engl.
Open Systems Interconnection). Jede Schicht erfüllt
dabei einen bestimmten Zweck innerhalb eines Netzwerks.
Das OSI-Modell kennt sieben Schichten, wobei die niedrigste (Schicht 1) die
hardwarenächste und die höchste Schicht (Schicht 7) die programmnächste Schicht
ist. In aufsteigender Reihenfolge handelt es sich dabei um folgende Schichten:
- Physikalische Schicht
- Verbindungsschicht
- Netzwerkschicht
- Transportschicht
- Sitzungsschicht
- Darstellungsschicht
- Anwendungsschicht
Je höher die Schicht ist, auf der man arbeitet, umso abstrakter sind die
Funktionen, die diese Schicht bereitstellt. So braucht beispielsweise ein
Programm, das sich Funktionen der Schicht 7 bedient, nicht zu wissen, auf
welche Art und Weise die Daten, die es über ein Netzwerk senden möchte,
tatsächlich verschickt werden. Hier kann also auf die höheren Systemfunktionen
zur Datenein- und -ausgabe zurückgegriffen werden; der Rest wird von den
Diensten, die unterhalb dieser Schicht angesiedelt sind, übernommen.
Dagegen wird ein Programm, das sich eines bestimmten Protokolls bedienen
möchte, zwangsläufig auf einer niedrigeren Schicht aufsetzen, was wiederum zur
Folge hat, daß es sich auf jeden Fall mit den dortigen Gegebenheiten auskennen
muß. Ein Programm, das explizit auf das TCP-Protokoll
zurückgreifen will und damit auf Schicht 4 aufsetzt, muß in der Lage sein, mit
dem Protokoll selbst umgehen zu können. Damit kann es nicht einfach Daten in
irgendeinen Ausgabekanal geben und etwaige eintreffende Daten von einem
Eingabekanal entgegennehmen, sondern muß auch dafür Sorge tragen, daß es die
benötigten TCP-Pakete richtig erzeugt und etwaige Antworten decodiert – und das
zusätzlich zu seinen anderen Aufgaben.
Ein Programm, das auf einer noch niedrigeren Ebene ansetzt, kommt zwangsläufig
mit der eigentlichen Infrastruktur des Netzwerks in Berührung. Ein Programm,
das z. B. ankommende Datenpakete analysiert, wird i. d. R. auf Schicht 2
aufsetzen und sieht die Pakete so, wie sie über das Netzwerk wandern. Damit muß
es beispielsweise in der Lage sein, mit den verschiedenen Netzwerktypen
umzugehen, die es gibt (Token Ring funktioniert anders als Ethernet, und beide
haben wiederum eine andere Arbeitsweise als das ARCNET).
Das Programm iptables setzt beispielsweise auf
Schicht 3 an, weshalb z. B. Paketsniffer und Port Knocking auch bei
geschlossener Firewall funktionieren können.
Spam
Spam (ursprünglich eine Abkürzung im Englischen für spiced ham, das während des Zweiten Weltkriegs als einziges Lebensmittel trotz Rationierung überall unbeschränkt zur Verfügung stand) bezeichnet unerwünschte Nachrichten, die innerhalb kürzester Zeit in Massen versendet werden und ein sehr hohes Belästigungspotential aufweisen. Diese Nachrichten können sich dabei als vergleichsweise harmlos (Produktwerbung) oder aber auch als hochgradig gefährlich erweisen (Verbreitung von Schadcode, Phishing-E-Mails, usw.).
Spoofing
Dies bezeichnet das Vortäuschen von Tatsachen, die so nicht richtig sind.
In der Informatik gibt es eine Vielzahl Möglichkeiten, um etwas
vorzutäuschen (IP-Adressen, E-Mail-Adressen, Webseiten, nur um mal ein
paar zu nennen).
Allen ist jedoch gemeinsam, daß irgendetwas Vertrauenswürdiges
vorgetäuscht wird, obwohl sich in Wahrheit etwas ganz anderes dahinter
verbirgt, das dem Original oftmals sogar täuschend echt nachempfunden
ist.
Hinter diesem Schwindel verbirgt sich jedoch fast immer etwas wenig
Freundliches und zielt i. d. R. darauf ab, an Zugangsdaten unbedarfter Nutzer
heranzukommen, irgendwem Schadcode unterzuschieben oder auch Angriffe auf
fremde Rechner zu initiieren.
SYN
Akronym für engl. synchronize.
Statusbit eines TCP-Paketes, das als Anforderung einer Verbindung an einen
Serverrechner gesendet wird. Die Antwort des Servers auf ein solches Paket hat
die Bits SYN und ACK gesetzt, wenn er die Verbindung
anzunehmen gedenkt, und das RST-Bit gesetzt, wenn er die
Verbindung ablehnt.
Sowohl Server als auch Client können eine offene Verbindung beenden, indem
einer von ihnen ein Datenpaket sendet, dessen FIN-Bit
gesetzt ist.
T...
TCP
Abkürzung für engl. Transmission Control Protocol
Da es sich bei TCP um ein zustandsbehaftetes Protokoll handelt, ist es möglich,
Datenübertragungen zu organisieren. So bietet TCP die Möglichkeit, explizit
Verbindungen über das Internet aufzubauen und so kontrolliert Daten zu
übertragen. Dazu bedient sich das TCP eines sogenannten Handshake (auf Deutsch
„Handschlag“, also eine Bestätigung des Empfangs von Datenpaketen).
Die vier wichtigsten Zustandsbits, die das TCP definiert, sind
ACK, FIN, RST und
SYN, mit denen sich der gesamte Datenverkehr regeln läßt.
Zwar gibt es auch noch andere Zustandsbits, aber diese treten, wenn überhaupt,
nicht so offensichtlich in Erscheinung.
Ob dieser vier Zustandsbits sowie einer laufenden Nummer der Pakete innerhalb
einer Verbindung ist gewährleistet, daß verschickte Datenpakete bei ungestörter
Verbindung ihren Empfänger sicher erreichen und der so versandte Datenstrom an
ihrem Zielort in der richtigen Reihenfolge wieder zusammengesetzt wird. Zudem
ermöglichen diese Zustände, überhaupt erst Verbindungen auf- und abzubauen
sowie Daten darüber zu verschicken – aber auch zu erkennen, ob eine Verbindung
zusammengebrochen ist oder abgebrochen wird und ob die versandten Daten
überhaupt an ihrem Zielort angekommen sind. Und sollten doch einmal Datenpakete
verloren gehen, so werden diese innerhalb bestimmter Parameter wiederholt
verschickt.
TCP gilt somit als sehr sicher, was die Verbindungsstabilität betrifft, aber
etwaige Angreifer können mit passend gefälschten Paketen versuchen offene
Verbindungen anzugreifen und so zum Abbruch zu bringen – was aufgrund der
Eigenheiten von TCP nicht ganz so einfach zu bewerkstelligen ist.
Trojanisches Pferd
Dieser Begriff wurde aus der griechischen Mythologie entlehnt und steht
für ein offensichtlich nützliches Programm, das einem nichtsahnenden
Computerbenutzer irgendwelchen Schadcode unterschieben soll.
So wie die Griechen während der Schlacht um Troja ein Pferd gebaut hatten
- augenscheinlich als Anerkenntnis der Stärke der Trojaner, nachdem
mittlerweile zehn Jahre ins Land gegangen waren, ohne daß die
angreifenden Griechen einen Sieg hatten erringen können – in dessen Bauch
sich einige griechische Krieger versteckt hielten, um auf diesem Wege in die
Stadt zu gelangen und des Nächtens die Stadttore für die Angreifer,
die sich nur scheinbar zurückgezogen hatten, zu öffnen, dient dieses
Programm als Tarnung für die darin enthaltenen Schadfunktionen, die sich
insgeheim im System einnisten und so unbemerkt vom Nutzer eine Hintertür
öffnen, über die etwaige Angreifer sich nicht autorisierten Zugriff
zum betroffenen Rechner verschaffen oder die im Hintergrund Daten sammeln und
weiterleiten.
U...
UDP
Abkürzung für engl. User Datagram Protocol
Dieses zustandslose Protokoll, scherzhaft oftmals als
unreliable datagram protocol bezeichnet, hat
gegenüber dem TCP eine entscheidende Schwäche: Es ist
unzuverlässig.
Ist ein UDP-Paket erst einmal über das Netzwerk verschickt, so hat der
Absender keine Möglichkeit mehr zu überprüfen, was mit ihm überhaupt geschehen
ist. Die einzige Möglichkeit, hier etwas zu erfahren, besteht darin, daß
entweder die Gegenstation eine Bestätigung schickt, daß die Daten angekommen
sind (da dies auch i. d. R. per UDP passiert, besteht die Gefahr, daß die
Bestätigung in den Weiten des Internets ebenfalls verschütt geht) oder aber
eine Fehlermeldung per ICMP aufläuft. Ansonsten bleibt
dem Absender nur abzuwarten, ob nicht doch noch eine (wenngleich verspätete)
Reaktion erfolgt und nach Verstreichen einer bestimmten Zeitspanne das Paket
als verloren zu betrachten und es noch einmal zu schicken oder die
Kommunikation als gescheitert anzusehen.
Allerdings ist UDP in anderen Bereichen dem TCP über. So ist eine Station in
der Lage, per UDP Multicast zu betreiben (d. h. Daten
werden einmal abgeschickt und dann von den einzelnen Zwischenstationen im
Bedarfsfalle an mehrere Empfänger weitergeleitet). Bestimmte Dienste wie VoIP
oder Internetradio funktionieren nach diesem Prinzip, und wo mittels TCP eine
Vielzahl Verbindungen gleichzeitig offen gehalten werden müßten, reicht der
Versand eines einzigen(!) Paketes per Multicast aus, damit es eine Vielzahl
Empfänger erreicht.
V...
VLAN (Virtual Local Area Network)
Wird ein vorhandenes physikalisches lokales Netzwerk (LAN) in mehrere logische Teile untergliedert, so spricht man bei jeder logischen Unterteilung von einem virtuellen lokalen Netzwerk (VLAN). Dazu ist es jedoch erforderlich, daß Netzwerkkomponenten verwendet werden, die in der Lage sind, Netzwerke zu virtualisieren (i. d. R. Switches, die über geeignete Mechanismen verfügen). Der Vorteil eines VLAN liegt dabei auf der Hand: Man kann die LAN-Zugehörigkeit eines Servers auf einfache Art und Weise ändern, ohne daß umständlich die Kabelverbindung umgesteckt werden muß, indem man der Netzwerkkarte einfach eine neue VLAN-Domäne zuweist, auf die man Zugriffsrechte besitzt.
nach obenW...
WAN
Abkürzung für engl. Wide Area Network
Das genaue Gegenteil eines LAN. Im Normalfalle ist hiermit das Internet
gemeint, aber es kann sich auch auf jedes andere Netzwerk beziehen, das
öffentlich zugänglich ist und nicht zu dem lokalen (nichtöffentlichen) Netzwerk
gehört, in dem man sich aktuell aufhält.
Allerdings sind die Grenzen zwischen einem LAN und einem WAN in einigen Fällen
fließend. So können verschiedene lokale Netzwerke, die physikalisch durch ein
WAN voneinander getrennt sind, z. B. durch einen IPsec-Tunnel zu einem
logischen Verbund zusammengefaßt werden, wodurch ein größeres zusammenhängendes
privates Netzwerk entsteht, selbst wenn sich die einzelnen physikalischen
Segmente im Extremfall über den ganzen Globus verteilen.
X...
nach obenY...
nach obenZ...
nach obenNetzadressen mit besonderer Bedeutung
Auch wenn über vier Milliarden verschiedene IPv4-Adressen existieren, so sind
dennoch nicht alle allgemein verfügbar. Einige Adreßblöcke wurden reserviert,
um z. B. zu ermöglichen, daß man sich ein eigenes Netzwerk aufbauen kann, ohne
daß man sich explizit IP-Adressen zuweisen lassen müßte.
Wenn man ins Kalkül zieht, daß schnell einige Geräte zusammenkommen können –
dabei sind es nicht nur irgendwelche Rechner, die eine IP-Adresse anfordern,
sondern auch Smartphones, etc. und zunehmend auch Haushaltsgeräte und anderes –
wäre der Adreßraum höchstwahrscheinlich schon längst erschöpft.
Zudem gibt es auch IP-Adressen, die zwar öffentlich zugänglich, dafür aber
zweckgebunden sind und somit nicht einfach zugewiesen werden können. Darüber
hinaus fällt bestimmten Adressen eine besondere Bedeutung zu, so daß diese
ebenfalls nicht vergeben werden können. Somit stehen letztlich deutlich weniger
als vier Milliarden öffentliche IP-Adressen zur Verfügung, die zugewiesen
werden können – und mit weiter zunehmender Anzahl Geräte, die eine öffentliche
IP-Adresse erhalten haben, wird über kurz oder lang der Punkt erreicht, an dem
keine IP-Adressen mehr zur Verfügung stehen.
IPv4-Adreßblöcke mit spezieller Bedeutung | ||
---|---|---|
Adreßblock | Verwendung | Bemerkungen |
0.0.0.0/8 | Das aktuelle Netzwerk | Wird bei der Initialisierung eines Netzwerksocket verwendet, um die eigene IP-Adresse zu ermitteln |
10.0.0.0/8 | Privater Adreßraum von 10.0.0.0 bis 10.255.255.255 | Ursprünglich ein privates Netzsegment der ehemaligen Klasse A |
100.64.0.0/10 | Gemeinsamer Adreßraum | |
127.0.0.0/8 | Lokale Schleife | |
169.254.0.0/16 | Lokales Netzwerk (Zeroconf) | |
172.16.0.0/12 | Privater Adreßraum von 172.16.0.0 bis 172.31.255.255 | Ursprünglich 16 private Netzsegmente der ehemaligen Klasse B |
192.0.0.0/24 | Protokollzuweisungen der IETF | |
192.0.2.0/24 | Testnetzwerk | |
192.88.99.0/24 | Umsetzung IPv6 auf IPv4 | |
192.168.0.0/16 | Privater Adreßraum von 192.168.0.0 bis 192.168.255.255 | Ursprünglich 256 private Netzsegmente der ehemaligen Klasse C |
198.18.0.0/15 | Netzwerk-Benchmark-Tests | |
198.51.100.0/24 | Testnetzwerk | |
203.0.113.0/24 | Testnetzwerk | |
224.0.0.0/4 | Multicast-Adressen | Ehemals Klasse-D-Netzwerk |
240.0.0.0/4 | Reserviert | Ehemals Klasse-E-Netzwerk |
255.255.255.255/32 | Eingeschränkter Broadcast | Wird verwendet, um einen Broadcast bei unbekannter eigener IP-Adresse zu initiieren |
Portadressen
Verschiedene Ports und ihre Bedeutung | ||||
---|---|---|---|---|
Port | Protokoll | Beschreibung | Hinweise | |
0 | <null> | Nicht belegt | Dieser Port ist eine ungültige Adresse, die normalerweise einem Programm dazu dient, sich für eine Netzwerkverbindung einen beliebigen Port durch das Betriebssystem zuweisen zu lassen. Diese Adresse kann jedoch in gefälschten Datenpaketen als Quell- und/oder Zieladresse eingetragen sein, ggf. um die Sicherheitsvorkehrungen einer Firewall zu unterlaufen. | |
20 | FTP (Daten) | Datenport einer FTP-Verbindung. Dieser Port wird i. d. R. während einer aktiven Übertragung als Ausgangsport von einem FTP-Server verwendet und entfällt bei einer passiven Übertragung. | Da die übertragenen Daten ungeschützt über das Internet wandern, könnten sie von Dritten mitgelesen oder auch verändert werden. | |
21 | FTP (Steuerung) | Dient der Steuerung einer FTP-Verbindung. | Sämtliche Steuerbefehle sowie etwa notwendige Anmeldeinformationen werden unverschlüsselt übertragen und können von Dritten mitgelesen oder auch verändert werden. | |
22 | SSH | Dient der Anmeldung auf entfernten Rechnern. Dabei wird sowohl die Identität des entfernten Rechners überprüft als auch der Datenverkehr zwischen den Endpunkten der Verbindung verschlüsselt und dessen Integrität überprüft. | Potentiell unsicher bei der Verwendung von Passwörtern, insbesondere wenn diese zu schwach sind. Die Sicherheit kann jedoch durch die Verwendung von Schlüsseln signifikant verbessert werden. | |
23 | Telnet | Dient der Anmeldung auf entfernten Rechnern. | Aufgrund fehlender Verschlüsselung der Verbindung und nicht vorhandener Überprüfung der Identität der Gegenstelle ungeeignet, um sich über öffentliche Netzwerke an einem anderen Rechner anzumelden! | |
25 | SMTP | Dient der Einlieferung und dem Versand von E-Mail. | Angreifbar, wenn zu schwache Passwörter verwendet werden oder ein SMTP-Server nicht hinreichend gegen nicht autorisierte Nutzung gesichert ist. Auch kann der Datenstrom mitgelesen und ggf. modifiziert werden, wenn keine Verschlüsselung eingesetzt wird. Am besten wird die Einlieferung von E-Mail auf diesem Port unterbunden. | |
53 | DNS | Domain Name Service: Dient der Auflösung von Rechnernamen in IP-Adressen. | Da DNS-Abfragen sich i. d. R. des UDP-Protokolls bedienen, kann dieser Dienst für einen Denial of Service mißbraucht werden, insbesondere dann, wenn DNSSEC aktiviert ist. Da eine kurze Anfrage (meist nur wenige zehn Bytes groß) eine erheblich größere Antwort von mehreren Kilobyte zur Folge haben kann und die Absenderadresse der Anfrage eventuell gefälscht ist, könnte die Netzanbindung fremder Server so überflutet werden, daß ein normaler Betrieb der betroffenen Server nicht mehr möglich ist. | |
80 | HTTP | Dient der Übertragung von Daten. Ursprünglich waren dies durch eine Auszeichnungssprache formatierte Textdokumente, doch mittlerweile kann hier alles Mögliche übertragen werden. | Da die Verbindung unverschlüsselt erfolgt, können die übertragenen Daten von Dritten mitgelesen und möglicherweise verändert werden. Zudem stellt HTTP einige Möglichkeiten bereit, die ohne geeignete Schutzvorkehrungen mißbräuchlich eingesetzt werden können. | |
110 | POP3 | Dient der Abholung von E-Mail. | Angreifbar, wenn zu schwache Passwörter gewählt werden. Wird auf Verschlüsselung verzichtet, so kann der Datenverkehr von Dritten mitgelesen werden. | |
111 | RPC | Remote Procedure Call, dient der Implementierung von Diensten, die auf Daten auf fremden Rechnern zugreifen müssen, wie z. B. NIS oder NFS. | Aufgrund unzureichender Schutzvorkehrungen und nicht vorhandener
Verschlüsselung der Verbinung hochgradig gefährdet. Zudem kann jede(!)
Gegenstation sich mit dem Portmapper verbinden und so Zugriff auf den
betroffenen Rechner erlangen! Da beliebige Dienste registriert werden können, ist mit einem frei zugänglichen Portmappper Mißbrauch Tür und Tor geöffnet! |
|
143 | IMAP | Dient der Abholung von E-Mail. | Angreifbar, wenn zu schwache Passwörter gewählt werden. Wird auf Verschlüsselung verzichtet, so kann der Datenverkehr von Dritten mitgelesen werden. | |
443 | HTTPS | Dient der Übertragung von Daten. Im Gegensatz zu HTTP ist die Verbindung jedoch verschlüsselt, und die Identität der Gegenstelle kann überprüft werden. | Im Allgemeinen sicher, allerdings stellt dieses Protokoll ähnlich wie HTTP
einige Möglichkeiten bereit, die sich mißbrauchen lassen. Ältere
Verschlüsselungsprotokolle lassen sich zudem angreifen und sollten gemieden
werden. Sinnvoll ist der ausschließliche Einsatz von TLS 1.1 oder besser. |
|
587 | Submission | Dient der Einlieferung von E-Mail. | Der sichere Weg zum Einliefern von E-Mail. Verlangt man hier Passwörter, so wird eine unbefugte Nutzung deutlich erschwert. Ist allerdings angreifbar, wenn keine Verschlüsselung verwendet wird, da der Datenstrom von Dritten mitgelesen und ggf. modifiziert werden kann. | |
989 | FTPS (Daten) | Datenport einer verschlüsselten FTP-Verbindung. Dieser Port wird i. d. R. während einer aktiven Datenübertragung als Ausgangsport von einem FTP-Server verwendet und entfällt bei einer passiven Übertragung. | Um die Daten gegen Mitlesen und Manipulationen zu schützen, werden sie verschlüsselt übertragen. Da nur wenige FTP-Clients dies unterstützen, findet dieser Port kaum Verwendung. | |
990 | FTPS (Steuerung) | Dient der Steuerung einer FTP-Verbindung. | Sämtliche Steuerbefehle sowie Anmeldedaten werden verschlüsselt übertragen und sind somit gegen Mitlesen und Veränderung gesichert. Da nur wenige FTP-Clients dies unterstützen, findet dieser Port kaum Verwendung. | |
993 | IMAPS | Dient der Abholung von E-Mail. | Angreifbar, wenn zu schwache Passwörter gewählt werden. Zum Schutz vor Mitlesen ist der Datenstrom mittels SSL oder TLS verschlüsselt. |
Startseite