1. Grundlagen der Netzwerktechnik

OSI Testfragen

Testfragen Netzwerktechnik bis Firewall

1. Was ist der Hauptzweck eines Netzwerks?

Antwort anzeigen

Ein Netzwerk verbindet mehrere Geräte miteinander, damit sie Daten austauschen und gemeinsame Ressourcen nutzen können, zum Beispiel Drucker, Server, Internetzugang oder zentrale Datenspeicher.

2. Nenne drei Vorteile von Netzwerken.

Antwort anzeigen

Drei Vorteile sind:

3. Nenne drei Nachteile oder Risiken von Netzwerken.

Antwort anzeigen

Drei Nachteile oder Risiken sind:

4. Was bedeutet LAN?

Antwort anzeigen

LAN bedeutet Local Area Network. Es beschreibt ein lokales Netzwerk, zum Beispiel in einer Wohnung, Schule, Firma oder einem Büro.

5. Was ist der Unterschied zwischen LAN, MAN und WAN?

Antwort anzeigen

LAN ist ein lokales Netzwerk in einem begrenzten Bereich.

MAN verbindet Netzwerke innerhalb einer Stadt oder Region.

WAN verbindet Netzwerke über große Entfernungen, zum Beispiel über Länder oder Kontinente hinweg. Das Internet ist ein Beispiel für ein WAN.

6. Welche Topologie wird heute in LANs meistens verwendet?

Antwort anzeigen

Meistens wird die Sterntopologie verwendet. Dabei sind die Endgeräte zentral mit einem Switch verbunden.

7. Was bedeutet Vollduplex?

Antwort anzeigen

Vollduplex bedeutet, dass Daten gleichzeitig in beide Richtungen übertragen werden können.

Beispiel: Ein PC kann gleichzeitig Daten senden und empfangen.

8. Was bedeutet Halbduplex?

Antwort anzeigen

Halbduplex bedeutet, dass Daten in beide Richtungen übertragen werden können, aber nicht gleichzeitig.

Beispiel: Erst sendet Gerät A, danach Gerät B.

9. Wozu dient das OSI-Schichtenmodell?

Antwort anzeigen

Das OSI-Schichtenmodell teilt Netzwerkkommunikation in einzelne Schichten auf. Dadurch kann man besser verstehen, welche Aufgabe auf welcher Ebene passiert, und Fehler systematisch eingrenzen.

10. Wie heißen die 7 OSI-Schichten von oben nach unten?

Antwort anzeigen

Von oben nach unten:

  1. Anwendung
  2. Darstellung
  3. Sitzung
  4. Transport
  5. Vermittlung
  6. Sicherung
  7. Bitübertragung

11. Auf welcher OSI-Schicht arbeitet die MAC-Adresse?

Antwort anzeigen

Die MAC-Adresse arbeitet auf Schicht 2, der Sicherungsschicht.

12. Auf welcher OSI-Schicht arbeitet die IP-Adresse?

Antwort anzeigen

Die IP-Adresse arbeitet auf Schicht 3, der Vermittlungsschicht.

13. Auf welcher OSI-Schicht arbeiten TCP und UDP?

Antwort anzeigen

TCP und UDP arbeiten auf Schicht 4, der Transportschicht.

14. Was ist der Unterschied zwischen OSI-Modell und TCP/IP-Modell?

Antwort anzeigen

Das OSI-Modell hat 7 Schichten und ist eher ein theoretisches Referenzmodell.

Das TCP/IP-Modell ist praxisnäher und wird im echten Netzwerkbetrieb häufiger verwendet. Es fasst mehrere OSI-Schichten zusammen.

15. Was bedeutet Datenkapselung?

Antwort anzeigen

Datenkapselung bedeutet, dass jede Netzwerkschicht eigene Steuerinformationen zu den Daten hinzufügt.

Beispiel:

Anwendungsdaten werden in TCP verpackt, TCP wird in IP verpackt, IP wird in Ethernet verpackt.

16. Was gehört zur Schicht 0 im Unterrichtskontext?

Antwort anzeigen

Zur Schicht 0 gehören die eigentlichen Übertragungsmedien, zum Beispiel:

Schicht 0 gehört nicht offiziell zum OSI-Modell, wird aber oft zur Erklärung genutzt.

17. Was ist ein Twisted-Pair-Kabel?

Antwort anzeigen

Ein Twisted-Pair-Kabel ist ein Netzwerkkabel mit verdrillten Adernpaaren. Die Verdrillung reduziert Störungen. Es wird häufig mit RJ45-Steckern im LAN verwendet.

18. Wie weit darf ein normales Twisted-Pair-Ethernet-Kabel ungefähr sein?

Antwort anzeigen

In der Praxis gilt meistens eine maximale Länge von ungefähr 100 Metern.

19. Was ist der Unterschied zwischen Multimode- und Singlemode-LWL?

Antwort anzeigen

Multimode-LWL wird eher für kürzere bis mittlere Strecken verwendet.

Singlemode-LWL wird für lange Strecken verwendet und hat einen kleineren Faserkern.

20. Warum darf man nicht direkt in eine Glasfaser schauen?

Antwort anzeigen

Weil dort unsichtbares Laserlicht austreten kann. Dieses Licht kann die Augen schädigen, auch wenn man es nicht sieht.

21. Welche WLAN-Verschlüsselung sollte mindestens verwendet werden?

Antwort anzeigen

Mindestens WPA2 sollte verwendet werden. Besser ist WPA3, wenn alle Geräte es unterstützen.

22. Warum ist ein Gäste-WLAN sinnvoll?

Antwort anzeigen

Ein Gäste-WLAN trennt fremde oder private Geräte vom internen Netzwerk. Gäste sollen zum Beispiel ins Internet kommen, aber nicht auf interne Server, Drucker oder NAS-Systeme zugreifen können.

23. Was ist ein Ethernet-Frame?

Antwort anzeigen

Ein Ethernet-Frame ist die Datenübertragungseinheit auf Schicht 2. Er enthält unter anderem Ziel-MAC-Adresse, Quell-MAC-Adresse, Nutzdaten und eine Prüfsumme.

24. Was ist die Aufgabe der FCS oder CRC im Ethernet-Frame?

Antwort anzeigen

FCS beziehungsweise CRC dient zur Fehlererkennung. Damit kann erkannt werden, ob ein Ethernet-Frame beschädigt wurde.

Fehlerhafte Frames werden verworfen.

25. Was ist eine MAC-Adresse?

Antwort anzeigen

Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle. Sie ist normalerweise 48 Bit lang und wird hexadezimal dargestellt.

Beispiel:

00:1A:2B:3C:4D:5E

26. Was macht ein Switch?

Antwort anzeigen

Ein Switch verbindet Geräte in einem LAN und leitet Ethernet-Frames anhand der MAC-Adresse gezielt an den richtigen Port weiter.

27. Was ist der Unterschied zwischen einem Hub und einem Switch?

Antwort anzeigen

Ein Hub sendet empfangene Daten an alle Ports weiter.

Ein Switch lernt MAC-Adressen und sendet Frames gezielt nur an den passenden Port.

Ein Switch ist dadurch effizienter und sicherer als ein Hub.

28. Was ist eine SAT-Tabelle oder MAC Address Table?

Antwort anzeigen

Das ist die Tabelle eines Switches, in der gespeichert wird, welche MAC-Adresse an welchem Port erreichbar ist.

Dadurch kann der Switch Frames gezielt weiterleiten.

29. Was macht ARP?

Antwort anzeigen

ARP bedeutet Address Resolution Protocol.

ARP ermittelt zu einer IPv4-Adresse die passende MAC-Adresse im lokalen Netzwerk.

30. Was ist ein ARP-Request?

Antwort anzeigen

Ein ARP-Request ist eine Anfrage im lokalen Netzwerk:

„Wer hat diese IP-Adresse? Bitte sende mir deine MAC-Adresse.“

Diese Anfrage wird als Broadcast gesendet.

31. Was ist ein ARP-Reply?

Antwort anzeigen

Ein ARP-Reply ist die Antwort auf einen ARP-Request.

Das Zielgerät antwortet mit seiner MAC-Adresse.

32. Was ist ein Managed Switch?

Antwort anzeigen

Ein Managed Switch ist ein konfigurierbarer Switch. Man kann zum Beispiel VLANs, Port-Mirroring, Spanning Tree, Link Aggregation oder Port-Sicherheit einrichten.

33. Was ist Port-Mirroring?

Antwort anzeigen

Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port gespiegelt. Dadurch kann man den Verkehr zum Beispiel mit Wireshark analysieren.

Antwort anzeigen

Link Aggregation fasst mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammen.

Vorteile:

35. Was ist Power over Ethernet?

Antwort anzeigen

Power over Ethernet, kurz PoE, bedeutet, dass Strom und Daten über dasselbe Netzwerkkabel übertragen werden.

Typische Geräte sind Access Points, IP-Telefone und Überwachungskameras.

36. Wozu dient das Spanning Tree Protocol?

Antwort anzeigen

Das Spanning Tree Protocol verhindert Netzwerkschleifen zwischen Switches.

Es blockiert bestimmte redundante Verbindungen logisch und kann sie bei Ausfall einer anderen Verbindung wieder aktivieren.

37. Was ist ein VLAN?

Antwort anzeigen

Ein VLAN ist ein Virtual Local Area Network.

Damit kann ein physisches Netzwerk in mehrere logisch getrennte Netzwerke aufgeteilt werden.

38. Warum setzt man VLANs ein?

Antwort anzeigen

VLANs werden eingesetzt, um Netzbereiche logisch zu trennen.

Vorteile:

39. Was ist ein Tagged Port?

Antwort anzeigen

Ein Tagged Port überträgt VLAN-Informationen im Ethernet-Frame mit.

Er wird häufig für Verbindungen zwischen Switches oder zwischen Switch und Router/Firewall verwendet.

40. Was ist ein Untagged Port?

Antwort anzeigen

Ein Untagged Port gehört fest zu einem VLAN. Endgeräte wie PCs oder Drucker werden meistens an untagged Ports angeschlossen.

41. Was ist eine IPv4-Adresse?

Antwort anzeigen

Eine IPv4-Adresse ist eine 32-Bit-Adresse zur logischen Adressierung von Geräten in einem Netzwerk.

Beispiel:

192.168.1.10

42. Was macht die Subnetzmaske?

Antwort anzeigen

Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil.

Beispiel:

192.168.1.10/24

Hier gehören die ersten 24 Bit zum Netzanteil.

43. Was ist die Netzadresse bei 192.168.1.10/24?

Antwort anzeigen

Die Netzadresse ist:

192.168.1.0

Bei /24 gehören die ersten drei Oktette zum Netz. Das letzte Oktett ist der Hostanteil.

44. Was ist die Broadcast-Adresse bei 192.168.1.10/24?

Antwort anzeigen

Die Broadcast-Adresse ist:

192.168.1.255

Sie ist die letzte Adresse im Netz 192.168.1.0/24.

45. Wie viele nutzbare Hosts gibt es in einem /24-Netz?

Antwort anzeigen

Ein /24-Netz hat 256 Adressen.

Davon sind 2 nicht nutzbar:

Also gibt es 254 nutzbare Hostadressen.

46. Welche privaten IPv4-Adressbereiche gibt es?

Antwort anzeigen

Private IPv4-Adressbereiche sind:

Diese Adressen werden in privaten Netzwerken verwendet und nicht direkt im Internet geroutet.

47. Was bedeutet APIPA?

Antwort anzeigen

APIPA ist ein automatischer IPv4-Adressbereich, den ein Gerät verwenden kann, wenn kein DHCP-Server erreichbar ist.

Der Bereich lautet:

169.254.0.0/16

48. Was ist DHCP?

Antwort anzeigen

DHCP bedeutet Dynamic Host Configuration Protocol.

DHCP vergibt automatisch Netzwerkkonfigurationen an Clients, zum Beispiel:

49. Wie lautet der DHCP-Ablauf?

Antwort anzeigen

Der DHCP-Ablauf lautet DORA:

  1. Discover
  2. Offer
  3. Request
  4. Acknowledge

Der Client sucht einen DHCP-Server, bekommt ein Angebot, fordert die Adresse an und erhält eine Bestätigung.

50. Was macht DNS?

Antwort anzeigen

DNS bedeutet Domain Name System.

DNS übersetzt Namen in IP-Adressen.

Beispiel:

www.example.com

wird in eine passende IP-Adresse aufgelöst.

51. Was ist Routing?

Antwort anzeigen

Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten.

Ein Router verbindet zum Beispiel zwei unterschiedliche IP-Netze miteinander.

52. Was ist ein Standardgateway?

Antwort anzeigen

Das Standardgateway ist der Router, an den ein Gerät Pakete sendet, wenn das Ziel nicht im eigenen lokalen Netzwerk liegt.

53. Was ist der Unterschied zwischen statischem und dynamischem Routing?

Antwort anzeigen

Beim statischen Routing werden Routen manuell eingetragen.

Beim dynamischen Routing tauschen Router Informationen automatisch über Routing-Protokolle aus.

54. Was ist ein Layer-3-Switch?

Antwort anzeigen

Ein Layer-3-Switch kann nicht nur auf Schicht 2 switchen, sondern auch auf Schicht 3 routen.

Er wird häufig eingesetzt, um VLANs im LAN miteinander zu verbinden.

55. Was ist ein Port in der Netzwerktechnik?

Antwort anzeigen

Ein Port ist eine Nummer auf Schicht 4, mit der Anwendungen oder Dienste auf einem Gerät unterschieden werden.

Beispiel:

56. Was ist der Unterschied zwischen IP-Adresse und Port?

Antwort anzeigen

Die IP-Adresse sagt, welches Gerät gemeint ist.

Der Port sagt, welcher Dienst oder welche Anwendung auf diesem Gerät gemeint ist.

Beispiel:

192.168.1.10:443

Gerät: 192.168.1.10
Dienst: Port 443

57. Was ist TCP?

Antwort anzeigen

TCP ist ein verbindungsorientiertes Transportprotokoll.

Es sorgt für zuverlässige Datenübertragung, richtige Reihenfolge und erneute Übertragung bei Verlust.

58. Was ist UDP?

Antwort anzeigen

UDP ist ein verbindungsloses Transportprotokoll.

Es ist schneller und schlanker als TCP, garantiert aber keine Zustellung und keine richtige Reihenfolge.

59. Was ist der TCP-Three-Way-Handshake?

Antwort anzeigen

Der TCP-Three-Way-Handshake baut eine TCP-Verbindung auf.

Ablauf:

  1. Client sendet SYN
  2. Server antwortet mit SYN/ACK
  3. Client bestätigt mit ACK

Danach ist die Verbindung aufgebaut.

60. Nenne je zwei typische Dienste für TCP und UDP.

Antwort anzeigen

Typische TCP-Dienste:

Typische UDP-Dienste:

61. Was ist NAT?

Antwort anzeigen

NAT bedeutet Network Address Translation.

Dabei werden IP-Adressen übersetzt, zum Beispiel private interne IP-Adressen in eine öffentliche IP-Adresse für den Internetzugang.

62. Was ist PAT?

Antwort anzeigen

PAT bedeutet Port Address Translation.

Dabei werden zusätzlich Ports verwendet, damit mehrere interne Geräte gleichzeitig über eine öffentliche IP-Adresse ins Internet kommunizieren können.

63. Was ist Portforwarding?

Antwort anzeigen

Portforwarding leitet Anfragen von außen an ein internes Gerät weiter.

Beispiel:

Eine Anfrage an die öffentliche IP auf Port 443 wird an einen internen Webserver weitergeleitet.

64. Warum kann Portforwarding ein Sicherheitsrisiko sein?

Antwort anzeigen

Portforwarding macht interne Dienste von außen erreichbar.

Wenn der Dienst schlecht abgesichert, veraltet oder falsch konfiguriert ist, kann er angegriffen werden.

65. Was ist eine Allowlist?

Antwort anzeigen

Eine Allowlist erlaubt nur ausdrücklich freigegebene Verbindungen, Programme, Geräte oder Benutzer.

Alles andere wird blockiert.

66. Was ist eine Blocklist?

Antwort anzeigen

Eine Blocklist blockiert ausdrücklich verbotene Verbindungen, Programme, Geräte oder Benutzer.

Alles, was nicht auf der Blocklist steht, kann erlaubt sein.

67. Was ist sicherer: Allowlist oder Blocklist?

Antwort anzeigen

Eine Allowlist ist meistens sicherer, weil nur ausdrücklich erlaubte Dinge zugelassen werden.

Das Prinzip lautet:

Alles ist verboten, außer es wurde erlaubt.

68. Was macht eine Firewall?

Antwort anzeigen

Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln.

Sie entscheidet, welche Verbindungen erlaubt oder blockiert werden.

69. Welche Kriterien kann eine Firewall prüfen?

Antwort anzeigen

Eine Firewall kann zum Beispiel prüfen:

70. Was bedeutet Default Deny?

Antwort anzeigen

Default Deny bedeutet:

Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen werden zugelassen.

Das ist ein sicheres Grundprinzip für Firewall-Regeln.

71. Was ist eine Paketfilter-Firewall?

Antwort anzeigen

Eine Paketfilter-Firewall prüft einzelne Pakete anhand von Informationen wie Quell-IP, Ziel-IP, Protokoll und Port.

Sie betrachtet normalerweise nicht den vollständigen Verbindungszustand.

72. Was ist eine SPI-Firewall?

Antwort anzeigen

SPI bedeutet Stateful Packet Inspection.

Eine SPI-Firewall merkt sich bestehende Verbindungen und kann Antworten automatisch einer erlaubten Verbindung zuordnen.

73. Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?

Antwort anzeigen

Ein Paketfilter prüft einzelne Pakete anhand fester Regeln.

Eine SPI-Firewall prüft zusätzlich den Zustand der Verbindung. Dadurch kann sie erkennen, ob ein Paket zu einer bereits erlaubten Verbindung gehört.

74. Was ist eine DMZ?

Antwort anzeigen

DMZ bedeutet Demilitarisierte Zone.

Eine DMZ ist ein separates Netzwerk für Server, die von außen erreichbar sein müssen, zum Beispiel Webserver oder Reverse Proxy.

75. Warum verwendet man eine DMZ?

Antwort anzeigen

Eine DMZ schützt das interne LAN.

Wenn ein öffentlich erreichbarer Server in der DMZ angegriffen oder kompromittiert wird, soll der Angreifer nicht direkt Zugriff auf das interne Netzwerk bekommen.

76. Was ist der Unterschied zwischen einstufiger und zweistufiger DMZ?

Antwort anzeigen

Bei einer einstufigen DMZ trennt eine Firewall Internet, DMZ und LAN.

Bei einer zweistufigen DMZ gibt es zwei Firewalls: eine zwischen Internet und DMZ und eine zwischen DMZ und LAN.

Die zweistufige DMZ ist sicherer, aber aufwendiger.

77. Was ist die INPUT-Chain bei einer Linux-Firewall?

Antwort anzeigen

INPUT betrifft Datenverkehr, der direkt an die Firewall selbst gerichtet ist.

Beispiel:

Ein Administrator verbindet sich per SSH mit der Firewall.

78. Was ist die OUTPUT-Chain bei einer Linux-Firewall?

Antwort anzeigen

OUTPUT betrifft Datenverkehr, der von der Firewall selbst ausgeht.

Beispiel:

Die Firewall stellt selbst eine DNS-Anfrage oder lädt Updates herunter.

79. Was ist die FORWARD-Chain bei einer Linux-Firewall?

Antwort anzeigen

FORWARD betrifft Datenverkehr, der durch die Firewall hindurchgeleitet wird.

Beispiel:

Ein Client aus dem LAN geht über die Firewall ins Internet.

80. Warum ist eine Firewall allein kein vollständiger Schutz?

Antwort anzeigen

Eine Firewall schützt nur nach ihren Regeln und an der Stelle, an der sie eingesetzt wird.

Zusätzlich braucht man:

Netzwerk

Ziel dieser Zusammenfassung

Diese Zusammenfassung führt Schritt für Schritt durch zentrale Themen der Netzwerktechnik.

Behandelte Themen:

1. Grundlagen der Netzwerktechnik

Ein Netzwerk verbindet mehrere Geräte miteinander, damit diese Daten austauschen und gemeinsame Ressourcen verwenden können.

Typische Geräte in einem Netzwerk:

Ein Netzwerk besteht also nicht nur aus Computern, sondern aus allen Geräten, die miteinander kommunizieren können.

1.1 Vorteile von Netzwerken

Netzwerke werden eingesetzt, weil sie viele praktische Vorteile bieten:

Beispiel:

In einem Unternehmen müssen nicht alle Mitarbeiter eigene Drucker besitzen. Alle können über das Netzwerk denselben Netzwerkdrucker verwenden.

1.2 Nachteile und Risiken von Netzwerken

Netzwerke bringen auch Risiken mit sich:

Deshalb sind Schutzmaßnahmen wie Firewalls, VLANs, Benutzerrechte, Updates und Backups wichtig.

1.3 Netzwerkgrößen

Netzwerke werden oft nach ihrer räumlichen Ausdehnung unterschieden.

Begriff Bedeutung Beispiel
LAN Local Area Network Netzwerk in einem Büro, Schule oder Zuhause
MAN Metropolitan Area Network Netzwerk innerhalb einer Stadt
WAN Wide Area Network Netzwerk über große Entfernungen, z. B. Internet

1.4 Topologien

Eine Topologie beschreibt, wie Geräte in einem Netzwerk miteinander verbunden sind.

Topologie Erklärung
Bus Alle Geräte hängen an einer gemeinsamen Leitung. Heute veraltet.
Ring Geräte sind ringförmig verbunden. Daten laufen im Kreis.
Stern Alle Geräte sind mit einem zentralen Gerät verbunden, meistens einem Switch.
Mesh Geräte sind mehrfach miteinander verbunden. Dadurch entsteht Redundanz.

Grafik: Sterntopologie

flowchart TD
    SW[Switch]
    PC1[PC 1]
    PC2[PC 2]
    PC3[PC 3]
    PR[Drucker]
    NAS[NAS / Server]

    SW --- PC1
    SW --- PC2
    SW --- PC3
    SW --- PR
    SW --- NAS

Die Sterntopologie ist heute im LAN am häufigsten. Fällt ein einzelnes Kabel aus, ist meist nur ein Gerät betroffen. Fällt aber der zentrale Switch aus, sind alle daran angeschlossenen Geräte betroffen.

1.5 Simplex, Halbduplex und Vollduplex

Begriff Bedeutung Beispiel
Simplex Kommunikation nur in eine Richtung Radio, Fernsehsendung
Halbduplex Kommunikation in beide Richtungen, aber nicht gleichzeitig Funkgerät
Vollduplex Kommunikation gleichzeitig in beide Richtungen modernes Ethernet mit Switch

Merksatz:

2. OSI-Schichtenmodell

Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Jede Schicht hat eine bestimmte Aufgabe.

Der Vorteil: Netzwerkprobleme lassen sich besser eingrenzen.

Beispiel:

Wenn ein PC keine Webseite öffnen kann, kann man schrittweise prüfen:

2.1 Die 7 OSI-Schichten

Schicht Name Aufgabe Beispiele
7 Anwendung Dienste für Anwendungen HTTP, HTTPS, DNS, SMTP
6 Darstellung Datenformat, Codierung, Verschlüsselung TLS, Zeichencodierung
5 Sitzung Verbindungen zwischen Anwendungen verwalten Sitzungen, Logins
4 Transport Ende-zu-Ende-Kommunikation TCP, UDP, Ports
3 Vermittlung logische Adressierung und Routing IP, Router
2 Sicherung lokale Zustellung im LAN MAC-Adresse, Switch, Ethernet
1 Bitübertragung elektrische, optische oder Funk-Signale Netzwerkkarte, Kabel
0 Übertragungsmedium physisches Medium selbst Kupfer, Glasfaser, Funk

Hinweis:

Schicht 0 gehört nicht offiziell zum OSI-Modell, wird im Unterricht aber oft als praktische Ergänzung verwendet.

2.2 Merksatz für das OSI-Modell

Von oben nach unten:

Alle Deutschen Schüler Trinken Verschiedene Sorten Brause

Wort Schicht
Alle Anwendung
Deutschen Darstellung
Schüler Sitzung
Trinken Transport
Verschiedene Vermittlung
Sorten Sicherung
Brause Bitübertragung

2.3 OSI-Modell als Grafik

flowchart TB
    L7["7 Anwendung<br>HTTP, HTTPS, DNS"]
    L6["6 Darstellung<br>Format, Verschlüsselung"]
    L5["5 Sitzung<br>Sitzungen, Verbindungen"]
    L4["4 Transport<br>TCP, UDP, Ports"]
    L3["3 Vermittlung<br>IP, Routing"]
    L2["2 Sicherung<br>MAC, Switch, Ethernet"]
    L1["1 Bitübertragung<br>Signale, Netzwerkkarte"]
    L0["0 Medium<br>Kabel, Glasfaser, Funk"]

    L7 --> L6 --> L5 --> L4 --> L3 --> L2 --> L1 --> L0

2.4 TCP/IP-Modell

In der Praxis wird häufig das TCP/IP-Modell verwendet. Es ist weniger theoretisch als das OSI-Modell und orientiert sich stärker an realen Netzwerken.

TCP/IP-Schicht Entspricht ungefähr OSI Beispiele
Anwendung OSI 5–7 HTTP, HTTPS, DNS, SMTP
Transport OSI 4 TCP, UDP
Internet OSI 3 IPv4, IPv6, ICMP
Netzzugang OSI 1–2 Ethernet, WLAN, MAC

2.5 Datenkapselung

Beim Senden werden Daten auf jeder Schicht verpackt. Jede Schicht fügt eigene Steuerinformationen hinzu.

Beispiel beim Aufruf einer Webseite:

flowchart TD
    A["HTTP-Daten<br>Webseiteninhalt"]
    B["TCP-Header + HTTP-Daten<br>Port 80/443"]
    C["IP-Header + TCP + Daten<br>Quell-IP / Ziel-IP"]
    D["Ethernet-Header + IP + TCP + Daten<br>Quell-MAC / Ziel-MAC"]
    E["Bits auf Kabel / Glasfaser / Funk"]

    A --> B --> C --> D --> E

Wichtig für die IHK:

3. Schicht 0 – Übertragungsmedien

Schicht 0 beschreibt das Medium, über das Daten übertragen werden.

Typische Medien:

3.1 Koaxialkabel

Koaxialkabel wurden früher häufig in Bus-Netzwerken verwendet. Heute sind sie in klassischen LANs veraltet.

Merkmale:

3.2 Twisted-Pair-Kabel

Twisted-Pair-Kabel sind die typischen Netzwerkkabel mit RJ45-Stecker.

Die Adernpaare sind verdrillt. Dadurch werden Störungen reduziert.

Kategorie Typische Verwendung
Cat 5e bis 1 Gbit/s
Cat 6 1 Gbit/s, teilweise 2,5/5 Gbit/s
Cat 6A bis 10 Gbit/s
Cat 7 hochwertige Gebäudeverkabelung
Cat 8 sehr hohe Datenraten im kurzen Bereich

Faustregel:

Für normale Büro- und Heimnetzwerke ist Cat 6 oder Cat 6A meistens ausreichend.

3.3 Lichtwellenleiter

Lichtwellenleiter übertragen Daten mit Licht statt mit elektrischen Signalen.

Vorteile:

Nachteile:

3.4 Multimode und Singlemode

Typ Erklärung Einsatz
Multimode Licht läuft auf mehreren Wegen durch die Faser kurze bis mittlere Strecken
Singlemode Licht läuft auf einem sehr engen Weg lange Strecken

Merksatz:

3.5 Verkabelungsregel

Eine einfache praktische Regel:

Entfernung Medium
bis ca. 100 m Twisted-Pair-Kupferkabel
bis mehrere hundert Meter Multimode-LWL
größere Entfernungen Singlemode-LWL

3.6 WLAN

WLAN überträgt Daten per Funk.

Wichtige Frequenzbereiche:

Frequenz Eigenschaften
2,4 GHz hohe Reichweite, aber oft stärker belegt
5 GHz schneller, weniger Reichweite
6 GHz modern, hohe Geschwindigkeit, kürzere Reichweite

Wichtige WLAN-Generationen:

Name Standard
Wi-Fi 4 IEEE 802.11n
Wi-Fi 5 IEEE 802.11ac
Wi-Fi 6 IEEE 802.11ax
Wi-Fi 6E IEEE 802.11ax mit 6 GHz
Wi-Fi 7 IEEE 802.11be

3.7 WLAN-Sicherheit

Für die IHK wichtig:

4. Ethernet-Frame

Ethernet arbeitet auf Schicht 2. Die Daten werden in Frames übertragen.

Ein Ethernet-Frame enthält unter anderem:

4.1 Ethernet-Frame als Grafik

flowchart LR
    A["Präambel"]
    B["Ziel-MAC"]
    C["Quell-MAC"]
    D["Typ"]
    E["Daten<br>z. B. IP + TCP + HTTP"]
    F["FCS / Prüfsumme"]

    A --> B --> C --> D --> E --> F

4.2 MAC-Adresse

Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle.

Eigenschaften:

Wichtig:

Eine MAC-Adresse wird nur im lokalen Netzwerksegment verwendet. Sobald ein Paket über einen Router weitergeleitet wird, ändern sich die MAC-Adressen auf dem Weg. Die IP-Adressen bleiben dagegen im Normalfall gleich.

4.3 FCS / CRC

Die Prüfsumme dient zur Fehlererkennung.

Wenn ein Frame beschädigt ist, kann dies erkannt werden. Der Frame wird dann verworfen.

Wichtig:

Ethernet korrigiert Fehler nicht selbst. Fehlerhafte Frames werden verworfen. Höhere Schichten, zum Beispiel TCP, können dann eine erneute Übertragung auslösen.

4.4 MTU und Nutzdaten

Die übliche MTU bei Ethernet beträgt 1500 Byte.

Das bedeutet:

Ein Ethernet-Frame kann typischerweise 1500 Byte Nutzdaten für die nächsthöhere Schicht transportieren.

Da IP- und TCP-Header ebenfalls Platz benötigen, bleiben für reine Anwendungsdaten weniger als 1500 Byte übrig.

5. Sniffer

Ein Sniffer ist ein Werkzeug zur Analyse von Netzwerkverkehr.

Beispiele:

Sniffer werden zur Fehlersuche eingesetzt.

Beispiele:

5.1 Rechtlicher Hinweis

Sniffing darf nur erlaubt und kontrolliert eingesetzt werden.

In Unternehmen gilt:

Für Ausbildung und Laborumgebungen ist Sniffing sinnvoll, solange keine fremden Daten ausspioniert werden.

6. Schicht 1 – Bitübertragung

Schicht 1 beschreibt die technische Übertragung der Bits.

Dazu gehören:

6.1 Netzwerkkarte

Die Netzwerkkarte verbindet den Computer mit dem Netzwerk.

Aufgaben:

6.2 CSMA/CD und CSMA/CA

Verfahren Bedeutung Einsatz
CSMA/CD Kollisionserkennung alte kabelgebundene Netze mit Hub
CSMA/CA Kollisionsvermeidung WLAN

Merksatz:

6.3 Hub

Ein Hub ist ein veraltetes Netzwerkgerät.

Eigenschaften:

7. Schicht 2 – Sicherungsschicht

Schicht 2 ist für die lokale Kommunikation im gleichen Netzwerk zuständig.

Wichtige Begriffe:

7.1 Switch

Ein Switch verbindet Geräte in einem LAN.

Er arbeitet hauptsächlich auf Schicht 2 und leitet Frames anhand der MAC-Adresse weiter.

Vorteile gegenüber einem Hub:

7.2 Switch-Tabelle

Ein Switch merkt sich, welche MAC-Adresse an welchem Port erreichbar ist.

Diese Tabelle wird oft MAC Address Table, SAT-Tabelle oder Forwarding Table genannt.

Ablauf:

  1. Ein Frame kommt am Switch an.
  2. Der Switch liest die Quell-MAC-Adresse.
  3. Er merkt sich: Diese MAC-Adresse befindet sich an diesem Port.
  4. Bei späteren Frames zur gleichen MAC-Adresse kann der Switch gezielt weiterleiten.

7.3 ARP

ARP bedeutet Address Resolution Protocol.

ARP wird bei IPv4 verwendet, um zu einer IP-Adresse die passende MAC-Adresse zu finden.

Beispiel:

Ein PC möchte an 192.168.1.20 senden, kennt aber nur die IP-Adresse.

Dann fragt er per Broadcast:

„Wer hat 192.168.1.20?“

Das Zielgerät antwortet:

„Ich habe 192.168.1.20, meine MAC-Adresse ist ...“

7.4 ARP als Grafik

sequenceDiagram
    participant PC1 as PC 1
    participant LAN as LAN / Switch
    participant PC2 as PC 2

    PC1->>LAN: ARP Request: Wer hat 192.168.1.20?
    LAN->>PC2: Broadcast wird weitergeleitet
    PC2->>PC1: ARP Reply: Ich habe die IP, meine MAC ist AA:BB:CC...

7.5 Managed und unmanaged Switch

Typ Erklärung
Unmanaged Switch keine Konfiguration nötig, einfache Nutzung
Managed Switch konfigurierbar, z. B. VLAN, Port-Mirroring, STP, PoE

Für Unternehmen sind managed Switches wichtig, weil sie mehr Kontrolle und Sicherheit bieten.

7.6 Port-Mirroring

Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port kopiert.

Einsatz:

Vorteile:

Wichtig:

Eine einzelne Verbindung wird nicht automatisch doppelt so schnell. Die Last wird meistens auf mehrere Verbindungen verteilt.

7.8 Power over Ethernet

Power over Ethernet, kurz PoE, überträgt Daten und Strom über dasselbe Netzwerkkabel.

Typische Geräte:

Vorteil:

Man braucht nicht an jedem Gerät eine eigene Steckdose.

7.9 Spanning Tree Protocol

Das Spanning Tree Protocol verhindert Schleifen zwischen Switches.

Warum ist das wichtig?

Wenn Switches mehrfach miteinander verbunden sind, kann ein Broadcast endlos im Kreis laufen. Dadurch kann das Netzwerk stark überlastet werden.

STP blockiert bestimmte Verbindungen logisch und aktiviert sie bei Bedarf wieder, wenn eine andere Verbindung ausfällt.

7.10 Spanning Tree als Grafik

flowchart TD
    SW1[Switch 1]
    SW2[Switch 2]
    SW3[Switch 3]
    SW4[Switch 4]

    SW1 --- SW2
    SW2 --- SW3
    SW3 -. blockiert durch STP .- SW4
    SW4 --- SW1

Die gestrichelte Verbindung ist vorhanden, wird aber logisch blockiert. Fällt eine andere Verbindung aus, kann STP neu berechnen und die blockierte Verbindung wieder aktivieren.

7.11 VLAN

VLAN bedeutet Virtual Local Area Network.

Ein VLAN teilt ein physisches Netzwerk in mehrere logische Netzwerke auf.

Beispiel:

Ein Switch kann gleichzeitig mehrere getrennte Netze bereitstellen:

Vorteile:

7.12 VLAN als Grafik

flowchart TD
    SW[Managed Switch]

    PC1[PC Verwaltung<br>VLAN 10]
    PC2[PC Verwaltung<br>VLAN 10]
    PC3[Gastgerät<br>VLAN 30]
    PC4[Server<br>VLAN 40]

    SW --- PC1
    SW --- PC2
    SW --- PC3
    SW --- PC4

Geräte im gleichen VLAN können direkt miteinander kommunizieren. Geräte in unterschiedlichen VLANs benötigen Routing, meist über einen Router, Layer-3-Switch oder eine Firewall.

7.13 Tagged und Untagged VLAN

Begriff Erklärung
Untagged Port Port gehört fest zu einem VLAN, z. B. Endgerät
Tagged Port VLAN-Information wird im Frame mitgesendet, z. B. Verbindung zwischen Switches
Trunk Verbindung, die mehrere VLANs transportiert

Beispiel:

Ein PC-Port ist meistens untagged. Eine Verbindung zwischen zwei Switches ist meistens tagged.

8. Schicht 3 – Vermittlungsschicht

Schicht 3 ist für logische Adressierung und Routing zuständig.

Wichtige Themen:

8.1 IPv4-Adresse

Eine IPv4-Adresse ist 32 Bit lang.

Sie wird in vier Oktette aufgeteilt.

Beispiel:

192.168.1.10

Binär:

11000000.10101000.00000001.00001010

Jedes Oktett hat 8 Bit und kann Werte von 0 bis 255 enthalten.

8.2 Subnetzmaske

Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil.

Beispiel:

IP-Adresse:

192.168.1.10

Subnetzmaske:

255.255.255.0

CIDR-Schreibweise:

/24

Das bedeutet:

Netz:

192.168.1.0/24

Hostbereich:

192.168.1.1 bis 192.168.1.254

Broadcast:

192.168.1.255

8.3 IPv4-Netz als Grafik

flowchart LR
    A["192.168.1.0<br>Netzadresse"]
    B["192.168.1.1<br>erster Host"]
    C["192.168.1.10<br>Host"]
    D["192.168.1.254<br>letzter Host"]
    E["192.168.1.255<br>Broadcast"]

    A --> B --> C --> D --> E

8.4 Netzadresse und Broadcast

In jedem IPv4-Netz gibt es zwei besondere Adressen:

Adresse Bedeutung
erste Adresse Netzadresse
letzte Adresse Broadcast-Adresse

Diese beiden Adressen können nicht als normale Hostadresse verwendet werden.

Beispiel bei 192.168.1.0/24:

Typ Adresse
Netzadresse 192.168.1.0
erster Host 192.168.1.1
letzter Host 192.168.1.254
Broadcast 192.168.1.255

8.5 Private IPv4-Adressbereiche

Private IP-Adressen werden in lokalen Netzwerken verwendet und nicht direkt im Internet geroutet.

Bereich CIDR
10.0.0.0 bis 10.255.255.255 10.0.0.0/8
172.16.0.0 bis 172.31.255.255 172.16.0.0/12
192.168.0.0 bis 192.168.255.255 192.168.0.0/16

Diese Bereiche sind besonders wichtig für Heimnetzwerke, Firmennetze, Labore und virtuelle Umgebungen.

8.6 Besondere IPv4-Adressen

Adresse Bedeutung
0.0.0.0 unspezifizierte Adresse
127.0.0.1 localhost / Loopback
169.254.0.0/16 APIPA / Link Local
255.255.255.255 lokaler Broadcast

APIPA sieht man häufig, wenn ein Client keine Adresse vom DHCP-Server bekommt.

8.7 Subnetting

Subnetting bedeutet, ein größeres Netzwerk in kleinere Teilnetze aufzuteilen.

Warum macht man Subnetting?

Beispiel:

Aus 192.168.1.0/24 werden zwei Subnetze:

Subnetz Bereich
192.168.1.0/25 192.168.1.0 bis 192.168.1.127
192.168.1.128/25 192.168.1.128 bis 192.168.1.255

Nutzbare Hosts:

Subnetz nutzbare Hosts
192.168.1.0/25 192.168.1.1 bis 192.168.1.126
192.168.1.128/25 192.168.1.129 bis 192.168.1.254

8.8 Subnetting-Regel

Formel:

Anzahl Adressen = 2^(Hostbits)

nutzbare Hosts = 2^(Hostbits) - 2

Beispiel /24:

8.9 Häufige CIDR-Werte

CIDR Subnetzmaske Adressen nutzbare Hosts
/24 255.255.255.0 256 254
/25 255.255.255.128 128 126
/26 255.255.255.192 64 62
/27 255.255.255.224 32 30
/28 255.255.255.240 16 14
/29 255.255.255.248 8 6
/30 255.255.255.252 4 2

Für IHK-Aufgaben sind diese Werte sehr wichtig.

8.10 IPv6

IPv6 ist der Nachfolger von IPv4.

Eigenschaften:

Beispiel:

2001:0db8:0000:0000:0000:ff00:0042:8329

Gekürzt:

2001:db8::ff00:42:8329

8.11 IPv6 kürzen

Regeln:

Beispiel:

Lang:

2001:0db8:0000:0000:0000:0000:0000:0001

Kurz:

2001:db8::1

Wichtig:

:: darf nur einmal in einer IPv6-Adresse verwendet werden, sonst wäre die Adresse nicht eindeutig.

8.12 Besondere IPv6-Adressen

Adresse / Bereich Bedeutung
:: unspezifizierte Adresse
::1 Loopback
fe80::/10 Link Local
fc00::/7 Unique Local Address
ff00::/8 Multicast

8.13 DHCP

DHCP vergibt automatisch Netzwerkkonfigurationen an Clients.

Typische DHCP-Informationen:

8.14 DHCP-Ablauf

Der typische DHCP-Ablauf besteht aus vier Schritten:

Schritt Bedeutung
Discover Client sucht DHCP-Server
Offer Server bietet Adresse an
Request Client fordert Adresse an
Acknowledge Server bestätigt die Vergabe

Merksatz:

DORA

8.15 DHCP als Grafik

sequenceDiagram
    participant C as Client
    participant S as DHCP-Server

    C->>S: DHCP Discover
    S->>C: DHCP Offer
    C->>S: DHCP Request
    S->>C: DHCP Acknowledge

8.16 DNS

DNS bedeutet Domain Name System.

DNS übersetzt Namen in IP-Adressen.

Beispiel:

www.example.com

wird zu einer IP-Adresse aufgelöst.

Warum ist DNS wichtig?

Menschen merken sich Namen leichter als IP-Adressen.

8.17 FQDN

FQDN bedeutet Fully Qualified Domain Name.

Beispiel:

server01.firma.local

Bestandteile:

Teil Bedeutung
server01 Hostname
firma Domain
local Top-Level oder interner Namensraum

8.18 Routing

Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten.

Ein Router verbindet mehrere IP-Netze.

Beispiel:

Damit Geräte aus beiden Netzen kommunizieren können, braucht man einen Router oder Layer-3-Switch.

8.19 Routing als Grafik

flowchart LR
    A["PC A<br>192.168.1.10/24"]
    R["Router<br>192.168.1.1 / 192.168.2.1"]
    B["PC B<br>192.168.2.10/24"]

    A --- R --- B

Wenn PC A mit PC B kommunizieren möchte, erkennt PC A:

PC B liegt nicht im eigenen Netz. Deshalb sendet PC A das Paket an sein Standardgateway.

8.20 Statisches und dynamisches Routing

Art Erklärung
statisches Routing Routen werden manuell eingetragen
dynamisches Routing Router tauschen Routen automatisch aus

Für kleinere Netze reichen statische Routen oft aus. In größeren Netzen verwendet man dynamische Routing-Protokolle.

8.21 Layer-3-Switch

Ein Layer-3-Switch kann zusätzlich zum Switching auch Routing übernehmen.

Typischer Einsatz:

Beispiel:

VLAN 10 und VLAN 20 können über einen Layer-3-Switch miteinander kommunizieren, wenn Routing erlaubt ist.

9. Schicht 4 – Transportschicht

Schicht 4 ist für die Kommunikation zwischen Anwendungen zuständig.

Wichtige Themen:

9.1 Ports

Ports dienen dazu, Anwendungen auf einem Gerät zu unterscheiden.

Ein Gerät kann eine IP-Adresse haben, aber viele Dienste gleichzeitig anbieten.

Beispiel:

Dienst Port
HTTP 80
HTTPS 443
DNS 53
SSH 22
SMTP 25
IMAP 143
RDP 3389

Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welche Anwendung auf dem Gerät gemeint ist.

9.2 Schreibweise IP-Adresse mit Port

Beispiele:

9.3 Portbereiche

Bereich Name Bedeutung
0–1023 System Ports / Well-known Ports bekannte Standarddienste
1024–49151 User Ports registrierte Anwendungen
49152–65535 Dynamic / Private Ports temporäre Client-Ports

9.4 TCP

TCP ist verbindungsorientiert.

Eigenschaften:

Typische TCP-Dienste:

9.5 TCP-Verbindungsaufbau

TCP nutzt den Three-Way-Handshake.

sequenceDiagram
    participant C as Client
    participant S as Server

    C->>S: SYN
    S->>C: SYN/ACK
    C->>S: ACK

Danach ist die Verbindung aufgebaut.

9.6 TCP-Verbindungsabbau

Eine TCP-Verbindung wird kontrolliert beendet.

Vereinfacht:

sequenceDiagram
    participant C as Client
    participant S as Server

    C->>S: FIN
    S->>C: ACK
    S->>C: FIN
    C->>S: ACK

9.7 UDP

UDP ist verbindungslos.

Eigenschaften:

Typische UDP-Dienste:

9.8 TCP und UDP Vergleich

Merkmal TCP UDP
Verbindung verbindungsorientiert verbindungslos
Zuverlässigkeit hoch keine Garantie
Reihenfolge wird sichergestellt nicht garantiert
Geschwindigkeit mehr Overhead weniger Overhead
Beispiele HTTPS, SSH, SMTP DNS, DHCP, VoIP

9.9 NAT

NAT bedeutet Network Address Translation.

NAT übersetzt IP-Adressen.

Typischer Fall:

Viele private Geräte im LAN nutzen eine gemeinsame öffentliche IP-Adresse für den Zugriff ins Internet.

Beispiel:

Der Router ersetzt beim Senden ins Internet die private Quelladresse durch seine öffentliche Adresse.

9.10 NAT als Grafik

flowchart LR
    PC["PC<br>192.168.1.10"]
    R["Router / NAT<br>innen: 192.168.1.1<br>außen: öffentliche IP"]
    INET["Internet<br>Webserver"]

    PC --> R --> INET
    INET --> R --> PC

9.11 PAT

PAT bedeutet Port Address Translation.

PAT ist eine Form von NAT, bei der zusätzlich Ports genutzt werden.

Dadurch können viele interne Geräte gleichzeitig über eine öffentliche IP-Adresse kommunizieren.

Beispiel:

Intern Extern
192.168.1.10:50001 öffentliche-IP:61001
192.168.1.11:50002 öffentliche-IP:61002

Der Router merkt sich diese Zuordnung in einer NAT-Tabelle.

9.12 Portforwarding

Portforwarding wird auch Destination NAT genannt.

Dabei wird eine Anfrage von außen an ein internes Gerät weitergeleitet.

Beispiel:

Anfrage aus dem Internet an:

öffentliche-IP:443

wird weitergeleitet an:

192.168.1.20:443

Typische Verwendung:

Sicherheitswarnung:

Portforwarding öffnet Dienste nach außen. Deshalb sollte man nur notwendige Ports freigeben und Dienste aktuell halten.

9.13 Portforwarding als Grafik

flowchart LR
    I["Client im Internet"]
    R["Router / Firewall<br>Port 443 offen"]
    S["Interner Webserver<br>192.168.1.20:443"]

    I --> R --> S

9.14 Allowlist und Blocklist

Begriff Bedeutung
Allowlist Nur ausdrücklich erlaubte Dinge sind erlaubt
Blocklist Nur ausdrücklich verbotene Dinge sind blockiert

Sicherer ist meistens das Allowlist-Prinzip:

Alles ist verboten, außer es wurde ausdrücklich erlaubt.

10. Firewalls

Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln.

Sie entscheidet:

Eine Firewall schützt nicht automatisch vor allem. Sie ist nur so gut wie ihre Regeln und ihre Platzierung im Netzwerk.

10.1 Aufgaben einer Firewall

Eine Firewall kann:

10.2 Personal Firewall und Unternehmens-Firewall

Typ Erklärung
Personal Firewall läuft direkt auf einem einzelnen PC oder Server
Unternehmens-Firewall schützt ein gesamtes Netzwerk oder mehrere Netzbereiche

Beispiel:

Die Windows Defender Firewall ist eine Personal Firewall.

Eine Firewall zwischen LAN und Internet ist eine Unternehmens-Firewall.

10.3 Paketfilter-Firewall

Eine einfache Paketfilter-Firewall prüft einzelne Pakete anhand von Regeln.

Sie betrachtet zum Beispiel:

Nachteil:

Klassische Paketfilter kennen oft keinen Verbindungszustand. Hin- und Rückweg müssen dann separat erlaubt werden.

Für die IHK wichtig:

Paketfilter-Firewalls sind weiterhin prüfungsrelevant, auch wenn moderne Firewalls meist zustandsorientiert arbeiten.

10.4 Stateful Packet Inspection Firewall

Eine SPI-Firewall ist zustandsorientiert.

SPI bedeutet Stateful Packet Inspection.

Das bedeutet:

Die Firewall merkt sich bestehende Verbindungen.

Vorteil:

Wenn ein Client aus dem LAN eine Verbindung nach außen aufbaut, kann die Antwort automatisch wieder zurückgelassen werden.

Der Rückweg muss nicht extra als neue Regel eingerichtet werden.

10.5 Paketfilter vs. SPI-Firewall

Merkmal Paketfilter SPI-Firewall
prüft einzelne Pakete ja ja
kennt Verbindungszustand nein oder begrenzt ja
Rückweg automatisch erlaubt nein ja, wenn Verbindung gültig
Sicherheit geringer höher
heutige Praxis eher veraltet üblich

10.6 Firewall-Regeln nach OSI-Schichten

Eine Firewall kann je nach Typ verschiedene Informationen prüfen.

OSI-Schicht Prüfkriterium Beispiel
Schicht 2 MAC-Adresse Nur Gerät mit bestimmter MAC erlauben
Schicht 3 IP-Adresse Quelle 192.168.1.10 erlauben
Schicht 4 TCP / UDP und Ports TCP 443 erlauben
Schicht 7 Anwendung HTTP, DNS, bestimmte URLs

Wichtig:

Je höher die Schicht, desto genauer kann geprüft werden. Dafür braucht die Firewall aber mehr Leistung und mehr Verständnis des Datenverkehrs.

10.7 Grundprinzip: Default Deny

Ein sicheres Firewall-Konzept arbeitet häufig nach diesem Prinzip:

Alles ist verboten, außer es wurde ausdrücklich erlaubt.

Das nennt man Default Deny.

Beispiel:

Erlaubt:

Verboten:

10.8 Firewall als Grenze zwischen Netzen

flowchart LR
    LAN["Internes LAN<br>vertrauenswürdiger Bereich"]
    FW["Firewall<br>Regelprüfung"]
    WAN["Internet<br>nicht vertrauenswürdiger Bereich"]

    LAN --> FW --> WAN
    WAN --> FW --> LAN

Die Firewall steht zwischen verschiedenen Sicherheitszonen.

10.9 Typische Firewall-Zonen

Zone Bedeutung
LAN internes vertrauenswürdiges Netz
WAN Internet / externes Netz
DMZ separates Netz für öffentlich erreichbare Server
Gäste-Netz getrenntes Netz für Besucher
Servernetz separates Netz für wichtige Server

10.10 DMZ

DMZ bedeutet Demilitarisierte Zone.

Eine DMZ ist ein separates Netzwerk für Server, die aus dem Internet erreichbar sein müssen.

Beispiele:

Warum DMZ?

Wenn ein öffentlich erreichbarer Server kompromittiert wird, soll der Angreifer nicht direkt im internen LAN stehen.

10.11 DMZ als Grafik

flowchart LR
    WAN["Internet"]
    FW["Firewall"]
    LAN["Internes LAN<br>Clients, Dateien, interne Server"]
    DMZ["DMZ<br>Webserver / Reverse Proxy"]

    WAN --- FW
    FW --- LAN
    FW --- DMZ

Regelbeispiel:

Richtung Regel
Internet → DMZ Nur HTTPS zum Webserver erlauben
Internet → LAN blockieren
DMZ → LAN nur absolut notwendige Verbindungen
LAN → DMZ Administration nur von Admin-PCs
LAN → Internet notwendige Dienste erlauben

10.12 Einstufige und zweistufige DMZ

Einstufige DMZ

Eine Firewall trennt Internet, LAN und DMZ.

Vorteil:

Nachteil:

Zweistufige DMZ

Zwei Firewalls trennen Internet, DMZ und LAN.

Vorteil:

Nachteil:

10.13 Einstufige DMZ

flowchart LR
    I["Internet"]
    FW["Firewall mit 3 Schnittstellen"]
    LAN["LAN"]
    DMZ["DMZ"]

    I --- FW
    FW --- LAN
    FW --- DMZ

10.14 Zweistufige DMZ

flowchart LR
    I["Internet"]
    FW1["Firewall 1"]
    DMZ["DMZ"]
    FW2["Firewall 2"]
    LAN["Internes LAN"]

    I --- FW1 --- DMZ --- FW2 --- LAN

10.15 Firewall-Regeln verstehen

Eine Firewall-Regel besteht typischerweise aus:

Bestandteil Beispiel
Quelle 192.168.10.0/24
Ziel 8.8.8.8
Protokoll TCP oder UDP
Port 53, 80, 443
Aktion erlauben oder blockieren
Richtung eingehend, ausgehend, weitergeleitet

Beispielregel:

LAN darf per TCP Port 443 ins Internet.

Das bedeutet:

10.16 INPUT, OUTPUT und FORWARD

Bei Linux-Firewalls mit iptables sind drei Richtungen besonders wichtig.

Chain Bedeutung
INPUT Verkehr zur Firewall selbst
OUTPUT Verkehr von der Firewall selbst nach außen
FORWARD Verkehr durch die Firewall hindurch

Beispiele:

Situation Chain
Admin greift per SSH auf Firewall zu INPUT
Firewall macht selbst DNS-Abfrage OUTPUT
PC im LAN geht über Firewall ins Internet FORWARD

10.17 INPUT, OUTPUT und FORWARD als Grafik

flowchart LR
    LAN["LAN-Client"]
    FW["Firewall-System"]
    NET["Internet"]

    LAN -- "FORWARD<br>durch die Firewall" --> FW
    FW -- "FORWARD" --> NET

    LAN -- "INPUT<br>zur Firewall selbst" --> FW
    FW -- "OUTPUT<br>von der Firewall selbst" --> NET

10.18 Beispiel für einfache Firewall-Logik

Ziel:

Regellogik:

  1. Erlaube bestehende und zugehörige Verbindungen.
  2. Erlaube LAN → Internet für notwendige Dienste.
  3. Blockiere neue Verbindungen von Internet → LAN.
  4. Protokolliere unerwünschte Zugriffe.
  5. Standardregel: blockieren.

10.19 Beispiel-Regelkonzept

Nr. Quelle Ziel Dienst Aktion
1 LAN Internet DNS erlauben
2 LAN Internet HTTP/HTTPS erlauben
3 LAN Internet NTP erlauben
4 Internet LAN alle blockieren
5 Admin-PC Server SSH/RDP erlauben
6 Gäste-WLAN LAN alle blockieren

10.20 Firewall und VLAN

VLANs trennen Netze logisch. Eine Firewall kann anschließend regeln, welche VLANs miteinander kommunizieren dürfen.

Beispiel:

flowchart TD
    FW["Firewall / Layer-3-Gateway"]

    V10["VLAN 10<br>Verwaltung"]
    V20["VLAN 20<br>Mitarbeiter"]
    V30["VLAN 30<br>Gäste"]
    V40["VLAN 40<br>Server"]

    V10 --- FW
    V20 --- FW
    V30 --- FW
    V40 --- FW

Beispielregeln:

Richtung Erlaubt?
Verwaltung → Server ja
Mitarbeiter → Server teilweise
Gäste → Internet ja
Gäste → Server nein
Gäste → Verwaltung nein

10.21 Typische Prüfungsfragen zur Firewall

Was macht eine Firewall?

Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie erlaubt oder blockiert Verbindungen abhängig von Quelle, Ziel, Protokoll, Port und Richtung.

Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?

Ein Paketfilter prüft einzelne Pakete. Eine SPI-Firewall merkt sich zusätzlich den Zustand einer Verbindung und kann Rückverkehr automatisch zuordnen.

Was bedeutet Default Deny?

Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen sind zugelassen.

Warum verwendet man eine DMZ?

Eine DMZ trennt öffentlich erreichbare Server vom internen LAN. Dadurch wird das interne Netzwerk besser geschützt, falls ein öffentlicher Server kompromittiert wird.

Auf welcher OSI-Schicht arbeiten Firewalls?

Einfache Firewalls arbeiten vor allem auf Schicht 3 und 4. Moderne Firewalls können zusätzlich höhere Schichten prüfen, zum Beispiel Anwendungen auf Schicht 7.

11. IHK-Merkliste

MAC-Adresse

IP-Adresse

Port

Switch

Router

Firewall

NAT

Portforwarding

VLAN

DMZ

12. Kurzer Gesamtüberblick als Grafik

flowchart TB
    A["Schicht 0<br>Kabel, Glasfaser, Funk"]
    B["Schicht 1<br>Signale, Netzwerkkarte"]
    C["Schicht 2<br>MAC, Switch, Ethernet, VLAN"]
    D["Schicht 3<br>IP, Routing, DHCP, DNS"]
    E["Schicht 4<br>TCP, UDP, Ports, NAT"]
    F["Firewall<br>Regeln zwischen Netzen"]
    G["Anwendungen<br>HTTP, HTTPS, Mail, DNS"]

    A --> B --> C --> D --> E --> F --> G

13. Beispiel: Webseitenaufruf im Netzwerk

Ein Client ruft eine Webseite auf.

Ablauf vereinfacht:

  1. Client prüft seine IP-Konfiguration.
  2. Client fragt DNS nach der IP-Adresse der Webseite.
  3. Client baut per TCP eine Verbindung zum Webserver auf.
  4. Bei HTTPS wird Port 443 verwendet.
  5. Daten werden in TCP-Segmente verpackt.
  6. TCP wird in IP-Pakete verpackt.
  7. IP wird in Ethernet-Frames verpackt.
  8. Switch leitet Frames anhand der MAC-Adresse weiter.
  9. Router oder Firewall leitet Pakete ins Internet weiter.
  10. NAT übersetzt private Adresse in öffentliche Adresse.
  11. Antwortpakete kommen zurück.
  12. SPI-Firewall erkennt die bestehende Verbindung und lässt die Antwort passieren.

14. Webseitenaufruf als Grafik

sequenceDiagram
    participant PC as Client-PC
    participant DNS as DNS-Server
    participant FW as Router / Firewall / NAT
    participant WEB as Webserver

    PC->>DNS: Wie lautet die IP von example.com?
    DNS->>PC: Antwort: IP-Adresse
    PC->>FW: TCP SYN an Webserver Port 443
    FW->>WEB: Weiterleitung mit NAT
    WEB->>FW: SYN/ACK zurück
    FW->>PC: Antwort wird wegen SPI erlaubt
    PC->>WEB: HTTPS-Datenübertragung

15. Prüfungsorientierte Zusammenfassung

Für die IHK solltest du besonders sicher beherrschen:

Merksatz:

MAC findet Geräte im lokalen Netz. IP findet Netze. Ports finden Anwendungen. Firewalls entscheiden, was erlaubt ist.

OSI-Modell

OSI-Modell – Geräte & Firewall-Bezug IHK-sichere Hauptzuordnung der Schichten, Geräte und Firewall-Arten Schicht Name Worum geht es? Typische Geräte / Komponenten Firewall-Bezug Layer 7 Anwendungs- schicht Anwendungen und Dienste Proxy, Application Gateway, Webserver, DNS-Server ▣ ◉ ▤ ◌ Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter Layer 6 Darstellungs- schicht Datenformat, Verschlüsselung, Komprimierung meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy Prüfung hier meist nur bei TLS-Inspection Layer 5 Sitzungs- schicht Aufbau, Verwaltung und Abbau von Sitzungen meist keine klassischen Netzwerkgeräte; teilweise Proxy/Gateway für die IHK eher Zusatzwissen, nicht Haupt-Firewall-Schicht Layer 4 Transport- schicht Ports, Ende-zu-Ende- Verbindungen, TCP/UDP Firewall, Load Balancer ▦ ⚖ Stateful Firewall, Portfilter, TCP-/UDP-Regeln Layer 3 Vermittlungs- schicht IP-Adressierung und Routing zwischen Netzen Router, Layer-3-Switch, Firewall ◎ ⇄ ▦ Paketfilter-Firewall, ACLs, IP-Filter Layer 2 Sicherungs- schicht Kommunikation im lokalen Netz über MAC-Adressen Switch, Bridge, Access Point, Netzwerkkarte ▤ ≋ ◖ VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall Layer 1 Bitübertragungs- schicht Physische Übertragung von Bits Kabel, Hub, Repeater, Medienkonverter ⌁ ▭ ↻ Keine klassische Firewall-Funktion Wichtige IHK-Merksätze ✓ Layer 2 = MAC / Switch ✓ Layer 3 = IP / Router / Paketfilter ✓ Layer 4 = TCP/UDP / Ports / Stateful Firewall ✓ Layer 7 = Anwendung / Proxy / WAF Wichtiger Hinweis Reale Geräte können mehrere OSI-Schichten abdecken. Für die IHK ist meistens die Hauptzuordnung entscheidend.

Kurz merken: Switch = Layer 2 · Router = Layer 3 · Stateful Firewall = Layer 3/4 · Proxy/WAF = Layer 7 · NGFW = Layer 3 bis 7

OSI-Modell – Geräte und Firewall-Bezug (IHK-sicher)

Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Für die IHK ist wichtig, dass du nicht nur die Namen der Schichten kennst, sondern auch verstehst, welche Aufgabe die jeweilige Schicht hat, welche Geräte dort typischerweise arbeiten und welche Firewall-Art dazu passt.

Wichtig: Das OSI-Modell ist ein theoretisches Referenzmodell. Reale Geräte arbeiten oft auf mehreren Schichten gleichzeitig. Für Prüfungsaufgaben zählt meistens die Hauptzuordnung.

OSI-Schicht Name Worum geht es? Typische Geräte / Komponenten Firewall-Bezug
7 Anwendungsschicht Anwendungen und Dienste Proxy, Application Gateway, Webserver, DNS-Server Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter
6 Darstellungsschicht Datenformat, Verschlüsselung, Komprimierung meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy Prüfung hier meist nur bei TLS-Inspection
5 Sitzungsschicht Aufbau, Verwaltung und Abbau von Sitzungen meist keine klassischen Netzwerkgeräte; teilweise Proxy-/Gateway-Funktionen Für die IHK eher Zusatzwissen, nicht die Haupt-Firewall-Schicht
4 Transportschicht Ports, Ende-zu-Ende-Verbindungen, TCP/UDP Firewall, Load Balancer Stateful Firewall, Portfilter, TCP-/UDP-Regeln
3 Vermittlungsschicht IP-Adressierung und Routing zwischen Netzen Router, Layer-3-Switch, Firewall Paketfilter-Firewall, ACLs, IP-Filter
2 Sicherungsschicht Kommunikation im lokalen Netz über MAC-Adressen Switch, Bridge, Access Point, Netzwerkkarte VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall
1 Bitübertragungsschicht Physische Übertragung von Bits Kabel, Hub, Repeater, Medienkonverter Keine klassische Firewall-Funktion

Layer 7 – Anwendungsschicht

Die Anwendungsschicht ist die oberste Schicht des OSI-Modells. Hier befinden sich Netzwerkdienste und Anwendungen, mit denen Benutzer oder Programme arbeiten.

Typische Beispiele sind:

Auf dieser Schicht geht es nicht mehr nur darum, welche IP-Adresse oder welcher Port verwendet wird, sondern darum, welche Anwendung oder welcher Dienst tatsächlich kommuniziert.

Beispiel:

Wenn ein Benutzer eine Webseite aufruft, findet die eigentliche Webkommunikation über HTTP oder HTTPS auf der Anwendungsschicht statt.

Typische Komponenten:

Firewall-Bezug:

Eine Proxy-Firewall oder ein Application-Level Gateway arbeitet auf Anwendungsebene. Sie betrachtet nicht nur IP-Adressen und Ports, sondern kann anwendungsbezogene Inhalte prüfen.

Eine WAF schützt speziell Webanwendungen. Sie prüft HTTP- und HTTPS-Anfragen zum Beispiel auf Angriffe wie SQL-Injection oder Cross-Site-Scripting.

Eine NGFW kann ebenfalls Anwendungen erkennen und filtern, zum Beispiel Webmail, Streaming, Messenger oder andere Dienste.

IHK-Merksatz:

Layer 7 = Anwendung, Inhalte, Proxy, WAF

Layer 6 – Darstellungsschicht

Die Darstellungsschicht kümmert sich darum, wie Daten dargestellt, codiert, verschlüsselt oder komprimiert werden.

Typische Aufgaben:

Typische Beispiele:

Für die IHK ist wichtig: Layer 6 ist eher eine theoretische Schicht. In vielen praktischen Netzwerkaufgaben stehen Layer 2, 3, 4 und 7 stärker im Vordergrund.

Firewall-Bezug:

Eine Firewall kann verschlüsselten HTTPS-Verkehr nicht vollständig inhaltlich prüfen, solange sie den Verkehr nicht entschlüsselt. Eine tiefere Inhaltsprüfung ist nur mit TLS-Inspection beziehungsweise SSL-Inspection möglich.

Wichtig: TLS/SSL wird in Lernunterlagen oft der Darstellungsschicht zugeordnet, in der Praxis liegt es technisch zwischen Anwendung und Transport. Für IHK-Lernzwecke reicht: Layer 6 = Verschlüsselung, Darstellung, Datenformat.

IHK-Merksatz:

Layer 6 = Darstellung, Format, Verschlüsselung, Komprimierung

Layer 5 – Sitzungsschicht

Die Sitzungsschicht ist für den Aufbau, die Verwaltung und den Abbau von Sitzungen zuständig.

Eine Sitzung ist ein logischer Kommunikationszusammenhang zwischen zwei Systemen. Dabei geht es zum Beispiel darum, eine Verbindung beziehungsweise einen Dialog zu starten, aufrechtzuerhalten und sauber zu beenden.

Typische Aufgaben:

Für die IHK ist wichtig: Layer 5 ist meistens weniger praxisnah als Layer 2, 3, 4 und 7. In Firewall-Fragen wird Layer 5 normalerweise nicht als wichtigste Schicht abgefragt.

Firewall-Bezug:

Manche Gateway- oder Proxy-Funktionen können sitzungsbezogene Informationen berücksichtigen. Für die Prüfung solltest du aber vor allem diese klare Zuordnung lernen:

IHK-Merksatz:

Layer 5 = Sitzung aufbauen, verwalten und beenden

Layer 4 – Transportschicht

Die Transportschicht regelt die Kommunikation zwischen Anwendungen auf zwei Systemen. Hier sind vor allem TCP, UDP und Ports wichtig.

Wichtige Begriffe:

TCP ist verbindungsorientiert. Das bedeutet: Es wird eine Verbindung aufgebaut, Daten werden geordnet übertragen und der Empfang kann bestätigt werden.

UDP ist verbindungslos. Das bedeutet: Es ist einfacher und schneller, bietet aber keine gleiche zuverlässige Verbindungssteuerung wie TCP.

Typische Ports:

Dienst Protokoll / Port
HTTP TCP 80
HTTPS TCP 443
DNS UDP/TCP 53
SSH TCP 22
RDP TCP 3389
SMTP TCP 25

Typische Geräte / Komponenten:

Firewall-Bezug:

Eine Firewall kann auf Layer 4 prüfen, welche Ports und Transportprotokolle verwendet werden.

Eine Stateful Firewall prüft zusätzlich, ob ein Paket zu einer bereits erlaubten Verbindung gehört. Sie führt dafür eine Verbindungstabelle.

Beispiel:

Ein Client aus dem internen Netzwerk baut eine HTTPS-Verbindung zu einem Webserver auf. Die Antwortpakete aus dem Internet werden erlaubt, weil sie zu dieser bestehenden Verbindung gehören.

IHK-Merksatz:

Layer 4 = TCP/UDP, Ports, Verbindungen, Stateful Firewall

Layer 3 – Vermittlungsschicht

Die Vermittlungsschicht ist für IP-Adressierung und Routing zuständig. Hier wird entschieden, wie Datenpakete von einem Netzwerk in ein anderes Netzwerk gelangen.

Wichtige Themen:

Typische Geräte:

Ein Router verbindet unterschiedliche Netzwerke miteinander. Er entscheidet anhand der Ziel-IP-Adresse, wohin ein Paket weitergeleitet wird.

Ein Layer-3-Switch kann zusätzlich zu klassischen Switch-Funktionen auch Routing-Funktionen übernehmen, zum Beispiel zwischen VLANs.

Firewall-Bezug:

Eine Paketfilter-Firewall prüft auf Layer 3 zum Beispiel:

Sobald zusätzlich Ports geprüft werden, ist auch Layer 4 beteiligt. Deshalb ist die IHK-sichere Formulierung:

Paketfilter-Firewall = Layer 3/4

Beispielregel:

Ein internes Netz 192.168.10.0/24 darf per TCP-Port 443 ins Internet, aber nicht per TCP-Port 23.

IHK-Merksatz:

Layer 3 = IP-Adresse, Routing, Router, Paketfilter

Layer 2 – Sicherungsschicht

Die Sicherungsschicht ist für die Kommunikation im lokalen Netzwerk zuständig. Hier geht es vor allem um MAC-Adressen, Ethernet-Frames, Switching und VLANs.

Wichtige Themen:

Typische Geräte:

Ein Switch arbeitet hauptsächlich auf Layer 2. Er lernt MAC-Adressen und leitet Frames an den passenden Port weiter.

Für die IHK ist sehr wichtig:

Switch = MAC-Adresse = Layer 2

Ein Switch verwendet also normalerweise MAC-Adressen, während ein Router IP-Adressen verwendet.

Firewall-Bezug:

Layer 2 ist nicht die klassische Firewall-Schicht. Trotzdem gibt es sicherheitsrelevante Funktionen auf Layer 2:

Wichtig: MAC-Filter allein sind kein starker Schutz, weil MAC-Adressen gefälscht werden können. Für IHK-Grundlagen reicht aber die Einordnung: MAC-Adressen gehören zu Layer 2.

IHK-Merksatz:

Layer 2 = MAC-Adresse, Switch, lokales Netzwerk

Layer 1 – Bitübertragungsschicht

Die Bitübertragungsschicht ist die unterste Schicht des OSI-Modells. Hier geht es um die physische Übertragung von Bits.

Wichtige Themen:

Typische Geräte und Komponenten:

Ein Hub arbeitet auf Layer 1. Er verteilt Signale, trifft aber keine intelligenten Weiterleitungsentscheidungen wie ein Switch.

Ein Repeater arbeitet ebenfalls auf Layer 1. Er verstärkt oder erneuert ein Signal.

Firewall-Bezug:

Auf Layer 1 gibt es keine klassische Firewall-Funktion. Eine Firewall entscheidet nicht anhand von reinen elektrischen oder optischen Signalen, sondern anhand von Informationen höherer Schichten.

IHK-Merksatz:

Layer 1 = Kabel, Signal, Bits, physische Übertragung

Firewall-Arten und OSI-Zuordnung

Firewall-Art OSI-Zuordnung Prüft hauptsächlich Wichtig für die IHK
Paketfilter-Firewall Layer 3/4 IP-Adressen, Protokolle, Ports einfache Filterregeln
Stateful Firewall Layer 3/4 IPs, Ports und Verbindungsstatus merkt sich erlaubte Verbindungen
Proxy-Firewall Layer 7 Anwendungsdaten und Inhalte arbeitet stellvertretend für den Client
Application-Level Gateway Layer 7 anwendungsspezifische Protokolle prüft Inhalte auf Anwendungsebene
WAF Layer 7 HTTP-/HTTPS-Anfragen an Webanwendungen Schutz für Webanwendungen
NGFW Layer 3 bis 7 IPs, Ports, Anwendungen, Inhalte kombiniert mehrere Sicherheitsfunktionen
Hardware-Firewall keine eigene OSI-Schicht abhängig von Funktion Bauform, nicht OSI-Schicht
Software-Firewall keine eigene OSI-Schicht abhängig von Funktion Installationsart, nicht OSI-Schicht

Wichtige IHK-Merksätze

Thema Merksatz
Switch arbeitet hauptsächlich auf Layer 2
Router arbeitet hauptsächlich auf Layer 3
Hub arbeitet auf Layer 1
Repeater arbeitet auf Layer 1
Bridge arbeitet hauptsächlich auf Layer 2
Portfilter arbeitet hauptsächlich auf Layer 4
Paketfilter arbeitet auf Layer 3/4
Stateful Firewall arbeitet auf Layer 3/4 und merkt sich Verbindungen
Proxy-Firewall arbeitet auf Layer 7
WAF arbeitet auf Layer 7
NGFW kann Layer 3 bis Layer 7 auswerten
Layer 6 und 5 eher theoretisch, bei Firewall-Zuordnung meist Zusatzwissen

Ganz kurzer Prüfungs-Merksatz

Layer 2 = MAC / Switch

Layer 3 = IP / Router / Paketfilter

Layer 4 = TCP/UDP / Ports / Stateful Firewall

Layer 7 = Anwendung / Proxy / WAF

Beispiel zur Einordnung

Ein Benutzer öffnet eine Webseite über HTTPS.

Schritt OSI-Schicht Erklärung
Kabel oder WLAN überträgt Signale Layer 1 Bits werden physisch übertragen
Der Switch leitet Frames im lokalen Netz weiter Layer 2 Weiterleitung anhand von MAC-Adressen
Der Router leitet Pakete ins Internet Layer 3 Weiterleitung anhand von IP-Adressen
Die Verbindung nutzt TCP-Port 443 Layer 4 Kommunikation über TCP und Portnummer
TLS verschlüsselt die Verbindung Layer 6 Verschlüsselung und Darstellung
Der Browser ruft eine Webseite per HTTPS auf Layer 7 Anwendungsebene
Eine Stateful Firewall erlaubt Antwortpakete Layer 3/4 Verbindung wurde vorher erlaubt
Eine WAF prüft HTTP-/HTTPS-Anfragen Layer 7 Schutz der Webanwendung

Typische Prüfungsfallen

Falsche oder ungenaue Aussage Besser / IHK-sicher
Eine Firewall arbeitet immer nur auf Layer 3 Kommt auf die Firewall-Art an
Paketfilter arbeitet nur auf Layer 3 Besser: Paketfilter arbeitet Layer 3/4
Eine WAF schützt das ganze Netzwerk vollständig Eine WAF schützt vor allem Webanwendungen auf Layer 7
Hardware-Firewall ist eine eigene OSI-Schicht Nein, Hardware beschreibt nur die Bauform
Switch und Router machen dasselbe Nein, Switch = Layer 2 / MAC, Router = Layer 3 / IP
Layer 6 und 5 sind die wichtigsten Firewall-Schichten Nein, für Firewalls sind meist Layer 3/4 und Layer 7 wichtig