# OSI-Modell **OSI-Modell – Geräte und Firewall-Bezug \(IHK-sicher\)** Das OSI-Modell teilt Netzwerkkommunikation in **7 Schichten** ein. Für die IHK ist wichtig, dass du nicht nur die Namen der Schichten kennst, sondern auch verstehst, **welche Aufgabe die jeweilige Schicht hat**, **welche Geräte dort typischerweise arbeiten** und **welche Firewall-Art dazu passt**. Wichtig: Das OSI-Modell ist ein **theoretisches Referenzmodell**. Reale Geräte arbeiten oft auf mehreren Schichten gleichzeitig. Für Prüfungsaufgaben zählt meistens die **Hauptzuordnung**. | OSI-Schicht | Name | Worum geht es? | Typische Geräte / Komponenten | Firewall-Bezug | |---:|---|---|---|---| | **7** | **Anwendungsschicht** | Anwendungen und Dienste | Proxy, Application Gateway, Webserver, DNS-Server | Proxy-Firewall, Application-Level Gateway, WAF, NGFW-Anwendungsfilter | | **6** | **Darstellungsschicht** | Datenformat, Verschlüsselung, Komprimierung | meist keine klassischen Netzwerkgeräte; ggf. TLS-/SSL-Proxy | Prüfung hier meist nur bei TLS-Inspection | | **5** | **Sitzungsschicht** | Aufbau, Verwaltung und Abbau von Sitzungen | meist keine klassischen Netzwerkgeräte; teilweise Proxy-/Gateway-Funktionen | Für die IHK eher Zusatzwissen, nicht die Haupt-Firewall-Schicht | | **4** | **Transportschicht** | Ports, Ende-zu-Ende-Verbindungen, TCP/UDP | Firewall, Load Balancer | Stateful Firewall, Portfilter, TCP-/UDP-Regeln | | **3** | **Vermittlungsschicht** | IP-Adressierung und Routing zwischen Netzen | Router, Layer-3-Switch, Firewall | Paketfilter-Firewall, ACLs, IP-Filter | | **2** | **Sicherungsschicht** | Kommunikation im lokalen Netz über MAC-Adressen | Switch, Bridge, Access Point, Netzwerkkarte | VLAN-Trennung, MAC-Filter, transparente/Bridge-Firewall als Sonderfall | | **1** | **Bitübertragungsschicht** | Physische Übertragung von Bits | Kabel, Hub, Repeater, Medienkonverter | Keine klassische Firewall-Funktion | --- **Layer 7 – Anwendungsschicht** Die **Anwendungsschicht** ist die oberste Schicht des OSI-Modells. Hier befinden sich Netzwerkdienste und Anwendungen, mit denen Benutzer oder Programme arbeiten. Typische Beispiele sind: - HTTP - HTTPS - DNS - SMTP - FTP - IMAP - SSH Auf dieser Schicht geht es nicht mehr nur darum, **welche IP-Adresse** oder **welcher Port** verwendet wird, sondern darum, **welche Anwendung oder welcher Dienst** tatsächlich kommuniziert. Beispiel: Wenn ein Benutzer eine Webseite aufruft, findet die eigentliche Webkommunikation über HTTP oder HTTPS auf der Anwendungsschicht statt. Typische Komponenten: - Proxy - Application Gateway - Webserver - DNS-Server - Web Application Firewall \(WAF\) Firewall-Bezug: Eine **Proxy-Firewall** oder ein **Application-Level Gateway** arbeitet auf Anwendungsebene. Sie betrachtet nicht nur IP-Adressen und Ports, sondern kann anwendungsbezogene Inhalte prüfen. Eine **WAF** schützt speziell Webanwendungen. Sie prüft HTTP- und HTTPS-Anfragen zum Beispiel auf Angriffe wie SQL-Injection oder Cross-Site-Scripting. Eine **NGFW** kann ebenfalls Anwendungen erkennen und filtern, zum Beispiel Webmail, Streaming, Messenger oder andere Dienste. IHK-Merksatz: **Layer 7 = Anwendung, Inhalte, Proxy, WAF** --- **Layer 6 – Darstellungsschicht** Die **Darstellungsschicht** kümmert sich darum, wie Daten dargestellt, codiert, verschlüsselt oder komprimiert werden. Typische Aufgaben: - Datenformate umwandeln - Zeichencodierung festlegen - Daten komprimieren - Daten verschlüsseln oder entschlüsseln Typische Beispiele: - TLS/SSL - UTF-8 - JPEG - PNG - Komprimierung Für die IHK ist wichtig: Layer 6 ist eher eine theoretische Schicht. In vielen praktischen Netzwerkaufgaben stehen Layer 2, 3, 4 und 7 stärker im Vordergrund. Firewall-Bezug: Eine Firewall kann verschlüsselten HTTPS-Verkehr nicht vollständig inhaltlich prüfen, solange sie den Verkehr nicht entschlüsselt. Eine tiefere Inhaltsprüfung ist nur mit **TLS-Inspection** beziehungsweise **SSL-Inspection** möglich. Wichtig: TLS/SSL wird in Lernunterlagen oft der Darstellungsschicht zugeordnet, in der Praxis liegt es technisch zwischen Anwendung und Transport. Für IHK-Lernzwecke reicht: **Layer 6 = Verschlüsselung, Darstellung, Datenformat**. IHK-Merksatz: **Layer 6 = Darstellung, Format, Verschlüsselung, Komprimierung** --- **Layer 5 – Sitzungsschicht** Die **Sitzungsschicht** ist für den Aufbau, die Verwaltung und den Abbau von Sitzungen zuständig. Eine Sitzung ist ein logischer Kommunikationszusammenhang zwischen zwei Systemen. Dabei geht es zum Beispiel darum, eine Verbindung beziehungsweise einen Dialog zu starten, aufrechtzuerhalten und sauber zu beenden. Typische Aufgaben: - Sitzung aufbauen - Sitzung verwalten - Sitzung beenden - Dialogsteuerung - Wiederaufnahme von Kommunikationsabläufen Für die IHK ist wichtig: Layer 5 ist meistens weniger praxisnah als Layer 2, 3, 4 und 7. In Firewall-Fragen wird Layer 5 normalerweise nicht als wichtigste Schicht abgefragt. Firewall-Bezug: Manche Gateway- oder Proxy-Funktionen können sitzungsbezogene Informationen berücksichtigen. Für die Prüfung solltest du aber vor allem diese klare Zuordnung lernen: - Paketfilter-Firewall = Layer 3/4 - Stateful Firewall = Layer 3/4 - Proxy-Firewall = Layer 7 - WAF = Layer 7 - NGFW = Layer 3 bis 7 IHK-Merksatz: **Layer 5 = Sitzung aufbauen, verwalten und beenden** --- **Layer 4 – Transportschicht** Die **Transportschicht** regelt die Kommunikation zwischen Anwendungen auf zwei Systemen. Hier sind vor allem **TCP**, **UDP** und **Ports** wichtig. Wichtige Begriffe: - TCP - UDP - Portnummern - Verbindungen - Verbindungsstatus - Ende-zu-Ende-Kommunikation TCP ist verbindungsorientiert. Das bedeutet: Es wird eine Verbindung aufgebaut, Daten werden geordnet übertragen und der Empfang kann bestätigt werden. UDP ist verbindungslos. Das bedeutet: Es ist einfacher und schneller, bietet aber keine gleiche zuverlässige Verbindungssteuerung wie TCP. Typische Ports: | Dienst | Protokoll / Port | |---|---| | HTTP | TCP 80 | | HTTPS | TCP 443 | | DNS | UDP/TCP 53 | | SSH | TCP 22 | | RDP | TCP 3389 | | SMTP | TCP 25 | Typische Geräte / Komponenten: - Firewall - Layer-4-Load-Balancer Firewall-Bezug: Eine Firewall kann auf Layer 4 prüfen, welche Ports und Transportprotokolle verwendet werden. Eine **Stateful Firewall** prüft zusätzlich, ob ein Paket zu einer bereits erlaubten Verbindung gehört. Sie führt dafür eine Verbindungstabelle. Beispiel: Ein Client aus dem internen Netzwerk baut eine HTTPS-Verbindung zu einem Webserver auf. Die Antwortpakete aus dem Internet werden erlaubt, weil sie zu dieser bestehenden Verbindung gehören. IHK-Merksatz: **Layer 4 = TCP/UDP, Ports, Verbindungen, Stateful Firewall** --- **Layer 3 – Vermittlungsschicht** Die **Vermittlungsschicht** ist für IP-Adressierung und Routing zuständig. Hier wird entschieden, wie Datenpakete von einem Netzwerk in ein anderes Netzwerk gelangen. Wichtige Themen: - IPv4 - IPv6 - Routing - Subnetze - Standardgateway - ICMP - IPsec - Paketweiterleitung Typische Geräte: - Router - Layer-3-Switch - Firewall Ein Router verbindet unterschiedliche Netzwerke miteinander. Er entscheidet anhand der Ziel-IP-Adresse, wohin ein Paket weitergeleitet wird. Ein Layer-3-Switch kann zusätzlich zu klassischen Switch-Funktionen auch Routing-Funktionen übernehmen, zum Beispiel zwischen VLANs. Firewall-Bezug: Eine Paketfilter-Firewall prüft auf Layer 3 zum Beispiel: - Quell-IP-Adresse - Ziel-IP-Adresse - Protokoll - Netzbereich - Richtung des Datenverkehrs Sobald zusätzlich Ports geprüft werden, ist auch Layer 4 beteiligt. Deshalb ist die IHK-sichere Formulierung: **Paketfilter-Firewall = Layer 3/4** Beispielregel: Ein internes Netz `192.168.10.0/24` darf per TCP-Port `443` ins Internet, aber nicht per TCP-Port `23`. IHK-Merksatz: **Layer 3 = IP-Adresse, Routing, Router, Paketfilter** --- **Layer 2 – Sicherungsschicht** Die **Sicherungsschicht** ist für die Kommunikation im lokalen Netzwerk zuständig. Hier geht es vor allem um **MAC-Adressen**, **Ethernet-Frames**, **Switching** und **VLANs**. Wichtige Themen: - MAC-Adressen - Ethernet-Frames - Switches - Bridges - VLANs - ARP - WLAN im lokalen Netz - Fehlererkennung auf Frame-Ebene Typische Geräte: - Switch - Bridge - Access Point - Netzwerkkarte Ein Switch arbeitet hauptsächlich auf Layer 2. Er lernt MAC-Adressen und leitet Frames an den passenden Port weiter. Für die IHK ist sehr wichtig: **Switch = MAC-Adresse = Layer 2** Ein Switch verwendet also normalerweise MAC-Adressen, während ein Router IP-Adressen verwendet. Firewall-Bezug: Layer 2 ist nicht die klassische Firewall-Schicht. Trotzdem gibt es sicherheitsrelevante Funktionen auf Layer 2: - VLAN-Trennung - MAC-Filter - Port-Security - transparente Firewall / Bridge-Firewall als Sonderfall Wichtig: MAC-Filter allein sind kein starker Schutz, weil MAC-Adressen gefälscht werden können. Für IHK-Grundlagen reicht aber die Einordnung: MAC-Adressen gehören zu Layer 2. IHK-Merksatz: **Layer 2 = MAC-Adresse, Switch, lokales Netzwerk** --- **Layer 1 – Bitübertragungsschicht** Die **Bitübertragungsschicht** ist die unterste Schicht des OSI-Modells. Hier geht es um die physische Übertragung von Bits. Wichtige Themen: - elektrische Signale - optische Signale - Funkübertragung - Kabel - Stecker - Netzwerkkarte auf physischer Ebene - Repeater - Hub - Medienkonverter Typische Geräte und Komponenten: - Netzwerkkabel - Glasfaserkabel - Hub - Repeater - Medienkonverter - Stecker und Ports Ein Hub arbeitet auf Layer 1. Er verteilt Signale, trifft aber keine intelligenten Weiterleitungsentscheidungen wie ein Switch. Ein Repeater arbeitet ebenfalls auf Layer 1. Er verstärkt oder erneuert ein Signal. Firewall-Bezug: Auf Layer 1 gibt es keine klassische Firewall-Funktion. Eine Firewall entscheidet nicht anhand von reinen elektrischen oder optischen Signalen, sondern anhand von Informationen höherer Schichten. IHK-Merksatz: **Layer 1 = Kabel, Signal, Bits, physische Übertragung** --- **Firewall-Arten und OSI-Zuordnung** | Firewall-Art | OSI-Zuordnung | Prüft hauptsächlich | Wichtig für die IHK | |---|---:|---|---| | **Paketfilter-Firewall** | **Layer 3/4** | IP-Adressen, Protokolle, Ports | einfache Filterregeln | | **Stateful Firewall** | **Layer 3/4** | IPs, Ports und Verbindungsstatus | merkt sich erlaubte Verbindungen | | **Proxy-Firewall** | **Layer 7** | Anwendungsdaten und Inhalte | arbeitet stellvertretend für den Client | | **Application-Level Gateway** | **Layer 7** | anwendungsspezifische Protokolle | prüft Inhalte auf Anwendungsebene | | **WAF** | **Layer 7** | HTTP-/HTTPS-Anfragen an Webanwendungen | Schutz für Webanwendungen | | **NGFW** | **Layer 3 bis 7** | IPs, Ports, Anwendungen, Inhalte | kombiniert mehrere Sicherheitsfunktionen | | **Hardware-Firewall** | keine eigene OSI-Schicht | abhängig von Funktion | Bauform, nicht OSI-Schicht | | **Software-Firewall** | keine eigene OSI-Schicht | abhängig von Funktion | Installationsart, nicht OSI-Schicht | --- **Wichtige IHK-Merksätze** | Thema | Merksatz | |---|---| | **Switch** | arbeitet hauptsächlich auf Layer 2 | | **Router** | arbeitet hauptsächlich auf Layer 3 | | **Hub** | arbeitet auf Layer 1 | | **Repeater** | arbeitet auf Layer 1 | | **Bridge** | arbeitet hauptsächlich auf Layer 2 | | **Portfilter** | arbeitet hauptsächlich auf Layer 4 | | **Paketfilter** | arbeitet auf Layer 3/4 | | **Stateful Firewall** | arbeitet auf Layer 3/4 und merkt sich Verbindungen | | **Proxy-Firewall** | arbeitet auf Layer 7 | | **WAF** | arbeitet auf Layer 7 | | **NGFW** | kann Layer 3 bis Layer 7 auswerten | | **Layer 6 und 5** | eher theoretisch, bei Firewall-Zuordnung meist Zusatzwissen | --- **Ganz kurzer Prüfungs-Merksatz** **Layer 2 = MAC / Switch** **Layer 3 = IP / Router / Paketfilter** **Layer 4 = TCP/UDP / Ports / Stateful Firewall** **Layer 7 = Anwendung / Proxy / WAF** --- **Beispiel zur Einordnung** Ein Benutzer öffnet eine Webseite über HTTPS. | Schritt | OSI-Schicht | Erklärung | |---|---:|---| | Kabel oder WLAN überträgt Signale | Layer 1 | Bits werden physisch übertragen | | Der Switch leitet Frames im lokalen Netz weiter | Layer 2 | Weiterleitung anhand von MAC-Adressen | | Der Router leitet Pakete ins Internet | Layer 3 | Weiterleitung anhand von IP-Adressen | | Die Verbindung nutzt TCP-Port 443 | Layer 4 | Kommunikation über TCP und Portnummer | | TLS verschlüsselt die Verbindung | Layer 6 | Verschlüsselung und Darstellung | | Der Browser ruft eine Webseite per HTTPS auf | Layer 7 | Anwendungsebene | | Eine Stateful Firewall erlaubt Antwortpakete | Layer 3/4 | Verbindung wurde vorher erlaubt | | Eine WAF prüft HTTP-/HTTPS-Anfragen | Layer 7 | Schutz der Webanwendung | --- **Typische Prüfungsfallen** | Falsche oder ungenaue Aussage | Besser / IHK-sicher | |---|---| | Eine Firewall arbeitet immer nur auf Layer 3 | Kommt auf die Firewall-Art an | | Paketfilter arbeitet nur auf Layer 3 | Besser: Paketfilter arbeitet Layer 3/4 | | Eine WAF schützt das ganze Netzwerk vollständig | Eine WAF schützt vor allem Webanwendungen auf Layer 7 | | Hardware-Firewall ist eine eigene OSI-Schicht | Nein, Hardware beschreibt nur die Bauform | | Switch und Router machen dasselbe | Nein, Switch = Layer 2 / MAC, Router = Layer 3 / IP | | Layer 6 und 5 sind die wichtigsten Firewall-Schichten | Nein, für Firewalls sind meist Layer 3/4 und Layer 7 wichtig |