Rechnernetze

Aus Debacher-Wiki
Wechseln zu: Navigation, Suche

I. Grundlagen der Vernetzung

1. Hardware-Ebene

1.1 Verkabelung

1.2. Netzwerkadapter

1.3. CSMA/CD

1.4. Hubs, Switches und Co.

2. Protokoll-Ebene

2.1. Apple Talk

2.2. Netware Protokolle

2.3. NetBEUI

2.4. TCP/IP

3. Anwendungsebene

3.1. SMTP

3.2. POP3

3.3. NNTP

3.4. Telnet

3.5. SSH

3.6. FTP

3.7. HTTP

3.8. IMAP

3.9. Was sind Ports?

3.10. Wer darf Mails abliefern?


II. Sicherheit in Computernetzen

4. Benutzer

4.1 Schwache Passwörter

4.2. Passwörter auf Client-Rechnern

5. TCP/IP-Verbindungen

5.1 Programme zur Überwachung des Datenverkehrs

5.2. Ethernet, die Netzwerkschicht

5.3. IP

5.4. ARP/RARP

5.5. ICMP

5.6. UDP

5.7. TCP

6. Rechner im Netz

6.1. OS Fingerprinting

6.2. Weitere Informationen

6.3. Nmap

7. Paketfilter zum Absichern von Rechnern

7.1. Iptables

7.2. Masquerading

7.3. Firewalling

7.4. Sicherheitsphilosophien

7.5. Ein praktisches Beispiel

7.6. Accounting Rule

7.7. Logging-Rule

7.8. Limits

8. Angiffe auf Rechner

8.1. Warum erfolgen Angriffe auf private PC?

8.2. Ausführen von eingeschleustem Code

8.3 Buffer overflows

III. Rechner im Netz – Netze im Rechner

9. Installation und Betrieb von Rechnernetzen

9.1. Emulatoren

9.2 Einrichten von vielen Rechnern

10. Anwendungen über das Netz – Remote Desktops

10.1 X11

10.2 Virtual Network Computing (VNC)

10.3 Nomachine NX

10.4 Microsofts Remote Desktop Protocol

I. Grundlagen der Vernetzung

Eine Schule verfügt heutzutage über ein lokales Netzwerk, an das eine unterschiedliche, aber stark wachsende, Anzahl von Computern angeschlossen ist. Es handelt sich meist um ein Netz auf Ether­net-Basis mit dem Proto­koll TCP/IP, in dem eine Vielzahl von Anwendungen läuft.

Rechnernetze-001.png

In der Regel stehen (mindestens) zwei Computerräume zur Verfügung und eine Reihe von Compu­tern, die einzeln oder in kleinen Gruppen untergebracht sind. Einen Zugang zum Internet bekom­men alle Computer-Arbeitsplätze über einen zentralen Server, der meist über eine DSL-Verbindung ver­fügt.

Die Schulbehörde in Hamburg ist dabei, alle ihre Schulen total zu vernetzen. Das bedeutet, dass in jedem Klassenraum zwei Anschlussdosen (Doppeldosen) für den Netzwerkzugang zur Verfügung stehen. Im Prinzip ist dieser totale Ausbau nicht zwingend notwendig, da zukünftig die Rechner eher per WLAN ans Netz angebunden werden. Der gute Ausbau des Kabelnetzes vereinfacht aber den Aufbau des WLAN.

Neben der internen Vernetzung wird es auch eine externe Vernetzung geben, alle Schulen sollen breitbandig an das Behördennetz angebunden werden. Hierbei wird man auf VLAN-Konzepte setz­ten, bei denen Verwaltungsnetz (TUVAS) und pädagogisches Netz logisch getrennt im gleichen Ka­bel geführt werden.

Zum Verständnis eines derartigen Netzes ist es sinnvoll die Ebenen zu trennen in:

  • Hardware-Ebene
  • Protokoll-Ebene
  • Anwendungs-Ebene


1. Hardware-Ebene

Für die Netzwerkhardware gilt heute Ethernet als Standard. Das System Arcnet ist technisch über­holt. In manchen größeren Firmen findet man noch Token Ring Netze, die aber im schulischen Be­reich keine Rolle spielen.

Beim Ethernet benötigt man die folgenden Komponenten.


1.1. Verkabelung

Für die Ethernet-Verkabelung gibt es hauptsächlich drei Verkabelungsarten:

  • Koaxialkabel
  • Twisted-Pair Kabel
  • Glasfaserkabel

und natürlich

  • Wireless-LAN

1.1.1. Koaxialkabel

Ursprünglich wurde diese Kabelart benutzt. Hierbei han­delt es sich um ein Kabel, welches einem Antennenkabel ähnelt.

Rechnernetze-002.gif

Die am weitesten verbreitete Koaxial-Verkabelung wird als 10Base 2 (Cheapernet) bezeichnet. An den Kabelenden ist jeweils ein Stecker mit Bajonettverschluss angebracht, über den die Netzwerkkarte mittels eines T-Stückes ange­schlossen wird. An den beiden Enden des Kabelstranges (Segmentes) muss ein Abschlusswiderstand von 50Ω an­gebracht werden.


Da alle Geräte hintereinander bzw. nebeneinander liegen bezeichnet man den Aufbau als Bustopolo­gie.

Rechnernetze-003.gif

Für diese Art der Verkabelung gelten folgende Beschränkungen:

  • Maximale gesamte Kabellänge: 185m pro Segment
  • Maximalzahl Rechner: 30 pro Segment
  • Mindestabstand der Stationen am Kabel: 1,8m
  • Maximale Datenübertragungsrate 10MBit/s

Rechnernetze-004.gif

Will man die Beschränkungen hinsichtlich der Ka­bellänge bzw. der Zahl der Stationen überwinden, so kann man Segmente mit Signalverstärkern (Repea­tern) verbinden. In einem Netz sind maximal 4 Re­peater erlaubt, so dass höchstens 5 Segmente mög­lich sind. Diese Beschränkungen hängen mit der Dämp­fung der Signale im Kabel und der Signallauf­zeit zu­sammen.

Für größere Netze gibt es das 10Base5, bei dem ein teureres Koaxialkabel (Yellow cable) verwendet wird. Hier er­geben sich dann folgende Beschränkungen:

  • Maximale gesamte Kabellänge: 500m pro Segment
  • Maximalzahl Rechner: 100 pro Segment
  • Mindestabstand der Stationen am Kabel: 2,5m
  • Maximale Datenübertragungsrate 10MBit/s

1.1.2. Twisted Pair

Als Standardverkabelung wird heute Twisted Pair (10BaseT bzw. 100 BaseT, 1GBaseT) benutzt. Dabei han­delt es sich ursprünglich um achtadriges Telefonkabel. Jeweils zwei Adern sind untereinan­der ver­drillt, was die Abschirmung verbessert. Zusätzlich wird das gesamte Kabel nach außen hin durch eine Metallfo­lie abgeschirmt.

Rechnernetze-005.gif

Hinsichtlich des Aufbaus dieser Kabel gibt es eine Reihe von Bezeichnungen.

  • UTP (Unshielded Twisted Pair), die Kabelpaare und das Gesamtkabel sind nicht abgeschirmt
  • FTP (Foiled Twisted Pair), die Adernpaare sind mit einem Schirm aus metallkaschierter Folie umgeben.
  • STP (Shielded Twisted Pair) die Adernpaare sind einzeln mit einer Abschirmung umgeben, die meist aus Folie besteht.
  • S-FTP (Screened Foiled Twisted Pair), zusätzlich zum FTP liegt hier eine Gesamtabschirmung mit einem Metallgeflecht (S) vor.
  • S-STP (screened Shielded Twisted Pair), zusätzlich zum STP liegt eine Gesamtabschirmung vor.

Die meisten Kabel, die man als Endkunde bekommt, gehören in die Rubrik FTP. Zusätzlich gibt es eine Reihe von Normen, die die Leistungsfähigkeit des Kabels beschreiben.

  • Cat1, bis 100 kHz wir für Telefonanwendungen genutzt, z.B. ISDN-Basisanschluss
  • Cat2, bis 1 MHz wird für ISDN-Primärmultiplexanschlüsse genutzt.
  • Cat3, bis 16 MHz, wird für 10BaseT und Token-Ring genutzt.
  • Cat4, bis 20 MHz, wird für 16-MBit-Token-Ring genutzt.
  • Cat5, bis 100 MHz, Standardkabel für 100BaseT, erlaubt auf kürzeren Strecken auch 1GBaseT.
  • Cat5e, ab 100 MHz, erweiterte Version von Cat5, ermöglicht 1GBaseT auf der vollen Länge von 100m.
  • Cat6, ab 250 MHz, Standardkabel für 1GBaseT, erlaubt auch Übertragungsraten von 10GBit, zumindest auf kürzeren Strecken.
  • Cat6a, bis 550 MHz, für Gigabit-Netze.

Die Aufzählung wird sich in den nächsten Jahren erweitern. Zur Zeit wird an einer Norm für Cat7 gearbeitet, die dann Übertragungsraten bis 100GBit unterstützen wird. Praktisch hat man heute die Wahl zwischen Cat5, Cat5e und Cat6. Die Preisunterschiede sind recht gering, man liegt immer deutlich unter 1€/m.

Angeschlossen werden diese Kabel an eine spezielle Dose, die einer ISDN-Dose sehr stark ähnelt. Dargestellt ist eine Doppeldose. Da der Preisunterschied zwischen Einzel- und Doppeldose ge­ring ist, werden meist gleich Doppeldosen verlegt, obwohl man dann auch zwei Zuleitungen benöti­gt.

Zur einfacheren Verlegung verwendet man für Doppeldosen gern Douplex-Kabel, bei denen einfach zwei Kabel mit­einander verklebt wurden.

Rechnernetze-006.png Rechnernetze-007.png Pinbezeichnung RJ45 Dose

In diese Dosen werden dann Verbindungskabel gesteckt (Patchkabel), die an ihren Enden würfelför­mige RJ45-Stecker tragen. Auch diese gleichen den ISDN-Steckern. Zu dem ISDN-System gibt es aber einen wichtigen Unterschied.

Dort werden die inneren vier Adern in der Dose benutzt, bei RJ45 auch äußere Adern. ISDN-Kabel bestehen normalerweise nur aus den wirklich benötigten Adern, Twisted Pair Kabel wird meistens 8 adrig verlegt, auch wenn auch hier ebenfalls nur 4 Adern benö­tigt werden.

Rechnernetze-008.png Rechnernetze-009.png Pinbezeichnug RJ45 Stecker

Für die Farbzuordnung gibt es mehrere Normen. Die beiden üblichsten sind hier aufgeführt, wobei die Norm EIA/TIA 568 B die aktuellste ist. Das Kürzel EIA/TIA steht für die Organisationen Elec­tronics Industry Association (EIA) und Telecommunications Industry Association (TIA).

Belegung und Farbcodes für RJ-45 Stecker
Adernpaar Pin EIA/TIA 568A EIA/TIA 568 B 10(0)Base-T ISDN
1 4

5

blau

weiß-blau

blau

weiß-blau

1b

1a

2 3

6

weiß-orange

orange

weiß-grün

grün

RD+

RD-

2a

2b

3 1

2

weiß-grün

grün

weiß-orange

orange

TD+

TD-

4 7

8

weiß-braun

braun

weiß-braun

braun

Für Europa bzw. Deutschland gibt es die abweichenden Normen IEC/ISO 11801, EN 50173 und DIN 50173. Kabel und Dosen mit den zugehörigen Farben habe ich aber noch nie gesehen.

Rechnernetze-011.gif

Twisted Pair Verkabelung bedingt eine andere Verlegungstopologie als Koaxialkabel. Das Kabel wird nicht durchgeschleift, sondern die Anschlüsse enden im­mer in einer aktiv­en Kom­ponente, meist einem Hub oder Switch. Von diesem Punkt ausge­hend ergibt sich dann eine sternförmige Verka­belung. Der Unter­schied zwischen Bus- und Stern­topologie bezieht sich nur auf die Verle­gung der Ka­bel, elektrisch handelt es sich auch hier um einen Bus. Man kann sich hier­für vorstellen, dass die Anschlüsse im Hub ein­fach nur zu­sammengefasst sind und jeder Rechner sein eigenes Seg­ment bekommt.

Rechnernetze-010.png

Will man nur zwei Computer direkt miteinander verbinden, so braucht man ein Crossover-Kabel, bei dem einige Leitungen untereinander vertauscht sind.

Pin-Bele­gung Cros­sover-Ka­bel
Stecker Pin
Stecker 1 1 2 3 4 5 6 7 8
Stecker 2 3 6 1 5 4 2 8 7
Signal TD+ TD- RD+ - - RD- - -

Rechnernetze-012.gif

Ein derartiges Kabel kann auch benutzt werden, um Hubs miteinander zu verbinden. Generell müssen gleichartige Ge­räte immer mit einem gekreuzten Kabel verbunden wer­den. Das kann man sich so vorstellen, dass eines der Adernpaare (TD+/TD-) einen Sendekanal (Transmit Data) darstellt, das andere (RD+/RD-) einen Empfangs­kanal (Receive Data). Verbinde ich jetzt zwei Computer miteina­nder, so muss der Sendekanal des einen Computers mit dem Empfangskanal des anderen verbun­den werden und umge­kehrt. Bei der Verbindung Hub-Computer ist diese Umsetzung schon im Hub realisiert.

Moderne Switches stellen sich automatisch auf das Kabel ein, es ist also egal, ob man sie mit einem Crossover-Kabel oder einem normalen Kabel verbindet.

Für Twisted Pair ergeben sich folgende Beschränkungen:

  • Maximale gesamte Kabellänge: 100m pro Segment
  • Maximalzahl Rechner: 1 pro Segment
  • Maximale Übertragungsrate: 100 MBit/s bzw. inzwischen auch bis 10.000 MBit/s

Bei der Qualität des Kabels und der Anschlussdosen sollte man nicht geizen. Der größte Aufwand be­steht im Verlegen der Kabel und nicht in der Anschaffung. Es ist daher ärgerlich, wenn man nach kur­zer Zeit feststellt, dass man z.B. mit Kabel ohne Abschirmung Störungen ins Netz bekommt.

Netz­werkkomponenten sollten heute die Bezeichnung Cat 6 tragen, was anzeigt, dass sie für Über­tragungsraten von 1 GBit/s gedacht sind.

1.1.3. Glasfaser

In den letzten Jahren sind auch Glasfaserkabel (100Base-Fx, 1000Base-Fx) bezahlbar geworden. Glasfaserkabel ha­ben den großen Vorteil, dass Sie gegen Störungen durch elektrische Felder voll­kommen unemp­findlich sind. Kupferkabel dürfen wegen dieser Störungen nicht parallel zu elektris­chen Leitungen ver­legt wer­den.

Rechnernetze-013.gif

Ein weiterer Vorteil der Glasfaser besteht in der gerin­geren Dämpfung der Signale, dadurch können die Stre­cken wesentlich länger werden. Licht wird nur im luft­leeren Raum ohne jegliche Dämpfung (Abschwächung) übertragen, dann legt es in einer Sekunde 300.000 Kilo­meter zurück. Normales Fensterglas besitzt eine Dämp­fung von 50.000 dB/km. Moderne Lichtwellenleiter kommen auf Werte deutlich unter 1 dB/km. Damit sind dann Übertragungsstrecken von mehreren Kilometern ohne Verstärkung möglich.

Glasfaserleitungen besitzen einen recht komplizierten Auf­bau. Im Inneren bestehen sie aus einem Kern (Core) aus hochreinem Glas. Dieser Kern ist von einem Mantel (Cladding) aus Glas mit einer niedrigeren optischen Bre­hungszahl umgeben. Dieser Mantel bewirkt eine Totalre­flektion an der Grenzschicht, der Strahl kann also den Core nicht verlassen. Diese beiden Glaskomponenten sind dann von zwei Schutzschichten (Buffer und Jacket) umge­ben, die vor Feuchtigkeit und mechanischen Belastungen schützen.

Diese Datei stammt aus der englischen Wikipedia: http://commons.wikimedia.org/wiki/File:Singlemode_fibre_structure.png

Das Verhältnis zwischen Core und Cladding spielt für die Eigenschaften der Faser eine wichtige Rolle.

Hat der Core einen Durchmesser von weniger als 10 µm (etwa die Wellenlänge des übertragenen Lichtes), so spricht man von einer Single-Mode bzw. Mo­nomode-Faser. Hier kommt das eingestrahlte Licht nur auf einem einzigen, di­rekten Weg durch die Faser. Reflek­tionen wer­den gering gehal­ten, wodurch die Signalqualit­ät hoch bleibt und weite Übertragungsstre­cken er­reicht werden können.

Diese Abbildung stammt aus der englischen Wikipedia: http://en.wikipedia.org/wiki/File:Optical_fiber_types.svg

Da die Verarbeitung dieser Fasern, aufgrund des kleinen Core schwierig ist, benutzt man für kürzere Strecken Multimode-Fasern, mit einem Core-Durchmesser von etwa 50µm. Hier verändert sich der Brechungsindex der Glassorten in einem Schritt, daher spricht man auch von Stufenindex-Fasern (Step index fiber). Bei diesen Fasern kommt es zu sehr unterschiedlichen Reflektionen und damit sehr unterschiedlichen Laufzeiten der Lichtstrahlen. Dadurch verringert sich die Signalqualität.

Bei Gradientenindex-Fasern (Graded index fiber) ändert sich der Brechungsindex des Glases konti­nuierlich, was die Reflektionen vereinheitlicht und zu höherer Signalqualität führt.

Verwendet werden generell Kabel mit zwei getrennten Adern (Sende- und Empfangskanal), die an den Enden mit spe­ziellen Steckern versehen werden.

Bei den Steckern gibt es zwei Systeme:

Rechnernetze-014.gif SC-Simplex Rechnernetze-015.gif ST-Keramik

Das SC-System (standard connector) basiert auf Kunststoff-Steckern und ist preiswerter als das ST-System (straight tip), bei dem Ke­ramik-Stecker benutzt werden. Es gibt Adapter, mit denen man die Systeme untereinander kombi­nieren kann. ST-Stecker besitzen einen Bajonett-Verschluss und müs­sen bewusst verriegelt werden, SC-Anschlüsse schnappen Einstecken ein und verriegeln sich selbst.

Für Glasfaser ergeben sich dann folgende Beschränkungen:

  • Maximale gesamte Kabellänge: 400m pro Segment
  • Maximalzahl Rechner: 1 pro Segment
  • Maximale Übertragungsrate: 100Gbit/s

Für den Übergang zwischen Kupfer- und Glasfaser-Leitungen gibt es spezielle Konverter, die die Signale jeweils umwandeln.

Rechnernetze-016.jpg

Im Prinzip sind Glasfaserleitungen sehr preiswert geworden. Der Meterpreis liegt kaum über dem von Kupferkabel, wobei man bei Preisvergleichen beachten muss, dass Glasfaserkabel in der Regel über mehr als nur die für eine Verbindung benötigten zwei Fasern verfügen.

Was bei Glasfaserleitungen aber sehr teuer ist, ist das sog. Spleißen, das Verbinden von zwei Fa­sern miteinander oder einer Faser mit Stecker oder Patchfeld. Hierzu benötigt man Spezialwerkzeug und auch einige Erfahrung. Insofern benötigt man hierfür immer Dienstleister, die das vor Ort erle­digen (siehe http://www.debacher.de/wiki/Spleißen_von_Glasfaserkabel). Als einzigen Ausweg gibt es fertig konfektionierte Kabel in allen gewünschten Längen. Die­se Kabel sind aber schwer zu verlegen, weil sie ja bereits über die relativ dicken Stecker verfügen.

1.1.4. Wireless-LAN

Die Datenübertragung per Funk, das sog. Wireless-LAN ist heute nahezu allgegenwärtig. Das gän­gige Funk-LAN arbeitet im Frequenzbereich 2,4 bis 2,48 GHz (in diesem Bereich arbeitet auch die häusliche Mikrowelle) mit einer Leistung von 100mW (zum Vergleich, ein Mobiltelefon kommt auf bis zu 2.000mW). Die Übertragung ist genormt, nach der IEEE 802.11x, was den Misch­betrieb der Geräte verschiedener Hersteller erlaubt. Die Standard-Bandbreite betrug lange Zeit 11 Mbit/s (802.11b), wovon knapp die Hälfte praktisch realisierbar ist. Es kommen immer mehr Geräte auf den Markt, die Übertra­gungsraten von mehr als 54MBit (IEEE 802.11g) erlauben.

Bei der Beschaffung von Geräten ist es wichtig darauf zu achten, dass sie die IEE Normen erfüllen, nur dann können auch Geräte verschiedener Hersteller miteinander kommunizieren.


IEE Beschreibung
802.11 Protokoll von 1997 für 2MBit/s auf dem 2,4 GHz Band
802.11a Übertragung von max. 54 MBit/s auf dem 5 GHz Band
802.11b Übertragung von max. 11MBit/s auf dem 2,4 GHz Band
802.11c Bridging zwischen Access Points
802.11g Übertragung von max. 54 MBit/s auf dem 2,4 GHz Band
802.11n Standard mit Übertragungsraten bis zu 300 MBit/s

Auch die Kompatibilität der Protokolle untereinander ist wichtig. Geräte mit 802.11g können mit 802.11b Geräten kommunizieren. Eine Kommunikation zwischen 802.11g und 802.11a ist nicht mög­lich, da hier verschiedene Frequenzen benutzt werden.

Die Reichweite einer Verbindung (50 bis 500m) hängt sehr von den Rahmenbedingungen ab. In Ge­bäuden ist sie sehr viel geringer, als im freien Gelände. Bei Stahlbeton kann schon eine einzelne Wand oder Decke ein undurchdringbares Hindernis darstellen. Mit speziellen Antennen sind bei freier Sicht sogar Entfernungen in der Kilometergrößenordnung zu überwinden.

Für den Einsatz von WLAN gibt es mehrere Topologien.

Ad-hoc Netzwerk

Im einfachsten Fall bauen zwei Rechner mit WLAN-Karten spontan (ad-hoc) eine direkte Ver­bindung untereinander auf.


Infrastruktur mit Access-Punkt

Lynksys.jpg

In vorhandenen Netzwerken, z.B. von Firmen, möchte man mit einem mobilen Computer bequem im Netz arbeiten können. Dazu benötigt man einen Access-Point, der im Prinzip aus einer Wireless-Karte mit Ethernet-Anschluss besteht. Dieser Ac­cess-Point wird dann mit einem Netzwerkkabel an das Netzwerk angeschlossen. Über den Access-Point können nun mehre mobile Computer Verbin­dung zum Netz bekommen.


Bridge-Mode

Bridge-mode.png

Mit zwei Access-Points lassen sich Entfernungen zwischen nicht vernetzten Gebäuden überbrücken. Hierzu gibt es einen speziellen Bridge-Modus, in dem die beiden Geräte nur direkt miteinander kom­munizieren. Für andere Geräte im Netz, egal ob verkabelt oder wireless ist diese Brücke trans­parent, wirkt also wie eine Kabelverbindung. Der Internet-Zugang von Lan­desinstitut und Lohmühlengymnasium erfolgt über sol­che Funk-Brücken. Bei dieser Verbindungsart werden auch spezi­elle Richtantennen einge­setzt, um größe­re Entfernungen (meh­rere Kilometer) überbrücken zu können.

Den Antennen kommt generell eine hohe Bedeutung für die Übertragungsreichweite zu. Die normalerweise benutzten Stum­melantennen strahlen ihre Leistung gleichmäßig in alle Richtung­en ab. Will man also die Reichweite erhöhen, so kann man dies mit Antennen erreichen, die nur in einem relativ engen Be­reich die Leistung gebündelt abstrahlen. Mit den im Foto dar­gestellten Antennen lassen sich Abstrahlwinkel von 6° errei­chen, was zu einer erheblichen Steigerung der erreichbaren Stre­cke führt (mehr als 1 km), aber natürlich auch eine genaue Ausrichtung der Antennen erfordert. Ein Mit­telweg besteht in den sog. Yagi-Antennen, die röhrenförmig aufgebaut sind. In Computerzeit­schriften (c't 9/03, Seite 180, c't 25/07, Seite 220, c't 18/08, Seite 176) finden sich immer wieder Anleitungen, wie man aus einer Pringles-Dose, einen Klobürsten-Halter aus Metall oder etwas Sty­ropor und ein paar Kupferdrähten entsprechende Antennen selber bauen kann.


Konfiguration von W-LAN

Eine sehr beliebte Serie von Access-Points stellen die Geräte WAP der Firma Linksys dar. Diese Geräte sind für unter 60€ zu bekommen, aktuell ist zur Zeit WAP54G. Das Gerät bringt eine Soft­ware mit, die ein leichtes Setup erlauben soll, es geht aber genauso gut über den eingebauten Web­server.

Das größte Problem ist es oft, die Geräte im Netz zu finden. Linksy­s gibt dem Ge­rät ab Werk die feste IP-Adresse 192.168.1.245 mit. Gibt man die Adresse ein, so kommt ein An­meldefenster, in das man Benutzernamen und Passwort einge­ben soll. Hier muss der Benutzername leer bleiben, dass Passwort ist admin. Danach kann man auf die Ein­stellungen zugreifen.

Linksys-001.png

Unter Setup ∙ Network Setup kann man nun eine andere feste IP-Adresse einstellen oder DHCP ak­tivieren, was in der Regel die flexibelste Lösung ist. In dem gleichen Fenster kann man auch einen (Rechner-)Namen für das Gerät vergeben, hier kann die Standortangabe sinnvoll sein.

Linksys-002.png

Unter Setup ∙ AP Mode­kann man zwischen den ver­schiedenen Betriebsarten wählen.

  • AccessPoint
  • AP Client
  • Wireless Repeater
  • Wireless Bridge

Die Linksys-Geräte sind recht flexibel, sie bieten alle beschriebenen Arten an. Zu­sätzlich gibt es sogar noch den Repeater-Modus, indem der Access-Point die Reich­weite des Netzes vergrößert, indem er Signale eines ande­ren Access-Points aufnimmt und an seiner Position neu sendet. Damit lässt sich die Reichweite des Netzes in der Regel fast verdoppeln.


Die für das Netzwerk wich­tigsten Einstellmöglichkeiten finden sich im Menü Wireless.

Linksys-003.png

Unter Basic Wireless Set­tings hat man mehrere Ent­scheidungen zu treffen.

Bei Mode hat man die Aus­wahl zwischen:

  • Mixed
  • Wireless-G only
  • Wireless-B only

Im Mixed-Mode kann jeder Rechner mit dem Accessp­oint Kontakt aufnehmen, un­abhängig davon, welche der Normen er erfüllt. Das klingt am flexibelsten, hat aber den Nachteil, dass jedes 11MBit-Gerät (802.11b) dazu führt, dass der Acces­spoint für alle Computer he­runterschaltet. Will man das verhindern, so muss man auf Wireless-G only stellen, dann bleiben die 802.11b-Geräte aber ohne Ver­bindung.

Bei Network Name (SSID) gibt man den Netzwerknamen ein, unter dem die Computer das Netz­werk später sehen können. Der Netzwerkname sollte für alle Accesspoint im Netz gleich sein. Mit dem Schalter SSID Broadcast kann man verhindern, dass die Netzwerkkennung sichtbar ist, wenn man auf Disabled umstellt. Diese Einstellung hat aber mehr Nachteile als Vorteile, insofern sollte man die Voreinstellung Enabled belassen.

Unter Channel kann man einender Kanäle 1 bis 13 dem jeweiligen Accesspoint zuordnen. Accessp­oints, deren Reichweite sich überlappt müssen verschiedene Kanäle nutzen, sonst kommt es zu Stö­rungen im Betrieb. Die Kanäle benachbarter Accesspoint sollten sich um einen möglichst großen Wert, idealerweise 6 unterscheiden. Die Verteilung der Kanäle in einem Gebäude sollte man gut planen, aber auch die Nachbarn und ihre Accesspoints mit berücksichtigen.

Linksys-004.png

Sehr wichtig sind die Einstellmöglichkeiten im Reiter Security. Hier muss man sich entscheiden, welches der Sicher­heitsverfahren man nutzen möchte. Im An­gebot sind:

  • WEP
  • WPA-Personal
  • WPA2-Personal
  • WPA2-Mixed
  • WPA-Enterprise
  • Radius
  • Diabled

Die ersten vier Verfah­ren sind solche, bei de­nen ein Passwort oder eine Passphrase hinter­legt wird, die der Be­nutzer dann beim Ver­bindungsaufbau ange­ben muss. Die Sicher­heit ist bei WEP am geringsten und bei WPA2 am höchsten. Der Mixed-Mode lässt sowohl WPA als auch WPA2 Clients zu. Bei WPA-Enterprise und Radius handelt es sich um Einstellungen, bei denen ein zentraler Server individuelle Zugangsdaten für die Benutzer verwaltet. Bei WEP und WPA sind die Zugangsdaten für alle Benutzer gleich.

Soll das WLAN allen Schülern einer Schule zugänglich sein, sind vermutlich die serverbasierten Verfahren am sinnvollsten, setzen aber entsprechende Software auf dem Server und dem Client vora­us. Ansonsten macht es wenig Sinn hier auf große Sicherheit zu setzen, wenn sowieso achthun­dert Schüler das Passwort kennen. Man kann also gleich bei WEP bleiben, was auf der Clientseite am einfachsten unterstützt wird.

Bei WEP muss man dann noch (mindestens) einen Key angeben. Das ist eine Zeichenkette, deren Länge man unter Encryption auf 104/128 Bit festlegen sollte. Das ist dann für den Key eine Zei­chenkette von 13 Zeichen, die der Benutzer auf dem Client später eingeben muss. Leider kann man die Zeichenkette hier nur hexadezimal eingeben, muss den Text also umwandeln. Dazu gibt es im Web z.B. bei http://www.swingnote.com/tools/texttohex.php kostenlose Angebote. Aus der Zei­chenkette „LinkSysWirele“ errechnet das Tool dann den Key „4c696e6b537973576972656c65“, den man in das Feld einträgt.

Etwas lästig ist, dass man jede Konfigurationsseite einzeln per Save Settings speichern muss und der Accesspoint jedesmal einen Reset durchführt, es also etwas dauert, bis man weiter arbeiten kann.

Von den weiteren Menüs ist eigentlich nur noch Administration ∙ Management wichtig, weil man hier das Administrator-Passwort festlegt.

Auf der Client-Seite ergibt sich dann das nebenste­hende Bild, bei dem auch gleich ein paar Netze aus der Nachbarschaft auftauchen. Über den Button De­tails könnte man sich den benutzten Kanal und wei­tere Einstellungen, die sich beim Accesspoint unter Advanced Wireless Settings verstecken, abfra­gen.

Wireless-netz.png

1.1.5. Surfstick

Der Internetzugang über das Mobilfunknetz wird immer attraktiver, da die Preise deutlich gefallen sind. Mehrere Anbieter haben sogar Flatrates im Angebot:

Fonic
Der Anbieter Fonic (http://www.fonic.de) bietet eine Tagesflatrate, die aktuell 2,50 € kostet. Indirekt gibt es sogar eine Monatsflatrate, da die Maximalkosten auf 25 € pro Monat beschränkt sind. Die Abrechnung erfolgt über ein Prepaid-System. Dabei ist eine Online-Bezahlung möglich. Fonic benutzt dabei das Netz von O2.
Aldi
Die Tages-Flatrate von Aldi (http://www.medionmobile.de/index3.htm) kostet sogar nur 1,99€, alternativ kann man eine Monatsflatrate für 14,99€ buchen. Auch hier erfolgt die Bezahlung prepaid, man muss sich aber entsprechende Guthabenkarten in den Aldi-Filialen kaufen. Aldi benutzt ebenfalls das Netz von O2.

Beide Anbieter verkaufen auch die notwendige Hardware in Form eines Websticks. Bei Fonic kostet dieser Stick knapp 40€ bei Aldi 50€. Die Sticks vieler Anbieter stammen von der Firma Huawei. Der Stick von Fonic z.B. ist ein Huawei E160 ohne SIM-Lock.

Diese Websticks sind in der Nutzung genial einfach. Sie werden mit der SIM-Karte des Anbieters bestückt, steckt man z.B. den Fonic-Stick in den USB-Anschluss des Rechners, so melden sich drei Geräte an:

  • Das Gerät für den Mobilfunkzugang
  • Ein CD-Rom Laufwerk
  • Ein USB-Speicherstick

Fonic-stick.png

Das USB-Laufwerk kann durch eine Speicherkarte auf 2GB erweitert werden, ersetzt also einen normalen USB-Stick.

Auf dem virtuellen CD-Rom Laufwerk befindet sich die Treibersoftware für Windows, die dadurch mit einem Mausklick installiert werden kann. Hat man den Stick beim Zugangsprovider gekauft, so ist die Software in der Regel so vorkonfiguriert, dass man nur die SIM der Mobilfunkkarte noch angeben muss.

Fonic-software.png

Auch ohne Vorkonfiguration wäre nicht viel einzustellen. Am wichtigsten ist die Angabe des richtigen APN. Für Fonic ist es z.B. pinternet.interkom.de.

Im Mobilfunknetz gibt es mehrere Übertragungsverfahren für Daten, die sich z.T. recht deutlich in der Datenübertragungsrate unterscheiden.

  • High Speed Circuit Switched Data (HSCSD) bietet Übertragungsraten bis 0,1152 MBit/s
  • General Packet Radio Service (GPRS) bietet theoretisch bis zu 0,1712 MBit/s, in der Regel wird nur ein Bruchteil davon angeboten. Dafür wird GPRS von allen Anbietern und allen Endgeräten unterstützt.
  • Enhanced Data Rates for GSM Evolution (EDGE) bietet durch Bündelung mehrere Time-Slots bis zu 0,473 MBit/s.
  • High Speed Downlink Packet Access (HSDPA) gehört zum UMTS und bietet eine Datenübertragungsrate von 3,6 MBit/s bzw. 7,2 MBit/s an. Mit geeigneten Endgeräten und Netzen sind auch höhere Raten möglich.

Für die langsameren Verfahren ist die Netzabdeckung in der Regel gut, HSDPA ist dagegen noch nicht überall verfügbar. Die meisten Surfsticks können mit verschiedenen Verfahren umgehen, wobei aber nicht jeder Provider alle Verfahren anbietet.

1.1.6. Sonstige

Es gibt Experimente die Datenübertragung auch über das Stromnetz vorzunehmen, ähnlich wie beim Babyphone. Das würde den Verkabelungsaufwand nahezu vollständig entfallen lassen. Problem­e be­stehen aber mit der Entkoppelung der Si­gnale und der Trennung von Störsignalen.

Mit sehr niedrigen Datenübertragungsraten klappt das gut, Stra­ßenlaternen z.B. werden auf diese Art geschaltet. Höhere Datenübertragungsraten, wie im Netz­werkbereich benötigt, sind immer noch recht problematisch. Zwischen einigen Steckdosen klappt die Verbindung gut, zwischen anderen überhaupt nicht. Jeder Schutzschalter und auch manche Ver­teilerdose ist ein schwer überbrückbares Hindernis.

1.2. Netzwerkadapter

Die Netzwerkkarten stellen die Verbindung zwischen der Verkabelung und dem Computer her. Sie benötigen in der Regel einen Steck­platz im Computer.

Rechnernetze-020.jpg

Zur Zeit befinden wir uns in einer Übergangsphase auf GBit-Kar­ten. Alle 1.000MBit/s Karten kön­nen auch mit 100MBit/s umgehen und sogar mit 10 Mbit/s (Kombo-Karte hin­sichtlich der Übertra­gungsrate), aber nicht umgekehrt.

Es gibt auch USB-to-Ethernet-Adapter (ab ca. 40 €), die nicht über ei­nen Steckplatz, sondern über die USB-Schnitt­stelle mit dem Rechner ver­bunden werden. Für Note­books gibt es Netzwerkadapter, die in die PCMCIA-Schnittstelle passen (ab ca. 40 € für 100MBit/s).

Einen Sonderfall der Vernetzung stellt das Telefonnetz dar. Auch hier können Computer über Kup­ferleitungen mitei­nander verbunden werden.

Rechnernetze-021.png

Den Netzwerkkar­ten entspricht dann das Modem oder die ISDN-Karte. Die Modem-Übertragungs­raten sind sehr niedrig, maximal 0,064 MBit/s.

Selbst das hochgelobte DSL kommt ur­sprünglich zu vergleichsweise geringen Übertragungsraten, bei T-DSL sind es z.B. 2 MBit/s, aber nur für den Down­load. Der Upload ist auf etwa 0,192 MBit/s begrenzt. Diese Begrenzungen haben aber mehr mit der Vermarktung, als mit den technischen Ge­gebenheiten zu tun. Viele Anbieter haben in­zwischen Übertragungsraten bis 6 Mbit (0,6 MBit im Upload) im Angebot, teil­weise sogar bis zu 16 MBit (bei eben­falls 0,6 MBit im Upload).

Rechnernetze-023.png

Rechnernetze-022.png Splitter NTBA Modem

1.3.CSMA/CD

Bevor ich auf weitere Hardware eingehe erste einmal ein paar grundlegende Informationen darüber, wie im Ethernet festgelegt wird, welcher Rechner senden darf. Grundlage hierfür ist das Verfahren CSMA/CD.

Zuerst zum CSMA (Carrier Sense Multiple Access). Der Rechner, der Daten versenden möchte, „lauscht“ in das Netz. Wenn er keinen Datenverkehr bemerkt, dann fängt er an seine Informationen zu verschicken. Alle Rechner im Netz empfangen die Daten und werten die Adress­informationen aus. Aber nur der Empfänger behält die Daten.

Csma-cd1.gif

Selbst wenn alles korrekt abläuft, kann es passieren, dass zwei Rechner gleichzeitig oder nahezu gleichzeitig mit dem Senden beginnen. Das führt dann zu einer Kollision. Daher lauschen die Sen­der auch immer noch auf den Bus, um derartige Probleme zu bemerken.

Csma-cd2.gif

Wenn sie eine Kollision bemerken, wenn es zu eine Collision Detection (CD) kommt, dann stoppen alle Sender sofort. Einen erneuten Sendeversuch beginnen die Rechner dann erst nach einer zufällig­en Wartezeit, um nicht wieder gleichzeitig zu senden.

Dieses Verfahren ist recht effektiv, hat aber den großen Nachteil, dass die Zahl der Kollisionen mit wachsender Netzlast ebenfalls steigt. Deshalb sinkt die Netzkapazität mit steigender Last.

Dieses Problem der sinkenden Kapazität taucht z.B. beim Token Ring Verfahren nicht auf. Dort gibt es eine Art Staffelholz (das Token), das von Rechner zu Rechner weitergegeben wird. Damit das ver­nünftig funktioniert, muss das Netz ringförmig strukturiert sein. Wenn ein Rechner Daten verschicken möchte, dann muss er warten, bis das Token leer bei ihm vorbeikommt.

Bei diesem Verfahren ist die Netzkapazität von der Netzlast unabhängig. Insgesamt ist dieses Ver­fahren aber weniger effektiv, die Datenübertragungsrate ist geringer als beim Ethernet.

1.4. Hubs, Switches und Co.

In einem Netz, das nicht auf Koaxialkabel aufgebaut ist, werden aktive Komponenten, wie Hubs und Switches benötigt. Die Begriffe gehen in den Medien oft durcheinander. Für ein funktionsfähiges Netz ist die saubere Unterscheidung aber wichtig.


1.4.1. Repeater

Ein Repeater ist ein Signalverstärker, der die Reichwei­te eines Signales erhöht. In jedem Kabel wer­den die Si­gnale mit der Laufweite immer schwächer und unschär­fer. Deswegen sind im Netz auch die er­laubten Kabel­längen beschränkt. Da die Signalverstär­kung aber zu ei­ner Ver­zögerung der Signale führt, ist die Zahl der Re­peater auf 4 beschränkt.

Repeater-1.jpg

Die Geräte modifizieren die übertragenen Daten nicht, vor allem verhindern sie keine Kollisionen.


1.4.2. Hub

Ein Hub ist die zentrale Vermittlungsstelle bei einer sternförmigen Verkabelung. Hier sind die An­schlüsse konzentriert. Von den Netzwerkeigenschaften her ist ein Hub auch ein Repeater, damit ist auch die Zahl der Hubs zwischen zwei Rechnern auf 4 beschränkt.

In dem Bild dargestellt ist ein 10 Mbit-Hub mit 8 Ports. Der Hub verfügt zusätzlich über einen Ko­axialanschluss.

Hub-1.png

Die linken beiden RJ45 Anschlüsse tragen die gleiche Nummer und unterscheiden sich darin, dass der linke An­schluss gekreuzt ist, der andere nicht. Damit kann man sich die Verwendung gekreuzter Kabel sparen, wenn man meh­rere Hubs kaskadieren (hintereinander schalten) möchte.

Beim Kaskadieren von Repeatern ist die 5-4-3-Regel ein­zuhalten:

5 Zwischen zwei beliebigen Knoten dürfen nicht mehr als fünf Segmente liegen.

4 Zwischen zwei beliebigen Knoten dürfen nicht mehr als vier Repeater liegen.

3 Zwischen zwei beliebigen Knoten dürfen nicht mehr als drei Koaxial-Segmente lie­gen, der Rest muss UTP oder Lichtwellenleiter sein.

In einem Netz mit 100 MBit/s ist zusätzlich zu beachten, dass der Abstand zwischen kaskadierten Hubs nicht mehr als 5 m betragen darf. Bessere Hubs kann man nicht nur über eine gekreuzte Leitung verbinden, sondern auch über ein spe­zielles Kabel stapeln, das den internen Bus beider Geräte koppelt, so dass die beiden Hubs nach außen wie ein einziger Hub wirken. Ein derartiger Hub verfügt immer über zwei Anschlüsse, einen Eingang und einen Ausgang. Das Ver­bindungskabel (sehr kurz) muss mitgeliefert werden, da die Anschlüsse nicht genormt sind. Da­durch kann man auch nur gleiche Geräte miteinander verbinden.


1.4.3. Das OSI-Modell

Bevor wir zu weiteren aktiven Komponenten kommen, ist es sinnvoll auf das Schichtenmodell für Netzwerke einzugehen.

Bei einem derartigen Schichtenmodell versucht man zu erreichen, dass die Software ab einer be­stimmten Ebene von der zugrunde liegenden Hardware unabhängig wird. Das ist nicht nur im Netz­werkbereich üblich, sondern fast immer dann, wenn Hardware aktualisierbar bleiben soll. Ein typis­ches anderes Beispiel wären Grafikkarten und die zugehörigen Treiber.

Für die Programmierer von Mozilla spielt es keine Rolle, ob der Firefox in einem Rechner mit To­ken-Ring, Ethernet oder Telefon-Anschluss läuft. Der Firefox setzt auf dem HTTP-Protokoll auf und dieses auf TCP/IP.

Jede dieser Schichten verfügt über definierte Interfaces nach oben und nach unten. Das er­leichtert die Erstellung von Software und die Anpassung an die Hardware.

Das Modell Open System Interconnection (OSI) ist ein grundsätzliches Modell, das in sieben Schich­ten aufgeteilt ist. Eine direkte technische Umsetzung hierzu gibt es nicht, die meisten Proto­kolle (z.B. TCP/IP) lassen sich aber grob an diesem Modell ausrichten.

Rechnernetze-osi.png

Die Verkabelung eines Netzes liegt unterhalb der Schichten. Das beginnt bei den Komponenten der Netzwerkkarte, die für die Übertragung der einzelnen Bits zuständig sind. In die Abbildung sind die folgenden aktiven Komponenten bereits integriert.

1.4.4. Bridge

Eine Bridge ist eine Art Brücke zwischen Netzwerksegmenten, die sogar unterschiedliche technis­che Grundlagen haben können (Coax, TP). Die Bridge wertet jedes einzelne Datenpaket aus, unters­ucht die MAC-Adresse des Empfängers und sendet das Datenpaket im richtigen Teilstrang neu.

Broadcast Pakete (Rundrufe im Netz), die sich an alle Netzteilnehmer richten, müssen immer wei­tergeleitet werden.

Bei der MAC-Adresse (Media Access Control) einer Netzwerkkarte handelt es sich um eine (fest) ein­gebrannte 6-Byte lange Zahl, die meistens Hexadezimal mit Trennzeichen angegeben wird:

00:15:f2:e8:01:66

Die ersten drei Bytes geben den Herstel­ler an, in diesem Fall die Firma Asus (00:15:f2), die letz­ten drei Bytes werden vom jeweiligen Hersteller fortlaufend vergeben.

Rechnernetze-mac.png

Mit diesem System ist gewährleistet, dass die MAC-Adresse jeweils weltweit eindeutig bleibt. Über die Website http://standards.ieee.org/regauth/oui/index.shtml lassen sich MAC-Adressen be­quem dem jeweiligen Hersteller zuordnen.

Eine Bridge arbeitet auf dem Level 2 des OSI Modelles, kennt also noch keine IP-Adressen. Sie trennt das Netz in unterschiedliche Collisions-Domänen, was die Performance erhöht. Auch die Be­schränkungen hinsichtlich Kabellänge, Zahl der Stationen und Anzahl der Repeater enden an der Bridge.


1.4.5. Switch

Ein Switch ist eigentlich nichts weiter als eine Bridge mit meh­reren Ports. Er kann gleichzeitig mehre­re Verbin­dungen zwi­schen Ports direkt schalten, was das Gesamtnetz entsprechend entla­stet.

Rechnernetze-switch.png

In der Abbildung kann man er­kennen, das die meisten der an­geschlossenen Geräte mit 100 Mbit arbeiten, was jeweils die untere Leuchtdiode anzeigt. Le­diglich das Gerät an Port 5 ist auf 10 Mbit beschränkt. Heutige Switches besitzen in­tern einen ei­genen Bus (Back­plane), der mit deutlich höheren Übertra­gungsraten arbeiten kann, als die externen An­schlüsse.

Der Switch muss von jeder MAC-Adresse im Netz wissen, in welchem Netzsegment sie sich befin­det. In der Anfangszeit mussten diese Daten vom Administrator per Hand eingetragen werden, heu­te sind die Switches lernfä­hig und lernen die MAC-Adressen der angeschlossenen Geräte selbststän­dig. Wichtiges Qualitätskriterium für derar­tige Switches ist die Zahl der Adressen, die sich der Switch pro Port bzw. insge­samt merken kann. Üblich sind Werte zwischen 1024 und 4096 pro Port.

Für die Auswertung und Weiterleitung der Pakete gibt es zwei Prinzipien. Beim Cut-Through wird mit der Weiterleitung der Daten begonnen, sowie die Zieladresse ausgewertet wurde. Das führt zu nur geringen Verzögerungen bei Transport, hat aber den Nachteil, dass beide Netzsegmente die glei­che Übertragungsrate benutzen müssen. In Netzen mit 100MBit ist dieses Verfahren nicht üblich. Heutzu­tage wird meist Store-and-Foreward eingesetzt. Dabei empfängt der Switch das vollständige Datenpa­ket, speichert es zwischen und sendet es dann im Zielstrang erneut. Damit sind dann auch Übergänge zwischen unterschiedlichen Übertragungsgeschwindigkeiten möglich.

Noch sind Abwandlungen von Switches unter der Bezeichnung Switching-Hub, Dual-Speed Hub oder ähnlich auf dem Markt. Hier muss man sehr auf Details achten. Bei vielen dieser Geräte kann man wahlweise 10 MBit- oder 100 MBit-Komponenten anschließen, die Ports erkennen die Über­tragungsrate mittels Autosensing selbst. Viele dieser Geräte sind aber nicht in der Lage 10MBit-Ports mit 100MBit-Ports zu verbinden, sie bauen einfach zwei Segmente auf. Erst wenn intern min­destens eine Bridge vorliegt, dann kann auch eine Übertragung zwischen diesen Segmenten stattfin­den. Aktuelle Geräte arbeiten mit 1.000 Mbit und können bei Bedarf auf die anderen Werte herun­terschalten.


1.4.6. Router

Ein Router arbeitet auf Layer 3, d.h. er arbeitet schon auf Protokoll-Ebene. Ein TCP/IP-Router kann sehr unterschiedliche Netze miteinander verbinden, die über unterschiedliche IP-Adressbereiche ver­fügen. Er bearbeitet aber nur Pakete auf IP-Ebene, Broadcasts werden von einem Router nicht weiter­gegeben.

Rechnernetze-fritz.png

Die Fritz!Box in der nebenstehenden Abbil­dung verbindet drei verschiedene Netze, nämlich:

  • DSL-Netz mit PPPOE
  • Kabel­gebundenes Ethernet
  • WLAN

Der Router im Schul-Netz ist oft ein Linux-Server. Er verbindet oft auch mehrere Netze miteinand­er:

  • 100 Mbit-Netz (192.168.54.xx)
  • 10 Mbit-Netz (192.168.53.xx)

Rechnernetze-030.gif

Er vermittelt zwischen den Teilnetzen so, dass alle Rechner im Netz sich gegenseitig sehen und fast alle Rechner im Internet aus dem lokalen Netz heraus erreicht werden können. Eine Route aus dem In­ternet zu den lokalen Rechnern wird nicht gesetzt.


1.4.7. Die Fritz!Box

Ein Gerät mit sehr vielen Funktionen ist die Fritz!Box der Firma AVM, die sich daher auch nur schwer in ein Raster pressen lässt. Sie ist in der Regel sowohl Router, als auch Switch gleichzeitig. Es gibt mehrere Versionen, die sich auch deutlich im Funktionsumfang unterscheiden.

Die Fritz!Box Fon WLAN 7170 ist ein sehr universelles Gerät, um ins Internet zu kommen. Es besteht intern aus den Komponenten:

  • DSL-Modem
  • Router
  • WLAN-Accesspoint
  • DHCP-Server
  • VOIP Telefonanlage
  • ISDN/Analog Telefonanlage
  • Analog/ISDN Telefonanlage
  • USB-Server für Festplatten und Drucker

Das DSL-Modem ist abschaltbar, so dass die Fritz-Box auch als einfacher Router an Kabelanschlüssen oder direkten Internetzugängen eingesetzt werden kann.

Für die ersten Konfigurationsschritte benötigt man einen Rechner, der so eingestellt ist, dass er seine IP-Adresse per DHCP beziehen kann. Der DHCP-Server auf der Fritz-Box ist ab Werk aktiv.

Die Box benutzt in der Grundeinstellung das Netz 192.168.178.X.

Die Box selber besitzt hier die IP-Adresse 192.168.178.1 und verteilt IP-Adressen ab 192.168.178.20. Schließt man also erstmalig einen Computer an die Box an, so bekommt dieser also die IP-Adresse 192.168.178.20. Dabei merkt sich die Box die vergebenen Adressen, der Computer wird also auch bei jeder weiteren Verbindungsaufnahme immer wieder diese IP-Adresse bekommen.

Die Box besitzt zusätzlich die IP-Adresse 169.254.1.1, die nicht verändert werden kann, über diese IP-Adresse ist sie auch bei schweren Konfigurationsfehlern weiter erreichbar.

Verbindet man den Computer per LAN-Kabel, so sollte man vorsichtshalber die LAN-Buchse 1 vermeiden, da diese in manchen Konfigurationen eine besondere Funktion bekommt. Beim Anschließen der Fritz!Box kann eine momentan vorhandene Internet-Verbindung über WLAN oder eine andere Netzwerkkarte verloren gehen, da in der Regel die Default-Route auf die Box gesetzt wird. Erst wenn diese erfolgreich ins Internet gebracht wurde, besteht wieder eine Verbindung.

Die Fritz-Box erreicht man, indem man im Browser die Adresse http://192.168.178.1 oder einfach http://fritz.box eingibt.

FritzBox1.png

Auf die Assistenten will ich hier nicht eingehen, sondern gleich auf die notwendigen Punkte in den einzelnen Menüs. Wobei mir die Menüführung der Fritz!Box nicht immer ganz logisch zu sein scheint.

Klick man auf den oben befindlichen Links Startmenü, so landet man nach einer Warnung, dass man so den Assistenten abbricht, in einem Menüzweig, der normalerweise mit Übersicht beschriftet ist.

FritzBox2.png

Hier bekommt man einen aktuellen Überblick über die momentane Situation der Box. Man kann erkennen, dass auch WLAN aktiv ist, aber mit WPA gesichert. Das zufällig erzeugte Passwort könnte man übrigens direkt per USB auf einen Fritz-WLAN-Stick übertragen.

Man sieht hier übrigens auch, dass der Computer an die Buchse LAN 2 angeschlossen ist (s.o.).

Von dieser Übersichtseite aus kann man auch die einzelnen Komponenten der Box konfigurieren.

Klickt man oben auf der Seite auf den Link Einstellungen, so landet man im Menüzweig Erweiterte Einstellungen, der für die Konfiguration gedacht ist.

FritzBox3.png

Von hier aus kann man systematisch die einzelnen Komponenten der Box konfigurieren.

Rechts oben auf der Seite finden sich immer vier kleine Icons. Das erste Icon, das mit dem Haus hat die gleiche Funktion wie der Link Startmenü, man kommt auf die Seite Übersicht. Das nächste Icon führt zur Sitemap genannten Übersicht über alle eingebauten Funktionen.

FritzBox4.png

Diese Seite ist eine große Hilfe, wenn man sich schnell orientieren will. Die weiteren Icons sind hier weniger wichtig, sie führen zu einer Druck-Funktion bzw. den Hilfe-Seiten auf der AVM-Homepage.

Im Auslieferungszustand zeigt die Fritz!Box nicht alle Konfigurations-Optionen. Das soll sicherlich Anfängern die Konfiguration erleichtern. Wer aber weiß, was er hier tut, der sollte möglichst als erste Konfigurations-Änderung diese Beschränkung aufheben.

Die entsprechende Einstellung findet sich unter Erweiterte Einstellungen -> System -> Ansicht

FritzBox5.png

Wie gesagt, die Menüstruktur ist nicht immer sehr übersichtlich. Setzt man hier also das Häkchen bei Expertenansicht aktivieren und klickt auf Übernehmen, so stehen alle Menüoptionen zur Verfügung. Die Menüstruktur verändert sich dadurch übrigens nicht, es handelt sich um Optionen innerhalb der einzelnen Menüs.

2. Protokoll-Ebene

Der vorherige Abschnitt über Router passt eigentlich schon nicht mehr richtig in die Hardware-Ebe­ne, zumindest wenn man diese auf die OSI Layer 1-2 beschränkt. Ab Layer 3 kommen Protokolle bzw. Protokollsätze hinzu.

Aufgabe der Protokollsätze ist es, eine wirkliche Kommunikation zwischen Arbeitsstationen herzu­stellen. Dazu gibt es in der Regel ein Protokoll, das auf der Vermittlungsebene (Layer 3) arbeitet (z.B. IP oder IPX) und die Nachrichten in kleine Stücke aufteilt und sich auch um die Adressierung kümmert. Auf der Gegenseite ist diese Protokollebene dafür zuständig die Datenpakete anzunehmen und wieder zusammenzusetzen.

Die Kommunikation auf der Vermittlungsebene ist normalerweise nicht gesichert, d.h. der Absender kümmert sich nicht darum, ob das Datenpaket auch beim Empfänger ankommt. Für die Sicherung der Datenverbindung sind dann die Protokolle (z.B. TCP bzw. SPX) auf der Transportebene (Layer 4) zu­ständig.

Die Tatsache, dass es unterschiedliche Protokoll-Standards gibt, hat einerseits mit der Konkurrenz zwischen verschiedenen Systemen zu tun, andererseits auch mit dem Bemühen einzelner Hersteller die Netzwerkkommunikation zu optimieren. Die Standards sind zwar nicht zueinander kompatibel, lassen sich aber gleichzeitig nebeneinander installieren.

Durch den Erfolg des Internets hat sich dessen Standardprotokollsatz TCP/IP auch zum Standard für lokale Netzwerke entwickelt (hat sogar Microsoft akzeptiert, und seit Wind98 berücksichtigt). Dies er­laubt eine problemlose Anbindung der lokalen Netze an das Internet.


2.1. Apple Talk

Dieser Protokollsatz fehlt oft in den Aufzählungen, da er im PC-Bereich keine Rolle spielt. Stan­dard ist bzw. war dieser Protokollsatz bei den Macintosh-Rechnern der Firma Apple. Für ein lokales Netz mit ge­mischten Systemen stellt das aber kein Problem dar, da die Macintosh-Rechner mit TCP/IP arbei­ten können und ein Linux-Server auch mit Apple Talk zurechtkommt.


2.2. Netware Protokolle

Die Firma Novell vertreibt Netzwerksoftware, die auf dem hauseigenen Protokollsatz IPX/SPX auf­setzt. Dieser Protokollsatz ist eine Weiterentwicklung eines Protokollsatzes aus dem Hause Xerox (Hinweis: Bei sehr vielen Entwicklungen aus dem Computerbereich landet man immer wieder bei Grundlagen aus den Laboren der Firma Xerox).

Der Netware Protokollsatz besteht u.a. aus:

  • IPX (Internet Packet Exchange), dem Protokoll, das auf der Netzwerkschicht dafür zuständig ist, Nachrichten zu adressieren und einen geeigneten Weg im Netzwerk zu suchen.
  • SPX (Sequenced Packet Exchange), dem Protokoll der Transportschicht, das die Datenpakete in der richtigen Reihenfolge überträgt und auf Fehlerfreiheit achtet.


2.3. NetBEUI

Das NetBIOS (Network Basic Input/Output System) war Grundlage des ersten lokalen Netzwerksyst­ems von IBM. NetBIOS und NetBEUI (NetBIOS Extended User Interface) waren jah­relang auch Grundlage der Netwerkstrategie von Microsoft. Lange Zeit war NetBEUI das Standard­protokoll auf allen Windows-Installationen. Das Protokoll TCP/IP konnte nur nachträglich instal­liert werden. Erst mit Wind98 ist auch bei Microsoft-Betriebssystemen TCP/IP das Standardproto­koll. Dieser Um­schwung hat damit zu tun, dass NetBEUI nicht für größere Netzwerke geeignet ist, da es kein Rou­ting-Protokoll gibt und das ganze System mit Broadcasts arbeitet, was die Weiterlei­tung in größeren Netzen behindert.

Auf Windows-Rechnern wird heute ein Teil der NetBEUI-Funktionalität über TCP/IP realisiert. (NetBIOS über TCP/IP).

Ein paar Besonderheiten von NetBEUI.

  • Name Support: In NetBEUI-Netzen wird jeder Rechner über einen Namen angesprochen. Dieser Name darf 16 (bei WfW und NT 15) Zeichen lang sein und muss im Netz eindeutig sein. Wird ein Rechner ans Netz gebracht, so schickt er per Broadcast seinen Namen an alle anderen Rech­ner und bittet um Registrierung. Wenn kein Rechner protestiert (z.B. wenn er den Namen schon benutzt), dann kann der Rechner ins Netz und den Namen benutzen.
  • SMB-Protokoll: Das Service Message Block Protokoll (SMB) dient der Strukturierung der ge­sendeten und empfangenen Daten. Diese werden dann mittels NETBIOS übertragen.
  • Redirector: Der Redirector stellt Anwendungen Dienste wie Netzlaufwerke und Netzdrucker zur Verfügung. Greift der Anwender z.B. auf ein Netzlaufwerk zu, so wird diese Anfrage vom Redi­rector abgefangen und in eine SMB-Anfrage an den entsprechenden Fileserver weitergeleitet.

2.3.1. SMB/Samba

Samba ist ein Programmpaket unter Linux/Unix, das sehr dynamisch weiterentwickelt wird.

Rechnernetze-samba.png

Es dient dazu, den Windows-Rechnern NetBI­OS-Dienste per TCP/IP von Linux aus zur Verfügung zu stellen.

Das Samba-Paket besteht vor allem aus dem smbd (Session-Message-Block-Demon, Ports 138 und 139) und dem nmbd (NetBIOS-Name-Server-Demon, Port 137). Der nmbd ist für An­fragen nach Windows-Namen zuständig. Alle anderen Aufgaben werden vom smbd wahrge­nommen.

Die Samba-Entwickler haben das Problem, dass viele der Spezifikationen von Microsoft nicht ver­öffentlicht wurden, diese Information­en also durch „reverse engineering“ ermit­telt werden müssen.

2.4. TCP/IP

Auch wenn es sich erst in den letzten Jahren zum Standard etabliert hat, so ist dies doch das älteste von den angesprochenen Protokollen.

Seine Grundlagen entstanden im Zusammenhang mit einem Projekt der DARPA (Defense Ad­vanced Research Projects Agency) im Jahr 1969. Dieses Projekt wurde als ARPA-Net Grundlage des Inter­net. Seit 1982 wird TCP/IP in Unix-Versionen integriert und seit 1983 Standard im ARPA-Net. Internet und Unix bilden seit dieser Zeit eine Symbiose.


2.4.1. Vermittlungsschicht/Netzwerkschicht

Grundlage ist das Protokoll IP (Internet Protocol). Es handelt sich hierbei um ein verbindungsloses Protokoll, das keinerlei Mechanismen zur Sicherung der Datenübertragung enthält. Bei den wenigen Großrechnern im ARPA-Net war das kein Problem. Mit der Ausweitung des Netzes kam dann auf der nächsten Ebene TCP dazu.

Zu den Aufgaben von IP gehört die Adressierung der Datenpakete. Dazu dient die IP-Adresse, die aus einer 4-Byte-Zahl besteht und auf die in einem gesonderten Kapitel eingegangen wird. Eine wei­tere Aufgabe von IP ist das Aufteilen der Daten in Pakete, die von der darunter liegenden Schicht (z.B. Ethernet) übertragen werden können, sowie das korrekte Zusammensetzen der übertragenen Pakete beim Empfänger.


2.4.2. Transportschicht

Auf dieser Ebene gibt es mehrere Protokolle.

  • TCP (Transmission Control Protocol) ist das bekannteste Protokoll auf dieser Ebene. Es setzt auf IP auf und ist verbindungsorientiert. Bevor mit der eigentlichen Datenübertragung begonnen wird, wird zunächst eine Verbindung zum Empfänger aufgebaut. Dann erst werden die Datenpa­kete ab­geschickt und vom Empfänger quittiert. Bleibt diese Empfangsbestätigung aus, so wird das ent­sprechende Paket erneut versandt. Hierdurch wird sichergestellt, dass die Datenpakete in der richti­gen Reihenfolge und vollständig beim Empfänger ankommen. Die Reihenfolge kann beim Versand verändert werden, da IP sich für jedes Paket einen anderen Weg durchs Netz su­chen kann, mit eventuell unterschiedlichen Laufzeiten.Nach erfolgreicher Datenübertragung wird die Verbindung zwischen den Rechnern wieder abge­baut. Die Verwaltung der Verbindung kostet natürlich Zeit und Übertragungskapazität. Daher gibt es für weniger sensible Verbindungen weitere Protokolle.
  • UDP (User Datagramm Protocol) ist ein verbindungsloses Protokoll. Es dient zum Übertragen von kurzen Nachrichten. Eine Nameserver-Anfrage gehört zu den Dingen, die über UDP abgewic­kelt werden. Wenn keine Antwort kommt, dann wird einfache eine neue Anfrage ge­stellt, eventu­ell an einen anderen Nameserver. Auch Streaming-Video und Netzwerkspiele arbei­ten oft mit UDP, hier geht es vor allem um die höhere Performance. Außerdem ist es hier nicht weiter tragisch bzw. sowieso nicht reparabel, wenn ein Datenpaket verloren ist.
  • ICMP (Internet Control Message Protocol) dient zum Transport von Fehler- und Diagnosemel­dungen im Netz. Versucht ein Rechner auf einen Port zuzugreifen, der nicht belegt ist, so wird die Fehlermeldung „Port unreachable“ per ICMP zurückgeschickt. Auch Routing-Informationen und der bekannte Ping werden über ICMP weitergeleitet.

3. Anwendungsebene

Bei TCP/IP ist es nicht ganz leicht die Layer oberhalb von der Transportebene zu unterscheiden. Spe­ziell die Trennlinie zwischen höherem Protokoll und Anwendung ist schwer zu ziehen. Aufsetzend auf TCP, UDP und ICMP gibt es eine Reihe weiterer Protokolle, die in der Regel mit Standarddiensten im Internet in Verbindung stehen. Bei den folgenden Protokollen ist jeweils der Standardport mit angegeben.


3.1.SMTP

SMTP (Simple Mail Transfer Protocol, Port 25) ist eines der ältesten Protokolle. Es setzt auf TCP auf und dient dazu Mail zu verschicken.

>telnet lern-server.de 25
<Trying 85.214.46.129...
<Connected to lern-server.de.
<Escape character is '^]'.
<220 h1427493.stratoserver.net ESMTP Postfix
>helo debacher.de
<250 h1427493.stratoserver.net
>mail from: <Test@Debacher.de>
<250 2.1.0 Ok
>rcpt to: <debacher@lern-server.de>
<250 2.1.5 Ok
>data
<354 End data with <CR><LF>.<CR><LF>
>Subject: Ein kleiner Test
>
>Hallo,
>ein kleiner Test.
>.
<250 2.0.0 Ok: queued as D3916820552
>quit
<221 2.0.0 Bye


Das Beispiel zeigt einen Dialog, wie er entstehen kann, wenn per Telnet eine Verbindung mit dem SMTP-Server aufgebaut wird.


Hinweis: Im Netz der Universität Hamburg ist der Port 25 generell gesperrt. Er ist lediglich auf dem Rechner mailhost.informatik.uni-hamburg.de zugänglich, der aber alle Mails von angemeldeten Be­nutzern annimmt.

Liegt die Empfänger-Mailbox nicht auf dem gleichen Rechner, so wird eine Verbindung zum Ziel­rechner aufgebaut. Die Mail wir hier zeilenweise im Quelltext übertragen, zwischen der Betreffzeile (bzw. den Headerzeilen) und dem eigentlichen Text muss eine Leerzeile stehen. Die Zeichen „<“ bzw. „>“ am Anfang der Zeile wurden von mir hinzugefügt, um anzuzeigen, ob die Zeile gesendet oder empfangen wurde.

Benutzt werden hier die Kommandos:

  • mail from:Danach wird der Absender angegeben
  • rcpt to:Danach folgt der Empfänger
  • dataHier folgt der eigentliche Text, beendet wird die Eingabe durch eine Zeile mit einem einzelnen Punkt.
  • quitBeendet den Dialog.


3.2. POP3

POP3 (Post Office Protocol, Port 110) kann sowohl mit TCP als auch mit UDP arbeiten. Es dient zum Abrufen von Mails aus der Mailbox. Wie auch beim SMTP läuft hier ein einfacher Textdialog und eine Datenübertragung ab. Man braucht eigentlich keinen Clienten dafür, sondern kann per tel­net mit dem Port kommunizieren:

Das folgende Listing zeigt einmal einen Dialog mit dem POP3-Server über Telnet.


    >telnet lern-server.de 110
    <Trying 85.214.46.129...
    <Connected to lern-server.de.
    <Escape character is '^]'.
    <+OK Dovecot ready.
    >user debacher@lern-server.de
    <+OK
    >pass *********            Achtung: Das Passwort steht hier im Klartext!!
    <+OK Logged in.
    >stat
    <+OK 1 1005
    >retr 1
    <+OK 1005 octets
    <Return-Path: <Test@Debacher.de>
    <X-Original-To: debacher@lern-server.de
    <Delivered-To: debacher@lern-server.de
    <Received: from localhost (localhost [127.0.0.1])
    <        by h1427493.stratoserver.net (Postfix) with ESMTP id 269F7820556
    <        for <debacher@lern-server.de>; Sat,  8 Nov 2008 21:24:25 +0100 (CET)
    <X-Virus-Scanned: amavisd-new at stratoserver.net
    <Received: from h1427493.stratoserver.net ([127.0.0.1])
    <        by localhost (h1427493.stratoserver.net [127.0.0.1]) (amavisd-new, port 10024)
    <        with ESMTP id 9XbVkWu12Qvj for <debacher@lern-server.de>;
    <        Sat,  8 Nov 2008 21:24:20 +0100 (CET)
    <Received: from debacher.de (debacher.eu [85.214.104.25])
    <        by h1427493.stratoserver.net (Postfix) with SMTP id D3916820552
    <        for <debacher@lern-server.de>; Sat,  8 Nov 2008 21:23:30 +0100 (CET)
    <Subject: Ein kleiner Test
    <Message-Id: <20081108202345.D3916820552@h1427493.stratoserver.net>
    <Date: Sat,  8 Nov 2008 21:23:30 +0100 (CET)
    <From: Test@Debacher.de
    <To: undisclosed-recipients:;
    <
    <Hallo,
    <ein kleiner Test.
    <.
    >dele 1
    <+OK Marked to be deleted.
    >quit
    <+OK Logging out, messages deleted.
    <Connection closed by foreign host.

Die Mail wir hier zeilenweise im Quelltext übertragen. Die Zeichen „<“ bzw. „>“ am Anfang der Zeile wurden wieder von mir hinzugefügt, um anzuzeigen, ob die Zeile gesendet oder empfangen wurde.

Benutzt werden hier die Befehle:

  • user Danach folgt ein gültiger Benutzername
  • pass Das Passwort des Benutzers
  • retr Lädt die Mail mit der angegebenen Nummer
  • dele Löscht die Mail mit der angegebenen Nummer
  • quit Beendet den Dialog


3.3. NNTP

Das NNTP (Network News Transport Protocol, Port 119) dient dazu News im System zu übertra­gen. Auch hier könnte man wieder über eine Telnet-Verbindung an den News-Server herankom­men.


3.4. Telnet

Telnet (keine Abkürzung, Port 23 ) dient dazu, sich auf einem entfernten Rechner als Benutzer ein­loggen zu können. Wird kein Port angegeben, so gilt der Standardport. Wie aus den vorangegangen­en Beispielen zu sehen ist, kann man aber auch mit anderen Diensten bzw. Ports kommunizie­ren.

Eine Telnetverbindung ist leicht abzulauschen, daher sollte man vor allem mit dem Root-Passwort sehr vorsichtig sein. Üblicherweise darf man sich nicht direkt als Root einloggen, sondern benötigt dazu erst einmal einen normalen Benutzeraccount, von dem aus man dann mit su zum Root-Ac­count wechselt.


3.5. SSH

Als Alternative zum Telnet bietet sich SSH (Secure Shell, Port 22) an, da hier die Daten verschlüs­selt übertragen werden. SSH erlaubt auch die Übertragung von Grafikdaten (X11), dazu muss es oft mit dem Parameter -X auf­gerufen werden.


3.6. FTP

FTP (File Transfer Protocol, Port 20 und 21) dient zum Transport von Dateien über das Netz. Heute werden die textbasierten Clienten dazu kaum noch benutzt, sondern eher Programme, die sich in der Bedie­nung am Windows-Explorer orientieren.Probleme bereitet oft die Tatsache, dass FTP mit zwei Ports arbeitet. Port 21 dient als Kommando-Kanal, die Daten tauschen die Rechner dann auf Port 22 aus.


3.7. HTTP

Sehr viel genutzt ist das HTTP (Hypertext Transfer Protocol, Port 80). Dieses Protokoll dient zur Übertragung von Webseiten samt Bildern, Sounds und anderen Komponenten. Natürlich ist auch die­ses Protokoll textbasiert und lässt sich per Telnet nutzen.

> telnet 192.168.1.1 80
<Trying 192.168.1.1...
<Connected to 192.168.1.1.
<Escape character is '^]'.
>HEAD / HTTP/1.0
>
<HTTP/1.1 200 OK
<Date: Sun, 31 Oct 2004 12:37:44 GMT
<Server: Apache/2.0.49 (Linux/SuSE)
<Content-Location: index.html.en
<Vary: negotiate,accept-language,accept-charset
<TCN: choice
<Last-Modified: Fri, 04 May 2001 00:01:18 GMT
<ETag: "db6f-5b0-40446f80;db85-961-8562af00"
<Accept-Ranges: bytes
<Content-Length: 1456
<Connection: close
<Content-Type: text/html; charset=ISO-8859-1
<Content-Language: en
<Expires: Sun, 31 Oct 2004 12:37:44 GMT
<
<Connection closed by foreign host.

Mit dem Kommando HEAD holt man sich nur Informationen über die angegebene Seite, mit GET kann man den Inhalt abrufen (das wäre aber für einen Ausdruck zu lang).


3.8. IMAP

Das Protokoll IMAP (Internet Message Access Protocol, Port 143) ist eine Alternative zum etwas angestaubten POP-Protokoll. Im Unterschied zu diesem belässt es die Mail generell auf dem Server, so dass es sich für Benutzer anbietet, die von unterschiedlichen Rechnern aus auf ihre Mails zugrei­fen wollen. Sofern die Internetanbindung schnell genug ist, bietet sich also IMAP an. Die meisten Server lassen eine recht flexible Organisation der Nachrichten in verschiedene Ordner zu.

Auch dieses Protokoll lässt sich per Telnet suchen, was wieder bei Problemen sehr nützlich sein kann. Etwas gewöhnungsbedürftig ist hier, dass jedes Kommando von einem Tag eingeleitet werden muss. Das ist eine kurze Zeichenkette, meist aus Ziffern, die bei jedem Kommando individuell sein soll. Im einfachsten Fall einfach eine aufsteigende Zahl.

>telnet lern-server.de 143
<Trying 85.214.46.129...
<Connected to lern-server.de.
<Escape character is '^]'.
<* OK Dovecot ready.
>01 login debacher@lern-server.de ****** <-- Achtung wieder Klartext
<01 OK Logged in.
>02 list "" "*"
<* LIST (\HasNoChildren) "." "INBOX"
<02 OK List completed.
>03 select inbox
<* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
<* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags permitted.
<* 1 EXISTS
<* 1 RECENT
<* OK [UNSEEN 1] First unseen.
<* OK [UIDVALIDITY 1226176135] UIDs valid
<* OK [UIDNEXT 3] Predicted next UID
<03 OK [READ-WRITE] Select completed.
>04 fetch 1 full
<* 1 FETCH (FLAGS (\Recent) INTERNALDATE "08-Nov-2008 21:36:17 +0100" RFC822.SIZE 1005 ENVELOPE ("Sat, 8 Nov 2008 21:35:40 +0100 (CET)" 
"Ein kleiner Test" ((NIL NIL "Test" "Debacher.de")) ((NIL NIL "Test" "Debacher.de")) ((NIL NIL "Test" "Debacher.de")) ((NIL NIL "undisclosed-recipients" NIL)(NIL NIL "" "MISSING_DOMAIN")(NIL NIL NIL NIL)) NIL NIL NIL
"<20081108203552.D36BF820552@h1427493.stratoserver.net>") BODY ("text" "plain" ("charset" "us-ascii") NIL NIL "7bit" 27 2))
<04 OK Fetch completed.
>05 fetch 1 body
<* 1 FETCH (BODY ("text" "plain" ("charset" "us-ascii") NIL NIL "7bit" 27 2))
<05 OK Fetch completed.
>06 fetch 1 body[text]
<* 1 FETCH (FLAGS (\Seen \Recent) BODY[TEXT] {27}
<Hallo,
<ein kleiner Test.
<)
<06 OK Fetch completed.
>07 logout
<* BYE Logging out
<07 OK Logout completed.
<Connection closed by foreign host.


3.9. Was sind Ports?

In den vorangegangenen Abschnitten tauchte mehrfach der Begriff Port auf. Portnummern sind nichts weiter als eine Erweiterung der IP-Adresse zur Adressierung eines Dienstes (Programmes) auf dem angesprochenen Rechner. Auf einem Kommunikationsserver laufen alle Serverprogramme für Mail, News, FTP ... gleichzeitig und warten auf Anfragen. Welches Serverprogramm zuständig ist wird an­hand der Portnummer ausgewertet.

Die Portnummer ist eine 16-Bit Zahl, insofern stehen maximal 65536 Ports zur Verfügung. Die Portnummern 1 bis 1024 werden für Standarddienste (s.o.) benutzt und sollten nicht ohne besonde­ren Grund verändert werden.

Der Zusammenhang zwischen Programm und Portnummer wird in der Datei /etc/services festgelegt.


3.10. Wer darf Mails abliefern?

In der Anfangszeit des Internet haben sich alle Server gegenseitig vertraut, auch die Mailserver. In den letzten Jahren haben aber die Probleme mit Spam deutlich zugenommen, so dass heute ein ge­sundes Misstrauen unerlässlich ist.

Ein ordentlicher Mailserver nimmt Mails nur dann an, wenn sie eines der Kriterien erfüllen:

  1. Sie stammen von einem Rechner aus dem lokalen Netzwerk.
  2. Sie sind für einen Empfänger auf dem lokalen System bestimmt.
  3. Der Einlieferer konnte sich erfolgreich authentifizieren.

Der Begriff Spam stand übrigens ursprünglich für Dosenfleisch, entstanden aus SPiced hAM. Da dieses Dosenfleisch nicht überall beliebt war, gibt es im Amerikanischen eine Redewendung der Art „so unnötig wie Spam“. Im Zusammenhang mit Kommunikationsnetzen hat sich dieser Begriff für unerwünschte Nachrichten und Mitteilungen fest etabliert. Konsequenterweise werden von manchen Spam-Filtern gute Nachrichten als Ham bezeichnet.

In der Anfangszeit haben die Spammer, also diejenigen die Spam-Nachrichten verschicken, ihren Müll vom eigenen Rechner aus verschickt. Das ließ sich dadurch unterbinden, dass man Listen ge­pflegt hat mit den Adressen dieser Rechner. Seitdem suchen sich die Spammer fremde Rechner, über die sie ihren Müll verschicken können. Dazu suchten Sie ursprünglich im Internet nach Rech­nern, die generell alle Mails annehmen. Die Zahl dieser schlecht konfigurierten Rechner ist aber rückläufig. Heutzutage werden Spam-Mails meist über Rechner verschickt, auf denen heimlich ein entsprechendes Programm installiert wurde. Viele private Rechner, vor allem solche mit guter Inter­netanbindung, sind inzwischen mit einem derartigen Trojaner infiziert. Der Hersteller dieses Troja­ners kann dann den Rechner nutzen, um seine Nachrichten darüber zu verschicken. Ein ordentlicher Mailserver sollte heutzutage daher keine Mails mehr von Rechnern annehmen, die nur über eine dy­namische IP-Adresse verfügen.

Wenn ich am heimischen Rechner eine Mail versenden möchte, so muss ich einen Rechner im Inter­net finden, der mir die Mail abnimmt und sie weiterleitet. Der Rechner muss mich dazu aber ken­nen. Relativ leicht ist das für die Einwahlprovider wie Hansenet oder T-Online. Wenn ich über die eingewählt bin, dann bin ich über die IP-Adresse bekannt, quasi im lokalen Netz, darf also Mails beim zuständigen Mailserver abliefern.

Schwieriger ist das bei Mail-Anbietern, über die ich mich nicht einwähle, wie z.B. 1&1 oder Web.de. Das SMTP-Protokoll sieht ursprünglich keine Authentifizierung vor. Lange zeit hat man daher Ver­fahren wie SMTP after POP genutzt. Der Benutzer musste zuerst Mails abrufen, hierbei muss er sich ja authentifizieren, danach konnte von der gleichen IP-Adresse aus einige Zeit auch Mail ver­sandt werden.

Heutzutage kennen viele Server SMTP-Erweiterungen wie SASL (Simple Authentication and Secu­rity Layer), die derartige Tricksereien überflüssig machen. Bei SASL übermittelt der Client statt der Zeile

 HELO <absenderdomain>

die Zeile

EHLO <absenderdomain>

womit die erweiterten Funktionen aktiviert werden. Nun kann sich der Client mittels

auth plain <codiertes Passwort>

Die Benutzerdaten werden hierbei nicht zwingend verschlüsselt, aber Base64 kodiert. Wer Perl zur Verfügung hat, kann die Kodierung vornehmen per

perl -MMIME::Base64 -e 'print encode_base64("benutzer\@virt.domain\0benutzer\@virt.domain\0passwort");'

Die entstehende Zeichenkette übergibt man dann hinter auth plain.

Alle bisherigen Maßnahmen führen aber nicht dazu, dass Mail ein wirklich zuverlässiges Kommunikationsmedium wird. Man kann sich normalerweise nicht sicher sein, dass die Nachricht wirklich von dem angegebenen Absender stammt und auch nicht, dass die Mail auf ihrem Weg nicht verändert wurde.

Lediglich durch eine Verschlüsselung der Mail lässt sich über kryptografische Methoden sicherstellen, dass der Absender stimmt und der Inhalt nicht verfälscht wurde. Dazu muss man nicht die Mail vollständig verschlüsseln, sondern nur eine Prüfsumme über die Mail, das bezeichnet man als Signieren der Mail.

Will man seine eMails signieren oder verschlüsseln, so benötigt man ein passendes Paar aus öffentlichem und privatem Schlüssel. Aktuell gibt es dafür zwei unterschiedliche Systeme:

  • PGP
  • S/MIME

Bei dem ersten Verfahren erzeugt man das Schlüsselpaar in der Regel auf dem eigenen Rechner und benutzt dazu die Software GNUPG. Das System ist vollkommen kostenlos, man muss sich aber selber darum kümmern den eigenen öffentlichen Schlüssel bekannt zu machen, bzw. die öffentlichen Schlüssel der Kommunikationspartner zu bekommen. Erleichtert wird der Schlüsselaustausch durch öffentliche Server wie pool.sks-keyservers.net, subkeys.pgp.net und pgpkeys.pca.dfn.de. Normalerweise erfolgt die Kommunikation mit den Keyservern über Port 11371, falls der nicht benutzbar ist gibt es auch Webfrontends, z.B. http://wwwkeys.de.pgp.net/. Eine Beschreibung findet sich auf den Seiten von Enigmail http://enigmail.mozdev.org/home/index.php dem OpenPGP Plugin für Thunderbird.

Das zweite Verfahren ist hierarchisch organisiert. Hier gibt es zentrale Zertifizierungsstellen, die die öffentlichen Schlüssel aufbewahren und verteilen. Diese zentralen Stellen sind in der Regel in den Mail-Programmen und Browsern bereits eingetragen, so dass die Schlüssel ohne weitere Interaktion bezogen werden. Schickt man eine mit solche einem Schlüssel signierte Mail, so kann die Software des Empfängers die Gültigkeit der Signatur automatisch überprüfen.

Leider sind S/MIME Zertifikate in der Regel kostenpflichtig. Es gibt aber einige Anbieter, die Privatleuten kostenfreie S/MIME Zertifikate der Cass 1 anbieten. Bei Class 1 ist nur die Mail-Adresse überprüft. Bisher habe ich folgende Anbieter mit entsprechenden Angeboten finden können:

Eine sehr schöne Anleitung für den Umgang mit S/MIME findet sich unter http://www.thunderbird-mail.de.