Rechnernetze Verteilte Systeme Glossar A-Z

A

AES (Advanced Encryption Standard)
- Nachfolger von DES

Adressierung im TCP/IP
- unicast = an genau 1 Ziel
- multicast = an Gruppe von Zielen
- broadcast= an alle Ziele
- jeder Rechner bekommt eindeutige 32-Bit Internet Adresse (IP-Adresse)
- besteht aus Netzwerk- und Rechnerfeld
- alle Rechner in einem Netzwerk haben das gleiche Netzwerkfeld in IP-Adresse
- 3 Klassen von Adressen: A für grosse, B für mittlere, C für kleine Organisationen
- Daten S. 31

Adressierung in der Transportschicht
- rechnerinterne Verteilung von Paketen
- Port (16 Bit Nummer) bezeichnet die Verbindung zw. d. Benutzerprozess u. d. TCP/IP Software
- Server wartet auf Client
- Client definiert Server durch Internet Adresse (bekannt) und Port
- bestimmte Dienste haben festen Port (z.B. FTP)

Adressierung der unteren Ebene
- IP-Datagramme in "Ethernet-Frames"
- Ethernetadresse (48 Bit, für jeden Hersteller eindeutig)
- S. 35

AH-Header
- überprüft Integrität und Authentizität (Veränderungen, Fälschungen)
- durch kryptografische Prüfsumme
sieh: ESP, Beide Header können im Transport- oder Tunnelmodus betrieben werden:

ARP (Adress Resolution Protocol)
- zur Umsetzung von Internetadressen in physikalische des Netzwerks
- A will B Daten senden
- ARP-Broadcast mit Internetadresse von B
- Rechner B erkennt sich und schickt seine physikalische Adresse an Quelle des ARP-Requests
- A trägt Internet und physikalische Adresse in ARP-Cache ein#
- S. 36
sieh: RARP

Assymetrische Kryptosysteme
- Schlüsselpaar (privater und öffentlicher Schlüssel)
RSA-Verfahren:
- Sclüssel durch Funktionen zweier grosser Primzahlen (langsam)
- Daten siehe S. 5
sieh: Symmetrische Stromchiffren

Authentifizierung im Internet
- Passwort-Verfahren
- Einmalpasswort-Verfahren (wird nur einmal verwendet)
- Challenge-Response-Verfahren (mit übersendetem Zufallswert muss der Benutzer mit seinem geheimen Schlüssel eine kryptografische Operation ausführen, Ergebnis wird zurückgesandt und verglichen)
- Kerberos siehe S. 12

B

Berkeley Socket Schnittstelle
- gehört zur Transportschicht
- ermöglicht Kommunikation zw. Prozessen mit unterschiedlichen Kommunikations-Protokollen
- S. 5 – 10 Programmcode

Bridge
- Layer 2
- verbindet LANs mit versch. physik. Schichten
- Strukturierung des Netzes in kleinere Subnetze
- höhere Verzögerungszeiten als bei Repeater
- eindeutige Adressen notwendig
- verringern Gesamtbandbreite des Netzes

C

CBC-Modus (Cipher Block Chaining)
- 64-Bit Blöcke
- jeder Block wird mir Resultat des Vorgängerblocks bitweise modulo 2 (XOR) addiert
sieh: EBC

Clientanforderung
- ein Server-Prozess(sequentiell): zeitaufwendig
- Erzeugung neuer Server-(Sub)Prozesse oder Threads

D

DES (Data Encryption Standard)
- Blockchiffre (64 Bit Blockverschlüsselung)
- jedes 8. Bit ist Paritätsbit (effektive Sclüssellänge also 56 Bit)
- 16 Iterationen
- besser Triple-DES:
- 3 Schritte (Encryption (K1), Decryption (K2), Encryption (K3) EDE)
- kann effektiv 168 Bit, oder 112 Bit (bei K3=K1)
- verschiedene Modi

Digitale Unterschrift (Signatur)
- Garantie der Verbindlichkeit und Integrität eines Dokumentes

DSA (Digital Signature Algorithm)
- benutzt als Hash-Algorithmus SHA
- S. 9

E

ECB-Modus (Electronic Code Book)
- Zerlegung des Klartextes in 64-Bit Blöcke
- nacheinander Veschlüsselung mit gleichem Schlüssel (unsicher)
sieh: CBC

ESP-Header
- kapselt zu schützende Daten ein und verschlüsselt diese bei Bedarf
sieh: AH, Beide Header können im Transport- oder Tunnelmodus betrieben werden:

Ethernet
- es kann zu einem Zeitpunkt nur einer senden (CSMA/CD-Protokoll)
- sendewillige Station hört Übertragungskanal ab (Listen before talking)
- bei Übertragung weiter abhören um auftretende Kollisionen zu bemerken ( Abbruch)
- erneuter Sendeversuch nach zufälliger Wartezeit (max. 16 mal)
- W = i * t
- 0<= i >=2 hoch k, mit k = Min(n,10) und n = Anz. d. Wdh. der Kollisionen (bis max. 10)
- T = 51,2 Mükrosek.
- zwischen zwei Stationen dürfen max. 4 Repeater
- max. Netzsegmentanzahl ist 5 (3 für Stationen, 2 Linksegemente für Überwindung grösserer Distanzen)
- Linksegemente max. 1000m lang
- Ethernet-Controller ist Schicht 2

F

FTP (File Transfer Protocol)
- Transport v. Dateien
- meistens Client-Server

G

Gateways (Router)
- Übertragung von Paketen von einem Ntzwerk ins andere
- Übertragungsprozess so lange bis Router im gleichen Netzwerk gefunden
- S.40

H

Handshake-Protocol
- Einigung bei Client und Server über zu verwendenden Algorithmus
- Aushandlung über gemeinsamen Schlüssel
- Ausführung am Anfang der Verbindung (durch Clienten, oder nach Aufforderung vom Server)
- Siehe S. 13-14

HTTP (Hypertext Transfer Protocol)
- Standardprotokoll d. Internets
- Datenübertragung zw. Client und Server
- Connection, Request, Response, Close
- S-HTTP: Sicherheitserweiterungen

Hub
- Layer 1
- Stern-Topologie(wesentlich sicherer gegen Ausfälle)
- Stationen müssen Gesamtbandbreite d. Netzes teilen

I

ICMP (Internet Control Message Protocol)
- Verwaltung v. Netzwerken, um Fehler zu melden
- Bestandteil des IP
- siehe Datenblatt (S. 19u.)

IKE (Internet Key Exchange)
- Sammlung von Übertragungsmöglichkeiten der Sicherheitsassoziationen
- z.B. ISAKMP (Verwaltung von SA und Schlüsselaustausch):
- benutzt UDP (Port 500)
- weiter S. 23 bis 28

IP (Internet Protocol)
- Transport v. daten über mehrere Netzwerke zuständig
- nimmt Datensegmente vom TCP oder UDP entgegen und packt sie in Pakete (Datagramme)
- Bestimmung eines Leitwegs zum Ziel
- Adressierungsmechanismus zur Wegewahl
- Datagramm besteht aus datenteil und Header, der Quell- und zieladresse beinhaltet (siehe Datenblatt)
- kann sie in mehrere kleinere Datagramme unterteilen (Fragmentierung)
- Zusammensetzung am Zielrechner
- keine Überprüfung des Empfangs
- S. 17 bis 19o.!

IPSec
- Verschlüsselung, gesicherte Prüfsumme, Identifikation des Absenders
- Security Association (Zieladresse, Verfahren d. Verschlüsselung, akt. Schlüssel, Gültigkeitsdauer, Parameter)
- zur verschlüsselung wurde neuer IP-Header entworfen (ESP)
- verschlüsselte Nutzdaten mit lesbaren Adresse
- komplette Verschlüsselung (alles in ein ESP-Paket und dann mit neuem IP-Header --> Tunnelmudus)
- [interne Netzadressen werden vom Router in offizielle IP-Adressen umgesetz (-->nur eine offiz. IP-Adresse)]
- Authentifikation mit eigenem IP-Header -->AH
- S. 21

IPv6/IPSec
- Sicherheitserweiterungen des IP durch Implementierung des Ahs und der ESP

J

K

Keyed- / HMAC-Hashes
- als Eingabewert für die Hash-Funktion dient der gemeinsame Schlüssel und das gesamte IP-Datagramm
- der somit errechnete Hash-Wert wird dann mit dem gemeinsamen Schlüssel für die Berechnung des endgültigen Hash-Wertes verwendet
- die 96 höchstwertigen Bits sind de Authentication-Code

Kryptografische Prüfsummenverfahren
- erzeugen „Fingerabdruck“
- aus Nachricht m wird Wert h mittels einer Hash-Funktion gebildet: h = H(m)

Kryptologie
Die Lehre der Ver- und Entschlüsselung
- Sicherheitsanforderungen an Informationssysteme
- Vertraulichkeit (nur für berechtigten Empfänger lesbar)
- Authentifikation (Empfänger kann Absender feststellen)
- Verbindlichkeit (Herkunft der Daten ist nachvollziehbar)
- Integrität (Empfänger kann Manipulation der Daten feststellen)

L
M

MTU
- Es gibt unterschiedliche Festlegungen über die maximale zulässige Länge eines Paketes aus über ein Netz transportiert wird. Dieser Wert ist „Maximum Transfer Unit“. Größere Pakete werden dann fragmentiert und erst wieder am Ziel zusammen gesetzt. (Layer 3)

MSS
- Maximum Segment Size: Größte Nutzdatenmenge, die in ein TCP/IP-Paket passt
MSS = 1500 – IPHeader(20) – TCPHeader(20) = 1460 Bytes. (Layer4)
N

NAT (Network Adress Translation)
- Unterscheidung in Source (SNAT) und Destination (DNAT)
- DNAT Austausch der Zieladresse des ersten IP-Pakets
- SNAT Austausch der Quell-Adresse des ersten IP-Pakets
- S. 38

NNTP (Network News Transport Protocol)
- Übertragung von Usenet News über das Internet

O

OSI-Referenzmodel

OSPF (Open Shortest Path First)
- soll Nachteile von RIP beheben
- jeder Router besitzt kompl. Informationen über d. Netztopologie einschl. der Kosten

P

PDU (Protocol Data Units)
- Protocol Data Units sind die Protokolleinheiten, die den Datenaustausch zwischen den Partnerinstanzen ermöglichen.
- PDU wird von der darrunterliegenden Schicht als SDU= Service Data Unit bezeichnet

Q

R

RARP (Reverse Adress Resolution Protocol)
- Umsetzung von physikalischen nach Internet-Adressen
- senden eines Broadcast-RARP mit physikalischer Adresse
- Empfang von RARP-Servern
- Vergleich mit Adresse in Tabelle (physik.+Internet)
- Zurücksendung an Quelle des Broadcasts
sieh: ARP

Record Protocol (setzt auf TCP auf)
- eigentliche Datenübertragung auf (Record Layer)
- Aufteilung der Daten in Fragmente
- Berechnung des Message Auth. Code (MAC)  schlüsselabh. Einweghashfunktion
- S. 15

Repeater
- Layer 1
- empfängt, verstärkt, gibt Signale weiter
- keine Bitübertragungsfehlererkennung
- durch Segmentierung d. Netzes leichtere Fehlersuche
- max. 4 Repeater zw. 2 Stationen
- zählt als Node im Netzwerk

RIP (Routing Information Protocol)
- Gateway sendet regelmässig seine Tabelle als Broadcast
- wird von allen Gateways im lokalen Netzwerk mitgehört -->aktualisierung
- Systemeinteilung in passive (nur akt.) und aktive (Wissen weiterschicken) RIP-Teilnehmer
- wird mit UDP transportiert
- Daten S. 42u.-S. 44o.

RMI (Remote Method Invocation)
- RPC-Variante
- Kommunikation zw. verteilten Objekten mittels Methodenaufrufe
- S. 12 -20

Router
- Layer 3
- verbindet versch. Netzwerke
- benötigt aber gleiche Adressierungsmechanismen
- arbeitet nicht mit MAC- sondern mit IP-Adressen
- grössere verzögerungszeiten als bei Bridges
- als Firewall verwendbar (IPs sperren)

Routing-Tabellen
- enthält paarweise Einträge aus Netzwerkadressen und zugehörigem Gateway
- S.41

Routing-Protokolle
- für Aktuallisierung der Tabellen zuständig
- Intradomain (innerhalb Verantwortungsbereich) z.B. RIP, OSPF
- Interdomain (versch. Netzbetreiber) z.B. EGP, BGP

RPC (Remote Procedure Call)
- synchrone Datenübergabe von Prozeduraufrufen zw. Programmen in unterschiedl. Adressräumen

S

SAP (Service Access Point)
- Service Access Point ist die Schnittstelle zwischen den einzelnen Schichten

Server
- zustandlos: Client muss alle notwendigen Parameter übergeben
- zustandsbehaftet: verwalten Zustandsinformationen über Anforderung des Client

SHA (Secure Hash Algorithm)
- Jede Eingabe wird als Ausgabe der Länge 160 Bit produziert (Message Digest)
- S. 7u – 8

SMTP (Simple Mail Transfer Protocol)
- für emails in TCP/IP

SNMP (Simple Network Management Protocol)
- Netzwerkmanagmentsystem (von Routern, Servern,...)

SSL (Secure Socket Layer)  / TLS (Transport Layer Security)
- Sicherheitsprotokoll (von Netscape)
- Layer 4 (unabhängig von Anwendung)
- Authentizität, Vertraulichkeit, Integrität
- 2 Schichten

Switch
- Layer 2
- bessere Nutzung der bandbreite in jedem Segment
- Erhöhung des Netzdurchsatzes
- Cut-Through (untersucht nur die ersten Bytes)
- Store-and-Forward (durchsucht ges. Paket)

Subnetz Adressierung
- wegen zu grosser Adressverwaltung und Routingtabellen eingeführt
- jede Organisation bekommt nur noch eine Netzwerkadresse
- das Rechnerfeld (lokales Feld) der Adresse wird unterteilt in: Netzwerkfeld, Subnetzfeld und Rechnerfeld

Subnetzmaske
- Unterteilung des lokalen Adressfelds in Subnetz- und Rechnerteil
- Rechnerteil weist Null-Bits auf
- im Kommunikationsfall wird verglichen ob Zielrechner im gleichen Netzwerk ist -->
- Ausblendung d. Rechneranteils bei Zieladresse mit Hilfe der Subnetzmaske

Supernetzbildung
- durch Adressknappheit --> Zusammenfassung von mehreren C-Adressen -->grosse Routertabellen
- Bündel von Adressen durch einheitliche Supernetzmaske
- Bitfolge welche aus dem Netzadressteil die gemeinsamen Bits auswählt
- S. 33

Symmetrische Stromchiffren
- jeder Klartextdatenstrom wird in entsprechenden Schlüsseltextdatenstrom transformiert
- Schlüsselbits werden nacheinander XOR verknüpft
- Schlüsselstromgenerator
- RC4 (variable Schlüssellänge)
sieh: Asymmetrische Kryptosysteme

T

Telnet Protocol
- Simulation eines Terminals zwischen Client und Server (z.B. PC)

TCP (Transmission Control Protocol)
- verlässliche Kommunikation zw. Prozessen
- Transport fehlerfrei ohne Duplikate
- Unterteilung der daten in Segmente und übergibt sie an das IP
- Zurückgabe am Zielrechner (Überprüfung auf fehlerfreie Übertragung)
- siehe Datenblatt (S. 20 und folgende)

TCP/IP
- grosse Protokollfamilie

Transportmodus
- nur IP-Datagramme aus höheren Schichten werden geschützt

Tunnelmodus
- Schutz des ges. IP-Pakets inkl. aller Headerinformationen
- -->Verpackung in ein neues IP-Paket
- S. 29 Daten

U

UDP (User Datagram Protocol)
- keine Fehlererkennung oder Korrektur
- weniger aufwendiger Verbindungsaufbau
- siehe Datenblatt (S. 26)

V

VPN (Virtual private Network)
- Simulierung eines priv. Netzes in einem öffentl. Netz
- Authentifizierung (Benutzername, Passwort)
- Strenge Auth. mit gem. Schlüssel durch Hashfunktionen
- Verschlüsselung der Daten (Secret-Key- oder Public-Key-Verschlüsselung)
- Tunneling (IP-Pakete in andere IP-Pakete kapseln)
- End-to-End (sicher, beide Hostst müssen VPN-Software haben)
- Site-to-Site (Austausch zweier Intranet über Internet, über Gateway)
- End-to-Site (von aussen ins Firmennetz, Tunnel zwischen Gateway und Client)

W
X
Y
Z