E-Book, Deutsch, 288 Seiten
Lienemann TCP/IP-Praxis
3. Auflage 2003
ISBN: 978-3-936931-05-1
Verlag: Heise Verlag
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Dienste, Sicherheit, Troubleshooting
E-Book, Deutsch, 288 Seiten
ISBN: 978-3-936931-05-1
Verlag: Heise Verlag
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Netzwerke modernen Standards verlangen weniger nach Rezepten für Neu - Design als vielmehr nach Wegen, Maßnahmen zur Integration in eine bestehende Infrastruktur aufzuzeigen. Diesem Aspekt trägt TCP/IP Protokollstandard. An einem Beispiel demonstriert der Autor, wie ein schrittweiser Übergang von SNA zu TCP/IP oder gar ein homogener Parallelbetrieb realisiert wird. Weitere Schwerpunkte sind Netzwerk - Management, -Analyse und -Programmierung. Zudem wird exemplarisch das Potential TCP/IP - basierter Protokolle und Produkte vorgestellt.
Der Verlag über das Buch
Zweifelsohne hat sich das Internet innerhalb der letzten Jahrezu einem der bedeutendsten elektronischen Medien entwickelt, wennnicht zum bedeutendsten überhaupt. Sämtliche Dienste, die das Internet zu bieten hat, basieren auf der Protokollfamilie TCP/IP. Dieses Buch will einen Beitrag leisten, die praktische Bedeutung einiger wichtiger Internet-Dienste darzustellen und zu zeigen, wie diese konfiguriert werden. Es ist aber nicht nur der Aufbau leistungsfähiger Diensteserver zur Namensauflösung, zum Betrieb von E-Mail oder des World Wide Webs, dem wir unsere Aufmerksamkeit widmen müssen, sondern es gilt gleichermaßen die Lösung von Sicherheitsproblemen anzustreben, die eine TCP/IP-basierte Kommunikation nach sich ziehen. Im Rahmen einer soliden E-Business-Strategie ist heute die Einrichtung von Sicherheitssystemen zum Schutz gegen "Angriffe aus dem Netz" ebenso bedeutsam, wie der Einsatz von analytischem Know-How und Werkzeugen, die ein wirkungsvolles Troubleshooting ermöglichen.
1 TCP/IP im Internet - Internetdomain und Subnetz - Einrichtung von DNS-und Webserver
2 Router im LAN/WAN-Verbund - Betrieb und Wartung - Routerkonfiguration (am Beispiel von CISCO-Routern)
3 Web-Anwendungsentwicklung - HTTP-Kommunikation - CGI-Programmierung - Skripting - Active Server Pages
4 Sicherheit im Netz - Aufbau eines Sicherheitssystems - Content Security System - Intrusion Detection und Intrusion Response Systeme - Public Key Infrastructure (PKI) - Virtual Private Networks (VPN)
5 Troubleshooting in TCP/IP-Netzwerken - Netzwerkcharakteristika und -symptome - Netzwerkmonitoring und -analyse
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;6
2;Inhaltsverzeichnis;8
3;TCP/IP im Internet;12
3.1;1.1 Internetdomain und Subnetz;13
3.2;1.2 Einrichtung eines DNS-Servers;14
3.2.1;1.2.1 Funktionsweise;15
3.2.2;1.2.2 Auswahl der Betriebssystem-Plattform;18
3.2.3;1.2.3 Basiskonfiguration;18
3.2.4;1.2.4 DNS-Datenfluss;36
3.2.5;1.2.5 Dynamic DNS (DDNS);38
3.2.6;1.2.6 Zusammenspiel von DNS und Active Directory;41
3.3;1.3 Einrichtung eines Mailservers;42
3.3.1;1.3.1 Sendmail-Konfiguration;43
3.3.2;1.3.2 Einrichtung der Mail-Accounts;44
3.3.3;1.3.3 Der MX-Record;45
3.3.4;1.3.4 Einrichtung des POP3-Dienstes;45
3.3.5;1.3.5 Konfiguration eines Mail-Clients unter Windows 2000;46
3.3.6;1.3.6 Mail-Kommunikation;48
3.3.7;1.3.7 Mail-Logdatei;49
3.4;1.4 Einrichtung eines Webservers;50
3.4.1;1.4.1 Der »MS Internet Information Server«;51
3.4.2;1.4.2 Der »Apache«-Server;55
4;Router im LAN/ WAN-Verbund;66
4.1;2.1 Router-Charakteristika;66
4.1.1;2.1.1 Aufgaben;66
4.1.2;2.1.2 Anforderungen;67
4.1.3;2.1.3 Funktionsweise;69
4.2;2.2 Betrieb und Wartung;72
4.2.1;2.2.1 Router-Initialisierung;73
4.2.2;2.2.2 Out-Of-Band-Access;73
4.2.3;2.2.3 Hardware-Diagnose;74
4.2.4;2.2.4 Router-Steuerung;75
4.2.5;2.2.5 Sicherheitsaspekte;75
4.3;2.3 Router-Konfiguration ( am Beispiel von CISCO-Routern);76
4.3.1;2.3.1 Router-Modelle für unterschiedlichen Einsatz;76
4.3.2;2.3.2 Das Betriebssystem CISCO IOS;81
4.3.3;2.3.3 Konsolenbetrieb;81
4.3.4;2.3.4 Router-Modi;83
4.3.5;2.3.5 Konfigurationsbeispiel: Internetzugang;88
5;Web-Anwendungsentwicklung;92
5.1;3.1 Basisobjekte;94
5.1.1;3.1.1 Statische HTML-Seiten;94
5.1.2;3.1.2 Dynamische HTML-Seiten;95
5.1.3;3.1.3 Formularverarbeitung;96
5.2;3.2 Abgrenzung;102
5.2.1;3.2.1 Die klassische Anwendungsentwicklung;102
5.2.2;3.2.2 Sequenzen, Iterationen und mehr ...;103
5.3;3.3 HTTP-Kommunikation;105
5.3.1;3.3.1 Grundlagen;106
5.3.2;3.3.2 Methoden zur Kommunikation;107
5.3.3;3.3.3 HTTP-Statusmeldungen;111
5.4;3.4 CGI-Programmierung;113
5.4.1;3.4.1 Das Prinzip;113
5.4.2;3.4.2 Umgebungsvariablen;114
5.4.3;3.4.3 CGI-Statusüberwachung;118
5.5;3.5 Skripting;126
5.5.1;3.5.1 Client-Side- und Server-Side-Skripting;126
5.5.2;3.5.2 Skriptsprachen;128
5.6;3.6 Active Server Pages;133
5.6.1;3.6.1 Allgemeine Funktionsweise;134
5.6.2;3.6.2 ASP-Umgebung;137
5.6.3;3.6.3 Variablen;138
5.6.4;3.6.4 Cookies;145
5.6.5;3.6.5 Programmsteuerung;149
6;Sicherheit im Netz;156
6.1;4.1 Interne Sicherheit;158
6.1.1;4.1.1 Hardware-Sicherheit;160
6.1.2;4.1.2 UNIX-Zugriffsrechte;160
6.1.3;4.1.3 Windows-Zugriffsrechte;165
6.1.4;4.1.4 Benutzerauthentifizierung;167
6.1.5;4.1.5 Die R-Kommandos;169
6.1.6;4.1.6 Remote Execution (rexec);172
6.2;4.2 Externe Sicherheit;173
6.2.1;4.2.1 Öffnung isolierter Netzwerke;174
6.2.2;4.2.2 Das LAN/WAN-Sicherheitsrisiko;175
6.3;4.3 Angriff aus dem Netz;176
6.3.1;4.3.1 »Hacker« und »Cracker«;177
6.3.2;4.3.2 Scanning-Methoden;178
6.3.3;4.3.3 Denial-of-Service-Attacken;181
6.3.4;4.3.4 DNS-Sicherheitsprobleme;184
6.3.5;4.3.5 Betriebssystem-Schwachstellen;187
6.4;4.4 Aufbau eines Sicherheitssystems;192
6.4.1;4.4.1 Grundschutzhandbuch für IT- Sicherheit des BSI;193
6.4.2;4.4.2 Das 3-Komponenten-System;196
6.5;4.5 Firewall-System;198
6.5.1;4.5.1 Grundlagen;200
6.5.2;4.5.2 Firewall-Typen;202
6.5.3;4.5.3 Firewall-System »Firewall-1«;206
6.6;4.6 Content Security System;216
6.6.1;4.6.1 Prinzip;216
6.6.2;4.6.2 Produkte;217
6.6.3;4.6.3 Implementationsbeispiel;217
6.7;4.7 Intrusion-Detection- und Intrusion- Response- Systeme;221
6.7.1;4.7.1 IDS-Analyseverfahren;221
6.7.2;4.7.2 IDS-/IRS-Architektur;222
6.7.3;4.7.3 Rechtliche Situation;223
6.8;4.8 Public Key Infrastructure (PKI);224
6.8.1;4.8.1 Authentifikation;224
6.8.2;4.8.2 Verschlüsselung;227
6.8.3;4.8.3 Zertifikate;232
6.8.4;4.8.4 Signaturen;234
6.9;4.9 Virtual Private Networks (VPN);237
6.9.1;4.9.1 Grundlagen;237
6.9.2;4.9.2 Implementationsbeispiel: Windows 2000 IPsec;238
7;Troubleshooting in TCP/ IP- Netzwerken;250
7.1;5.1 Netzwerkcharakteristika und - symptome;251
7.1.1;5.1.1 Backbone-Konzept;251
7.1.2;5.1.2 Bridging-Mechanismen;254
7.1.3;5.1.3 Backup-Konzepte;257
7.1.4;5.1.4 Broadcast-Stürme;259
7.1.5;5.1.5 Retransmissions;262
7.1.6;5.1.6 Maximum Transfer Unit (MTU);263
7.1.7;5.1.7 Buffer-Probleme;264
7.2;5.2 Netzwerkmonitoring und -analyse;264
7.2.1;5.2.1 Netzwerk-Design;265
7.2.2;5.2.2 Schwellwert-Kalibrierung;266
7.2.3;5.2.3 Logging mit dem syslog-daemon;267
7.2.4;5.2.4 Der Netzwerk-Trace;269
7.2.5;5.2.5 Netzwerk-Statistik;272
7.2.6;5.2.6 Remote Network Monitoring (RMON);272
7.2.7;5.2.7 Analyse in Switched LANs;276
7.2.8;5.2.8 Analyse-Tool »Basic Sniffer«;276
7.2.9;5.2.9 Analyse-Szenario;281
8;Stichwortverzeichnis;284
2 LAN/WAN-Verbund (S. 66-67)
Zum besseren Verständnis der Aufgaben eines Routers im LAN oder/und WAN bzw. seiner charakteristischen Eigenschaften sollen hier einige wesentliche Aspekte angeführt und grundsätzliche Aktivitäten erörtert werden. Für diese Thematik lieferte der RFC 1812 »Requirements for IP Version 4 Routers« vom Juni 1995 entscheidende Informationen.
2.1 Router-Charakteristika
Zur Darstellung der Router-Charakteristik erfolgt nun eine differenzierte Betrachtung der Aufgaben, Merkmale und Funktionsweise von Routern.
2.1.1 Aufgaben
Ein Internet-Router hat folgende Aufgaben zu erfüllen:
- Anpassung an spezielle Internet-Protokolle, einschließlich IP, ICMP oder andere
- Verbindung zweier oder mehrerer paketorientierter Netzwerke Er muss dabei in seiner Funktionsweise den Anforderungen eines jeden Netzwerkes Rechnung tragen. Diese umfassen in der Regel:
- Ein- und Auspacken (Encapsulation, Decapsulation) von Daten-Frames der jeweiligen Netzwerke
- Versand und Empfang von IP-Datagrammen bis zu der maximal möglichen Größe. Diese wird durch die MTU (Maximum Transfer Unit) repräsentiert.
- Umsetzung der IP-Zieladresse in die entsprechende MAC-Adresse des jeweiligen Netzwerktyps
- Reaktion auf Datenflusssteuerung und Fehlerbedingungen, sofern vorhanden
Ein IP-Router empfängt und versendet IP-Datagramme und benutzt dabei wichtige Mechanismen wie beispielsweise Speichermanagement oder Überlastkontrolle. Er erkennt Fehlermeldungen und reagiert darauf mit der Erzeugung geeigneter ICMP-Meldungen. Wenn der TTL-Timer (Time To Live) eines Datenpaketes abgelaufen ist, so muss das Paket aus dem Netzwerk entfernt werden, um unendlich zirkulierende Daten-Frames im Netzwerk zu vermeiden. Eine weitere sehr wichtige Funktionalität stellt die Fähigkeit dar, Datagramme zu fragmentieren. Sehr große Pakete werden in mehrere der MTU-Größe entsprechende Teilpakete unterteilt und später wieder zusammengesetzt. Gemäß den ihm in der Routing-Datenbasis vorliegenden Informationen bestimmt der Router den nächsten Ziel-Hop für das zu transportierende Datenpaket. Über bestimmte Formalismen bzw. unter Verwendung eines IGP (Interior Gateway Protocol) werden Routing-Informationen zwischen den Routern eines Netzwerkes ausgetauscht. Für die Kommunikation mit anderen Netzwerken werden Mechanismen innerhalb von EGPs (External Gateway Protocol) eingesetzt (z. B. Austausch von Topologieinformationen). Für ein umfassendes Netzwerk- und eigenes Systemmanagement stehen leistungsfähige Funktionen zur Verfügung wie beispielsweise Debugging, Tracing, Logging oder Monitoring.
2.1.2 Anforderungen
Es bestehen besondere Anforderungen an Router-Systeme, die zunehmend für die Verbindung von LANs über z. T. weit gestreute WAN-Konstruktionen verantwortlich sind; man spricht hier von Global Interconnect Systems: Fortschrittliche Routing- und Transport-Algorithmen Diese Router benötigen höchst dynamische Routing-Algorithmen mit minimierter Prozessor- und Kommunikationslast und bieten Type-Of-Service-Routing. Das Problem der Überlast ist allerdings noch nicht vollständig gelöst. An einer Verbesserung wird zur Zeit in den Forschungslabors der Hersteller gearbeitet. So werden beispielsweise von verschiedenen Routerherstellern so genannte »Queuing-Modelle« angeboten, die eine optimierte Datenflusssteuerung zulassen:
- Beim »Priority Queuing« handelt es sich um nach dem FIFO-Prinzip abzuarbeitende Datenpakete mit hoher Priorität. Solange sich noch Datenpakete in einer höher priorisierten Warteschlange befinden, werden diese bevorzugt behandelt. Warteschlangen geringerer Priorität werden dadurch deutlich benachteiligt und kommen u. U. überhaupt nicht zum Zuge.
