Rechnernetze Verteilte Systeme Glossar A-Z
A
AES (Advanced Encryption Standard)
- Nachfolger von DES
Adressierung im TCP/IP
- unicast = an genau 1 Ziel
- multicast = an Gruppe von Zielen
- broadcast= an alle Ziele
- jeder Rechner bekommt eindeutige 32-Bit Internet Adresse (IP-Adresse)
- besteht aus Netzwerk- und Rechnerfeld
- alle Rechner in einem Netzwerk haben das gleiche Netzwerkfeld in IP-Adresse
- 3 Klassen von Adressen: A für grosse, B für mittlere, C für kleine
Organisationen
- Daten S. 31
Adressierung in der Transportschicht
- rechnerinterne Verteilung von Paketen
- Port (16 Bit Nummer) bezeichnet die Verbindung zw. d. Benutzerprozess u. d.
TCP/IP Software
- Server wartet auf Client
- Client definiert Server durch Internet Adresse (bekannt) und Port
- bestimmte Dienste haben festen Port (z.B. FTP)
Adressierung der unteren Ebene
- IP-Datagramme in "Ethernet-Frames"
- Ethernetadresse (48 Bit, für jeden Hersteller eindeutig)
- S. 35
AH-Header
- überprüft Integrität und Authentizität (Veränderungen, Fälschungen)
- durch kryptografische Prüfsumme
sieh: ESP,
Beide Header können im Transport- oder Tunnelmodus betrieben werden:
ARP (Adress Resolution Protocol)
- zur Umsetzung von Internetadressen in physikalische des Netzwerks
- A will B Daten senden
- ARP-Broadcast mit Internetadresse von B
- Rechner B erkennt sich und schickt seine physikalische Adresse an Quelle des
ARP-Requests
- A trägt Internet und physikalische Adresse in ARP-Cache ein#
- S. 36
sieh: RARP
Assymetrische Kryptosysteme
- Schlüsselpaar (privater und öffentlicher Schlüssel)
RSA-Verfahren:
- Sclüssel durch Funktionen zweier grosser Primzahlen (langsam)
- Daten siehe S. 5
sieh: Symmetrische Stromchiffren
Authentifizierung im Internet
- Passwort-Verfahren
- Einmalpasswort-Verfahren (wird nur einmal verwendet)
- Challenge-Response-Verfahren (mit übersendetem Zufallswert muss der Benutzer
mit seinem geheimen Schlüssel eine kryptografische Operation ausführen, Ergebnis
wird zurückgesandt und verglichen)
- Kerberos siehe S. 12
B
Berkeley Socket Schnittstelle
- gehört zur Transportschicht
- ermöglicht Kommunikation zw. Prozessen mit unterschiedlichen
Kommunikations-Protokollen
- S. 5 – 10 Programmcode
Bridge
- Layer 2
- verbindet LANs mit versch. physik. Schichten
- Strukturierung des Netzes in kleinere Subnetze
- höhere Verzögerungszeiten als bei Repeater
- eindeutige Adressen notwendig
- verringern Gesamtbandbreite des Netzes
C
CBC-Modus (Cipher
Block Chaining)
- 64-Bit Blöcke
- jeder Block wird mir Resultat des Vorgängerblocks bitweise modulo 2 (XOR)
addiert
sieh: EBC
Clientanforderung
- ein Server-Prozess(sequentiell): zeitaufwendig
- Erzeugung neuer Server-(Sub)Prozesse oder Threads
D
DES (Data Encryption Standard)
- Blockchiffre (64 Bit Blockverschlüsselung)
- jedes 8. Bit ist Paritätsbit (effektive Sclüssellänge also 56 Bit)
- 16 Iterationen
- besser Triple-DES:
- 3 Schritte (Encryption (K1), Decryption (K2), Encryption (K3) EDE)
- kann effektiv 168 Bit, oder 112 Bit (bei K3=K1)
- verschiedene Modi
Digitale Unterschrift (Signatur)
- Garantie der Verbindlichkeit und Integrität eines Dokumentes
DSA (Digital Signature Algorithm)
- benutzt als Hash-Algorithmus SHA
- S. 9
E
ECB-Modus (Electronic
Code Book)
- Zerlegung des Klartextes in 64-Bit Blöcke
- nacheinander Veschlüsselung mit gleichem Schlüssel (unsicher)
sieh: CBC
ESP-Header
- kapselt zu schützende Daten ein und verschlüsselt diese bei Bedarf
sieh: AH,
Beide Header können im Transport- oder Tunnelmodus betrieben werden:
Ethernet
- es kann zu einem Zeitpunkt nur einer senden (CSMA/CD-Protokoll)
- sendewillige Station hört Übertragungskanal ab (Listen before talking)
- bei Übertragung weiter abhören um auftretende Kollisionen zu bemerken (
Abbruch)
- erneuter Sendeversuch nach zufälliger Wartezeit (max. 16 mal)
- W = i * t
- 0<= i >=2 hoch k, mit k = Min(n,10) und n = Anz. d. Wdh. der Kollisionen (bis
max. 10)
- T = 51,2 Mükrosek.
- zwischen zwei Stationen dürfen max. 4 Repeater
- max. Netzsegmentanzahl ist 5 (3 für Stationen, 2 Linksegemente für Überwindung
grösserer Distanzen)
- Linksegemente max. 1000m lang
- Ethernet-Controller ist Schicht 2
F
FTP (File
Transfer
Protocol)
- Transport v. Dateien
- meistens Client-Server
G
Gateways (Router)
- Übertragung von Paketen von einem Ntzwerk ins andere
- Übertragungsprozess so lange bis Router im gleichen Netzwerk gefunden
- S.40
H
Handshake-Protocol
- Einigung bei Client und Server über zu verwendenden Algorithmus
- Aushandlung über gemeinsamen Schlüssel
- Ausführung am Anfang der Verbindung (durch Clienten, oder nach Aufforderung
vom Server)
- Siehe S. 13-14
HTTP (Hypertext Transfer Protocol)
- Standardprotokoll d. Internets
- Datenübertragung zw. Client und Server
- Connection, Request, Response, Close
- S-HTTP: Sicherheitserweiterungen
Hub
- Layer 1
- Stern-Topologie(wesentlich sicherer gegen Ausfälle)
- Stationen müssen Gesamtbandbreite d. Netzes teilen
I
ICMP (Internet
Control Message Protocol)
- Verwaltung v. Netzwerken, um Fehler zu melden
- Bestandteil des IP
- siehe Datenblatt (S. 19u.)
IKE (Internet Key Exchange)
- Sammlung von Übertragungsmöglichkeiten der Sicherheitsassoziationen
- z.B. ISAKMP (Verwaltung von SA und Schlüsselaustausch):
- benutzt UDP (Port 500)
- weiter S. 23 bis 28
IP (Internet Protocol)
- Transport v. daten über mehrere Netzwerke zuständig
- nimmt Datensegmente vom TCP oder UDP entgegen und packt sie in Pakete (Datagramme)
- Bestimmung eines Leitwegs zum Ziel
- Adressierungsmechanismus zur Wegewahl
- Datagramm besteht aus datenteil und Header, der Quell- und zieladresse
beinhaltet (siehe Datenblatt)
- kann sie in mehrere kleinere Datagramme unterteilen (Fragmentierung)
- Zusammensetzung am Zielrechner
- keine Überprüfung des Empfangs
- S. 17 bis 19o.!
IPSec
- Verschlüsselung, gesicherte Prüfsumme, Identifikation des Absenders
- Security Association (Zieladresse, Verfahren d. Verschlüsselung, akt.
Schlüssel, Gültigkeitsdauer, Parameter)
- zur verschlüsselung wurde neuer IP-Header entworfen (ESP)
- verschlüsselte Nutzdaten mit lesbaren Adresse
- komplette Verschlüsselung (alles in ein ESP-Paket und dann mit neuem IP-Header
--> Tunnelmudus)
- [interne Netzadressen werden vom Router in offizielle IP-Adressen umgesetz (-->nur
eine offiz. IP-Adresse)]
- Authentifikation mit eigenem IP-Header -->AH
- S. 21
IPv6/IPSec
- Sicherheitserweiterungen des IP durch Implementierung des Ahs und der ESP
J
K
Keyed- / HMAC-Hashes
- als Eingabewert für die Hash-Funktion dient der gemeinsame Schlüssel und das
gesamte IP-Datagramm
- der somit errechnete Hash-Wert wird dann mit dem gemeinsamen Schlüssel für die
Berechnung des endgültigen Hash-Wertes verwendet
- die 96 höchstwertigen Bits sind de Authentication-Code
Kryptografische Prüfsummenverfahren
- erzeugen „Fingerabdruck“
- aus Nachricht m wird Wert h mittels einer Hash-Funktion gebildet: h = H(m)
Kryptologie
Die Lehre der Ver- und
Entschlüsselung
- Sicherheitsanforderungen an Informationssysteme
- Vertraulichkeit (nur für berechtigten Empfänger lesbar)
- Authentifikation (Empfänger kann Absender feststellen)
- Verbindlichkeit (Herkunft der Daten ist nachvollziehbar)
- Integrität (Empfänger kann Manipulation der Daten feststellen)
L
M
MTU
- Es gibt unterschiedliche Festlegungen über die maximale zulässige Länge eines
Paketes aus über ein Netz transportiert wird. Dieser Wert ist „Maximum Transfer
Unit“. Größere Pakete werden dann fragmentiert und erst wieder am Ziel zusammen
gesetzt. (Layer 3)
MSS
- Maximum Segment Size: Größte Nutzdatenmenge, die in ein TCP/IP-Paket passt
MSS = 1500 – IPHeader(20) – TCPHeader(20) = 1460 Bytes. (Layer4)
N
NAT (Network Adress Translation)
- Unterscheidung in Source (SNAT) und Destination (DNAT)
- DNAT Austausch der Zieladresse des ersten IP-Pakets
- SNAT Austausch der Quell-Adresse des ersten IP-Pakets
- S. 38
NNTP (Network
News Transport Protocol)
- Übertragung von Usenet News über das Internet
O
OSI-Referenzmodel
Schicht 1: Bitübertragungsschicht
- Festlegung der physikalischen (elektr. u. mechanischen) Eigenschaften
Schicht 2: Sicherungsschicht
- Verwaltung d. an- und abgehenden Datenstroms
- wird in Pakete eingeteilt
- Bitfehler erkennen und neue Übertragungsanforderung
- Auf- und Abbau v. gesicherten Systemverbindungen
Schicht 3: Vermittlungsschicht
- Auf- und Abbau v. Endystemverb.
- ermöglicht Wegewahl (routing)
- Flusskontrolle vom Sender bis zum Empfänger
- Überwachung v. Übertragungsfehlern
- Vereinbarung möglicher Dienstgüte- oder Leistungsmerkmale
Schicht 4: Transportschicht
- kennt Adresse d. Quell- und Zielstation
- stellt Schicht 5effektive „end-to-end“ Verbindung zur Vefügung
- ermöglicht eine o. mehrere Transportverb.
- Bereitstellung qualitativ unterschiedl. Verb. bezügl. Durchsatz,
Verzögerungszeit, Kosten...
Schicht 5: Kommunikationssteuerungsschicht
- Sitzungen zwischen zwei Anwenderprozessen d. obersten Schicht
- Fordert Transportverb. von Transportschicht an
- Synchronisation und Beschleunigung möglich
Schicht 6: Darstellungsschicht
- Festlegung einer gemeinsamen Sprache (Kodierungsformen...) zur Transformation
d. lokalen
Datendarstellung in d. vereinbarte Transfersyntax
Schicht 7: Anwendungsschicht
- Schnittstelle zum Anwendungsprozess
OSPF (Open Shortest Path First)
- soll Nachteile von RIP beheben
- jeder Router besitzt kompl. Informationen über d. Netztopologie einschl. der
Kosten
P
PDU (Protocol
Data Units)
- Protocol Data Units sind die Protokolleinheiten, die den Datenaustausch
zwischen den Partnerinstanzen ermöglichen.
- PDU wird von der darrunterliegenden Schicht als SDU= Service Data Unit
bezeichnet
Q
R
RARP (Reverse Adress Resolution Protocol)
- Umsetzung von physikalischen nach Internet-Adressen
- senden eines Broadcast-RARP mit physikalischer Adresse
- Empfang von RARP-Servern
- Vergleich mit Adresse in Tabelle (physik.+Internet)
- Zurücksendung an Quelle des Broadcasts
sieh: ARP
Record Protocol (setzt auf TCP auf)
- eigentliche Datenübertragung auf (Record Layer)
- Aufteilung der Daten in Fragmente
- Berechnung des Message Auth. Code (MAC) schlüsselabh. Einweghashfunktion
- S. 15
Repeater
- Layer 1
- empfängt, verstärkt, gibt Signale weiter
- keine Bitübertragungsfehlererkennung
- durch Segmentierung d. Netzes leichtere Fehlersuche
- max. 4 Repeater zw. 2 Stationen
- zählt als Node im Netzwerk
RIP (Routing Information Protocol)
- Gateway sendet regelmässig seine Tabelle als Broadcast
- wird von allen Gateways im lokalen Netzwerk mitgehört -->aktualisierung
- Systemeinteilung in passive (nur akt.) und aktive (Wissen weiterschicken)
RIP-Teilnehmer
- wird mit UDP transportiert
- Daten S. 42u.-S. 44o.
RMI (Remote Method Invocation)
- RPC-Variante
- Kommunikation zw. verteilten Objekten mittels Methodenaufrufe
- S. 12 -20
Router
- Layer 3
- verbindet versch. Netzwerke
- benötigt aber gleiche Adressierungsmechanismen
- arbeitet nicht mit MAC- sondern mit IP-Adressen
- grössere verzögerungszeiten als bei Bridges
- als Firewall verwendbar (IPs sperren)
Routing-Tabellen
- enthält paarweise Einträge aus Netzwerkadressen und zugehörigem Gateway
- S.41
Routing-Protokolle
- für Aktuallisierung der Tabellen zuständig
- Intradomain (innerhalb Verantwortungsbereich) z.B. RIP, OSPF
- Interdomain (versch. Netzbetreiber) z.B. EGP, BGP
RPC (Remote Procedure Call)
- synchrone Datenübergabe von Prozeduraufrufen zw. Programmen in unterschiedl.
Adressräumen
S
SAP
(Service Access Point)
- Service Access Point ist die Schnittstelle zwischen den einzelnen Schichten
Server
- zustandlos: Client muss alle notwendigen Parameter übergeben
- zustandsbehaftet: verwalten Zustandsinformationen über Anforderung des Client
SHA (Secure Hash Algorithm)
- Jede Eingabe wird als Ausgabe der Länge 160 Bit produziert (Message Digest)
- S. 7u – 8
SMTP (Simple
Mail Transfer Protocol)
- für emails in TCP/IP
SNMP (Simple
Network Management Protocol)
- Netzwerkmanagmentsystem (von Routern, Servern,...)
SSL (Secure Socket Layer) / TLS (Transport
Layer Security)
- Sicherheitsprotokoll (von Netscape)
- Layer 4 (unabhängig von Anwendung)
- Authentizität, Vertraulichkeit, Integrität
- 2 Schichten
Switch
- Layer 2
- bessere Nutzung der bandbreite in jedem Segment
- Erhöhung des Netzdurchsatzes
- Cut-Through (untersucht nur die ersten Bytes)
- Store-and-Forward (durchsucht ges. Paket)
Subnetz Adressierung
- wegen zu grosser Adressverwaltung und Routingtabellen eingeführt
- jede Organisation bekommt nur noch eine Netzwerkadresse
- das Rechnerfeld (lokales Feld) der Adresse wird unterteilt in: Netzwerkfeld,
Subnetzfeld und Rechnerfeld
Subnetzmaske
- Unterteilung des lokalen Adressfelds in Subnetz- und Rechnerteil
- Rechnerteil weist Null-Bits auf
- im Kommunikationsfall wird verglichen ob Zielrechner im gleichen Netzwerk ist
-->
- Ausblendung d. Rechneranteils bei Zieladresse mit Hilfe der Subnetzmaske
Supernetzbildung
- durch Adressknappheit --> Zusammenfassung von mehreren C-Adressen -->grosse
Routertabellen
- Bündel von Adressen durch einheitliche Supernetzmaske
- Bitfolge welche aus dem Netzadressteil die gemeinsamen Bits auswählt
- S. 33
Symmetrische Stromchiffren
- jeder Klartextdatenstrom wird in entsprechenden Schlüsseltextdatenstrom
transformiert
- Schlüsselbits werden nacheinander XOR verknüpft
- Schlüsselstromgenerator
- RC4 (variable Schlüssellänge)
sieh: Asymmetrische Kryptosysteme
T
Telnet Protocol
- Simulation eines Terminals zwischen Client und Server (z.B. PC)
TCP (Transmission
Control Protocol)
- verlässliche Kommunikation zw. Prozessen
- Transport fehlerfrei ohne Duplikate
- Unterteilung der daten in Segmente und übergibt sie an das IP
- Zurückgabe am Zielrechner (Überprüfung auf fehlerfreie Übertragung)
- siehe Datenblatt (S. 20 und folgende)
TCP/IP
- grosse Protokollfamilie
Transportmodus
- nur IP-Datagramme aus höheren Schichten werden geschützt
Tunnelmodus
- Schutz des ges. IP-Pakets inkl. aller Headerinformationen
- -->Verpackung in ein neues IP-Paket
- S. 29 Daten
U
UDP (User
Datagram Protocol)
- keine Fehlererkennung oder Korrektur
- weniger aufwendiger Verbindungsaufbau
- siehe Datenblatt (S. 26)
V
VPN (Virtual
private Network)
- Simulierung eines priv. Netzes in einem öffentl. Netz
- Authentifizierung (Benutzername, Passwort)
- Strenge Auth. mit gem. Schlüssel durch Hashfunktionen
- Verschlüsselung der Daten (Secret-Key- oder Public-Key-Verschlüsselung)
- Tunneling (IP-Pakete in andere IP-Pakete kapseln)
- End-to-End (sicher, beide Hostst müssen VPN-Software haben)
- Site-to-Site (Austausch zweier Intranet über Internet, über Gateway)
- End-to-Site (von aussen ins Firmennetz, Tunnel zwischen Gateway und Client)
W
X
Y
Z