Netzwerktechnik

• Windows --> Linux
• Klausurvorbereitung 27. Mai
• Zusammenfassung: Schicht 4, Ports, NAT, Firewall und DMZ
• 50 Fragen und Antworten: Schicht 4, Ports, NAT, Firewall und DMZ
• Portforwarding Trainer
• DMZ Firewall Trainer
• NAT(PAT)-Trainer / Source NAT
• TCP-Verbindungsaufbau und TCP-Verbindungsabbau – Trainer
• 1. Grundlagen der Netzwerktechnik
• OSI Testfragen
• Netzwerk
• OSI-Modell
• 2. Grundlagen der Schichtenmodelle: OSI und TCP/IP
• 3. OSI-Schicht 0 – Übertragungsmedien und Verkabelung
• 4. OSI-Schicht 1 – Bitübertragungsschicht
• 5. OSI-Schicht 2 – Sicherungsschicht
• 6. OSI-Schicht 3 – Vermittlungsschicht / Netzwerkschicht
• 7. OSI-Schicht 4 – Transportschicht
• TCP (Transmission Control Protocol) Erklärung
• UDP (User Datagram Protocol) Erklärung
• TCP versus UDP
• 8. OSI-Schicht 5 – Sitzungsschicht
• 9. OSI-Schicht 6 – Darstellungsschicht
• 10. OSI-Schicht 7 – Anwendungsschicht
• 11. Firewalls, NAT und DMZ
• 12. Sniffing, Analyse und Fehlersuche
• 13. Verschlüsselung und Sicherheitsgrundlagen
• 13.0 Grundlagen der Verschlüsselung
• 13.1 Symmetrische Verschlüsselung
• 13.2 Asymmetrische Verschlüsselung
• 13.3 Digitale Signatur
• 13.4 Hybride Verschlüsselung
• 13.5 Hashfunktion und Zertifikate
• 13.6 Diffie-Hellman und Perfect Forward Secrecy
• 13.7 Brute Force, Zufallszahlen und One-Time-Pad
• 13.8 Steganographie
• Trainer – Verschlüsselung und Sicherheitsgrundlagen
• EXTRA: Reticulum Network Stack (RNS) im Vergleich zum OSI- und TCP/IP-Modell
• 14. VPN, Intranet und Extranet
• 15. Cloud und moderne Bereitstellungsmodelle
• 16. Angriffe und Schutzmaßnahmen
• 20. Trainer – Grundlagen und OSI-Modell
• 21. Trainer – Schicht 0 und OSI-Schicht 1
• 22. Trainer – OSI-Schicht 2
• 23. Trainer – OSI-Schicht 3
• ICMP (Internet Control Message Protocol)
• 24. Trainer – OSI-Schicht 4
• 25. Trainer – OSI-Schicht 5 bis 7
• 26. Trainer – Firewall, NAT und DMZ
• 27. Trainer – Sniffing, Analyse und Fehlersuche
• 28. Trainer – Verschlüsselung und Sicherheitsgrundlagen
• 29. Trainer – VPN, Intranet und Extranet
• 30. Trainer – Cloud und moderne Bereitstellungsmodelle
• 31. Trainer – Anwendungsschicht und Dienste
• 32. Trainer – Angriffe und Schutzmaßnahmen
• 33. Trainer – Gesamtwiederholung Netzwerktechnik

Windows --> Linux

SSH-KEY-LOGIN (Windows → Ubuntu)

1. Key auf Windows erstellen

ssh-keygen -t ed25519

→ Dateien: C:\Users<WindowsUser>.ssh\id_ed25519 (PRIVATE) C:\Users<WindowsUser>.ssh\id_ed25519.pub (PUBLIC)

2. Public Key per SCP auf den Server kopieren (in Windows)

scp $env:USERPROFILE.ssh\id_ed25519.pub admini@192.168.33.XXX:~/id_ed25519.pub

3. Auf dem Server: Key in authorized_keys eintragen (in Linux)

ssh admini@ 192.168.33.XXX mkdir -p ~/.ssh cat ~/id_ed25519.pub >> ~/.ssh/authorized_keys rm ~/id_ed25519.pub

4. Auf dem Server: Rechte setzen (sonst kann SSH ablehnen)

chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys

5. Test von Windows

ssh admini@ 192.168.33.XXX

Klausurvorbereitung 27. Mai

Zusammenfassung: Schicht 4, Ports, NAT, Firewall und DMZ

Zusammenfassung: Schicht 4, Ports, NAT, Firewall und DMZ

Bereich: Seite 64 bis einschließlich Seite 94
Themen: Ports, TCP, UDP, QUIC, Portknocking, Portforwarding, NAT/PAT, Allowlist/Blocklist, Firewall, iptables, DMZ

1. Schicht 4 – Transportschicht

Die Schicht 4 ist die Transportschicht. Sie sorgt dafür, dass Daten nicht nur zu einem bestimmten Rechner gelangen, sondern auch zur richtigen Anwendung oder zum richtigen Dienst auf diesem Rechner.

Wichtige Themen der Schicht 4:

• Ports
• TCP
• UDP
• QUIC
• Portknocking
• Portforwarding / Destination NAT
• NAT / PAT / Source NAT
• Allowlist und Blocklist

Die IP-Adresse bestimmt den Host.
Der Port bestimmt den Dienst oder das Programm auf diesem Host.

Beispiel:

192.168.1.11:80

Das bedeutet:

Host: 192.168.1.11
Dienst/Port: 80

Port 80 steht typischerweise für HTTP.

Die Kombination aus IP-Adresse und Port nennt man Socket.

Grafik 1: IP-Adresse, Port und Socket

:

2. Warum braucht man Ports?

Ein Rechner kann mehrere Netzwerkprogramme gleichzeitig ausführen.

Beispiele:

• Webbrowser
• Mailprogramm
• Dateifreigabe
• Druckdienst
• Datenbankdienst
• Webserver

Nur mit der IP-Adresse weiß man zwar, welcher Rechner gemeint ist.
Man weiß aber noch nicht, welche Anwendung auf diesem Rechner gemeint ist.

Vergleich:

IP-Adresse = Adresse eines Mehrfamilienhauses
Port       = Name oder Wohnung der Person im Haus

Beispiel Printserver:

10.1.1.1:9100 = Laserdrucker
10.1.1.1:9101 = Tintenstrahldrucker
10.1.1.1:9102 = Nadeldrucker

Alle Drucker haben dieselbe IP-Adresse, aber unterschiedliche Ports.

3. Schreibweise von IP-Adresse und Port

Bei IPv4 schreibt man:

IPv4-Adresse:Port
192.168.1.11:80

Bei IPv6 muss die Adresse in eckige Klammern:

[IPv6-Adresse]:Port
[2001:1234:5678:90AB:CDEF:1A2B:3C4D:5E6F]:80

Wichtig:

IP-Adresse + Port = Socket

4. Aufteilung der Ports

Ports sind in drei große Bereiche eingeteilt.

5. Wichtige System Ports

Diese Ports sollte man für Prüfung und Praxis kennen:

6. Wichtige User Ports

7. UDP

UDP ist ein einfaches Transportprotokoll.

Eigenschaften:

• verbindungslos
• schneller als TCP
• weniger Verwaltungsaufwand
• keine eingebaute Garantie, dass Pakete ankommen
• keine eingebaute Reihenfolgekontrolle
• wird häufig genutzt, wenn Geschwindigkeit wichtiger ist als perfekte Kontrolle

Typische Beispiele:

• DNS
• DHCP
• NTP
• Streaming
• VoIP
• Online-Gaming

Merksatz:

UDP ist schnell, aber nicht besonders kontrollierend.

8. TCP

TCP ist verbindungsorientiert.

Eigenschaften:

• baut eine Verbindung auf
• bestätigt empfangene Daten
• kontrolliert Reihenfolge und Vollständigkeit
• ist zuverlässiger als UDP
• erzeugt aber mehr Verwaltungsaufwand

Typische Beispiele:

• HTTP
• HTTPS
• SSH
• FTP
• SMTP
• IMAP
• POP3
• SMB

Merksatz:

TCP ist kontrollierter, aber aufwendiger.

9. TCP-Verbindungsaufbau: 3-Wege-Handshake

Beim TCP-Verbindungsaufbau werden drei Schritte genutzt.

1. Client sendet SYN.
2. Server antwortet mit SYN + ACK.
3. Client bestätigt mit ACK.

Danach ist die Verbindung aufgebaut.

Grafik 2: TCP 3-Wege-Handshake

Verbindung ist aufgebaut

10. TCP-Verbindungsabbau: 4-Wege-Handshake

Beim Verbindungsabbau werden vier Schritte genutzt.

1. Client sendet FIN.
2. Server bestätigt mit ACK.
3. Server sendet ebenfalls FIN.
4. Client bestätigt mit ACK.

Danach ist die Verbindung sauber beendet.

Merksatz:

TCP-Aufbau: 3 Schritte
TCP-Abbau: 4 Schritte

11. TCP und Sicherheit

Beim TCP-Verbindungsaufbau kann es zu Angriffen kommen, zum Beispiel SYN-Flood-Angriffen.

Dabei werden viele SYN-Anfragen an einen Server gesendet.
Der Server wartet auf die abschließende Bestätigung, bekommt diese aber nicht oder nicht vollständig.
Dadurch können Ressourcen blockiert werden.

Das gehört zum Bereich Denial-of-Service beziehungsweise Distributed-Denial-of-Service.

12. QUIC

QUIC soll Vorteile von UDP und TCP kombinieren.

Eigenschaften:

• basiert technisch auf UDP
• soll schneller und moderner sein
• arbeitet immer mit Verschlüsselung
• wird besonders im modernen Web wichtig

Merksatz:

QUIC versucht, UDP-Geschwindigkeit mit TCP-ähnlicher Zuverlässigkeit und Verschlüsselung zu verbinden.

13. Portknocking

Portknocking bedeutet sinngemäß:

Erst richtig anklopfen, dann wird etwas freigegeben.

Dabei werden von außen bestimmte Ports in einer festgelegten Reihenfolge angesprochen.

Beispiel:

11.1.2.4:1111
11.1.2.4:2222
11.1.2.4:3333

Nur wenn diese Reihenfolge stimmt, löst die Firewall oder der Router ein Ereignis aus.

Beispiel aus dem Kochbuch:

Portknocking löst Wake-on-LAN aus.
Der interne Webserver startet.
Danach kann ein Zugriff erfolgen.

Vorteil:

• Dienste müssen nicht dauerhaft offen sichtbar sein.

Nachteil:

• zusätzlicher Verwaltungsaufwand
• kein Ersatz für echte Authentifizierung oder sichere Dienste

14. Portforwarding / Destination NAT

Portforwarding leitet Anfragen von außen nach innen weiter.

Ziel:

Internet -> Router/Firewall -> interner Server

Beispiel:

Externe Adresse: 11.1.2.4:80
Weiterleitung auf: 192.168.178.11:80

Oder:

11.1.2.4:81 -> 192.168.178.22:80

Dadurch können zwei interne Webserver von außen erreichbar gemacht werden, obwohl beide intern Port 80 nutzen.

Wichtig:

Die externe IP-Adresse bleibt gleich.
Die externen Ports unterscheiden, welcher interne Dienst gemeint ist.

Grafik 3: Portforwarding / Destination NAT

15. Sicherheitsproblem bei Portforwarding

Portforwarding ist praktisch, aber nicht besonders sicher.

Problem:

Von außen wird ein direkter Weg in das interne Netz geschaffen.

Das kann gefährlich sein, wenn der interne Dienst schlecht abgesichert ist.

Besser:

• möglichst kein unnötiges Portforwarding
• VPN oder Tailscale verwenden
• Dienste aktuell halten
• starke Authentifizierung nutzen
• Firewall-Regeln sauber setzen
• Zugriff einschränken
• Portforwarding eventuell mit Portknocking kombinieren

16. NAT / PAT / Source NAT

Im Alltag sagt man oft NAT.
Genauer ist bei vielen Heimroutern eigentlich PAT.

PAT bedeutet Port Address Translation.

Ziel:

Mehrere interne Geräte teilen sich eine öffentliche IP-Adresse.

Beispiel:

Interner PC: 192.168.178.11
Fritz!Box extern: 11.1.2.4
Ziel im Internet: 193.99.144.85:80

Der interne PC kann nicht direkt mit seiner privaten IP-Adresse ins Internet.
Die Fritz!Box ersetzt deshalb die interne Quelladresse durch ihre öffentliche Adresse und merkt sich den Zusammenhang in einer Tabelle.

17. Ablauf bei NAT / PAT

Beispiel:

PC möchte Webseite öffnen:
192.168.178.11:55555 -> 193.99.144.85:80

Die Fritz!Box erstellt einen Fake-Port:

11.1.2.4:60000 -> 193.99.144.85:80

Wenn die Antwort aus dem Internet zurückkommt, schaut die Fritz!Box in ihrer Tabelle nach:

11.1.2.4:60000 gehört intern zu 192.168.178.11:55555

Dann leitet sie die Antwort an den richtigen internen PC weiter.

Grafik 4: NAT / PAT / Source NAT

18. Unterschied Portforwarding und NAT/PAT

Merksatz:

Portforwarding: Internet möchte nach innen.
NAT/PAT: internes Netz möchte nach außen.

19. Allowlist und Blocklist

Früher sagte man Whitelist und Blacklist.
Heute sagt man besser Allowlist und Blocklist.

20. Allowlist

Grundprinzip:

Alles ist verboten, außer es steht ausdrücklich in der Allowlist.

Beispiel:

Allowlist:
web.de

Dann gilt:

web.de   erlaubt
gmx.de   verboten
gmail.de verboten

Vorteil:

• sehr streng
• schützt gut vor unerwünschtem Zugriff

Nachteil:

• hoher Pflegeaufwand
• neue erlaubte Seiten müssen ständig ergänzt werden

21. Blocklist

Grundprinzip:

Alles ist erlaubt, außer es steht ausdrücklich in der Blocklist.

Beispiel:

Blocklist:
gmx.de
gmail.de

Dann gilt:

web.de   erlaubt
gmx.de   verboten
gmail.de verboten

Vorteil:

• einfacher zu betreiben als reine Allowlist
• gut für bekannte unerwünschte Seiten

Nachteil:

• niemals vollständig
• neue gefährliche Seiten können noch fehlen
• manchmal werden Seiten gesperrt, die eigentlich erlaubt sein sollen

22. Kombination aus Allowlist und Blocklist

Praktische Lösung:

Zuerst Allowlist prüfen.
Danach Blocklist prüfen.

Beispiel:

Allowlist:
gmail.de

Blocklist:
gmx.de
gmail.de

Dann gilt:

web.de   erlaubt, weil in keiner Liste verboten
gmx.de   verboten, weil in Blocklist
gmail.de erlaubt, weil Allowlist Vorrang hat

Das ist oft sinnvoller als nur eine reine Allowlist oder nur eine reine Blocklist.

23. SquidGuard

SquidGuard kann Webseiten nach Kategorien filtern.

Beispiele für Kategorien:

• Dating
• Mailing
• Hacking
• Werbung
• Malware
• Glücksspiel

Das Ausrufezeichen bedeutet „nicht“ beziehungsweise „verboten“.

Beispielhafte Logik:

Allowlist !Dating !Mailing !Hacking any

Sinngemäß:

1. Prüfe zuerst Allowlist.
2. Wenn Treffer in Allowlist: erlauben.
3. Wenn kein Treffer: prüfe verbotene Kategorien.
4. Wenn Treffer in verbotener Kategorie: sperren.
5. Wenn kein Treffer: erlauben.

24. Firewalls

Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln.

Sie entscheidet:

Darf dieses Paket durch?
Ja oder Nein?

Firewalls können auf verschiedenen Ebenen arbeiten:

• Host-Firewall
• Unternehmens-Firewall
• Paketfilter-Firewall
• Stateful-Packet-Inspection-Firewall

25. Personal-Firewall und Unternehmens-Firewall

26. Paketfilter-Firewall

Eine Paketfilter-Firewall ist einfacher und älter.

Problem:

Bei klassischen Paketfiltern muss häufig Hinweg und Rückweg erlaubt werden.

Beispiel:

Client -> Server erlauben
Server -> Client ebenfalls erlauben

Das ist fehleranfälliger.

27. Stateful Packet Inspection Firewall

Eine SPI-Firewall merkt sich den Zustand einer Verbindung.

Vorteil:

Nur der Hinweg muss ausdrücklich erlaubt werden.
Der Rückweg wird automatisch als passende Antwort erkannt.

Das ist moderner und sicherer.

Beispiel:

Intern -> Internet erlaubt
Antwort Internet -> Intern wird automatisch erkannt

28. Steuerbare Schichten einer SPI-Firewall

Eine SPI-Firewall kann mehrere Bedingungen prüfen.

Wichtig:

Alle angegebenen Bedingungen sind logisch UND-verknüpft.

Beispiel:

Nur diese MAC-Adresse
UND nur diese IP-Adresse
UND nur TCP
UND nur Port 22

Dann darf nur genau dieser passende Verkehr durch.

Wichtiger Merksatz:

Was nicht abgefragt wird, ist erlaubt.

Das bedeutet:

Wenn eine Regel keine MAC-Adresse prüft, ist die MAC-Adresse für diese Regel egal.

29. Firewall als Brücke zwischen intern und extern

Im Kochbuch wird die Firewall mit einer Brücke zwischen Insel und Festland verglichen.

• Insel = internes sicheres Netz
• Festland = externes unsicheres Netz
• Brücke = Firewall
• Wachmannschaft = Linux-System mit Firewall
• grüne Seite = internes Netz
• rote Seite = externes Netz

Die Firewall kontrolliert, wer von innen nach außen und von außen nach innen darf.

30. iptables: INPUT, OUTPUT und FORWARD

Bei iptables gibt es drei wichtige Regelketten.

Grafik 5: INPUT, OUTPUT und FORWARD

31. FORWARD

FORWARD betrifft Datenverkehr, der durch die Firewall hindurchgeht.

Beispiele:

internes Netz -> Firewall -> Internet
Internet -> Firewall -> internes Netz

FORWARD ist wichtig, wenn die Firewall als Router zwischen zwei Netzen arbeitet.

32. INPUT

INPUT betrifft Datenverkehr, der direkt an die Firewall selbst gerichtet ist.

Beispiele:

Admin-PC -> Firewall per SSH
Monitoring-Server -> Firewall
Ping an Firewall

33. OUTPUT

OUTPUT betrifft Datenverkehr, der von der Firewall selbst erzeugt wird.

Beispiele:

Firewall -> NTP-Server
Firewall -> DNS-Server
Firewall -> Update-Server

34. Beispiel einfache Firewall

Beim Erstellen einer Firewall-Regel muss man sich immer fragen:

• Wo ist die Quelle?
• Wo ist das Ziel?
• Ist es INPUT, OUTPUT oder FORWARD?
• Wird TCP, UDP oder ICMP genutzt?
• Welcher Port wird genutzt?
• Ist die IP-Adresse ein einzelner Host oder ein ganzes Netz?
• Muss eine Subnetzmaske angegeben werden?
• Soll zusätzlich die MAC-Adresse geprüft werden?

Wichtig:

ICMP hat keinen Port.

35. iptables-Syntax aus dem Kochbuch

Beispielhafte Regeln:

$FT $MP -s 192.168.2.0/24 -d 192.168.1.2 --dports 80,3128 $R
$IT $MAC 1A:2B:3C:4D:5E:6F -s 192.168.2.2 -d 192.168.2.1 --dport 22 $R
$OU -s 192.168.1.1 -d 192.168.1.2 --dport 123 $R

Bedeutung:

36. Catch-all-Regel

Am Ende steht häufig:

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

Bedeutung:

Alles, was vorher nicht ausdrücklich erlaubt wurde, wird verboten.

Das ist ein sehr wichtiges Firewall-Prinzip.

Merksatz:

Erst erlauben, was gebraucht wird.
Dann alles andere blockieren.

37. Praktische Umsetzung einer einfachen Firewall

Für das einfache Beispiel braucht man:

• Linux-PC
• zwei Netzwerkkarten
• Root-Rechte
• iptables-Skript
• passende IP-Adressen auf den Netzwerkkarten

Beispiel:

Netzwerkkarte 1: 192.168.1.1
Netzwerkkarte 2: 192.168.2.1

Typische Befehle:

sudo -s
chmod 755 alle.sh
./alle.sh

38. DMZ – Demilitarisierte Zone

Eine DMZ ist ein separates Zwischennetz.

Sie wird genutzt für Server, die sowohl von intern als auch von extern erreichbar sein sollen.

Beispiele:

• Webserver
• Mailserver
• DNS-Server
• Reverse Proxy

Die DMZ liegt nicht direkt im internen LAN.

Ziel:

Wenn ein öffentlicher Server angegriffen wird, soll nicht direkt das interne LAN betroffen sein.

39. DMZ-Farben

Typische Darstellung:

40. Zwei-stufiges DMZ-Konzept

Das zwei-stufige Konzept nutzt zwei Firewalls.

Aufbau:

Internet -> Firewall 1 -> DMZ -> Firewall 2 -> internes LAN

Vorteile:

• sicherer
• doppelte Verteidigungslinie
• in IHK-Prüfungen oft bevorzugt

Nachteile:

• aufwendiger
• zwei Firewalls
• zwei Regelwerke
• Routing muss sauber geplant werden

Merksatz:

Zwei-stufige DMZ = sicherer, aber aufwendiger.

41. Ein-stufiges DMZ-Konzept

Das ein-stufige Konzept nutzt eine Firewall mit drei Netzwerkkarten.

Aufbau:

Internes LAN
     |
Firewall mit 3 Netzwerkkarten
     |
Internet
     |
DMZ

Vorteile:

• weniger Aufwand
• nur eine Firewall
• nur ein Regelwerk

Nachteile:

• weniger sicher als zwei-stufiges Konzept
• nur eine Verteidigungslinie

Merksatz:

Ein-stufige DMZ = einfacher, aber unsicherer.

Grafik 6: Ein-stufige DMZ mit drei Netzwerkkarten

Grafik 7: Zwei-stufige DMZ

42. Komplexere Firewall mit DMZ

Im komplexeren Beispiel wird eine Linux-Maschine mit drei Netzwerkkarten als Firewall eingesetzt.

Beispielhafte Netze:

Externes Netz: 192.168.1.0/24
Internes Netz: 192.168.2.0/24
DMZ:           192.168.3.0/24

Die Firewall hat dann zum Beispiel:

1. Netzwerkkarte: 192.168.1.1
2. Netzwerkkarte: 192.168.2.1
3. Netzwerkkarte: 192.168.3.1

Regeln können dann zum Beispiel erlauben:

• internes Netz darf Web/Proxy nach extern nutzen
• interner Host darf per SSH auf Firewall
• interner Admin-PC darf per SSH auf DMZ-Server
• internes Netz darf DNS-Server in der DMZ nutzen
• Firewall darf NTP nach außen nutzen

Alles andere wird durch DROP verworfen.

43. Prüfungssichere Merksätze

IP-Adresse = welcher Host?
Port = welcher Dienst?
Socket = IP-Adresse + Port

TCP (Transmission Control Protocol) = verbindungsorientiert und zuverlässig

TCP ist wie ein Einschreiben mit Rückschein. Es ist extrem zuverlässig, aber durch die vielen Kontrollen etwas langsamer.
TCP baut vor der eigentlichen Datenübertragung eine Verbindung auf. Dafür wird der sogenannte Three-Way-Handshake verwendet.

Vereinfacht:

1. Client fragt: Darf ich eine Verbindung aufbauen?
2. Server antwortet: Ja, ich bin bereit.
3. Client bestätigt: Verbindung steht.

UDP (User Datagram Protocol) = verbindungslos und schnell
Verbindungslos: Es wird keine formelle Verbindung (kein "Handshake") zwischen Sender und Empfänger aufgebaut,
bevor Daten gesendet werden. Daten werden einfach "abgeschickt"

Unzuverlässig: Es gibt keine Empfangsbestätigung und keine Prüfung, ob ein Paket angekommen ist.
Geht ein Paket verloren, wird es nicht erneut gesendet.

UDP ist wie das Werfen eines Balls. Es sendet Daten einfach los, ohne zu prüfen, ob sie ankommen.
Es ist rasend schnell und wird daher oft für Live-Streaming, Online-Gaming oder Telefonie (VoIP) genutzt.

QUIC = modernes Protokoll auf UDP-Basis mit Verschlüsselung
Portforwarding = von außen nach innen
NAT/PAT (Network/Port Address Translation) = von innen nach außen über eine gemeinsame öffentliche IP
NAT/PAT = interne private Adressen werden beim Zugriff nach außen in eine öffentliche Adresse übersetzt.

Allowlist = alles verboten außer erlaubt
Blocklist = alles erlaubt außer verboten

SPI-Firewall (Stateful Packet Inspection) = merkt sich Verbindungszustände
Erklärung: ist eine hochentwickelte Sicherheitstechnologie in Routern und Firewalls. Sie schützt Netzwerke, indem sie Datenpakete nicht nur einzeln bewertet, sondern den gesamten Kontext und Verbindungsstatus (den "Zustand") einer Kommunikation überwacht und speichert.

INPUT = zur Firewall selbst
OUTPUT = von der Firewall selbst
FORWARD = durch die Firewall hindurch
Portforwarding = eingehende Verbindung von außen wird gezielt an ein internes Gerät weitergeleitet.
DMZ = separates Zwischennetz für öffentlich erreichbare Server
Zwei-stufige DMZ = sicherer, aber aufwendiger
Ein-stufige DMZ = einfacher, aber unsicherer

44. Mini-Vergleich: wichtigste Begriffe

45. Typische Prüfungsfrage: Was ist der Unterschied zwischen NAT und Portforwarding?

NAT/PAT wird genutzt, wenn interne Geräte ins Internet wollen.
Dabei ersetzt der Router die private Quelladresse durch seine öffentliche IP-Adresse und merkt sich die Verbindung über Ports.

Portforwarding wird genutzt, wenn externe Geräte aus dem Internet auf einen internen Dienst zugreifen sollen.
Dabei wird ein externer Port auf eine interne IP-Adresse und einen internen Port weitergeleitet.

Kurz:

NAT/PAT: innen -> außen
Portforwarding: außen -> innen

46. Typische Prüfungsfrage: Warum ist eine DMZ sinnvoll?

Eine DMZ trennt öffentlich erreichbare Server vom internen LAN.

Wenn ein Webserver in der DMZ angegriffen oder kompromittiert wird, liegt er nicht direkt im internen Netz.
Dadurch wird das interne LAN besser geschützt.

Kurz:

DMZ = Sicherheitszone zwischen Internet und internem LAN.

47. Typische Prüfungsfrage: Warum ist eine SPI-Firewall besser als ein einfacher Paketfilter?

Eine SPI-Firewall merkt sich den Zustand einer Verbindung.

Wenn ein interner Client eine Verbindung nach außen aufbaut, erkennt die Firewall die passende Antwort automatisch.
Man muss den Rückweg nicht separat freigeben.

Kurz:

Paketfilter: Hinweg und Rückweg oft manuell regeln.
SPI-Firewall: Hinweg erlauben, Rückweg wird passend erkannt.

48. Typische Prüfungsfrage: Was bedeutet „Default DROP“?

Default DROP bedeutet:

Alles, was nicht ausdrücklich erlaubt ist, wird verworfen.

Das ist ein sicheres Firewall-Grundprinzip.

Man erstellt zuerst die notwendigen Erlaubnisregeln.
Am Ende wird alles andere blockiert.

49. Gesamtbild

Die Seiten 64 bis 94 zeigen den Übergang von der Transportschicht zur praktischen Netzwerksicherheit.

Erst wird erklärt, wie Dienste über Ports unterschieden werden.
Danach wird gezeigt, wie TCP, UDP und QUIC arbeiten.
Anschließend geht es darum, wie Verbindungen nach innen oder außen weitergeleitet werden.
Zum Schluss werden Firewalls, iptables-Regeln und DMZ-Konzepte erklärt.

Das zentrale Prinzip lautet:

Netzwerkkommunikation muss adressiert, unterschieden, kontrolliert und abgesichert werden.

50 Fragen und Antworten: Schicht 4, Ports, NAT, Firewall und DMZ

50 Fragen und Antworten: Schicht 4, Ports, NAT, Firewall und DMZ

192.168.1.11:80

Socket = IP-Adresse + Port

192.168.1.11:80

192.168.1.11 = Zielhost
80           = Zielport

[2001:1234:5678:90AB:CDEF:1A2B:3C4D:5E6F]:80

0 bis 1023       = System Ports
1024 bis 49151   = User Ports
49152 bis 65535  = Dynamic/Private Ports

22  = SSH
53  = DNS
80  = HTTP
443 = HTTPS

3128  = Squid Proxy
3306  = MySQL
9100  = Druckerport
10000 = Webmin

HTTP = Port 80

HTTPS = Port 443

SSH = Port 22

Port 67 = DHCP-Server
Port 68 = DHCP-Client

schnell
wenig Verwaltungsaufwand
keine feste Verbindung
keine Garantie für Zustellung
keine eingebaute Reihenfolgekontrolle

DNS
DHCP
NTP
Streaming
VoIP
Online-Gaming

Verbindungsaufbau
Bestätigung empfangener Daten
Kontrolle der Reihenfolge
zuverlässige Datenübertragung
mehr Verwaltungsaufwand als UDP

HTTP
HTTPS
SSH
FTP
SMTP
IMAP
POP3
SMB

TCP = zuverlässig, aber aufwendiger
UDP = schneller, aber weniger kontrolliert

1. Client -> Server: SYN
2. Server -> Client: SYN + ACK
3. Client -> Server: ACK

1. FIN
2. ACK
3. FIN
4. ACK

TCP-Aufbau = 3 Schritte
TCP-Abbau  = 4 Schritte

QUIC = UDP-Basis + moderne Verbindungskontrolle + Verschlüsselung

Port 1111
Port 2222
Port 3333

11.1.2.4:80 -> 192.168.178.11:80

11.1.2.4:80

192.168.178.11:80

Viele interne Geräte -> eine öffentliche IP
Unterscheidung über Ports

Interner PC: 192.168.178.11
Router extern: 11.1.2.4

NAT/PAT        = innen nach außen
Portforwarding = außen nach innen

Alles ist verboten, außer es ist ausdrücklich erlaubt.

Alles ist erlaubt, außer es ist ausdrücklich verboten.

Dating
Mailing
Hacking
Werbung
Malware
Glücksspiel

Firewall = kontrolliert Datenverkehr

Der Hinweg wird erlaubt.
Der passende Rückweg wird automatisch erkannt.

INPUT   = Verkehr zur Firewall selbst
OUTPUT  = Verkehr von der Firewall selbst nach außen
FORWARD = Verkehr durch die Firewall hindurch

INPUT   = SSH-Zugriff auf die Firewall
OUTPUT  = Firewall fragt NTP-Server ab
FORWARD = PC im LAN geht über Firewall ins Internet

Webserver
Mailserver
DNS-Server
Reverse Proxy

DMZ = Sicherheitszone zwischen Internet und internem Netzwerk

Portforwarding Trainer

DMZ Firewall Trainer

DMZ-Firewall-Trainer

Korrektur / wichtige Hinweise

Die externe öffentliche IP-Adresse ist:

11.1.2.4

Wichtig zu Regel (7):

Bei Regel (7) darf nicht 11.1.2.4 als Quell- oder Ziel-IP eingetragen werden.

Korrekt ist:

Richtung:     OUTPUT
Protokoll:    UDP
Quell-IP:     192.168.1.1
Ziel-IP:      192.168.1.2
Ziel-Port(s): 123

11.1.2.4 ist nur die öffentliche/externe Adresse in der Skizze. Regel (7) beschreibt dagegen:

Firewall → Proxy
192.168.1.1 → 192.168.1.2
UDP Port 123

Korrektur zu „(weitere)”

Bei (weitere) ist hier ping gemeint.

(weitere)
ping

Fachlich gehört ping zu:

ICMP

Die passende Regel ist sinngemäß:

INPUT
ICMP
Quelle: Admin-PC / 192.168.2.2
Ziel: Firewall intern / 192.168.2.1
Ziel-Port: leer, weil ICMP keinen TCP-/UDP-Port verwendet
Kommentar: Admin darf die Firewall anpingen

Merksatz

FORWARD = Paket läuft durch die Firewall hindurch.
INPUT   = Paket geht an die Firewall selbst.
OUTPUT  = Paket kommt von der Firewall selbst.

NAT(PAT)-Trainer / Source NAT

TCP-Verbindungsaufbau und TCP-Verbindungsabbau – Trainer

TCP-Verbindungsaufbau und TCP-Verbindungsabbau – Trainer

Dieser interaktive Trainer gehört zu den Aufgaben:

Frage 2: TCP-Verbindungsaufbau mit Sequenznummern
Frage 3: TCP-Verbindungsabbau mit Sequenznummern

Die Grundlage ist die Klausurübung Netzwerktechnik Schicht 4–7. Dort werden beim TCP-Aufbau und TCP-Abbau die Begriffe SYN, FIN, seq, ACK, x, x+1, y und y+1 verwendet.

Interaktiver TCP-Trainer

Was wird trainiert?

Merksatz für den TCP-Verbindungsaufbau

1. Client → Server: SYN, seq = x
2. Server → Client: SYN + ACK, seq = y, ack = x+1
3. Client → Server: ACK, seq = x+1, ack = y+1

Beispiel:

x = 1000
y = 2000

x+1 = 1001
y+1 = 2001

Merksatz für den TCP-Verbindungsabbau

1. Client → Server: FIN, seq = x
2. Server → Client: ACK, ack = x+1
3. Server → Client: FIN, seq = y
4. Client → Server: ACK, ack = y+1

Beispiel:

x = 1000
y = 2000

x+1 = 1001
y+1 = 2001

Wichtige Regel

SYN verbraucht eine Sequenznummer.
FIN verbraucht eine Sequenznummer.
Deshalb wird jeweils mit +1 bestätigt.

Typische Fehler

Mini-Testfragen

SYN + ACK
seq = y
ack = x+1

ack = x+1

SYN
SYN + ACK
ACK

FIN
ACK
FIN
ACK

Nächste sinnvolle Trainer

Danach könnten folgen:

Firewall-Regel-Trainer
PNAT-Trainer
TCP/UDP/ICMP-Vergleichstrainer

1. Grundlagen der Netzwerktechnik

OSI Testfragen

Testfragen Netzwerktechnik bis Firewall

1. Was ist der Hauptzweck eines Netzwerks?

2. Nenne drei Vorteile von Netzwerken.

3. Nenne drei Nachteile oder Risiken von Netzwerken.

4. Was bedeutet LAN?

5. Was ist der Unterschied zwischen LAN, MAN und WAN?

6. Welche Topologie wird heute in LANs meistens verwendet?

7. Was bedeutet Vollduplex?

8. Was bedeutet Halbduplex?

9. Wozu dient das OSI-Schichtenmodell?

10. Wie heißen die 7 OSI-Schichten von oben nach unten?

11. Auf welcher OSI-Schicht arbeitet die MAC-Adresse?

12. Auf welcher OSI-Schicht arbeitet die IP-Adresse?

13. Auf welcher OSI-Schicht arbeiten TCP und UDP?

14. Was ist der Unterschied zwischen OSI-Modell und TCP/IP-Modell?

15. Was bedeutet Datenkapselung?

16. Was gehört zur Schicht 0 im Unterrichtskontext?

17. Was ist ein Twisted-Pair-Kabel?

18. Wie weit darf ein normales Twisted-Pair-Ethernet-Kabel ungefähr sein?

19. Was ist der Unterschied zwischen Multimode- und Singlemode-LWL?

20. Warum darf man nicht direkt in eine Glasfaser schauen?

21. Welche WLAN-Verschlüsselung sollte mindestens verwendet werden?

22. Warum ist ein Gäste-WLAN sinnvoll?

23. Was ist ein Ethernet-Frame?

24. Was ist die Aufgabe der FCS oder CRC im Ethernet-Frame?

25. Was ist eine MAC-Adresse?

26. Was macht ein Switch?

27. Was ist der Unterschied zwischen einem Hub und einem Switch?

28. Was ist eine SAT-Tabelle oder MAC Address Table?

29. Was macht ARP?

30. Was ist ein ARP-Request?

31. Was ist ein ARP-Reply?

32. Was ist ein Managed Switch?

33. Was ist Port-Mirroring?

34. Was ist Link Aggregation?

35. Was ist Power over Ethernet?

36. Wozu dient das Spanning Tree Protocol?

37. Was ist ein VLAN?

38. Warum setzt man VLANs ein?

39. Was ist ein Tagged Port?

40. Was ist ein Untagged Port?

41. Was ist eine IPv4-Adresse?

42. Was macht die Subnetzmaske?

43. Was ist die Netzadresse bei 192.168.1.10/24?

44. Was ist die Broadcast-Adresse bei 192.168.1.10/24?

45. Wie viele nutzbare Hosts gibt es in einem /24-Netz?

46. Welche privaten IPv4-Adressbereiche gibt es?

47. Was bedeutet APIPA?

48. Was ist DHCP?

49. Wie lautet der DHCP-Ablauf?

50. Was macht DNS?

51. Was ist Routing?

52. Was ist ein Standardgateway?

53. Was ist der Unterschied zwischen statischem und dynamischem Routing?

54. Was ist ein Layer-3-Switch?

55. Was ist ein Port in der Netzwerktechnik?

56. Was ist der Unterschied zwischen IP-Adresse und Port?

57. Was ist TCP?

58. Was ist UDP?

59. Was ist der TCP-Three-Way-Handshake?

60. Nenne je zwei typische Dienste für TCP und UDP.

61. Was ist NAT?

62. Was ist PAT?

63. Was ist Portforwarding?

64. Warum kann Portforwarding ein Sicherheitsrisiko sein?

65. Was ist eine Allowlist?

66. Was ist eine Blocklist?

67. Was ist sicherer: Allowlist oder Blocklist?

68. Was macht eine Firewall?

69. Welche Kriterien kann eine Firewall prüfen?

70. Was bedeutet Default Deny?

71. Was ist eine Paketfilter-Firewall?

72. Was ist eine SPI-Firewall?

73. Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?

74. Was ist eine DMZ?

75. Warum verwendet man eine DMZ?

76. Was ist der Unterschied zwischen einstufiger und zweistufiger DMZ?

77. Was ist die INPUT-Chain bei einer Linux-Firewall?

78. Was ist die OUTPUT-Chain bei einer Linux-Firewall?

79. Was ist die FORWARD-Chain bei einer Linux-Firewall?

80. Warum ist eine Firewall allein kein vollständiger Schutz?

Netzwerk

Ziel dieser Zusammenfassung

Diese Zusammenfassung führt Schritt für Schritt durch zentrale Themen der Netzwerktechnik.

Behandelte Themen:

• Grundlagen von Netzwerken
• OSI-Schichtenmodell
• Schicht 0: Übertragungsmedien
• Ethernet-Frame
• Sniffer
• Schicht 1: Netzwerkkarte und Hub
• Schicht 2: MAC-Adresse, Switch, VLAN
• Schicht 3: IPv4, IPv6, DHCP, DNS, Routing
• Schicht 4: Ports, TCP, UDP, NAT
• Firewall-Grundlagen
• SPI-Firewall
• DMZ

1. Grundlagen der Netzwerktechnik

Ein Netzwerk verbindet mehrere Geräte miteinander, damit diese Daten austauschen und gemeinsame Ressourcen verwenden können.

Typische Geräte in einem Netzwerk:

• PC
• Notebook
• Smartphone
• Server
• Drucker
• NAS
• Switch
• Router
• Firewall
• Access Point

Ein Netzwerk besteht also nicht nur aus Computern, sondern aus allen Geräten, die miteinander kommunizieren können.

1.1 Vorteile von Netzwerken

Netzwerke werden eingesetzt, weil sie viele praktische Vorteile bieten:

• schneller Datenaustausch
• gemeinsame Nutzung von Druckern und Servern
• zentrale Datenspeicherung
• zentrale Benutzerverwaltung
• gemeinsame Internetnutzung
• einfachere Sicherung von Daten
• bessere Zusammenarbeit im Unternehmen

Beispiel:

In einem Unternehmen müssen nicht alle Mitarbeiter eigene Drucker besitzen. Alle können über das Netzwerk denselben Netzwerkdrucker verwenden.

1.2 Nachteile und Risiken von Netzwerken

Netzwerke bringen auch Risiken mit sich:

• Schadsoftware kann sich schneller verbreiten
• Angriffe von innen und außen sind möglich
• falsche Konfiguration kann Sicherheitslücken erzeugen
• Ausfall zentraler Systeme kann viele Benutzer betreffen
• Wartung und Administration verursachen Kosten

Deshalb sind Schutzmaßnahmen wie Firewalls, VLANs, Benutzerrechte, Updates und Backups wichtig.

1.3 Netzwerkgrößen

Netzwerke werden oft nach ihrer räumlichen Ausdehnung unterschieden.

1.4 Topologien

Eine Topologie beschreibt, wie Geräte in einem Netzwerk miteinander verbunden sind.

Grafik: Sterntopologie

flowchart TD
    SW[Switch]
    PC1[PC 1]
    PC2[PC 2]
    PC3[PC 3]
    PR[Drucker]
    NAS[NAS / Server]

    SW --- PC1
    SW --- PC2
    SW --- PC3
    SW --- PR
    SW --- NAS

Die Sterntopologie ist heute im LAN am häufigsten. Fällt ein einzelnes Kabel aus, ist meist nur ein Gerät betroffen. Fällt aber der zentrale Switch aus, sind alle daran angeschlossenen Geräte betroffen.

1.5 Simplex, Halbduplex und Vollduplex

Merksatz:

• Hub = meistens Halbduplex
• Switch = Vollduplex möglich

2. OSI-Schichtenmodell

Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Jede Schicht hat eine bestimmte Aufgabe.

Der Vorteil: Netzwerkprobleme lassen sich besser eingrenzen.

Beispiel:

Wenn ein PC keine Webseite öffnen kann, kann man schrittweise prüfen:

• Ist das Kabel verbunden?
• Hat der PC eine IP-Adresse?
• Funktioniert DNS?
• Ist der Webserver erreichbar?
• Blockiert eine Firewall?

2.1 Die 7 OSI-Schichten

Hinweis:

Schicht 0 gehört nicht offiziell zum OSI-Modell, wird im Unterricht aber oft als praktische Ergänzung verwendet.

2.2 Merksatz für das OSI-Modell

Von oben nach unten:

Alle Deutschen Schüler Trinken Verschiedene Sorten Brause

2.3 OSI-Modell als Grafik

flowchart TB
    L7["7 Anwendung<br>HTTP, HTTPS, DNS"]
    L6["6 Darstellung<br>Format, Verschlüsselung"]
    L5["5 Sitzung<br>Sitzungen, Verbindungen"]
    L4["4 Transport<br>TCP, UDP, Ports"]
    L3["3 Vermittlung<br>IP, Routing"]
    L2["2 Sicherung<br>MAC, Switch, Ethernet"]
    L1["1 Bitübertragung<br>Signale, Netzwerkkarte"]
    L0["0 Medium<br>Kabel, Glasfaser, Funk"]

    L7 --> L6 --> L5 --> L4 --> L3 --> L2 --> L1 --> L0

2.4 TCP/IP-Modell

In der Praxis wird häufig das TCP/IP-Modell verwendet. Es ist weniger theoretisch als das OSI-Modell und orientiert sich stärker an realen Netzwerken.

2.5 Datenkapselung

Beim Senden werden Daten auf jeder Schicht verpackt. Jede Schicht fügt eigene Steuerinformationen hinzu.

Beispiel beim Aufruf einer Webseite:

flowchart TD
    A["HTTP-Daten<br>Webseiteninhalt"]
    B["TCP-Header + HTTP-Daten<br>Port 80/443"]
    C["IP-Header + TCP + Daten<br>Quell-IP / Ziel-IP"]
    D["Ethernet-Header + IP + TCP + Daten<br>Quell-MAC / Ziel-MAC"]
    E["Bits auf Kabel / Glasfaser / Funk"]

    A --> B --> C --> D --> E

Wichtig für die IHK:

• MAC-Adresse arbeitet auf Schicht 2
• IP-Adresse arbeitet auf Schicht 3
• Ports arbeiten auf Schicht 4
• Anwendungen wie HTTP oder DNS liegen oben im Modell

3. Schicht 0 – Übertragungsmedien

Schicht 0 beschreibt das Medium, über das Daten übertragen werden.

Typische Medien:

• Koaxialkabel
• Twisted-Pair-Kabel
• Lichtwellenleiter
• Funk bei WLAN

3.1 Koaxialkabel

Koaxialkabel wurden früher häufig in Bus-Netzwerken verwendet. Heute sind sie in klassischen LANs veraltet.

Merkmale:

• früher für Ethernet verwendet
• Bus-Topologie
• störanfällig bei schlechter Verkabelung
• heute kaum noch relevant für moderne LANs

3.2 Twisted-Pair-Kabel

Twisted-Pair-Kabel sind die typischen Netzwerkkabel mit RJ45-Stecker.

Die Adernpaare sind verdrillt. Dadurch werden Störungen reduziert.

Faustregel:

Für normale Büro- und Heimnetzwerke ist Cat 6 oder Cat 6A meistens ausreichend.

3.3 Lichtwellenleiter

Lichtwellenleiter übertragen Daten mit Licht statt mit elektrischen Signalen.

Vorteile:

• hohe Reichweite
• hohe Geschwindigkeit
• unempfindlicher gegen elektromagnetische Störungen
• gut für Gebäudeverbindungen und Rechenzentren

Nachteile:

• empfindlicher gegen Knicken
• teurer in Installation und Technik
• Spleißen und Messung benötigen Fachwissen

3.4 Multimode und Singlemode

Merksatz:

• Multimode = kürzere Strecken
• Singlemode = lange Strecken

3.5 Verkabelungsregel

Eine einfache praktische Regel:

3.6 WLAN

WLAN überträgt Daten per Funk.

Wichtige Frequenzbereiche:

Wichtige WLAN-Generationen:

3.7 WLAN-Sicherheit

Für die IHK wichtig:

• WLAN sollte verschlüsselt sein
• WPA2 ist Mindeststandard
• WPA3 ist empfohlen
• Gastnetz getrennt vom internen Netz betreiben
• unsichere alte Standards vermeiden
• starke Passwörter verwenden

4. Ethernet-Frame

Ethernet arbeitet auf Schicht 2. Die Daten werden in Frames übertragen.

Ein Ethernet-Frame enthält unter anderem:

• Ziel-MAC-Adresse
• Quell-MAC-Adresse
• Typfeld
• Nutzdaten
• Prüfsumme

4.1 Ethernet-Frame als Grafik

flowchart LR
    A["Präambel"]
    B["Ziel-MAC"]
    C["Quell-MAC"]
    D["Typ"]
    E["Daten<br>z. B. IP + TCP + HTTP"]
    F["FCS / Prüfsumme"]

    A --> B --> C --> D --> E --> F

4.2 MAC-Adresse

Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle.

Eigenschaften:

• 48 Bit lang
• hexadezimale Schreibweise
• Beispiel: 00:1A:2B:3C:4D:5E
• arbeitet auf OSI-Schicht 2
• wird im lokalen Netzwerk verwendet

Wichtig:

Eine MAC-Adresse wird nur im lokalen Netzwerksegment verwendet. Sobald ein Paket über einen Router weitergeleitet wird, ändern sich die MAC-Adressen auf dem Weg. Die IP-Adressen bleiben dagegen im Normalfall gleich.

4.3 FCS / CRC

Die Prüfsumme dient zur Fehlererkennung.

Wenn ein Frame beschädigt ist, kann dies erkannt werden. Der Frame wird dann verworfen.

Wichtig:

Ethernet korrigiert Fehler nicht selbst. Fehlerhafte Frames werden verworfen. Höhere Schichten, zum Beispiel TCP, können dann eine erneute Übertragung auslösen.

4.4 MTU und Nutzdaten

Die übliche MTU bei Ethernet beträgt 1500 Byte.

Das bedeutet:

Ein Ethernet-Frame kann typischerweise 1500 Byte Nutzdaten für die nächsthöhere Schicht transportieren.

Da IP- und TCP-Header ebenfalls Platz benötigen, bleiben für reine Anwendungsdaten weniger als 1500 Byte übrig.

5. Sniffer

Ein Sniffer ist ein Werkzeug zur Analyse von Netzwerkverkehr.

Beispiele:

• Wireshark
• tcpdump
• Windump

Sniffer werden zur Fehlersuche eingesetzt.

Beispiele:

• Warum bekommt ein Client keine IP-Adresse?
• Wird DNS korrekt aufgelöst?
• Sendet ein Gerät ARP-Anfragen?
• Kommt eine TCP-Verbindung zustande?

5.1 Rechtlicher Hinweis

Sniffing darf nur erlaubt und kontrolliert eingesetzt werden.

In Unternehmen gilt:

• Vorgesetzte informieren
• Datenschutz beachten
• Betriebsrat einbeziehen, falls vorhanden
• nicht heimlich fremde Daten mitschneiden

Für Ausbildung und Laborumgebungen ist Sniffing sinnvoll, solange keine fremden Daten ausspioniert werden.

6. Schicht 1 – Bitübertragung

Schicht 1 beschreibt die technische Übertragung der Bits.

Dazu gehören:

• elektrische Signale
• optische Signale
• Funkwellen
• Netzwerkkarten
• physische Anschlüsse

6.1 Netzwerkkarte

Die Netzwerkkarte verbindet den Computer mit dem Netzwerk.

Aufgaben:

• Daten senden und empfangen
• Signale erzeugen
• Prüfsummen prüfen
• Zugriff auf das Medium steuern
• MAC-Adresse bereitstellen

6.2 CSMA/CD und CSMA/CA

Merksatz:

• CD = Collision Detection = Kollision erkennen
• CA = Collision Avoidance = Kollision vermeiden

6.3 Hub

Ein Hub ist ein veraltetes Netzwerkgerät.

Eigenschaften:

• verteilt Daten an alle Ports
• kennt keine MAC-Adressen
• erzeugt unnötigen Datenverkehr
• Sniffing ist leicht möglich
• nur Halbduplex
• praktisch durch Switches ersetzt

7. Schicht 2 – Sicherungsschicht

Schicht 2 ist für die lokale Kommunikation im gleichen Netzwerk zuständig.

Wichtige Begriffe:

• MAC-Adresse
• Ethernet-Frame
• Switch
• VLAN
• ARP
• Broadcast

7.1 Switch

Ein Switch verbindet Geräte in einem LAN.

Er arbeitet hauptsächlich auf Schicht 2 und leitet Frames anhand der MAC-Adresse weiter.

Vorteile gegenüber einem Hub:

• sendet Frames gezielt an den richtigen Port
• weniger unnötiger Datenverkehr
• Vollduplex möglich
• höhere Geschwindigkeit
• bessere Sicherheit

7.2 Switch-Tabelle

Ein Switch merkt sich, welche MAC-Adresse an welchem Port erreichbar ist.

Diese Tabelle wird oft MAC Address Table, SAT-Tabelle oder Forwarding Table genannt.

Ablauf:

1. Ein Frame kommt am Switch an.
2. Der Switch liest die Quell-MAC-Adresse.
3. Er merkt sich: Diese MAC-Adresse befindet sich an diesem Port.
4. Bei späteren Frames zur gleichen MAC-Adresse kann der Switch gezielt weiterleiten.

7.3 ARP

ARP bedeutet Address Resolution Protocol.

ARP wird bei IPv4 verwendet, um zu einer IP-Adresse die passende MAC-Adresse zu finden.

Beispiel:

Ein PC möchte an 192.168.1.20 senden, kennt aber nur die IP-Adresse.

Dann fragt er per Broadcast:

„Wer hat 192.168.1.20?“

Das Zielgerät antwortet:

„Ich habe 192.168.1.20, meine MAC-Adresse ist ...“

7.4 ARP als Grafik

sequenceDiagram
    participant PC1 as PC 1
    participant LAN as LAN / Switch
    participant PC2 as PC 2

    PC1->>LAN: ARP Request: Wer hat 192.168.1.20?
    LAN->>PC2: Broadcast wird weitergeleitet
    PC2->>PC1: ARP Reply: Ich habe die IP, meine MAC ist AA:BB:CC...

7.5 Managed und unmanaged Switch

Für Unternehmen sind managed Switches wichtig, weil sie mehr Kontrolle und Sicherheit bieten.

7.6 Port-Mirroring

Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port kopiert.

Einsatz:

• Analyse mit Wireshark
• Fehlersuche
• Sicherheitsanalyse

7.7 Link Aggregation

Bei Link Aggregation werden mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammengefasst.

Vorteile:

• höhere Gesamtbandbreite
• Redundanz
• bessere Auslastung

Wichtig:

Eine einzelne Verbindung wird nicht automatisch doppelt so schnell. Die Last wird meistens auf mehrere Verbindungen verteilt.

7.8 Power over Ethernet

Power over Ethernet, kurz PoE, überträgt Daten und Strom über dasselbe Netzwerkkabel.

Typische Geräte:

• IP-Telefone
• Access Points
• Überwachungskameras
• kleine Netzwerkgeräte

Vorteil:

Man braucht nicht an jedem Gerät eine eigene Steckdose.

7.9 Spanning Tree Protocol

Das Spanning Tree Protocol verhindert Schleifen zwischen Switches.

Warum ist das wichtig?

Wenn Switches mehrfach miteinander verbunden sind, kann ein Broadcast endlos im Kreis laufen. Dadurch kann das Netzwerk stark überlastet werden.

STP blockiert bestimmte Verbindungen logisch und aktiviert sie bei Bedarf wieder, wenn eine andere Verbindung ausfällt.

7.10 Spanning Tree als Grafik

flowchart TD
    SW1[Switch 1]
    SW2[Switch 2]
    SW3[Switch 3]
    SW4[Switch 4]

    SW1 --- SW2
    SW2 --- SW3
    SW3 -. blockiert durch STP .- SW4
    SW4 --- SW1

Die gestrichelte Verbindung ist vorhanden, wird aber logisch blockiert. Fällt eine andere Verbindung aus, kann STP neu berechnen und die blockierte Verbindung wieder aktivieren.

7.11 VLAN

VLAN bedeutet Virtual Local Area Network.

Ein VLAN teilt ein physisches Netzwerk in mehrere logische Netzwerke auf.

Beispiel:

Ein Switch kann gleichzeitig mehrere getrennte Netze bereitstellen:

• VLAN 10 = Verwaltung
• VLAN 20 = Schüler / Mitarbeiter
• VLAN 30 = Gäste
• VLAN 40 = Server

Vorteile:

• bessere Sicherheit
• weniger Broadcast-Verkehr
• klare Trennung von Bereichen
• einfachere Netzwerkstruktur

7.12 VLAN als Grafik

flowchart TD
    SW[Managed Switch]

    PC1[PC Verwaltung<br>VLAN 10]
    PC2[PC Verwaltung<br>VLAN 10]
    PC3[Gastgerät<br>VLAN 30]
    PC4[Server<br>VLAN 40]

    SW --- PC1
    SW --- PC2
    SW --- PC3
    SW --- PC4

Geräte im gleichen VLAN können direkt miteinander kommunizieren. Geräte in unterschiedlichen VLANs benötigen Routing, meist über einen Router, Layer-3-Switch oder eine Firewall.

7.13 Tagged und Untagged VLAN

Beispiel:

Ein PC-Port ist meistens untagged. Eine Verbindung zwischen zwei Switches ist meistens tagged.

8. Schicht 3 – Vermittlungsschicht

Schicht 3 ist für logische Adressierung und Routing zuständig.

Wichtige Themen:

• IPv4
• IPv6
• Subnetzmaske
• Routing
• DHCP
• DNS
• Router
• Layer-3-Switch

8.1 IPv4-Adresse

Eine IPv4-Adresse ist 32 Bit lang.

Sie wird in vier Oktette aufgeteilt.

Beispiel:

192.168.1.10

Binär:

11000000.10101000.00000001.00001010

Jedes Oktett hat 8 Bit und kann Werte von 0 bis 255 enthalten.

8.2 Subnetzmaske

Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil.

Beispiel:

IP-Adresse:

192.168.1.10

Subnetzmaske:

255.255.255.0

CIDR-Schreibweise:

/24

Das bedeutet:

• die ersten 24 Bit gehören zum Netzanteil
• die restlichen 8 Bit gehören zum Hostanteil

Netz:

192.168.1.0/24

Hostbereich:

192.168.1.1 bis 192.168.1.254

Broadcast:

192.168.1.255

8.3 IPv4-Netz als Grafik

flowchart LR
    A["192.168.1.0<br>Netzadresse"]
    B["192.168.1.1<br>erster Host"]
    C["192.168.1.10<br>Host"]
    D["192.168.1.254<br>letzter Host"]
    E["192.168.1.255<br>Broadcast"]

    A --> B --> C --> D --> E

8.4 Netzadresse und Broadcast

In jedem IPv4-Netz gibt es zwei besondere Adressen:

Diese beiden Adressen können nicht als normale Hostadresse verwendet werden.

Beispiel bei 192.168.1.0/24:

8.5 Private IPv4-Adressbereiche

Private IP-Adressen werden in lokalen Netzwerken verwendet und nicht direkt im Internet geroutet.

Diese Bereiche sind besonders wichtig für Heimnetzwerke, Firmennetze, Labore und virtuelle Umgebungen.

8.6 Besondere IPv4-Adressen

APIPA sieht man häufig, wenn ein Client keine Adresse vom DHCP-Server bekommt.

8.7 Subnetting

Subnetting bedeutet, ein größeres Netzwerk in kleinere Teilnetze aufzuteilen.

Warum macht man Subnetting?

• bessere Struktur
• weniger Broadcast-Verkehr
• bessere Sicherheit
• Trennung von Abteilungen
• effizientere Adressvergabe

Beispiel:

Aus 192.168.1.0/24 werden zwei Subnetze:

Nutzbare Hosts:

8.8 Subnetting-Regel

Formel:

Anzahl Adressen = 2^(Hostbits)

nutzbare Hosts = 2^(Hostbits) - 2

Beispiel /24:

• 32 Bit insgesamt
• 24 Bit Netzanteil
• 8 Bit Hostanteil
• 2⁸ = 256 Adressen
• 256 - 2 = 254 nutzbare Hosts

8.9 Häufige CIDR-Werte

Für IHK-Aufgaben sind diese Werte sehr wichtig.

8.10 IPv6

IPv6 ist der Nachfolger von IPv4.

Eigenschaften:

• 128 Bit lang
• hexadezimale Schreibweise
• sehr großer Adressraum
• kein klassisches Broadcast wie bei IPv4
• nutzt Multicast und Neighbor Discovery

Beispiel:

2001:0db8:0000:0000:0000:ff00:0042:8329

Gekürzt:

2001:db8::ff00:42:8329

8.11 IPv6 kürzen

Regeln:

• führende Nullen in einem Block dürfen weggelassen werden
• eine zusammenhängende Folge von Null-Blöcken darf einmal durch :: ersetzt werden

Beispiel:

Lang:

2001:0db8:0000:0000:0000:0000:0000:0001

Kurz:

2001:db8::1

Wichtig:

:: darf nur einmal in einer IPv6-Adresse verwendet werden, sonst wäre die Adresse nicht eindeutig.

8.12 Besondere IPv6-Adressen

8.13 DHCP

DHCP vergibt automatisch Netzwerkkonfigurationen an Clients.

Typische DHCP-Informationen:

• IP-Adresse
• Subnetzmaske
• Standardgateway
• DNS-Server
• Lease-Zeit

8.14 DHCP-Ablauf

Der typische DHCP-Ablauf besteht aus vier Schritten:

Merksatz:

DORA

• Discover
• Offer
• Request
• Acknowledge

8.15 DHCP als Grafik

sequenceDiagram
    participant C as Client
    participant S as DHCP-Server

    C->>S: DHCP Discover
    S->>C: DHCP Offer
    C->>S: DHCP Request
    S->>C: DHCP Acknowledge

8.16 DNS

DNS bedeutet Domain Name System.

DNS übersetzt Namen in IP-Adressen.

Beispiel:

www.example.com

wird zu einer IP-Adresse aufgelöst.

Warum ist DNS wichtig?

Menschen merken sich Namen leichter als IP-Adressen.

8.17 FQDN

FQDN bedeutet Fully Qualified Domain Name.

Beispiel:

server01.firma.local

Bestandteile:

8.18 Routing

Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten.

Ein Router verbindet mehrere IP-Netze.

Beispiel:

• Netz A: 192.168.1.0/24
• Netz B: 192.168.2.0/24

Damit Geräte aus beiden Netzen kommunizieren können, braucht man einen Router oder Layer-3-Switch.

8.19 Routing als Grafik

flowchart LR
    A["PC A<br>192.168.1.10/24"]
    R["Router<br>192.168.1.1 / 192.168.2.1"]
    B["PC B<br>192.168.2.10/24"]

    A --- R --- B

Wenn PC A mit PC B kommunizieren möchte, erkennt PC A:

PC B liegt nicht im eigenen Netz. Deshalb sendet PC A das Paket an sein Standardgateway.

8.20 Statisches und dynamisches Routing

Für kleinere Netze reichen statische Routen oft aus. In größeren Netzen verwendet man dynamische Routing-Protokolle.

8.21 Layer-3-Switch

Ein Layer-3-Switch kann zusätzlich zum Switching auch Routing übernehmen.

Typischer Einsatz:

• VLANs miteinander verbinden
• schnelles Routing im LAN
• Entlastung eines Routers

Beispiel:

VLAN 10 und VLAN 20 können über einen Layer-3-Switch miteinander kommunizieren, wenn Routing erlaubt ist.

9. Schicht 4 – Transportschicht

Schicht 4 ist für die Kommunikation zwischen Anwendungen zuständig.

Wichtige Themen:

• TCP
• UDP
• Ports
• Verbindungsaufbau
• Verbindungsabbau
• NAT
• Portweiterleitung

9.1 Ports

Ports dienen dazu, Anwendungen auf einem Gerät zu unterscheiden.

Ein Gerät kann eine IP-Adresse haben, aber viele Dienste gleichzeitig anbieten.

Beispiel:

Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welche Anwendung auf dem Gerät gemeint ist.

9.2 Schreibweise IP-Adresse mit Port

Beispiele:

• 192.168.1.10:80
• 10.0.0.5:22
• https://example.com:443

9.3 Portbereiche

9.4 TCP

TCP ist verbindungsorientiert.

Eigenschaften:

• zuverlässige Übertragung
• Reihenfolge der Daten wird sichergestellt
• verlorene Daten werden erneut gesendet
• Verbindung wird aufgebaut und beendet
• mehr Verwaltungsaufwand als UDP

Typische TCP-Dienste:

• HTTP
• HTTPS
• SSH
• SMTP
• IMAP
• FTP

9.5 TCP-Verbindungsaufbau

TCP nutzt den Three-Way-Handshake.

sequenceDiagram
    participant C as Client
    participant S as Server

    C->>S: SYN
    S->>C: SYN/ACK
    C->>S: ACK

Danach ist die Verbindung aufgebaut.

9.6 TCP-Verbindungsabbau

Eine TCP-Verbindung wird kontrolliert beendet.

Vereinfacht:

sequenceDiagram
    participant C as Client
    participant S as Server

    C->>S: FIN
    S->>C: ACK
    S->>C: FIN
    C->>S: ACK

9.7 UDP

UDP ist verbindungslos.

Eigenschaften:

• kein Verbindungsaufbau
• keine Garantie für Zustellung
• keine automatische Wiederholung
• schneller und schlanker als TCP

Typische UDP-Dienste:

• DNS
• DHCP
• VoIP
• Streaming
• Gaming

9.8 TCP und UDP Vergleich

9.9 NAT

NAT bedeutet Network Address Translation.

NAT übersetzt IP-Adressen.

Typischer Fall:

Viele private Geräte im LAN nutzen eine gemeinsame öffentliche IP-Adresse für den Zugriff ins Internet.

Beispiel:

• PC intern: 192.168.1.10
• Router öffentlich: 84.x.x.x

Der Router ersetzt beim Senden ins Internet die private Quelladresse durch seine öffentliche Adresse.

9.10 NAT als Grafik

flowchart LR
    PC["PC<br>192.168.1.10"]
    R["Router / NAT<br>innen: 192.168.1.1<br>außen: öffentliche IP"]
    INET["Internet<br>Webserver"]

    PC --> R --> INET
    INET --> R --> PC

9.11 PAT

PAT bedeutet Port Address Translation.

PAT ist eine Form von NAT, bei der zusätzlich Ports genutzt werden.

Dadurch können viele interne Geräte gleichzeitig über eine öffentliche IP-Adresse kommunizieren.

Beispiel:

Der Router merkt sich diese Zuordnung in einer NAT-Tabelle.

9.12 Portforwarding

Portforwarding wird auch Destination NAT genannt.

Dabei wird eine Anfrage von außen an ein internes Gerät weitergeleitet.

Beispiel:

Anfrage aus dem Internet an:

öffentliche-IP:443

wird weitergeleitet an:

192.168.1.20:443

Typische Verwendung:

• Webserver im internen Netzwerk
• VPN-Server
• Spieleserver
• Remote-Zugriff

Sicherheitswarnung:

Portforwarding öffnet Dienste nach außen. Deshalb sollte man nur notwendige Ports freigeben und Dienste aktuell halten.

9.13 Portforwarding als Grafik

flowchart LR
    I["Client im Internet"]
    R["Router / Firewall<br>Port 443 offen"]
    S["Interner Webserver<br>192.168.1.20:443"]

    I --> R --> S

9.14 Allowlist und Blocklist

Sicherer ist meistens das Allowlist-Prinzip:

Alles ist verboten, außer es wurde ausdrücklich erlaubt.

10. Firewalls

Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln.

Sie entscheidet:

• Wer darf wohin?
• Von welcher Quelle?
• Zu welchem Ziel?
• Über welches Protokoll?
• Über welchen Port?
• In welche Richtung?

Eine Firewall schützt nicht automatisch vor allem. Sie ist nur so gut wie ihre Regeln und ihre Platzierung im Netzwerk.

10.1 Aufgaben einer Firewall

Eine Firewall kann:

• unerwünschten Datenverkehr blockieren
• erlaubte Kommunikation zulassen
• Netze voneinander trennen
• Server in einer DMZ schützen
• Zugriffe protokollieren
• Angriffsfläche reduzieren
• Regeln für ein- und ausgehenden Verkehr erzwingen

10.2 Personal Firewall und Unternehmens-Firewall

Beispiel:

Die Windows Defender Firewall ist eine Personal Firewall.

Eine Firewall zwischen LAN und Internet ist eine Unternehmens-Firewall.

10.3 Paketfilter-Firewall

Eine einfache Paketfilter-Firewall prüft einzelne Pakete anhand von Regeln.

Sie betrachtet zum Beispiel:

• Quell-IP
• Ziel-IP
• Protokoll
• Port

Nachteil:

Klassische Paketfilter kennen oft keinen Verbindungszustand. Hin- und Rückweg müssen dann separat erlaubt werden.

Für die IHK wichtig:

Paketfilter-Firewalls sind weiterhin prüfungsrelevant, auch wenn moderne Firewalls meist zustandsorientiert arbeiten.

10.4 Stateful Packet Inspection Firewall

Eine SPI-Firewall ist zustandsorientiert.

SPI bedeutet Stateful Packet Inspection.

Das bedeutet:

Die Firewall merkt sich bestehende Verbindungen.

Vorteil:

Wenn ein Client aus dem LAN eine Verbindung nach außen aufbaut, kann die Antwort automatisch wieder zurückgelassen werden.

Der Rückweg muss nicht extra als neue Regel eingerichtet werden.

10.5 Paketfilter vs. SPI-Firewall

10.6 Firewall-Regeln nach OSI-Schichten

Eine Firewall kann je nach Typ verschiedene Informationen prüfen.

Wichtig:

Je höher die Schicht, desto genauer kann geprüft werden. Dafür braucht die Firewall aber mehr Leistung und mehr Verständnis des Datenverkehrs.

10.7 Grundprinzip: Default Deny

Ein sicheres Firewall-Konzept arbeitet häufig nach diesem Prinzip:

Alles ist verboten, außer es wurde ausdrücklich erlaubt.

Das nennt man Default Deny.

Beispiel:

Erlaubt:

• LAN → Internet: HTTPS
• LAN → DNS-Server: DNS
• Admin-PC → Server: SSH oder RDP

Verboten:

• Internet → LAN
• Gäste-WLAN → internes Servernetz
• unbekannte Ports
• unnötige Dienste

10.8 Firewall als Grenze zwischen Netzen

flowchart LR
    LAN["Internes LAN<br>vertrauenswürdiger Bereich"]
    FW["Firewall<br>Regelprüfung"]
    WAN["Internet<br>nicht vertrauenswürdiger Bereich"]

    LAN --> FW --> WAN
    WAN --> FW --> LAN

Die Firewall steht zwischen verschiedenen Sicherheitszonen.

10.9 Typische Firewall-Zonen

10.10 DMZ

DMZ bedeutet Demilitarisierte Zone.

Eine DMZ ist ein separates Netzwerk für Server, die aus dem Internet erreichbar sein müssen.

Beispiele:

• Webserver
• Mailserver
• VPN-Gateway
• Reverse Proxy

Warum DMZ?

Wenn ein öffentlich erreichbarer Server kompromittiert wird, soll der Angreifer nicht direkt im internen LAN stehen.

10.11 DMZ als Grafik

flowchart LR
    WAN["Internet"]
    FW["Firewall"]
    LAN["Internes LAN<br>Clients, Dateien, interne Server"]
    DMZ["DMZ<br>Webserver / Reverse Proxy"]

    WAN --- FW
    FW --- LAN
    FW --- DMZ

Regelbeispiel:

10.12 Einstufige und zweistufige DMZ

Einstufige DMZ

Eine Firewall trennt Internet, LAN und DMZ.

Vorteil:

• einfacher Aufbau
• weniger Geräte
• günstiger

Nachteil:

• die Sicherheit hängt stark an einer Firewall

Zweistufige DMZ

Zwei Firewalls trennen Internet, DMZ und LAN.

Vorteil:

• bessere Trennung
• höheres Sicherheitsniveau

Nachteil:

• mehr Aufwand
• höhere Kosten
• komplexere Administration

10.13 Einstufige DMZ

flowchart LR
    I["Internet"]
    FW["Firewall mit 3 Schnittstellen"]
    LAN["LAN"]
    DMZ["DMZ"]

    I --- FW
    FW --- LAN
    FW --- DMZ

10.14 Zweistufige DMZ

flowchart LR
    I["Internet"]
    FW1["Firewall 1"]
    DMZ["DMZ"]
    FW2["Firewall 2"]
    LAN["Internes LAN"]

    I --- FW1 --- DMZ --- FW2 --- LAN

10.15 Firewall-Regeln verstehen

Eine Firewall-Regel besteht typischerweise aus:

Beispielregel:

LAN darf per TCP Port 443 ins Internet.

Das bedeutet:

• Quelle: LAN
• Ziel: Internet
• Protokoll: TCP
• Port: 443
• Aktion: erlauben

10.16 INPUT, OUTPUT und FORWARD

Bei Linux-Firewalls mit iptables sind drei Richtungen besonders wichtig.

Beispiele:

10.17 INPUT, OUTPUT und FORWARD als Grafik

flowchart LR
    LAN["LAN-Client"]
    FW["Firewall-System"]
    NET["Internet"]

    LAN -- "FORWARD<br>durch die Firewall" --> FW
    FW -- "FORWARD" --> NET

    LAN -- "INPUT<br>zur Firewall selbst" --> FW
    FW -- "OUTPUT<br>von der Firewall selbst" --> NET

10.18 Beispiel für einfache Firewall-Logik

Ziel:

• LAN darf ins Internet
• Antworten aus dem Internet dürfen zurück
• Internet darf keine neuen Verbindungen ins LAN starten

Regellogik:

1. Erlaube bestehende und zugehörige Verbindungen.
2. Erlaube LAN → Internet für notwendige Dienste.
3. Blockiere neue Verbindungen von Internet → LAN.
4. Protokolliere unerwünschte Zugriffe.
5. Standardregel: blockieren.

10.19 Beispiel-Regelkonzept

10.20 Firewall und VLAN

VLANs trennen Netze logisch. Eine Firewall kann anschließend regeln, welche VLANs miteinander kommunizieren dürfen.

Beispiel:

flowchart TD
    FW["Firewall / Layer-3-Gateway"]

    V10["VLAN 10<br>Verwaltung"]
    V20["VLAN 20<br>Mitarbeiter"]
    V30["VLAN 30<br>Gäste"]
    V40["VLAN 40<br>Server"]

    V10 --- FW
    V20 --- FW
    V30 --- FW
    V40 --- FW

Beispielregeln:

10.21 Typische Prüfungsfragen zur Firewall

Was macht eine Firewall?

Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie erlaubt oder blockiert Verbindungen abhängig von Quelle, Ziel, Protokoll, Port und Richtung.

Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?

Ein Paketfilter prüft einzelne Pakete. Eine SPI-Firewall merkt sich zusätzlich den Zustand einer Verbindung und kann Rückverkehr automatisch zuordnen.

Was bedeutet Default Deny?

Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen sind zugelassen.

Warum verwendet man eine DMZ?

Eine DMZ trennt öffentlich erreichbare Server vom internen LAN. Dadurch wird das interne Netzwerk besser geschützt, falls ein öffentlicher Server kompromittiert wird.

Auf welcher OSI-Schicht arbeiten Firewalls?

Einfache Firewalls arbeiten vor allem auf Schicht 3 und 4. Moderne Firewalls können zusätzlich höhere Schichten prüfen, zum Beispiel Anwendungen auf Schicht 7.

11. IHK-Merkliste

MAC-Adresse

• Schicht 2
• lokale Zustellung im LAN
• wird vom Switch verwendet

IP-Adresse

• Schicht 3
• logische Adresse
• wird vom Router verwendet

Port

• Schicht 4
• unterscheidet Anwendungen und Dienste

Switch

• arbeitet hauptsächlich auf Schicht 2
• leitet anhand von MAC-Adressen weiter

Router

• arbeitet auf Schicht 3
• verbindet verschiedene IP-Netze

Firewall

• kontrolliert Verkehr zwischen Netzen
• prüft Regeln
• kann auf mehreren Schichten arbeiten

NAT

• übersetzt Adressen
• private Geräte nutzen öffentliche IP

Portforwarding

• leitet externe Anfragen an interne Server weiter
• Sicherheitsrisiko, wenn falsch konfiguriert

VLAN

• logische Trennung in einem physischen Netzwerk
• braucht Routing oder Firewall für Kommunikation zwischen VLANs

DMZ

• separates Netz für öffentlich erreichbare Server
• schützt das interne LAN

12. Kurzer Gesamtüberblick als Grafik

flowchart TB
    A["Schicht 0<br>Kabel, Glasfaser, Funk"]
    B["Schicht 1<br>Signale, Netzwerkkarte"]
    C["Schicht 2<br>MAC, Switch, Ethernet, VLAN"]
    D["Schicht 3<br>IP, Routing, DHCP, DNS"]
    E["Schicht 4<br>TCP, UDP, Ports, NAT"]
    F["Firewall<br>Regeln zwischen Netzen"]
    G["Anwendungen<br>HTTP, HTTPS, Mail, DNS"]

    A --> B --> C --> D --> E --> F --> G

13. Beispiel: Webseitenaufruf im Netzwerk

Ein Client ruft eine Webseite auf.

Ablauf vereinfacht:

1. Client prüft seine IP-Konfiguration.
2. Client fragt DNS nach der IP-Adresse der Webseite.
3. Client baut per TCP eine Verbindung zum Webserver auf.
4. Bei HTTPS wird Port 443 verwendet.
5. Daten werden in TCP-Segmente verpackt.
6. TCP wird in IP-Pakete verpackt.
7. IP wird in Ethernet-Frames verpackt.
8. Switch leitet Frames anhand der MAC-Adresse weiter.
9. Router oder Firewall leitet Pakete ins Internet weiter.
10. NAT übersetzt private Adresse in öffentliche Adresse.
11. Antwortpakete kommen zurück.
12. SPI-Firewall erkennt die bestehende Verbindung und lässt die Antwort passieren.

14. Webseitenaufruf als Grafik

sequenceDiagram
    participant PC as Client-PC
    participant DNS as DNS-Server
    participant FW as Router / Firewall / NAT
    participant WEB as Webserver

    PC->>DNS: Wie lautet die IP von example.com?
    DNS->>PC: Antwort: IP-Adresse
    PC->>FW: TCP SYN an Webserver Port 443
    FW->>WEB: Weiterleitung mit NAT
    WEB->>FW: SYN/ACK zurück
    FW->>PC: Antwort wird wegen SPI erlaubt
    PC->>WEB: HTTPS-Datenübertragung

15. Prüfungsorientierte Zusammenfassung

Für die IHK solltest du besonders sicher beherrschen:

• OSI-Schichten und typische Geräte/Protokolle
• Unterschied zwischen MAC-Adresse, IP-Adresse und Port
• IPv4-Subnetting
• private IP-Bereiche
• DHCP-Ablauf DORA
• DNS-Grundprinzip
• Unterschied TCP und UDP
• NAT und Portforwarding
• VLAN-Grundprinzip
• Firewall-Regeln
• Unterschied Paketfilter und SPI-Firewall
• Zweck einer DMZ

Merksatz:

MAC findet Geräte im lokalen Netz. IP findet Netze. Ports finden Anwendungen. Firewalls entscheiden, was erlaubt ist.

OSI-Modell

Kurz merken: Switch = Layer 2 · Router = Layer 3 · Stateful Firewall = Layer 3/4 · Proxy/WAF = Layer 7 · NGFW = Layer 3 bis 7

OSI-Modell – Geräte und Firewall-Bezug (IHK-sicher)

Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Für die IHK ist wichtig, dass du nicht nur die Namen der Schichten kennst, sondern auch verstehst, welche Aufgabe die jeweilige Schicht hat, welche Geräte dort typischerweise arbeiten und welche Firewall-Art dazu passt.

Wichtig: Das OSI-Modell ist ein theoretisches Referenzmodell. Reale Geräte arbeiten oft auf mehreren Schichten gleichzeitig. Für Prüfungsaufgaben zählt meistens die Hauptzuordnung.

Layer 7 – Anwendungsschicht

Die Anwendungsschicht ist die oberste Schicht des OSI-Modells. Hier befinden sich Netzwerkdienste und Anwendungen, mit denen Benutzer oder Programme arbeiten.

Typische Beispiele sind:

• HTTP
• HTTPS
• DNS
• SMTP
• FTP
• IMAP
• SSH

Auf dieser Schicht geht es nicht mehr nur darum, welche IP-Adresse oder welcher Port verwendet wird, sondern darum, welche Anwendung oder welcher Dienst tatsächlich kommuniziert.

Beispiel:

Wenn ein Benutzer eine Webseite aufruft, findet die eigentliche Webkommunikation über HTTP oder HTTPS auf der Anwendungsschicht statt.

Typische Komponenten:

• Proxy
• Application Gateway
• Webserver
• DNS-Server
• Web Application Firewall (WAF)

Firewall-Bezug:

Eine Proxy-Firewall oder ein Application-Level Gateway arbeitet auf Anwendungsebene. Sie betrachtet nicht nur IP-Adressen und Ports, sondern kann anwendungsbezogene Inhalte prüfen.

Eine WAF schützt speziell Webanwendungen. Sie prüft HTTP- und HTTPS-Anfragen zum Beispiel auf Angriffe wie SQL-Injection oder Cross-Site-Scripting.

Eine NGFW kann ebenfalls Anwendungen erkennen und filtern, zum Beispiel Webmail, Streaming, Messenger oder andere Dienste.

IHK-Merksatz:

Layer 7 = Anwendung, Inhalte, Proxy, WAF

Layer 6 – Darstellungsschicht

Die Darstellungsschicht kümmert sich darum, wie Daten dargestellt, codiert, verschlüsselt oder komprimiert werden.

Typische Aufgaben:

• Datenformate umwandeln
• Zeichencodierung festlegen
• Daten komprimieren
• Daten verschlüsseln oder entschlüsseln

Typische Beispiele:

• TLS/SSL
• UTF-8
• JPEG
• PNG
• Komprimierung

Für die IHK ist wichtig: Layer 6 ist eher eine theoretische Schicht. In vielen praktischen Netzwerkaufgaben stehen Layer 2, 3, 4 und 7 stärker im Vordergrund.

Firewall-Bezug:

Eine Firewall kann verschlüsselten HTTPS-Verkehr nicht vollständig inhaltlich prüfen, solange sie den Verkehr nicht entschlüsselt. Eine tiefere Inhaltsprüfung ist nur mit TLS-Inspection beziehungsweise SSL-Inspection möglich.

Wichtig: TLS/SSL wird in Lernunterlagen oft der Darstellungsschicht zugeordnet, in der Praxis liegt es technisch zwischen Anwendung und Transport. Für IHK-Lernzwecke reicht: Layer 6 = Verschlüsselung, Darstellung, Datenformat.

IHK-Merksatz:

Layer 6 = Darstellung, Format, Verschlüsselung, Komprimierung

Layer 5 – Sitzungsschicht

Die Sitzungsschicht ist für den Aufbau, die Verwaltung und den Abbau von Sitzungen zuständig.

Eine Sitzung ist ein logischer Kommunikationszusammenhang zwischen zwei Systemen. Dabei geht es zum Beispiel darum, eine Verbindung beziehungsweise einen Dialog zu starten, aufrechtzuerhalten und sauber zu beenden.

Typische Aufgaben:

• Sitzung aufbauen
• Sitzung verwalten
• Sitzung beenden
• Dialogsteuerung
• Wiederaufnahme von Kommunikationsabläufen

Für die IHK ist wichtig: Layer 5 ist meistens weniger praxisnah als Layer 2, 3, 4 und 7. In Firewall-Fragen wird Layer 5 normalerweise nicht als wichtigste Schicht abgefragt.

Firewall-Bezug:

Manche Gateway- oder Proxy-Funktionen können sitzungsbezogene Informationen berücksichtigen. Für die Prüfung solltest du aber vor allem diese klare Zuordnung lernen:

• Paketfilter-Firewall = Layer 3/4
• Stateful Firewall = Layer 3/4
• Proxy-Firewall = Layer 7
• WAF = Layer 7
• NGFW = Layer 3 bis 7

IHK-Merksatz:

Layer 5 = Sitzung aufbauen, verwalten und beenden

Layer 4 – Transportschicht

Die Transportschicht regelt die Kommunikation zwischen Anwendungen auf zwei Systemen. Hier sind vor allem TCP, UDP und Ports wichtig.

Wichtige Begriffe:

• TCP
• UDP
• Portnummern
• Verbindungen
• Verbindungsstatus
• Ende-zu-Ende-Kommunikation

TCP ist verbindungsorientiert. Das bedeutet: Es wird eine Verbindung aufgebaut, Daten werden geordnet übertragen und der Empfang kann bestätigt werden.

UDP ist verbindungslos. Das bedeutet: Es ist einfacher und schneller, bietet aber keine gleiche zuverlässige Verbindungssteuerung wie TCP.

Typische Ports:

Typische Geräte / Komponenten:

• Firewall
• Layer-4-Load-Balancer

Firewall-Bezug:

Eine Firewall kann auf Layer 4 prüfen, welche Ports und Transportprotokolle verwendet werden.

Eine Stateful Firewall prüft zusätzlich, ob ein Paket zu einer bereits erlaubten Verbindung gehört. Sie führt dafür eine Verbindungstabelle.

Beispiel:

Ein Client aus dem internen Netzwerk baut eine HTTPS-Verbindung zu einem Webserver auf. Die Antwortpakete aus dem Internet werden erlaubt, weil sie zu dieser bestehenden Verbindung gehören.

IHK-Merksatz:

Layer 4 = TCP/UDP, Ports, Verbindungen, Stateful Firewall

Layer 3 – Vermittlungsschicht

Die Vermittlungsschicht ist für IP-Adressierung und Routing zuständig. Hier wird entschieden, wie Datenpakete von einem Netzwerk in ein anderes Netzwerk gelangen.

Wichtige Themen:

• IPv4
• IPv6
• Routing
• Subnetze
• Standardgateway
• ICMP
• IPsec
• Paketweiterleitung

Typische Geräte:

• Router
• Layer-3-Switch
• Firewall

Ein Router verbindet unterschiedliche Netzwerke miteinander. Er entscheidet anhand der Ziel-IP-Adresse, wohin ein Paket weitergeleitet wird.

Ein Layer-3-Switch kann zusätzlich zu klassischen Switch-Funktionen auch Routing-Funktionen übernehmen, zum Beispiel zwischen VLANs.

Firewall-Bezug:

Eine Paketfilter-Firewall prüft auf Layer 3 zum Beispiel:

• Quell-IP-Adresse
• Ziel-IP-Adresse
• Protokoll
• Netzbereich
• Richtung des Datenverkehrs

Sobald zusätzlich Ports geprüft werden, ist auch Layer 4 beteiligt. Deshalb ist die IHK-sichere Formulierung:

Paketfilter-Firewall = Layer 3/4

Beispielregel:

Ein internes Netz 192.168.10.0/24 darf per TCP-Port 443 ins Internet, aber nicht per TCP-Port 23.

IHK-Merksatz:

Layer 3 = IP-Adresse, Routing, Router, Paketfilter

Layer 2 – Sicherungsschicht

Die Sicherungsschicht ist für die Kommunikation im lokalen Netzwerk zuständig. Hier geht es vor allem um MAC-Adressen, Ethernet-Frames, Switching und VLANs.

Wichtige Themen:

• MAC-Adressen
• Ethernet-Frames
• Switches
• Bridges
• VLANs
• ARP
• WLAN im lokalen Netz
• Fehlererkennung auf Frame-Ebene

Typische Geräte:

• Switch
• Bridge
• Access Point
• Netzwerkkarte

Ein Switch arbeitet hauptsächlich auf Layer 2. Er lernt MAC-Adressen und leitet Frames an den passenden Port weiter.

Für die IHK ist sehr wichtig:

Switch = MAC-Adresse = Layer 2

Ein Switch verwendet also normalerweise MAC-Adressen, während ein Router IP-Adressen verwendet.

Firewall-Bezug:

Layer 2 ist nicht die klassische Firewall-Schicht. Trotzdem gibt es sicherheitsrelevante Funktionen auf Layer 2:

• VLAN-Trennung
• MAC-Filter
• Port-Security
• transparente Firewall / Bridge-Firewall als Sonderfall

Wichtig: MAC-Filter allein sind kein starker Schutz, weil MAC-Adressen gefälscht werden können. Für IHK-Grundlagen reicht aber die Einordnung: MAC-Adressen gehören zu Layer 2.

IHK-Merksatz:

Layer 2 = MAC-Adresse, Switch, lokales Netzwerk

Layer 1 – Bitübertragungsschicht

Die Bitübertragungsschicht ist die unterste Schicht des OSI-Modells. Hier geht es um die physische Übertragung von Bits.

Wichtige Themen:

• elektrische Signale
• optische Signale
• Funkübertragung
• Kabel
• Stecker
• Netzwerkkarte auf physischer Ebene
• Repeater
• Hub
• Medienkonverter

Typische Geräte und Komponenten:

• Netzwerkkabel
• Glasfaserkabel
• Hub
• Repeater
• Medienkonverter
• Stecker und Ports

Ein Hub arbeitet auf Layer 1. Er verteilt Signale, trifft aber keine intelligenten Weiterleitungsentscheidungen wie ein Switch.

Ein Repeater arbeitet ebenfalls auf Layer 1. Er verstärkt oder erneuert ein Signal.

Firewall-Bezug:

Auf Layer 1 gibt es keine klassische Firewall-Funktion. Eine Firewall entscheidet nicht anhand von reinen elektrischen oder optischen Signalen, sondern anhand von Informationen höherer Schichten.

IHK-Merksatz:

Layer 1 = Kabel, Signal, Bits, physische Übertragung

Firewall-Arten und OSI-Zuordnung

Wichtige IHK-Merksätze

Ganz kurzer Prüfungs-Merksatz

Layer 2 = MAC / Switch

Layer 3 = IP / Router / Paketfilter

Layer 4 = TCP/UDP / Ports / Stateful Firewall

Layer 7 = Anwendung / Proxy / WAF

Beispiel zur Einordnung

Ein Benutzer öffnet eine Webseite über HTTPS.

Typische Prüfungsfallen

2. Grundlagen der Schichtenmodelle: OSI und TCP/IP

3. OSI-Schicht 0 – Übertragungsmedien und Verkabelung

4. OSI-Schicht 1 – Bitübertragungsschicht

5. OSI-Schicht 2 – Sicherungsschicht

6. OSI-Schicht 3 – Vermittlungsschicht / Netzwerkschicht

7. OSI-Schicht 4 – Transportschicht

TCP (Transmission Control Protocol) Erklärung

TCP einfach erklärt

TCP steht für Transmission Control Protocol.

TCP ist ein verbindungsorientiertes und zuverlässiges Transportprotokoll. Es arbeitet auf der Transportschicht des TCP/IP-Modells und sorgt dafür, dass Daten möglichst vollständig, geordnet und fehlerfrei beim Empfänger ankommen.

Typische Anwendungen mit TCP sind zum Beispiel:

HTTP/HTTPS
SSH
E-Mail
Dateiübertragung
Remote Desktop

Grundidee von TCP

TCP wird verwendet, wenn Daten zuverlässig übertragen werden sollen.

Das bedeutet:

- vor der Datenübertragung wird eine Verbindung aufgebaut
- Daten werden nummeriert
- empfangene Daten werden bestätigt
- fehlende Daten können erneut übertragen werden
- Daten werden in der richtigen Reihenfolge an die Anwendung weitergegeben

TCP ist dadurch zuverlässiger als UDP, hat aber mehr Verwaltungsaufwand.

Merksatz:

TCP = verbindungsorientiert, zuverlässig und geordnet
UDP = verbindungslos, schnell und mit weniger Kontrolle

TCP arbeitet mit Ports

Eine IP-Adresse zeigt auf einen Host im Netzwerk.

Beispiel:

192.168.0.50

Ein Port zeigt auf einen bestimmten Dienst oder eine Anwendung auf diesem Host.

Beispiel:

192.168.0.50:443

Das bedeutet:

192.168.0.50 = Host / Gerät
443          = Dienst / Anwendung, hier HTTPS

Typische TCP-Ports:

80   = HTTP
443  = HTTPS
22   = SSH
25   = SMTP
110  = POP3
143  = IMAP
3389 = Remote Desktop

Merksatz:

IP-Adresse = welcher Host?
Port        = welcher Dienst?
Socket      = IP-Adresse + Port

Socket bei TCP

Ein Socket ist die Kombination aus IP-Adresse und Port.

Beispiel:

192.168.0.50:443

Bei einer TCP-Verbindung gibt es immer zwei Seiten:

Client-Socket: 192.168.0.20:51544
Server-Socket: 93.184.216.34:443

Der Client verwendet oft einen zufälligen hohen Quellport. Der Server verwendet meistens einen bekannten festen Zielport.

Eine vollständige TCP-Verbindung wird also durch diese Informationen beschrieben:

Quell-IP
Quell-Port
Ziel-IP
Ziel-Port
Protokoll TCP

TCP-Verbindungsaufbau: 3-Wege-Handshake

Bevor TCP Daten überträgt, wird eine Verbindung aufgebaut. Dieser Verbindungsaufbau heißt 3-Wege-Handshake.

Dabei tauschen Client und Server Kontrollinformationen aus.

Ablauf:

Client                         Server

1. SYN  ---------------------> 
   Verbindungswunsch

2. SYN-ACK <------------------
   Verbindungswunsch bestätigt

3. ACK  --------------------->
   Bestätigung zurück

Verbindung steht

Was bedeutet SYN?

SYN ist die Abkürzung für:

Synchronize

Auf Deutsch:

synchronisieren

Beim TCP-Verbindungsaufbau bedeutet SYN:

Der Client möchte eine neue TCP-Verbindung starten
und seine Start-Sequenznummer mit dem Server synchronisieren.

SYN ist also nicht einfach nur „Hallo“, sondern enthält auch technische Informationen für den Start der Verbindung.

Was bedeutet SYN-ACK?

SYN-ACK besteht aus zwei Teilen:

SYN = Server möchte ebenfalls seine Start-Sequenznummer synchronisieren
ACK = Server bestätigt den SYN des Clients

Der Server sagt damit vereinfacht:

Ich habe deinen Verbindungswunsch erhalten.
Ich bin bereit.
Hier ist meine eigene Start-Sequenznummer.

Was bedeutet ACK?

ACK steht für:

Acknowledgement

Auf Deutsch:

Bestätigung

Beim dritten Schritt bestätigt der Client die Antwort des Servers.

Danach gilt:

Die TCP-Verbindung ist aufgebaut.
Daten können übertragen werden.

Merksatz:

SYN     = Verbindungswunsch + Start-Sequenznummer synchronisieren
SYN-ACK = Verbindungswunsch bestätigen + eigene Start-Sequenznummer senden
ACK     = Bestätigung zurücksenden

Sequenznummer ist keine Portnummer

Eine Sequenznummer ist nicht dasselbe wie eine Portnummer.

Eine Portnummer sagt:

Welcher Dienst oder welches Programm ist gemeint?

Eine Sequenznummer sagt:

An welcher Stelle im TCP-Datenstrom befinden sich diese Daten?

Merksatz:

Portnummer     = welcher Dienst?
Sequenznummer = welche Stelle im Datenstrom?

Oder einfacher:

Portnummer ist wie die Türnummer eines Dienstes.
Sequenznummer ist wie die Position der Daten im Datenstrom.

Was macht die Sequenznummer bei TCP?

TCP nummeriert nicht einfach nur einzelne Pakete wie „Paket 1, Paket 2, Paket 3“.

Technisch genauer:

TCP nummeriert die Bytes im Datenstrom.

Dadurch weiß der Empfänger:

- wo ein empfangenes TCP-Segment im Datenstrom beginnt
- ob Daten in der richtigen Reihenfolge angekommen sind
- ob Daten fehlen
- ob Daten doppelt angekommen sind

Ein TCP-Segment enthält eine Sequenznummer. Diese Sequenznummer zeigt, an welcher Position im Datenstrom die enthaltenen Daten beginnen.

Einfaches Beispiel für Sequenznummern

Segment 1: Sequenznummer 1000, enthält 500 Byte
Segment 2: Sequenznummer 1500, enthält 500 Byte
Segment 3: Sequenznummer 2000, enthält 500 Byte

Das bedeutet:

Segment 1 beginnt bei Byte 1000.
Segment 2 beginnt bei Byte 1500.
Segment 3 beginnt bei Byte 2000.

Wenn alles korrekt ankommt, kann der Empfänger die Daten in der richtigen Reihenfolge zusammensetzen.

Was passiert, wenn Daten verloren gehen?

Angenommen, Segment 2 geht verloren:

Segment 1 kommt an: Sequenznummer 1000
Segment 2 fehlt:    Sequenznummer 1500
Segment 3 kommt an: Sequenznummer 2000

Der Empfänger merkt:

Ich habe Daten ab 1000 bekommen.
Danach müsste eigentlich 1500 kommen.
Jetzt kommt aber schon 2000.
Also fehlt der Bereich ab 1500.

TCP erkennt dadurch, dass ein Teil der Daten fehlt.

Die fehlenden Daten können dann erneut übertragen werden.

ACK = Bestätigung empfangener Daten

Mit einem ACK bestätigt der Empfänger, welche Daten korrekt angekommen sind.

Vereinfacht gesagt:

ACK 1500 = Ich habe alles bis vor 1500 korrekt erhalten.
           Bitte sende als Nächstes die Daten ab 1500.

Wenn Daten fehlen, bestätigt der Empfänger nicht einfach alles als vollständig.

Stattdessen signalisiert er sinngemäß:

Ich erwarte weiterhin die Daten ab dieser Sequenznummer.

Dadurch erkennt der Sender, dass Daten erneut übertragen werden müssen.

Muss TCP komplett warten, wenn ein Segment fehlt?

Nicht unbedingt.

Später angekommene Daten können zwischengespeichert werden.

Beispiel:

Segment 1 kommt an.
Segment 2 fehlt.
Segment 3 kommt schon an.

TCP kann Segment 3 intern speichern.

Wichtig ist aber:

An die Anwendung werden die Daten erst in der richtigen Reihenfolge weitergegeben.

Das bedeutet:

Die Anwendung bekommt Segment 3 nicht vor Segment 2.
Erst wenn die fehlenden Daten angekommen sind,
werden die Daten geordnet weitergegeben.

Dadurch sieht die Anwendung einen zuverlässigen und geordneten Datenstrom.

Warum ist TCP zuverlässig?

TCP gilt als zuverlässig, weil es mehrere Kontrollmechanismen verwendet.

Dazu gehören:

- Verbindungsaufbau durch 3-Wege-Handshake
- Sequenznummern
- ACK-Bestätigungen
- erneute Übertragung verlorener Daten
- Reihenfolgekontrolle
- Erkennung doppelt empfangener Daten
- Flusskontrolle

Dadurch kann TCP sicherstellen, dass Daten vollständig und in der richtigen Reihenfolge beim Empfänger ankommen.

Flusskontrolle bei TCP

TCP verwendet Flusskontrolle, damit ein schneller Sender einen langsameren Empfänger nicht überfordert.

Der Empfänger kann dem Sender mitteilen, wie viele Daten er aktuell aufnehmen kann.

Das nennt man vereinfacht:

Empfangsfenster

Wenn der Empfänger nur wenig Speicher frei hat, kann er dem Sender signalisieren:

Sende langsamer oder warte kurz.

Dadurch wird verhindert, dass der Empfänger mit zu vielen Daten überlastet wird.

TCP-Verbindungsabbau

Eine TCP-Verbindung wird nicht einfach abrupt beendet, sondern kontrolliert geschlossen.

Dafür werden unter anderem FIN- und ACK-Nachrichten verwendet.

Vereinfacht:

Eine Seite sagt: Ich möchte die Verbindung beenden.
Die andere Seite bestätigt das.
Danach kann auch die andere Seite ihre Richtung schließen.

Typische Steuerbits beim Verbindungsabbau:

FIN = Verbindung geordnet beenden
ACK = Bestätigung

Merksatz:

SYN = Verbindung aufbauen
FIN = Verbindung beenden
ACK = bestätigen

TCP im Vergleich zu UDP

TCP:

- verbindungsorientiert
- zuverlässig
- geordnete Datenübertragung
- Bestätigungen durch ACKs
- erneute Übertragung verlorener Daten
- mehr Verwaltungsaufwand

UDP:

- verbindungslos
- geringer Verwaltungsaufwand
- keine eingebaute Zustellgarantie
- keine eingebaute Reihenfolgekontrolle
- keine eingebaute erneute Übertragung
- oft latenzärmer als TCP

TCP wird verwendet, wenn Zuverlässigkeit wichtig ist.

UDP wird häufig verwendet, wenn geringe Verzögerung wichtiger ist als vollständige Kontrolle.

Beispiel: TCP beim Webseitenaufruf

Wenn ein Client eine HTTPS-Webseite aufruft, passiert vereinfacht Folgendes:

1. Client möchte Website aufrufen.
2. Client baut TCP-Verbindung zum Server-Port 443 auf.
3. TCP führt den 3-Wege-Handshake aus.
4. Danach werden Daten übertragen.
5. TCP nummeriert die Daten mit Sequenznummern.
6. Der Empfänger bestätigt empfangene Daten mit ACKs.
7. Fehlende Daten werden erneut übertragen.
8. Die Anwendung erhält die Daten in der richtigen Reihenfolge.

Beispiel:

Client: 192.168.0.20:51544
Server: 93.184.216.34:443
Protokoll: TCP

Wichtige TCP-Begriffe

TCP = Transmission Control Protocol
SYN = Synchronize
ACK = Acknowledgement
FIN = Finish
Port = Dienstadresse auf einem Host
Socket = IP-Adresse + Port
Sequenznummer = Position der Daten im TCP-Datenstrom
3-Wege-Handshake = Verbindungsaufbau bei TCP

IHK-sichere Kurzformulierung

TCP ist ein verbindungsorientiertes und zuverlässiges Transportprotokoll. Vor der Datenübertragung wird durch den 3-Wege-Handshake eine Verbindung aufgebaut. TCP verwendet Sequenznummern, um die Reihenfolge der übertragenen Daten im Datenstrom festzulegen. Mit ACKs bestätigt der Empfänger korrekt erhaltene Daten. Fehlende Daten können erkannt und erneut übertragen werden. Dadurch stellt TCP eine geordnete und zuverlässige Datenübertragung bereit.

Merksätze

TCP = verbindungsorientiert, zuverlässig und geordnet

SYN     = Verbindung starten
SYN-ACK = Verbindung bestätigen und eigene Startnummer senden
ACK     = Bestätigung

Portnummer     = welcher Dienst?
Sequenznummer = welche Stelle im Datenstrom?

Sequenznummern helfen TCP zu erkennen,
ob Daten fehlen, doppelt angekommen sind
oder in falscher Reihenfolge eintreffen.

ACK bestätigt,
bis wohin Daten korrekt empfangen wurden.

Fehlende Daten werden erneut übertragen.
Später angekommene Daten können zwischengespeichert werden.
An die Anwendung geht alles erst in der richtigen Reihenfolge.

SYN = Verbindung aufbauen
FIN = Verbindung beenden
ACK = bestätigen

UDP (User Datagram Protocol) Erklärung

UDP einfach erklärt

UDP steht für User Datagram Protocol.

UDP ist ein verbindungsloses Transportprotokoll. Es arbeitet auf der Transportschicht des TCP/IP-Modells und wird verwendet, wenn Daten schnell und mit möglichst wenig Verwaltungsaufwand übertragen werden sollen.

UDP ist einfacher aufgebaut als TCP. Dafür bietet UDP aber keine eingebaute Garantie, dass Daten ankommen, vollständig sind oder in der richtigen Reihenfolge eintreffen.

Typische Anwendungen mit UDP sind zum Beispiel:

DNS
DHCP
VoIP
Video-Streaming
Audio-Streaming
Online-Gaming
QUIC / HTTP/3

Grundidee von UDP

UDP wird verwendet, wenn eine schnelle und einfache Datenübertragung wichtiger ist als vollständige Kontrolle.

Das bedeutet:

- keine feste Verbindung vor der Datenübertragung
- kein 3-Wege-Handshake
- keine eingebaute Zustellgarantie
- keine eingebaute Reihenfolgekontrolle
- keine automatische erneute Übertragung verlorener Daten
- geringer Verwaltungsaufwand

UDP sendet Daten einfach los. Ob die Gegenseite erreichbar ist oder ob die Daten vollständig ankommen, wird von UDP selbst nicht zuverlässig kontrolliert.

Merksatz:

UDP = verbindungslos, einfach und schnell
TCP = verbindungsorientiert, zuverlässig und geordnet

UDP arbeitet mit Ports

Auch UDP verwendet Ports, genau wie TCP.

Eine IP-Adresse zeigt auf einen Host im Netzwerk.

Beispiel:

192.168.0.50

Ein Port zeigt auf einen bestimmten Dienst oder eine Anwendung auf diesem Host.

Beispiel:

192.168.0.50:53

Das bedeutet:

192.168.0.50 = Host / Gerät
53           = Dienst / Anwendung, hier DNS

Typische UDP-Ports:

53    = DNS
67    = DHCP Server
68    = DHCP Client
123   = NTP
500   = IKE / IPsec
1194  = OpenVPN
51820 = WireGuard
443   = QUIC / HTTP/3

Wichtig:

Ein Port kann bei TCP und UDP unterschiedlich verwendet werden.

Beispiel:

TCP 443 = HTTPS über TCP
UDP 443 = QUIC / HTTP/3

Merksatz:

IP-Adresse = welcher Host?
Port        = welcher Dienst?
Socket      = IP-Adresse + Port

Socket bei UDP

Ein Socket ist die Kombination aus IP-Adresse und Port.

Beispiel:

192.168.0.50:53

Bei UDP kann ein Datenpaket von einem Quell-Socket zu einem Ziel-Socket gesendet werden.

Beispiel:

Client-Socket: 192.168.0.20:53000
Server-Socket: 192.168.0.1:53

Das bedeutet:

Client fragt von Port 53000 aus einen DNS-Server auf Port 53 an.

Eine UDP-Kommunikation wird also durch diese Informationen beschrieben:

Quell-IP
Quell-Port
Ziel-IP
Ziel-Port
Protokoll UDP

UDP hat keinen Verbindungsaufbau

Bei TCP gibt es vor der Datenübertragung einen 3-Wege-Handshake.

Bei UDP gibt es diesen Verbindungsaufbau nicht.

TCP:

Client                         Server

1. SYN  ---------------------> 
2. SYN-ACK <------------------
3. ACK  --------------------->

Verbindung steht

UDP:

Client                         Server

Datenpaket ------------------>

Keine vorherige Verbindung
Keine SYN-Nachricht
Kein SYN-ACK
Kein ACK durch UDP selbst

UDP sendet also direkt ein Datagramm an den Empfänger.

Merksatz:

TCP fragt vorher: Darf ich eine Verbindung aufbauen?
UDP sendet direkt los.

Was ist ein UDP-Datagramm?

Die Dateneinheit bei UDP nennt man Datagramm.

Ein UDP-Datagramm enthält unter anderem:

- Quellport
- Zielport
- Länge
- Prüfsumme
- Nutzdaten

UDP ist dadurch sehr schlank aufgebaut.

Wichtig:

UDP nummeriert die Daten nicht wie TCP mit Sequenznummern.

Deshalb kann UDP selbst nicht zuverlässig erkennen, ob ein Datagramm fehlt oder in falscher Reihenfolge angekommen ist.

UDP hat keine Sequenznummern wie TCP

TCP verwendet Sequenznummern, um die Position der Daten im Datenstrom festzulegen.

UDP macht das nicht.

TCP:

Segment 1: Sequenznummer 1000
Segment 2: Sequenznummer 1500
Segment 3: Sequenznummer 2000

UDP:

Datagramm 1 wird gesendet.
Datagramm 2 wird gesendet.
Datagramm 3 wird gesendet.

UDP selbst merkt sich keine Reihenfolge.

Wenn ein UDP-Datagramm verloren geht, wird es von UDP nicht automatisch erneut angefordert.

Wenn UDP-Datagramme in falscher Reihenfolge ankommen, sortiert UDP sie nicht automatisch.

Merksatz:

TCP kontrolliert die Reihenfolge.
UDP sendet einzelne Datagramme ohne Reihenfolgegarantie.

UDP hat keine eingebaute Zustellgarantie

UDP garantiert nicht, dass ein Datagramm beim Empfänger ankommt.

Ein UDP-Datagramm kann unterwegs verloren gehen, zum Beispiel durch:

- Netzwerküberlastung
- Paketverlust
- Routing-Probleme
- Firewall-Regeln
- fehlerhafte Übertragung

UDP selbst sendet verlorene Datagramme nicht automatisch erneut.

Das bedeutet:

Wenn ein UDP-Datagramm verloren geht,
merkt UDP selbst das nicht zuverlässig
und fordert es nicht automatisch erneut an.

Wenn eine Anwendung trotzdem Zuverlässigkeit braucht, muss sie diese selbst oberhalb von UDP einbauen.

Beispiele dafür sind:

- eigene Bestätigungen
- eigene Sequenznummern
- eigene Wiederholungen
- Fehlerkorrektur auf Anwendungsebene

UDP hat keine eingebaute Reihenfolgekontrolle

UDP garantiert nicht, dass Datagramme in der gesendeten Reihenfolge ankommen.

Beispiel:

Gesendet:
Datagramm 1
Datagramm 2
Datagramm 3

Angekommen:
Datagramm 1
Datagramm 3
Datagramm 2

UDP sortiert diese Datagramme nicht automatisch.

Wenn die Reihenfolge wichtig ist, muss die Anwendung selbst dafür sorgen.

Beispiel:

Eine Anwendung kann eigene Nummern in die Nutzdaten schreiben,
um die Reihenfolge später selbst zu prüfen.

Merksatz:

UDP liefert Datagramme so ab, wie sie ankommen.
UDP sortiert nicht automatisch.

UDP hat weniger Verwaltungsaufwand als TCP

UDP hat weniger Verwaltungsaufwand, weil es keinen Verbindungsaufbau, keine Sequenznummern, keine ACKs und keine automatische Wiederholung verlorener Daten gibt.

Dadurch ist UDP oft:

- einfacher
- schneller beim Start
- latenzärmer
- ressourcenschonender

Wichtig:

UDP ist nicht automatisch immer schneller im Sinne von höherer Datenrate.

Besser formuliert:

UDP hat weniger Verwaltungsaufwand als TCP und kann dadurch schneller bzw. latenzärmer sein.

Das ist besonders bei Anwendungen wichtig, bei denen Echtzeit wichtiger ist als perfekte Vollständigkeit.

Warum nutzt man UDP trotz fehlender Garantie?

UDP wird genutzt, weil bei manchen Anwendungen verlorene Daten weniger schlimm sind als Verzögerungen.

Beispiel VoIP:

Bei einem Telefonat ist es besser,
wenn ein kleines Audiostück kurz fehlt,
als wenn die Sprache stark verzögert ankommt.

Beispiel Online-Gaming:

Bei schnellen Positionsdaten ist es oft besser,
aktuelle Daten zu bekommen,
als alte verlorene Daten nachträglich zu übertragen.

Beispiel Streaming:

Bei Live-Video ist geringe Verzögerung wichtiger
als jedes einzelne Paket nachträglich zu retten.

Merksatz:

UDP wird häufig verwendet,
wenn Aktualität wichtiger ist als vollständige Nachlieferung.

Beispiel: DNS mit UDP

DNS verwendet sehr häufig UDP auf Port 53.

Ablauf vereinfacht:

1. Client möchte wissen, welche IP-Adresse zu einer Domain gehört.
2. Client sendet eine DNS-Anfrage per UDP an Port 53.
3. DNS-Server antwortet per UDP.
4. Die Antwort enthält die passende IP-Adresse.

Beispiel:

Client: 192.168.0.20:53000
DNS-Server: 192.168.0.1:53
Protokoll: UDP

Warum UDP hier sinnvoll ist:

- DNS-Anfragen sind meist klein
- eine Verbindung vorher aufzubauen wäre zusätzlicher Aufwand
- bei Verlust kann die Anfrage einfach erneut gestellt werden

Wichtig:

DNS kann auch TCP verwenden,
zum Beispiel bei größeren Antworten oder Zonentransfers.

Beispiel: VoIP mit UDP

Bei VoIP werden Sprachdaten in kleinen Paketen übertragen.

UDP eignet sich hier gut, weil geringe Verzögerung besonders wichtig ist.

Beispiel:

Sprecher → Sprachpakete → Netzwerk → Empfänger

Wenn ein kleines Sprachpaket verloren geht, ist das meist weniger schlimm als eine große Verzögerung.

Deshalb ist bei VoIP oft wichtiger:

geringe Latenz statt vollständige Nachlieferung

Beispiel: Online-Gaming mit UDP

Online-Spiele übertragen häufig Positionsdaten, Bewegungen und Zustände.

Beispiel:

Spielerposition
Blickrichtung
Bewegung
Aktionen

Wenn ein altes Positionspaket verloren geht, ist es oft nicht sinnvoll, es später noch nachzuliefern.

Wichtiger ist:

Der aktuelle Zustand soll möglichst schnell ankommen.

Deshalb wird für solche Echtzeitdaten häufig UDP genutzt.

QUIC und HTTP/3 nutzen UDP

QUIC ist ein modernes Transportprotokoll, das auf UDP basiert.

HTTP/3 verwendet QUIC.

Vereinfacht:

HTTP/3 läuft über QUIC.
QUIC läuft über UDP.
UDP läuft über IP.

Wichtig:

QUIC nutzt UDP als Grundlage,
baut aber eigene Funktionen für Zuverlässigkeit,
Verschlüsselung und Verbindungssteuerung ein.

Das bedeutet:

UDP selbst ist einfach und verbindungslos.
QUIC ergänzt darauf zusätzliche moderne Funktionen.

UDP und Firewall

Firewalls können UDP-Verkehr filtern, genau wie TCP-Verkehr.

Dabei werden zum Beispiel geprüft:

- Quell-IP
- Ziel-IP
- Quellport
- Zielport
- Protokoll UDP

Da UDP keine feste Verbindung wie TCP aufbaut, ist die Zustandsverfolgung schwieriger.

Eine Stateful Firewall kann sich aber trotzdem merken, dass ein interner Client ein UDP-Datagramm nach außen gesendet hat.

Beispiel:

Client sendet DNS-Anfrage an DNS-Server.
Firewall merkt sich diese Anfrage kurzzeitig.
DNS-Antwort darf zurück.
Unerwartete UDP-Pakete von außen werden blockiert.

Merksatz:

Auch UDP kann von einer Stateful Firewall verfolgt werden,
aber ohne echten TCP-Verbindungszustand.

UDP und NAT/PAT

Auch UDP kann über NAT/PAT ins Internet gehen.

Beispiel:

Interner Client: 192.168.0.20:53000
Öffentliche IP: 84.10.20.30:40001
DNS-Server: 1.1.1.1:53

Die Firewall bzw. der Router merkt sich die Zuordnung:

192.168.0.20:53000 → 84.10.20.30:40001

Wenn die Antwort vom DNS-Server zurückkommt, weiß der Router:

Diese Antwort gehört zurück an 192.168.0.20:53000.

Wichtig:

Bei UDP sind solche NAT-Zuordnungen meist zeitlich begrenzt,
weil es keine dauerhaft aufgebaute Verbindung wie bei TCP gibt.

UDP im Vergleich zu TCP

TCP:

- verbindungsorientiert
- 3-Wege-Handshake
- zuverlässig
- Sequenznummern
- ACK-Bestätigungen
- erneute Übertragung verlorener Daten
- Reihenfolgekontrolle
- mehr Verwaltungsaufwand

UDP:

- verbindungslos
- kein 3-Wege-Handshake
- keine eingebaute Zustellgarantie
- keine eingebaute Reihenfolgekontrolle
- keine automatische erneute Übertragung
- weniger Verwaltungsaufwand
- oft latenzärmer

Merksatz:

TCP kontrolliert stärker.
UDP ist schlanker und direkter.

Wann verwendet man TCP?

TCP verwendet man, wenn Daten zuverlässig und vollständig ankommen müssen.

Beispiele:

- Webseiten über HTTP/HTTPS
- Dateiübertragung
- SSH
- E-Mail
- Remote Desktop

Hier wäre es schlecht, wenn Daten fehlen oder in falscher Reihenfolge bei der Anwendung ankommen.

Wann verwendet man UDP?

UDP verwendet man häufig, wenn geringe Verzögerung wichtiger ist als vollständige Kontrolle.

Beispiele:

- DNS
- DHCP
- VoIP
- Live-Streaming
- Online-Gaming
- NTP
- VPN-Protokolle wie WireGuard
- QUIC / HTTP/3

Hier ist es oft besser, schnell weiterzumachen, statt verlorene alte Daten nachzuliefern.

Ist UDP unsicherer als TCP?

UDP ist nicht automatisch „unsicherer“ als TCP.

UDP hat nur weniger eingebaute Kontrollfunktionen.

Sicherheit hängt vor allem davon ab:

- welches Anwendungsprotokoll verwendet wird
- ob Verschlüsselung eingesetzt wird
- wie die Firewall konfiguriert ist
- ob der Dienst korrekt abgesichert ist

Beispiel:

QUIC nutzt UDP,
kann aber trotzdem verschlüsselte Kommunikation ermöglichen.

UDP bedeutet also nicht automatisch unsicher. Es bedeutet nur:

UDP selbst garantiert weniger als TCP.

Wichtige UDP-Begriffe

UDP = User Datagram Protocol
Datagramm = einzelne UDP-Dateneinheit
Port = Dienstadresse auf einem Host
Socket = IP-Adresse + Port
Quellport = Port des sendenden Systems
Zielport = Port des empfangenden Dienstes
Prüfsumme = einfache Fehlererkennung im UDP-Datagramm

IHK-sichere Kurzformulierung

UDP ist ein verbindungsloses Transportprotokoll mit geringem Verwaltungsaufwand. Im Gegensatz zu TCP baut UDP vor der Datenübertragung keine Verbindung auf und bietet keine eingebaute Garantie für Zustellung, Reihenfolge oder erneute Übertragung verlorener Daten. Dadurch ist UDP besonders für Anwendungen geeignet, bei denen geringe Verzögerung wichtiger ist als vollständige Kontrolle, zum Beispiel DNS, VoIP, Streaming oder Online-Gaming.

Merksätze

UDP = verbindungslos, einfach und mit wenig Verwaltungsaufwand

UDP sendet direkt los.
TCP baut vorher eine Verbindung auf.

UDP garantiert nicht,
dass Datagramme ankommen,
in richtiger Reihenfolge ankommen
oder erneut übertragen werden.

UDP ist oft latenzärmer als TCP,
aber nicht automatisch immer schneller in jeder Situation.

TCP = Zuverlässigkeit und Kontrolle
UDP = Geschwindigkeit und geringer Verwaltungsaufwand

Wenn UDP Zuverlässigkeit braucht,
muss die Anwendung diese selbst einbauen.

DNS, VoIP, Streaming und Online-Gaming
sind typische Beispiele für UDP.

TCP versus UDP

TCP und UDP sind beide Transportprotokolle. Sie arbeiten auf der Transportschicht und sorgen dafür, dass Daten zwischen Anwendungen auf verschiedenen Geräten übertragen werden können.

Der wichtigste Unterschied ist:

TCP baut vor der Datenübertragung eine Verbindung auf.
UDP sendet Daten ohne vorherigen Verbindungsaufbau direkt los.

TCP kurz erklärt

TCP steht für Transmission Control Protocol.

TCP ist:

- verbindungsorientiert
- zuverlässig
- geordnet
- kontrolliert
- mit mehr Verwaltungsaufwand verbunden

Bei TCP wird vor der Übertragung der eigentlichen Nutzdaten zuerst eine Verbindung aufgebaut. Dieser Verbindungsaufbau heißt 3-Wege-Handshake.

Client                         Server

1. SYN  --------------------->   Verbindungswunsch
2. SYN-ACK <------------------   Bestätigung + eigene Start-Sequenznummer
3. ACK  --------------------->   Bestätigung

Danach ist die TCP-Verbindung aufgebaut.
Erst danach werden die eigentlichen Nutzdaten übertragen.

Wichtig:

Nicht ACK ist der erste Schritt.
Der erste Schritt ist SYN.
ACK ist die Bestätigung im dritten Schritt.

Was bedeutet SYN bei TCP?

SYN steht für:

Synchronize

Auf Deutsch:

synchronisieren

SYN bedeutet beim TCP-Verbindungsaufbau:

Der Client möchte eine neue TCP-Verbindung starten
und seine Start-Sequenznummer mit dem Server synchronisieren.

SYN ist also der Verbindungswunsch und gleichzeitig der Start der Synchronisation der Sequenznummern.

Was bedeutet SYN-ACK bei TCP?

SYN-ACK besteht aus zwei Teilen:

SYN = Server möchte ebenfalls seine Start-Sequenznummer synchronisieren
ACK = Server bestätigt den SYN des Clients

Der Server sagt damit vereinfacht:

Ich habe deinen Verbindungswunsch erhalten.
Ich bin bereit.
Hier ist meine eigene Start-Sequenznummer.

Was bedeutet ACK bei TCP?

ACK steht für:

Acknowledgement

Auf Deutsch:

Bestätigung

Mit ACK bestätigt eine Seite, dass bestimmte Daten oder Steuerinformationen angekommen sind.

Beim 3-Wege-Handshake bestätigt der Client mit ACK die Antwort des Servers.

Merksatz:

SYN     = Verbindung starten und Sequenznummer synchronisieren
SYN-ACK = Verbindung bestätigen und eigene Startnummer senden
ACK     = Bestätigung zurücksenden

UDP kurz erklärt

UDP steht für User Datagram Protocol.

UDP ist:

- verbindungslos
- einfach
- schnell bzw. oft latenzärmer
- mit wenig Verwaltungsaufwand verbunden
- ohne eingebaute Zustellgarantie
- ohne eingebaute Reihenfolgekontrolle
- ohne automatische erneute Übertragung verlorener Daten

Bei UDP gibt es keinen 3-Wege-Handshake.

Client                         Server

Daten ----------------------->

Kein SYN
Kein SYN-ACK
Kein verbindungsaufbauendes ACK

UDP sendet Datagramme direkt los. UDP selbst prüft nicht zuverlässig, ob die Gegenseite bereit ist oder ob die Daten vollständig angekommen sind.

Nutzdaten bei TCP und UDP

Nutzdaten sind die eigentlichen Inhalte, die eine Anwendung übertragen möchte.

Beispiele:

- Webseiteninhalte
- Dateien
- Sprache
- Videodaten
- DNS-Anfragen
- Spielinformationen

Bei TCP gilt:

Erst Verbindungsaufbau,
dann Nutzdaten.

Bei UDP gilt:

Kein Verbindungsaufbau,
Nutzdaten werden direkt als Datagramm gesendet.

Sequenznummern bei TCP

TCP verwendet Sequenznummern.

Eine Sequenznummer ist keine Portnummer.

Portnummer     = welcher Dienst?
Sequenznummer = welche Stelle im Datenstrom?

TCP nummeriert technisch gesehen die Bytes im Datenstrom. Dadurch kann der Empfänger erkennen:

- welche Daten angekommen sind
- ob Daten fehlen
- ob Daten doppelt angekommen sind
- ob Daten in falscher Reihenfolge angekommen sind

Beispiel:

Segment 1: Sequenznummer 1000, enthält 500 Byte
Segment 2: Sequenznummer 1500, enthält 500 Byte
Segment 3: Sequenznummer 2000, enthält 500 Byte

Wenn Segment 2 fehlt, merkt TCP:

Nach 1000 müsste 1500 kommen.
Wenn schon 2000 kommt, fehlt der Bereich ab 1500.

Fehlende Daten können dann erneut übertragen werden.

UDP hat keine TCP-Sequenznummern

UDP nummeriert die Daten nicht wie TCP mit Sequenznummern.

UDP sendet einzelne Datagramme.

Datagramm 1 wird gesendet.
Datagramm 2 wird gesendet.
Datagramm 3 wird gesendet.

UDP selbst merkt sich dabei keine Reihenfolge.

Wenn ein Datagramm verloren geht, fordert UDP es nicht automatisch erneut an.

Wenn Datagramme in falscher Reihenfolge ankommen, sortiert UDP sie nicht automatisch.

Zuverlässigkeit

TCP ist zuverlässig, weil es mehrere Kontrollmechanismen verwendet:

- Verbindungsaufbau durch 3-Wege-Handshake
- Sequenznummern
- ACK-Bestätigungen
- erneute Übertragung verlorener Daten
- Reihenfolgekontrolle
- Erkennung doppelt empfangener Daten
- Flusskontrolle

UDP hat diese Zuverlässigkeit nicht eingebaut.

UDP garantiert nicht:

- dass Daten ankommen
- dass Daten vollständig ankommen
- dass Daten in der richtigen Reihenfolge ankommen
- dass verlorene Daten erneut übertragen werden

Wenn eine Anwendung über UDP trotzdem Zuverlässigkeit benötigt, muss sie diese selbst einbauen.

Beispiele:

- eigene Bestätigungen
- eigene Sequenznummern
- eigene Wiederholungen
- Fehlerkorrektur auf Anwendungsebene

Geschwindigkeit und Verwaltungsaufwand

TCP hat mehr Verwaltungsaufwand, weil es Verbindungen aufbaut, Daten bestätigt, Reihenfolgen prüft und verlorene Daten erneut überträgt.

UDP hat weniger Verwaltungsaufwand, weil es diese Funktionen nicht eingebaut hat.

Deshalb ist UDP oft latenzärmer.

Wichtig:

UDP ist nicht automatisch immer schneller im Sinne von höherer Datenrate.
UDP hat aber weniger Verwaltungsaufwand und kann dadurch schneller reagieren.

Besser formuliert:

UDP ist oft latenzärmer als TCP,
weil es keinen Verbindungsaufbau und weniger Kontrollmechanismen hat.

Typische Anwendungen für TCP

TCP wird verwendet, wenn Daten zuverlässig und vollständig ankommen müssen.

Beispiele:

- HTTP/HTTPS über TCP
- SSH
- E-Mail
- Dateiübertragung
- Remote Desktop
- Datenbankverbindungen

Hier wäre es problematisch, wenn Daten fehlen oder in falscher Reihenfolge bei der Anwendung ankommen.

Beispiel:

Bei einer Dateiübertragung darf kein Teil der Datei fehlen.
Bei SSH müssen Befehle korrekt und in richtiger Reihenfolge ankommen.
Bei Webseiten sollen Inhalte vollständig übertragen werden.

Typische Anwendungen für UDP

UDP wird häufig verwendet, wenn geringe Verzögerung wichtiger ist als vollständige Kontrolle.

Beispiele:

- DNS
- DHCP
- VoIP
- Live-Streaming
- Online-Gaming
- NTP
- WireGuard
- QUIC / HTTP/3

Beispiel VoIP:

Bei einem Telefonat ist es besser,
wenn ein kleines Audiostück kurz fehlt,
als wenn die Sprache stark verzögert ankommt.

Beispiel Online-Gaming:

Bei schnellen Positionsdaten ist der aktuelle Zustand wichtiger
als ein altes verlorenes Paket nachträglich zu übertragen.

DNS als Beispiel für UDP

DNS nutzt sehr häufig UDP auf Port 53.

Ablauf vereinfacht:

1. Client fragt per UDP beim DNS-Server an.
2. DNS-Server antwortet per UDP.
3. Die Antwort enthält die passende IP-Adresse zur Domain.

Beispiel:

Client:     192.168.0.20:53000
DNS-Server: 192.168.0.1:53
Protokoll:  UDP

Warum UDP hier sinnvoll ist:

- DNS-Anfragen sind meist klein.
- Ein TCP-Verbindungsaufbau wäre zusätzlicher Aufwand.
- Bei Verlust kann die Anfrage einfach erneut gestellt werden.

Wichtig:

DNS kann auch TCP verwenden,
zum Beispiel bei größeren Antworten oder Zonentransfers.

QUIC und HTTP/3

QUIC ist ein modernes Transportprotokoll, das auf UDP basiert.

HTTP/3 läuft über QUIC.
QUIC läuft über UDP.
UDP läuft über IP.

Wichtig:

UDP selbst ist einfach und verbindungslos.
QUIC baut darauf eigene Funktionen für Verbindung, Zuverlässigkeit und Verschlüsselung auf.

Das bedeutet:

Nur weil UDP selbst keine TCP-Zuverlässigkeit bietet,
kann ein Protokoll oberhalb von UDP trotzdem eigene Kontrollmechanismen einbauen.

TCP und UDP mit Ports

Sowohl TCP als auch UDP verwenden Ports.

IP-Adresse = welcher Host?
Port        = welcher Dienst?
Socket      = IP-Adresse + Port

Wichtig:

TCP-Port 443 und UDP-Port 443 sind technisch getrennt.

Beispiel:

TCP 443 = HTTPS über TCP
UDP 443 = QUIC / HTTP/3

Ein Dienst kann also denselben Port bei TCP und UDP unterschiedlich verwenden.

Firewall-Bezug

Firewalls können sowohl TCP als auch UDP filtern.

Dabei prüfen sie zum Beispiel:

- Quell-IP
- Ziel-IP
- Quellport
- Zielport
- Protokoll TCP oder UDP

Bei TCP kann eine Stateful Firewall den Verbindungszustand gut erkennen:

SYN → SYN-ACK → ACK → Verbindung steht

Bei UDP gibt es keinen echten Verbindungszustand wie bei TCP. Eine Stateful Firewall kann sich aber trotzdem kurzzeitig merken, dass ein internes Gerät ein UDP-Datagramm nach außen gesendet hat.

Beispiel:

Client sendet DNS-Anfrage per UDP nach außen.
Firewall merkt sich diese Anfrage kurzzeitig.
DNS-Antwort darf zurück.
Unerwartete UDP-Pakete von außen werden blockiert.

TCP versus UDP als Tabelle

Einfacher Vergleich

TCP ist wie ein Einschreiben:

Es wird geprüft, bestätigt und bei Problemen erneut gesendet.

UDP ist wie eine Postkarte:

Sie wird direkt abgeschickt, aber es gibt keine eingebaute Garantie,
dass sie ankommt oder in welcher Reihenfolge sie ankommt.

IHK-sichere Kurzformulierung

TCP ist ein verbindungsorientiertes und zuverlässiges Transportprotokoll. Vor der Datenübertragung wird über den 3-Wege-Handshake eine Verbindung aufgebaut. TCP verwendet Sequenznummern, ACK-Bestätigungen, Reihenfolgekontrolle und erneute Übertragung verlorener Daten. Dadurch eignet sich TCP für Anwendungen, bei denen Daten vollständig und korrekt ankommen müssen.

UDP ist ein verbindungsloses Transportprotokoll mit geringem Verwaltungsaufwand. UDP baut vor dem Senden keine Verbindung auf und bietet keine eingebaute Garantie für Zustellung, Reihenfolge oder erneute Übertragung verlorener Daten. Dadurch eignet sich UDP besonders für Anwendungen, bei denen geringe Verzögerung wichtiger ist als vollständige Kontrolle.

Merksätze

TCP = erst Verbindung aufbauen, dann Nutzdaten senden

UDP = keine Verbindung aufbauen, Daten direkt senden

TCP = zuverlässig, geordnet und kontrolliert

UDP = verbindungslos, schlank und oft latenzärmer

TCP fragt vorher:
"Darf ich eine Verbindung aufbauen?"

UDP sendet direkt:
"Hier sind die Daten."

TCP nutzt SYN, SYN-ACK und ACK für den Verbindungsaufbau.

UDP hat keinen 3-Wege-Handshake.

TCP erkennt fehlende Daten und überträgt sie erneut.

UDP macht das nicht automatisch.

TCP eignet sich für vollständige Daten.

UDP eignet sich für schnelle oder zeitkritische Daten.

8. OSI-Schicht 5 – Sitzungsschicht

9. OSI-Schicht 6 – Darstellungsschicht

10. OSI-Schicht 7 – Anwendungsschicht

11. Firewalls, NAT und DMZ

12. Sniffing, Analyse und Fehlersuche

13. Verschlüsselung und Sicherheitsgrundlagen

13.0 Grundlagen der Verschlüsselung

Kurzüberblick

Verschlüsselung bedeutet, dass lesbare Daten so umgewandelt werden, dass sie ohne passenden Schlüssel nicht mehr verständlich sind.

Aus einer lesbaren Nachricht wird ein unlesbarer Geheimtext.

Beispiel:

Klartext: Hallo Bob
Geheimtext: A4$h!7k9%Lz@8mQ

Erst mit dem passenden Schlüssel kann daraus wieder der ursprüngliche Inhalt entstehen.

IHK-Merksatz:
Verschlüsselung schützt Inhalte vor unbefugtem Mitlesen.

Quelle und Einordnung

Diese Seite gehört zu:

13. Verschlüsselung und Sicherheitsgrundlagen

In unserer BookStack-Struktur steht dieses Kapitel nach:

11. Firewalls, NAT und DMZ
12. Sniffing, Analyse und Fehlersuche

und vor:

14. VPN, Intranet und Extranet

Warum?

Firewalls regeln, wer wohin kommunizieren darf.
Sniffing zeigt, dass Datenverkehr mitgelesen werden kann.
Verschlüsselung schützt den Inhalt der übertragenen oder gespeicherten Daten.
VPN nutzt Verschlüsselung, um sichere Verbindungen über unsichere Netze aufzubauen.

Warum braucht man Verschlüsselung?

Daten werden in Netzwerken oft über Wege übertragen, die man nicht vollständig kontrolliert.

Beispiele:

• Internet
• WLAN
• öffentliche Netze
• Cloud-Dienste
• VPN-Verbindungen
• E-Mail-Kommunikation
• Webzugriffe über HTTPS

Ohne Verschlüsselung könnten Daten leichter mitgelesen oder missbraucht werden.

Typische schützenswerte Daten sind:

• Passwörter
• Zugangsdaten
• persönliche Daten
• Bankdaten
• Kundendaten
• Firmendaten
• Backups
• private Nachrichten

Kurz gesagt:
Verschlüsselung sorgt dafür, dass abgefangene Daten ohne Schlüssel nicht sinnvoll gelesen werden können.

Grundbegriffe

Einfaches Ablaufmodell

Vereinfacht:

Klartext + Schlüssel -> Verschlüsselung -> Geheimtext
Geheimtext + passender Schlüssel -> Entschlüsselung -> Klartext

Die drei wichtigsten Sicherheitsziele

Bei Verschlüsselung und IT-Sicherheit tauchen immer wieder drei Begriffe auf:

IHK-Merksatz:
Vertraulichkeit = nur Berechtigte können lesen
Integrität = Daten wurden nicht verändert
Authentizität = Identität oder Absender ist echt

Vertraulichkeit

Vertraulichkeit bedeutet:

Nur berechtigte Personen oder Systeme können den Inhalt lesen.

Beispiele:

• HTTPS schützt Webdaten.
• VPN schützt Daten über unsichere Netze.
• WPA2 / WPA3 schützt WLAN-Datenverkehr.
• Festplattenverschlüsselung schützt gespeicherte Daten.

Merksatz:
Vertraulichkeit schützt vor Mitlesen.

Integrität

Integrität bedeutet:

Daten wurden nicht verändert.

Man möchte erkennen können, ob eine Nachricht, Datei oder Übertragung manipuliert wurde.

Beispiele:

• Hashwert einer Datei prüfen
• digitale Signatur prüfen
• Prüfsumme vergleichen

Merksatz:
Integrität schützt nicht unbedingt vor Mitlesen, sondern erkennt Veränderungen.

Authentizität

Authentizität bedeutet:

Die Identität ist echt.

Die Leitfrage lautet:

Bist du wirklich derjenige, für den du dich ausgibst?

Beispiele:

• Benutzer meldet sich mit Passwort an.
• Webseite weist sich mit Zertifikat aus.
• Absender signiert eine Nachricht digital.
• Zwei-Faktor-Authentifizierung bestätigt zusätzlich die Identität.

Merksatz:
Authentizität prüft Echtheit.

Was Verschlüsselung leisten kann

Verschlüsselung kann helfen bei:

Was Verschlüsselung allein nicht automatisch leistet

Verschlüsselung ist wichtig, aber sie löst nicht jedes Sicherheitsproblem automatisch.

Achtung Prüfungsfalle:
Verschlüsselung schützt den Inhalt, aber nicht automatisch vor allen Angriffen.

Wichtige Verfahren im Überblick

Symmetrisch, asymmetrisch und hybrid im Kurzvergleich

Kurzform:
Symmetrisch = schnell
Asymmetrisch = Schlüsselübergabe lösen
Hybrid = Praxislösung

Beispiel aus dem Alltag: HTTPS

Wenn du eine Webseite über HTTPS aufrufst, spielen mehrere Sicherheitsbausteine zusammen.

Vereinfacht:

Das genaue Verfahren ist technisch komplexer, aber für die Grundlagen reicht:

HTTPS nutzt mehrere Sicherheitsbausteine zusammen.

Typische Prüfungsfragen zu den Grundlagen

Was bedeutet Verschlüsselung?

Verschlüsselung bedeutet, dass lesbare Daten mit einem Schlüssel in eine unlesbare Form umgewandelt werden.

Was ist Klartext?

Klartext ist die lesbare ursprüngliche Nachricht.

Was ist Geheimtext?

Geheimtext ist die verschlüsselte Form einer Nachricht.

Was ist ein Schlüssel?

Ein Schlüssel ist ein Wert, mit dem Daten ver- oder entschlüsselt werden.

Was bedeutet Vertraulichkeit?

Nur Berechtigte können die Daten lesen.

Was bedeutet Integrität?

Daten wurden nicht verändert.

Was bedeutet Authentizität?

Identität oder Absender ist echt.

Warum ist Verschlüsselung im Netzwerk wichtig?

Weil Daten über unsichere Netze übertragen werden können und vor Mitlesen geschützt werden sollen.

Prüfungsfalle: Verschlüsselung, Hash und Signatur nicht verwechseln

Merksatz:
Verschlüsselung schützt den Inhalt.
Hash prüft Daten.
Signatur prüft Absender und Daten.
Zertifikat prüft Identität.
Steganographie versteckt Nachrichten.

Zusammenfassung

Verschlüsselung ist ein Grundbaustein der Netzwerksicherheit.

Sie wandelt lesbare Daten in eine unlesbare Form um.

Nur mit dem passenden Schlüssel können die Daten wieder entschlüsselt werden.

Für die IHK sind besonders wichtig:

• Vertraulichkeit
• Integrität
• Authentizität
• symmetrische Verschlüsselung
• asymmetrische Verschlüsselung
• hybride Verschlüsselung
• Hashfunktion
• digitale Signatur
• Zertifikate
• Diffie-Hellman
• Perfect Forward Secrecy
• Brute Force
• Zufallszahlen
• One-Time-Pad
• Steganographie

IHK-Spickzettel:
Verschlüsselung = Inhalt schützen
Vertraulichkeit = nur Berechtigte lesen
Integrität = Daten unverändert
Authentizität = Identität echt
Symmetrisch = gleicher Schlüssel
Asymmetrisch = öffentlicher + privater Schlüssel
Hybrid = asymmetrisch für Schlüssel, symmetrisch für Daten

13.1 Symmetrische Verschlüsselung

Kurzüberblick

Bei der symmetrischen Verschlüsselung verwenden Sender und Empfänger denselben geheimen Schlüssel.

Das bedeutet:

• Alice hat den geheimen Schlüssel.
• Bob hat denselben geheimen Schlüssel.
• Eve darf diesen Schlüssel nicht besitzen.
• Mit demselben Schlüssel wird verschlüsselt und entschlüsselt.

IHK-Merksatz:
Symmetrisch bedeutet: ein gemeinsamer geheimer Schlüssel auf beiden Seiten.

Grundidee

Alice möchte Bob eine geheime Nachricht schicken.

Dafür passiert Folgendes:

Einfaches Beispiel

Wichtig ist nicht der Beispieltext selbst, sondern das Prinzip:

Nur wer den gemeinsamen geheimen Schlüssel besitzt, kann die Nachricht wieder lesen.

Eigenschaften der symmetrischen Verschlüsselung

Warum ist symmetrische Verschlüsselung schnell?

Symmetrische Verfahren sind für große Datenmengen gut geeignet, weil sie rechnerisch deutlich effizienter sind als asymmetrische Verfahren.

Darum wird symmetrische Verschlüsselung in der Praxis häufig genutzt für:

• große Dateien
• Datenströme
• VPN-Datenverkehr
• HTTPS-Nutzdaten
• WLAN-Verschlüsselung
• verschlüsselte Backups
• Festplattenverschlüsselung

Kurz gesagt:
Symmetrische Verschlüsselung ist die schnelle Methode für die eigentlichen Nutzdaten.

Das Hauptproblem: Schlüsselübergabe

Der größte Nachteil ist nicht die eigentliche Verschlüsselung, sondern die Frage:

Wie bekommt Bob den geheimen Schlüssel, ohne dass Eve ihn kopieren kann?

Alice und Bob brauchen denselben Schlüssel.
Dieser Schlüssel muss also irgendwie zu Bob gelangen.

Wenn Alice den Schlüssel einfach ungeschützt über das Netzwerk sendet, kann Eve ihn abfangen.

Ablauf des Schlüsselübergabe-Problems

Achtung Prüfungsfalle:
Die Verschlüsselung kann mathematisch stark sein.
Wenn der Schlüssel aber in falsche Hände kommt, ist die Kommunikation trotzdem unsicher.

Was passiert, wenn Eve den Schlüssel bekommt?

Wenn Eve den gemeinsamen geheimen Schlüssel besitzt, kann sie:

• verschlüsselte Nachrichten entschlüsseln
• mitlesen
• eigene Nachrichten verschlüsseln
• sich eventuell als Teilnehmer ausgeben
• die Sicherheit der Verbindung zerstören

Deshalb gilt:

Der Schlüssel ist das eigentliche Geheimnis.

Vorteil und Nachteil auf einen Blick

Warum skaliert das schlecht?

Wenn nur Alice und Bob miteinander kommunizieren, reicht ein gemeinsamer Schlüssel.

Bei vielen Personen wird es schwieriger.

Darum nutzt man in der Praxis oft ein hybrides Verfahren:

• asymmetrisch für den sicheren Schlüsselaustausch
• symmetrisch für die schnelle Datenverschlüsselung

Das wird später bei 13.6 Hybride Verschlüsselung wichtig.

Typische Praxisbeispiele

Typische IHK-Fragen zu symmetrischer Verschlüsselung

Was ist symmetrische Verschlüsselung?

Bei der symmetrischen Verschlüsselung verwenden Sender und Empfänger denselben geheimen Schlüssel zum Ver- und Entschlüsseln.

Was ist der wichtigste Vorteil?

Sie ist schnell und eignet sich gut für große Datenmengen.

Was ist der wichtigste Nachteil?

Der gemeinsame geheime Schlüssel muss sicher an beide Kommunikationspartner verteilt werden.

Was passiert, wenn ein Angreifer den Schlüssel bekommt?

Dann kann der Angreifer die verschlüsselten Daten entschlüsseln. Die Sicherheit ist dann verloren.

Warum verwendet man trotzdem symmetrische Verschlüsselung?

Weil sie sehr effizient ist und deshalb in der Praxis für die eigentlichen Nutzdaten verwendet wird.

Prüfungsfalle: symmetrisch vs. asymmetrisch

Merksatz:
Symmetrisch ist schnell, aber die Schlüsselübergabe ist das Problem.
Asymmetrisch hilft bei der Schlüsselübergabe, ist aber langsamer.

Zusammenfassung

Die symmetrische Verschlüsselung nutzt einen gemeinsamen geheimen Schlüssel.

Dieser Schlüssel wird für beide Richtungen verwendet:

• Alice verschlüsselt mit dem Schlüssel.
• Bob entschlüsselt mit demselben Schlüssel.
• Bob kann auch mit demselben Schlüssel verschlüsseln.
• Alice kann mit demselben Schlüssel entschlüsseln.

Der große Vorteil ist die hohe Geschwindigkeit.

Der große Nachteil ist die sichere Übergabe des Schlüssels.

IHK-Spickzettel:
Symmetrisch = gleicher geheimer Schlüssel
Vorteil = schnell
Nachteil = Schlüsselübergabe
Gefahr = Schlüsselverlust
Praxis = Nutzdatenverschlüsselung bei WLAN, VPN, HTTPS/TLS, Backups und Festplatten

13.2 Asymmetrische Verschlüsselung

Kurzüberblick

Bei der asymmetrischen Verschlüsselung gibt es nicht nur einen gemeinsamen Schlüssel, sondern ein Schlüsselpaar.

Dieses Schlüsselpaar besteht aus:

• einem öffentlichen Schlüssel
• einem privaten Schlüssel

Der öffentliche Schlüssel darf verteilt werden.
Der private Schlüssel bleibt geheim.

IHK-Merksatz:
Asymmetrisch bedeutet: zwei unterschiedliche Schlüssel.
Einer ist öffentlich, einer bleibt privat.

Grundidee

Wenn Alice eine geheime Nachricht an Bob senden möchte, muss Bob zuerst ein Schlüsselpaar erzeugen.

Das ist wichtig:

Der Empfänger des Geheimnisses erzeugt das Schlüsselpaar.

In unserem Beispiel ist Bob der Empfänger.

Bob erzeugt also:

Alice nutzt dann Bobs öffentlichen Schlüssel, um die Nachricht zu verschlüsseln.

Bob nutzt seinen privaten Schlüssel, um die Nachricht zu entschlüsseln.

Warum braucht man zwei Schlüssel?

Bei der symmetrischen Verschlüsselung gibt es ein Problem:

Alice und Bob brauchen denselben geheimen Schlüssel.
Dieser Schlüssel muss sicher übertragen werden.

Bei der asymmetrischen Verschlüsselung ist das anders:

Der öffentliche Schlüssel darf offen verteilt werden.
Dadurch muss kein geheimer Schlüssel ungeschützt verschickt werden.

Kurz gesagt:
Asymmetrische Verschlüsselung hilft beim Problem der sicheren Schlüsselübergabe.

Ablauf: Alice sendet ein Geheimnis an Bob

Einfaches Beispiel

Wichtiger Grundsatz

Was mit dem einen Schlüssel verschlüsselt wird, kann nur mit dem anderen passenden Schlüssel entschlüsselt werden.

Das bedeutet hier:

Merksatz:
Zum geheimen Senden an Bob nutzt Alice Bobs öffentlichen Schlüssel.
Zum Lesen nutzt Bob seinen privaten Schlüssel.

Öffentlicher Schlüssel

Der öffentliche Schlüssel darf verteilt werden.

Er kann zum Beispiel:

• auf einer Webseite stehen
• in einem Zertifikat enthalten sein
• an Kommunikationspartner gesendet werden
• von Alice verwendet werden
• auch von Eve gesehen werden

Das ist nicht schlimm, weil der öffentliche Schlüssel allein nicht zum Entschlüsseln reicht.

Wichtig:
Öffentlich bedeutet nicht unsicher.
Der öffentliche Schlüssel ist dafür gedacht, verteilt zu werden.

Privater Schlüssel

Der private Schlüssel ist das eigentliche Geheimnis.

Er darf nicht weitergegeben werden.

Wenn der private Schlüssel gestohlen wird, ist die Sicherheit gefährdet.

Der private Schlüssel wird genutzt zum Beispiel für:

• Entschlüsseln
• digitale Signatur
• Identitätsnachweis
• Zugriff auf geschützte Kommunikation

Achtung Prüfungsfalle:
Der private Schlüssel wird niemals veröffentlicht.
Er bleibt beim Besitzer.

Vorteile der asymmetrischen Verschlüsselung

Nachteile der asymmetrischen Verschlüsselung

Warum verschlüsselt man nicht einfach alles asymmetrisch?

Asymmetrische Verschlüsselung ist praktisch, aber langsam.

Für große Datenmengen wäre das ineffizient.

Darum nutzt man in der Praxis meistens ein hybrides Verfahren:

• asymmetrisch für den sicheren Schlüsselaustausch
• symmetrisch für die schnelle Datenverschlüsselung

Das ist wichtig für:

• HTTPS
• TLS
• VPN
• sichere Kommunikation im Internet

Kurz gesagt:
Asymmetrisch löst das Schlüsselübergabe-Problem.
Symmetrisch verschlüsselt danach schnell die eigentlichen Daten.

Vergleich: symmetrisch und asymmetrisch

Bezug zur digitalen Signatur

Asymmetrische Verfahren können nicht nur für Verschlüsselung genutzt werden.

Sie können auch für digitale Signaturen genutzt werden.

Dabei ist die Richtung anders:

Wichtig:
Verschlüsselung schützt die Vertraulichkeit.
Signatur prüft Authentizität und Integrität.

Typische Praxisbeispiele

Typische IHK-Fragen zur asymmetrischen Verschlüsselung

Was ist asymmetrische Verschlüsselung?

Bei der asymmetrischen Verschlüsselung gibt es zwei unterschiedliche Schlüssel: einen öffentlichen und einen privaten Schlüssel.

Wer erzeugt das Schlüsselpaar?

Der Empfänger erzeugt das Schlüsselpaar, wenn er verschlüsselte Nachrichten empfangen möchte.

Was passiert mit dem öffentlichen Schlüssel?

Der öffentliche Schlüssel darf verteilt werden.

Was passiert mit dem privaten Schlüssel?

Der private Schlüssel bleibt geheim beim Besitzer.

Welchen Schlüssel nutzt Alice, wenn sie Bob eine geheime Nachricht senden möchte?

Alice nutzt Bobs öffentlichen Schlüssel.

Welchen Schlüssel nutzt Bob zum Entschlüsseln?

Bob nutzt seinen privaten Schlüssel.

Warum ist asymmetrische Verschlüsselung wichtig?

Sie löst das Problem, wie man sicher einen Schlüssel austauschen kann.

Warum nutzt man asymmetrische Verschlüsselung nicht für alle Daten?

Weil sie langsamer ist als symmetrische Verschlüsselung.

Prüfungsfalle: öffentlicher Schlüssel ist nicht geheim

Der öffentliche Schlüssel darf von allen gesehen werden.

Auch Eve darf ihn kennen.

Das ist nicht das Problem.

Das Problem wäre nur, wenn Eve den privaten Schlüssel bekommt.

Achtung:
Öffentlich heißt hier wirklich öffentlich.
Geheim bleiben muss nur der private Schlüssel.

Prüfungsfalle: Wer verschlüsselt mit welchem Schlüssel?

Wenn Alice eine Nachricht geheim an Bob senden möchte:

Merksatz:
Immer an den Empfänger denken:
Wer lesen soll, dessen öffentlicher Schlüssel wird zum Verschlüsseln genutzt.

Zusammenfassung

Die asymmetrische Verschlüsselung nutzt ein Schlüsselpaar:

• öffentlicher Schlüssel
• privater Schlüssel

Der öffentliche Schlüssel darf verteilt werden.

Der private Schlüssel bleibt geheim.

Alice verschlüsselt eine Nachricht für Bob mit Bobs öffentlichem Schlüssel.

Bob entschlüsselt die Nachricht mit Bobs privatem Schlüssel.

Der große Vorteil ist:

• Die Schlüsselübergabe wird einfacher.

Der große Nachteil ist:

• Das Verfahren ist langsamer als symmetrische Verschlüsselung.

IHK-Spickzettel:
Asymmetrisch = öffentlicher + privater Schlüssel
Öffentlich = darf verteilt werden
Privat = bleibt geheim
Verschlüsseln für Bob = Bobs öffentlicher Schlüssel
Entschlüsseln durch Bob = Bobs privater Schlüssel
Vorteil = löst Schlüsselübergabe
Nachteil = langsamer als symmetrisch

13.3 Digitale Signatur

Kurzüberblick

Eine digitale Signatur ist kein Verfahren, um eine Nachricht geheim zu machen.

Eine digitale Signatur dient vor allem dazu zu prüfen:

• Stammt die Nachricht wirklich vom angegebenen Absender?
• Wurde die Nachricht unterwegs verändert?

IHK-Merksatz:
Digitale Signatur = Authentizität + Integrität
Nicht das Hauptziel = Vertraulichkeit

Grundidee

Bei der digitalen Signatur wird das asymmetrische Prinzip anders genutzt als bei der Verschlüsselung.

Bei der Verschlüsselung gilt:

• Alice verschlüsselt mit Bobs öffentlichem Schlüssel.
• Bob entschlüsselt mit Bobs privatem Schlüssel.
• Ziel: Nur Bob soll lesen können.

Bei der Signatur gilt:

• Bob signiert mit seinem privaten Schlüssel.
• Alice prüft mit Bobs öffentlichem Schlüssel.
• Ziel: Alice soll prüfen können, ob es wirklich von Bob stammt.

Wichtigster Unterschied

Kurz gesagt:
Verschlüsselung schützt den Inhalt.
Signatur prüft Echtheit und Unverändertheit.

Welche Schlüssel werden benutzt?

Wenn Bob eine Nachricht signiert:

• Bob benutzt seinen privaten Schlüssel.
• Alice prüft mit Bobs öffentlichem Schlüssel.
• Eve kann Bobs öffentlichen Schlüssel auch besitzen.
• Eve kann damit die Signatur prüfen, aber keine gültige Signatur von Bob erzeugen.

Merksatz:
Signieren = privater Schlüssel
Prüfen = öffentlicher Schlüssel

Ablauf einer digitalen Signatur

Was prüft Alice dadurch?

Wenn die Signaturprüfung erfolgreich ist, weiß Alice:

Wenn die Prüfung fehlschlägt, kann das bedeuten:

• Die Nachricht wurde verändert.
• Die Signatur passt nicht zur Nachricht.
• Die Signatur stammt nicht von Bob.
• Der falsche öffentliche Schlüssel wurde verwendet.
• Der private Schlüssel wurde möglicherweise missbraucht.

Warum wird ein Hash verwendet?

In der Praxis wird normalerweise nicht die komplette Nachricht direkt signiert.

Stattdessen wird zuerst ein Hashwert der Nachricht gebildet.

Ein Hash ist ein Prüfwert fester Länge.

Beispiel:

Schon eine kleine Änderung an der Nachricht verändert den Hashwert stark.

Darum eignet sich ein Hash gut, um Veränderungen an Daten zu erkennen.

Wichtig:
Ein Hash ist keine Verschlüsselung.
Ein Hash wird normalerweise nicht entschlüsselt, sondern verglichen.

Signatur mit Hash – vereinfacht

Bob macht:

Alice macht:

Warum kann Eve die Signatur nicht einfach fälschen?

Eve kann die Nachricht und die Signatur möglicherweise sehen.

Aber Eve besitzt nicht Bobs privaten Schlüssel.

Deshalb kann Eve keine gültige Signatur erzeugen, die wie eine echte Signatur von Bob geprüft werden kann.

Achtung Prüfungsfalle:
Der öffentliche Schlüssel darf bekannt sein.
Gefährlich wäre der Verlust des privaten Schlüssels.

Was passiert bei Manipulation?

Angenommen Bob sendet eine signierte Nachricht an Alice.

Eve verändert unterwegs den Inhalt.

Dann passiert bei Alice:

1. Alice berechnet den Hash der veränderten Nachricht.
2. Alice prüft die Signatur.
3. Der neu berechnete Hash passt nicht mehr zur Signatur.
4. Alice erkennt: Die Nachricht wurde verändert.

Damit ist die Integrität verletzt.

Was eine digitale Signatur leistet

Was eine digitale Signatur nicht automatisch leistet

Eine digitale Signatur macht den Inhalt nicht automatisch geheim.

Wenn Bob eine Nachricht nur signiert, aber nicht verschlüsselt, kann Eve den Inhalt eventuell mitlesen.

Eve kann die Nachricht zwar nicht unbemerkt verändern, aber sie kann den Inhalt sehen.

Darum gilt:

Kombination aus Verschlüsselung und Signatur

In der Praxis kann man Signatur und Verschlüsselung kombinieren.

Beispiel:

Bob möchte Alice eine Nachricht senden.

Dafür kann Bob:

1. die Nachricht signieren
2. die Nachricht für Alice verschlüsseln
3. beides an Alice senden

Alice kann dann:

1. die Nachricht entschlüsseln
2. die Signatur prüfen

Dadurch werden mehrere Sicherheitsziele kombiniert.

Vergleich: Verschlüsselung und Signatur

Beispiel aus dem Alltag

Eine digitale Signatur kann man sich ähnlich wie eine Unterschrift vorstellen.

Aber technisch ist sie stärker, weil sie nicht nur sagt:

„Das kommt von Bob.“

Sondern auch:

„Der Inhalt wurde seit der Signatur nicht verändert.“

Allerdings gilt:

Eine normale Unterschrift steht sichtbar auf einem Dokument.
Eine digitale Signatur ist ein technischer Prüfwert.

Typische Praxisbeispiele

Typische IHK-Fragen zur digitalen Signatur

Was ist eine digitale Signatur?

Eine digitale Signatur ist ein Verfahren, mit dem man die Echtheit des Absenders und die Unverändertheit der Daten prüfen kann.

Welche Sicherheitsziele erfüllt eine digitale Signatur hauptsächlich?

Authentizität und Integrität.

Bietet eine digitale Signatur automatisch Vertraulichkeit?

Nein. Eine digitale Signatur macht den Inhalt nicht automatisch geheim.

Welchen Schlüssel nutzt der Absender zum Signieren?

Der Absender nutzt seinen privaten Schlüssel.

Welchen Schlüssel nutzt der Empfänger zum Prüfen?

Der Empfänger nutzt den öffentlichen Schlüssel des Absenders.

Warum wird häufig ein Hash verwendet?

Weil ein Hash ein kompakter Prüfwert der Nachricht ist und Veränderungen an der Nachricht erkennbar macht.

Was passiert, wenn die Nachricht nachträglich verändert wird?

Die Signaturprüfung schlägt fehl, weil der Hash nicht mehr passt.

Prüfungsfalle: Signatur ist nicht Verschlüsselung

Eine digitale Signatur bedeutet nicht automatisch, dass niemand die Nachricht lesen kann.

Beispiel:

Bob sendet eine signierte, aber unverschlüsselte Nachricht.

Dann kann Alice prüfen:

• Nachricht stammt von Bob.
• Nachricht wurde nicht verändert.

Aber Eve könnte den Inhalt trotzdem lesen, wenn sie die Übertragung sieht.

Merksatz:
Signatur schützt nicht automatisch vor Mitlesen.
Dafür braucht man Verschlüsselung.

Prüfungsfalle: Wer benutzt welchen Schlüssel?

Kurzform:
Geheim an Bob senden: Bobs öffentlicher Schlüssel
Bob unterschreibt digital: Bobs privater Schlüssel
Alice prüft Bob: Bobs öffentlicher Schlüssel

Zusammenfassung

Die digitale Signatur nutzt asymmetrische Kryptografie.

Der Absender signiert mit seinem privaten Schlüssel.

Der Empfänger prüft mit dem öffentlichen Schlüssel des Absenders.

Dadurch kann geprüft werden:

• Ist der Absender echt?
• Wurde die Nachricht verändert?

Die digitale Signatur schützt aber nicht automatisch die Vertraulichkeit.

IHK-Spickzettel:
Digitale Signatur = Authentizität + Integrität
Signieren = privater Schlüssel des Absenders
Prüfen = öffentlicher Schlüssel des Absenders
Hash = Prüfwert der Nachricht
Vertraulichkeit = nur mit Verschlüsselung

13.4 Hybride Verschlüsselung

Kurzüberblick

Die hybride Verschlüsselung kombiniert zwei Verfahren:

• asymmetrische Verschlüsselung für den sicheren Schlüsselaustausch
• symmetrische Verschlüsselung für die schnelle Verschlüsselung der eigentlichen Daten

IHK-Merksatz:
Hybrid = asymmetrisch für den sicheren Schlüsselaustausch,
symmetrisch für die schnelle Datenverschlüsselung.

Quelle 11.3.5 – Lösung: Übergabe des symmetrischen Schlüssels

Das Problem aus der symmetrischen Verschlüsselung war:

Alice und Bob brauchen denselben geheimen Schlüssel.
Aber wie bekommt Bob diesen Schlüssel sicher?

Die Lösung:

Man überträgt nicht direkt ein Geheimnis mit asymmetrischer Verschlüsselung, sondern nutzt asymmetrische Verschlüsselung, um den symmetrischen Schlüssel sicher zu übergeben.

Danach wird mit diesem symmetrischen Schlüssel die eigentliche Nachricht schnell verschlüsselt.

Warum braucht man ein hybrides Verfahren?

Symmetrische Verschlüsselung ist schnell, hat aber ein Problem bei der Schlüsselübergabe.

Asymmetrische Verschlüsselung löst die Schlüsselübergabe, ist aber langsamer.

Hybrid kombiniert beide Vorteile.

Kurz gesagt:
Hybrid nutzt asymmetrisch nur für den Schlüssel.
Die Nutzdaten werden danach symmetrisch verschlüsselt.

Grundidee

Alice möchte Bob Daten sicher senden.

Dafür passiert Folgendes:

1. Alice erzeugt einen zufälligen symmetrischen Sitzungsschlüssel.
2. Alice verschlüsselt die eigentlichen Daten mit diesem Sitzungsschlüssel.
3. Alice verschlüsselt den Sitzungsschlüssel mit Bobs öffentlichem Schlüssel.
4. Alice sendet die verschlüsselten Daten und den verschlüsselten Sitzungsschlüssel an Bob.
5. Bob entschlüsselt den Sitzungsschlüssel mit seinem privaten Schlüssel.
6. Bob entschlüsselt die Daten mit dem Sitzungsschlüssel.

Begriffe

Ablauf Schritt für Schritt

Beispiel

Alice möchte Bob WLAN-Anmeldedaten senden.

Die eigentlichen Daten sind:

SSID: Firma-WLAN
Passwort: geheim123

13.5 Hashfunktion und Zertifikate

Kurzüberblick

Hashfunktionen und Zertifikate gehören zu den wichtigsten Grundlagen der IT-Sicherheit.

Sie lösen unterschiedliche Aufgaben:

IHK-Merksatz:
Hash = Integrität prüfen
Zertifikat = Identität mit öffentlichem Schlüssel verbinden

Quelle 11.4 – Einordnung in die Sicherheitsziele

In der Quelle werden drei Sicherheitsziele besonders hervorgehoben:

Diese Seite konzentriert sich auf:

• Hashfunktion
• Zertifikate
• Zusammenhang mit Signatur und HTTPS

Hashfunktion

Eine Hashfunktion erzeugt aus Daten einen Prüfwert.

Dieser Prüfwert heißt:

• Hash
• Hashwert
• Fingerabdruck
• Prüfsumme im weiteren Sinn

Beispiel:

Schon eine kleine Änderung an der Eingabe verändert den Hashwert stark.

Kurz gesagt:
Ein Hash ist wie ein digitaler Fingerabdruck von Daten.

Wofür braucht man Hashwerte?

Hashwerte werden genutzt, um Veränderungen zu erkennen.

Beispiele:

• Datei wurde verändert
• Download ist beschädigt
• Nachricht wurde manipuliert
• Passwort wird nicht direkt im Klartext gespeichert
• digitale Signatur prüft den Hash einer Nachricht