1. Grundlagen der Netzwerktechnik

OSI Testfragen
Testfragen Netzwerktechnik bis Firewall 
 1. Was ist der Hauptzweck eines Netzwerks? 
 
 Antwort anzeigen 
 Ein Netzwerk verbindet mehrere Geräte miteinander, damit sie Daten austauschen und gemeinsame Ressourcen nutzen können, zum Beispiel Drucker, Server, Internetzugang oder zentrale Datenspeicher. 
 
 
 2. Nenne drei Vorteile von Netzwerken. 
 
 Antwort anzeigen 
 Drei Vorteile sind: 
 
 schneller Datenaustausch 
 gemeinsame Nutzung von Ressourcen, zum Beispiel Drucker oder Server 
 zentrale Datenspeicherung und einfachere Datensicherung 
 
 
 
 3. Nenne drei Nachteile oder Risiken von Netzwerken. 
 
 Antwort anzeigen 
 Drei Nachteile oder Risiken sind: 
 
 Schadsoftware kann sich schneller verbreiten 
 Angriffe oder Spionage von innen und außen sind möglich 
 Aufbau, Wartung und Administration verursachen Kosten 
 
 
 
 4. Was bedeutet LAN? 
 
 Antwort anzeigen 
 LAN bedeutet Local Area Network. Es beschreibt ein lokales Netzwerk, zum Beispiel in einer Wohnung, Schule, Firma oder einem Büro. 
 
 
 5. Was ist der Unterschied zwischen LAN, MAN und WAN? 
 
 Antwort anzeigen 
 LAN ist ein lokales Netzwerk in einem begrenzten Bereich. 
 MAN verbindet Netzwerke innerhalb einer Stadt oder Region. 
 WAN verbindet Netzwerke über große Entfernungen, zum Beispiel über Länder oder Kontinente hinweg. Das Internet ist ein Beispiel für ein WAN. 
 
 
 6. Welche Topologie wird heute in LANs meistens verwendet? 
 
 Antwort anzeigen 
 Meistens wird die Sterntopologie verwendet. Dabei sind die Endgeräte zentral mit einem Switch verbunden. 
 
 
 7. Was bedeutet Vollduplex? 
 
 Antwort anzeigen 
 Vollduplex bedeutet, dass Daten gleichzeitig in beide Richtungen übertragen werden können. 
 Beispiel: Ein PC kann gleichzeitig Daten senden und empfangen. 
 
 
 8. Was bedeutet Halbduplex? 
 
 Antwort anzeigen 
 Halbduplex bedeutet, dass Daten in beide Richtungen übertragen werden können, aber nicht gleichzeitig. 
 Beispiel: Erst sendet Gerät A, danach Gerät B. 
 
 
 9. Wozu dient das OSI-Schichtenmodell? 
 
 Antwort anzeigen 
 Das OSI-Schichtenmodell teilt Netzwerkkommunikation in einzelne Schichten auf. Dadurch kann man besser verstehen, welche Aufgabe auf welcher Ebene passiert, und Fehler systematisch eingrenzen. 
 
 
 10. Wie heißen die 7 OSI-Schichten von oben nach unten? 
 
 Antwort anzeigen 
 Von oben nach unten: 
 
 Anwendung 
 Darstellung 
 Sitzung 
 Transport 
 Vermittlung 
 Sicherung 
 Bitübertragung 
 
 
 
 11. Auf welcher OSI-Schicht arbeitet die MAC-Adresse? 
 
 Antwort anzeigen 
 Die MAC-Adresse arbeitet auf Schicht 2, der Sicherungsschicht. 
 
 
 12. Auf welcher OSI-Schicht arbeitet die IP-Adresse? 
 
 Antwort anzeigen 
 Die IP-Adresse arbeitet auf Schicht 3, der Vermittlungsschicht. 
 
 
 13. Auf welcher OSI-Schicht arbeiten TCP und UDP? 
 
 Antwort anzeigen 
 TCP und UDP arbeiten auf Schicht 4, der Transportschicht. 
 
 
 14. Was ist der Unterschied zwischen OSI-Modell und TCP/IP-Modell? 
 
 Antwort anzeigen 
 Das OSI-Modell hat 7 Schichten und ist eher ein theoretisches Referenzmodell. 
 Das TCP/IP-Modell ist praxisnäher und wird im echten Netzwerkbetrieb häufiger verwendet. Es fasst mehrere OSI-Schichten zusammen. 
 
 
 15. Was bedeutet Datenkapselung? 
 
 Antwort anzeigen 
 Datenkapselung bedeutet, dass jede Netzwerkschicht eigene Steuerinformationen zu den Daten hinzufügt. 
 Beispiel: 
 Anwendungsdaten werden in TCP verpackt, TCP wird in IP verpackt, IP wird in Ethernet verpackt. 
 
 
 16. Was gehört zur Schicht 0 im Unterrichtskontext? 
 
 Antwort anzeigen 
 Zur Schicht 0 gehören die eigentlichen Übertragungsmedien, zum Beispiel: 
 
 Kupferkabel 
 Glasfaser 
 Funk bei WLAN 
 
 Schicht 0 gehört nicht offiziell zum OSI-Modell, wird aber oft zur Erklärung genutzt. 
 
 
 17. Was ist ein Twisted-Pair-Kabel? 
 
 Antwort anzeigen 
 Ein Twisted-Pair-Kabel ist ein Netzwerkkabel mit verdrillten Adernpaaren. Die Verdrillung reduziert Störungen. Es wird häufig mit RJ45-Steckern im LAN verwendet. 
 
 
 18. Wie weit darf ein normales Twisted-Pair-Ethernet-Kabel ungefähr sein? 
 
 Antwort anzeigen 
 In der Praxis gilt meistens eine maximale Länge von ungefähr 100 Metern. 
 
 
 19. Was ist der Unterschied zwischen Multimode- und Singlemode-LWL? 
 
 Antwort anzeigen 
 Multimode-LWL wird eher für kürzere bis mittlere Strecken verwendet. 
 Singlemode-LWL wird für lange Strecken verwendet und hat einen kleineren Faserkern. 
 
 
 20. Warum darf man nicht direkt in eine Glasfaser schauen? 
 
 Antwort anzeigen 
 Weil dort unsichtbares Laserlicht austreten kann. Dieses Licht kann die Augen schädigen, auch wenn man es nicht sieht. 
 
 
 21. Welche WLAN-Verschlüsselung sollte mindestens verwendet werden? 
 
 Antwort anzeigen 
 Mindestens WPA2 sollte verwendet werden. Besser ist WPA3, wenn alle Geräte es unterstützen. 
 
 
 22. Warum ist ein Gäste-WLAN sinnvoll? 
 
 Antwort anzeigen 
 Ein Gäste-WLAN trennt fremde oder private Geräte vom internen Netzwerk. Gäste sollen zum Beispiel ins Internet kommen, aber nicht auf interne Server, Drucker oder NAS-Systeme zugreifen können. 
 
 
 23. Was ist ein Ethernet-Frame? 
 
 Antwort anzeigen 
 Ein Ethernet-Frame ist die Datenübertragungseinheit auf Schicht 2. Er enthält unter anderem Ziel-MAC-Adresse, Quell-MAC-Adresse, Nutzdaten und eine Prüfsumme. 
 
 
 24. Was ist die Aufgabe der FCS oder CRC im Ethernet-Frame? 
 
 Antwort anzeigen 
 FCS beziehungsweise CRC dient zur Fehlererkennung. Damit kann erkannt werden, ob ein Ethernet-Frame beschädigt wurde. 
 Fehlerhafte Frames werden verworfen. 
 
 
 25. Was ist eine MAC-Adresse? 
 
 Antwort anzeigen 
 Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle. Sie ist normalerweise 48 Bit lang und wird hexadezimal dargestellt. 
 Beispiel: 
 00:1A:2B:3C:4D:5E 
 
 
 26. Was macht ein Switch? 
 
 Antwort anzeigen 
 Ein Switch verbindet Geräte in einem LAN und leitet Ethernet-Frames anhand der MAC-Adresse gezielt an den richtigen Port weiter. 
 
 
 27. Was ist der Unterschied zwischen einem Hub und einem Switch? 
 
 Antwort anzeigen 
 Ein Hub sendet empfangene Daten an alle Ports weiter. 
 Ein Switch lernt MAC-Adressen und sendet Frames gezielt nur an den passenden Port. 
 Ein Switch ist dadurch effizienter und sicherer als ein Hub. 
 
 
 28. Was ist eine SAT-Tabelle oder MAC Address Table? 
 
 Antwort anzeigen 
 Das ist die Tabelle eines Switches, in der gespeichert wird, welche MAC-Adresse an welchem Port erreichbar ist. 
 Dadurch kann der Switch Frames gezielt weiterleiten. 
 
 
 29. Was macht ARP? 
 
 Antwort anzeigen 
 ARP bedeutet Address Resolution Protocol. 
 ARP ermittelt zu einer IPv4-Adresse die passende MAC-Adresse im lokalen Netzwerk. 
 
 
 30. Was ist ein ARP-Request? 
 
 Antwort anzeigen 
 Ein ARP-Request ist eine Anfrage im lokalen Netzwerk: 
 „Wer hat diese IP-Adresse? Bitte sende mir deine MAC-Adresse.“ 
 Diese Anfrage wird als Broadcast gesendet. 
 
 
 31. Was ist ein ARP-Reply? 
 
 Antwort anzeigen 
 Ein ARP-Reply ist die Antwort auf einen ARP-Request. 
 Das Zielgerät antwortet mit seiner MAC-Adresse. 
 
 
 32. Was ist ein Managed Switch? 
 
 Antwort anzeigen 
 Ein Managed Switch ist ein konfigurierbarer Switch. Man kann zum Beispiel VLANs, Port-Mirroring, Spanning Tree, Link Aggregation oder Port-Sicherheit einrichten. 
 
 
 33. Was ist Port-Mirroring? 
 
 Antwort anzeigen 
 Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port gespiegelt. Dadurch kann man den Verkehr zum Beispiel mit Wireshark analysieren. 
 
 
 34. Was ist Link Aggregation? 
 
 Antwort anzeigen 
 Link Aggregation fasst mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammen. 
 Vorteile: 
 
 höhere Gesamtbandbreite 
 bessere Ausfallsicherheit 
 Lastverteilung 
 
 
 
 35. Was ist Power over Ethernet? 
 
 Antwort anzeigen 
 Power over Ethernet, kurz PoE, bedeutet, dass Strom und Daten über dasselbe Netzwerkkabel übertragen werden. 
 Typische Geräte sind Access Points, IP-Telefone und Überwachungskameras. 
 
 
 36. Wozu dient das Spanning Tree Protocol? 
 
 Antwort anzeigen 
 Das Spanning Tree Protocol verhindert Netzwerkschleifen zwischen Switches. 
 Es blockiert bestimmte redundante Verbindungen logisch und kann sie bei Ausfall einer anderen Verbindung wieder aktivieren. 
 
 
 37. Was ist ein VLAN? 
 
 Antwort anzeigen 
 Ein VLAN ist ein Virtual Local Area Network. 
 Damit kann ein physisches Netzwerk in mehrere logisch getrennte Netzwerke aufgeteilt werden. 
 
 
 38. Warum setzt man VLANs ein? 
 
 Antwort anzeigen 
 VLANs werden eingesetzt, um Netzbereiche logisch zu trennen. 
 Vorteile: 
 
 mehr Sicherheit 
 bessere Struktur 
 weniger Broadcast-Verkehr 
 Trennung von Abteilungen, Gästen oder Servern 
 
 
 
 39. Was ist ein Tagged Port? 
 
 Antwort anzeigen 
 Ein Tagged Port überträgt VLAN-Informationen im Ethernet-Frame mit. 
 Er wird häufig für Verbindungen zwischen Switches oder zwischen Switch und Router/Firewall verwendet. 
 
 
 40. Was ist ein Untagged Port? 
 
 Antwort anzeigen 
 Ein Untagged Port gehört fest zu einem VLAN. Endgeräte wie PCs oder Drucker werden meistens an untagged Ports angeschlossen. 
 
 
 41. Was ist eine IPv4-Adresse? 
 
 Antwort anzeigen 
 Eine IPv4-Adresse ist eine 32-Bit-Adresse zur logischen Adressierung von Geräten in einem Netzwerk. 
 Beispiel: 
 192.168.1.10 
 
 
 42. Was macht die Subnetzmaske? 
 
 Antwort anzeigen 
 Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil. 
 Beispiel: 
 192.168.1.10/24 
 Hier gehören die ersten 24 Bit zum Netzanteil. 
 
 
 43. Was ist die Netzadresse bei 192.168.1.10/24? 
 
 Antwort anzeigen 
 Die Netzadresse ist: 
 192.168.1.0 
 Bei /24 gehören die ersten drei Oktette zum Netz. Das letzte Oktett ist der Hostanteil. 
 
 
 44. Was ist die Broadcast-Adresse bei 192.168.1.10/24? 
 
 Antwort anzeigen 
 Die Broadcast-Adresse ist: 
 192.168.1.255 
 Sie ist die letzte Adresse im Netz 192.168.1.0/24 . 
 
 
 45. Wie viele nutzbare Hosts gibt es in einem /24-Netz? 
 
 Antwort anzeigen 
 Ein /24 -Netz hat 256 Adressen. 
 Davon sind 2 nicht nutzbar: 
 
 Netzadresse 
 Broadcast-Adresse 
 
 Also gibt es 254 nutzbare Hostadressen. 
 
 
 46. Welche privaten IPv4-Adressbereiche gibt es? 
 
 Antwort anzeigen 
 Private IPv4-Adressbereiche sind: 
 
 
 10.0.0.0/8 
 
 
 172.16.0.0/12 
 
 
 192.168.0.0/16 
 
 
 Diese Adressen werden in privaten Netzwerken verwendet und nicht direkt im Internet geroutet. 
 
 
 47. Was bedeutet APIPA? 
 
 Antwort anzeigen 
 APIPA ist ein automatischer IPv4-Adressbereich, den ein Gerät verwenden kann, wenn kein DHCP-Server erreichbar ist. 
 Der Bereich lautet: 
 169.254.0.0/16 
 
 
 48. Was ist DHCP? 
 
 Antwort anzeigen 
 DHCP bedeutet Dynamic Host Configuration Protocol. 
 DHCP vergibt automatisch Netzwerkkonfigurationen an Clients, zum Beispiel: 
 
 IP-Adresse 
 Subnetzmaske 
 Standardgateway 
 DNS-Server 
 
 
 
 49. Wie lautet der DHCP-Ablauf? 
 
 Antwort anzeigen 
 Der DHCP-Ablauf lautet DORA: 
 
 Discover 
 Offer 
 Request 
 Acknowledge 
 
 Der Client sucht einen DHCP-Server, bekommt ein Angebot, fordert die Adresse an und erhält eine Bestätigung. 
 
 
 50. Was macht DNS? 
 
 Antwort anzeigen 
 DNS bedeutet Domain Name System. 
 DNS übersetzt Namen in IP-Adressen. 
 Beispiel: 
 www.example.com 
 wird in eine passende IP-Adresse aufgelöst. 
 
 
 51. Was ist Routing? 
 
 Antwort anzeigen 
 Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten. 
 Ein Router verbindet zum Beispiel zwei unterschiedliche IP-Netze miteinander. 
 
 
 52. Was ist ein Standardgateway? 
 
 Antwort anzeigen 
 Das Standardgateway ist der Router, an den ein Gerät Pakete sendet, wenn das Ziel nicht im eigenen lokalen Netzwerk liegt. 
 
 
 53. Was ist der Unterschied zwischen statischem und dynamischem Routing? 
 
 Antwort anzeigen 
 Beim statischen Routing werden Routen manuell eingetragen. 
 Beim dynamischen Routing tauschen Router Informationen automatisch über Routing-Protokolle aus. 
 
 
 54. Was ist ein Layer-3-Switch? 
 
 Antwort anzeigen 
 Ein Layer-3-Switch kann nicht nur auf Schicht 2 switchen, sondern auch auf Schicht 3 routen. 
 Er wird häufig eingesetzt, um VLANs im LAN miteinander zu verbinden. 
 
 
 55. Was ist ein Port in der Netzwerktechnik? 
 
 Antwort anzeigen 
 Ein Port ist eine Nummer auf Schicht 4, mit der Anwendungen oder Dienste auf einem Gerät unterschieden werden. 
 Beispiel: 
 
 HTTP: Port 80 
 HTTPS: Port 443 
 SSH: Port 22 
 
 
 
 56. Was ist der Unterschied zwischen IP-Adresse und Port? 
 
 Antwort anzeigen 
 Die IP-Adresse sagt, welches Gerät gemeint ist. 
 Der Port sagt, welcher Dienst oder welche Anwendung auf diesem Gerät gemeint ist. 
 Beispiel: 
 192.168.1.10:443 
 Gerät: 192.168.1.10 
Dienst: Port 443 
 
 
 57. Was ist TCP? 
 
 Antwort anzeigen 
 TCP ist ein verbindungsorientiertes Transportprotokoll. 
 Es sorgt für zuverlässige Datenübertragung, richtige Reihenfolge und erneute Übertragung bei Verlust. 
 
 
 58. Was ist UDP? 
 
 Antwort anzeigen 
 UDP ist ein verbindungsloses Transportprotokoll. 
 Es ist schneller und schlanker als TCP, garantiert aber keine Zustellung und keine richtige Reihenfolge. 
 
 
 59. Was ist der TCP-Three-Way-Handshake? 
 
 Antwort anzeigen 
 Der TCP-Three-Way-Handshake baut eine TCP-Verbindung auf. 
 Ablauf: 
 
 Client sendet SYN 
 Server antwortet mit SYN/ACK 
 Client bestätigt mit ACK 
 
 Danach ist die Verbindung aufgebaut. 
 
 
 60. Nenne je zwei typische Dienste für TCP und UDP. 
 
 Antwort anzeigen 
 Typische TCP-Dienste: 
 
 HTTPS 
 SSH 
 
 Typische UDP-Dienste: 
 
 DNS 
 DHCP 
 
 
 
 61. Was ist NAT? 
 
 Antwort anzeigen 
 NAT bedeutet Network Address Translation. 
 Dabei werden IP-Adressen übersetzt, zum Beispiel private interne IP-Adressen in eine öffentliche IP-Adresse für den Internetzugang. 
 
 
 62. Was ist PAT? 
 
 Antwort anzeigen 
 PAT bedeutet Port Address Translation. 
 Dabei werden zusätzlich Ports verwendet, damit mehrere interne Geräte gleichzeitig über eine öffentliche IP-Adresse ins Internet kommunizieren können. 
 
 
 63. Was ist Portforwarding? 
 
 Antwort anzeigen 
 Portforwarding leitet Anfragen von außen an ein internes Gerät weiter. 
 Beispiel: 
 Eine Anfrage an die öffentliche IP auf Port 443 wird an einen internen Webserver weitergeleitet. 
 
 
 64. Warum kann Portforwarding ein Sicherheitsrisiko sein? 
 
 Antwort anzeigen 
 Portforwarding macht interne Dienste von außen erreichbar. 
 Wenn der Dienst schlecht abgesichert, veraltet oder falsch konfiguriert ist, kann er angegriffen werden. 
 
 
 65. Was ist eine Allowlist? 
 
 Antwort anzeigen 
 Eine Allowlist erlaubt nur ausdrücklich freigegebene Verbindungen, Programme, Geräte oder Benutzer. 
 Alles andere wird blockiert. 
 
 
 66. Was ist eine Blocklist? 
 
 Antwort anzeigen 
 Eine Blocklist blockiert ausdrücklich verbotene Verbindungen, Programme, Geräte oder Benutzer. 
 Alles, was nicht auf der Blocklist steht, kann erlaubt sein. 
 
 
 67. Was ist sicherer: Allowlist oder Blocklist? 
 
 Antwort anzeigen 
 Eine Allowlist ist meistens sicherer, weil nur ausdrücklich erlaubte Dinge zugelassen werden. 
 Das Prinzip lautet: 
 Alles ist verboten, außer es wurde erlaubt. 
 
 
 68. Was macht eine Firewall? 
 
 Antwort anzeigen 
 Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. 
 Sie entscheidet, welche Verbindungen erlaubt oder blockiert werden. 
 
 
 69. Welche Kriterien kann eine Firewall prüfen? 
 
 Antwort anzeigen 
 Eine Firewall kann zum Beispiel prüfen: 
 
 Quell-IP-Adresse 
 Ziel-IP-Adresse 
 Protokoll 
 Port 
 Richtung 
 Verbindungszustand 
 teilweise auch Anwendung oder Inhalt 
 
 
 
 70. Was bedeutet Default Deny? 
 
 Antwort anzeigen 
 Default Deny bedeutet: 
 Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen werden zugelassen. 
 Das ist ein sicheres Grundprinzip für Firewall-Regeln. 
 
 
 71. Was ist eine Paketfilter-Firewall? 
 
 Antwort anzeigen 
 Eine Paketfilter-Firewall prüft einzelne Pakete anhand von Informationen wie Quell-IP, Ziel-IP, Protokoll und Port. 
 Sie betrachtet normalerweise nicht den vollständigen Verbindungszustand. 
 
 
 72. Was ist eine SPI-Firewall? 
 
 Antwort anzeigen 
 SPI bedeutet Stateful Packet Inspection. 
 Eine SPI-Firewall merkt sich bestehende Verbindungen und kann Antworten automatisch einer erlaubten Verbindung zuordnen. 
 
 
 73. Was ist der Unterschied zwischen Paketfilter und SPI-Firewall? 
 
 Antwort anzeigen 
 Ein Paketfilter prüft einzelne Pakete anhand fester Regeln. 
 Eine SPI-Firewall prüft zusätzlich den Zustand der Verbindung. Dadurch kann sie erkennen, ob ein Paket zu einer bereits erlaubten Verbindung gehört. 
 
 
 74. Was ist eine DMZ? 
 
 Antwort anzeigen 
 DMZ bedeutet Demilitarisierte Zone. 
 Eine DMZ ist ein separates Netzwerk für Server, die von außen erreichbar sein müssen, zum Beispiel Webserver oder Reverse Proxy. 
 
 
 75. Warum verwendet man eine DMZ? 
 
 Antwort anzeigen 
 Eine DMZ schützt das interne LAN. 
 Wenn ein öffentlich erreichbarer Server in der DMZ angegriffen oder kompromittiert wird, soll der Angreifer nicht direkt Zugriff auf das interne Netzwerk bekommen. 
 
 
 76. Was ist der Unterschied zwischen einstufiger und zweistufiger DMZ? 
 
 Antwort anzeigen 
 Bei einer einstufigen DMZ trennt eine Firewall Internet, DMZ und LAN. 
 Bei einer zweistufigen DMZ gibt es zwei Firewalls: eine zwischen Internet und DMZ und eine zwischen DMZ und LAN. 
 Die zweistufige DMZ ist sicherer, aber aufwendiger. 
 
 
 77. Was ist die INPUT-Chain bei einer Linux-Firewall? 
 
 Antwort anzeigen 
 INPUT betrifft Datenverkehr, der direkt an die Firewall selbst gerichtet ist. 
 Beispiel: 
 Ein Administrator verbindet sich per SSH mit der Firewall. 
 
 
 78. Was ist die OUTPUT-Chain bei einer Linux-Firewall? 
 
 Antwort anzeigen 
 OUTPUT betrifft Datenverkehr, der von der Firewall selbst ausgeht. 
 Beispiel: 
 Die Firewall stellt selbst eine DNS-Anfrage oder lädt Updates herunter. 
 
 
 79. Was ist die FORWARD-Chain bei einer Linux-Firewall? 
 
 Antwort anzeigen 
 FORWARD betrifft Datenverkehr, der durch die Firewall hindurchgeleitet wird. 
 Beispiel: 
 Ein Client aus dem LAN geht über die Firewall ins Internet. 
 
 
 80. Warum ist eine Firewall allein kein vollständiger Schutz? 
 
 Antwort anzeigen 
 Eine Firewall schützt nur nach ihren Regeln und an der Stelle, an der sie eingesetzt wird. 
 Zusätzlich braucht man: 
 
 Updates 
 sichere Passwörter 
 Benutzerrechte 
 Backups 
 Monitoring 
 Virenschutz 
 sichere Konfiguration 
 Schulung der Benutzer

Netzwerk
Ziel dieser Zusammenfassung 
 Diese Zusammenfassung führt Schritt für Schritt durch zentrale Themen der Netzwerktechnik. 
 Behandelte Themen: 
 
 Grundlagen von Netzwerken 
 OSI-Schichtenmodell 
 Schicht 0: Übertragungsmedien 
 Ethernet-Frame 
 Sniffer 
 Schicht 1: Netzwerkkarte und Hub 
 Schicht 2: MAC-Adresse, Switch, VLAN 
 Schicht 3: IPv4, IPv6, DHCP, DNS, Routing 
 Schicht 4: Ports, TCP, UDP, NAT 
 Firewall-Grundlagen 
 SPI-Firewall 
 DMZ 
 
 
 1. Grundlagen der Netzwerktechnik 
 Ein Netzwerk verbindet mehrere Geräte miteinander, damit diese Daten austauschen und gemeinsame Ressourcen verwenden können. 
 Typische Geräte in einem Netzwerk: 
 
 PC 
 Notebook 
 Smartphone 
 Server 
 Drucker 
 NAS 
 Switch 
 Router 
 Firewall 
 Access Point 
 
 Ein Netzwerk besteht also nicht nur aus Computern, sondern aus allen Geräten, die miteinander kommunizieren können. 
 
 1.1 Vorteile von Netzwerken 
 Netzwerke werden eingesetzt, weil sie viele praktische Vorteile bieten: 
 
 schneller Datenaustausch 
 gemeinsame Nutzung von Druckern und Servern 
 zentrale Datenspeicherung 
 zentrale Benutzerverwaltung 
 gemeinsame Internetnutzung 
 einfachere Sicherung von Daten 
 bessere Zusammenarbeit im Unternehmen 
 
 Beispiel: 
 In einem Unternehmen müssen nicht alle Mitarbeiter eigene Drucker besitzen. Alle können über das Netzwerk denselben Netzwerkdrucker verwenden. 
 
 1.2 Nachteile und Risiken von Netzwerken 
 Netzwerke bringen auch Risiken mit sich: 
 
 Schadsoftware kann sich schneller verbreiten 
 Angriffe von innen und außen sind möglich 
 falsche Konfiguration kann Sicherheitslücken erzeugen 
 Ausfall zentraler Systeme kann viele Benutzer betreffen 
 Wartung und Administration verursachen Kosten 
 
 Deshalb sind Schutzmaßnahmen wie Firewalls, VLANs, Benutzerrechte, Updates und Backups wichtig. 
 
 1.3 Netzwerkgrößen 
 Netzwerke werden oft nach ihrer räumlichen Ausdehnung unterschieden. 
 
 
 
 Begriff 
 Bedeutung 
 Beispiel 
 
 
 
 
 LAN 
 Local Area Network 
 Netzwerk in einem Büro, Schule oder Zuhause 
 
 
 MAN 
 Metropolitan Area Network 
 Netzwerk innerhalb einer Stadt 
 
 
 WAN 
 Wide Area Network 
 Netzwerk über große Entfernungen, z. B. Internet 
 
 
 
 
 1.4 Topologien 
 Eine Topologie beschreibt, wie Geräte in einem Netzwerk miteinander verbunden sind. 
 
 
 
 Topologie 
 Erklärung 
 
 
 
 
 Bus 
 Alle Geräte hängen an einer gemeinsamen Leitung. Heute veraltet. 
 
 
 Ring 
 Geräte sind ringförmig verbunden. Daten laufen im Kreis. 
 
 
 Stern 
 Alle Geräte sind mit einem zentralen Gerät verbunden, meistens einem Switch. 
 
 
 Mesh 
 Geräte sind mehrfach miteinander verbunden. Dadurch entsteht Redundanz. 
 
 
 
 Grafik: Sterntopologie 
 flowchart TD
 SW[Switch]
 PC1[PC 1]
 PC2[PC 2]
 PC3[PC 3]
 PR[Drucker]
 NAS[NAS / Server]

 SW --- PC1
 SW --- PC2
 SW --- PC3
 SW --- PR
 SW --- NAS
 
 Die Sterntopologie ist heute im LAN am häufigsten. Fällt ein einzelnes Kabel aus, ist meist nur ein Gerät betroffen. Fällt aber der zentrale Switch aus, sind alle daran angeschlossenen Geräte betroffen. 
 
 1.5 Simplex, Halbduplex und Vollduplex 
 
 
 
 Begriff 
 Bedeutung 
 Beispiel 
 
 
 
 
 Simplex 
 Kommunikation nur in eine Richtung 
 Radio, Fernsehsendung 
 
 
 Halbduplex 
 Kommunikation in beide Richtungen, aber nicht gleichzeitig 
 Funkgerät 
 
 
 Vollduplex 
 Kommunikation gleichzeitig in beide Richtungen 
 modernes Ethernet mit Switch 
 
 
 
 Merksatz: 
 
 Hub = meistens Halbduplex 
 Switch = Vollduplex möglich 
 
 
 2. OSI-Schichtenmodell 
 Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Jede Schicht hat eine bestimmte Aufgabe. 
 Der Vorteil: Netzwerkprobleme lassen sich besser eingrenzen. 
 Beispiel: 
 Wenn ein PC keine Webseite öffnen kann, kann man schrittweise prüfen: 
 
 Ist das Kabel verbunden? 
 Hat der PC eine IP-Adresse? 
 Funktioniert DNS? 
 Ist der Webserver erreichbar? 
 Blockiert eine Firewall? 
 
 
 2.1 Die 7 OSI-Schichten 
 
 
 
 Schicht 
 Name 
 Aufgabe 
 Beispiele 
 
 
 
 
 7 
 Anwendung 
 Dienste für Anwendungen 
 HTTP, HTTPS, DNS, SMTP 
 
 
 6 
 Darstellung 
 Datenformat, Codierung, Verschlüsselung 
 TLS, Zeichencodierung 
 
 
 5 
 Sitzung 
 Verbindungen zwischen Anwendungen verwalten 
 Sitzungen, Logins 
 
 
 4 
 Transport 
 Ende-zu-Ende-Kommunikation 
 TCP, UDP, Ports 
 
 
 3 
 Vermittlung 
 logische Adressierung und Routing 
 IP, Router 
 
 
 2 
 Sicherung 
 lokale Zustellung im LAN 
 MAC-Adresse, Switch, Ethernet 
 
 
 1 
 Bitübertragung 
 elektrische, optische oder Funk-Signale 
 Netzwerkkarte, Kabel 
 
 
 0 
 Übertragungsmedium 
 physisches Medium selbst 
 Kupfer, Glasfaser, Funk 
 
 
 
 Hinweis: 
 Schicht 0 gehört nicht offiziell zum OSI-Modell, wird im Unterricht aber oft als praktische Ergänzung verwendet. 
 
 2.2 Merksatz für das OSI-Modell 
 Von oben nach unten: 
 Alle Deutschen Schüler Trinken Verschiedene Sorten Brause 
 
 
 
 Wort 
 Schicht 
 
 
 
 
 Alle 
 Anwendung 
 
 
 Deutschen 
 Darstellung 
 
 
 Schüler 
 Sitzung 
 
 
 Trinken 
 Transport 
 
 
 Verschiedene 
 Vermittlung 
 
 
 Sorten 
 Sicherung 
 
 
 Brause 
 Bitübertragung 
 
 
 
 
 2.3 OSI-Modell als Grafik 
 flowchart TB
 L7["7 Anwendung<br>HTTP, HTTPS, DNS"]
 L6["6 Darstellung<br>Format, Verschlüsselung"]
 L5["5 Sitzung<br>Sitzungen, Verbindungen"]
 L4["4 Transport<br>TCP, UDP, Ports"]
 L3["3 Vermittlung<br>IP, Routing"]
 L2["2 Sicherung<br>MAC, Switch, Ethernet"]
 L1["1 Bitübertragung<br>Signale, Netzwerkkarte"]
 L0["0 Medium<br>Kabel, Glasfaser, Funk"]

 L7 --> L6 --> L5 --> L4 --> L3 --> L2 --> L1 --> L0
 
 
 2.4 TCP/IP-Modell 
 In der Praxis wird häufig das TCP/IP-Modell verwendet. Es ist weniger theoretisch als das OSI-Modell und orientiert sich stärker an realen Netzwerken. 
 
 
 
 TCP/IP-Schicht 
 Entspricht ungefähr OSI 
 Beispiele 
 
 
 
 
 Anwendung 
 OSI 5–7 
 HTTP, HTTPS, DNS, SMTP 
 
 
 Transport 
 OSI 4 
 TCP, UDP 
 
 
 Internet 
 OSI 3 
 IPv4, IPv6, ICMP 
 
 
 Netzzugang 
 OSI 1–2 
 Ethernet, WLAN, MAC 
 
 
 
 
 2.5 Datenkapselung 
 Beim Senden werden Daten auf jeder Schicht verpackt. Jede Schicht fügt eigene Steuerinformationen hinzu. 
 Beispiel beim Aufruf einer Webseite: 
 flowchart TD
 A["HTTP-Daten<br>Webseiteninhalt"]
 B["TCP-Header + HTTP-Daten<br>Port 80/443"]
 C["IP-Header + TCP + Daten<br>Quell-IP / Ziel-IP"]
 D["Ethernet-Header + IP + TCP + Daten<br>Quell-MAC / Ziel-MAC"]
 E["Bits auf Kabel / Glasfaser / Funk"]

 A --> B --> C --> D --> E
 
 Wichtig für die IHK: 
 
 MAC-Adresse arbeitet auf Schicht 2 
 IP-Adresse arbeitet auf Schicht 3 
 Ports arbeiten auf Schicht 4 
 Anwendungen wie HTTP oder DNS liegen oben im Modell 
 
 
 3. Schicht 0 – Übertragungsmedien 
 Schicht 0 beschreibt das Medium, über das Daten übertragen werden. 
 Typische Medien: 
 
 Koaxialkabel 
 Twisted-Pair-Kabel 
 Lichtwellenleiter 
 Funk bei WLAN 
 
 
 3.1 Koaxialkabel 
 Koaxialkabel wurden früher häufig in Bus-Netzwerken verwendet. Heute sind sie in klassischen LANs veraltet. 
 Merkmale: 
 
 früher für Ethernet verwendet 
 Bus-Topologie 
 störanfällig bei schlechter Verkabelung 
 heute kaum noch relevant für moderne LANs 
 
 
 3.2 Twisted-Pair-Kabel 
 Twisted-Pair-Kabel sind die typischen Netzwerkkabel mit RJ45-Stecker. 
 Die Adernpaare sind verdrillt. Dadurch werden Störungen reduziert. 
 
 
 
 Kategorie 
 Typische Verwendung 
 
 
 
 
 Cat 5e 
 bis 1 Gbit/s 
 
 
 Cat 6 
 1 Gbit/s, teilweise 2,5/5 Gbit/s 
 
 
 Cat 6A 
 bis 10 Gbit/s 
 
 
 Cat 7 
 hochwertige Gebäudeverkabelung 
 
 
 Cat 8 
 sehr hohe Datenraten im kurzen Bereich 
 
 
 
 Faustregel: 
 Für normale Büro- und Heimnetzwerke ist Cat 6 oder Cat 6A meistens ausreichend. 
 
 3.3 Lichtwellenleiter 
 Lichtwellenleiter übertragen Daten mit Licht statt mit elektrischen Signalen. 
 Vorteile: 
 
 hohe Reichweite 
 hohe Geschwindigkeit 
 unempfindlicher gegen elektromagnetische Störungen 
 gut für Gebäudeverbindungen und Rechenzentren 
 
 Nachteile: 
 
 empfindlicher gegen Knicken 
 teurer in Installation und Technik 
 Spleißen und Messung benötigen Fachwissen 
 
 
 3.4 Multimode und Singlemode 
 
 
 
 Typ 
 Erklärung 
 Einsatz 
 
 
 
 
 Multimode 
 Licht läuft auf mehreren Wegen durch die Faser 
 kurze bis mittlere Strecken 
 
 
 Singlemode 
 Licht läuft auf einem sehr engen Weg 
 lange Strecken 
 
 
 
 Merksatz: 
 
 Multimode = kürzere Strecken 
 Singlemode = lange Strecken 
 
 
 3.5 Verkabelungsregel 
 Eine einfache praktische Regel: 
 
 
 
 Entfernung 
 Medium 
 
 
 
 
 bis ca. 100 m 
 Twisted-Pair-Kupferkabel 
 
 
 bis mehrere hundert Meter 
 Multimode-LWL 
 
 
 größere Entfernungen 
 Singlemode-LWL 
 
 
 
 
 3.6 WLAN 
 WLAN überträgt Daten per Funk. 
 Wichtige Frequenzbereiche: 
 
 
 
 Frequenz 
 Eigenschaften 
 
 
 
 
 2,4 GHz 
 hohe Reichweite, aber oft stärker belegt 
 
 
 5 GHz 
 schneller, weniger Reichweite 
 
 
 6 GHz 
 modern, hohe Geschwindigkeit, kürzere Reichweite 
 
 
 
 Wichtige WLAN-Generationen: 
 
 
 
 Name 
 Standard 
 
 
 
 
 Wi-Fi 4 
 IEEE 802.11n 
 
 
 Wi-Fi 5 
 IEEE 802.11ac 
 
 
 Wi-Fi 6 
 IEEE 802.11ax 
 
 
 Wi-Fi 6E 
 IEEE 802.11ax mit 6 GHz 
 
 
 Wi-Fi 7 
 IEEE 802.11be 
 
 
 
 
 3.7 WLAN-Sicherheit 
 Für die IHK wichtig: 
 
 WLAN sollte verschlüsselt sein 
 WPA2 ist Mindeststandard 
 WPA3 ist empfohlen 
 Gastnetz getrennt vom internen Netz betreiben 
 unsichere alte Standards vermeiden 
 starke Passwörter verwenden 
 
 
 4. Ethernet-Frame 
 Ethernet arbeitet auf Schicht 2. Die Daten werden in Frames übertragen. 
 Ein Ethernet-Frame enthält unter anderem: 
 
 Ziel-MAC-Adresse 
 Quell-MAC-Adresse 
 Typfeld 
 Nutzdaten 
 Prüfsumme 
 
 
 4.1 Ethernet-Frame als Grafik 
 flowchart LR
 A["Präambel"]
 B["Ziel-MAC"]
 C["Quell-MAC"]
 D["Typ"]
 E["Daten<br>z. B. IP + TCP + HTTP"]
 F["FCS / Prüfsumme"]

 A --> B --> C --> D --> E --> F
 
 
 4.2 MAC-Adresse 
 Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle. 
 Eigenschaften: 
 
 48 Bit lang 
 hexadezimale Schreibweise 
 Beispiel: 00:1A:2B:3C:4D:5E 
 
 arbeitet auf OSI-Schicht 2 
 wird im lokalen Netzwerk verwendet 
 
 Wichtig: 
 Eine MAC-Adresse wird nur im lokalen Netzwerksegment verwendet. Sobald ein Paket über einen Router weitergeleitet wird, ändern sich die MAC-Adressen auf dem Weg. Die IP-Adressen bleiben dagegen im Normalfall gleich. 
 
 4.3 FCS / CRC 
 Die Prüfsumme dient zur Fehlererkennung. 
 Wenn ein Frame beschädigt ist, kann dies erkannt werden. Der Frame wird dann verworfen. 
 Wichtig: 
 Ethernet korrigiert Fehler nicht selbst. Fehlerhafte Frames werden verworfen. Höhere Schichten, zum Beispiel TCP, können dann eine erneute Übertragung auslösen. 
 
 4.4 MTU und Nutzdaten 
 Die übliche MTU bei Ethernet beträgt 1500 Byte. 
 Das bedeutet: 
 Ein Ethernet-Frame kann typischerweise 1500 Byte Nutzdaten für die nächsthöhere Schicht transportieren. 
 Da IP- und TCP-Header ebenfalls Platz benötigen, bleiben für reine Anwendungsdaten weniger als 1500 Byte übrig. 
 
 5. Sniffer 
 Ein Sniffer ist ein Werkzeug zur Analyse von Netzwerkverkehr. 
 Beispiele: 
 
 Wireshark 
 tcpdump 
 Windump 
 
 Sniffer werden zur Fehlersuche eingesetzt. 
 Beispiele: 
 
 Warum bekommt ein Client keine IP-Adresse? 
 Wird DNS korrekt aufgelöst? 
 Sendet ein Gerät ARP-Anfragen? 
 Kommt eine TCP-Verbindung zustande? 
 
 
 5.1 Rechtlicher Hinweis 
 Sniffing darf nur erlaubt und kontrolliert eingesetzt werden. 
 In Unternehmen gilt: 
 
 Vorgesetzte informieren 
 Datenschutz beachten 
 Betriebsrat einbeziehen, falls vorhanden 
 nicht heimlich fremde Daten mitschneiden 
 
 Für Ausbildung und Laborumgebungen ist Sniffing sinnvoll, solange keine fremden Daten ausspioniert werden. 
 
 6. Schicht 1 – Bitübertragung 
 Schicht 1 beschreibt die technische Übertragung der Bits. 
 Dazu gehören: 
 
 elektrische Signale 
 optische Signale 
 Funkwellen 
 Netzwerkkarten 
 physische Anschlüsse 
 
 
 6.1 Netzwerkkarte 
 Die Netzwerkkarte verbindet den Computer mit dem Netzwerk. 
 Aufgaben: 
 
 Daten senden und empfangen 
 Signale erzeugen 
 Prüfsummen prüfen 
 Zugriff auf das Medium steuern 
 MAC-Adresse bereitstellen 
 
 
 6.2 CSMA/CD und CSMA/CA 
 
 
 
 Verfahren 
 Bedeutung 
 Einsatz 
 
 
 
 
 CSMA/CD 
 Kollisionserkennung 
 alte kabelgebundene Netze mit Hub 
 
 
 CSMA/CA 
 Kollisionsvermeidung 
 WLAN 
 
 
 
 Merksatz: 
 
 CD = Collision Detection = Kollision erkennen 
 CA = Collision Avoidance = Kollision vermeiden 
 
 
 6.3 Hub 
 Ein Hub ist ein veraltetes Netzwerkgerät. 
 Eigenschaften: 
 
 verteilt Daten an alle Ports 
 kennt keine MAC-Adressen 
 erzeugt unnötigen Datenverkehr 
 Sniffing ist leicht möglich 
 nur Halbduplex 
 praktisch durch Switches ersetzt 
 
 
 7. Schicht 2 – Sicherungsschicht 
 Schicht 2 ist für die lokale Kommunikation im gleichen Netzwerk zuständig. 
 Wichtige Begriffe: 
 
 MAC-Adresse 
 Ethernet-Frame 
 Switch 
 VLAN 
 ARP 
 Broadcast 
 
 
 7.1 Switch 
 Ein Switch verbindet Geräte in einem LAN. 
 Er arbeitet hauptsächlich auf Schicht 2 und leitet Frames anhand der MAC-Adresse weiter. 
 Vorteile gegenüber einem Hub: 
 
 sendet Frames gezielt an den richtigen Port 
 weniger unnötiger Datenverkehr 
 Vollduplex möglich 
 höhere Geschwindigkeit 
 bessere Sicherheit 
 
 
 7.2 Switch-Tabelle 
 Ein Switch merkt sich, welche MAC-Adresse an welchem Port erreichbar ist. 
 Diese Tabelle wird oft MAC Address Table, SAT-Tabelle oder Forwarding Table genannt. 
 Ablauf: 
 
 Ein Frame kommt am Switch an. 
 Der Switch liest die Quell-MAC-Adresse. 
 Er merkt sich: Diese MAC-Adresse befindet sich an diesem Port. 
 Bei späteren Frames zur gleichen MAC-Adresse kann der Switch gezielt weiterleiten. 
 
 
 7.3 ARP 
 ARP bedeutet Address Resolution Protocol. 
 ARP wird bei IPv4 verwendet, um zu einer IP-Adresse die passende MAC-Adresse zu finden. 
 Beispiel: 
 Ein PC möchte an 192.168.1.20 senden, kennt aber nur die IP-Adresse. 
 Dann fragt er per Broadcast: 
 „Wer hat 192.168.1.20?“ 
 Das Zielgerät antwortet: 
 „Ich habe 192.168.1.20, meine MAC-Adresse ist ...“ 
 
 7.4 ARP als Grafik 
 sequenceDiagram
 participant PC1 as PC 1
 participant LAN as LAN / Switch
 participant PC2 as PC 2

 PC1->>LAN: ARP Request: Wer hat 192.168.1.20?
 LAN->>PC2: Broadcast wird weitergeleitet
 PC2->>PC1: ARP Reply: Ich habe die IP, meine MAC ist AA:BB:CC...
 
 
 7.5 Managed und unmanaged Switch 
 
 
 
 Typ 
 Erklärung 
 
 
 
 
 Unmanaged Switch 
 keine Konfiguration nötig, einfache Nutzung 
 
 
 Managed Switch 
 konfigurierbar, z. B. VLAN, Port-Mirroring, STP, PoE 
 
 
 
 Für Unternehmen sind managed Switches wichtig, weil sie mehr Kontrolle und Sicherheit bieten. 
 
 7.6 Port-Mirroring 
 Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port kopiert. 
 Einsatz: 
 
 Analyse mit Wireshark 
 Fehlersuche 
 Sicherheitsanalyse 
 
 
 7.7 Link Aggregation 
 Bei Link Aggregation werden mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammengefasst. 
 Vorteile: 
 
 höhere Gesamtbandbreite 
 Redundanz 
 bessere Auslastung 
 
 Wichtig: 
 Eine einzelne Verbindung wird nicht automatisch doppelt so schnell. Die Last wird meistens auf mehrere Verbindungen verteilt. 
 
 7.8 Power over Ethernet 
 Power over Ethernet, kurz PoE, überträgt Daten und Strom über dasselbe Netzwerkkabel. 
 Typische Geräte: 
 
 IP-Telefone 
 Access Points 
 Überwachungskameras 
 kleine Netzwerkgeräte 
 
 Vorteil: 
 Man braucht nicht an jedem Gerät eine eigene Steckdose. 
 
 7.9 Spanning Tree Protocol 
 Das Spanning Tree Protocol verhindert Schleifen zwischen Switches. 
 Warum ist das wichtig? 
 Wenn Switches mehrfach miteinander verbunden sind, kann ein Broadcast endlos im Kreis laufen. Dadurch kann das Netzwerk stark überlastet werden. 
 STP blockiert bestimmte Verbindungen logisch und aktiviert sie bei Bedarf wieder, wenn eine andere Verbindung ausfällt. 
 
 7.10 Spanning Tree als Grafik 
 flowchart TD
 SW1[Switch 1]
 SW2[Switch 2]
 SW3[Switch 3]
 SW4[Switch 4]

 SW1 --- SW2
 SW2 --- SW3
 SW3 -. blockiert durch STP .- SW4
 SW4 --- SW1
 
 Die gestrichelte Verbindung ist vorhanden, wird aber logisch blockiert. Fällt eine andere Verbindung aus, kann STP neu berechnen und die blockierte Verbindung wieder aktivieren. 
 
 7.11 VLAN 
 VLAN bedeutet Virtual Local Area Network. 
 Ein VLAN teilt ein physisches Netzwerk in mehrere logische Netzwerke auf. 
 Beispiel: 
 Ein Switch kann gleichzeitig mehrere getrennte Netze bereitstellen: 
 
 VLAN 10 = Verwaltung 
 VLAN 20 = Schüler / Mitarbeiter 
 VLAN 30 = Gäste 
 VLAN 40 = Server 
 
 Vorteile: 
 
 bessere Sicherheit 
 weniger Broadcast-Verkehr 
 klare Trennung von Bereichen 
 einfachere Netzwerkstruktur 
 
 
 7.12 VLAN als Grafik 
 flowchart TD
 SW[Managed Switch]

 PC1[PC Verwaltung<br>VLAN 10]
 PC2[PC Verwaltung<br>VLAN 10]
 PC3[Gastgerät<br>VLAN 30]
 PC4[Server<br>VLAN 40]

 SW --- PC1
 SW --- PC2
 SW --- PC3
 SW --- PC4
 
 Geräte im gleichen VLAN können direkt miteinander kommunizieren. Geräte in unterschiedlichen VLANs benötigen Routing, meist über einen Router, Layer-3-Switch oder eine Firewall. 
 
 7.13 Tagged und Untagged VLAN 
 
 
 
 Begriff 
 Erklärung 
 
 
 
 
 Untagged Port 
 Port gehört fest zu einem VLAN, z. B. Endgerät 
 
 
 Tagged Port 
 VLAN-Information wird im Frame mitgesendet, z. B. Verbindung zwischen Switches 
 
 
 Trunk 
 Verbindung, die mehrere VLANs transportiert 
 
 
 
 Beispiel: 
 Ein PC-Port ist meistens untagged. Eine Verbindung zwischen zwei Switches ist meistens tagged. 
 
 8. Schicht 3 – Vermittlungsschicht 
 Schicht 3 ist für logische Adressierung und Routing zuständig. 
 Wichtige Themen: 
 
 IPv4 
 IPv6 
 Subnetzmaske 
 Routing 
 DHCP 
 DNS 
 Router 
 Layer-3-Switch 
 
 
 8.1 IPv4-Adresse 
 Eine IPv4-Adresse ist 32 Bit lang. 
 Sie wird in vier Oktette aufgeteilt. 
 Beispiel: 
 192.168.1.10 
 Binär: 
 11000000.10101000.00000001.00001010 
 Jedes Oktett hat 8 Bit und kann Werte von 0 bis 255 enthalten. 
 
 8.2 Subnetzmaske 
 Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil. 
 Beispiel: 
 IP-Adresse: 
 192.168.1.10 
 Subnetzmaske: 
 255.255.255.0 
 CIDR-Schreibweise: 
 /24 
 Das bedeutet: 
 
 die ersten 24 Bit gehören zum Netzanteil 
 die restlichen 8 Bit gehören zum Hostanteil 
 
 Netz: 
 192.168.1.0/24 
 Hostbereich: 
 192.168.1.1 bis 192.168.1.254 
 Broadcast: 
 192.168.1.255 
 
 8.3 IPv4-Netz als Grafik 
 flowchart LR
 A["192.168.1.0<br>Netzadresse"]
 B["192.168.1.1<br>erster Host"]
 C["192.168.1.10<br>Host"]
 D["192.168.1.254<br>letzter Host"]
 E["192.168.1.255<br>Broadcast"]

 A --> B --> C --> D --> E
 
 
 8.4 Netzadresse und Broadcast 
 In jedem IPv4-Netz gibt es zwei besondere Adressen: 
 
 
 
 Adresse 
 Bedeutung 
 
 
 
 
 erste Adresse 
 Netzadresse 
 
 
 letzte Adresse 
 Broadcast-Adresse 
 
 
 
 Diese beiden Adressen können nicht als normale Hostadresse verwendet werden. 
 Beispiel bei 192.168.1.0/24 : 
 
 
 
 Typ 
 Adresse 
 
 
 
 
 Netzadresse 
 192.168.1.0 
 
 
 erster Host 
 192.168.1.1 
 
 
 letzter Host 
 192.168.1.254 
 
 
 Broadcast 
 192.168.1.255 
 
 
 
 
 8.5 Private IPv4-Adressbereiche 
 Private IP-Adressen werden in lokalen Netzwerken verwendet und nicht direkt im Internet geroutet. 
 
 
 
 Bereich 
 CIDR 
 
 
 
 
 10.0.0.0 bis 10.255.255.255 
 10.0.0.0/8 
 
 
 172.16.0.0 bis 172.31.255.255 
 172.16.0.0/12 
 
 
 192.168.0.0 bis 192.168.255.255 
 192.168.0.0/16 
 
 
 
 Diese Bereiche sind besonders wichtig für Heimnetzwerke, Firmennetze, Labore und virtuelle Umgebungen. 
 
 8.6 Besondere IPv4-Adressen 
 
 
 
 Adresse 
 Bedeutung 
 
 
 
 
 0.0.0.0 
 unspezifizierte Adresse 
 
 
 127.0.0.1 
 localhost / Loopback 
 
 
 169.254.0.0/16 
 APIPA / Link Local 
 
 
 255.255.255.255 
 lokaler Broadcast 
 
 
 
 APIPA sieht man häufig, wenn ein Client keine Adresse vom DHCP-Server bekommt. 
 
 8.7 Subnetting 
 Subnetting bedeutet, ein größeres Netzwerk in kleinere Teilnetze aufzuteilen. 
 Warum macht man Subnetting? 
 
 bessere Struktur 
 weniger Broadcast-Verkehr 
 bessere Sicherheit 
 Trennung von Abteilungen 
 effizientere Adressvergabe 
 
 Beispiel: 
 Aus 192.168.1.0/24 werden zwei Subnetze: 
 
 
 
 Subnetz 
 Bereich 
 
 
 
 
 192.168.1.0/25 
 192.168.1.0 bis 192.168.1.127 
 
 
 192.168.1.128/25 
 192.168.1.128 bis 192.168.1.255 
 
 
 
 Nutzbare Hosts: 
 
 
 
 Subnetz 
 nutzbare Hosts 
 
 
 
 
 192.168.1.0/25 
 192.168.1.1 bis 192.168.1.126 
 
 
 192.168.1.128/25 
 192.168.1.129 bis 192.168.1.254 
 
 
 
 
 8.8 Subnetting-Regel 
 Formel: 
 Anzahl Adressen = 2^(Hostbits) 
 nutzbare Hosts = 2^(Hostbits) - 2 
 Beispiel /24 : 
 
 32 Bit insgesamt 
 24 Bit Netzanteil 
 8 Bit Hostanteil 
 2⁸ = 256 Adressen 
 256 - 2 = 254 nutzbare Hosts 
 
 
 8.9 Häufige CIDR-Werte 
 
 
 
 CIDR 
 Subnetzmaske 
 Adressen 
 nutzbare Hosts 
 
 
 
 
 /24 
 255.255.255.0 
 256 
 254 
 
 
 /25 
 255.255.255.128 
 128 
 126 
 
 
 /26 
 255.255.255.192 
 64 
 62 
 
 
 /27 
 255.255.255.224 
 32 
 30 
 
 
 /28 
 255.255.255.240 
 16 
 14 
 
 
 /29 
 255.255.255.248 
 8 
 6 
 
 
 /30 
 255.255.255.252 
 4 
 2 
 
 
 
 Für IHK-Aufgaben sind diese Werte sehr wichtig. 
 
 8.10 IPv6 
 IPv6 ist der Nachfolger von IPv4. 
 Eigenschaften: 
 
 128 Bit lang 
 hexadezimale Schreibweise 
 sehr großer Adressraum 
 kein klassisches Broadcast wie bei IPv4 
 nutzt Multicast und Neighbor Discovery 
 
 Beispiel: 
 2001:0db8:0000:0000:0000:ff00:0042:8329 
 Gekürzt: 
 2001:db8::ff00:42:8329 
 
 8.11 IPv6 kürzen 
 Regeln: 
 
 führende Nullen in einem Block dürfen weggelassen werden 
 eine zusammenhängende Folge von Null-Blöcken darf einmal durch :: ersetzt werden 
 
 Beispiel: 
 Lang: 
 2001:0db8:0000:0000:0000:0000:0000:0001 
 Kurz: 
 2001:db8::1 
 Wichtig: 
 :: darf nur einmal in einer IPv6-Adresse verwendet werden, sonst wäre die Adresse nicht eindeutig. 
 
 8.12 Besondere IPv6-Adressen 
 
 
 
 Adresse / Bereich 
 Bedeutung 
 
 
 
 
 :: 
 unspezifizierte Adresse 
 
 
 ::1 
 Loopback 
 
 
 fe80::/10 
 Link Local 
 
 
 fc00::/7 
 Unique Local Address 
 
 
 ff00::/8 
 Multicast 
 
 
 
 
 8.13 DHCP 
 DHCP vergibt automatisch Netzwerkkonfigurationen an Clients. 
 Typische DHCP-Informationen: 
 
 IP-Adresse 
 Subnetzmaske 
 Standardgateway 
 DNS-Server 
 Lease-Zeit 
 
 
 8.14 DHCP-Ablauf 
 Der typische DHCP-Ablauf besteht aus vier Schritten: 
 
 
 
 Schritt 
 Bedeutung 
 
 
 
 
 Discover 
 Client sucht DHCP-Server 
 
 
 Offer 
 Server bietet Adresse an 
 
 
 Request 
 Client fordert Adresse an 
 
 
 Acknowledge 
 Server bestätigt die Vergabe 
 
 
 
 Merksatz: 
 DORA 
 
 Discover 
 Offer 
 Request 
 Acknowledge 
 
 
 8.15 DHCP als Grafik 
 sequenceDiagram
 participant C as Client
 participant S as DHCP-Server

 C->>S: DHCP Discover
 S->>C: DHCP Offer
 C->>S: DHCP Request
 S->>C: DHCP Acknowledge
 
 
 8.16 DNS 
 DNS bedeutet Domain Name System. 
 DNS übersetzt Namen in IP-Adressen. 
 Beispiel: 
 www.example.com 
 wird zu einer IP-Adresse aufgelöst. 
 Warum ist DNS wichtig? 
 Menschen merken sich Namen leichter als IP-Adressen. 
 
 8.17 FQDN 
 FQDN bedeutet Fully Qualified Domain Name. 
 Beispiel: 
 server01.firma.local 
 Bestandteile: 
 
 
 
 Teil 
 Bedeutung 
 
 
 
 
 server01 
 Hostname 
 
 
 firma 
 Domain 
 
 
 local 
 Top-Level oder interner Namensraum 
 
 
 
 
 8.18 Routing 
 Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten. 
 Ein Router verbindet mehrere IP-Netze. 
 Beispiel: 
 
 Netz A: 192.168.1.0/24 
 
 Netz B: 192.168.2.0/24 
 
 
 Damit Geräte aus beiden Netzen kommunizieren können, braucht man einen Router oder Layer-3-Switch. 
 
 8.19 Routing als Grafik 
 flowchart LR
 A["PC A<br>192.168.1.10/24"]
 R["Router<br>192.168.1.1 / 192.168.2.1"]
 B["PC B<br>192.168.2.10/24"]

 A --- R --- B
 
 Wenn PC A mit PC B kommunizieren möchte, erkennt PC A: 
 PC B liegt nicht im eigenen Netz. Deshalb sendet PC A das Paket an sein Standardgateway. 
 
 8.20 Statisches und dynamisches Routing 
 
 
 
 Art 
 Erklärung 
 
 
 
 
 statisches Routing 
 Routen werden manuell eingetragen 
 
 
 dynamisches Routing 
 Router tauschen Routen automatisch aus 
 
 
 
 Für kleinere Netze reichen statische Routen oft aus. In größeren Netzen verwendet man dynamische Routing-Protokolle. 
 
 8.21 Layer-3-Switch 
 Ein Layer-3-Switch kann zusätzlich zum Switching auch Routing übernehmen. 
 Typischer Einsatz: 
 
 VLANs miteinander verbinden 
 schnelles Routing im LAN 
 Entlastung eines Routers 
 
 Beispiel: 
 VLAN 10 und VLAN 20 können über einen Layer-3-Switch miteinander kommunizieren, wenn Routing erlaubt ist. 
 
 9. Schicht 4 – Transportschicht 
 Schicht 4 ist für die Kommunikation zwischen Anwendungen zuständig. 
 Wichtige Themen: 
 
 TCP 
 UDP 
 Ports 
 Verbindungsaufbau 
 Verbindungsabbau 
 NAT 
 Portweiterleitung 
 
 
 9.1 Ports 
 Ports dienen dazu, Anwendungen auf einem Gerät zu unterscheiden. 
 Ein Gerät kann eine IP-Adresse haben, aber viele Dienste gleichzeitig anbieten. 
 Beispiel: 
 
 
 
 Dienst 
 Port 
 
 
 
 
 HTTP 
 80 
 
 
 HTTPS 
 443 
 
 
 DNS 
 53 
 
 
 SSH 
 22 
 
 
 SMTP 
 25 
 
 
 IMAP 
 143 
 
 
 RDP 
 3389 
 
 
 
 Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welche Anwendung auf dem Gerät gemeint ist. 
 
 9.2 Schreibweise IP-Adresse mit Port 
 Beispiele: 
 
 
 192.168.1.10:80 
 
 
 10.0.0.5:22 
 
 
 https://example.com:443 
 
 
 
 9.3 Portbereiche 
 
 
 
 Bereich 
 Name 
 Bedeutung 
 
 
 
 
 0–1023 
 System Ports / Well-known Ports 
 bekannte Standarddienste 
 
 
 1024–49151 
 User Ports 
 registrierte Anwendungen 
 
 
 49152–65535 
 Dynamic / Private Ports 
 temporäre Client-Ports 
 
 
 
 
 9.4 TCP 
 TCP ist verbindungsorientiert. 
 Eigenschaften: 
 
 zuverlässige Übertragung 
 Reihenfolge der Daten wird sichergestellt 
 verlorene Daten werden erneut gesendet 
 Verbindung wird aufgebaut und beendet 
 mehr Verwaltungsaufwand als UDP 
 
 Typische TCP-Dienste: 
 
 HTTP 
 HTTPS 
 SSH 
 SMTP 
 IMAP 
 FTP 
 
 
 9.5 TCP-Verbindungsaufbau 
 TCP nutzt den Three-Way-Handshake. 
 sequenceDiagram
 participant C as Client
 participant S as Server

 C->>S: SYN
 S->>C: SYN/ACK
 C->>S: ACK
 
 Danach ist die Verbindung aufgebaut. 
 
 9.6 TCP-Verbindungsabbau 
 Eine TCP-Verbindung wird kontrolliert beendet. 
 Vereinfacht: 
 sequenceDiagram
 participant C as Client
 participant S as Server

 C->>S: FIN
 S->>C: ACK
 S->>C: FIN
 C->>S: ACK
 
 
 9.7 UDP 
 UDP ist verbindungslos. 
 Eigenschaften: 
 
 kein Verbindungsaufbau 
 keine Garantie für Zustellung 
 keine automatische Wiederholung 
 schneller und schlanker als TCP 
 
 Typische UDP-Dienste: 
 
 DNS 
 DHCP 
 VoIP 
 Streaming 
 Gaming 
 
 
 9.8 TCP und UDP Vergleich 
 
 
 
 Merkmal 
 TCP 
 UDP 
 
 
 
 
 Verbindung 
 verbindungsorientiert 
 verbindungslos 
 
 
 Zuverlässigkeit 
 hoch 
 keine Garantie 
 
 
 Reihenfolge 
 wird sichergestellt 
 nicht garantiert 
 
 
 Geschwindigkeit 
 mehr Overhead 
 weniger Overhead 
 
 
 Beispiele 
 HTTPS, SSH, SMTP 
 DNS, DHCP, VoIP 
 
 
 
 
 9.9 NAT 
 NAT bedeutet Network Address Translation. 
 NAT übersetzt IP-Adressen. 
 Typischer Fall: 
 Viele private Geräte im LAN nutzen eine gemeinsame öffentliche IP-Adresse für den Zugriff ins Internet. 
 Beispiel: 
 
 PC intern: 192.168.1.10 
 
 Router öffentlich: 84.x.x.x 
 
 
 Der Router ersetzt beim Senden ins Internet die private Quelladresse durch seine öffentliche Adresse. 
 
 9.10 NAT als Grafik 
 flowchart LR
 PC["PC<br>192.168.1.10"]
 R["Router / NAT<br>innen: 192.168.1.1<br>außen: öffentliche IP"]
 INET["Internet<br>Webserver"]

 PC --> R --> INET
 INET --> R --> PC
 
 
 9.11 PAT 
 PAT bedeutet Port Address Translation. 
 PAT ist eine Form von NAT, bei der zusätzlich Ports genutzt werden. 
 Dadurch können viele interne Geräte gleichzeitig über eine öffentliche IP-Adresse kommunizieren. 
 Beispiel: 
 
 
 
 Intern 
 Extern 
 
 
 
 
 192.168.1.10:50001 
 öffentliche-IP:61001 
 
 
 192.168.1.11:50002 
 öffentliche-IP:61002 
 
 
 
 Der Router merkt sich diese Zuordnung in einer NAT-Tabelle. 
 
 9.12 Portforwarding 
 Portforwarding wird auch Destination NAT genannt. 
 Dabei wird eine Anfrage von außen an ein internes Gerät weitergeleitet. 
 Beispiel: 
 Anfrage aus dem Internet an: 
 öffentliche-IP:443 
 wird weitergeleitet an: 
 192.168.1.20:443 
 Typische Verwendung: 
 
 Webserver im internen Netzwerk 
 VPN-Server 
 Spieleserver 
 Remote-Zugriff 
 
 Sicherheitswarnung: 
 Portforwarding öffnet Dienste nach außen. Deshalb sollte man nur notwendige Ports freigeben und Dienste aktuell halten. 
 
 9.13 Portforwarding als Grafik 
 flowchart LR
 I["Client im Internet"]
 R["Router / Firewall<br>Port 443 offen"]
 S["Interner Webserver<br>192.168.1.20:443"]

 I --> R --> S
 
 
 9.14 Allowlist und Blocklist 
 
 
 
 Begriff 
 Bedeutung 
 
 
 
 
 Allowlist 
 Nur ausdrücklich erlaubte Dinge sind erlaubt 
 
 
 Blocklist 
 Nur ausdrücklich verbotene Dinge sind blockiert 
 
 
 
 Sicherer ist meistens das Allowlist-Prinzip: 
 Alles ist verboten, außer es wurde ausdrücklich erlaubt. 
 
 10. Firewalls 
 Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. 
 Sie entscheidet: 
 
 Wer darf wohin? 
 Von welcher Quelle? 
 Zu welchem Ziel? 
 Über welches Protokoll? 
 Über welchen Port? 
 In welche Richtung? 
 
 Eine Firewall schützt nicht automatisch vor allem. Sie ist nur so gut wie ihre Regeln und ihre Platzierung im Netzwerk. 
 
 10.1 Aufgaben einer Firewall 
 Eine Firewall kann: 
 
 unerwünschten Datenverkehr blockieren 
 erlaubte Kommunikation zulassen 
 Netze voneinander trennen 
 Server in einer DMZ schützen 
 Zugriffe protokollieren 
 Angriffsfläche reduzieren 
 Regeln für ein- und ausgehenden Verkehr erzwingen 
 
 
 10.2 Personal Firewall und Unternehmens-Firewall 
 
 
 
 Typ 
 Erklärung 
 
 
 
 
 Personal Firewall 
 läuft direkt auf einem einzelnen PC oder Server 
 
 
 Unternehmens-Firewall 
 schützt ein gesamtes Netzwerk oder mehrere Netzbereiche 
 
 
 
 Beispiel: 
 Die Windows Defender Firewall ist eine Personal Firewall. 
 Eine Firewall zwischen LAN und Internet ist eine Unternehmens-Firewall. 
 
 10.3 Paketfilter-Firewall 
 Eine einfache Paketfilter-Firewall prüft einzelne Pakete anhand von Regeln. 
 Sie betrachtet zum Beispiel: 
 
 Quell-IP 
 Ziel-IP 
 Protokoll 
 Port 
 
 Nachteil: 
 Klassische Paketfilter kennen oft keinen Verbindungszustand. Hin- und Rückweg müssen dann separat erlaubt werden. 
 Für die IHK wichtig: 
 Paketfilter-Firewalls sind weiterhin prüfungsrelevant, auch wenn moderne Firewalls meist zustandsorientiert arbeiten. 
 
 10.4 Stateful Packet Inspection Firewall 
 Eine SPI-Firewall ist zustandsorientiert. 
 SPI bedeutet Stateful Packet Inspection. 
 Das bedeutet: 
 Die Firewall merkt sich bestehende Verbindungen. 
 Vorteil: 
 Wenn ein Client aus dem LAN eine Verbindung nach außen aufbaut, kann die Antwort automatisch wieder zurückgelassen werden. 
 Der Rückweg muss nicht extra als neue Regel eingerichtet werden. 
 
 10.5 Paketfilter vs. SPI-Firewall 
 
 
 
 Merkmal 
 Paketfilter 
 SPI-Firewall 
 
 
 
 
 prüft einzelne Pakete 
 ja 
 ja 
 
 
 kennt Verbindungszustand 
 nein oder begrenzt 
 ja 
 
 
 Rückweg automatisch erlaubt 
 nein 
 ja, wenn Verbindung gültig 
 
 
 Sicherheit 
 geringer 
 höher 
 
 
 heutige Praxis 
 eher veraltet 
 üblich 
 
 
 
 
 10.6 Firewall-Regeln nach OSI-Schichten 
 Eine Firewall kann je nach Typ verschiedene Informationen prüfen. 
 
 
 
 OSI-Schicht 
 Prüfkriterium 
 Beispiel 
 
 
 
 
 Schicht 2 
 MAC-Adresse 
 Nur Gerät mit bestimmter MAC erlauben 
 
 
 Schicht 3 
 IP-Adresse 
 Quelle 192.168.1.10 erlauben 
 
 
 Schicht 4 
 TCP / UDP und Ports 
 TCP 443 erlauben 
 
 
 Schicht 7 
 Anwendung 
 HTTP, DNS, bestimmte URLs 
 
 
 
 Wichtig: 
 Je höher die Schicht, desto genauer kann geprüft werden. Dafür braucht die Firewall aber mehr Leistung und mehr Verständnis des Datenverkehrs. 
 
 10.7 Grundprinzip: Default Deny 
 Ein sicheres Firewall-Konzept arbeitet häufig nach diesem Prinzip: 
 Alles ist verboten, außer es wurde ausdrücklich erlaubt. 
 Das nennt man Default Deny. 
 Beispiel: 
 Erlaubt: 
 
 LAN → Internet: HTTPS 
 LAN → DNS-Server: DNS 
 Admin-PC → Server: SSH oder RDP 
 
 Verboten: 
 
 Internet → LAN 
 Gäste-WLAN → internes Servernetz 
 unbekannte Ports 
 unnötige Dienste 
 
 
 10.8 Firewall als Grenze zwischen Netzen 
 flowchart LR
 LAN["Internes LAN<br>vertrauenswürdiger Bereich"]
 FW["Firewall<br>Regelprüfung"]
 WAN["Internet<br>nicht vertrauenswürdiger Bereich"]

 LAN --> FW --> WAN
 WAN --> FW --> LAN
 
 Die Firewall steht zwischen verschiedenen Sicherheitszonen. 
 
 10.9 Typische Firewall-Zonen 
 
 
 
 Zone 
 Bedeutung 
 
 
 
 
 LAN 
 internes vertrauenswürdiges Netz 
 
 
 WAN 
 Internet / externes Netz 
 
 
 DMZ 
 separates Netz für öffentlich erreichbare Server 
 
 
 Gäste-Netz 
 getrenntes Netz für Besucher 
 
 
 Servernetz 
 separates Netz für wichtige Server 
 
 
 
 
 10.10 DMZ 
 DMZ bedeutet Demilitarisierte Zone. 
 Eine DMZ ist ein separates Netzwerk für Server, die aus dem Internet erreichbar sein müssen. 
 Beispiele: 
 
 Webserver 
 Mailserver 
 VPN-Gateway 
 Reverse Proxy 
 
 Warum DMZ? 
 Wenn ein öffentlich erreichbarer Server kompromittiert wird, soll der Angreifer nicht direkt im internen LAN stehen. 
 
 10.11 DMZ als Grafik 
 flowchart LR
 WAN["Internet"]
 FW["Firewall"]
 LAN["Internes LAN<br>Clients, Dateien, interne Server"]
 DMZ["DMZ<br>Webserver / Reverse Proxy"]

 WAN --- FW
 FW --- LAN
 FW --- DMZ
 
 Regelbeispiel: 
 
 
 
 Richtung 
 Regel 
 
 
 
 
 Internet → DMZ 
 Nur HTTPS zum Webserver erlauben 
 
 
 Internet → LAN 
 blockieren 
 
 
 DMZ → LAN 
 nur absolut notwendige Verbindungen 
 
 
 LAN → DMZ 
 Administration nur von Admin-PCs 
 
 
 LAN → Internet 
 notwendige Dienste erlauben 
 
 
 
 
 10.12 Einstufige und zweistufige DMZ 
 Einstufige DMZ 
 Eine Firewall trennt Internet, LAN und DMZ. 
 Vorteil: 
 
 einfacher Aufbau 
 weniger Geräte 
 günstiger 
 
 Nachteil: 
 
 die Sicherheit hängt stark an einer Firewall 
 
 Zweistufige DMZ 
 Zwei Firewalls trennen Internet, DMZ und LAN. 
 Vorteil: 
 
 bessere Trennung 
 höheres Sicherheitsniveau 
 
 Nachteil: 
 
 mehr Aufwand 
 höhere Kosten 
 komplexere Administration 
 
 
 10.13 Einstufige DMZ 
 flowchart LR
 I["Internet"]
 FW["Firewall mit 3 Schnittstellen"]
 LAN["LAN"]
 DMZ["DMZ"]

 I --- FW
 FW --- LAN
 FW --- DMZ
 
 
 10.14 Zweistufige DMZ 
 flowchart LR
 I["Internet"]
 FW1["Firewall 1"]
 DMZ["DMZ"]
 FW2["Firewall 2"]
 LAN["Internes LAN"]

 I --- FW1 --- DMZ --- FW2 --- LAN
 
 
 10.15 Firewall-Regeln verstehen 
 Eine Firewall-Regel besteht typischerweise aus: 
 
 
 
 Bestandteil 
 Beispiel 
 
 
 
 
 Quelle 
 192.168.10.0/24 
 
 
 Ziel 
 8.8.8.8 
 
 
 Protokoll 
 TCP oder UDP 
 
 
 Port 
 53, 80, 443 
 
 
 Aktion 
 erlauben oder blockieren 
 
 
 Richtung 
 eingehend, ausgehend, weitergeleitet 
 
 
 
 Beispielregel: 
 LAN darf per TCP Port 443 ins Internet. 
 Das bedeutet: 
 
 Quelle: LAN 
 Ziel: Internet 
 Protokoll: TCP 
 Port: 443 
 Aktion: erlauben 
 
 
 10.16 INPUT, OUTPUT und FORWARD 
 Bei Linux-Firewalls mit iptables sind drei Richtungen besonders wichtig. 
 
 
 
 Chain 
 Bedeutung 
 
 
 
 
 INPUT 
 Verkehr zur Firewall selbst 
 
 
 OUTPUT 
 Verkehr von der Firewall selbst nach außen 
 
 
 FORWARD 
 Verkehr durch die Firewall hindurch 
 
 
 
 Beispiele: 
 
 
 
 Situation 
 Chain 
 
 
 
 
 Admin greift per SSH auf Firewall zu 
 INPUT 
 
 
 Firewall macht selbst DNS-Abfrage 
 OUTPUT 
 
 
 PC im LAN geht über Firewall ins Internet 
 FORWARD 
 
 
 
 
 10.17 INPUT, OUTPUT und FORWARD als Grafik 
 flowchart LR
 LAN["LAN-Client"]
 FW["Firewall-System"]
 NET["Internet"]

 LAN -- "FORWARD<br>durch die Firewall" --> FW
 FW -- "FORWARD" --> NET

 LAN -- "INPUT<br>zur Firewall selbst" --> FW
 FW -- "OUTPUT<br>von der Firewall selbst" --> NET
 
 
 10.18 Beispiel für einfache Firewall-Logik 
 Ziel: 
 
 LAN darf ins Internet 
 Antworten aus dem Internet dürfen zurück 
 Internet darf keine neuen Verbindungen ins LAN starten 
 
 Regellogik: 
 
 Erlaube bestehende und zugehörige Verbindungen. 
 Erlaube LAN → Internet für notwendige Dienste. 
 Blockiere neue Verbindungen von Internet → LAN. 
 Protokolliere unerwünschte Zugriffe. 
 Standardregel: blockieren. 
 
 
 10.19 Beispiel-Regelkonzept 
 
 
 
 Nr. 
 Quelle 
 Ziel 
 Dienst 
 Aktion 
 
 
 
 
 1 
 LAN 
 Internet 
 DNS 
 erlauben 
 
 
 2 
 LAN 
 Internet 
 HTTP/HTTPS 
 erlauben 
 
 
 3 
 LAN 
 Internet 
 NTP 
 erlauben 
 
 
 4 
 Internet 
 LAN 
 alle 
 blockieren 
 
 
 5 
 Admin-PC 
 Server 
 SSH/RDP 
 erlauben 
 
 
 6 
 Gäste-WLAN 
 LAN 
 alle 
 blockieren 
 
 
 
 
 10.20 Firewall und VLAN 
 VLANs trennen Netze logisch. Eine Firewall kann anschließend regeln, welche VLANs miteinander kommunizieren dürfen. 
 Beispiel: 
 flowchart TD
 FW["Firewall / Layer-3-Gateway"]

 V10["VLAN 10<br>Verwaltung"]
 V20["VLAN 20<br>Mitarbeiter"]
 V30["VLAN 30<br>Gäste"]
 V40["VLAN 40<br>Server"]

 V10 --- FW
 V20 --- FW
 V30 --- FW
 V40 --- FW
 
 Beispielregeln: 
 
 
 
 Richtung 
 Erlaubt? 
 
 
 
 
 Verwaltung → Server 
 ja 
 
 
 Mitarbeiter → Server 
 teilweise 
 
 
 Gäste → Internet 
 ja 
 
 
 Gäste → Server 
 nein 
 
 
 Gäste → Verwaltung 
 nein 
 
 
 
 
 10.21 Typische Prüfungsfragen zur Firewall 
 Was macht eine Firewall? 
 Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie erlaubt oder blockiert Verbindungen abhängig von Quelle, Ziel, Protokoll, Port und Richtung. 
 Was ist der Unterschied zwischen Paketfilter und SPI-Firewall? 
 Ein Paketfilter prüft einzelne Pakete. Eine SPI-Firewall merkt sich zusätzlich den Zustand einer Verbindung und kann Rückverkehr automatisch zuordnen. 
 Was bedeutet Default Deny? 
 Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen sind zugelassen. 
 Warum verwendet man eine DMZ? 
 Eine DMZ trennt öffentlich erreichbare Server vom internen LAN. Dadurch wird das interne Netzwerk besser geschützt, falls ein öffentlicher Server kompromittiert wird. 
 Auf welcher OSI-Schicht arbeiten Firewalls? 
 Einfache Firewalls arbeiten vor allem auf Schicht 3 und 4. Moderne Firewalls können zusätzlich höhere Schichten prüfen, zum Beispiel Anwendungen auf Schicht 7. 
 
 11. IHK-Merkliste 
 MAC-Adresse 
 
 Schicht 2 
 lokale Zustellung im LAN 
 wird vom Switch verwendet 
 
 IP-Adresse 
 
 Schicht 3 
 logische Adresse 
 wird vom Router verwendet 
 
 Port 
 
 Schicht 4 
 unterscheidet Anwendungen und Dienste 
 
 Switch 
 
 arbeitet hauptsächlich auf Schicht 2 
 leitet anhand von MAC-Adressen weiter 
 
 Router 
 
 arbeitet auf Schicht 3 
 verbindet verschiedene IP-Netze 
 
 Firewall 
 
 kontrolliert Verkehr zwischen Netzen 
 prüft Regeln 
 kann auf mehreren Schichten arbeiten 
 
 NAT 
 
 übersetzt Adressen 
 private Geräte nutzen öffentliche IP 
 
 Portforwarding 
 
 leitet externe Anfragen an interne Server weiter 
 Sicherheitsrisiko, wenn falsch konfiguriert 
 
 VLAN 
 
 logische Trennung in einem physischen Netzwerk 
 braucht Routing oder Firewall für Kommunikation zwischen VLANs 
 
 DMZ 
 
 separates Netz für öffentlich erreichbare Server 
 schützt das interne LAN 
 
 
 12. Kurzer Gesamtüberblick als Grafik 
 flowchart TB
 A["Schicht 0<br>Kabel, Glasfaser, Funk"]
 B["Schicht 1<br>Signale, Netzwerkkarte"]
 C["Schicht 2<br>MAC, Switch, Ethernet, VLAN"]
 D["Schicht 3<br>IP, Routing, DHCP, DNS"]
 E["Schicht 4<br>TCP, UDP, Ports, NAT"]
 F["Firewall<br>Regeln zwischen Netzen"]
 G["Anwendungen<br>HTTP, HTTPS, Mail, DNS"]

 A --> B --> C --> D --> E --> F --> G
 
 
 13. Beispiel: Webseitenaufruf im Netzwerk 
 Ein Client ruft eine Webseite auf. 
 Ablauf vereinfacht: 
 
 Client prüft seine IP-Konfiguration. 
 Client fragt DNS nach der IP-Adresse der Webseite. 
 Client baut per TCP eine Verbindung zum Webserver auf. 
 Bei HTTPS wird Port 443 verwendet. 
 Daten werden in TCP-Segmente verpackt. 
 TCP wird in IP-Pakete verpackt. 
 IP wird in Ethernet-Frames verpackt. 
 Switch leitet Frames anhand der MAC-Adresse weiter. 
 Router oder Firewall leitet Pakete ins Internet weiter. 
 NAT übersetzt private Adresse in öffentliche Adresse. 
 Antwortpakete kommen zurück. 
 SPI-Firewall erkennt die bestehende Verbindung und lässt die Antwort passieren. 
 
 
 14. Webseitenaufruf als Grafik 
 sequenceDiagram
 participant PC as Client-PC
 participant DNS as DNS-Server
 participant FW as Router / Firewall / NAT
 participant WEB as Webserver

 PC->>DNS: Wie lautet die IP von example.com?
 DNS->>PC: Antwort: IP-Adresse
 PC->>FW: TCP SYN an Webserver Port 443
 FW->>WEB: Weiterleitung mit NAT
 WEB->>FW: SYN/ACK zurück
 FW->>PC: Antwort wird wegen SPI erlaubt
 PC->>WEB: HTTPS-Datenübertragung
 
 
 15. Prüfungsorientierte Zusammenfassung 
 Für die IHK solltest du besonders sicher beherrschen: 
 
 OSI-Schichten und typische Geräte/Protokolle 
 Unterschied zwischen MAC-Adresse, IP-Adresse und Port 
 IPv4-Subnetting 
 private IP-Bereiche 
 DHCP-Ablauf DORA 
 DNS-Grundprinzip 
 Unterschied TCP und UDP 
 NAT und Portforwarding 
 VLAN-Grundprinzip 
 Firewall-Regeln 
 Unterschied Paketfilter und SPI-Firewall 
 Zweck einer DMZ 
 
 Merksatz: 
 MAC findet Geräte im lokalen Netz. IP findet Netze. Ports finden Anwendungen. Firewalls entscheiden, was erlaubt ist.

OSI-Modell
OSI-Modell – Geräte & Firewall-Bezug 
 IHK-sichere Hauptzuordnung der Schichten, Geräte und Firewall-Arten 
 
 Schicht 
 Name 
 Worum geht es? 
 Typische Geräte / Komponenten 
 Firewall-Bezug 
 
 
 
 
 
 
 Layer 
 7 
 Anwendungs- 
 schicht 
 Anwendungen 
 und Dienste 
 Proxy, Application Gateway, 
 Webserver, DNS-Server 
 ▣ ◉ ▤ ◌ 
 Proxy-Firewall, 
 Application-Level Gateway, 
 WAF, NGFW-Anwendungsfilter 
 
 
 Layer 
 6 
 Darstellungs- 
 schicht 
 Datenformat, 
 Verschlüsselung, 
 Komprimierung 
 meist keine klassischen 
 Netzwerkgeräte; 
 ggf. TLS-/SSL-Proxy 
 Prüfung hier meist nur 
 bei TLS-Inspection 
 
 
 Layer 
 5 
 Sitzungs- 
 schicht 
 Aufbau, Verwaltung 
 und Abbau von 
 Sitzungen 
 meist keine klassischen 
 Netzwerkgeräte; 
 teilweise Proxy/Gateway 
 für die IHK eher 
 Zusatzwissen, nicht 
 Haupt-Firewall-Schicht 
 
 
 Layer 
 4 
 Transport- 
 schicht 
 Ports, Ende-zu-Ende- 
 Verbindungen, 
 TCP/UDP 
 Firewall, Load Balancer 
 ▦ ⚖ 
 Stateful Firewall, 
 Portfilter, 
 TCP-/UDP-Regeln 
 
 
 Layer 
 3 
 Vermittlungs- 
 schicht 
 IP-Adressierung 
 und Routing 
 zwischen Netzen 
 Router, Layer-3-Switch, 
 Firewall 
 ◎ ⇄ ▦ 
 Paketfilter-Firewall, 
 ACLs, IP-Filter 
 
 
 Layer 
 2 
 Sicherungs- 
 schicht 
 Kommunikation im 
 lokalen Netz über 
 MAC-Adressen 
 Switch, Bridge, 
 Access Point, Netzwerkkarte 
 ▤ ≋ ◖ 
 VLAN-Trennung, MAC-Filter, 
 transparente/Bridge-Firewall 
 als Sonderfall 
 
 
 Layer 
 1 
 Bitübertragungs- 
 schicht 
 Physische 
 Übertragung 
 von Bits 
 Kabel, Hub, Repeater, 
 Medienkonverter 
 ⌁ ▭ ↻ 
 Keine klassische 
 Firewall-Funktion 
 
 Wichtige IHK-Merksätze 
 ✓ Layer 2 = MAC / Switch 
 ✓ Layer 3 = IP / Router / Paketfilter 
 ✓ Layer 4 = TCP/UDP / Ports / Stateful Firewall 
 ✓ Layer 7 = Anwendung / Proxy / WAF 
 
 Wichtiger Hinweis 
 Reale Geräte können mehrere 
 OSI-Schichten abdecken. 
 Für die IHK ist meistens die 
 Hauptzuordnung entscheidend. 
 Kurz merken: Switch = Layer 2 · Router = Layer 3 · Stateful Firewall = Layer 3/4 · Proxy/WAF = Layer 7 · NGFW = Layer 3 bis 7 
 
 OSI-Modell – Geräte und Firewall-Bezug (IHK-sicher) 
 Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Für die IHK ist wichtig, dass du nicht nur die Namen der Schichten kennst, sondern auch verstehst, welche Aufgabe die jeweilige Schicht hat , welche Geräte dort typischerweise arbeiten und welche Firewall-Art dazu passt . 
 Wichtig: Das OSI-Modell ist ein theoretisches Referenzmodell . Reale Geräte arbeiten oft auf mehreren Schichten gleichzeitig. Für Prüfungsaufgaben zählt meistens die Hauptzuordnung . 
 
 
 
 OSI-Schicht 
 Name 
 Worum geht es? 
 Typische Geräte / Komponenten 
 Firewall-Bezug 
 
 
 
 
 7 
 Anwendungsschicht 
 Anwendungen und Dienste 
 Proxy, Application Gateway, Webserver, DNS-Server 
 Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter 
 
 
 6 
 Darstellungsschicht 
 Datenformat, Verschlüsselung, Komprimierung 
 meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy 
 Prüfung hier meist nur bei TLS-Inspection 
 
 
 5 
 Sitzungsschicht 
 Aufbau, Verwaltung und Abbau von Sitzungen 
 meist keine klassischen Netzwerkgeräte; teilweise Proxy-/Gateway-Funktionen 
 Für die IHK eher Zusatzwissen, nicht die Haupt-Firewall-Schicht 
 
 
 4 
 Transportschicht 
 Ports, Ende-zu-Ende-Verbindungen, TCP/UDP 
 Firewall, Load Balancer 
 Stateful Firewall, Portfilter, TCP-/UDP-Regeln 
 
 
 3 
 Vermittlungsschicht 
 IP-Adressierung und Routing zwischen Netzen 
 Router, Layer-3-Switch, Firewall 
 Paketfilter-Firewall, ACLs, IP-Filter 
 
 
 2 
 Sicherungsschicht 
 Kommunikation im lokalen Netz über MAC-Adressen 
 Switch, Bridge, Access Point, Netzwerkkarte 
 VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall 
 
 
 1 
 Bitübertragungsschicht 
 Physische Übertragung von Bits 
 Kabel, Hub, Repeater, Medienkonverter 
 Keine klassische Firewall-Funktion 
 
 
 
 
 Layer 7 – Anwendungsschicht 
 Die Anwendungsschicht ist die oberste Schicht des OSI-Modells. Hier befinden sich Netzwerkdienste und Anwendungen, mit denen Benutzer oder Programme arbeiten. 
 Typische Beispiele sind: 
 
 HTTP 
 HTTPS 
 DNS 
 SMTP 
 FTP 
 IMAP 
 SSH 
 
 Auf dieser Schicht geht es nicht mehr nur darum, welche IP-Adresse oder welcher Port verwendet wird, sondern darum, welche Anwendung oder welcher Dienst tatsächlich kommuniziert. 
 Beispiel: 
 Wenn ein Benutzer eine Webseite aufruft, findet die eigentliche Webkommunikation über HTTP oder HTTPS auf der Anwendungsschicht statt. 
 Typische Komponenten: 
 
 Proxy 
 Application Gateway 
 Webserver 
 DNS-Server 
 Web Application Firewall (WAF) 
 
 Firewall-Bezug: 
 Eine Proxy-Firewall oder ein Application-Level Gateway arbeitet auf Anwendungsebene. Sie betrachtet nicht nur IP-Adressen und Ports, sondern kann anwendungsbezogene Inhalte prüfen. 
 Eine WAF schützt speziell Webanwendungen. Sie prüft HTTP- und HTTPS-Anfragen zum Beispiel auf Angriffe wie SQL-Injection oder Cross-Site-Scripting. 
 Eine NGFW kann ebenfalls Anwendungen erkennen und filtern, zum Beispiel Webmail, Streaming, Messenger oder andere Dienste. 
 IHK-Merksatz: 
 Layer 7 = Anwendung, Inhalte, Proxy, WAF 
 
 Layer 6 – Darstellungsschicht 
 Die Darstellungsschicht kümmert sich darum, wie Daten dargestellt, codiert, verschlüsselt oder komprimiert werden. 
 Typische Aufgaben: 
 
 Datenformate umwandeln 
 Zeichencodierung festlegen 
 Daten komprimieren 
 Daten verschlüsseln oder entschlüsseln 
 
 Typische Beispiele: 
 
 TLS/SSL 
 UTF-8 
 JPEG 
 PNG 
 Komprimierung 
 
 Für die IHK ist wichtig: Layer 6 ist eher eine theoretische Schicht. In vielen praktischen Netzwerkaufgaben stehen Layer 2, 3, 4 und 7 stärker im Vordergrund. 
 Firewall-Bezug: 
 Eine Firewall kann verschlüsselten HTTPS-Verkehr nicht vollständig inhaltlich prüfen, solange sie den Verkehr nicht entschlüsselt. Eine tiefere Inhaltsprüfung ist nur mit TLS-Inspection beziehungsweise SSL-Inspection möglich. 
 Wichtig: TLS/SSL wird in Lernunterlagen oft der Darstellungsschicht zugeordnet, in der Praxis liegt es technisch zwischen Anwendung und Transport. Für IHK-Lernzwecke reicht: Layer 6 = Verschlüsselung, Darstellung, Datenformat . 
 IHK-Merksatz: 
 Layer 6 = Darstellung, Format, Verschlüsselung, Komprimierung 
 
 Layer 5 – Sitzungsschicht 
 Die Sitzungsschicht ist für den Aufbau, die Verwaltung und den Abbau von Sitzungen zuständig. 
 Eine Sitzung ist ein logischer Kommunikationszusammenhang zwischen zwei Systemen. Dabei geht es zum Beispiel darum, eine Verbindung beziehungsweise einen Dialog zu starten, aufrechtzuerhalten und sauber zu beenden. 
 Typische Aufgaben: 
 
 Sitzung aufbauen 
 Sitzung verwalten 
 Sitzung beenden 
 Dialogsteuerung 
 Wiederaufnahme von Kommunikationsabläufen 
 
 Für die IHK ist wichtig: Layer 5 ist meistens weniger praxisnah als Layer 2, 3, 4 und 7. In Firewall-Fragen wird Layer 5 normalerweise nicht als wichtigste Schicht abgefragt. 
 Firewall-Bezug: 
 Manche Gateway- oder Proxy-Funktionen können sitzungsbezogene Informationen berücksichtigen. Für die Prüfung solltest du aber vor allem diese klare Zuordnung lernen: 
 
 Paketfilter-Firewall = Layer 3/4 
 Stateful Firewall = Layer 3/4 
 Proxy-Firewall = Layer 7 
 WAF = Layer 7 
 NGFW = Layer 3 bis 7 
 
 IHK-Merksatz: 
 Layer 5 = Sitzung aufbauen, verwalten und beenden 
 
 Layer 4 – Transportschicht 
 Die Transportschicht regelt die Kommunikation zwischen Anwendungen auf zwei Systemen. Hier sind vor allem TCP , UDP und Ports wichtig. 
 Wichtige Begriffe: 
 
 TCP 
 UDP 
 Portnummern 
 Verbindungen 
 Verbindungsstatus 
 Ende-zu-Ende-Kommunikation 
 
 TCP ist verbindungsorientiert. Das bedeutet: Es wird eine Verbindung aufgebaut, Daten werden geordnet übertragen und der Empfang kann bestätigt werden. 
 UDP ist verbindungslos. Das bedeutet: Es ist einfacher und schneller, bietet aber keine gleiche zuverlässige Verbindungssteuerung wie TCP. 
 Typische Ports: 
 
 
 
 Dienst 
 Protokoll / Port 
 
 
 
 
 HTTP 
 TCP 80 
 
 
 HTTPS 
 TCP 443 
 
 
 DNS 
 UDP/TCP 53 
 
 
 SSH 
 TCP 22 
 
 
 RDP 
 TCP 3389 
 
 
 SMTP 
 TCP 25 
 
 
 
 Typische Geräte / Komponenten: 
 
 Firewall 
 Layer-4-Load-Balancer 
 
 Firewall-Bezug: 
 Eine Firewall kann auf Layer 4 prüfen, welche Ports und Transportprotokolle verwendet werden. 
 Eine Stateful Firewall prüft zusätzlich, ob ein Paket zu einer bereits erlaubten Verbindung gehört. Sie führt dafür eine Verbindungstabelle. 
 Beispiel: 
 Ein Client aus dem internen Netzwerk baut eine HTTPS-Verbindung zu einem Webserver auf. Die Antwortpakete aus dem Internet werden erlaubt, weil sie zu dieser bestehenden Verbindung gehören. 
 IHK-Merksatz: 
 Layer 4 = TCP/UDP, Ports, Verbindungen, Stateful Firewall 
 
 Layer 3 – Vermittlungsschicht 
 Die Vermittlungsschicht ist für IP-Adressierung und Routing zuständig. Hier wird entschieden, wie Datenpakete von einem Netzwerk in ein anderes Netzwerk gelangen. 
 Wichtige Themen: 
 
 IPv4 
 IPv6 
 Routing 
 Subnetze 
 Standardgateway 
 ICMP 
 IPsec 
 Paketweiterleitung 
 
 Typische Geräte: 
 
 Router 
 Layer-3-Switch 
 Firewall 
 
 Ein Router verbindet unterschiedliche Netzwerke miteinander. Er entscheidet anhand der Ziel-IP-Adresse, wohin ein Paket weitergeleitet wird. 
 Ein Layer-3-Switch kann zusätzlich zu klassischen Switch-Funktionen auch Routing-Funktionen übernehmen, zum Beispiel zwischen VLANs. 
 Firewall-Bezug: 
 Eine Paketfilter-Firewall prüft auf Layer 3 zum Beispiel: 
 
 Quell-IP-Adresse 
 Ziel-IP-Adresse 
 Protokoll 
 Netzbereich 
 Richtung des Datenverkehrs 
 
 Sobald zusätzlich Ports geprüft werden, ist auch Layer 4 beteiligt. Deshalb ist die IHK-sichere Formulierung: 
 Paketfilter-Firewall = Layer 3/4 
 Beispielregel: 
 Ein internes Netz 192.168.10.0/24 darf per TCP-Port 443 ins Internet, aber nicht per TCP-Port 23 . 
 IHK-Merksatz: 
 Layer 3 = IP-Adresse, Routing, Router, Paketfilter 
 
 Layer 2 – Sicherungsschicht 
 Die Sicherungsschicht ist für die Kommunikation im lokalen Netzwerk zuständig. Hier geht es vor allem um MAC-Adressen , Ethernet-Frames , Switching und VLANs . 
 Wichtige Themen: 
 
 MAC-Adressen 
 Ethernet-Frames 
 Switches 
 Bridges 
 VLANs 
 ARP 
 WLAN im lokalen Netz 
 Fehlererkennung auf Frame-Ebene 
 
 Typische Geräte: 
 
 Switch 
 Bridge 
 Access Point 
 Netzwerkkarte 
 
 Ein Switch arbeitet hauptsächlich auf Layer 2. Er lernt MAC-Adressen und leitet Frames an den passenden Port weiter. 
 Für die IHK ist sehr wichtig: 
 Switch = MAC-Adresse = Layer 2 
 Ein Switch verwendet also normalerweise MAC-Adressen, während ein Router IP-Adressen verwendet. 
 Firewall-Bezug: 
 Layer 2 ist nicht die klassische Firewall-Schicht. Trotzdem gibt es sicherheitsrelevante Funktionen auf Layer 2: 
 
 VLAN-Trennung 
 MAC-Filter 
 Port-Security 
 transparente Firewall / Bridge-Firewall als Sonderfall 
 
 Wichtig: MAC-Filter allein sind kein starker Schutz, weil MAC-Adressen gefälscht werden können. Für IHK-Grundlagen reicht aber die Einordnung: MAC-Adressen gehören zu Layer 2. 
 IHK-Merksatz: 
 Layer 2 = MAC-Adresse, Switch, lokales Netzwerk 
 
 Layer 1 – Bitübertragungsschicht 
 Die Bitübertragungsschicht ist die unterste Schicht des OSI-Modells. Hier geht es um die physische Übertragung von Bits. 
 Wichtige Themen: 
 
 elektrische Signale 
 optische Signale 
 Funkübertragung 
 Kabel 
 Stecker 
 Netzwerkkarte auf physischer Ebene 
 Repeater 
 Hub 
 Medienkonverter 
 
 Typische Geräte und Komponenten: 
 
 Netzwerkkabel 
 Glasfaserkabel 
 Hub 
 Repeater 
 Medienkonverter 
 Stecker und Ports 
 
 Ein Hub arbeitet auf Layer 1. Er verteilt Signale, trifft aber keine intelligenten Weiterleitungsentscheidungen wie ein Switch. 
 Ein Repeater arbeitet ebenfalls auf Layer 1. Er verstärkt oder erneuert ein Signal. 
 Firewall-Bezug: 
 Auf Layer 1 gibt es keine klassische Firewall-Funktion. Eine Firewall entscheidet nicht anhand von reinen elektrischen oder optischen Signalen, sondern anhand von Informationen höherer Schichten. 
 IHK-Merksatz: 
 Layer 1 = Kabel, Signal, Bits, physische Übertragung 
 
 Firewall-Arten und OSI-Zuordnung 
 
 
 
 Firewall-Art 
 OSI-Zuordnung 
 Prüft hauptsächlich 
 Wichtig für die IHK 
 
 
 
 
 Paketfilter-Firewall 
 Layer 3/4 
 IP-Adressen, Protokolle, Ports 
 einfache Filterregeln 
 
 
 Stateful Firewall 
 Layer 3/4 
 IPs, Ports und Verbindungsstatus 
 merkt sich erlaubte Verbindungen 
 
 
 Proxy-Firewall 
 Layer 7 
 Anwendungsdaten und Inhalte 
 arbeitet stellvertretend für den Client 
 
 
 Application-Level Gateway 
 Layer 7 
 anwendungsspezifische Protokolle 
 prüft Inhalte auf Anwendungsebene 
 
 
 WAF 
 Layer 7 
 HTTP-/HTTPS-Anfragen an Webanwendungen 
 Schutz für Webanwendungen 
 
 
 NGFW 
 Layer 3 bis 7 
 IPs, Ports, Anwendungen, Inhalte 
 kombiniert mehrere Sicherheitsfunktionen 
 
 
 Hardware-Firewall 
 keine eigene OSI-Schicht 
 abhängig von Funktion 
 Bauform, nicht OSI-Schicht 
 
 
 Software-Firewall 
 keine eigene OSI-Schicht 
 abhängig von Funktion 
 Installationsart, nicht OSI-Schicht 
 
 
 
 
 Wichtige IHK-Merksätze 
 
 
 
 Thema 
 Merksatz 
 
 
 
 
 Switch 
 arbeitet hauptsächlich auf Layer 2 
 
 
 Router 
 arbeitet hauptsächlich auf Layer 3 
 
 
 Hub 
 arbeitet auf Layer 1 
 
 
 Repeater 
 arbeitet auf Layer 1 
 
 
 Bridge 
 arbeitet hauptsächlich auf Layer 2 
 
 
 Portfilter 
 arbeitet hauptsächlich auf Layer 4 
 
 
 Paketfilter 
 arbeitet auf Layer 3/4 
 
 
 Stateful Firewall 
 arbeitet auf Layer 3/4 und merkt sich Verbindungen 
 
 
 Proxy-Firewall 
 arbeitet auf Layer 7 
 
 
 WAF 
 arbeitet auf Layer 7 
 
 
 NGFW 
 kann Layer 3 bis Layer 7 auswerten 
 
 
 Layer 6 und 5 
 eher theoretisch, bei Firewall-Zuordnung meist Zusatzwissen 
 
 
 
 
 Ganz kurzer Prüfungs-Merksatz 
 Layer 2 = MAC / Switch 
 Layer 3 = IP / Router / Paketfilter 
 Layer 4 = TCP/UDP / Ports / Stateful Firewall 
 Layer 7 = Anwendung / Proxy / WAF 
 
 Beispiel zur Einordnung 
 Ein Benutzer öffnet eine Webseite über HTTPS. 
 
 
 
 Schritt 
 OSI-Schicht 
 Erklärung 
 
 
 
 
 Kabel oder WLAN überträgt Signale 
 Layer 1 
 Bits werden physisch übertragen 
 
 
 Der Switch leitet Frames im lokalen Netz weiter 
 Layer 2 
 Weiterleitung anhand von MAC-Adressen 
 
 
 Der Router leitet Pakete ins Internet 
 Layer 3 
 Weiterleitung anhand von IP-Adressen 
 
 
 Die Verbindung nutzt TCP-Port 443 
 Layer 4 
 Kommunikation über TCP und Portnummer 
 
 
 TLS verschlüsselt die Verbindung 
 Layer 6 
 Verschlüsselung und Darstellung 
 
 
 Der Browser ruft eine Webseite per HTTPS auf 
 Layer 7 
 Anwendungsebene 
 
 
 Eine Stateful Firewall erlaubt Antwortpakete 
 Layer 3/4 
 Verbindung wurde vorher erlaubt 
 
 
 Eine WAF prüft HTTP-/HTTPS-Anfragen 
 Layer 7 
 Schutz der Webanwendung 
 
 
 
 
 Typische Prüfungsfallen 
 
 
 
 Falsche oder ungenaue Aussage 
 Besser / IHK-sicher 
 
 
 
 
 Eine Firewall arbeitet immer nur auf Layer 3 
 Kommt auf die Firewall-Art an 
 
 
 Paketfilter arbeitet nur auf Layer 3 
 Besser: Paketfilter arbeitet Layer 3/4 
 
 
 Eine WAF schützt das ganze Netzwerk vollständig 
 Eine WAF schützt vor allem Webanwendungen auf Layer 7 
 
 
 Hardware-Firewall ist eine eigene OSI-Schicht 
 Nein, Hardware beschreibt nur die Bauform 
 
 
 Switch und Router machen dasselbe 
 Nein, Switch = Layer 2 / MAC, Router = Layer 3 / IP 
 
 
 Layer 6 und 5 sind die wichtigsten Firewall-Schichten 
 Nein, für Firewalls sind meist Layer 3/4 und Layer 7 wichtig