Netzwerk
Ziel dieser Zusammenfassung
Diese Zusammenfassung führt Schritt für Schritt durch zentrale Themen der Netzwerktechnik.
Behandelte Themen:
Grundlagen von Netzwerken
OSI-Schichtenmodell
Schicht 0: Übertragungsmedien
Ethernet-Frame
Sniffer
Schicht 1: Netzwerkkarte und Hub
Schicht 2: MAC-Adresse, Switch, VLAN
Schicht 3: IPv4, IPv6, DHCP, DNS, Routing
Schicht 4: Ports, TCP, UDP, NAT
Firewall-Grundlagen
SPI-Firewall
DMZ
1. Grundlagen der Netzwerktechnik
Ein Netzwerk verbindet mehrere Geräte miteinander, damit diese Daten austauschen und gemeinsame Ressourcen verwenden können.
Typische Geräte in einem Netzwerk:
PC
Notebook
Smartphone
Server
Drucker
NAS
Switch
Router
Firewall
Access Point
Ein Netzwerk besteht also nicht nur aus Computern, sondern aus allen Geräten, die miteinander kommunizieren können.
1.1 Vorteile von Netzwerken
Netzwerke werden eingesetzt, weil sie viele praktische Vorteile bieten:
schneller Datenaustausch
gemeinsame Nutzung von Druckern und Servern
zentrale Datenspeicherung
zentrale Benutzerverwaltung
gemeinsame Internetnutzung
einfachere Sicherung von Daten
bessere Zusammenarbeit im Unternehmen
Beispiel:
In einem Unternehmen müssen nicht alle Mitarbeiter eigene Drucker besitzen. Alle können über das Netzwerk denselben Netzwerkdrucker verwenden.
1.2 Nachteile und Risiken von Netzwerken
Netzwerke bringen auch Risiken mit sich:
Schadsoftware kann sich schneller verbreiten
Angriffe von innen und außen sind möglich
falsche Konfiguration kann Sicherheitslücken erzeugen
Ausfall zentraler Systeme kann viele Benutzer betreffen
Wartung und Administration verursachen Kosten
Deshalb sind Schutzmaßnahmen wie Firewalls, VLANs, Benutzerrechte, Updates und Backups wichtig.
1.3 Netzwerkgrößen
Netzwerke werden oft nach ihrer räumlichen Ausdehnung unterschieden.
Begriff
Bedeutung
Beispiel
LAN
Local Area Network
Netzwerk in einem Büro, Schule oder Zuhause
MAN
Metropolitan Area Network
Netzwerk innerhalb einer Stadt
WAN
Wide Area Network
Netzwerk über große Entfernungen, z. B. Internet
1.4 Topologien
Eine Topologie beschreibt, wie Geräte in einem Netzwerk miteinander verbunden sind.
Topologie
Erklärung
Bus
Alle Geräte hängen an einer gemeinsamen Leitung. Heute veraltet.
Ring
Geräte sind ringförmig verbunden. Daten laufen im Kreis.
Stern
Alle Geräte sind mit einem zentralen Gerät verbunden, meistens einem Switch.
Mesh
Geräte sind mehrfach miteinander verbunden. Dadurch entsteht Redundanz.
Grafik: Sterntopologie
flowchart TD
SW[Switch]
PC1[PC 1]
PC2[PC 2]
PC3[PC 3]
PR[Drucker]
NAS[NAS / Server]
SW --- PC1
SW --- PC2
SW --- PC3
SW --- PR
SW --- NAS
Die Sterntopologie ist heute im LAN am häufigsten. Fällt ein einzelnes Kabel aus, ist meist nur ein Gerät betroffen. Fällt aber der zentrale Switch aus, sind alle daran angeschlossenen Geräte betroffen.
1.5 Simplex, Halbduplex und Vollduplex
Begriff
Bedeutung
Beispiel
Simplex
Kommunikation nur in eine Richtung
Radio, Fernsehsendung
Halbduplex
Kommunikation in beide Richtungen, aber nicht gleichzeitig
Funkgerät
Vollduplex
Kommunikation gleichzeitig in beide Richtungen
modernes Ethernet mit Switch
Merksatz:
Hub = meistens Halbduplex
Switch = Vollduplex möglich
2. OSI-Schichtenmodell
Das OSI-Modell teilt Netzwerkkommunikation in 7 Schichten ein. Jede Schicht hat eine bestimmte Aufgabe.
Der Vorteil: Netzwerkprobleme lassen sich besser eingrenzen.
Beispiel:
Wenn ein PC keine Webseite öffnen kann, kann man schrittweise prüfen:
Ist das Kabel verbunden?
Hat der PC eine IP-Adresse?
Funktioniert DNS?
Ist der Webserver erreichbar?
Blockiert eine Firewall?
2.1 Die 7 OSI-Schichten
Schicht
Name
Aufgabe
Beispiele
7
Anwendung
Dienste für Anwendungen
HTTP, HTTPS, DNS, SMTP
6
Darstellung
Datenformat, Codierung, Verschlüsselung
TLS, Zeichencodierung
5
Sitzung
Verbindungen zwischen Anwendungen verwalten
Sitzungen, Logins
4
Transport
Ende-zu-Ende-Kommunikation
TCP, UDP, Ports
3
Vermittlung
logische Adressierung und Routing
IP, Router
2
Sicherung
lokale Zustellung im LAN
MAC-Adresse, Switch, Ethernet
1
Bitübertragung
elektrische, optische oder Funk-Signale
Netzwerkkarte, Kabel
0
Übertragungsmedium
physisches Medium selbst
Kupfer, Glasfaser, Funk
Hinweis:
Schicht 0 gehört nicht offiziell zum OSI-Modell, wird im Unterricht aber oft als praktische Ergänzung verwendet.
2.2 Merksatz für das OSI-Modell
Von oben nach unten:
Alle Deutschen Schüler Trinken Verschiedene Sorten Brause
Wort
Schicht
Alle
Anwendung
Deutschen
Darstellung
Schüler
Sitzung
Trinken
Transport
Verschiedene
Vermittlung
Sorten
Sicherung
Brause
Bitübertragung
2.3 OSI-Modell als Grafik
flowchart TB
L7["7 Anwendung
HTTP, HTTPS, DNS"]
L6["6 Darstellung
Format, Verschlüsselung"]
L5["5 Sitzung
Sitzungen, Verbindungen"]
L4["4 Transport
TCP, UDP, Ports"]
L3["3 Vermittlung
IP, Routing"]
L2["2 Sicherung
MAC, Switch, Ethernet"]
L1["1 Bitübertragung
Signale, Netzwerkkarte"]
L0["0 Medium
Kabel, Glasfaser, Funk"]
L7 --> L6 --> L5 --> L4 --> L3 --> L2 --> L1 --> L0
2.4 TCP/IP-Modell
In der Praxis wird häufig das TCP/IP-Modell verwendet. Es ist weniger theoretisch als das OSI-Modell und orientiert sich stärker an realen Netzwerken.
TCP/IP-Schicht
Entspricht ungefähr OSI
Beispiele
Anwendung
OSI 5–7
HTTP, HTTPS, DNS, SMTP
Transport
OSI 4
TCP, UDP
Internet
OSI 3
IPv4, IPv6, ICMP
Netzzugang
OSI 1–2
Ethernet, WLAN, MAC
2.5 Datenkapselung
Beim Senden werden Daten auf jeder Schicht verpackt. Jede Schicht fügt eigene Steuerinformationen hinzu.
Beispiel beim Aufruf einer Webseite:
flowchart TD
A["HTTP-Daten
Webseiteninhalt"]
B["TCP-Header + HTTP-Daten
Port 80/443"]
C["IP-Header + TCP + Daten
Quell-IP / Ziel-IP"]
D["Ethernet-Header + IP + TCP + Daten
Quell-MAC / Ziel-MAC"]
E["Bits auf Kabel / Glasfaser / Funk"]
A --> B --> C --> D --> E
Wichtig für die IHK:
MAC-Adresse arbeitet auf Schicht 2
IP-Adresse arbeitet auf Schicht 3
Ports arbeiten auf Schicht 4
Anwendungen wie HTTP oder DNS liegen oben im Modell
3. Schicht 0 – Übertragungsmedien
Schicht 0 beschreibt das Medium, über das Daten übertragen werden.
Typische Medien:
Koaxialkabel
Twisted-Pair-Kabel
Lichtwellenleiter
Funk bei WLAN
3.1 Koaxialkabel
Koaxialkabel wurden früher häufig in Bus-Netzwerken verwendet. Heute sind sie in klassischen LANs veraltet.
Merkmale:
früher für Ethernet verwendet
Bus-Topologie
störanfällig bei schlechter Verkabelung
heute kaum noch relevant für moderne LANs
3.2 Twisted-Pair-Kabel
Twisted-Pair-Kabel sind die typischen Netzwerkkabel mit RJ45-Stecker.
Die Adernpaare sind verdrillt. Dadurch werden Störungen reduziert.
Kategorie
Typische Verwendung
Cat 5e
bis 1 Gbit/s
Cat 6
1 Gbit/s, teilweise 2,5/5 Gbit/s
Cat 6A
bis 10 Gbit/s
Cat 7
hochwertige Gebäudeverkabelung
Cat 8
sehr hohe Datenraten im kurzen Bereich
Faustregel:
Für normale Büro- und Heimnetzwerke ist Cat 6 oder Cat 6A meistens ausreichend.
3.3 Lichtwellenleiter
Lichtwellenleiter übertragen Daten mit Licht statt mit elektrischen Signalen.
Vorteile:
hohe Reichweite
hohe Geschwindigkeit
unempfindlicher gegen elektromagnetische Störungen
gut für Gebäudeverbindungen und Rechenzentren
Nachteile:
empfindlicher gegen Knicken
teurer in Installation und Technik
Spleißen und Messung benötigen Fachwissen
3.4 Multimode und Singlemode
Typ
Erklärung
Einsatz
Multimode
Licht läuft auf mehreren Wegen durch die Faser
kurze bis mittlere Strecken
Singlemode
Licht läuft auf einem sehr engen Weg
lange Strecken
Merksatz:
Multimode = kürzere Strecken
Singlemode = lange Strecken
3.5 Verkabelungsregel
Eine einfache praktische Regel:
Entfernung
Medium
bis ca. 100 m
Twisted-Pair-Kupferkabel
bis mehrere hundert Meter
Multimode-LWL
größere Entfernungen
Singlemode-LWL
3.6 WLAN
WLAN überträgt Daten per Funk.
Wichtige Frequenzbereiche:
Frequenz
Eigenschaften
2,4 GHz
hohe Reichweite, aber oft stärker belegt
5 GHz
schneller, weniger Reichweite
6 GHz
modern, hohe Geschwindigkeit, kürzere Reichweite
Wichtige WLAN-Generationen:
Name
Standard
Wi-Fi 4
IEEE 802.11n
Wi-Fi 5
IEEE 802.11ac
Wi-Fi 6
IEEE 802.11ax
Wi-Fi 6E
IEEE 802.11ax mit 6 GHz
Wi-Fi 7
IEEE 802.11be
3.7 WLAN-Sicherheit
Für die IHK wichtig:
WLAN sollte verschlüsselt sein
WPA2 ist Mindeststandard
WPA3 ist empfohlen
Gastnetz getrennt vom internen Netz betreiben
unsichere alte Standards vermeiden
starke Passwörter verwenden
4. Ethernet-Frame
Ethernet arbeitet auf Schicht 2. Die Daten werden in Frames übertragen.
Ein Ethernet-Frame enthält unter anderem:
Ziel-MAC-Adresse
Quell-MAC-Adresse
Typfeld
Nutzdaten
Prüfsumme
4.1 Ethernet-Frame als Grafik
flowchart LR
A["Präambel"]
B["Ziel-MAC"]
C["Quell-MAC"]
D["Typ"]
E["Daten
z. B. IP + TCP + HTTP"]
F["FCS / Prüfsumme"]
A --> B --> C --> D --> E --> F
4.2 MAC-Adresse
Eine MAC-Adresse ist die Hardwareadresse einer Netzwerkschnittstelle.
Eigenschaften:
48 Bit lang
hexadezimale Schreibweise
Beispiel: 00:1A:2B:3C:4D:5E
arbeitet auf OSI-Schicht 2
wird im lokalen Netzwerk verwendet
Wichtig:
Eine MAC-Adresse wird nur im lokalen Netzwerksegment verwendet. Sobald ein Paket über einen Router weitergeleitet wird, ändern sich die MAC-Adressen auf dem Weg. Die IP-Adressen bleiben dagegen im Normalfall gleich.
4.3 FCS / CRC
Die Prüfsumme dient zur Fehlererkennung.
Wenn ein Frame beschädigt ist, kann dies erkannt werden. Der Frame wird dann verworfen.
Wichtig:
Ethernet korrigiert Fehler nicht selbst. Fehlerhafte Frames werden verworfen. Höhere Schichten, zum Beispiel TCP, können dann eine erneute Übertragung auslösen.
4.4 MTU und Nutzdaten
Die übliche MTU bei Ethernet beträgt 1500 Byte.
Das bedeutet:
Ein Ethernet-Frame kann typischerweise 1500 Byte Nutzdaten für die nächsthöhere Schicht transportieren.
Da IP- und TCP-Header ebenfalls Platz benötigen, bleiben für reine Anwendungsdaten weniger als 1500 Byte übrig.
5. Sniffer
Ein Sniffer ist ein Werkzeug zur Analyse von Netzwerkverkehr.
Beispiele:
Wireshark
tcpdump
Windump
Sniffer werden zur Fehlersuche eingesetzt.
Beispiele:
Warum bekommt ein Client keine IP-Adresse?
Wird DNS korrekt aufgelöst?
Sendet ein Gerät ARP-Anfragen?
Kommt eine TCP-Verbindung zustande?
5.1 Rechtlicher Hinweis
Sniffing darf nur erlaubt und kontrolliert eingesetzt werden.
In Unternehmen gilt:
Vorgesetzte informieren
Datenschutz beachten
Betriebsrat einbeziehen, falls vorhanden
nicht heimlich fremde Daten mitschneiden
Für Ausbildung und Laborumgebungen ist Sniffing sinnvoll, solange keine fremden Daten ausspioniert werden.
6. Schicht 1 – Bitübertragung
Schicht 1 beschreibt die technische Übertragung der Bits.
Dazu gehören:
elektrische Signale
optische Signale
Funkwellen
Netzwerkkarten
physische Anschlüsse
6.1 Netzwerkkarte
Die Netzwerkkarte verbindet den Computer mit dem Netzwerk.
Aufgaben:
Daten senden und empfangen
Signale erzeugen
Prüfsummen prüfen
Zugriff auf das Medium steuern
MAC-Adresse bereitstellen
6.2 CSMA/CD und CSMA/CA
Verfahren
Bedeutung
Einsatz
CSMA/CD
Kollisionserkennung
alte kabelgebundene Netze mit Hub
CSMA/CA
Kollisionsvermeidung
WLAN
Merksatz:
CD = Collision Detection = Kollision erkennen
CA = Collision Avoidance = Kollision vermeiden
6.3 Hub
Ein Hub ist ein veraltetes Netzwerkgerät.
Eigenschaften:
verteilt Daten an alle Ports
kennt keine MAC-Adressen
erzeugt unnötigen Datenverkehr
Sniffing ist leicht möglich
nur Halbduplex
praktisch durch Switches ersetzt
7. Schicht 2 – Sicherungsschicht
Schicht 2 ist für die lokale Kommunikation im gleichen Netzwerk zuständig.
Wichtige Begriffe:
MAC-Adresse
Ethernet-Frame
Switch
VLAN
ARP
Broadcast
7.1 Switch
Ein Switch verbindet Geräte in einem LAN.
Er arbeitet hauptsächlich auf Schicht 2 und leitet Frames anhand der MAC-Adresse weiter.
Vorteile gegenüber einem Hub:
sendet Frames gezielt an den richtigen Port
weniger unnötiger Datenverkehr
Vollduplex möglich
höhere Geschwindigkeit
bessere Sicherheit
7.2 Switch-Tabelle
Ein Switch merkt sich, welche MAC-Adresse an welchem Port erreichbar ist.
Diese Tabelle wird oft MAC Address Table, SAT-Tabelle oder Forwarding Table genannt.
Ablauf:
Ein Frame kommt am Switch an.
Der Switch liest die Quell-MAC-Adresse.
Er merkt sich: Diese MAC-Adresse befindet sich an diesem Port.
Bei späteren Frames zur gleichen MAC-Adresse kann der Switch gezielt weiterleiten.
7.3 ARP
ARP bedeutet Address Resolution Protocol.
ARP wird bei IPv4 verwendet, um zu einer IP-Adresse die passende MAC-Adresse zu finden.
Beispiel:
Ein PC möchte an 192.168.1.20 senden, kennt aber nur die IP-Adresse.
Dann fragt er per Broadcast:
„Wer hat 192.168.1.20?“
Das Zielgerät antwortet:
„Ich habe 192.168.1.20, meine MAC-Adresse ist ...“
7.4 ARP als Grafik
sequenceDiagram
participant PC1 as PC 1
participant LAN as LAN / Switch
participant PC2 as PC 2
PC1->>LAN: ARP Request: Wer hat 192.168.1.20?
LAN->>PC2: Broadcast wird weitergeleitet
PC2->>PC1: ARP Reply: Ich habe die IP, meine MAC ist AA:BB:CC...
7.5 Managed und unmanaged Switch
Typ
Erklärung
Unmanaged Switch
keine Konfiguration nötig, einfache Nutzung
Managed Switch
konfigurierbar, z. B. VLAN, Port-Mirroring, STP, PoE
Für Unternehmen sind managed Switches wichtig, weil sie mehr Kontrolle und Sicherheit bieten.
7.6 Port-Mirroring
Beim Port-Mirroring wird der Datenverkehr eines Ports auf einen anderen Port kopiert.
Einsatz:
Analyse mit Wireshark
Fehlersuche
Sicherheitsanalyse
7.7 Link Aggregation
Bei Link Aggregation werden mehrere physische Netzwerkverbindungen zu einer logischen Verbindung zusammengefasst.
Vorteile:
höhere Gesamtbandbreite
Redundanz
bessere Auslastung
Wichtig:
Eine einzelne Verbindung wird nicht automatisch doppelt so schnell. Die Last wird meistens auf mehrere Verbindungen verteilt.
7.8 Power over Ethernet
Power over Ethernet, kurz PoE, überträgt Daten und Strom über dasselbe Netzwerkkabel.
Typische Geräte:
IP-Telefone
Access Points
Überwachungskameras
kleine Netzwerkgeräte
Vorteil:
Man braucht nicht an jedem Gerät eine eigene Steckdose.
7.9 Spanning Tree Protocol
Das Spanning Tree Protocol verhindert Schleifen zwischen Switches.
Warum ist das wichtig?
Wenn Switches mehrfach miteinander verbunden sind, kann ein Broadcast endlos im Kreis laufen. Dadurch kann das Netzwerk stark überlastet werden.
STP blockiert bestimmte Verbindungen logisch und aktiviert sie bei Bedarf wieder, wenn eine andere Verbindung ausfällt.
7.10 Spanning Tree als Grafik
flowchart TD
SW1[Switch 1]
SW2[Switch 2]
SW3[Switch 3]
SW4[Switch 4]
SW1 --- SW2
SW2 --- SW3
SW3 -. blockiert durch STP .- SW4
SW4 --- SW1
Die gestrichelte Verbindung ist vorhanden, wird aber logisch blockiert. Fällt eine andere Verbindung aus, kann STP neu berechnen und die blockierte Verbindung wieder aktivieren.
7.11 VLAN
VLAN bedeutet Virtual Local Area Network.
Ein VLAN teilt ein physisches Netzwerk in mehrere logische Netzwerke auf.
Beispiel:
Ein Switch kann gleichzeitig mehrere getrennte Netze bereitstellen:
VLAN 10 = Verwaltung
VLAN 20 = Schüler / Mitarbeiter
VLAN 30 = Gäste
VLAN 40 = Server
Vorteile:
bessere Sicherheit
weniger Broadcast-Verkehr
klare Trennung von Bereichen
einfachere Netzwerkstruktur
7.12 VLAN als Grafik
flowchart TD
SW[Managed Switch]
PC1[PC Verwaltung
VLAN 10]
PC2[PC Verwaltung
VLAN 10]
PC3[Gastgerät
VLAN 30]
PC4[Server
VLAN 40]
SW --- PC1
SW --- PC2
SW --- PC3
SW --- PC4
Geräte im gleichen VLAN können direkt miteinander kommunizieren. Geräte in unterschiedlichen VLANs benötigen Routing, meist über einen Router, Layer-3-Switch oder eine Firewall.
7.13 Tagged und Untagged VLAN
Begriff
Erklärung
Untagged Port
Port gehört fest zu einem VLAN, z. B. Endgerät
Tagged Port
VLAN-Information wird im Frame mitgesendet, z. B. Verbindung zwischen Switches
Trunk
Verbindung, die mehrere VLANs transportiert
Beispiel:
Ein PC-Port ist meistens untagged. Eine Verbindung zwischen zwei Switches ist meistens tagged.
8. Schicht 3 – Vermittlungsschicht
Schicht 3 ist für logische Adressierung und Routing zuständig.
Wichtige Themen:
IPv4
IPv6
Subnetzmaske
Routing
DHCP
DNS
Router
Layer-3-Switch
8.1 IPv4-Adresse
Eine IPv4-Adresse ist 32 Bit lang.
Sie wird in vier Oktette aufgeteilt.
Beispiel:
192.168.1.10
Binär:
11000000.10101000.00000001.00001010
Jedes Oktett hat 8 Bit und kann Werte von 0 bis 255 enthalten.
8.2 Subnetzmaske
Die Subnetzmaske trennt eine IP-Adresse in Netzanteil und Hostanteil.
Beispiel:
IP-Adresse:
192.168.1.10
Subnetzmaske:
255.255.255.0
CIDR-Schreibweise:
/24
Das bedeutet:
die ersten 24 Bit gehören zum Netzanteil
die restlichen 8 Bit gehören zum Hostanteil
Netz:
192.168.1.0/24
Hostbereich:
192.168.1.1 bis 192.168.1.254
Broadcast:
192.168.1.255
8.3 IPv4-Netz als Grafik
flowchart LR
A["192.168.1.0
Netzadresse"]
B["192.168.1.1
erster Host"]
C["192.168.1.10
Host"]
D["192.168.1.254
letzter Host"]
E["192.168.1.255
Broadcast"]
A --> B --> C --> D --> E
8.4 Netzadresse und Broadcast
In jedem IPv4-Netz gibt es zwei besondere Adressen:
Adresse
Bedeutung
erste Adresse
Netzadresse
letzte Adresse
Broadcast-Adresse
Diese beiden Adressen können nicht als normale Hostadresse verwendet werden.
Beispiel bei 192.168.1.0/24 :
Typ
Adresse
Netzadresse
192.168.1.0
erster Host
192.168.1.1
letzter Host
192.168.1.254
Broadcast
192.168.1.255
8.5 Private IPv4-Adressbereiche
Private IP-Adressen werden in lokalen Netzwerken verwendet und nicht direkt im Internet geroutet.
Bereich
CIDR
10.0.0.0 bis 10.255.255.255
10.0.0.0/8
172.16.0.0 bis 172.31.255.255
172.16.0.0/12
192.168.0.0 bis 192.168.255.255
192.168.0.0/16
Diese Bereiche sind besonders wichtig für Heimnetzwerke, Firmennetze, Labore und virtuelle Umgebungen.
8.6 Besondere IPv4-Adressen
Adresse
Bedeutung
0.0.0.0
unspezifizierte Adresse
127.0.0.1
localhost / Loopback
169.254.0.0/16
APIPA / Link Local
255.255.255.255
lokaler Broadcast
APIPA sieht man häufig, wenn ein Client keine Adresse vom DHCP-Server bekommt.
8.7 Subnetting
Subnetting bedeutet, ein größeres Netzwerk in kleinere Teilnetze aufzuteilen.
Warum macht man Subnetting?
bessere Struktur
weniger Broadcast-Verkehr
bessere Sicherheit
Trennung von Abteilungen
effizientere Adressvergabe
Beispiel:
Aus 192.168.1.0/24 werden zwei Subnetze:
Subnetz
Bereich
192.168.1.0/25
192.168.1.0 bis 192.168.1.127
192.168.1.128/25
192.168.1.128 bis 192.168.1.255
Nutzbare Hosts:
Subnetz
nutzbare Hosts
192.168.1.0/25
192.168.1.1 bis 192.168.1.126
192.168.1.128/25
192.168.1.129 bis 192.168.1.254
8.8 Subnetting-Regel
Formel:
Anzahl Adressen = 2^(Hostbits)
nutzbare Hosts = 2^(Hostbits) - 2
Beispiel /24 :
32 Bit insgesamt
24 Bit Netzanteil
8 Bit Hostanteil
2⁸ = 256 Adressen
256 - 2 = 254 nutzbare Hosts
8.9 Häufige CIDR-Werte
CIDR
Subnetzmaske
Adressen
nutzbare Hosts
/24
255.255.255.0
256
254
/25
255.255.255.128
128
126
/26
255.255.255.192
64
62
/27
255.255.255.224
32
30
/28
255.255.255.240
16
14
/29
255.255.255.248
8
6
/30
255.255.255.252
4
2
Für IHK-Aufgaben sind diese Werte sehr wichtig.
8.10 IPv6
IPv6 ist der Nachfolger von IPv4.
Eigenschaften:
128 Bit lang
hexadezimale Schreibweise
sehr großer Adressraum
kein klassisches Broadcast wie bei IPv4
nutzt Multicast und Neighbor Discovery
Beispiel:
2001:0db8:0000:0000:0000:ff00:0042:8329
Gekürzt:
2001:db8::ff00:42:8329
8.11 IPv6 kürzen
Regeln:
führende Nullen in einem Block dürfen weggelassen werden
eine zusammenhängende Folge von Null-Blöcken darf einmal durch :: ersetzt werden
Beispiel:
Lang:
2001:0db8:0000:0000:0000:0000:0000:0001
Kurz:
2001:db8::1
Wichtig:
:: darf nur einmal in einer IPv6-Adresse verwendet werden, sonst wäre die Adresse nicht eindeutig.
8.12 Besondere IPv6-Adressen
Adresse / Bereich
Bedeutung
::
unspezifizierte Adresse
::1
Loopback
fe80::/10
Link Local
fc00::/7
Unique Local Address
ff00::/8
Multicast
8.13 DHCP
DHCP vergibt automatisch Netzwerkkonfigurationen an Clients.
Typische DHCP-Informationen:
IP-Adresse
Subnetzmaske
Standardgateway
DNS-Server
Lease-Zeit
8.14 DHCP-Ablauf
Der typische DHCP-Ablauf besteht aus vier Schritten:
Schritt
Bedeutung
Discover
Client sucht DHCP-Server
Offer
Server bietet Adresse an
Request
Client fordert Adresse an
Acknowledge
Server bestätigt die Vergabe
Merksatz:
DORA
Discover
Offer
Request
Acknowledge
8.15 DHCP als Grafik
sequenceDiagram
participant C as Client
participant S as DHCP-Server
C->>S: DHCP Discover
S->>C: DHCP Offer
C->>S: DHCP Request
S->>C: DHCP Acknowledge
8.16 DNS
DNS bedeutet Domain Name System.
DNS übersetzt Namen in IP-Adressen.
Beispiel:
www.example.com
wird zu einer IP-Adresse aufgelöst.
Warum ist DNS wichtig?
Menschen merken sich Namen leichter als IP-Adressen.
8.17 FQDN
FQDN bedeutet Fully Qualified Domain Name.
Beispiel:
server01.firma.local
Bestandteile:
Teil
Bedeutung
server01
Hostname
firma
Domain
local
Top-Level oder interner Namensraum
8.18 Routing
Routing bedeutet, Datenpakete zwischen verschiedenen Netzwerken weiterzuleiten.
Ein Router verbindet mehrere IP-Netze.
Beispiel:
Netz A: 192.168.1.0/24
Netz B: 192.168.2.0/24
Damit Geräte aus beiden Netzen kommunizieren können, braucht man einen Router oder Layer-3-Switch.
8.19 Routing als Grafik
flowchart LR
A["PC A
192.168.1.10/24"]
R["Router
192.168.1.1 / 192.168.2.1"]
B["PC B
192.168.2.10/24"]
A --- R --- B
Wenn PC A mit PC B kommunizieren möchte, erkennt PC A:
PC B liegt nicht im eigenen Netz. Deshalb sendet PC A das Paket an sein Standardgateway.
8.20 Statisches und dynamisches Routing
Art
Erklärung
statisches Routing
Routen werden manuell eingetragen
dynamisches Routing
Router tauschen Routen automatisch aus
Für kleinere Netze reichen statische Routen oft aus. In größeren Netzen verwendet man dynamische Routing-Protokolle.
8.21 Layer-3-Switch
Ein Layer-3-Switch kann zusätzlich zum Switching auch Routing übernehmen.
Typischer Einsatz:
VLANs miteinander verbinden
schnelles Routing im LAN
Entlastung eines Routers
Beispiel:
VLAN 10 und VLAN 20 können über einen Layer-3-Switch miteinander kommunizieren, wenn Routing erlaubt ist.
9. Schicht 4 – Transportschicht
Schicht 4 ist für die Kommunikation zwischen Anwendungen zuständig.
Wichtige Themen:
TCP
UDP
Ports
Verbindungsaufbau
Verbindungsabbau
NAT
Portweiterleitung
9.1 Ports
Ports dienen dazu, Anwendungen auf einem Gerät zu unterscheiden.
Ein Gerät kann eine IP-Adresse haben, aber viele Dienste gleichzeitig anbieten.
Beispiel:
Dienst
Port
HTTP
80
HTTPS
443
DNS
53
SSH
22
SMTP
25
IMAP
143
RDP
3389
Die IP-Adresse sagt, welches Gerät gemeint ist. Der Port sagt, welche Anwendung auf dem Gerät gemeint ist.
9.2 Schreibweise IP-Adresse mit Port
Beispiele:
192.168.1.10:80
10.0.0.5:22
https://example.com:443
9.3 Portbereiche
Bereich
Name
Bedeutung
0–1023
System Ports / Well-known Ports
bekannte Standarddienste
1024–49151
User Ports
registrierte Anwendungen
49152–65535
Dynamic / Private Ports
temporäre Client-Ports
9.4 TCP
TCP ist verbindungsorientiert.
Eigenschaften:
zuverlässige Übertragung
Reihenfolge der Daten wird sichergestellt
verlorene Daten werden erneut gesendet
Verbindung wird aufgebaut und beendet
mehr Verwaltungsaufwand als UDP
Typische TCP-Dienste:
HTTP
HTTPS
SSH
SMTP
IMAP
FTP
9.5 TCP-Verbindungsaufbau
TCP nutzt den Three-Way-Handshake.
sequenceDiagram
participant C as Client
participant S as Server
C->>S: SYN
S->>C: SYN/ACK
C->>S: ACK
Danach ist die Verbindung aufgebaut.
9.6 TCP-Verbindungsabbau
Eine TCP-Verbindung wird kontrolliert beendet.
Vereinfacht:
sequenceDiagram
participant C as Client
participant S as Server
C->>S: FIN
S->>C: ACK
S->>C: FIN
C->>S: ACK
9.7 UDP
UDP ist verbindungslos.
Eigenschaften:
kein Verbindungsaufbau
keine Garantie für Zustellung
keine automatische Wiederholung
schneller und schlanker als TCP
Typische UDP-Dienste:
DNS
DHCP
VoIP
Streaming
Gaming
9.8 TCP und UDP Vergleich
Merkmal
TCP
UDP
Verbindung
verbindungsorientiert
verbindungslos
Zuverlässigkeit
hoch
keine Garantie
Reihenfolge
wird sichergestellt
nicht garantiert
Geschwindigkeit
mehr Overhead
weniger Overhead
Beispiele
HTTPS, SSH, SMTP
DNS, DHCP, VoIP
9.9 NAT
NAT bedeutet Network Address Translation.
NAT übersetzt IP-Adressen.
Typischer Fall:
Viele private Geräte im LAN nutzen eine gemeinsame öffentliche IP-Adresse für den Zugriff ins Internet.
Beispiel:
PC intern: 192.168.1.10
Router öffentlich: 84.x.x.x
Der Router ersetzt beim Senden ins Internet die private Quelladresse durch seine öffentliche Adresse.
9.10 NAT als Grafik
flowchart LR
PC["PC
192.168.1.10"]
R["Router / NAT
innen: 192.168.1.1
außen: öffentliche IP"]
INET["Internet
Webserver"]
PC --> R --> INET
INET --> R --> PC
9.11 PAT
PAT bedeutet Port Address Translation.
PAT ist eine Form von NAT, bei der zusätzlich Ports genutzt werden.
Dadurch können viele interne Geräte gleichzeitig über eine öffentliche IP-Adresse kommunizieren.
Beispiel:
Intern
Extern
192.168.1.10:50001
öffentliche-IP:61001
192.168.1.11:50002
öffentliche-IP:61002
Der Router merkt sich diese Zuordnung in einer NAT-Tabelle.
9.12 Portforwarding
Portforwarding wird auch Destination NAT genannt.
Dabei wird eine Anfrage von außen an ein internes Gerät weitergeleitet.
Beispiel:
Anfrage aus dem Internet an:
öffentliche-IP:443
wird weitergeleitet an:
192.168.1.20:443
Typische Verwendung:
Webserver im internen Netzwerk
VPN-Server
Spieleserver
Remote-Zugriff
Sicherheitswarnung:
Portforwarding öffnet Dienste nach außen. Deshalb sollte man nur notwendige Ports freigeben und Dienste aktuell halten.
9.13 Portforwarding als Grafik
flowchart LR
I["Client im Internet"]
R["Router / Firewall
Port 443 offen"]
S["Interner Webserver
192.168.1.20:443"]
I --> R --> S
9.14 Allowlist und Blocklist
Begriff
Bedeutung
Allowlist
Nur ausdrücklich erlaubte Dinge sind erlaubt
Blocklist
Nur ausdrücklich verbotene Dinge sind blockiert
Sicherer ist meistens das Allowlist-Prinzip:
Alles ist verboten, außer es wurde ausdrücklich erlaubt.
10. Firewalls
Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln.
Sie entscheidet:
Wer darf wohin?
Von welcher Quelle?
Zu welchem Ziel?
Über welches Protokoll?
Über welchen Port?
In welche Richtung?
Eine Firewall schützt nicht automatisch vor allem. Sie ist nur so gut wie ihre Regeln und ihre Platzierung im Netzwerk.
10.1 Aufgaben einer Firewall
Eine Firewall kann:
unerwünschten Datenverkehr blockieren
erlaubte Kommunikation zulassen
Netze voneinander trennen
Server in einer DMZ schützen
Zugriffe protokollieren
Angriffsfläche reduzieren
Regeln für ein- und ausgehenden Verkehr erzwingen
10.2 Personal Firewall und Unternehmens-Firewall
Typ
Erklärung
Personal Firewall
läuft direkt auf einem einzelnen PC oder Server
Unternehmens-Firewall
schützt ein gesamtes Netzwerk oder mehrere Netzbereiche
Beispiel:
Die Windows Defender Firewall ist eine Personal Firewall.
Eine Firewall zwischen LAN und Internet ist eine Unternehmens-Firewall.
10.3 Paketfilter-Firewall
Eine einfache Paketfilter-Firewall prüft einzelne Pakete anhand von Regeln.
Sie betrachtet zum Beispiel:
Quell-IP
Ziel-IP
Protokoll
Port
Nachteil:
Klassische Paketfilter kennen oft keinen Verbindungszustand. Hin- und Rückweg müssen dann separat erlaubt werden.
Für die IHK wichtig:
Paketfilter-Firewalls sind weiterhin prüfungsrelevant, auch wenn moderne Firewalls meist zustandsorientiert arbeiten.
10.4 Stateful Packet Inspection Firewall
Eine SPI-Firewall ist zustandsorientiert.
SPI bedeutet Stateful Packet Inspection.
Das bedeutet:
Die Firewall merkt sich bestehende Verbindungen.
Vorteil:
Wenn ein Client aus dem LAN eine Verbindung nach außen aufbaut, kann die Antwort automatisch wieder zurückgelassen werden.
Der Rückweg muss nicht extra als neue Regel eingerichtet werden.
10.5 Paketfilter vs. SPI-Firewall
Merkmal
Paketfilter
SPI-Firewall
prüft einzelne Pakete
ja
ja
kennt Verbindungszustand
nein oder begrenzt
ja
Rückweg automatisch erlaubt
nein
ja, wenn Verbindung gültig
Sicherheit
geringer
höher
heutige Praxis
eher veraltet
üblich
10.6 Firewall-Regeln nach OSI-Schichten
Eine Firewall kann je nach Typ verschiedene Informationen prüfen.
OSI-Schicht
Prüfkriterium
Beispiel
Schicht 2
MAC-Adresse
Nur Gerät mit bestimmter MAC erlauben
Schicht 3
IP-Adresse
Quelle 192.168.1.10 erlauben
Schicht 4
TCP / UDP und Ports
TCP 443 erlauben
Schicht 7
Anwendung
HTTP, DNS, bestimmte URLs
Wichtig:
Je höher die Schicht, desto genauer kann geprüft werden. Dafür braucht die Firewall aber mehr Leistung und mehr Verständnis des Datenverkehrs.
10.7 Grundprinzip: Default Deny
Ein sicheres Firewall-Konzept arbeitet häufig nach diesem Prinzip:
Alles ist verboten, außer es wurde ausdrücklich erlaubt.
Das nennt man Default Deny.
Beispiel:
Erlaubt:
LAN → Internet: HTTPS
LAN → DNS-Server: DNS
Admin-PC → Server: SSH oder RDP
Verboten:
Internet → LAN
Gäste-WLAN → internes Servernetz
unbekannte Ports
unnötige Dienste
10.8 Firewall als Grenze zwischen Netzen
flowchart LR
LAN["Internes LAN
vertrauenswürdiger Bereich"]
FW["Firewall
Regelprüfung"]
WAN["Internet
nicht vertrauenswürdiger Bereich"]
LAN --> FW --> WAN
WAN --> FW --> LAN
Die Firewall steht zwischen verschiedenen Sicherheitszonen.
10.9 Typische Firewall-Zonen
Zone
Bedeutung
LAN
internes vertrauenswürdiges Netz
WAN
Internet / externes Netz
DMZ
separates Netz für öffentlich erreichbare Server
Gäste-Netz
getrenntes Netz für Besucher
Servernetz
separates Netz für wichtige Server
10.10 DMZ
DMZ bedeutet Demilitarisierte Zone.
Eine DMZ ist ein separates Netzwerk für Server, die aus dem Internet erreichbar sein müssen.
Beispiele:
Webserver
Mailserver
VPN-Gateway
Reverse Proxy
Warum DMZ?
Wenn ein öffentlich erreichbarer Server kompromittiert wird, soll der Angreifer nicht direkt im internen LAN stehen.
10.11 DMZ als Grafik
flowchart LR
WAN["Internet"]
FW["Firewall"]
LAN["Internes LAN
Clients, Dateien, interne Server"]
DMZ["DMZ
Webserver / Reverse Proxy"]
WAN --- FW
FW --- LAN
FW --- DMZ
Regelbeispiel:
Richtung
Regel
Internet → DMZ
Nur HTTPS zum Webserver erlauben
Internet → LAN
blockieren
DMZ → LAN
nur absolut notwendige Verbindungen
LAN → DMZ
Administration nur von Admin-PCs
LAN → Internet
notwendige Dienste erlauben
10.12 Einstufige und zweistufige DMZ
Einstufige DMZ
Eine Firewall trennt Internet, LAN und DMZ.
Vorteil:
einfacher Aufbau
weniger Geräte
günstiger
Nachteil:
die Sicherheit hängt stark an einer Firewall
Zweistufige DMZ
Zwei Firewalls trennen Internet, DMZ und LAN.
Vorteil:
bessere Trennung
höheres Sicherheitsniveau
Nachteil:
mehr Aufwand
höhere Kosten
komplexere Administration
10.13 Einstufige DMZ
flowchart LR
I["Internet"]
FW["Firewall mit 3 Schnittstellen"]
LAN["LAN"]
DMZ["DMZ"]
I --- FW
FW --- LAN
FW --- DMZ
10.14 Zweistufige DMZ
flowchart LR
I["Internet"]
FW1["Firewall 1"]
DMZ["DMZ"]
FW2["Firewall 2"]
LAN["Internes LAN"]
I --- FW1 --- DMZ --- FW2 --- LAN
10.15 Firewall-Regeln verstehen
Eine Firewall-Regel besteht typischerweise aus:
Bestandteil
Beispiel
Quelle
192.168.10.0/24
Ziel
8.8.8.8
Protokoll
TCP oder UDP
Port
53, 80, 443
Aktion
erlauben oder blockieren
Richtung
eingehend, ausgehend, weitergeleitet
Beispielregel:
LAN darf per TCP Port 443 ins Internet.
Das bedeutet:
Quelle: LAN
Ziel: Internet
Protokoll: TCP
Port: 443
Aktion: erlauben
10.16 INPUT, OUTPUT und FORWARD
Bei Linux-Firewalls mit iptables sind drei Richtungen besonders wichtig.
Chain
Bedeutung
INPUT
Verkehr zur Firewall selbst
OUTPUT
Verkehr von der Firewall selbst nach außen
FORWARD
Verkehr durch die Firewall hindurch
Beispiele:
Situation
Chain
Admin greift per SSH auf Firewall zu
INPUT
Firewall macht selbst DNS-Abfrage
OUTPUT
PC im LAN geht über Firewall ins Internet
FORWARD
10.17 INPUT, OUTPUT und FORWARD als Grafik
flowchart LR
LAN["LAN-Client"]
FW["Firewall-System"]
NET["Internet"]
LAN -- "FORWARD
durch die Firewall" --> FW
FW -- "FORWARD" --> NET
LAN -- "INPUT
zur Firewall selbst" --> FW
FW -- "OUTPUT
von der Firewall selbst" --> NET
10.18 Beispiel für einfache Firewall-Logik
Ziel:
LAN darf ins Internet
Antworten aus dem Internet dürfen zurück
Internet darf keine neuen Verbindungen ins LAN starten
Regellogik:
Erlaube bestehende und zugehörige Verbindungen.
Erlaube LAN → Internet für notwendige Dienste.
Blockiere neue Verbindungen von Internet → LAN.
Protokolliere unerwünschte Zugriffe.
Standardregel: blockieren.
10.19 Beispiel-Regelkonzept
Nr.
Quelle
Ziel
Dienst
Aktion
1
LAN
Internet
DNS
erlauben
2
LAN
Internet
HTTP/HTTPS
erlauben
3
LAN
Internet
NTP
erlauben
4
Internet
LAN
alle
blockieren
5
Admin-PC
Server
SSH/RDP
erlauben
6
Gäste-WLAN
LAN
alle
blockieren
10.20 Firewall und VLAN
VLANs trennen Netze logisch. Eine Firewall kann anschließend regeln, welche VLANs miteinander kommunizieren dürfen.
Beispiel:
flowchart TD
FW["Firewall / Layer-3-Gateway"]
V10["VLAN 10
Verwaltung"]
V20["VLAN 20
Mitarbeiter"]
V30["VLAN 30
Gäste"]
V40["VLAN 40
Server"]
V10 --- FW
V20 --- FW
V30 --- FW
V40 --- FW
Beispielregeln:
Richtung
Erlaubt?
Verwaltung → Server
ja
Mitarbeiter → Server
teilweise
Gäste → Internet
ja
Gäste → Server
nein
Gäste → Verwaltung
nein
10.21 Typische Prüfungsfragen zur Firewall
Was macht eine Firewall?
Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln. Sie erlaubt oder blockiert Verbindungen abhängig von Quelle, Ziel, Protokoll, Port und Richtung.
Was ist der Unterschied zwischen Paketfilter und SPI-Firewall?
Ein Paketfilter prüft einzelne Pakete. Eine SPI-Firewall merkt sich zusätzlich den Zustand einer Verbindung und kann Rückverkehr automatisch zuordnen.
Was bedeutet Default Deny?
Alles ist standardmäßig verboten. Nur ausdrücklich erlaubte Verbindungen sind zugelassen.
Warum verwendet man eine DMZ?
Eine DMZ trennt öffentlich erreichbare Server vom internen LAN. Dadurch wird das interne Netzwerk besser geschützt, falls ein öffentlicher Server kompromittiert wird.
Auf welcher OSI-Schicht arbeiten Firewalls?
Einfache Firewalls arbeiten vor allem auf Schicht 3 und 4. Moderne Firewalls können zusätzlich höhere Schichten prüfen, zum Beispiel Anwendungen auf Schicht 7.
11. IHK-Merkliste
MAC-Adresse
Schicht 2
lokale Zustellung im LAN
wird vom Switch verwendet
IP-Adresse
Schicht 3
logische Adresse
wird vom Router verwendet
Port
Schicht 4
unterscheidet Anwendungen und Dienste
Switch
arbeitet hauptsächlich auf Schicht 2
leitet anhand von MAC-Adressen weiter
Router
arbeitet auf Schicht 3
verbindet verschiedene IP-Netze
Firewall
kontrolliert Verkehr zwischen Netzen
prüft Regeln
kann auf mehreren Schichten arbeiten
NAT
übersetzt Adressen
private Geräte nutzen öffentliche IP
Portforwarding
leitet externe Anfragen an interne Server weiter
Sicherheitsrisiko, wenn falsch konfiguriert
VLAN
logische Trennung in einem physischen Netzwerk
braucht Routing oder Firewall für Kommunikation zwischen VLANs
DMZ
separates Netz für öffentlich erreichbare Server
schützt das interne LAN
12. Kurzer Gesamtüberblick als Grafik
flowchart TB
A["Schicht 0
Kabel, Glasfaser, Funk"]
B["Schicht 1
Signale, Netzwerkkarte"]
C["Schicht 2
MAC, Switch, Ethernet, VLAN"]
D["Schicht 3
IP, Routing, DHCP, DNS"]
E["Schicht 4
TCP, UDP, Ports, NAT"]
F["Firewall
Regeln zwischen Netzen"]
G["Anwendungen
HTTP, HTTPS, Mail, DNS"]
A --> B --> C --> D --> E --> F --> G
13. Beispiel: Webseitenaufruf im Netzwerk
Ein Client ruft eine Webseite auf.
Ablauf vereinfacht:
Client prüft seine IP-Konfiguration.
Client fragt DNS nach der IP-Adresse der Webseite.
Client baut per TCP eine Verbindung zum Webserver auf.
Bei HTTPS wird Port 443 verwendet.
Daten werden in TCP-Segmente verpackt.
TCP wird in IP-Pakete verpackt.
IP wird in Ethernet-Frames verpackt.
Switch leitet Frames anhand der MAC-Adresse weiter.
Router oder Firewall leitet Pakete ins Internet weiter.
NAT übersetzt private Adresse in öffentliche Adresse.
Antwortpakete kommen zurück.
SPI-Firewall erkennt die bestehende Verbindung und lässt die Antwort passieren.
14. Webseitenaufruf als Grafik
sequenceDiagram
participant PC as Client-PC
participant DNS as DNS-Server
participant FW as Router / Firewall / NAT
participant WEB as Webserver
PC->>DNS: Wie lautet die IP von example.com?
DNS->>PC: Antwort: IP-Adresse
PC->>FW: TCP SYN an Webserver Port 443
FW->>WEB: Weiterleitung mit NAT
WEB->>FW: SYN/ACK zurück
FW->>PC: Antwort wird wegen SPI erlaubt
PC->>WEB: HTTPS-Datenübertragung
15. Prüfungsorientierte Zusammenfassung
Für die IHK solltest du besonders sicher beherrschen:
OSI-Schichten und typische Geräte/Protokolle
Unterschied zwischen MAC-Adresse, IP-Adresse und Port
IPv4-Subnetting
private IP-Bereiche
DHCP-Ablauf DORA
DNS-Grundprinzip
Unterschied TCP und UDP
NAT und Portforwarding
VLAN-Grundprinzip
Firewall-Regeln
Unterschied Paketfilter und SPI-Firewall
Zweck einer DMZ
Merksatz:
MAC findet Geräte im lokalen Netz. IP findet Netze. Ports finden Anwendungen. Firewalls entscheiden, was erlaubt ist.