IT-Systemkaufmann/-frau: Systemtechnik (2. Lehrjahr)

Sie sind hier: Startseite › IT-System-Kaufmann › Systemtechnik (Teil 2)

LK / CM, Kurs vom 01.09.2000 - 31.08.2001

Systemtechnik (Teil 2): Vernetzte IT-Systeme (Topologien, Zugriffsverfahren, Verkabelung, Protokolle), Aktive Netzwerkkomponenten (Hub, Bridge, Switch, Router, Das OSI-Schichtenmodell), Viren, Sicherheitskonzept (Sicherheitspolitik, Sicherheitsprogramm).

1. Vernetzte IT-Systeme
2. Aktive Netzwerkkomponenten
3. Viren
4. Sicherheitskonzept

Vernetzte IT-Systeme

Wechselwirkung von betrieblicher Organisation und vernetzten IT-Systemen:

• Integrative Sachbearbeitung / Vernetzung von Workstations
• Standardisierung der IT-gestützten Ablauforganisation / Standardisierter Einsatz von Anwender-Software
• Dezentralisierung der Sachbearbeitung / Zentrale Datenhaltung mit verteilter Verfügbarkeit
• Beschleunigung der Arbeitsabläufe / Verbesserung des Informationsaustausches
• Reorganisation der Organisationsstruktur / Auslagerung von IT-Dienstleistungen (Outsourcing)
• Umstellung funktionsorientierter Abläufe auf Prozesse / Einführung von Workflow-Systemen

Topologien

Die Topologie beschreibt den physikalischen Aufbau und damit die Struktur eines Netzwerkes. Man unterscheidet zwischen der Stern-, Ring- und Bus-Topologie. Neben diesen drei Grundtopologien gibt es zahlreiche Mischformen, z.B. Baumstrukturen.

Bei der Stern-Topologie sind alle Stationen sternförmig an einen Netzwerkknoten, z.B. einen Server angeschlossen. Alle Informationen im Netz laufen ausschließlich und zentral über den Server.

Bei der Ring-Topologie sind alle Workstations untereinander zu einem Ring verbunden, in dem die Informationen in einer Richtung vom Sender zum Empfänger transportiert werden. Ein Netzwerk, das nach der Ring-Topologie aufgebaut ist, bezeichnet man als Token-Ring. Dieses arbeitet mit dem standardisierten Zugriffsverfahren Token-Passing.

Bei der Bus-Topologie sind Server und Workstations an einem Kabelstrang, dem so genannten Bus, angeschlossen. Dieser Bus wird als eine Art Hauptleitung von allen Stationen gemeinsam für die Übertragung ihrer Informationen im Netz genutzt. Netzwerke mit einer Bus-Topologie arbeiten mit dem standardisierten Zugriffsverfahren CSMA/CD.

• Siehe auch Topologien - Öffentliche Netze (Systemtechnik, 3.Schuljahr)

Zugriffsverfahren

Das Zugriffsverfahren regelt den Zugriff auf das Netz und die Art und Weise der Übertragung im Netz. Weltweit haben sich die Zugriffsverfahren CSMA/CD und Token Passing zum Standard entwickelt.

Das CSMA/CD-Zugriffsverfahren wird überwiegend in der Bus-Topologie mit Ethernet-Verbindung eingesetzt. Da alle angeschlossenen Workstations gleichzeitig auf das Netz zugreifen können, kommt es bei gleichzeitigem Versenden von Nachrichten zu Kollisionen. In diesem Fall müssen Nachrichten erneut auf das Netz geschickt werden, was bei einer hohen Netzauslastung zu einer Verlängerung von Antwortzeiten führt. Bei einer hohen Netzauslastung und großen Datenübertragungsraten kann es wegen der sehr häufigen Kollisionen zu einer Verschlechterung der Performance kommen.

Beim Token-Passing-Verfahren, das in der Ring-Topologie eingesetzt wird, kann eine Workstation nur senden, wenn sie ein so genanntes Token erhält. Ein Token besteht aus einem bestimmten Bitmuster und ist vergleichbar mit einem Staffelstab, der ständig im Netz von Station zu Station weitergegeben wird. Die Station, die gerade das freie Token besitzt, kann senden. Die Freigabe für ein erneutes Versenden von Nachrichten kann erst dann erfolgen, wenn die Empfangsbestätigung der Zielstation die Quellstation erreicht hat. Beim Token-Passing-Verfahren kann es nicht zu Kollisionen kommen.

Verkabelung

Für die Vernetzung von lokalen Netzwerken haben sich die Verkabelungstechniken Ethernet und Token Ring als Standard weltweit durchgesetzt.

Token Ring ist eine Anschluss- bzw. Verkabelungstechnik für ein lokales Netzwerk, welches nach der Ring-Topologie aufgebaut ist und mit dem Zugriffsverfahren Token Passing arbeitet. Mit der Token-Ring-Verbindung können Übertragungsgeschwindigkeiten von 4 Mbit/s oder 16 Mbit/s erreicht werden. Das Token-Ring-Netz gilt topologisch als Ring, wird aber sternförmig verkabelt. Die Stationen werden an einen Ringleitungsverteiler angeschlossen, der als Netzwerkknoten dient. Dieser Ringleitungsverteiler wird auch als MAU (Medium Attachement Unit) bezeichnet.

Als Sicherheitsvorkehrung für den Ausfall einer Station oder einer Leitungsstörung im Netz kann neben der Hauptleitung eine Ersatzleitung verlegt werden, die im Falle einer Leitungsstörung automatisch die Funktion der Hauptleitung übernimmt. Eine andere Alternative ist die so genannte Bypass-Lösung, bei der eine Umgehungsschaltung die Betriebsbereitschaft der Hauptleitung sicherstellt. Voraussetzung hierfür ist, dass die Workstations direkt mit beiden Ringen verbunden sind.

Bei der Vernetzung von größeren lokalen Netzwerken können Übertragungsmedien auch in kombinierter Form (z.B. STP-Kabel und Lichtwellenleiterkabel) eingesetzt werden, um die Übertragungsgeschwindigkeiten und damit den Datendurchsatz zu erhöhen.

Protokolle

Protokolle, auch Transport- oder Übertragungsprotokolle genannt, sind standardisierte Vereinbarungen und Regeln für die Kommunikation sowie für die Nutzung von Diensten in Netzwerken. Protokolle werden sowohl für die Kommunikation in einem lokalen Netzwerk (LAN) als auch für die weltweite Kommunikation benötigt (LAN-WAN-Kommunikation).

Häufig verwendete Netzwerkprotokolle sind beispielsweise IPX/SPX, NetBIOS sowie NetBEUI, Apple Talk und TCP/IP.

|

Aktive Netzwerkkomponenten

Jedes Netzwerk wird grob in zwei Bereiche, einen passiven und einen aktiven unterteilt. Als passiv wird die Infrastruktur bezeichnet. Diese setzt sich zusammen aus Kabel, Anschlussstecker, Patchfelder usw.

Netzwerkkomponenten, die eine eigene Logik beinhalten werden, als aktive Komponenten bezeichnet. Hierzu zählen z.B. Repeater, Brücken, Router, Hubs oder auch die einzelnen Rechner im Netz.

Eine Eigenschaft jedes Netzwerks besteht darin, das sich immer nur ein Bit gleichzeitig auf dem Netzwerkkabel befinden kann. Solange nur zwei Stationen miteinander Daten austauschen, stellt dieser Umstand kein Problem dar.

Im Regelfall allerdings gibt es viele Rechner, die gleichzeitig miteinander kommunizieren möchten. Diese Rechner teilen sich dann die Kapazität des Netzwerks auf. Steigt nun die Zahl der sendenden Rechner rapide an, wird die Datenübertragung immer langsamer. Um diesem Umstand aus dem Weg zu gehen teilt man große Netzwerke in Teilnetze, so genannte Subnets auf.

Stelle man sich ein Netzwerk mit 5000 Computern vor, bei dem immer nur einer Daten auf das Netz senden kann. Wird dieses Netz jetzt in 50 Teilnetze mit je 100 Rechnern unterteilt, so können theoretisch bis zu 100 Rechner (in jedem Teilnetz einer) gleichzeitig ihrer Netzwerkkommunikation nachgehen.

Um Netzwerke in einzelne Subnets zu unterteilen bedient man sich Brücken oder Router.

LAN-Verbindungen können über folgende LAN-Schnittstellen realisiert werden:

• Repeater: Ein Repeater ist ein Gerät, das gesendete Signale verstärkt und weiterleitet. Über den Einsatz von Repeatern können zwei Teile ein und desselben Netzwerkes verbunden werden, was zu einer Ausdehnung des Netzwerkes führt.
• Eine Bridge verbindet lokale Netzwerke, die mit dem gleichen Protokoll arbeiten. Bridges sind in der Lage, zwischen lokalem Verkehr auf einem Netz und Verkehr von einem ins andere Netz zu unterscheiden.
• Gateways verbinden Netzwerke, die aufgrund ihrer unterschiedlichen Systemarchitektur (z.B. PC-LAN und Großrechnersystem) auch mit unterschiedlichen Protokollen arbeiten. Gateways ermöglichen sowohl auf der Hardware- als auch auf der Software-Seite die Operabilität zwischen heterogenen Netzwerken.
• Ein Router ist eine LAN-Schnittstelle, die - ähnlich wie eine Bridge - eine Verbindung zwischen lokalen Netzwerken herstellen kann. Router können auch eingesetzt werden, um ein lokales Netzwerk in mehrere kleine Netze bzw. Netzsegmente aufzuteilen. Bei der Datenfernübertragung ist ein Router im Gegensatz zu einer Bridge in der Lage, den optimalen Weg zwischen zwei Netzwerken zu ermitteln.

Das Unterscheidungskriterium bildet diejenige Schicht des ISO/OSI-Referenzmodells, auf der die Zwischensysteme die Netze koppeln. Die Schichten 1 bis 4 im Referenzmodell befassen sich mit dem Datentransfer zwischen Endsystemen und werden deshalb als transportorientierte Schichten bezeichnet. Die meisten Zwischensysteme koppeln Netze in einer dieser Schichten. Die anwendungsorientierten Schichten 5 bis 7 befassen sich mit Aufgaben, die stärker von den eigentlichen Anwendungen abhängen.

Repeater verbinden Netze in der Bitübertragungsschicht, der Schicht 1. Sie ermöglichen die Adaption zwischen verschiedenen Übertragungsmedien (Kupferkabel und Glasfaser). Weiterhin regenerieren sie empfangene Signale, um insgesamt größere Distanzen überbrücken zu können.

Bridges arbeiten auf der Medienzugangsschicht (MAC-Schicht), einer Teilschicht der Sicherungsschicht. Sie können Netze mit gleichen und unterschiedlichen Medienzugangsverfahren (Ethernet, Token Ring) koppeln. Bridges sind vor allem für den Einsatz in lokalen Netzen vorgesehen. Sie sind in der Lage, den Verkehr zwischen den verschiedenen Teilnetzen durch Filterfunktionen zu separieren und führen so zu einer besseren Lokalisierung des Verkehrs im Netzverbund.

In der Vermittlungsschicht, der Schicht 3, werden Router eingesetzt. Sie ermöglichen neben der Separierung des Verkehrs in den einzelnen Teilnetzen auch gegenüber von Bridges verbesserte Sicherheitsvorkehrungen. Router eignen sich darüber hinaus gut zur Kopplung lokaler Netze mit Weitverkehrsnetzen (z.B. Internet).

Als Gateways werden Zwischensysteme bezeichnet, die Netze oberhalb der Vermittlungsschicht verbinden. Im allgemeinen geschieht die Kopplung in der Anwendungsschicht, kann aber beispielsweise auch in der Transportschicht erfolgen.

• Referat "Aktive Netzwerkkomponenten" (.zip)

Hub

Hubs (Naben) entstammen von der Entwicklung her ursprünglich dem Bereich der ARCNet-Netzwerke. Dort werden diese Koppelelemente eingesetzt, um eine Verteilung der Signale auf die einzelnen Anschlüsse vorzunehmen. Generell wird unterschieden zwischen aktiven und passiven Hubs. Ein aktiver Hub ermöglicht das Verstärken und Aufteilen eines ankommenden Signals, während ein Passiv-Hub ausschließlich für die Verteilung (keine Verstärkung) eines Signals zuständig ist.

In der heutigen Netzwerktechnik kommen Hubs praktisch bei allen Netzwerktypen (Ethernet, Token-Ring usw.) zum Einsatz. Dabei sind diese Hubs jedoch nicht mehr vergleichbar mit den Hubs aus "ARCNet-Tagen", sie sind in wesentlichen Teilen weiterentwickelt worden. Wenn heute der Begriff Hub verwendet wird, werden damit in der Regel sehr umfangreiche und komplexe Koppelelemente bezeichnet, die für die Optimierung der Verbindung zwischen Endgeräten und den einzelnen Netzwerksegmenten eingesetzt werden. Die Hubs heutiger Prägung ergaben sich zwangsläufig aus der Forderung nach einer einheitlichen, strukturierten Verkabelung, ohne damit jedoch gleichzeitig das Netzwerkverfahren bzw. der Netzwerktyp festlegen zu wollen. Gleichzeitig soll mit einem Hub die Leistungsfähigkeit des gesamten Netzwerks erhöht werden, ohne dazu jedoch die einzelnen Segmente anpassen oder ändern zu müssen.

Bei den Hubs wird generell zwischen den drei mögliche Formen unternehmensweiter, abteilungsweiter und Arbeitsgruppen-Hub unterschieden. Die unternehmensweiten Hubs (im amerikanischen auch als Enterprise-Hubs bezeichnet) werden im Backbone-Bereich (Rückgrat) eines Verkabelungssystems eingesetzt. Die abteilungsweiten Hubs (Departmental-Hubs) werden häufig im Bereich des Übergangs von der Gebäude- auf die Etagenverkabelung (Übergang zwischen Sekundär- und Tertiärbereich) eingesetzt oder um mehrere Arbeitsgruppen direkt mit dem Backbone zu verbinden. Die abteilungsweiten Hubs werden in der Regel mit den unternehmensweiten Hubs verbunden.

Die Arbeitsgruppen-Hubs schließlich kommen dort zum Einsatz, wo die einzelnen Endgeräte (Rechner, Drucker usw.) mit den abteilungs- oder unternehmensweiten Hubs verbunden werden sollen. Als eine Sonderform der Hub-Technologie gelten die sogenannten stapelbaren Hubs (Stackable Hubs). Ein solcher Stackable Hub (in der Regel im 19-Zoll-Format) ist im Grunde eine Möglichkeit, mit einer sehr kleinen (und kostengünstigen) Ausführung eines Hub (Workgroup Hub) zu beginnen.

Während Workgroup-Hubs über das Ethernet selbst miteinander verbunden werden, erfolgt bei den modularen Hubs die Abwicklung des internen Datenverkehrs über spezielle Backplanes, deren Leistungen in Bereichen von GBit/s liegen. Bei Bedarf kann ein Stackable Hub durch "Aufstocken" (Stapeln) ergänzt werden. So kann allein durch Hinzufügen weiterer Hub-Module beispielsweise aus einem Workgroup-Hub ein abteilungsweiter Hub werden und so weiter.

In Bezug auf die maximale Anzahl ist es bei der Auswahl, der Installation und der Konfiguration eines Hub in der Praxis relativ uninteressant und unwichtig, ob es sich dabei um einen "Super-Hub" oder um eine kleine Ausführung handelt. Für sämtliche Konfigurationsmöglichkeiten gilt, dass unbedingt die so genannte 5-Segmente-Regel eingehalten wird. So muss der Aufbau von Ethernet-LAN mit Hubs (Sternverteilern) stets nach den gleichen Regeln erfolgen. Aus der 5-Segmente-Regel, die in der Literatur auch als 5-4-3-Regel bezeichnet wird, ergibt sich, dass zwischen dem Sender und dem Empfänger maximal fünf Segmente einschließlich Hub-to-Hub-Verbindungen liegen dürfen. Des Weiteren dürfen dabei maximal vier Repeater oder Hubs (Konzentratoren) eingesetzt werden, und zwischen dem Sender und dem Empfänger dürfen maximal drei Segmente mit angeschlossenen Endgeräten liegen.

• Zusammenfassung "Hub" (.pdf)
• Zusammenfassung "Hub" (.zip)

Bridge

Die Brücke (Bridge) stellt eine sehr wichtige Netzwerkkomponente dar. Brücken sind innerhalb des OSI-Referenzmodells der zweiten Schicht (Data-Link Layer, Sicherungsschicht) zuzuordnen. Brücken können ein Datennetz in kleinere, bessere überschaubare Einheiten aufteilen und kümmern sich nicht um die höheren Netzwerk-Protokolle.

Die Aufgaben einer Brücke lassen sich anhand der folgenden Merkmale charakterisieren:

• Erweiterung eines Netzwerkes durch Koppelung einzelner Segmente
• Lasttrennung durch Verwaltung der Adressen der einzelnen Endgeräte
• Transparenz für den Einsatz bestimmter Übertragungsprotokolle
• Möglichkeit zum Aufbau redundanter Verbindungen
• Erkennen von Quell- und Zieladressen eines Datenpaketes
• Selbständiges Lernen von Adressen(Learning Bridge)
• Weiterleitung von Datenpaketen an die entsprechenden Segmente
• Fehlerhafte Datenpakete werden nicht übertragen
• Zugriffsschutz durch entsprechende Filtermöglichkeiten

Eine Brücke ermöglicht grundsätzlich die Verbindung (oder auch die Trennung) von zwei oder mehreren unterschiedlichen Netzwerken. Es handelt sich um eine aktive Komponente, bei der für die Übermittlung der Datenpakete ausschließlich die jeweiligen Adressen (Knotenadressen) der beteiligten Endgeräte (Rechner, Drucker usw.) ausschlaggebend sind.

Diese Adressen (MAC-Adressen) werden in der jeweiligen Brücke verwaltet, die damit wiederum die so genannten "Bridge-Tabellen" aufbaut (für jedes Netzwerk eine separate Tabelle). Auf diese Art und Weise sind Brücken jederzeit in der Lage, zwischen dem Verkehr innerhalb eines Netzes und dem Verkehr von einem in ein anderes Netz zu unterscheiden. Zu diesem Zweck werden ganz bestimmte Wegewahlverfahren eingesetzt.

Bei den Wegewahlverfahren wiederum kommt bei Brücken in Form des so genannten Spanning Tree ein spezielles Verfahren zur Leitwegoptimierung zum Einsatz. Dieses Verfahren optimiert die Wege, die die Datenpakete in einem Gesamtnetzwerk nehmen. Damit ist unter anderem auch sichergestellt, dass beispielsweise beim Ausfall einer Brücke automatisch der günstigste Weg gesucht und geschaltet wird.

Eine Brücke kann gezielt zur Lasttrennung eingesetzt werden. Dies ist beispielsweise dann von Interesse, wenn an ein Netzwerk viele Endgeräte (Rechner) mit einem entsprechend hohen Datenaufkommen angeschlossen sind. Durch den Einsatz von Brücken können solche Netzwerke segmentiert werden, wodurch sich dann in der Regel der Datenverkehr auf den einzelnen Segmenten reduziert. Dabei werden die Daten an den anderen Netzwerkbereich (an das andere Segment) nur dann übergeben, sofern sich dort die betreffende Empfangsadresse befindet.

Für den Anwender bzw. die einzelnen Endgeräte stellt sich der Einsatz einer Brücke so dar, als handle es sich um ein (großes) Netzwerk. Hinweise darauf, dass eine Brücke eingesetzt wird, ergeben sich in der Praxis in der Regel nicht.

Die weitere Entwicklung der Brücken hat dazu geführt, dass mit ihrem Einsatz mittlerweile auch Netzwerke mit unterschiedlichen Zugriffsverfahren miteinander gekoppelt werden können. Während früher mit Hilfe einer Brücke ausschließlich homogene Netzwerke miteinander gekoppelt werden konnten, ist es heutzutage sogar möglich, über eine Brücke ein Ethernet-Netzwerk mit einem Token-Ring-Netzwerk zu verbinden, also durchaus auch Netzwerke mit unterschiedlichen Zugriffsmethoden.

Aufgrund der spezifischen Eigenschaften bietet sich der Einsatz von Brücken überall dort an, wo ein ständiger Austausch großer Datenmengen erfolgt, und zwar zwischen Netzwerkbereichen mit gleichen Zugriffsverfahren.

• Zusammenfassung "Bridge" (.pdf)
• Zusammenfassung "Bridge" (.zip)

Switch

Der Switch ist ein Gerät des OSI-Layers 2, das heißt, er kann LAN mit verschiedenen physikalischen Eigenschaften verbinden (z.B. Koax- und Twisted Pair-Netzwerke). Switches sind protokolltransparent.

Cut-Through bzw. On The Fly:

Überträgt Paket schon nach Empfang der 6-Byte-Destination-Adresse (geringe Zeitverzögerung von ca. 40 Mikrosekunden). Folge: Weitergabe von fehlerhaften Paketen.

In relativ kleinen Netzen, wenn es darum geht eine große Anzahl Daten zwischen wenigen Knoten zu übertragen, eingesetzt.

Sobald aber (z.B. aufgrund eines Konfigurationsfehlers, fehlerhafter Hardware oder extremer Netzlast bei gleichzeitig langen Segmenten mit mehreren Repeatern) der Prozentsatz der Kollisionen steigt, können Switches auch dazu führen, dass die Leistung des Gesamtnetzes deutlich sinkt.

Dann tritt ein zweites Verfahren in Kraft, genannt

Store-and-Foreward:

Untersuchen des gesamten Datenpaketes. Dazu kurze Zwischenspeicherung, Prüfen auf Korrektheit und Gültigkeit und anschließender Verwerfung oder Weiterleitung (CRC-Prüfung: Cycling Redundancy Check).

Nachteil: größere Verzögerung beim Weiterschicken des Paketes.
Vorteil: keine Übertragung des fehlerhaften Paketes auf das andere Segment.

In größeren Netzen mit vielen Knoten und Kommunikationsbeziehungen besser, weil nicht einzelne fehlerhafte Segmente duch Kollisionen das ganze Netz belasten können.

Inzwischen sind Switching-Produkte am Markt, die beide Technologien unterstützen. Dies geschieht entweder per Konfiguration (Software) oder automatisch anhand der CRC-Fehler-Häufigkeit. Wird eine vorgegebene Anzahl von fehlerhaften Paketen überschritten, schaltet der Switch automatisch von "Cut Through" auf "Store and Foreward" um.

Router

Router werden häufig zur Verbindung eines LAN mit anderen Netzwerken, z.B. mit dem Internet innerhalb des WAN eingesetzt. Voraussetzung für die Kopplung zweier Netze mit einem Router ist die Verwendung desselben Protokolls (z.B. TCP/IP).

Ein Router bietet den Internetzugang für ein ganzes Netzwerk, bestehend aus mehreren PC. Es ist nicht notwendig jeden einzelnen PC, der einen Anschluss an das Internet braucht, mit einer eigenen ISDN-Karte auszustatten. Mit einer zentralen Router-Lösung reduzieren sich die Investitionskosten, sowie der Installationsaufwand erheblich. Router erlauben LAN-LAN Kopplungen und Remote Access. Der Internetzugang jeder einzelnen Arbeitsstation des Netzwerkes kann zentral konfiguriert, überwacht und gegebenenfalls auch eingeschränkt werden.

Mit den Einsatz mehrerer Router lässt sich ein strukturiertes Netzwerk mit heterogenen Anbindungen aufbauen und verwalten. Router sind äußerst flexibel einsetzbar, da sie innerhalb des OSI-Referenzmodells auf der dritten Schicht (Network Layer) eingeordnet werden. Aus der Arbeitsweise bzw. den jeweiligen Diensten der dritten Schicht ergibt sich die Unabhängigkeit der physikalischen Ebene.

Die Funktionalität eines Router ergibt sich aus den Aufgaben in der folgenden Aufstellung.

• Strukturierter Aufbau eines Netzwerks
• Erweiterung der physikalischen Netzwerkgrenzen
• Auswertung der Wege anhand der Protokolle (TCP/IP, IPX, DECnet)
• Fehlerhafte Datenpakete werden nicht übertragen
• Unterdrücken von unnötigem Datenverkehr in anderen Netzwerken (Broadcast-Unterdrückung)
• Routing-Funktionen zwischen Netzwerken mit unterschiedlichen Zugriffsverfahren
• Optimale Wegefindung für die Übertragung der Datenpakete.
• Router beinhalten ebenfalls die Funktionalität eines Repeaters (Signalverstärkung)

Während es Brücken egal ist, welche Netzwerk-Pakete (z.B. IP, IPX) transportiert werden, müssen Router alle Netzwerk-Protokolle kennen, die sie befördern sollen.

Die verwendeten Übertragungsprotokolle müssen natürlich grundsätzlich routbar sein, um einen Router einsetzen zu können. Ein klassisches Beispiel für ein nicht routbares Protokoll ist beispielsweise NetBEUI; die Standartprotokolle wie IPX/SPX oder auch TCP/IP sind routbar.

Mit dem Einsatz einer Brücke können zwei oder mehrere Netzwerke (Segmente) zu einem Gesamtnetzwerk zusammengefasst werden; bei einem Router erfolgt zwar ebenfalls eine Verbindung unterschiedlicher Netzwerke (auch heterogener), jedoch bleibt jedes Netz für sich als separates Segment erhalten (Eindeutigkeit der Netzwerkadresse). Ein Router arbeitet auch wesentlich effektiver als eine Brücke. So werden bei einem Router, obwohl er ebenfalls unterschiedliche Netzwerke verbinden kann (Brücken-Funktion), grundsätzlich nicht die Adressen der einzelnen Endgeräte, sondern ausschließlich die Adressen der beteiligten Netzwerke in Form einer so genannten "Routing-Tabelle" angelegt. Im Gegensatz zu Brücken wissen Router auch nicht, ob eine empfangende Station in einem anderen Netzwerk (Segment) auch tatsächlich empfangsbereit ist.

Besteht das gesamte (gekoppelte) Netzwerk nicht nur aus zwei sondern aus mehreren Segmenten, so verfügt grundsätzlich jeder Router über sämtliche Adressen der beteiligten Netzwerke. Somit kann ein Router sehr schnell feststellen, ob ein angesprochenes Netzwerk verfügbar ist. Ist ein angesprochenes Netzwerk vorhanden, kann ein Router dann aufgrund der Routing-Tabellen den kürzesten Weg für den Datenpfad ermitteln. Auf dem Weg vom Sender zum Empfänger wird das "Überspringen" eines Router als Hop (Hüpfer) bezeichnet.

Der Einsatz eines Router dient vornehmlich dazu, zwei oder mehr Netzwerke (Segmente) miteinander zu koppeln, wobei jedoch jedes einzelne Netzwerk (Segment) für sich bestehen bleibt. Dies wird durch die Auswertung der Netzwerkadressen im Router ermöglicht.

Genau wie bei Brücken, so ist auch beim Router-Einsatz der Wechsel des Zugriffsverfahrens möglich, womit beispielsweise jederzeit ein Wechsel zwischen CSMA/CD und Token Passing realisiert werden kann. Dabei bietet sich der Einsatz mehrerer Router dort an, wo kleine Datenmengen über mehrere Netzwerkbereiche mit unterschiedlichen Zugriffsverfahren und Protokollen übertragen werden sollen.

• Zusammenfassung "Router" (.pdf)
• Zusammenfassung "Router" (.zip)

Das OSI-Schichtenmodell

Standardbeschreibung für eine herstellerunabhängige Datenkommunikation zwischen heterogenen Netzen.

Die Abwicklung der Kommunikation soll nach dem OSI-Modell über sieben Arbeitsebenen bzw. Schichten erfolgen. Grob lassen sich die Schichten in transportorientierte (Schicht 1 bis 4) und anwendungsorientierte Ebenen (Schicht 5 bis 7) gliedern. Bei der Datensendung werden die Schichten in der Reihenfolge 7 bis 1, beim Datenempfang in der Reihenfolge 1 bis 7 durchlaufen. Das TCP/IP-Übertragungsprotokoll, welches sich weltweit als Standard durchgesetzt hat, unterscheidet sich jedoch vom OSI-Schichtenmodell. TCP/IP arbeitet mit vier Schichten und fasst mit seiner Protokollfamilie einzelne Schichten des OSI-Schichtenmodells zusammen.

Kern des OSI-Modells ist der Gedanke, dass jede einzelne der sieben Schichten sich vollständig auf die Dienste der jeweils unteren Schichten verlassen kann. Die einzelnen Schichten arbeiten so, als ob sie mit der gleichrangigen Schicht des anderen Computers kommunizieren. Dabei handelt es sich um virtuelle Verbindungen. Mit Ausnahme der unteren Schicht kann als keine der Schichten direkt Informationen mit der jeweiligen gegenüberliegenden Schicht austauschen. Die Informationen müssen beim sendenden Computer durch die darunterliegenden Schichten transportiert werden. Über das Netzwerkkabel gelangen die Informationen zum empfangenden Computer. Dort bewegen sie sich durch die verschiedenen Schichten, bis die Informationen auf der gleichen Ebene angekommen sind wie beim sendeseitigen Computer.

1. Bitübertragungsschicht (Pysical Layer):
   Aufrechterhaltung der physikalischen Verbindung, Übertragung der Bits von einem zum anderen Computer, Festlegung der Kodierung (damit ein zu übertragendes Bit auch als 0 und nicht als 1 erkannt wird)
2. Sicherungsschicht (Link Layer):
   fehlerfreie Übertragung von Rahmen (Bitsequenzen)
3. Vermittlungsschicht (Network Layer):
   Adressierung der Nachrichten, Festlegung des Übertragungsweges vom Quell- zum Zielcomputer, übernimmt wichtige Funktionen bei Problemen mit dem Datenverkehr im Netzwerk
4. Transportschicht (Transport Layer):
   Paketierung der zu übertragenden Daten, Numerierung der einzelnen Pakete, Mitteilung der Gesamtzahl an Empfänger, somit verantwortlich für fehlerfreie Übertragung
5. Sitzungsschicht (Session Layer):
   ermöglicht es 2 Anwendungen auf unterschiedlichen Computern in Kontakt zu treten
6. Darstellungsschicht (Presentation Layer):
   bestimmt das Datenformat, mit dem der Informationsaustausch im Netzwerk erfolgt, stellt die zur Übertragung notwendigen Befehle bzw. Meldungen sowie den verwendeten Zeichensatz zur Verfügung
7. Anwendungsschicht (Application Layer):
   Bereitstellung der Dienste für die Benutzeranwendungen

Die Daten liegen in der Regel als relativ große Dateien vor. Netzwerke können nur vernünftig arbeiten, wenn Daten in Datenblöcke zerlegt werden. Diese Blöcke nennt man Pakete oder Rahmen. Beim Zerlegen der Daten in Pakete fügt das Betriebssystem des sendenden Computers jedem Paket bestimmte Steuerinformationen hinzu. Diese dienen u.a. für das richtige Zusammensetzen der Pakete am Ziel und sind in der Lage, eventuelle Fehler durch die Übertragung zu erkennen. Die Paketbestandteile beinhalten Kopfteil, Daten und Anhang.

Bildbeschreibung "Paket": Ein Paket besteht aus drei Teilen (Kopfteil, Daten und Anhang).

Der Vorgang der Paketerzeugung beginnt in der Anwendungsschicht des OSI-Referenzmodells und durchläuft von dort aus alle sieben Schichten nach unten. In jeder Schicht werden zusätzliche Daten hinzugefügt, die für die jeweilige Schicht von Bedeutung sind.

Wenn die Daten schließlich auf der Bitübertragungsschicht angekommen sind, enthalten sie Informationen aus den sechs darüber liegenden Schichten.

Beim empfangenden Computer durchlaufen die Pakete den umgekehrten Weg.

|

Viren

Viren sind Programme, die sich beim Starten, Öffnen oder Kopieren von Dateien aktivieren und vermehren. Meist haben sie eine schadende Funktion. Die wichtigsten Virenarten sind im Folgenden aufgelistet:

• Makroviren:
  Sind auf Makrosprachen angewisen und befallen Office-Dokumente und Dokumente, die diese Makrosprache benutzen (.doc/xls/dot).
• Dateiviren:
  Infizieren ausführbare Dateien (.exe/com/sys/olv) durch überschreiben oder Anhängen des Virencodes. Antivirenprogramme erkennen diese Viren an der Prüfsummenveränderung der Datei.
• Bootviren:
  Befallen den Bootsektor und werden beim Ansprechen dieses aktiviert. Eine Festplatte kann also beispielsweise durch das Booten von einer infizierten Diskette das Virus aufnehmen.
• Hydridviren:
  Sind eine Kombination aus Datei- und Bootviren und infizieren somit sowohl ausführbare dateien als auch den Bootsektor.
• Polymorphe Viren:
  Verändern bei jeder Infektion ihren Code und sind dadurch schwer auffindbar; Virenerkennung erfolgt meist anhand typischer Bytefolgen, die hier der Code jedesmal verändert wird.
• Tunnelnde Viren:
  Suchen einen Eintrittspunkt, den das Monitorprogramm nicht überwacht (Interupt) und umgehen somit den Virenwächter.
• Stealth-Viren:
  "Tarnkappenviren"; Gaukeln eine nicht infizierte Datei vor.
• Companion:
  Erzeugt vor der ausführbaren Datei (.exe) eine .com-Datei, die vor dem eigentlichen Programm ausgeführt wird.
• Slow-Viren:
  Führen ihre Schadensroutine nicht sofort aus sondern verändern Daten minimal.
• Windows-Viren:
  Speichern ihren Code (versteckt sich) direkt im Kernel (Windows).
• Trojaner:
  Sind Programme/Tools, die nach ihrem Start Systemeingriffe vornehmen oder/und Remote-Systeme installieren/aktivieren.
• Würmer:
  Spezielle Trojaner, die sich selber per E-Mail verbreiten.

Viren können durch zwei Suchstrategien entdeckt werden:

1. Viren-Scanner (beginnt auf Wunsch des Anwenders)
2. Hintergrund-/Virenwächter (beim Hochfahren des PC geladen und daraufhin ständig aktiv)

Verfahren zur Erkennung von Viren

Prüfsummenverfahren:

Aus mehreren Parametern (Dateigröße, Erstelldatum, Inhalt) wird eine Prüfsumme gebildet und in einer Datei abgespeichert. Bei Veränderung dieser Prüfsumme möglicher Virenbefall erkennbar. Die Prüfsumme ändert sich jedoch auch bei Bearbeiten der Datei, daher keine absolut sichere Methode, vor allem, wenn es sich um Stealth-Viren handelt, die von Natur aus die korrekte Prüfsumme vorgaukeln.

Signatur-Verfahren:

Suche nach charakteristischen Bytefolgen, welche für viele Viren bekannt sind. Neuere sowie polymorphe Viren werden somit nicht erkannt.

Heuristische Verfahren:

Suche nach virustypischem Programmcode (Programmteil, der auf andere Programme zugreift, um diese zu infizieren). Neuere Viren können hierdurch erkannt werden.

Um die Viren-Erkennungsrate zu erhöhen, kombinieren die meisten Antivirenprogramme diese Prüfverfahren miteinander. Zum Selbstschutz sollte man regelmäßig Sicherungskopien anlegen und Schlüsselprogramme, auf die Viren oftmals zugreifen, einfach umbenennen (format.com zu format.co_ /deltree.exe zu deltree.ex_ / ebenso debug.exe und fdisk.exe).

|

Sicherheitskonzept

Sicherheitspolitik

• Definition grundlegender Ziele
• Festlegen von Verantwortlichkeiten
• Setzen von Rahmenbedingungen

Abgestuftes Sicherheitskonzept mit unterschiedlichen Sicherheitszonen:

1. Gesamtnetz
2. Experimenteller Bereich
   (Unmittelbarer Netzressourcenzugang)
3. Öffentliche Zone
   (Direkter Internetzugang)
4. Differenzierter Bereich
   (Kein uneingeschränkter Netzzugang, Dienstefreigabe nur mit Registrierung bei zuständigen Koordinatoren)
5. Kernzone
   (Dienste, die zwingend zum Betrieb der Rechner notwendig sind)
6. Geschlossene Bereiche
   (Zugang zu anderen Bereichen nur über Firewall möglich, weder Datenimport noch Datenexport)

Verantwortlichkeiten und Zuständigkeiten:

1. Administrative Koordinatoren
2. Technische Ansprechpartner

Sicherheitsprogramm

• Umsetzen der allgemeinen Vorgaben der Sicherheitspolitik in konkrete Regelungen
• Spezifizierung der einzelnen Dienste
• Festhaltung der technischen Umsetzung der Regeln in Grundzügen
• Aufführung der organisatorischen Maßnahmen

Generelles Prinzip: Kein direkter Zugriff aus Zonen mit niedrigerem Sicherheitsniveau auf Daten in höheren Zonen möglich!

Systemspezifische Implementierung des Programms:

Erfolgt durch die für die einzelnen Dienste zuständigen Support-Gruppen.