Datenübertragungsrahmen - der Datenframe:

In diesem Thema wird ausführlich erklärt, was mit dem Datenübertragungsrahmen passiert, wenn er sich durch ein Netzwerk bewegt. Die an einen Rahmen angehängten Informationen werden durch das verwendete Protokoll bestimmt.

Die Datenverbindungsschicht bereitet die eingekapselten Daten (normalerweise ein IPv4- oder IPv6-Paket) für den Transport über die lokalen Medien vor, indem sie sie mit einem Header und einem Trailer kapselt, um einen Rahmen zu erstellen.

Das Datenverbindungsprotokoll ist für die NIC(Network Interface Card, Netzwerkkarte)-zu-NIC-Kommunikation innerhalb desselben Netzwerks verantwortlich. Obwohl es viele verschiedene Datenverbindungsschichtprotokolle gibt, die Datenverbindungsschicht-Frames beschreiben, hat jeder Frame-Typ drei grundlegende Teile:

• Header 
• Daten
• Trailer

Im Gegensatz zu anderen Verkapselungsprotokollen hängt die Datenverbindungsschicht Informationen in Form eines Anhängers am Ende des Frames an.

Alle Protokolle der Datenverbindungsschicht kapseln die Daten innerhalb des Datenfeldes des Frames ein. Die Struktur des Rahmens und die im Header und Trailer enthaltenen Felder variieren jedoch je nach Protokoll.

Es gibt keine einheitliche Rahmenstruktur, die den Anforderungen des gesamten Datentransports über alle Arten von Medien gerecht wird. Je nach Umgebung variiert die Menge der im Frame benötigten Kontrollinformationen, um den Anforderungen der Zugangskontrolle der Medien und der logischen Topologie zu entsprechen. So muss ein WLAN-Frame beispielsweise Verfahren zur Kollisionsvermeidung enthalten und erfordert daher im Vergleich zu einem Ethernet-Frame zusätzliche Kontrollinformationen.

In einem fragilen Umfeld sind mehr Kontrollen erforderlich, um die Lieferung zu gewährleisten. Die Kopf- und Anhängerfelder sind größer, da mehr Kontrollinformationen benötigt werden. Es sind noch stärkere Anstrengungen erforderlich, um die Zustellung zu gewährleisten. Dies bedeutet höhere Kosten und langsamere Übertragungsraten.

Frame Fields - Rahmenfelder:

Durch das Framing wird der Datenstrom in entzifferbare Gruppierungen aufgeteilt, wobei die Steuerinformationen im Header und im Trailer als Werte in verschiedene Felder eingefügt werden. Dieses Format gibt den physikalischen Signalen eine Struktur, die von den Knoten erkannt und am Zielort in Pakete dekodiert wird. Die Standards für ein bestimmtes Datenverbindungsprotokoll definieren das eigentliche Rahmenformat.

Zu den Rahmenfeldern gehören die folgenden:

• Rahmenstart- und -stoppanzeigeflaggen - werden verwendet, um die Anfangs- und Endgrenzen des Rahmens zu identifizieren.
• Adressierung - Zeigt die Quell- und Zielknoten auf den Medien an.
• Typ - Identifiziert das Schicht-3-Protokoll im Datenfeld.
• Kontrolle - Identifiziert spezielle Dienste zur Flusskontrolle, wie z.B. die Dienstqualität (QoS). QoS gibt bestimmten Arten von Nachrichten Priorität bei der Weiterleitung. Beispielsweise erhalten Voice-over-IP-Frames (VoIP) normalerweise Priorität, da sie empfindlich auf Verzögerungen reagieren.
• Daten - Enthält die Frame-Nutzlast (d. h. den Paketkopf, den Segmentkopf und die Daten).
• Fehlererkennung - Wird nach den Daten zur Bildung des Trailers eingefügt.

Datenverbindungsschichtprotokolle fügen am Ende jedes Frames einen Trailer hinzu. In einem Prozess, der Fehlererkennung genannt wird, stellt der Trailer fest, ob der Frame ohne Fehler angekommen ist. Er legt eine logische oder mathematische Zusammenfassung der Bits, aus denen der Rahmen besteht, in den Trailer. Die Datenverbindungsschicht fügt eine Fehlererkennung hinzu, da die Signale auf dem Medium Interferenzen, Verzerrungen oder Verlusten ausgesetzt sein könnten, die die Bitwerte, die diese Signale darstellen, wesentlich verändern würden.

Ein Sendeknoten erstellt eine logische Zusammenfassung des Inhalts des Rahmens, die als CRC-Wert (Cyclic Redundancy Check) bezeichnet wird. Dieser Wert wird in das Feld für die Rahmenprüfungssequenz (FCS) gesetzt, um den Inhalt des Rahmens darzustellen. Im Ethernet-Trailer bietet die FCS dem empfangenden Knoten eine Methode, mit der er feststellen kann, ob der Rahmen Übertragungsfehler aufweist.

Die Konvertierung der Binär- in Dezimalzahl:

Das Erlernen der Konvertierung von Binär- in Dezimalzahlen erfordert ein Verständnis der Positionsnotation. Positionsnotation bedeutet, dass eine Ziffer unterschiedliche Werte repräsentiert, je nach der "Position", die die Ziffer in der Zahlenfolge einnimmt. Sie kennen bereits das gebräuchlichste Zahlensystem, das Dezimalnotationssystem (zur Basis 10).

Das dezimale Positionsnotationssystem funktioniert wie in der Tabelle beschrieben.

Die folgenden Aufzählungszeichen beschreiben jede Zeile der Tabelle.

Zeile 1, Radix ist die Zahlenbasis. Die Dezimalnotation basiert auf 10, daher ist der Radix 10.
Zeile 2, Position in der Zahl berücksichtigt die Position der Dezimalzahl, beginnend mit, von rechts nach links, 0 (1. Position), 1 (2. Position), 2 (3. Position), 3 (4. Position). Diese Zahlen stellen auch den exponentiellen Wert dar, der zur Berechnung des Positionswerts in der 4.
Zeile 3 berechnet den Positionswert, indem die Radix genommen und um den exponentiellen Wert seiner Position in Zeile 2 erhöht wird.
Wichtig: n^0 ist = 1. 
Der Positionswert in Zeile 4 stellt Einheiten von Tausendern, Hundertern, Zehnern und Einern dar.
Um das Positionssystem zu verwenden, passen Sie eine gegebene Zahl an ihren Positionswert an. Das Beispiel in der Tabelle veranschaulicht, wie die Positionsnotation mit der Dezimalzahl 1234 verwendet wird.

Im Gegensatz dazu funktioniert die binäre Positionsnotation wie in der Tabelle beschrieben:

Die folgenden Aufzählungszeichen beschreiben jede Zeile der Tabelle.

Zeile 1, Radix ist die Zahlenbasis. Die Binärnotation basiert auf 2, daher ist die Radix 2.
Zeile 2, Position in der Zahl berücksichtigt die Position der Binärzahl, beginnend mit, von rechts nach links, 0 (1. Position), 1 (2. Position), 2 (3. Position), 3 (4. Position). Diese Zahlen stellen auch den exponentiellen Wert dar, der zur Berechnung des Positionswerts in der 4.
Zeile 3 berechnet den Positionswert, indem die Radix genommen und um den exponentiellen Wert seiner Position in Zeile 2 erhöht wird.
Wichtig: n ist = 1.
Der Positionswert in Zeile 4 stellt Einheiten von Einsen, Zweiern, Vieren, Achten usw. dar.
Das Beispiel in der Tabelle veranschaulicht, wie eine Binärzahl 11111111 der Zahl 255 entspricht. Wäre die Binärzahl 10101000 gewesen, dann wäre die entsprechende Dezimalzahl 168.

Jetzt wissen Sie, wie man Binär in Dezimal und Dezimal in Binär konvertiert. Sie brauchen diese Fähigkeit, um die IPv4-Adressierung in Ihrem Netzwerk zu verstehen. Aber Sie werden in Ihrem Netzwerk wahrscheinlich genauso gut IPv6-Adressen verwenden. Um IPv6-Adressen zu verstehen, müssen Sie in der Lage sein, hexadezimal in dezimal und umgekehrt zu konvertieren.

Konvertierung von Dezimalzahl in Binär- und Hexadezimal:

So wie dezimal ein Zahlensystem zur Basis zehn ist, ist hexadezimal ein System zur Basis sechzehn. Das Zahlensystem zur Basis 16 verwendet die Ziffern 0 bis 9 und die Buchstaben A bis F. Die Abbildung zeigt die äquivalenten dezimalen und hexadezimalen Werte für die Binärzahlen 0000 bis 1111.

Erklärung/Übung/Beispiel:

Die Konvertierung von Dezimalzahlen in Hexadezimalwerte ist einfach zu bewerkstelligen. Folgen Sie den aufgeführten Schritten:

Konvertieren Sie die Dezimalzahl in 8-Bit-Binärzeichenfolgen.
Teilen Sie die Binärzeichenfolgen in Vierergruppen, beginnend von der äußersten rechten Position.
Wandeln Sie jede der vier Binärzahlen in ihre entsprechende hexadezimale Ziffer um.
Das Beispiel enthält die Schritte zur Konvertierung von 168 in hexadezimale Zahlen.

Zum Beispiel 168, die mit dem Dreischrittverfahren in hexadezimale Zahlen umgewandelt werden.

168 ist im Binärformat 10101000.
10101000 in zwei Gruppen von vier Binärziffern ist 1010 und 1000.
1010 ist hexadezimal A und 1000 ist hexadezimal 8.

Ergo ist die Zahl 168 in hexadezimaler Form A8.

Einführung in die IP-Adressierung

Die Verwendung von IP-Adressen ist das wichtigste Mittel, um Geräte in die Lage zu versetzen, sich gegenseitig zu lokalisieren und eine End-to-End-Kommunikation im Internet aufzubauen. Jedes Endgerät in einem Netzwerk muss mit einer IP-Adresse konfiguriert werden. Beispiele für Endgeräte sind diese:

• Computer (Arbeitsstationen, Laptops, Dateiserver, Webserver etc.)
• Netzwerkdrucker
• Sicherheitskameras
• Smartphones
• VoIP-Telefon

Die Struktur einer IPv4-Adresse wird als punktierte Dezimalnotation definiert und durch vier Dezimalzahlen zwischen 0 und 255 dargestellt. IPv4-Adressen werden einzelnen Geräten zugewiesen, die an ein Netzwerk angeschlossen sind.

IP bezieht sich in diesem Artiekl sowohl auf das IPv4- als auch auf das IPv6-Protokoll. IPv6 ist die jüngste Version von IP und ersetzt das übliche IPv4 Protokoll. Mit der IPv4-Adresse ist auch eine Subnetzmaske erforderlich. Eine IPv4-Subnetzmaske ist ein 32-Bit-Wert, der den Netzwerkteil der Adresse vom Hostteil unterscheidet. In Verbindung mit der IPv4-Adresse bestimmt die Subnetzmaske, zu welchem Subnetz das Gerät gehört.

Betrachten Sie als Beispiel die IPv4-Adresse 192.168.100.2, die Subnetzmaske 255.255.255.0 und das Standard-Gateway 192.168.100.1, die einem Host zugewiesen sind. Die Standard-Gateway-Adresse ist die IP-Adresse des Routers, den der Host für den Zugriff auf entfernte Netzwerke, einschließlich des Internets, verwendet.

Halten wir also fest: Eine IPv4-Adresse ist eine hierarchische 32-Bit-Adresse, die sich aus einem Netzwerkteil und einem Hostteil zusammensetzt. Bei der Bestimmung des Netzwerkteils gegenüber dem Hostteil müssen Sie den 32-Bit-Stream betrachten.

Die Bits innerhalb des Netzwerkteils der Adresse müssen für alle Geräte, die sich im gleichen Netzwerk befinden, identisch sein. Die Bits innerhalb des Hostteils der Adresse müssen eindeutig sein, um einen bestimmten Host in einem Netzwerk zu identifizieren. Wenn zwei Hosts dasselbe Bitmuster im angegebenen Netzwerkteil des 32-Bit-Streams haben, befinden sich diese beiden Hosts im selben Netzwerk.

Aber woher wissen die Hosts, welcher Teil der 32-Bits das Netzwerk und welcher den Host identifiziert? Das ist die Rolle der Subnetzmaske.

IPv4-Adressen beginnen als Binäradressen, eine Reihe von nur 1 und 0. Diese sind schwer zu verwalten, so dass Netzwerkadministratoren sie in Dezimalzahlen umwandeln müssen. Dieses Thema zeigt Ihnen einige Möglichkeiten, dies zu tun.

Binär ist ein Nummerierungssystem, das aus den Ziffern 0 und 1, den sogenannten Bits, besteht. Im Gegensatz dazu besteht das dezimale Zahlensystem aus 10 Ziffern, die aus den Ziffern 0 - 9 bestehen.

Binär ist für uns wichtig zu verstehen, da Hosts, Server und Netzwerkgeräte binäre Adressierung verwenden. Insbesondere verwenden sie binäre IPv4-Adressen, um sich gegenseitig zu identifizieren.

 Fassen wir zusammen:

Jede Adresse besteht aus einer Zeichenfolge von 32 Bit, die in vier Abschnitte, die Oktette genannt werden, unterteilt ist. Jedes Oktett enthält 8 Bits (oder 1 Byte), die durch einen Punkt getrennt sind.

Betrachten wir die IPv4-Adresse 192.168.100.2; 11000000.10101000.01100100.00000010. Die Standard-Gateway-Adresse wäre beispielsweise die Schnittstelle 192.168.100.1; 11000000.10101000.01100100.0000000001.

Binär funktioniert gut mit Hosts und Netzwerkgeräten. Allerdings ist es für Menschen sehr schwierig, damit zu arbeiten.

Diese Artikelserie wird sich daher mit folgenden Inhalten auseinandersetzen und ins Detail gehen:

• Konvertierung von Zahlensystemen (binär, dezimal, hexadezimal)
• IPv4-Adressenaufbau und seine Regeln
• IPv6-Adressenaufbau und seine Regeln
• Subnetting
• Netzklassen
• Routing

Sicherere Verbindung:

Wi-Fi Easy Connect, wie die Wi-Fi Alliance es nennt, macht es bequemer, kabellose Gerätschaften, die keinen (oder ausschließlich einen begrenzten) Display oder Eingabemechanismus haben, in Ihr Netzwerk zu integrieren. Wenn diese Funktion aktiviert ist, scannen Sie einfach mit Ihrem Smartphone einen QR-Code auf Ihrem Router, dann scannen Sie einen QR-Code auf Ihrem Drucker oder Lautsprecher oder einem anderen IoT-Gerät, und schon sind Sie bereit - Sie sind sicher verbunden. Mit der QR-Code-Methode verwenden Sie eine auf öffentlichen Schlüsseln basierende Verschlüsselung für Onboard-Geräte, die derzeit noch keine einfache und sichere Methode dafür haben.

Dieser Trend zeigt sich auch bei Wi-Fi Enhanced Open, das die Wi-Fi Alliance zuvor ausführlich beschrieben hat. Wahrscheinlich haben Sie schon gehört, dass Sie es vermeiden sollten, in öffentlichen Wi-Fi-Netzwerken sensibles Browsen oder Dateneingabe zu betreiben. Denn mit WPA2 kann jeder, der sich im gleichen öffentlichen Netz wie Sie befindet, Ihre Aktivitäten beobachten und Sie mit Eindringlingen wie Man-in-the-Middle-Angriffen oder Netzwerkverkehrsschnüffeln ins Visier nehmen. Und wie steht es in Bezug auf WPA3? Jedenfalls nicht mehr in diesem Ausmaß. 

Wenn Sie sich mit einem WPA3-Gerät in das WPA3-Wi-Fi eines Coffeeshops einloggen, wird Ihre Verbindung automatisch verschlüsselt, ohne dass zusätzliche Anmeldedaten erforderlich sind. Dabei wird ein etablierter Standard namens Opportunistic Wireless Encryption verwendet.

Wie bei den Passwortschutzmechanismen hält auch die erweiterte Verschlüsselung von WPA3 für öffentliche Netzwerke Wi-Fi-Benutzer vor einer Schwachstelle sicher, von der sie vielleicht gar nicht wissen, dass sie überhaupt nicht existiert. Tatsächlich könnte sich der Wi-Fi-Benutzer dadurch eher zu sicher fühlen, dabei gilt zu beachten, dass eine 100% Sicherheit nicht existent ist!

WPA3 - wann ist es einsatzbereit und erhältlich?

Selbst mit den zusätzlichen technischen Details fühlt es sich fast verfrüht an, über WPA3 zu sprechen. Zwar haben sich große Hersteller wie Qualcomm bereits zu seiner Implementierung verpflichtet, um die vielen Upgrades von WPA3 voll auszuschöpfen, doch muss die gesamte Struktur diese Technologie nutzen. Das wird sicherlich mit der Zeit geschehen, ebenso wie es bei WPA2 der Fall war.

Sobald sämtliche Gerätschaften WPA3 assistieren, könnten Sie die WPA2-Konnektivität auf Ihrem Router abschalten, um die Sicherheit zu steigern, ebenfalls wie Sie die WPA- und WEP-Konnektivität abschalten und ausschließlich WPA2-Verbindungen auf Ihrem Router zulassen könnten.

Es wird zwar eine Weile dauern, bis WPA3 vollständig eingeführt ist, aber wichtig ist, dass der Übergangsprozess 2018 begonnen hat. Das bedeutet sicherere Wi-Fi-Netzwerke in der Zukunft. Jedoch gab es bereits Meldungen, die auf Sicherheitslücken von WPA3 hingewiesen haben, welche eine Überarbeitung der Protokolle und Implementierungen nach sich ziehen werden. Auch das Problem in Bezug auf Kompatibilität ist sicher ein Aspekt, weshalb WPA3 sich auf dem breiten Markt noch nicht durchgesetzt hat. 

Hiermit schließt diese Serie ab und verabschiedet sich von Ihnen und hofft, einen guten Überblick sowie tiefe Einblicke in die Geschichte der verschiedenen Standards in Bezug auf WLAN, gegeben zu haben. 

Sie möchten ein sicheres und stabiles Netzwerk von einem Profi?

Als IT Service in München bieten wir unseren B2B Kunden und privaten Kunden den Aufbau eines sicheren Netzwerks über W-LAN aber auch über Kabel. Lassen Sie sich von unseren Netzwerk-Spezialisten unverbindlich beraten. Wir prüfen bei Ihnen vor Ort, ob eine Vernetzung mittels Kabel oder mit Funk am geeignetsten ist und finden für Sie die kostengünstigste und beste Lösung maßgeschneidert für ihre Anforderungen. Wir freuen uns auf ihren Anruf unter unserer Rufnummer 0176 75 19 18 18 oder via E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! 

Schützen Sie Ihr WiFi-Netzwerk!

Während WPA2 mehr Schutz als WPA und damit noch mehr Schutz als WEP bietet, hängt die Sicherheit Ihres Routers stark von dem von Ihnen festgelegten Passwort ab. Mit WPA und WPA2 können Sie Passwörter in Länge von (2^6)-1, ergo max. 63 Zeichen verwenden.

Verwenden Sie daher eine Vielzahl an unterschiedlichen Zeichen in Ihrem WiFi-Netzwerk-Passwort. Hacker sind an leichteren Zielen interessiert, machen Sie es ihnen daher so schwer wie möglich und kreieren ein gutes Passwort, um einen Angriff abzuwehren oder zu erschweren. Je leichter Sie es einem Hackerr machen, desto höher ist die Wahrscheinlichkeit, ein Angriffsziel zu sein. 

Zusammenfassung:

• WPA2 ist die erweiterte Version von WPA.
• WPA unterstützt nur TKIP-Verschlüsselung, während WPA2 AES unterstützt.
• Theoretisch ist WPA2 nicht hackbar, während es WPA  ist. Es gibt jedoch Möglichkeiten, WPA2 zu hacken, dies ist aber nicht Gegenstand des Beitrages.
• WPA2 benötigt mehr Rechenleistung als WPA, ist aber heutzutage nicht mehr relevant.
• Um Ihre Verschlüsselung zu überprüfen, können Sie einige Seiten im Netz aufrufen, um diese zu testen.

WPA3 (Wi-Fi Protected Access):

WPA3 ist das Non plus ultra in der WiFi-Sicherheit - zumindest nach heutigem Standard.

Der Schutz von Wi-Fi vor Hackern ist eine der primären Aufgaben in der Cybersicherheit. Deshalb verdient die Einführung des drahtlosen Sicherheitsprotokolls der nächsten Generation, WPA3, Ihr Interesse: Es wird nicht nur die Sicherheit von Wi-Fi-Verbindungen erhöhen, sondern auch dazu beitragen, Sie vor Ihren eigenen Sicherheitsmängeln - menschlichem Versagen - zu bewahren.
Der neue Aspekt, den es sich als Prämisse auf die Fahen geschrieben hat, ist folgender:

Passwortschutz!

Eine grundlegende Schwachstelle von WPA2, dem aktuellen Wireless-Sicherheitsprotokoll aus dem Jahr 2004, besteht darin, dass es Hackern erlaubt, einen so genannten Offline-Wörterbuch-Angriff durchzuführen - ein Brute-Force-Angrff - um Ihr Passwort zu erraten, bzw. zu cracken. Ein Angreifer kann beliebig viele Versuche unternehmen, Ihre Anmeldeinformationen zu erraten, ohne sich im selben Netzwerk zu befinden, und dabei das gesamte Wörterbuch - und darüber hinaus mit Rainbowtables als Beispiel - in relativ kurzer Zeit durchlaufen.

WPA3 schützt vor Wörterbuchangriffen durch die Implementierung eines neuen Schlüsselaustauschprotokolls. WPA2 verwendete einen unvollkommenen Vier-Wege-Handshake zwischen Clients und Zugangspunkten, um verschlüsselte Verbindungen zu ermöglichen; das war es, was hinter der berühmt-berüchtigten Crack-Schwachstelle steckte, die im Grunde jedes angeschlossene Gerät betraf. WPA3 wird dies zu Gunsten der sichereren - und weithin überprüften - gleichzeitigen Authentifizierung durch einen gleichen Handshake aufgeben.

Der alternative Mehrwert ergibt sich für den Fall, dass Ihr Passwort kompromittiert wird. Mit diesem innovativen Handshake unterstützt WPA3 die Vorwärtsgeheimhaltung, was bedeutet, dass jedweder Datenverkehr, der über Ihre Leitung kam, bevor ein Außenstehender Zugang erhielt, verschlüsselt bleibt. Mit WPA2 können sie auch alten Datenverkehr entschlüsseln. Dies ist aufgrund des Verschlüsselungsverfahren möglich. 

Sicherere Verbidnungen:

Als WPA2 anno 2004 aufkam, war das World Wide Web noch nicht zu dem alles verzehrenden Sicherheitshorror geworden, der sein heutiges Markenzeichen ist. Kein Wunder also, dass WPA2 keine rationelle Möglichkeit bot, ebendiese Geräte in jedem Fall in ein bestehendes Wi-Fi-Netzwerk einzubinden. Und gewissermaßen hat die vorherrschende Methode, mit der jener Prozess heute abläuft - das Wi-Fi Protected Setup - seit 2011 prominente Achillesfersen. WPA3 offeriert eine Problemlösung.

Dies wird Gegenstand im 4.Teil der Serie und schließt diese somit ab. 

WPA2 (Wi-Fi Protected Access):

Das auf dem Wireless-Sicherheitsstandard 802.11i basierende Protokoll wurde 2004 eingeführt. Die wichtigste Verbesserung von WPA2 gegenüber WPA war die Verwendung des Advanced Encryption Standard (AES). AES ist von der US-Regierung für die Verschlüsselung von als streng geheim eingestuften Informationen zugelassen, so dass es gut genug sein muss, um Heimnetzwerke zu schützen. Für die genauere Funktionsweise und für Details, können Sie auf unserer Homepage unter #Sicherheit und #Verschlüsselung danach suchen und fündig werden. 

Zu diesem Zeitpunkt ist die Hauptanfälligkeit eines WPA2-Systems dann gegeben, wenn der Angreifer bereits Zugang zu einem gesicherten WiFi-Netzwerk hat und sich Zugang zu bestimmten Schlüsseln verschaffen kann, um einen Angriff auf andere Geräte im Netzwerk durchzuführen. Abgesehen davon sind die Sicherheitsvorschläge für die bekannten WPA2-Schwachstellen vor allem für Netzwerke auf Unternehmensebene von Bedeutung und für kleine Heimnetzwerke nicht wirklich relevant. Leider ist die Möglichkeit von Angriffen über das Wi-Fi Protected Setup (WPS) in den aktuellen WPA2-fähigen Zugangspunkten immer noch hoch, was auch das Problem mit WPA darstellt. Und obwohl das Eindringen in ein WPA/WPA2-gesichertes Netzwerk durch diese Lücke etwa 2 bis 14 Stunden dauern wird, ist es immer noch ein echtes Sicherheitsproblem, daher sollte WPS deaktiviert werden, und es wäre gut, wenn die Firmware des Access Points auf eine Distribution zurückgesetzt werden könnte, die WPS nicht unterstützt, um diesen Angriffsvektor völlig auszuschließen.

Eine Empfehlung in Bezug auf WiFi-Sicherheitsmethoden, jedoch auf Routern, welche nach 2006 verfügbar sind: 

WPA2 + AES-(256)

WPA + AES-(256)

Am besten deaktiviert man die Wi-Fi Protected Setup (WPS) und stellt den Router auf WPA2 + AES-(256) ein.
Die AES-256 bit Verschlüsselung ist mittlerweile ein goldener Standard und gilt nach heutigem Stand sowie im Rahmen der menschlichen Lebenserwartung als "unknackbar".

Worin liegt der Nutzen begründet?

Sowohl WPA als auch WPA2 sollen drahtlose Internet-Netzwerke vor unberechtigtem Zugriff schützen. Sollten Sie Ihren Router unverschlüsselt oder ohne Sicherheitsmaßnahmen zu treffen, nutzen, ist es ein Leichtes, illegale Aktonen über Ihre Verbindung und in Ihrem Namen durchzufühen, die Bandbreite zu stehlen, Ihre Surfgewohnheiten mitzusniffen (überwachen, mitschneiden) und zusätzlich Schadsoftware, bzw. schädliche Anwendungen in Ihrem Netzwerk zu installieren. 

WiFi-Router unterstützen eine Vielzahl von Sicherheitsprotokollen zur Absicherung von drahtlosen Netzwerken: WEP, WPA und WPA2. WPA2 wird jedoch gegenüber seinem Vorgänger WPA (Wi-Fi Protected Access) empfohlen.

Der einzige Nachteil von WPA2 ist die erforderliche Rechenleistung zum Schutz Ihres Netzwerks. Das bedeutet, dass eine leistungsfähigere Hardware erforderlich ist, um eine geringere Netzwerkleistung zu vermeiden. Dieses Problem betrifft ältere Access Points, die vor WPA2 implementiert wurden und WPA2 nur über ein Firmware-Upgrade unterstützen. Die meisten der aktuellen Access Points wurden mit leistungsfähigerer Hardware geliefert.

Verwenden Sie auf jeden Fall WPA2, wenn Sie WPA2 verwenden können, und nur dann, wenn es keine Möglichkeit gibt, dass Ihr Access Point WPA2 unterstützt. Die Verwendung von WPA ist auch eine Möglichkeit, wenn Ihr Access Point regelmäßig hohe Lasten erfährt und die Netzwerkgeschwindigkeit unter der WPA2-Nutzung leidet. Wenn die Sicherheit an erster Stelle steht, dann ist ein Rollback keine Option, sondern man sollte ernsthaft darüber nachdenken, bessere Access Points zu integrieren.
Je nachdem, welche Sicherheitsprotokolle Sie verwenden, kann die Datengeschwindigkeit beeinträchtigt werden. WPA2 ist das schnellste der Verschlüsselungsprotokolle, während WEP das langsamste ist.

Exkurs:

Die WiFi-Sicherheitsalgorithmen haben seit den 1990er Jahren viele Änderungen und Upgrades durchlaufen, um sicherer und effektiver zu werden. Für den Schutz von drahtlosen Heimnetzwerken wurden verschiedene Arten von drahtlosen Sicherheitsprotokollen entwickelt. Bei den drahtlosen Sicherheitsprotokollen handelt es sich um WEP, WPA und WPA2, die den gleichen Zweck erfüllen, aber gleichzeitig unterschiedlich sind.

Die drahtlosen Sicherheitsprotokolle verhindern nicht nur, dass sich unerwünschte Personen mit Ihrem drahtlosen Netzwerk verbinden, sondern verschlüsseln auch Ihre privaten Daten, die über das Medium Luft gesendet werden. Unabhängig davon, wie geschützt und verschlüsselt sie sind, drahtlose Netzwerke können nicht mit der Sicherheit von kabelgebundenen Netzwerken mithalten. Letztere übertragen auf ihrer einfachsten Ebene Daten zwischen zwei Punkten, A und B, die durch ein Netzwerkkabel verbunden sind. Um Daten von A nach B zu senden, übermitteln drahtlose Netzwerke diese innerhalb ihrer Reichweite in jede Richtung an jedes angeschlossene Gerät, das gerade empfängt.Schauen wir uns daher die drahtlosen Sicherheitsprotokolle WEP, WPA, WPA2 und WPA3 genauer an.

WEP (Wired Equivalent Privacy):

WEP wurde für drahtlose Netzwerke entwickelt und im September 1999 als Wi-Fi-Sicherheitsstandard freigegeben. WEP sollte das gleiche Sicherheitsniveau bieten wie kabelgebundene Netzwerke, jedoch gibt es eine Menge bekannter Sicherheitsprobleme im WEP, das zudem leicht zu hacken und schwer zu konfigurieren ist.

Trotz all der Arbeit, die zur Verbesserung des WEP-Systems geleistet wurde, stellt es immer noch eine sehr anfällige Lösung dar. WEP wurde 2004 offiziell von der Wi-Fi-Allianz aufgegeben und ist somit obsolet, bzw. nicht mehr im Einsatz -zumindest sollte es nicht mehr im Einsatz sein, da es zu große Sicherheitslücken aufweist!  

WPA (Wi-Fi Protected Access):

Für die Zeit, in der sich der 802.11i-Wireless-Sicherheitsstandard in der Entwicklung befand, wurde WPA als vorübergehende Sicherheitserweiterung für WEP verwendet. Ein Jahr, bevor WEP offiziell aufgegeben wurde, erhielt WPA eine formelle Verabschiedung. Die meisten modernen WPA-Anwendungen verwenden einen Pre-Shared Key (PSK), der meist als WPA Personal bezeichnet wird, und das Temporal Key Integrity Protocol oder TKIP zur Verschlüsselung. WPA Enterprise verwendet einen Authentifizierungsserver für die Erzeugung von Schlüsseln und Zertifikaten.

WPA war eine bedeutende Verbesserung gegenüber WEP, aber da die Kernkomponenten so hergestellt wurden, dass sie durch Firmware-Upgrades auf WEP-fähigen Geräten eingeführt werden konnten, stützten sie sich immer noch auf Elemente, welche ein Ausnutzen von Sicherheitslücken möglich machte.

Wie WEP erwies sich auch WPA, nachdem es den Proof-of-Concept und öffentliche Demonstrationen durchlaufen hatte, als ziemlich anfällig für Einbrüche. Die Angriffe, die die größte Bedrohung für das Protokoll darstellten, waren jedoch nicht die direkten, sondern die Angriffe auf Wi-Fi Protected Setup (WPS) - ein Hilfssystem, das entwickelt wurde, um die Verbindung von Geräten mit modernen Zugangspunkten zu vereinfachen.

Netzwerksicherheit steht bei Ihnen an oberster Stelle?

Auch wir legen sehr viel Wert auf eine gut geschützte Kommunikation zwischen zwei und mehr Endpunkten. Eine Netzwerk über W-LAN birgt immer Risiken mit sich und sollte deshalb von einem professionellen IT Service vorgenommen werden. Als IT Systemhaus in München bieten wir unseren Kunden den Aufbau von Mesh-Netzwerken, sodass Sie von allen Ecken in ihrem Haus oder Büro die bestmögliche Bandbreite erhalten. Lassen Sie sich von uns unverbindlich beraten unter unserer Rufnummer 0176 / 75 19 18 18 oder schreiben Sie uns ganz einfach eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! 

Einleitung zum Thema der Netzwerkkomponenten

In der Informationstechnolgie kommt man früher oder später nicht umhin, sich mit den Begriffen wie Bridge, Hub, Repeater, Router, Switch etc. zu beschäftigen, um sich ein Bild von der Funktionsweise und dessen Nutzen zu machen. Deshalb ein kleiner Überblick über die genannten Begriffe und ein Übersicht über die Charakteristika.

Bridge (engl. Brücke)

Diese hat die Aufgabe, Netze auf den Teilschichten MAC oder LLC der OSI-Schicht 2 - Data Layer, Datenübertragungsschicht - zu verbinden (MAC-Level-Bridge). Hierbei gilt es zu beachten, dass die Netze unterschiedliche Topologien besitzen können.

Hub (engl. Nabe)

Hierbei spricht man im engeren Sinne von einem Sternkoppler oder auch Sternverteiler (Kabelkonzentrator), welcher die Verbindung eines Konzentrators mit einem Repeater ist, sogenannte Multiport-Repeater, wobei die Hubs die Repeater in vielen Bereichen ersetzt haben. Der Hub kann auch als Knotenpunkt gesehen werden, über den alle Daten laufen bzw. weitergeleitet werden, deshalb wird diese auch als "Konvergenz-Stelle" bezeichnet, da hier bei der Kommunitkation von Daten alles zusammenläuft.

Repeater

Dieser erfüllt die Aufgabe, verschiedene Netze mit vollkommen gleichartigen Zugriffsweisen und Protokollen zu verbinden. Gleichzeitig reduziert der Repeater Signaldämpfungen sowie - verzerrungen und wird daher auch als Aufholverstärker bezeichnet. Selbstverständlich verbinden moderne Repeater ebenso völlig unterschiedliche Medien. 

Router (engl. ruter; us-engl. rauter)

Diesbezüglich sei das Wort "Transparenz" erwähnt, da der Router autonom das Netz analysiert und somit auch Transparenz schafft. Zusätzlich auf Basis routbarer Protokolle, sucht er geeignete Wege im Netz. Darüber hinaus ist er in der Lage, sogenannte "Routingtabellen" zu erstellen, welche mit Wegetabellen in Verbindung zu bringen sind. Letztendlich vermittelt er einen zielgerichteten Austausch von Datenpaketen im Netz. Eine weitere Applikation des Routers spiegelt sich im Bridging Router - BRouter - wider: simpel gesprochen ist es ein Router mit integrierter Bridge. 

Gateway

In Bezug auf Netzübergängen sowie getrennten Netzwelten - logisch/physikalisch - dient es der Realisierung und kompletten Adaption davon. Diese erfolgt durch die Um- bzw. Übersetzung verschiedener Netze in folgenden Schritten:

1. Adressübersetzung

2. Übersetzung der Datenübertragungsgeschwindigkeit

3. Protokolladaption (Konvertierung oder Umschreibung) 

Somit beziehen sich besondere Funktionsaufgaben auf die Schichten 3 - 7 und werden daher auch intelligente Schnittstellen genannt. Zuguterletzt sind die hohen Sicherheitsstandards als Möglichkeit zugute zu halten. 

Switch (engl. Schalter)

Ein Switch fungiert wie eine Brdige, aber mit mehreren Zugängen für Rechner sowie Netze. Damit ist auch eine parallele Wandlung von Daten zwischen den unterschiedlichen Switchzugängen möglich. Außerdem besteht die Möglichkeit, eine Punkt-zu-Punkt-Geräte-Verbindungen herzustellen. Nicht zwangsläufig aber oft ist dieser ein Hardwareprodukt. Hierbei existieren sogenannte Layer-Switches, welche in folgende Typen unterteilt werden: 

Layer 1-Switches: Keine Adressauswahl (Hub-System).

Layer 2-Switches/Layer 2/3-Switches: Über Adresstabellen automatisiert,  werden diese durch die Zieladressen der Datenpakete generiert. Dabei wird durch die in den Datenpaketen enthaltenen MAC-Adressen nötige Information entnommen. 

Layer 3-Switches: Verabreitet auch IP-Ardressen, da es sich auf der 3. Schicht befindet bzw. bewegt. 

Der Switch ist in der Lage, im Gegensatz zum Hub, gezielt weiterzuleiten und zu entscheiden, wohin die Daten fließen sollen. Somit kann man den Switch als intelligent betrachten und den "weniger Schlauen" als Hub, da dieser an alles sendet. 

Spezifikation Leistungsdaten:

Durchleitrate (Forwarding Rate): Pakete pro Sekunde 

Filterrate (Filter Rate): Bearbeitete Paketanzahl pro Sekunde

Adressanzahl: Verwaltete (MAC-)Adressen

Backplanedurchsatz: Transportkapazität auf den Vermittlungsbussen 

Spezifikation Funktionsprinzipien:

Store-and-Forwarding: Ein Datenpaket wird vollends über einen Port eingelesen und erst dann wird die Adresse verarbeitet, ein einfaches und sicheres Verfahren, mit einer vollständigen Fehlerüberprüfung und selbstständigem Verwerfen von fehlerhaften Paketen. 

Cut-Through:

Nach dem Einlesen des Steuerkopfes der Datenpakete, erfolgt die Auswertung der Adresse. Gleichzeitig werden Nutzinformationen notiert bzw. aufgenommen und dadurch verringert sich die Latenzzeit, wobei immer noch Datenkollisionen möglich sind. 

Fragment-Free:

Eine Datenweitergabe wird nach den ersten 72 Bytes initiiert. Moderne Switches realisieren alle 3 Funktionsprinzipien zugleich (adaptives Switching, Error-Free-Cut-Through). Je nach Situation wird das optimale Verfahren angewendet. 

Einleitung sowie Hinführung zum Thema OSPF

Dieser Artikel beschäftigt sich mit dem Thema OSPF (Open Shortest Path First), wobei hier auf den Einzelbereich und Mehrbereich eingegangen wird.

OSPFv2 wird nur für IPv4-Netzwerke und OSPFv3 nur für IPv6-Netzwerke verwendet. Der primäre Fokus dieses Themas liegt auf OSPFv2 mit einem Bereich.

OSPF ist ein Link-State-Routing-Protokoll, welches als Alternative für das Distanzvektor-Routing-Informationsprotokoll (RIP) entwickelt wurde. Zu damaliger Zeit, im Kontext des Netzwerks und des Internets, war RIP ein hinnehmbares Routing-Protokoll.

Die Abhängigkeit des RIP, von der Anzahl der Hops als einzige Metrik zur Bestimmung der besten Route, kristallisierte sich jedoch schnell als Problematik heraus.

Unter Verwendung der Hop-Anzahl lässt sich in komplexen Netzwerken mit diversen Pfaden unterschiedlicher Geschwindigkeit suboptimal skalieren.

OSPF bietet gegenüber RIP immense Vorteile, da es eine schnellere Konvergenz bietet und sich auf viel größere Netzwerkimplementierungen skalieren lässt. OSPF ist ein Link-State-Routing-Protokoll, das das Konzept von Bereichen nutzt. Ein Netzwerkadministrator kann die Routingdomäne in verschiedene Bereiche unterteilen, um den Routing-Aktualisierungsverkehr zu steuern. Ein Link ist hier klassisch eine Schnittstelle auf einem Router.

Zum Netzwerksegment gehört auch der Begriff „Verbindung“, welcher auch Teil des Hiesigen ist und zwei Router verbindet. Somit lässt sich zum Beispiel ein Stub-Netzwerk über ein Ethernet-LAN verbinden, welches wiederum mit einem einzelnen Router Verbindung hält.

Der Begriff des Verbindungsstatus resultiert aus der Information über einen Status. Alle Verbindungsstatusinformationen umfassen das Netzwerkpräfix, die Präfixlänge und die Kosten.

Alle Routing-Protokolle haben homologe Komponenten. All diese Komponenten verwenden Routing-Protokollnachrichten, um Routeninformationen auszutauschen.

Beim Aufbau von Datenstrukturen, welche mithilfe eines Routing-Algorithmus verarbeitet werden, sind diese Nachrichten hilfreich.

RPM (Routing Protocol Messages)

Router, auf denen OSPF ausgeführt wird, tauschen Nachrichten aus, um Routing-Informationen mithilfe von fünf Pakettypen zu übermitteln. Diese Pakete werden gegliedert in:

• Hello packet
• Database description packet
• Link-state request packet
• Link-state update packet
• Link-state acknowledgment packet

Diese Pakete werden verwendet, um benachbarte Router zu erkennen und Routing-Informationen auszutauschen, um genaue Informationen über das Netzwerk zu erhalten.

Data Structures (Datenstrukturen)

OSPF-Nachrichten werden zum Erstellen und Verwalten von drei OSPF-Datenbanken wie folgt verwendet:

• Adjacency database: Damit wird die Nachbartabelle erstellt.
• Link-State-Datenbank (LSDB): Hiermit wird die Topologietabelle erstellt.
• Forwarding database (Weiterleitungsdatenbank): Hiermit wird die Routing-Tabelle erstellt.

Diese Tabellen enthalten eine Liste benachbarter Router zum Austausch von Routing-Informationen. Diese Tabellen werden im RAM gespeichert und verwaltet.

Algorithm (Algorithmus)

Anhand von Berechnungsergebnissen erstellt der Router die Topologietabelle, die auf dem SPF-Algorithmus (Dijkstra Shortest-Path First) basieren. Der SPF-Algorithmus wiederum basiert auf den kumulierten Kosten zum Erreichen eines Ziels.

Der SPF-Algorithmus erstellt einen SPF-Baum, indem jeder Router an der Wurzel des Baums platziert und der kürzeste Pfad zu jedem Knoten berechnet wird. Der SPF-Baum wird dann verwendet, um die besten Routen zu berechnen. OSPF platziert die besten Routen in der Weiterleitungsdatenbank, aus der die Routing-Tabelle erstellt wird.

Link-State Operation (Verbindungsstatusbetrieb)

Um die Routing-Informationen beizubehalten und einen Konvergenzstatus zu erreichen, führen OSPF-Router einen allgemeinen Routing-Prozess für den Verbindungsstatus durch.

Bei OSPF werden die Kosten verwendet, um den besten Pfad zum Ziel zu definieren. Dabei existieren Routing-Schritte für den Verbindungsstatus und das Ganze von einem Router ausgeführt:

• Nachbarschaften einrichten
• Exchange Link-State-Anzeigen austauschen
• Erstellen Sie die Verbindungsstatusdatenbank
• Führen Sie den SPF-Algorithmus aus
• Wählen Sie die beste Route

Wie kann ich virtualisieren?

Windows 7 selbst verfügt über eine eingebaute Virtualisierungsfunktion, die es ermöglicht, dass Software, die unter Windows XP entwickelt wurde, und sogar das gute alte DOS ohne Modifikationen ausgeführt werden kann. Um es auszuprobieren, klicken Sie auf das Startmenü, geben Sie "cmd" in die Suche ein, drücken Sie die Eingabetaste und Sie haben Zugang zu DOS mit all seinen Funktionen. =)

Obwohl die häufigste Ansicht über die Anwendung dieser Technik die eines großen Servers oder Rechenzentrums ist, auf dem mehrere Betriebssysteme gleichzeitig laufen, mit komplizierten Konfigurationen und mit Schwerpunkt auf Unternehmen, kann auch der durchschnittliche Benutzer davon profitieren. Aber wie?

Wenn Ihr Computer relativ neu ist, können Sie das zu Hause tun. Und warum tun Sie das? Viele ältere Drucker haben zum Beispiel nur Treiber und funktionieren nur unter Windows XP, und stellen Sie sich vor, Sie hätten einen Computer mit Windows 7 gekauft. Mit Software wie Oracle VirtualBox oder VMware Player (beide kostenlos zum Downloaden), können Sie Windows XP als virtuelle Maschine innerhalb von Windows 7 ausführen und die Treiber darauf installieren, wobei Sie Ihren Drucker normal verwenden. Sie können auch ein anderes Betriebssystem, wie z.B. Linux oder Unix, testen, ohne irgendwelche Änderungen an Ihrem Computer vorzunehmen. Dies sind nur einige der Anwendungen, die die Virtualisierung bietet.

Mit Virtualisierung Kosten sparen – ein Praxisbeispiel

Nehmen wir ein Beispiel aus der Industrie, wo die Virtualisierung eingesetzt wird, um die maximale Leistung mit der verfügbaren Hardware zu erreichen, da ein Server selten 100% seiner Arbeitskapazität (CPU, Grafikkarte, Speicher, Festplatte usw.) ausnutzt. Stellen Sie sich nun vor, ein Server hat einen Dual-Core-Prozessor und vier Festplatten, und ein Unternehmen muss gleichzeitig zwei Betriebssysteme wie Windows 7 und Windows 10 bereitstellen.

Vor der Entscheidung zum Kauf der neuen Ausrüstung stellt dieses Unternehmen jedoch fest, dass der aktuelle Server im Durchschnitt nur 35% der Verarbeitungsleistung des Geräts und nur 15% der Plattenkapazität verbraucht. Hier kann die Virtualisierung ansetzen. Mit Hilfe von Software werden zwei virtuelle Maschinen auf einer Emulationsschicht erstellt, die jedem Betriebssystem mitteilt, dass es über einen Prozessor mit nur einem Kern und zwei Platten verfügt. Angenommen, Windows 7 und Windows 10 erfordern die gleichen Anforderungen, dann werden wir den gleichen Computer haben, auf dem beide Systeme zur gleichen Zeit laufen, wobei die Ressourcen durch zwei geteilt werden und 70% für den Prozessor und 30% für die Festplatte genutzt werden. Durch den richtigen Einsatz von Virtualisierung können also erhebliche Kosten gespart werden. 

Experten im Bereich Virtualisierung gesucht?

Wir sind Ihr IT Service in München, wenn es um die Virtualisierung von Clients & Servern geht. Vielleicht möchten Sie eine sehr gute Skalierbarkeit von ihren Systemen haben und benötigen mehr Infos? Eine Hochverfügbarkeit mittels virtueller Maschinen kann für systemkritische Anwendungen im Unternehmensumfeld sehr viel Sinn machen. Unsere IT Spezialisten unterstützen Sie gerne bei der Migration von physikalischen Servern zu virtuellen Servern und beraten Sie da wo Virtualisierung für Sie einen Mehrwert bietet. Unsere IT Dienstleistung bieten wir hauptsächlich für kleine und mittelständischen Unternehmen an, aber auch für interessierte Privatkunden. Rufen Sie uns unverbindlich unter unserer Rufnummer 0176 / 75 19 18 18 an oder schreiben Sie uns ganz einfach eine Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!!