Fragenkatalog
Donnerstag, 12. Januar 2017
12:22
Grundlagen
1. Charakterisieren Sie die Begriffe LAN, MAN und WAN!
LAN - Local Area Network (lokales Netz)
○ räumlich begrenztes Netz (bis ca. 1km)
○ Übertragung digitaler Signale mit hoher Übertragungsrate (10Mbit/s bis 10Gbit/s)
○ typisch: Ethernet, Token Ring
MAN - Metropolitan Area Network (Stadtnetz/regionales Netz)
○ Entfernungen < 100km
○ Übertragung digitaler Signale mit hoher Übertragungsrate (64kbit/s bis 140Mbit/s)
○ typisch: DATEX-M, DSL (Telekom, Stadtnetze)
WAN - Wide Area Network (flächendeckende, öffentliche Netze)
○ Entfernungen > 100km
○ typische Übertragungsraten: 56kbit/s, 64kbit/s, 2Mbit/s, 155Mbit/s
○ typisch: analoges Fernsprechnetz, ISDN, DATEX-M, Internet
Heutiges Verständnis:
○ keine scharfe Abgrenzung zwischen LAN, MAN, WAN
○ Verbindung mehrerer lokaler Netze = WAN
○ häufg: WAN = Internet
2. Was verstehen Sie unter Intranet und Extranet?
Intranet
○ innerhalb eines Unternehmens, nicht öffentlich zugänglich
○ bietet die gleichen Dienste, wie das Internet
→ Internet-Technologie für das interne Netz (Email, Verzeichnis, ...)
Extranet
○ erweitertes Intranet, bei dem auch externe Teilnehmer (Geschäftspartner, Heimarbeitsplatz,
Außendienst) mit Zugangsberechtigung im Intranet-Verbund mitarbeiten
○ externe Netze sind über das Internet verbunden (VPN)
○ hohe Netzsicherheit:
→ zwischen externen Teilnehmern und dem Intranet werden mittels kryptografischer
Techniken (z.B. Smart Cards) und Methoden sogenannte Tunnel aufgebaut
→ verhindert das Eindringen von Benutzern aus dem Internet ins Intranet
3. Charakterisieren Sie die Vernetzungsstrukturen „Zentrale Struktur“, „Dezentrale Struktur“ und
„Client/Server Struktur“!
Zentrale Struktur
○ ein Host und mehrere Terminal-Arbeitsplätze
○ hohe zentrale Belastung:
▪ Rechenleistung
▪ Hauptspeicher
▪ I/O
○ geringe Flexibilität und einfache Benutzeroberflächen
○ hohe Investitionskosten
Herstellerabhängigkeit in Hard- und Software
Rechnernetze_Fragenkatalog Seite 1
○ Herstellerabhängigkeit in Hard- und Software
Dezentrale Struktur
○ „Peer-to-Peer“ Netzwerke
○ angepasste Rechenleistung und Ressourcen
○ Funktionen auf jedem Rechner
○ Ressourcen-Sharing
○ hohe Flexibilität
○ anwenderfreundliche Benutzeroberflächen
○ geringe Investitionen
○ Herstellerunabhängigkeit
Client/Server Struktur
○ angepasste Rechenleistung und Ressourcen
○ Funktionsaufteilung
○ Leistungsstarker Server mit hoher Ressourcen-Auslastung
○ hohe Flexibilität und Skalierbarkeit
○ anwenderfreundliche Benutzeroberflächen
○ günstiges Preis-Leistungs-Verhältnis für Hard-und Software
○ Herstellerunabhängigkeit
4. Welche Netzwerktopologien kennen Sie?
Bus
○ zentraler Bus mit passiven Koppelelementen (Knoten)
○ gleichberechtigte Knoten machen Zugriffsverfahren
notwendig (CSMA/CD → Ethernet), da es durch
Mehrfachzugriff zu Kollisionen kommt
○ Anwendung: LAN
Ring
○ Knoten mit aktiven Koppelelementen angeschlossen
○ Verbindungsabschnitte bei Knoten
○ Bussteuerung zentral (Takt als gemeinsame Zeitbasis) oder
dezentral (Token → Token-Ring)
○ Anwendung: LAN
Stern
○ zentraler Knoten; Knoten im Netz nicht gleichrangig
○ leichte Erweiterbarkeit
○ zentraler Knoten i.d.R. spezielle Netzhardware (Hub, Switch)
○ Anwendung: LAN, Telefonanschluss
Baum
○ hierarchisches Netz definiert Netzebenen
○ komplexe topologische Struktur
○ Topologiemischung ist möglich
○ Verbindung der Netzebenen sternförmig
○ Anwendung: Fernsprechnetz
○ Ähnlichkeit mit Verzeichnisstruktur bzw. DNS (Domain Name
Service)
Rechnernetze_Fragenkatalog Seite 2
Masche
○ jeder Knoten mit jedem Knoten verbunden
○ gleichrangige Knoten
○ bei Knoten gibt es
Verbindungswege
○ kürzestmögliche Verbindungswege zwischen den Knoten
○ hoher Erweiterungsaufwand
○ Anwendung: Zentralvermittlung des Fernsprechnetzes
Zelle
○ hauptsächlich bei drahtlosen Netzen
○ Bereich um eine Basisstation (z.B. Wireless Access Point), in dem eine Kommunikation zwischen
den Endgeräten und der Basisstation möglich ist
5. Welche physische Topologie findet man im Internet?
In erster Linie Masche! Eventuell noch Bäume und Sterne.
6. Welche logische Topologie wird beim DNS verwendet?
Baumtopologie
7. Welche Bedeutung haben Netzwerkmodelle?
Ziel: Festlegung von Schnittstellen, die die Unabhängigkeit von Hard- und Software und die
Kommunikation zwischen unterschiedlichen Systemen ermöglichen soll.
○
○
○
○
Zerlegung der Aufgabe "Datenübertragung" in nicht zu viele Teilaufgaben (Schichten)
ähnliche Aufgaben sollen in der gleichen Schicht liegen
unabhängige Funktionen sollen in unterschiedlichen Schichten liegen
Schichten müssen "technologiebezogen" sein
Informationen werden generell nur zwischen benachbarten Schichten ausgetauscht. Eine Schicht dient
der darüber liegenden als Transportmedium. Der interne Aufbau einer Schicht ist im Allgemeinen nicht
von Interesse, im Gegensatz zur Definition der Schnittstelle.
8. Welche Schichten beschreibt das OSI Referenzmodell?
9. Was beschreiben RFCs?
RFC (Requests for Comments)
Rechnernetze_Fragenkatalog Seite 3
○
○
○
○
RFC (Requests for Comments)
sind eine Reihe von technischen und organisatorischen Dokumenten zum Internet
beschreib einen allgemeinen Gebrauch/Vorgehensweise (Best Practices)
Nicht jeder RFC beschreibt einen Standard!
10. Wie passt TCP/IP in das OSI Modell?
TCP/IP ist eine Protokoll-Familie für die Vermittlung und den Transport von Datenpaketen in einem
dezentral organisierten Netzwerk. Die Abkürzung TCP/IP steht für die beiden Protokolle Transmission
Control Protocol (TCP) und Internet Protocol (IP).
Das Internet Protocol (IP) ist auf der Vermittlungsschicht (Schicht 3) des OSI-Schichtenmodells
angeordnet. Das Transmission Control Protocol (TCP) ist auf der Transportschicht (Schicht 4) des OSISchichtenmodells angeordnet. Innerhalb des DoD-Schichtmodells bildet TCP/IP das Rückgrat für alle
Kommunikationsverbindungen.
11. Welche Aufgaben haben die einzelnen Schichten im OSI Modell?
Anwendungsschicht
○ regelt den Zugriff auf die Anwenderprogramme und stellt im Prinzip keine eigenen Dienste zur
Verfügung
○ Aufgaben:
▪ Bereitstellung anwenderspezifischer Protokolle
▪ Identifikation/Zugangsberechtigung
Darstellungsschicht
○ Daten werden für die Anwendungsschicht aufbereitet und nach Bedarf umgeformt
○ Aufgaben:
▪ Kontrolle der Datenein- und -ausgabe
▪ Datenkonvertierung
▪ Datenverschlüsselung
Sitzungsschicht
○ Synchronisation und Organisation von Daten- und Steuerinformationen der kommunizierenden
Stationen
○ Zeitspanne zwischen Aufbau und Abbau einer Verbindung wird als Session (Sitzung) bezeichnet
○ Aufgaben:
▪ Datenflusssteuerung
▪ Dialogkontrolle und -koordination
▪ Datenzwischenspeicherung
Transportschicht
Rechnernetze_Fragenkatalog Seite 4
Transportschicht
○ verantwortlich für die Daten der Applikation und stellt sicher, dass die Daten in der richtigen
Reihenfolge ankommen und nicht verloren gehen (Schutz vor Datenverlust)
○ die Sicherungsschicht ist nur dafür verantwortlich, dass die ankommenden Daten korrekt sind
○ Aufgaben:
▪ Fehlerkontrollen zwischen Endteilnehmern
▪ Zerlegung der Nachrichten in kleinere Einzelpakete
▪ Wiederholungsanforderungen bei fehlenden oder beschädigten Paketen
▪ Paketreihenfolge
Vermittlungsschicht
○ verantwortlich für die Datenübertragung über weite Strecken
○ stellt sicher, dass die Daten beim richtigen Empfänger ankommen und zugestellt werden können
○ hier erfolgt der Aufbau der Verbindung zwischen den Kommunikationspartnern
○ Aufgaben:
▪ Adressierung
▪ Vermittlung
▪ Verbindungsauf- und abbau
Sicherungsschicht
○ stellt eine zuverlässige Informationsübertragung durch den geordneten Zugriff auf das
Übertragungsmedium und die Strukturierung der Daten sicher
○ Aufgaben:
▪ Gruppierung der Bits zu Rahmen
▪ Rahmen enthalten Steuer-, Adress-, Prüfsummen- und Datenfelder
▪ Fehlererkennung
Bitübertragungsschicht
○ Übertragung binärer Signale
○ elektrische Funktionen, Übertragungsverfahren und Übertragungsmedium werden festgelegt
○ Aufgaben:
▪ Bit-Codierung
▪ Zugriffsverfahren
▪ Signalanpassung
▪ Definition der Anschlüsse
12. Wie werden die zu übertragenden Daten in den einzelnen Netzwerkschichten um
Steuerinformationen ergänzt bzw. erweitert?
○
○
○
○
die Übertragung erfolgt nach dem Prinzip der Kapselung
jede Schicht fügt ihre Steuerinformationen zum Header der Daten hinzu
Header und Daten bilden die Protocol Data Unit (PDU)
PDUs der unteren Schichten werden als Segmente, Pakete, Frames oder Bits bezeichnet
Rechnernetze_Fragenkatalog Seite 5
AH ... Application Header
PH ... Presentation Header
SH ... Session Header
TH ... Transport Header
NH ... Network Header
DH ... Data (Link) Header
DT ... Data (Link) Trailer
13. Nennen Sie typische Begriffe, Hardware, Standards und Protokolle als Beispiele für
Implementierungen in den einzelnen OSI Schichten!
Anwendungsschicht:
SSL, HTTP, LDAP, Email, FTP, Telnet, SMTP
Darstellungsschicht:
XML, ASN.1, MIME/SMIME, SSL, VT100
Sitzungsschicht:
Sockets, RPC
Transportschicht:
TCP, Layer-4-Switch, Firewall, UDP, SPX
Vermittlungsschicht:
IP, Router, Firewall, IPX, ICMP, ARP, RIP, X.25
Sicherungsschicht:
Netzwerkkarte (MAC-Engine), Bridge, Switch,
Ethernet(MAC, LLC, PHY), HDLC (WAN), ISDN, PPP/SLIP
Bitübertragungsschicht:
Netzwerkkarte, Repeater, Media Converter
LAN und WAN
14. Wie ist ein Ethernet-Frame aufgebaut?
Präambel
SDF
ZielQuellType/Länge
adresse adresse
Datenfeld
FCS
7 Bytes
1 Byte
6 Byte
Variabel
4 Byte
7 mal
"10101010"
für die
Synchronisa
tion
Start Frame MACMACDelimiter
Adresse Adresse
(Rahmenbe
grenzer)
6 Byte
2 Byte
Protokol-Type 0 - 1518
(Ethernet-IIByte
Frame) oder
Größe des
folgenden
Datenfeldes
(Ethernet-802
.2-Frame)
Frame-CheckSequence,
zur
Fehlererkennung
von der Zieladresse
bis zum Ende des
Datenfeldes Cyclic
Redundary Check
(CRC)
15. Wie erkennt der Netzwerkprotokollstack im Ethernet-Frame das darüber liegende Protokoll?
Rechnernetze_Fragenkatalog Seite 6
Entweder über den Protokolltype bei Ethernet II oder über den LLC-Header bei Ethernet 802.3
(Typ-Länge-Feld (siehe Aufbau))
16. Was bedeutet CSMA/CD und wie funktioniert es?
CSMA/CD = Carrier Sense Multiple Access/Collision Detection
17. Wie unterscheiden sich Shared und Switched Ethernet? Nennen Sie je ein Beispiel!
Shared Ethernet
Hub, der Anfragen an alle Stationen des Netzwerks weiterleitet
Switched Ethernet
Switch, der MAC-Adresse des Ziels aus den Frames liest und nur an diese
Adresse weiterleitet
18. Wie funktioniert die Manchester Kodierung und wo wird sie eingesetzt?
▪
▪
▪
▪
▪
▪
Bit "1" wird zu einem 0->1 Übergang (negative wird positive Flanke) in Bitmitte
Bit "0" wird zu einem 1->0 Übergang (positive wird negative Flanke) in Bitmitte
Eingesetzt beim Ethernet
Pegelwechsel für Takt/Synchronisation notwendig
kann bei CSMA/CD Takt ermittelt werden, ist Medium belegt (Varrier Sense)
Effizienz = 50%
19. Wie funktioniert das Kodierverfahren MLT-3 und wo wird sie eingesetzt?
Rechnernetze_Fragenkatalog Seite 7
▪ 3 verschiedene Pegel
▪ Bei einer "1" wird der Pegel in einer Richtung gewechselt. Am Maximum angekommen,
wird die Richtung gewechselt.
▪ Bei einer "0" wird der Pegel belassen.
20. Welche Störquellen bei der Datenübertragung kennen Sie?
▪
▪
▪
▪
Begrenzung durch Bandbreite
Laufzeitverzerrung
Rauschen
Neben- und Übersprechen
21. Was passiert mit den elektrischen Signalen auf einem Medium bei Fehlanpassung?
Das Signal wird am Mediumende reflektiert oder es wird kurzgeschlossen.
22. Nach welchem Hauptkriterium werden TP Kabel in Kategorien eingeteilt?
Nach Betriebsfrequenz
23. Wieso kann man für Gigabit Ethernet CAT5e Kabel verwenden?
Gigabit Ethernet (1000Base-TX) mit CAT 5e Kabeln ist in der Praxis möglich (8 Adern beschaltet!)
24. Wieso ist der PCI Bus für Gigabit Ethernet Adapter ungeeignet?
▪ weil der PCI-Bus nur schwer die maximal mögliche Bandbreite zur Verfügung stellen kann
▪ PCI-Bus: 33MHz * 4 Byte (32Bit) = 132MByte/s
▪ Gigabit-Ethernet: 1000MBit/s = 125MByte/s
25. Was ist ein Crossover-Kabel?
Ein Crossoverkabel ist ein Twisted-Pair-Kabel, bei dem gewisse Kabeladern in einem
der beiden Stecker vertauscht sind. Moderne Netzwerk-Hardware macht diese Kabel
Rechnernetze_Fragenkatalog Seite 8
der beiden Stecker vertauscht sind. Moderne Netzwerk-Hardware macht diese Kabel
überflüssig, da die Leiterpaare automatisch intern getauscht werden können.
26. Was bedeutet full-duplex?
Gleichzeitiges Senden und Empfangen
27. Wieso verlässt der Lichtstrahl in einem gekrümmten Lichtwellenleiter nicht?
Der Kern eines Lichtwellenleiters ist optisch dichter, als sein Mantel. Deshalb kommt es
innerhalb des Leiters zur Totalreflexion.
28. Wieso sind Monomode-Fasern Stufenindex-Fasern überlegen?
Charakteristika Stufenindex-Fasern
▪ große Laufzeitunterschiede der Lichtstrahlen
▪ starke Impulsverbreiterung
▪ Bandbreite-Reichweite-Produkt: B * l < 100MHz * km
Charakteristika Monomode-Fasern
▪ keine Laufzeitunterschiede, da nur eine Ausbreitungsrichtung
▪ formtreue Impulsübertragung
▪ Bandbreite-Reichweite-Produkt: B * l > 10GHz * km
29. Welches Zugriffsverfahren wird bei WLAN eingesetzt und wie unterscheidet es sich prinzipiell vom
CSMA/CD?
▪ CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance)
▪ Der WLAN Standard ist ähnlich aufgebaut wie der Ethernet-Standard 802.3 (CSMA/CD),
versucht aber, Kollisionen zu minimieren/verhindern.
▪ Wenn keine andere Station innerhalb des Wettbewerbsfensters vor dem gewählten
Zeitpunkt mit der Übertragung beginnt, sendet die Station ihren Frame. Hat aber eine
andere Station innerhalb der Wartezeit mit der Übertragung begonnen, wird der
Zeitzähler angehalten und nach der Übertragung der anderen Station weiter benutzt. Auf
diese Weise gewinnen Stationen, die nicht übertragen durften, an Priorität und kommen
mit einer erhöhten Wahrscheinlichkeit in den nächsten Wettbewerbsfenstern zum Zug.
30. Wieso ist Datensicherheit bei WLAN kritisch?
Weil sich die elektromagnetischen Wellen kreisförmig ausbreiten und jeder in Reichweite den
Netzwerkverkehr einfach mitschneiden kann.
31. Welche Maßnahmen zur Erhöhung der Datensicherheit können bei WLAN ergriffen werden?
Verschlüsselung der Datenübertragung :
▪ WEP, WPA, WPA2, IEEE 802.11i, EAP
▪ Verlagerung auf IP-Ebene (IPsec, VPN-Tunnel)
32. Ordnen Sie analoge Telefonie, ISDN und DSL auf der Frequenzachse an!
Rechnernetze_Fragenkatalog Seite 9
▪ Modem: 0,3 bis 3,4 kHz
▪ ISDN: 3,4 bis 138 kHz
▪ DSL: 138 bis 1104 kHz
33. Wieso funktioniert DSL parallel zu ISDN und wieso kann DSL einfach auf den Hausanschluss auf
geschalten werden, ohne dass neue Leitungen gezogen werden müssen?
Weil DSL oberhalb des Frequenzbandes auf den gleichen Leitungen von Analog und ISDN
arbeitet.
34. Welche Faktoren schränken die Verbreitung von DSL maßgeblich ein?
▪ Glasfaserkabel
▪ Leitungsdämpfung
▪ maximale Reichweiten
- "normales" DSL (bis 8 MBit/s) 5 km
- VDSL
300m
35. Weisen Sie Geräte wie Repeater, Hub, Switch, Bridge, Router, Firewall, Proxy, Content Switch den
Schichten im OSI Referenzmodell zu!
1.
2.
3.
4.
5.
6.
7.
Bitübertragungsschicht: Repeater, Hub
Datensicherungsschicht: Switch, Bridge
Vermittlungsschicht: Router, Firewall
Transportschicht: Layer-4-Switch (Load-Balancer), Firewall
Kommunikationssicherungsschicht:
Darstellungsschicht:
Anwendungsschicht: Content-Switch, Proxy
Technisch gesehen arbeitet ein typischer Proxy als ein in den Verkehr eingreifender Kommunikationspartner auf
der OSI-Schicht 7, …
Aus <https://de.wikipedia.org/wiki/Proxy_(Rechnernetz)#Der_Unterschied_zu_einem_NAT-Ger.C3.A4t>
36. Was verstehen Sie unter Managed und Unmanaged Switch?
Managed Switch
▪ Administration
□ via Console über RS232
□ via Netzwerk und telnet
□ via Netzwerk und Webbrowser
□ via Netzwerk und SNMP (Simple Network Management Protocol)
▪ Allgemeine Einstellungen
□ Status
Rechnernetze_Fragenkatalog Seite 10
□
□
□
□
□
Status
Administrationsmöglichkeiten
Switch Konfiguration (IP)
Event Log (syslog)
Diagnostik
▪ Spezielle Einstellungen
□ Monitoring (Netzwerkanalyse vie Monitoring Port)
□ Port Security
□ Traffic Filter
□ Class of Service (bestimmte Protokolle erhalten Vorrang)
□ VLAN (Gruppierung von Switch-Ports zu Subnetzen)
Unmanaged Switch
Unmanaged Switches lassen sich nicht konfigurieren, sondern sind reine plug and play
Geräte.
37. Was verstehen Sie unter „Port Security“?
Es kann bei den meisten Managed Switches für einen Port eine Liste mit zugelassenen AbsenderMAC-Adressen angelegt werden. Datenpakete mit nicht zugelassener Absender-MAC-Adresse
werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken.
▪ Binden von MAC-Adressen an Ports
▪ Konfiguration von zuverlässigen Protokollen
38. Welche Möglichkeiten zur Erweiterung von LANs kennen Sie?
Strukturierte Verkabelung
Collapsed Backbone
VLAN (Virtual Local Area Network)
Weitere Techniken (z B ATM)
39. Was versteht man unter Strukturierter Verkabelung?
Unterscheidung von:
• Primärer Bereich (Gebäudeverkabelung)
• Sekundärer Bereich (Steigleitungsbereich)
• Tertiärer Bereich (Etagenbereich)
Rechnernetze_Fragenkatalog Seite 11
40. Wie funktioniert VLAN Tagging nach IEEE 802.1q?
Es handelt sich also bei tagged VLANs um Netze, die Netzwerkpakete verwenden, welche eine
spezielle VLAN-Markierung tragen.
Jedem VLAN wird eine eindeutige Nummer zugeordnet. Man nennt diese Nummer VLAN-ID. Ein
Gerät, das zum VLAN mit der ID=1 gehört, kann mit jedem anderen Gerät im gleichen VLAN
kommunizieren, nicht jedoch mit einem Gerät in einem anderen VLAN wie z. B. ID=2, 3, …
Um zwischen den VLANs zu unterscheiden, wird nach IEEE 802.1Q der Ethernet-Frame um vier
Byte (= 32 Bit) erweitert. Davon sind 12 Bit zur Aufnahme der VLAN-ID vorgesehen, so dass
(ohne Ausnutzung des Canonical Format Bit) insgesamt 4096 − 2 = 4094 VLANs möglich sind (die
VLAN-IDs "0" und "4095" sind reserviert und nicht zulässig).
TPID
Tag Protocol Identifier: Fester Wert 8100 (hex). Frame trägt die 802.1Q/802.1p-Tag
Information.
TCI
Tag Control Information:
• PCP – Priority Code Point: Benutzer-Prioritätsinformationen.
• DEI – Drop Eligible Indicator: Kann separat oder in Verbindung mit PCP verwendet
werden, um anzuzeigen, dass Frames in der Gegenwart von Staus fallen gelassen
werden können. (ehemals CFI)
• VID – VLAN-Identifier: Identifizierung des VLANs, zu dem der Frame gehört.
Aus <https://de.wikipedia.org/wiki/IEEE_802.1Q>
TCP/IP
41. Nennen Sie wichtige Eigenschaften von IP!
○ das Internet-Protokoll (IP) ist verbindunglos
○ setzt auf dem Data Link Layer (Ethernet, FDDI, ATM, etc.) auf
○ nutzt (Ethernet-) Typefield: 08-00
besitzt eine 802.2 DSAP/SSAP-Definition: 06
Rechnernetze_Fragenkatalog Seite 12
○
○
○
○
○
○
○
besitzt eine 802.2 DSAP/SSAP-Definition: 06
Datagram-Service (verbindungslos, ungesichert!)
ermöglicht Verbindungen zwischen Netzen (Routing)
bietet Datentransport von einer Quell- zu einer Zieladresse (Adressfunktion)
Definition/Adressierung höherer Protokolle
Fragmentierung von Datenpaketen
Wahl von Übertragungsparametern
42. Wie unterscheiden sich IP Pakete mit TCP, UDP, ICMP bzw. IGMP Inhalt?
Durch die zugewiesene Protokollnummer im IP-Header!
01
ICMP
Internet Control Messsage Protocol
06
TCP
Transmission Control Protocol
17
UDP
User Datagram Protocol
50
ESP
Encapsulating Security Payload (IPsec)
51
AH
Authentication Header (IPsec)
43. Wann darf (muss) ein Router IP Pakete verwerfen?
○ siehe TTL-Feld (Time To Live) im Header des Paketes
○ dessen Wert wird bei jedem Router, den das Paket passiert, um 1 reduziert
○ wenn das TTL-Feld den Wert "0" erreicht, wird das Paket vernichtet (nicht weitergereicht)
44. Welche IPv4 Netzwerkklassen kennen Sie und wie groß ist die jeweilige Zahl an verfügbaren
Adressen?
IPv4 benutzt 32-Bit-Adressen, daher können maximal 4.294.967.296 Adressen vergeben werden.
Eine IP-Adresse besteht aus einem Netzanteil und einem Hostanteil.
○ der Netzanteil identifiziert ein Teilnetz
○ der Hostanteil identifiziert ein Gerät (Host) innerhalb eines Teilnetzes
○ die genaue Aufteilung wird durch eine Subnetzmaske festgelegt
▪ z.B. 255. 255. 255. 0 → z.B. 192. 168. 0. 0/ 24 → Class C mit 8-Bit-Host
▪ die "24" bedeutet, dass die ersten 24 Bits der Subnetzmaske gleich 1 sind
▪ diese legen die Stellen der IP-Adresse fest, die zum Netzanteil gehören
Zwei Host-Adressen sind gemäß einer Empfehlung in der RFC 950 reserviert
○ die erste Adresse (zum Beispiel 192. 168. 0. 0 ) bezeichnet das Netz
○ die letzte Adresse (zum Beispiel 192. 168. 0. 255 ) ist für den Broadcast
Aus <https://de.wikipedia.org/wiki/IPv4#Netzklassen>
Adressbereich
Bit-Anzahl Host-Adressen
Class A 0.0.0.0/8 - 127.255.255.255
24
16.777.214
Class B 128.0.0.0/16 - 191.255.255.255
16
65.534
Class C
8
254
Class D 224.0.0.0/4 - 239.255.255.255
28
268.435.454
Multicast-Adressen
Class E
28
268.435.454
undefiniertes Format
192.0.0.0/24 - 223.255.255.255
240.0.0.0/4 - 255.255.255.255
45. Was sind private IP Adressen? Nennen Sie Beispiele!
Rechnernetze_Fragenkatalog Seite 13
45. Was sind private IP Adressen? Nennen Sie Beispiele!
Private IP-Adressen (einer Netzwerkklasse) können innerhalb lokaler Netzwerke beliebig genutzt
werden und sind im Internet nicht vergeben.
Nach RFC 1918 sind folgende private Adressen reserviert:
Adressbereich
Beispiele
Class A 10.0.0.0/8 - 10.255.255.255
10.0.0.1
Class B 172.16.0.0/12 - 172.31.255.255
172.16.0.1
Class C
192.168.0.0/16 - 192.168.255.255 192.168.0.1
46. Welche Ziele verfolgt man mit IPv6?
○ Erweiterung des Adressbereichs von 32 Bit (IPv4) auf 128 Bit (IPv6)
○ Reduzierung des Header-Overheads
○ Security-Features (Authentifizierung, Verschlüsselung)
47. Wofür steht ARP, welche Bedeutung hat es und wie funktioniert es?
ARP = Address Resolution Protocol
 Ermittlung der MAC-Adresse eines Rechners über dessen Netzwerkadresse
1) Rechner A sendet ein spezielles Broadcast-Paket auf das lokale Netz, in dem die IP-Adresse von
Rechner B angegeben ist, und in dem nach der MAC-Adresse von Rechner B gefragt wird.
2) Rechner B füllt die gesuchte Adresse ein und sendet das Paket zurück.
48. Wozu dient der ARP Cache und welche Informationen werden darin gespeichert?
 verringert die Anzahl der ARP-Requests
○ speichert häufig benutzte MAC-Adressen und zugehörige IP-Adressen
○ Einträge können statisch oder dynamisch sein
49. Rechnen mit IP Netzmasken: Eine Station (141.48.167.19/26 möchte an eine Station (141.48.167.74)
Daten schicken. Beschreiben Sie den kompletten Ablauf am Beispiel eines zugrunde liegenden
Ethernets!
1) Vergleich der IP-Adressen
Adressen binär darstellen:
Quelle
141.48.167.19
10001101 . 00110000 . 10100111 . 00010011
(19)
Ziel
141.48.167.74
10001101 . 00110000 . 10100111 . 01001010
(74)
Maske
255.255.255.192 11111111 . 11111111 . 11111111 . 11000000
(192)
Logisches UND zwischen Quelle und Maske bilden:
Quelle
141.48.167.19
10001101 . 00110000 . 10100111 . 00010011
Rechnernetze_Fragenkatalog Seite 14
(19)
Quelle
141.48.167.19
10001101 . 00110000 . 10100111 . 00010011
(19)
Maske
255.255.255.192 11111111 . 11111111 . 11111111 . 11000000
(192)
Subnetz 141.48.167.0
10001101 . 00110000 . 10100111 . 00000000
(0)
Logisches UND zwischen Ziel und Maske bilden:
Ziel
141.48.167.74
10001101 . 00110000 . 10100111 . 01001010
(74)
Maske
255.255.255.192 11111111 . 11111111 . 11111111 . 11000000
(192)
Subnetz 141.48.167.64
Vergleich der Subnetze:
10001101 . 00110000 . 10100111 . 01000000
(64)
→ Zielrechner nicht im eigenen Subnetz
Quelle (141.48.167.19/26)
▪
▪ Subnetzbereich: 141.48.167.0 - 141.48.167.63
▪ Zielrechner (141.48.167.74) liegt nicht im eigenen Subnetz → weiter mit Schritt 2
2)
3)
4)
5)
6)
MAC-Adresse des Default-Gateway wird ermittelt (Broadcast-Request oder Cache)
Ethernet-Frame wird an Gateway gesendet
Gateway kennt die "Route" (Wohin mit dem Paket?), z.B. anderes Subnetz
Gateway ermittelt MAC-Adresse des Zielrechners (ARP-Request oder ARP-Cache)
Gateway sendet Ethernet-Frame
50. Wofür steht ICMP, welche Bedeutung hat es und wie funktioniert es?
ICMP = Internet Control Message Protocol
 Austausch von Informations- und Fehlermeldungen zur Steuerung und Verwaltung des Internets
Typische Aufgaben:
○ Koordination zwischen Routern und Endsystemen
○ Fehlererkennung und -korrektur
○ Überwachung und Messung des Verkehrsaufkommens
51. Nennen Sie 3 Beispiele für das Auftreten von ICMP Paketen!
ICMP-Pakete enthalten Diagnose-Informationen:
Sie werden vom Router zur Quelle zurückgeschickt, wenn der Router Pakete verwirft, etwa weil
beispielsweise das Ziel nicht erreichbar ist oder die TTL abgelaufen ist.
Aus <https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol>
Typ
Name
Bedeutung
3
Destination Unreachable - Netzwerk nicht erreichbar
- Host (Zielrechner) nicht erreichbar
(Ziel nicht erreichbar)
- Protokoll nicht erreichbar
4
Source Quench
(Entlasten der Quelle)
Datagramm verworfen, da Warteschlange voll
11
Time Exceeded
(Zeitlimit überschritten)
TTL (Time To Live) abgelaufen
52. Wie funktioniert „ping“?
○ Echo-Request Pakete werden an das Ziel geschickt
der Zielrechner antwortet mit Echo-Reply Paketen
Rechnernetze_Fragenkatalog Seite 15
○ der Zielrechner antwortet mit Echo-Reply Paketen
○ der "ping" misst die Zeit zwischen dem Aussenden der Anfrage und dem Empfangen der
Antwort
53. Wie funktioniert „traceroute“?
Traceroute ermittelt, über welche Router IP-Datenpakete bis zum abgefragten Zielrechner gelangen.
Es werden solange ICMP Echo Requests mit ansteigender Time To Live (TTL = 1, 2, 3, ...) gesendet, bis
das Ziel erreicht wurde. Wenn ein Router das Paket aufgrund einer TTL von "0" nicht weiterleitet, dann
erzeugt er einen ICMP Fehler, der von "traceroute" ausgewertet wird.
54. Nennen Sie wichtige Eigenschaften von TCP!
○
○
○
○
○
○
○
"End to End" Kontrolle
Multiplexing (Ports)
Verbindungsmanagement ("3-Wege-Handshake")
Flusskontrolle (Empfangsbestätigung, "Sliding-Window-Mechanism")
Zeitüberwachung
Fehlerbehandlung
TCP-Verbindungen sind vollduplex
55. Welche Bedeutung hat die Fenstergröße bei TCP?
○ gibt an, wie viele Bytes gesendet werden dürfen, bis die Übertragung quittiert werden muss
○ die Quittung enthält die Nummer des Bytes, das als nächstes vom Empfänger erwartet wird
○ gewährleistet einen verlässlichen Datentransport und Flusskontrolle
56. Nennen Sie wichtige Eigenschaften von UDP!
○
○
○
○
○
○
Transport-Protokoll ohne "End to End" - Kontrolle
Muliplexing (Ports)
kein Verbindungsmanagment (keine aktiven Verbindungen!)
keine Flusskontrolle
keine Zeitüberwachung
keine Fehlerbehandlung
57. Was ist ein Port (TCP, UDP)?
○ erlaubt mehreren Anwendungsprogrammen den gleichzeitigen Zugriff auf dieselbe Maschine
○ definiert die Zuordnung von Datenpaketen und Anwendungen
○ ordnet Datenpakete aus mehreren Verbindungen dem richtigen Datenstrom zu
58. Wann setzt man UDP, wann TCP ein?
UDP:
für hohe Geschwindigkeiten, bei z.B. Streams, Spielen, ...
(Übertragung kann fehlerbehaftet sein)
TCP:
für eine korrekte Übertragung
59. Was versteht man unter Lebenszyklus einer TCP Verbindung?
 gesamte Dauer einer TCP-Verbindung (Aufbau → Übertragung → Abbau)
Der Lebenszyklus beginnt, wenn Sie einen Befehl eingeben oder eine Nachricht senden. Der
Lebenszyklus endet, wenn die entsprechende Anwendung auf dem empfangenden System das Paket
Rechnernetze_Fragenkatalog Seite 16
Lebenszyklus endet, wenn die entsprechende Anwendung auf dem empfangenden System das Paket
empfängt.
60. Welche 2 Klassen von Routing Mechanismen kennen Sie?
Distanzvektor Routing:
Link State Routing:
Jeder Router sendet einen Vektor mit den kürzesten Distanzen zu allen
erreichbaren Netzadressen an seine Nachbarn.
Jeder Router sendet eine List seiner Links mit den dazugehörigen
Distanzen an alle anderen Router im Netz.
61. Was steht in einer Routing Tabelle und wie zeigt man sie an?
In einer Routing-Tabelle stehen Informationen zu:
○ möglichen Routen
○ der "optimalen" Route
○ Status der Routen
○ Metrik der Routen
○ sowie dem Alter
 Anzeige mittels Kommandozeilenbefehl: netstat -rn
62. Welche Bedeutung hat die Metrik beim Routing?
 qualitative Bewertung einer Route, zur Auswahl der besten/kürzesten Route
63. Wofür steht DHCP, welche Bedeutung hat es und wie funktioniert es?
DHCP = Dynamic Host Configuration Protocol
 automatisierte Zuweisung von IP-Adressen auf Zeit oder ohne zeitliche Begrenzung
Funktionsweise:
○ Client sucht DHCP-Server
○ DHCP-Server antworten mit IP-Adressen
○ Client wählt eine IP-Adresse aus und antwortet allen Servern
○ der ausgewählte Server reserviert die Adresse und sendet Konfigurations-Parameter
64. Namensauflösung: Eine Station (149.205.61.173) möchte die IP Adresse der Station (www.google.de)
ermitteln. Wie läuft die Namensauflösung ab, wenn als DNS Server die Station (149.205.16.1)
eingetragen ist?
Client: 149.205.61.173
DNS-Server: 149.205.16.1
1)
2)
3)
4)
5)
6)
7)
8)
der Client fragt beim DNS-Server die Adresse von www.google.de an
der DNS-Server fragt beim 'Root'-Nameserver an, wer die TLD 'de' verwaltet
der 'Root'-Nameserver antwortet mit der Adresse des 'de'-Nameservers
der DNS-Server fragt beim 'de'-Nameserver an, wer die Adresse 'google.de' verwaltet
der 'de'-Nameserver antwortet mit der Adresse des 'google.de'-Nameservers
der DNS-Server fragt beim 'google.de'-Nameserver die Adresse von www.google.de
der 'google.de'-Nameserver antwortet mit der Adresse von www.google.de
der DNS-Server antwortet dem Client mit der Adresse von www.google.de
Rechnernetze_Fragenkatalog Seite 17
65. Wie funktioniert prinzipiell HTTP und welche darunter liegenden Protokolle nutzt es?
HTTP = Hypertext Transfer Protocol
 Request-/Response-Verfahren zur Abfrage von Dokumenten
 setzt auf dem gesicherten Transport Service von TCP auf (TCP-Port: 80)
Funktionsweise:
○ Verbindungsaufbau
○ Anforderung (Request)
○ Anwort (Response)
○ Verbindungsabbau
66. Wie unterscheiden sich die HTTP Methoden GET und POST?
GET:
holt alle Informationen der nachstehenden URL zum Client
POST: wird hauptsächlich bei größeren Datenmengen/Datenblöcken verwendet, die zu einem
verarbeitenden Programm übertragen werden
67. Was bedeuten die HTTP Status Codes „200“, „301“, „401 und „404“?
200: OK
Die Anfrage wurde erfolgreich bearbeitet und das Ergebnis der Anfrage
wird in der Antwort übertragen.
301: Moved Permanently
Die angeforderte Ressource steht ab sofort unter einer neuen Adresse
bereit und wird dem Client mitgeteilt (Redirect).
401: Unauthorized
Die Anfrage kann nicht ohne gültige Authentifizierung durchgeführt
werden.
404: Not Found
Die angeforderte Ressource wurde nicht gefunden.
68. Wie funktioniert HTTP Basic Authentication?
HTTP-Authentifizierung ist ein Verfahren, mit dem sich der Nutzer eines Webbrowsers gegenüber
dem Webserver bzw. einer Webanwendung als Benutzer authentifizieren kann, um danach für weitere
Zugriffe autorisiert zu sein.
Rechnernetze_Fragenkatalog Seite 18
Aus <https://de.wikipedia.org/wiki/HTTP-Authentifizierung>
○ der Webserver fordert eine Authentifizierung des Benutzers (Clients) an
○ der Webbrowser sucht daraufhin nach Benutzername und Passwort für die aufgerufene URL
○ ggf. wird der Benutzer zur Eingabe der Logindaten gebeten
69. Wie unterscheiden sich aktives und passives FTP?
aktives FTP:
- der FTP Client verbindet sich mit dem Server und wartet
- der FTP Server verbindet sich anschließend mit dem Client und sendet
- die Firewall blockiert diese Kommunikation bzw. den Datenverkehr
passives FTP:
- beide Verbindungen werden vom FTP Client eingeleitet und gesteuert
- der FTP Server muss keine Verbindung aufbauen
- die Firewall ist über beide clientseitige Verbindungen informiert und
erlaubt den Datenverkehr
70. Nennen Sie 3 wichtige Protokolle, die bei email verwendet werden!
POP3, IMAP4, SMTP
71. Was verstehen Sie unter MIME bzw. SMIME?
MIME = Multipurpose Internet Mail Extensions
 gibt an, welche Art von Daten gesendet werden
S/MIME = Secure / Multipurpose Internet Mail Extensions
 Verfahren zur E-Mail-Verschlüsselung sowie für kryptographische Signaturen
72. Wieso kann man eine E-Mail vom Papst, von Angela Merkel oder anderen Persönlichkeiten
bekommen, obwohl diese einem niemals eine E-Mail schicken würden? Welche
Information/Redundanz im SMTP Protokoll trägt dazu bei?
 SMTP ist ein textbasiertes Protokoll
▪ mittels Telnet-Client kann eine E-Mail auch „von Hand“ verschickt werden
▪ Absender- und Empfängeradresse sind frei wählbar
▪ eine Authentifizierung findet nicht statt
Aus diesem Grund ist die Verlässlichkeit der Absenderangabe einer E-Mail nicht gegeben.
Aus <https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol>
73. Der Anwender gibt in einem „Telnet-Fenster“ das Kommando „pwd“ ein. Wie viele TCP/IP Pakete
werden minimal generiert?
pwd = print working directory (Name des aktuellen Verzeichnisses anzeigen)
jedes Zeichen wird als Echo vom Server zurückgesandt
Rechnernetze_Fragenkatalog Seite 19
○ jedes Zeichen wird als Echo vom Server zurückgesandt
○ demnach sollten minimal
Pakete notwendig sein
74. Beschreiben Sie den folgenden Wireshark Paket-Mitschnitt!
Programmierung
75. Was ist ein Socket?
Ein Socket (wörtlich übersetzt „Sockel“ oder „Steckverbindungen“) ist eine bi-direktionale SoftwareSchnittstelle zur Interprozess- (IPC) oder Netzwerk-Kommunikation. Sockets sind die vollduplexfähige
Alternative zu Pipes, FiFos oder Shared Memory.
Sockets bilden eine standardisierte Schnittstelle (API) zwischen der Netzwerk-ProtokollImplementierung des Betriebssystems und der eigentlichen Applikationssoftware.
76. Nennen Sie notwendige Funktionen aus der Socket-Bibliothek, die bei der Client-Programmierung
Verwendung finden!
int connect(int sockfd, struct sockaddr *serv_addr, int addrlen);
int socket(int domain, int type, int protocol);
int send(int s, const void *msg, int len, unsigned int flags);
int recv(int s, void *buf, int len, unsigned int flags)
77. Nennen Sie notwendige Funktionen aus der Socket-Bibliothek, die bei der Server-Programmierung
Verwendung finden!
int bind(int sockfd, struct sockaddr *my_addr, int addrlen);
int listen(int sockfd, int backlog);
int accept(int sockfd, struct sockaddr *addr, int *addrlen);
78. Welche Verfahren der Datenkodierung werden bei Netzwerkprotokollen häufig eingesetzt und
wieso?
URL Encode ASCII Control Characters
Why: These characters are not printable.
Characters: Includes the ISO-8859-1 (ISO-Latin) character ranges 00-1F hex (0-31
decimal) and 7F (127 decimal).
Non-ASCII Characters
Why: These are by definition not legal in URLs since they are not in the ASCII set.
Characters: Includes the entire "top half" of the ISO-Latin set 80-FF hex (128-255
decimal)
"Reserved characters"
Why: URLs use some characters for special use in defining their syntax.
When these characters are not used in their special role inside a URL, they need to be
encoded.
"Unsafe characters"
Why: Some characters present the possibility of being misunderstood within URLs for
Rechnernetze_Fragenkatalog Seite 20
Why: Some characters present the possibility of being misunderstood within URLs for
various reasons.
These characters should also always be encoded.
UUENCODE Unix-to-Unix-Encode
Auf dem Netz herrscht weitgehend der restriktive 7-Bit-Standard. Zeichen oberhalb von
ASCII 127 lassen sich nicht sicher übertragen.
Bleiben für die sichere Übertragung also nur die druckbaren Zeichen A-Z, a-z in
Kleinschrift, die Ziffern 0-9 und einige Satzzeichen wie +, %, [ oder der Unterstrich _. Auf
diese Zeichen rechnet der UUEncode zu Grunde liegende Algorithmus die Binärdaten
zurück.
Dazu fasst er drei Byte Daten aus der Binärdatei zusammen und teilt die daraus
resultierenden 24 Bit in vier Packungen zu je sechs Bit auf.
BASE64
Base64 ist ähnlich UUEncode ein Standard zur Übertragung von Binärdateien im
Internet. Im Gegensatz zu UUEncode verwendet Base64 jedoch noch weniger
Spezialzeichen. Satzzeichen wie „!“ oder „%“, die von einigen Mail-Gateways im
Internet verschluckt werden können, verwendet Base64 nicht und erlaubt dadurch eine
weit zuverlässigere Übertragung.
Bei BASE64 Kodierung werden jeweils drei Bytes zu einer 24-Bitfolge zusammengefasst
und diese dann in vier 6-Bitgruppen unterteilt. Die 6- Bitgruppen werden an Hand einer
Zeichentabelle (Base64-Alphabet) zurückübersetzt und übermittelt.
Dadurch wird jeder Text um 33% länger. Das Base64-Alphabet ist eine Untermenge von
65-Zeichen aus dem ASCII-Zeichensatz. Davon dienen 64 Zeichen der Textkodierung und
ein Zeichen (=) als Endmarkierung bei einer unvollständigen 24-Bitgruppe.
ASN.1
Abstract Syntax Notation One ist eine Beschreibungssprache zur Definition von
Datenstrukturen sowie Festlegungen zur Umsetzung von Datenstrukturen und
Elementen in ein netzeinheitliches Format
BBCard ::= SEQUENCE {
name
IA5String,
Team
IA5String,
Age
INTEGER,
Position
IA5String,
Handedness
ENUMERATED {
Left-handed,
Right-handed,
Ambidextrous},
Batting-average REAL}
XML
eXtensible Markup Language, Strukturierte Datendarstellung, leicht lesbar
<BBCard>
<name>Jon Doe</name>
<team>New York Yankees</team>
<age>29</age>
<position>C</position>
<handedness>right-handed</handedness>
<batting-average>0,277</batting-average>
</BBCard>
Gründe zur Nutzung
• Übertragung von Datenstrukturen mit binären Inhalten
Rechnernetze_Fragenkatalog Seite 21
• Übertragung von Datenstrukturen mit binären Inhalten
• Nutzung von Protokollen, die eigentlich nicht für die Übertragung von binären Daten vorgesehen
sind (z. B. SMTP/POP3, zum Teil HTTP)
• Verhinderung von Fehlinterpretation von Zeichen als Steuersignale
79. Wieso ist bei „binären“ Netzwerkprotokollen die Byteorder zu beachten? Wie sichert man als
Programmierer die richtige Byteorder ab?
Die Byteorder gibt an, wie Zahlenwerte im Speicher repräsentiert werden, genauer: welches Byte
welche Wertigkeit besitzt.
Bei der "Big-Endian" Byteorder ist das jeweils letzte Byte dasjenige mit dem höchsten Wert.
Bei "Little-Endian" entsprechend umgekehrt.
Die Zahl 255 hätte (als short int) im ersten Fall in hexadezimaler Schreibweise die Darstellung FF 00,
im zweiten Fall 00 FF.
Funktionen zur Umschreibung
htons() Host to Network Short
htonl() Host to Network Long
ntohl() Network to Host Long
ntohs() Network to Host Short
Aus <https://www.tutorialspoint.com/unix_sockets/network_byte_orders.htm>
80. Wie funktioniert BASE64?
Siehe Aufgabe 78
81. Was verstehen Sie unter ASN.1 und wo wird es eingesetzt?
Der Standard dient der abstrakten Beschreibung von Datentypen, ohne auf die rechnerinterne
Darstellung einzugehen.
- Nachrichtenaustausch zwischen unterschiedlichen Systemen
- Beschreibung der Nachrichtenelemente der Protokolle des OSI-Modells
- Telekommunikation
□ GMS
□ UMTS
82. Nennen Sie Beispiele für Technologien, die unter dem Begriff Remote Procedure Call
zusammengefasst werden können!
RMI
Remote Method Invocation (RPC in Java)
CORBA
Common Object Request Broker Architecture (Kommunikation zwischen Objekten)
DCOM
Distributed Component Object Model (unabhängig von Programmiersprache,
aber auf MS-Plattformen beschränkt)
.NET Remoting RPC in Microsofts .NET-Sprachen
Web Service
Verbindung heterogener Systeme
Rechnernetze_Fragenkatalog Seite 22
83. Wie funktionieren XML Web Services und welche Vorteile bringen sie gegenüber anderen RPC
Techniken?
Vorteil:
Sie sind uneingeschränkt Programmiersprachen- und Plattformunabhängig.
RMI ist auf JAVA festgelegt und DCOM praktisch an Microsoft-Plattformen gekoppelt. Weiterhin
werden im Gegensatz zu RMI, DCOM und CORBA, wo die Daten in Binärformübertragen werden, wird
bei Web Services die Informationen in XML übertragen, was einer besseren Lesbarkeit zu Gute
kommt.
Als Protokoll kommt SOAP (Simple Object Access Protocol) über HTTP zum Einsatz.
84. Zählen Sie am Beispiel des Versuches 6.b im Praktikum Rechnernetze „XML Web Services“ die
verwendeten Protokolle auf und weisen sie diese den Schichten im OSI Referenzmodell zu!
Verwendete Protokolle:
SOAP
(Anwendungsschicht) Schicht 7
HTTP
(Anwendungsschicht) Schicht 7
Sicherheit
85. Welche „3 goldenen Regeln“ sollte man zur Absicherung eines Rechners im Netzwerk beachten?
Die 3 goldenen Regeln von Microsoft:
- Firewall
- Automatische Updates
- Virenschutz
86. Wofür steht NAT, welche Bedeutung hat es und wie funktioniert es?
NAT = Network Address Translation
Ein NAT-Gerät verbindet mit zwei Netzwerkkarten das lokale Netz mit dem Internet.
Hauptsächlich ist NAT notwendig, weil öffentliche IP-Adressen immer knapper werden und man
deshalb private IP -Adressen einsetzen muss.
Zum anderen kann es der Datensicherheit dienen, weil die interne Struktur des Netzwerks nach außen
hin verborgen bleibt (Security through Obscurity).
Rechnernetze_Fragenkatalog Seite 23
Bei ausgehenden Paketen wird die (private) Quell-IP-Adresse durch eine noch nicht benutzte
(öffentliche) IP ersetzt. Zusätzlich merkt sich der Router mittels einer Tabelle die Quell- und Ziel-IPAdresse.
Man unterscheidet zwischen Source NAT, bei dem die Quell-IP-Adresse ersetzt wird, und Destination
NAT, bei dem die Ziel-IP-Adresse ersetzt wird.
Bei Basic NAT wird jede interne IP durch eine externe IP ersetzt (1:1-Übersetzung).
Source NAT
Quell-IP
Ziel-IP
Router (NAT) Quell-IP
192.168.0.2 170.0.0.1 -------------->
Ziel-IP
205.0.0.2 170.0.0.1
Destination NAT
Quell-IP
Ziel-IP
Router (NAT) Quell-IP
Ziel-IP
170.0.0.1 205.0.0.2 ---------------> 170.0.0.1 192.168.0.2
87. Wofür steht Port Forwarding, welche Bedeutung hat es und wie funktioniert es?
Port Forwarding erlaubt es, Verbindungen über frei wählbare Ports zu Computern innerhalb eines
Netzes weiterzuleiten bzw. (im Unterschied zu reinem NAT) diese auch zu initiieren.
□ eingehende Datenpakete werden per Destination-NAT und ausgehende Datenpakete per
Source-NAT maskiert, um sie an den anderen Rechner weiterzuleiten bzw. den Anschein
zu erwecken, die ausgehenden Pakete kämen von dem Computer, der das Port
Forwarding betreibt.
□ Der Router wartet dabei auf einem bestimmten Port auf Datenpakete. Wenn an
diesem Port Daten eintreffen, werden sie an einen bestimmten Computer und eventuell
einen anderen Port im internen Netzwerk weitergeleitet. Für eingehende Daten wird
dabei NAT genutzt, so dass es von außen den Anschein hat, der Router selbst verrichtet
den Server-Dienst.
□ Reverse Proxies bieten ähnliche Funktionalität sind aber zusätzlich in der Lage die Daten
zu verändern, da sie das Netzwerkprotokoll verstehen, dass sie weiterleiten.
88. Wie funktioniert eine Firewall?
-
Termination aller Dienste (DNS, E-Mail, …), ggf. durch vorgelagerte Server
Authentisierung von "Anrufen" (innen und außen)
Logging und Alarming
Selektive Weiteleitung von Anwendungsverbindungen
Umschreiben/Verbergen von internen Adressen (NAT)
Durchführung von Interaktionen im Auftrag von Benutzern (Proxy)
Verfolgung nach 2 verschiedenen Grundsätzen:
- "Alles ist erlaubt, was nicht verboten ist."
- "Alles ist verboten, was nicht erlaubt ist."
89. Wie funktioniert eine Personal Firewall?
Eine Personal Firewall oder Desktop Firewall ist eine Software, die den ein- und ausgehenden
Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers eingesetzt […].
Im Gegensatz zu einer klassischen Netzwerk-Firewall ist eine Personal Firewall keine eigenständige
Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert.
Rechnernetze_Fragenkatalog Seite 24
Sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz.
Ein Nachteil dieses Prinzips ist, dass die Firewallsoftware selbst angegriffen werden kann.
Die Ausnutzung oder Umgehung dieser kann den vollständigen Zugang zum zu schützenden System
bedeuten. Die Angreifbarkeit des Rechners wird an den Stellen, an denen die Firewall aktiv ist, von seinem
Netzwerk-Betriebssystem auf seine Firewall verlagert.
Eine zusätzliche Sicherheit gegen Angriffe entsteht hier dadurch, dass eine Firewall weniger komplex ist als
ein ganzes Betriebssystem – und daher statistisch weniger Fehler enthält.
Aus <https://de.wikipedia.org/wiki/Personal_Firewall>
90. Was ist ein Port Scan und welche Informationen enthält sein Ergebnis?
Port-Scanning
- Bietet guten Überblick über die aktiven Dienste (und Ports) der untersuchten Rechner und die
Struktur des Netzwerks
- Um keine Spuren in den gescannten Systemen zu hinterlassen (Protokoll-Dateien) werden
spezifische Scan-Methoden angewandt: Stealth-Scans
- Über Fingerprinting lässt sich das Betriebssystem des gescannten Rechners ermitteln
91. Wie funktioniert ein HTTP Proxy?
Ein Proxy ist ein Programm oder Rechner, das im Datenverkehr zwischen angefragtem
Server und anfragendem Client vermittelt. Dem Server gegenüber verhält sich ein Proxy
wie ein Client, dem Client gegenüber wie ein Server. Im einfachsten Fall leitet der Proxy
die Daten einfach weiter, hat aber üblicherweise eine der folgenden Funktionen:
- Zwischenspeicher (Cache): Häufig gestellte Anfragen werden vom Proxy gespeichert, so dass
dieser sie beantworten kann, ohne den Server zu befragen (schneller, Netzlast reduzierend)
- Filter: Bestimmte Kategorien von Websites können für Nutzer gesperrt werden. Proxies sind
häufig Bestandteile von Firewalls.
- Zugriffssteuerung: Ist der Server nicht frei im Internet erreichbar, so kann ein vorgeschalteter
Proxy den Zugriff ermöglichen. Der Server selbst kann dann nicht mehr angegriffen werden,
sondern nur noch der Proxy.
- Vorverarbeitung von Daten: Proxies können auch gewisse Applikationsfunktionen übernehmen,
beispielsweise Daten in ein standardisiertes Format bringen.
92. Wie verstehen Sie unter einem VPN?
Ein Virtual Private Network (VPN) (dt.: Virtuelles Privates Netz) ist ein Computernetz, das zum
Transport privater Daten ein öffentliches Netz (zum Beispiel das Internet) nutzt.
Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen
Teilnehmer selbst müssen hierzu nicht direkt verbunden sein.
Rechnernetze_Fragenkatalog Seite 25
Die Verbindung über das öffentliche Netz wird üblicherweise verschlüsselt.
93. Mit welchen kryptografischen Mitteln erreicht man “Strong Authentication”, “Authorization”, “NonRepudiation“, “Integrity”, “Confidentiality und “Interoperability“?
Strong Authentication Digitale Signatur
Authorization
Digitale Signatur
Non-Repudiation
Digitale Signatur
Integrity
Digitale Signatur
Confidentiality
Verschlüsselung
Interoperability
Standards
94. Welche Klassen von kryptographischen Mechanismen kennen Sie? Nennen Sie Beispiele!
Symmetrische Verschlüsselungen
(Ver- und Entschlüsselung mit demselben
Schlüssel)
- AES
- DES
- IDEA
- RC2
- RC4
- CAST5
Asymmetrische Verschlüsselungen
(Verschlüsselung vom Kommunikationspartner
erfolgt durch öffentlichen Schlüssel,
Entschlüsselung durch den privaten Schlüssel)
- RSA (Rivest, Shamir und Adleman)
- DSA (Digital Signature Algorithm)
- DH (Diffie-Hellman)
Hash-bildende Algorithmen (Message Digest
Algorithm)
(aus einer undefiniert-langen Folge an Zeichen
wird eine fest-definierte Länge an Zeichen)
- MD2
- MD5
- SHA1
- RIPEMD160
95. Welche Bestandteile besitzt ein digitales Zertifikat?
- certificate holder (subject)
□ name, alternative name
□ RSA public key
Rechnernetze_Fragenkatalog Seite 26
□ RSA public key
- certificate issuer
□ name, alternative name
- other details
□ version
□ serial number
□ validity period
□ X.509v3 extensions
□ Revocation information
- Issuer signature
96. Wie wird ein digitales Zertifikat geprüft?
97. Erläutern Sie Begriffe, wie RA, CA, VA, TSA, LDAP!
RA
Registration
Authority
Eine Registrierungsstelle (engl.: registration authority, kurz RA) ist eine Instanz
innerhalb einer Sicherheitsinfrastruktur (PKI) und dient als
Registrierungsbehörde für digitale Zertifikate.
Die Registrierungsstelle arbeitet eng mit der Zertifizierungsstelle (CA)
zusammen und ist zuständig für das sichere Identifizieren und Registrieren des
Zertifikatnehmers.
Der validierte Antrag (Certificate Signing Request) wird an die
Zertifizierungsstelle (CA) weitergeleitet, wobei die transportierten Daten gegen
Manipulation abgesichert werden.
Aus <https://de.wikipedia.org/wiki/Registrierungsstelle>
CA
Certification
Authority
In der Informationssicherheit ist eine Zertifizierungsstelle (engl.: certification
authority, kurz CA) eine Organisation, die digitale Zertifikate herausgibt.
Ein digitales Zertifikat dient dazu, einen bestimmten öffentlichen
Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung
wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer
eigenen digitalen Unterschrift versieht.
Rechnernetze_Fragenkatalog Seite 27
Aus <https://de.wikipedia.org/wiki/Zertifizierungsstelle>
VA
Validation
Authority
Einer der gebräuchlichsten Validierungsdienste stellt die Überprüfung der
Gültigkeit eines X.509 Zertifikats mittels einer
sogenannten Zertifikatsperrliste (CRL) dar. Hierbei wird eine Liste von einer
öffentlichen URL geladen und die Seriennummer des Zertifikats, das geprüft
werden soll, in dieser Liste gesucht. Ist es vorhanden, ist das Zertifikat
gesperrt, andernfalls ist es gültig.
Aus <https://de.wikipedia.org/wiki/Validierungsdienst>
Siehe auch: <https://de.wikipedia.org/wiki/Public-Key-Infrastruktur>
TSA
Time-stamp
Authority
Time Stamp Authority, ein Dienstleister welcher digital unterschriebene
Zeitstempel ausstellt.
Aus <https://de.wikipedia.org> keine eigene Seite
LDAP
Leightweight Das LDAP, deutsch etwa Leichtgewichtiges Verzeichniszugriffsprotokoll, ist
Directory
ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen
Access
verteilter Verzeichnisdienste.
Protocol
Aus <https://de.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol>
Öffentliche Datenbank, in der PKI-Informationen gesammelt werden.
98. Welche Softwareschnittstellen (Standards) zu kryptographische Token kennen Sie?
- ASN.1
- RFC / IETF Draft
- X
- PKCS
□
□
□
□
□
□
PKCS#1 - RSA Signatur
PKCS#7 - Cryptographic Message Syntax Standard
PKCS#10 - Certificate Request Syntax Standard
PKCS#11 - Cryptographic Token Interface Standard
PKCS#12 - Personal Information Exchange Syntax Standard
PKCS#15 - Cryptographic Token Information Format Standard
- W3C
□
□
□
□
□
□
XML
XSL
XML Signatur
XML Encryption
SOAP
XML Web Services
99. Wie wird eine digitale Signatur gebildet (z.B. PKCS#7)?
beim Versender
1) Vom zu signierenden Dokument wird ein hash gebildet
2) der hash wird mit dem privaten Schlüssel des Versenders verschlüsselt
3) Signatur und Zertifikat werden an das Dokument angehängt
Rechnernetze_Fragenkatalog Seite 28
3) Signatur und Zertifikat werden an das Dokument angehängt
⇒ versenden
beim Empfänger
1) Dokument und Signatur entpacken
2) hash vom Dokument erstellen
3) verschlüsselten hash aus der Signatur mit dem public key des Versenders entschlüsseln
4) Vergleich von erstelltem und entschlüsselten hash
100. Wie werden am Beispiel von PKCS#7 Daten verschlüsselt?
beim Versender
1. Session-Key erstellen
2. Dokument mit Session-Key verschlüsseln
3. Session-Key mit Public-Key des Empfängers verschlüsseln
4. alles mit Zertifikatsinformationen des Empfängers kombinieren
⇒ versenden
beim Empfänger
1. eigenem Private-Key (mit Zertifikatsinformationen) suchen
2. Session-Key mit Private-Key entschlüsseln
3. Dokument mit Session-Key entschlüsseln
101. Wofür steht SSL, welche Bedeutung hat es und wie funktioniert es?
SSL = Secure Socket Layer
Bedeutung:
▪ Verschlüsselungsprotokoll für Datenübertragungen im Internet
▪ SSL arbeitet transparent, so dass es leicht eingesetzt werden kann, um Protokollen ohne eigene
Sicherheitsmechanismen abgesicherte Verbindungen zur Verfügung zu stellen.
Funktionsweise: Es setzt direkt auf der Transportschicht auf und bietet zwei verschiedene Dienste,
welche einzeln und gemeinsam genutzt werden können.
▪ Ende-zu-Ende-Verschlüsselung mittels symmetrischer Algorithmen. Der verwendete Schlüssel
wird dabei im Voraus über ein weiteres Protokoll (z.B.: SSL Handshake-Protokoll) ausgehandelt
und ist einmalig für die Verbindung. SSL unterstützt für die symmetrische Verschlüsselung u.a.
DES und Triple DES.
▪ Sicherung der Nachrichten-Integrität und Authentizität durch Bildung einer kryptografischen
Prüfsumme u.a. SHA-1 und MD5.
102. Welche Bedeutung haben Zertifikate bei SSL?
Zertifikate bestätigen die Zugehörigkeit eines kryptografischen Schlüssels zu einer Maschine. Dadurch
können Authentizität, Vertraulichkeit und Integrität von Daten gegenüber Dritten garantiert werden.
103. Wie funktioniert SSL mit Client Authentication?
Ablauf:
1. Client sendet ClientHello
2. Server bestätigt mit ServerHello
3. Server sendet sein Zertifikat
4. Server erfragt Zertifikat von Client
5. Client sendet sein Zertifikat
6. Client sendet ClientKeyExchange Nachricht
Rechnernetze_Fragenkatalog Seite 29
6.
7.
8.
9.
Client sendet ClientKeyExchange Nachricht
Client sendet Certificate Verify Nachricht
Beide senden sich gegenseitig ChangeCipherSpec Nachricht
Beide senden sich gegenseitig Finished-Nachricht
Werkzeuge
104. Nennen und erläutern Sie wichtige Kommandozeilentools, die zum Standard der aktuellen
Betriebssysteme gehören und beim Troubleshooting im Netzwerk hilfreich sind (Anwendungsfälle:
Station konfiguriert?, Station aktiv?, Route korrekt?, Nameservice aktiv?, Netwerkdienst aktiv?, …)!
nslookup
Auflösung von Host-Name
tracert
zeigt alle Hops eines Datenpakets zwischen zwei hosts
whoami
zeigt Benutzername und Rechnername
getmac
ermittelt MAC-Adresse der Netzwerkkarte
ping
prüft Erreichbarkeit eines Rechners
ipconfig
vollständiger Überblick über Netzwerkkonfiguration des Rechners
netstat
zeigt alle geöffneten Netzwerkverbindungen an
rout print zeigt die Routing-Tabelle an
105. Nennen und erläutern Sie wichtige Konfigurationsdateien für Netzwerkeinstellungen, die zum
Standard der aktuellen Betriebssysteme gehören und beim Troubleshooting im Netzwerk hilfreich
sind (Ports für Netzwerkdienste, Aliasnamen für Stationen)!
https://www.suse.com/dede/documentation/sles10/book_sle_reference/data/sec.basicnet.manconf.html
Im Skript finde ich dazu nichts. Unter der URL sind einige zu finden, aber definitiv zu viele um die zu
Lernen. Die Sinnhaftigkeit ist auch zweifelhaft.
Rechnernetze_Fragenkatalog Seite 30