# Netzwerktechnik # Windows --> Linux # SSH-KEY-LOGIN (Windows → Ubuntu) 1. Key auf Windows erstellen --- ssh-keygen -t ed25519 → Dateien: C:\\Users<WindowsUser>.ssh\\id\_ed25519 (PRIVATE) C:\\Users<WindowsUser>.ssh\\id\_ed25519.pub (PUBLIC) - 2. Public Key per SCP auf den Server kopieren (in Windows) --- scp $env:USERPROFILE.ssh\\id\_ed25519.pub admini@192.168.33.XXX:~/id\_ed25519.pub - 3. Auf dem Server: Key in authorized\_keys eintragen (in Linux) --- ssh admini@ 192.168.33.XXX mkdir -p ~/.ssh cat ~/id\_ed25519.pub >> ~/.ssh/authorized\_keys rm ~/id\_ed25519.pub - 4. Auf dem Server: Rechte setzen (sonst kann SSH ablehnen) --- chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized\_keys - 5. Test von Windows --- ssh admini@ 192.168.33.XXX # Klausurvorbereitung 27. Mai # Zusammenfassung: Schicht 4, Ports, NAT, Firewall und DMZ **Zusammenfassung: Schicht 4, Ports, NAT, Firewall und DMZ** **Bereich:** Seite 64 bis einschließlich Seite 94 **Themen:** Ports, TCP, UDP, QUIC, Portknocking, Portforwarding, NAT/PAT, Allowlist/Blocklist, Firewall, iptables, DMZ --- **1. Schicht 4 – Transportschicht** Die Schicht 4 ist die Transportschicht. Sie sorgt dafür, dass Daten nicht nur zu einem bestimmten Rechner gelangen, sondern auch zur richtigen Anwendung oder zum richtigen Dienst auf diesem Rechner. Wichtige Themen der Schicht 4: - Ports - TCP - UDP - QUIC - Portknocking - Portforwarding / Destination NAT - NAT / PAT / Source NAT - Allowlist und Blocklist Die IP-Adresse bestimmt den Host. Der Port bestimmt den Dienst oder das Programm auf diesem Host. Beispiel: ```text 192.168.1.11:80 ``` Das bedeutet: ```text Host: 192.168.1.11 Dienst/Port: 80 ``` Port 80 steht typischerweise für HTTP. Die Kombination aus IP-Adresse und Port nennt man Socket. --- **Grafik 1: IP-Adresse, Port und Socket** Socket = IP-Adresse + Port IP-Adresse 192.168.1.11 bestimmt den Host : Port 80 bestimmt den Dienst Dienst HTTP Webserver --- **2. Warum braucht man Ports?** Ein Rechner kann mehrere Netzwerkprogramme gleichzeitig ausführen. Beispiele: - Webbrowser - Mailprogramm - Dateifreigabe - Druckdienst - Datenbankdienst - Webserver Nur mit der IP-Adresse weiß man zwar, welcher Rechner gemeint ist. Man weiß aber noch nicht, welche Anwendung auf diesem Rechner gemeint ist. Vergleich: ```text IP-Adresse = Adresse eines Mehrfamilienhauses Port = Name oder Wohnung der Person im Haus ``` Beispiel Printserver: ```text 10.1.1.1:9100 = Laserdrucker 10.1.1.1:9101 = Tintenstrahldrucker 10.1.1.1:9102 = Nadeldrucker ``` Alle Drucker haben dieselbe IP-Adresse, aber unterschiedliche Ports. --- **3. Schreibweise von IP-Adresse und Port** Bei IPv4 schreibt man: ```text IPv4-Adresse:Port 192.168.1.11:80 ``` Bei IPv6 muss die Adresse in eckige Klammern: ```text [IPv6-Adresse]:Port [2001:1234:5678:90AB:CDEF:1A2B:3C4D:5E6F]:80 ``` Wichtig: ```text IP-Adresse + Port = Socket ``` --- **4. Aufteilung der Ports** Ports sind in drei große Bereiche eingeteilt. | Bereich | Portnummern | Bedeutung | |---|---:|---| | System Ports | 0 bis 1023 | feste, bekannte Dienste | | User Ports | 1024 bis 49151 | registrierte Anwendungsports | | Dynamic/Private Ports | 49152 bis 65535 | temporäre Ports für kurzfristige Verbindungen | --- **5. Wichtige System Ports** Diese Ports sollte man für Prüfung und Praxis kennen: | Port | Dienst | Protokoll | |---:|---|---| | 20 / 21 | FTP | TCP | | 22 | SSH | TCP | | 25 | SMTP | TCP | | 53 | DNS | meist UDP | | 67 / 68 | DHCP | UDP | | 80 | HTTP | TCP | | 110 | POP3 | TCP | | 123 | NTP | meist UDP | | 143 | IMAP | TCP | | 443 | HTTPS | TCP | | 445 | SMB / Samba | TCP | --- **6. Wichtige User Ports** | Port | Dienst | Protokoll | |---:|---|---| | 3128 | Squid Proxy | TCP | | 3306 | MySQL | TCP | | 9100 | HP-Druckerport | TCP | | 10000 | Webmin | TCP | --- **7. UDP** UDP ist ein einfaches Transportprotokoll. Eigenschaften: - verbindungslos - schneller als TCP - weniger Verwaltungsaufwand - keine eingebaute Garantie, dass Pakete ankommen - keine eingebaute Reihenfolgekontrolle - wird häufig genutzt, wenn Geschwindigkeit wichtiger ist als perfekte Kontrolle Typische Beispiele: - DNS - DHCP - NTP - Streaming - VoIP - Online-Gaming Merksatz: ```text UDP ist schnell, aber nicht besonders kontrollierend. ``` --- **8. TCP** TCP ist verbindungsorientiert. Eigenschaften: - baut eine Verbindung auf - bestätigt empfangene Daten - kontrolliert Reihenfolge und Vollständigkeit - ist zuverlässiger als UDP - erzeugt aber mehr Verwaltungsaufwand Typische Beispiele: - HTTP - HTTPS - SSH - FTP - SMTP - IMAP - POP3 - SMB Merksatz: ```text TCP ist kontrollierter, aber aufwendiger. ``` --- **9. TCP-Verbindungsaufbau: 3-Wege-Handshake** Beim TCP-Verbindungsaufbau werden drei Schritte genutzt. 1. Client sendet SYN. 2. Server antwortet mit SYN + ACK. 3. Client bestätigt mit ACK. Danach ist die Verbindung aufgebaut. --- **Grafik 2: TCP 3-Wege-Handshake** TCP-Verbindungsaufbau: 3-Wege-Handshake Client Server 1. SYN 2. SYN + ACK 3. ACK Verbindung ist aufgebaut --- **10. TCP-Verbindungsabbau: 4-Wege-Handshake** Beim Verbindungsabbau werden vier Schritte genutzt. 1. Client sendet FIN. 2. Server bestätigt mit ACK. 3. Server sendet ebenfalls FIN. 4. Client bestätigt mit ACK. Danach ist die Verbindung sauber beendet. Merksatz: ```text TCP-Aufbau: 3 Schritte TCP-Abbau: 4 Schritte ``` --- **11. TCP und Sicherheit** Beim TCP-Verbindungsaufbau kann es zu Angriffen kommen, zum Beispiel SYN-Flood-Angriffen. Dabei werden viele SYN-Anfragen an einen Server gesendet. Der Server wartet auf die abschließende Bestätigung, bekommt diese aber nicht oder nicht vollständig. Dadurch können Ressourcen blockiert werden. Das gehört zum Bereich Denial-of-Service beziehungsweise Distributed-Denial-of-Service. --- **12. QUIC** QUIC soll Vorteile von UDP und TCP kombinieren. Eigenschaften: - basiert technisch auf UDP - soll schneller und moderner sein - arbeitet immer mit Verschlüsselung - wird besonders im modernen Web wichtig Merksatz: ```text QUIC versucht, UDP-Geschwindigkeit mit TCP-ähnlicher Zuverlässigkeit und Verschlüsselung zu verbinden. ``` --- **13. Portknocking** Portknocking bedeutet sinngemäß: ```text Erst richtig anklopfen, dann wird etwas freigegeben. ``` Dabei werden von außen bestimmte Ports in einer festgelegten Reihenfolge angesprochen. Beispiel: ```text 11.1.2.4:1111 11.1.2.4:2222 11.1.2.4:3333 ``` Nur wenn diese Reihenfolge stimmt, löst die Firewall oder der Router ein Ereignis aus. Beispiel aus dem Kochbuch: ```text Portknocking löst Wake-on-LAN aus. Der interne Webserver startet. Danach kann ein Zugriff erfolgen. ``` Vorteil: - Dienste müssen nicht dauerhaft offen sichtbar sein. Nachteil: - zusätzlicher Verwaltungsaufwand - kein Ersatz für echte Authentifizierung oder sichere Dienste --- **14. Portforwarding / Destination NAT** Portforwarding leitet Anfragen von außen nach innen weiter. Ziel: ```text Internet -> Router/Firewall -> interner Server ``` Beispiel: ```text Externe Adresse: 11.1.2.4:80 Weiterleitung auf: 192.168.178.11:80 ``` Oder: ```text 11.1.2.4:81 -> 192.168.178.22:80 ``` Dadurch können zwei interne Webserver von außen erreichbar gemacht werden, obwohl beide intern Port 80 nutzen. Wichtig: Die externe IP-Adresse bleibt gleich. Die externen Ports unterscheiden, welcher interne Dienst gemeint ist. --- **Grafik 3: Portforwarding / Destination NAT** Portforwarding / Destination NAT Internet Laptop extern Router / Firewall 11.1.2.4 Port 80 -> Server 1 Port 81 -> Server 2 Webserver 1 192.168.178.11:80 Webserver 2 192.168.178.22:80 11.1.2.4:80 -> :80 -> :80 --- **15. Sicherheitsproblem bei Portforwarding** Portforwarding ist praktisch, aber nicht besonders sicher. Problem: ```text Von außen wird ein direkter Weg in das interne Netz geschaffen. ``` Das kann gefährlich sein, wenn der interne Dienst schlecht abgesichert ist. Besser: - möglichst kein unnötiges Portforwarding - VPN oder Tailscale verwenden - Dienste aktuell halten - starke Authentifizierung nutzen - Firewall-Regeln sauber setzen - Zugriff einschränken - Portforwarding eventuell mit Portknocking kombinieren --- **16. NAT / PAT / Source NAT** Im Alltag sagt man oft NAT. Genauer ist bei vielen Heimroutern eigentlich PAT. PAT bedeutet Port Address Translation. Ziel: ```text Mehrere interne Geräte teilen sich eine öffentliche IP-Adresse. ``` Beispiel: ```text Interner PC: 192.168.178.11 Fritz!Box extern: 11.1.2.4 Ziel im Internet: 193.99.144.85:80 ``` Der interne PC kann nicht direkt mit seiner privaten IP-Adresse ins Internet. Die Fritz!Box ersetzt deshalb die interne Quelladresse durch ihre öffentliche Adresse und merkt sich den Zusammenhang in einer Tabelle. --- **17. Ablauf bei NAT / PAT** Beispiel: ```text PC möchte Webseite öffnen: 192.168.178.11:55555 -> 193.99.144.85:80 ``` Die Fritz!Box erstellt einen Fake-Port: ```text 11.1.2.4:60000 -> 193.99.144.85:80 ``` Wenn die Antwort aus dem Internet zurückkommt, schaut die Fritz!Box in ihrer Tabelle nach: ```text 11.1.2.4:60000 gehört intern zu 192.168.178.11:55555 ``` Dann leitet sie die Antwort an den richtigen internen PC weiter. --- **Grafik 4: NAT / PAT / Source NAT** NAT / PAT / Source NAT Interner PC 192.168.178.11:55555 Fritz!Box extern: 11.1.2.4 Fake-Port: 60000 merkt sich Zuordnung Webserver 193.99.144.85:80 Anfrage 11.1.2.4:60000 Antwort an Fake-Port zurück an PC --- **18. Unterschied Portforwarding und NAT/PAT** | Begriff | Richtung | Zweck | |---|---|---| | Portforwarding / Destination NAT | extern nach intern | Zugriff aus dem Internet auf internen Dienst | | NAT / PAT / Source NAT | intern nach extern | interne Geräte nutzen gemeinsam eine öffentliche IP | Merksatz: ```text Portforwarding: Internet möchte nach innen. NAT/PAT: internes Netz möchte nach außen. ``` --- **19. Allowlist und Blocklist** Früher sagte man Whitelist und Blacklist. Heute sagt man besser Allowlist und Blocklist. --- **20. Allowlist** Grundprinzip: ```text Alles ist verboten, außer es steht ausdrücklich in der Allowlist. ``` Beispiel: ```text Allowlist: web.de ``` Dann gilt: ```text web.de erlaubt gmx.de verboten gmail.de verboten ``` Vorteil: - sehr streng - schützt gut vor unerwünschtem Zugriff Nachteil: - hoher Pflegeaufwand - neue erlaubte Seiten müssen ständig ergänzt werden --- **21. Blocklist** Grundprinzip: ```text Alles ist erlaubt, außer es steht ausdrücklich in der Blocklist. ``` Beispiel: ```text Blocklist: gmx.de gmail.de ``` Dann gilt: ```text web.de erlaubt gmx.de verboten gmail.de verboten ``` Vorteil: - einfacher zu betreiben als reine Allowlist - gut für bekannte unerwünschte Seiten Nachteil: - niemals vollständig - neue gefährliche Seiten können noch fehlen - manchmal werden Seiten gesperrt, die eigentlich erlaubt sein sollen --- **22. Kombination aus Allowlist und Blocklist** Praktische Lösung: ```text Zuerst Allowlist prüfen. Danach Blocklist prüfen. ``` Beispiel: ```text Allowlist: gmail.de Blocklist: gmx.de gmail.de ``` Dann gilt: ```text web.de erlaubt, weil in keiner Liste verboten gmx.de verboten, weil in Blocklist gmail.de erlaubt, weil Allowlist Vorrang hat ``` Das ist oft sinnvoller als nur eine reine Allowlist oder nur eine reine Blocklist. --- **23. SquidGuard** SquidGuard kann Webseiten nach Kategorien filtern. Beispiele für Kategorien: - Dating - Mailing - Hacking - Werbung - Malware - Glücksspiel Das Ausrufezeichen bedeutet „nicht“ beziehungsweise „verboten“. Beispielhafte Logik: ```text Allowlist !Dating !Mailing !Hacking any ``` Sinngemäß: 1. Prüfe zuerst Allowlist. 2. Wenn Treffer in Allowlist: erlauben. 3. Wenn kein Treffer: prüfe verbotene Kategorien. 4. Wenn Treffer in verbotener Kategorie: sperren. 5. Wenn kein Treffer: erlauben. --- **24. Firewalls** Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie entscheidet: ```text Darf dieses Paket durch? Ja oder Nein? ``` Firewalls können auf verschiedenen Ebenen arbeiten: - Host-Firewall - Unternehmens-Firewall - Paketfilter-Firewall - Stateful-Packet-Inspection-Firewall --- **25. Personal-Firewall und Unternehmens-Firewall** | Firewall-Typ | Aufgabe | |---|---| | Personal-Firewall | schützt einen einzelnen PC oder Server | | Unternehmens-Firewall | schützt ein ganzes LAN oder Teilnetze | --- **26. Paketfilter-Firewall** Eine Paketfilter-Firewall ist einfacher und älter. Problem: Bei klassischen Paketfiltern muss häufig Hinweg und Rückweg erlaubt werden. Beispiel: ```text Client -> Server erlauben Server -> Client ebenfalls erlauben ``` Das ist fehleranfälliger. --- **27. Stateful Packet Inspection Firewall** Eine SPI-Firewall merkt sich den Zustand einer Verbindung. Vorteil: ```text Nur der Hinweg muss ausdrücklich erlaubt werden. Der Rückweg wird automatisch als passende Antwort erkannt. ``` Das ist moderner und sicherer. Beispiel: ```text Intern -> Internet erlaubt Antwort Internet -> Intern wird automatisch erkannt ``` --- **28. Steuerbare Schichten einer SPI-Firewall** Eine SPI-Firewall kann mehrere Bedingungen prüfen. | OSI-Schicht | Prüfbares Merkmal | |---|---| | Schicht 2 | MAC-Adresse | | Schicht 3 | IP-Adresse | | Schicht 4 | TCP oder UDP | | Schicht 5 bis 7 | Port / Anwendung | Wichtig: ```text Alle angegebenen Bedingungen sind logisch UND-verknüpft. ``` Beispiel: ```text Nur diese MAC-Adresse UND nur diese IP-Adresse UND nur TCP UND nur Port 22 ``` Dann darf nur genau dieser passende Verkehr durch. Wichtiger Merksatz: ```text Was nicht abgefragt wird, ist erlaubt. ``` Das bedeutet: Wenn eine Regel keine MAC-Adresse prüft, ist die MAC-Adresse für diese Regel egal. --- **29. Firewall als Brücke zwischen intern und extern** Im Kochbuch wird die Firewall mit einer Brücke zwischen Insel und Festland verglichen. - Insel = internes sicheres Netz - Festland = externes unsicheres Netz - Brücke = Firewall - Wachmannschaft = Linux-System mit Firewall - grüne Seite = internes Netz - rote Seite = externes Netz Die Firewall kontrolliert, wer von innen nach außen und von außen nach innen darf. --- **30. iptables: INPUT, OUTPUT und FORWARD** Bei iptables gibt es drei wichtige Regelketten. | Regelkette | Bedeutung | |---|---| | INPUT | Verkehr zur Firewall selbst | | OUTPUT | Verkehr von der Firewall selbst nach außen | | FORWARD | Verkehr, der durch die Firewall hindurchgeleitet wird | --- **Grafik 5: INPUT, OUTPUT und FORWARD** iptables: INPUT, OUTPUT und FORWARD Intern eth0 / grün Firewall Linux INPUT OUTPUT FORWARD Extern eth1 / rot INPUT OUTPUT FORWARD = Verkehr durch die Firewall hindurch --- **31. FORWARD** FORWARD betrifft Datenverkehr, der durch die Firewall hindurchgeht. Beispiele: ```text internes Netz -> Firewall -> Internet Internet -> Firewall -> internes Netz ``` FORWARD ist wichtig, wenn die Firewall als Router zwischen zwei Netzen arbeitet. --- **32. INPUT** INPUT betrifft Datenverkehr, der direkt an die Firewall selbst gerichtet ist. Beispiele: ```text Admin-PC -> Firewall per SSH Monitoring-Server -> Firewall Ping an Firewall ``` --- **33. OUTPUT** OUTPUT betrifft Datenverkehr, der von der Firewall selbst erzeugt wird. Beispiele: ```text Firewall -> NTP-Server Firewall -> DNS-Server Firewall -> Update-Server ``` --- **34. Beispiel einfache Firewall** Beim Erstellen einer Firewall-Regel muss man sich immer fragen: - Wo ist die Quelle? - Wo ist das Ziel? - Ist es INPUT, OUTPUT oder FORWARD? - Wird TCP, UDP oder ICMP genutzt? - Welcher Port wird genutzt? - Ist die IP-Adresse ein einzelner Host oder ein ganzes Netz? - Muss eine Subnetzmaske angegeben werden? - Soll zusätzlich die MAC-Adresse geprüft werden? Wichtig: ```text ICMP hat keinen Port. ``` --- **35. iptables-Syntax aus dem Kochbuch** Beispielhafte Regeln: ```bash $FT $MP -s 192.168.2.0/24 -d 192.168.1.2 --dports 80,3128 $R $IT $MAC 1A:2B:3C:4D:5E:6F -s 192.168.2.2 -d 192.168.2.1 --dport 22 $R $OU -s 192.168.1.1 -d 192.168.1.2 --dport 123 $R ``` Bedeutung: | Kürzel / Option | Bedeutung | |---|---| | FT | FORWARD TCP | | IT | INPUT TCP | | OU | OUTPUT UDP | | MP | Multiport, also mehrere Ports | | -s | Source / Quelle | | -d | Destination / Ziel | | --dport | ein Ziel-Port | | --dports | mehrere Ziel-Ports | | MAC | MAC-Adresse zusätzlich prüfen | | ACCEPT | Regel erlaubt den Verkehr | | DROP | Paket wird verworfen | --- **36. Catch-all-Regel** Am Ende steht häufig: ```bash iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP ``` Bedeutung: ```text Alles, was vorher nicht ausdrücklich erlaubt wurde, wird verboten. ``` Das ist ein sehr wichtiges Firewall-Prinzip. Merksatz: ```text Erst erlauben, was gebraucht wird. Dann alles andere blockieren. ``` --- **37. Praktische Umsetzung einer einfachen Firewall** Für das einfache Beispiel braucht man: - Linux-PC - zwei Netzwerkkarten - Root-Rechte - iptables-Skript - passende IP-Adressen auf den Netzwerkkarten Beispiel: ```text Netzwerkkarte 1: 192.168.1.1 Netzwerkkarte 2: 192.168.2.1 ``` Typische Befehle: ```bash sudo -s chmod 755 alle.sh ./alle.sh ``` --- **38. DMZ – Demilitarisierte Zone** Eine DMZ ist ein separates Zwischennetz. Sie wird genutzt für Server, die sowohl von intern als auch von extern erreichbar sein sollen. Beispiele: - Webserver - Mailserver - DNS-Server - Reverse Proxy Die DMZ liegt nicht direkt im internen LAN. Ziel: ```text Wenn ein öffentlicher Server angegriffen wird, soll nicht direkt das interne LAN betroffen sein. ``` --- **39. DMZ-Farben** Typische Darstellung: | Bereich | Farbe | |---|---| | Internes LAN | grün | | Externes Netz / Internet | rot | | DMZ | orange | --- **40. Zwei-stufiges DMZ-Konzept** Das zwei-stufige Konzept nutzt zwei Firewalls. Aufbau: ```text Internet -> Firewall 1 -> DMZ -> Firewall 2 -> internes LAN ``` Vorteile: - sicherer - doppelte Verteidigungslinie - in IHK-Prüfungen oft bevorzugt Nachteile: - aufwendiger - zwei Firewalls - zwei Regelwerke - Routing muss sauber geplant werden Merksatz: ```text Zwei-stufige DMZ = sicherer, aber aufwendiger. ``` --- **41. Ein-stufiges DMZ-Konzept** Das ein-stufige Konzept nutzt eine Firewall mit drei Netzwerkkarten. Aufbau: ```text Internes LAN | Firewall mit 3 Netzwerkkarten | Internet | DMZ ``` Vorteile: - weniger Aufwand - nur eine Firewall - nur ein Regelwerk Nachteile: - weniger sicher als zwei-stufiges Konzept - nur eine Verteidigungslinie Merksatz: ```text Ein-stufige DMZ = einfacher, aber unsicherer. ``` --- **Grafik 6: Ein-stufige DMZ mit drei Netzwerkkarten** Ein-stufige DMZ Firewall 3 Netzwerkkarten Internes LAN grün Internet rot DMZ orange --- **Grafik 7: Zwei-stufige DMZ** Zwei-stufige DMZ Internet rot Firewall 1 DMZ orange Firewall 2 Internes LAN --- **42. Komplexere Firewall mit DMZ** Im komplexeren Beispiel wird eine Linux-Maschine mit drei Netzwerkkarten als Firewall eingesetzt. Beispielhafte Netze: ```text Externes Netz: 192.168.1.0/24 Internes Netz: 192.168.2.0/24 DMZ: 192.168.3.0/24 ``` Die Firewall hat dann zum Beispiel: ```text 1. Netzwerkkarte: 192.168.1.1 2. Netzwerkkarte: 192.168.2.1 3. Netzwerkkarte: 192.168.3.1 ``` Regeln können dann zum Beispiel erlauben: - internes Netz darf Web/Proxy nach extern nutzen - interner Host darf per SSH auf Firewall - interner Admin-PC darf per SSH auf DMZ-Server - internes Netz darf DNS-Server in der DMZ nutzen - Firewall darf NTP nach außen nutzen Alles andere wird durch DROP verworfen. --- **43. Prüfungssichere Merksätze** ```text IP-Adresse = welcher Host? Port = welcher Dienst? Socket = IP-Adresse + Port TCP (Transmission Control Protocol) = verbindungsorientiert und zuverlässig TCP ist wie ein Einschreiben mit Rückschein. Es ist extrem zuverlässig, aber durch die vielen Kontrollen etwas langsamer. TCP baut vor der eigentlichen Datenübertragung eine Verbindung auf. Dafür wird der sogenannte Three-Way-Handshake verwendet. Vereinfacht: 1. Client fragt: Darf ich eine Verbindung aufbauen? 2. Server antwortet: Ja, ich bin bereit. 3. Client bestätigt: Verbindung steht. UDP (User Datagram Protocol) = verbindungslos und schnell Verbindungslos: Es wird keine formelle Verbindung (kein "Handshake") zwischen Sender und Empfänger aufgebaut, bevor Daten gesendet werden. Daten werden einfach "abgeschickt" Unzuverlässig: Es gibt keine Empfangsbestätigung und keine Prüfung, ob ein Paket angekommen ist. Geht ein Paket verloren, wird es nicht erneut gesendet. UDP ist wie das Werfen eines Balls. Es sendet Daten einfach los, ohne zu prüfen, ob sie ankommen. Es ist rasend schnell und wird daher oft für Live-Streaming, Online-Gaming oder Telefonie (VoIP) genutzt. QUIC = modernes Protokoll auf UDP-Basis mit Verschlüsselung Portforwarding = von außen nach innen NAT/PAT (Network/Port Address Translation) = von innen nach außen über eine gemeinsame öffentliche IP NAT/PAT = interne private Adressen werden beim Zugriff nach außen in eine öffentliche Adresse übersetzt. Allowlist = alles verboten außer erlaubt Blocklist = alles erlaubt außer verboten SPI-Firewall (Stateful Packet Inspection) = merkt sich Verbindungszustände Erklärung: ist eine hochentwickelte Sicherheitstechnologie in Routern und Firewalls. Sie schützt Netzwerke, indem sie Datenpakete nicht nur einzeln bewertet, sondern den gesamten Kontext und Verbindungsstatus (den "Zustand") einer Kommunikation überwacht und speichert. INPUT = zur Firewall selbst OUTPUT = von der Firewall selbst FORWARD = durch die Firewall hindurch Portforwarding = eingehende Verbindung von außen wird gezielt an ein internes Gerät weitergeleitet. DMZ = separates Zwischennetz für öffentlich erreichbare Server Zwei-stufige DMZ = sicherer, aber aufwendiger Ein-stufige DMZ = einfacher, aber unsicherer ``` --- **44. Mini-Vergleich: wichtigste Begriffe** | Begriff | Kurz erklärt | |---|---| | Port | Nummer für Dienst oder Anwendung | | Socket | Kombination aus IP-Adresse und Port | | TCP | zuverlässige Verbindung mit Aufbau und Abbau | | UDP | schnelle, verbindungslose Übertragung | | QUIC | modernes, verschlüsseltes Protokoll auf UDP-Basis | | Portknocking | richtige Port-Reihenfolge löst Ereignis aus | | Portforwarding | externer Port wird auf internen Dienst weitergeleitet | | NAT/PAT | interne Geräte teilen sich öffentliche IP-Adresse | | Allowlist | nur ausdrücklich Erlaubtes ist erlaubt | | Blocklist | alles erlaubt außer ausdrücklich Verbotenem | | Firewall | kontrolliert Netzwerkverkehr anhand von Regeln | | SPI | Stateful Packet Inspection, merkt sich Verbindungen | | INPUT | Pakete zur Firewall | | OUTPUT | Pakete von der Firewall | | FORWARD | Pakete durch die Firewall | | DMZ | separates Netz für Dienste zwischen intern und extern | --- **45. Typische Prüfungsfrage: Was ist der Unterschied zwischen NAT und Portforwarding?** NAT/PAT wird genutzt, wenn interne Geräte ins Internet wollen. Dabei ersetzt der Router die private Quelladresse durch seine öffentliche IP-Adresse und merkt sich die Verbindung über Ports. Portforwarding wird genutzt, wenn externe Geräte aus dem Internet auf einen internen Dienst zugreifen sollen. Dabei wird ein externer Port auf eine interne IP-Adresse und einen internen Port weitergeleitet. Kurz: ```text NAT/PAT: innen -> außen Portforwarding: außen -> innen ``` --- **46. Typische Prüfungsfrage: Warum ist eine DMZ sinnvoll?** Eine DMZ trennt öffentlich erreichbare Server vom internen LAN. Wenn ein Webserver in der DMZ angegriffen oder kompromittiert wird, liegt er nicht direkt im internen Netz. Dadurch wird das interne LAN besser geschützt. Kurz: ```text DMZ = Sicherheitszone zwischen Internet und internem LAN. ``` --- **47. Typische Prüfungsfrage: Warum ist eine SPI-Firewall besser als ein einfacher Paketfilter?** Eine SPI-Firewall merkt sich den Zustand einer Verbindung. Wenn ein interner Client eine Verbindung nach außen aufbaut, erkennt die Firewall die passende Antwort automatisch. Man muss den Rückweg nicht separat freigeben. Kurz: ```text Paketfilter: Hinweg und Rückweg oft manuell regeln. SPI-Firewall: Hinweg erlauben, Rückweg wird passend erkannt. ``` --- **48. Typische Prüfungsfrage: Was bedeutet „Default DROP“?** Default DROP bedeutet: ```text Alles, was nicht ausdrücklich erlaubt ist, wird verworfen. ``` Das ist ein sicheres Firewall-Grundprinzip. Man erstellt zuerst die notwendigen Erlaubnisregeln. Am Ende wird alles andere blockiert. --- **49. Gesamtbild** Die Seiten 64 bis 94 zeigen den Übergang von der Transportschicht zur praktischen Netzwerksicherheit. Erst wird erklärt, wie Dienste über Ports unterschieden werden. Danach wird gezeigt, wie TCP, UDP und QUIC arbeiten. Anschließend geht es darum, wie Verbindungen nach innen oder außen weitergeleitet werden. Zum Schluss werden Firewalls, iptables-Regeln und DMZ-Konzepte erklärt. Das zentrale Prinzip lautet: ```text Netzwerkkommunikation muss adressiert, unterschieden, kontrolliert und abgesichert werden. ``` # 50 Fragen und Antworten: Schicht 4, Ports, NAT, Firewall und DMZ **50 Fragen und Antworten: Schicht 4, Ports, NAT, Firewall und DMZ** ---
1. Was ist die Aufgabe der Schicht 4 im Netzwerkmodell? Die Schicht 4 ist die Transportschicht. Sie sorgt dafür, dass Daten nicht nur beim richtigen Rechner ankommen, sondern auch bei der richtigen Anwendung oder dem richtigen Dienst auf diesem Rechner.
---
2. Warum reicht eine IP-Adresse allein nicht aus? Eine IP-Adresse bestimmt nur den Zielrechner. Auf einem Rechner können aber mehrere Dienste gleichzeitig laufen, zum Beispiel Webserver, Maildienst oder Dateifreigabe. Deshalb braucht man zusätzlich einen Port, um den richtigen Dienst anzusprechen.
---
3. Was ist ein Port? Ein Port ist eine Nummer, über die ein bestimmter Dienst oder eine Anwendung auf einem Rechner angesprochen wird. Beispiel: ```text 192.168.1.11:80 ``` Die IP-Adresse ist `192.168.1.11`. Der Port ist `80`. Port 80 steht typischerweise für HTTP.
---
4. Was ist ein Socket? Ein Socket ist die Kombination aus IP-Adresse und Port. ```text Socket = IP-Adresse + Port ``` Beispiel: ```text 192.168.1.11:80 ```
---
5. Was bedeutet die Schreibweise 192.168.1.11:80? Diese Schreibweise bedeutet: ```text 192.168.1.11 = Zielhost 80 = Zielport ``` Der Zugriff geht also an den Rechner mit der IP-Adresse `192.168.1.11` und dort an den Dienst auf Port `80`.
---
6. Wie schreibt man eine IPv6-Adresse mit Port korrekt? Bei IPv6 muss die Adresse in eckige Klammern gesetzt werden, damit der Port eindeutig erkennbar ist. ```text [2001:1234:5678:90AB:CDEF:1A2B:3C4D:5E6F]:80 ``` Ohne Klammern wäre nicht klar erkennbar, wo die IPv6-Adresse endet und wo der Port beginnt.
---
7. In welche drei Bereiche werden Ports eingeteilt? Ports werden in drei Bereiche eingeteilt: ```text 0 bis 1023 = System Ports 1024 bis 49151 = User Ports 49152 bis 65535 = Dynamic/Private Ports ```
---
8. Was sind System Ports? System Ports sind die bekannten Ports von `0` bis `1023`. Sie werden für wichtige Standarddienste verwendet. Beispiele: ```text 22 = SSH 53 = DNS 80 = HTTP 443 = HTTPS ```
---
9. Was sind User Ports? User Ports liegen im Bereich von `1024` bis `49151`. Sie werden für registrierte Anwendungen und Dienste verwendet. Beispiele: ```text 3128 = Squid Proxy 3306 = MySQL 9100 = Druckerport 10000 = Webmin ```
---
10. Was sind Dynamic oder Private Ports? Dynamic oder Private Ports liegen im Bereich von `49152` bis `65535`. Sie werden oft automatisch und kurzfristig von Clients verwendet, wenn eine Verbindung aufgebaut wird.
---
11. Welcher Port wird typischerweise für HTTP verwendet? HTTP verwendet typischerweise Port `80`. ```text HTTP = Port 80 ```
---
12. Welcher Port wird typischerweise für HTTPS verwendet? HTTPS verwendet typischerweise Port `443`. ```text HTTPS = Port 443 ```
---
13. Welcher Port wird typischerweise für SSH verwendet? SSH verwendet typischerweise Port `22`. ```text SSH = Port 22 ``` SSH wird häufig zur sicheren Fernadministration von Linux-Systemen genutzt.
---
14. Welcher Port wird typischerweise für DNS verwendet? DNS verwendet typischerweise Port `53`. DNS nutzt meistens UDP, kann aber in bestimmten Fällen auch TCP verwenden.
---
15. Welche Ports verwendet DHCP? DHCP verwendet die Ports `67` und `68`. ```text Port 67 = DHCP-Server Port 68 = DHCP-Client ``` DHCP nutzt UDP.
---
16. Was ist UDP? UDP ist ein verbindungsloses Transportprotokoll. Eigenschaften: ```text schnell wenig Verwaltungsaufwand keine feste Verbindung keine Garantie für Zustellung keine eingebaute Reihenfolgekontrolle ```
---
17. Wann wird UDP häufig verwendet? UDP wird häufig verwendet, wenn Geschwindigkeit wichtiger ist als vollständige Kontrolle. Beispiele: ```text DNS DHCP NTP Streaming VoIP Online-Gaming ```
---
18. Was ist TCP? TCP ist ein verbindungsorientiertes Transportprotokoll. Eigenschaften: ```text Verbindungsaufbau Bestätigung empfangener Daten Kontrolle der Reihenfolge zuverlässige Datenübertragung mehr Verwaltungsaufwand als UDP ```
---
19. Wann wird TCP häufig verwendet? TCP wird genutzt, wenn Daten zuverlässig und vollständig übertragen werden müssen. Beispiele: ```text HTTP HTTPS SSH FTP SMTP IMAP POP3 SMB ```
---
20. Was ist der wichtigste Unterschied zwischen TCP und UDP? TCP ist verbindungsorientiert und kontrolliert die Übertragung. UDP ist verbindungslos und schneller, aber ohne eingebaute Zustellgarantie. Kurz: ```text TCP = zuverlässig, aber aufwendiger UDP = schneller, aber weniger kontrolliert ```
---
21. Was ist der TCP-3-Wege-Handshake? Der TCP-3-Wege-Handshake ist der Verbindungsaufbau bei TCP. Ablauf: ```text 1. Client -> Server: SYN 2. Server -> Client: SYN + ACK 3. Client -> Server: ACK ``` Danach ist die TCP-Verbindung aufgebaut.
---
22. Wofür steht SYN? SYN steht für Synchronisation. Beim TCP-Verbindungsaufbau sendet der Client zuerst ein SYN-Paket an den Server, um eine Verbindung zu starten.
---
23. Wofür steht ACK? ACK steht für Acknowledgement, also Bestätigung. Ein ACK bestätigt, dass ein Paket oder ein Verbindungsschritt angekommen ist.
---
24. Wie wird eine TCP-Verbindung kontrolliert abgebaut? Der TCP-Verbindungsabbau erfolgt typischerweise in vier Schritten: ```text 1. FIN 2. ACK 3. FIN 4. ACK ``` Merksatz: ```text TCP-Aufbau = 3 Schritte TCP-Abbau = 4 Schritte ```
---
25. Was ist ein SYN-Flood-Angriff? Bei einem SYN-Flood-Angriff werden sehr viele SYN-Anfragen an einen Server gesendet. Der Server reserviert Ressourcen für halboffene Verbindungen. Wenn die abschließende Bestätigung ausbleibt, können diese Ressourcen blockiert werden. Das kann zu einer Überlastung des Servers führen.
---
26. Was ist QUIC? QUIC ist ein modernes Transportprotokoll, das auf UDP basiert. Es soll Geschwindigkeit, Zuverlässigkeit und Verschlüsselung verbinden. Kurz: ```text QUIC = UDP-Basis + moderne Verbindungskontrolle + Verschlüsselung ```
---
27. Warum ist QUIC im modernen Web wichtig? QUIC ist wichtig, weil es schnelle Verbindungen ermöglichen soll und gleichzeitig Verschlüsselung fest integriert. Es wird vor allem für moderne Webkommunikation eingesetzt.
---
28. Was ist Portknocking? Portknocking bedeutet, dass bestimmte Ports in einer festgelegten Reihenfolge angesprochen werden müssen. Nur wenn die Reihenfolge stimmt, wird eine Aktion ausgelöst. Beispiel: ```text Port 1111 Port 2222 Port 3333 ``` Erst danach wird ein Dienst freigegeben oder ein Ereignis ausgelöst.
---
29. Was ist der Vorteil von Portknocking? Der Vorteil ist, dass ein Dienst nicht dauerhaft offen sichtbar sein muss. Er wird erst nach der richtigen „Anklopf-Reihenfolge“ erreichbar oder aktiviert.
---
30. Ist Portknocking ein Ersatz für sichere Authentifizierung? Nein. Portknocking kann eine zusätzliche Schutzmaßnahme sein, ersetzt aber keine sichere Authentifizierung, keine starken Passwörter und keine sauber abgesicherten Dienste.
---
31. Was ist Portforwarding? Portforwarding leitet eine Anfrage von außen an einen internen Dienst weiter. Beispiel: ```text 11.1.2.4:80 -> 192.168.178.11:80 ``` Eine externe Anfrage an Port `80` der öffentlichen Adresse wird an den internen Webserver weitergeleitet.
---
32. Was ist Destination NAT? Destination NAT bedeutet, dass die Zieladresse oder der Zielport eines Pakets verändert wird. Beim Portforwarding wird zum Beispiel aus: ```text 11.1.2.4:80 ``` intern: ```text 192.168.178.11:80 ```
---
33. Warum kann Portforwarding gefährlich sein? Portforwarding öffnet einen Weg aus dem Internet in das interne Netzwerk. Wenn der interne Dienst schlecht abgesichert oder veraltet ist, kann das ein Sicherheitsrisiko darstellen.
---
34. Welche sichere Alternative gibt es oft zu Portforwarding? Eine sichere Alternative ist häufig ein VPN oder ein privater Zugriffsdienst wie Tailscale. Dann muss ein Dienst nicht direkt öffentlich aus dem Internet erreichbar sein.
---
35. Was ist NAT? NAT bedeutet Network Address Translation. Dabei werden IP-Adressen beim Übergang zwischen zwei Netzen umgeschrieben. Im Heimnetz wird meist die private interne IP-Adresse durch die öffentliche IP-Adresse des Routers ersetzt.
---
36. Was ist PAT? PAT bedeutet Port Address Translation. Dabei teilen sich mehrere interne Geräte eine öffentliche IP-Adresse. Der Router unterscheidet die Verbindungen über Ports. Kurz: ```text Viele interne Geräte -> eine öffentliche IP Unterscheidung über Ports ```
---
37. Was ist Source NAT? Source NAT bedeutet, dass die Quelladresse eines Pakets verändert wird. Beispiel: ```text Interner PC: 192.168.178.11 Router extern: 11.1.2.4 ``` Wenn der PC ins Internet geht, ersetzt der Router die private Quelladresse durch seine öffentliche Adresse.
---
38. Was ist der Unterschied zwischen NAT/PAT und Portforwarding? NAT/PAT wird verwendet, wenn interne Geräte nach außen ins Internet kommunizieren. Portforwarding wird verwendet, wenn externe Geräte von außen auf einen internen Dienst zugreifen sollen. Kurz: ```text NAT/PAT = innen nach außen Portforwarding = außen nach innen ```
---
39. Was ist eine Allowlist? Eine Allowlist arbeitet nach dem Prinzip: ```text Alles ist verboten, außer es ist ausdrücklich erlaubt. ``` Nur Einträge, die auf der Allowlist stehen, dürfen genutzt werden.
---
40. Was ist eine Blocklist? Eine Blocklist arbeitet nach dem Prinzip: ```text Alles ist erlaubt, außer es ist ausdrücklich verboten. ``` Nur Einträge, die auf der Blocklist stehen, werden gesperrt.
---
41. Was ist strenger: Allowlist oder Blocklist? Eine Allowlist ist strenger. Bei einer Allowlist ist zunächst alles verboten. Nur ausdrücklich erlaubte Ziele oder Dienste dürfen genutzt werden.
---
42. Was ist der Nachteil einer reinen Allowlist? Eine reine Allowlist hat einen hohen Pflegeaufwand. Jede erlaubte Webseite, jeder erlaubte Dienst oder jedes erlaubte Ziel muss vorher eingetragen werden.
---
43. Was ist der Nachteil einer reinen Blocklist? Eine Blocklist ist nie vollständig. Neue gefährliche oder unerwünschte Seiten können fehlen und dadurch trotzdem erreichbar sein.
---
44. Was ist SquidGuard? SquidGuard ist ein Filterwerkzeug, das Webseiten anhand von Listen oder Kategorien blockieren oder erlauben kann. Beispiele für Kategorien: ```text Dating Mailing Hacking Werbung Malware Glücksspiel ```
---
45. Was ist eine Firewall? Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie entscheidet, ob ein Paket erlaubt oder blockiert wird. Kurz: ```text Firewall = kontrolliert Datenverkehr ```
---
46. Was ist eine Personal-Firewall? Eine Personal-Firewall schützt einen einzelnen Rechner. Sie läuft direkt auf dem PC oder Server und kontrolliert dessen ein- und ausgehenden Netzwerkverkehr.
---
47. Was ist eine Unternehmens-Firewall? Eine Unternehmens-Firewall schützt ein ganzes Netzwerk oder mehrere Teilnetze. Sie steht meistens zwischen internem LAN und externem Netz beziehungsweise Internet.
---
48. Was ist der Unterschied zwischen Paketfilter und Stateful Packet Inspection? Ein einfacher Paketfilter prüft einzelne Pakete anhand von Regeln. Eine Stateful-Packet-Inspection-Firewall merkt sich zusätzlich den Zustand einer Verbindung. Vorteil von SPI: ```text Der Hinweg wird erlaubt. Der passende Rückweg wird automatisch erkannt. ```
---
49. Was bedeuten INPUT, OUTPUT und FORWARD bei iptables? Bei iptables gibt es wichtige Regelketten: ```text INPUT = Verkehr zur Firewall selbst OUTPUT = Verkehr von der Firewall selbst nach außen FORWARD = Verkehr durch die Firewall hindurch ``` Beispiele: ```text INPUT = SSH-Zugriff auf die Firewall OUTPUT = Firewall fragt NTP-Server ab FORWARD = PC im LAN geht über Firewall ins Internet ```
---
50. Was ist eine DMZ und warum ist sie sinnvoll? Eine DMZ ist eine demilitarisierte Zone, also ein separates Zwischennetz. Dort stehen Server, die von außen erreichbar sein müssen, zum Beispiel: ```text Webserver Mailserver DNS-Server Reverse Proxy ``` Der Vorteil: Wenn ein Server in der DMZ angegriffen wird, befindet er sich nicht direkt im internen LAN. Kurz: ```text DMZ = Sicherheitszone zwischen Internet und internem Netzwerk ```
# Portforwarding Trainer # DMZ Firewall Trainer

DMZ-Firewall-Trainer

DMZ-Firewall-Trainer im Vollbild öffnen

Korrektur / wichtige Hinweise

Die externe öffentliche IP-Adresse ist:

11.1.2.4

Wichtig zu Regel (7):

Bei Regel (7) darf nicht 11.1.2.4 als Quell- oder Ziel-IP eingetragen werden.

Korrekt ist:

Richtung:     OUTPUT
Protokoll:    UDP
Quell-IP:     192.168.1.1
Ziel-IP:      192.168.1.2
Ziel-Port(s): 123

11.1.2.4 ist nur die öffentliche/externe Adresse in der Skizze. Regel (7) beschreibt dagegen: 

Firewall → Proxy
192.168.1.1 → 192.168.1.2
UDP Port 123

Korrektur zu „(weitere)”

Bei (weitere) ist hier ping gemeint.

(weitere)
ping

Fachlich gehört ping zu:

ICMP

Die passende Regel ist sinngemäß:

INPUT
ICMP
Quelle: Admin-PC / 192.168.2.2
Ziel: Firewall intern / 192.168.2.1
Ziel-Port: leer, weil ICMP keinen TCP-/UDP-Port verwendet
Kommentar: Admin darf die Firewall anpingen

Merksatz

FORWARD = Paket läuft durch die Firewall hindurch.
INPUT   = Paket geht an die Firewall selbst.
OUTPUT  = Paket kommt von der Firewall selbst.
# NAT(PAT)-Trainer / Source NAT
NAT/PAT-Trainer im Vollbild öffnen
# TCP-Verbindungsaufbau und TCP-Verbindungsabbau – Trainer **TCP-Verbindungsaufbau und TCP-Verbindungsabbau – Trainer** Dieser interaktive Trainer gehört zu den Aufgaben: ```text Frage 2: TCP-Verbindungsaufbau mit Sequenznummern Frage 3: TCP-Verbindungsabbau mit Sequenznummern ``` Die Grundlage ist die Klausurübung Netzwerktechnik Schicht 4–7. Dort werden beim TCP-Aufbau und TCP-Abbau die Begriffe `SYN`, `FIN`, `seq`, `ACK`, `x`, `x+1`, `y` und `y+1` verwendet. --- **Interaktiver TCP-Trainer**
TCP-Trainer im Vollbild öffnen
--- **Was wird trainiert?** | Bereich | Bedeutung | |---|---| | **SYN** | Startet den TCP-Verbindungsaufbau | | **SYN ACK** | Server bestätigt SYN und sendet eigene Sequenznummer | | **ACK** | Bestätigung einer Sequenznummer | | **FIN** | Beendet eine Richtung der TCP-Verbindung | | **seq** | Sequenznummer des sendenden Hosts | | **ACK-Nummer** | Bestätigt die nächste erwartete Sequenznummer | | **x+1 / y+1** | SYN und FIN verbrauchen jeweils eine Sequenznummer | --- **Merksatz für den TCP-Verbindungsaufbau** ```text 1. Client → Server: SYN, seq = x 2. Server → Client: SYN + ACK, seq = y, ack = x+1 3. Client → Server: ACK, seq = x+1, ack = y+1 ``` Beispiel: ```text x = 1000 y = 2000 x+1 = 1001 y+1 = 2001 ``` --- **Merksatz für den TCP-Verbindungsabbau** ```text 1. Client → Server: FIN, seq = x 2. Server → Client: ACK, ack = x+1 3. Server → Client: FIN, seq = y 4. Client → Server: ACK, ack = y+1 ``` Beispiel: ```text x = 1000 y = 2000 x+1 = 1001 y+1 = 2001 ``` --- **Wichtige Regel** ```text SYN verbraucht eine Sequenznummer. FIN verbraucht eine Sequenznummer. Deshalb wird jeweils mit +1 bestätigt. ``` --- **Typische Fehler** | Fehler | Warum falsch? | |---|---| | SYN ohne ACK im zweiten Schritt | Der Server muss das SYN des Clients bestätigen | | ACK-Zahl nicht +1 | SYN/FIN wurden nicht korrekt bestätigt | | Pfeilrichtung falsch | Sender und Empfänger werden vertauscht | | FIN-Abbau nur mit 3 Schritten | Der normale TCP-Abbau wird meist mit 4 Schritten dargestellt | | seq und ACK verwechselt | seq ist die eigene Nummer, ACK bestätigt die Gegenseite | --- **Mini-Testfragen**
1. Wofür steht SYN? `SYN` steht für Synchronisation. Es wird beim TCP-Verbindungsaufbau verwendet, um Sequenznummern zu synchronisieren.
2. Was passiert beim zweiten Schritt des TCP-Verbindungsaufbaus? Der Server antwortet mit: ```text SYN + ACK seq = y ack = x+1 ``` Damit bestätigt er das SYN des Clients und sendet seine eigene Sequenznummer.
3. Warum wird aus x die ACK-Nummer x+1? Weil SYN eine Sequenznummer verbraucht. Wenn der Client `seq = x` sendet, erwartet der Server danach `x+1`.
4. Wofür steht FIN? `FIN` steht für Finish. Es wird verwendet, um eine TCP-Verbindung beziehungsweise eine Kommunikationsrichtung zu beenden.
5. Warum wird FIN ebenfalls mit +1 bestätigt? Weil FIN ebenfalls eine Sequenznummer verbraucht. Darum wird ein FIN mit der nächsten erwarteten Nummer bestätigt: ```text ack = x+1 ```
6. Wie viele Schritte hat der TCP-Verbindungsaufbau? Der TCP-Verbindungsaufbau hat 3 Schritte. ```text SYN SYN + ACK ACK ```
7. Wie viele Schritte hat der TCP-Verbindungsabbau? Der TCP-Verbindungsabbau wird typischerweise mit 4 Schritten dargestellt. ```text FIN ACK FIN ACK ```
--- **Nächste sinnvolle Trainer** Danach könnten folgen: ```text Firewall-Regel-Trainer PNAT-Trainer TCP/UDP/ICMP-Vergleichstrainer ``` # 1. Grundlagen der Netzwerktechnik # OSI Testfragen **Testfragen Netzwerktechnik bis Firewall** **1. Was ist der Hauptzweck eines Netzwerks?**
Antwort anzeigen Ein Netzwerk verbindet mehrere Geräte miteinander, damit sie Daten austauschen und gemeinsame Ressourcen nutzen können, zum Beispiel Drucker, Server, Internetzugang oder zentrale Datenspeicher.
--- **2. Nenne drei Vorteile von Netzwerken.**
Antwort anzeigen Drei Vorteile sind: - schneller Datenaustausch - gemeinsame Nutzung von Ressourcen, zum Beispiel Drucker oder Server - zentrale Datenspeicherung und einfachere Datensicherung
--- **3. Nenne drei Nachteile oder Risiken von Netzwerken.**
Antwort anzeigen Drei Nachteile oder Risiken sind: - Schadsoftware kann sich schneller verbreiten - Angriffe oder Spionage von innen und außen sind möglich - Aufbau, Wartung und Administration verursachen Kosten
--- **4. Was bedeutet LAN?**
Antwort anzeigen LAN bedeutet Local Area Network. Es beschreibt ein lokales Netzwerk, zum Beispiel in einer Wohnung, Schule, Firma oder einem Büro.
--- **5. Was ist der Unterschied zwischen LAN, MAN und WAN?**
Antwort anzeigen LAN ist ein lokales Netzwerk in einem begrenzten Bereich. MAN verbindet Netzwerke innerhalb einer Stadt oder Region. WAN verbindet Netzwerke über große Entfernungen, zum Beispiel über Länder oder Kontinente hinweg. Das Internet ist ein Beispiel für ein WAN.
--- **6. Welche Topologie wird heute in LANs meistens verwendet?**
Antwort anzeigen Meistens wird die Sterntopologie verwendet. Dabei sind die Endgeräte zentral mit einem Switch verbunden.
--- **7. Was bedeutet Vollduplex?**
Antwort anzeigen Vollduplex bedeutet, dass Daten gleichzeitig in beide Richtungen übertragen werden können. Beispiel: Ein PC kann gleichzeitig Daten senden und empfangen.
--- **8. Was bedeutet Halbduplex?**
Antwort anzeigen Halbduplex bedeutet, dass Daten in beide Richtungen übertragen werden können, aber nicht gleichzeitig. Beispiel: Erst sendet Gerät A, danach Gerät B.
--- **9. Wozu dient das OSI-Schichtenmodell?**
Antwort anzeigen Das OSI-Schichtenmodell teilt Netzwerkkommunikation in einzelne Schichten auf. Dadurch kann man besser verstehen, welche Aufgabe auf welcher Ebene passiert, und Fehler systematisch eingrenzen.
--- **10. Wie heißen die 7 OSI-Schichten von oben nach unten?**
Antwort anzeigen Von oben nach unten: 7. Anwendung 6. Darstellung 5. Sitzung 4. Transport 3. Vermittlung 2. Sicherung 1. Bitübertragung
--- **11. Auf welcher OSI-Schicht arbeitet die MAC-Adresse?**
Antwort anzeigen Die MAC-Adresse arbeitet auf Schicht 2, der Sicherungsschicht.
--- **12. Auf welcher OSI-Schicht arbeitet die IP-Adresse?**
Antwort anzeigen Die IP-Adresse arbeitet auf Schicht 3, der Vermittlungsschicht.
--- **13. Auf welcher OSI-Schicht arbeiten TCP und UDP?**
Antwort anzeigen TCP und UDP arbeiten auf Schicht 4, der Transportschicht.
--- **14. Was ist der Unterschied zwischen OSI-Modell und TCP/IP-Modell?**
Antwort anzeigen Das OSI-Modell hat 7 Schichten und ist eher ein theoretisches Referenzmodell. Das TCP/IP-Modell ist praxisnäher und wird im echten Netzwerkbetrieb häufiger verwendet. Es fasst mehrere OSI-Schichten zusammen.
--- **15. Was bedeutet Datenkapselung?**
Antwort anzeigen Datenkapselung bedeutet, dass jede Netzwerkschicht eigene Steuerinformationen zu den Daten hinzufügt. Beispiel: Anwendungsdaten werden in TCP verpackt, TCP wird in IP verpackt, IP wird in Ethernet verpackt.
--- **16. Was gehört zur Schicht 0 im Unterrichtskontext?**
Antwort anzeigen Zur Schicht 0 gehören die eigentlichen Übertragungsmedien, zum Beispiel: - Kupferkabel - Glasfaser - Funk bei WLAN Schicht 0 gehört nicht offiziell zum OSI-Modell, wird aber oft zur Erklärung genutzt.
--- **17. Was ist ein Twisted-Pair-Kabel?**
Antwort anzeigen Ein Twisted-Pair-Kabel ist ein Netzwerkkabel mit verdrillten Adernpaaren. Die Verdrillung reduziert Störungen. Es wird häufig mit RJ45-Steckern im LAN verwendet.
--- **18. Wie weit darf ein normales Twisted-Pair-Ethernet-Kabel ungefähr sein?**
Antwort anzeigen In der Praxis gilt meistens eine maximale Länge von ungefähr 100 Metern.
--- **19. Was ist der Unterschied zwischen Multimode- und Singlemode-LWL?**
Antwort anzeigen Multimode-LWL wird eher für kürzere bis mittlere Strecken verwendet. Singlemode-LWL wird für lange Strecken verwendet und hat einen kleineren Faserkern.
--- **20. Warum darf man nicht direkt in eine Glasfaser schauen?**
Antwort anzeigen Weil dort unsichtbares Laserlicht austreten kann. Dieses Licht kann die Augen schädigen, auch wenn man es nicht sieht.
--- **21. Welche WLAN-Verschlüsselung sollte mindestens verwendet werden?**
Antwort anzeigen Mindestens WPA2 sollte verwendet werden. Besser ist WPA3, wenn alle Geräte es unterstützen.
--- **22. Warum ist ein Gäste-WLAN sinnvoll?**
Antwort anzeigen Ein Gäste-WLAN trennt fremde oder private Geräte vom internen Netzwerk. Gäste sollen zum Beispiel ins Internet kommen, aber nicht auf interne Server, Drucker oder NAS-Systeme zugreifen können.
--- **23. Was ist ein Ethernet-Frame?**
Antwort anzeigen Ein Ethernet-Frame ist die Datenübertragungseinheit auf Schicht 2. Er enthält unter anderem Ziel-MAC-Adresse, Quell-MAC-Adresse, Nutzdaten und eine Prüfsumme.
--- **24. Was ist die Aufgabe der FCS oder CRC im Ethernet-Frame?**
Antwort anzeigen FCS beziehungsweise CRC dient zur Fehlererkennung. Damit kann erkannt werden, ob ein Ethernet-Frame beschädigt wurde. Fehlerhafte Frames werden verworfen.
--- **25. Was ist eine MAC-Adresse?**
Antwort anzeigen Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle. Sie ist normalerweise 48 Bit lang und wird hexadezimal dargestellt. Beispiel: `00:1A:2B:3C:4D:5E`
--- **26. Was macht ein Switch?**
Antwort anzeigen Ein Switch verbindet Geräte in einem LAN und leitet Ethernet-Frames anhand der MAC-Adresse gezielt an den richtigen Port weiter.
--- **27. Was ist der Unterschied zwischen einem Hub und einem Switch?**
Antwort anzeigen Ein Hub sendet empfangene Daten an alle Ports weiter. Ein Switch lernt MAC-Adressen und sendet Frames gezielt nur an den passenden Port. Ein Switch ist dadurch effizienter und sicherer als ein Hub.
--- **28. Was ist eine SAT-Tabelle oder MAC Address Table?**
Antwort anzeigen Das ist die Tabelle eines Switches, in der gespeichert wird, welche MAC-Adresse an welchem Port erreichbar ist. Dadurch kann der Switch Frames gezielt weiterleiten.
--- **29. Was macht ARP?**
Antwort anzeigen ARP bedeutet Address Resolution Protocol. ARP ermittelt zu einer IPv4-Adresse die passende MAC-Adresse im lokalen Netzwerk.
--- **30. Was ist ein ARP-Request?**
Antwort anzeigen Ein ARP-Request ist eine Anfrage im lokalen Netzwerk: „Wer hat diese IP-Adresse? Bitte sende mir deine MAC-Adresse.“ Diese Anfrage wird als Broadcast gesendet.
--- **31. Was ist ein ARP-Reply?**
Antwort anzeigen Ein ARP-Reply ist die Antwort auf einen ARP-Request. Das Zielgerät antwortet mit seiner MAC-Adresse.
--- **32. Was ist ein Managed Switch?**
Antwort anzeigen Ein Managed Switch ist ein konfigurierbarer Switch. Man kann zum Beispiel VLANs, Port-Mirroring, Spanning Tree, Link Aggregation oder Port-Sicherheit einrichten.
--- **33. Was ist Port-Mirroring?**
Antwort anzeigen Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port gespiegelt. Dadurch kann man den Verkehr zum Beispiel mit Wireshark analysieren.
--- **34. Was ist Link Aggregation?**
Antwort anzeigen Link Aggregation fasst mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammen. Vorteile: - höhere Gesamtbandbreite - bessere Ausfallsicherheit - Lastverteilung
--- **35. Was ist Power over Ethernet?**
Antwort anzeigen Power over Ethernet, kurz PoE, bedeutet, dass Strom und Daten über dasselbe Netzwerkkabel übertragen werden. Typische Geräte sind Access Points, IP-Telefone und Überwachungskameras.
--- **36. Wozu dient das Spanning Tree Protocol?**
Antwort anzeigen Das Spanning Tree Protocol verhindert Netzwerkschleifen zwischen Switches. Es blockiert bestimmte redundante Verbindungen logisch und kann sie bei Ausfall einer anderen Verbindung wieder aktivieren.
--- **37. Was ist ein VLAN?**
Antwort anzeigen Ein VLAN ist ein Virtual Local Area Network. Damit kann ein physisches Netzwerk in mehrere logisch getrennte Netzwerke aufgeteilt werden.
--- **38. Warum setzt man VLANs ein?**
Antwort anzeigen VLANs werden eingesetzt, um Netzbereiche logisch zu trennen. Vorteile: - mehr Sicherheit - bessere Struktur - weniger Broadcast-Verkehr - Trennung von Abteilungen, Gästen oder Servern
--- **39. Was ist ein Tagged Port?**
Antwort anzeigen Ein Tagged Port überträgt VLAN-Informationen im Ethernet-Frame mit. Er wird häufig für Verbindungen zwischen Switches oder zwischen Switch und Router/Firewall verwendet.
--- **40. Was ist ein Untagged Port?**
Antwort anzeigen Ein Untagged Port gehört fest zu einem VLAN. Endgeräte wie PCs oder Drucker werden meistens an untagged Ports angeschlossen.
--- **41. Was ist eine IPv4-Adresse?**
Antwort anzeigen Eine IPv4-Adresse ist eine 32-Bit-Adresse zur logischen Adressierung von Geräten in einem Netzwerk. Beispiel: `192.168.1.10`
--- **42. Was macht die Subnetzmaske?**
Antwort anzeigen Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil. Beispiel: `192.168.1.10/24` Hier gehören die ersten 24 Bit zum Netzanteil.
--- **43. Was ist die Netzadresse bei 192.168.1.10/24?**
Antwort anzeigen Die Netzadresse ist: `192.168.1.0` Bei `/24` gehören die ersten drei Oktette zum Netz. Das letzte Oktett ist der Hostanteil.
--- **44. Was ist die Broadcast-Adresse bei 192.168.1.10/24?**
Antwort anzeigen Die Broadcast-Adresse ist: `192.168.1.255` Sie ist die letzte Adresse im Netz `192.168.1.0/24`.
--- **45. Wie viele nutzbare Hosts gibt es in einem /24-Netz?**
Antwort anzeigen Ein `/24`-Netz hat 256 Adressen. Davon sind 2 nicht nutzbar: - Netzadresse - Broadcast-Adresse Also gibt es 254 nutzbare Hostadressen.
--- **46. Welche privaten IPv4-Adressbereiche gibt es?**
Antwort anzeigen Private IPv4-Adressbereiche sind: - `10.0.0.0/8` - `172.16.0.0/12` - `192.168.0.0/16` Diese Adressen werden in privaten Netzwerken verwendet und nicht direkt im Internet geroutet.
--- **47. Was bedeutet APIPA?**
Antwort anzeigen APIPA ist ein automatischer IPv4-Adressbereich, den ein Gerät verwenden kann, wenn kein DHCP-Server erreichbar ist. Der Bereich lautet: `169.254.0.0/16`
--- **48. Was ist DHCP?**
Antwort anzeigen DHCP bedeutet Dynamic Host Configuration Protocol. DHCP vergibt automatisch Netzwerkkonfigurationen an Clients, zum Beispiel: - IP-Adresse - Subnetzmaske - Standardgateway - DNS-Server
--- **49. Wie lautet der DHCP-Ablauf?**
Antwort anzeigen Der DHCP-Ablauf lautet DORA: 1. Discover 2. Offer 3. Request 4. Acknowledge Der Client sucht einen DHCP-Server, bekommt ein Angebot, fordert die Adresse an und erhält eine Bestätigung.
--- **50. Was macht DNS?**
Antwort anzeigen DNS bedeutet Domain Name System. DNS übersetzt Namen in IP-Adressen. Beispiel: `www.example.com` wird in eine passende IP-Adresse aufgelöst.
--- **51. Was ist Routing?**
Antwort anzeigen Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten. Ein Router verbindet zum Beispiel zwei unterschiedliche IP-Netze miteinander.
--- **52. Was ist ein Standardgateway?**
Antwort anzeigen Das Standardgateway ist der Router, an den ein Gerät Pakete sendet, wenn das Ziel nicht im eigenen lokalen Netzwerk liegt.
--- **53. Was ist der Unterschied zwischen statischem und dynamischem Routing?**
Antwort anzeigen Beim statischen Routing werden Routen manuell eingetragen. Beim dynamischen Routing tauschen Router Informationen automatisch über Routing-Protokolle aus.
--- **54. Was ist ein Layer-3-Switch?**
Antwort anzeigen Ein Layer-3-Switch kann nicht nur auf Schicht 2 switchen, sondern auch auf Schicht 3 routen. Er wird häufig eingesetzt, um VLANs im LAN miteinander zu verbinden.
--- **55. Was ist ein Port in der Netzwerktechnik?**
Antwort anzeigen Ein Port ist eine Nummer auf Schicht 4, mit der Anwendungen oder Dienste auf einem Gerät unterschieden werden. Beispiel: - HTTP: Port 80 - HTTPS: Port 443 - SSH: Port 22
--- **56. Was ist der Unterschied zwischen IP-Adresse und Port?**
Antwort anzeigen Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welcher Dienst oder welche Anwendung auf diesem Gerät gemeint ist. Beispiel: `192.168.1.10:443` Gerät: `192.168.1.10` Dienst: Port `443`
--- **57. Was ist TCP?**
Antwort anzeigen TCP ist ein verbindungsorientiertes Transportprotokoll. Es sorgt für zuverlässige Datenübertragung, richtige Reihenfolge und erneute Übertragung bei Verlust.
--- **58. Was ist UDP?**
Antwort anzeigen UDP ist ein verbindungsloses Transportprotokoll. Es ist schneller und schlanker als TCP, garantiert aber keine Zustellung und keine richtige Reihenfolge.
--- **59. Was ist der TCP-Three-Way-Handshake?**
Antwort anzeigen Der TCP-Three-Way-Handshake baut eine TCP-Verbindung auf. Ablauf: 1. Client sendet SYN 2. Server antwortet mit SYN/ACK 3. Client bestätigt mit ACK Danach ist die Verbindung aufgebaut.
--- **60. Nenne je zwei typische Dienste für TCP und UDP.**
Antwort anzeigen Typische TCP-Dienste: - HTTPS - SSH Typische UDP-Dienste: - DNS - DHCP
--- **61. Was ist NAT?**
Antwort anzeigen NAT bedeutet Network Address Translation. Dabei werden IP-Adressen übersetzt, zum Beispiel private interne IP-Adressen in eine öffentliche IP-Adresse für den Internetzugang.
--- **62. Was ist PAT?**
Antwort anzeigen PAT bedeutet Port Address Translation. Dabei werden zusätzlich Ports verwendet, damit mehrere interne Geräte gleichzeitig über eine öffentliche IP-Adresse ins Internet kommunizieren können.
--- **63. Was ist Portforwarding?**
Antwort anzeigen Portforwarding leitet Anfragen von außen an ein internes Gerät weiter. Beispiel: Eine Anfrage an die öffentliche IP auf Port 443 wird an einen internen Webserver weitergeleitet.
--- **64. Warum kann Portforwarding ein Sicherheitsrisiko sein?**
Antwort anzeigen Portforwarding macht interne Dienste von außen erreichbar. Wenn der Dienst schlecht abgesichert, veraltet oder falsch konfiguriert ist, kann er angegriffen werden.
--- **65. Was ist eine Allowlist?**
Antwort anzeigen Eine Allowlist erlaubt nur ausdrücklich freigegebene Verbindungen, Programme, Geräte oder Benutzer. Alles andere wird blockiert.
--- **66. Was ist eine Blocklist?**
Antwort anzeigen Eine Blocklist blockiert ausdrücklich verbotene Verbindungen, Programme, Geräte oder Benutzer. Alles, was nicht auf der Blocklist steht, kann erlaubt sein.
--- **67. Was ist sicherer: Allowlist oder Blocklist?**
Antwort anzeigen Eine Allowlist ist meistens sicherer, weil nur ausdrücklich erlaubte Dinge zugelassen werden. Das Prinzip lautet: Alles ist verboten, außer es wurde erlaubt.
--- **68. Was macht eine Firewall?**
Antwort anzeigen Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie entscheidet, welche Verbindungen erlaubt oder blockiert werden.
--- **69. Welche Kriterien kann eine Firewall prüfen?**
Antwort anzeigen Eine Firewall kann zum Beispiel prüfen: - Quell-IP-Adresse - Ziel-IP-Adresse - Protokoll - Port - Richtung - Verbindungszustand - teilweise auch Anwendung oder Inhalt
--- **70. Was bedeutet Default Deny?**
Antwort anzeigen Default Deny bedeutet: Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen werden zugelassen. Das ist ein sicheres Grundprinzip für Firewall-Regeln.
--- **71. Was ist eine Paketfilter-Firewall?**
Antwort anzeigen Eine Paketfilter-Firewall prüft einzelne Pakete anhand von Informationen wie Quell-IP, Ziel-IP, Protokoll und Port. Sie betrachtet normalerweise nicht den vollständigen Verbindungszustand.
--- **72. Was ist eine SPI-Firewall?**
Antwort anzeigen SPI bedeutet Stateful Packet Inspection. Eine SPI-Firewall merkt sich bestehende Verbindungen und kann Antworten automatisch einer erlaubten Verbindung zuordnen.
--- **73. Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?**
Antwort anzeigen Ein Paketfilter prüft einzelne Pakete anhand fester Regeln. Eine SPI-Firewall prüft zusätzlich den Zustand der Verbindung. Dadurch kann sie erkennen, ob ein Paket zu einer bereits erlaubten Verbindung gehört.
--- **74. Was ist eine DMZ?**
Antwort anzeigen DMZ bedeutet Demilitarisierte Zone. Eine DMZ ist ein separates Netzwerk für Server, die von außen erreichbar sein müssen, zum Beispiel Webserver oder Reverse Proxy.
--- **75. Warum verwendet man eine DMZ?**
Antwort anzeigen Eine DMZ schützt das interne LAN. Wenn ein öffentlich erreichbarer Server in der DMZ angegriffen oder kompromittiert wird, soll der Angreifer nicht direkt Zugriff auf das interne Netzwerk bekommen.
--- **76. Was ist der Unterschied zwischen einstufiger und zweistufiger DMZ?**
Antwort anzeigen Bei einer einstufigen DMZ trennt eine Firewall Internet, DMZ und LAN. Bei einer zweistufigen DMZ gibt es zwei Firewalls: eine zwischen Internet und DMZ und eine zwischen DMZ und LAN. Die zweistufige DMZ ist sicherer, aber aufwendiger.
--- **77. Was ist die INPUT-Chain bei einer Linux-Firewall?**
Antwort anzeigen INPUT betrifft Datenverkehr, der direkt an die Firewall selbst gerichtet ist. Beispiel: Ein Administrator verbindet sich per SSH mit der Firewall.
--- **78. Was ist die OUTPUT-Chain bei einer Linux-Firewall?**
Antwort anzeigen OUTPUT betrifft Datenverkehr, der von der Firewall selbst ausgeht. Beispiel: Die Firewall stellt selbst eine DNS-Anfrage oder lädt Updates herunter.
--- **79. Was ist die FORWARD-Chain bei einer Linux-Firewall?**
Antwort anzeigen FORWARD betrifft Datenverkehr, der durch die Firewall hindurchgeleitet wird. Beispiel: Ein Client aus dem LAN geht über die Firewall ins Internet.
--- **80. Warum ist eine Firewall allein kein vollständiger Schutz?**
Antwort anzeigen Eine Firewall schützt nur nach ihren Regeln und an der Stelle, an der sie eingesetzt wird. Zusätzlich braucht man: - Updates - sichere Passwörter - Benutzerrechte - Backups - Monitoring - Virenschutz - sichere Konfiguration - Schulung der Benutzer
# Netzwerk **Ziel dieser Zusammenfassung** Diese Zusammenfassung führt Schritt für Schritt durch zentrale Themen der Netzwerktechnik. Behandelte Themen: - Grundlagen von Netzwerken - OSI-Schichtenmodell - Schicht 0: Übertragungsmedien - Ethernet-Frame - Sniffer - Schicht 1: Netzwerkkarte und Hub - Schicht 2: MAC-Adresse, Switch, VLAN - Schicht 3: IPv4, IPv6, DHCP, DNS, Routing - Schicht 4: Ports, TCP, UDP, NAT - Firewall-Grundlagen - SPI-Firewall - DMZ --- **1. Grundlagen der Netzwerktechnik** Ein Netzwerk verbindet mehrere Geräte miteinander, damit diese Daten austauschen und gemeinsame Ressourcen verwenden können. Typische Geräte in einem Netzwerk: - PC - Notebook - Smartphone - Server - Drucker - NAS - Switch - Router - Firewall - Access Point Ein Netzwerk besteht also nicht nur aus Computern, sondern aus allen Geräten, die miteinander kommunizieren können. --- **1.1 Vorteile von Netzwerken** Netzwerke werden eingesetzt, weil sie viele praktische Vorteile bieten: - schneller Datenaustausch - gemeinsame Nutzung von Druckern und Servern - zentrale Datenspeicherung - zentrale Benutzerverwaltung - gemeinsame Internetnutzung - einfachere Sicherung von Daten - bessere Zusammenarbeit im Unternehmen Beispiel: In einem Unternehmen müssen nicht alle Mitarbeiter eigene Drucker besitzen. Alle können über das Netzwerk denselben Netzwerkdrucker verwenden. --- **1.2 Nachteile und Risiken von Netzwerken** Netzwerke bringen auch Risiken mit sich: - Schadsoftware kann sich schneller verbreiten - Angriffe von innen und außen sind möglich - falsche Konfiguration kann Sicherheitslücken erzeugen - Ausfall zentraler Systeme kann viele Benutzer betreffen - Wartung und Administration verursachen Kosten Deshalb sind Schutzmaßnahmen wie Firewalls, VLANs, Benutzerrechte, Updates und Backups wichtig. --- **1.3 Netzwerkgrößen** Netzwerke werden oft nach ihrer räumlichen Ausdehnung unterschieden. | Begriff | Bedeutung | Beispiel | |---|---|---| | LAN | Local Area Network | Netzwerk in einem Büro, Schule oder Zuhause | | MAN | Metropolitan Area Network | Netzwerk innerhalb einer Stadt | | WAN | Wide Area Network | Netzwerk über große Entfernungen, z. B. Internet | --- **1.4 Topologien** Eine Topologie beschreibt, wie Geräte in einem Netzwerk miteinander verbunden sind. | Topologie | Erklärung | |---|---| | Bus | Alle Geräte hängen an einer gemeinsamen Leitung. Heute veraltet. | | Ring | Geräte sind ringförmig verbunden. Daten laufen im Kreis. | | Stern | Alle Geräte sind mit einem zentralen Gerät verbunden, meistens einem Switch. | | Mesh | Geräte sind mehrfach miteinander verbunden. Dadurch entsteht Redundanz. | **Grafik: Sterntopologie** ```mermaid flowchart TD SW[Switch] PC1[PC 1] PC2[PC 2] PC3[PC 3] PR[Drucker] NAS[NAS / Server] SW --- PC1 SW --- PC2 SW --- PC3 SW --- PR SW --- NAS ``` Die Sterntopologie ist heute im LAN am häufigsten. Fällt ein einzelnes Kabel aus, ist meist nur ein Gerät betroffen. Fällt aber der zentrale Switch aus, sind alle daran angeschlossenen Geräte betroffen. --- **1.5 Simplex, Halbduplex und Vollduplex** | Begriff | Bedeutung | Beispiel | |---|---|---| | Simplex | Kommunikation nur in eine Richtung | Radio, Fernsehsendung | | Halbduplex | Kommunikation in beide Richtungen, aber nicht gleichzeitig | Funkgerät | | Vollduplex | Kommunikation gleichzeitig in beide Richtungen | modernes Ethernet mit Switch | Merksatz: - Hub = meistens Halbduplex - Switch = Vollduplex möglich --- **2. OSI-Schichtenmodell** Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Jede Schicht hat eine bestimmte Aufgabe. Der Vorteil: Netzwerkprobleme lassen sich besser eingrenzen. Beispiel: Wenn ein PC keine Webseite öffnen kann, kann man schrittweise prüfen: - Ist das Kabel verbunden? - Hat der PC eine IP-Adresse? - Funktioniert DNS? - Ist der Webserver erreichbar? - Blockiert eine Firewall? --- **2.1 Die 7 OSI-Schichten** | Schicht | Name | Aufgabe | Beispiele | |---|---|---|---| | 7 | Anwendung | Dienste für Anwendungen | HTTP, HTTPS, DNS, SMTP | | 6 | Darstellung | Datenformat, Codierung, Verschlüsselung | TLS, Zeichencodierung | | 5 | Sitzung | Verbindungen zwischen Anwendungen verwalten | Sitzungen, Logins | | 4 | Transport | Ende-zu-Ende-Kommunikation | TCP, UDP, Ports | | 3 | Vermittlung | logische Adressierung und Routing | IP, Router | | 2 | Sicherung | lokale Zustellung im LAN | MAC-Adresse, Switch, Ethernet | | 1 | Bitübertragung | elektrische, optische oder Funk-Signale | Netzwerkkarte, Kabel | | 0 | Übertragungsmedium | physisches Medium selbst | Kupfer, Glasfaser, Funk | Hinweis: Schicht 0 gehört nicht offiziell zum OSI-Modell, wird im Unterricht aber oft als praktische Ergänzung verwendet. --- **2.2 Merksatz für das OSI-Modell** Von oben nach unten: **Alle Deutschen Schüler Trinken Verschiedene Sorten Brause** | Wort | Schicht | |---|---| | Alle | Anwendung | | Deutschen | Darstellung | | Schüler | Sitzung | | Trinken | Transport | | Verschiedene | Vermittlung | | Sorten | Sicherung | | Brause | Bitübertragung | --- **2.3 OSI-Modell als Grafik** ```mermaid flowchart TB L7["7 Anwendung
HTTP, HTTPS, DNS"] L6["6 Darstellung
Format, Verschlüsselung"] L5["5 Sitzung
Sitzungen, Verbindungen"] L4["4 Transport
TCP, UDP, Ports"] L3["3 Vermittlung
IP, Routing"] L2["2 Sicherung
MAC, Switch, Ethernet"] L1["1 Bitübertragung
Signale, Netzwerkkarte"] L0["0 Medium
Kabel, Glasfaser, Funk"] L7 --> L6 --> L5 --> L4 --> L3 --> L2 --> L1 --> L0 ``` --- **2.4 TCP/IP-Modell** In der Praxis wird häufig das TCP/IP-Modell verwendet. Es ist weniger theoretisch als das OSI-Modell und orientiert sich stärker an realen Netzwerken. | TCP/IP-Schicht | Entspricht ungefähr OSI | Beispiele | |---|---|---| | Anwendung | OSI 5–7 | HTTP, HTTPS, DNS, SMTP | | Transport | OSI 4 | TCP, UDP | | Internet | OSI 3 | IPv4, IPv6, ICMP | | Netzzugang | OSI 1–2 | Ethernet, WLAN, MAC | --- **2.5 Datenkapselung** Beim Senden werden Daten auf jeder Schicht verpackt. Jede Schicht fügt eigene Steuerinformationen hinzu. Beispiel beim Aufruf einer Webseite: ```mermaid flowchart TD A["HTTP-Daten
Webseiteninhalt"] B["TCP-Header + HTTP-Daten
Port 80/443"] C["IP-Header + TCP + Daten
Quell-IP / Ziel-IP"] D["Ethernet-Header + IP + TCP + Daten
Quell-MAC / Ziel-MAC"] E["Bits auf Kabel / Glasfaser / Funk"] A --> B --> C --> D --> E ``` Wichtig für die IHK: - MAC-Adresse arbeitet auf Schicht 2 - IP-Adresse arbeitet auf Schicht 3 - Ports arbeiten auf Schicht 4 - Anwendungen wie HTTP oder DNS liegen oben im Modell --- **3. Schicht 0 – Übertragungsmedien** Schicht 0 beschreibt das Medium, über das Daten übertragen werden. Typische Medien: - Koaxialkabel - Twisted-Pair-Kabel - Lichtwellenleiter - Funk bei WLAN --- **3.1 Koaxialkabel** Koaxialkabel wurden früher häufig in Bus-Netzwerken verwendet. Heute sind sie in klassischen LANs veraltet. Merkmale: - früher für Ethernet verwendet - Bus-Topologie - störanfällig bei schlechter Verkabelung - heute kaum noch relevant für moderne LANs --- **3.2 Twisted-Pair-Kabel** Twisted-Pair-Kabel sind die typischen Netzwerkkabel mit RJ45-Stecker. Die Adernpaare sind verdrillt. Dadurch werden Störungen reduziert. | Kategorie | Typische Verwendung | |---|---| | Cat 5e | bis 1 Gbit/s | | Cat 6 | 1 Gbit/s, teilweise 2,5/5 Gbit/s | | Cat 6A | bis 10 Gbit/s | | Cat 7 | hochwertige Gebäudeverkabelung | | Cat 8 | sehr hohe Datenraten im kurzen Bereich | Faustregel: Für normale Büro- und Heimnetzwerke ist Cat 6 oder Cat 6A meistens ausreichend. --- **3.3 Lichtwellenleiter** Lichtwellenleiter übertragen Daten mit Licht statt mit elektrischen Signalen. Vorteile: - hohe Reichweite - hohe Geschwindigkeit - unempfindlicher gegen elektromagnetische Störungen - gut für Gebäudeverbindungen und Rechenzentren Nachteile: - empfindlicher gegen Knicken - teurer in Installation und Technik - Spleißen und Messung benötigen Fachwissen --- **3.4 Multimode und Singlemode** | Typ | Erklärung | Einsatz | |---|---|---| | Multimode | Licht läuft auf mehreren Wegen durch die Faser | kurze bis mittlere Strecken | | Singlemode | Licht läuft auf einem sehr engen Weg | lange Strecken | Merksatz: - Multimode = kürzere Strecken - Singlemode = lange Strecken --- **3.5 Verkabelungsregel** Eine einfache praktische Regel: | Entfernung | Medium | |---|---| | bis ca. 100 m | Twisted-Pair-Kupferkabel | | bis mehrere hundert Meter | Multimode-LWL | | größere Entfernungen | Singlemode-LWL | --- **3.6 WLAN** WLAN überträgt Daten per Funk. Wichtige Frequenzbereiche: | Frequenz | Eigenschaften | |---|---| | 2,4 GHz | hohe Reichweite, aber oft stärker belegt | | 5 GHz | schneller, weniger Reichweite | | 6 GHz | modern, hohe Geschwindigkeit, kürzere Reichweite | Wichtige WLAN-Generationen: | Name | Standard | |---|---| | Wi-Fi 4 | IEEE 802.11n | | Wi-Fi 5 | IEEE 802.11ac | | Wi-Fi 6 | IEEE 802.11ax | | Wi-Fi 6E | IEEE 802.11ax mit 6 GHz | | Wi-Fi 7 | IEEE 802.11be | --- **3.7 WLAN-Sicherheit** Für die IHK wichtig: - WLAN sollte verschlüsselt sein - WPA2 ist Mindeststandard - WPA3 ist empfohlen - Gastnetz getrennt vom internen Netz betreiben - unsichere alte Standards vermeiden - starke Passwörter verwenden --- **4. Ethernet-Frame** Ethernet arbeitet auf Schicht 2. Die Daten werden in Frames übertragen. Ein Ethernet-Frame enthält unter anderem: - Ziel-MAC-Adresse - Quell-MAC-Adresse - Typfeld - Nutzdaten - Prüfsumme --- **4.1 Ethernet-Frame als Grafik** ```mermaid flowchart LR A["Präambel"] B["Ziel-MAC"] C["Quell-MAC"] D["Typ"] E["Daten
z. B. IP + TCP + HTTP"] F["FCS / Prüfsumme"] A --> B --> C --> D --> E --> F ``` --- **4.2 MAC-Adresse** Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle. Eigenschaften: - 48 Bit lang - hexadezimale Schreibweise - Beispiel: `00:1A:2B:3C:4D:5E` - arbeitet auf OSI-Schicht 2 - wird im lokalen Netzwerk verwendet Wichtig: Eine MAC-Adresse wird nur im lokalen Netzwerksegment verwendet. Sobald ein Paket über einen Router weitergeleitet wird, ändern sich die MAC-Adressen auf dem Weg. Die IP-Adressen bleiben dagegen im Normalfall gleich. --- **4.3 FCS / CRC** Die Prüfsumme dient zur Fehlererkennung. Wenn ein Frame beschädigt ist, kann dies erkannt werden. Der Frame wird dann verworfen. Wichtig: Ethernet korrigiert Fehler nicht selbst. Fehlerhafte Frames werden verworfen. Höhere Schichten, zum Beispiel TCP, können dann eine erneute Übertragung auslösen. --- **4.4 MTU und Nutzdaten** Die übliche MTU bei Ethernet beträgt 1500 Byte. Das bedeutet: Ein Ethernet-Frame kann typischerweise 1500 Byte Nutzdaten für die nächsthöhere Schicht transportieren. Da IP- und TCP-Header ebenfalls Platz benötigen, bleiben für reine Anwendungsdaten weniger als 1500 Byte übrig. --- **5. Sniffer** Ein Sniffer ist ein Werkzeug zur Analyse von Netzwerkverkehr. Beispiele: - Wireshark - tcpdump - Windump Sniffer werden zur Fehlersuche eingesetzt. Beispiele: - Warum bekommt ein Client keine IP-Adresse? - Wird DNS korrekt aufgelöst? - Sendet ein Gerät ARP-Anfragen? - Kommt eine TCP-Verbindung zustande? --- **5.1 Rechtlicher Hinweis** Sniffing darf nur erlaubt und kontrolliert eingesetzt werden. In Unternehmen gilt: - Vorgesetzte informieren - Datenschutz beachten - Betriebsrat einbeziehen, falls vorhanden - nicht heimlich fremde Daten mitschneiden Für Ausbildung und Laborumgebungen ist Sniffing sinnvoll, solange keine fremden Daten ausspioniert werden. --- **6. Schicht 1 – Bitübertragung** Schicht 1 beschreibt die technische Übertragung der Bits. Dazu gehören: - elektrische Signale - optische Signale - Funkwellen - Netzwerkkarten - physische Anschlüsse --- **6.1 Netzwerkkarte** Die Netzwerkkarte verbindet den Computer mit dem Netzwerk. Aufgaben: - Daten senden und empfangen - Signale erzeugen - Prüfsummen prüfen - Zugriff auf das Medium steuern - MAC-Adresse bereitstellen --- **6.2 CSMA/CD und CSMA/CA** | Verfahren | Bedeutung | Einsatz | |---|---|---| | CSMA/CD | Kollisionserkennung | alte kabelgebundene Netze mit Hub | | CSMA/CA | Kollisionsvermeidung | WLAN | Merksatz: - CD = Collision Detection = Kollision erkennen - CA = Collision Avoidance = Kollision vermeiden --- **6.3 Hub** Ein Hub ist ein veraltetes Netzwerkgerät. Eigenschaften: - verteilt Daten an alle Ports - kennt keine MAC-Adressen - erzeugt unnötigen Datenverkehr - Sniffing ist leicht möglich - nur Halbduplex - praktisch durch Switches ersetzt --- **7. Schicht 2 – Sicherungsschicht** Schicht 2 ist für die lokale Kommunikation im gleichen Netzwerk zuständig. Wichtige Begriffe: - MAC-Adresse - Ethernet-Frame - Switch - VLAN - ARP - Broadcast --- **7.1 Switch** Ein Switch verbindet Geräte in einem LAN. Er arbeitet hauptsächlich auf Schicht 2 und leitet Frames anhand der MAC-Adresse weiter. Vorteile gegenüber einem Hub: - sendet Frames gezielt an den richtigen Port - weniger unnötiger Datenverkehr - Vollduplex möglich - höhere Geschwindigkeit - bessere Sicherheit --- **7.2 Switch-Tabelle** Ein Switch merkt sich, welche MAC-Adresse an welchem Port erreichbar ist. Diese Tabelle wird oft MAC Address Table, SAT-Tabelle oder Forwarding Table genannt. Ablauf: 1. Ein Frame kommt am Switch an. 2. Der Switch liest die Quell-MAC-Adresse. 3. Er merkt sich: Diese MAC-Adresse befindet sich an diesem Port. 4. Bei späteren Frames zur gleichen MAC-Adresse kann der Switch gezielt weiterleiten. --- **7.3 ARP** ARP bedeutet Address Resolution Protocol. ARP wird bei IPv4 verwendet, um zu einer IP-Adresse die passende MAC-Adresse zu finden. Beispiel: Ein PC möchte an `192.168.1.20` senden, kennt aber nur die IP-Adresse. Dann fragt er per Broadcast: „Wer hat 192.168.1.20?“ Das Zielgerät antwortet: „Ich habe 192.168.1.20, meine MAC-Adresse ist ...“ --- **7.4 ARP als Grafik** ```mermaid sequenceDiagram participant PC1 as PC 1 participant LAN as LAN / Switch participant PC2 as PC 2 PC1->>LAN: ARP Request: Wer hat 192.168.1.20? LAN->>PC2: Broadcast wird weitergeleitet PC2->>PC1: ARP Reply: Ich habe die IP, meine MAC ist AA:BB:CC... ``` --- **7.5 Managed und unmanaged Switch** | Typ | Erklärung | |---|---| | Unmanaged Switch | keine Konfiguration nötig, einfache Nutzung | | Managed Switch | konfigurierbar, z. B. VLAN, Port-Mirroring, STP, PoE | Für Unternehmen sind managed Switches wichtig, weil sie mehr Kontrolle und Sicherheit bieten. --- **7.6 Port-Mirroring** Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port kopiert. Einsatz: - Analyse mit Wireshark - Fehlersuche - Sicherheitsanalyse --- **7.7 Link Aggregation** Bei Link Aggregation werden mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammengefasst. Vorteile: - höhere Gesamtbandbreite - Redundanz - bessere Auslastung Wichtig: Eine einzelne Verbindung wird nicht automatisch doppelt so schnell. Die Last wird meistens auf mehrere Verbindungen verteilt. --- **7.8 Power over Ethernet** Power over Ethernet, kurz PoE, überträgt Daten und Strom über dasselbe Netzwerkkabel. Typische Geräte: - IP-Telefone - Access Points - Überwachungskameras - kleine Netzwerkgeräte Vorteil: Man braucht nicht an jedem Gerät eine eigene Steckdose. --- **7.9 Spanning Tree Protocol** Das Spanning Tree Protocol verhindert Schleifen zwischen Switches. Warum ist das wichtig? Wenn Switches mehrfach miteinander verbunden sind, kann ein Broadcast endlos im Kreis laufen. Dadurch kann das Netzwerk stark überlastet werden. STP blockiert bestimmte Verbindungen logisch und aktiviert sie bei Bedarf wieder, wenn eine andere Verbindung ausfällt. --- **7.10 Spanning Tree als Grafik** ```mermaid flowchart TD SW1[Switch 1] SW2[Switch 2] SW3[Switch 3] SW4[Switch 4] SW1 --- SW2 SW2 --- SW3 SW3 -. blockiert durch STP .- SW4 SW4 --- SW1 ``` Die gestrichelte Verbindung ist vorhanden, wird aber logisch blockiert. Fällt eine andere Verbindung aus, kann STP neu berechnen und die blockierte Verbindung wieder aktivieren. --- **7.11 VLAN** VLAN bedeutet Virtual Local Area Network. Ein VLAN teilt ein physisches Netzwerk in mehrere logische Netzwerke auf. Beispiel: Ein Switch kann gleichzeitig mehrere getrennte Netze bereitstellen: - VLAN 10 = Verwaltung - VLAN 20 = Schüler / Mitarbeiter - VLAN 30 = Gäste - VLAN 40 = Server Vorteile: - bessere Sicherheit - weniger Broadcast-Verkehr - klare Trennung von Bereichen - einfachere Netzwerkstruktur --- **7.12 VLAN als Grafik** ```mermaid flowchart TD SW[Managed Switch] PC1[PC Verwaltung
VLAN 10] PC2[PC Verwaltung
VLAN 10] PC3[Gastgerät
VLAN 30] PC4[Server
VLAN 40] SW --- PC1 SW --- PC2 SW --- PC3 SW --- PC4 ``` Geräte im gleichen VLAN können direkt miteinander kommunizieren. Geräte in unterschiedlichen VLANs benötigen Routing, meist über einen Router, Layer-3-Switch oder eine Firewall. --- **7.13 Tagged und Untagged VLAN** | Begriff | Erklärung | |---|---| | Untagged Port | Port gehört fest zu einem VLAN, z. B. Endgerät | | Tagged Port | VLAN-Information wird im Frame mitgesendet, z. B. Verbindung zwischen Switches | | Trunk | Verbindung, die mehrere VLANs transportiert | Beispiel: Ein PC-Port ist meistens untagged. Eine Verbindung zwischen zwei Switches ist meistens tagged. --- **8. Schicht 3 – Vermittlungsschicht** Schicht 3 ist für logische Adressierung und Routing zuständig. Wichtige Themen: - IPv4 - IPv6 - Subnetzmaske - Routing - DHCP - DNS - Router - Layer-3-Switch --- **8.1 IPv4-Adresse** Eine IPv4-Adresse ist 32 Bit lang. Sie wird in vier Oktette aufgeteilt. Beispiel: `192.168.1.10` Binär: `11000000.10101000.00000001.00001010` Jedes Oktett hat 8 Bit und kann Werte von 0 bis 255 enthalten. --- **8.2 Subnetzmaske** Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil. Beispiel: IP-Adresse: `192.168.1.10` Subnetzmaske: `255.255.255.0` CIDR-Schreibweise: `/24` Das bedeutet: - die ersten 24 Bit gehören zum Netzanteil - die restlichen 8 Bit gehören zum Hostanteil Netz: `192.168.1.0/24` Hostbereich: `192.168.1.1` bis `192.168.1.254` Broadcast: `192.168.1.255` --- **8.3 IPv4-Netz als Grafik** ```mermaid flowchart LR A["192.168.1.0
Netzadresse"] B["192.168.1.1
erster Host"] C["192.168.1.10
Host"] D["192.168.1.254
letzter Host"] E["192.168.1.255
Broadcast"] A --> B --> C --> D --> E ``` --- **8.4 Netzadresse und Broadcast** In jedem IPv4-Netz gibt es zwei besondere Adressen: | Adresse | Bedeutung | |---|---| | erste Adresse | Netzadresse | | letzte Adresse | Broadcast-Adresse | Diese beiden Adressen können nicht als normale Hostadresse verwendet werden. Beispiel bei `192.168.1.0/24`: | Typ | Adresse | |---|---| | Netzadresse | 192.168.1.0 | | erster Host | 192.168.1.1 | | letzter Host | 192.168.1.254 | | Broadcast | 192.168.1.255 | --- **8.5 Private IPv4-Adressbereiche** Private IP-Adressen werden in lokalen Netzwerken verwendet und nicht direkt im Internet geroutet. | Bereich | CIDR | |---|---| | 10.0.0.0 bis 10.255.255.255 | 10.0.0.0/8 | | 172.16.0.0 bis 172.31.255.255 | 172.16.0.0/12 | | 192.168.0.0 bis 192.168.255.255 | 192.168.0.0/16 | Diese Bereiche sind besonders wichtig für Heimnetzwerke, Firmennetze, Labore und virtuelle Umgebungen. --- **8.6 Besondere IPv4-Adressen** | Adresse | Bedeutung | |---|---| | 0.0.0.0 | unspezifizierte Adresse | | 127.0.0.1 | localhost / Loopback | | 169.254.0.0/16 | APIPA / Link Local | | 255.255.255.255 | lokaler Broadcast | APIPA sieht man häufig, wenn ein Client keine Adresse vom DHCP-Server bekommt. --- **8.7 Subnetting** Subnetting bedeutet, ein größeres Netzwerk in kleinere Teilnetze aufzuteilen. Warum macht man Subnetting? - bessere Struktur - weniger Broadcast-Verkehr - bessere Sicherheit - Trennung von Abteilungen - effizientere Adressvergabe Beispiel: Aus `192.168.1.0/24` werden zwei Subnetze: | Subnetz | Bereich | |---|---| | 192.168.1.0/25 | 192.168.1.0 bis 192.168.1.127 | | 192.168.1.128/25 | 192.168.1.128 bis 192.168.1.255 | Nutzbare Hosts: | Subnetz | nutzbare Hosts | |---|---| | 192.168.1.0/25 | 192.168.1.1 bis 192.168.1.126 | | 192.168.1.128/25 | 192.168.1.129 bis 192.168.1.254 | --- **8.8 Subnetting-Regel** Formel: `Anzahl Adressen = 2^(Hostbits)` `nutzbare Hosts = 2^(Hostbits) - 2` Beispiel `/24`: - 32 Bit insgesamt - 24 Bit Netzanteil - 8 Bit Hostanteil - 2⁸ = 256 Adressen - 256 - 2 = 254 nutzbare Hosts --- **8.9 Häufige CIDR-Werte** | CIDR | Subnetzmaske | Adressen | nutzbare Hosts | |---|---|---:|---:| | /24 | 255.255.255.0 | 256 | 254 | | /25 | 255.255.255.128 | 128 | 126 | | /26 | 255.255.255.192 | 64 | 62 | | /27 | 255.255.255.224 | 32 | 30 | | /28 | 255.255.255.240 | 16 | 14 | | /29 | 255.255.255.248 | 8 | 6 | | /30 | 255.255.255.252 | 4 | 2 | Für IHK-Aufgaben sind diese Werte sehr wichtig. --- **8.10 IPv6** IPv6 ist der Nachfolger von IPv4. Eigenschaften: - 128 Bit lang - hexadezimale Schreibweise - sehr großer Adressraum - kein klassisches Broadcast wie bei IPv4 - nutzt Multicast und Neighbor Discovery Beispiel: `2001:0db8:0000:0000:0000:ff00:0042:8329` Gekürzt: `2001:db8::ff00:42:8329` --- **8.11 IPv6 kürzen** Regeln: - führende Nullen in einem Block dürfen weggelassen werden - eine zusammenhängende Folge von Null-Blöcken darf einmal durch `::` ersetzt werden Beispiel: Lang: `2001:0db8:0000:0000:0000:0000:0000:0001` Kurz: `2001:db8::1` Wichtig: `::` darf nur einmal in einer IPv6-Adresse verwendet werden, sonst wäre die Adresse nicht eindeutig. --- **8.12 Besondere IPv6-Adressen** | Adresse / Bereich | Bedeutung | |---|---| | `::` | unspezifizierte Adresse | | `::1` | Loopback | | `fe80::/10` | Link Local | | `fc00::/7` | Unique Local Address | | `ff00::/8` | Multicast | --- **8.13 DHCP** DHCP vergibt automatisch Netzwerkkonfigurationen an Clients. Typische DHCP-Informationen: - IP-Adresse - Subnetzmaske - Standardgateway - DNS-Server - Lease-Zeit --- **8.14 DHCP-Ablauf** Der typische DHCP-Ablauf besteht aus vier Schritten: | Schritt | Bedeutung | |---|---| | Discover | Client sucht DHCP-Server | | Offer | Server bietet Adresse an | | Request | Client fordert Adresse an | | Acknowledge | Server bestätigt die Vergabe | Merksatz: **DORA** - Discover - Offer - Request - Acknowledge --- **8.15 DHCP als Grafik** ```mermaid sequenceDiagram participant C as Client participant S as DHCP-Server C->>S: DHCP Discover S->>C: DHCP Offer C->>S: DHCP Request S->>C: DHCP Acknowledge ``` --- **8.16 DNS** DNS bedeutet Domain Name System. DNS übersetzt Namen in IP-Adressen. Beispiel: `www.example.com` wird zu einer IP-Adresse aufgelöst. Warum ist DNS wichtig? Menschen merken sich Namen leichter als IP-Adressen. --- **8.17 FQDN** FQDN bedeutet Fully Qualified Domain Name. Beispiel: `server01.firma.local` Bestandteile: | Teil | Bedeutung | |---|---| | server01 | Hostname | | firma | Domain | | local | Top-Level oder interner Namensraum | --- **8.18 Routing** Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten. Ein Router verbindet mehrere IP-Netze. Beispiel: - Netz A: `192.168.1.0/24` - Netz B: `192.168.2.0/24` Damit Geräte aus beiden Netzen kommunizieren können, braucht man einen Router oder Layer-3-Switch. --- **8.19 Routing als Grafik** ```mermaid flowchart LR A["PC A
192.168.1.10/24"] R["Router
192.168.1.1 / 192.168.2.1"] B["PC B
192.168.2.10/24"] A --- R --- B ``` Wenn PC A mit PC B kommunizieren möchte, erkennt PC A: PC B liegt nicht im eigenen Netz. Deshalb sendet PC A das Paket an sein Standardgateway. --- **8.20 Statisches und dynamisches Routing** | Art | Erklärung | |---|---| | statisches Routing | Routen werden manuell eingetragen | | dynamisches Routing | Router tauschen Routen automatisch aus | Für kleinere Netze reichen statische Routen oft aus. In größeren Netzen verwendet man dynamische Routing-Protokolle. --- **8.21 Layer-3-Switch** Ein Layer-3-Switch kann zusätzlich zum Switching auch Routing übernehmen. Typischer Einsatz: - VLANs miteinander verbinden - schnelles Routing im LAN - Entlastung eines Routers Beispiel: VLAN 10 und VLAN 20 können über einen Layer-3-Switch miteinander kommunizieren, wenn Routing erlaubt ist. --- **9. Schicht 4 – Transportschicht** Schicht 4 ist für die Kommunikation zwischen Anwendungen zuständig. Wichtige Themen: - TCP - UDP - Ports - Verbindungsaufbau - Verbindungsabbau - NAT - Portweiterleitung --- **9.1 Ports** Ports dienen dazu, Anwendungen auf einem Gerät zu unterscheiden. Ein Gerät kann eine IP-Adresse haben, aber viele Dienste gleichzeitig anbieten. Beispiel: | Dienst | Port | |---|---:| | HTTP | 80 | | HTTPS | 443 | | DNS | 53 | | SSH | 22 | | SMTP | 25 | | IMAP | 143 | | RDP | 3389 | Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welche Anwendung auf dem Gerät gemeint ist. --- **9.2 Schreibweise IP-Adresse mit Port** Beispiele: - `192.168.1.10:80` - `10.0.0.5:22` - `https://example.com:443` --- **9.3 Portbereiche** | Bereich | Name | Bedeutung | |---|---|---| | 0–1023 | System Ports / Well-known Ports | bekannte Standarddienste | | 1024–49151 | User Ports | registrierte Anwendungen | | 49152–65535 | Dynamic / Private Ports | temporäre Client-Ports | --- **9.4 TCP** TCP ist verbindungsorientiert. Eigenschaften: - zuverlässige Übertragung - Reihenfolge der Daten wird sichergestellt - verlorene Daten werden erneut gesendet - Verbindung wird aufgebaut und beendet - mehr Verwaltungsaufwand als UDP Typische TCP-Dienste: - HTTP - HTTPS - SSH - SMTP - IMAP - FTP --- **9.5 TCP-Verbindungsaufbau** TCP nutzt den Three-Way-Handshake. ```mermaid sequenceDiagram participant C as Client participant S as Server C->>S: SYN S->>C: SYN/ACK C->>S: ACK ``` Danach ist die Verbindung aufgebaut. --- **9.6 TCP-Verbindungsabbau** Eine TCP-Verbindung wird kontrolliert beendet. Vereinfacht: ```mermaid sequenceDiagram participant C as Client participant S as Server C->>S: FIN S->>C: ACK S->>C: FIN C->>S: ACK ``` --- **9.7 UDP** UDP ist verbindungslos. Eigenschaften: - kein Verbindungsaufbau - keine Garantie für Zustellung - keine automatische Wiederholung - schneller und schlanker als TCP Typische UDP-Dienste: - DNS - DHCP - VoIP - Streaming - Gaming --- **9.8 TCP und UDP Vergleich** | Merkmal | TCP | UDP | |---|---|---| | Verbindung | verbindungsorientiert | verbindungslos | | Zuverlässigkeit | hoch | keine Garantie | | Reihenfolge | wird sichergestellt | nicht garantiert | | Geschwindigkeit | mehr Overhead | weniger Overhead | | Beispiele | HTTPS, SSH, SMTP | DNS, DHCP, VoIP | --- **9.9 NAT** NAT bedeutet Network Address Translation. NAT übersetzt IP-Adressen. Typischer Fall: Viele private Geräte im LAN nutzen eine gemeinsame öffentliche IP-Adresse für den Zugriff ins Internet. Beispiel: - PC intern: `192.168.1.10` - Router öffentlich: `84.x.x.x` Der Router ersetzt beim Senden ins Internet die private Quelladresse durch seine öffentliche Adresse. --- **9.10 NAT als Grafik** ```mermaid flowchart LR PC["PC
192.168.1.10"] R["Router / NAT
innen: 192.168.1.1
außen: öffentliche IP"] INET["Internet
Webserver"] PC --> R --> INET INET --> R --> PC ``` --- **9.11 PAT** PAT bedeutet Port Address Translation. PAT ist eine Form von NAT, bei der zusätzlich Ports genutzt werden. Dadurch können viele interne Geräte gleichzeitig über eine öffentliche IP-Adresse kommunizieren. Beispiel: | Intern | Extern | |---|---| | 192.168.1.10:50001 | öffentliche-IP:61001 | | 192.168.1.11:50002 | öffentliche-IP:61002 | Der Router merkt sich diese Zuordnung in einer NAT-Tabelle. --- **9.12 Portforwarding** Portforwarding wird auch Destination NAT genannt. Dabei wird eine Anfrage von außen an ein internes Gerät weitergeleitet. Beispiel: Anfrage aus dem Internet an: `öffentliche-IP:443` wird weitergeleitet an: `192.168.1.20:443` Typische Verwendung: - Webserver im internen Netzwerk - VPN-Server - Spieleserver - Remote-Zugriff Sicherheitswarnung: Portforwarding öffnet Dienste nach außen. Deshalb sollte man nur notwendige Ports freigeben und Dienste aktuell halten. --- **9.13 Portforwarding als Grafik** ```mermaid flowchart LR I["Client im Internet"] R["Router / Firewall
Port 443 offen"] S["Interner Webserver
192.168.1.20:443"] I --> R --> S ``` --- **9.14 Allowlist und Blocklist** | Begriff | Bedeutung | |---|---| | Allowlist | Nur ausdrücklich erlaubte Dinge sind erlaubt | | Blocklist | Nur ausdrücklich verbotene Dinge sind blockiert | Sicherer ist meistens das Allowlist-Prinzip: Alles ist verboten, außer es wurde ausdrücklich erlaubt. --- **10. Firewalls** Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie entscheidet: - Wer darf wohin? - Von welcher Quelle? - Zu welchem Ziel? - Über welches Protokoll? - Über welchen Port? - In welche Richtung? Eine Firewall schützt nicht automatisch vor allem. Sie ist nur so gut wie ihre Regeln und ihre Platzierung im Netzwerk. --- **10.1 Aufgaben einer Firewall** Eine Firewall kann: - unerwünschten Datenverkehr blockieren - erlaubte Kommunikation zulassen - Netze voneinander trennen - Server in einer DMZ schützen - Zugriffe protokollieren - Angriffsfläche reduzieren - Regeln für ein- und ausgehenden Verkehr erzwingen --- **10.2 Personal Firewall und Unternehmens-Firewall** | Typ | Erklärung | |---|---| | Personal Firewall | läuft direkt auf einem einzelnen PC oder Server | | Unternehmens-Firewall | schützt ein gesamtes Netzwerk oder mehrere Netzbereiche | Beispiel: Die Windows Defender Firewall ist eine Personal Firewall. Eine Firewall zwischen LAN und Internet ist eine Unternehmens-Firewall. --- **10.3 Paketfilter-Firewall** Eine einfache Paketfilter-Firewall prüft einzelne Pakete anhand von Regeln. Sie betrachtet zum Beispiel: - Quell-IP - Ziel-IP - Protokoll - Port Nachteil: Klassische Paketfilter kennen oft keinen Verbindungszustand. Hin- und Rückweg müssen dann separat erlaubt werden. Für die IHK wichtig: Paketfilter-Firewalls sind weiterhin prüfungsrelevant, auch wenn moderne Firewalls meist zustandsorientiert arbeiten. --- **10.4 Stateful Packet Inspection Firewall** Eine SPI-Firewall ist zustandsorientiert. SPI bedeutet Stateful Packet Inspection. Das bedeutet: Die Firewall merkt sich bestehende Verbindungen. Vorteil: Wenn ein Client aus dem LAN eine Verbindung nach außen aufbaut, kann die Antwort automatisch wieder zurückgelassen werden. Der Rückweg muss nicht extra als neue Regel eingerichtet werden. --- **10.5 Paketfilter vs. SPI-Firewall** | Merkmal | Paketfilter | SPI-Firewall | |---|---|---| | prüft einzelne Pakete | ja | ja | | kennt Verbindungszustand | nein oder begrenzt | ja | | Rückweg automatisch erlaubt | nein | ja, wenn Verbindung gültig | | Sicherheit | geringer | höher | | heutige Praxis | eher veraltet | üblich | --- **10.6 Firewall-Regeln nach OSI-Schichten** Eine Firewall kann je nach Typ verschiedene Informationen prüfen. | OSI-Schicht | Prüfkriterium | Beispiel | |---|---|---| | Schicht 2 | MAC-Adresse | Nur Gerät mit bestimmter MAC erlauben | | Schicht 3 | IP-Adresse | Quelle 192.168.1.10 erlauben | | Schicht 4 | TCP / UDP und Ports | TCP 443 erlauben | | Schicht 7 | Anwendung | HTTP, DNS, bestimmte URLs | Wichtig: Je höher die Schicht, desto genauer kann geprüft werden. Dafür braucht die Firewall aber mehr Leistung und mehr Verständnis des Datenverkehrs. --- **10.7 Grundprinzip: Default Deny** Ein sicheres Firewall-Konzept arbeitet häufig nach diesem Prinzip: **Alles ist verboten, außer es wurde ausdrücklich erlaubt.** Das nennt man Default Deny. Beispiel: Erlaubt: - LAN → Internet: HTTPS - LAN → DNS-Server: DNS - Admin-PC → Server: SSH oder RDP Verboten: - Internet → LAN - Gäste-WLAN → internes Servernetz - unbekannte Ports - unnötige Dienste --- **10.8 Firewall als Grenze zwischen Netzen** ```mermaid flowchart LR LAN["Internes LAN
vertrauenswürdiger Bereich"] FW["Firewall
Regelprüfung"] WAN["Internet
nicht vertrauenswürdiger Bereich"] LAN --> FW --> WAN WAN --> FW --> LAN ``` Die Firewall steht zwischen verschiedenen Sicherheitszonen. --- **10.9 Typische Firewall-Zonen** | Zone | Bedeutung | |---|---| | LAN | internes vertrauenswürdiges Netz | | WAN | Internet / externes Netz | | DMZ | separates Netz für öffentlich erreichbare Server | | Gäste-Netz | getrenntes Netz für Besucher | | Servernetz | separates Netz für wichtige Server | --- **10.10 DMZ** DMZ bedeutet Demilitarisierte Zone. Eine DMZ ist ein separates Netzwerk für Server, die aus dem Internet erreichbar sein müssen. Beispiele: - Webserver - Mailserver - VPN-Gateway - Reverse Proxy Warum DMZ? Wenn ein öffentlich erreichbarer Server kompromittiert wird, soll der Angreifer nicht direkt im internen LAN stehen. --- **10.11 DMZ als Grafik** ```mermaid flowchart LR WAN["Internet"] FW["Firewall"] LAN["Internes LAN
Clients, Dateien, interne Server"] DMZ["DMZ
Webserver / Reverse Proxy"] WAN --- FW FW --- LAN FW --- DMZ ``` Regelbeispiel: | Richtung | Regel | |---|---| | Internet → DMZ | Nur HTTPS zum Webserver erlauben | | Internet → LAN | blockieren | | DMZ → LAN | nur absolut notwendige Verbindungen | | LAN → DMZ | Administration nur von Admin-PCs | | LAN → Internet | notwendige Dienste erlauben | --- **10.12 Einstufige und zweistufige DMZ** **Einstufige DMZ** Eine Firewall trennt Internet, LAN und DMZ. Vorteil: - einfacher Aufbau - weniger Geräte - günstiger Nachteil: - die Sicherheit hängt stark an einer Firewall **Zweistufige DMZ** Zwei Firewalls trennen Internet, DMZ und LAN. Vorteil: - bessere Trennung - höheres Sicherheitsniveau Nachteil: - mehr Aufwand - höhere Kosten - komplexere Administration --- **10.13 Einstufige DMZ** ```mermaid flowchart LR I["Internet"] FW["Firewall mit 3 Schnittstellen"] LAN["LAN"] DMZ["DMZ"] I --- FW FW --- LAN FW --- DMZ ``` --- **10.14 Zweistufige DMZ** ```mermaid flowchart LR I["Internet"] FW1["Firewall 1"] DMZ["DMZ"] FW2["Firewall 2"] LAN["Internes LAN"] I --- FW1 --- DMZ --- FW2 --- LAN ``` --- **10.15 Firewall-Regeln verstehen** Eine Firewall-Regel besteht typischerweise aus: | Bestandteil | Beispiel | |---|---| | Quelle | 192.168.10.0/24 | | Ziel | 8.8.8.8 | | Protokoll | TCP oder UDP | | Port | 53, 80, 443 | | Aktion | erlauben oder blockieren | | Richtung | eingehend, ausgehend, weitergeleitet | Beispielregel: `LAN darf per TCP Port 443 ins Internet.` Das bedeutet: - Quelle: LAN - Ziel: Internet - Protokoll: TCP - Port: 443 - Aktion: erlauben --- **10.16 INPUT, OUTPUT und FORWARD** Bei Linux-Firewalls mit iptables sind drei Richtungen besonders wichtig. | Chain | Bedeutung | |---|---| | INPUT | Verkehr zur Firewall selbst | | OUTPUT | Verkehr von der Firewall selbst nach außen | | FORWARD | Verkehr durch die Firewall hindurch | Beispiele: | Situation | Chain | |---|---| | Admin greift per SSH auf Firewall zu | INPUT | | Firewall macht selbst DNS-Abfrage | OUTPUT | | PC im LAN geht über Firewall ins Internet | FORWARD | --- **10.17 INPUT, OUTPUT und FORWARD als Grafik** ```mermaid flowchart LR LAN["LAN-Client"] FW["Firewall-System"] NET["Internet"] LAN -- "FORWARD
durch die Firewall" --> FW FW -- "FORWARD" --> NET LAN -- "INPUT
zur Firewall selbst" --> FW FW -- "OUTPUT
von der Firewall selbst" --> NET ``` --- **10.18 Beispiel für einfache Firewall-Logik** Ziel: - LAN darf ins Internet - Antworten aus dem Internet dürfen zurück - Internet darf keine neuen Verbindungen ins LAN starten Regellogik: 1. Erlaube bestehende und zugehörige Verbindungen. 2. Erlaube LAN → Internet für notwendige Dienste. 3. Blockiere neue Verbindungen von Internet → LAN. 4. Protokolliere unerwünschte Zugriffe. 5. Standardregel: blockieren. --- **10.19 Beispiel-Regelkonzept** | Nr. | Quelle | Ziel | Dienst | Aktion | |---:|---|---|---|---| | 1 | LAN | Internet | DNS | erlauben | | 2 | LAN | Internet | HTTP/HTTPS | erlauben | | 3 | LAN | Internet | NTP | erlauben | | 4 | Internet | LAN | alle | blockieren | | 5 | Admin-PC | Server | SSH/RDP | erlauben | | 6 | Gäste-WLAN | LAN | alle | blockieren | --- **10.20 Firewall und VLAN** VLANs trennen Netze logisch. Eine Firewall kann anschließend regeln, welche VLANs miteinander kommunizieren dürfen. Beispiel: ```mermaid flowchart TD FW["Firewall / Layer-3-Gateway"] V10["VLAN 10
Verwaltung"] V20["VLAN 20
Mitarbeiter"] V30["VLAN 30
Gäste"] V40["VLAN 40
Server"] V10 --- FW V20 --- FW V30 --- FW V40 --- FW ``` Beispielregeln: | Richtung | Erlaubt? | |---|---| | Verwaltung → Server | ja | | Mitarbeiter → Server | teilweise | | Gäste → Internet | ja | | Gäste → Server | nein | | Gäste → Verwaltung | nein | --- **10.21 Typische Prüfungsfragen zur Firewall** **Was macht eine Firewall?** Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie erlaubt oder blockiert Verbindungen abhängig von Quelle, Ziel, Protokoll, Port und Richtung. **Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?** Ein Paketfilter prüft einzelne Pakete. Eine SPI-Firewall merkt sich zusätzlich den Zustand einer Verbindung und kann Rückverkehr automatisch zuordnen. **Was bedeutet Default Deny?** Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen sind zugelassen. **Warum verwendet man eine DMZ?** Eine DMZ trennt öffentlich erreichbare Server vom internen LAN. Dadurch wird das interne Netzwerk besser geschützt, falls ein öffentlicher Server kompromittiert wird. **Auf welcher OSI-Schicht arbeiten Firewalls?** Einfache Firewalls arbeiten vor allem auf Schicht 3 und 4. Moderne Firewalls können zusätzlich höhere Schichten prüfen, zum Beispiel Anwendungen auf Schicht 7. --- **11. IHK-Merkliste** **MAC-Adresse** - Schicht 2 - lokale Zustellung im LAN - wird vom Switch verwendet **IP-Adresse** - Schicht 3 - logische Adresse - wird vom Router verwendet **Port** - Schicht 4 - unterscheidet Anwendungen und Dienste **Switch** - arbeitet hauptsächlich auf Schicht 2 - leitet anhand von MAC-Adressen weiter **Router** - arbeitet auf Schicht 3 - verbindet verschiedene IP-Netze **Firewall** - kontrolliert Verkehr zwischen Netzen - prüft Regeln - kann auf mehreren Schichten arbeiten **NAT** - übersetzt Adressen - private Geräte nutzen öffentliche IP **Portforwarding** - leitet externe Anfragen an interne Server weiter - Sicherheitsrisiko, wenn falsch konfiguriert **VLAN** - logische Trennung in einem physischen Netzwerk - braucht Routing oder Firewall für Kommunikation zwischen VLANs **DMZ** - separates Netz für öffentlich erreichbare Server - schützt das interne LAN --- **12. Kurzer Gesamtüberblick als Grafik** ```mermaid flowchart TB A["Schicht 0
Kabel, Glasfaser, Funk"] B["Schicht 1
Signale, Netzwerkkarte"] C["Schicht 2
MAC, Switch, Ethernet, VLAN"] D["Schicht 3
IP, Routing, DHCP, DNS"] E["Schicht 4
TCP, UDP, Ports, NAT"] F["Firewall
Regeln zwischen Netzen"] G["Anwendungen
HTTP, HTTPS, Mail, DNS"] A --> B --> C --> D --> E --> F --> G ``` --- **13. Beispiel: Webseitenaufruf im Netzwerk** Ein Client ruft eine Webseite auf. Ablauf vereinfacht: 1. Client prüft seine IP-Konfiguration. 2. Client fragt DNS nach der IP-Adresse der Webseite. 3. Client baut per TCP eine Verbindung zum Webserver auf. 4. Bei HTTPS wird Port 443 verwendet. 5. Daten werden in TCP-Segmente verpackt. 6. TCP wird in IP-Pakete verpackt. 7. IP wird in Ethernet-Frames verpackt. 8. Switch leitet Frames anhand der MAC-Adresse weiter. 9. Router oder Firewall leitet Pakete ins Internet weiter. 10. NAT übersetzt private Adresse in öffentliche Adresse. 11. Antwortpakete kommen zurück. 12. SPI-Firewall erkennt die bestehende Verbindung und lässt die Antwort passieren. --- **14. Webseitenaufruf als Grafik** ```mermaid sequenceDiagram participant PC as Client-PC participant DNS as DNS-Server participant FW as Router / Firewall / NAT participant WEB as Webserver PC->>DNS: Wie lautet die IP von example.com? DNS->>PC: Antwort: IP-Adresse PC->>FW: TCP SYN an Webserver Port 443 FW->>WEB: Weiterleitung mit NAT WEB->>FW: SYN/ACK zurück FW->>PC: Antwort wird wegen SPI erlaubt PC->>WEB: HTTPS-Datenübertragung ``` --- **15. Prüfungsorientierte Zusammenfassung** Für die IHK solltest du besonders sicher beherrschen: - OSI-Schichten und typische Geräte/Protokolle - Unterschied zwischen MAC-Adresse, IP-Adresse und Port - IPv4-Subnetting - private IP-Bereiche - DHCP-Ablauf DORA - DNS-Grundprinzip - Unterschied TCP und UDP - NAT und Portforwarding - VLAN-Grundprinzip - Firewall-Regeln - Unterschied Paketfilter und SPI-Firewall - Zweck einer DMZ Merksatz: **MAC findet Geräte im lokalen Netz. IP findet Netze. Ports finden Anwendungen. Firewalls entscheiden, was erlaubt ist.** # OSI-Modell OSI-Modell – Geräte & Firewall-Bezug IHK-sichere Hauptzuordnung der Schichten, Geräte und Firewall-Arten Schicht Name Worum geht es? Typische Geräte / Komponenten Firewall-Bezug Layer 7 Anwendungs- schicht Anwendungen und Dienste Proxy, Application Gateway, Webserver, DNS-Server ▣ ◉ ▤ ◌ Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter Layer 6 Darstellungs- schicht Datenformat, Verschlüsselung, Komprimierung meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy Prüfung hier meist nur bei TLS-Inspection Layer 5 Sitzungs- schicht Aufbau, Verwaltung und Abbau von Sitzungen meist keine klassischen Netzwerkgeräte; teilweise Proxy/Gateway für die IHK eher Zusatzwissen, nicht Haupt-Firewall-Schicht Layer 4 Transport- schicht Ports, Ende-zu-Ende- Verbindungen, TCP/UDP Firewall, Load Balancer ▦ ⚖ Stateful Firewall, Portfilter, TCP-/UDP-Regeln Layer 3 Vermittlungs- schicht IP-Adressierung und Routing zwischen Netzen Router, Layer-3-Switch, Firewall ◎ ⇄ ▦ Paketfilter-Firewall, ACLs, IP-Filter Layer 2 Sicherungs- schicht Kommunikation im lokalen Netz über MAC-Adressen Switch, Bridge, Access Point, Netzwerkkarte ▤ ≋ ◖ VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall Layer 1 Bitübertragungs- schicht Physische Übertragung von Bits Kabel, Hub, Repeater, Medienkonverter ⌁ ▭ ↻ Keine klassische Firewall-Funktion Wichtige IHK-Merksätze ✓ Layer 2 = MAC / Switch ✓ Layer 3 = IP / Router / Paketfilter ✓ Layer 4 = TCP/UDP / Ports / Stateful Firewall ✓ Layer 7 = Anwendung / Proxy / WAF Wichtiger Hinweis Reale Geräte können mehrere OSI-Schichten abdecken. Für die IHK ist meistens die Hauptzuordnung entscheidend. Kurz merken: Switch = Layer 2 · Router = Layer 3 · Stateful Firewall = Layer 3/4 · Proxy/WAF = Layer 7 · NGFW = Layer 3 bis 7 **OSI-Modell – Geräte und Firewall-Bezug \(IHK-sicher\)** Das OSI-Modell teilt Netzwerkkommunikation in **7 Schichten** ein. Für die IHK ist wichtig, dass du nicht nur die Namen der Schichten kennst, sondern auch verstehst, **welche Aufgabe die jeweilige Schicht hat**, **welche Geräte dort typischerweise arbeiten** und **welche Firewall-Art dazu passt**. Wichtig: Das OSI-Modell ist ein **theoretisches Referenzmodell**. Reale Geräte arbeiten oft auf mehreren Schichten gleichzeitig. Für Prüfungsaufgaben zählt meistens die **Hauptzuordnung**. | OSI-Schicht | Name | Worum geht es? | Typische Geräte / Komponenten | Firewall-Bezug | |---:|---|---|---|---| | **7** | **Anwendungsschicht** | Anwendungen und Dienste | Proxy, Application Gateway, Webserver, DNS-Server | Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter | | **6** | **Darstellungsschicht** | Datenformat, Verschlüsselung, Komprimierung | meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy | Prüfung hier meist nur bei TLS-Inspection | | **5** | **Sitzungsschicht** | Aufbau, Verwaltung und Abbau von Sitzungen | meist keine klassischen Netzwerkgeräte; teilweise Proxy-/Gateway-Funktionen | Für die IHK eher Zusatzwissen, nicht die Haupt-Firewall-Schicht | | **4** | **Transportschicht** | Ports, Ende-zu-Ende-Verbindungen, TCP/UDP | Firewall, Load Balancer | Stateful Firewall, Portfilter, TCP-/UDP-Regeln | | **3** | **Vermittlungsschicht** | IP-Adressierung und Routing zwischen Netzen | Router, Layer-3-Switch, Firewall | Paketfilter-Firewall, ACLs, IP-Filter | | **2** | **Sicherungsschicht** | Kommunikation im lokalen Netz über MAC-Adressen | Switch, Bridge, Access Point, Netzwerkkarte | VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall | | **1** | **Bitübertragungsschicht** | Physische Übertragung von Bits | Kabel, Hub, Repeater, Medienkonverter | Keine klassische Firewall-Funktion | --- **Layer 7 – Anwendungsschicht** Die **Anwendungsschicht** ist die oberste Schicht des OSI-Modells. Hier befinden sich Netzwerkdienste und Anwendungen, mit denen Benutzer oder Programme arbeiten. Typische Beispiele sind: - HTTP - HTTPS - DNS - SMTP - FTP - IMAP - SSH Auf dieser Schicht geht es nicht mehr nur darum, **welche IP-Adresse** oder **welcher Port** verwendet wird, sondern darum, **welche Anwendung oder welcher Dienst** tatsächlich kommuniziert. Beispiel: Wenn ein Benutzer eine Webseite aufruft, findet die eigentliche Webkommunikation über HTTP oder HTTPS auf der Anwendungsschicht statt. Typische Komponenten: - Proxy - Application Gateway - Webserver - DNS-Server - Web Application Firewall \(WAF\) Firewall-Bezug: Eine **Proxy-Firewall** oder ein **Application-Level Gateway** arbeitet auf Anwendungsebene. Sie betrachtet nicht nur IP-Adressen und Ports, sondern kann anwendungsbezogene Inhalte prüfen. Eine **WAF** schützt speziell Webanwendungen. Sie prüft HTTP- und HTTPS-Anfragen zum Beispiel auf Angriffe wie SQL-Injection oder Cross-Site-Scripting. Eine **NGFW** kann ebenfalls Anwendungen erkennen und filtern, zum Beispiel Webmail, Streaming, Messenger oder andere Dienste. IHK-Merksatz: **Layer 7 = Anwendung, Inhalte, Proxy, WAF** --- **Layer 6 – Darstellungsschicht** Die **Darstellungsschicht** kümmert sich darum, wie Daten dargestellt, codiert, verschlüsselt oder komprimiert werden. Typische Aufgaben: - Datenformate umwandeln - Zeichencodierung festlegen - Daten komprimieren - Daten verschlüsseln oder entschlüsseln Typische Beispiele: - TLS/SSL - UTF-8 - JPEG - PNG - Komprimierung Für die IHK ist wichtig: Layer 6 ist eher eine theoretische Schicht. In vielen praktischen Netzwerkaufgaben stehen Layer 2, 3, 4 und 7 stärker im Vordergrund. Firewall-Bezug: Eine Firewall kann verschlüsselten HTTPS-Verkehr nicht vollständig inhaltlich prüfen, solange sie den Verkehr nicht entschlüsselt. Eine tiefere Inhaltsprüfung ist nur mit **TLS-Inspection** beziehungsweise **SSL-Inspection** möglich. Wichtig: TLS/SSL wird in Lernunterlagen oft der Darstellungsschicht zugeordnet, in der Praxis liegt es technisch zwischen Anwendung und Transport. Für IHK-Lernzwecke reicht: **Layer 6 = Verschlüsselung, Darstellung, Datenformat**. IHK-Merksatz: **Layer 6 = Darstellung, Format, Verschlüsselung, Komprimierung** --- **Layer 5 – Sitzungsschicht** Die **Sitzungsschicht** ist für den Aufbau, die Verwaltung und den Abbau von Sitzungen zuständig. Eine Sitzung ist ein logischer Kommunikationszusammenhang zwischen zwei Systemen. Dabei geht es zum Beispiel darum, eine Verbindung beziehungsweise einen Dialog zu starten, aufrechtzuerhalten und sauber zu beenden. Typische Aufgaben: - Sitzung aufbauen - Sitzung verwalten - Sitzung beenden - Dialogsteuerung - Wiederaufnahme von Kommunikationsabläufen Für die IHK ist wichtig: Layer 5 ist meistens weniger praxisnah als Layer 2, 3, 4 und 7. In Firewall-Fragen wird Layer 5 normalerweise nicht als wichtigste Schicht abgefragt. Firewall-Bezug: Manche Gateway- oder Proxy-Funktionen können sitzungsbezogene Informationen berücksichtigen. Für die Prüfung solltest du aber vor allem diese klare Zuordnung lernen: - Paketfilter-Firewall = Layer 3/4 - Stateful Firewall = Layer 3/4 - Proxy-Firewall = Layer 7 - WAF = Layer 7 - NGFW = Layer 3 bis 7 IHK-Merksatz: **Layer 5 = Sitzung aufbauen, verwalten und beenden** --- **Layer 4 – Transportschicht** Die **Transportschicht** regelt die Kommunikation zwischen Anwendungen auf zwei Systemen. Hier sind vor allem **TCP**, **UDP** und **Ports** wichtig. Wichtige Begriffe: - TCP - UDP - Portnummern - Verbindungen - Verbindungsstatus - Ende-zu-Ende-Kommunikation TCP ist verbindungsorientiert. Das bedeutet: Es wird eine Verbindung aufgebaut, Daten werden geordnet übertragen und der Empfang kann bestätigt werden. UDP ist verbindungslos. Das bedeutet: Es ist einfacher und schneller, bietet aber keine gleiche zuverlässige Verbindungssteuerung wie TCP. Typische Ports: | Dienst | Protokoll / Port | |---|---| | HTTP | TCP 80 | | HTTPS | TCP 443 | | DNS | UDP/TCP 53 | | SSH | TCP 22 | | RDP | TCP 3389 | | SMTP | TCP 25 | Typische Geräte / Komponenten: - Firewall - Layer-4-Load-Balancer Firewall-Bezug: Eine Firewall kann auf Layer 4 prüfen, welche Ports und Transportprotokolle verwendet werden. Eine **Stateful Firewall** prüft zusätzlich, ob ein Paket zu einer bereits erlaubten Verbindung gehört. Sie führt dafür eine Verbindungstabelle. Beispiel: Ein Client aus dem internen Netzwerk baut eine HTTPS-Verbindung zu einem Webserver auf. Die Antwortpakete aus dem Internet werden erlaubt, weil sie zu dieser bestehenden Verbindung gehören. IHK-Merksatz: **Layer 4 = TCP/UDP, Ports, Verbindungen, Stateful Firewall** --- **Layer 3 – Vermittlungsschicht** Die **Vermittlungsschicht** ist für IP-Adressierung und Routing zuständig. Hier wird entschieden, wie Datenpakete von einem Netzwerk in ein anderes Netzwerk gelangen. Wichtige Themen: - IPv4 - IPv6 - Routing - Subnetze - Standardgateway - ICMP - IPsec - Paketweiterleitung Typische Geräte: - Router - Layer-3-Switch - Firewall Ein Router verbindet unterschiedliche Netzwerke miteinander. Er entscheidet anhand der Ziel-IP-Adresse, wohin ein Paket weitergeleitet wird. Ein Layer-3-Switch kann zusätzlich zu klassischen Switch-Funktionen auch Routing-Funktionen übernehmen, zum Beispiel zwischen VLANs. Firewall-Bezug: Eine Paketfilter-Firewall prüft auf Layer 3 zum Beispiel: - Quell-IP-Adresse - Ziel-IP-Adresse - Protokoll - Netzbereich - Richtung des Datenverkehrs Sobald zusätzlich Ports geprüft werden, ist auch Layer 4 beteiligt. Deshalb ist die IHK-sichere Formulierung: **Paketfilter-Firewall = Layer 3/4** Beispielregel: Ein internes Netz `192.168.10.0/24` darf per TCP-Port `443` ins Internet, aber nicht per TCP-Port `23`. IHK-Merksatz: **Layer 3 = IP-Adresse, Routing, Router, Paketfilter** --- **Layer 2 – Sicherungsschicht** Die **Sicherungsschicht** ist für die Kommunikation im lokalen Netzwerk zuständig. Hier geht es vor allem um **MAC-Adressen**, **Ethernet-Frames**, **Switching** und **VLANs**. Wichtige Themen: - MAC-Adressen - Ethernet-Frames - Switches - Bridges - VLANs - ARP - WLAN im lokalen Netz - Fehlererkennung auf Frame-Ebene Typische Geräte: - Switch - Bridge - Access Point - Netzwerkkarte Ein Switch arbeitet hauptsächlich auf Layer 2. Er lernt MAC-Adressen und leitet Frames an den passenden Port weiter. Für die IHK ist sehr wichtig: **Switch = MAC-Adresse = Layer 2** Ein Switch verwendet also normalerweise MAC-Adressen, während ein Router IP-Adressen verwendet. Firewall-Bezug: Layer 2 ist nicht die klassische Firewall-Schicht. Trotzdem gibt es sicherheitsrelevante Funktionen auf Layer 2: - VLAN-Trennung - MAC-Filter - Port-Security - transparente Firewall / Bridge-Firewall als Sonderfall Wichtig: MAC-Filter allein sind kein starker Schutz, weil MAC-Adressen gefälscht werden können. Für IHK-Grundlagen reicht aber die Einordnung: MAC-Adressen gehören zu Layer 2. IHK-Merksatz: **Layer 2 = MAC-Adresse, Switch, lokales Netzwerk** --- **Layer 1 – Bitübertragungsschicht** Die **Bitübertragungsschicht** ist die unterste Schicht des OSI-Modells. Hier geht es um die physische Übertragung von Bits. Wichtige Themen: - elektrische Signale - optische Signale - Funkübertragung - Kabel - Stecker - Netzwerkkarte auf physischer Ebene - Repeater - Hub - Medienkonverter Typische Geräte und Komponenten: - Netzwerkkabel - Glasfaserkabel - Hub - Repeater - Medienkonverter - Stecker und Ports Ein Hub arbeitet auf Layer 1. Er verteilt Signale, trifft aber keine intelligenten Weiterleitungsentscheidungen wie ein Switch. Ein Repeater arbeitet ebenfalls auf Layer 1. Er verstärkt oder erneuert ein Signal. Firewall-Bezug: Auf Layer 1 gibt es keine klassische Firewall-Funktion. Eine Firewall entscheidet nicht anhand von reinen elektrischen oder optischen Signalen, sondern anhand von Informationen höherer Schichten. IHK-Merksatz: **Layer 1 = Kabel, Signal, Bits, physische Übertragung** --- **Firewall-Arten und OSI-Zuordnung** | Firewall-Art | OSI-Zuordnung | Prüft hauptsächlich | Wichtig für die IHK | |---|---:|---|---| | **Paketfilter-Firewall** | **Layer 3/4** | IP-Adressen, Protokolle, Ports | einfache Filterregeln | | **Stateful Firewall** | **Layer 3/4** | IPs, Ports und Verbindungsstatus | merkt sich erlaubte Verbindungen | | **Proxy-Firewall** | **Layer 7** | Anwendungsdaten und Inhalte | arbeitet stellvertretend für den Client | | **Application-Level Gateway** | **Layer 7** | anwendungsspezifische Protokolle | prüft Inhalte auf Anwendungsebene | | **WAF** | **Layer 7** | HTTP-/HTTPS-Anfragen an Webanwendungen | Schutz für Webanwendungen | | **NGFW** | **Layer 3 bis 7** | IPs, Ports, Anwendungen, Inhalte | kombiniert mehrere Sicherheitsfunktionen | | **Hardware-Firewall** | keine eigene OSI-Schicht | abhängig von Funktion | Bauform, nicht OSI-Schicht | | **Software-Firewall** | keine eigene OSI-Schicht | abhängig von Funktion | Installationsart, nicht OSI-Schicht | --- **Wichtige IHK-Merksätze** | Thema | Merksatz | |---|---| | **Switch** | arbeitet hauptsächlich auf Layer 2 | | **Router** | arbeitet hauptsächlich auf Layer 3 | | **Hub** | arbeitet auf Layer 1 | | **Repeater** | arbeitet auf Layer 1 | | **Bridge** | arbeitet hauptsächlich auf Layer 2 | | **Portfilter** | arbeitet hauptsächlich auf Layer 4 | | **Paketfilter** | arbeitet auf Layer 3/4 | | **Stateful Firewall** | arbeitet auf Layer 3/4 und merkt sich Verbindungen | | **Proxy-Firewall** | arbeitet auf Layer 7 | | **WAF** | arbeitet auf Layer 7 | | **NGFW** | kann Layer 3 bis Layer 7 auswerten | | **Layer 6 und 5** | eher theoretisch, bei Firewall-Zuordnung meist Zusatzwissen | --- **Ganz kurzer Prüfungs-Merksatz** **Layer 2 = MAC / Switch** **Layer 3 = IP / Router / Paketfilter** **Layer 4 = TCP/UDP / Ports / Stateful Firewall** **Layer 7 = Anwendung / Proxy / WAF** --- **Beispiel zur Einordnung** Ein Benutzer öffnet eine Webseite über HTTPS. | Schritt | OSI-Schicht | Erklärung | |---|---:|---| | Kabel oder WLAN überträgt Signale | Layer 1 | Bits werden physisch übertragen | | Der Switch leitet Frames im lokalen Netz weiter | Layer 2 | Weiterleitung anhand von MAC-Adressen | | Der Router leitet Pakete ins Internet | Layer 3 | Weiterleitung anhand von IP-Adressen | | Die Verbindung nutzt TCP-Port 443 | Layer 4 | Kommunikation über TCP und Portnummer | | TLS verschlüsselt die Verbindung | Layer 6 | Verschlüsselung und Darstellung | | Der Browser ruft eine Webseite per HTTPS auf | Layer 7 | Anwendungsebene | | Eine Stateful Firewall erlaubt Antwortpakete | Layer 3/4 | Verbindung wurde vorher erlaubt | | Eine WAF prüft HTTP-/HTTPS-Anfragen | Layer 7 | Schutz der Webanwendung | --- **Typische Prüfungsfallen** | Falsche oder ungenaue Aussage | Besser / IHK-sicher | |---|---| | Eine Firewall arbeitet immer nur auf Layer 3 | Kommt auf die Firewall-Art an | | Paketfilter arbeitet nur auf Layer 3 | Besser: Paketfilter arbeitet Layer 3/4 | | Eine WAF schützt das ganze Netzwerk vollständig | Eine WAF schützt vor allem Webanwendungen auf Layer 7 | | Hardware-Firewall ist eine eigene OSI-Schicht | Nein, Hardware beschreibt nur die Bauform | | Switch und Router machen dasselbe | Nein, Switch = Layer 2 / MAC, Router = Layer 3 / IP | | Layer 6 und 5 sind die wichtigsten Firewall-Schichten | Nein, für Firewalls sind meist Layer 3/4 und Layer 7 wichtig | # 2. Grundlagen der Schichtenmodelle: OSI und TCP/IP # 3. OSI-Schicht 0 – Übertragungsmedien und Verkabelung # 4. OSI-Schicht 1 – Bitübertragungsschicht # 5. OSI-Schicht 2 – Sicherungsschicht # 6. OSI-Schicht 3 – Vermittlungsschicht / Netzwerkschicht # 7. OSI-Schicht 4 – Transportschicht # TCP (Transmission Control Protocol) Erklärung **TCP einfach erklärt** TCP steht für **Transmission Control Protocol**. TCP ist ein **verbindungsorientiertes** und **zuverlässiges** Transportprotokoll. Es arbeitet auf der **Transportschicht** des TCP/IP-Modells und sorgt dafür, dass Daten möglichst vollständig, geordnet und fehlerfrei beim Empfänger ankommen. Typische Anwendungen mit TCP sind zum Beispiel: ```text HTTP/HTTPS SSH E-Mail Dateiübertragung Remote Desktop ``` --- **Grundidee von TCP** TCP wird verwendet, wenn Daten zuverlässig übertragen werden sollen. Das bedeutet: ```text - vor der Datenübertragung wird eine Verbindung aufgebaut - Daten werden nummeriert - empfangene Daten werden bestätigt - fehlende Daten können erneut übertragen werden - Daten werden in der richtigen Reihenfolge an die Anwendung weitergegeben ``` TCP ist dadurch zuverlässiger als UDP, hat aber mehr Verwaltungsaufwand. Merksatz: ```text TCP = verbindungsorientiert, zuverlässig und geordnet UDP = verbindungslos, schnell und mit weniger Kontrolle ``` --- **TCP arbeitet mit Ports** Eine IP-Adresse zeigt auf einen Host im Netzwerk. Beispiel: ```text 192.168.0.50 ``` Ein Port zeigt auf einen bestimmten Dienst oder eine Anwendung auf diesem Host. Beispiel: ```text 192.168.0.50:443 ``` Das bedeutet: ```text 192.168.0.50 = Host / Gerät 443 = Dienst / Anwendung, hier HTTPS ``` Typische TCP-Ports: ```text 80 = HTTP 443 = HTTPS 22 = SSH 25 = SMTP 110 = POP3 143 = IMAP 3389 = Remote Desktop ``` Merksatz: ```text IP-Adresse = welcher Host? Port = welcher Dienst? Socket = IP-Adresse + Port ``` --- **Socket bei TCP** Ein Socket ist die Kombination aus IP-Adresse und Port. Beispiel: ```text 192.168.0.50:443 ``` Bei einer TCP-Verbindung gibt es immer zwei Seiten: ```text Client-Socket: 192.168.0.20:51544 Server-Socket: 93.184.216.34:443 ``` Der Client verwendet oft einen zufälligen hohen Quellport. Der Server verwendet meistens einen bekannten festen Zielport. Eine vollständige TCP-Verbindung wird also durch diese Informationen beschrieben: ```text Quell-IP Quell-Port Ziel-IP Ziel-Port Protokoll TCP ``` --- **TCP-Verbindungsaufbau: 3-Wege-Handshake** Bevor TCP Daten überträgt, wird eine Verbindung aufgebaut. Dieser Verbindungsaufbau heißt **3-Wege-Handshake**. Dabei tauschen Client und Server Kontrollinformationen aus. Ablauf: ```text Client Server 1. SYN ---------------------> Verbindungswunsch 2. SYN-ACK <------------------ Verbindungswunsch bestätigt 3. ACK ---------------------> Bestätigung zurück Verbindung steht ``` --- **Was bedeutet SYN?** SYN ist die Abkürzung für: ```text Synchronize ``` Auf Deutsch: ```text synchronisieren ``` Beim TCP-Verbindungsaufbau bedeutet SYN: ```text Der Client möchte eine neue TCP-Verbindung starten und seine Start-Sequenznummer mit dem Server synchronisieren. ``` SYN ist also nicht einfach nur „Hallo“, sondern enthält auch technische Informationen für den Start der Verbindung. --- **Was bedeutet SYN-ACK?** SYN-ACK besteht aus zwei Teilen: ```text SYN = Server möchte ebenfalls seine Start-Sequenznummer synchronisieren ACK = Server bestätigt den SYN des Clients ``` Der Server sagt damit vereinfacht: ```text Ich habe deinen Verbindungswunsch erhalten. Ich bin bereit. Hier ist meine eigene Start-Sequenznummer. ``` --- **Was bedeutet ACK?** ACK steht für: ```text Acknowledgement ``` Auf Deutsch: ```text Bestätigung ``` Beim dritten Schritt bestätigt der Client die Antwort des Servers. Danach gilt: ```text Die TCP-Verbindung ist aufgebaut. Daten können übertragen werden. ``` Merksatz: ```text SYN = Verbindungswunsch + Start-Sequenznummer synchronisieren SYN-ACK = Verbindungswunsch bestätigen + eigene Start-Sequenznummer senden ACK = Bestätigung zurücksenden ``` --- **Sequenznummer ist keine Portnummer** Eine Sequenznummer ist nicht dasselbe wie eine Portnummer. Eine **Portnummer** sagt: ```text Welcher Dienst oder welches Programm ist gemeint? ``` Eine **Sequenznummer** sagt: ```text An welcher Stelle im TCP-Datenstrom befinden sich diese Daten? ``` Merksatz: ```text Portnummer = welcher Dienst? Sequenznummer = welche Stelle im Datenstrom? ``` Oder einfacher: ```text Portnummer ist wie die Türnummer eines Dienstes. Sequenznummer ist wie die Position der Daten im Datenstrom. ``` --- **Was macht die Sequenznummer bei TCP?** TCP nummeriert nicht einfach nur einzelne Pakete wie „Paket 1, Paket 2, Paket 3“. Technisch genauer: ```text TCP nummeriert die Bytes im Datenstrom. ``` Dadurch weiß der Empfänger: ```text - wo ein empfangenes TCP-Segment im Datenstrom beginnt - ob Daten in der richtigen Reihenfolge angekommen sind - ob Daten fehlen - ob Daten doppelt angekommen sind ``` Ein TCP-Segment enthält eine Sequenznummer. Diese Sequenznummer zeigt, an welcher Position im Datenstrom die enthaltenen Daten beginnen. --- **Einfaches Beispiel für Sequenznummern** ```text Segment 1: Sequenznummer 1000, enthält 500 Byte Segment 2: Sequenznummer 1500, enthält 500 Byte Segment 3: Sequenznummer 2000, enthält 500 Byte ``` Das bedeutet: ```text Segment 1 beginnt bei Byte 1000. Segment 2 beginnt bei Byte 1500. Segment 3 beginnt bei Byte 2000. ``` Wenn alles korrekt ankommt, kann der Empfänger die Daten in der richtigen Reihenfolge zusammensetzen. --- **Was passiert, wenn Daten verloren gehen?** Angenommen, Segment 2 geht verloren: ```text Segment 1 kommt an: Sequenznummer 1000 Segment 2 fehlt: Sequenznummer 1500 Segment 3 kommt an: Sequenznummer 2000 ``` Der Empfänger merkt: ```text Ich habe Daten ab 1000 bekommen. Danach müsste eigentlich 1500 kommen. Jetzt kommt aber schon 2000. Also fehlt der Bereich ab 1500. ``` TCP erkennt dadurch, dass ein Teil der Daten fehlt. Die fehlenden Daten können dann erneut übertragen werden. --- **ACK = Bestätigung empfangener Daten** Mit einem ACK bestätigt der Empfänger, welche Daten korrekt angekommen sind. Vereinfacht gesagt: ```text ACK 1500 = Ich habe alles bis vor 1500 korrekt erhalten. Bitte sende als Nächstes die Daten ab 1500. ``` Wenn Daten fehlen, bestätigt der Empfänger nicht einfach alles als vollständig. Stattdessen signalisiert er sinngemäß: ```text Ich erwarte weiterhin die Daten ab dieser Sequenznummer. ``` Dadurch erkennt der Sender, dass Daten erneut übertragen werden müssen. --- **Muss TCP komplett warten, wenn ein Segment fehlt?** Nicht unbedingt. Später angekommene Daten können zwischengespeichert werden. Beispiel: ```text Segment 1 kommt an. Segment 2 fehlt. Segment 3 kommt schon an. ``` TCP kann Segment 3 intern speichern. Wichtig ist aber: ```text An die Anwendung werden die Daten erst in der richtigen Reihenfolge weitergegeben. ``` Das bedeutet: ```text Die Anwendung bekommt Segment 3 nicht vor Segment 2. Erst wenn die fehlenden Daten angekommen sind, werden die Daten geordnet weitergegeben. ``` Dadurch sieht die Anwendung einen zuverlässigen und geordneten Datenstrom. --- **Warum ist TCP zuverlässig?** TCP gilt als zuverlässig, weil es mehrere Kontrollmechanismen verwendet. Dazu gehören: ```text - Verbindungsaufbau durch 3-Wege-Handshake - Sequenznummern - ACK-Bestätigungen - erneute Übertragung verlorener Daten - Reihenfolgekontrolle - Erkennung doppelt empfangener Daten - Flusskontrolle ``` Dadurch kann TCP sicherstellen, dass Daten vollständig und in der richtigen Reihenfolge beim Empfänger ankommen. --- **Flusskontrolle bei TCP** TCP verwendet Flusskontrolle, damit ein schneller Sender einen langsameren Empfänger nicht überfordert. Der Empfänger kann dem Sender mitteilen, wie viele Daten er aktuell aufnehmen kann. Das nennt man vereinfacht: ```text Empfangsfenster ``` Wenn der Empfänger nur wenig Speicher frei hat, kann er dem Sender signalisieren: ```text Sende langsamer oder warte kurz. ``` Dadurch wird verhindert, dass der Empfänger mit zu vielen Daten überlastet wird. --- **TCP-Verbindungsabbau** Eine TCP-Verbindung wird nicht einfach abrupt beendet, sondern kontrolliert geschlossen. Dafür werden unter anderem FIN- und ACK-Nachrichten verwendet. Vereinfacht: ```text Eine Seite sagt: Ich möchte die Verbindung beenden. Die andere Seite bestätigt das. Danach kann auch die andere Seite ihre Richtung schließen. ``` Typische Steuerbits beim Verbindungsabbau: ```text FIN = Verbindung geordnet beenden ACK = Bestätigung ``` Merksatz: ```text SYN = Verbindung aufbauen FIN = Verbindung beenden ACK = bestätigen ``` --- **TCP im Vergleich zu UDP** TCP: ```text - verbindungsorientiert - zuverlässig - geordnete Datenübertragung - Bestätigungen durch ACKs - erneute Übertragung verlorener Daten - mehr Verwaltungsaufwand ``` UDP: ```text - verbindungslos - geringer Verwaltungsaufwand - keine eingebaute Zustellgarantie - keine eingebaute Reihenfolgekontrolle - keine eingebaute erneute Übertragung - oft latenzärmer als TCP ``` TCP wird verwendet, wenn Zuverlässigkeit wichtig ist. UDP wird häufig verwendet, wenn geringe Verzögerung wichtiger ist als vollständige Kontrolle. --- **Beispiel: TCP beim Webseitenaufruf** Wenn ein Client eine HTTPS-Webseite aufruft, passiert vereinfacht Folgendes: ```text 1. Client möchte Website aufrufen. 2. Client baut TCP-Verbindung zum Server-Port 443 auf. 3. TCP führt den 3-Wege-Handshake aus. 4. Danach werden Daten übertragen. 5. TCP nummeriert die Daten mit Sequenznummern. 6. Der Empfänger bestätigt empfangene Daten mit ACKs. 7. Fehlende Daten werden erneut übertragen. 8. Die Anwendung erhält die Daten in der richtigen Reihenfolge. ``` Beispiel: ```text Client: 192.168.0.20:51544 Server: 93.184.216.34:443 Protokoll: TCP ``` --- **Wichtige TCP-Begriffe** ```text TCP = Transmission Control Protocol SYN = Synchronize ACK = Acknowledgement FIN = Finish Port = Dienstadresse auf einem Host Socket = IP-Adresse + Port Sequenznummer = Position der Daten im TCP-Datenstrom 3-Wege-Handshake = Verbindungsaufbau bei TCP ``` --- **IHK-sichere Kurzformulierung** TCP ist ein verbindungsorientiertes und zuverlässiges Transportprotokoll. Vor der Datenübertragung wird durch den 3-Wege-Handshake eine Verbindung aufgebaut. TCP verwendet Sequenznummern, um die Reihenfolge der übertragenen Daten im Datenstrom festzulegen. Mit ACKs bestätigt der Empfänger korrekt erhaltene Daten. Fehlende Daten können erkannt und erneut übertragen werden. Dadurch stellt TCP eine geordnete und zuverlässige Datenübertragung bereit. --- **Merksätze** ```text TCP = verbindungsorientiert, zuverlässig und geordnet ``` ```text SYN = Verbindung starten SYN-ACK = Verbindung bestätigen und eigene Startnummer senden ACK = Bestätigung ``` ```text Portnummer = welcher Dienst? Sequenznummer = welche Stelle im Datenstrom? ``` ```text Sequenznummern helfen TCP zu erkennen, ob Daten fehlen, doppelt angekommen sind oder in falscher Reihenfolge eintreffen. ``` ```text ACK bestätigt, bis wohin Daten korrekt empfangen wurden. ``` ```text Fehlende Daten werden erneut übertragen. Später angekommene Daten können zwischengespeichert werden. An die Anwendung geht alles erst in der richtigen Reihenfolge. ``` ```text SYN = Verbindung aufbauen FIN = Verbindung beenden ACK = bestätigen ``` # UDP (User Datagram Protocol) Erklärung **UDP einfach erklärt** UDP steht für **User Datagram Protocol**. UDP ist ein **verbindungsloses** Transportprotokoll. Es arbeitet auf der **Transportschicht** des TCP/IP-Modells und wird verwendet, wenn Daten schnell und mit möglichst wenig Verwaltungsaufwand übertragen werden sollen. UDP ist einfacher aufgebaut als TCP. Dafür bietet UDP aber keine eingebaute Garantie, dass Daten ankommen, vollständig sind oder in der richtigen Reihenfolge eintreffen. Typische Anwendungen mit UDP sind zum Beispiel: ```text id="uw4t0s" DNS DHCP VoIP Video-Streaming Audio-Streaming Online-Gaming QUIC / HTTP/3 ``` --- **Grundidee von UDP** UDP wird verwendet, wenn eine schnelle und einfache Datenübertragung wichtiger ist als vollständige Kontrolle. Das bedeutet: ```text id="qjkbh4" - keine feste Verbindung vor der Datenübertragung - kein 3-Wege-Handshake - keine eingebaute Zustellgarantie - keine eingebaute Reihenfolgekontrolle - keine automatische erneute Übertragung verlorener Daten - geringer Verwaltungsaufwand ``` UDP sendet Daten einfach los. Ob die Gegenseite erreichbar ist oder ob die Daten vollständig ankommen, wird von UDP selbst nicht zuverlässig kontrolliert. Merksatz: ```text id="r2d2tr" UDP = verbindungslos, einfach und schnell TCP = verbindungsorientiert, zuverlässig und geordnet ``` --- **UDP arbeitet mit Ports** Auch UDP verwendet Ports, genau wie TCP. Eine IP-Adresse zeigt auf einen Host im Netzwerk. Beispiel: ```text id="mmwunq" 192.168.0.50 ``` Ein Port zeigt auf einen bestimmten Dienst oder eine Anwendung auf diesem Host. Beispiel: ```text id="xm2x76" 192.168.0.50:53 ``` Das bedeutet: ```text id="us9fs8" 192.168.0.50 = Host / Gerät 53 = Dienst / Anwendung, hier DNS ``` Typische UDP-Ports: ```text id="c7t24c" 53 = DNS 67 = DHCP Server 68 = DHCP Client 123 = NTP 500 = IKE / IPsec 1194 = OpenVPN 51820 = WireGuard 443 = QUIC / HTTP/3 ``` Wichtig: ```text id="liglsp" Ein Port kann bei TCP und UDP unterschiedlich verwendet werden. ``` Beispiel: ```text id="b8gdwc" TCP 443 = HTTPS über TCP UDP 443 = QUIC / HTTP/3 ``` Merksatz: ```text id="rxre7n" IP-Adresse = welcher Host? Port = welcher Dienst? Socket = IP-Adresse + Port ``` --- **Socket bei UDP** Ein Socket ist die Kombination aus IP-Adresse und Port. Beispiel: ```text id="juvi9v" 192.168.0.50:53 ``` Bei UDP kann ein Datenpaket von einem Quell-Socket zu einem Ziel-Socket gesendet werden. Beispiel: ```text id="khkoyw" Client-Socket: 192.168.0.20:53000 Server-Socket: 192.168.0.1:53 ``` Das bedeutet: ```text id="ro5p0x" Client fragt von Port 53000 aus einen DNS-Server auf Port 53 an. ``` Eine UDP-Kommunikation wird also durch diese Informationen beschrieben: ```text id="cvvu8u" Quell-IP Quell-Port Ziel-IP Ziel-Port Protokoll UDP ``` --- **UDP hat keinen Verbindungsaufbau** Bei TCP gibt es vor der Datenübertragung einen 3-Wege-Handshake. Bei UDP gibt es diesen Verbindungsaufbau nicht. TCP: ```text id="fjeq6e" Client Server 1. SYN ---------------------> 2. SYN-ACK <------------------ 3. ACK ---------------------> Verbindung steht ``` UDP: ```text id="ocsnv9" Client Server Datenpaket ------------------> Keine vorherige Verbindung Keine SYN-Nachricht Kein SYN-ACK Kein ACK durch UDP selbst ``` UDP sendet also direkt ein Datagramm an den Empfänger. Merksatz: ```text id="h4fwtv" TCP fragt vorher: Darf ich eine Verbindung aufbauen? UDP sendet direkt los. ``` --- **Was ist ein UDP-Datagramm?** Die Dateneinheit bei UDP nennt man **Datagramm**. Ein UDP-Datagramm enthält unter anderem: ```text id="x9raek" - Quellport - Zielport - Länge - Prüfsumme - Nutzdaten ``` UDP ist dadurch sehr schlank aufgebaut. Wichtig: ```text id="k3i579" UDP nummeriert die Daten nicht wie TCP mit Sequenznummern. ``` Deshalb kann UDP selbst nicht zuverlässig erkennen, ob ein Datagramm fehlt oder in falscher Reihenfolge angekommen ist. --- **UDP hat keine Sequenznummern wie TCP** TCP verwendet Sequenznummern, um die Position der Daten im Datenstrom festzulegen. UDP macht das nicht. TCP: ```text id="oydme1" Segment 1: Sequenznummer 1000 Segment 2: Sequenznummer 1500 Segment 3: Sequenznummer 2000 ``` UDP: ```text id="rfk6ec" Datagramm 1 wird gesendet. Datagramm 2 wird gesendet. Datagramm 3 wird gesendet. UDP selbst merkt sich keine Reihenfolge. ``` Wenn ein UDP-Datagramm verloren geht, wird es von UDP nicht automatisch erneut angefordert. Wenn UDP-Datagramme in falscher Reihenfolge ankommen, sortiert UDP sie nicht automatisch. Merksatz: ```text id="z5xqmv" TCP kontrolliert die Reihenfolge. UDP sendet einzelne Datagramme ohne Reihenfolgegarantie. ``` --- **UDP hat keine eingebaute Zustellgarantie** UDP garantiert nicht, dass ein Datagramm beim Empfänger ankommt. Ein UDP-Datagramm kann unterwegs verloren gehen, zum Beispiel durch: ```text id="tpyoxq" - Netzwerküberlastung - Paketverlust - Routing-Probleme - Firewall-Regeln - fehlerhafte Übertragung ``` UDP selbst sendet verlorene Datagramme nicht automatisch erneut. Das bedeutet: ```text id="j117zs" Wenn ein UDP-Datagramm verloren geht, merkt UDP selbst das nicht zuverlässig und fordert es nicht automatisch erneut an. ``` Wenn eine Anwendung trotzdem Zuverlässigkeit braucht, muss sie diese selbst oberhalb von UDP einbauen. Beispiele dafür sind: ```text id="mvkcxj" - eigene Bestätigungen - eigene Sequenznummern - eigene Wiederholungen - Fehlerkorrektur auf Anwendungsebene ``` --- **UDP hat keine eingebaute Reihenfolgekontrolle** UDP garantiert nicht, dass Datagramme in der gesendeten Reihenfolge ankommen. Beispiel: ```text id="lfyv0x" Gesendet: Datagramm 1 Datagramm 2 Datagramm 3 Angekommen: Datagramm 1 Datagramm 3 Datagramm 2 ``` UDP sortiert diese Datagramme nicht automatisch. Wenn die Reihenfolge wichtig ist, muss die Anwendung selbst dafür sorgen. Beispiel: ```text id="zx6bun" Eine Anwendung kann eigene Nummern in die Nutzdaten schreiben, um die Reihenfolge später selbst zu prüfen. ``` Merksatz: ```text id="trkhmn" UDP liefert Datagramme so ab, wie sie ankommen. UDP sortiert nicht automatisch. ``` --- **UDP hat weniger Verwaltungsaufwand als TCP** UDP hat weniger Verwaltungsaufwand, weil es keinen Verbindungsaufbau, keine Sequenznummern, keine ACKs und keine automatische Wiederholung verlorener Daten gibt. Dadurch ist UDP oft: ```text id="oxqyll" - einfacher - schneller beim Start - latenzärmer - ressourcenschonender ``` Wichtig: ```text id="fb1xle" UDP ist nicht automatisch immer schneller im Sinne von höherer Datenrate. ``` Besser formuliert: ```text id="u1y6bf" UDP hat weniger Verwaltungsaufwand als TCP und kann dadurch schneller bzw. latenzärmer sein. ``` Das ist besonders bei Anwendungen wichtig, bei denen Echtzeit wichtiger ist als perfekte Vollständigkeit. --- **Warum nutzt man UDP trotz fehlender Garantie?** UDP wird genutzt, weil bei manchen Anwendungen verlorene Daten weniger schlimm sind als Verzögerungen. Beispiel VoIP: ```text id="b9dwji" Bei einem Telefonat ist es besser, wenn ein kleines Audiostück kurz fehlt, als wenn die Sprache stark verzögert ankommt. ``` Beispiel Online-Gaming: ```text id="v8bj6p" Bei schnellen Positionsdaten ist es oft besser, aktuelle Daten zu bekommen, als alte verlorene Daten nachträglich zu übertragen. ``` Beispiel Streaming: ```text id="b0ak7g" Bei Live-Video ist geringe Verzögerung wichtiger als jedes einzelne Paket nachträglich zu retten. ``` Merksatz: ```text id="s5lpaf" UDP wird häufig verwendet, wenn Aktualität wichtiger ist als vollständige Nachlieferung. ``` --- **Beispiel: DNS mit UDP** DNS verwendet sehr häufig UDP auf Port 53. Ablauf vereinfacht: ```text id="dg9sll" 1. Client möchte wissen, welche IP-Adresse zu einer Domain gehört. 2. Client sendet eine DNS-Anfrage per UDP an Port 53. 3. DNS-Server antwortet per UDP. 4. Die Antwort enthält die passende IP-Adresse. ``` Beispiel: ```text id="b7il9z" Client: 192.168.0.20:53000 DNS-Server: 192.168.0.1:53 Protokoll: UDP ``` Warum UDP hier sinnvoll ist: ```text id="bhv68v" - DNS-Anfragen sind meist klein - eine Verbindung vorher aufzubauen wäre zusätzlicher Aufwand - bei Verlust kann die Anfrage einfach erneut gestellt werden ``` Wichtig: ```text id="id0weu" DNS kann auch TCP verwenden, zum Beispiel bei größeren Antworten oder Zonentransfers. ``` --- **Beispiel: VoIP mit UDP** Bei VoIP werden Sprachdaten in kleinen Paketen übertragen. UDP eignet sich hier gut, weil geringe Verzögerung besonders wichtig ist. Beispiel: ```text id="bpo809" Sprecher → Sprachpakete → Netzwerk → Empfänger ``` Wenn ein kleines Sprachpaket verloren geht, ist das meist weniger schlimm als eine große Verzögerung. Deshalb ist bei VoIP oft wichtiger: ```text id="tkeck3" geringe Latenz statt vollständige Nachlieferung ``` --- **Beispiel: Online-Gaming mit UDP** Online-Spiele übertragen häufig Positionsdaten, Bewegungen und Zustände. Beispiel: ```text id="zlhpln" Spielerposition Blickrichtung Bewegung Aktionen ``` Wenn ein altes Positionspaket verloren geht, ist es oft nicht sinnvoll, es später noch nachzuliefern. Wichtiger ist: ```text id="mvix7g" Der aktuelle Zustand soll möglichst schnell ankommen. ``` Deshalb wird für solche Echtzeitdaten häufig UDP genutzt. --- **QUIC und HTTP/3 nutzen UDP** QUIC ist ein modernes Transportprotokoll, das auf UDP basiert. HTTP/3 verwendet QUIC. Vereinfacht: ```text id="bp3znh" HTTP/3 läuft über QUIC. QUIC läuft über UDP. UDP läuft über IP. ``` Wichtig: ```text id="f7w5w8" QUIC nutzt UDP als Grundlage, baut aber eigene Funktionen für Zuverlässigkeit, Verschlüsselung und Verbindungssteuerung ein. ``` Das bedeutet: ```text id="h8lbmz" UDP selbst ist einfach und verbindungslos. QUIC ergänzt darauf zusätzliche moderne Funktionen. ``` --- **UDP und Firewall** Firewalls können UDP-Verkehr filtern, genau wie TCP-Verkehr. Dabei werden zum Beispiel geprüft: ```text id="kil5ai" - Quell-IP - Ziel-IP - Quellport - Zielport - Protokoll UDP ``` Da UDP keine feste Verbindung wie TCP aufbaut, ist die Zustandsverfolgung schwieriger. Eine Stateful Firewall kann sich aber trotzdem merken, dass ein interner Client ein UDP-Datagramm nach außen gesendet hat. Beispiel: ```text id="ov5tx8" Client sendet DNS-Anfrage an DNS-Server. Firewall merkt sich diese Anfrage kurzzeitig. DNS-Antwort darf zurück. Unerwartete UDP-Pakete von außen werden blockiert. ``` Merksatz: ```text id="sdoksc" Auch UDP kann von einer Stateful Firewall verfolgt werden, aber ohne echten TCP-Verbindungszustand. ``` --- **UDP und NAT/PAT** Auch UDP kann über NAT/PAT ins Internet gehen. Beispiel: ```text id="moxl85" Interner Client: 192.168.0.20:53000 Öffentliche IP: 84.10.20.30:40001 DNS-Server: 1.1.1.1:53 ``` Die Firewall bzw. der Router merkt sich die Zuordnung: ```text id="gmefwr" 192.168.0.20:53000 → 84.10.20.30:40001 ``` Wenn die Antwort vom DNS-Server zurückkommt, weiß der Router: ```text id="xat6qe" Diese Antwort gehört zurück an 192.168.0.20:53000. ``` Wichtig: ```text id="vrpgqo" Bei UDP sind solche NAT-Zuordnungen meist zeitlich begrenzt, weil es keine dauerhaft aufgebaute Verbindung wie bei TCP gibt. ``` --- **UDP im Vergleich zu TCP** TCP: ```text id="eh3mx2" - verbindungsorientiert - 3-Wege-Handshake - zuverlässig - Sequenznummern - ACK-Bestätigungen - erneute Übertragung verlorener Daten - Reihenfolgekontrolle - mehr Verwaltungsaufwand ``` UDP: ```text id="mdpw5m" - verbindungslos - kein 3-Wege-Handshake - keine eingebaute Zustellgarantie - keine eingebaute Reihenfolgekontrolle - keine automatische erneute Übertragung - weniger Verwaltungsaufwand - oft latenzärmer ``` Merksatz: ```text id="z5zccy" TCP kontrolliert stärker. UDP ist schlanker und direkter. ``` --- **Wann verwendet man TCP?** TCP verwendet man, wenn Daten zuverlässig und vollständig ankommen müssen. Beispiele: ```text id="ofkz4y" - Webseiten über HTTP/HTTPS - Dateiübertragung - SSH - E-Mail - Remote Desktop ``` Hier wäre es schlecht, wenn Daten fehlen oder in falscher Reihenfolge bei der Anwendung ankommen. --- **Wann verwendet man UDP?** UDP verwendet man häufig, wenn geringe Verzögerung wichtiger ist als vollständige Kontrolle. Beispiele: ```text id="yhm18n" - DNS - DHCP - VoIP - Live-Streaming - Online-Gaming - NTP - VPN-Protokolle wie WireGuard - QUIC / HTTP/3 ``` Hier ist es oft besser, schnell weiterzumachen, statt verlorene alte Daten nachzuliefern. --- **Ist UDP unsicherer als TCP?** UDP ist nicht automatisch „unsicherer“ als TCP. UDP hat nur weniger eingebaute Kontrollfunktionen. Sicherheit hängt vor allem davon ab: ```text id="qcspw6" - welches Anwendungsprotokoll verwendet wird - ob Verschlüsselung eingesetzt wird - wie die Firewall konfiguriert ist - ob der Dienst korrekt abgesichert ist ``` Beispiel: ```text id="fi58m3" QUIC nutzt UDP, kann aber trotzdem verschlüsselte Kommunikation ermöglichen. ``` UDP bedeutet also nicht automatisch unsicher. Es bedeutet nur: ```text id="b3e9op" UDP selbst garantiert weniger als TCP. ``` --- **Wichtige UDP-Begriffe** ```text id="xii0zl" UDP = User Datagram Protocol Datagramm = einzelne UDP-Dateneinheit Port = Dienstadresse auf einem Host Socket = IP-Adresse + Port Quellport = Port des sendenden Systems Zielport = Port des empfangenden Dienstes Prüfsumme = einfache Fehlererkennung im UDP-Datagramm ``` --- **IHK-sichere Kurzformulierung** UDP ist ein verbindungsloses Transportprotokoll mit geringem Verwaltungsaufwand. Im Gegensatz zu TCP baut UDP vor der Datenübertragung keine Verbindung auf und bietet keine eingebaute Garantie für Zustellung, Reihenfolge oder erneute Übertragung verlorener Daten. Dadurch ist UDP besonders für Anwendungen geeignet, bei denen geringe Verzögerung wichtiger ist als vollständige Kontrolle, zum Beispiel DNS, VoIP, Streaming oder Online-Gaming. --- **Merksätze** ```text id="vkybjj" UDP = verbindungslos, einfach und mit wenig Verwaltungsaufwand ``` ```text id="bxkqfb" UDP sendet direkt los. TCP baut vorher eine Verbindung auf. ``` ```text id="xg0rxw" UDP garantiert nicht, dass Datagramme ankommen, in richtiger Reihenfolge ankommen oder erneut übertragen werden. ``` ```text id="uw4sfa" UDP ist oft latenzärmer als TCP, aber nicht automatisch immer schneller in jeder Situation. ``` ```text id="gp5pfr" TCP = Zuverlässigkeit und Kontrolle UDP = Geschwindigkeit und geringer Verwaltungsaufwand ``` ```text id="kgukso" Wenn UDP Zuverlässigkeit braucht, muss die Anwendung diese selbst einbauen. ``` ```text id="hqqhqr" DNS, VoIP, Streaming und Online-Gaming sind typische Beispiele für UDP. ``` # TCP versus UDP TCP und UDP sind beide Transportprotokolle. Sie arbeiten auf der Transportschicht und sorgen dafür, dass Daten zwischen Anwendungen auf verschiedenen Geräten übertragen werden können. Der wichtigste Unterschied ist: TCP baut vor der Datenübertragung eine Verbindung auf. UDP sendet Daten ohne vorherigen Verbindungsaufbau direkt los. --- **TCP kurz erklärt** TCP steht für **Transmission Control Protocol**. TCP ist: - verbindungsorientiert - zuverlässig - geordnet - kontrolliert - mit mehr Verwaltungsaufwand verbunden Bei TCP wird vor der Übertragung der eigentlichen Nutzdaten zuerst eine Verbindung aufgebaut. Dieser Verbindungsaufbau heißt **3-Wege-Handshake**. Client Server 1. SYN ---------------------> Verbindungswunsch 2. SYN-ACK <------------------ Bestätigung + eigene Start-Sequenznummer 3. ACK ---------------------> Bestätigung Danach ist die TCP-Verbindung aufgebaut. Erst danach werden die eigentlichen Nutzdaten übertragen. Wichtig: Nicht ACK ist der erste Schritt. Der erste Schritt ist SYN. ACK ist die Bestätigung im dritten Schritt. --- **Was bedeutet SYN bei TCP?** SYN steht für: Synchronize Auf Deutsch: synchronisieren SYN bedeutet beim TCP-Verbindungsaufbau: Der Client möchte eine neue TCP-Verbindung starten und seine Start-Sequenznummer mit dem Server synchronisieren. SYN ist also der Verbindungswunsch und gleichzeitig der Start der Synchronisation der Sequenznummern. --- **Was bedeutet SYN-ACK bei TCP?** SYN-ACK besteht aus zwei Teilen: SYN = Server möchte ebenfalls seine Start-Sequenznummer synchronisieren ACK = Server bestätigt den SYN des Clients Der Server sagt damit vereinfacht: Ich habe deinen Verbindungswunsch erhalten. Ich bin bereit. Hier ist meine eigene Start-Sequenznummer. --- **Was bedeutet ACK bei TCP?** ACK steht für: Acknowledgement Auf Deutsch: Bestätigung Mit ACK bestätigt eine Seite, dass bestimmte Daten oder Steuerinformationen angekommen sind. Beim 3-Wege-Handshake bestätigt der Client mit ACK die Antwort des Servers. Merksatz: SYN = Verbindung starten und Sequenznummer synchronisieren SYN-ACK = Verbindung bestätigen und eigene Startnummer senden ACK = Bestätigung zurücksenden --- **UDP kurz erklärt** UDP steht für **User Datagram Protocol**. UDP ist: - verbindungslos - einfach - schnell bzw. oft latenzärmer - mit wenig Verwaltungsaufwand verbunden - ohne eingebaute Zustellgarantie - ohne eingebaute Reihenfolgekontrolle - ohne automatische erneute Übertragung verlorener Daten Bei UDP gibt es keinen 3-Wege-Handshake. Client Server Daten -----------------------> Kein SYN Kein SYN-ACK Kein verbindungsaufbauendes ACK UDP sendet Datagramme direkt los. UDP selbst prüft nicht zuverlässig, ob die Gegenseite bereit ist oder ob die Daten vollständig angekommen sind. --- **Nutzdaten bei TCP und UDP** Nutzdaten sind die eigentlichen Inhalte, die eine Anwendung übertragen möchte. Beispiele: - Webseiteninhalte - Dateien - Sprache - Videodaten - DNS-Anfragen - Spielinformationen Bei TCP gilt: Erst Verbindungsaufbau, dann Nutzdaten. Bei UDP gilt: Kein Verbindungsaufbau, Nutzdaten werden direkt als Datagramm gesendet. --- **Sequenznummern bei TCP** TCP verwendet Sequenznummern. Eine Sequenznummer ist keine Portnummer. Portnummer = welcher Dienst? Sequenznummer = welche Stelle im Datenstrom? TCP nummeriert technisch gesehen die Bytes im Datenstrom. Dadurch kann der Empfänger erkennen: - welche Daten angekommen sind - ob Daten fehlen - ob Daten doppelt angekommen sind - ob Daten in falscher Reihenfolge angekommen sind Beispiel: Segment 1: Sequenznummer 1000, enthält 500 Byte Segment 2: Sequenznummer 1500, enthält 500 Byte Segment 3: Sequenznummer 2000, enthält 500 Byte Wenn Segment 2 fehlt, merkt TCP: Nach 1000 müsste 1500 kommen. Wenn schon 2000 kommt, fehlt der Bereich ab 1500. Fehlende Daten können dann erneut übertragen werden. --- **UDP hat keine TCP-Sequenznummern** UDP nummeriert die Daten nicht wie TCP mit Sequenznummern. UDP sendet einzelne Datagramme. Datagramm 1 wird gesendet. Datagramm 2 wird gesendet. Datagramm 3 wird gesendet. UDP selbst merkt sich dabei keine Reihenfolge. Wenn ein Datagramm verloren geht, fordert UDP es nicht automatisch erneut an. Wenn Datagramme in falscher Reihenfolge ankommen, sortiert UDP sie nicht automatisch. --- **Zuverlässigkeit** TCP ist zuverlässig, weil es mehrere Kontrollmechanismen verwendet: - Verbindungsaufbau durch 3-Wege-Handshake - Sequenznummern - ACK-Bestätigungen - erneute Übertragung verlorener Daten - Reihenfolgekontrolle - Erkennung doppelt empfangener Daten - Flusskontrolle UDP hat diese Zuverlässigkeit nicht eingebaut. UDP garantiert nicht: - dass Daten ankommen - dass Daten vollständig ankommen - dass Daten in der richtigen Reihenfolge ankommen - dass verlorene Daten erneut übertragen werden Wenn eine Anwendung über UDP trotzdem Zuverlässigkeit benötigt, muss sie diese selbst einbauen. Beispiele: - eigene Bestätigungen - eigene Sequenznummern - eigene Wiederholungen - Fehlerkorrektur auf Anwendungsebene --- **Geschwindigkeit und Verwaltungsaufwand** TCP hat mehr Verwaltungsaufwand, weil es Verbindungen aufbaut, Daten bestätigt, Reihenfolgen prüft und verlorene Daten erneut überträgt. UDP hat weniger Verwaltungsaufwand, weil es diese Funktionen nicht eingebaut hat. Deshalb ist UDP oft latenzärmer. Wichtig: UDP ist nicht automatisch immer schneller im Sinne von höherer Datenrate. UDP hat aber weniger Verwaltungsaufwand und kann dadurch schneller reagieren. Besser formuliert: UDP ist oft latenzärmer als TCP, weil es keinen Verbindungsaufbau und weniger Kontrollmechanismen hat. --- **Typische Anwendungen für TCP** TCP wird verwendet, wenn Daten zuverlässig und vollständig ankommen müssen. Beispiele: - HTTP/HTTPS über TCP - SSH - E-Mail - Dateiübertragung - Remote Desktop - Datenbankverbindungen Hier wäre es problematisch, wenn Daten fehlen oder in falscher Reihenfolge bei der Anwendung ankommen. Beispiel: Bei einer Dateiübertragung darf kein Teil der Datei fehlen. Bei SSH müssen Befehle korrekt und in richtiger Reihenfolge ankommen. Bei Webseiten sollen Inhalte vollständig übertragen werden. --- **Typische Anwendungen für UDP** UDP wird häufig verwendet, wenn geringe Verzögerung wichtiger ist als vollständige Kontrolle. Beispiele: - DNS - DHCP - VoIP - Live-Streaming - Online-Gaming - NTP - WireGuard - QUIC / HTTP/3 Beispiel VoIP: Bei einem Telefonat ist es besser, wenn ein kleines Audiostück kurz fehlt, als wenn die Sprache stark verzögert ankommt. Beispiel Online-Gaming: Bei schnellen Positionsdaten ist der aktuelle Zustand wichtiger als ein altes verlorenes Paket nachträglich zu übertragen. --- **DNS als Beispiel für UDP** DNS nutzt sehr häufig UDP auf Port 53. Ablauf vereinfacht: 1. Client fragt per UDP beim DNS-Server an. 2. DNS-Server antwortet per UDP. 3. Die Antwort enthält die passende IP-Adresse zur Domain. Beispiel: Client: 192.168.0.20:53000 DNS-Server: 192.168.0.1:53 Protokoll: UDP Warum UDP hier sinnvoll ist: - DNS-Anfragen sind meist klein. - Ein TCP-Verbindungsaufbau wäre zusätzlicher Aufwand. - Bei Verlust kann die Anfrage einfach erneut gestellt werden. Wichtig: DNS kann auch TCP verwenden, zum Beispiel bei größeren Antworten oder Zonentransfers. --- **QUIC und HTTP/3** QUIC ist ein modernes Transportprotokoll, das auf UDP basiert. HTTP/3 läuft über QUIC. QUIC läuft über UDP. UDP läuft über IP. Wichtig: UDP selbst ist einfach und verbindungslos. QUIC baut darauf eigene Funktionen für Verbindung, Zuverlässigkeit und Verschlüsselung auf. Das bedeutet: Nur weil UDP selbst keine TCP-Zuverlässigkeit bietet, kann ein Protokoll oberhalb von UDP trotzdem eigene Kontrollmechanismen einbauen. --- **TCP und UDP mit Ports** Sowohl TCP als auch UDP verwenden Ports. IP-Adresse = welcher Host? Port = welcher Dienst? Socket = IP-Adresse + Port Wichtig: TCP-Port 443 und UDP-Port 443 sind technisch getrennt. Beispiel: TCP 443 = HTTPS über TCP UDP 443 = QUIC / HTTP/3 Ein Dienst kann also denselben Port bei TCP und UDP unterschiedlich verwenden. --- **Firewall-Bezug** Firewalls können sowohl TCP als auch UDP filtern. Dabei prüfen sie zum Beispiel: - Quell-IP - Ziel-IP - Quellport - Zielport - Protokoll TCP oder UDP Bei TCP kann eine Stateful Firewall den Verbindungszustand gut erkennen: SYN → SYN-ACK → ACK → Verbindung steht Bei UDP gibt es keinen echten Verbindungszustand wie bei TCP. Eine Stateful Firewall kann sich aber trotzdem kurzzeitig merken, dass ein internes Gerät ein UDP-Datagramm nach außen gesendet hat. Beispiel: Client sendet DNS-Anfrage per UDP nach außen. Firewall merkt sich diese Anfrage kurzzeitig. DNS-Antwort darf zurück. Unerwartete UDP-Pakete von außen werden blockiert. --- **TCP versus UDP als Tabelle** | Merkmal | TCP | UDP | |---|---|---| | Voller Name | Transmission Control Protocol | User Datagram Protocol | | Verbindungsaufbau | Ja, 3-Wege-Handshake | Nein | | Erste Nachricht | SYN | Direkt Datagramm/Nutzdaten | | Zuverlässigkeit | Eingebaut | Nicht eingebaut | | Reihenfolgekontrolle | Ja | Nein | | Sequenznummern | Ja | Nicht wie TCP | | ACK-Bestätigungen | Ja | Nicht durch UDP selbst | | Erneute Übertragung | Ja | Nein | | Verwaltungsaufwand | Höher | Geringer | | Latenz | Oft höher | Oft geringer | | Typische Nutzung | Zuverlässige Datenübertragung | Echtzeit oder kleine schnelle Anfragen | | Beispiele | HTTPS, SSH, E-Mail, Dateiübertragung | DNS, VoIP, Streaming, Gaming, QUIC | --- **Einfacher Vergleich** TCP ist wie ein Einschreiben: Es wird geprüft, bestätigt und bei Problemen erneut gesendet. UDP ist wie eine Postkarte: Sie wird direkt abgeschickt, aber es gibt keine eingebaute Garantie, dass sie ankommt oder in welcher Reihenfolge sie ankommt. --- **IHK-sichere Kurzformulierung** TCP ist ein verbindungsorientiertes und zuverlässiges Transportprotokoll. Vor der Datenübertragung wird über den 3-Wege-Handshake eine Verbindung aufgebaut. TCP verwendet Sequenznummern, ACK-Bestätigungen, Reihenfolgekontrolle und erneute Übertragung verlorener Daten. Dadurch eignet sich TCP für Anwendungen, bei denen Daten vollständig und korrekt ankommen müssen. UDP ist ein verbindungsloses Transportprotokoll mit geringem Verwaltungsaufwand. UDP baut vor dem Senden keine Verbindung auf und bietet keine eingebaute Garantie für Zustellung, Reihenfolge oder erneute Übertragung verlorener Daten. Dadurch eignet sich UDP besonders für Anwendungen, bei denen geringe Verzögerung wichtiger ist als vollständige Kontrolle. --- **Merksätze** TCP = erst Verbindung aufbauen, dann Nutzdaten senden UDP = keine Verbindung aufbauen, Daten direkt senden TCP = zuverlässig, geordnet und kontrolliert UDP = verbindungslos, schlank und oft latenzärmer TCP fragt vorher: "Darf ich eine Verbindung aufbauen?" UDP sendet direkt: "Hier sind die Daten." TCP nutzt SYN, SYN-ACK und ACK für den Verbindungsaufbau. UDP hat keinen 3-Wege-Handshake. TCP erkennt fehlende Daten und überträgt sie erneut. UDP macht das nicht automatisch. TCP eignet sich für vollständige Daten. UDP eignet sich für schnelle oder zeitkritische Daten. # 8. OSI-Schicht 5 – Sitzungsschicht # 9. OSI-Schicht 6 – Darstellungsschicht # 10. OSI-Schicht 7 – Anwendungsschicht # 11. Firewalls, NAT und DMZ # 12. Sniffing, Analyse und Fehlersuche # 13. Verschlüsselung und Sicherheitsgrundlagen Grundlagen zu Verschlüsselung, Schlüsseln, Zertifikaten, Hashwerten, Signaturen und sicheren Protokollen                                                  – mit Fokus auf Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit.https://ulrich-wiki.com/uploads/images/gallery/2026-06/crop-y220-660-1920x320.png # 13.0 Grundlagen der Verschlüsselung

**Kurzüberblick** Verschlüsselung bedeutet, dass lesbare Daten so umgewandelt werden, dass sie ohne passenden Schlüssel nicht mehr verständlich sind. Aus einer lesbaren Nachricht wird ein unlesbarer Geheimtext. Beispiel: Klartext: Hallo Bob Geheimtext: A4$h!7k9%Lz@8mQ Erst mit dem passenden Schlüssel kann daraus wieder der ursprüngliche Inhalt entstehen. > **IHK-Merksatz:** > Verschlüsselung schützt Inhalte vor unbefugtem Mitlesen. --- **Quelle und Einordnung** Diese Seite gehört zu: **13. Verschlüsselung und Sicherheitsgrundlagen** In unserer BookStack-Struktur steht dieses Kapitel nach: **11. Firewalls, NAT und DMZ** **12. Sniffing, Analyse und Fehlersuche** und vor: **14. VPN, Intranet und Extranet** Warum? Firewalls regeln, wer wohin kommunizieren darf. Sniffing zeigt, dass Datenverkehr mitgelesen werden kann. Verschlüsselung schützt den Inhalt der übertragenen oder gespeicherten Daten. VPN nutzt Verschlüsselung, um sichere Verbindungen über unsichere Netze aufzubauen. --- **Warum braucht man Verschlüsselung?** Daten werden in Netzwerken oft über Wege übertragen, die man nicht vollständig kontrolliert. Beispiele: - Internet - WLAN - öffentliche Netze - Cloud-Dienste - VPN-Verbindungen - E-Mail-Kommunikation - Webzugriffe über HTTPS Ohne Verschlüsselung könnten Daten leichter mitgelesen oder missbraucht werden. Typische schützenswerte Daten sind: - Passwörter - Zugangsdaten - persönliche Daten - Bankdaten - Kundendaten - Firmendaten - Backups - private Nachrichten > **Kurz gesagt:** > Verschlüsselung sorgt dafür, dass abgefangene Daten ohne Schlüssel nicht sinnvoll gelesen werden können. --- **Grundbegriffe** | Begriff | Bedeutung | |---|---| | Klartext | ursprüngliche lesbare Nachricht | | Geheimtext / Chiffrat | verschlüsselte Nachricht | | Schlüssel | Wert zum Ver- oder Entschlüsseln | | Verschlüsseln | Klartext wird in Geheimtext umgewandelt | | Entschlüsseln | Geheimtext wird wieder in Klartext umgewandelt | | Algorithmus | mathematisches Verfahren der Verschlüsselung | | Alice | typische Senderin in Kryptografie-Beispielen | | Bob | typischer Empfänger in Kryptografie-Beispielen | | Eve | Angreiferin, Lauscherin oder Manipulatorin | --- **Einfaches Ablaufmodell** | Schritt | Erklärung | |---|---| | 1 | Alice hat eine lesbare Nachricht. | | 2 | Alice verschlüsselt die Nachricht mit einem Schlüssel. | | 3 | Über das Netzwerk wird nur der Geheimtext übertragen. | | 4 | Bob entschlüsselt den Geheimtext mit dem passenden Schlüssel. | | 5 | Bob kann die ursprüngliche Nachricht lesen. | Vereinfacht: Klartext + Schlüssel -> Verschlüsselung -> Geheimtext Geheimtext + passender Schlüssel -> Entschlüsselung -> Klartext --- **Die drei wichtigsten Sicherheitsziele** Bei Verschlüsselung und IT-Sicherheit tauchen immer wieder drei Begriffe auf: | Sicherheitsziel | Leitfrage | Beispiel | |---|---|---| | Vertraulichkeit | Können Unbefugte die Daten lesen? | Verschlüsselung, VPN, HTTPS | | Integrität | Wurden die Daten verändert? | Hash, digitale Signatur | | Authentizität | Ist der Absender oder die Identität echt? | Zertifikat, digitale Signatur, Login | > **IHK-Merksatz:** > Vertraulichkeit = nur Berechtigte können lesen > Integrität = Daten wurden nicht verändert > Authentizität = Identität oder Absender ist echt --- **Vertraulichkeit** Vertraulichkeit bedeutet: Nur berechtigte Personen oder Systeme können den Inhalt lesen. Beispiele: - HTTPS schützt Webdaten. - VPN schützt Daten über unsichere Netze. - WPA2 / WPA3 schützt WLAN-Datenverkehr. - Festplattenverschlüsselung schützt gespeicherte Daten. > **Merksatz:** > Vertraulichkeit schützt vor Mitlesen. --- **Integrität** Integrität bedeutet: Daten wurden nicht verändert. Man möchte erkennen können, ob eine Nachricht, Datei oder Übertragung manipuliert wurde. Beispiele: - Hashwert einer Datei prüfen - digitale Signatur prüfen - Prüfsumme vergleichen > **Merksatz:** > Integrität schützt nicht unbedingt vor Mitlesen, sondern erkennt Veränderungen. --- **Authentizität** Authentizität bedeutet: Die Identität ist echt. Die Leitfrage lautet: Bist du wirklich derjenige, für den du dich ausgibst? Beispiele: - Benutzer meldet sich mit Passwort an. - Webseite weist sich mit Zertifikat aus. - Absender signiert eine Nachricht digital. - Zwei-Faktor-Authentifizierung bestätigt zusätzlich die Identität. > **Merksatz:** > Authentizität prüft Echtheit. --- **Was Verschlüsselung leisten kann** Verschlüsselung kann helfen bei: | Ziel | Erklärung | |---|---| | Schutz vor Mitlesen | Geheimtext ist ohne Schlüssel nicht verständlich | | Schutz gespeicherter Daten | Daten auf Datenträgern oder in der Cloud werden geschützt | | sichere Übertragung | Daten können über unsichere Netze übertragen werden | | Grundlage für VPN | VPNs nutzen Verschlüsselung für sichere Tunnel | | Grundlage für HTTPS | Webseitenverbindungen werden geschützt | --- **Was Verschlüsselung allein nicht automatisch leistet** Verschlüsselung ist wichtig, aber sie löst nicht jedes Sicherheitsproblem automatisch. | Problem | Warum Verschlüsselung allein nicht reicht | |---|---| | falscher Empfänger | Daten können an die falsche Person gesendet werden | | gestohlener Schlüssel | Angreifer kann entschlüsseln | | unsicheres Passwort | Schlüssel oder Zugang kann erraten werden | | manipulierte Software | Daten können vor oder nach der Verschlüsselung abgegriffen werden | | unsicheres Endgerät | Klartext kann direkt am Gerät gelesen werden | | fehlende Authentizität | Man weiß nicht sicher, mit wem man spricht | > **Achtung Prüfungsfalle:** > Verschlüsselung schützt den Inhalt, aber nicht automatisch vor allen Angriffen. --- **Wichtige Verfahren im Überblick** | Verfahren | Grundidee | |---|---| | symmetrische Verschlüsselung | gleicher geheimer Schlüssel auf beiden Seiten | | asymmetrische Verschlüsselung | öffentlicher und privater Schlüssel | | hybride Verschlüsselung | asymmetrisch für Schlüsselaustausch, symmetrisch für Daten | | digitale Signatur | Absender und Unverändertheit prüfen | | Hashfunktion | Prüfwert zur Integritätsprüfung | | Zertifikat | Identität mit öffentlichem Schlüssel verbinden | | Diffie-Hellman | gemeinsames Schlüsselmaterial aushandeln | | One-Time-Pad | theoretisch sicher bei perfekten Bedingungen | | Steganographie | Nachricht in unauffälligen Daten verstecken | --- **Symmetrisch, asymmetrisch und hybrid im Kurzvergleich** | Merkmal | Symmetrisch | Asymmetrisch | Hybrid | |---|---|---|---| | Schlüsselprinzip | ein gemeinsamer geheimer Schlüssel | öffentlicher + privater Schlüssel | Kombination aus beiden | | Geschwindigkeit | schnell | langsamer | praktisch schnell | | Hauptvorteil | gut für große Datenmengen | löst Schlüsselübergabe | kombiniert beide Vorteile | | Hauptproblem | sichere Schlüsselübergabe | höherer Rechenaufwand | komplexerer Ablauf | | typischer Einsatz | Nutzdaten | Schlüssel, Signatur, Zertifikate | HTTPS, TLS, VPN | > **Kurzform:** > Symmetrisch = schnell > Asymmetrisch = Schlüsselübergabe lösen > Hybrid = Praxislösung --- **Beispiel aus dem Alltag: HTTPS** Wenn du eine Webseite über HTTPS aufrufst, spielen mehrere Sicherheitsbausteine zusammen. Vereinfacht: | Baustein | Aufgabe | |---|---| | Zertifikat | Browser prüft die Identität der Webseite | | asymmetrische Verfahren | helfen beim sicheren Verbindungsaufbau | | Sitzungsschlüssel | wird für diese Verbindung genutzt | | symmetrische Verschlüsselung | schützt danach die eigentlichen Nutzdaten | | Hash / Signatur | helfen bei Prüfung von Integrität und Vertrauen | Das genaue Verfahren ist technisch komplexer, aber für die Grundlagen reicht: > **HTTPS nutzt mehrere Sicherheitsbausteine zusammen.** --- **Typische Prüfungsfragen zu den Grundlagen** **Was bedeutet Verschlüsselung?** Verschlüsselung bedeutet, dass lesbare Daten mit einem Schlüssel in eine unlesbare Form umgewandelt werden. **Was ist Klartext?** Klartext ist die lesbare ursprüngliche Nachricht. **Was ist Geheimtext?** Geheimtext ist die verschlüsselte Form einer Nachricht. **Was ist ein Schlüssel?** Ein Schlüssel ist ein Wert, mit dem Daten ver- oder entschlüsselt werden. **Was bedeutet Vertraulichkeit?** Nur Berechtigte können die Daten lesen. **Was bedeutet Integrität?** Daten wurden nicht verändert. **Was bedeutet Authentizität?** Identität oder Absender ist echt. **Warum ist Verschlüsselung im Netzwerk wichtig?** Weil Daten über unsichere Netze übertragen werden können und vor Mitlesen geschützt werden sollen. --- **Prüfungsfalle: Verschlüsselung, Hash und Signatur nicht verwechseln** | Begriff | Aufgabe | |---|---| | Verschlüsselung | Inhalt unlesbar machen | | Hash | Veränderung an Daten erkennen | | digitale Signatur | Absender und Integrität prüfen | | Zertifikat | Identität und öffentlichen Schlüssel verbinden | | Steganographie | Existenz einer Nachricht verstecken | > **Merksatz:** > Verschlüsselung schützt den Inhalt. > Hash prüft Daten. > Signatur prüft Absender und Daten. > Zertifikat prüft Identität. > Steganographie versteckt Nachrichten. --- **Zusammenfassung** Verschlüsselung ist ein Grundbaustein der Netzwerksicherheit. Sie wandelt lesbare Daten in eine unlesbare Form um. Nur mit dem passenden Schlüssel können die Daten wieder entschlüsselt werden. Für die IHK sind besonders wichtig: - Vertraulichkeit - Integrität - Authentizität - symmetrische Verschlüsselung - asymmetrische Verschlüsselung - hybride Verschlüsselung - Hashfunktion - digitale Signatur - Zertifikate - Diffie-Hellman - Perfect Forward Secrecy - Brute Force - Zufallszahlen - One-Time-Pad - Steganographie > **IHK-Spickzettel:** > Verschlüsselung = Inhalt schützen > Vertraulichkeit = nur Berechtigte lesen > Integrität = Daten unverändert > Authentizität = Identität echt > Symmetrisch = gleicher Schlüssel > Asymmetrisch = öffentlicher + privater Schlüssel > Hybrid = asymmetrisch für Schlüssel, symmetrisch für Daten # 13.1 Symmetrische Verschlüsselung [![Symmetrische Verschlüsselung und Schlüsselübergabe](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/chatgpt-image-3-juni-2026-01-07-07-1.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/chatgpt-image-3-juni-2026-01-07-07-1.png) **Kurzüberblick** Bei der **symmetrischen Verschlüsselung** verwenden Sender und Empfänger **denselben geheimen Schlüssel**. Das bedeutet: - Alice hat den geheimen Schlüssel. - Bob hat denselben geheimen Schlüssel. - Eve darf diesen Schlüssel nicht besitzen. - Mit demselben Schlüssel wird verschlüsselt und entschlüsselt. > **IHK-Merksatz:** > Symmetrisch bedeutet: **ein gemeinsamer geheimer Schlüssel auf beiden Seiten**. --- **Grundidee** Alice möchte Bob eine geheime Nachricht schicken. Dafür passiert Folgendes: | Schritt | Erklärung | |---|---| | 1 | Alice schreibt eine Nachricht im Klartext. | | 2 | Alice verschlüsselt die Nachricht mit dem gemeinsamen geheimen Schlüssel. | | 3 | Über das Netzwerk wird nur der Geheimtext übertragen. | | 4 | Bob entschlüsselt den Geheimtext mit demselben geheimen Schlüssel. | | 5 | Bob erhält wieder den ursprünglichen Klartext. | --- **Einfaches Beispiel** | Zustand | Beispiel | |---|---| | Klartext | Passwort: geheim123 | | gemeinsamer Schlüssel | blauer geheimer Schlüssel | | Geheimtext / Chiffrat | A4$h!7k9%Lz@8mQ | | entschlüsselter Klartext | Passwort: geheim123 | Wichtig ist nicht der Beispieltext selbst, sondern das Prinzip: > **Nur wer den gemeinsamen geheimen Schlüssel besitzt, kann die Nachricht wieder lesen.** --- **Eigenschaften der symmetrischen Verschlüsselung** | Punkt | Erklärung | |---|---| | Schlüsselanzahl | ein gemeinsamer geheimer Schlüssel | | Schlüsselart | beide Seiten nutzen denselben Schlüssel | | Geschwindigkeit | sehr schnell | | Eignung | gut für große Datenmengen | | Hauptproblem | sichere Übergabe des Schlüssels | | Gefahr | Wenn Eve den Schlüssel bekommt, kann sie entschlüsseln | | typische Beispiele | AES, ChaCha20 | | Sonderfall | One-Time-Pad | --- **Warum ist symmetrische Verschlüsselung schnell?** Symmetrische Verfahren sind für große Datenmengen gut geeignet, weil sie rechnerisch deutlich effizienter sind als asymmetrische Verfahren. Darum wird symmetrische Verschlüsselung in der Praxis häufig genutzt für: - große Dateien - Datenströme - VPN-Datenverkehr - HTTPS-Nutzdaten - WLAN-Verschlüsselung - verschlüsselte Backups - Festplattenverschlüsselung > **Kurz gesagt:** > Symmetrische Verschlüsselung ist die schnelle Methode für die eigentlichen Nutzdaten. --- **Das Hauptproblem: Schlüsselübergabe** Der größte Nachteil ist nicht die eigentliche Verschlüsselung, sondern die Frage: > **Wie bekommt Bob den geheimen Schlüssel, ohne dass Eve ihn kopieren kann?** Alice und Bob brauchen denselben Schlüssel. Dieser Schlüssel muss also irgendwie zu Bob gelangen. Wenn Alice den Schlüssel einfach ungeschützt über das Netzwerk sendet, kann Eve ihn abfangen. --- **Ablauf des Schlüsselübergabe-Problems** | Schritt | Was passiert? | Risiko | |---|---|---| | 1 | Alice erzeugt einen geheimen Schlüssel. | noch sicher | | 2 | Bob braucht eine Kopie dieses Schlüssels. | Übergabe nötig | | 3 | Alice sendet den Schlüssel an Bob. | Eve könnte mithören | | 4 | Eve kopiert den Schlüssel. | Sicherheit verloren | | 5 | Eve kann spätere Nachrichten entschlüsseln. | Game Over | > **Achtung Prüfungsfalle:** > Die Verschlüsselung kann mathematisch stark sein. > Wenn der Schlüssel aber in falsche Hände kommt, ist die Kommunikation trotzdem unsicher. --- **Was passiert, wenn Eve den Schlüssel bekommt?** Wenn Eve den gemeinsamen geheimen Schlüssel besitzt, kann sie: - verschlüsselte Nachrichten entschlüsseln - mitlesen - eigene Nachrichten verschlüsseln - sich eventuell als Teilnehmer ausgeben - die Sicherheit der Verbindung zerstören Deshalb gilt: > **Der Schlüssel ist das eigentliche Geheimnis.** --- **Vorteil und Nachteil auf einen Blick** | Vorteil | Nachteil | |---|---| | sehr schnell | sichere Schlüsselübergabe ist schwierig | | gut für große Datenmengen | beide Seiten brauchen denselben geheimen Schlüssel | | technisch effizient | Schlüsselverlust macht alles unsicher | | in der Praxis sehr wichtig | skaliert schlecht bei vielen Kommunikationspartnern | --- **Warum skaliert das schlecht?** Wenn nur Alice und Bob miteinander kommunizieren, reicht ein gemeinsamer Schlüssel. Bei vielen Personen wird es schwieriger. | Situation | Problem | |---|---| | Alice und Bob | ein gemeinsamer Schlüssel reicht | | Alice, Bob und Carla | mehrere Schlüssel nötig | | viele Benutzer | sehr viele Schlüssel zwischen den Beteiligten nötig | | Unternehmen oder Internet | reine symmetrische Schlüsselverteilung wird unpraktisch | Darum nutzt man in der Praxis oft ein **hybrides Verfahren**: - asymmetrisch für den sicheren Schlüsselaustausch - symmetrisch für die schnelle Datenverschlüsselung Das wird später bei **13.6 Hybride Verschlüsselung** wichtig. --- **Typische Praxisbeispiele** | Bereich | Rolle der symmetrischen Verschlüsselung | |---|---| | WLAN | Nutzdaten werden verschlüsselt übertragen | | VPN | Daten im Tunnel werden verschlüsselt | | HTTPS / TLS | Nutzdaten werden nach dem Schlüsselaustausch symmetrisch verschlüsselt | | Festplattenverschlüsselung | Daten auf dem Datenträger werden symmetrisch geschützt | | Backups | Sicherungskopien können symmetrisch verschlüsselt werden | --- **Typische IHK-Fragen zu symmetrischer Verschlüsselung** **Was ist symmetrische Verschlüsselung?** Bei der symmetrischen Verschlüsselung verwenden Sender und Empfänger **denselben geheimen Schlüssel** zum Ver- und Entschlüsseln. **Was ist der wichtigste Vorteil?** Sie ist **schnell** und eignet sich gut für **große Datenmengen**. **Was ist der wichtigste Nachteil?** Der gemeinsame geheime Schlüssel muss **sicher an beide Kommunikationspartner verteilt** werden. **Was passiert, wenn ein Angreifer den Schlüssel bekommt?** Dann kann der Angreifer die verschlüsselten Daten entschlüsseln. Die Sicherheit ist dann verloren. **Warum verwendet man trotzdem symmetrische Verschlüsselung?** Weil sie sehr effizient ist und deshalb in der Praxis für die eigentlichen Nutzdaten verwendet wird. --- **Prüfungsfalle: symmetrisch vs. asymmetrisch** | Merkmal | Symmetrisch | Asymmetrisch | |---|---|---| | Schlüsselanzahl | ein gemeinsamer Schlüssel | zwei Schlüssel | | Schlüsselarten | geheimer Schlüssel | öffentlicher und privater Schlüssel | | Geschwindigkeit | schnell | langsamer | | Problem | sichere Schlüsselübergabe | mehr Rechenaufwand | | typischer Einsatz | große Datenmengen | Schlüsselaustausch, Signatur, Zertifikate | > **Merksatz:** > Symmetrisch ist schnell, aber die Schlüsselübergabe ist das Problem. > Asymmetrisch hilft bei der Schlüsselübergabe, ist aber langsamer. --- **Zusammenfassung** Die symmetrische Verschlüsselung nutzt **einen gemeinsamen geheimen Schlüssel**. Dieser Schlüssel wird für beide Richtungen verwendet: - Alice verschlüsselt mit dem Schlüssel. - Bob entschlüsselt mit demselben Schlüssel. - Bob kann auch mit demselben Schlüssel verschlüsseln. - Alice kann mit demselben Schlüssel entschlüsseln. Der große Vorteil ist die hohe Geschwindigkeit. Der große Nachteil ist die sichere Übergabe des Schlüssels. > **IHK-Spickzettel:** > Symmetrisch = gleicher geheimer Schlüssel > Vorteil = schnell > Nachteil = Schlüsselübergabe > Gefahr = Schlüsselverlust > Praxis = Nutzdatenverschlüsselung bei WLAN, VPN, HTTPS/TLS, Backups und Festplatten # 13.2 Asymmetrische Verschlüsselung

[![Asymmetrische Verschlüsselung erklärt](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/000f410e-9fa5-44de-b693-2b5efa4baab8.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/000f410e-9fa5-44de-b693-2b5efa4baab8.png) **Kurzüberblick** Bei der **asymmetrischen Verschlüsselung** gibt es nicht nur einen gemeinsamen Schlüssel, sondern ein **Schlüsselpaar**. Dieses Schlüsselpaar besteht aus: - einem **öffentlichen Schlüssel** - einem **privaten Schlüssel** Der öffentliche Schlüssel darf verteilt werden. Der private Schlüssel bleibt geheim. > **IHK-Merksatz:** > Asymmetrisch bedeutet: **zwei unterschiedliche Schlüssel**. > Einer ist öffentlich, einer bleibt privat. --- **Grundidee** Wenn Alice eine geheime Nachricht an Bob senden möchte, muss Bob zuerst ein Schlüsselpaar erzeugen. Das ist wichtig: > **Der Empfänger des Geheimnisses erzeugt das Schlüsselpaar.** In unserem Beispiel ist Bob der Empfänger. Bob erzeugt also: | Schlüssel | Bedeutung | |---|---| | öffentlicher Schlüssel | darf an Alice und andere Personen weitergegeben werden | | privater Schlüssel | bleibt geheim bei Bob | Alice nutzt dann **Bobs öffentlichen Schlüssel**, um die Nachricht zu verschlüsseln. Bob nutzt seinen **privaten Schlüssel**, um die Nachricht zu entschlüsseln. --- **Warum braucht man zwei Schlüssel?** Bei der symmetrischen Verschlüsselung gibt es ein Problem: Alice und Bob brauchen denselben geheimen Schlüssel. Dieser Schlüssel muss sicher übertragen werden. Bei der asymmetrischen Verschlüsselung ist das anders: Der öffentliche Schlüssel darf offen verteilt werden. Dadurch muss kein geheimer Schlüssel ungeschützt verschickt werden. > **Kurz gesagt:** > Asymmetrische Verschlüsselung hilft beim Problem der sicheren Schlüsselübergabe. --- **Ablauf: Alice sendet ein Geheimnis an Bob** | Schritt | Erklärung | |---|---| | 1 | Bob erzeugt ein Schlüsselpaar. | | 2 | Bob behält den privaten Schlüssel geheim. | | 3 | Bob veröffentlicht seinen öffentlichen Schlüssel. | | 4 | Alice nimmt Bobs öffentlichen Schlüssel. | | 5 | Alice verschlüsselt damit ihre Nachricht. | | 6 | Die verschlüsselte Nachricht wird über das Netzwerk übertragen. | | 7 | Bob entschlüsselt mit seinem privaten Schlüssel. | | 8 | Bob kann den Klartext lesen. | --- **Einfaches Beispiel** | Rolle | Was passiert? | |---|---| | Bob | erzeugt öffentlichen und privaten Schlüssel | | Bob | gibt den öffentlichen Schlüssel frei | | Alice | verschlüsselt mit Bobs öffentlichem Schlüssel | | Eve | kann den öffentlichen Schlüssel ebenfalls sehen | | Bob | entschlüsselt mit seinem privaten Schlüssel | | Eve | kann nicht entschlüsseln, weil ihr der private Schlüssel fehlt | --- **Wichtiger Grundsatz** Was mit dem einen Schlüssel verschlüsselt wird, kann nur mit dem anderen passenden Schlüssel entschlüsselt werden. Das bedeutet hier: | Aktion | Schlüssel | |---|---| | Verschlüsseln für Bob | Bobs öffentlicher Schlüssel | | Entschlüsseln durch Bob | Bobs privater Schlüssel | > **Merksatz:** > Zum geheimen Senden an Bob nutzt Alice **Bobs öffentlichen Schlüssel**. > Zum Lesen nutzt Bob **seinen privaten Schlüssel**. --- **Öffentlicher Schlüssel** Der öffentliche Schlüssel darf verteilt werden. Er kann zum Beispiel: - auf einer Webseite stehen - in einem Zertifikat enthalten sein - an Kommunikationspartner gesendet werden - von Alice verwendet werden - auch von Eve gesehen werden Das ist nicht schlimm, weil der öffentliche Schlüssel allein nicht zum Entschlüsseln reicht. > **Wichtig:** > Öffentlich bedeutet nicht unsicher. > Der öffentliche Schlüssel ist dafür gedacht, verteilt zu werden. --- **Privater Schlüssel** Der private Schlüssel ist das eigentliche Geheimnis. Er darf nicht weitergegeben werden. Wenn der private Schlüssel gestohlen wird, ist die Sicherheit gefährdet. Der private Schlüssel wird genutzt zum Beispiel für: - Entschlüsseln - digitale Signatur - Identitätsnachweis - Zugriff auf geschützte Kommunikation > **Achtung Prüfungsfalle:** > Der private Schlüssel wird niemals veröffentlicht. > Er bleibt beim Besitzer. --- **Vorteile der asymmetrischen Verschlüsselung** | Vorteil | Erklärung | |---|---| | kein geheimer Schlüssel muss vorher gemeinsam übertragen werden | Der öffentliche Schlüssel darf verteilt werden | | geeignet für Schlüsselaustausch | Ein Sitzungsschlüssel kann sicher übertragen werden | | ermöglicht digitale Signaturen | Absender und Integrität können geprüft werden | | Grundlage für Zertifikate | Identitäten können mit öffentlichen Schlüsseln verbunden werden | --- **Nachteile der asymmetrischen Verschlüsselung** | Nachteil | Erklärung | |---|---| | langsamer als symmetrische Verschlüsselung | Rechenaufwand ist höher | | nicht ideal für große Datenmengen | Für große Daten nutzt man besser symmetrische Verschlüsselung | | private Schlüssel müssen gut geschützt werden | Verlust oder Diebstahl ist kritisch | | Zertifikatsprüfung kann nötig sein | Man muss wissen, ob der öffentliche Schlüssel wirklich zur richtigen Person gehört | --- **Warum verschlüsselt man nicht einfach alles asymmetrisch?** Asymmetrische Verschlüsselung ist praktisch, aber langsam. Für große Datenmengen wäre das ineffizient. Darum nutzt man in der Praxis meistens ein **hybrides Verfahren**: - asymmetrisch für den sicheren Schlüsselaustausch - symmetrisch für die schnelle Datenverschlüsselung Das ist wichtig für: - HTTPS - TLS - VPN - sichere Kommunikation im Internet > **Kurz gesagt:** > Asymmetrisch löst das Schlüsselübergabe-Problem. > Symmetrisch verschlüsselt danach schnell die eigentlichen Daten. --- **Vergleich: symmetrisch und asymmetrisch** | Merkmal | Symmetrisch | Asymmetrisch | |---|---|---| | Anzahl der Schlüssel | ein gemeinsamer Schlüssel | zwei Schlüssel | | Schlüsselarten | geheimer Schlüssel | öffentlicher und privater Schlüssel | | Geschwindigkeit | schnell | langsamer | | Hauptproblem | Schlüsselübergabe | höherer Rechenaufwand | | typischer Einsatz | große Datenmengen | Schlüsselaustausch, Zertifikate, Signatur | | Beispielprinzip | Alice und Bob haben denselben Schlüssel | Alice nutzt Bobs öffentlichen Schlüssel | --- **Bezug zur digitalen Signatur** Asymmetrische Verfahren können nicht nur für Verschlüsselung genutzt werden. Sie können auch für digitale Signaturen genutzt werden. Dabei ist die Richtung anders: | Zweck | Verwendeter Schlüssel | |---|---| | Nachricht an Bob verschlüsseln | Bobs öffentlicher Schlüssel | | Nachricht von Bob entschlüsseln | Bobs privater Schlüssel | | Signatur von Bob erstellen | Bobs privater Schlüssel | | Signatur von Bob prüfen | Bobs öffentlicher Schlüssel | > **Wichtig:** > Verschlüsselung schützt die Vertraulichkeit. > Signatur prüft Authentizität und Integrität. --- **Typische Praxisbeispiele** | Bereich | Rolle der asymmetrischen Verschlüsselung | |---|---| | HTTPS / TLS | sicherer Schlüsselaustausch und Zertifikate | | VPN | Aufbau sicherer Verbindungen | | digitale Signatur | Echtheit und Unverändertheit prüfen | | Zertifikate | öffentlicher Schlüssel wird einer Identität zugeordnet | | E-Mail-Verschlüsselung | öffentliche Schlüssel können zum Verschlüsseln genutzt werden | | SSH | Schlüsselpaare können zur Anmeldung genutzt werden | --- **Typische IHK-Fragen zur asymmetrischen Verschlüsselung** **Was ist asymmetrische Verschlüsselung?** Bei der asymmetrischen Verschlüsselung gibt es zwei unterschiedliche Schlüssel: einen öffentlichen und einen privaten Schlüssel. **Wer erzeugt das Schlüsselpaar?** Der Empfänger erzeugt das Schlüsselpaar, wenn er verschlüsselte Nachrichten empfangen möchte. **Was passiert mit dem öffentlichen Schlüssel?** Der öffentliche Schlüssel darf verteilt werden. **Was passiert mit dem privaten Schlüssel?** Der private Schlüssel bleibt geheim beim Besitzer. **Welchen Schlüssel nutzt Alice, wenn sie Bob eine geheime Nachricht senden möchte?** Alice nutzt **Bobs öffentlichen Schlüssel**. **Welchen Schlüssel nutzt Bob zum Entschlüsseln?** Bob nutzt **seinen privaten Schlüssel**. **Warum ist asymmetrische Verschlüsselung wichtig?** Sie löst das Problem, wie man sicher einen Schlüssel austauschen kann. **Warum nutzt man asymmetrische Verschlüsselung nicht für alle Daten?** Weil sie langsamer ist als symmetrische Verschlüsselung. --- **Prüfungsfalle: öffentlicher Schlüssel ist nicht geheim** Der öffentliche Schlüssel darf von allen gesehen werden. Auch Eve darf ihn kennen. Das ist nicht das Problem. Das Problem wäre nur, wenn Eve den **privaten Schlüssel** bekommt. | Schlüssel | Darf Eve ihn sehen? | Sicherheitsproblem? | |---|---|---| | öffentlicher Schlüssel | ja | nein | | privater Schlüssel | nein | ja, sehr kritisch | > **Achtung:** > Öffentlich heißt hier wirklich öffentlich. > Geheim bleiben muss nur der private Schlüssel. --- **Prüfungsfalle: Wer verschlüsselt mit welchem Schlüssel?** Wenn Alice eine Nachricht geheim an Bob senden möchte: | Person | Aktion | |---|---| | Bob | erzeugt Schlüsselpaar | | Bob | veröffentlicht öffentlichen Schlüssel | | Alice | verschlüsselt mit Bobs öffentlichem Schlüssel | | Bob | entschlüsselt mit Bobs privatem Schlüssel | > **Merksatz:** > Immer an den Empfänger denken: > Wer lesen soll, dessen öffentlicher Schlüssel wird zum Verschlüsseln genutzt. --- **Zusammenfassung** Die asymmetrische Verschlüsselung nutzt ein Schlüsselpaar: - öffentlicher Schlüssel - privater Schlüssel Der öffentliche Schlüssel darf verteilt werden. Der private Schlüssel bleibt geheim. Alice verschlüsselt eine Nachricht für Bob mit **Bobs öffentlichem Schlüssel**. Bob entschlüsselt die Nachricht mit **Bobs privatem Schlüssel**. Der große Vorteil ist: - Die Schlüsselübergabe wird einfacher. Der große Nachteil ist: - Das Verfahren ist langsamer als symmetrische Verschlüsselung. > **IHK-Spickzettel:** > Asymmetrisch = öffentlicher + privater Schlüssel > Öffentlich = darf verteilt werden > Privat = bleibt geheim > Verschlüsseln für Bob = Bobs öffentlicher Schlüssel > Entschlüsseln durch Bob = Bobs privater Schlüssel > Vorteil = löst Schlüsselübergabe > Nachteil = langsamer als symmetrisch # 13.3 Digitale Signatur

[![Prinzip der digitalen Signatur](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/2bb3f876-fe0b-437d-876f-aa79e8c0af1b.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/2bb3f876-fe0b-437d-876f-aa79e8c0af1b.png) **Kurzüberblick** Eine **digitale Signatur** ist kein Verfahren, um eine Nachricht geheim zu machen. Eine digitale Signatur dient vor allem dazu zu prüfen: - Stammt die Nachricht wirklich vom angegebenen Absender? - Wurde die Nachricht unterwegs verändert? > **IHK-Merksatz:** > Digitale Signatur = **Authentizität + Integrität** > Nicht das Hauptziel = **Vertraulichkeit** --- **Grundidee** Bei der digitalen Signatur wird das asymmetrische Prinzip anders genutzt als bei der Verschlüsselung. Bei der Verschlüsselung gilt: - Alice verschlüsselt mit Bobs öffentlichem Schlüssel. - Bob entschlüsselt mit Bobs privatem Schlüssel. - Ziel: Nur Bob soll lesen können. Bei der Signatur gilt: - Bob signiert mit seinem privaten Schlüssel. - Alice prüft mit Bobs öffentlichem Schlüssel. - Ziel: Alice soll prüfen können, ob es wirklich von Bob stammt. --- **Wichtigster Unterschied** | Thema | Ziel | |---|---| | Verschlüsselung | Inhalt vor Mitlesen schützen | | digitale Signatur | Absender-Echtheit und Unverändertheit prüfen | > **Kurz gesagt:** > Verschlüsselung schützt den **Inhalt**. > Signatur prüft **Echtheit und Unverändertheit**. --- **Welche Schlüssel werden benutzt?** | Vorgang | Schlüssel | |---|---| | Signatur erstellen | privater Schlüssel des Absenders | | Signatur prüfen | öffentlicher Schlüssel des Absenders | Wenn Bob eine Nachricht signiert: - Bob benutzt seinen **privaten Schlüssel**. - Alice prüft mit Bobs **öffentlichem Schlüssel**. - Eve kann Bobs öffentlichen Schlüssel auch besitzen. - Eve kann damit die Signatur prüfen, aber keine gültige Signatur von Bob erzeugen. > **Merksatz:** > Signieren = privater Schlüssel > Prüfen = öffentlicher Schlüssel --- **Ablauf einer digitalen Signatur** | Schritt | Erklärung | |---|---| | 1 | Bob erstellt eine Nachricht. | | 2 | Aus der Nachricht wird ein Hashwert gebildet. | | 3 | Bob signiert diesen Hash mit seinem privaten Schlüssel. | | 4 | Bob sendet Nachricht und Signatur an Alice. | | 5 | Alice berechnet selbst den Hash der empfangenen Nachricht. | | 6 | Alice prüft die Signatur mit Bobs öffentlichem Schlüssel. | | 7 | Wenn die Prüfung passt, sind Absender und Inhalt vertrauenswürdig. | --- **Was prüft Alice dadurch?** Wenn die Signaturprüfung erfolgreich ist, weiß Alice: | Prüfung | Bedeutung | |---|---| | Authentizität | Die Nachricht stammt wirklich von Bob. | | Integrität | Die Nachricht wurde unterwegs nicht verändert. | Wenn die Prüfung fehlschlägt, kann das bedeuten: - Die Nachricht wurde verändert. - Die Signatur passt nicht zur Nachricht. - Die Signatur stammt nicht von Bob. - Der falsche öffentliche Schlüssel wurde verwendet. - Der private Schlüssel wurde möglicherweise missbraucht. --- **Warum wird ein Hash verwendet?** In der Praxis wird normalerweise nicht die komplette Nachricht direkt signiert. Stattdessen wird zuerst ein **Hashwert** der Nachricht gebildet. Ein Hash ist ein Prüfwert fester Länge. Beispiel: | Eingabe | Hashwert | |---|---| | Nachricht A | a1b2c3d4... | | Nachricht A mit kleiner Änderung | 9f8e7d6c... | Schon eine kleine Änderung an der Nachricht verändert den Hashwert stark. Darum eignet sich ein Hash gut, um Veränderungen an Daten zu erkennen. > **Wichtig:** > Ein Hash ist **keine Verschlüsselung**. > Ein Hash wird normalerweise nicht entschlüsselt, sondern verglichen. --- **Signatur mit Hash – vereinfacht** Bob macht: | Schritt | Vorgang | |---|---| | 1 | Nachricht schreiben | | 2 | Hash der Nachricht berechnen | | 3 | Hash mit privatem Schlüssel signieren | | 4 | Nachricht + Signatur senden | Alice macht: | Schritt | Vorgang | |---|---| | 1 | Nachricht empfangen | | 2 | Hash der empfangenen Nachricht neu berechnen | | 3 | Signatur mit Bobs öffentlichem Schlüssel prüfen | | 4 | Ergebnis bewerten | --- **Warum kann Eve die Signatur nicht einfach fälschen?** Eve kann die Nachricht und die Signatur möglicherweise sehen. Aber Eve besitzt nicht Bobs privaten Schlüssel. Deshalb kann Eve keine gültige Signatur erzeugen, die wie eine echte Signatur von Bob geprüft werden kann. | Person | Hat Bobs privaten Schlüssel? | Kann gültig als Bob signieren? | |---|---|---| | Bob | ja | ja | | Alice | nein | nein | | Eve | nein | nein | > **Achtung Prüfungsfalle:** > Der öffentliche Schlüssel darf bekannt sein. > Gefährlich wäre der Verlust des privaten Schlüssels. --- **Was passiert bei Manipulation?** Angenommen Bob sendet eine signierte Nachricht an Alice. Eve verändert unterwegs den Inhalt. Dann passiert bei Alice: 1. Alice berechnet den Hash der veränderten Nachricht. 2. Alice prüft die Signatur. 3. Der neu berechnete Hash passt nicht mehr zur Signatur. 4. Alice erkennt: Die Nachricht wurde verändert. Damit ist die **Integrität** verletzt. --- **Was eine digitale Signatur leistet** | Sicherheitsziel | Wird durch Signatur unterstützt? | Erklärung | |---|---|---| | Authentizität | ja | Absender kann geprüft werden | | Integrität | ja | Veränderung der Daten kann erkannt werden | | Vertraulichkeit | nein, nicht automatisch | Inhalt ist dadurch nicht geheim | --- **Was eine digitale Signatur nicht automatisch leistet** Eine digitale Signatur macht den Inhalt nicht automatisch geheim. Wenn Bob eine Nachricht nur signiert, aber nicht verschlüsselt, kann Eve den Inhalt eventuell mitlesen. Eve kann die Nachricht zwar nicht unbemerkt verändern, aber sie kann den Inhalt sehen. Darum gilt: | Ziel | Benötigte Technik | |---|---| | Inhalt geheim halten | Verschlüsselung | | Absender prüfen | digitale Signatur | | Veränderung erkennen | Hash / digitale Signatur | --- **Kombination aus Verschlüsselung und Signatur** In der Praxis kann man Signatur und Verschlüsselung kombinieren. Beispiel: Bob möchte Alice eine Nachricht senden. Dafür kann Bob: 1. die Nachricht signieren 2. die Nachricht für Alice verschlüsseln 3. beides an Alice senden Alice kann dann: 1. die Nachricht entschlüsseln 2. die Signatur prüfen Dadurch werden mehrere Sicherheitsziele kombiniert. | Ziel | Technik | |---|---| | Vertraulichkeit | Verschlüsselung | | Authentizität | digitale Signatur | | Integrität | digitale Signatur / Hash | --- **Vergleich: Verschlüsselung und Signatur** | Merkmal | Verschlüsselung | Digitale Signatur | |---|---|---| | Hauptziel | Vertraulichkeit | Authentizität und Integrität | | schützt vor Mitlesen | ja | nein, nicht automatisch | | erkennt Veränderung | nicht Hauptzweck | ja | | beweist Absender | nicht Hauptzweck | ja | | Sender nutzt | öffentlichen Schlüssel des Empfängers | privaten Schlüssel des Senders | | Empfänger nutzt | privaten Schlüssel des Empfängers | öffentlichen Schlüssel des Senders | --- **Beispiel aus dem Alltag** Eine digitale Signatur kann man sich ähnlich wie eine Unterschrift vorstellen. Aber technisch ist sie stärker, weil sie nicht nur sagt: „Das kommt von Bob.“ Sondern auch: „Der Inhalt wurde seit der Signatur nicht verändert.“ Allerdings gilt: Eine normale Unterschrift steht sichtbar auf einem Dokument. Eine digitale Signatur ist ein technischer Prüfwert. --- **Typische Praxisbeispiele** | Bereich | Rolle der digitalen Signatur | |---|---| | Software-Downloads | prüfen, ob Software vom echten Hersteller stammt | | Zertifikate | Identität und öffentlicher Schlüssel werden abgesichert | | E-Mail-Sicherheit | Absender und Unverändertheit prüfen | | Dokumente | digitale Unterschrift | | Updates | Schutz vor manipulierten Aktualisierungen | | TLS / HTTPS | Zertifikatsprüfung und Vertrauensketten | --- **Typische IHK-Fragen zur digitalen Signatur** **Was ist eine digitale Signatur?** Eine digitale Signatur ist ein Verfahren, mit dem man die Echtheit des Absenders und die Unverändertheit der Daten prüfen kann. **Welche Sicherheitsziele erfüllt eine digitale Signatur hauptsächlich?** Authentizität und Integrität. **Bietet eine digitale Signatur automatisch Vertraulichkeit?** Nein. Eine digitale Signatur macht den Inhalt nicht automatisch geheim. **Welchen Schlüssel nutzt der Absender zum Signieren?** Der Absender nutzt seinen privaten Schlüssel. **Welchen Schlüssel nutzt der Empfänger zum Prüfen?** Der Empfänger nutzt den öffentlichen Schlüssel des Absenders. **Warum wird häufig ein Hash verwendet?** Weil ein Hash ein kompakter Prüfwert der Nachricht ist und Veränderungen an der Nachricht erkennbar macht. **Was passiert, wenn die Nachricht nachträglich verändert wird?** Die Signaturprüfung schlägt fehl, weil der Hash nicht mehr passt. --- **Prüfungsfalle: Signatur ist nicht Verschlüsselung** Eine digitale Signatur bedeutet nicht automatisch, dass niemand die Nachricht lesen kann. Beispiel: Bob sendet eine signierte, aber unverschlüsselte Nachricht. Dann kann Alice prüfen: - Nachricht stammt von Bob. - Nachricht wurde nicht verändert. Aber Eve könnte den Inhalt trotzdem lesen, wenn sie die Übertragung sieht. > **Merksatz:** > Signatur schützt nicht automatisch vor Mitlesen. > Dafür braucht man Verschlüsselung. --- **Prüfungsfalle: Wer benutzt welchen Schlüssel?** | Ziel | Schlüssel beim Sender | Schlüssel beim Empfänger | |---|---|---| | Verschlüsseln für Bob | Bobs öffentlicher Schlüssel | Bobs privater Schlüssel | | Signatur von Bob | Bobs privater Schlüssel | Bobs öffentlicher Schlüssel | > **Kurzform:** > Geheim an Bob senden: **Bobs öffentlicher Schlüssel** > Bob unterschreibt digital: **Bobs privater Schlüssel** > Alice prüft Bob: **Bobs öffentlicher Schlüssel** --- **Zusammenfassung** Die digitale Signatur nutzt asymmetrische Kryptografie. Der Absender signiert mit seinem privaten Schlüssel. Der Empfänger prüft mit dem öffentlichen Schlüssel des Absenders. Dadurch kann geprüft werden: - Ist der Absender echt? - Wurde die Nachricht verändert? Die digitale Signatur schützt aber nicht automatisch die Vertraulichkeit. > **IHK-Spickzettel:** > Digitale Signatur = Authentizität + Integrität > Signieren = privater Schlüssel des Absenders > Prüfen = öffentlicher Schlüssel des Absenders > Hash = Prüfwert der Nachricht > Vertraulichkeit = nur mit Verschlüsselung # 13.4 Hybride Verschlüsselung

[![Hybride Verschlüsselung in vier Schritten](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/53a07f97-4c33-4061-9224-b63943316242.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/53a07f97-4c33-4061-9224-b63943316242.png) **Kurzüberblick** Die **hybride Verschlüsselung** kombiniert zwei Verfahren: - **asymmetrische Verschlüsselung** für den sicheren Schlüsselaustausch - **symmetrische Verschlüsselung** für die schnelle Verschlüsselung der eigentlichen Daten > **IHK-Merksatz:** > Hybrid = asymmetrisch für den sicheren Schlüsselaustausch, > symmetrisch für die schnelle Datenverschlüsselung. --- **Quelle 11.3.5 – Lösung: Übergabe des symmetrischen Schlüssels** Das Problem aus der symmetrischen Verschlüsselung war: > Alice und Bob brauchen denselben geheimen Schlüssel. > Aber wie bekommt Bob diesen Schlüssel sicher? Die Lösung: Man überträgt nicht direkt ein Geheimnis mit asymmetrischer Verschlüsselung, sondern nutzt asymmetrische Verschlüsselung, um den **symmetrischen Schlüssel sicher zu übergeben**. Danach wird mit diesem symmetrischen Schlüssel die eigentliche Nachricht schnell verschlüsselt. --- **Warum braucht man ein hybrides Verfahren?** Symmetrische Verschlüsselung ist schnell, hat aber ein Problem bei der Schlüsselübergabe. Asymmetrische Verschlüsselung löst die Schlüsselübergabe, ist aber langsamer. Hybrid kombiniert beide Vorteile. | Verfahren | Vorteil | Nachteil | |---|---|---| | symmetrisch | sehr schnell | Schlüssel muss sicher übergeben werden | | asymmetrisch | Schlüsselübergabe ist einfacher | langsamer | | hybrid | sicherer Schlüsselaustausch + schnelle Datenverschlüsselung | etwas komplexerer Ablauf | > **Kurz gesagt:** > Hybrid nutzt asymmetrisch nur für den Schlüssel. > Die Nutzdaten werden danach symmetrisch verschlüsselt. --- **Grundidee** Alice möchte Bob Daten sicher senden. Dafür passiert Folgendes: 1. Alice erzeugt einen zufälligen symmetrischen Sitzungsschlüssel. 2. Alice verschlüsselt die eigentlichen Daten mit diesem Sitzungsschlüssel. 3. Alice verschlüsselt den Sitzungsschlüssel mit Bobs öffentlichem Schlüssel. 4. Alice sendet die verschlüsselten Daten und den verschlüsselten Sitzungsschlüssel an Bob. 5. Bob entschlüsselt den Sitzungsschlüssel mit seinem privaten Schlüssel. 6. Bob entschlüsselt die Daten mit dem Sitzungsschlüssel. --- **Begriffe** | Begriff | Bedeutung | |---|---| | Sitzungsschlüssel | einmaliger oder zeitlich begrenzter symmetrischer Schlüssel | | Nutzdaten | die eigentlichen Daten, zum Beispiel Datei, Text, Login-Daten | | öffentlicher Schlüssel | wird genutzt, um den Sitzungsschlüssel für Bob zu verschlüsseln | | privater Schlüssel | wird von Bob genutzt, um den Sitzungsschlüssel zu entschlüsseln | | hybride Verschlüsselung | Kombination aus asymmetrischem Schlüsselaustausch und symmetrischer Datenverschlüsselung | --- **Ablauf Schritt für Schritt** | Schritt | Was passiert? | Genutztes Verfahren | |---|---|---| | 1 | Alice erzeugt einen zufälligen Sitzungsschlüssel. | symmetrisch | | 2 | Alice verschlüsselt die Nutzdaten mit dem Sitzungsschlüssel. | symmetrisch | | 3 | Alice verschlüsselt den Sitzungsschlüssel mit Bobs öffentlichem Schlüssel. | asymmetrisch | | 4 | Alice sendet verschlüsselte Nutzdaten und verschlüsselten Sitzungsschlüssel. | Übertragung | | 5 | Bob entschlüsselt den Sitzungsschlüssel mit seinem privaten Schlüssel. | asymmetrisch | | 6 | Bob entschlüsselt die Nutzdaten mit dem Sitzungsschlüssel. | symmetrisch | --- **Beispiel** Alice möchte Bob WLAN-Anmeldedaten senden. Die eigentlichen Daten sind: ```text SSID: Firma-WLAN Passwort: geheim123 # 13.5 Hashfunktion und Zertifikate

[![659686ab-17c6-4d29-ac9e-fc8e2b76748b.png](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/659686ab-17c6-4d29-ac9e-fc8e2b76748b.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/659686ab-17c6-4d29-ac9e-fc8e2b76748b.png) **Kurzüberblick** Hashfunktionen und Zertifikate gehören zu den wichtigsten Grundlagen der IT-Sicherheit. Sie lösen unterschiedliche Aufgaben: | Thema | Hauptaufgabe | |---|---| | Hashfunktion | prüfen, ob Daten verändert wurden | | Zertifikat | prüfen, ob ein öffentlicher Schlüssel zu einer bestimmten Identität gehört | > **IHK-Merksatz:** > Hash = Integrität prüfen > Zertifikat = Identität mit öffentlichem Schlüssel verbinden --- **Quelle 11.4 – Einordnung in die Sicherheitsziele** In der Quelle werden drei Sicherheitsziele besonders hervorgehoben: | Sicherheitsziel | Leitfrage | Typische Technik | |---|---|---| | Authentizität | Ist die Identität echt? | Zertifikat, digitale Signatur, Login | | Integrität | Wurden Daten verändert? | Hashfunktion, digitale Signatur, Prüfsumme | | Vertraulichkeit | Können Dritte mitlesen? | Verschlüsselung, VPN, HTTPS | Diese Seite konzentriert sich auf: - Hashfunktion - Zertifikate - Zusammenhang mit Signatur und HTTPS --- **Hashfunktion** Eine Hashfunktion erzeugt aus Daten einen Prüfwert. Dieser Prüfwert heißt: - Hash - Hashwert - Fingerabdruck - Prüfsumme im weiteren Sinn Beispiel: | Eingabe | Hashwert | |---|---| | Hallo | a1b2c3d4... | | Halla | 9f8e7d6c... | Schon eine kleine Änderung an der Eingabe verändert den Hashwert stark. > **Kurz gesagt:** > Ein Hash ist wie ein digitaler Fingerabdruck von Daten. --- **Wofür braucht man Hashwerte?** Hashwerte werden genutzt, um Veränderungen zu erkennen. Beispiele: - Datei wurde verändert - Download ist beschädigt - Nachricht wurde manipuliert - Passwort wird nicht direkt im Klartext gespeichert - digitale Signatur prüft den Hash einer Nachricht | Einsatz | Erklärung | |---|---| | Dateiprüfung | Ist die Datei noch unverändert? | | Downloadprüfung | Wurde die Datei korrekt übertragen? | | digitale Signatur | Der Hash der Nachricht wird signiert | | Passwortspeicherung | Es wird normalerweise nicht das Passwort selbst gespeichert | | Integritätsprüfung | Veränderungen an Daten können erkannt werden | --- **Eigenschaften einer Hashfunktion** | Eigenschaft | Bedeutung | |---|---| | feste Länge | Der Hashwert hat immer eine feste Länge | | empfindlich gegen Änderungen | kleine Änderung an Daten verändert den Hash stark | | nicht sinnvoll rückrechenbar | aus dem Hash soll man den ursprünglichen Inhalt nicht berechnen können | | schnell berechenbar | der Hash soll effizient erzeugt werden können | | möglichst kollisionsarm | zwei verschiedene Eingaben sollen nicht denselben Hash ergeben | --- **Hash ist keine Verschlüsselung** Ein häufiger Fehler ist: Hash mit Verschlüsselung zu verwechseln. Das ist falsch. | Thema | Verschlüsselung | Hashfunktion | |---|---|---| | Ziel | Inhalt geheim halten | Veränderung erkennen | | Rückweg möglich? | ja, mit Schlüssel entschlüsselbar | nein, normalerweise nicht rückrechenbar | | Ergebnis | Geheimtext | Hashwert | | braucht Schlüssel? | meistens ja | klassische Hashfunktion nicht | | Sicherheitsziel | Vertraulichkeit | Integrität | > **Achtung Prüfungsfalle:** > Ein Hash wird nicht entschlüsselt. > Ein Hash wird neu berechnet und verglichen. --- **Beispiel: Datei mit Hash prüfen** Angenommen, Alice lädt eine Datei herunter. Der Hersteller gibt zusätzlich einen Hashwert an. Alice kann dann selbst den Hash der heruntergeladenen Datei berechnen. | Schritt | Erklärung | |---|---| | 1 | Hersteller veröffentlicht Datei und Hashwert. | | 2 | Alice lädt die Datei herunter. | | 3 | Alice berechnet den Hash der Datei selbst. | | 4 | Alice vergleicht den berechneten Hash mit dem veröffentlichten Hash. | | 5 | Stimmen beide überein, wurde die Datei wahrscheinlich nicht verändert. | --- **Beispiel mit kleiner Änderung** Originaltext: Hallo Hashwert: a1b2c3d4... Geänderter Text: Halla Neuer Hashwert: 9f8e7d6c... Obwohl nur ein Buchstabe anders ist, sieht der Hash komplett anders aus. > **Merksatz:** > Kleine Änderung an den Daten = großer Unterschied beim Hash. --- **Hash und Integrität** Hashfunktionen gehören zum Sicherheitsziel: **Integrität** Integrität bedeutet: > Daten wurden nicht verändert. Mit einem Hash kann man prüfen: - Ist die Datei noch dieselbe? - Wurde die Nachricht verändert? - Ist der Download beschädigt? - Passt die Signatur noch zur Nachricht? | Frage | Antwort durch Hash möglich? | |---|---| | Wurde etwas verändert? | ja | | Wer hat die Daten gesendet? | nein, dafür braucht man Signatur oder Zertifikat | | Können Dritte den Inhalt lesen? | nein, dafür braucht man Verschlüsselung | | Ist der Inhalt geheim? | nein | --- **Hash und digitale Signatur** Bei digitalen Signaturen wird häufig nicht die komplette Nachricht direkt signiert. Stattdessen wird ein Hashwert der Nachricht gebildet. Ablauf: | Schritt | Erklärung | |---|---| | 1 | Bob erstellt eine Nachricht. | | 2 | Aus der Nachricht wird ein Hash gebildet. | | 3 | Bob signiert diesen Hash mit seinem privaten Schlüssel. | | 4 | Alice berechnet den Hash der empfangenen Nachricht neu. | | 5 | Alice prüft die Signatur mit Bobs öffentlichem Schlüssel. | | 6 | Wenn alles passt, sind Authentizität und Integrität erfüllt. | > **Kurz gesagt:** > Der Hash prüft die Daten. > Die Signatur prüft, ob der Hash wirklich vom Absender stammt. --- **Was ist ein Zertifikat?** Ein Zertifikat ist ein digitaler Nachweis. Es verbindet: - eine Identität - mit einem öffentlichen Schlüssel Beispiel: Eine Webseite behauptet: Ich bin www.beispiel.de Das Zertifikat hilft dem Browser zu prüfen: > Gehört dieser öffentliche Schlüssel wirklich zu dieser Webseite? --- **Warum braucht man Zertifikate?** Bei asymmetrischer Verschlüsselung ist der öffentliche Schlüssel frei verteilbar. Das Problem ist aber: > Woher weiß Alice, dass der öffentliche Schlüssel wirklich zu Bob gehört? Genau hier helfen Zertifikate. | Problem | Lösung durch Zertifikat | |---|---| | öffentlicher Schlüssel ist sichtbar | ist grundsätzlich erlaubt | | aber Identität muss geprüft werden | Zertifikat verbindet Identität und öffentlichen Schlüssel | | Angreifer könnte falschen Schlüssel anbieten | Zertifikatsprüfung soll das erkennen | | Browser muss Webseite prüfen | Zertifikat hilft bei HTTPS | --- **Zertifikat als digitaler Ausweis** Ein Zertifikat kann man sich wie einen digitalen Ausweis vorstellen. Es sagt vereinfacht: | Inhalt | Bedeutung | |---|---| | Name / Domain | Für wen gilt das Zertifikat? | | öffentlicher Schlüssel | Welcher öffentliche Schlüssel gehört dazu? | | Aussteller | Wer hat das Zertifikat bestätigt? | | Gültigkeitszeitraum | Von wann bis wann gilt es? | | Signatur des Ausstellers | Wurde das Zertifikat bestätigt und nicht verändert? | > **Merksatz:** > Zertifikat = digitaler Ausweis für einen öffentlichen Schlüssel. --- **Zertifikate und Authentizität** Zertifikate gehören besonders zum Sicherheitsziel: **Authentizität** Authentizität bedeutet: > Ist die Identität echt? Bei HTTPS fragt der Browser zum Beispiel: - Ist diese Webseite wirklich die angeforderte Webseite? - Gehört der öffentliche Schlüssel wirklich zu dieser Domain? - Ist das Zertifikat gültig? - Ist das Zertifikat von einer vertrauenswürdigen Stelle ausgestellt? - Ist das Zertifikat abgelaufen oder widerrufen? --- **Zertifikate bei HTTPS** Bei HTTPS nutzt der Browser Zertifikate, um die Identität des Servers zu prüfen. Vereinfacht: | Schritt | Erklärung | |---|---| | 1 | Browser ruft eine HTTPS-Webseite auf. | | 2 | Server sendet sein Zertifikat. | | 3 | Browser prüft das Zertifikat. | | 4 | Browser prüft, ob die Domain passt. | | 5 | Browser prüft, ob das Zertifikat gültig ist. | | 6 | Danach kann eine sichere Verbindung aufgebaut werden. | --- **Was prüft der Browser beim Zertifikat?** Typische Prüfungen: - Passt der Domainname? - Ist das Zertifikat noch gültig? - Ist das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt? - Wurde das Zertifikat widerrufen? - Passt der öffentliche Schlüssel zum Zertifikat? - Ist die Zertifikatskette vertrauenswürdig? > **Achtung Prüfungsfalle:** > Ein Zertifikat verschlüsselt nicht selbst die Daten. > Es hilft dabei, die Identität und den öffentlichen Schlüssel zu prüfen. --- **Public-Key-Zertifikat** Ein Public-Key-Zertifikat bestätigt, dass ein bestimmter öffentlicher Schlüssel zu einer bestimmten Identität gehört. Das ist besonders wichtig bei: - HTTPS - TLS - VPN - digitalen Signaturen - E-Mail-Sicherheit - Serveridentifikation | Begriff | Bedeutung | |---|---| | Public Key | öffentlicher Schlüssel | | Zertifikat | bestätigte Zuordnung zu einer Identität | | Zertifizierungsstelle | Stelle, die Zertifikate ausstellt | | Zertifikatskette | Vertrauenskette bis zu einer vertrauenswürdigen Stelle | --- **Hash, Signatur und Zertifikat im Zusammenspiel** Diese Begriffe hängen eng zusammen. | Baustein | Aufgabe | |---|---| | Hash | prüft, ob Daten verändert wurden | | Signatur | bestätigt Absender und Integrität | | Zertifikat | bestätigt, wem ein öffentlicher Schlüssel gehört | | öffentlicher Schlüssel | wird zum Prüfen oder Verschlüsseln genutzt | | privater Schlüssel | wird zum Signieren oder Entschlüsseln genutzt | Beispiel HTTPS: | Bestandteil | Rolle | |---|---| | Zertifikat | Browser prüft Identität des Servers | | öffentlicher Schlüssel | ist im Zertifikat enthalten | | private Schlüssel | bleibt beim Server | | Hash / Signatur | hilft bei Prüfung und Vertrauensaufbau | | symmetrischer Sitzungsschlüssel | schützt später die Nutzdaten | --- **Typische Praxisbeispiele** | Bereich | Hashfunktion | Zertifikat | |---|---|---| | HTTPS | Integrität und Prüfmechanismen | Serveridentität prüfen | | Software-Download | Datei-Hash prüfen | Herstellerzertifikat möglich | | digitale Signatur | Hash der Nachricht wird signiert | öffentlicher Schlüssel wird zugeordnet | | VPN | Integrität und Schlüsselmaterial | Identität von Gegenstellen prüfen | | Passwortspeicherung | Passwort-Hash speichern | nicht Hauptaufgabe | --- **Typische IHK-Fragen zu Hashfunktionen** **Was ist eine Hashfunktion?** Eine Hashfunktion erzeugt aus Daten einen Hashwert fester Länge. **Wozu dient ein Hash?** Ein Hash dient vor allem zur Integritätsprüfung. **Ist ein Hash Verschlüsselung?** Nein. Ein Hash wird normalerweise nicht entschlüsselt, sondern neu berechnet und verglichen. **Was passiert, wenn Daten verändert werden?** Der Hashwert verändert sich deutlich. **Welches Sicherheitsziel passt zur Hashfunktion?** Integrität. --- **Typische IHK-Fragen zu Zertifikaten** **Was ist ein Zertifikat?** Ein Zertifikat verbindet eine Identität mit einem öffentlichen Schlüssel. **Wozu braucht man Zertifikate?** Damit geprüft werden kann, ob ein öffentlicher Schlüssel wirklich zu einer bestimmten Person, Organisation oder Webseite gehört. **Welches Sicherheitsziel passt besonders zu Zertifikaten?** Authentizität. **Wo werden Zertifikate häufig verwendet?** Bei HTTPS, TLS, VPN, digitalen Signaturen und sicherer Serveridentifikation. **Verschlüsselt ein Zertifikat selbst die Daten?** Nein. Ein Zertifikat bestätigt vor allem Identität und öffentlichen Schlüssel. --- **Prüfungsfalle: Hash, Signatur und Zertifikat nicht verwechseln** | Begriff | Nicht verwechseln mit | Richtige Bedeutung | |---|---|---| | Hash | Verschlüsselung | Prüfwert zur Integritätskontrolle | | Signatur | reine Verschlüsselung | prüft Authentizität und Integrität | | Zertifikat | Datenverschlüsselung selbst | verbindet Identität mit öffentlichem Schlüssel | | öffentlicher Schlüssel | geheimer Schlüssel | darf verteilt werden | | privater Schlüssel | öffentlicher Schlüssel | muss geheim bleiben | > **Kurzform:** > Hash prüft Daten. > Signatur prüft Absender und Daten. > Zertifikat prüft Identität und öffentlichen Schlüssel. --- **Zusammenfassung** Hashfunktionen und Zertifikate sind wichtige Bausteine der Netzwerksicherheit. Eine Hashfunktion erzeugt einen Prüfwert für Daten. Damit kann man erkennen, ob Daten verändert wurden. Ein Zertifikat verbindet eine Identität mit einem öffentlichen Schlüssel. Damit kann man prüfen, ob ein öffentlicher Schlüssel wirklich zur angegebenen Person, Organisation oder Webseite gehört. > **IHK-Spickzettel:** > Hash = Prüfwert > Hash ist keine Verschlüsselung > Hash gehört zu Integrität > Zertifikat = digitaler Ausweis > Zertifikat verbindet Identität mit öffentlichem Schlüssel > Zertifikat gehört zu Authentizität > HTTPS nutzt Zertifikate zur Prüfung der Serveridentität # 13.6 Diffie-Hellman und Perfect Forward Secrecy

[![0fdd3c77-2b70-4fe1-a7d5-7f2fb394dee3.png](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/0fdd3c77-2b70-4fe1-a7d5-7f2fb394dee3.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/0fdd3c77-2b70-4fe1-a7d5-7f2fb394dee3.png) **Kurzüberblick** **Diffie-Hellman** ist ein Verfahren zum **Schlüsselaustausch**. Es wird nicht dafür genutzt, große Datenmengen direkt zu verschlüsseln. Die Grundidee ist: Alice und Bob können über ein unsicheres Netzwerk ein gemeinsames Geheimnis erzeugen, ohne dieses Geheimnis direkt zu übertragen. > **IHK-Merksatz:** > Diffie-Hellman = Schlüsselaustausch > Nicht: direkte Verschlüsselung großer Datenmengen --- **Quelle 11.1 – Einordnung** In der Quelle wird Diffie-Hellman bei den Unterscheidungsmerkmalen der Verschlüsselungsverfahren genannt. Es gehört in den Bereich: - Schlüsselaustausch - asymmetrische Kryptografie - sichere Verbindungsaufnahme - Grundlage für sichere Protokolle - Perfect Forward Secrecy Wichtig ist: Diffie-Hellman ist kein Ersatz für symmetrische Verschlüsselung. Es hilft dabei, einen gemeinsamen Schlüssel zu erzeugen oder auszuhandeln. --- **Warum braucht man Diffie-Hellman?** Bei der symmetrischen Verschlüsselung gab es ein Problem: Alice und Bob brauchen denselben geheimen Schlüssel. Aber: Wie bekommen beide denselben Schlüssel, ohne dass Eve ihn einfach kopiert? Diffie-Hellman löst genau dieses Problem. > **Kurz gesagt:** > Alice und Bob einigen sich auf ein gemeinsames Geheimnis, ohne dieses Geheimnis direkt über das Netzwerk zu senden. --- **Grundidee ohne Mathematik** Alice und Bob wollen einen gemeinsamen Sitzungsschlüssel erhalten. Eve kann den Netzwerkverkehr mithören. Trotzdem soll Eve den fertigen Sitzungsschlüssel nicht kennen. Vereinfacht passiert Folgendes: | Schritt | Erklärung | |---|---| | 1 | Alice und Bob tauschen öffentliche Informationen aus. | | 2 | Alice kombiniert diese Informationen mit ihrem privaten Geheimnis. | | 3 | Bob kombiniert diese Informationen mit seinem privaten Geheimnis. | | 4 | Beide kommen dadurch auf dasselbe gemeinsame Geheimnis. | | 5 | Eve sieht nur die öffentlichen Informationen, aber nicht die privaten Geheimnisse. | --- **Was sieht Eve?** Eve kann den Datenverkehr beobachten. Sie sieht zum Beispiel: - öffentliche Austauschwerte - Protokollinformationen - eventuell Zertifikate - verschlüsselte Daten Eve sieht aber nicht: - Alices privaten Anteil - Bobs privaten Anteil - den fertigen gemeinsamen Sitzungsschlüssel | Bestandteil | Sichtbar für Eve? | Kritisch? | |---|---|---| | öffentliche Austauschwerte | ja | normalerweise nein | | privater Anteil von Alice | nein | ja, muss geheim bleiben | | privater Anteil von Bob | nein | ja, muss geheim bleiben | | fertiger Sitzungsschlüssel | nein | ja, muss geheim bleiben | --- **Wichtig: Diffie-Hellman verschlüsselt nicht die Nutzdaten** Ein häufiger Fehler ist: Diffie-Hellman mit normaler Verschlüsselung zu verwechseln. Das ist falsch. | Thema | Aufgabe | |---|---| | Diffie-Hellman | gemeinsamen Schlüssel aushandeln | | symmetrische Verschlüsselung | Nutzdaten verschlüsseln | | asymmetrische Verschlüsselung | Schlüssel schützen, Signaturen, Zertifikate | | Hashfunktion | Integrität prüfen | | Zertifikat | Identität prüfen | > **Achtung Prüfungsfalle:** > Diffie-Hellman ist ein Verfahren zum Schlüsselaustausch, nicht die eigentliche Datenverschlüsselung. --- **Bezug zur hybriden Verschlüsselung** Diffie-Hellman passt gut zum hybriden Prinzip. Bei der hybriden Verschlüsselung gilt: - asymmetrische Technik hilft beim sicheren Schlüsselaustausch - symmetrische Technik verschlüsselt danach die Nutzdaten Diffie-Hellman kann dabei helfen, den gemeinsamen Sitzungsschlüssel sicher auszuhandeln. Danach wird dieser Sitzungsschlüssel für symmetrische Verschlüsselung genutzt. | Phase | Technik | |---|---| | Verbindungsaufbau | Schlüsselaustausch, zum Beispiel Diffie-Hellman | | danach | symmetrische Verschlüsselung der Nutzdaten | | zusätzlich | Zertifikate / Signaturen zur Identitätsprüfung | --- **Einfaches Beispiel** Alice und Bob wollen sicher kommunizieren. Sie nutzen Diffie-Hellman, um einen gemeinsamen Sitzungsschlüssel zu erzeugen. Danach verwenden sie diesen Sitzungsschlüssel für die symmetrische Verschlüsselung. Ablauf: | Schritt | Erklärung | |---|---| | 1 | Alice und Bob starten den Schlüsselaustausch. | | 2 | Beide tauschen öffentliche Werte aus. | | 3 | Beide nutzen zusätzlich ihr eigenes privates Geheimnis. | | 4 | Beide berechnen denselben Sitzungsschlüssel. | | 5 | Die Nutzdaten werden mit diesem Sitzungsschlüssel symmetrisch verschlüsselt. | --- **Warum ist das sicherer als einfaches Senden des Schlüssels?** Beim einfachen Senden würde Alice den Schlüssel direkt an Bob übertragen. Dann könnte Eve ihn kopieren. Bei Diffie-Hellman wird der fertige Schlüssel nicht direkt gesendet. Stattdessen wird er auf beiden Seiten berechnet. | Direkte Schlüsselübergabe | Diffie-Hellman | |---|---| | Schlüssel wird übertragen | Schlüssel wird auf beiden Seiten berechnet | | Eve könnte den Schlüssel kopieren | Eve sieht nur öffentliche Austauschwerte | | riskant bei unsicherem Netzwerk | besser für unsichere Netzwerke | | einfach zu verstehen | mathematisch komplexer | --- **Perfect Forward Secrecy** **Perfect Forward Secrecy** bedeutet: Alte Verbindungen sollen auch dann geschützt bleiben, wenn ein langfristiger privater Schlüssel später kompromittiert wird. Anders gesagt: Wenn ein Angreifer heute einen privaten Schlüssel stiehlt, soll er damit nicht automatisch alte aufgezeichnete Sitzungen entschlüsseln können. > **IHK-Merksatz:** > Perfect Forward Secrecy schützt alte Sitzungen besser, weil Sitzungsschlüssel nicht dauerhaft gleich bleiben. --- **Warum ist Perfect Forward Secrecy wichtig?** Eve könnte Datenverkehr heute mitschneiden und speichern. Später könnte Eve versuchen, einen privaten Schlüssel zu stehlen. Ohne Perfect Forward Secrecy wäre das gefährlicher. Mit Perfect Forward Secrecy soll gelten: - alte Sitzungsschlüssel waren nur kurzzeitig gültig - alte Sitzungsschlüssel wurden nicht dauerhaft gespeichert - ein später gestohlener Langzeitschlüssel reicht nicht aus, um alte Sitzungen zu entschlüsseln --- **Beispiel ohne Perfect Forward Secrecy** Eve macht Folgendes: 1. Eve zeichnet heute verschlüsselten Datenverkehr auf. 2. Eve stiehlt später den privaten Schlüssel eines Servers. 3. Eve versucht, alte Verbindungen nachträglich zu entschlüsseln. Wenn alte Sitzungen vom langfristigen Schlüssel abhängig waren, wäre das problematisch. --- **Beispiel mit Perfect Forward Secrecy** Bei Perfect Forward Secrecy wird für Sitzungen eigenes, kurzlebiges Schlüsselmaterial verwendet. Das bedeutet: 1. Jede Sitzung bekommt eigene Schlüssel. 2. Die Sitzungsschlüssel werden später verworfen. 3. Ein später gestohlener Langzeitschlüssel reicht nicht aus, um alte Sitzungen zu entschlüsseln. | Ohne PFS | Mit PFS | |---|---| | alte Sitzungen können stärker vom Langzeitschlüssel abhängen | jede Sitzung nutzt kurzlebige Schlüssel | | späterer Schlüsselverlust kann alte Daten gefährden | alte Sitzungen bleiben besser geschützt | | weniger Schutz bei aufgezeichnetem Datenverkehr | besserer Schutz gegen nachträgliches Entschlüsseln | --- **Ephemeral Diffie-Hellman** Im Zusammenhang mit Perfect Forward Secrecy taucht häufig der Begriff **ephemeral** auf. Ephemeral bedeutet: kurzlebig oder nur vorübergehend. Bei ephemeral Diffie-Hellman werden für einzelne Sitzungen kurzlebige Schlüsselwerte verwendet. Diese werden nach der Sitzung verworfen. > **Kurz gesagt:** > Ephemeral = nur für diese Sitzung gedacht. > Dadurch werden alte Sitzungen besser geschützt. --- **Bezug zu HTTPS / TLS** Bei HTTPS beziehungsweise TLS ist das wichtig. Vereinfacht: | Schritt | Erklärung | |---|---| | 1 | Browser verbindet sich mit einem Server. | | 2 | Zertifikat hilft bei der Prüfung der Serveridentität. | | 3 | Ein Schlüsselaustauschverfahren hilft beim Erzeugen eines Sitzungsschlüssels. | | 4 | Danach werden die Nutzdaten symmetrisch verschlüsselt. | | 5 | Bei PFS werden alte Sitzungen besser gegen späteren Schlüsselverlust geschützt. | --- **Bezug zu VPN** Auch bei VPNs ist die Idee wichtig. Ein VPN braucht: - sichere Identitätsprüfung - sicheren Schlüsselaustausch - symmetrische Verschlüsselung der Nutzdaten - möglichst kurzlebige Sitzungsschlüssel - Schutz gegen nachträgliches Entschlüsseln alter Sitzungen Darum passt dieses Thema gut vor das spätere Kapitel: **14. VPN, Intranet und Extranet** --- **Diffie-Hellman, PFS und Sitzungsschlüssel** | Begriff | Bedeutung | |---|---| | Diffie-Hellman | Verfahren zum Schlüsselaustausch | | Sitzungsschlüssel | symmetrischer Schlüssel für eine bestimmte Verbindung | | PFS | Schutz alter Sitzungen bei späterem Schlüsselverlust | | ephemeral | kurzlebig, nur für eine Sitzung | | symmetrische Verschlüsselung | verschlüsselt danach die eigentlichen Daten | --- **Typische IHK-Fragen** **Was ist Diffie-Hellman?** Diffie-Hellman ist ein Verfahren zum Schlüsselaustausch. **Wozu dient Diffie-Hellman?** Es dient dazu, über ein unsicheres Netzwerk ein gemeinsames Geheimnis beziehungsweise Schlüsselmaterial auszuhandeln. **Verschlüsselt Diffie-Hellman große Datenmengen direkt?** Nein. Es dient dem Schlüsselaustausch. Die eigentlichen Daten werden danach meist symmetrisch verschlüsselt. **Was ist Perfect Forward Secrecy?** Perfect Forward Secrecy bedeutet, dass alte Sitzungen auch dann besser geschützt bleiben sollen, wenn ein langfristiger privater Schlüssel später kompromittiert wird. **Warum sind Sitzungsschlüssel wichtig?** Sie schützen eine konkrete Verbindung oder Sitzung und können danach verworfen werden. **Was bedeutet ephemeral?** Ephemeral bedeutet kurzlebig oder nur für eine Sitzung gültig. --- **Prüfungsfalle: Diffie-Hellman ist nicht dasselbe wie Verschlüsselung der Nutzdaten** | Aussage | Richtig oder falsch? | |---|---| | Diffie-Hellman verschlüsselt große Dateien direkt. | falsch | | Diffie-Hellman hilft beim Schlüsselaustausch. | richtig | | Danach kann symmetrisch verschlüsselt werden. | richtig | | PFS schützt alte Sitzungen besser. | richtig | | Der öffentliche Schlüssel muss geheim bleiben. | falsch | > **Merksatz:** > Diffie-Hellman erzeugt oder vereinbart Schlüsselmaterial. > Die Datenverschlüsselung passiert danach mit einem symmetrischen Verfahren. --- **Zusammenfassung** Diffie-Hellman ist ein Verfahren zum sicheren Schlüsselaustausch. Alice und Bob können damit über ein unsicheres Netzwerk ein gemeinsames Geheimnis erzeugen, ohne dieses Geheimnis direkt zu übertragen. Dieses gemeinsame Geheimnis kann anschließend als Grundlage für einen symmetrischen Sitzungsschlüssel dienen. Perfect Forward Secrecy sorgt dafür, dass alte Sitzungen besser geschützt bleiben, selbst wenn später ein langfristiger privater Schlüssel kompromittiert wird. > **IHK-Spickzettel:** > Diffie-Hellman = Schlüsselaustausch > nicht direkte Nutzdatenverschlüsselung > Sitzungsschlüssel = symmetrischer Schlüssel für eine Verbindung > PFS = schützt alte Sitzungen besser > ephemeral = kurzlebig / nur für diese Sitzung > Praxis = HTTPS / TLS / VPN # 13.7 Brute Force, Zufallszahlen und One-Time-Pad

[![aabd0efa-137a-41c8-89b1-b5a95297d614.png](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/aabd0efa-137a-41c8-89b1-b5a95297d614.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/aabd0efa-137a-41c8-89b1-b5a95297d614.png) **Kurzüberblick** In dieser Seite geht es um die Frage: > **Ist Verschlüsselung wirklich nicht zu knacken?** Die ehrliche Antwort ist: Es kommt darauf an. Eine Verschlüsselung kann theoretisch sehr stark sein, aber in der Praxis trotzdem unsicher werden. Gründe dafür können sein: - zu kurze Schlüssel - schlechte Passwörter - schlechte Zufallszahlen - gestohlene Schlüssel - Fehler in der Software - Hintertüren im Algorithmus - falsch konfigurierte Systeme - unsichere Endgeräte - Benutzerfehler > **IHK-Merksatz:** > Starke Verschlüsselung braucht nicht nur einen guten Algorithmus, sondern auch starke Schlüssel, gute Zufallszahlen und eine sichere Umsetzung. --- **Quelle 11.5 – Zusammenfassung Verschlüsselung** Die Quelle stellt sinngemäß die Frage: > Ist Verschlüsselung nicht zu knacken? Dabei werden mehrere wichtige Punkte genannt: - mögliche Hintertüren in Algorithmen - fehlerhafte Implementierung in Software - echte Zufallszahlen - Brute Force - steigende Rechenleistung - ASICs - One-Time-Pad als besonderer Sonderfall Diese Punkte sind wichtig, weil sie zeigen: > Verschlüsselung ist nicht automatisch sicher, nur weil irgendwo „verschlüsselt“ steht. --- **Warum Verschlüsselung trotzdem scheitern kann** | Problem | Erklärung | |---|---| | schwacher Schlüssel | zu kurz oder leicht erratbar | | schlechtes Passwort | kann durch Ausprobieren gefunden werden | | schlechte Zufallszahlen | Schlüssel können vorhersagbar werden | | gestohlener Schlüssel | Angreifer kann entschlüsseln | | Softwarefehler | Algorithmus wird falsch umgesetzt | | Hintertür | absichtlich eingebaute Schwachstelle | | unsicheres Gerät | Klartext oder Schlüssel können direkt abgegriffen werden | | Benutzerfehler | Schlüssel oder Passwörter werden falsch behandelt | > **Kurz gesagt:** > Der beste Algorithmus hilft wenig, wenn Schlüssel, Software oder Benutzerverhalten unsicher sind. --- **Brute Force** **Brute Force** bedeutet: Ein Angreifer probiert systematisch sehr viele Möglichkeiten aus, bis etwas passt. Zum Beispiel: - Passwörter ausprobieren - PINs ausprobieren - Schlüssel ausprobieren - Hashes gegen Wörterbücher testen - Zugangsdaten erraten > **Merksatz:** > Brute Force = ausprobieren, bis es passt. --- **Einfaches Beispiel** Angenommen, ein Passwort besteht nur aus vier Ziffern. Dann gibt es: 0000 bis 9999 Also 10.000 Möglichkeiten. Ein Computer kann solche Kombinationen sehr schnell ausprobieren. Bei einem langen, zufälligen Passwort wird das viel schwieriger. --- **Was beeinflusst Brute Force?** | Faktor | Auswirkung | |---|---| | Länge des Passworts | längere Passwörter sind schwerer zu knacken | | Zeichenvorrat | mehr mögliche Zeichen erhöhen die Anzahl der Kombinationen | | Zufälligkeit | zufällige Passwörter sind schwerer zu erraten | | Rechenleistung | schnellere Hardware kann mehr Versuche pro Sekunde machen | | Schutzmechanismen | Sperren und Wartezeiten bremsen Angriffe | | Passwort-Wiederverwendung | erhöht das Risiko bei Datenlecks | --- **Beispiel: Warum Länge wichtig ist** Ein Passwort wie: haus ist viel schwächer als: T7!mQ9#vL2pR Warum? Das zweite Passwort ist: - länger - zufälliger - schwerer zu erraten - schwerer per Brute Force zu finden > **Achtung Prüfungsfalle:** > Ein langes, zufälliges Passwort ist meistens besser als ein kurzes, kompliziert wirkendes Passwort. --- **Rechenleistung und Brute Force** Je mehr Rechenleistung ein Angreifer hat, desto schneller kann er Möglichkeiten ausprobieren. Die Quelle nennt dazu sinngemäß unterschiedliche Leistungsstufen: | Hardware | Bedeutung | |---|---| | normaler PC | vergleichsweise langsam | | Grafikkarte | schneller für viele parallele Berechnungen | | Spezialhardware | für bestimmte Aufgaben optimiert | | ASIC | sehr spezialisierte Hardware | **ASIC** bedeutet: anwendungsspezifische integrierte Schaltung Das heißt: Ein Chip wird speziell für eine bestimmte Aufgabe gebaut. > **Kurz gesagt:** > Mehr spezialisierte Hardware = mehr Versuche pro Sekunde. --- **Gegenmaßnahmen gegen Brute Force** | Maßnahme | Wirkung | |---|---| | lange Passwörter | erhöhen die Anzahl möglicher Kombinationen | | zufällige Passwörter | verhindern leichtes Erraten | | Passwortmanager | ermöglicht lange, einzigartige Passwörter | | Multi-Faktor-Authentifizierung | Passwort allein reicht nicht aus | | Rate Limiting | begrenzt Versuche pro Zeit | | Account-Sperre | stoppt viele Fehlversuche | | starke Schlüssel | erschweren vollständiges Durchprobieren | | moderne Algorithmen | vermeiden bekannte Schwächen | > **IHK-Merksatz:** > Gegen Brute Force helfen vor allem Länge, Zufall, Begrenzung der Versuche und zusätzliche Faktoren. --- **Zufallszahlen** Zufallszahlen sind in der Kryptografie extrem wichtig. Warum? Schlüssel sollen nicht erratbar sein. Wenn ein Schlüssel vorhersehbar ist, kann ein Angreifer ihn leichter finden. Das Problem: Ein Computer ist grundsätzlich eine Maschine. Er erzeugt oft nur scheinbaren Zufall, wenn kein guter Zufallszahlengenerator verwendet wird. --- **Warum schlechte Zufallszahlen gefährlich sind** Angenommen, ein System erzeugt Schlüssel nicht wirklich zufällig. Dann könnten Schlüssel zum Beispiel: - wiederholt auftreten - nach einem Muster entstehen - aus der Uhrzeit ableitbar sein - aus wenigen Startwerten berechenbar sein - für Angreifer vorhersagbar werden Dann kann ein eigentlich starker Algorithmus unsicher werden. > **Merksatz:** > Starker Algorithmus + schlechter Zufall = unsicheres System. --- **Beispiel: Zufall bei Schlüsseln** Ein guter Schlüssel sollte für einen Angreifer nicht vorhersehbar sein. Schlecht: 1234567890 Besser: K7!qP4#zL9@vX2 Noch besser ist ein Schlüssel, der von einem sicheren kryptografischen Zufallszahlengenerator erzeugt wurde. --- **Was muss bei Schlüsseln stimmen?** | Eigenschaft | Warum wichtig? | |---|---| | ausreichend lang | erschwert Brute Force | | zufällig | verhindert Vorhersagbarkeit | | geheim | sonst kann entschlüsselt werden | | einmalig oder passend genutzt | Wiederverwendung kann gefährlich sein | | sicher gespeichert | verhindert Diebstahl | | sicher übertragen | verhindert Abfangen | --- **One-Time-Pad** Das **One-Time-Pad** ist ein besonderer Fall der Verschlüsselung. Es gilt theoretisch als nicht knackbar, wenn alle Bedingungen erfüllt sind. Diese Bedingungen sind aber sehr streng. --- **Bedingungen für ein sicheres One-Time-Pad** | Bedingung | Erklärung | |---|---| | Schlüssel ist wirklich zufällig | keine Muster, nicht vorhersagbar | | Schlüssel ist mindestens so lang wie die Nachricht | jeder Teil der Nachricht braucht Schlüsselmaterial | | Schlüssel wird nur einmal verwendet | Wiederverwendung zerstört die Sicherheit | | Schlüssel bleibt geheim | sonst kann entschlüsselt werden | | Schlüssel wird sicher übertragen | Schlüssel darf nicht abgefangen werden | > **IHK-Merksatz:** > One-Time-Pad ist theoretisch extrem sicher, aber praktisch schwer sauber umzusetzen. --- **Warum ist One-Time-Pad praktisch schwierig?** Das größte Problem ist die Schlüsselverteilung. Wenn der Schlüssel genauso lang sein muss wie die Nachricht, muss dieser lange Schlüssel vorher sicher zu Bob gelangen. Das ist unpraktisch. | Nachricht | benötigter Schlüssel | |---|---| | 1 MB Datei | mindestens 1 MB Schlüssel | | 100 MB Datei | mindestens 100 MB Schlüssel | | 1 GB Datei | mindestens 1 GB Schlüssel | Und dieser Schlüssel muss: - vorher sicher erzeugt werden - sicher an Bob übertragen werden - geheim bleiben - nach einmaliger Nutzung vernichtet werden - niemals wiederverwendet werden --- **Warum darf ein One-Time-Pad-Schlüssel nur einmal verwendet werden?** Wenn derselbe Schlüssel mehrfach verwendet wird, können Angreifer aus mehreren verschlüsselten Nachrichten Muster ableiten. Dann ist die theoretische Sicherheit verloren. Deshalb heißt es: **One-Time** Pad Also: nur einmal verwenden > **Achtung Prüfungsfalle:** > One-Time-Pad ist nur sicher, wenn alle Bedingungen wirklich erfüllt sind. --- **Vergleich: normale Verschlüsselung und One-Time-Pad** | Merkmal | Moderne Verschlüsselung | One-Time-Pad | |---|---|---| | Schlüssel kürzer als Daten möglich | ja | nein | | praktisch gut nutzbar | ja | schwierig | | theoretisch nicht knackbar | abhängig vom Verfahren | ja, wenn Bedingungen erfüllt | | Schlüsselverteilung | handhabbar | sehr schwierig | | Wiederverwendung des Schlüssels | abhängig vom Verfahren geregelt | verboten | | wichtig für IHK | Grundidee verstehen | Sonderfall kennen | --- **Zusammenhang: Brute Force, Zufall und One-Time-Pad** Diese drei Themen hängen zusammen. | Thema | Kerngedanke | |---|---| | Brute Force | Angreifer probiert Möglichkeiten aus | | Zufallszahlen | Schlüssel sollen nicht vorhersagbar sein | | One-Time-Pad | theoretisch sicher bei perfektem Zufall und einmaliger Nutzung | Kurz gesagt: - Brute Force greift schwache oder zu kurze Schlüssel an. - Gute Zufallszahlen machen Schlüssel schwerer vorhersagbar. - One-Time-Pad zeigt, wie wichtig echter Zufall und einmalige Nutzung sind. --- **Typische IHK-Fragen** **Was bedeutet Brute Force?** Brute Force bedeutet, dass ein Angreifer systematisch viele Möglichkeiten ausprobiert. **Was wird bei Brute Force ausprobiert?** Zum Beispiel Passwörter, PINs, Schlüssel oder Hashwerte. **Was schützt gegen Brute Force?** Lange und zufällige Passwörter, starke Schlüssel, Begrenzung von Fehlversuchen und Multi-Faktor-Authentifizierung. **Warum sind Zufallszahlen in der Kryptografie wichtig?** Weil Schlüssel nicht vorhersagbar sein dürfen. **Was passiert bei schlechten Zufallszahlen?** Schlüssel können leichter erraten oder berechnet werden. **Was ist das One-Time-Pad?** Ein theoretisch extrem sicheres Verfahren, wenn der Schlüssel wirklich zufällig, mindestens so lang wie die Nachricht, geheim und nur einmal verwendet wird. **Warum ist One-Time-Pad praktisch schwierig?** Weil der Schlüssel sehr lang sein muss und sicher verteilt werden muss. --- **Prüfungsfalle: „verschlüsselt“ heißt nicht automatisch sicher** Nur weil Daten verschlüsselt sind, heißt das nicht automatisch, dass alles sicher ist. Man muss fragen: | Frage | Warum wichtig? | |---|---| | Ist der Algorithmus sicher? | schwache Verfahren können gebrochen werden | | Ist der Schlüssel lang genug? | kurze Schlüssel sind leichter durchprobierbar | | Ist der Schlüssel zufällig? | vorhersehbare Schlüssel sind gefährlich | | Ist der Schlüssel geheim geblieben? | gestohlene Schlüssel zerstören Sicherheit | | Ist die Software korrekt umgesetzt? | Implementierungsfehler können alles schwächen | | Ist das Endgerät sicher? | Klartext kann dort abgegriffen werden | --- **Prüfungsfalle: One-Time-Pad nicht mit normalem Passwort verwechseln** Ein One-Time-Pad ist nicht einfach ein normales Passwort. Ein One-Time-Pad-Schlüssel muss: - wirklich zufällig sein - mindestens so lang wie die Nachricht sein - nur einmal verwendet werden - geheim bleiben - sicher übertragen werden Wenn eine dieser Bedingungen verletzt wird, ist die besondere Sicherheit nicht mehr gegeben. --- **Zusammenfassung** Brute Force ist das systematische Ausprobieren vieler Möglichkeiten. Je kürzer oder vorhersehbarer ein Passwort oder Schlüssel ist, desto leichter wird ein Brute-Force-Angriff. Gute Zufallszahlen sind wichtig, damit Schlüssel nicht erratbar oder berechenbar sind. Das One-Time-Pad ist theoretisch extrem sicher, aber praktisch schwer umzusetzen, weil der Schlüssel wirklich zufällig, mindestens so lang wie die Nachricht, geheim und nur einmalig verwendbar sein muss. > **IHK-Spickzettel:** > Brute Force = systematisches Ausprobieren > Schutz = lange, zufällige Passwörter und starke Schlüssel > Zufallszahlen = wichtig für sichere Schlüssel > schlechter Zufall = unsicheres System > One-Time-Pad = theoretisch nicht knackbar bei perfekten Bedingungen > Problem beim One-Time-Pad = sichere Schlüsselverteilung # 13.8 Steganographie

**50 Fragen und Antworten zum Ausklappen** Diese Fragen beziehen sich auf die behandelten Themen aus **13. Verschlüsselung und Sicherheitsgrundlagen**: - symmetrische Verschlüsselung - asymmetrische Verschlüsselung - hybride Verschlüsselung - digitale Signatur - Hashfunktion - Zertifikate - Authentizität, Integrität und Vertraulichkeit - Diffie-Hellman - Perfect Forward Secrecy - Brute Force - Zufallszahlen - One-Time-Pad - Steganographie ---

1. Was bedeutet Verschlüsselung? Verschlüsselung bedeutet, dass lesbare Daten so umgewandelt werden, dass sie ohne passenden Schlüssel nicht mehr verständlich sind. Aus Klartext wird Geheimtext beziehungsweise Chiffrat. Beispiel: Klartext: Hallo Bob Geheimtext: A4$h!7k9%Lz@8mQ Erst mit dem passenden Schlüssel kann der ursprüngliche Inhalt wiederhergestellt werden.
2. Was ist Klartext? Klartext ist die ursprüngliche, lesbare Nachricht. Beispiel: Passwort: geheim123 Klartext ist also der Inhalt, bevor er verschlüsselt wurde oder nachdem er wieder entschlüsselt wurde.
3. Was ist Geheimtext oder Chiffrat? Geheimtext oder Chiffrat ist die verschlüsselte Form einer Nachricht. Der Inhalt ist ohne passenden Schlüssel nicht sinnvoll lesbar. Beispiel: A4$h!7k9%Lz@8mQ
4. Welche drei Sicherheitsziele sind besonders wichtig? Die drei besonders wichtigen Sicherheitsziele sind: - Vertraulichkeit - Integrität - Authentizität Merksatz: Vertraulichkeit = nur Berechtigte können lesen Integrität = Daten wurden nicht verändert Authentizität = Identität oder Absender ist echt
5. Was bedeutet Vertraulichkeit? Vertraulichkeit bedeutet: Nur berechtigte Personen oder Systeme können den Inhalt lesen. Beispiele: - Verschlüsselung - HTTPS - VPN - WPA2 / WPA3 - verschlüsselte Festplatten - verschlüsselte Backups
6. Was bedeutet Integrität? Integrität bedeutet: Daten wurden nicht verändert. Man möchte erkennen können, ob eine Nachricht, Datei oder Übertragung manipuliert wurde. Beispiele für Techniken zur Integritätsprüfung: - Hashfunktion - digitale Signatur - Prüfsumme - Message Authentication Code
7. Was bedeutet Authentizität? Authentizität bedeutet: Die Identität ist echt. Die Leitfrage lautet: Bist du wirklich derjenige, für den du dich ausgibst? Beispiele: - Login mit Benutzername und Passwort - Zertifikat - digitale Signatur - Zwei-Faktor-Authentifizierung - Shared Secret
8. Was ist symmetrische Verschlüsselung? Bei der symmetrischen Verschlüsselung verwenden Sender und Empfänger denselben geheimen Schlüssel. Alice verschlüsselt mit diesem Schlüssel. Bob entschlüsselt mit demselben Schlüssel. Merksatz: Symmetrisch = gleicher geheimer Schlüssel auf beiden Seiten.
9. Was ist der größte Vorteil symmetrischer Verschlüsselung? Der größte Vorteil ist die Geschwindigkeit. Symmetrische Verschlüsselung ist sehr schnell und eignet sich gut für große Datenmengen. Beispiele: - Dateien - Datenströme - VPN-Datenverkehr - HTTPS-Nutzdaten - WLAN-Datenverkehr - Festplattenverschlüsselung
10. Was ist der größte Nachteil symmetrischer Verschlüsselung? Der größte Nachteil ist die Schlüsselübergabe. Alice und Bob brauchen denselben geheimen Schlüssel. Die wichtige Frage lautet: Wie bekommt Bob den geheimen Schlüssel, ohne dass Eve ihn kopieren kann?
11. Was passiert, wenn Eve den symmetrischen Schlüssel bekommt? Wenn Eve den gemeinsamen geheimen Schlüssel besitzt, kann sie die verschlüsselten Nachrichten entschlüsseln. Dann ist die Sicherheit verloren. Merksatz: Der Schlüssel ist das eigentliche Geheimnis.
12. Warum ist symmetrische Verschlüsselung bei vielen Teilnehmern unpraktisch? Weil viele Teilnehmer viele gemeinsame Schlüssel benötigen. Bei Alice und Bob reicht ein Schlüssel. Bei vielen Benutzern müssen aber sehr viele sichere Schlüsselbeziehungen verwaltet werden. Das skaliert schlecht.
13. Was ist asymmetrische Verschlüsselung? Bei der asymmetrischen Verschlüsselung gibt es zwei verschiedene Schlüssel: - öffentlicher Schlüssel - privater Schlüssel Der öffentliche Schlüssel darf verteilt werden. Der private Schlüssel bleibt geheim. Merksatz: Asymmetrisch = öffentlicher + privater Schlüssel.
14. Wer erzeugt bei asymmetrischer Verschlüsselung das Schlüsselpaar? Der Empfänger erzeugt das Schlüsselpaar, wenn er verschlüsselte Nachrichten empfangen möchte. Beispiel: Bob möchte geheime Nachrichten empfangen. Also erzeugt Bob einen öffentlichen und einen privaten Schlüssel.
15. Welchen Schlüssel nutzt Alice, wenn sie Bob eine geheime Nachricht senden möchte? Alice nutzt Bobs öffentlichen Schlüssel. Nur Bob kann die Nachricht anschließend mit seinem privaten Schlüssel entschlüsseln. Merksatz: Geheim an Bob senden = Bobs öffentlichen Schlüssel verwenden.
16. Welchen Schlüssel nutzt Bob zum Entschlüsseln? Bob nutzt seinen privaten Schlüssel. Der private Schlüssel darf nicht weitergegeben werden. Wenn der private Schlüssel gestohlen wird, ist die Sicherheit gefährdet.
17. Warum darf der öffentliche Schlüssel öffentlich sein? Der öffentliche Schlüssel ist dafür gedacht, verteilt zu werden. Auch Eve darf ihn sehen. Mit dem öffentlichen Schlüssel allein kann Eve aber nicht entschlüsseln. Geheim bleiben muss der private Schlüssel.
18. Was ist der Vorteil asymmetrischer Verschlüsselung? Der Vorteil ist, dass kein gemeinsamer geheimer Schlüssel vorher sicher übertragen werden muss. Der öffentliche Schlüssel darf offen verteilt werden. Dadurch hilft asymmetrische Verschlüsselung beim Problem der Schlüsselübergabe.
19. Was ist der Nachteil asymmetrischer Verschlüsselung? Asymmetrische Verschlüsselung ist langsamer und rechenaufwendiger als symmetrische Verschlüsselung. Deshalb verschlüsselt man große Datenmengen in der Praxis meistens nicht komplett asymmetrisch.
20. Was ist hybride Verschlüsselung? Hybride Verschlüsselung kombiniert asymmetrische und symmetrische Verschlüsselung. Asymmetrisch wird für den sicheren Schlüsselaustausch genutzt. Symmetrisch wird für die schnelle Verschlüsselung der Nutzdaten genutzt. Merksatz: Hybrid = asymmetrisch für den Schlüssel, symmetrisch für die Daten.
21. Warum nutzt man hybride Verschlüsselung? Man nutzt hybride Verschlüsselung, weil beide Verfahren unterschiedliche Vorteile haben. Symmetrisch: - schnell - gut für große Datenmengen - Problem: Schlüsselübergabe Asymmetrisch: - löst Schlüsselübergabe - aber langsamer Hybrid kombiniert beide Vorteile.
22. Was wird bei hybrider Verschlüsselung asymmetrisch verschlüsselt? Der symmetrische Sitzungsschlüssel wird asymmetrisch geschützt oder übertragen. Die eigentlichen Nutzdaten werden danach symmetrisch verschlüsselt.
23. Was wird bei hybrider Verschlüsselung symmetrisch verschlüsselt? Die eigentlichen Nutzdaten werden symmetrisch verschlüsselt. Beispiele: - Dateien - Webseiteninhalte - VPN-Daten - Login-Daten innerhalb einer sicheren Verbindung
24. Was ist ein Sitzungsschlüssel? Ein Sitzungsschlüssel ist ein symmetrischer Schlüssel für eine bestimmte Verbindung oder Sitzung. Er sollte: - zufällig erzeugt werden - nur für diese Sitzung gelten - geheim bleiben - nach der Nutzung verworfen werden
25. Wo wird hybride Verschlüsselung praktisch genutzt? Hybride Verschlüsselung wird zum Beispiel genutzt bei: - HTTPS - TLS - VPN - sicherer Datenübertragung im Internet - sicherer E-Mail-Kommunikation
26. Was ist eine digitale Signatur? Eine digitale Signatur ist ein Verfahren, mit dem geprüft werden kann: - ob der Absender echt ist - ob die Daten unverändert sind Eine digitale Signatur dient hauptsächlich Authentizität und Integrität.
27. Bietet eine digitale Signatur automatisch Vertraulichkeit? Nein. Eine digitale Signatur macht den Inhalt nicht automatisch geheim. Sie prüft vor allem: - Absender-Echtheit - Unverändertheit der Daten Für Vertraulichkeit braucht man Verschlüsselung.
28. Welchen Schlüssel nutzt der Absender zum Signieren? Der Absender nutzt seinen privaten Schlüssel. Beispiel: Bob signiert mit Bobs privatem Schlüssel.
29. Welchen Schlüssel nutzt der Empfänger zum Prüfen einer Signatur? Der Empfänger nutzt den öffentlichen Schlüssel des Absenders. Beispiel: Alice prüft Bobs Signatur mit Bobs öffentlichem Schlüssel.
30. Was ist der Unterschied zwischen Verschlüsselung und Signatur? Verschlüsselung schützt den Inhalt vor Mitlesen. Digitale Signatur prüft Absender und Unverändertheit. Vergleich: Verschlüsselung = Vertraulichkeit Signatur = Authentizität + Integrität
31. Was ist eine Hashfunktion? Eine Hashfunktion erzeugt aus Daten einen Prüfwert fester Länge. Dieser Prüfwert heißt Hash oder Hashwert. Ein Hash ist wie ein digitaler Fingerabdruck von Daten.
32. Ist ein Hash eine Verschlüsselung? Nein. Ein Hash ist keine Verschlüsselung. Ein Hash wird normalerweise nicht entschlüsselt. Stattdessen berechnet man den Hash neu und vergleicht ihn mit einem bekannten Hashwert.
33. Wozu dient ein Hash? Ein Hash dient vor allem zur Integritätsprüfung. Man kann damit erkennen, ob Daten verändert wurden. Beispiele: - Datei prüfen - Download prüfen - Nachricht prüfen - Grundlage für digitale Signaturen
34. Was passiert mit dem Hash, wenn sich eine Datei leicht ändert? Schon eine kleine Änderung an der Datei verändert den Hashwert stark. Beispiel: Hallo → a1b2c3d4... Halla → 9f8e7d6c... Merksatz: Kleine Änderung an den Daten = großer Unterschied beim Hash.
35. Was ist ein Zertifikat? Ein Zertifikat ist ein digitaler Nachweis. Es verbindet eine Identität mit einem öffentlichen Schlüssel. Beispiel: Ein Zertifikat kann bestätigen, dass ein öffentlicher Schlüssel wirklich zu www.beispiel.de gehört.
36. Wozu braucht man Zertifikate? Zertifikate helfen dabei, die Identität zu prüfen. Sie beantworten zum Beispiel die Frage: Gehört dieser öffentliche Schlüssel wirklich zu dieser Webseite oder Person? Typische Nutzung: - HTTPS - TLS - VPN - digitale Signaturen - sichere Serveridentifikation
37. Welches Sicherheitsziel passt besonders zu Zertifikaten? Zertifikate gehören besonders zur Authentizität. Sie helfen zu prüfen, ob eine Identität echt ist. Merksatz: Zertifikat = Identität + öffentlicher Schlüssel.
38. Was ist Diffie-Hellman? Diffie-Hellman ist ein Verfahren zum Schlüsselaustausch. Alice und Bob können damit über ein unsicheres Netzwerk ein gemeinsames Geheimnis erzeugen, ohne dieses Geheimnis direkt zu übertragen.
39. Verschlüsselt Diffie-Hellman direkt große Datenmengen? Nein. Diffie-Hellman dient dem Schlüsselaustausch. Die eigentlichen Daten werden danach meistens symmetrisch verschlüsselt. Merksatz: Diffie-Hellman = Schlüsselaustausch, nicht Nutzdatenverschlüsselung.
40. Was sieht Eve bei Diffie-Hellman? Eve kann öffentliche Austauschwerte sehen. Eve sieht aber nicht: - Alices privaten Anteil - Bobs privaten Anteil - den fertigen Sitzungsschlüssel Dadurch kann Eve den gemeinsamen Schlüssel nicht einfach berechnen.
41. Was bedeutet Perfect Forward Secrecy? Perfect Forward Secrecy bedeutet: Alte Sitzungen sollen besser geschützt bleiben, auch wenn später ein langfristiger privater Schlüssel kompromittiert wird. Merksatz: PFS schützt alte Sitzungen besser.
42. Was bedeutet ephemeral? Ephemeral bedeutet kurzlebig. Im Zusammenhang mit Kryptografie bedeutet es: Schlüsselmaterial wird nur für eine bestimmte Sitzung genutzt und danach verworfen. Das hilft bei Perfect Forward Secrecy.
43. Was ist Brute Force? Brute Force bedeutet: Ein Angreifer probiert systematisch viele Möglichkeiten aus, bis etwas passt. Beispiele: - Passwörter ausprobieren - PINs ausprobieren - Schlüssel ausprobieren - Hashes testen Merksatz: Brute Force = ausprobieren, bis es passt.
44. Was schützt gegen Brute Force? Gegen Brute Force helfen: - lange Passwörter - zufällige Passwörter - Passwortmanager - Multi-Faktor-Authentifizierung - Rate Limiting - Account-Sperren - starke Schlüssel - moderne Algorithmen
45. Warum sind Zufallszahlen in der Kryptografie wichtig? Zufallszahlen sind wichtig, weil Schlüssel nicht vorhersehbar sein dürfen. Wenn ein Schlüssel aus schlechtem Zufall entsteht, kann er leichter erraten oder berechnet werden. Merksatz: Starker Algorithmus + schlechter Zufall = unsicheres System.
46. Was ist ein One-Time-Pad? Das One-Time-Pad ist ein besonderer Fall der Verschlüsselung. Es gilt theoretisch als nicht knackbar, wenn alle Bedingungen erfüllt sind.
47. Welche Bedingungen braucht ein sicheres One-Time-Pad? Ein sicheres One-Time-Pad braucht: - Schlüssel ist wirklich zufällig - Schlüssel ist mindestens so lang wie die Nachricht - Schlüssel wird nur einmal verwendet - Schlüssel bleibt geheim - Schlüssel wird sicher übertragen Wenn eine Bedingung verletzt wird, ist die besondere Sicherheit nicht mehr gegeben.
48. Warum ist One-Time-Pad praktisch schwierig? Das größte Problem ist die Schlüsselverteilung. Der Schlüssel muss mindestens so lang wie die Nachricht sein und vorher sicher an den Empfänger übertragen werden. Das ist in der Praxis oft unpraktisch.
49. Was ist Steganographie? Steganographie bedeutet: Informationen werden in unauffälligen Daten versteckt. Das Ziel ist, zu verbergen, dass überhaupt eine geheime Nachricht existiert. Beispiel: Eine Nachricht wird in einem Bild versteckt.
50. Was ist der Unterschied zwischen Verschlüsselung und Steganographie? Verschlüsselung macht den Inhalt unlesbar. Steganographie versteckt die Existenz der Nachricht. Beste Kombination: Erst verschlüsseln, dann verstecken. Dann ist der Inhalt geschützt und zusätzlich unauffälliger.
--- **Abschluss-Spickzettel** | Thema | Kurzantwort | |---|---| | symmetrisch | gleicher geheimer Schlüssel | | asymmetrisch | öffentlicher + privater Schlüssel | | hybrid | asymmetrisch für Schlüssel, symmetrisch für Daten | | Signatur | Authentizität + Integrität | | Hash | Integrität prüfen | | Zertifikat | Identität + öffentlicher Schlüssel | | Diffie-Hellman | Schlüsselaustausch | | PFS | alte Sitzungen besser geschützt | | Brute Force | systematisches Ausprobieren | | Zufallszahlen | wichtig für sichere Schlüssel | | One-Time-Pad | theoretisch sicher bei perfekten Bedingungen | | Steganographie | Nachricht verstecken | | Vertraulichkeit | nur Berechtigte können lesen | | Integrität | Daten unverändert | | Authentizität | Identität echt | # EXTRA: Reticulum Network Stack (RNS) im Vergleich zum OSI- und TCP/IP-Modell

> **Hinweis:** Diese Seite ist ein Zukunfts-/Zusatzthema und gehört nicht zum klassischen IHK-Grundlagenstoff. Sie dient nur als technischer Blick darauf, wie moderne, dezentrale Netzwerk-Stacks wie Reticulum anders aufgebaut sein können als klassische Internet-Kommunikation. --- [![Image (3).jpg](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/image-3.jpg)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/image-3.jpg) [![ChatGPT Image 3. Juni 2026, 12_45_26.png](https://ulrich-wiki.com/uploads/images/gallery/2026-06/scaled-1680-/chatgpt-image-3-juni-2026-12-45-26.png)](https://ulrich-wiki.com/uploads/images/gallery/2026-06/chatgpt-image-3-juni-2026-12-45-26.png)

1. Grundidee

Das klassische **OSI-Modell** erklärt Netzwerkkommunikation in 7 Schichten: 1. Bitübertragungsschicht 2. Sicherungsschicht 3. Vermittlungsschicht 4. Transportschicht 5. Sitzungsschicht 6. Darstellungsschicht 7. Anwendungsschicht Das **TCP/IP-Modell** ist praxisnäher und beschreibt grob, wie das heutige Internet funktioniert: - Netzzugang / Physical + Link - Internet Layer - Transport Layer - Application Layer Das **RNS-Modell** von Reticulum denkt anders: > Reticulum ist kein einzelnes Protokoll wie TCP, IP oder TLS, sondern ein eigener Netzwerk-Stack, bei dem Identität, Routing, Transport und Verschlüsselung eng miteinander verbunden sind. Reticulum kann über verschiedene darunterliegende Medien laufen, zum Beispiel: - normales Internet - TCP - UDP - WLAN - Ethernet - LoRa - Packet Radio - serielle Verbindungen - I2P Das vorhandene Medium ist dabei nur der Transportweg. Die eigentliche Reticulum-Kommunikation läuft darüber als eigenes kryptografisches Netzwerk. ---

2. Vergleich: OSI-Modell, TCP/IP-Modell und RNS-Modell

| Bereich | OSI-Modell | TCP/IP-Modell | RNS / Reticulum | |---|---|---|---| | Anwendung | Application Layer | Application Layer | Application Layer Extensions | | Darstellung | Presentation Layer | meist Teil der Anwendung | in Reticulum-Anwendungen integriert | | Sitzung | Session Layer | meist Teil der Anwendung | durch Reticulum-Links und Sitzungslogik abgedeckt | | Sicherheit | im OSI-Modell keine eigene Pflichtschicht | oft zusätzlich durch TLS, VPN oder App-Verschlüsselung | fest in Reticulum eingebaut | | Transport | Transport Layer, z. B. TCP/UDP | Transport Layer, z. B. TCP/UDP | Reticulum übernimmt eigene Transport-/Link-Logik | | Vermittlung / Routing | Network Layer, z. B. IP | Internet Layer, z. B. IP | kryptografisch gestützte Ziele, Pfade und Transport | | Sicherung | Data Link Layer | Network Access / Link | abhängig vom verwendeten Medium | | Physik | Physical Layer | Physical Layer / Network Access | Physical Layer / beliebiges Trägermedium | ---

3. Was ist bei RNS anders?

Bei normalem Internetverkehr sieht der Ablauf stark vereinfacht so aus: | Schritt | Klassisches Internet | |---|---| | 1 | Eine Anwendung erzeugt Daten, z. B. Browser oder Messenger | | 2 | TLS kann die Verbindung verschlüsseln | | 3 | TCP sorgt für Transport und Reihenfolge | | 4 | IP sorgt für Adressierung und Routing | | 5 | Ethernet, WLAN oder Mobilfunk übertragen die Daten physisch | Bei Reticulum sieht die Denkweise anders aus: | Schritt | Reticulum / RNS | |---|---| | 1 | Eine Reticulum-Anwendung erzeugt Daten | | 2 | Reticulum adressiert nicht klassisch nur über IP-Adressen, sondern über kryptografische Ziele | | 3 | Reticulum verschlüsselt Inhalte standardmäßig Ende-zu-Ende | | 4 | Reticulum kann temporäre Schlüssel pro Paket oder pro Link verwenden | | 5 | Reticulum verpackt seine Daten in ein verfügbares Trägermedium | | 6 | Dieses Trägermedium kann TCP, UDP, LoRa, Funk, seriell oder etwas anderes sein | ---

4. Gegenüberstellung: Wie wird es bei RNS gemacht?

| Aufgabe | Klassisch im OSI-/TCP/IP-Modell | Bei RNS / Reticulum | |---|---|---| | Adresse finden | IP-Adresse, DNS, Routingtabellen | kryptografische Identitäten und Destinations | | Daten transportieren | TCP oder UDP | Reticulum-Pakete, Links und Transportlogik | | Verbindung absichern | häufig TLS, VPN, IPsec oder App-Verschlüsselung | Verschlüsselung ist direkt Teil des Reticulum-Stacks | | Identität prüfen | Zertifikate, DNS, CA, Login-Systeme | kryptografische Identität des Ziels | | Daten über Internet senden | IP-Paket über Router | Reticulum-Paket wird in TCP/UDP/IP eingepackt | | Daten über Funk senden | meist Spezialprotokoll nötig | Reticulum kann auch über LoRa, Packet Radio oder serielle Interfaces laufen | | Zwischenstationen | Router sehen IP-Adressen und leiten weiter | Reticulum-Knoten leiten Pakete weiter, ohne den Inhalt lesen zu können | | Anwendungsschicht | HTTP, SMTP, DNS, Messenger-Protokolle | Reticulum-Anwendungen oder Erweiterungen, z. B. Messaging über LXMF | | Verschlüsselung | oft Zusatzschicht über TCP/IP | eingebauter Bestandteil des Netzwerks | | Abhängigkeit vom Internet | meist stark abhängig von IP-Infrastruktur | kann IP nutzen, ist aber nicht grundsätzlich davon abhängig | ---

5. Erklärung anhand der Grafik

Die Grafik vergleicht drei Modelle: | Modell | Bedeutung | |---|---| | OSI-Modell | theoretisches 7-Schichten-Modell zur Erklärung von Netzwerkkommunikation | | TCP/IP-Modell | praxisnahes Modell des heutigen Internets | | RNS-Modell | Reticulum Network Stack als kryptografiebasierter Netzwerk-Stack | Im OSI-Modell sind die Aufgaben stark aufgeteilt: - Anwendung - Darstellung - Sitzung - Transport - Netzwerk - Sicherung - Physik Im TCP/IP-Modell werden mehrere OSI-Schichten zusammengefasst: - Anwendung - Transport - Netzwerk - Physik/Link Im RNS-Modell wird vieles noch stärker zusammengeführt: - Application Layer Extensions - Secure Extensible Application Layer - Physical Layer Das bedeutet: > Reticulum legt sehr viele Funktionen, die sonst auf mehrere Schichten verteilt sind, in eine sichere und erweiterbare Reticulum-Schicht. Diese Reticulum-Schicht übernimmt dann unter anderem: - kryptografische Identität - sichere Ziele - Paketverschlüsselung - Link-Aufbau - Weiterleitung über mehrere Knoten - Transport über unterschiedliche Medien - Nutzung von TCP/UDP/IP als möglicher Träger - Nutzung von Funk, LoRa oder seriellen Verbindungen als möglicher Träger ---

6. Beispiel: Reticulum über normales Internet

Reticulum kann über das bestehende Internet laufen. Dabei wird nicht das normale IP-Paketformat verändert. Stattdessen wird ein Reticulum-Paket in ein normales TCP- oder UDP-Paket eingepackt.

Zusatz: Welche Rolle spielt DNS bei Reticulum?

Wenn Reticulum über das normale Internet läuft, kann DNS trotzdem vorkommen. DNS ist dann aber **nicht** dafür zuständig, den eigentlichen Reticulum-Empfänger zu finden. DNS macht nur das, was DNS im klassischen Internet immer macht: Domainname ↓ IP-Adresse Beispiel: reticulum-node.example.org ↓ 203.0.113.10 Damit findet der Rechner zunächst nur einen bekannten Reticulum-Knoten im normalen Internet. Der eigentliche Reticulum-Weg sieht vereinfacht so aus: Alice / Reticulum-App ↓ DNS löst eventuell einen Einstiegsknoten auf ↓ normales Internet bringt das Paket zu diesem Reticulum-Knoten ↓ ab dort übernimmt Reticulum selbst ↓ Reticulum sucht das Ziel über Destinations und Announcements ↓ Paket wird über Reticulum-Knoten weitergeleitet ↓ Bob / Reticulum-Ziel empfängt und entschlüsselt Wichtig ist also: > DNS kennt höchstens den Einstiegspunkt ins Reticulum-Netz, aber nicht automatisch den endgültigen Reticulum-Empfänger. Der normale Internet-Router sieht nur: IP A sendet TCP-/UDP-Daten an IP B Er sieht aber nicht: Dieses Reticulum-Paket ist für Bob. Das ist Bobs Reticulum-Destination. Das ist der Inhalt der Nachricht. Reticulum selbst arbeitet nicht hauptsächlich mit Domains oder klassischen IP-Zieladressen, sondern mit kryptografischen Zielen, sogenannten **Destinations**. Vereinfacht: | Aufgabe | Klassisches Internet | Reticulum | |---|---|---| | Namen auflösen | DNS macht aus Domain eine IP-Adresse | DNS höchstens für Einstiegsknoten nötig | | Ziel finden | IP-Adresse / Domain | Reticulum-Destination | | Weiterleitung | IP-Router leiten anhand der Ziel-IP weiter | Reticulum-Knoten leiten anhand bekannter Pfade zu Destinations weiter | | Herkunft im Paket | IP-Pakete enthalten normalerweise eine Quell-IP | Reticulum-Pakete enthalten keine klassische Quelladresse | | Inhalt lesen | nur geschützt, wenn z. B. TLS genutzt wird | Reticulum-Inhalt ist Ende-zu-Ende verschlüsselt | Reticulum-Knoten lernen erreichbare Ziele über sogenannte **Announcements**. Wenn ein Ziel im Reticulum-Netz angekündigt wird, merken sich andere Reticulum-Knoten, über welchen Nachbarn dieses Ziel erreichbar ist. Später können sie Pakete in diese Richtung weiterleiten. Merksatz: > DNS bringt dich bei Reticulum über das Internet höchstens bis zu einem bekannten Reticulum-Knoten. Danach übernimmt Reticulum selbst mit kryptografischen Destinations, Announcements und eigener Weiterleitung. Normale Internet-Router transportieren dabei nur TCP-/UDP-/IP-Pakete, verstehen aber den Reticulum-Inhalt nicht. --- Ablauf: | Schritt | Beschreibung | |---|---| | 1 | Eine Reticulum-Anwendung erstellt eine Nachricht | | 2 | Reticulum verschlüsselt die Nachricht | | 3 | Reticulum erzeugt ein eigenes Reticulum-Paket | | 4 | Dieses Paket wird in TCP oder UDP eingepackt | | 5 | TCP/UDP läuft wie gewohnt über IP | | 6 | Normale Router leiten das Paket weiter | | 7 | Der Empfänger entpackt das Reticulum-Paket | | 8 | Reticulum entschlüsselt die Nachricht beim richtigen Empfänger | Vereinfacht: Reticulum-Nachricht ↓ Reticulum-Verschlüsselung ↓ Reticulum-Paket ↓ TCP/UDP-Paket ↓ IP-Paket ↓ Internet ↓ Empfänger entschlüsselt Reticulum-Nachricht ---

7. Warum braucht RNS nicht zwingend IP?

Im klassischen Internet ist IP die zentrale Vermittlungsschicht. Bei Reticulum ist das anders: > Reticulum kann IP benutzen, muss es aber nicht. Das heißt: | Situation | Reticulum-Nutzung | |---|---| | normales Heimnetz | Reticulum kann über TCP/UDP/IP laufen | | Internet | Reticulum kann über TCP/UDP/IP getunnelt werden | | LoRa-Funk | Reticulum kann direkt über LoRa laufen | | Packet Radio | Reticulum kann über Funkmodems laufen | | serielle Verbindung | Reticulum kann über serielle Schnittstellen laufen | | I2P | Reticulum kann über ein anonymisierendes Overlay laufen | Deshalb ist Reticulum besonders interessant für Netze, die nicht immer wie normales Internet funktionieren. Zum Beispiel: - Notfallkommunikation - Mesh-Netze - Funknetze - LoRa-Kommunikation - dezentrale Kommunikation - Kommunikation mit sehr niedriger Bandbreite - Kommunikation bei hoher Latenz - Netze ohne zentrale Infrastruktur ---

8. Was bedeutet „Secure Extensible Application Layer“?

In der Grafik ist beim RNS-Modell eine große grüne Schicht zu sehen: **Secure Extensible Application Layer** Das bedeutet vereinfacht: > Reticulum stellt eine sichere, erweiterbare Kommunikationsschicht bereit, auf der Anwendungen aufbauen können. Diese Schicht ersetzt nicht einfach nur eine einzelne OSI-Schicht. Sie übernimmt mehrere Aufgaben gleichzeitig. | Klassische Aufgabe | Bei RNS ungefähr enthalten in | |---|---| | Adressierung | Secure Extensible Application Layer | | Routing / Weiterleitung | Secure Extensible Application Layer | | Verschlüsselung | Secure Extensible Application Layer | | Sitzungs-/Link-Aufbau | Secure Extensible Application Layer | | Pakettransport | Secure Extensible Application Layer | | Anwendungserweiterungen | Application Layer Extensions | Dadurch wirkt RNS im Vergleich zum OSI-Modell viel kompakter. ---

9. Wichtiger Unterschied zu TLS/HTTPS

TLS/HTTPS funktioniert normalerweise so: | Ebene | Klassisches HTTPS | |---|---| | Anwendung | Browser / Webserver | | Sicherheit | TLS | | Transport | TCP | | Netzwerk | IP | | Physik | Ethernet, WLAN, Mobilfunk | Reticulum funktioniert eher so: | Ebene | Reticulum | |---|---| | Anwendung | Reticulum-App | | Sicherheit | direkt in Reticulum | | Transportlogik | direkt in Reticulum | | Routing/Ziele | direkt in Reticulum | | Trägermedium | TCP, UDP, LoRa, Funk, seriell, WLAN usw. | Merksatz: > TLS schützt eine bestehende TCP/IP-Verbindung. Reticulum baut ein eigenes kryptografisches Netzwerk, das TCP/IP nur als eine mögliche Transportmöglichkeit verwenden kann. ---

10. Kurze Lernzusammenfassung

Reticulum / RNS unterscheidet sich vom OSI- und TCP/IP-Modell vor allem dadurch, dass es nicht einfach eine weitere Verschlüsselungsschicht über das Internet legt. Stattdessen ist Reticulum ein eigener Netzwerk-Stack. Er verbindet: - Identität - Adressierung - Verschlüsselung - Transport - Routing - Anwendungserweiterungen in einem kryptografisch aufgebauten System. Das normale Internet kann dabei weiterhin benutzt werden, ist aber nur ein möglicher Transportweg. Reticulum kann deshalb über TCP/UDP/IP laufen, aber auch über LoRa, Funk, serielle Verbindungen oder andere Medien. ---

11. Merksatz

> Das OSI-Modell trennt Netzwerkkommunikation in viele einzelne Schichten. TCP/IP setzt diese Idee praxisnah für das Internet um. RNS/Reticulum geht einen anderen Weg: Es baut ein eigenes kryptografisches Netzwerk, in dem Sicherheit, Identität, Routing und Transport direkt zusammengehören. Das darunterliegende Medium kann normales Internet sein, muss es aber nicht. ---

12. Mini-Vergleich für den Kopf

| Frage | OSI / TCP/IP | RNS / Reticulum | |---|---|---| | Braucht es IP? | meistens ja | nein, aber IP kann genutzt werden | | Ist Verschlüsselung automatisch Teil des Modells? | nein, meist Zusatz wie TLS/VPN | ja, zentraler Bestandteil | | Für normales Web geeignet? | ja | nicht als direkter Ersatz für normales Web gedacht | | Für Mesh/Funk/LoRa geeignet? | nur mit Zusatzlösungen | genau dafür interessant | | Müssen Router Reticulum verstehen? | nur Reticulum-Knoten müssen es verstehen | normale IP-Router leiten nur TCP/UDP weiter | | Können Zwischenstationen Inhalte lesen? | abhängig von Verschlüsselung | bei verschlüsselter Reticulum-Kommunikation nein | | Hauptidee | standardisierte Schichten | kryptografisches dezentrales Netzwerk | ---

13. Abschluss-Merksatz

> Reticulum kann das bestehende Internet als Transportweg nutzen, ersetzt es aber nicht einfach. Das klassische Internet bleibt für Web, Browser, Streaming, Cloud und Apps praktischer. Reticulum ist dagegen besonders stark bei dezentraler, sicherer und robuster Kommunikation – vor allem bei Mesh, Funk, LoRa, hoher Latenz, wenig Bandbreite und autonomen Netzen. ---

Quellen / weiterführende Links

- Reticulum Manual: https://reticulum.network/manual/ - What is Reticulum?: https://reticulum.network/manual/whatis.html - Understanding Reticulum: https://reticulum.network/manual/understanding.html - Cryptographic Primitives: https://reticulum.network/crypto.html - GitHub-Projekt: https://github.com/markqvist/Reticulum # 14. VPN, Intranet und Extranet # 15. Cloud und moderne Bereitstellungsmodelle # 16. Angriffe und Schutzmaßnahmen # 20. Trainer – Grundlagen und OSI-Modell # 21. Trainer – Schicht 0 und OSI-Schicht 1 # 22. Trainer – OSI-Schicht 2 # 23. Trainer – OSI-Schicht 3 # ICMP (Internet Control Message Protocol) **ICMP einfach erklärt** ICMP steht für **Internet Control Message Protocol**. ICMP ist ein Kontroll- und Fehlerprotokoll der Internetprotokollfamilie. Es wird nicht wie TCP oder UDP verwendet, um normale Nutzdaten zwischen Anwendungen zu übertragen, sondern um Statusinformationen, Fehlermeldungen und Diagnoseinformationen im IP-Netzwerk zu senden. Kurz gesagt: TCP = zuverlässige Datenübertragung zwischen Anwendungen UDP = schnelle, verbindungslose Datenübertragung zwischen Anwendungen ICMP = Kontroll- und Fehlermeldungen im IP-Netzwerk --- **Wofür wird ICMP verwendet?** ICMP wird verwendet, um Netzwerkprobleme zu melden oder die Erreichbarkeit von Geräten zu prüfen. Typische Einsatzbereiche: - Erreichbarkeit eines Hosts prüfen - Netzwerkfehler melden - Routing-Probleme anzeigen - Zeitüberschreitungen melden - Paketgrößenprobleme melden - Diagnosewerkzeuge wie ping und traceroute ermöglichen ICMP ist also eher ein Hilfsprotokoll für IP-Netzwerke. --- **ICMP ist kein normales Transportprotokoll wie TCP oder UDP** TCP und UDP transportieren Daten zwischen Anwendungen. Beispiele: - HTTPS - SSH - DNS - VoIP - Streaming - Online-Gaming ICMP macht das normalerweise nicht. ICMP wird eher verwendet, damit Geräte im Netzwerk melden können: - Ziel nicht erreichbar. - Paket konnte nicht zugestellt werden. - Zeit wurde überschritten. - Paket ist zu groß. - Host antwortet auf Ping. Merksatz: TCP und UDP übertragen Anwendungsdaten. ICMP meldet Netzwerkzustände und Fehler. --- **Beispiel: Ping mit ICMP** Das bekannteste Beispiel für ICMP ist **ping**. Mit ping prüft man, ob ein Gerät im Netzwerk erreichbar ist. Beim klassischen ping wird ICMP verwendet. Bei IPv4: ICMP Echo Request ICMP Echo Reply Bei IPv6: ICMPv6 Echo Request ICMPv6 Echo Reply Ablauf vereinfacht: Dein PC Zielhost ICMP Echo Request ---------> ICMP Echo Reply <--------- Das bedeutet: Echo Request = Bist du erreichbar? Echo Reply = Ja, ich bin erreichbar. Wenn eine Antwort zurückkommt, weiß man: Der Zielhost ist grundsätzlich erreichbar. Wenn keine Antwort zurückkommt, kann das verschiedene Gründe haben: - Zielhost ist ausgeschaltet - Netzwerkweg ist unterbrochen - Firewall blockiert ICMP - Zielhost antwortet nicht auf Ping - Routing-Problem liegt vor Wichtig: Wenn ping nicht funktioniert, heißt das nicht automatisch, dass der Host komplett offline ist. Ein Gerät kann erreichbar sein, aber ICMP blockieren. --- **Nutzt Ping immer ICMP?** Das klassische Betriebssystem-Tool **ping** nutzt normalerweise ICMP. Also zum Beispiel: Windows ping Linux ping macOS ping Diese klassischen ping-Befehle senden ICMP Echo Requests und erwarten ICMP Echo Replies. Prüfungssicher gesagt: Klassisches ping = ICMP Echo Request und ICMP Echo Reply Aber: Der Begriff "Ping" wird im Alltag nicht immer ausschließlich für ICMP verwendet. Manchmal sagen Menschen auch "Ping", wenn sie allgemein eine Erreichbarkeit oder Antwortzeit testen. Beispiele: - TCP-Ping - UDP-Ping - HTTP-Ping - Game-Ping Das ist dann oft kein echtes ICMP-Ping, sondern ein anderer Latenz- oder Erreichbarkeitstest. Beispiele: TCP-Ping prüft, ob ein bestimmter TCP-Port erreichbar ist. HTTP-Ping prüft, ob ein Webserver antwortet. Game-Ping zeigt oft die Antwortzeit zum Spielserver. UDP-Ping kann mit eigenen UDP-Anfragen und Antworten arbeiten. Wichtige Unterscheidung: Klassisches ping-Tool = ICMP Umgangssprachlicher Ping = manchmal auch anderer Verbindungstest --- **Ist ICMP nur für Ping da?** Nein. ICMP wird nicht nur für Ping verwendet. Ping ist nur eine bekannte Anwendung von ICMP. ICMP kann auch viele andere Kontroll- und Fehlermeldungen übertragen. Beispiele: - Destination Unreachable - Time Exceeded - Fragmentation Needed - Redirect Also: Ping nutzt ICMP. Aber ICMP ist nicht nur Ping. Merksatz: Klassisches ping nutzt ICMP. ICMP wird aber nicht ausschließlich für ping verwendet. --- **ICMP arbeitet nicht mit Ports** Ein wichtiger Unterschied zu TCP und UDP ist: TCP und UDP verwenden Ports. ICMP verwendet keine Ports. Beispiele für TCP und UDP: TCP 443 = HTTPS TCP 22 = SSH UDP 53 = DNS UDP 123 = NTP ICMP hat keine Portnummern. Stattdessen arbeitet ICMP mit **Typen** und **Codes**. Merksatz: TCP/UDP = Ports ICMP = Typen und Codes --- **ICMP-Typen und Codes** ICMP verwendet Typen und Codes, um verschiedene Meldungen zu unterscheiden. | ICMP-Meldung | Bedeutung | |---|---| | Echo Request | Anfrage bei ping | | Echo Reply | Antwort auf ping | | Destination Unreachable | Ziel nicht erreichbar | | Time Exceeded | Zeit überschritten | | Redirect | Hinweis auf besseren Weg | | Fragmentation Needed | Paket ist zu groß und müsste fragmentiert werden | Die genaue Bedeutung wird über ICMP-Typ und ICMP-Code festgelegt. Beispiel: Echo Request = Ping-Anfrage Echo Reply = Ping-Antwort Merksatz: TCP/UDP nutzen Ports. ICMP nutzt Typen und Codes. --- **Beispiel: Destination Unreachable** Eine typische ICMP-Fehlermeldung ist: Destination Unreachable Auf Deutsch: Ziel nicht erreichbar Das kann passieren, wenn ein Paket nicht zugestellt werden kann. Mögliche Gründe: - Zielnetz ist nicht erreichbar - Zielhost ist nicht erreichbar - Port oder Dienst ist nicht erreichbar - Firewall blockiert den Verkehr - Routing fehlt oder ist falsch Vereinfacht gesagt meldet ein Router oder Zielsystem: Ich kann dieses Paket nicht zustellen. --- **Beispiel: Time Exceeded** Eine weitere wichtige ICMP-Meldung ist: Time Exceeded Auf Deutsch: Zeit überschritten Das hängt mit dem TTL-Wert zusammen. TTL steht für: Time To Live Jedes IP-Paket hat einen TTL-Wert. Dieser Wert wird bei jedem Router um 1 verringert. Wenn der TTL-Wert bei 0 angekommen ist, wird das Paket verworfen. Dann kann eine ICMP-Meldung zurückgesendet werden: Time Exceeded Das bedeutet: Das Paket hat sein Ziel nicht rechtzeitig erreicht. Es wurde unterwegs verworfen. Diese Funktion wird zum Beispiel bei traceroute genutzt. --- **ICMP und traceroute** Traceroute zeigt, über welche Router ein Paket zum Ziel läuft. Dafür nutzt traceroute unter anderem ICMP-Time-Exceeded-Meldungen. Vereinfacht: 1. Das erste Paket bekommt TTL 1. 2. Der erste Router verringert TTL auf 0. 3. Der Router verwirft das Paket. 4. Der Router sendet ICMP Time Exceeded zurück. 5. Dadurch erkennt traceroute den ersten Router. 6. Danach wird TTL erhöht. 7. So werden die nächsten Router sichtbar. Dadurch kann man den Weg durch das Netzwerk nachvollziehen. Merksatz: Ping prüft, ob ein Ziel antwortet. Traceroute zeigt den Weg zum Ziel. --- **ICMP und Paketgröße** ICMP kann auch melden, dass ein Paket zu groß ist. Das ist wichtig für die sogenannte Path MTU Discovery. MTU steht für: Maximum Transmission Unit Die MTU beschreibt, wie groß ein Paket auf einem Netzwerkabschnitt maximal sein darf. Wenn ein Paket zu groß ist und nicht fragmentiert werden darf, kann eine ICMP-Meldung zurückkommen: Fragmentation Needed Das bedeutet: Das Paket ist für diesen Netzwerkweg zu groß. Der Absender soll kleinere Pakete senden. Wichtig: Wenn solche ICMP-Meldungen blockiert werden, kann es zu Verbindungsproblemen kommen. Zum Beispiel können Webseiten teilweise laden oder VPN-Verbindungen Probleme machen. --- **ICMP im Vergleich zu TCP und UDP** | Merkmal | TCP | UDP | ICMP | |---|---|---|---| | Voller Name | Transmission Control Protocol | User Datagram Protocol | Internet Control Message Protocol | | Hauptaufgabe | zuverlässige Datenübertragung | schnelle Datagramm-Übertragung | Kontroll- und Fehlermeldungen | | Verbindungsaufbau | Ja, 3-Wege-Handshake | Nein | Nein | | Ports | Ja | Ja | Nein | | Arbeitet mit | Ports, Sequenznummern, ACKs | Ports, Datagrammen | Typen und Codes | | Zustellgarantie | Ja, eingebaut | Nein | Nein | | Reihenfolgekontrolle | Ja | Nein | Nein | | Typische Nutzung | HTTPS, SSH, E-Mail | DNS, VoIP, Streaming | ping, traceroute, Fehlermeldungen | | Nutzdaten von Anwendungen | Ja | Ja | Normalerweise nein | --- **TCP, UDP und ICMP einfach unterschieden** TCP: TCP baut zuerst eine Verbindung auf. TCP überträgt Daten zuverlässig. TCP bestätigt empfangene Daten. TCP sendet verlorene Daten erneut. TCP nutzt Ports. UDP: UDP baut keine Verbindung auf. UDP sendet Daten direkt los. UDP hat weniger Verwaltungsaufwand. UDP garantiert keine Zustellung. UDP nutzt Ports. ICMP: ICMP überträgt normalerweise keine Anwendungsdaten. ICMP meldet Fehler und Zustände im Netzwerk. ICMP wird für Diagnose genutzt. ICMP nutzt keine Ports. ICMP arbeitet mit Typen und Codes. --- **ICMP und Firewall** Firewalls können ICMP erlauben oder blockieren. Beispiele: - Ping erlauben - Ping blockieren - bestimmte ICMP-Fehlermeldungen erlauben - bestimmte ICMP-Typen blockieren Wichtig: ICMP komplett zu blockieren ist nicht immer sinnvoll. Warum? Bestimmte ICMP-Meldungen sind wichtig für die korrekte Funktion von Netzwerken. Beispiele: - Destination Unreachable - Time Exceeded - Fragmentation Needed Wenn diese Meldungen blockiert werden, kann die Fehlersuche schwieriger werden oder bestimmte Verbindungen können Probleme machen. Prüfungssicherer Gedanke: ICMP sollte nicht blind komplett blockiert werden. Besser ist es, gezielt festzulegen, welche ICMP-Typen erlaubt oder blockiert werden. --- **Ist ICMP gefährlich?** ICMP ist nicht automatisch gefährlich. Es kann aber für Angriffe oder Informationsgewinnung missbraucht werden. Beispiele: - Ping-Scans zur Erkennung erreichbarer Hosts - ICMP-Flooding als DoS-Angriff - Netzwerkaufklärung durch traceroute Deshalb wird ICMP in vielen Netzwerken eingeschränkt. Aber: ICMP hat auch wichtige Diagnose- und Fehlerfunktionen. Deshalb ist die beste Lösung meistens nicht: Alles blockieren. Sondern besser: Nur benötigte ICMP-Typen erlauben. Unnötige oder gefährliche ICMP-Nutzung einschränken. --- **Wichtige ICMP-Begriffe** | Begriff | Bedeutung | |---|---| | ICMP | Internet Control Message Protocol | | ICMPv6 | ICMP für IPv6 | | Echo Request | Ping-Anfrage | | Echo Reply | Ping-Antwort | | Destination Unreachable | Ziel nicht erreichbar | | Time Exceeded | Zeit überschritten | | TTL | Time To Live | | MTU | Maximum Transmission Unit | | Typ | Art der ICMP-Meldung | | Code | genauere Beschreibung der ICMP-Meldung | --- **Beispielhafte Einordnung im Netzwerk** Normale Datenübertragung mit TCP: Client → TCP-Verbindung → Server Beispiel: HTTPS-Webseite über TCP-Port 443 Normale Datenübertragung mit UDP: Client → UDP-Datagramm → Server Beispiel: DNS-Anfrage über UDP-Port 53 Kontrollmeldung mit ICMP: Router oder Zielhost → ICMP-Meldung → Absender Beispiel: Ziel nicht erreichbar oder Zeit überschritten --- **IHK-sichere Kurzformulierung** ICMP ist ein Kontrollprotokoll der Internetprotokollfamilie. Es dient nicht der normalen Datenübertragung zwischen Anwendungen, sondern wird für Fehler- und Statusmeldungen im IP-Netzwerk verwendet. Typische Beispiele sind das klassische ping mit ICMP Echo Request und ICMP Echo Reply sowie Fehlermeldungen wie Destination Unreachable oder Time Exceeded. Im Gegensatz zu TCP und UDP verwendet ICMP keine Ports, sondern Typen und Codes. Wichtig ist: Klassisches ping nutzt ICMP, aber ICMP wird nicht ausschließlich für ping verwendet. Außerdem wird der Begriff "Ping" umgangssprachlich manchmal auch für andere Latenz- oder Erreichbarkeitstests genutzt, zum Beispiel TCP-Ping, HTTP-Ping oder Game-Ping. --- **Merksätze** TCP transportiert zuverlässig. UDP transportiert schnell und einfach. ICMP meldet, prüft und diagnostiziert. TCP und UDP verwenden Ports. ICMP verwendet keine Ports. TCP = Verbindung und Zuverlässigkeit UDP = keine Verbindung und wenig Verwaltungsaufwand ICMP = Kontroll- und Fehlermeldungen Klassisches ping nutzt ICMP Echo Request und ICMP Echo Reply. ICMP ist aber nicht nur für ping da. Der Begriff "Ping" wird umgangssprachlich manchmal auch für andere Antwortzeit-Tests verwendet. Traceroute nutzt unter anderem ICMP Time Exceeded. Wenn ping nicht funktioniert, heißt das nicht automatisch, dass der Zielhost komplett offline ist. ICMP sollte nicht pauschal komplett blockiert werden, weil einige ICMP-Meldungen für Diagnose und Netzwerkfunktion wichtig sind. # 24. Trainer – OSI-Schicht 4 # 25. Trainer – OSI-Schicht 5 bis 7 # 26. Trainer – Firewall, NAT und DMZ # 27. Trainer – Sniffing, Analyse und Fehlersuche # 28. Trainer – Verschlüsselung und Sicherheitsgrundlagen # 29. Trainer – VPN, Intranet und Extranet # 30. Trainer – Cloud und moderne Bereitstellungsmodelle # 31. Trainer – Anwendungsschicht und Dienste # 32. Trainer – Angriffe und Schutzmaßnahmen # 33. Trainer – Gesamtwiederholung Netzwerktechnik