Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Geräte zur Netzkopplung wie Router, Bridges oder Gateways verbinden nicht nur Netze, sie können auch zur physikalischen oder logischen Segmentierung von Netzen benutzt werden. Durch die Aufteilung von großen Netzen in Teilnetze kann die Verfügbarkeit verbessert werden, da ein Fehler nur einen begrenzten Bereich des Netzes betrifft und dort schneller lokalisiert werden kann. Bei zunehmender Anzahl von Netzstationen können Antwortzeiten unakzeptabel und eine Teilnetzbildung zur Lasttrennung notwendig werden. Der Schutz von sensitiven Informationen kann ein weiterer Grund zur Segmentierung von Netzen sein, so daß diese nicht auf dem Gesamtnetz verfügbar sind. Um sich vor externen Angreifern zu schützen, kann es sinnvoll sein, einen Transfer von Paketen nur vom sicheren ins unsichere Netz zuzulassen, zum Schutz von vertraulichen Daten kann es andererseits sinnvoll sein, keinen Transfer von Paketen vom sicheren ins unsichere Netz zuzulassen.
Die Aufteilung in Netzsegmente bzw. die Netzkopplung kann auf verschiedenen Schichten nach dem OSI-Modell erfolgen. Netzkoppelkomponenten auf der physikalischen Schicht (Schicht 1) des OSI-Modells sind z. B. Repeater, auf der Sicherungsschicht (Schicht 2) z. B. Bridges, auf der Vermittlungsschicht (Schicht 3) z. B. Router und auf der Anwendungsschicht (Schicht 7) im allgemeinen Gateways. Zum besseren Verständnis ist das OSI-Modell in der folgenden Abbildung dargestellt.
Das OSI/ISO Referenzmodell
Eine Verbindung mit einem anderen Netz auf einer höheren Schicht (ab Schicht 3) des OSI-Modells ermöglicht es z. B. den Datenfluß nach Sicherheitsanforderungen zu reglementieren und somit zu schützende und unsichere Netze kontrolliert zu verbinden.
Andererseits kann das Trennen von Netzen erforderlich sein, wenn diese vor Zugriffen aus dem jeweils anderen Netz geschützt werden sollen oder um die Verfügbarkeit der Netze im Fehlerfall zu erhöhen bzw. die Netzlast in den jeweiligen Netzsegmenten zu verringern.
Um Manipulationen zu verhindern, müssen alle Geräte zur Netzkopplung so aufgestellt werden, daß nur Berechtigte physikalischen Zugang haben.
Repeater
Repeater arbeiten auf der Schicht 1 des OSI-Modells und sind einfache Signalverstärker. Dadurch erlauben sie es, die maximale Kabellänge eines bestehenden Netzsegmentes zu verlängern bzw. mehrere Netzsegmente zu verbinden. Beispielsweise kann mit ihnen beim Einsatz von Ethernet auf Koaxialkabelbasis die maximale Kabellänge auf über 185 m bzw. auf über 500 m (für Thin- bzw. Thick-Ethernetkabel) verlängert werden. Zu beachten sind hierbei die Konfigurationsregeln für Repeater, die die Anzahl und Anordnung von Repeatern beschränken.
Im Fall einer Twisted-Pair-Verkabelung werden Repeater häufig als zentraler oder dezentraler Netzknoten zur Verbindung der einzelnen Netzteilnehmer eingesetzt. Da hierfür mehrere Repeater in einem Gerät miteinander verbunden werden müssen, werden diese Geräte auch Multiport-Repeater genannt. Multiport-Repeater werden häufig auch als Hubs bzw. als Mini-Hubs bezeichnet.
Durch die somit erreichte Trennung auf der Schicht 1 des Netzes werden elektrische Fehler auf ein Segment beschränkt. Dies gilt jedoch nicht für Fehler in höheren Schichten (z. B. zu häufige Kollisionen oder ein Broadcast-Sturm). Von einigen Herstellern gibt es inzwischen auch Multiport-Repeater, die Informationen aus Schicht 2 auswerten (aber noch keine Bridges sind) und dadurch z. B. die Implementation von Zugriffsbeschränkungen erlauben. Mit solchen Geräten läßt sich beispielsweise einstellen, daß nur bestimmte Netzteilnehmer Zugang zum Netz bekommen.
Bridge
Die Verbindung von Netzen auf der Ebene 2 des ISO-OSI-Referenzmodells erfolgt über Bridges. Eine Bridge verbindet zwei Netze, die in der Regel dasselbe Logical Link Control (LLC) Protokoll benutzen, aber unterschiedliche Medium Access Control (MAC) Protokolle. Eine Bridge kann z. B. ein Ethernet mit einem Token-Ring-Netz verbinden. Eine solche Bridge wird dann Translation-Bridge oder T-Bridge genannt.
Hierdurch ergeben sich drei wesentliche Vorteile:
Switch (Ethernet, Token-Ring, ATM)
Ein Switch ist eine Variante einer Brücke, die mehrere logische LAN-Segmente verbindet (Multiport-Brücke), arbeitet also auf Schicht 2 des OSI-Modells. Einige neuere Produkte implementieren zusätzlich auch Switching-Funktionalität auf der Schicht 3 des OSI-Modells, erlauben also hiermit auch eine Schicht 3 Segmentierung.
Ein Ethernet-Switch besteht aus mehreren Bridges, die auf geeignete Weise intern miteinander verbunden sind (z. B. über eine sogenannte Switching-Matrix).
Ein Ethernet-Switch bietet die Vorteile einer Bridge für mehrere Anschlüsse (üblich sind derzeit 8 bis 32 Anschlüsse pro Switch), d. h. jeder Netzteilnehmer bzw. jedes Segment an einem Switchanschluß bildet eine eigene Collision-Domain und der Verbindungsaufbau beruht auf den tatsächlichen Erfordernissen. Damit kann jedes angeschlossene Segment mit allen anderen unbeeinflußt von dem Verkehr und der Last der anderen Segmente kommunizieren, solange das entsprechende Segment nicht bereits anderweitig belegt ist. Switches bieten sich vor allem zur Lasttrennung und als zentrale Kopplungskomponente von mehreren Teilsegmenten an. Durch die Kaskadierung von Switches, d. h. durch den Anschluß von nachgeordneten Switches an einen zentralen Switch, lassen sich bei geeigneter Wahl der logischen Netzstruktur sehr leistungsfähige Netze bilden.
Ethernet-Switches, die nach der IEEE-Norm für Bridges arbeiten, benutzen die Store-and-Forward-Technik. Bei dieser Technik wird zunächst das gesamte Ethernet-Paket des Quellports eingelesen und auf Korrektheit überprüft. Nur korrekt und vollständig empfangene Pakete werden an das Zielsegment weitergeschickt. Die Verzögerungszeit solcher Switches ist relativ hoch, sie garantieren aber auch, daß keine fehlerhaften Pakete in andere Segmente übertragen werden. Der Einsatz solcher Store-and-Forward-Switche ist dann zu empfehlen, wenn Wert auf maximale Verfügbarkeit und Integrität und nicht so sehr auf Bandbreite gelegt wird.
Im Gegensatz dazu wurden alternativ Techniken entwickelt, die den Durchsatz eines Ethernet-Switches erhöhen, also die Verzögerungszeit zu verkleinern, die ein zu verarbeitendes Datenpaket erfährt. Hierzu wird die On-the-Fly-Technik (auch Cut-Through genannt) eingesetzt, die nicht mehr das gesamte Paket einliest und überprüft, sondern lediglich die Zieladresse des Paketes auswertet und daraufhin sofort das gesamte Paket an diese Adresse schickt. On-the-Fly-Switches sind damit maximal um den Faktor 20 schneller als Store-and-Forward-Switches. Allerdings leiten sie auch fehlerhafte Pakete in das andere Segment, wodurch die Bandbreite und damit u. U. die Verfügbarkeit der einzelnen Segmente beeinträchtigt werden kann. On-the-fly-Switches sollten also in Netzen eingesetzt werden, in denen wenig fehlerhafte Pakete auftreten können und in denen es auf maximalen Durchsatz ankommt. Die meisten Hersteller bieten heute Switches an, die beide Techniken beherrschen und entsprechend konfiguriert werden können.
Von einigen Produkten wird inzwischen auch ein Switching auf der Schicht 3 des OSI-Modells unterstützt. Dabei werden die Netzteilnehmer nicht mehr nach ihrer MAC-Adresse unterschieden (Layer-2-Switching), sondern nach den Adressen der Schicht 3 (für den TCP/IP-Protokollstapel ist dies die IP-Adresse). Ein Layer-3-Switching kann weitere Performancevorteile bedeuten, in diesem Fall muß aber der Switch, analog zu einem Router, die auf der Schicht 3 verwendeten Protokolle verarbeiten können.
Switches für ATM oder Token-Ring sind funktional einem Ethernet-Switch sehr ähnlich, d. h. auch ein Switch für diese Protokolle ermöglicht es, daß zwei Netzteilnehmer oder Netzbereiche unabhängig von den anderen kommunizieren können. Für ATM-Netze ist durch die zugrundeliegende Konzeption der Einsatz eines Switches sogar zwingend.
Bei der Auswahl von Switches, mit denen ein Collapsed Backbone realisiert werden soll, muß die zur Verfügung gestellte Portdichte berücksichtigt werden. Bei einem "Collapsed backbone" sollte es vermieden werden, mehrere Switches einsetzen zu müssen, die nicht über eine gemeinsame (Hochgeschwindigkeits-) Backplane verfügen (vgl. M 5.2 Auswahl einer geeigneten Netz-Topographie).
Router
Router trennen bzw. verbinden Netze auf der Schicht 3 des OSI-Modells. Damit arbeiten Router nicht mehr protokolltransparent (wie z. B. Repeater oder Bridges), sondern müssen die im Einsatz befindlichen Protokolle auf der Vermittlungsschicht auch verarbeiten können. Dadurch verlangsamen Router den Datenverkehr zwischen zwei verbundenen Teilnetzen merklich, da der Router jedes Paket auf der Schicht 3 auswerten muß.
Aufgrund ihrer Fähigkeit, Protokolle zu verarbeiten und diese umzusetzen, werden Router vor allem zur LAN-LAN-Kopplung und zur Anbindung eines LANs an ein WAN genutzt. Ein Router kann beispielsweise zwei LANs über eine ISDN-Leitung miteinander verbinden. Hierbei wird das LAN-Protokoll unverändert in das WAN-Protokoll eingekapselt (encapsulation) und übertragen. Ein anderes Protokoll, das hier beispielsweise zum Einsatz kommen kann, ist das X.25-Protokoll. In großen Netzen, in denen viele Teilnetze durch Router verbunden sind, ist eine wesentliche Aufgabe des Routers die Wegewahl (Routing) zwischen den Teilnetzen. Hierbei können prinzipiell zwei Verfahren unterschieden werden:
Weiterhin kann durch den Einsatz von Filtern eine Zugriffskontrolle gewährleistet werden, d. h. welche Systeme mit welchen Protokollen über den Router in welche Richtung miteinander kommunizieren dürfen
Konzentratoren und Hubs
Unter einem Hub wird eine Komponente verstanden, die eine oder mehrere aktive Netzkoppelkomponenten aufnimmt und eine Kommunikation dieser Komponenten untereinander über eine interne Backplane (siehe auch M 5.2 Auswahl einer geeigneten Netz-Topographie) ermöglicht. Hubs, die bei Bedarf mehrere Netzkoppelkomponenten aufnehmen können, werden als modulare Hubs bezeichnet. Entsprechend werden Hubs, die nur aus einer Koppelkomponente bestehen und nicht zur Aufnahme weiterer Komponenten bestimmt sind, als nicht modulare Hubs bezeichnet. Wenn es möglich ist, die Backplanes mehrerer Hubs miteinander zu verbinden, werden diese Hubs als stackable Hubs bezeichnet. Durch den Einsatz eines Hubs oder eines Konzentrators erfolgt die Leitungsführung zumindest zum Teil sternförmig zu den Endgeräten, aus diesem Grund werden Hubs oder Konzentratoren auch Sternkoppler genannt.
Wie bereits bei den Repeatern erwähnt ist die kleinste Form eines Konzentrators bzw. eines Hubs ein Multiport-Repeater. Modulare Hubs dagegen erlauben die Aufnahme verschiedener Koppelelemente, die selbst wiederum auf verschiedenen Schichten arbeiten können (z. B. Repeater, Bridges und Router). Durch diese Konzentration der Netzkoppelkomponenten an einem Ort ergeben sich Vorteile in der einfacheren Administration des Netzes, allerdings beeinflußt der Ausfall eines solchen zentralen Hubs auch das gesamte Netz. Für diesen Fall sind geeignete Vorsorge-Maßnahmen zu treffen, wie z. B. die redundante Auslegung der Netzkomponenten (siehe M 6.53 Redundante Auslegung der Netzkomponenten).
Gateway
Ein Gateway verbindet zwei Netze auf der Anwendungsschicht (Schicht 7) des OSI-Modells. Daher erfüllt er nicht nur die Aufgabe, ein Netzprotokoll zu konvertieren, sondern auch Daten auf Anwendungsebene zu transportieren, gegebenenfalls zu modifizieren und unter Sicherheitsgesichtspunkten auszuwerten. Ein typisches Einsatzfeld eines Gateways ist die Kommunikation von Systemen in einem TCP/IP-Netz mit einem SNA-Host. In diesem Fall besteht das Gateway aus einer Kombination von Hard- und Software. Es gibt jedoch auch Gateways, die nur durch Software realisiert sind. Dies sind z. B. Mail-Gateways, die unterschiedliche Mailformate verstehen und konvertieren können.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .