Rechnernetze
I. Grundlagen der Vernetzung
1.1 Verkabelung
1.2. Netzwerkadapter
1.3. CSMA/CD
2.1. Apple Talk
2.2. Netware Protokolle
2.3. NetBEUI
2.4. TCP/IP
3.1. SMTP
3.2. POP3
3.3. NNTP
3.4. Telnet
3.5. SSH
3.6. FTP
3.7. HTTP
3.8. IMAP
3.9. Was sind Ports?
3.10. Wer darf Mails abliefern?
II. Sicherheit in Computernetzen
4. Benutzer
4.2. Passwörter auf Client-Rechnern
5.1 Programme zur Überwachung des Datenverkehrs
5.2. Ethernet, die Netzwerkschicht
5.3. IP
5.4. ARP/RARP
5.5. ICMP
5.6. UDP
5.7. TCP
6.1. OS Fingerprinting
6.3. Nmap
7. Paketfilter zum Absichern von Rechnern
7.1. Iptables
7.2. Masquerading
7.3. Firewalling
7.6. Accounting Rule
7.7. Logging-Rule
7.8. Limits
8.1. Warum erfolgen Angriffe auf private PC?
8.2. Ausführen von eingeschleustem Code
8.3 Buffer overflows
III. Rechner im Netz – Netze im Rechner
9. Installation und Betrieb von Rechnernetzen
9.1. Emulatoren
9.2 Einrichten von vielen Rechnern
10. Anwendungen über das Netz – Remote Desktops
10.1 X11
10.2 Virtual Network Computing (VNC)
10.3 Nomachine NX
10.4 Microsofts Remote Desktop Protocol
I. Grundlagen der Vernetzung
Eine Schule verfügt heutzutage über ein lokales Netzwerk, an das eine unterschiedliche, aber stark wachsende, Anzahl von Computern angeschlossen ist. Es handelt sich meist um ein Netz auf Ethernet-Basis mit dem Protokoll TCP/IP, in dem eine Vielzahl von Anwendungen läuft.
In der Regel stehen (mindestens) zwei Computerräume zur Verfügung und eine Reihe von Computern, die einzeln oder in kleinen Gruppen untergebracht sind. Einen Zugang zum Internet bekommen alle Computer-Arbeitsplätze über einen zentralen Server, der meist über eine DSL-Verbindung verfügt.
Die Schulbehörde in Hamburg ist dabei, alle ihre Schulen total zu vernetzen. Das bedeutet, dass in jedem Klassenraum zwei Anschlussdosen (Doppeldosen) für den Netzwerkzugang zur Verfügung stehen. Im Prinzip ist dieser totale Ausbau nicht zwingend notwendig, da zukünftig die Rechner eher per WLAN ans Netz angebunden werden. Der gute Ausbau des Kabelnetzes vereinfacht aber den Aufbau des WLAN.
Neben der internen Vernetzung wird es auch eine externe Vernetzung geben, alle Schulen sollen breitbandig an das Behördennetz angebunden werden. Hierbei wird man auf VLAN-Konzepte setzten, bei denen Verwaltungsnetz (TUVAS) und pädagogisches Netz logisch getrennt im gleichen Kabel geführt werden.
Zum Verständnis eines derartigen Netzes ist es sinnvoll die Ebenen zu trennen in:
- Hardware-Ebene
- Protokoll-Ebene
- Anwendungs-Ebene
1. Hardware-Ebene
Für die Netzwerkhardware gilt heute Ethernet als Standard. Das System Arcnet ist technisch überholt. In manchen größeren Firmen findet man noch Token Ring Netze, die aber im schulischen Bereich keine Rolle spielen.
Beim Ethernet benötigt man die folgenden Komponenten.
1.1. Verkabelung
Für die Ethernet-Verkabelung gibt es hauptsächlich drei Verkabelungsarten:
- Koaxialkabel
- Twisted-Pair Kabel
- Glasfaserkabel
und natürlich
- Wireless-LAN
1.1.1. Koaxialkabel
Ursprünglich wurde diese Kabelart benutzt. Hierbei handelt es sich um ein Kabel, welches einem Antennenkabel ähnelt.
Die am weitesten verbreitete Koaxial-Verkabelung wird als 10Base 2 (Cheapernet) bezeichnet. An den Kabelenden ist jeweils ein Stecker mit Bajonettverschluss angebracht, über den die Netzwerkkarte mittels eines T-Stückes angeschlossen wird. An den beiden Enden des Kabelstranges (Segmentes) muss ein Abschlusswiderstand von 50Ω angebracht werden.
Da alle Geräte hintereinander bzw. nebeneinander liegen bezeichnet man den Aufbau als Bustopologie.
Für diese Art der Verkabelung gelten folgende Beschränkungen:
- Maximale gesamte Kabellänge: 185m pro Segment
- Maximalzahl Rechner: 30 pro Segment
- Mindestabstand der Stationen am Kabel: 1,8m
- Maximale Datenübertragungsrate 10MBit/s
Will man die Beschränkungen hinsichtlich der Kabellänge bzw. der Zahl der Stationen überwinden, so kann man Segmente mit Signalverstärkern (Repeatern) verbinden. In einem Netz sind maximal 4 Repeater erlaubt, so dass höchstens 5 Segmente möglich sind. Diese Beschränkungen hängen mit der Dämpfung der Signale im Kabel und der Signallaufzeit zusammen.
Für größere Netze gibt es das 10Base5, bei dem ein teureres Koaxialkabel (Yellow cable) verwendet wird. Hier ergeben sich dann folgende Beschränkungen:
- Maximale gesamte Kabellänge: 500m pro Segment
- Maximalzahl Rechner: 100 pro Segment
- Mindestabstand der Stationen am Kabel: 2,5m
- Maximale Datenübertragungsrate 10MBit/s
1.1.2. Twisted Pair
Als Standardverkabelung wird heute Twisted Pair (10BaseT bzw. 100 BaseT, 1GBaseT) benutzt. Dabei handelt es sich ursprünglich um achtadriges Telefonkabel. Jeweils zwei Adern sind untereinander verdrillt, was die Abschirmung verbessert. Zusätzlich wird das gesamte Kabel nach außen hin durch eine Metallfolie abgeschirmt.
Hinsichtlich des Aufbaus dieser Kabel gibt es eine Reihe von Bezeichnungen.
- UTP (Unshielded Twisted Pair), die Kabelpaare und das Gesamtkabel sind nicht abgeschirmt
- FTP (Foiled Twisted Pair), die Adernpaare sind mit einem Schirm aus metallkaschierter Folie umgeben.
- STP (Shielded Twisted Pair) die Adernpaare sind einzeln mit einer Abschirmung umgeben, die meist aus Folie besteht.
- S-FTP (Screened Foiled Twisted Pair), zusätzlich zum FTP liegt hier eine Gesamtabschirmung mit einem Metallgeflecht (S) vor.
- S-STP (screened Shielded Twisted Pair), zusätzlich zum STP liegt eine Gesamtabschirmung vor.
Die meisten Kabel, die man als Endkunde bekommt, gehören in die Rubrik FTP. Zusätzlich gibt es eine Reihe von Normen, die die Leistungsfähigkeit des Kabels beschreiben.
- Cat1, bis 100 kHz wir für Telefonanwendungen genutzt, z.B. ISDN-Basisanschluss
- Cat2, bis 1 MHz wird für ISDN-Primärmultiplexanschlüsse genutzt.
- Cat3, bis 16 MHz, wird für 10BaseT und Token-Ring genutzt.
- Cat4, bis 20 MHz, wird für 16-MBit-Token-Ring genutzt.
- Cat5, bis 100 MHz, Standardkabel für 100BaseT, erlaubt auf kürzeren Strecken auch 1GBaseT.
- Cat5e, ab 100 MHz, erweiterte Version von Cat5, ermöglicht 1GBaseT auf der vollen Länge von 100m.
- Cat6, ab 250 MHz, Standardkabel für 1GBaseT, erlaubt auch Übertragungsraten von 10GBit, zumindest auf kürzeren Strecken.
- Cat6a, bis 550 MHz, für Gigabit-Netze.
Die Aufzählung wird sich in den nächsten Jahren erweitern. Zur Zeit wird an einer Norm für Cat7 gearbeitet, die dann Übertragungsraten bis 100GBit unterstützen wird. Praktisch hat man heute die Wahl zwischen Cat5, Cat5e und Cat6. Die Preisunterschiede sind recht gering, man liegt immer deutlich unter 1€/m.
Angeschlossen werden diese Kabel an eine spezielle Dose, die einer ISDN-Dose sehr stark ähnelt. Dargestellt ist eine Doppeldose. Da der Preisunterschied zwischen Einzel- und Doppeldose gering ist, werden meist gleich Doppeldosen verlegt, obwohl man dann auch zwei Zuleitungen benötigt.
Zur einfacheren Verlegung verwendet man für Doppeldosen gern Douplex-Kabel, bei denen einfach zwei Kabel miteinander verklebt wurden.
In diese Dosen werden dann Verbindungskabel gesteckt (Patchkabel), die an ihren Enden würfelförmige RJ45-Stecker tragen. Auch diese gleichen den ISDN-Steckern. Zu dem ISDN-System gibt es aber einen wichtigen Unterschied.
Dort werden die inneren vier Adern in der Dose benutzt, bei RJ45 auch äußere Adern. ISDN-Kabel bestehen normalerweise nur aus den wirklich benötigten Adern, Twisted Pair Kabel wird meistens 8 adrig verlegt, auch wenn auch hier ebenfalls nur 4 Adern benötigt werden.
Für die Farbzuordnung gibt es mehrere Normen. Die beiden üblichsten sind hier aufgeführt, wobei die Norm EIA/TIA 568 B die aktuellste ist. Das Kürzel EIA/TIA steht für die Organisationen Electronics Industry Association (EIA) und Telecommunications Industry Association (TIA).
Belegung und Farbcodes für RJ-45 Stecker | |||||
---|---|---|---|---|---|
Adernpaar | Pin | EIA/TIA 568A | EIA/TIA 568 B | 10(0)Base-T | ISDN |
1 | 4
5 |
blau
weiß-blau |
blau
weiß-blau |
1b
1a | |
2 | 3
6 |
weiß-orange
orange |
weiß-grün
grün |
RD+
RD- |
2a
2b |
3 | 1
2 |
weiß-grün
grün |
weiß-orange
orange |
TD+
TD- |
|
4 | 7
8 |
weiß-braun
braun |
weiß-braun
braun |
Für Europa bzw. Deutschland gibt es die abweichenden Normen IEC/ISO 11801, EN 50173 und DIN 50173. Kabel und Dosen mit den zugehörigen Farben habe ich aber noch nie gesehen.
Twisted Pair Verkabelung bedingt eine andere Verlegungstopologie als Koaxialkabel. Das Kabel wird nicht durchgeschleift, sondern die Anschlüsse enden immer in einer aktiven Komponente, meist einem Hub oder Switch. Von diesem Punkt ausgehend ergibt sich dann eine sternförmige Verkabelung. Der Unterschied zwischen Bus- und Sterntopologie bezieht sich nur auf die Verlegung der Kabel, elektrisch handelt es sich auch hier um einen Bus. Man kann sich hierfür vorstellen, dass die Anschlüsse im Hub einfach nur zusammengefasst sind und jeder Rechner sein eigenes Segment bekommt.
Will man nur zwei Computer direkt miteinander verbinden, so braucht man ein Crossover-Kabel, bei dem einige Leitungen untereinander vertauscht sind.
Pin-Belegung Crossover-Kabel | ||||||||
Stecker | Pin | |||||||
Stecker 1 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
Stecker 2 | 3 | 6 | 1 | 5 | 4 | 2 | 8 | 7 |
Signal | TD+ | TD- | RD+ | - | - | RD- | - | - |
Ein derartiges Kabel kann auch benutzt werden, um Hubs miteinander zu verbinden. Generell müssen gleichartige Geräte immer mit einem gekreuzten Kabel verbunden werden. Das kann man sich so vorstellen, dass eines der Adernpaare (TD+/TD-) einen Sendekanal (Transmit Data) darstellt, das andere (RD+/RD-) einen Empfangskanal (Receive Data). Verbinde ich jetzt zwei Computer miteinander, so muss der Sendekanal des einen Computers mit dem Empfangskanal des anderen verbunden werden und umgekehrt. Bei der Verbindung Hub-Computer ist diese Umsetzung schon im Hub realisiert.
Moderne Switches stellen sich automatisch auf das Kabel ein, es ist also egal, ob man sie mit einem Crossover-Kabel oder einem normalen Kabel verbindet.
Für Twisted Pair ergeben sich folgende Beschränkungen:
- Maximale gesamte Kabellänge: 100m pro Segment
- Maximalzahl Rechner: 1 pro Segment
- Maximale Übertragungsrate: 100 MBit/s bzw. inzwischen auch bis 10.000 MBit/s
Bei der Qualität des Kabels und der Anschlussdosen sollte man nicht geizen. Der größte Aufwand besteht im Verlegen der Kabel und nicht in der Anschaffung. Es ist daher ärgerlich, wenn man nach kurzer Zeit feststellt, dass man z.B. mit Kabel ohne Abschirmung Störungen ins Netz bekommt.
Netzwerkkomponenten sollten heute die Bezeichnung Cat 6 tragen, was anzeigt, dass sie für Übertragungsraten von 1 GBit/s gedacht sind.
1.1.3. Glasfaser
In den letzten Jahren sind auch Glasfaserkabel (100Base-Fx, 1000Base-Fx) bezahlbar geworden. Glasfaserkabel haben den großen Vorteil, dass Sie gegen Störungen durch elektrische Felder vollkommen unempfindlich sind. Kupferkabel dürfen wegen dieser Störungen nicht parallel zu elektrischen Leitungen verlegt werden.
Ein weiterer Vorteil der Glasfaser besteht in der geringeren Dämpfung der Signale, dadurch können die Strecken wesentlich länger werden. Licht wird nur im luftleeren Raum ohne jegliche Dämpfung (Abschwächung) übertragen, dann legt es in einer Sekunde 300.000 Kilometer zurück. Normales Fensterglas besitzt eine Dämpfung von 50.000 dB/km. Moderne Lichtwellenleiter kommen auf Werte deutlich unter 1 dB/km. Damit sind dann Übertragungsstrecken von mehreren Kilometern ohne Verstärkung möglich.
Glasfaserleitungen besitzen einen recht komplizierten Aufbau. Im Inneren bestehen sie aus einem Kern (Core) aus hochreinem Glas. Dieser Kern ist von einem Mantel (Cladding) aus Glas mit einer niedrigeren optischen Brehungszahl umgeben. Dieser Mantel bewirkt eine Totalreflektion an der Grenzschicht, der Strahl kann also den Core nicht verlassen. Diese beiden Glaskomponenten sind dann von zwei Schutzschichten (Buffer und Jacket) umgeben, die vor Feuchtigkeit und mechanischen Belastungen schützen.
Das Verhältnis zwischen Core und Cladding spielt für die Eigenschaften der Faser eine wichtige Rolle.
Hat der Core einen Durchmesser von weniger als 10 µm (etwa die Wellenlänge des übertragenen Lichtes), so spricht man von einer Single-Mode bzw. Monomode-Faser. Hier kommt das eingestrahlte Licht nur auf einem einzigen, direkten Weg durch die Faser. Reflektionen werden gering gehalten, wodurch die Signalqualität hoch bleibt und weite Übertragungsstrecken erreicht werden können.
Da die Verarbeitung dieser Fasern, aufgrund des kleinen Core schwierig ist, benutzt man für kürzere Strecken Multimode-Fasern, mit einem Core-Durchmesser von etwa 50µm. Hier verändert sich der Brechungsindex der Glassorten in einem Schritt, daher spricht man auch von Stufenindex-Fasern (Step index fiber). Bei diesen Fasern kommt es zu sehr unterschiedlichen Reflektionen und damit sehr unterschiedlichen Laufzeiten der Lichtstrahlen. Dadurch verringert sich die Signalqualität.
Bei Gradientenindex-Fasern (Graded index fiber) ändert sich der Brechungsindex des Glases kontinuierlich, was die Reflektionen vereinheitlicht und zu höherer Signalqualität führt.
Verwendet werden generell Kabel mit zwei getrennten Adern (Sende- und Empfangskanal), die an den Enden mit speziellen Steckern versehen werden.
Bei den Steckern gibt es zwei Systeme:
Das SC-System (standard connector) basiert auf Kunststoff-Steckern und ist preiswerter als das ST-System (straight tip), bei dem Keramik-Stecker benutzt werden. Es gibt Adapter, mit denen man die Systeme untereinander kombinieren kann. ST-Stecker besitzen einen Bajonett-Verschluss und müssen bewusst verriegelt werden, SC-Anschlüsse schnappen Einstecken ein und verriegeln sich selbst.
Für Glasfaser ergeben sich dann folgende Beschränkungen:
- Maximale gesamte Kabellänge: 400m pro Segment
- Maximalzahl Rechner: 1 pro Segment
- Maximale Übertragungsrate: 100Gbit/s
Für den Übergang zwischen Kupfer- und Glasfaser-Leitungen gibt es spezielle Konverter, die die Signale jeweils umwandeln.
Im Prinzip sind Glasfaserleitungen sehr preiswert geworden. Der Meterpreis liegt kaum über dem von Kupferkabel, wobei man bei Preisvergleichen beachten muss, dass Glasfaserkabel in der Regel über mehr als nur die für eine Verbindung benötigten zwei Fasern verfügen.
Was bei Glasfaserleitungen aber sehr teuer ist, ist das sog. Spleißen, das Verbinden von zwei Fasern miteinander oder einer Faser mit Stecker oder Patchfeld. Hierzu benötigt man Spezialwerkzeug und auch einige Erfahrung. Insofern benötigt man hierfür immer Dienstleister, die das vor Ort erledigen (siehe http://www.debacher.de/wiki/Spleißen_von_Glasfaserkabel). Als einzigen Ausweg gibt es fertig konfektionierte Kabel in allen gewünschten Längen. Diese Kabel sind aber schwer zu verlegen, weil sie ja bereits über die relativ dicken Stecker verfügen.
1.1.4. Wireless-LAN
Die Datenübertragung per Funk, das sog. Wireless-LAN ist heute nahezu allgegenwärtig. Das gängige Funk-LAN arbeitet im Frequenzbereich 2,4 bis 2,48 GHz (in diesem Bereich arbeitet auch die häusliche Mikrowelle) mit einer Leistung von 100mW (zum Vergleich, ein Mobiltelefon kommt auf bis zu 2.000mW). Die Übertragung ist genormt, nach der IEEE 802.11x, was den Mischbetrieb der Geräte verschiedener Hersteller erlaubt. Die Standard-Bandbreite betrug lange Zeit 11 Mbit/s (802.11b), wovon knapp die Hälfte praktisch realisierbar ist. Es kommen immer mehr Geräte auf den Markt, die Übertragungsraten von mehr als 54MBit (IEEE 802.11g) erlauben.
Bei der Beschaffung von Geräten ist es wichtig darauf zu achten, dass sie die IEE Normen erfüllen, nur dann können auch Geräte verschiedener Hersteller miteinander kommunizieren.
IEE | Beschreibung |
---|---|
802.11 | Protokoll von 1997 für 2MBit/s auf dem 2,4 GHz Band |
802.11a | Übertragung von max. 54 MBit/s auf dem 5 GHz Band |
802.11b | Übertragung von max. 11MBit/s auf dem 2,4 GHz Band |
802.11c | Bridging zwischen Access Points |
802.11g | Übertragung von max. 54 MBit/s auf dem 2,4 GHz Band |
802.11n | Standard mit Übertragungsraten bis zu 300 MBit/s |
Auch die Kompatibilität der Protokolle untereinander ist wichtig. Geräte mit 802.11g können mit 802.11b Geräten kommunizieren. Eine Kommunikation zwischen 802.11g und 802.11a ist nicht möglich, da hier verschiedene Frequenzen benutzt werden.
Die Reichweite einer Verbindung (50 bis 500m) hängt sehr von den Rahmenbedingungen ab. In Gebäuden ist sie sehr viel geringer, als im freien Gelände. Bei Stahlbeton kann schon eine einzelne Wand oder Decke ein undurchdringbares Hindernis darstellen. Mit speziellen Antennen sind bei freier Sicht sogar Entfernungen in der Kilometergrößenordnung zu überwinden.
Für den Einsatz von WLAN gibt es mehrere Topologien.
Ad-hoc Netzwerk
Im einfachsten Fall bauen zwei Rechner mit WLAN-Karten spontan (ad-hoc) eine direkte Verbindung untereinander auf.
Infrastruktur mit Access-Punkt
In vorhandenen Netzwerken, z.B. von Firmen, möchte man mit einem mobilen Computer bequem im Netz arbeiten können. Dazu benötigt man einen Access-Point, der im Prinzip aus einer Wireless-Karte mit Ethernet-Anschluss besteht. Dieser Access-Point wird dann mit einem Netzwerkkabel an das Netzwerk angeschlossen. Über den Access-Point können nun mehre mobile Computer Verbindung zum Netz bekommen.
Bridge-Mode
Mit zwei Access-Points lassen sich Entfernungen zwischen nicht vernetzten Gebäuden überbrücken. Hierzu gibt es einen speziellen Bridge-Modus, in dem die beiden Geräte nur direkt miteinander kommunizieren. Für andere Geräte im Netz, egal ob verkabelt oder wireless ist diese Brücke transparent, wirkt also wie eine Kabelverbindung. Der Internet-Zugang von Landesinstitut und Lohmühlengymnasium erfolgt über solche Funk-Brücken. Bei dieser Verbindungsart werden auch spezielle Richtantennen eingesetzt, um größere Entfernungen (mehrere Kilometer) überbrücken zu können.
Den Antennen kommt generell eine hohe Bedeutung für die Übertragungsreichweite zu. Die normalerweise benutzten Stummelantennen strahlen ihre Leistung gleichmäßig in alle Richtungen ab. Will man also die Reichweite erhöhen, so kann man dies mit Antennen erreichen, die nur in einem relativ engen Bereich die Leistung gebündelt abstrahlen. Mit den im Foto dargestellten Antennen lassen sich Abstrahlwinkel von 6° erreichen, was zu einer erheblichen Steigerung der erreichbaren Strecke führt (mehr als 1 km), aber natürlich auch eine genaue Ausrichtung der Antennen erfordert. Ein Mittelweg besteht in den sog. Yagi-Antennen, die röhrenförmig aufgebaut sind. In Computerzeitschriften (c't 9/03, Seite 180, c't 25/07, Seite 220, c't 18/08, Seite 176) finden sich immer wieder Anleitungen, wie man aus einer Pringles-Dose, einen Klobürsten-Halter aus Metall oder etwas Styropor und ein paar Kupferdrähten entsprechende Antennen selber bauen kann.
Konfiguration von W-LAN
Eine sehr beliebte Serie von Access-Points stellen die Geräte WAP der Firma Linksys dar. Diese Geräte sind für unter 60€ zu bekommen, aktuell ist zur Zeit WAP54G. Das Gerät bringt eine Software mit, die ein leichtes Setup erlauben soll, es geht aber genauso gut über den eingebauten Webserver.
Das größte Problem ist es oft, die Geräte im Netz zu finden. Linksys gibt dem Gerät ab Werk die feste IP-Adresse 192.168.1.245 mit. Gibt man die Adresse ein, so kommt ein Anmeldefenster, in das man Benutzernamen und Passwort eingeben soll. Hier muss der Benutzername leer bleiben, dass Passwort ist admin. Danach kann man auf die Einstellungen zugreifen.
Unter Setup ∙ Network Setup kann man nun eine andere feste IP-Adresse einstellen oder DHCP aktivieren, was in der Regel die flexibelste Lösung ist. In dem gleichen Fenster kann man auch einen (Rechner-)Namen für das Gerät vergeben, hier kann die Standortangabe sinnvoll sein.
Unter Setup ∙ AP Modekann man zwischen den verschiedenen Betriebsarten wählen.
- AccessPoint
- AP Client
- Wireless Repeater
- Wireless Bridge
Die Linksys-Geräte sind recht flexibel, sie bieten alle beschriebenen Arten an. Zusätzlich gibt es sogar noch den Repeater-Modus, indem der Access-Point die Reichweite des Netzes vergrößert, indem er Signale eines anderen Access-Points aufnimmt und an seiner Position neu sendet. Damit lässt sich die Reichweite des Netzes in der Regel fast verdoppeln.
Die für das Netzwerk wichtigsten Einstellmöglichkeiten finden sich im Menü Wireless.
Unter Basic Wireless Settings hat man mehrere Entscheidungen zu treffen.
Bei Mode hat man die Auswahl zwischen:
- Mixed
- Wireless-G only
- Wireless-B only
Im Mixed-Mode kann jeder Rechner mit dem Accesspoint Kontakt aufnehmen, unabhängig davon, welche der Normen er erfüllt. Das klingt am flexibelsten, hat aber den Nachteil, dass jedes 11MBit-Gerät (802.11b) dazu führt, dass der Accesspoint für alle Computer herunterschaltet. Will man das verhindern, so muss man auf Wireless-G only stellen, dann bleiben die 802.11b-Geräte aber ohne Verbindung.
Bei Network Name (SSID) gibt man den Netzwerknamen ein, unter dem die Computer das Netzwerk später sehen können. Der Netzwerkname sollte für alle Accesspoint im Netz gleich sein. Mit dem Schalter SSID Broadcast kann man verhindern, dass die Netzwerkkennung sichtbar ist, wenn man auf Disabled umstellt. Diese Einstellung hat aber mehr Nachteile als Vorteile, insofern sollte man die Voreinstellung Enabled belassen.
Unter Channel kann man einender Kanäle 1 bis 13 dem jeweiligen Accesspoint zuordnen. Accesspoints, deren Reichweite sich überlappt müssen verschiedene Kanäle nutzen, sonst kommt es zu Störungen im Betrieb. Die Kanäle benachbarter Accesspoint sollten sich um einen möglichst großen Wert, idealerweise 6 unterscheiden. Die Verteilung der Kanäle in einem Gebäude sollte man gut planen, aber auch die Nachbarn und ihre Accesspoints mit berücksichtigen.
Sehr wichtig sind die Einstellmöglichkeiten im Reiter Security. Hier muss man sich entscheiden, welches der Sicherheitsverfahren man nutzen möchte. Im Angebot sind:
- WEP
- WPA-Personal
- WPA2-Personal
- WPA2-Mixed
- WPA-Enterprise
- Radius
- Diabled
Die ersten vier Verfahren sind solche, bei denen ein Passwort oder eine Passphrase hinterlegt wird, die der Benutzer dann beim Verbindungsaufbau angeben muss. Die Sicherheit ist bei WEP am geringsten und bei WPA2 am höchsten. Der Mixed-Mode lässt sowohl WPA als auch WPA2 Clients zu. Bei WPA-Enterprise und Radius handelt es sich um Einstellungen, bei denen ein zentraler Server individuelle Zugangsdaten für die Benutzer verwaltet. Bei WEP und WPA sind die Zugangsdaten für alle Benutzer gleich.
Soll das WLAN allen Schülern einer Schule zugänglich sein, sind vermutlich die serverbasierten Verfahren am sinnvollsten, setzen aber entsprechende Software auf dem Server und dem Client voraus. Ansonsten macht es wenig Sinn hier auf große Sicherheit zu setzen, wenn sowieso achthundert Schüler das Passwort kennen. Man kann also gleich bei WEP bleiben, was auf der Clientseite am einfachsten unterstützt wird.
Bei WEP muss man dann noch (mindestens) einen Key angeben. Das ist eine Zeichenkette, deren Länge man unter Encryption auf 104/128 Bit festlegen sollte. Das ist dann für den Key eine Zeichenkette von 13 Zeichen, die der Benutzer auf dem Client später eingeben muss. Leider kann man die Zeichenkette hier nur hexadezimal eingeben, muss den Text also umwandeln. Dazu gibt es im Web z.B. bei http://www.swingnote.com/tools/texttohex.php kostenlose Angebote. Aus der Zeichenkette „LinkSysWirele“ errechnet das Tool dann den Key „4c696e6b537973576972656c65“, den man in das Feld einträgt.
Etwas lästig ist, dass man jede Konfigurationsseite einzeln per Save Settings speichern muss und der Accesspoint jedesmal einen Reset durchführt, es also etwas dauert, bis man weiter arbeiten kann.
Von den weiteren Menüs ist eigentlich nur noch Administration ∙ Management wichtig, weil man hier das Administrator-Passwort festlegt.
Auf der Client-Seite ergibt sich dann das nebenstehende Bild, bei dem auch gleich ein paar Netze aus der Nachbarschaft auftauchen. Über den Button Details könnte man sich den benutzten Kanal und weitere Einstellungen, die sich beim Accesspoint unter Advanced Wireless Settings verstecken, abfragen.
1.1.5. Surfstick
Der Internetzugang über das Mobilfunknetz wird immer attraktiver, da die Preise deutlich gefallen sind. Mehrere Anbieter haben sogar Flatrates im Angebot:
- Fonic
- Der Anbieter Fonic (http://www.fonic.de) bietet eine Tagesflatrate, die aktuell 2,50 € kostet. Indirekt gibt es sogar eine Monatsflatrate, da die Maximalkosten auf 25 € pro Monat beschränkt sind. Die Abrechnung erfolgt über ein Prepaid-System. Dabei ist eine Online-Bezahlung möglich. Fonic benutzt dabei das Netz von O2.
- Aldi
- Die Tages-Flatrate von Aldi (http://www.medionmobile.de/index3.htm) kostet sogar nur 1,99€, alternativ kann man eine Monatsflatrate für 14,99€ buchen. Auch hier erfolgt die Bezahlung prepaid, man muss sich aber entsprechende Guthabenkarten in den Aldi-Filialen kaufen. Aldi benutzt ebenfalls das Netz von O2.
Beide Anbieter verkaufen auch die notwendige Hardware in Form eines Websticks. Bei Fonic kostet dieser Stick knapp 40€ bei Aldi 50€. Die Sticks vieler Anbieter stammen von der Firma Huawei. Der Stick von Fonic z.B. ist ein Huawei E160 ohne SIM-Lock.
Diese Websticks sind in der Nutzung genial einfach. Sie werden mit der SIM-Karte des Anbieters bestückt, steckt man z.B. den Fonic-Stick in den USB-Anschluss des Rechners, so melden sich drei Geräte an:
- Das Gerät für den Mobilfunkzugang
- Ein CD-Rom Laufwerk
- Ein USB-Speicherstick
Das USB-Laufwerk kann durch eine Speicherkarte auf 2GB erweitert werden, ersetzt also einen normalen USB-Stick.
Auf dem virtuellen CD-Rom Laufwerk befindet sich die Treibersoftware für Windows, die dadurch mit einem Mausklick installiert werden kann. Hat man den Stick beim Zugangsprovider gekauft, so ist die Software in der Regel so vorkonfiguriert, dass man nur die SIM der Mobilfunkkarte noch angeben muss.
Auch ohne Vorkonfiguration wäre nicht viel einzustellen. Am wichtigsten ist die Angabe des richtigen APN. Für Fonic ist es z.B. pinternet.interkom.de.
Im Mobilfunknetz gibt es mehrere Übertragungsverfahren für Daten, die sich z.T. recht deutlich in der Datenübertragungsrate unterscheiden.
- High Speed Circuit Switched Data (HSCSD) bietet Übertragungsraten bis 0,1152 MBit/s
- General Packet Radio Service (GPRS) bietet theoretisch bis zu 0,1712 MBit/s, in der Regel wird nur ein Bruchteil davon angeboten. Dafür wird GPRS von allen Anbietern und allen Endgeräten unterstützt.
- Enhanced Data Rates for GSM Evolution (EDGE) bietet durch Bündelung mehrere Time-Slots bis zu 0,473 MBit/s.
- High Speed Downlink Packet Access (HSDPA) gehört zum UMTS und bietet eine Datenübertragungsrate von 3,6 MBit/s bzw. 7,2 MBit/s an. Mit geeigneten Endgeräten und Netzen sind auch höhere Raten möglich.
Für die langsameren Verfahren ist die Netzabdeckung in der Regel gut, HSDPA ist dagegen noch nicht überall verfügbar. Die meisten Surfsticks können mit verschiedenen Verfahren umgehen, wobei aber nicht jeder Provider alle Verfahren anbietet.
1.1.6. Sonstige
Es gibt Experimente die Datenübertragung auch über das Stromnetz vorzunehmen, ähnlich wie beim Babyphone. Das würde den Verkabelungsaufwand nahezu vollständig entfallen lassen. Probleme bestehen aber mit der Entkoppelung der Signale und der Trennung von Störsignalen.
Mit sehr niedrigen Datenübertragungsraten klappt das gut, Straßenlaternen z.B. werden auf diese Art geschaltet. Höhere Datenübertragungsraten, wie im Netzwerkbereich benötigt, sind immer noch recht problematisch. Zwischen einigen Steckdosen klappt die Verbindung gut, zwischen anderen überhaupt nicht. Jeder Schutzschalter und auch manche Verteilerdose ist ein schwer überbrückbares Hindernis.
1.2. Netzwerkadapter
Die Netzwerkkarten stellen die Verbindung zwischen der Verkabelung und dem Computer her. Sie benötigen in der Regel einen Steckplatz im Computer.
Zur Zeit befinden wir uns in einer Übergangsphase auf GBit-Karten. Alle 1.000MBit/s Karten können auch mit 100MBit/s umgehen und sogar mit 10 Mbit/s (Kombo-Karte hinsichtlich der Übertragungsrate), aber nicht umgekehrt.
Es gibt auch USB-to-Ethernet-Adapter (ab ca. 40 €), die nicht über einen Steckplatz, sondern über die USB-Schnittstelle mit dem Rechner verbunden werden. Für Notebooks gibt es Netzwerkadapter, die in die PCMCIA-Schnittstelle passen (ab ca. 40 € für 100MBit/s).
Einen Sonderfall der Vernetzung stellt das Telefonnetz dar. Auch hier können Computer über Kupferleitungen miteinander verbunden werden.
Den Netzwerkkarten entspricht dann das Modem oder die ISDN-Karte. Die Modem-Übertragungsraten sind sehr niedrig, maximal 0,064 MBit/s.
Selbst das hochgelobte DSL kommt ursprünglich zu vergleichsweise geringen Übertragungsraten, bei T-DSL sind es z.B. 2 MBit/s, aber nur für den Download. Der Upload ist auf etwa 0,192 MBit/s begrenzt. Diese Begrenzungen haben aber mehr mit der Vermarktung, als mit den technischen Gegebenheiten zu tun. Viele Anbieter haben inzwischen Übertragungsraten bis 6 Mbit (0,6 MBit im Upload) im Angebot, teilweise sogar bis zu 16 MBit (bei ebenfalls 0,6 MBit im Upload).
1.3.CSMA/CD
Bevor ich auf weitere Hardware eingehe erste einmal ein paar grundlegende Informationen darüber, wie im Ethernet festgelegt wird, welcher Rechner senden darf. Grundlage hierfür ist das Verfahren CSMA/CD.
Zuerst zum CSMA (Carrier Sense Multiple Access). Der Rechner, der Daten versenden möchte, „lauscht“ in das Netz. Wenn er keinen Datenverkehr bemerkt, dann fängt er an seine Informationen zu verschicken. Alle Rechner im Netz empfangen die Daten und werten die Adressinformationen aus. Aber nur der Empfänger behält die Daten.
Selbst wenn alles korrekt abläuft, kann es passieren, dass zwei Rechner gleichzeitig oder nahezu gleichzeitig mit dem Senden beginnen. Das führt dann zu einer Kollision. Daher lauschen die Sender auch immer noch auf den Bus, um derartige Probleme zu bemerken.
Wenn sie eine Kollision bemerken, wenn es zu eine Collision Detection (CD) kommt, dann stoppen alle Sender sofort. Einen erneuten Sendeversuch beginnen die Rechner dann erst nach einer zufälligen Wartezeit, um nicht wieder gleichzeitig zu senden.
Dieses Verfahren ist recht effektiv, hat aber den großen Nachteil, dass die Zahl der Kollisionen mit wachsender Netzlast ebenfalls steigt. Deshalb sinkt die Netzkapazität mit steigender Last.
Dieses Problem der sinkenden Kapazität taucht z.B. beim Token Ring Verfahren nicht auf. Dort gibt es eine Art Staffelholz (das Token), das von Rechner zu Rechner weitergegeben wird. Damit das vernünftig funktioniert, muss das Netz ringförmig strukturiert sein. Wenn ein Rechner Daten verschicken möchte, dann muss er warten, bis das Token leer bei ihm vorbeikommt.
Bei diesem Verfahren ist die Netzkapazität von der Netzlast unabhängig. Insgesamt ist dieses Verfahren aber weniger effektiv, die Datenübertragungsrate ist geringer als beim Ethernet.
1.4. Hubs, Switches und Co.
In einem Netz, das nicht auf Koaxialkabel aufgebaut ist, werden aktive Komponenten, wie Hubs und Switches benötigt. Die Begriffe gehen in den Medien oft durcheinander. Für ein funktionsfähiges Netz ist die saubere Unterscheidung aber wichtig.
1.4.1. Repeater
Ein Repeater ist ein Signalverstärker, der die Reichweite eines Signales erhöht. In jedem Kabel werden die Signale mit der Laufweite immer schwächer und unschärfer. Deswegen sind im Netz auch die erlaubten Kabellängen beschränkt. Da die Signalverstärkung aber zu einer Verzögerung der Signale führt, ist die Zahl der Repeater auf 4 beschränkt.
Die Geräte modifizieren die übertragenen Daten nicht, vor allem verhindern sie keine Kollisionen.
1.4.2. Hub
Ein Hub ist die zentrale Vermittlungsstelle bei einer sternförmigen Verkabelung. Hier sind die Anschlüsse konzentriert. Von den Netzwerkeigenschaften her ist ein Hub auch ein Repeater, damit ist auch die Zahl der Hubs zwischen zwei Rechnern auf 4 beschränkt.
In dem Bild dargestellt ist ein 10 Mbit-Hub mit 8 Ports. Der Hub verfügt zusätzlich über einen Koaxialanschluss.
Die linken beiden RJ45 Anschlüsse tragen die gleiche Nummer und unterscheiden sich darin, dass der linke Anschluss gekreuzt ist, der andere nicht. Damit kann man sich die Verwendung gekreuzter Kabel sparen, wenn man mehrere Hubs kaskadieren (hintereinander schalten) möchte.
Beim Kaskadieren von Repeatern ist die 5-4-3-Regel einzuhalten:
5 Zwischen zwei beliebigen Knoten dürfen nicht mehr als fünf Segmente liegen.
4 Zwischen zwei beliebigen Knoten dürfen nicht mehr als vier Repeater liegen.
3 Zwischen zwei beliebigen Knoten dürfen nicht mehr als drei Koaxial-Segmente liegen, der Rest muss UTP oder Lichtwellenleiter sein.
In einem Netz mit 100 MBit/s ist zusätzlich zu beachten, dass der Abstand zwischen kaskadierten Hubs nicht mehr als 5 m betragen darf. Bessere Hubs kann man nicht nur über eine gekreuzte Leitung verbinden, sondern auch über ein spezielles Kabel stapeln, das den internen Bus beider Geräte koppelt, so dass die beiden Hubs nach außen wie ein einziger Hub wirken. Ein derartiger Hub verfügt immer über zwei Anschlüsse, einen Eingang und einen Ausgang. Das Verbindungskabel (sehr kurz) muss mitgeliefert werden, da die Anschlüsse nicht genormt sind. Dadurch kann man auch nur gleiche Geräte miteinander verbinden.
1.4.3. Das OSI-Modell
Bevor wir zu weiteren aktiven Komponenten kommen, ist es sinnvoll auf das Schichtenmodell für Netzwerke einzugehen.
Bei einem derartigen Schichtenmodell versucht man zu erreichen, dass die Software ab einer bestimmten Ebene von der zugrunde liegenden Hardware unabhängig wird. Das ist nicht nur im Netzwerkbereich üblich, sondern fast immer dann, wenn Hardware aktualisierbar bleiben soll. Ein typisches anderes Beispiel wären Grafikkarten und die zugehörigen Treiber.
Für die Programmierer von Mozilla spielt es keine Rolle, ob der Firefox in einem Rechner mit Token-Ring, Ethernet oder Telefon-Anschluss läuft. Der Firefox setzt auf dem HTTP-Protokoll auf und dieses auf TCP/IP.
Jede dieser Schichten verfügt über definierte Interfaces nach oben und nach unten. Das erleichtert die Erstellung von Software und die Anpassung an die Hardware.
Das Modell Open System Interconnection (OSI) ist ein grundsätzliches Modell, das in sieben Schichten aufgeteilt ist. Eine direkte technische Umsetzung hierzu gibt es nicht, die meisten Protokolle (z.B. TCP/IP) lassen sich aber grob an diesem Modell ausrichten.
Die Verkabelung eines Netzes liegt unterhalb der Schichten. Das beginnt bei den Komponenten der Netzwerkkarte, die für die Übertragung der einzelnen Bits zuständig sind. In die Abbildung sind die folgenden aktiven Komponenten bereits integriert.
1.4.4. Bridge
Eine Bridge ist eine Art Brücke zwischen Netzwerksegmenten, die sogar unterschiedliche technische Grundlagen haben können (Coax, TP). Die Bridge wertet jedes einzelne Datenpaket aus, untersucht die MAC-Adresse des Empfängers und sendet das Datenpaket im richtigen Teilstrang neu.
Broadcast Pakete (Rundrufe im Netz), die sich an alle Netzteilnehmer richten, müssen immer weitergeleitet werden.
Bei der MAC-Adresse (Media Access Control) einer Netzwerkkarte handelt es sich um eine (fest) eingebrannte 6-Byte lange Zahl, die meistens Hexadezimal mit Trennzeichen angegeben wird:
00:15:f2:e8:01:66
Die ersten drei Bytes geben den Hersteller an, in diesem Fall die Firma Asus (00:15:f2), die letzten drei Bytes werden vom jeweiligen Hersteller fortlaufend vergeben.
Mit diesem System ist gewährleistet, dass die MAC-Adresse jeweils weltweit eindeutig bleibt. Über die Website http://standards.ieee.org/regauth/oui/index.shtml lassen sich MAC-Adressen bequem dem jeweiligen Hersteller zuordnen.
Eine Bridge arbeitet auf dem Level 2 des OSI Modelles, kennt also noch keine IP-Adressen. Sie trennt das Netz in unterschiedliche Collisions-Domänen, was die Performance erhöht. Auch die Beschränkungen hinsichtlich Kabellänge, Zahl der Stationen und Anzahl der Repeater enden an der Bridge.
1.4.5. Switch
Ein Switch ist eigentlich nichts weiter als eine Bridge mit mehreren Ports. Er kann gleichzeitig mehrere Verbindungen zwischen Ports direkt schalten, was das Gesamtnetz entsprechend entlastet.
In der Abbildung kann man erkennen, das die meisten der angeschlossenen Geräte mit 100 Mbit arbeiten, was jeweils die untere Leuchtdiode anzeigt. Lediglich das Gerät an Port 5 ist auf 10 Mbit beschränkt. Heutige Switches besitzen intern einen eigenen Bus (Backplane), der mit deutlich höheren Übertragungsraten arbeiten kann, als die externen Anschlüsse.
Der Switch muss von jeder MAC-Adresse im Netz wissen, in welchem Netzsegment sie sich befindet. In der Anfangszeit mussten diese Daten vom Administrator per Hand eingetragen werden, heute sind die Switches lernfähig und lernen die MAC-Adressen der angeschlossenen Geräte selbstständig. Wichtiges Qualitätskriterium für derartige Switches ist die Zahl der Adressen, die sich der Switch pro Port bzw. insgesamt merken kann. Üblich sind Werte zwischen 1024 und 4096 pro Port.
Für die Auswertung und Weiterleitung der Pakete gibt es zwei Prinzipien. Beim Cut-Through wird mit der Weiterleitung der Daten begonnen, sowie die Zieladresse ausgewertet wurde. Das führt zu nur geringen Verzögerungen bei Transport, hat aber den Nachteil, dass beide Netzsegmente die gleiche Übertragungsrate benutzen müssen. In Netzen mit 100MBit ist dieses Verfahren nicht üblich. Heutzutage wird meist Store-and-Foreward eingesetzt. Dabei empfängt der Switch das vollständige Datenpaket, speichert es zwischen und sendet es dann im Zielstrang erneut. Damit sind dann auch Übergänge zwischen unterschiedlichen Übertragungsgeschwindigkeiten möglich.
Noch sind Abwandlungen von Switches unter der Bezeichnung Switching-Hub, Dual-Speed Hub oder ähnlich auf dem Markt. Hier muss man sehr auf Details achten. Bei vielen dieser Geräte kann man wahlweise 10 MBit- oder 100 MBit-Komponenten anschließen, die Ports erkennen die Übertragungsrate mittels Autosensing selbst. Viele dieser Geräte sind aber nicht in der Lage 10MBit-Ports mit 100MBit-Ports zu verbinden, sie bauen einfach zwei Segmente auf. Erst wenn intern mindestens eine Bridge vorliegt, dann kann auch eine Übertragung zwischen diesen Segmenten stattfinden. Aktuelle Geräte arbeiten mit 1.000 Mbit und können bei Bedarf auf die anderen Werte herunterschalten.
1.4.6. Router
Ein Router arbeitet auf Layer 3, d.h. er arbeitet schon auf Protokoll-Ebene. Ein TCP/IP-Router kann sehr unterschiedliche Netze miteinander verbinden, die über unterschiedliche IP-Adressbereiche verfügen. Er bearbeitet aber nur Pakete auf IP-Ebene, Broadcasts werden von einem Router nicht weitergegeben.
Die Fritz!Box in der nebenstehenden Abbildung verbindet drei verschiedene Netze, nämlich:
- DSL-Netz mit PPPOE
- Kabelgebundenes Ethernet
- WLAN
Der Router im Schul-Netz ist oft ein Linux-Server. Er verbindet oft auch mehrere Netze miteinander:
- 100 Mbit-Netz (192.168.54.xx)
- 10 Mbit-Netz (192.168.53.xx)
Er vermittelt zwischen den Teilnetzen so, dass alle Rechner im Netz sich gegenseitig sehen und fast alle Rechner im Internet aus dem lokalen Netz heraus erreicht werden können. Eine Route aus dem Internet zu den lokalen Rechnern wird nicht gesetzt.
1.4.7. Die Fritz!Box
Ein Gerät mit sehr vielen Funktionen ist die Fritz!Box der Firma AVM, die sich daher auch nur schwer in ein Raster pressen lässt. Sie ist in der Regel sowohl Router, als auch Switch gleichzeitig. Es gibt mehrere Versionen, die sich auch deutlich im Funktionsumfang unterscheiden.
Die Fritz!Box Fon WLAN 7170 ist ein sehr universelles Gerät, um ins Internet zu kommen. Es besteht intern aus den Komponenten:
- DSL-Modem
- Router
- WLAN-Accesspoint
- DHCP-Server
- VOIP Telefonanlage
- ISDN/Analog Telefonanlage
- Analog/ISDN Telefonanlage
- USB-Server für Festplatten und Drucker
Das DSL-Modem ist abschaltbar, so dass die Fritz-Box auch als einfacher Router an Kabelanschlüssen oder direkten Internetzugängen eingesetzt werden kann.
Für die ersten Konfigurationsschritte benötigt man einen Rechner, der so eingestellt ist, dass er seine IP-Adresse per DHCP beziehen kann. Der DHCP-Server auf der Fritz-Box ist ab Werk aktiv.
Die Box benutzt in der Grundeinstellung das Netz 192.168.178.X.
Die Box selber besitzt hier die IP-Adresse 192.168.178.1 und verteilt IP-Adressen ab 192.168.178.20. Schließt man also erstmalig einen Computer an die Box an, so bekommt dieser also die IP-Adresse 192.168.178.20. Dabei merkt sich die Box die vergebenen Adressen, der Computer wird also auch bei jeder weiteren Verbindungsaufnahme immer wieder diese IP-Adresse bekommen.
Die Box besitzt zusätzlich die IP-Adresse 169.254.1.1, die nicht verändert werden kann, über diese IP-Adresse ist sie auch bei schweren Konfigurationsfehlern weiter erreichbar.
Verbindet man den Computer per LAN-Kabel, so sollte man vorsichtshalber die LAN-Buchse 1 vermeiden, da diese in manchen Konfigurationen eine besondere Funktion bekommt. Beim Anschließen der Fritz!Box kann eine momentan vorhandene Internet-Verbindung über WLAN oder eine andere Netzwerkkarte verloren gehen, da in der Regel die Default-Route auf die Box gesetzt wird. Erst wenn diese erfolgreich ins Internet gebracht wurde, besteht wieder eine Verbindung.
Die Fritz-Box erreicht man, indem man im Browser die Adresse http://192.168.178.1 oder einfach http://fritz.box eingibt.
Auf die Assistenten will ich hier nicht eingehen, sondern gleich auf die notwendigen Punkte in den einzelnen Menüs. Wobei mir die Menüführung der Fritz!Box nicht immer ganz logisch zu sein scheint.
Klick man auf den oben befindlichen Links Startmenü, so landet man nach einer Warnung, dass man so den Assistenten abbricht, in einem Menüzweig, der normalerweise mit Übersicht beschriftet ist.
Hier bekommt man einen aktuellen Überblick über die momentane Situation der Box. Man kann erkennen, dass auch WLAN aktiv ist, aber mit WPA gesichert. Das zufällig erzeugte Passwort könnte man übrigens direkt per USB auf einen Fritz-WLAN-Stick übertragen.
Man sieht hier übrigens auch, dass der Computer an die Buchse LAN 2 angeschlossen ist (s.o.).
Von dieser Übersichtseite aus kann man auch die einzelnen Komponenten der Box konfigurieren.
Klickt man oben auf der Seite auf den Link Einstellungen, so landet man im Menüzweig Erweiterte Einstellungen, der für die Konfiguration gedacht ist.
Von hier aus kann man systematisch die einzelnen Komponenten der Box konfigurieren.
Rechts oben auf der Seite finden sich immer vier kleine Icons. Das erste Icon, das mit dem Haus hat die gleiche Funktion wie der Link Startmenü, man kommt auf die Seite Übersicht. Das nächste Icon führt zur Sitemap genannten Übersicht über alle eingebauten Funktionen.
Diese Seite ist eine große Hilfe, wenn man sich schnell orientieren will. Die weiteren Icons sind hier weniger wichtig, sie führen zu einer Druck-Funktion bzw. den Hilfe-Seiten auf der AVM-Homepage.
Im Auslieferungszustand zeigt die Fritz!Box nicht alle Konfigurations-Optionen. Das soll sicherlich Anfängern die Konfiguration erleichtern. Wer aber weiß, was er hier tut, der sollte möglichst als erste Konfigurations-Änderung diese Beschränkung aufheben.
Die entsprechende Einstellung findet sich unter Erweiterte Einstellungen -> System -> Ansicht
Wie gesagt, die Menüstruktur ist nicht immer sehr übersichtlich. Setzt man hier also das Häkchen bei Expertenansicht aktivieren und klickt auf Übernehmen, so stehen alle Menüoptionen zur Verfügung. Die Menüstruktur verändert sich dadurch übrigens nicht, es handelt sich um Optionen innerhalb der einzelnen Menüs.
2. Protokoll-Ebene
Der vorherige Abschnitt über Router passt eigentlich schon nicht mehr richtig in die Hardware-Ebene, zumindest wenn man diese auf die OSI Layer 1-2 beschränkt. Ab Layer 3 kommen Protokolle bzw. Protokollsätze hinzu.
Aufgabe der Protokollsätze ist es, eine wirkliche Kommunikation zwischen Arbeitsstationen herzustellen. Dazu gibt es in der Regel ein Protokoll, das auf der Vermittlungsebene (Layer 3) arbeitet (z.B. IP oder IPX) und die Nachrichten in kleine Stücke aufteilt und sich auch um die Adressierung kümmert. Auf der Gegenseite ist diese Protokollebene dafür zuständig die Datenpakete anzunehmen und wieder zusammenzusetzen.
Die Kommunikation auf der Vermittlungsebene ist normalerweise nicht gesichert, d.h. der Absender kümmert sich nicht darum, ob das Datenpaket auch beim Empfänger ankommt. Für die Sicherung der Datenverbindung sind dann die Protokolle (z.B. TCP bzw. SPX) auf der Transportebene (Layer 4) zuständig.
Die Tatsache, dass es unterschiedliche Protokoll-Standards gibt, hat einerseits mit der Konkurrenz zwischen verschiedenen Systemen zu tun, andererseits auch mit dem Bemühen einzelner Hersteller die Netzwerkkommunikation zu optimieren. Die Standards sind zwar nicht zueinander kompatibel, lassen sich aber gleichzeitig nebeneinander installieren.
Durch den Erfolg des Internets hat sich dessen Standardprotokollsatz TCP/IP auch zum Standard für lokale Netzwerke entwickelt (hat sogar Microsoft akzeptiert, und seit Wind98 berücksichtigt). Dies erlaubt eine problemlose Anbindung der lokalen Netze an das Internet.
2.1. Apple Talk
Dieser Protokollsatz fehlt oft in den Aufzählungen, da er im PC-Bereich keine Rolle spielt. Standard ist bzw. war dieser Protokollsatz bei den Macintosh-Rechnern der Firma Apple. Für ein lokales Netz mit gemischten Systemen stellt das aber kein Problem dar, da die Macintosh-Rechner mit TCP/IP arbeiten können und ein Linux-Server auch mit Apple Talk zurechtkommt.
2.2. Netware Protokolle
Die Firma Novell vertreibt Netzwerksoftware, die auf dem hauseigenen Protokollsatz IPX/SPX aufsetzt. Dieser Protokollsatz ist eine Weiterentwicklung eines Protokollsatzes aus dem Hause Xerox (Hinweis: Bei sehr vielen Entwicklungen aus dem Computerbereich landet man immer wieder bei Grundlagen aus den Laboren der Firma Xerox).
Der Netware Protokollsatz besteht u.a. aus:
- IPX (Internet Packet Exchange), dem Protokoll, das auf der Netzwerkschicht dafür zuständig ist, Nachrichten zu adressieren und einen geeigneten Weg im Netzwerk zu suchen.
- SPX (Sequenced Packet Exchange), dem Protokoll der Transportschicht, das die Datenpakete in der richtigen Reihenfolge überträgt und auf Fehlerfreiheit achtet.
2.3. NetBEUI
Das NetBIOS (Network Basic Input/Output System) war Grundlage des ersten lokalen Netzwerksystems von IBM. NetBIOS und NetBEUI (NetBIOS Extended User Interface) waren jahrelang auch Grundlage der Netwerkstrategie von Microsoft. Lange Zeit war NetBEUI das Standardprotokoll auf allen Windows-Installationen. Das Protokoll TCP/IP konnte nur nachträglich installiert werden. Erst mit Wind98 ist auch bei Microsoft-Betriebssystemen TCP/IP das Standardprotokoll. Dieser Umschwung hat damit zu tun, dass NetBEUI nicht für größere Netzwerke geeignet ist, da es kein Routing-Protokoll gibt und das ganze System mit Broadcasts arbeitet, was die Weiterleitung in größeren Netzen behindert.
Auf Windows-Rechnern wird heute ein Teil der NetBEUI-Funktionalität über TCP/IP realisiert. (NetBIOS über TCP/IP).
Ein paar Besonderheiten von NetBEUI.
- Name Support: In NetBEUI-Netzen wird jeder Rechner über einen Namen angesprochen. Dieser Name darf 16 (bei WfW und NT 15) Zeichen lang sein und muss im Netz eindeutig sein. Wird ein Rechner ans Netz gebracht, so schickt er per Broadcast seinen Namen an alle anderen Rechner und bittet um Registrierung. Wenn kein Rechner protestiert (z.B. wenn er den Namen schon benutzt), dann kann der Rechner ins Netz und den Namen benutzen.
- SMB-Protokoll: Das Service Message Block Protokoll (SMB) dient der Strukturierung der gesendeten und empfangenen Daten. Diese werden dann mittels NETBIOS übertragen.
- Redirector: Der Redirector stellt Anwendungen Dienste wie Netzlaufwerke und Netzdrucker zur Verfügung. Greift der Anwender z.B. auf ein Netzlaufwerk zu, so wird diese Anfrage vom Redirector abgefangen und in eine SMB-Anfrage an den entsprechenden Fileserver weitergeleitet.
2.3.1. SMB/Samba
Samba ist ein Programmpaket unter Linux/Unix, das sehr dynamisch weiterentwickelt wird.
Es dient dazu, den Windows-Rechnern NetBIOS-Dienste per TCP/IP von Linux aus zur Verfügung zu stellen.
Das Samba-Paket besteht vor allem aus dem smbd (Session-Message-Block-Demon, Ports 138 und 139) und dem nmbd (NetBIOS-Name-Server-Demon, Port 137). Der nmbd ist für Anfragen nach Windows-Namen zuständig. Alle anderen Aufgaben werden vom smbd wahrgenommen.
Die Samba-Entwickler haben das Problem, dass viele der Spezifikationen von Microsoft nicht veröffentlicht wurden, diese Informationen also durch „reverse engineering“ ermittelt werden müssen.
2.4. TCP/IP
Auch wenn es sich erst in den letzten Jahren zum Standard etabliert hat, so ist dies doch das älteste von den angesprochenen Protokollen.
Seine Grundlagen entstanden im Zusammenhang mit einem Projekt der DARPA (Defense Advanced Research Projects Agency) im Jahr 1969. Dieses Projekt wurde als ARPA-Net Grundlage des Internet. Seit 1982 wird TCP/IP in Unix-Versionen integriert und seit 1983 Standard im ARPA-Net. Internet und Unix bilden seit dieser Zeit eine Symbiose.
2.4.1. Vermittlungsschicht/Netzwerkschicht
Grundlage ist das Protokoll IP (Internet Protocol). Es handelt sich hierbei um ein verbindungsloses Protokoll, das keinerlei Mechanismen zur Sicherung der Datenübertragung enthält. Bei den wenigen Großrechnern im ARPA-Net war das kein Problem. Mit der Ausweitung des Netzes kam dann auf der nächsten Ebene TCP dazu.
Zu den Aufgaben von IP gehört die Adressierung der Datenpakete. Dazu dient die IP-Adresse, die aus einer 4-Byte-Zahl besteht und auf die in einem gesonderten Kapitel eingegangen wird. Eine weitere Aufgabe von IP ist das Aufteilen der Daten in Pakete, die von der darunter liegenden Schicht (z.B. Ethernet) übertragen werden können, sowie das korrekte Zusammensetzen der übertragenen Pakete beim Empfänger.
2.4.2. Transportschicht
Auf dieser Ebene gibt es mehrere Protokolle.
- TCP (Transmission Control Protocol) ist das bekannteste Protokoll auf dieser Ebene. Es setzt auf IP auf und ist verbindungsorientiert. Bevor mit der eigentlichen Datenübertragung begonnen wird, wird zunächst eine Verbindung zum Empfänger aufgebaut. Dann erst werden die Datenpakete abgeschickt und vom Empfänger quittiert. Bleibt diese Empfangsbestätigung aus, so wird das entsprechende Paket erneut versandt. Hierdurch wird sichergestellt, dass die Datenpakete in der richtigen Reihenfolge und vollständig beim Empfänger ankommen. Die Reihenfolge kann beim Versand verändert werden, da IP sich für jedes Paket einen anderen Weg durchs Netz suchen kann, mit eventuell unterschiedlichen Laufzeiten.Nach erfolgreicher Datenübertragung wird die Verbindung zwischen den Rechnern wieder abgebaut. Die Verwaltung der Verbindung kostet natürlich Zeit und Übertragungskapazität. Daher gibt es für weniger sensible Verbindungen weitere Protokolle.
- UDP (User Datagramm Protocol) ist ein verbindungsloses Protokoll. Es dient zum Übertragen von kurzen Nachrichten. Eine Nameserver-Anfrage gehört zu den Dingen, die über UDP abgewickelt werden. Wenn keine Antwort kommt, dann wird einfache eine neue Anfrage gestellt, eventuell an einen anderen Nameserver. Auch Streaming-Video und Netzwerkspiele arbeiten oft mit UDP, hier geht es vor allem um die höhere Performance. Außerdem ist es hier nicht weiter tragisch bzw. sowieso nicht reparabel, wenn ein Datenpaket verloren ist.
- ICMP (Internet Control Message Protocol) dient zum Transport von Fehler- und Diagnosemeldungen im Netz. Versucht ein Rechner auf einen Port zuzugreifen, der nicht belegt ist, so wird die Fehlermeldung „Port unreachable“ per ICMP zurückgeschickt. Auch Routing-Informationen und der bekannte Ping werden über ICMP weitergeleitet.
3. Anwendungsebene
Bei TCP/IP ist es nicht ganz leicht die Layer oberhalb von der Transportebene zu unterscheiden. Speziell die Trennlinie zwischen höherem Protokoll und Anwendung ist schwer zu ziehen. Aufsetzend auf TCP, UDP und ICMP gibt es eine Reihe weiterer Protokolle, die in der Regel mit Standarddiensten im Internet in Verbindung stehen. Bei den folgenden Protokollen ist jeweils der Standardport mit angegeben.
3.1.SMTP
SMTP (Simple Mail Transfer Protocol, Port 25) ist eines der ältesten Protokolle. Es setzt auf TCP auf und dient dazu Mail zu verschicken.
>telnet lern-server.de 25 <Trying 85.214.46.129... <Connected to lern-server.de. <Escape character is '^]'. <220 h1427493.stratoserver.net ESMTP Postfix >helo debacher.de <250 h1427493.stratoserver.net >mail from: <Test@Debacher.de> <250 2.1.0 Ok >rcpt to: <debacher@lern-server.de> <250 2.1.5 Ok >data <354 End data with <CR><LF>.<CR><LF> >Subject: Ein kleiner Test > >Hallo, >ein kleiner Test. >. <250 2.0.0 Ok: queued as D3916820552 >quit <221 2.0.0 Bye
Das Beispiel zeigt einen Dialog, wie er entstehen kann, wenn per Telnet eine Verbindung mit dem SMTP-Server aufgebaut wird.
Hinweis: Im Netz der Universität Hamburg ist der Port 25 generell gesperrt. Er ist lediglich auf dem Rechner mailhost.informatik.uni-hamburg.de zugänglich, der aber alle Mails von angemeldeten Benutzern annimmt.
Liegt die Empfänger-Mailbox nicht auf dem gleichen Rechner, so wird eine Verbindung zum Zielrechner aufgebaut. Die Mail wir hier zeilenweise im Quelltext übertragen, zwischen der Betreffzeile (bzw. den Headerzeilen) und dem eigentlichen Text muss eine Leerzeile stehen. Die Zeichen „<“ bzw. „>“ am Anfang der Zeile wurden von mir hinzugefügt, um anzuzeigen, ob die Zeile gesendet oder empfangen wurde.
Benutzt werden hier die Kommandos:
- mail from:Danach wird der Absender angegeben
- rcpt to:Danach folgt der Empfänger
- dataHier folgt der eigentliche Text, beendet wird die Eingabe durch eine Zeile mit einem einzelnen Punkt.
- quitBeendet den Dialog.
3.2. POP3
POP3 (Post Office Protocol, Port 110) kann sowohl mit TCP als auch mit UDP arbeiten. Es dient zum Abrufen von Mails aus der Mailbox. Wie auch beim SMTP läuft hier ein einfacher Textdialog und eine Datenübertragung ab. Man braucht eigentlich keinen Clienten dafür, sondern kann per telnet mit dem Port kommunizieren:
Das folgende Listing zeigt einmal einen Dialog mit dem POP3-Server über Telnet.
>telnet lern-server.de 110 <Trying 85.214.46.129... <Connected to lern-server.de. <Escape character is '^]'. <+OK Dovecot ready. >user debacher@lern-server.de <+OK >pass ********* Achtung: Das Passwort steht hier im Klartext!! <+OK Logged in. >stat <+OK 1 1005 >retr 1 <+OK 1005 octets <Return-Path: <Test@Debacher.de> <X-Original-To: debacher@lern-server.de <Delivered-To: debacher@lern-server.de <Received: from localhost (localhost [127.0.0.1]) < by h1427493.stratoserver.net (Postfix) with ESMTP id 269F7820556 < for <debacher@lern-server.de>; Sat, 8 Nov 2008 21:24:25 +0100 (CET) <X-Virus-Scanned: amavisd-new at stratoserver.net <Received: from h1427493.stratoserver.net ([127.0.0.1]) < by localhost (h1427493.stratoserver.net [127.0.0.1]) (amavisd-new, port 10024) < with ESMTP id 9XbVkWu12Qvj for <debacher@lern-server.de>; < Sat, 8 Nov 2008 21:24:20 +0100 (CET) <Received: from debacher.de (debacher.eu [85.214.104.25]) < by h1427493.stratoserver.net (Postfix) with SMTP id D3916820552 < for <debacher@lern-server.de>; Sat, 8 Nov 2008 21:23:30 +0100 (CET) <Subject: Ein kleiner Test <Message-Id: <20081108202345.D3916820552@h1427493.stratoserver.net> <Date: Sat, 8 Nov 2008 21:23:30 +0100 (CET) <From: Test@Debacher.de <To: undisclosed-recipients:; < <Hallo, <ein kleiner Test. <. >dele 1 <+OK Marked to be deleted. >quit <+OK Logging out, messages deleted. <Connection closed by foreign host.
Die Mail wir hier zeilenweise im Quelltext übertragen. Die Zeichen „<“ bzw. „>“ am Anfang der Zeile wurden wieder von mir hinzugefügt, um anzuzeigen, ob die Zeile gesendet oder empfangen wurde.
Benutzt werden hier die Befehle:
- user Danach folgt ein gültiger Benutzername
- pass Das Passwort des Benutzers
- retr Lädt die Mail mit der angegebenen Nummer
- dele Löscht die Mail mit der angegebenen Nummer
- quit Beendet den Dialog
3.3. NNTP
Das NNTP (Network News Transport Protocol, Port 119) dient dazu News im System zu übertragen. Auch hier könnte man wieder über eine Telnet-Verbindung an den News-Server herankommen.
3.4. Telnet
Telnet (keine Abkürzung, Port 23 ) dient dazu, sich auf einem entfernten Rechner als Benutzer einloggen zu können. Wird kein Port angegeben, so gilt der Standardport. Wie aus den vorangegangenen Beispielen zu sehen ist, kann man aber auch mit anderen Diensten bzw. Ports kommunizieren.
Eine Telnetverbindung ist leicht abzulauschen, daher sollte man vor allem mit dem Root-Passwort sehr vorsichtig sein. Üblicherweise darf man sich nicht direkt als Root einloggen, sondern benötigt dazu erst einmal einen normalen Benutzeraccount, von dem aus man dann mit su zum Root-Account wechselt.
3.5. SSH
Als Alternative zum Telnet bietet sich SSH (Secure Shell, Port 22) an, da hier die Daten verschlüsselt übertragen werden. SSH erlaubt auch die Übertragung von Grafikdaten (X11), dazu muss es oft mit dem Parameter -X aufgerufen werden.
3.6. FTP
FTP (File Transfer Protocol, Port 20 und 21) dient zum Transport von Dateien über das Netz. Heute werden die textbasierten Clienten dazu kaum noch benutzt, sondern eher Programme, die sich in der Bedienung am Windows-Explorer orientieren.Probleme bereitet oft die Tatsache, dass FTP mit zwei Ports arbeitet. Port 21 dient als Kommando-Kanal, die Daten tauschen die Rechner dann auf Port 22 aus.
3.7. HTTP
Sehr viel genutzt ist das HTTP (Hypertext Transfer Protocol, Port 80). Dieses Protokoll dient zur Übertragung von Webseiten samt Bildern, Sounds und anderen Komponenten. Natürlich ist auch dieses Protokoll textbasiert und lässt sich per Telnet nutzen.
> telnet 192.168.1.1 80 <Trying 192.168.1.1... <Connected to 192.168.1.1. <Escape character is '^]'. >HEAD / HTTP/1.0 > <HTTP/1.1 200 OK <Date: Sun, 31 Oct 2004 12:37:44 GMT <Server: Apache/2.0.49 (Linux/SuSE) <Content-Location: index.html.en <Vary: negotiate,accept-language,accept-charset <TCN: choice <Last-Modified: Fri, 04 May 2001 00:01:18 GMT <ETag: "db6f-5b0-40446f80;db85-961-8562af00" <Accept-Ranges: bytes <Content-Length: 1456 <Connection: close <Content-Type: text/html; charset=ISO-8859-1 <Content-Language: en <Expires: Sun, 31 Oct 2004 12:37:44 GMT < <Connection closed by foreign host.
Mit dem Kommando HEAD holt man sich nur Informationen über die angegebene Seite, mit GET kann man den Inhalt abrufen (das wäre aber für einen Ausdruck zu lang).
3.8. IMAP
Das Protokoll IMAP (Internet Message Access Protocol, Port 143) ist eine Alternative zum etwas angestaubten POP-Protokoll. Im Unterschied zu diesem belässt es die Mail generell auf dem Server, so dass es sich für Benutzer anbietet, die von unterschiedlichen Rechnern aus auf ihre Mails zugreifen wollen. Sofern die Internetanbindung schnell genug ist, bietet sich also IMAP an. Die meisten Server lassen eine recht flexible Organisation der Nachrichten in verschiedene Ordner zu.
Auch dieses Protokoll lässt sich per Telnet suchen, was wieder bei Problemen sehr nützlich sein kann. Etwas gewöhnungsbedürftig ist hier, dass jedes Kommando von einem Tag eingeleitet werden muss. Das ist eine kurze Zeichenkette, meist aus Ziffern, die bei jedem Kommando individuell sein soll. Im einfachsten Fall einfach eine aufsteigende Zahl.
>telnet lern-server.de 143 <Trying 85.214.46.129... <Connected to lern-server.de. <Escape character is '^]'. <* OK Dovecot ready. >01 login debacher@lern-server.de ****** <-- Achtung wieder Klartext <01 OK Logged in. >02 list "" "*" <* LIST (\HasNoChildren) "." "INBOX" <02 OK List completed. >03 select inbox <* FLAGS (\Answered \Flagged \Deleted \Seen \Draft) <* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags permitted. <* 1 EXISTS <* 1 RECENT <* OK [UNSEEN 1] First unseen. <* OK [UIDVALIDITY 1226176135] UIDs valid <* OK [UIDNEXT 3] Predicted next UID <03 OK [READ-WRITE] Select completed. >04 fetch 1 full <* 1 FETCH (FLAGS (\Recent) INTERNALDATE "08-Nov-2008 21:36:17 +0100" RFC822.SIZE 1005 ENVELOPE ("Sat, 8 Nov 2008 21:35:40 +0100 (CET)" "Ein kleiner Test" ((NIL NIL "Test" "Debacher.de")) ((NIL NIL "Test" "Debacher.de")) ((NIL NIL "Test" "Debacher.de")) ((NIL NIL "undisclosed-recipients" NIL)(NIL NIL "" "MISSING_DOMAIN")(NIL NIL NIL NIL)) NIL NIL NIL "<20081108203552.D36BF820552@h1427493.stratoserver.net>") BODY ("text" "plain" ("charset" "us-ascii") NIL NIL "7bit" 27 2)) <04 OK Fetch completed. >05 fetch 1 body <* 1 FETCH (BODY ("text" "plain" ("charset" "us-ascii") NIL NIL "7bit" 27 2)) <05 OK Fetch completed. >06 fetch 1 body[text] <* 1 FETCH (FLAGS (\Seen \Recent) BODY[TEXT] {27} <Hallo, <ein kleiner Test. <) <06 OK Fetch completed. >07 logout <* BYE Logging out <07 OK Logout completed. <Connection closed by foreign host.
3.9. Was sind Ports?
In den vorangegangenen Abschnitten tauchte mehrfach der Begriff Port auf. Portnummern sind nichts weiter als eine Erweiterung der IP-Adresse zur Adressierung eines Dienstes (Programmes) auf dem angesprochenen Rechner. Auf einem Kommunikationsserver laufen alle Serverprogramme für Mail, News, FTP ... gleichzeitig und warten auf Anfragen. Welches Serverprogramm zuständig ist wird anhand der Portnummer ausgewertet.
Die Portnummer ist eine 16-Bit Zahl, insofern stehen maximal 65536 Ports zur Verfügung. Die Portnummern 1 bis 1024 werden für Standarddienste (s.o.) benutzt und sollten nicht ohne besonderen Grund verändert werden.
Der Zusammenhang zwischen Programm und Portnummer wird in der Datei /etc/services festgelegt.
3.10. Wer darf Mails abliefern?
In der Anfangszeit des Internet haben sich alle Server gegenseitig vertraut, auch die Mailserver. In den letzten Jahren haben aber die Probleme mit Spam deutlich zugenommen, so dass heute ein gesundes Misstrauen unerlässlich ist.
Ein ordentlicher Mailserver nimmt Mails nur dann an, wenn sie eines der Kriterien erfüllen:
- Sie stammen von einem Rechner aus dem lokalen Netzwerk.
- Sie sind für einen Empfänger auf dem lokalen System bestimmt.
- Der Einlieferer konnte sich erfolgreich authentifizieren.
Der Begriff Spam stand übrigens ursprünglich für Dosenfleisch, entstanden aus SPiced hAM. Da dieses Dosenfleisch nicht überall beliebt war, gibt es im Amerikanischen eine Redewendung der Art „so unnötig wie Spam“. Im Zusammenhang mit Kommunikationsnetzen hat sich dieser Begriff für unerwünschte Nachrichten und Mitteilungen fest etabliert. Konsequenterweise werden von manchen Spam-Filtern gute Nachrichten als Ham bezeichnet.
In der Anfangszeit haben die Spammer, also diejenigen die Spam-Nachrichten verschicken, ihren Müll vom eigenen Rechner aus verschickt. Das ließ sich dadurch unterbinden, dass man Listen gepflegt hat mit den Adressen dieser Rechner. Seitdem suchen sich die Spammer fremde Rechner, über die sie ihren Müll verschicken können. Dazu suchten Sie ursprünglich im Internet nach Rechnern, die generell alle Mails annehmen. Die Zahl dieser schlecht konfigurierten Rechner ist aber rückläufig. Heutzutage werden Spam-Mails meist über Rechner verschickt, auf denen heimlich ein entsprechendes Programm installiert wurde. Viele private Rechner, vor allem solche mit guter Internetanbindung, sind inzwischen mit einem derartigen Trojaner infiziert. Der Hersteller dieses Trojaners kann dann den Rechner nutzen, um seine Nachrichten darüber zu verschicken. Ein ordentlicher Mailserver sollte heutzutage daher keine Mails mehr von Rechnern annehmen, die nur über eine dynamische IP-Adresse verfügen.
Wenn ich am heimischen Rechner eine Mail versenden möchte, so muss ich einen Rechner im Internet finden, der mir die Mail abnimmt und sie weiterleitet. Der Rechner muss mich dazu aber kennen. Relativ leicht ist das für die Einwahlprovider wie Hansenet oder T-Online. Wenn ich über die eingewählt bin, dann bin ich über die IP-Adresse bekannt, quasi im lokalen Netz, darf also Mails beim zuständigen Mailserver abliefern.
Schwieriger ist das bei Mail-Anbietern, über die ich mich nicht einwähle, wie z.B. 1&1 oder Web.de. Das SMTP-Protokoll sieht ursprünglich keine Authentifizierung vor. Lange zeit hat man daher Verfahren wie SMTP after POP genutzt. Der Benutzer musste zuerst Mails abrufen, hierbei muss er sich ja authentifizieren, danach konnte von der gleichen IP-Adresse aus einige Zeit auch Mail versandt werden.
Heutzutage kennen viele Server SMTP-Erweiterungen wie SASL (Simple Authentication and Security Layer), die derartige Tricksereien überflüssig machen. Bei SASL übermittelt der Client statt der Zeile
HELO <absenderdomain>
die Zeile
EHLO <absenderdomain>
womit die erweiterten Funktionen aktiviert werden. Nun kann sich der Client mittels
auth plain <codiertes Passwort>
Die Benutzerdaten werden hierbei nicht zwingend verschlüsselt, aber Base64 kodiert. Wer Perl zur Verfügung hat, kann die Kodierung vornehmen per
perl -MMIME::Base64 -e 'print encode_base64("benutzer\@virt.domain\0benutzer\@virt.domain\0passwort");'
Die entstehende Zeichenkette übergibt man dann hinter auth plain.
Alle bisherigen Maßnahmen führen aber nicht dazu, dass Mail ein wirklich zuverlässiges Kommunikationsmedium wird. Man kann sich normalerweise nicht sicher sein, dass die Nachricht wirklich von dem angegebenen Absender stammt und auch nicht, dass die Mail auf ihrem Weg nicht verändert wurde.
Lediglich durch eine Verschlüsselung der Mail lässt sich über kryptografische Methoden sicherstellen, dass der Absender stimmt und der Inhalt nicht verfälscht wurde. Dazu muss man nicht die Mail vollständig verschlüsseln, sondern nur eine Prüfsumme über die Mail, das bezeichnet man als Signieren der Mail.
Will man seine eMails signieren oder verschlüsseln, so benötigt man ein passendes Paar aus öffentlichem und privatem Schlüssel. Aktuell gibt es dafür zwei unterschiedliche Systeme:
- PGP
- S/MIME
Bei dem ersten Verfahren erzeugt man das Schlüsselpaar in der Regel auf dem eigenen Rechner und benutzt dazu die Software GNUPG. Das System ist vollkommen kostenlos, man muss sich aber selber darum kümmern den eigenen öffentlichen Schlüssel bekannt zu machen, bzw. die öffentlichen Schlüssel der Kommunikationspartner zu bekommen. Erleichtert wird der Schlüsselaustausch durch öffentliche Server wie pool.sks-keyservers.net, subkeys.pgp.net und pgpkeys.pca.dfn.de. Normalerweise erfolgt die Kommunikation mit den Keyservern über Port 11371, falls der nicht benutzbar ist gibt es auch Webfrontends, z.B. http://wwwkeys.de.pgp.net/. Eine Beschreibung findet sich auf den Seiten von Enigmail http://enigmail.mozdev.org/home/index.php dem OpenPGP Plugin für Thunderbird.
Das zweite Verfahren ist hierarchisch organisiert. Hier gibt es zentrale Zertifizierungsstellen, die die öffentlichen Schlüssel aufbewahren und verteilen. Diese zentralen Stellen sind in der Regel in den Mail-Programmen und Browsern bereits eingetragen, so dass die Schlüssel ohne weitere Interaktion bezogen werden. Schickt man eine mit solche einem Schlüssel signierte Mail, so kann die Software des Empfängers die Gültigkeit der Signatur automatisch überprüfen.
Leider sind S/MIME Zertifikate in der Regel kostenpflichtig. Es gibt aber einige Anbieter, die Privatleuten kostenfreie S/MIME Zertifikate der Cass 1 anbieten. Bei Class 1 ist nur die Mail-Adresse überprüft. Bisher habe ich folgende Anbieter mit entsprechenden Angeboten finden können:
- http://www.trustcenter.de
- http://www.secorio.com
- http://www.startssl.com/ (hier gibt es auch kostenfreie Zertifikate für https)
Eine sehr schöne Anleitung für den Umgang mit S/MIME findet sich unter http://www.thunderbird-mail.de.