# 1. Grundlagen der Netzwerktechnik # OSI Testfragen **Testfragen Netzwerktechnik bis Firewall** **1. Was ist der Hauptzweck eines Netzwerks?**
Antwort anzeigen Ein Netzwerk verbindet mehrere Geräte miteinander, damit sie Daten austauschen und gemeinsame Ressourcen nutzen können, zum Beispiel Drucker, Server, Internetzugang oder zentrale Datenspeicher.
--- **2. Nenne drei Vorteile von Netzwerken.**
Antwort anzeigen Drei Vorteile sind: - schneller Datenaustausch - gemeinsame Nutzung von Ressourcen, zum Beispiel Drucker oder Server - zentrale Datenspeicherung und einfachere Datensicherung
--- **3. Nenne drei Nachteile oder Risiken von Netzwerken.**
Antwort anzeigen Drei Nachteile oder Risiken sind: - Schadsoftware kann sich schneller verbreiten - Angriffe oder Spionage von innen und außen sind möglich - Aufbau, Wartung und Administration verursachen Kosten
--- **4. Was bedeutet LAN?**
Antwort anzeigen LAN bedeutet Local Area Network. Es beschreibt ein lokales Netzwerk, zum Beispiel in einer Wohnung, Schule, Firma oder einem Büro.
--- **5. Was ist der Unterschied zwischen LAN, MAN und WAN?**
Antwort anzeigen LAN ist ein lokales Netzwerk in einem begrenzten Bereich. MAN verbindet Netzwerke innerhalb einer Stadt oder Region. WAN verbindet Netzwerke über große Entfernungen, zum Beispiel über Länder oder Kontinente hinweg. Das Internet ist ein Beispiel für ein WAN.
--- **6. Welche Topologie wird heute in LANs meistens verwendet?**
Antwort anzeigen Meistens wird die Sterntopologie verwendet. Dabei sind die Endgeräte zentral mit einem Switch verbunden.
--- **7. Was bedeutet Vollduplex?**
Antwort anzeigen Vollduplex bedeutet, dass Daten gleichzeitig in beide Richtungen übertragen werden können. Beispiel: Ein PC kann gleichzeitig Daten senden und empfangen.
--- **8. Was bedeutet Halbduplex?**
Antwort anzeigen Halbduplex bedeutet, dass Daten in beide Richtungen übertragen werden können, aber nicht gleichzeitig. Beispiel: Erst sendet Gerät A, danach Gerät B.
--- **9. Wozu dient das OSI-Schichtenmodell?**
Antwort anzeigen Das OSI-Schichtenmodell teilt Netzwerkkommunikation in einzelne Schichten auf. Dadurch kann man besser verstehen, welche Aufgabe auf welcher Ebene passiert, und Fehler systematisch eingrenzen.
--- **10. Wie heißen die 7 OSI-Schichten von oben nach unten?**
Antwort anzeigen Von oben nach unten: 7. Anwendung 6. Darstellung 5. Sitzung 4. Transport 3. Vermittlung 2. Sicherung 1. Bitübertragung
--- **11. Auf welcher OSI-Schicht arbeitet die MAC-Adresse?**
Antwort anzeigen Die MAC-Adresse arbeitet auf Schicht 2, der Sicherungsschicht.
--- **12. Auf welcher OSI-Schicht arbeitet die IP-Adresse?**
Antwort anzeigen Die IP-Adresse arbeitet auf Schicht 3, der Vermittlungsschicht.
--- **13. Auf welcher OSI-Schicht arbeiten TCP und UDP?**
Antwort anzeigen TCP und UDP arbeiten auf Schicht 4, der Transportschicht.
--- **14. Was ist der Unterschied zwischen OSI-Modell und TCP/IP-Modell?**
Antwort anzeigen Das OSI-Modell hat 7 Schichten und ist eher ein theoretisches Referenzmodell. Das TCP/IP-Modell ist praxisnäher und wird im echten Netzwerkbetrieb häufiger verwendet. Es fasst mehrere OSI-Schichten zusammen.
--- **15. Was bedeutet Datenkapselung?**
Antwort anzeigen Datenkapselung bedeutet, dass jede Netzwerkschicht eigene Steuerinformationen zu den Daten hinzufügt. Beispiel: Anwendungsdaten werden in TCP verpackt, TCP wird in IP verpackt, IP wird in Ethernet verpackt.
--- **16. Was gehört zur Schicht 0 im Unterrichtskontext?**
Antwort anzeigen Zur Schicht 0 gehören die eigentlichen Übertragungsmedien, zum Beispiel: - Kupferkabel - Glasfaser - Funk bei WLAN Schicht 0 gehört nicht offiziell zum OSI-Modell, wird aber oft zur Erklärung genutzt.
--- **17. Was ist ein Twisted-Pair-Kabel?**
Antwort anzeigen Ein Twisted-Pair-Kabel ist ein Netzwerkkabel mit verdrillten Adernpaaren. Die Verdrillung reduziert Störungen. Es wird häufig mit RJ45-Steckern im LAN verwendet.
--- **18. Wie weit darf ein normales Twisted-Pair-Ethernet-Kabel ungefähr sein?**
Antwort anzeigen In der Praxis gilt meistens eine maximale Länge von ungefähr 100 Metern.
--- **19. Was ist der Unterschied zwischen Multimode- und Singlemode-LWL?**
Antwort anzeigen Multimode-LWL wird eher für kürzere bis mittlere Strecken verwendet. Singlemode-LWL wird für lange Strecken verwendet und hat einen kleineren Faserkern.
--- **20. Warum darf man nicht direkt in eine Glasfaser schauen?**
Antwort anzeigen Weil dort unsichtbares Laserlicht austreten kann. Dieses Licht kann die Augen schädigen, auch wenn man es nicht sieht.
--- **21. Welche WLAN-Verschlüsselung sollte mindestens verwendet werden?**
Antwort anzeigen Mindestens WPA2 sollte verwendet werden. Besser ist WPA3, wenn alle Geräte es unterstützen.
--- **22. Warum ist ein Gäste-WLAN sinnvoll?**
Antwort anzeigen Ein Gäste-WLAN trennt fremde oder private Geräte vom internen Netzwerk. Gäste sollen zum Beispiel ins Internet kommen, aber nicht auf interne Server, Drucker oder NAS-Systeme zugreifen können.
--- **23. Was ist ein Ethernet-Frame?**
Antwort anzeigen Ein Ethernet-Frame ist die Datenübertragungseinheit auf Schicht 2. Er enthält unter anderem Ziel-MAC-Adresse, Quell-MAC-Adresse, Nutzdaten und eine Prüfsumme.
--- **24. Was ist die Aufgabe der FCS oder CRC im Ethernet-Frame?**
Antwort anzeigen FCS beziehungsweise CRC dient zur Fehlererkennung. Damit kann erkannt werden, ob ein Ethernet-Frame beschädigt wurde. Fehlerhafte Frames werden verworfen.
--- **25. Was ist eine MAC-Adresse?**
Antwort anzeigen Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle. Sie ist normalerweise 48 Bit lang und wird hexadezimal dargestellt. Beispiel: `00:1A:2B:3C:4D:5E`
--- **26. Was macht ein Switch?**
Antwort anzeigen Ein Switch verbindet Geräte in einem LAN und leitet Ethernet-Frames anhand der MAC-Adresse gezielt an den richtigen Port weiter.
--- **27. Was ist der Unterschied zwischen einem Hub und einem Switch?**
Antwort anzeigen Ein Hub sendet empfangene Daten an alle Ports weiter. Ein Switch lernt MAC-Adressen und sendet Frames gezielt nur an den passenden Port. Ein Switch ist dadurch effizienter und sicherer als ein Hub.
--- **28. Was ist eine SAT-Tabelle oder MAC Address Table?**
Antwort anzeigen Das ist die Tabelle eines Switches, in der gespeichert wird, welche MAC-Adresse an welchem Port erreichbar ist. Dadurch kann der Switch Frames gezielt weiterleiten.
--- **29. Was macht ARP?**
Antwort anzeigen ARP bedeutet Address Resolution Protocol. ARP ermittelt zu einer IPv4-Adresse die passende MAC-Adresse im lokalen Netzwerk.
--- **30. Was ist ein ARP-Request?**
Antwort anzeigen Ein ARP-Request ist eine Anfrage im lokalen Netzwerk: „Wer hat diese IP-Adresse? Bitte sende mir deine MAC-Adresse.“ Diese Anfrage wird als Broadcast gesendet.
--- **31. Was ist ein ARP-Reply?**
Antwort anzeigen Ein ARP-Reply ist die Antwort auf einen ARP-Request. Das Zielgerät antwortet mit seiner MAC-Adresse.
--- **32. Was ist ein Managed Switch?**
Antwort anzeigen Ein Managed Switch ist ein konfigurierbarer Switch. Man kann zum Beispiel VLANs, Port-Mirroring, Spanning Tree, Link Aggregation oder Port-Sicherheit einrichten.
--- **33. Was ist Port-Mirroring?**
Antwort anzeigen Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port gespiegelt. Dadurch kann man den Verkehr zum Beispiel mit Wireshark analysieren.
--- **34. Was ist Link Aggregation?**
Antwort anzeigen Link Aggregation fasst mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammen. Vorteile: - höhere Gesamtbandbreite - bessere Ausfallsicherheit - Lastverteilung
--- **35. Was ist Power over Ethernet?**
Antwort anzeigen Power over Ethernet, kurz PoE, bedeutet, dass Strom und Daten über dasselbe Netzwerkkabel übertragen werden. Typische Geräte sind Access Points, IP-Telefone und Überwachungskameras.
--- **36. Wozu dient das Spanning Tree Protocol?**
Antwort anzeigen Das Spanning Tree Protocol verhindert Netzwerkschleifen zwischen Switches. Es blockiert bestimmte redundante Verbindungen logisch und kann sie bei Ausfall einer anderen Verbindung wieder aktivieren.
--- **37. Was ist ein VLAN?**
Antwort anzeigen Ein VLAN ist ein Virtual Local Area Network. Damit kann ein physisches Netzwerk in mehrere logisch getrennte Netzwerke aufgeteilt werden.
--- **38. Warum setzt man VLANs ein?**
Antwort anzeigen VLANs werden eingesetzt, um Netzbereiche logisch zu trennen. Vorteile: - mehr Sicherheit - bessere Struktur - weniger Broadcast-Verkehr - Trennung von Abteilungen, Gästen oder Servern
--- **39. Was ist ein Tagged Port?**
Antwort anzeigen Ein Tagged Port überträgt VLAN-Informationen im Ethernet-Frame mit. Er wird häufig für Verbindungen zwischen Switches oder zwischen Switch und Router/Firewall verwendet.
--- **40. Was ist ein Untagged Port?**
Antwort anzeigen Ein Untagged Port gehört fest zu einem VLAN. Endgeräte wie PCs oder Drucker werden meistens an untagged Ports angeschlossen.
--- **41. Was ist eine IPv4-Adresse?**
Antwort anzeigen Eine IPv4-Adresse ist eine 32-Bit-Adresse zur logischen Adressierung von Geräten in einem Netzwerk. Beispiel: `192.168.1.10`
--- **42. Was macht die Subnetzmaske?**
Antwort anzeigen Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil. Beispiel: `192.168.1.10/24` Hier gehören die ersten 24 Bit zum Netzanteil.
--- **43. Was ist die Netzadresse bei 192.168.1.10/24?**
Antwort anzeigen Die Netzadresse ist: `192.168.1.0` Bei `/24` gehören die ersten drei Oktette zum Netz. Das letzte Oktett ist der Hostanteil.
--- **44. Was ist die Broadcast-Adresse bei 192.168.1.10/24?**
Antwort anzeigen Die Broadcast-Adresse ist: `192.168.1.255` Sie ist die letzte Adresse im Netz `192.168.1.0/24`.
--- **45. Wie viele nutzbare Hosts gibt es in einem /24-Netz?**
Antwort anzeigen Ein `/24`-Netz hat 256 Adressen. Davon sind 2 nicht nutzbar: - Netzadresse - Broadcast-Adresse Also gibt es 254 nutzbare Hostadressen.
--- **46. Welche privaten IPv4-Adressbereiche gibt es?**
Antwort anzeigen Private IPv4-Adressbereiche sind: - `10.0.0.0/8` - `172.16.0.0/12` - `192.168.0.0/16` Diese Adressen werden in privaten Netzwerken verwendet und nicht direkt im Internet geroutet.
--- **47. Was bedeutet APIPA?**
Antwort anzeigen APIPA ist ein automatischer IPv4-Adressbereich, den ein Gerät verwenden kann, wenn kein DHCP-Server erreichbar ist. Der Bereich lautet: `169.254.0.0/16`
--- **48. Was ist DHCP?**
Antwort anzeigen DHCP bedeutet Dynamic Host Configuration Protocol. DHCP vergibt automatisch Netzwerkkonfigurationen an Clients, zum Beispiel: - IP-Adresse - Subnetzmaske - Standardgateway - DNS-Server
--- **49. Wie lautet der DHCP-Ablauf?**
Antwort anzeigen Der DHCP-Ablauf lautet DORA: 1. Discover 2. Offer 3. Request 4. Acknowledge Der Client sucht einen DHCP-Server, bekommt ein Angebot, fordert die Adresse an und erhält eine Bestätigung.
--- **50. Was macht DNS?**
Antwort anzeigen DNS bedeutet Domain Name System. DNS übersetzt Namen in IP-Adressen. Beispiel: `www.example.com` wird in eine passende IP-Adresse aufgelöst.
--- **51. Was ist Routing?**
Antwort anzeigen Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten. Ein Router verbindet zum Beispiel zwei unterschiedliche IP-Netze miteinander.
--- **52. Was ist ein Standardgateway?**
Antwort anzeigen Das Standardgateway ist der Router, an den ein Gerät Pakete sendet, wenn das Ziel nicht im eigenen lokalen Netzwerk liegt.
--- **53. Was ist der Unterschied zwischen statischem und dynamischem Routing?**
Antwort anzeigen Beim statischen Routing werden Routen manuell eingetragen. Beim dynamischen Routing tauschen Router Informationen automatisch über Routing-Protokolle aus.
--- **54. Was ist ein Layer-3-Switch?**
Antwort anzeigen Ein Layer-3-Switch kann nicht nur auf Schicht 2 switchen, sondern auch auf Schicht 3 routen. Er wird häufig eingesetzt, um VLANs im LAN miteinander zu verbinden.
--- **55. Was ist ein Port in der Netzwerktechnik?**
Antwort anzeigen Ein Port ist eine Nummer auf Schicht 4, mit der Anwendungen oder Dienste auf einem Gerät unterschieden werden. Beispiel: - HTTP: Port 80 - HTTPS: Port 443 - SSH: Port 22
--- **56. Was ist der Unterschied zwischen IP-Adresse und Port?**
Antwort anzeigen Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welcher Dienst oder welche Anwendung auf diesem Gerät gemeint ist. Beispiel: `192.168.1.10:443` Gerät: `192.168.1.10` Dienst: Port `443`
--- **57. Was ist TCP?**
Antwort anzeigen TCP ist ein verbindungsorientiertes Transportprotokoll. Es sorgt für zuverlässige Datenübertragung, richtige Reihenfolge und erneute Übertragung bei Verlust.
--- **58. Was ist UDP?**
Antwort anzeigen UDP ist ein verbindungsloses Transportprotokoll. Es ist schneller und schlanker als TCP, garantiert aber keine Zustellung und keine richtige Reihenfolge.
--- **59. Was ist der TCP-Three-Way-Handshake?**
Antwort anzeigen Der TCP-Three-Way-Handshake baut eine TCP-Verbindung auf. Ablauf: 1. Client sendet SYN 2. Server antwortet mit SYN/ACK 3. Client bestätigt mit ACK Danach ist die Verbindung aufgebaut.
--- **60. Nenne je zwei typische Dienste für TCP und UDP.**
Antwort anzeigen Typische TCP-Dienste: - HTTPS - SSH Typische UDP-Dienste: - DNS - DHCP
--- **61. Was ist NAT?**
Antwort anzeigen NAT bedeutet Network Address Translation. Dabei werden IP-Adressen übersetzt, zum Beispiel private interne IP-Adressen in eine öffentliche IP-Adresse für den Internetzugang.
--- **62. Was ist PAT?**
Antwort anzeigen PAT bedeutet Port Address Translation. Dabei werden zusätzlich Ports verwendet, damit mehrere interne Geräte gleichzeitig über eine öffentliche IP-Adresse ins Internet kommunizieren können.
--- **63. Was ist Portforwarding?**
Antwort anzeigen Portforwarding leitet Anfragen von außen an ein internes Gerät weiter. Beispiel: Eine Anfrage an die öffentliche IP auf Port 443 wird an einen internen Webserver weitergeleitet.
--- **64. Warum kann Portforwarding ein Sicherheitsrisiko sein?**
Antwort anzeigen Portforwarding macht interne Dienste von außen erreichbar. Wenn der Dienst schlecht abgesichert, veraltet oder falsch konfiguriert ist, kann er angegriffen werden.
--- **65. Was ist eine Allowlist?**
Antwort anzeigen Eine Allowlist erlaubt nur ausdrücklich freigegebene Verbindungen, Programme, Geräte oder Benutzer. Alles andere wird blockiert.
--- **66. Was ist eine Blocklist?**
Antwort anzeigen Eine Blocklist blockiert ausdrücklich verbotene Verbindungen, Programme, Geräte oder Benutzer. Alles, was nicht auf der Blocklist steht, kann erlaubt sein.
--- **67. Was ist sicherer: Allowlist oder Blocklist?**
Antwort anzeigen Eine Allowlist ist meistens sicherer, weil nur ausdrücklich erlaubte Dinge zugelassen werden. Das Prinzip lautet: Alles ist verboten, außer es wurde erlaubt.
--- **68. Was macht eine Firewall?**
Antwort anzeigen Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie entscheidet, welche Verbindungen erlaubt oder blockiert werden.
--- **69. Welche Kriterien kann eine Firewall prüfen?**
Antwort anzeigen Eine Firewall kann zum Beispiel prüfen: - Quell-IP-Adresse - Ziel-IP-Adresse - Protokoll - Port - Richtung - Verbindungszustand - teilweise auch Anwendung oder Inhalt
--- **70. Was bedeutet Default Deny?**
Antwort anzeigen Default Deny bedeutet: Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen werden zugelassen. Das ist ein sicheres Grundprinzip für Firewall-Regeln.
--- **71. Was ist eine Paketfilter-Firewall?**
Antwort anzeigen Eine Paketfilter-Firewall prüft einzelne Pakete anhand von Informationen wie Quell-IP, Ziel-IP, Protokoll und Port. Sie betrachtet normalerweise nicht den vollständigen Verbindungszustand.
--- **72. Was ist eine SPI-Firewall?**
Antwort anzeigen SPI bedeutet Stateful Packet Inspection. Eine SPI-Firewall merkt sich bestehende Verbindungen und kann Antworten automatisch einer erlaubten Verbindung zuordnen.
--- **73. Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?**
Antwort anzeigen Ein Paketfilter prüft einzelne Pakete anhand fester Regeln. Eine SPI-Firewall prüft zusätzlich den Zustand der Verbindung. Dadurch kann sie erkennen, ob ein Paket zu einer bereits erlaubten Verbindung gehört.
--- **74. Was ist eine DMZ?**
Antwort anzeigen DMZ bedeutet Demilitarisierte Zone. Eine DMZ ist ein separates Netzwerk für Server, die von außen erreichbar sein müssen, zum Beispiel Webserver oder Reverse Proxy.
--- **75. Warum verwendet man eine DMZ?**
Antwort anzeigen Eine DMZ schützt das interne LAN. Wenn ein öffentlich erreichbarer Server in der DMZ angegriffen oder kompromittiert wird, soll der Angreifer nicht direkt Zugriff auf das interne Netzwerk bekommen.
--- **76. Was ist der Unterschied zwischen einstufiger und zweistufiger DMZ?**
Antwort anzeigen Bei einer einstufigen DMZ trennt eine Firewall Internet, DMZ und LAN. Bei einer zweistufigen DMZ gibt es zwei Firewalls: eine zwischen Internet und DMZ und eine zwischen DMZ und LAN. Die zweistufige DMZ ist sicherer, aber aufwendiger.
--- **77. Was ist die INPUT-Chain bei einer Linux-Firewall?**
Antwort anzeigen INPUT betrifft Datenverkehr, der direkt an die Firewall selbst gerichtet ist. Beispiel: Ein Administrator verbindet sich per SSH mit der Firewall.
--- **78. Was ist die OUTPUT-Chain bei einer Linux-Firewall?**
Antwort anzeigen OUTPUT betrifft Datenverkehr, der von der Firewall selbst ausgeht. Beispiel: Die Firewall stellt selbst eine DNS-Anfrage oder lädt Updates herunter.
--- **79. Was ist die FORWARD-Chain bei einer Linux-Firewall?**
Antwort anzeigen FORWARD betrifft Datenverkehr, der durch die Firewall hindurchgeleitet wird. Beispiel: Ein Client aus dem LAN geht über die Firewall ins Internet.
--- **80. Warum ist eine Firewall allein kein vollständiger Schutz?**
Antwort anzeigen Eine Firewall schützt nur nach ihren Regeln und an der Stelle, an der sie eingesetzt wird. Zusätzlich braucht man: - Updates - sichere Passwörter - Benutzerrechte - Backups - Monitoring - Virenschutz - sichere Konfiguration - Schulung der Benutzer
# Netzwerk **Ziel dieser Zusammenfassung** Diese Zusammenfassung führt Schritt für Schritt durch zentrale Themen der Netzwerktechnik. Behandelte Themen: - Grundlagen von Netzwerken - OSI-Schichtenmodell - Schicht 0: Übertragungsmedien - Ethernet-Frame - Sniffer - Schicht 1: Netzwerkkarte und Hub - Schicht 2: MAC-Adresse, Switch, VLAN - Schicht 3: IPv4, IPv6, DHCP, DNS, Routing - Schicht 4: Ports, TCP, UDP, NAT - Firewall-Grundlagen - SPI-Firewall - DMZ --- **1. Grundlagen der Netzwerktechnik** Ein Netzwerk verbindet mehrere Geräte miteinander, damit diese Daten austauschen und gemeinsame Ressourcen verwenden können. Typische Geräte in einem Netzwerk: - PC - Notebook - Smartphone - Server - Drucker - NAS - Switch - Router - Firewall - Access Point Ein Netzwerk besteht also nicht nur aus Computern, sondern aus allen Geräten, die miteinander kommunizieren können. --- **1.1 Vorteile von Netzwerken** Netzwerke werden eingesetzt, weil sie viele praktische Vorteile bieten: - schneller Datenaustausch - gemeinsame Nutzung von Druckern und Servern - zentrale Datenspeicherung - zentrale Benutzerverwaltung - gemeinsame Internetnutzung - einfachere Sicherung von Daten - bessere Zusammenarbeit im Unternehmen Beispiel: In einem Unternehmen müssen nicht alle Mitarbeiter eigene Drucker besitzen. Alle können über das Netzwerk denselben Netzwerkdrucker verwenden. --- **1.2 Nachteile und Risiken von Netzwerken** Netzwerke bringen auch Risiken mit sich: - Schadsoftware kann sich schneller verbreiten - Angriffe von innen und außen sind möglich - falsche Konfiguration kann Sicherheitslücken erzeugen - Ausfall zentraler Systeme kann viele Benutzer betreffen - Wartung und Administration verursachen Kosten Deshalb sind Schutzmaßnahmen wie Firewalls, VLANs, Benutzerrechte, Updates und Backups wichtig. --- **1.3 Netzwerkgrößen** Netzwerke werden oft nach ihrer räumlichen Ausdehnung unterschieden. | Begriff | Bedeutung | Beispiel | |---|---|---| | LAN | Local Area Network | Netzwerk in einem Büro, Schule oder Zuhause | | MAN | Metropolitan Area Network | Netzwerk innerhalb einer Stadt | | WAN | Wide Area Network | Netzwerk über große Entfernungen, z. B. Internet | --- **1.4 Topologien** Eine Topologie beschreibt, wie Geräte in einem Netzwerk miteinander verbunden sind. | Topologie | Erklärung | |---|---| | Bus | Alle Geräte hängen an einer gemeinsamen Leitung. Heute veraltet. | | Ring | Geräte sind ringförmig verbunden. Daten laufen im Kreis. | | Stern | Alle Geräte sind mit einem zentralen Gerät verbunden, meistens einem Switch. | | Mesh | Geräte sind mehrfach miteinander verbunden. Dadurch entsteht Redundanz. | **Grafik: Sterntopologie** ```mermaid flowchart TD SW[Switch] PC1[PC 1] PC2[PC 2] PC3[PC 3] PR[Drucker] NAS[NAS / Server] SW --- PC1 SW --- PC2 SW --- PC3 SW --- PR SW --- NAS ``` Die Sterntopologie ist heute im LAN am häufigsten. Fällt ein einzelnes Kabel aus, ist meist nur ein Gerät betroffen. Fällt aber der zentrale Switch aus, sind alle daran angeschlossenen Geräte betroffen. --- **1.5 Simplex, Halbduplex und Vollduplex** | Begriff | Bedeutung | Beispiel | |---|---|---| | Simplex | Kommunikation nur in eine Richtung | Radio, Fernsehsendung | | Halbduplex | Kommunikation in beide Richtungen, aber nicht gleichzeitig | Funkgerät | | Vollduplex | Kommunikation gleichzeitig in beide Richtungen | modernes Ethernet mit Switch | Merksatz: - Hub = meistens Halbduplex - Switch = Vollduplex möglich --- **2. OSI-Schichtenmodell** Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Jede Schicht hat eine bestimmte Aufgabe. Der Vorteil: Netzwerkprobleme lassen sich besser eingrenzen. Beispiel: Wenn ein PC keine Webseite öffnen kann, kann man schrittweise prüfen: - Ist das Kabel verbunden? - Hat der PC eine IP-Adresse? - Funktioniert DNS? - Ist der Webserver erreichbar? - Blockiert eine Firewall? --- **2.1 Die 7 OSI-Schichten** | Schicht | Name | Aufgabe | Beispiele | |---|---|---|---| | 7 | Anwendung | Dienste für Anwendungen | HTTP, HTTPS, DNS, SMTP | | 6 | Darstellung | Datenformat, Codierung, Verschlüsselung | TLS, Zeichencodierung | | 5 | Sitzung | Verbindungen zwischen Anwendungen verwalten | Sitzungen, Logins | | 4 | Transport | Ende-zu-Ende-Kommunikation | TCP, UDP, Ports | | 3 | Vermittlung | logische Adressierung und Routing | IP, Router | | 2 | Sicherung | lokale Zustellung im LAN | MAC-Adresse, Switch, Ethernet | | 1 | Bitübertragung | elektrische, optische oder Funk-Signale | Netzwerkkarte, Kabel | | 0 | Übertragungsmedium | physisches Medium selbst | Kupfer, Glasfaser, Funk | Hinweis: Schicht 0 gehört nicht offiziell zum OSI-Modell, wird im Unterricht aber oft als praktische Ergänzung verwendet. --- **2.2 Merksatz für das OSI-Modell** Von oben nach unten: **Alle Deutschen Schüler Trinken Verschiedene Sorten Brause** | Wort | Schicht | |---|---| | Alle | Anwendung | | Deutschen | Darstellung | | Schüler | Sitzung | | Trinken | Transport | | Verschiedene | Vermittlung | | Sorten | Sicherung | | Brause | Bitübertragung | --- **2.3 OSI-Modell als Grafik** ```mermaid flowchart TB L7["7 Anwendung
HTTP, HTTPS, DNS"] L6["6 Darstellung
Format, Verschlüsselung"] L5["5 Sitzung
Sitzungen, Verbindungen"] L4["4 Transport
TCP, UDP, Ports"] L3["3 Vermittlung
IP, Routing"] L2["2 Sicherung
MAC, Switch, Ethernet"] L1["1 Bitübertragung
Signale, Netzwerkkarte"] L0["0 Medium
Kabel, Glasfaser, Funk"] L7 --> L6 --> L5 --> L4 --> L3 --> L2 --> L1 --> L0 ``` --- **2.4 TCP/IP-Modell** In der Praxis wird häufig das TCP/IP-Modell verwendet. Es ist weniger theoretisch als das OSI-Modell und orientiert sich stärker an realen Netzwerken. | TCP/IP-Schicht | Entspricht ungefähr OSI | Beispiele | |---|---|---| | Anwendung | OSI 5–7 | HTTP, HTTPS, DNS, SMTP | | Transport | OSI 4 | TCP, UDP | | Internet | OSI 3 | IPv4, IPv6, ICMP | | Netzzugang | OSI 1–2 | Ethernet, WLAN, MAC | --- **2.5 Datenkapselung** Beim Senden werden Daten auf jeder Schicht verpackt. Jede Schicht fügt eigene Steuerinformationen hinzu. Beispiel beim Aufruf einer Webseite: ```mermaid flowchart TD A["HTTP-Daten
Webseiteninhalt"] B["TCP-Header + HTTP-Daten
Port 80/443"] C["IP-Header + TCP + Daten
Quell-IP / Ziel-IP"] D["Ethernet-Header + IP + TCP + Daten
Quell-MAC / Ziel-MAC"] E["Bits auf Kabel / Glasfaser / Funk"] A --> B --> C --> D --> E ``` Wichtig für die IHK: - MAC-Adresse arbeitet auf Schicht 2 - IP-Adresse arbeitet auf Schicht 3 - Ports arbeiten auf Schicht 4 - Anwendungen wie HTTP oder DNS liegen oben im Modell --- **3. Schicht 0 – Übertragungsmedien** Schicht 0 beschreibt das Medium, über das Daten übertragen werden. Typische Medien: - Koaxialkabel - Twisted-Pair-Kabel - Lichtwellenleiter - Funk bei WLAN --- **3.1 Koaxialkabel** Koaxialkabel wurden früher häufig in Bus-Netzwerken verwendet. Heute sind sie in klassischen LANs veraltet. Merkmale: - früher für Ethernet verwendet - Bus-Topologie - störanfällig bei schlechter Verkabelung - heute kaum noch relevant für moderne LANs --- **3.2 Twisted-Pair-Kabel** Twisted-Pair-Kabel sind die typischen Netzwerkkabel mit RJ45-Stecker. Die Adernpaare sind verdrillt. Dadurch werden Störungen reduziert. | Kategorie | Typische Verwendung | |---|---| | Cat 5e | bis 1 Gbit/s | | Cat 6 | 1 Gbit/s, teilweise 2,5/5 Gbit/s | | Cat 6A | bis 10 Gbit/s | | Cat 7 | hochwertige Gebäudeverkabelung | | Cat 8 | sehr hohe Datenraten im kurzen Bereich | Faustregel: Für normale Büro- und Heimnetzwerke ist Cat 6 oder Cat 6A meistens ausreichend. --- **3.3 Lichtwellenleiter** Lichtwellenleiter übertragen Daten mit Licht statt mit elektrischen Signalen. Vorteile: - hohe Reichweite - hohe Geschwindigkeit - unempfindlicher gegen elektromagnetische Störungen - gut für Gebäudeverbindungen und Rechenzentren Nachteile: - empfindlicher gegen Knicken - teurer in Installation und Technik - Spleißen und Messung benötigen Fachwissen --- **3.4 Multimode und Singlemode** | Typ | Erklärung | Einsatz | |---|---|---| | Multimode | Licht läuft auf mehreren Wegen durch die Faser | kurze bis mittlere Strecken | | Singlemode | Licht läuft auf einem sehr engen Weg | lange Strecken | Merksatz: - Multimode = kürzere Strecken - Singlemode = lange Strecken --- **3.5 Verkabelungsregel** Eine einfache praktische Regel: | Entfernung | Medium | |---|---| | bis ca. 100 m | Twisted-Pair-Kupferkabel | | bis mehrere hundert Meter | Multimode-LWL | | größere Entfernungen | Singlemode-LWL | --- **3.6 WLAN** WLAN überträgt Daten per Funk. Wichtige Frequenzbereiche: | Frequenz | Eigenschaften | |---|---| | 2,4 GHz | hohe Reichweite, aber oft stärker belegt | | 5 GHz | schneller, weniger Reichweite | | 6 GHz | modern, hohe Geschwindigkeit, kürzere Reichweite | Wichtige WLAN-Generationen: | Name | Standard | |---|---| | Wi-Fi 4 | IEEE 802.11n | | Wi-Fi 5 | IEEE 802.11ac | | Wi-Fi 6 | IEEE 802.11ax | | Wi-Fi 6E | IEEE 802.11ax mit 6 GHz | | Wi-Fi 7 | IEEE 802.11be | --- **3.7 WLAN-Sicherheit** Für die IHK wichtig: - WLAN sollte verschlüsselt sein - WPA2 ist Mindeststandard - WPA3 ist empfohlen - Gastnetz getrennt vom internen Netz betreiben - unsichere alte Standards vermeiden - starke Passwörter verwenden --- **4. Ethernet-Frame** Ethernet arbeitet auf Schicht 2. Die Daten werden in Frames übertragen. Ein Ethernet-Frame enthält unter anderem: - Ziel-MAC-Adresse - Quell-MAC-Adresse - Typfeld - Nutzdaten - Prüfsumme --- **4.1 Ethernet-Frame als Grafik** ```mermaid flowchart LR A["Präambel"] B["Ziel-MAC"] C["Quell-MAC"] D["Typ"] E["Daten
z. B. IP + TCP + HTTP"] F["FCS / Prüfsumme"] A --> B --> C --> D --> E --> F ``` --- **4.2 MAC-Adresse** Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle. Eigenschaften: - 48 Bit lang - hexadezimale Schreibweise - Beispiel: `00:1A:2B:3C:4D:5E` - arbeitet auf OSI-Schicht 2 - wird im lokalen Netzwerk verwendet Wichtig: Eine MAC-Adresse wird nur im lokalen Netzwerksegment verwendet. Sobald ein Paket über einen Router weitergeleitet wird, ändern sich die MAC-Adressen auf dem Weg. Die IP-Adressen bleiben dagegen im Normalfall gleich. --- **4.3 FCS / CRC** Die Prüfsumme dient zur Fehlererkennung. Wenn ein Frame beschädigt ist, kann dies erkannt werden. Der Frame wird dann verworfen. Wichtig: Ethernet korrigiert Fehler nicht selbst. Fehlerhafte Frames werden verworfen. Höhere Schichten, zum Beispiel TCP, können dann eine erneute Übertragung auslösen. --- **4.4 MTU und Nutzdaten** Die übliche MTU bei Ethernet beträgt 1500 Byte. Das bedeutet: Ein Ethernet-Frame kann typischerweise 1500 Byte Nutzdaten für die nächsthöhere Schicht transportieren. Da IP- und TCP-Header ebenfalls Platz benötigen, bleiben für reine Anwendungsdaten weniger als 1500 Byte übrig. --- **5. Sniffer** Ein Sniffer ist ein Werkzeug zur Analyse von Netzwerkverkehr. Beispiele: - Wireshark - tcpdump - Windump Sniffer werden zur Fehlersuche eingesetzt. Beispiele: - Warum bekommt ein Client keine IP-Adresse? - Wird DNS korrekt aufgelöst? - Sendet ein Gerät ARP-Anfragen? - Kommt eine TCP-Verbindung zustande? --- **5.1 Rechtlicher Hinweis** Sniffing darf nur erlaubt und kontrolliert eingesetzt werden. In Unternehmen gilt: - Vorgesetzte informieren - Datenschutz beachten - Betriebsrat einbeziehen, falls vorhanden - nicht heimlich fremde Daten mitschneiden Für Ausbildung und Laborumgebungen ist Sniffing sinnvoll, solange keine fremden Daten ausspioniert werden. --- **6. Schicht 1 – Bitübertragung** Schicht 1 beschreibt die technische Übertragung der Bits. Dazu gehören: - elektrische Signale - optische Signale - Funkwellen - Netzwerkkarten - physische Anschlüsse --- **6.1 Netzwerkkarte** Die Netzwerkkarte verbindet den Computer mit dem Netzwerk. Aufgaben: - Daten senden und empfangen - Signale erzeugen - Prüfsummen prüfen - Zugriff auf das Medium steuern - MAC-Adresse bereitstellen --- **6.2 CSMA/CD und CSMA/CA** | Verfahren | Bedeutung | Einsatz | |---|---|---| | CSMA/CD | Kollisionserkennung | alte kabelgebundene Netze mit Hub | | CSMA/CA | Kollisionsvermeidung | WLAN | Merksatz: - CD = Collision Detection = Kollision erkennen - CA = Collision Avoidance = Kollision vermeiden --- **6.3 Hub** Ein Hub ist ein veraltetes Netzwerkgerät. Eigenschaften: - verteilt Daten an alle Ports - kennt keine MAC-Adressen - erzeugt unnötigen Datenverkehr - Sniffing ist leicht möglich - nur Halbduplex - praktisch durch Switches ersetzt --- **7. Schicht 2 – Sicherungsschicht** Schicht 2 ist für die lokale Kommunikation im gleichen Netzwerk zuständig. Wichtige Begriffe: - MAC-Adresse - Ethernet-Frame - Switch - VLAN - ARP - Broadcast --- **7.1 Switch** Ein Switch verbindet Geräte in einem LAN. Er arbeitet hauptsächlich auf Schicht 2 und leitet Frames anhand der MAC-Adresse weiter. Vorteile gegenüber einem Hub: - sendet Frames gezielt an den richtigen Port - weniger unnötiger Datenverkehr - Vollduplex möglich - höhere Geschwindigkeit - bessere Sicherheit --- **7.2 Switch-Tabelle** Ein Switch merkt sich, welche MAC-Adresse an welchem Port erreichbar ist. Diese Tabelle wird oft MAC Address Table, SAT-Tabelle oder Forwarding Table genannt. Ablauf: 1. Ein Frame kommt am Switch an. 2. Der Switch liest die Quell-MAC-Adresse. 3. Er merkt sich: Diese MAC-Adresse befindet sich an diesem Port. 4. Bei späteren Frames zur gleichen MAC-Adresse kann der Switch gezielt weiterleiten. --- **7.3 ARP** ARP bedeutet Address Resolution Protocol. ARP wird bei IPv4 verwendet, um zu einer IP-Adresse die passende MAC-Adresse zu finden. Beispiel: Ein PC möchte an `192.168.1.20` senden, kennt aber nur die IP-Adresse. Dann fragt er per Broadcast: „Wer hat 192.168.1.20?“ Das Zielgerät antwortet: „Ich habe 192.168.1.20, meine MAC-Adresse ist ...“ --- **7.4 ARP als Grafik** ```mermaid sequenceDiagram participant PC1 as PC 1 participant LAN as LAN / Switch participant PC2 as PC 2 PC1->>LAN: ARP Request: Wer hat 192.168.1.20? LAN->>PC2: Broadcast wird weitergeleitet PC2->>PC1: ARP Reply: Ich habe die IP, meine MAC ist AA:BB:CC... ``` --- **7.5 Managed und unmanaged Switch** | Typ | Erklärung | |---|---| | Unmanaged Switch | keine Konfiguration nötig, einfache Nutzung | | Managed Switch | konfigurierbar, z. B. VLAN, Port-Mirroring, STP, PoE | Für Unternehmen sind managed Switches wichtig, weil sie mehr Kontrolle und Sicherheit bieten. --- **7.6 Port-Mirroring** Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port kopiert. Einsatz: - Analyse mit Wireshark - Fehlersuche - Sicherheitsanalyse --- **7.7 Link Aggregation** Bei Link Aggregation werden mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammengefasst. Vorteile: - höhere Gesamtbandbreite - Redundanz - bessere Auslastung Wichtig: Eine einzelne Verbindung wird nicht automatisch doppelt so schnell. Die Last wird meistens auf mehrere Verbindungen verteilt. --- **7.8 Power over Ethernet** Power over Ethernet, kurz PoE, überträgt Daten und Strom über dasselbe Netzwerkkabel. Typische Geräte: - IP-Telefone - Access Points - Überwachungskameras - kleine Netzwerkgeräte Vorteil: Man braucht nicht an jedem Gerät eine eigene Steckdose. --- **7.9 Spanning Tree Protocol** Das Spanning Tree Protocol verhindert Schleifen zwischen Switches. Warum ist das wichtig? Wenn Switches mehrfach miteinander verbunden sind, kann ein Broadcast endlos im Kreis laufen. Dadurch kann das Netzwerk stark überlastet werden. STP blockiert bestimmte Verbindungen logisch und aktiviert sie bei Bedarf wieder, wenn eine andere Verbindung ausfällt. --- **7.10 Spanning Tree als Grafik** ```mermaid flowchart TD SW1[Switch 1] SW2[Switch 2] SW3[Switch 3] SW4[Switch 4] SW1 --- SW2 SW2 --- SW3 SW3 -. blockiert durch STP .- SW4 SW4 --- SW1 ``` Die gestrichelte Verbindung ist vorhanden, wird aber logisch blockiert. Fällt eine andere Verbindung aus, kann STP neu berechnen und die blockierte Verbindung wieder aktivieren. --- **7.11 VLAN** VLAN bedeutet Virtual Local Area Network. Ein VLAN teilt ein physisches Netzwerk in mehrere logische Netzwerke auf. Beispiel: Ein Switch kann gleichzeitig mehrere getrennte Netze bereitstellen: - VLAN 10 = Verwaltung - VLAN 20 = Schüler / Mitarbeiter - VLAN 30 = Gäste - VLAN 40 = Server Vorteile: - bessere Sicherheit - weniger Broadcast-Verkehr - klare Trennung von Bereichen - einfachere Netzwerkstruktur --- **7.12 VLAN als Grafik** ```mermaid flowchart TD SW[Managed Switch] PC1[PC Verwaltung
VLAN 10] PC2[PC Verwaltung
VLAN 10] PC3[Gastgerät
VLAN 30] PC4[Server
VLAN 40] SW --- PC1 SW --- PC2 SW --- PC3 SW --- PC4 ``` Geräte im gleichen VLAN können direkt miteinander kommunizieren. Geräte in unterschiedlichen VLANs benötigen Routing, meist über einen Router, Layer-3-Switch oder eine Firewall. --- **7.13 Tagged und Untagged VLAN** | Begriff | Erklärung | |---|---| | Untagged Port | Port gehört fest zu einem VLAN, z. B. Endgerät | | Tagged Port | VLAN-Information wird im Frame mitgesendet, z. B. Verbindung zwischen Switches | | Trunk | Verbindung, die mehrere VLANs transportiert | Beispiel: Ein PC-Port ist meistens untagged. Eine Verbindung zwischen zwei Switches ist meistens tagged. --- **8. Schicht 3 – Vermittlungsschicht** Schicht 3 ist für logische Adressierung und Routing zuständig. Wichtige Themen: - IPv4 - IPv6 - Subnetzmaske - Routing - DHCP - DNS - Router - Layer-3-Switch --- **8.1 IPv4-Adresse** Eine IPv4-Adresse ist 32 Bit lang. Sie wird in vier Oktette aufgeteilt. Beispiel: `192.168.1.10` Binär: `11000000.10101000.00000001.00001010` Jedes Oktett hat 8 Bit und kann Werte von 0 bis 255 enthalten. --- **8.2 Subnetzmaske** Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil. Beispiel: IP-Adresse: `192.168.1.10` Subnetzmaske: `255.255.255.0` CIDR-Schreibweise: `/24` Das bedeutet: - die ersten 24 Bit gehören zum Netzanteil - die restlichen 8 Bit gehören zum Hostanteil Netz: `192.168.1.0/24` Hostbereich: `192.168.1.1` bis `192.168.1.254` Broadcast: `192.168.1.255` --- **8.3 IPv4-Netz als Grafik** ```mermaid flowchart LR A["192.168.1.0
Netzadresse"] B["192.168.1.1
erster Host"] C["192.168.1.10
Host"] D["192.168.1.254
letzter Host"] E["192.168.1.255
Broadcast"] A --> B --> C --> D --> E ``` --- **8.4 Netzadresse und Broadcast** In jedem IPv4-Netz gibt es zwei besondere Adressen: | Adresse | Bedeutung | |---|---| | erste Adresse | Netzadresse | | letzte Adresse | Broadcast-Adresse | Diese beiden Adressen können nicht als normale Hostadresse verwendet werden. Beispiel bei `192.168.1.0/24`: | Typ | Adresse | |---|---| | Netzadresse | 192.168.1.0 | | erster Host | 192.168.1.1 | | letzter Host | 192.168.1.254 | | Broadcast | 192.168.1.255 | --- **8.5 Private IPv4-Adressbereiche** Private IP-Adressen werden in lokalen Netzwerken verwendet und nicht direkt im Internet geroutet. | Bereich | CIDR | |---|---| | 10.0.0.0 bis 10.255.255.255 | 10.0.0.0/8 | | 172.16.0.0 bis 172.31.255.255 | 172.16.0.0/12 | | 192.168.0.0 bis 192.168.255.255 | 192.168.0.0/16 | Diese Bereiche sind besonders wichtig für Heimnetzwerke, Firmennetze, Labore und virtuelle Umgebungen. --- **8.6 Besondere IPv4-Adressen** | Adresse | Bedeutung | |---|---| | 0.0.0.0 | unspezifizierte Adresse | | 127.0.0.1 | localhost / Loopback | | 169.254.0.0/16 | APIPA / Link Local | | 255.255.255.255 | lokaler Broadcast | APIPA sieht man häufig, wenn ein Client keine Adresse vom DHCP-Server bekommt. --- **8.7 Subnetting** Subnetting bedeutet, ein größeres Netzwerk in kleinere Teilnetze aufzuteilen. Warum macht man Subnetting? - bessere Struktur - weniger Broadcast-Verkehr - bessere Sicherheit - Trennung von Abteilungen - effizientere Adressvergabe Beispiel: Aus `192.168.1.0/24` werden zwei Subnetze: | Subnetz | Bereich | |---|---| | 192.168.1.0/25 | 192.168.1.0 bis 192.168.1.127 | | 192.168.1.128/25 | 192.168.1.128 bis 192.168.1.255 | Nutzbare Hosts: | Subnetz | nutzbare Hosts | |---|---| | 192.168.1.0/25 | 192.168.1.1 bis 192.168.1.126 | | 192.168.1.128/25 | 192.168.1.129 bis 192.168.1.254 | --- **8.8 Subnetting-Regel** Formel: `Anzahl Adressen = 2^(Hostbits)` `nutzbare Hosts = 2^(Hostbits) - 2` Beispiel `/24`: - 32 Bit insgesamt - 24 Bit Netzanteil - 8 Bit Hostanteil - 2⁸ = 256 Adressen - 256 - 2 = 254 nutzbare Hosts --- **8.9 Häufige CIDR-Werte** | CIDR | Subnetzmaske | Adressen | nutzbare Hosts | |---|---|---:|---:| | /24 | 255.255.255.0 | 256 | 254 | | /25 | 255.255.255.128 | 128 | 126 | | /26 | 255.255.255.192 | 64 | 62 | | /27 | 255.255.255.224 | 32 | 30 | | /28 | 255.255.255.240 | 16 | 14 | | /29 | 255.255.255.248 | 8 | 6 | | /30 | 255.255.255.252 | 4 | 2 | Für IHK-Aufgaben sind diese Werte sehr wichtig. --- **8.10 IPv6** IPv6 ist der Nachfolger von IPv4. Eigenschaften: - 128 Bit lang - hexadezimale Schreibweise - sehr großer Adressraum - kein klassisches Broadcast wie bei IPv4 - nutzt Multicast und Neighbor Discovery Beispiel: `2001:0db8:0000:0000:0000:ff00:0042:8329` Gekürzt: `2001:db8::ff00:42:8329` --- **8.11 IPv6 kürzen** Regeln: - führende Nullen in einem Block dürfen weggelassen werden - eine zusammenhängende Folge von Null-Blöcken darf einmal durch `::` ersetzt werden Beispiel: Lang: `2001:0db8:0000:0000:0000:0000:0000:0001` Kurz: `2001:db8::1` Wichtig: `::` darf nur einmal in einer IPv6-Adresse verwendet werden, sonst wäre die Adresse nicht eindeutig. --- **8.12 Besondere IPv6-Adressen** | Adresse / Bereich | Bedeutung | |---|---| | `::` | unspezifizierte Adresse | | `::1` | Loopback | | `fe80::/10` | Link Local | | `fc00::/7` | Unique Local Address | | `ff00::/8` | Multicast | --- **8.13 DHCP** DHCP vergibt automatisch Netzwerkkonfigurationen an Clients. Typische DHCP-Informationen: - IP-Adresse - Subnetzmaske - Standardgateway - DNS-Server - Lease-Zeit --- **8.14 DHCP-Ablauf** Der typische DHCP-Ablauf besteht aus vier Schritten: | Schritt | Bedeutung | |---|---| | Discover | Client sucht DHCP-Server | | Offer | Server bietet Adresse an | | Request | Client fordert Adresse an | | Acknowledge | Server bestätigt die Vergabe | Merksatz: **DORA** - Discover - Offer - Request - Acknowledge --- **8.15 DHCP als Grafik** ```mermaid sequenceDiagram participant C as Client participant S as DHCP-Server C->>S: DHCP Discover S->>C: DHCP Offer C->>S: DHCP Request S->>C: DHCP Acknowledge ``` --- **8.16 DNS** DNS bedeutet Domain Name System. DNS übersetzt Namen in IP-Adressen. Beispiel: `www.example.com` wird zu einer IP-Adresse aufgelöst. Warum ist DNS wichtig? Menschen merken sich Namen leichter als IP-Adressen. --- **8.17 FQDN** FQDN bedeutet Fully Qualified Domain Name. Beispiel: `server01.firma.local` Bestandteile: | Teil | Bedeutung | |---|---| | server01 | Hostname | | firma | Domain | | local | Top-Level oder interner Namensraum | --- **8.18 Routing** Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten. Ein Router verbindet mehrere IP-Netze. Beispiel: - Netz A: `192.168.1.0/24` - Netz B: `192.168.2.0/24` Damit Geräte aus beiden Netzen kommunizieren können, braucht man einen Router oder Layer-3-Switch. --- **8.19 Routing als Grafik** ```mermaid flowchart LR A["PC A
192.168.1.10/24"] R["Router
192.168.1.1 / 192.168.2.1"] B["PC B
192.168.2.10/24"] A --- R --- B ``` Wenn PC A mit PC B kommunizieren möchte, erkennt PC A: PC B liegt nicht im eigenen Netz. Deshalb sendet PC A das Paket an sein Standardgateway. --- **8.20 Statisches und dynamisches Routing** | Art | Erklärung | |---|---| | statisches Routing | Routen werden manuell eingetragen | | dynamisches Routing | Router tauschen Routen automatisch aus | Für kleinere Netze reichen statische Routen oft aus. In größeren Netzen verwendet man dynamische Routing-Protokolle. --- **8.21 Layer-3-Switch** Ein Layer-3-Switch kann zusätzlich zum Switching auch Routing übernehmen. Typischer Einsatz: - VLANs miteinander verbinden - schnelles Routing im LAN - Entlastung eines Routers Beispiel: VLAN 10 und VLAN 20 können über einen Layer-3-Switch miteinander kommunizieren, wenn Routing erlaubt ist. --- **9. Schicht 4 – Transportschicht** Schicht 4 ist für die Kommunikation zwischen Anwendungen zuständig. Wichtige Themen: - TCP - UDP - Ports - Verbindungsaufbau - Verbindungsabbau - NAT - Portweiterleitung --- **9.1 Ports** Ports dienen dazu, Anwendungen auf einem Gerät zu unterscheiden. Ein Gerät kann eine IP-Adresse haben, aber viele Dienste gleichzeitig anbieten. Beispiel: | Dienst | Port | |---|---:| | HTTP | 80 | | HTTPS | 443 | | DNS | 53 | | SSH | 22 | | SMTP | 25 | | IMAP | 143 | | RDP | 3389 | Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welche Anwendung auf dem Gerät gemeint ist. --- **9.2 Schreibweise IP-Adresse mit Port** Beispiele: - `192.168.1.10:80` - `10.0.0.5:22` - `https://example.com:443` --- **9.3 Portbereiche** | Bereich | Name | Bedeutung | |---|---|---| | 0–1023 | System Ports / Well-known Ports | bekannte Standarddienste | | 1024–49151 | User Ports | registrierte Anwendungen | | 49152–65535 | Dynamic / Private Ports | temporäre Client-Ports | --- **9.4 TCP** TCP ist verbindungsorientiert. Eigenschaften: - zuverlässige Übertragung - Reihenfolge der Daten wird sichergestellt - verlorene Daten werden erneut gesendet - Verbindung wird aufgebaut und beendet - mehr Verwaltungsaufwand als UDP Typische TCP-Dienste: - HTTP - HTTPS - SSH - SMTP - IMAP - FTP --- **9.5 TCP-Verbindungsaufbau** TCP nutzt den Three-Way-Handshake. ```mermaid sequenceDiagram participant C as Client participant S as Server C->>S: SYN S->>C: SYN/ACK C->>S: ACK ``` Danach ist die Verbindung aufgebaut. --- **9.6 TCP-Verbindungsabbau** Eine TCP-Verbindung wird kontrolliert beendet. Vereinfacht: ```mermaid sequenceDiagram participant C as Client participant S as Server C->>S: FIN S->>C: ACK S->>C: FIN C->>S: ACK ``` --- **9.7 UDP** UDP ist verbindungslos. Eigenschaften: - kein Verbindungsaufbau - keine Garantie für Zustellung - keine automatische Wiederholung - schneller und schlanker als TCP Typische UDP-Dienste: - DNS - DHCP - VoIP - Streaming - Gaming --- **9.8 TCP und UDP Vergleich** | Merkmal | TCP | UDP | |---|---|---| | Verbindung | verbindungsorientiert | verbindungslos | | Zuverlässigkeit | hoch | keine Garantie | | Reihenfolge | wird sichergestellt | nicht garantiert | | Geschwindigkeit | mehr Overhead | weniger Overhead | | Beispiele | HTTPS, SSH, SMTP | DNS, DHCP, VoIP | --- **9.9 NAT** NAT bedeutet Network Address Translation. NAT übersetzt IP-Adressen. Typischer Fall: Viele private Geräte im LAN nutzen eine gemeinsame öffentliche IP-Adresse für den Zugriff ins Internet. Beispiel: - PC intern: `192.168.1.10` - Router öffentlich: `84.x.x.x` Der Router ersetzt beim Senden ins Internet die private Quelladresse durch seine öffentliche Adresse. --- **9.10 NAT als Grafik** ```mermaid flowchart LR PC["PC
192.168.1.10"] R["Router / NAT
innen: 192.168.1.1
außen: öffentliche IP"] INET["Internet
Webserver"] PC --> R --> INET INET --> R --> PC ``` --- **9.11 PAT** PAT bedeutet Port Address Translation. PAT ist eine Form von NAT, bei der zusätzlich Ports genutzt werden. Dadurch können viele interne Geräte gleichzeitig über eine öffentliche IP-Adresse kommunizieren. Beispiel: | Intern | Extern | |---|---| | 192.168.1.10:50001 | öffentliche-IP:61001 | | 192.168.1.11:50002 | öffentliche-IP:61002 | Der Router merkt sich diese Zuordnung in einer NAT-Tabelle. --- **9.12 Portforwarding** Portforwarding wird auch Destination NAT genannt. Dabei wird eine Anfrage von außen an ein internes Gerät weitergeleitet. Beispiel: Anfrage aus dem Internet an: `öffentliche-IP:443` wird weitergeleitet an: `192.168.1.20:443` Typische Verwendung: - Webserver im internen Netzwerk - VPN-Server - Spieleserver - Remote-Zugriff Sicherheitswarnung: Portforwarding öffnet Dienste nach außen. Deshalb sollte man nur notwendige Ports freigeben und Dienste aktuell halten. --- **9.13 Portforwarding als Grafik** ```mermaid flowchart LR I["Client im Internet"] R["Router / Firewall
Port 443 offen"] S["Interner Webserver
192.168.1.20:443"] I --> R --> S ``` --- **9.14 Allowlist und Blocklist** | Begriff | Bedeutung | |---|---| | Allowlist | Nur ausdrücklich erlaubte Dinge sind erlaubt | | Blocklist | Nur ausdrücklich verbotene Dinge sind blockiert | Sicherer ist meistens das Allowlist-Prinzip: Alles ist verboten, außer es wurde ausdrücklich erlaubt. --- **10. Firewalls** Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie entscheidet: - Wer darf wohin? - Von welcher Quelle? - Zu welchem Ziel? - Über welches Protokoll? - Über welchen Port? - In welche Richtung? Eine Firewall schützt nicht automatisch vor allem. Sie ist nur so gut wie ihre Regeln und ihre Platzierung im Netzwerk. --- **10.1 Aufgaben einer Firewall** Eine Firewall kann: - unerwünschten Datenverkehr blockieren - erlaubte Kommunikation zulassen - Netze voneinander trennen - Server in einer DMZ schützen - Zugriffe protokollieren - Angriffsfläche reduzieren - Regeln für ein- und ausgehenden Verkehr erzwingen --- **10.2 Personal Firewall und Unternehmens-Firewall** | Typ | Erklärung | |---|---| | Personal Firewall | läuft direkt auf einem einzelnen PC oder Server | | Unternehmens-Firewall | schützt ein gesamtes Netzwerk oder mehrere Netzbereiche | Beispiel: Die Windows Defender Firewall ist eine Personal Firewall. Eine Firewall zwischen LAN und Internet ist eine Unternehmens-Firewall. --- **10.3 Paketfilter-Firewall** Eine einfache Paketfilter-Firewall prüft einzelne Pakete anhand von Regeln. Sie betrachtet zum Beispiel: - Quell-IP - Ziel-IP - Protokoll - Port Nachteil: Klassische Paketfilter kennen oft keinen Verbindungszustand. Hin- und Rückweg müssen dann separat erlaubt werden. Für die IHK wichtig: Paketfilter-Firewalls sind weiterhin prüfungsrelevant, auch wenn moderne Firewalls meist zustandsorientiert arbeiten. --- **10.4 Stateful Packet Inspection Firewall** Eine SPI-Firewall ist zustandsorientiert. SPI bedeutet Stateful Packet Inspection. Das bedeutet: Die Firewall merkt sich bestehende Verbindungen. Vorteil: Wenn ein Client aus dem LAN eine Verbindung nach außen aufbaut, kann die Antwort automatisch wieder zurückgelassen werden. Der Rückweg muss nicht extra als neue Regel eingerichtet werden. --- **10.5 Paketfilter vs. SPI-Firewall** | Merkmal | Paketfilter | SPI-Firewall | |---|---|---| | prüft einzelne Pakete | ja | ja | | kennt Verbindungszustand | nein oder begrenzt | ja | | Rückweg automatisch erlaubt | nein | ja, wenn Verbindung gültig | | Sicherheit | geringer | höher | | heutige Praxis | eher veraltet | üblich | --- **10.6 Firewall-Regeln nach OSI-Schichten** Eine Firewall kann je nach Typ verschiedene Informationen prüfen. | OSI-Schicht | Prüfkriterium | Beispiel | |---|---|---| | Schicht 2 | MAC-Adresse | Nur Gerät mit bestimmter MAC erlauben | | Schicht 3 | IP-Adresse | Quelle 192.168.1.10 erlauben | | Schicht 4 | TCP / UDP und Ports | TCP 443 erlauben | | Schicht 7 | Anwendung | HTTP, DNS, bestimmte URLs | Wichtig: Je höher die Schicht, desto genauer kann geprüft werden. Dafür braucht die Firewall aber mehr Leistung und mehr Verständnis des Datenverkehrs. --- **10.7 Grundprinzip: Default Deny** Ein sicheres Firewall-Konzept arbeitet häufig nach diesem Prinzip: **Alles ist verboten, außer es wurde ausdrücklich erlaubt.** Das nennt man Default Deny. Beispiel: Erlaubt: - LAN → Internet: HTTPS - LAN → DNS-Server: DNS - Admin-PC → Server: SSH oder RDP Verboten: - Internet → LAN - Gäste-WLAN → internes Servernetz - unbekannte Ports - unnötige Dienste --- **10.8 Firewall als Grenze zwischen Netzen** ```mermaid flowchart LR LAN["Internes LAN
vertrauenswürdiger Bereich"] FW["Firewall
Regelprüfung"] WAN["Internet
nicht vertrauenswürdiger Bereich"] LAN --> FW --> WAN WAN --> FW --> LAN ``` Die Firewall steht zwischen verschiedenen Sicherheitszonen. --- **10.9 Typische Firewall-Zonen** | Zone | Bedeutung | |---|---| | LAN | internes vertrauenswürdiges Netz | | WAN | Internet / externes Netz | | DMZ | separates Netz für öffentlich erreichbare Server | | Gäste-Netz | getrenntes Netz für Besucher | | Servernetz | separates Netz für wichtige Server | --- **10.10 DMZ** DMZ bedeutet Demilitarisierte Zone. Eine DMZ ist ein separates Netzwerk für Server, die aus dem Internet erreichbar sein müssen. Beispiele: - Webserver - Mailserver - VPN-Gateway - Reverse Proxy Warum DMZ? Wenn ein öffentlich erreichbarer Server kompromittiert wird, soll der Angreifer nicht direkt im internen LAN stehen. --- **10.11 DMZ als Grafik** ```mermaid flowchart LR WAN["Internet"] FW["Firewall"] LAN["Internes LAN
Clients, Dateien, interne Server"] DMZ["DMZ
Webserver / Reverse Proxy"] WAN --- FW FW --- LAN FW --- DMZ ``` Regelbeispiel: | Richtung | Regel | |---|---| | Internet → DMZ | Nur HTTPS zum Webserver erlauben | | Internet → LAN | blockieren | | DMZ → LAN | nur absolut notwendige Verbindungen | | LAN → DMZ | Administration nur von Admin-PCs | | LAN → Internet | notwendige Dienste erlauben | --- **10.12 Einstufige und zweistufige DMZ** **Einstufige DMZ** Eine Firewall trennt Internet, LAN und DMZ. Vorteil: - einfacher Aufbau - weniger Geräte - günstiger Nachteil: - die Sicherheit hängt stark an einer Firewall **Zweistufige DMZ** Zwei Firewalls trennen Internet, DMZ und LAN. Vorteil: - bessere Trennung - höheres Sicherheitsniveau Nachteil: - mehr Aufwand - höhere Kosten - komplexere Administration --- **10.13 Einstufige DMZ** ```mermaid flowchart LR I["Internet"] FW["Firewall mit 3 Schnittstellen"] LAN["LAN"] DMZ["DMZ"] I --- FW FW --- LAN FW --- DMZ ``` --- **10.14 Zweistufige DMZ** ```mermaid flowchart LR I["Internet"] FW1["Firewall 1"] DMZ["DMZ"] FW2["Firewall 2"] LAN["Internes LAN"] I --- FW1 --- DMZ --- FW2 --- LAN ``` --- **10.15 Firewall-Regeln verstehen** Eine Firewall-Regel besteht typischerweise aus: | Bestandteil | Beispiel | |---|---| | Quelle | 192.168.10.0/24 | | Ziel | 8.8.8.8 | | Protokoll | TCP oder UDP | | Port | 53, 80, 443 | | Aktion | erlauben oder blockieren | | Richtung | eingehend, ausgehend, weitergeleitet | Beispielregel: `LAN darf per TCP Port 443 ins Internet.` Das bedeutet: - Quelle: LAN - Ziel: Internet - Protokoll: TCP - Port: 443 - Aktion: erlauben --- **10.16 INPUT, OUTPUT und FORWARD** Bei Linux-Firewalls mit iptables sind drei Richtungen besonders wichtig. | Chain | Bedeutung | |---|---| | INPUT | Verkehr zur Firewall selbst | | OUTPUT | Verkehr von der Firewall selbst nach außen | | FORWARD | Verkehr durch die Firewall hindurch | Beispiele: | Situation | Chain | |---|---| | Admin greift per SSH auf Firewall zu | INPUT | | Firewall macht selbst DNS-Abfrage | OUTPUT | | PC im LAN geht über Firewall ins Internet | FORWARD | --- **10.17 INPUT, OUTPUT und FORWARD als Grafik** ```mermaid flowchart LR LAN["LAN-Client"] FW["Firewall-System"] NET["Internet"] LAN -- "FORWARD
durch die Firewall" --> FW FW -- "FORWARD" --> NET LAN -- "INPUT
zur Firewall selbst" --> FW FW -- "OUTPUT
von der Firewall selbst" --> NET ``` --- **10.18 Beispiel für einfache Firewall-Logik** Ziel: - LAN darf ins Internet - Antworten aus dem Internet dürfen zurück - Internet darf keine neuen Verbindungen ins LAN starten Regellogik: 1. Erlaube bestehende und zugehörige Verbindungen. 2. Erlaube LAN → Internet für notwendige Dienste. 3. Blockiere neue Verbindungen von Internet → LAN. 4. Protokolliere unerwünschte Zugriffe. 5. Standardregel: blockieren. --- **10.19 Beispiel-Regelkonzept** | Nr. | Quelle | Ziel | Dienst | Aktion | |---:|---|---|---|---| | 1 | LAN | Internet | DNS | erlauben | | 2 | LAN | Internet | HTTP/HTTPS | erlauben | | 3 | LAN | Internet | NTP | erlauben | | 4 | Internet | LAN | alle | blockieren | | 5 | Admin-PC | Server | SSH/RDP | erlauben | | 6 | Gäste-WLAN | LAN | alle | blockieren | --- **10.20 Firewall und VLAN** VLANs trennen Netze logisch. Eine Firewall kann anschließend regeln, welche VLANs miteinander kommunizieren dürfen. Beispiel: ```mermaid flowchart TD FW["Firewall / Layer-3-Gateway"] V10["VLAN 10
Verwaltung"] V20["VLAN 20
Mitarbeiter"] V30["VLAN 30
Gäste"] V40["VLAN 40
Server"] V10 --- FW V20 --- FW V30 --- FW V40 --- FW ``` Beispielregeln: | Richtung | Erlaubt? | |---|---| | Verwaltung → Server | ja | | Mitarbeiter → Server | teilweise | | Gäste → Internet | ja | | Gäste → Server | nein | | Gäste → Verwaltung | nein | --- **10.21 Typische Prüfungsfragen zur Firewall** **Was macht eine Firewall?** Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie erlaubt oder blockiert Verbindungen abhängig von Quelle, Ziel, Protokoll, Port und Richtung. **Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?** Ein Paketfilter prüft einzelne Pakete. Eine SPI-Firewall merkt sich zusätzlich den Zustand einer Verbindung und kann Rückverkehr automatisch zuordnen. **Was bedeutet Default Deny?** Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen sind zugelassen. **Warum verwendet man eine DMZ?** Eine DMZ trennt öffentlich erreichbare Server vom internen LAN. Dadurch wird das interne Netzwerk besser geschützt, falls ein öffentlicher Server kompromittiert wird. **Auf welcher OSI-Schicht arbeiten Firewalls?** Einfache Firewalls arbeiten vor allem auf Schicht 3 und 4. Moderne Firewalls können zusätzlich höhere Schichten prüfen, zum Beispiel Anwendungen auf Schicht 7. --- **11. IHK-Merkliste** **MAC-Adresse** - Schicht 2 - lokale Zustellung im LAN - wird vom Switch verwendet **IP-Adresse** - Schicht 3 - logische Adresse - wird vom Router verwendet **Port** - Schicht 4 - unterscheidet Anwendungen und Dienste **Switch** - arbeitet hauptsächlich auf Schicht 2 - leitet anhand von MAC-Adressen weiter **Router** - arbeitet auf Schicht 3 - verbindet verschiedene IP-Netze **Firewall** - kontrolliert Verkehr zwischen Netzen - prüft Regeln - kann auf mehreren Schichten arbeiten **NAT** - übersetzt Adressen - private Geräte nutzen öffentliche IP **Portforwarding** - leitet externe Anfragen an interne Server weiter - Sicherheitsrisiko, wenn falsch konfiguriert **VLAN** - logische Trennung in einem physischen Netzwerk - braucht Routing oder Firewall für Kommunikation zwischen VLANs **DMZ** - separates Netz für öffentlich erreichbare Server - schützt das interne LAN --- **12. Kurzer Gesamtüberblick als Grafik** ```mermaid flowchart TB A["Schicht 0
Kabel, Glasfaser, Funk"] B["Schicht 1
Signale, Netzwerkkarte"] C["Schicht 2
MAC, Switch, Ethernet, VLAN"] D["Schicht 3
IP, Routing, DHCP, DNS"] E["Schicht 4
TCP, UDP, Ports, NAT"] F["Firewall
Regeln zwischen Netzen"] G["Anwendungen
HTTP, HTTPS, Mail, DNS"] A --> B --> C --> D --> E --> F --> G ``` --- **13. Beispiel: Webseitenaufruf im Netzwerk** Ein Client ruft eine Webseite auf. Ablauf vereinfacht: 1. Client prüft seine IP-Konfiguration. 2. Client fragt DNS nach der IP-Adresse der Webseite. 3. Client baut per TCP eine Verbindung zum Webserver auf. 4. Bei HTTPS wird Port 443 verwendet. 5. Daten werden in TCP-Segmente verpackt. 6. TCP wird in IP-Pakete verpackt. 7. IP wird in Ethernet-Frames verpackt. 8. Switch leitet Frames anhand der MAC-Adresse weiter. 9. Router oder Firewall leitet Pakete ins Internet weiter. 10. NAT übersetzt private Adresse in öffentliche Adresse. 11. Antwortpakete kommen zurück. 12. SPI-Firewall erkennt die bestehende Verbindung und lässt die Antwort passieren. --- **14. Webseitenaufruf als Grafik** ```mermaid sequenceDiagram participant PC as Client-PC participant DNS as DNS-Server participant FW as Router / Firewall / NAT participant WEB as Webserver PC->>DNS: Wie lautet die IP von example.com? DNS->>PC: Antwort: IP-Adresse PC->>FW: TCP SYN an Webserver Port 443 FW->>WEB: Weiterleitung mit NAT WEB->>FW: SYN/ACK zurück FW->>PC: Antwort wird wegen SPI erlaubt PC->>WEB: HTTPS-Datenübertragung ``` --- **15. Prüfungsorientierte Zusammenfassung** Für die IHK solltest du besonders sicher beherrschen: - OSI-Schichten und typische Geräte/Protokolle - Unterschied zwischen MAC-Adresse, IP-Adresse und Port - IPv4-Subnetting - private IP-Bereiche - DHCP-Ablauf DORA - DNS-Grundprinzip - Unterschied TCP und UDP - NAT und Portforwarding - VLAN-Grundprinzip - Firewall-Regeln - Unterschied Paketfilter und SPI-Firewall - Zweck einer DMZ Merksatz: **MAC findet Geräte im lokalen Netz. IP findet Netze. Ports finden Anwendungen. Firewalls entscheiden, was erlaubt ist.** # OSI-Modell OSI-Modell – Geräte & Firewall-Bezug IHK-sichere Hauptzuordnung der Schichten, Geräte und Firewall-Arten Schicht Name Worum geht es? Typische Geräte / Komponenten Firewall-Bezug Layer 7 Anwendungs- schicht Anwendungen und Dienste Proxy, Application Gateway, Webserver, DNS-Server ▣ ◉ ▤ ◌ Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter Layer 6 Darstellungs- schicht Datenformat, Verschlüsselung, Komprimierung meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy Prüfung hier meist nur bei TLS-Inspection Layer 5 Sitzungs- schicht Aufbau, Verwaltung und Abbau von Sitzungen meist keine klassischen Netzwerkgeräte; teilweise Proxy/Gateway für die IHK eher Zusatzwissen, nicht Haupt-Firewall-Schicht Layer 4 Transport- schicht Ports, Ende-zu-Ende- Verbindungen, TCP/UDP Firewall, Load Balancer ▦ ⚖ Stateful Firewall, Portfilter, TCP-/UDP-Regeln Layer 3 Vermittlungs- schicht IP-Adressierung und Routing zwischen Netzen Router, Layer-3-Switch, Firewall ◎ ⇄ ▦ Paketfilter-Firewall, ACLs, IP-Filter Layer 2 Sicherungs- schicht Kommunikation im lokalen Netz über MAC-Adressen Switch, Bridge, Access Point, Netzwerkkarte ▤ ≋ ◖ VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall Layer 1 Bitübertragungs- schicht Physische Übertragung von Bits Kabel, Hub, Repeater, Medienkonverter ⌁ ▭ ↻ Keine klassische Firewall-Funktion Wichtige IHK-Merksätze ✓ Layer 2 = MAC / Switch ✓ Layer 3 = IP / Router / Paketfilter ✓ Layer 4 = TCP/UDP / Ports / Stateful Firewall ✓ Layer 7 = Anwendung / Proxy / WAF Wichtiger Hinweis Reale Geräte können mehrere OSI-Schichten abdecken. Für die IHK ist meistens die Hauptzuordnung entscheidend. Kurz merken: Switch = Layer 2 · Router = Layer 3 · Stateful Firewall = Layer 3/4 · Proxy/WAF = Layer 7 · NGFW = Layer 3 bis 7 **OSI-Modell – Geräte und Firewall-Bezug \(IHK-sicher\)** Das OSI-Modell teilt Netzwerkkommunikation in **7 Schichten** ein. Für die IHK ist wichtig, dass du nicht nur die Namen der Schichten kennst, sondern auch verstehst, **welche Aufgabe die jeweilige Schicht hat**, **welche Geräte dort typischerweise arbeiten** und **welche Firewall-Art dazu passt**. Wichtig: Das OSI-Modell ist ein **theoretisches Referenzmodell**. Reale Geräte arbeiten oft auf mehreren Schichten gleichzeitig. Für Prüfungsaufgaben zählt meistens die **Hauptzuordnung**. | OSI-Schicht | Name | Worum geht es? | Typische Geräte / Komponenten | Firewall-Bezug | |---:|---|---|---|---| | **7** | **Anwendungsschicht** | Anwendungen und Dienste | Proxy, Application Gateway, Webserver, DNS-Server | Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter | | **6** | **Darstellungsschicht** | Datenformat, Verschlüsselung, Komprimierung | meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy | Prüfung hier meist nur bei TLS-Inspection | | **5** | **Sitzungsschicht** | Aufbau, Verwaltung und Abbau von Sitzungen | meist keine klassischen Netzwerkgeräte; teilweise Proxy-/Gateway-Funktionen | Für die IHK eher Zusatzwissen, nicht die Haupt-Firewall-Schicht | | **4** | **Transportschicht** | Ports, Ende-zu-Ende-Verbindungen, TCP/UDP | Firewall, Load Balancer | Stateful Firewall, Portfilter, TCP-/UDP-Regeln | | **3** | **Vermittlungsschicht** | IP-Adressierung und Routing zwischen Netzen | Router, Layer-3-Switch, Firewall | Paketfilter-Firewall, ACLs, IP-Filter | | **2** | **Sicherungsschicht** | Kommunikation im lokalen Netz über MAC-Adressen | Switch, Bridge, Access Point, Netzwerkkarte | VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall | | **1** | **Bitübertragungsschicht** | Physische Übertragung von Bits | Kabel, Hub, Repeater, Medienkonverter | Keine klassische Firewall-Funktion | --- **Layer 7 – Anwendungsschicht** Die **Anwendungsschicht** ist die oberste Schicht des OSI-Modells. Hier befinden sich Netzwerkdienste und Anwendungen, mit denen Benutzer oder Programme arbeiten. Typische Beispiele sind: - HTTP - HTTPS - DNS - SMTP - FTP - IMAP - SSH Auf dieser Schicht geht es nicht mehr nur darum, **welche IP-Adresse** oder **welcher Port** verwendet wird, sondern darum, **welche Anwendung oder welcher Dienst** tatsächlich kommuniziert. Beispiel: Wenn ein Benutzer eine Webseite aufruft, findet die eigentliche Webkommunikation über HTTP oder HTTPS auf der Anwendungsschicht statt. Typische Komponenten: - Proxy - Application Gateway - Webserver - DNS-Server - Web Application Firewall \(WAF\) Firewall-Bezug: Eine **Proxy-Firewall** oder ein **Application-Level Gateway** arbeitet auf Anwendungsebene. Sie betrachtet nicht nur IP-Adressen und Ports, sondern kann anwendungsbezogene Inhalte prüfen. Eine **WAF** schützt speziell Webanwendungen. Sie prüft HTTP- und HTTPS-Anfragen zum Beispiel auf Angriffe wie SQL-Injection oder Cross-Site-Scripting. Eine **NGFW** kann ebenfalls Anwendungen erkennen und filtern, zum Beispiel Webmail, Streaming, Messenger oder andere Dienste. IHK-Merksatz: **Layer 7 = Anwendung, Inhalte, Proxy, WAF** --- **Layer 6 – Darstellungsschicht** Die **Darstellungsschicht** kümmert sich darum, wie Daten dargestellt, codiert, verschlüsselt oder komprimiert werden. Typische Aufgaben: - Datenformate umwandeln - Zeichencodierung festlegen - Daten komprimieren - Daten verschlüsseln oder entschlüsseln Typische Beispiele: - TLS/SSL - UTF-8 - JPEG - PNG - Komprimierung Für die IHK ist wichtig: Layer 6 ist eher eine theoretische Schicht. In vielen praktischen Netzwerkaufgaben stehen Layer 2, 3, 4 und 7 stärker im Vordergrund. Firewall-Bezug: Eine Firewall kann verschlüsselten HTTPS-Verkehr nicht vollständig inhaltlich prüfen, solange sie den Verkehr nicht entschlüsselt. Eine tiefere Inhaltsprüfung ist nur mit **TLS-Inspection** beziehungsweise **SSL-Inspection** möglich. Wichtig: TLS/SSL wird in Lernunterlagen oft der Darstellungsschicht zugeordnet, in der Praxis liegt es technisch zwischen Anwendung und Transport. Für IHK-Lernzwecke reicht: **Layer 6 = Verschlüsselung, Darstellung, Datenformat**. IHK-Merksatz: **Layer 6 = Darstellung, Format, Verschlüsselung, Komprimierung** --- **Layer 5 – Sitzungsschicht** Die **Sitzungsschicht** ist für den Aufbau, die Verwaltung und den Abbau von Sitzungen zuständig. Eine Sitzung ist ein logischer Kommunikationszusammenhang zwischen zwei Systemen. Dabei geht es zum Beispiel darum, eine Verbindung beziehungsweise einen Dialog zu starten, aufrechtzuerhalten und sauber zu beenden. Typische Aufgaben: - Sitzung aufbauen - Sitzung verwalten - Sitzung beenden - Dialogsteuerung - Wiederaufnahme von Kommunikationsabläufen Für die IHK ist wichtig: Layer 5 ist meistens weniger praxisnah als Layer 2, 3, 4 und 7. In Firewall-Fragen wird Layer 5 normalerweise nicht als wichtigste Schicht abgefragt. Firewall-Bezug: Manche Gateway- oder Proxy-Funktionen können sitzungsbezogene Informationen berücksichtigen. Für die Prüfung solltest du aber vor allem diese klare Zuordnung lernen: - Paketfilter-Firewall = Layer 3/4 - Stateful Firewall = Layer 3/4 - Proxy-Firewall = Layer 7 - WAF = Layer 7 - NGFW = Layer 3 bis 7 IHK-Merksatz: **Layer 5 = Sitzung aufbauen, verwalten und beenden** --- **Layer 4 – Transportschicht** Die **Transportschicht** regelt die Kommunikation zwischen Anwendungen auf zwei Systemen. Hier sind vor allem **TCP**, **UDP** und **Ports** wichtig. Wichtige Begriffe: - TCP - UDP - Portnummern - Verbindungen - Verbindungsstatus - Ende-zu-Ende-Kommunikation TCP ist verbindungsorientiert. Das bedeutet: Es wird eine Verbindung aufgebaut, Daten werden geordnet übertragen und der Empfang kann bestätigt werden. UDP ist verbindungslos. Das bedeutet: Es ist einfacher und schneller, bietet aber keine gleiche zuverlässige Verbindungssteuerung wie TCP. Typische Ports: | Dienst | Protokoll / Port | |---|---| | HTTP | TCP 80 | | HTTPS | TCP 443 | | DNS | UDP/TCP 53 | | SSH | TCP 22 | | RDP | TCP 3389 | | SMTP | TCP 25 | Typische Geräte / Komponenten: - Firewall - Layer-4-Load-Balancer Firewall-Bezug: Eine Firewall kann auf Layer 4 prüfen, welche Ports und Transportprotokolle verwendet werden. Eine **Stateful Firewall** prüft zusätzlich, ob ein Paket zu einer bereits erlaubten Verbindung gehört. Sie führt dafür eine Verbindungstabelle. Beispiel: Ein Client aus dem internen Netzwerk baut eine HTTPS-Verbindung zu einem Webserver auf. Die Antwortpakete aus dem Internet werden erlaubt, weil sie zu dieser bestehenden Verbindung gehören. IHK-Merksatz: **Layer 4 = TCP/UDP, Ports, Verbindungen, Stateful Firewall** --- **Layer 3 – Vermittlungsschicht** Die **Vermittlungsschicht** ist für IP-Adressierung und Routing zuständig. Hier wird entschieden, wie Datenpakete von einem Netzwerk in ein anderes Netzwerk gelangen. Wichtige Themen: - IPv4 - IPv6 - Routing - Subnetze - Standardgateway - ICMP - IPsec - Paketweiterleitung Typische Geräte: - Router - Layer-3-Switch - Firewall Ein Router verbindet unterschiedliche Netzwerke miteinander. Er entscheidet anhand der Ziel-IP-Adresse, wohin ein Paket weitergeleitet wird. Ein Layer-3-Switch kann zusätzlich zu klassischen Switch-Funktionen auch Routing-Funktionen übernehmen, zum Beispiel zwischen VLANs. Firewall-Bezug: Eine Paketfilter-Firewall prüft auf Layer 3 zum Beispiel: - Quell-IP-Adresse - Ziel-IP-Adresse - Protokoll - Netzbereich - Richtung des Datenverkehrs Sobald zusätzlich Ports geprüft werden, ist auch Layer 4 beteiligt. Deshalb ist die IHK-sichere Formulierung: **Paketfilter-Firewall = Layer 3/4** Beispielregel: Ein internes Netz `192.168.10.0/24` darf per TCP-Port `443` ins Internet, aber nicht per TCP-Port `23`. IHK-Merksatz: **Layer 3 = IP-Adresse, Routing, Router, Paketfilter** --- **Layer 2 – Sicherungsschicht** Die **Sicherungsschicht** ist für die Kommunikation im lokalen Netzwerk zuständig. Hier geht es vor allem um **MAC-Adressen**, **Ethernet-Frames**, **Switching** und **VLANs**. Wichtige Themen: - MAC-Adressen - Ethernet-Frames - Switches - Bridges - VLANs - ARP - WLAN im lokalen Netz - Fehlererkennung auf Frame-Ebene Typische Geräte: - Switch - Bridge - Access Point - Netzwerkkarte Ein Switch arbeitet hauptsächlich auf Layer 2. Er lernt MAC-Adressen und leitet Frames an den passenden Port weiter. Für die IHK ist sehr wichtig: **Switch = MAC-Adresse = Layer 2** Ein Switch verwendet also normalerweise MAC-Adressen, während ein Router IP-Adressen verwendet. Firewall-Bezug: Layer 2 ist nicht die klassische Firewall-Schicht. Trotzdem gibt es sicherheitsrelevante Funktionen auf Layer 2: - VLAN-Trennung - MAC-Filter - Port-Security - transparente Firewall / Bridge-Firewall als Sonderfall Wichtig: MAC-Filter allein sind kein starker Schutz, weil MAC-Adressen gefälscht werden können. Für IHK-Grundlagen reicht aber die Einordnung: MAC-Adressen gehören zu Layer 2. IHK-Merksatz: **Layer 2 = MAC-Adresse, Switch, lokales Netzwerk** --- **Layer 1 – Bitübertragungsschicht** Die **Bitübertragungsschicht** ist die unterste Schicht des OSI-Modells. Hier geht es um die physische Übertragung von Bits. Wichtige Themen: - elektrische Signale - optische Signale - Funkübertragung - Kabel - Stecker - Netzwerkkarte auf physischer Ebene - Repeater - Hub - Medienkonverter Typische Geräte und Komponenten: - Netzwerkkabel - Glasfaserkabel - Hub - Repeater - Medienkonverter - Stecker und Ports Ein Hub arbeitet auf Layer 1. Er verteilt Signale, trifft aber keine intelligenten Weiterleitungsentscheidungen wie ein Switch. Ein Repeater arbeitet ebenfalls auf Layer 1. Er verstärkt oder erneuert ein Signal. Firewall-Bezug: Auf Layer 1 gibt es keine klassische Firewall-Funktion. Eine Firewall entscheidet nicht anhand von reinen elektrischen oder optischen Signalen, sondern anhand von Informationen höherer Schichten. IHK-Merksatz: **Layer 1 = Kabel, Signal, Bits, physische Übertragung** --- **Firewall-Arten und OSI-Zuordnung** | Firewall-Art | OSI-Zuordnung | Prüft hauptsächlich | Wichtig für die IHK | |---|---:|---|---| | **Paketfilter-Firewall** | **Layer 3/4** | IP-Adressen, Protokolle, Ports | einfache Filterregeln | | **Stateful Firewall** | **Layer 3/4** | IPs, Ports und Verbindungsstatus | merkt sich erlaubte Verbindungen | | **Proxy-Firewall** | **Layer 7** | Anwendungsdaten und Inhalte | arbeitet stellvertretend für den Client | | **Application-Level Gateway** | **Layer 7** | anwendungsspezifische Protokolle | prüft Inhalte auf Anwendungsebene | | **WAF** | **Layer 7** | HTTP-/HTTPS-Anfragen an Webanwendungen | Schutz für Webanwendungen | | **NGFW** | **Layer 3 bis 7** | IPs, Ports, Anwendungen, Inhalte | kombiniert mehrere Sicherheitsfunktionen | | **Hardware-Firewall** | keine eigene OSI-Schicht | abhängig von Funktion | Bauform, nicht OSI-Schicht | | **Software-Firewall** | keine eigene OSI-Schicht | abhängig von Funktion | Installationsart, nicht OSI-Schicht | --- **Wichtige IHK-Merksätze** | Thema | Merksatz | |---|---| | **Switch** | arbeitet hauptsächlich auf Layer 2 | | **Router** | arbeitet hauptsächlich auf Layer 3 | | **Hub** | arbeitet auf Layer 1 | | **Repeater** | arbeitet auf Layer 1 | | **Bridge** | arbeitet hauptsächlich auf Layer 2 | | **Portfilter** | arbeitet hauptsächlich auf Layer 4 | | **Paketfilter** | arbeitet auf Layer 3/4 | | **Stateful Firewall** | arbeitet auf Layer 3/4 und merkt sich Verbindungen | | **Proxy-Firewall** | arbeitet auf Layer 7 | | **WAF** | arbeitet auf Layer 7 | | **NGFW** | kann Layer 3 bis Layer 7 auswerten | | **Layer 6 und 5** | eher theoretisch, bei Firewall-Zuordnung meist Zusatzwissen | --- **Ganz kurzer Prüfungs-Merksatz** **Layer 2 = MAC / Switch** **Layer 3 = IP / Router / Paketfilter** **Layer 4 = TCP/UDP / Ports / Stateful Firewall** **Layer 7 = Anwendung / Proxy / WAF** --- **Beispiel zur Einordnung** Ein Benutzer öffnet eine Webseite über HTTPS. | Schritt | OSI-Schicht | Erklärung | |---|---:|---| | Kabel oder WLAN überträgt Signale | Layer 1 | Bits werden physisch übertragen | | Der Switch leitet Frames im lokalen Netz weiter | Layer 2 | Weiterleitung anhand von MAC-Adressen | | Der Router leitet Pakete ins Internet | Layer 3 | Weiterleitung anhand von IP-Adressen | | Die Verbindung nutzt TCP-Port 443 | Layer 4 | Kommunikation über TCP und Portnummer | | TLS verschlüsselt die Verbindung | Layer 6 | Verschlüsselung und Darstellung | | Der Browser ruft eine Webseite per HTTPS auf | Layer 7 | Anwendungsebene | | Eine Stateful Firewall erlaubt Antwortpakete | Layer 3/4 | Verbindung wurde vorher erlaubt | | Eine WAF prüft HTTP-/HTTPS-Anfragen | Layer 7 | Schutz der Webanwendung | --- **Typische Prüfungsfallen** | Falsche oder ungenaue Aussage | Besser / IHK-sicher | |---|---| | Eine Firewall arbeitet immer nur auf Layer 3 | Kommt auf die Firewall-Art an | | Paketfilter arbeitet nur auf Layer 3 | Besser: Paketfilter arbeitet Layer 3/4 | | Eine WAF schützt das ganze Netzwerk vollständig | Eine WAF schützt vor allem Webanwendungen auf Layer 7 | | Hardware-Firewall ist eine eigene OSI-Schicht | Nein, Hardware beschreibt nur die Bauform | | Switch und Router machen dasselbe | Nein, Switch = Layer 2 / MAC, Router = Layer 3 / IP | | Layer 6 und 5 sind die wichtigsten Firewall-Schichten | Nein, für Firewalls sind meist Layer 3/4 und Layer 7 wichtig |