PC-Netzwerke: Das umfassende Handbuch 9783836285308
Bewährt, praxisnah und randvoll mit wertvollen Informationen - Sie erhalten nicht nur umfassende Grundlagen zur Einricht
528 115 60MB
German Pages 831 [1786] Year 2023
Polecaj historie
![Debian GNU Linux: Das umfassende Handbuch, 3. Auflage [3 ed.]
3836213869, 9783836213868](https://dokumen.pub/img/200x200/debian-gnu-linux-das-umfassende-handbuch-3-auflage-3nbsped-3836213869-9783836213868.jpg)
Table of contents :
Aus dem Lektorat
Inhaltsverzeichnis
Vorwort
1 Einleitung
1.1 Aufbau des Buches
1.2 Formatierungen und Auszeichnungen
1.3 Listings
1.4 Das Material zum Buch
2 Schnelleinstieg: für Praktiker
2.1 Planung: Welche Komponenten benötigen Sie?
2.2 Kabel – wenn ja, welches?
2.2.1 Twisted Pair
2.2.2 Wireless LAN
2.2.3 Powerline mit HomePlug
2.3 Beispiel: Familie Müller
2.4 Einkaufen
2.5 Multifunktionsgeräte
2.6 Hardware ein- und aufbauen
2.6.1 PCI-/PCIe-Netzwerkkarten
2.6.2 PC-Card
2.6.3 USB-Adapter
2.6.4 WLAN-Karten
2.6.5 LAN-Verschaltung
2.7 IP konfigurieren
2.8 Funktionstest
Teil I Netzwerk-Grundwissen
3 Grundlagen der Kommunikation
3.1 Kommunikation im Alltag
3.2 Kommunikation zwischen Computern
3.3 Was ist nun ein Netzwerk?
4 Netzwerktopologien
4.1 Bustopologie
4.2 Ringtopologie
4.3 Sterntopologie
5 Kommunikationsmodelle
5.1 DoD-Modell
5.2 ISO/OSI-Modell
5.3 Ablauf der Kommunikation
Teil II Lokale Netze
6 Ethernet
6.1 Ursprung von Ethernet
6.2 Fast Ethernet
6.3 Gigabit-Ethernet
6.4 NBase-T
6.5 IEEE 802.3ae – 10GBASE
6.6 IEEE 802.3an – 10GBASE-T
6.7 IEEE 802.3ba/j/m – 40- und 100-Gigabit-Ethernet
6.8 IEEE 802.3bs – 200- und 400-Gigabit-Ethernet
6.9 Hub
6.10 Switch
6.10.1 Ethernet Broadcast
6.10.2 Ethernet-Multicast
6.10.3 Ausblick
6.11 Virtual LAN
6.11.1 Portbasierte VLANs
6.11.2 Tagged VLANs
6.12 Das Ethernet-Datagramm
7 Wireless LAN
7.1 IEEE 802.11
7.2 IEEE 802.11b
7.3 IEEE 802.11a/h
7.4 IEEE 802.11g
7.5 IEEE 802.11n – WiFi 4
7.6 IEEE 802.11ac – WiFi 5
7.7 IEEE 802.11ax – WiFi 6
7.8 IEEE 802.11be – WiFi 7
7.9 IEEE 802.11ad
7.10 IEEE 802.11ay
7.11 IEEE 802.11e
7.12 Wi-Fi Alliance
7.13 Beschleunigertechniken
7.13.1 Channel Bonding
7.13.2 Frame Bursting
7.13.3 Frame Aggregation
7.13.4 Beamforming
7.13.5 Multiple Input, Multiple Output
7.13.6 Multi-User MIMO
7.13.7 Quadratur-Amplituden-Modulation
7.14 Kanalwahl
7.14.1 2,4-GHz-Band
7.14.2 5-GHz-Band
7.15 Sendeleistung
7.16 Antennenausrichtung und Position
7.17 Sicherheit von WLANs
7.18 Hot Spots
7.18.1 FON
7.18.2 Freifunk
7.19 WLAN-Direktverbindungen
7.20 WLAN-Mesh
7.21 Abgrenzung zu anderer drahtloser Kommunikation
7.21.1 Bluetooth
7.21.2 Near-Field Communication
7.21.3 Long Range Wide Area Network
7.22 Ausblick
8 Netzwerk ohne neue Kabel
8.1 Daten über Stromkabel
8.1.1 HomePlug 1.0
8.1.2 HomePlug AV
8.1.3 HomePlug AV2
8.1.4 HomePlug GreenPHY
8.1.5 HomeGrid
8.2 Powerline Telecommunication
8.3 Sicherheit
9 Glasfasertechnik
9.1 Kabel
9.2 Stecker
9.3 SFP-Module
Teil III Weitverkehrsnetze
10 Kabelinternetzugang
10.1 Aufbau
10.2 Marktsituation
11 DSL
11.1 ADSL
11.2 SDSL
11.3 VDSL
11.4 VDSL2
11.5 VDSL2-Vectoring
11.6 Supervectoring
11.7 G.fast
11.8 TV über das Telefonkabel
12 Fibre-Internet
Teil IV Höhere Protokollschichten
13 Kabelloser Internetzugang
13.1 Vertragsarten und Anwendung
13.2 Verbindungsaufbau mit MWconn und ixconn
13.3 Verbindungsaufbau mit Huawei HiLink
13.4 Messen der Signalstärke
13.5 Signalverstärkung
13.6 GPRS
13.7 EDGE
13.8 UMTS
13.9 LTE
13.10 5G
13.11 WiMAX
14 Das Internetprotokoll
14.1 IP-Broadcast
14.2 IPv4-Multicast
14.3 Routing
14.4 Private IP-Adressen
14.5 Network Address Translation
14.6 Carrier-grade NAT
14.7 IP-Version 6
14.7.1 IPv6-Adressen
14.7.2 Privacy Extension
14.7.3 IPv6-Multicast
14.7.4 Migration
14.7.5 Dual Stack
14.7.6 DS-Lite
14.8 IPv6 ausprobieren
14.8.1 IPv6-Tunnel mit Endpunkt FRITZ!Box
14.8.2 Das Firefox-Add-on »IP Address and Domain Information«
14.9 IPv6-only
14.10 Das IPv4-Datagramm
14.11 Das IPv6-Datagramm
15 Address Resolution Protocol und Neighbor Discovery Protocol
15.1 Address Resolution Protocol
15.2 Neighbor Discovery Protocol
15.3 Das ARP-Datagramm
15.4 Das NDP-Datagramm
16 Internet Control Message Protocol
16.1 Paketlaufzeiten
16.2 Das ICMP-Datagramm
16.3 Das ICMPv6-Datagramm
17 Transmission Control Protocol
17.1 Der Ablauf einer TCP-Verbindung
17.2 Multipath-TCP
17.3 Das TCP-Datagramm
18 User Datagram Protocol
18.1 Der Ablauf einer UDP-Verbindung
18.2 Das UDP-Datagramm
19 DHCP
19.1 Die einzelnen Pakete
19.2 Der DHCP-Ablauf
19.2.1 Initialisierung
19.2.2 Gebundenheit
19.2.3 Erneuerung
19.3 IPv6-Konfiguration
19.3.1 IPv6-Autokonfiguration mit SLAAC
19.3.2 DHCPv6
19.4 Das DHCP-Datagramm
19.5 Das DHCPv6-Datagramm
20 Namensauflösung
20.1 Die »hosts«-Datei
20.2 NetBIOS
20.3 WINS
20.4 DNS
20.4.1 Resource Records
20.4.2 DNS als Filter
20.4.3 DNS und Datenschutz
20.4.4 DNSSEC
20.4.5 DNS over TLS/HTTPS
20.5 Multicast DNS
20.6 LLMNR
20.7 systemd-resolved
21 Simple Network Management Protocol (SNMP)
Teil V Praxiswissen
22 Service Discovery
22.1 Universal Plug and Play
22.2 Zeroconf
22.2.1 Windows
22.2.2 macOS
22.2.3 Avahi unter Linux
23 Netzwerkkabel
23.1 Kategorien
23.2 Linkklassen
23.3 Schirmung
23.4 Netzwerkstecker anbringen
23.5 Kabeltest
23.6 Patchpanel und Netzwerkdosen anschließen
23.7 Cross-Kabel
24 Netzwerkkarten
24.1 Kaufhilfe für kabelgebundene Netzwerkkarten
24.2 PCI-Express-Netzwerkkarten
24.3 PCI Express Mini Card
24.4 Next Generation Form Factor oder M.2
24.5 PC-Card/Cardbus/ExpressCard
24.6 USB-Adapter
24.7 WLAN-Netzwerkkarten
24.8 Sonderfunktionen
24.8.1 Half-/Fullduplex
24.8.2 Autonegotiation
24.8.3 Autosensing
24.8.4 Trunking
24.8.5 Wake-on-LAN
24.8.6 Auto MDI-X
25 Switches
25.1 Einsteiger: Mini-Switches
25.2 Webmanaged Switches
25.3 Fachbegriffe für den Switch-Kauf
25.3.1 Fazit und Empfehlung
25.4 Ein eigenes VLAN und WLAN für Gäste
26 Windows einrichten
26.1 Windows-Versionen und -Editionen
26.1.1 Windows 11
26.1.2 Windows 10
26.1.3 Windows 8
26.2 Hardwareerkennung
26.3 IPv4-Konfiguration
26.4 IPv6-Konfiguration
26.5 Windows-Firewall
26.6 Jugendschutz
26.7 File History
26.7.1 Ein Laufwerk auswählen
26.7.2 Erweiterte Einstellungen
26.7.3 Restore
26.8 Windows Defender
26.9 Microsoft-Konto
26.10 Einstellungen synchronisieren
26.11 Bildcode
26.12 Client HyperV
26.13 Netzwerk- und Freigabecenter
26.13.1 Öffentliches oder privates Netzwerk
26.13.2 Netzwerkerkennung und Freigabeoptionen
26.13.3 Dateifreigaben einrichten
26.13.4 Öffentlicher Ordner
26.13.5 Netzlaufwerke
26.13.6 Druckerfreigabe
26.13.7 Medienstreaming
26.13.8 Versteckte Freigabe
26.13.9 Häufige Probleme
26.14 Microsoft-Konto verknüpfen
26.15 Windows in verschiedenen Netzwerken
26.16 Microsoft Edge
26.17 Windows-Subsystem für Linux
26.18 Smartphone mit Windows verknüpfen
27 Linux einrichten
27.1 Dokumentation
27.2 Administration
27.3 Predictable Interface Names
27.4 Auswahl des Netzwerkmanagers
27.5 NetworkManager
27.6 Wicd
27.7 Das systemd-Projekt
27.7.1 systemd-networkd
27.7.2 Migration zum systemd-networkd
27.8 Netzwerkkarte unter SUSE einrichten
27.9 IPv4-Konfiguration
27.10 IPv6-Konfiguration
27.11 Firewalld
27.12 WLAN unter Linux
27.12.1 Flugzeugmodus mit RFkill
27.12.2 WLAN unter SUSE einrichten
28 macOS einrichten
28.1 Netzwerkumgebungen
28.2 Schnittstellen verwalten
28.3 Schnittstellen konfigurieren
28.4 WLAN-Karte konfigurieren
28.5 Die Firewalls von macOS
28.6 »networksetup« am Terminal
28.7 Freigaben für Windows unter macOS
28.7.1 Ordner freigeben
28.7.2 Freigabe aktivieren
29 Troubleshooting
29.1 Problemursachen finden
29.2 Fehlersuche Schritt für Schritt
29.2.1 Kabel
29.2.2 Netzwerkkartentreiber
29.2.3 IP-Konfiguration
29.3 Checkliste
29.4 Windows-Bordmittel
29.4.1 IP-Konfiguration auslesen
29.4.2 MAC-Adressen und IP-Adressen
29.4.3 DHCP erneuern
29.4.4 »ping«
29.4.5 »traceroute«
29.4.6 »route«
29.4.7 TCP-/UDP-Verbindungen
29.4.8 NetBIOS
29.4.9 Der Windows-Ressourcenmonitor
29.4.10 Network Diagnostics Framework
29.5 Linux-Bordmittel
29.5.1 Ethernet-Konfiguration: »ethtool«
29.5.2 IP-Konfiguration auslesen
29.5.3 MAC-Adressen und IP-Adressen
29.5.4 »ping«
29.5.5 »bing«
29.5.6 »traceroute«
29.5.7 »ip route«
29.5.8 MTU: »tracepath«
29.5.9 TCP-/UDP-Verbindungen
29.5.10 Portscanner: »nmap«
29.6 Bordmittel von macOS
29.6.1 IP-Konfiguration auslesen
29.6.2 ping und ping6
29.6.3 »traceroute«
29.6.4 Routingtabelle mit »netstat« einsehen
29.6.5 TCP"=/UDP-Verbindungen mit »netstat«
29.6.6 Portscan mit »stroke«
29.6.7 Drahtlose Netzwerke mit »airportd« überblicken
29.6.8 Geschwindigkeiten mit »networkQuality« ermitteln
30 Zusatzprogramme
30.1 Wireshark
30.1.1 Umgang mit Filtern
30.1.2 Auswertung des Mitschnittes
30.1.3 Paketmitschnitt am Router
30.1.4 Wireshark und Oracle VM VirtualBox
30.1.5 Beispiel: Mit Wireshark auf der Spur von IPv6
30.2 Zusatzprogramme für Windows
30.2.1 CurrPorts
30.2.2 WifiInfoView
30.2.3 Tftpd64
30.2.4 SlimFTPd
30.2.5 FileZilla
30.2.6 Microsoft Message Analyser
30.3 Zusatzprogramme für Linux
30.3.1 Performanceüberblick mit xosview
30.3.2 Pakete mitschneiden mit IPTraf
31 Netzwerkgeschwindigkeit ermitteln
31.1 Performancemessung mit NetIO
31.1.1 Windows
31.1.2 Linux
31.2 Performancemessung mit iPerf
31.3 Intel NAS Performance Toolkit
32 Fernadministration und Zusammenarbeit
32.1 Telnet
32.2 Secure Shell (SSH)
32.2.1 Passwortgeschützte Verbindung mit Serverschlüssel
32.2.2 Passphrasegeschützte Verbindung mit Clientschlüssel
32.2.3 SSH Single Sign-On
32.2.4 Erweiterte Konfiguration des Servers
32.2.5 SSH unter macOS nutzen
32.2.6 SSH-Client-App
32.3 X11, das grafische System unter Linux
32.3.1 X11-Client
32.3.2 X11-Server
32.3.3 Getunneltes X11
32.3.4 Xming, X11 für Windows
32.3.5 X11 unter macOS
32.4 Remotedesktop
32.4.1 RDP für Linux
32.4.2 Remotedesktop-Verbindung für macOS
32.5 Windows Admin Center
32.6 Windows-Remoteunterstützung Easy Connect
32.7 Quick Assist
32.8 TeamViewer
32.9 Virtual Network Computing (VNC)
32.9.1 VNC-Client und VNC-Server
32.9.2 Getunneltes VNC
32.9.3 Bildschirmfreigabe unter macOS
32.10 Zusammenarbeit im Internet – Kollaboration
32.10.1 WebEx und Apache OpenMeetings
32.10.2 Mikogo
33 Sicherheit und Datenschutz im LAN und im Internet
33.1 Mögliche Sicherheitsprobleme
33.1.1 Authentifizierung und Autorisierung
33.1.2 Datenintegrität
33.1.3 Schadprogramme
33.1.4 Sicherheitslücken
33.1.5 Exploit
33.1.6 Fallbeispiele
33.1.7 Der Hackerparagraph
33.2 Angriffsarten: Übersicht
33.3 ARP- und NDP-Missbrauch
33.4 Sicherheitslösungen im Überblick
33.4.1 Firewall
33.4.2 Virenscanner
33.4.3 Network Intrusion Detection System
33.4.4 Unsichere Passwörter
33.4.5 Multi-Faktor-Authentifizierung
34 Programme zur Netzwerksicherheit
34.1 Firewalls für Windows
34.2 IPTables, Firewall für Linux
34.3 Firewalls testen
35 WLAN und Sicherheit
35.1 WEP
35.2 WPA
35.3 WPA2
35.4 WPA3
35.5 Access List
35.6 Wi-Fi Protected Setup
35.7 WLAN-Konfiguration per QR-Code
35.8 WLAN-Sicherheit analysieren
36 Verschlüsselung
36.1 Symmetrische Verschlüsselung
36.2 Asymmetrische Verschlüsselung
36.3 Hybride Verschlüsselung
36.4 Signaturen
36.5 (Un-)Sicherheitsfaktoren der Verschlüsselung
36.6 GNU Privacy Guard (GnuPG)
36.6.1 Schlüsselgenerierung
36.6.2 Export
36.6.3 Import
36.6.4 Überprüfung
36.6.5 Signierung
36.6.6 Verschlüsselung
36.6.7 Entschlüsselung
36.6.8 Vertrauen
36.6.9 Keyserver
36.6.10 Keysigning-Partys
36.6.11 KGpg
36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln
36.7.1 S/MIME, PGP/MIME und PGP/INLINE
36.7.2 Autocrypt und p≡p
36.8 Volksverschlüsselung
36.9 GPGTools für macOS
36.10 Verschlüsselte Kommunikation mit Servern
37 Virtual Private Network
37.1 PPTP
37.2 L2TP
37.3 IPsec
37.4 SSL-VPN
37.5 WireGuard VPN
37.6 End-to-Site-VPN
37.7 Site-to-Site-VPN
37.8 VPN zwischen Netzwerken
37.9 FRITZ!Box-VPN
38 Internetzugang
38.1 Hardwarerouter
38.1.1 Router für die Internetanbindung
38.1.2 Kriterien für den Routerkauf
38.1.3 Stand der Dinge
38.1.4 Mobiler Internetzugang
38.1.5 Hybridrouter
38.1.6 FRITZ!Box hinter dem Hybridrouter
38.1.7 Alternative Firmware
38.2 OpenWrt – ein freies Betriebssystem für Router
38.2.1 Warum OpenWrt?
38.2.2 Los geht's
38.3 Proxy
39 DynDNS-Dienste
39.1 Anbieter
39.1.1 Aktualisierung der IP-Adresse
39.1.2 Router
39.1.3 MyFRITZ!
39.1.4 Software
39.1.5 Update Clients für macOS
40 Netzwerkspeicher
40.1 EasyNAS, FreeNAS, OpenMediaVault und Co.
40.2 Router mit externer USB-Platte
40.2.1 DSL-Router
40.3 Hardware-NAS
40.3.1 Art und Anzahl der Festplatten
40.3.2 Fallstricke bei der Auswahl
40.3.3 Einbindung ins Netzwerk
41 Virtualisierung
41.1 Hardwarevoraussetzungen
41.2 Oracle VM VirtualBox
41.3 Virtuelle Netzwerke
41.4 VMware Workstation Player
41.5 Anpassungen des Gastbetriebssystems
41.6 Tuning
41.7 Windows Sandbox
42 Virtuelle Appliances
42.1 IP-Adressen der virtuellen Maschinen
42.2 Web Proxy Appliance
42.2.1 Einbinden der virtuellen Maschine
42.2.2 Den Proxy Squid verwenden
42.2.3 Proxy unter macOS konfigurieren
42.2.4 Webfilter
42.3 Asterisk Appliance
42.3.1 Einbinden der virtuellen Maschine
42.3.2 Incredible PBX konfigurieren
42.3.3 Telefone konfigurieren
42.3.4 SIP-Provider konfigurieren
43 siegfried6 – ein vielseitiger Server
43.1 Motivation – oder: Warum ausgerechnet Linux?
43.2 Aufgaben Ihres Netzwerkservers
43.3 Einbinden der virtuellen Maschine
43.4 Das B-Tree-Dateisystem
43.5 Webmin
43.6 DHCP-Server
43.7 Samba als Fileserver
43.7.1 Samba-Benutzer
43.7.2 Freigaben
43.7.3 Linux-Rechte
43.7.4 Samba-Berechtigungen
43.8 Windows als Client
43.8.1 Einfacher Zugriff
43.8.2 Netzlaufwerke
43.9 Linux als Client
43.9.1 Dolphin
43.9.2 Samba-Filesystem
43.10 macOS als Client
43.11 Windows und macOS als Server
43.12 Drucken im Netzwerk
43.12.1 Drucker am Server einrichten
43.12.2 PDF-Drucker
43.13 Netzwerkdrucker am Client einrichten
43.13.1 Windows
43.13.2 Linux
43.13.3 macOS
43.13.4 Druckertreiber für den PDF-Drucker
43.14 Mailserver
43.14.1 Mails mit Postfix verschicken
43.14.2 Mails mit Postfix empfangen
43.14.3 Test des SMTP-Servers
43.14.4 Maildir-Format
43.14.5 Mails mit Postfix über einen Provider verschicken
43.14.6 Authentifizierung
43.15 Postfachinhalte aus dem Internet holen
43.15.1 ».fetchmailrc«
43.15.2 Konfiguration
43.15.3 Zugriffstest
43.16 Regelmäßiges Abholen der Post
43.16.1 Automatisches Abholen
43.16.2 Automatischer Start von Fetchmail
43.16.3 Regelmäßiges Abholen per Cronjob
43.17 IMAP-Server für Clients im LAN vorbereiten
43.18 IMAP-Clients im LAN an den Server anbinden
43.18.1 Mozilla Thunderbird
43.18.2 Apple Mail
43.19 Shared Folders
43.20 Time-Server
43.20.1 Zeitserver aufsetzen
43.20.2 Linux-Client an den Zeitserver anbinden
43.20.3 systemd-timesyncd
43.20.4 Windows-Client an den Zeitserver anbinden
43.20.5 macOS-Client an den Zeitserver anbinden
43.20.6 Systemzeit virtueller Maschinen
44 Containertechnologie
44.1 Docker Client
44.2 Dockerfile
44.3 Docker Cloud
44.4 CI/CD
45 Netzwerkbackup
45.1 Wozu Backup?
45.1.1 Backup
45.1.2 Restore
45.1.3 Disaster Recovery
45.2 Clonezilla
45.2.1 Backup mit Clonezilla
45.2.2 Restore mit Clonezilla
45.3 Windows-Bordmittel
45.3.1 Robocopy
45.3.2 SyncToy
45.3.3 Offlinedateien
45.3.4 Systemabbild
45.3.5 Windows File History
45.4 Linux »rsync«
45.5 macOS Time Machine
45.6 Cloud-Backup
45.6.1 Amazon S3
45.6.2 File History mit Synchronisation in die Cloud
46 Medienstreaming
46.1 Protokolle und Codecs
46.1.1 Audio-Codecs
46.1.2 Video-Codecs
46.1.3 Streamingdienste
46.2 Streaminghardware
46.2.1 Netzwerkkamera
46.2.2 Digitaler Bilderrahmen
46.2.3 Internetradio
46.2.4 TV Media Player
46.2.5 TV-Geräte
46.2.6 Sat-over-IP
46.2.7 Linux Receiver
46.2.8 Spielekonsolen
46.2.9 Smartphones
46.2.10 Router
46.2.11 NAS-Speicher
46.2.12 Raspberry Pi
46.3 Streamingsoftware
46.3.1 Betriebssysteme
46.3.2 Videostreaming mit dem VLC Media Player
46.3.3 Apps für mobile Endgeräte
46.4 Kodi Home Theater
46.4.1 Internetdienste einbinden
46.4.2 Mobilgeräte als Fernsteuerung
46.4.3 Medienverwaltung
46.5 Plex
47 Voice over IP
47.1 Grundlagen zu VoIP
47.1.1 Protokolle
47.1.2 ENUM
47.1.3 Audio-Codecs
47.2 Voraussetzungen für VoIP im Netzwerk
47.2.1 Quality of Service
47.2.2 NAT und Firewall
47.3 HD Voice
47.4 VoLTE
47.5 WiFi calling
47.6 SIP-Provider im Internet
47.7 Softphones
47.7.1 Skype: Einfacher geht es nicht
47.7.2 PhonerLite
47.8 VoIP-Hardware
47.8.1 FRITZ!Box Fon
47.8.2 IP-Telefon
47.8.3 TK-Anlagen
47.9 Headsets
47.9.1 USB
47.9.2 Bluethooth
47.9.3 DECT
48 Cloud-Computing
48.1 Infrastrukturen
48.1.1 Public Cloud
48.1.2 Private Cloud
48.1.3 Hybrid Cloud
48.2 Everything as a Service
48.2.1 Infrastructure as a Service
48.2.2 Platform as a Service
48.2.3 Software as a Service
48.3 Beispiele aus der Cloud
48.3.1 Microsoft Office Online und Microsoft 365
48.3.2 Microsoft OneDrive
48.3.3 Amazon S3
48.3.4 Dropbox
48.3.5 Google Drive
48.3.6 Amazon EC2
48.3.7 QNAP MyCloudNAS
48.3.8 Apple iCloud
48.3.9 Der Passwort-Safe KeePass
48.3.10 Drucker in der Cloud
48.3.11 IFTTT
48.3.12 Projektmanagement
48.4 Windows Cloud Clipboard
49 Hausautomation
49.1 Kabel und Funk im Vergleich
49.2 Sensoren und Aktoren
49.3 Zentrale oder dezentrale Steuerung?
50 FHEM-Steuerzentrale
50.1 FHEM auf dem Raspberry Pi installieren
50.2 Zugriff auf FHEM
50.3 Erste Schritte in FHEM
50.3.1 Internals
50.3.2 Readings
50.3.3 Attribute
50.4 Das CUL flashen und einbinden
50.5 Die grundlegende Konfiguration des CUL
50.6 Ein HomeMatic-Funkmodul für den Raspberry Pi
50.7 Weitere FHEM-Module
50.7.1 Aktuelle Wetterdaten
50.7.2 FRITZ!DECT-Steckdosen
50.7.3 Kodi Media Center
50.7.4 FHEM verschickt Benachrichtigungen
50.8 Zugriff auf FHEM mit Apps
50.9 Zugriff auf FHEM aus dem Internet
50.9.1 Ein neues FHEMWEB
50.9.2 Reverse Proxy
50.10 Einen Sprachassistenten einbinden
51 Eine FS20-Hausautomation mit FHEM
51.1 Kommunikation im FS20-Netzwerk
51.1.1 Der Hauscode
51.1.2 Der Gerätecode
51.1.3 Die Funktionsgruppe
51.1.4 Die lokale und globale Master-Adresse
51.2 Eine Zeitsteuerung für die Markise
51.3 Der Dimmer der Terrassenüberdachung
51.4 Sensoren anlernen
52 Eine HomeMatic-Hausautomation mit FHEM
52.1 Funkschnittstelle
52.2 Kommunikation im HomeMatic-Netzwerk
52.2.1 VCCU
52.2.2 Pairing von Komponenten
52.2.3 Peering von Komponenten
52.3 Steuern des Garagentorantriebes
52.4 Relais zum Brandmelder
52.5 Firmware
52.6 Sicherheit
53 Selbstgebaute Geräte mit dem ESP8266
53.1 Hardware
53.1.1 ESP-01
53.1.2 D1 Mini
53.1.3 Sensoren
53.2 Firmware flashen
53.2.1 Windows
53.2.2 Linux
53.2.3 macOS
53.3 Tasmota für WLAN konfigurieren
53.4 FHEM als MQTT Broker
53.5 MH-RD
53.6 DHT22
53.7 Tasmota als MQTT Publisher
53.8 Überwachung der Sensoren
53.9 Taupunktberechnung mit Dewpoint
53.10 Plot erzeugen
54 Raspberry Pi
54.1 Hardware im Vergleich
54.2 LAN-Performance in der Praxis
54.3 Stromversorgung
54.4 Firmwareeinstellungen
54.5 Auswahl des Betriebssystems für den Raspberry Pi
54.6 Eine bootfähige SD-Karte erstellen
54.7 Erste Schritte mit Raspberry Pi OS
54.7.1 IP-Konfiguration
54.7.2 WLAN-Konfiguration
55 Projekte mit dem Raspberry Pi
55.1 Raspberry Pi als Media Center
55.1.1 Raspberry Pi OS, OSMC, XBian oder LibreELEC?
55.1.2 Aufbau der Hardware
55.1.3 Erste Schritte mit LibreELEC
55.1.4 Zusätzliche Video-Codecs
55.2 Ihr eigener Router für unterwegs
55.2.1 Eine Bridge zwischen LAN und WLAN
55.2.2 Der Raspberry Pi als Access Point
55.2.3 Einrichten des Modems
55.2.4 Aufbau der Verbindung
55.2.5 Firewall und NAT
55.2.6 DHCP
55.2.7 Signalstärke
55.3 Der Raspberry-Pi-Radiowecker
55.3.1 Voraussetzungen
55.3.2 Music Player Daemon
55.3.3 Eine Fernbedienung für das Radio
55.3.4 Das Radio als Wecker nutzen
55.3.5 Alternative Fernbedienungen
55.4 Raspberry NAS
55.4.1 Hardware
55.4.2 Installation
55.4.3 Speicherplatzverwaltung
55.4.4 Netzwerkfreigaben
55.4.5 Backupsteuerung mit FHEM
55.5 Pi-hole als schwarzes Loch für Werbung
55.5.1 Installation
55.5.2 Konfiguration
55.5.3 Update
55.5.4 unbound als rekursiver DNS
A Linux-Werkzeuge
A.1 Vorbemerkung
A.2 Grundbefehle
A.3 Der Editor vi
A.4 Shell-Skripte
B Glossar
Stichwortverzeichnis
Rechtliche Hinweise
Über das Autorenteam
Citation preview
Martin Linten, Axel Schemberg, Kai Surendorf
PC-Netzwerke Das umfassende Handbuch 9., aktualisierte und erweiterte Auflage 2023
Impressum Dieses E-Book ist ein Verlagsprodukt, an dem viele mitgewirkt haben, insbesondere: Lektorat Christoph Meister
Korrektorat Petra Biedermann, Reken
Covergestaltung Mai Loan Nguyen Duy
Coverbild iStock: 1782982©Paul Hart, 1927421©sangfoto, 6870366©mishooo, 14857542©thp73, 27806979©PeopleImages, 34651384©KreangchaiRungfamai, 42008374©Olga Altunina; Shutterstock: 48858970©Shebeko, 129753287©JMiks; Veer: 8357049©BartekSzewczyk
Herstellung E-Book Arkin Keskin Satz E-Book Martin Linten, Axel Schemberg, Kai Surendorf
Bibliografische Information der Deutschen Nationalbibliothek:
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar. ISBN 978-3-8362-8530-8 9., aktualisierte und erweiterte Auflage 2023
© Rheinwerk Verlag GmbH, Bonn 2023
Liebe Leserin, lieber Leser, mit diesem Buch halten Sie ein seit vielen Jahren bewährtes Standardwerk zu allen Fragen der Vernetzung von Computern in den Händen. Die vielen positiven Rückmeldungen zeigen mir, dass alle bisherigen acht Auflagen zufriedene Leserinnen und Leser gefunden haben. Den Netzwerk-Experten Martin Linten, Axel Schemberg und Kai Surendorf ist es gelungen, Theorie und Praxis optimal miteinander zu verbinden. Sie beraten Sie kompetent von A bis Z bei der Einrichtung Ihres Netzwerkes. Von der Auswahl der richtigen Komponenten wie Kabel, Netzwerkkarten, Switches, Router oder NAS, der Bestimmung der besten Netzwerk-Architektur, der Einrichtung des Betriebssystems bis hin zu Fragen der Sicherheit. So gelingen Videokonferenzen und die Arbeit im Home Office genauso wie die Steuerung smarter Haushaltsgeräte, die sich in Ihrem WLAN tummeln. Darüber hinaus erhalten Sie alle Informationen, die Sie benötigen, um Ihr Netzwerk auch in der Theorie zu verstehen. So wissen Sie von Anfang an, wie alles funktioniert und zusammenhängt und haben im Bedarfsfall schnell den Fehler gefunden. Dieses Buch wurde mit großer Sorgfalt lektoriert und produziert. Sollten Sie dennoch Fehler finden oder inhaltliche Anregungen haben, scheuen Sie sich nicht, mit uns Kontakt aufzunehmen. Ihre Fragen und Änderungswünsche sind uns jederzeit willkommen.
Ihr Christoph Meister
Lektorat Rheinwerk Computing [email protected]
www.rheinwerk-verlag.de
Rheinwerk Verlag • Rheinwerkallee 4 • 53227 Bonn
Inhaltsverzeichnis Aus dem Lektorat Inhaltsverzeichnis
Vorwort
1 Einleitung 1.1 Aufbau des Buches 1.2 Formatierungen und Auszeichnungen 1.3 Listings 1.4 Das Material zum Buch
2 Schnelleinstieg: für Praktiker
2.1 Planung: Welche Komponenten benötigen Sie? 2.2 Kabel – wenn ja, welches? 2.2.1 Twisted Pair 2.2.2 Wireless LAN 2.2.3 Powerline mit HomePlug
2.3 Beispiel: Familie Müller 2.4 Einkaufen 2.5 Multifunktionsgeräte 2.6 Hardware ein- und aufbauen 2.6.1 PCI-/PCIe-Netzwerkkarten 2.6.2 PC-Card 2.6.3 USB-Adapter 2.6.4 WLAN-Karten 2.6.5 LAN-Verschaltung
2.7 IP konfigurieren 2.8 Funktionstest
Teil I Netzwerk-Grundwissen 3 Grundlagen der Kommunikation
3.1 Kommunikation im Alltag 3.2 Kommunikation zwischen Computern 3.3 Was ist nun ein Netzwerk?
4 Netzwerktopologien 4.1 Bustopologie 4.2 Ringtopologie 4.3 Sterntopologie
5 Kommunikationsmodelle 5.1 DoD-Modell 5.2 ISO/OSI-Modell 5.3 Ablauf der Kommunikation
Teil II Lokale Netze 6 Ethernet
6.1 Ursprung von Ethernet 6.2 Fast Ethernet 6.3 Gigabit-Ethernet 6.4 NBase-T 6.5 IEEE 802.3ae – 10GBASE 6.6 IEEE 802.3an – 10GBASE-T 6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet 6.8 IEEE 802.3bs – 200- und 400Gigabit-Ethernet 6.9 Hub 6.10 Switch 6.10.1 Ethernet Broadcast 6.10.2 Ethernet-Multicast 6.10.3 Ausblick
6.11 Virtual LAN 6.11.1 Portbasierte VLANs 6.11.2 Tagged VLANs
6.12 Das Ethernet-Datagramm
7 Wireless LAN
7.1 IEEE 802.11 7.2 IEEE 802.11b 7.3 IEEE 802.11a/h 7.4 IEEE 802.11g 7.5 IEEE 802.11n – WiFi 4 7.6 IEEE 802.11ac – WiFi 5 7.7 IEEE 802.11ax – WiFi 6 7.8 IEEE 802.11be – WiFi 7 7.9 IEEE 802.11ad 7.10 IEEE 802.11ay 7.11 IEEE 802.11e 7.12 Wi-Fi Alliance 7.13 Beschleunigertechniken 7.13.1 Channel Bonding 7.13.2 Frame Bursting 7.13.3 Frame Aggregation 7.13.4 Beamforming 7.13.5 Multiple Input, Multiple Output 7.13.6 Multi-User MIMO 7.13.7 Quadratur-Amplituden-Modulation
7.14 Kanalwahl 7.14.1 2,4-GHz-Band 7.14.2 5-GHz-Band
7.15 Sendeleistung 7.16 Antennenausrichtung und Position 7.17 Sicherheit von WLANs 7.18 Hot Spots 7.18.1 FON 7.18.2 Freifunk
7.19 WLAN-Direktverbindungen 7.20 WLAN-Mesh 7.21 Abgrenzung zu anderer drahtloser Kommunikation 7.21.1 Bluetooth 7.21.2 Near-Field Communication 7.21.3 Long Range Wide Area Network
7.22 Ausblick
8 Netzwerk ohne neue Kabel 8.1 Daten über Stromkabel 8.1.1 HomePlug 1.0 8.1.2 HomePlug AV 8.1.3 HomePlug AV2 8.1.4 HomePlug GreenPHY 8.1.5 HomeGrid
8.2 Powerline Telecommunication 8.3 Sicherheit
9 Glasfasertechnik 9.1 Kabel 9.2 Stecker 9.3 SFP-Module
Teil III Weitverkehrsnetze 10 Kabelinternetzugang 10.1 Aufbau 10.2 Marktsituation
11 DSL 11.1 ADSL
11.2 SDSL 11.3 VDSL 11.4 VDSL2 11.5 VDSL2-Vectoring 11.6 Supervectoring 11.7 G.fast 11.8 TV über das Telefonkabel
12 Fibre-Internet Teil IV Höhere Protokollschichten 13 Kabelloser Internetzugang 13.1 Vertragsarten und Anwendung 13.2 Verbindungsaufbau mit MWconn und ixconn 13.3 Verbindungsaufbau mit Huawei HiLink
13.4 Messen der Signalstärke 13.5 Signalverstärkung 13.6 GPRS 13.7 EDGE 13.8 UMTS 13.9 LTE 13.10 5G 13.11 WiMAX
14 Das Internetprotokoll 14.1 IP-Broadcast 14.2 IPv4-Multicast 14.3 Routing 14.4 Private IP-Adressen 14.5 Network Address Translation 14.6 Carrier-grade NAT 14.7 IP-Version 6 14.7.1 IPv6-Adressen 14.7.2 Privacy Extension 14.7.3 IPv6-Multicast
14.7.4 Migration 14.7.5 Dual Stack 14.7.6 DS-Lite
14.8 IPv6 ausprobieren 14.8.1 IPv6-Tunnel mit Endpunkt FRITZ!Box 14.8.2 Das Firefox-Add-on »IP Address and Domain Information«
14.9 IPv6-only 14.10 Das IPv4-Datagramm 14.11 Das IPv6-Datagramm
15 Address Resolution Protocol und Neighbor Discovery Protocol 15.1 Address Resolution Protocol 15.2 Neighbor Discovery Protocol 15.3 Das ARP-Datagramm 15.4 Das NDP-Datagramm
16 Internet Control Message Protocol
16.1 Paketlaufzeiten 16.2 Das ICMP-Datagramm 16.3 Das ICMPv6-Datagramm
17 Transmission Control Protocol 17.1 Der Ablauf einer TCP-Verbindung 17.2 Multipath-TCP 17.3 Das TCP-Datagramm
18 User Datagram Protocol 18.1 Der Ablauf einer UDP-Verbindung 18.2 Das UDP-Datagramm
19 DHCP 19.1 Die einzelnen Pakete
19.2 Der DHCP-Ablauf 19.2.1 Initialisierung 19.2.2 Gebundenheit 19.2.3 Erneuerung
19.3 IPv6-Konfiguration 19.3.1 IPv6-Autokonfiguration mit SLAAC 19.3.2 DHCPv6
19.4 Das DHCP-Datagramm 19.5 Das DHCPv6-Datagramm
20 Namensauflösung 20.1 Die »hosts«-Datei 20.2 NetBIOS 20.3 WINS 20.4 DNS 20.4.1 Resource Records 20.4.2 DNS als Filter 20.4.3 DNS und Datenschutz 20.4.4 DNSSEC 20.4.5 DNS over TLS/HTTPS
20.5 Multicast DNS 20.6 LLMNR
20.7 systemd-resolved
21 Simple Network Management Protocol (SNMP) Teil V Praxiswissen 22 Service Discovery 22.1 Universal Plug and Play 22.2 Zeroconf 22.2.1 Windows 22.2.2 macOS 22.2.3 Avahi unter Linux
23 Netzwerkkabel 23.1 Kategorien 23.2 Linkklassen 23.3 Schirmung
23.4 Netzwerkstecker anbringen 23.5 Kabeltest 23.6 Patchpanel und Netzwerkdosen anschließen 23.7 Cross-Kabel
24 Netzwerkkarten 24.1 Kaufhilfe für kabelgebundene Netzwerkkarten 24.2 PCI-Express-Netzwerkkarten 24.3 PCI Express Mini Card 24.4 Next Generation Form Factor oder M.2 24.5 PC-Card/Cardbus/ExpressCard 24.6 USB-Adapter 24.7 WLAN-Netzwerkkarten 24.8 Sonderfunktionen 24.8.1 Half-/Fullduplex 24.8.2 Autonegotiation 24.8.3 Autosensing
24.8.4 Trunking 24.8.5 Wake-on-LAN 24.8.6 Auto MDI-X
25 Switches 25.1 Einsteiger: Mini-Switches 25.2 Webmanaged Switches 25.3 Fachbegriffe für den Switch-Kauf 25.3.1 Fazit und Empfehlung
25.4 Ein eigenes VLAN und WLAN für Gäste
26 Windows einrichten 26.1 Windows-Versionen und Editionen 26.1.1 Windows 11 26.1.2 Windows 10 26.1.3 Windows 8
26.2 Hardwareerkennung
26.3 IPv4-Konfiguration 26.4 IPv6-Konfiguration 26.5 Windows-Firewall 26.6 Jugendschutz 26.7 File History 26.7.1 Ein Laufwerk auswählen 26.7.2 Erweiterte Einstellungen 26.7.3 Restore
26.8 Windows Defender 26.9 Microsoft-Konto 26.10 Einstellungen synchronisieren 26.11 Bildcode 26.12 Client HyperV 26.13 Netzwerk- und Freigabecenter 26.13.1 Öffentliches oder privates Netzwerk 26.13.2 Netzwerkerkennung und Freigabeoptionen 26.13.3 Dateifreigaben einrichten 26.13.4 Öffentlicher Ordner 26.13.5 Netzlaufwerke 26.13.6 Druckerfreigabe 26.13.7 Medienstreaming 26.13.8 Versteckte Freigabe 26.13.9 Häufige Probleme
26.14 Microsoft-Konto verknüpfen 26.15 Windows in verschiedenen Netzwerken 26.16 Microsoft Edge 26.17 Windows-Subsystem für Linux 26.18 Smartphone mit Windows verknüpfen
27 Linux einrichten 27.1 Dokumentation 27.2 Administration 27.3 Predictable Interface Names 27.4 Auswahl des Netzwerkmanagers 27.5 NetworkManager 27.6 Wicd 27.7 Das systemd-Projekt 27.7.1 systemd-networkd 27.7.2 Migration zum systemd-networkd
27.8 Netzwerkkarte unter SUSE einrichten
27.9 IPv4-Konfiguration 27.10 IPv6-Konfiguration 27.11 Firewalld 27.12 WLAN unter Linux 27.12.1 Flugzeugmodus mit RFkill 27.12.2 WLAN unter SUSE einrichten
28 macOS einrichten 28.1 Netzwerkumgebungen 28.2 Schnittstellen verwalten 28.3 Schnittstellen konfigurieren 28.4 WLAN-Karte konfigurieren 28.5 Die Firewalls von macOS 28.6 »networksetup« am Terminal 28.7 Freigaben für Windows unter macOS 28.7.1 Ordner freigeben 28.7.2 Freigabe aktivieren
29 Troubleshooting
29.1 Problemursachen finden 29.2 Fehlersuche Schritt für Schritt 29.2.1 Kabel 29.2.2 Netzwerkkartentreiber 29.2.3 IP-Konfiguration
29.3 Checkliste 29.4 Windows-Bordmittel 29.4.1 IP-Konfiguration auslesen 29.4.2 MAC-Adressen und IP-Adressen 29.4.3 DHCP erneuern 29.4.4 »ping« 29.4.5 »traceroute« 29.4.6 »route« 29.4.7 TCP-/UDP-Verbindungen 29.4.8 NetBIOS 29.4.9 Der Windows-Ressourcenmonitor 29.4.10 Network Diagnostics Framework
29.5 Linux-Bordmittel 29.5.1 Ethernet-Konfiguration: »ethtool« 29.5.2 IP-Konfiguration auslesen 29.5.3 MAC-Adressen und IP-Adressen 29.5.4 »ping« 29.5.5 »bing« 29.5.6 »traceroute« 29.5.7 »ip route« 29.5.8 MTU: »tracepath«
29.5.9 TCP-/UDP-Verbindungen 29.5.10 Portscanner: »nmap«
29.6 Bordmittel von macOS 29.6.1 IP-Konfiguration auslesen 29.6.2 ping und ping6 29.6.3 »traceroute« 29.6.4 Routingtabelle mit »netstat« einsehen 29.6.5 TCP"=/UDP-Verbindungen mit »netstat« 29.6.6 Portscan mit »stroke« 29.6.7 Drahtlose Netzwerke mit »airportd« überblicken 29.6.8 Geschwindigkeiten mit »networkQuality« ermitteln
30 Zusatzprogramme 30.1 Wireshark 30.1.1 Umgang mit Filtern 30.1.2 Auswertung des Mitschnittes 30.1.3 Paketmitschnitt am Router 30.1.4 Wireshark und Oracle VM VirtualBox 30.1.5 Beispiel: Mit Wireshark auf der Spur von IPv6
30.2 Zusatzprogramme für Windows 30.2.1 CurrPorts
30.2.2 WifiInfoView 30.2.3 Tftpd64 30.2.4 SlimFTPd 30.2.5 FileZilla 30.2.6 Microsoft Message Analyser
30.3 Zusatzprogramme für Linux 30.3.1 Performanceüberblick mit xosview 30.3.2 Pakete mitschneiden mit IPTraf
31 Netzwerkgeschwindigkeit ermitteln 31.1 Performancemessung mit NetIO 31.1.1 Windows 31.1.2 Linux
31.2 Performancemessung mit iPerf 31.3 Intel NAS Performance Toolkit
32 Fernadministration und Zusammenarbeit 32.1 Telnet
32.2 Secure Shell (SSH) 32.2.1 Passwortgeschützte Verbindung mit Serverschlüssel 32.2.2 Passphrasegeschützte Verbindung mit Clientschlüssel 32.2.3 SSH Single Sign-On 32.2.4 Erweiterte Konfiguration des Servers 32.2.5 SSH unter macOS nutzen 32.2.6 SSH-Client-App
32.3 X11, das grafische System unter Linux 32.3.1 X11-Client 32.3.2 X11-Server 32.3.3 Getunneltes X11 32.3.4 Xming, X11 für Windows 32.3.5 X11 unter macOS
32.4 Remotedesktop 32.4.1 RDP für Linux 32.4.2 Remotedesktop-Verbindung für macOS
32.5 Windows Admin Center 32.6 Windows-Remoteunterstützung Easy Connect 32.7 Quick Assist 32.8 TeamViewer
32.9 Virtual Network Computing (VNC) 32.9.1 VNC-Client und VNC-Server 32.9.2 Getunneltes VNC 32.9.3 Bildschirmfreigabe unter macOS
32.10 Zusammenarbeit im Internet – Kollaboration 32.10.1 WebEx und Apache OpenMeetings 32.10.2 Mikogo
33 Sicherheit und Datenschutz im LAN und im Internet 33.1 Mögliche Sicherheitsprobleme 33.1.1 Authentifizierung und Autorisierung 33.1.2 Datenintegrität 33.1.3 Schadprogramme 33.1.4 Sicherheitslücken 33.1.5 Exploit 33.1.6 Fallbeispiele 33.1.7 Der Hackerparagraph
33.2 Angriffsarten: Übersicht 33.3 ARP- und NDP-Missbrauch 33.4 Sicherheitslösungen im Überblick
33.4.1 Firewall 33.4.2 Virenscanner 33.4.3 Network Intrusion Detection System 33.4.4 Unsichere Passwörter 33.4.5 Multi-Faktor-Authentifizierung
34 Programme zur Netzwerksicherheit 34.1 Firewalls für Windows 34.2 IPTables, Firewall für Linux 34.3 Firewalls testen
35 WLAN und Sicherheit 35.1 WEP 35.2 WPA 35.3 WPA2 35.4 WPA3 35.5 Access List 35.6 Wi-Fi Protected Setup
35.7 WLAN-Konfiguration per QR-Code 35.8 WLAN-Sicherheit analysieren
36 Verschlüsselung 36.1 Symmetrische Verschlüsselung 36.2 Asymmetrische Verschlüsselung 36.3 Hybride Verschlüsselung 36.4 Signaturen 36.5 (Un-)Sicherheitsfaktoren der Verschlüsselung 36.6 GNU Privacy Guard (GnuPG) 36.6.1 Schlüsselgenerierung 36.6.2 Export 36.6.3 Import 36.6.4 Überprüfung 36.6.5 Signierung 36.6.6 Verschlüsselung 36.6.7 Entschlüsselung 36.6.8 Vertrauen 36.6.9 Keyserver 36.6.10 Keysigning-Partys 36.6.11 KGpg
36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln 36.7.1 S/MIME, PGP/MIME und PGP/INLINE 36.7.2 Autocrypt und p≡p
36.8 Volksverschlüsselung 36.9 GPGTools für macOS 36.10 Verschlüsselte Kommunikation mit Servern
37 Virtual Private Network 37.1 PPTP 37.2 L2TP 37.3 IPsec 37.4 SSL-VPN 37.5 WireGuard VPN 37.6 End-to-Site-VPN 37.7 Site-to-Site-VPN 37.8 VPN zwischen Netzwerken 37.9 FRITZ!Box-VPN
38 Internetzugang 38.1 Hardwarerouter 38.1.1 Router für die Internetanbindung 38.1.2 Kriterien für den Routerkauf 38.1.3 Stand der Dinge 38.1.4 Mobiler Internetzugang 38.1.5 Hybridrouter 38.1.6 FRITZ!Box hinter dem Hybridrouter 38.1.7 Alternative Firmware
38.2 OpenWrt – ein freies Betriebssystem für Router 38.2.1 Warum OpenWrt? 38.2.2 Los geht's
38.3 Proxy
39 DynDNS-Dienste 39.1 Anbieter 39.1.1 Aktualisierung der IP-Adresse 39.1.2 Router 39.1.3 MyFRITZ!
39.1.4 Software 39.1.5 Update Clients für macOS
40 Netzwerkspeicher 40.1 EasyNAS, FreeNAS, OpenMediaVault und Co. 40.2 Router mit externer USB-Platte 40.2.1 DSL-Router
40.3 Hardware-NAS 40.3.1 Art und Anzahl der Festplatten 40.3.2 Fallstricke bei der Auswahl 40.3.3 Einbindung ins Netzwerk
41 Virtualisierung 41.1 Hardwarevoraussetzungen 41.2 Oracle VM VirtualBox 41.3 Virtuelle Netzwerke 41.4 VMware Workstation Player
41.5 Anpassungen des Gastbetriebssystems 41.6 Tuning 41.7 Windows Sandbox
42 Virtuelle Appliances 42.1 IP-Adressen der virtuellen Maschinen 42.2 Web Proxy Appliance 42.2.1 Einbinden der virtuellen Maschine 42.2.2 Den Proxy Squid verwenden 42.2.3 Proxy unter macOS konfigurieren 42.2.4 Webfilter
42.3 Asterisk Appliance 42.3.1 Einbinden der virtuellen Maschine 42.3.2 Incredible PBX konfigurieren 42.3.3 Telefone konfigurieren 42.3.4 SIP-Provider konfigurieren
43 siegfried6 – ein vielseitiger Server
43.1 Motivation – oder: Warum ausgerechnet Linux? 43.2 Aufgaben Ihres Netzwerkservers 43.3 Einbinden der virtuellen Maschine 43.4 Das B-Tree-Dateisystem 43.5 Webmin 43.6 DHCP-Server 43.7 Samba als Fileserver 43.7.1 Samba-Benutzer 43.7.2 Freigaben 43.7.3 Linux-Rechte 43.7.4 Samba-Berechtigungen
43.8 Windows als Client 43.8.1 Einfacher Zugriff 43.8.2 Netzlaufwerke
43.9 Linux als Client 43.9.1 Dolphin 43.9.2 Samba-Filesystem
43.10 macOS als Client 43.11 Windows und macOS als Server 43.12 Drucken im Netzwerk 43.12.1 Drucker am Server einrichten 43.12.2 PDF-Drucker
43.13 Netzwerkdrucker am Client einrichten 43.13.1 Windows 43.13.2 Linux 43.13.3 macOS 43.13.4 Druckertreiber für den PDF-Drucker
43.14 Mailserver 43.14.1 Mails mit Postfix verschicken 43.14.2 Mails mit Postfix empfangen 43.14.3 Test des SMTP-Servers 43.14.4 Maildir-Format 43.14.5 Mails mit Postfix über einen Provider verschicken 43.14.6 Authentifizierung
43.15 Postfachinhalte aus dem Internet holen 43.15.1 ».fetchmailrc« 43.15.2 Konfiguration 43.15.3 Zugriffstest
43.16 Regelmäßiges Abholen der Post 43.16.1 Automatisches Abholen 43.16.2 Automatischer Start von Fetchmail 43.16.3 Regelmäßiges Abholen per Cronjob
43.17 IMAP-Server für Clients im LAN vorbereiten
43.18 IMAP-Clients im LAN an den Server anbinden 43.18.1 Mozilla Thunderbird 43.18.2 Apple Mail
43.19 Shared Folders 43.20 Time-Server 43.20.1 Zeitserver aufsetzen 43.20.2 Linux-Client an den Zeitserver anbinden 43.20.3 systemd-timesyncd 43.20.4 Windows-Client an den Zeitserver anbinden 43.20.5 macOS-Client an den Zeitserver anbinden 43.20.6 Systemzeit virtueller Maschinen
44 Containertechnologie 44.1 Docker Client 44.2 Dockerfile 44.3 Docker Cloud 44.4 CI/CD
45 Netzwerkbackup
45.1 Wozu Backup? 45.1.1 Backup 45.1.2 Restore 45.1.3 Disaster Recovery
45.2 Clonezilla 45.2.1 Backup mit Clonezilla 45.2.2 Restore mit Clonezilla
45.3 Windows-Bordmittel 45.3.1 Robocopy 45.3.2 SyncToy 45.3.3 Offlinedateien 45.3.4 Systemabbild 45.3.5 Windows File History
45.4 Linux »rsync« 45.5 macOS Time Machine 45.6 Cloud-Backup 45.6.1 Amazon S3 45.6.2 File History mit Synchronisation in die Cloud
46 Medienstreaming 46.1 Protokolle und Codecs 46.1.1 Audio-Codecs
46.1.2 Video-Codecs 46.1.3 Streamingdienste
46.2 Streaminghardware 46.2.1 Netzwerkkamera 46.2.2 Digitaler Bilderrahmen 46.2.3 Internetradio 46.2.4 TV Media Player 46.2.5 TV-Geräte 46.2.6 Sat-over-IP 46.2.7 Linux Receiver 46.2.8 Spielekonsolen 46.2.9 Smartphones 46.2.10 Router 46.2.11 NAS-Speicher 46.2.12 Raspberry Pi
46.3 Streamingsoftware 46.3.1 Betriebssysteme 46.3.2 Videostreaming mit dem VLC Media Player 46.3.3 Apps für mobile Endgeräte
46.4 Kodi Home Theater 46.4.1 Internetdienste einbinden 46.4.2 Mobilgeräte als Fernsteuerung 46.4.3 Medienverwaltung
46.5 Plex
47 Voice over IP 47.1 Grundlagen zu VoIP 47.1.1 Protokolle 47.1.2 ENUM 47.1.3 Audio-Codecs
47.2 Voraussetzungen für VoIP im Netzwerk 47.2.1 Quality of Service 47.2.2 NAT und Firewall
47.3 HD Voice 47.4 VoLTE 47.5 WiFi calling 47.6 SIP-Provider im Internet 47.7 Softphones 47.7.1 Skype: Einfacher geht es nicht 47.7.2 PhonerLite
47.8 VoIP-Hardware 47.8.1 FRITZ!Box Fon 47.8.2 IP-Telefon 47.8.3 TK-Anlagen
47.9 Headsets 47.9.1 USB
47.9.2 Bluethooth 47.9.3 DECT
48 Cloud-Computing 48.1 Infrastrukturen 48.1.1 Public Cloud 48.1.2 Private Cloud 48.1.3 Hybrid Cloud
48.2 Everything as a Service 48.2.1 Infrastructure as a Service 48.2.2 Platform as a Service 48.2.3 Software as a Service
48.3 Beispiele aus der Cloud 48.3.1 Microsoft Office Online und Microsoft 365 48.3.2 Microsoft OneDrive 48.3.3 Amazon S3 48.3.4 Dropbox 48.3.5 Google Drive 48.3.6 Amazon EC2 48.3.7 QNAP MyCloudNAS 48.3.8 Apple iCloud 48.3.9 Der Passwort-Safe KeePass 48.3.10 Drucker in der Cloud 48.3.11 IFTTT
48.3.12 Projektmanagement
48.4 Windows Cloud Clipboard
49 Hausautomation 49.1 Kabel und Funk im Vergleich 49.2 Sensoren und Aktoren 49.3 Zentrale oder dezentrale Steuerung?
50 FHEM-Steuerzentrale 50.1 FHEM auf dem Raspberry Pi installieren 50.2 Zugriff auf FHEM 50.3 Erste Schritte in FHEM 50.3.1 Internals 50.3.2 Readings 50.3.3 Attribute
50.4 Das CUL flashen und einbinden
50.5 Die grundlegende Konfiguration des CUL 50.6 Ein HomeMatic-Funkmodul für den Raspberry Pi 50.7 Weitere FHEM-Module 50.7.1 Aktuelle Wetterdaten 50.7.2 FRITZ!DECT-Steckdosen 50.7.3 Kodi Media Center 50.7.4 FHEM verschickt Benachrichtigungen
50.8 Zugriff auf FHEM mit Apps 50.9 Zugriff auf FHEM aus dem Internet 50.9.1 Ein neues FHEMWEB 50.9.2 Reverse Proxy
50.10 Einen Sprachassistenten einbinden
51 Eine FS20-Hausautomation mit FHEM 51.1 Kommunikation im FS20-Netzwerk 51.1.1 Der Hauscode 51.1.2 Der Gerätecode
51.1.3 Die Funktionsgruppe 51.1.4 Die lokale und globale Master-Adresse
51.2 Eine Zeitsteuerung für die Markise 51.3 Der Dimmer der Terrassenüberdachung 51.4 Sensoren anlernen
52 Eine HomeMaticHausautomation mit FHEM 52.1 Funkschnittstelle 52.2 Kommunikation im HomeMaticNetzwerk 52.2.1 VCCU 52.2.2 Pairing von Komponenten 52.2.3 Peering von Komponenten
52.3 Steuern des Garagentorantriebes 52.4 Relais zum Brandmelder 52.5 Firmware 52.6 Sicherheit
53 Selbstgebaute Geräte mit dem ESP8266 53.1 Hardware 53.1.1 ESP-01 53.1.2 D1 Mini 53.1.3 Sensoren
53.2 Firmware flashen 53.2.1 Windows 53.2.2 Linux 53.2.3 macOS
53.3 Tasmota für WLAN konfigurieren 53.4 FHEM als MQTT Broker 53.5 MH-RD 53.6 DHT22 53.7 Tasmota als MQTT Publisher 53.8 Überwachung der Sensoren 53.9 Taupunktberechnung mit Dewpoint 53.10 Plot erzeugen
54 Raspberry Pi
54.1 Hardware im Vergleich 54.2 LAN-Performance in der Praxis 54.3 Stromversorgung 54.4 Firmwareeinstellungen 54.5 Auswahl des Betriebssystems für den Raspberry Pi 54.6 Eine bootfähige SD-Karte erstellen 54.7 Erste Schritte mit Raspberry Pi OS 54.7.1 IP-Konfiguration 54.7.2 WLAN-Konfiguration
55 Projekte mit dem Raspberry Pi 55.1 Raspberry Pi als Media Center 55.1.1 Raspberry Pi OS, OSMC, XBian oder LibreELEC? 55.1.2 Aufbau der Hardware 55.1.3 Erste Schritte mit LibreELEC 55.1.4 Zusätzliche Video-Codecs
55.2 Ihr eigener Router für unterwegs 55.2.1 Eine Bridge zwischen LAN und WLAN
55.2.2 Der Raspberry Pi als Access Point 55.2.3 Einrichten des Modems 55.2.4 Aufbau der Verbindung 55.2.5 Firewall und NAT 55.2.6 DHCP 55.2.7 Signalstärke
55.3 Der Raspberry-Pi-Radiowecker 55.3.1 Voraussetzungen 55.3.2 Music Player Daemon 55.3.3 Eine Fernbedienung für das Radio 55.3.4 Das Radio als Wecker nutzen 55.3.5 Alternative Fernbedienungen
55.4 Raspberry NAS 55.4.1 Hardware 55.4.2 Installation 55.4.3 Speicherplatzverwaltung 55.4.4 Netzwerkfreigaben 55.4.5 Backupsteuerung mit FHEM
55.5 Pi-hole als schwarzes Loch für Werbung 55.5.1 Installation 55.5.2 Konfiguration 55.5.3 Update 55.5.4 unbound als rekursiver DNS
A Linux-Werkzeuge
A.1 Vorbemerkung A.2 Grundbefehle A.3 Der Editor vi A.4 Shell-Skripte
B Glossar Stichwortverzeichnis Rechtliche Hinweise Über das Autorenteam
Vorwort Die Möglichkeiten scheinen unbegrenzt: Smart Home, Streaming, Virtualisierung, Cloud-Computing, IPv6 und mobiles Internet sind heute in aller Munde – doch was genau verbirgt sich eigentlich hinter diesen Begriffen? Wie kann man die neuen Technologien ganz praktisch für sich nutzen? Dieses Buch legt zunächst die Grundlagen und vertieft danach alle aktuellen Themen, wobei – wie schon in den ersten acht Auflagen – der Schwerpunkt eindeutig auf der Praxis liegt. Ihnen geht es vielleicht auch so wie uns: Was Sie selbst ausprobieren, ist besser verständlich und bleibt besser im Gedächtnis. Damit Sie Netzwerkfunktionen bequem testen können, liegt dem Buch wieder eine DVD mit Software und mehreren virtuellen Maschinen bei. Eine dieser virtuellen Maschinen ist siegfried, der bewährte Server für zu Hause. Testen Sie siegfried zusammen mit den anderen virtuellen Maschinen von der Buch-DVD auf Ihrem PC, ohne dass eine Veränderung Ihres Systems oder eigene Hardware erforderlich ist. Nicht nur bei den Themen Hausautomation, Raspberry Pi, Medienstreaming, Voice over IP, Virtualisierung und Cloud legen wir viel Wert auf praxisnahe und nachvollziehbare Projekte. Diese machen großen Spaß bei der Umsetzung und helfen ganz nebenbei, Ihr neu erworbenes Wissen zu festigen und zu vertiefen.
Wir sind uns sicher, dass uns mit dieser Auflage die Verknüpfung von Information, Praxisbeispielen und Software aus einer Hand erneut geglückt ist. So wünschen wir Ihnen gutes Gelingen und viel Freude mit diesem Buch! Erst nachdem wir ein Buch geschrieben hatten, konnten wir nachvollziehen, dass sich Autoren üblicherweise bei ihren Familien bedanken. An euch, die ihr Rücksicht genommen und uns äußerst geduldig ertragen habt: Vielen Dank! Axel Schemberg, Martin Linten und Kai Surendorf
1 Einleitung Wie sollten Sie mit diesem Buch arbeiten? Ich möchte Ihnen hier das Konzept dieses Buches vorstellen und die verwendeten Textauszeichnungen erklären, so dass Sie sich besser zurechtfinden. Dieses Buch ist darauf ausgelegt, Ihnen sowohl die notwendigen theoretischen Grundlagen zu vermitteln als auch viele praktische Anwendungen zu schildern. Diese können Sie dann in Ihrem Netzwerk anhand der Schritt-für-Schritt-Beschreibungen umsetzen.
1.1 Aufbau des Buches Dieses Buch besteht aus sechs Teilen: Netzwerk-Grundwissen, Kapitel 3 bis Kapitel 5 Lokale Netze, Kapitel 6 bis Kapitel 9 Weitverkehrsnetze, Kapitel 10 bis Kapitel 13 Höhere Protokollschichten, Kapitel 14 bis Kapitel 22 Praxiswissen, Kapitel 23 bis Kapitel 55 Anhang Der Teil »Netzwerk-Grundwissen« vermittelt Ihnen die theoretischen Grundlagen, die Sie immer wieder benötigen werden.
Meiner Meinung nach ist es unabdingbar, über eine solide Wissensbasis zu verfügen, bevor man sich weiter mit Netzwerken in der Praxis beschäftigt; daher ist dies der erste Teil des Buches. »Lokale Netze« (LAN) sind örtlich begrenzte Netzwerke, wie z. B. ein Firmennetzwerk oder Ihr Heimnetzwerk. Der Teil »Weitverkehrsnetze« beschäftigt sich mit der Verbindung eines lokalen Netzes mit dem Internet. Im Teil »Höhere Protokollschichten« erkläre ich wichtige Protokolle, denen Sie in Ihrem LAN und im Internet täglich begegnen. Der Teil »Praxiswissen« umfasst den größten Teil dieses Buches. Hier zeige ich Ihnen, wie Sie mit Hilfe der zuvor erworbenen Grundlagen ein Netzwerk aufbauen können. Ich beginne bei Kabeln und ende mit Anwendungssoftware, Cloud-Computing, Hausautomation und dem Raspberry Pi. Anhand von praktischen Beispielen werden in diesem Teil alle einzelnen Schritte erklärt und vorgeführt. Sie finden hier Beschreibungen dafür, wie Sie die Netzwerkeinstellungen bei den Betriebssystemen vornehmen können oder welche Programme sich für den Einsatz im Netzwerk eignen. Im Anhang finden Sie nützliche Informationen, beispielsweise eine kleine Einführung in Linux-Befehle. [+] Sie müssen nicht das ganze Buch von vorn bis hinten lesen! Ich habe darauf geachtet, dass jeder Bereich auch für sich allein möglichst verständlich ist.
Wenn Sie sich dem Thema Netzwerk auf eher theoretische Weise nähern möchten, dann sollten Sie den Teil »Netzwerk-
Grundwissen« zuerst lesen. Damit haben Sie die wichtigste Grundlage für das Verständnis von Netzwerken gelegt. Nebenbei bemerkt gehören Sie dann zu den wenigen Menschen auf diesem Planeten, die wissen, wovon sie reden, wenn über TCP/IP gesprochen wird. Wenn Sie nicht über die Geduld verfügen, sich vorab mit der Theorie auseinanderzusetzen, dann finden Sie in Kapitel 2 den »Schnelleinstieg: für Praktiker«. Genauso effektiv können Sie das Pferd auch von hinten aufzäumen und sich gleich zu Beginn ein spannendes Projekt aus dem Teil »Praxiswissen« aussuchen, z. B. ein Projekt mit einem Raspberry Pi oder einer virtuellen Maschine aus den Materialien zum Buch, um nur einige der beschriebenen Möglichkeiten zu nennen. Wenn Sie anschließend die Grundlagen erfahren möchten, finden Sie in den Praxisbeispielen laufend Verweise in den vorderen Teil des Buches. Die Erläuterungen zu macOS beziehen sich in erster Linie auf die Version 12, Monterey. Unter dieser Version wurden auch die Bildschirmfotos erstellt. Die beschriebenen Verfahren und Methoden gelten jedoch auch für die meisten vorhergehenden Versionen. Apple hat zwar in den letzten Jahren jährlich neue Versionen seines Systems publiziert, aber die Unterschiede und Weiterentwicklungen sind, gerade im Bereich Netzwerk, eher marginal. Lediglich das Netzwerkdienstprogramms, das ja in erster Linie eine grafische Oberfläche für Befehle am Terminal darstellte, ist weggefallen.
1.2 Formatierungen und Auszeichnungen Ein umfangreicher Text kommt um Formatierungen nicht herum. Zunächst möchte ich Ihnen die Symbole vorstellen, die Sie in der Randspalte finden. [»] Zur Verdeutlichung nenne ich hier ein Beispiel. Es kann sein, dass ich im weiteren Text Bezug auf dieses Beispiel nehme, allerdings habe ich umfangreichere Beispiele vermieden, sonst müssten Sie das ganze Buch von vorn bis hinten lesen. [+] Wenn Stellen mit diesem Zeichen versehen sind, möchte ich Sie auf eine Sache besonders hinweisen. [!] Die hier beschriebene Funktion/Aktion hat nicht nur Vorteile. Wenn Sie sie umsetzen, dann können erhebliche Nachteile, z. B. Sicherheitslücken, auftreten. [o] Zu diesem Buch können Sie sich eine ISO-Datei herunterladen. Viele der von mir angesprochenen Programme sind dort enthalten. Sie können diese Datei entweder direkt in Ihr Dateisystem einbinden oder sie auf einen USB-Stick schreiben bzw. auf eine DVD brennen. Dieses Symbol macht Sie darauf aufmerksam; im Text finden Sie den Hinweis darauf, in welchem Verzeichnis das beschriebene Programm liegt. Nachdem Sie jetzt in Bezug auf die Symbolik völlig im Klaren sind, möchte ich Ihnen noch kurz die Textformatierungen erläutern: Befehle oder Angaben, die Sie eingeben müssen, habe ich in nichtproportionaler Schrift ausgezeichnet, z. B. ping www.web.de.
Wenn ein Eintrag angepasst werden muss, habe ich ihn in spitze Klammern gesetzt (ping ). Sie müssen dort ohne Klammern den variablen Wert eintragen. Sollten Teile des Eintrags in eckigen Klammern stehen, so handelt es sich um optionale Bestandteile (ping [-t] ). Menüpunkte habe ich in Kapitälchen formatiert, z. B. Start • Programme • Einstellungen. Sie erreichen die bezeichnete Stelle, indem Sie die genannten Menüpunkte nacheinander anklicken. Wichtige Begriffe sind kursiv ausgezeichnet. Alle Hyperlinks sind ebenfalls kursiv gehalten. Auch für Datei- und Verzeichnisnamen habe ich eine kursive Schriftformatierung verwendet. Tasten oder Tastenkombinationen, die Sie auf Ihrer Tastatur drücken müssen, sind im Buch als Tasten dargestellt, z. B. (¢). Entsprechend bedeutet (Strg) + (Alt) + (Entf), dass Sie diese Tasten gleichzeitig betätigen müssen. Es ist nicht ganz einfach, die Bedienung eines Programms zu beschreiben. Wenn ich die Menüleiste erwähne, meine ich Folgendes:
Abbildung 1.1 Die Menüleiste
Mit dem Begriff Schaltfläche meine ich einen Button:
Abbildung 1.2 Der Button
Als Reiter bezeichne ich diese programmiertechnische Errungenschaft:
Abbildung 1.3 Ein Reiter
Ich hoffe, mit dieser umfangreichen Erklärung Missverständnisse bereits im Vorfeld zu vermeiden, so dass Sie sich voll und ganz auf den Inhalt dieses Buches konzentrieren können. Darüber hinaus finden Sie Erläuterungen zu vielen Begriffen in Anhang C am Ende des Buches.
1.3 Listings Damit Sie die Beispiele aus dem Buch besser nachstellen können, finden Sie auf der Seite www.linten.eu/index.php?page=listingsauflage-9 alle Listings aus dem Buch, die mit einer Unterschrift versehen sind. Aus diesen Listings können Sie den Inhalt per Mausklick in Ihre Zwischenablage kopieren und ohne Tippfehler bequem in Ihr Projekt einfügen.
1.4 Das Material zum Buch Das Material zum Buch enthält einige der Programme, die ich im Text erwähne. Dabei habe ich mich auf Programme konzentriert, bei denen es wichtig ist, dass Sie genau diese Softwareversion verwenden, um das Beschriebene nachzuvollziehen. Besonders möchte ich auf mehrere fertige virtuelle Maschinen auf der ISO-Datei im Verzeichnis appliances hinweisen: Arctica: ein fertiger Proxyserver Incredible PBX: ein Telefonieserver siegfried: ein vielseitiger Linux-Home-Server (Version 6) Im Verzeichnis media finden Sie Videodateien für den Test Ihres Media Centers (siehe Abschnitt 55.1, »Raspberry Pi als Media Center«). Es gibt innerhalb der ISO-Datei nur wenige Linux-Zusatzpakete, da fast alle erwähnten Programme Teile von siegfried6 sind. Bei Windows werden im Vergleich weniger Programme direkt mit dem Betriebssystem mitgeliefert. Entsprechend groß ist der Bedarf an ergänzenden Anwendungen. Die Software finden Sie in thematisch gegliederten Ordnern, so dass Sie sie leichter erreichen und auch die Möglichkeit haben, einfach ein bisschen im Verzeichnis software zu stöbern. Tabelle 1.1 enthält eine kurze Beschreibung der Software und gibt an, wo Sie die Installationsdateien finden. Die Sortierung ist alphabetisch. Programmname Beschreibung
Verzeichnis
Programmname Beschreibung
Verzeichnis
7-Zip
Packprogramm
sonstiges
NTP für Windows
Zeitsynchronisierung mit einem NTP-Server im Internet oder im LAN
management
Clonezilla
Sichern und Klonen von Festplatten und Partitionen
administration
GnuPG
Verschlüsselungstool
sicherheit
gVim
der Editor Vim für Windows
sonstiges
Iperf
Performance-Messtool
management
MWconn
Zugangssoftware für mobiles Internet
sonstiges
NetIO
Tool zur Messung von Netzwerkperformance auf TCP/IP-Ebene
management
Notepad++
Editor und Notepad-Ersatz für Windows
administration
PuTTY
Telnet- und SSH-Client für Windows
administration
SlimFTPd
kleiner und sehr schneller FTPServer für Windows
sonstiges
Webmin
Web-Administrationsoberfläche für UNIX- und Linux-Systeme
administration
Programmname Beschreibung
Verzeichnis
Win32 Disk Imager
Werkzeug für das Lesen und Schreiben von Images auf USB-Sticks und Speicherkarten
administration
Winscp
verschlüsselte Übertragung von administration Dateien für Windows
Xming
X11-Server für Windows
Tabelle 1.1 Überblick über Software der ISO-Datei
administration
2 Schnelleinstieg: für Praktiker Sie möchten ein LAN mit maximal zehn PCs, einem gemeinsamen Internetzugang und gegenseitigen Datei- und Druckerfreigaben aufbauen? An dieser Stelle zeige ich Ihnen, wie Sie vorgehen müssen. [+] Für den Aufbau Ihres Netzwerks werde Ihnen in diesem Kapitel sehr konkrete Vorschläge machen. Dies wird die Auswahl der Komponenten und den Aufbau eines LANs einfacher gestalten. Möglicherweise möchten Sie meine Vorschläge variieren, das ist selbstverständlich möglich. Alles Wissenswerte dazu finden Sie in den umfangreicheren Theorie- und Praxisteilen dieses Buches.
2.1 Planung: Welche Komponenten benötigen Sie? Die ersten Fragen, die Sie für sich beantworten müssen, lauten: Wie viele Netzwerkteilnehmer gibt es? Können Verbindungskabel verlegt werden? Wenn ja: Wo? An welchem Punkt können die Netzwerkkabel zusammenlaufen und an einen Switch angeschlossen werden? Wie stark und schnell wird das LAN in Zukunft wachsen?
Was will die Familie im Netzwerk nutzen? Vielleicht einen Netzwerkspeicher, Musik oder einen Internetzugang? Da diese Fragen individuell auf Ihre Situation bezogen sind, können nur Sie sie beantworten; aber nachfolgend möchte ich einige Hinweise geben. Die erste Frage ist sicherlich die einfachste: Wie viele PCs haben Sie, und wie viele davon sollen an das LAN angeschlossen werden? Weitere Geräte, die Sie an das LAN anschließen können und die Sie mitzählen sollten, sind netzwerkfähige Drucker, Internetrouter (z. B. DSL-/LTE-Router) und Access Points für Wireless LAN. Wenn Sie Twisted-Pair-Netzwerkkabel verwenden, dann müssen Sie für jeden Teilnehmer je ein Kabel vom Switch bis zum jeweiligen Netzwerkanschluss verlegen. Ein einzelnes Kabel darf nicht länger als 90 Meter sein. Jedes Netzwerkkabel muss an einem Switch-Anschluss, dem sogenannten Switch-Port, eingesteckt werden. Der Switch sollte an einem Punkt Ihrer Räumlichkeiten platziert werden, an dem er und die Kabel nicht stören. Wenn Sie einen lüfterlosen Switch kaufen, dann kann er beispielsweise in der Ecke eines Raumes installiert werden. Der Raum, in dem sich Netzwerkkomponenten befinden, sollte selbstverständlich trocken und staubarm sein. Die Frage nach der Expansion Ihres Netzwerks zielt auf den Investitionsschutz. Wenn Sie zurzeit mit fünf PCs arbeiten, aber jetzt schon feststeht, dass Sie ein expandierendes Unternehmen sind und jeden Monat ein bis zwei Kollegen/Kolleginnen, also auch ein bis zwei PCs, hinzukommen, ergibt es keinen Sinn, das LAN auf fünf PCs auszulegen. Wenn Sie wissen, dass Sie innerhalb eines halben Jahres mit der jetzigen Anzahl der Switch-Ports und der LANAnschlüsse nicht mehr auskommen, dann sollten Sie die zukünftige
Anzahl schon jetzt berücksichtigen. Das gilt natürlich umso mehr noch für die Verkabelung. Ebenfalls wichtig ist die Frage, welche Aufgaben Ihr Netzwerk erfüllen soll. Die Übertragung großer Datenmengen kann – je nach Bedingungen – über WLAN z. B. deutlich langsamer sein als über ein Netzwerkkabel.
2.2 Kabel – wenn ja, welches? Um ein Netzwerk aufzubauen, haben Sie inzwischen vielfältige Möglichkeiten. Sie können Netzwerkkabel verlegen, Wireless LAN – also Funk – verwenden oder mit HomePlug auf Ihre Stromverkabelung zurückgreifen. Die Reihenfolge der Varianten, die ich im Folgenden vorstelle, entspricht meiner persönlichen Präferenz.
2.2.1 Twisted Pair Wenn Sie sich für die kostengünstigere, schnellere und sicherere Variante Twisted Pair entscheiden, wird jeder PC mit einer Netzwerkkarte als LAN-Anschluss versehen, sofern eine solche nicht bereits vorhanden ist. Wenn es sich um gemietete Räume handelt und die Verkabelung eher vorübergehender Natur ist, besteht der LAN-Anschluss aus einem Switch-Port und dem Verbindungskabel (Netzwerkkabel, LAN-Kabel, Patchkabel) zwischen Switch und dem PC. Die Kabel haben jeweils einen RJ-45-Stecker an den Enden und werden unter dem Begriff Patchkabel verkauft. Der Nachteil dieser Verkabelung ist offensichtlich: Frei verlegte Netzwerkkabel sehen nicht besonders gut aus! Eine dauerhafte Verkabelung, die nicht die Ästhetik der Wohnung ruiniert, ist aufwendiger. Sie lohnt sich, wenn Sie planen, die Netzwerkkabel durch Wände zu verlegen. Mit einem Patchkabel müssten Sie aufgrund der Stecker sehr große Löcher bohren (ca. 15 mm). Für Verlegekabel ohne Stecker benötigen Sie
hingegen nur kleine Löcher (ca. 6 mm). Idealerweise schließen Sie das Kabel an eine Netzwerkdose an, das andere Ende des Kabels wird an einen Verteiler (Fachbegriff: Patchpanel) angeschlossen. Sie verbinden das Patchpanel und den Switch mittels kurzer Patchkabel. Ebenso verwenden Sie ein Patchkabel, um den PC mit der Netzwerkdose zu verbinden. Wenn Sie einen Netzwerkanschluss nicht benötigen, können Sie seine Verkabelung auch für ein Telefon benutzen. Mit einem LSA-Plus-Werkzeug, das ca. 15 € kostet, werden die Adern des Kabels auf die Leisten der Netzwerkdose und des Patchpanels gedrückt. [+] Wenn Sie sich so viel Mühe machen, dann sollten Sie nicht am Netzwerkkabel selbst sparen! Kaufen Sie Cat 6A, Cat 7 oder Cat 7A, damit sind Sie dann auf absehbare Zeit und bis zu einer Geschwindigkeit von 10 Gbit/s gerüstet. Mehr Informationen zu diesem Thema finden Sie in Kapitel 23, »Netzwerkkabel«.
2.2.2 Wireless LAN Sie möchten keine zusätzlichen Kabel in Ihrer Wohnung oder Ihrem Büro verlegen? Wireless LAN (dt. drahtloses LAN) ist eine Alternative. Die Geschwindigkeit, die Sie erreichen können, ist im Vergleich zu kabelgebundenen LANs niedriger, für den Datenaustausch und den Internetzugang aber ausreichend, vorausgesetzt, dass die zu übertragenden Datenmengen nicht ungewöhnlich groß sind. Bequemlichkeit hat ihren Preis, denn ein WLAN ist hinsichtlich der aktiven Netzwerkkomponenten (Access Point und WLAN-Karten) teurer als kabelgebundenes LAN.
Bevor Sie WLAN-Komponenten kaufen, sollten Sie weitere Informationen berücksichtigen. WLANs sind einfach aufzubauen und funktionieren nach dem ersten Einschalten sofort. Doch in ihrem Auslieferungszustand sind die Komponenten oft nicht sicher genug konfiguriert. Dadurch entsteht ein erhebliches Sicherheitsrisiko. Die Reichweite von WLANs hängt sehr stark von den baulichen Gegebenheiten ab. Stahlbeton ist der »Killer« aller Funkwellen, daher wird ein WLAN durch mehrere Geschossdecken vermutlich nicht funktionieren. Sie sollten also darauf achten, dass Sie eine Umtauschmöglichkeit haben, wenn es nicht funktioniert (bei Käufen über das Internet ist das meist 14 Tage lang gegeben). Als Indikator kann die Reichweite eines Funktelefons (DECT-Telefon) dienen. Dazu stellen Sie die DECT-Basisstation neben den WLANRouter. Wo Sie mit dem DECT-Telefon keinen Empfang haben, wird in der Regel auch der Zugang zu Ihrem WLAN nicht vernünftig funktionieren. Weitere Informationen zu WLANs finden Sie in Kapitel 7, »Wireless LAN«. Sicherheitsaspekte erläutere ich in Kapitel 35, »WLAN und Sicherheit«.
2.2.3 Powerline mit HomePlug Wenn es mit WLAN nicht funktioniert, weil Sie nicht überall dort Empfang bekommen, wo Sie ihn brauchen, Sie aber keine LAN-Kabel verlegen können, wollen oder dürfen, kann HomePlug eine Lösung sein. HomePlug bietet die Möglichkeit, die hauseigene Stromverkabelung zusätzlich als »Netzwerkkabel« zu nutzen. Sie brauchen keine neuen
Kabel zu verlegen und benötigen pro Netzwerkanschluss an das Stromnetz einen Adapter (ca. 70 €), logischerweise insgesamt mindestens zwei, die Sie als Starterpaket z. B. von der Firma Devolo zu einem Preis von ca. 100 € bekommen. Neben dem relativ hohen Preis gibt es weitere Einschränkungen. Die Bandbreite entspricht in der Praxis häufig nicht einmal der Geschwindigkeit von WLAN. Sie können keinen Stromzähler überspringen. HomePlug ist also nur innerhalb einer Wohnung/eines Hauses einsetzbar. Die maximale Übertragungsstrecke unter Laborbedingungen beträgt 200 Meter; in der Praxis wird es deutlich weniger sein. Die Adapter sollten Sie zudem nicht hinter einem Überspannungs-Netzfilter anschließen, weil dieser die Übertragungsqualität negativ beeinflusst. Die Adapter stecken Sie einfach in eine freie Wandsteckdose, möglichst nicht auf eine Steckerleiste. Sie sind unempfindlich gegen Störeinflüsse von anderen Elektrogeräten. Detailinformationen dazu lesen Sie in Abschnitt 8.1, »Daten über Stromkabel«. Aus meiner Sicht ist HomePlug eine Alternative zu WLAN und steht schon aufgrund hoher Kosten und der geringeren Bandbreite nicht in Konkurrenz zum normalen LAN über Twisted-Pair-Kabel. Es bedient einen Nischenmarkt, bietet aber einen technisch stabilen Netzwerkzugang, der sicher ist.
2.3 Beispiel: Familie Müller Exemplarisch möchte ich Ihnen den Entwurf eines Netzwerks anhand einer erfundenen, durchschnittlichen Familie vorstellen. [+] Im Haus von Familie Müller (siehe Abbildung 2.1) soll ein Netzwerk aufgebaut werden. Schon lange verwendet die Familie DSL für den Internetzugang. Der Internet-PC steht in einem kleinen Arbeitszimmer im Erdgeschoss. Zu Weihnachten hat sich Herr Müller ein Notebook zugelegt, damit er flexibler arbeiten kann. Dieses Notebook nutzt Frau Müller, wenn sie im Internet surft. Der achtjährige Sohn besitzt keinen eigenen PC, soll aber in ein paar Jahren einen Computer bekommen.
Abbildung 2.1 Das Haus der Müllers
Herr Müller fotografiert viel. Er überlegt schon länger, wie er seine Digitalfotos sicher speichern und trotzdem ständig darauf zugreifen kann – auch vom Notebook aus. Frau Müller möchte zukünftig gerne Filme aus dem Angebot des DSL-Anbieters auf dem Fernseher im Wohnzimmer schauen. Einen LAN-Anschluss gibt es dort nicht. Bleibt noch das zweite Weihnachtsgeschenk von Herrn Müller: ein Internetradio. Er bedient sich damit einer riesigen Fülle von Radiostationen mit Musik nach seinem Geschmack: Country • Western. Wenn Sie dieses Beispiel mit den zuvor gestellten Fragen vergleichen, kommen Sie in etwa zu folgendem Ergebnis: Wie viele Netzwerkteilnehmer gibt es? Es gibt zwei WLANClients (Notebook und Internetradio), drei LAN-Clients (PC, Telefon und einen Fileserver/NAS). Können Verbindungskabel verlegt werden? Wenn ja: Wo? LANKabel sind verlegt, jedoch nicht im Wohnzimmer. An welchem Punkt können die Netzwerkkabel zusammenlaufen und an einen Switch angeschlossen werden? Die Kabel laufen im Keller zusammen, wo auch die Hauseinführung für die Telefonkabel ist. Wie stark und schnell wird das LAN in Zukunft expandieren? Der Sohn wird irgendwann einen PC bekommen, Frau Müller möchte schon bald einen Streamingclient für den Fernseher. Was will ich im Netzwerk nutzen? Das sind ein Internetzugang für alle Teilnehmer, Telefonieren, Musik- und Videostreaming sowie Datenablage auf dem Fileserver. Üblicherweise sind heute in allen PCs Netzwerkkarten enthalten, auch bei schon etwas älteren Geräten sind sie üblicherweise »on
board«. So ist es auch bei den Müllers. PC, Notebook und Telefon haben einen LAN-Anschluss, ebenso der gerade bestellte Fileserver/NAS. Das Notebook und das Internetradio haben WLAN integriert. Der noch zu kaufende Videostreaming-Client müsste ebenfalls WLAN unterstützen. Vom bisherigen Internetzugang ist ein WLAN-Router vorhanden. Was fehlt also noch? Der Standort für den WLAN-Router im Keller hat sich als ungeeignet herausgestellt. Für das Internetradio reicht es, doch die Verbindung bis ins Dachgeschoss ist zu schwach. Im Keller wird ein 5-PortSwitch installiert, an diesem kann der alte WLAN-Router mit deaktivierter WLAN-Funktion für den Internetzugang genutzt werden. Zusätzlich sollte Herr Müller einen WLAN Access Point kaufen, der WLAN nach dem Standard IEEE 802.11ac (Wi-Fi 5) oder nach IEEE 802.11ax (Wi-Fi 6) unterstützt; das bedeutet eine theoretische Geschwindigkeit von über 1.000 Mbit/s. Damit ist er auch für die erforderlichen Geschwindigkeiten des HDVideostreamings gerüstet. Dieser Access Point kann dann im Erdoder Obergeschoss aufgebaut werden.
2.4 Einkaufen Sie wissen, welche Teile Sie für Ihr Netzwerk benötigen. Jetzt geht es an die praktische Umsetzung. Bevor Sie etwas einbauen können, müssen Sie es zunächst kaufen, und schon stellt sich die nächste Frage: Wo? Wenn Sie technisch wenig begabt und interessiert sind, dann kann ich Ihnen nur wärmstens empfehlen, in ein Fachgeschäft zu gehen – am besten nicht zu einer der großen Ketten und auf keinen Fall in ein Kaufhaus, sondern in einen »Laden um die Ecke«. Dort wird man Sie beraten, Ihnen die Netzwerkkarten einbauen und für ein paar Euros extra sicherlich auch das Netzwerk in Ihrem Büro oder Ihrer Wohnung aufbauen. Wenn es ein Problem gibt, haben Sie einen Ansprechpartner, der Ihnen weiterhelfen kann. Sicherlich ist diese Variante teurer, als wenn Sie die Teile beim billigsten Internetversand bestellen und selbst einbauen. Allerdings sparen Sie Zeit und möglicherweise Nerven. Wenn Sie technisch interessiert sind, dann können Sie die benötigten Teile ruhig im Internethandel bestellen. Das Einbauen und Konfigurieren sind kein Problem, schließlich haben Sie dieses Buch. Dank diverser Vergleichsportale wie z. B. https://geizhals.de dürfte es kein Problem sein, einen günstigen Anbieter zu finden. Abraten möchte ich vom Kauf der Netzwerkkomponenten in großen Warenhäusern. Die Preise für alles, was nicht ein KomplettPC ist, sind oft überhöht. So kostet ein 5 Meter langes LAN-Kabel leicht 10 bis 20 €, obwohl es nicht mehr als 5 € wert ist. Selbstverständlich gibt es dort Verkäufer, die Ihnen helfen können,
doch das Thema Netzwerk ist recht speziell, so dass Sie keine allzu gute Beratung erwarten dürfen.
2.5 Multifunktionsgeräte Ein paar Worte möchte ich noch zum Thema Kombigeräte schreiben. Ein WLAN-AP-DSL-Router-Print-Server-Switch, also die eierlegende Wollmilchsau der Netzwerkwelt, ist lediglich für kleine Netzwerke sinnvoll. Nur in kleinen Netzwerken mit wenigen Teilnehmern ist es ratsam, einen Wireless Access Point an demselben Ort aufzustellen, an dem auch der Internetzugang bereitgestellt wird, der Drucker steht und die vier Switch-Ports genutzt werden.
2.6 Hardware ein- und aufbauen Das Zusammenbauen der Hardware erfordert üblicherweise keine besonderen technischen Fähigkeiten und auch nur wenig Werkzeug. Lediglich wenn Sie planen, Netzwerkkabel selbst zu verlegen, benötigen Sie mehr Werkzeug. Lesen Sie in diesem Fall in Kapitel 23, »Netzwerkkabel«, wie Sie die Netzwerkverkabelung kostengünstig und erfolgreich meistern können. In den meisten PCs sind bereits Netzwerkkarten »on board« enthalten. In diesem Fall sind dieser Abschnitt für Sie nicht relevant. Wenn Sie eine neue Netzwerkkarte einbauen oder eine vorhandene austauschen wollen, finden Sie hier die dafür benötigten Informationen.
2.6.1 PCI-/PCIe-Netzwerkkarten Eine PCI-Karte wird in den PC eingebaut. Dazu öffnen Sie den PC, stecken die Karte in einen freien PCI-Slot und schließen das Gehäuse wieder. Beim nächsten Start erkennt das Betriebssystem – zumindest Windows oder Linux – die neue Hardware und installiert die Treiber. [!] Trennen Sie für diese Arbeit Ihr PC-System unbedingt von der Stromversorgung!
2.6.2 PC-Card Einfacher als mit dieser Karte geht es kaum: Sie stecken die Karte lediglich in einen freien PCMCIA-Slot. Aufwendig ist die Sache dann, wenn die Karte nicht auf Anhieb erkannt wird und Sie keine Treiber-CD oder Ähnliches haben. Diese Karten benötigen immer spezielle Treiber, die Sie zumeist ausschließlich vom Hersteller bekommen. Mehr Informationen zu den unterschiedlichen Standards der PCMCIA-Adapter finden Sie in Abschnitt 24.5, »PCCard/Cardbus/ExpressCard«.
2.6.3 USB-Adapter USB-Adapter gibt es sowohl für WLAN als auch für kabelgebundenes LAN. Da jeder aktuelle PC über USB-Steckplätze verfügt, sind sie sehr flexibel einsetzbar. Mehr Informationen zu dieser Art von Netzwerkadapter finden Sie in Abschnitt 24.6, »USB-Adapter«.
2.6.4 WLAN-Karten Wireless-LAN-Karten gibt es als PCI- und PCIe-Karte, als PCMCIASteckkarte oder als USB-Adapter. Ein WLAN-Adapter unterscheidet sich beim Einbau nicht grundlegend von einem kabelgebundenen Netzwerkadapter. Mehr Informationen zu den unterschiedlichen Adaptern finden Sie in Kapitel 24, »Netzwerkkarten«.
2.6.5 LAN-Verschaltung Wenn Sie alle Netzwerkkarten eingebaut haben, dann müssen Sie das eigentliche Netzwerk durch die Verkabelung herstellen. Bevor Sie eine Verkabelung, die Sie möglicherweise in übertapezierten oder verputzten Kabelkanälen verlegen, für immer verschwinden lassen, sollten Sie ihre Funktion sicherstellen, indem Sie die Kabel ausprobieren. Welche Möglichkeiten Ihnen dabei zur Verfügung stehen, entnehmen Sie bitte den Ausführungen in Abschnitt 23.5, »Kabeltest«. Abbildung 2.2 zeigt den schematischen Aufbau eines LANs. Jeder PC wird mit einem LAN-Kabel an den Switch angeschlossen. Wenn Sie die PCs einschalten, um die Treiber zu installieren, sollte die grüne LED an jeder Netzwerkkarte leuchten. Dies ist die LinkLED. Sie zeigt an, dass eine physikalische Verbindung besteht. Entsprechend sollte am Switch auch für jeden Port, an dem ein aktiver PC angeschlossen ist, eine LED leuchten.
Abbildung 2.2 Systematische Darstellung des LAN-Aufbaus
Das Leuchten der Link-LED ist unabhängig von der Installation einer Software (ausgenommen PC-Card/ExpressCard und USB-Adapter) oder eines Treibers. Wenn die LED nicht leuchtet, dann sollten Sie die Verkabelung überprüfen, bevor Sie an einer anderen Stelle suchen.
2.7 IP konfigurieren Die Netzwerkkarten werden von Windows oder Linux üblicherweise direkt erkannt und ins System eingebunden. Eine weitergehende Konfiguration ist nur beim WLAN notwendig. Dort muss man auf allen WLAN-Endgeräten denselben Sicherheitsschlüssel eintragen. Weitere Informationen zur WLAN-Konfiguration finden Sie in Kapitel 7, »Wireless LAN«. Nahezu alle Netzwerkteilnehmer beziehen als Standardeinstellung die IP-Konfiguration per Dynamic Host Configuration Protocol (siehe Kapitel 19, »DHCP«). Entsprechend einfach ist es, diese zu nutzen und sich ohne weitere Probleme die IP-Adresse von einem DHCP-Dienst zuweisen zu lassen. Ich gehe für diesen Schnelleinstieg davon aus, dass auch Sie DHCP verwenden, das jeder DSL-Router zur Verfügung stellt. Weitere Informationen zur IP-Konfiguration finden Sie für Windows in Kapitel 26, »Windows einrichten«, für Linux in Kapitel 27, »Linux einrichten«, und für macOS in Kapitel 28, »macOS einrichten«.
2.8 Funktionstest Wenn Sie alle PCs eingerichtet haben, können Sie sehr einfach ausprobieren, ob Ihr LAN einschließlich der IP-Konfiguration funktioniert: Geben Sie in der Windows-Eingabeaufforderung unter Start • Ausführen … den Befehl cmd ein. Es öffnet sich ein Fenster, in das Sie ping eingeben und mit (¢) bestätigen. Dabei sollten Sie zunächst die eigene IP-Adresse des PCs testen, dann die IPAdressen der anderen Geräte.
Abbildung 2.3 Ein erster Funktionstest
Die Eingabeaufforderung wird bei Linux und macOS durch die Shell ersetzt, der Befehl ping funktioniert aber genauso. Wenn Sie jeweils Antwortzeiten als Rückmeldung (siehe Abbildung 2.3) bekommen haben, dann ist Ihr LAN betriebsbereit.
Teil I Netzwerk-Grundwissen
3 Grundlagen der Kommunikation Dieser Teil des Buches soll Ihnen einen vertieften Überblick über das theoretische Gerüst von Netzwerken geben und damit eine Wissensbasis für die weiteren Kapitel des Buches schaffen. Das Verständnis der Theorie wird Ihnen bei der praktischen Arbeit, insbesondere bei der Fehleranalyse, helfen. Aktuelle Netzwerke sind strukturiert aufgebaut. Die Strukturen basieren auf verschiedenen technologischen Ansätzen. Wenn Sie ein Netzwerk aufbauen wollen, dessen Technologie und Struktur Sie verstehen möchten, dann werden Sie ohne Theorie sehr schnell an Grenzen stoßen. Sie berauben sich selbst der Möglichkeit eines optimal konfigurierten Netzwerks. In Fehlersituationen werden Ihnen die theoretischen Erkenntnisse helfen, einen Fehler im Netzwerk möglichst schnell zu finden und geeignete Maßnahmen zu seiner Beseitigung einzuleiten. Ohne theoretische Grundlagen sind Sie letztlich auf Glückstreffer angewiesen. Dieses Buch legt den Schwerpunkt auf die praxisorientierte Umsetzung von Netzwerken und konzentriert sich auf die Darstellung von kompaktem Netzwerkwissen.
Ein Computernetzwerk kann man allgemein als Kommunikationsnetzwerk bezeichnen. Ausgehend von der menschlichen Kommunikation erkläre ich die Kommunikation von PCs im Netzwerk.
3.1 Kommunikation im Alltag Als Kommunikation bezeichnet man im Alltag vieles. So wird Telekommunikation oft als Kommunikation bezeichnet. Wenn Menschen miteinander reden, dann nennen wir das Kommunikation. Auch wenn sie nicht reden, sondern lediglich durch ihre Körpersprache etwas ausdrücken, kann man das Kommunikation nennen. Wichtig ist nicht, über welches Medium Informationen übertragen werden, sondern der Informationsaustausch selbst ist das Entscheidende. Jede Art von Kommunikation besteht aus den folgenden Komponenten: Sender Empfänger Übertragungsmedium Regeln Kodierung des Inhalts Die Punkte 1 und 2 sind wohl nicht erläuterungsbedürftig, doch was ist ein Übertragungsmedium (Punkt 3)? Beim Sprechen wird Schall über die Luft, bei einem Bild die Farbe über Lichtreflexion und bei der Telekommunikation elektrische Spannung durch
Kabelleitungen übertragen; die Medien sind Luft, Licht und das Kabel. Entweder benutzen beide Gesprächspartner das gleiche Medium, oder es gibt einen Wandler, der die Informationen umwandelt. Beispielsweise wandelt das Telefon die akustischen Signale der menschlichen Sprache in elektrische Spannung um. Diese Spannung wird dann über Leitungen transportiert, bis sie schließlich beim empfangenden Telefon wieder in akustische Signale zurückgewandelt wird. Zumindest war das vor 50 Jahren in der Telefonie so. Regeln (Punkt 4) in der menschlichen Kommunikation sind – soweit sie erfolgreich verlaufen soll – z. B.: »Mit vollem Mund spricht man nicht«, »Lass mich ausreden«, »Jetzt spreche ich!« und Ähnliches. Im Allgemeinen unterbricht man einen anderen beim Sprechen nicht, so dass er ausreden kann. Macht Ihr Gesprächspartner eine Sprechpause, so können Sie sich äußern, das besagt die Regel. Die Kodierung des Inhalts (Punkt 5) meint z. B. eine Sprache (Deutsch). Eine Sprache selbst hat schon viele eigene Details. Wenn man sie verstehen will, muss man wissen, welche Wörter welche Bedeutung haben und wie grammatische Beziehungen hergestellt werden. Erfüllen beide Partner die Punkte 1 bis 5, dann kommt es zu einer erfolgreichen Kommunikation. Sie können sich unterhalten und somit in beide Richtungen Informationen austauschen.
3.2 Kommunikation zwischen Computern Auch bei der Kommunikation zwischen Computern sind die gerade genannten Bestandteile wichtig: Sender Empfänger Übertragungsmedium Regeln Kodierung(en) Es gibt also hinsichtlich der betrachteten Anforderungen keinen Unterschied zwischen der menschlichen und der PCKommunikation. Selbstverständlich handelt es sich bei PCs um »dumme« Kommunikationsteilnehmer, und so müssen die Regeln zu eindeutigen Informationen führen, damit sie für PCs verwertbar sind. Wichtig ist ebenfalls, dass es Medienwechsel geben kann. Ein Handygespräch zu einem Festnetzanschluss erfolgt bis zum Sendemast des Mobilfunkbetreibers über Funk. Dort wird dann eine Transformation in elektrische oder optische Signale auf Kabelbasis vorgenommen. Es ist sinnvoll, für alle Anwendungen, die über ein Netzwerk kommunizieren wollen, wiederkehrende Aufgaben einheitlich zu lösen. Es werden für jede Anwendung Schnittstellen bereitgestellt, auf denen sie aufsetzen kann. Bestimmte Aufgaben wie eindeutige Adressierung müssen daher nicht von jeder Anwendung gelöst
werden, sondern werden zentral (z. B. vom Betriebssystem) übernommen.
3.3 Was ist nun ein Netzwerk? Als Netzwerk bezeichne ich die Verbindung von mindestens zwei PCs. Selbstverständlich können auch andere Netzwerkteilnehmer als PCs in ein Netzwerk eingebunden werden. Dieses Buch wird die Einbindung z. B. von UNIX-Workstations und Ähnlichem nicht weiter beschreiben, sondern sich auf die Verbindung von PCs mit den Betriebssystemen Windows, Linux oder macOS konzentrieren. Ich werde daher im weiteren Verlauf dieses Buches den Begriff PC verwenden; allgemeiner formuliert steht der PC stellvertretend für Netzwerkteilnehmer. Wenn ich von einem Netzwerk oder LAN spreche, dann meine ich ein Netzwerk, das auf dem Ethernet-Standard basiert. Ethernet (siehe Kapitel 6, »Ethernet«) ist ein Standard zum Kodieren von Datenpaketen und zum Senden und Empfangen von Daten. Man kann sagen, dass Ethernet die grundsätzlichen Dinge der Netzwerkkommunikation und den Zugang zum Netzwerk regelt. Um die Ausführungen zu Ethernet besser verstehen zu können, ist es notwendig, einen kurzen Exkurs zur grundlegenden Struktur eines Netzwerks (siehe Kapitel 4, »Netzwerktopologien«) und zum grundlegenden Aufbau der Kommunikationsschichten (siehe Kapitel 5, »Kommunikationsmodelle«) zu machen.
4 Netzwerktopologien Der Begriff Topologie bedeutet Anordnung oder Aufbau. Es gibt verschiedene Ansätze für den Aufbau eines Netzwerks. Damit legen Sie indirekt fest, wie PCs in Ihrem LAN mit anderen PCs verkabelt werden können. Das Link Layer Discovery Protocol (LLDP), das nach IEEE 802.1ab normiert wurde, ermöglicht die Identifikation benachbarter Geräte in einem Netzwerk. Dazu verwendet es spezielle Ethernet-MulticastPakete (siehe Abschnitt 6.10.2, »Ethernet-Multicast«), um damit z. B. Informationen zwischen Switches auszutauschen. [»] Die Firma AVM integriert LLDP in die neueren Firmwareversionen einer FRITZ!Box und ermöglicht so die Erkennung, Darstellung und Optimierung der Kommunikationswege in einem Mesh-Netzwerk (siehe Abschnitt 7.20, »WLAN-Mesh«). Man kann Netzwerke in verschiedenen Topologien aufbauen. Grundsätzlich unterscheidet man zwischen der Bus-, der Ring- und der Sterntopologie. Die Unterschiede möchte ich Ihnen im Folgenden kurz vorstellen.
4.1 Bustopologie
Die Urform von Ethernet, der heute üblichen Vernetzungstechnik für lokale Netze (siehe Kapitel 6, »Ethernet«), war die Bustopologie (siehe Abbildung 4.1).
Abbildung 4.1 Bustopologie
Ähnlich wie eine Hauptwasserleitung gibt es ein zentrales Kabel, an das alle teilnehmenden Stationen mit Stichleitungen angeschlossen werden. Ein eindeutiges Merkmal ist, dass dadurch eine dezentrale Struktur entsteht: Jedes Gerät ist gleichrangig an den Bus angeschlossen. Kommt es zu einer Störung der »Hauptwasserleitung«, sind alle angeschlossenen Stationen von dieser Störung betroffen. Diejenigen von Ihnen, die die BNCVerkabelung noch kennen, wissen, dass es sich bei dieser Art von Netzwerken um Museumsstücke handelt.
4.2 Ringtopologie Token-Ring und ATM sind Beispiele für eine Ringtopologie (siehe Abbildung 4.2). Vereinfacht erklärt wandert ein Token (dt. Zeichen, Symbol; stellen Sie sich einen Stab beim Staffellauf vor) im Kreis – daher der Name Token-Ring. Wenn das Token frei ist, kann jeder Netzteilnehmer das Token nehmen, ein Netzwerkpaket daranhängen und es innerhalb des Kreises an einen anderen Netzwerkteilnehmer schicken. Bei ATM, der schnelleren Variante der Ringtopologie, wandert nicht ein einziges Token im Kreis, sondern es fährt – bildlich gesprochen – ein Güterzug. Erwischt Ihr PC einen leeren Waggon – eine ATM-Zelle –, kann er seine Daten dort ablegen und weiterreisen lassen.
Abbildung 4.2 Ringtopologie
Token-Ring wird auch als Toter Ring bezeichnet, weil diese Technologie mittlerweile ausgestorben ist. ATM konnte sich im LAN nicht durchsetzen, weil es zu kostenintensiv betrieben werden
muss. Im Bereich der Weitverkehrsnetze hat sich die Technologie etabliert, wird dort aber inzwischen ebenfalls verdrängt.
4.3 Sterntopologie Die Sterntopologie ist die Struktur, die sich bei Twisted-PairVerkabelungen ergibt (siehe Abbildung 4.3). Fast Ethernet und Gigabit-Ethernet, die schnellen Varianten von Ethernet, werden ausschließlich in Sterntopologie realisiert. Wenn Ethernet – mit 10 Mbit/s – über eine Twisted-PairVerkabelung betrieben wird, handelt es sich ebenfalls um eine Sternstruktur. Es gibt ein zentrales Element, ursprünglich den Hub (dt. Radnabe), von dem sternförmig die Zuleitungen zu den einzelnen Netzteilnehmern – wie die Speichen eines Rades – führen.
Abbildung 4.3 Sterntopologie
Jeder Netzteilnehmer hat eine eigene Zuleitung. Ist eine Zuleitung gestört, bleiben die anderen Teilnehmer davon unbehelligt.
5 Kommunikationsmodelle Das Wort »Kommunikationsmodell« wird Sie vielleicht ein wenig verschrecken. Es klingt aber komplizierter, als es ist. Mit einer Einschätzung haben Sie allerdings recht: Es ist Theorie. Mit einem Modell haben Sie Ihr komplettes Netzwerk verstanden. Damit die Kommunikation in einem Netzwerk allgemein beschrieben werden kann, wurden kluge Leute damit beauftragt, ein Kommunikationsmodell zu entwickeln. Diese Leute fanden heraus, dass es möglich ist, die wesentlichen Leistungen in einem Netzwerk in verschiedene Aufgaben zu gliedern. Diese Aufgaben werden im Kommunikationsmodell als Schichten bezeichnet. Jede Schicht erfüllt eine Hauptaufgabe, damit die Kommunikation im Netzwerk stattfinden kann. Sie erinnern sich sicherlich noch an Abschnitt 3.1, »Kommunikation im Alltag«, der das Thema menschliche Kommunikation behandelt. Analog zu den dort genannten Voraussetzungen für die menschliche Kommunikation werden im Kommunikationsmodell die Schichten definiert. [+] Lernen Sie, in den Schichten dieser Kommunikationsmodelle zu denken und insbesondere Probleme anhand dieser Einteilungen zu lösen. Wenn Sie das Modell der Netzwerke verstanden haben und in diesen Schichten denken gelernt haben, werden Sie auch Netzwerke leicht verstehen! Eine Schicht muss für eine eindeutige Adressierung im Netzwerk sorgen. Eine weitere muss regeln, wann Daten gesendet werden – im
Ergebnis eine Art Vorfahrtsregelung für das Netzwerk. Wenn schließlich alle Aufgaben festgelegt sind, müssen sie noch praktisch umgesetzt werden. Es gibt definierte Schnittstellen zu den benachbarten Schichten. Wenn es also mehrere Implementierungen (Umsetzungen) einer Schicht gibt, sind sie beliebig austauschbar, weil die Schichten unabhängig voneinander arbeiten. Es existieren zwei bekannte konkurrierende Kommunikationsmodelle, auf deren Struktur sämtliche Netzwerke basieren: DoD und ISO/OSI. Diese beiden Modelle widersprechen sich nicht. Allerdings sind sie unterschiedlich umfangreich, und dadurch entspricht die Schicht 1 des DoD-Modells nicht der Schicht 1 des ISO/OSI-Modells. Leider verwenden die beiden Modelle nicht die gleichen Bezeichnungen für die einzelnen Schichten. Wenn Sie einige der nachfolgenden Begriffe nicht kennen, seien Sie unbesorgt, diese werden alle in den folgenden Kapiteln erklärt. Wenn Sie schon jetzt neugierig sind, finden Sie eine kurze Definition der Begriffe und Abkürzungen im Glossar.
5.1 DoD-Modell Das Department of Defense (DoD), das USVerteidigungsministerium, hat ein theoretisches Modell entwickeln lassen, nach dem ein Netzwerk aufgebaut werden sollte (siehe Tabelle 5.1). Nr. Schicht
Beispiele in der Praxis
4
HTTP
Process
SMTP FTP
DNS
Nr. Schicht
Beispiele in der Praxis
3
Transport
TCP
UDP
2
Internetwork
IP
IPX
1
Network Access Ethernet ATM
FDDI TR
Tabelle 5.1 Das DoD-Modell
Die Physik, also das Kabel und die Signalisierung, vermissen Sie sicherlich in dem abgebildeten Modell. Sie können sich diese als weitere Schichten vorstellen, die unterhalb von Network Access angeordnet sind. Network Access ist die Netzzugangsschicht. Eine Umsetzung dieser Schicht ist Ethernet, das ich noch ausführlich erläutern werde. Aufgabe: Wann darf gesendet werden? Wie wird gesendet? Wie lautet die Adressierung? Internetwork: Die bekannteste Implementierung ist das Internet Protocol (IP). Aufgabe: Wie bringe ich die Daten zum Empfänger? Wie ist die Wegewahl? Host-to-Host, auch Session-Layer genannt. Aufgabe: Überwachen der Kommunikation (sind alle Pakete angekommen?) und Adressieren der Pakete an die richtige Anwendung Process: Ihre Anwendungen. Aufgabe: Was auch immer die Aufgabe der jeweiligen Software ist. Das DoD-Modell verfügt über vier Schichten, die Sie in der praktischen Arbeit in Ihrem Netzwerk wiederfinden werden. Sie verwenden als Netzwerkverfahren Ethernet, denn Sie verwenden Ethernet-Karten. Sie vergeben IP-Adressen, vielleicht kennen Sie auch TCP/UDP-Ports. Und sicherlich haben Sie schon einmal in die
Adresszeile Ihres Browsers http://… eingegeben. Wie die einzelnen Schichten in Form der verschiedenen Verfahren (Ethernet, IP, TCP und HTTP) zusammenarbeiten, werde ich im weiteren Verlauf darstellen.
5.2 ISO/OSI-Modell ISO ist die International Organization for Standardization, also das Gremium für international gültige Standards. Dort wurde das ISO/OSI"=7-Schichtenmodell entwickelt, um die Kommunikation innerhalb des Netzwerks zu beschreiben (siehe Tabelle 5.2). Statt der vier Schichten des DoD-Modells gibt es dort sieben Schichten (engl. layers). Nr. Schicht
Beispiele
7
Application
HTTP
6
SMTP FTP
DNS
Presentation
5
Session
4
Transport
TCP
UDP
3
Network
IP
IPX
2
Data Link
Ethernet
ATM
FDDI
TR
1
Physical
Manchester 10B5T Trellis
Tabelle 5.2 ISO/OSI-7-Schichtenmodell
Die Aufgaben der einzelnen Schichten entsprechen denen des DoDModells. Im Unterschied zum DoD-Modell gibt es als Schicht 1 den Physical Layer, dieser regelt die Kodierung der Bits in Stromsignale. Daher entspricht die Schicht 2 des ISO/OSI-Modells der Schicht 1 des DoD-Modells.
Der Presentation und der Session Layer haben nur wenig Bedeutung erlangt, weil die dort vorgesehenen Funktionen durch die Applikationsschicht, den Application Layer, erfüllt werden. Der direkte Vergleich der beiden Modelle in Tabelle 5.3 verdeutlicht, dass die Unterschiede eigentlich gar nicht so groß sind. DoD ISO Schicht
Beispiele
4
7
Application
HTTP
6
SMTP FTP
DNS
Presentation
5
Session
3
4
Transport
TCP
UDP
2
3
Network
IP
IPX
1
2
Data Link
Ethernet
ATM
FDDI
TR
1
Physical
Manchester 10B5T Trellis
Tabelle 5.3 Vergleich zwischen dem DoD- und dem ISO/OSI-Modell
[+] Das ISO/OSI-7-Schichtenmodell hat im Netzwerkbereich deutlich die größere Bedeutung der beiden Modelle erlangt. Es prägt die Begrifflichkeiten der Netzwerktechnologie (Layer-3Switch), daher bezeichne ich in diesem Buch die Schichten nach dem ISO/OSI-Modell, so dass Sie sich an die Benutzung der Schichtenbezeichnungen gewöhnen können.
5.3 Ablauf der Kommunikation Ich möchte in diesem Abschnitt beschreiben, wie die einzelnen Schichten zusammenarbeiten, also wie die Kommunikation im Netzwerk funktioniert. Dazu werde ich mein Beispiel auf der Applikationsschicht beginnen. [»] Stellen Sie sich vor, Sie geben z. B. die Adresse http://www.web.de im Adressfeld Ihres Browsers ein. Wenige Sekunden später ist die Webseite des Anbieters WEB.DE vollständig auf Ihren Bildschirm übertragen. Zwischen der Eingabe der Adresse in den Browser und dem Erscheinen der Webseite liegen viele übertragene Datenpakete und viel Netzwerkkommunikation. Der Ablauf ist in Tabelle 5.4 dargestellt. Jedes Datenpaket wird auf die gleiche Art und Weise abgearbeitet. Schritt Beschreibung 1
ISO/OSI
Ihre Anfrage nach der Webseite wird in ein 7 HTTP-Datenpaket verpackt und über eine Betriebssystemschnittstelle an TCP übergeben.
Schritt Beschreibung
ISO/OSI
2
Sie möchten einen Webserver ansprechen, d. h. HTTP-Pakete mit ihm austauschen. Es ist festgelegt, dass HTTP dem TCP-Port 80 entspricht. Entsprechend wird nun ein TCPPaket erzeugt, in dessen Datenteil das HTTPPaket enthalten ist und in dessen Verwaltungsteil (engl. header) die Zielnummer 80 (TCP-Serverport) steht. Zusätzlich wird dort ein zufälliger TCP-Port Ihres PCs eingetragen, z. B. 1333, auf dem Ihr Browser horcht.
4
3
Der Webserver von WEB.DE hat eine IPAdresse. Anhand dieser IP-Adresse kann der Weg zu ihm gefunden werden. Das IP-Paket enthält im Datenteil das TCP-Paket (mit dem HTTP-Paket aus Schritt 1) und im Verwaltungsteil (Header) die Ziel-IP-Adresse sowie die IP-Adresse Ihres PCs als Quell-IPAdresse.
3
Schritt Beschreibung
ISO/OSI
4
Sie senden das Datenpaket in Ihrem LAN aus, daher muss dieses Datenpaket mit dem Ethernet-Verfahren übertragen werden. Es entsteht ein Ethernet-Paket, das neben den ineinander verpackten Paketen aus den Schritten 1 bis 3 die Ziel-Quell-MAC-Adresse enthält. Dies ist die MAC-Adresse Ihres DSLRouters. Die Netzwerkkarte führt nun das Ethernet-Verfahren durch und sendet erst, wenn die Leitung frei ist.
2
5
An Ihre Netzwerkkarte ist ein Kupferkabel angeschlossen, daher können Informationen über dieses Medium nur als elektrische Spannungen übertragen werden. Jede binäre Null wird durch keine Spannung und jede binäre Eins durch eine Spannung von 5 Volt dargestellt.
1
6
Das Paket wird über das Internet übertragen und passiert dabei viele Router. Schließlich wird das Paket vom Webserver empfangen.
–
7
Der Empfänger stellt an seiner Netzwerkkarte wechselnde Spannungen fest. Er interpretiert für 5 Volt eine binäre Eins und bei keiner Spannung eine binäre Null. Das Ergebnis ist eine Folge von Binärziffern.
1
Schritt Beschreibung
ISO/OSI
8
Von der Netzwerkkarte erhält der 2 Netzwerkkartentreiber ein Datenpaket im Ethernet-Format. Es enthält seine MACAdresse als Ziel-MAC-Adresse und eine QuellMAC-Adresse. Im Datenteil befindet sich ein IPPaket.
9
Das IP-Paket enthält als Ziel-IP-Adresse die IP- 3 Adresse des Webservers und die Quell-IPAdresse Ihres PCs zu Hause. Im Datenteil befindet sich ein TCP-Paket.
10
Das TCP-Paket wendet sich an den Serverport 80, also an den Webserver. Entsprechend wird der Datenteil an die Webserver-Applikation übergeben. Eine Antwort muss an den TCP-Clientport 1333 gerichtet werden.
4
11
Der Webserver-Prozess bekommt ein HTTPPaket, in dem die Hauptwebseite angefordert wird.
7
Tabelle 5.4 Kommunikation im ISO/OSI-Modell
Ihre Anfrage an die Webseite geht von einer Applikation (einem Programm) aus, das ein Applikationsdatenpaket erzeugt. Dieses Paket wandert – logisch gesehen – die ISO/OSI-Schichten hinunter (Schicht 7, 4, 3, 2 und 1) und wird schließlich als elektrisches Signal übertragen. Der Webserver von WEB.DE empfängt ein elektrisches Signal mit seiner Netzwerkkarte und erzeugt daraus ein Datenpaket. Dieses beginnt seine Wanderung
die ISO/OSI-Schichten hinauf (Schicht 1, 2, 3, 4 und 7) und wird auf der Applikationsschicht von der Anwendung Webserver verarbeitet. [»] Das Verfahren, das ich in Abbildung 5.1 beispielhaft für eine HTTP-Anfrage dargestellt habe, findet für jedes Datenpaket statt. Das klingt alles sehr kompliziert. Warum also macht man es nicht einfacher? Es könnte doch direkt Anwendung mit Anwendung sprechen, oder? Denkbar, doch zwischen Ihnen und dem Webserver von WEB.DE liegen noch weitere Providernetzwerke. Alle Komponenten müssten die Anwendung bzw. das HTTP-Protokoll direkt verstehen. Die Anwendung, also z. B. der Browser, müsste sich darum kümmern, wie sie den Eingang von Paketen überwacht und wie man zum Ziel http://www.web.de kommt. Außerdem müsste sie die Integrität der Daten überwachen und wie die Signale auf dem Kabel in elektrische Spannung umgesetzt werden. Das sind sehr viele Aufgaben, die diese Applikation erfüllen müsste. Wenn Sie nur das HTTP-Protokoll betrachten, ist der Aufwand gleich groß wie bei der Entwicklung selbständiger Schichten.
Abbildung 5.1 Datenkommunikation nach ISO/OSI-Modell
Über das Internet kommunizieren noch weitere Applikationen Ihres PCs (z. B. FTP, SIP und SMTP), und jede dieser Anwendungen müsste sich um alle Teile der Netzwerkkommunikation kümmern. Dies würde bedeuten, dass einerseits die Entwicklung von Anwendungen sehr komplex und andererseits die Übermittlung von Daten über allgemeine Netzwerke (z. B. das Internet) fast unmöglich würde – schließlich müsste jedes Netzwerkgerät, insbesondere der Router, z. B. die programmspezifische Adressierung verstehen, denn IP-Adressen gäbe es dann ja nicht.
Teil II Lokale Netze
6 Ethernet Sie haben nun einen Eindruck von den theoretischen Grundlagen eines Netzwerks gewonnen. In den nächsten Kapiteln werde ich Ihnen alle gängigen Techniken für lokale Netze (LANs) vorstellen. Die ersten Grundlagen für drahtgebundenes Ethernet wurden in den frühen 70er Jahren von der Firma Xerox gelegt. Die weitere Entwicklung von Ethernet wurde in einem Ausschuss der USamerikanischen Ingenieursvereinigung IEEE in der Untergruppe 3 der Gruppe 802 vorangetrieben. Im Jahr 1985 wurde mit dem Standard IEEE 802.3 eine internationale Normung geschaffen. Im Jahr 1990 folgte 10BASE-T, das eine Übertragungsrate von 10 Mbit/s über Twisted Pair ermöglichte. Der zehnmal schnellere Nachfolger Fast Ethernet kam nur zwei Jahre später. Ethernet wird laufend weiterentwickelt; die letzten Normungen behandeln Ethernet mit z. B. 100, 200 und 400 Gbit/s, somit einem Vielfachen der ersten Datenrate aus dem Jahr 1985. Das Ethernet vereint Schicht 1 und Schicht 2 des ISO/OSIModells (siehe Abschnitt 5.2, »ISO/OSI-Modell«).
6.1 Ursprung von Ethernet
Die Urform von Ethernet entstand bereits in den 1980er Jahren und setzt als Übertragungsmedium ein Koaxialkabel ein. Da alle PCs an dieses Kabel angeschlossen sind, handelt es sich um ein Bussystem. Die PCs teilen sich die Bandbreite, weil der Bus nur einen Kommunikationskanal hat und daher nur ein Rechner senden kann, ohne andere zu stören; alle anderen Rechner müssen zuhören. Der Ethernet-Standard regelt den Zugriff auf den Kommunikationskanal über das CSMA/CD-Verfahren. Dieses ist nicht deterministisch. Anders gesagt: Es gibt keine Kontrollinstanz, die ein Senderecht erteilt, sondern jeder Netzteilnehmer entscheidet selbst, wann er senden darf. Damit sich die Netzteilnehmer nicht gegenseitig stören, darf nur gesendet werden, wenn keine andere Station sendet. Sollten zufällig zwei Stationen gleichzeitig senden, kommt es zu einer Kollision, und die Daten sind zerstört.[ 1 ] Dieser Fehlerfall muss erkannt werden; daher sendet die erkennende Station das JAM-Signal. Die beteiligten Sender müssen einen zufällig ermittelten Zeitraum abwarten und dürfen erst danach wieder senden. Mit diesem Wissen fällt es leicht, die Abkürzung CSMA/CD zu verstehen: Carrier Sense: Das Kabel wird abgehört. Multiple Access: Alle Stationen haben gleichzeitig Sendemöglichkeit. Collision Detect: Kollisionen müssen erkannt werden. Wie Sie wissen, ist die Technik vorangeschritten, und Koaxialkabel werden heute nicht mehr eingesetzt. Stand der Technik sind Verkabelungen mit Twisted Pair, die über vier oder acht getrennte Adern verfügen. Üblicherweise wird ein Adernpaar für das Senden und ein Adernpaar für das Empfangen benutzt. Das Senden und
Empfangen geschieht so auf getrennten Kommunikationskanälen, folglich stört es nicht, wenn eine Station gleichzeitig sendet und empfängt. Anders als beim Koaxialkabel-Ethernet, das nur eine Richtung – also entweder Senden oder Empfangen – erlaubte (Halfduplex), ist bei Twisted Pair Fullduplex (siehe Abschnitt 24.8, »Sonderfunktionen«), also gleichzeitiges Senden und Empfangen, möglich.
Abbildung 6.1 Kommunikation im Ethernet-Verfahren
[»] In Abbildung 6.1 erkennt PC 3, dass das Netzwerk frei ist, und sendet an PC 1. Er schickt ein Ethernet-Paket an die MAC-Adresse von PC 1 und flutet damit das ganze Kabel. Jede am Kabel angeschlossene Station kann diese Daten empfangen. Anhand der MAC-Adresse entscheidet die Netzwerkkarte für jede angeschlossene Station, ob die Daten angenommen werden müssen oder ignoriert werden können. Eine Ausnahme bildet der sogenannte Promiscuous Mode, in den sich viele Netzwerkkarten versetzen lassen. Es wird dann nicht überprüft, ob die Daten für die eigene MAC-Adresse sind, sondern es werden alle Datenpakete angenommen. Diese Funktion wird typischerweise bei Netzwerküberwachungen eingesetzt; so kann der gesamte Datenverkehr erfasst werden und nicht nur der, der an
einen speziellen PC adressiert ist. Dies ist notwendig, wenn der Netzwerkverkehr anderer Netzwerkteilnehmer mit Sniffern mitgeschnitten werden soll (siehe Abschnitt 30.1, »Wireshark«).
6.2 Fast Ethernet Das schnelle Ethernet bietet eine Geschwindigkeit von 100 Mbit/s und wurde im Jahr 1995 als IEEE 802.3u normiert. Der Erfolg des Verfahrens liegt darin begründet, dass sich das Paketformat von Ethernet mit 10 Mbit/s zu Fast Ethernet mit 100 Mbit/s nicht geändert hat. Viele Komponenten (wie z. B. Netzwerkkarten), die Fast Ethernet beherrschen, sind abwärtskompatibel und können auch mit 10-Mbit/s-Ethernet betrieben werden. Die physikalische Ausbreitungsgeschwindigkeit eines elektrischen Signals ist mit etwa 200.000 km/s konstant. Wie hat man die effektive Übertragungsgeschwindigkeit verzehnfachen können? Die Daten werden dichter übertragen, so dass die Laufzeit einer Informationseinheit nicht mehr 51,2 µs, sondern 5,12 µs beträgt. Da bei beiden im Folgenden beschriebenen Varianten (100BASE-TX und 100BASE-FX) zwei Kanäle (Senden und Empfangen) zur Verfügung stehen, ist es möglich, Daten gleichzeitig zu senden und zu empfangen. Das Verfahren wird Fullduplex genannt und bietet theoretisch 100 Prozent, praktisch 15 Prozent mehr Leistung gegenüber der noch möglichen Halfduplex-Variante, die jedoch praktisch nie zum Einsatz kommt. Welche Geschwindigkeit (10 Mbit/s oder 100 Mbit/s) zu benutzen ist, wird meist mit dem Autosensing-Mechanismus erkannt. Auch für Half- oder Fullduplex gibt es eine Erkennung, Autonegotiation. Beide Technologien stellen in seltenen Fällen Fehlerquellen dar. Weitere Informationen finden Sie in Abschnitt 24.8, »Sonderfunktionen«. Es gibt zwei Ausprägungen von Fast Ethernet:
100BASE-TX: Fast Ethernet über Twisted-Pair-Kupferkabel 100BASE-FX: Fast Ethernet über Glasfaser 100BASE-TX ist die weitverbreitete Kupfervariante von Fast Ethernet. Die Übertragung findet auf vier Kupferadern (also zwei Adernpaaren, und zwar auf den Adern eins, zwei, drei und sechs) mit 100 Mbit/s statt. Üblicherweise haben Twisted-Pair-Kabel acht Adern. Von den acht Adern werden jedoch lediglich vier genutzt. Mit 100BASE-TX können Sie – genau wie bei 10BASE-T – 100 Meter überwinden. Es werden maximal 90 Meter verlegt, und 10 Meter können Anschlusskabel sein.
6.3 Gigabit-Ethernet Gigabit-Ethernet ist der zurzeit erschwinglichste schnelle Netzwerkstandard. Die Kapazität von 1.000 Mbit/s nutzt ein einzelner PC nur selten dauerhaft aus, doch eine Farm mit mehreren Servern kann eine Verbindung mit 1.000 Mbit/s leicht auslasten. Gigabit-Ethernet wurde früher hauptsächlich für Verbindungen im sogenannten Backbone, also auf den Hauptnetzwerkverbindungen in großen LANs, eingesetzt. Die Paketlaufzeit beträgt 0,512 µs. Das Paketformat von Ethernet bleibt wie schon beim Umstieg von 10 auf 100 Mbit/s auch bei Gigabit-Ethernet gleich. Zusätzlich zu dem bestehenden Paketformat wurde der Burst-Modus eingefügt. Er bietet die Möglichkeit, viele kleine Pakete zu einem größeren Paket zusammenzufassen und gemeinsam zu übertragen. Dadurch soll die Effektivität des Netzwerks im Vergleich zu einer Belastung mit vielen kleineren Paketen gesteigert werden. Man erkauft den Vorteil mit dem Nachteil des leicht verzögerten Versands, so dass mit dem Einsatz dieser Funktion die Eignung eines Netzes für Multimedia, insbesondere Echtzeitvideo, sinkt. Hinzu kommt, dass einige Netzwerkkomponenten diese Jumbo-Frames nicht oder nur bis zu einer bestimmten Größe unterstützen. Viele Netzwerkgeräte arbeiten mit Jumbo-Frames langsamer oder gar nicht. 1000BASE-SX und 1000BASE-LX (siehe Kapitel 9, »Glasfasertechnik«) sind die oft eingesetzten Glasfaservarianten von Gigabit-Ethernet. Meist werden über diese Verfahren Netzwerkkomponenten miteinander verbunden oder ein Backbone aufgebaut.
Der Kupferkabelstandard 1000BASE-T wurde im Jahr 1999 als IEEE 802.3ab (SX und LX schon im Jahr 1998 als IEEE 802.3z) standardisiert. Um diese Variante wurde sehr gerungen. Ziel war es, Gigabit-Ethernet auf bestehenden Kategorie-5-Kupferkabeln zu realisieren. Dieses Ziel wurde erreicht, indem man acht Adern, also vier Adernpaare, nutzt. Der Datenstrom wird in vier Übertragungskanäle aufgeteilt und auf fünf Spannungslevel verteilt. Durch die neue Art der Übertragung werden die in Kategorie 5 (Cat 5) festgelegten Minimalanforderungen überschritten. Es wurde daher die Cat-5e-Normierung vorgenommen (siehe Kapitel 23, »Netzwerkkabel«), die die GigabitEthernet-Tauglichkeit für Kabel bescheinigt. In der Ausgabe der DIN/EN 50173 vom Januar des Jahres 2000 sind die Anforderungen ebenfalls angepasst. Diese Norm ist die für Europa und Deutschland maßgebliche. 1000BASE-TX gibt es offiziell nicht, es existiert also keine Norm des IEEE. Einige Hersteller geben 1000BASE-T als 1000BASE-TX aus, doch es steckt mehr hinter dieser Sache. Der 1000BASE-T-Standard erfordert, alle vier Adernpaare zu nutzen, weil das Kabel (Cat 5) an sich qualitativ eine höhere Belastung nicht zulässt. Dabei wird mit Hilfe von komplexen Techniken versucht, Fehler zu beseitigen, die das Übersprechen (engl. crosstalk, abgekürzt XT) auftreten lassen. Angaben in der Fachliteratur zufolge kann mit 1000BASE-T nicht die volle Kapazität von 1.000 Mbit/s ausgenutzt werden; in der Praxis werden lediglich 400 Mbit/s erreicht. Mit einer Cat-6-Verkabelung hat sich dieses Problem eigentlich erledigt, denn die Qualität dieser Kabel liegt deutlich höher. 1000BASE-TX ist daher die Entwicklung von Gigabit-Ethernet auf Kupferkabeln, das alle vier Adernpaare nutzt und so ohne technische Tricks 1.000 Mbit/s Fullduplex erreicht. Der Normungsvorschlag TIA854 stammt von der Telecommunications
Industry Association (TIA). Für die Hersteller von Netzwerkkomponenten entfallen gegenüber 1000BASE-T einige aufwendige Techniken zur Fehlerkompensation.
6.4 NBase-T Netzwerkteilnehmer wie z. B. Access Points (siehe Kapitel 7, »Wireless LAN«) oder NAS (siehe Kapitel 40, »Netzwerkspeicher«) können eine Gigabit-Verbindung leicht auslasten. Viele Firmen scheuen die Kosten einer Neuverkabelung und verlangen einen schnellen Ethernet-Standard, der auf einer bereits verbauten Verkabelung der Klassen D und E (siehe Kapitel 23, »Netzwerkkabel«) funktioniert. Gleichzeitig sollte er Power over Ethernet (PoE) (siehe Abschnitt 25.3, »Fachbegriffe für den SwitchKauf«) ermöglichen, was natürlich die Anzahl der nutzbaren Adernpaare einschränkt. Switch-Ports, die dem im Jahr 2016 verabschiedeten Standard NBase-T entsprechen, handeln untereinander über Kabel der Kategorien 5e und 6 Geschwindigkeiten bis zu 2,5 Gbit/s bzw. 5 Gbit/s aus.
6.5 IEEE 802.3ae – 10GBASE Im Jahr 2002 wurde der 10GBASE-Standard als IEEE 802.3ae normiert. Dieser Standard bietet 10 Gbit/s als Kapazität und wird auch mit 10 GbE abgekürzt. Hinzu kommen zahlreiche Änderungen, die den Standard auch für längere Entfernungen von bis zu 80 Kilometern verwendbar machen. Die Übertragung erfolgt auf Glasfaserkabeln (siehe Kapitel 9, »Glasfasertechnik«); es gibt verschiedene Varianten, je nach Einsatzgebiet. Bis heute sind die Preise für 10GBASE-Komponenten deutlich gesunken. Einen Durchbruch dieser Technik wird es aber wohl erst geben, wenn die Preise so weit sinken, dass auch Privatkunden – der sogenannte Consumer-Markt – 10GBASE einsetzen. Das ist allerdings nur mit Kupferkabeln zu erwarten.
6.6 IEEE 802.3an – 10GBASE-T 10GBASE-T ist ein IEEE-Standard, der 10-Gbit-Ethernet auf Kupferleitungen ermöglicht. Er wurde Mitte 2006 verabschiedet. Auf Klasse-F-Kabeln (Cat 6 oder besser) wird eine Länge von 100 Metern und auf Klasse-E-Kabeln – unter Ausnutzung aller acht Adern – eine Länge von 60 Metern unterstützt. Selbst auf ungeschirmten Kabeln nach Cat 5 sind noch 22 Meter möglich.
6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet Im Juni 2010 wurde der Standard IEEE 802.3ba mit zwei Geschwindigkeiten – 40 und 100 Gigabit – verabschiedet. Die Geschwindigkeit von 40 Gigabit wurde aus historischen Gründen in diese Norm einbezogen. Sie ist seit Jahren im optischen WAN verbreitet. In den Jahren 2014 und 2015 wurden die Standards IEEE 802.3bj und IEEE 802.3bm ergänzt. Monomode- und Multimode-Glasfasern und Twinaxial-KupferKabel (Twinax) sind die Alternativen für das schnelle Netzwerk. Eine Einsatzmöglichkeit für diese Technologie ist in der Backplane von Bladeservern möglich. Bladeserver komprimieren die Rechenleistung mehrerer Server auf engem Raum und sparen Platz und Netzwerkports. Die Verbindung zur Außenwelt erfolgt über das Enclosure, also die Einhausung mehrerer Blades. Damit steht dieses Verfahren in direkter Konkurrenz zum BackplaneEthernet IEEE 802.3ap. Die hohen Geschwindigkeiten haben für die Industrie jedoch einen kostspieligen Nachteil: Es sind in der Regel neue Kabel erforderlich. Twisted-Pair-Kabel sind im Vergleich die günstigere Variante, weshalb im Jahr 2016 mit dem Standard IEEE 802.3bq das 40 GigabitEthernet 40GBASE-T über Kabel der Kategorie 8 (siehe Kapitel 23, »Netzwerkkabel«) normiert wurde. 40GbE
100GbE
Physik
maximale Distanz
40GBASE-T
–
Cat 8
30 m
40GbE
100GbE
Physik
maximale Distanz
40GBASEKR4
–
Backplane
< 1 m
40GBASECR4
100GBASECR10
Twinax
< 10 m
40GBASESR4
100GBASESR10
Multimode
OM3: 100 m OM4: 125 m
40GBASELR4
100GBASELR4
Singlemode 10 km
–
100GBASEER4
Singlemode 40 km
Tabelle 6.1 Normierungen 100GbE
[»] 10GBASE auf Glasfaser verwendet zwei Glasfasern, eine für das Senden und eine für das Empfangen von Daten. 40GbE benötigt mindestens acht Fasern, jeweils vier für das Senden und für das Empfangen. 40GBASE-CR4 benötigt acht Twinax-Adern, 100GBASECR10 entsprechend zehn Adernpaare. Die Anzahl der jeweils benötigten Adernpaare ist aus der letzten Ziffer der jeweiligen Bezeichnung in Tabelle 6.1 ersichtlich.
6.8 IEEE 802.3bs – 200- und 400Gigabit-Ethernet Geschwindigkeiten über 100 Gigabit werden allgemein als TerabitEthernet (TbE) bezeichnet. Der im Jahr 2017 verabschiedete Standard IEEE 802.3bs bietet durch die Kombination verschiedener Glasfasern mehrere Standards mit unterschiedlichen Übertragungsgeschwindigkeiten und Übertragungswegen an, die vorwiegend in der Netzwerkinfrastruktur des Internets und bei Cloud-Anbietern zum Einsatz kommen.
6.9 Hub Ein Hub ist eine aktive Netzwerkkomponente, die im Zentrum der Sterntopologie (siehe Kapitel 4, »Netzwerktopologien«) steht. Alle Anschlusskabel zu den Stationen beginnen im Hub. Er selbst verbindet die einzelnen Anschlüsse intern über einen Bus. Technisch ist der Hub ein elektrischer Verstärker. Er arbeitet auf Schicht 1 des ISO/OSI-Modells. Das Gerät trifft keinerlei logische Entscheidungen, sondern gibt alle eingehenden Signale ungeprüft und elektrisch verstärkt an allen übrigen Anschlüssen aus. Auch fehlerhafte Pakete (zu groß, zu klein, fehlerhafte Prüfsumme) werden weitergeleitet und nicht schon am Hub verworfen. Typischerweise wurden Hubs bei Verkabelungen mit Twisted Pair (siehe Kapitel 23, »Netzwerkkabel«) eingesetzt. Sie bieten zwischen 5 und 100 Anschlussmöglichkeiten für RJ-45-Stecker. Sehen Sie sich dazu bitte auch Abbildung 6.2 an: Der Hub verbindet die PCs miteinander. Stellen Sie sich vor, dass der Bus des BNCNetzwerks in den Hub gewandert ist und die Anschlusskabel länger geworden sind. Dieses Verhalten des Hubs ist sein größter Nachteil, und inzwischen gibt es ihn kaum noch. Dadurch, dass er ein Signal immer auf allen Anschlüssen ausgibt, müssen sich die Netzwerkteilnehmer streng an CSMA/CD halten: Es kann nur einer senden, alle anderen müssen empfangen.
Abbildung 6.2 Der Bus im Hub
Die Konsequenz ist, dass sich alle angeschlossenen Stationen die verfügbare Bandbreite teilen: Es kann nur ein Teilnehmer die Bandbreite nutzen, indem er sendet. [+] Der Einsatz eines Hubs ist nur noch dann sinnvoll, wenn Sie alle Datenpakete analysieren bzw. mitschneiden möchten.
6.10 Switch Der Switch ist aus der Bridge (dt. Brücke) hervorgegangen. Eine Bridge – und somit auch ein Switch – teilt ein Ethernet in mehrere Segmente auf. Die Bridge besitzt dabei einen Anschluss pro Segment (siehe Abbildung 6.3) und leitet Pakete aus Segment A nur dann in Segment B, wenn die adressierte MAC-Adresse dort angeschlossen ist. Die Bridge – beziehungsweise der Switch – trifft Entscheidungen anhand der Adresstabelle von ISO/OSI-Schicht 2. Wenn also PC 1 an PC 2 sendet, bleiben die Datenpakete in Segment A; parallel kann innerhalb von Segment B gesendet werden, ohne dass es zu Kollisionen kommt.
Abbildung 6.3 Eine Bridge erzeugt Segmente auf Ethernet-Ebene.
[»] Das in Abbildung 6.3 dargestellte Netzwerk hat eine Bandbreite von 10 Mbit/s. Ohne Bridge würden sich die fünf PCs die Bandbreite teilen; es bleiben also 2 Mbit/s pro PC. Die Bridge hat die effektive Netzwerkkapazität pro PC nahezu verdoppelt: Im Segment A teilen sich zwei PCs die Bandbreite von 10 Mbit/s, somit 5 Mbit/s pro PC, im Segment B sind es drei PCs, daher stehen jedem PC 3,33 Mbit/s zur Verfügung. Dies gilt unter der Voraussetzung, dass die
Kommunikation selten segmentübergreifend (also zwischen A und B) stattfindet.
Abbildung 6.4 Ein Switch erzeugt pro Port ein LAN-Segment.
Ein Switch unterscheidet sich nur durch wenige Eigenschaften von einer Bridge. Üblicherweise wird pro Switch-Anschluss ein PC (siehe Abbildung 6.4) angeschlossen. Damit entsteht pro PC ein EthernetSegment. Jedem PC steht damit die volle Bandbreite von z. B. 1 Gbit/s pro Kommunikation zur Verfügung, denn es werden nur noch Datenpakete an ihn weitergeleitet, wenn sie für seine MACAdresse bestimmt sind. Ein Switch-Anschluss, also eine RJ-45Buchse eines Switches, wird als Port oder Switch-Port bezeichnet.
6.10.1 Ethernet Broadcast Durch den Switch kommt somit ein Paket immer beim Empfänger mit der richtigen MAC-Adresse an, ohne die anderen Teilnehmer zu belästigen. Diese Übertragung von einem Sender an einen
Empfänger wird auch als Unicast bezeichnet. Es gibt jedoch zwei Arten von Ethernet-Paketen, die grundsätzlich auf allen oder mehreren Ports ausgegeben werden: Broadcasts und Multicasts. Ein Broadcast ist ein Paket, das an alle Netzwerkteilnehmer adressiert ist. Es wird also jede Ethernet-Karte unabhängig von der MAC-Adresse angesprochen. Die Ziel-MAC-Adresse lautet ff:ff:ff:ff:ff:ff. Diese Möglichkeit wird z. B. bei ARP und NDP (siehe Kapitel 15, »Address Resolution Protocol und Neighbor Discovery Protocol«) genutzt. Leider verwenden viele Anwendungen diese simple, aber unschöne Möglichkeit, alle IPv4-Rechner eines Netzwerks zu erreichen. IPv6 hingegen ersetzt gängige Broadcasts durch Multicast (siehe Abschnitt 14.7.3, »IPv6-Multicast«).
6.10.2 Ethernet-Multicast Mit einem Multicast wendet sich ein Sender an eine Gruppe von Empfängern. Es wird nur einmal gesendet, das Netzwerk verteilt die Pakete. So ist es möglich, z. B. einen Videodatenstrom an 100 Empfangsstationen gleichzeitig zu senden. Moderne Switches unterstützen intelligente Mechanismen, bei denen sich Empfänger beim Switch für bestimmte Multicasts erfolgreich anmelden, so dass der Switch gezielt die Datenpakete an diesen Port weiterleiten kann (Stichwort IGMP). [!] Broadcasts belasten das Netzwerk mehr als Unicasts. Während eines Broadcasts kann keine parallele Kommunikation stattfinden, weil alle Ports belegt sind. Es ist daher vorteilhaft, möglichst wenig unnötige Broadcasts im Netzwerk zu haben. Ein mögliches
Problem mit Broadcasts im WLAN beschreibe ich in Abschnitt 46.2.4, »TV Media Player«.
Multicast-Ethernet-Adressen werden in einem IPv4-Netzwerk (siehe Abschnitt 14.2, »IPv4-Multicast«) anders gebildet als in einem IPv6Netzwerk (siehe Abschnitt 14.7.3, »IPv6-Multicast«).
6.10.3 Ausblick Das Verfahren Ethernet wird in immer mehr Bereichen eingesetzt werden. Es gibt aktuell einen Standardisierungsvorschlag für das Residential Ethernet, ein Ethernet, das verschiedenste Komponenten zu Hause vernetzt. Der Datenanschluss daheim soll ebenfalls auf Ethernet basieren, die passende Gruppe bei IEEE ist 802.3ah. Sie forciert Ethernet To The Home (ETTH) und Ethernet to the First Mile (EFM). Gemeint ist der Ausbau von Stadt- und Regionalnetzwerken, über die Ihnen ein Provider TV, Internet und Telefon z. B. über das Telefon-, Fernsehoder Glasfaserkabel auf der Basis von Ethernet anbietet. So, wie Sie und ich heute – in Zeiten von VDSL2 und 5G – über Modemgeschwindigkeiten von 19,2 Kbit/s lächeln, so werden wir voraussichtlich in einigen Jahren schon über 1000BASE-T lächeln. Ich vermute, dass es weitere Entwicklungen im Bereich der Kupferkabel geben wird. In den Unternehmen gibt es zu viele installierte Kabel, als dass es sich die Wirtschaft leisten könnte, diese einfach überall zu ersetzen. Vermutlich wird die Entwicklung von Ethernet auf Kupferkabeln bei 40GBASE-T noch nicht ihren Abschluss gefunden haben. 100-Gigabit-Ethernet ist sowohl auf Kupfer als auch auf Glasfaser normiert. Es wird außerdem überlegt,
ob 100 Gbit/s auf Cat-7-Kabel mit einer Länge von 70 Metern machbar sind (http://www.elektronikkompendium.de/sites/net/1406261.htm). Kupfer und Glasfaser werden weiterhin in Konkurrenz stehen. Es ist abzusehen, dass mit schnelleren Komponenten viele Unternehmen die weithin übliche doppelte Netzwerkinfrastruktur nicht mehr vorhalten möchten. Die Technik, das Storage Area Network (SAN) und das Local Area Network (LAN) in einem Netzwerk zu konsolidieren, ist vorhanden: 10-Gigabit-Ethernet und Fibre Channel verschmelzen zu einem Converged 10 GbE, wie es in Fibre Channel over Ethernet (FCoE) Marktreife gefunden hat. Irgendwann aber stößt das Kupferkabel nicht nur an physische Grenzen – aufgrund der mit der höheren Datenrate einhergehenden stärkeren Wärmeentwicklung und des daraus resultierenden Kühlungsbedarfs wird das Kupferkabel irgendwann unwirtschaftlich.
6.11 Virtual LAN Ein Virtual LAN (VLAN) simuliert mehrere separate Netzwerke auf einem Kabel oder einem Switch-Port. Alternativ zu einem VLAN könnten Sie immer auch ein zusätzliches Kabel an einem anderen Switch-Port verwenden. [»] Stellen Sie sich einfach vor, die Ethernet-Pakete (VLAN ist eine Schicht"=2-Technologie, siehe Abschnitt 5.2, »ISO/OSI-Modell«) würden farbig markiert. Im Netzwerk werden die roten, grünen, blauen und andersfarbige Pakete jeweils separat von den anderen Paketen transportiert, als wenn Sie fünf separate Kabel gezogen hätten (siehe Abbildung 6.5). Die Kommunikation zwischen den VLANs gelingt nur mit Hilfe eines Routers (siehe Abschnitt 14.3, »Routing«).
Abbildung 6.5 VLANs unterteilen Switches in separate Ethernet-Segmente.
Eine praktische Anwendung der VLAN-Technologie finden Sie in Abschnitt 25.4, »Ein eigenes VLAN und WLAN für Gäste«.
6.11.1 Portbasierte VLANs Für die Vorstellung eines portbasierten VLANs genügt der Vergleich mit einem Switch, den Sie mit einer Säge in zwei oder mehr Teile zerschneiden, um mit den jeweiligen Ports der zurechtgeschnittenen Teile einzelne LAN-Segmente zu generieren. [»] Sind zwei unterschiedliche VLANs auf zwei separaten Switches verfügbar, muss im Backbone für jedes VLAN grundsätzlich eine eigene physikalische Verbindung geschaffen werden. Die Zuordnung der Ports zu einem bestimmten VLAN kann statisch – also z. B. fest konfiguriert über das Administrationsinterface des Managed Switches – oder dynamisch – also z. B. abhängig von der jeweiligen MAC-Adresse des mit dem Port verbundenen Netzwerkteilnehmers – sein.
6.11.2 Tagged VLANs Jedes VLAN hat eine Nummer (ID). Die Ethernet-Frames in einem VLAN müssen mit einem VLAN-Tag um eine 4 Bytes große ID erweitert werden (siehe Abschnitt 6.12, »Das Ethernet-Datagramm«). [»] Dadurch können mehrere VLANs auf einem Switch-Port abgebildet werden. Mit Hilfe eines Tagged Ports können Sie z. B. zwei oder mehr unterschiedliche VLANs auf zwei separaten Switches über ein einzelnes LAN-Kabel verbinden. In der Virtualisierung können virtuelle Maschinen aus unterschiedlichsten VLANs auf einem Host laufen, der über getaggte Ports an das LAN angeschlossen ist.
6.12 Das Ethernet-Datagramm Die Mindestgröße eines Ethernet-Frames beträgt 64 Bytes. Bei noch kleineren Paketen könnte es passieren, dass der Sender eine Kollision nicht bemerkt, und damit wäre die Funktion von Carrier Sense Multiple Access/Collision Detection (CSMA/CD) nicht mehr gewährleistet. Die Größe eines typischen Frames beträgt 1.518 Bytes, von denen 18 Bytes auf den Header entfallen. Ein theoretisch bis zu 16 KByte großer Jumbo-Frame (siehe Abschnitt 6.3, »GigabitEthernet«) ist regelmäßig 9.000 Bytes groß. Für den Nutzinhalt Data des Ethernet-Frames in Abbildung 6.6 stehen minimal 46 Bytes und maximal 1.500 Bytes zur Verfügung. Dies entspricht der Maximum Transmission Unit (MTU) von Ethernet und damit der maximalen Größe eines Paketes, das unfragmentiert übertragen werden kann. [+] Für eine Übertragung über mehrere Netzwerke ist insbesondere die Path MTU (PMTU), also die kleinste beteiligte MTU, interessant. Um diese zu ermitteln, kann ein IPv4-Paket mit einem Flag versehen werden, das die Fragmentierung dieses Paketes untersagt (siehe Abschnitt 14.10, »Das IP-Datagramm«). IPv4-Router mit kleinerer MTU senden eine ICMP-Fehlermeldung (siehe Kapitel 16, »Internet Control Message Protocol«) an den Absender, die die Größe ihrer MTU enthält. Der Absender reduziert seine MTU daraufhin und wiederholt den Vorgang, bis die Übertragung erfolgreich war. IPv6-Pakete werden nicht fragmentiert, das Verfahren funktioniert grundsätzlich aber genauso.
[+] Jedem Ethernet-Frame ist zusätzlich eine 64 Bit lange Präambel vorangestellt, eine Folge von sich abwechselnden Nullen und Einsen, beendet von zwei Einsen, dem Start Frame Delimiter (SFD). Diese Präambel diente früher dem Einschwingen von Sender und Empfänger und ist heute vornehmlich aus Gründen der Kompatibilität enthalten. Sie ist Teil von Ethernet auf ISO/OSISchicht 1.
Abbildung 6.6 Das Ethernet-Datagramm auf ISO/OSI-Schicht 2
Destination MAC und Source MAC: die Ziel- und Quelladresse Typ: Der EtherType informiert über den Inhalt der Nutzdaten und verweist damit auf das eingekapselte Protokoll. Der Wert 0x0800 steht z. B. für ein klassisches IP-Paket (siehe Kapitel 14, »Das Internetprotokoll«), 0x0806 steht für ARP (siehe Kapitel 15, »Address Resolution Protocol und Neighbor Discovery Protocol«). Data: der Nutzdateninhalt. Möglicher Nutzinhalt ist z. B. ein IPv4Paket (siehe Abschnitt 14.10, »Das IP-Datagramm«), ein IPv6Paket (siehe Abschnitt 14.11, »Das IPv6-Datagramm«), ein ARPPaket (siehe Abschnitt 15.3, »Das ARP-Datagramm«), ein ICMPPaket (siehe Abschnitt 16.2, »Das ICMP-Datagramm«) oder ein ICMPv6-Paket (siehe Abschnitt 16.3, »Das ICMPv6Datagramm«). FCS: Mit Hilfe der Frame Check Sequence sollen bei der Übertragung entstandene Fehler anhand einer Prüfsumme erkannt werden. Ein Ethernet-Frame, der mit einem VLAN-Tag versehen wurde, wächst um 4 Bytes (siehe Abbildung 6.7).
Abbildung 6.7 Ein Ethernet-Datagramm mit VLAN-Tag
An der Stelle, an der eigentlich der Typ des Ethernet-Paketes steht, deutet die Bytefolge 0x8100 auf ein mit einem VLAN etikettiertes (engl. tagged) Paket hin. Von den restlichen zwei Bytes des VLAN-Tags werden 12 Bits für die VLAN-ID verwendet. Unter Berücksichtigung der nicht verwendbaren VLAN-IDs 0 und 4095 ergibt sich somit ein Maximum von 4.094 möglichen VLAN-IDs.
7 Wireless LAN Drahtlose Netzwerke haben viele Vorteile und sind zurzeit ein großer Verkaufserfolg. Auch außerhalb der Netzwerke wird alles drahtlos: Tastaturen, Mäuse und Headsets werden mit Bluetooth-Funk versorgt. Mobile Geräte sind weitverbreitet. Dieser Trend setzt sich auch bei Netzwerken durch. Bevor Sie sich für den Einsatz dieser Technik entscheiden, sollten Sie jedoch einige Besonderheiten beachten. Im ISM-Band von 2,4 GHz darf jedermann innerhalb seines Grundstücks[ 2 ] mit einer maximalen Sendeleistung von 100 mW funken. Dem Benutzer entstehen keine Lizenzkosten oder Ähnliches. Zudem ist dieses Frequenzband international reserviert. Leider arbeiten neben verschiedenen Funktechniken auch Mikrowellenherde[ 3 ] und diverse andere Geräte auf genau diesem Frequenzband, so dass es vielfältige Störquellen gibt. Es bestehen zudem einige Einschränkungen, so dass Sie sich bei einem Einsatz außerhalb von Deutschland zusätzlich über die besonderen rechtlichen Vorschriften des betreffenden Landes informieren sollten. Im 5-GHz-Band darf unter bestimmten Voraussetzungen – so dient z. B. der automatische Kanalwechsel bei erkanntem eigenem Störpotential mittels Dynamic Frequency Selection (DFS) insbesondere dem Schutz von Primärnutzern wie dem Militär oder Wetterradarsystemen – mit bis zu einem Watt Leistung gesendet
werden. Die höhere Leistung kann aufgrund der höheren Dämpfung jedoch nur teilweise in größere Reichweiten umgesetzt werden. Für alle WLAN-Varianten gilt gleichermaßen, dass es sich bei den angegebenen Datenraten um Bruttodatenraten handelt. Erst nach Abzug der Steuerungsdaten erhalten Sie die Nettodatenrate. Außerdem teilen sich alle Teilnehmer die Bandbreite.
7.1 IEEE 802.11 In Tabelle 7.1 und in Tabelle 7.2 möchte ich Ihnen einen Überblick über den Buchstabensalat im Bereich der WLANs verschaffen. Arbeitsgruppe Wi-FiArbeitsgebiet Generation 802.11
Urform des WLANs von 1997, mit 2 Mbit/s im 2,4-GHz-Band
802.11a
54-Mbit/s-WLAN im 5-GHz-Band
802.11b
11-Mbit/s-WLAN im 2,4-GHz-Band
802.11g
54-Mbit/s-WLAN im 2,4-GHz-Band
802.11h
54-Mbit/s-WLAN im 5-GHz-Band mit den europäischen Ergänzungen DFS und TPC
802.11j
Entspricht 802.11a, aber Frequenzbereich für Japan.
Arbeitsgruppe Wi-FiArbeitsgebiet Generation 802.11n
Wi-Fi 4
802.11p
802.11ac
Verbesserungen für schnellere WLANs mit 150 Mbit/s pro Datenstrom im 5-GHz- und 2,4GHz-Band Kommunikation zwischen Fahrzeugen im 5,9-GHzFrequenzband
Wi-Fi 5
802.11ad
Gigabit-WLAN im 5-GHz-Band Gigabit-WLAN im 60-GHz-Band
802.11ax
Wi-Fi 6
11-Gigabit-WLAN
802.11be
Wi-Fi 7
40-Gigabit-WLAN
802.11ay
Nachfolger von 802.11ad
Tabelle 7.1 IEEE 802.11: Übertragungsverfahren
Mit der Einführung von IEEE 802.11ax hat die Wi-Fi Alliance (siehe Abschnitt 7.12, »Wi-Fi Alliance«) beschlossen, zusätzlich zu den kryptischen Namen der Standards mit den Wi-Fi-Generationen sprechendere Namen einzuführen. [+] Es gibt einzelne Chips und somit auch Geräte, die drei oder mehr Standards gleichzeitig unterstützen und somit ähnlich wie Tri-Band-Handys universell funktionieren. Für sie gilt das Gleiche wie für Handys: Es war schon immer teurer, einen besonderen Geschmack zu haben.
[!] Alle Teilnehmer im WLAN teilen sich die Bandbreite. Gibt es also neun Stationen, die gleichzeitig einen WLAN-Zugang (Access Point) mit 54 Mbit/s benutzen, dann stehen im Idealfall jeder Station 6 Mbit/s zur Verfügung. Zudem beträgt die effektive Nutzdatenrate in etwa die Hälfte der gerade genannten Bruttodatenrate. Aktuelle Standards verwenden MIMOTechnik (siehe Abschnitt 7.13.5, »Multiple Input, Multiple Output«) und Multi-User MIMO (siehe Abschnitt 7.13.6, »Multi-User MIMO«). Arbeitsgruppe Arbeitsgebiet 802.11c
Wireless Bridging
802.11d
»World Mode«, Anpassung an regionsspezifische Regulatorien
802.11e
QoS- und Streamingerweiterung für 802.11a/g/h
802.11f
Inter Access Point Protocol = IAPP, macht z. B. Handover (Roaming zwischen Access Points) möglich
802.11i
Authentifizierung/Verschlüsselung für 802.11a/b/g/h (AES, 802.1x)
802.11k
Erweiterung, die ortsbezogene Dienste zulassen soll (location-based services)
802.11m
Weiterentwicklung der Standards (Maintenance)
802.11r
Fast Handover, Roaming zwischen Access Points
802.11s
Aufbau von Mesh-Netzwerken
802.11t
Testverfahren (WPP) und Messverfahren
Arbeitsgruppe Arbeitsgebiet 802.11u
Zugangsverwaltung von Hot Spots (Hotspot 2.0, Passpoint)
802.11v
WLAN-Management
802.11w
Datenintegrität und Sicherheit
802.11-2012
zusätzliches 3,7-GHz-Band (3.650 bis 3.700 MHz)
Tabelle 7.2 IEEE 802.11: Ergänzungen
Ein Access Point verrät seinen Service Set Identifier (SSID) durch Beacons (dt. Signalfeuer). Ein Beacon-Paket enthält unter anderem die SSID, MAC-Adresse, maximale Datentransferrate und Zeitinformationen. In einem Beacon kann eine Traffic Indication Map (TIM) enthalten sein. Die TIM ist eine Nachricht, die WLAN-Clients aus dem Energiesparmodus aufweckt, denn aus Energiespargründen können WLAN-Clients im Polled Access Mode (PAM) betrieben werden. Wenn Daten für diese Clients am Access Point vorhanden sind, werden die Clients angesprochen und mit einer TIM aufgeweckt. Es gibt zwei Möglichkeiten für den Betrieb eines WLANs: Im Ad-hoc-Modus funkt eine WLAN-Karte zu einer anderen WLAN-Karte. Dabei können mehrere WLANVerbindungen gleichzeitig bestehen. Der einzige Nachteil im Vergleich zum Infrastruktur-Modus ist die geringere Sende- und Empfangsleistung. Andere Ausdrücke sind Peer-to-Peer-Netz oder Independent Basic Service Set (IBSS).
Der Infrastruktur-Modus kann betrieben werden, wenn man über mindestens einen Access Point (AP) verfügt. Ein AP ist eine Empfangsanlage, meist mit integrierter Antenne für ein WLAN, und wird üblicherweise mit einem Steckernetzteil oder über das LAN-Kabel mit Strom versorgt. Gewöhnlich stellt der AP auch die Verbindung zum drahtgebundenen LAN her. »Welchen Modus soll ich einsetzen?«, werden Sie sich fragen. Im Adhoc-Modus wird ein WLAN aufgebaut, wenn man nur eine begrenzte Zahl von Clients untereinander spontan verbinden will und keinen Zugang in das kabelgebundene LAN benötigt. Meistens wird WLAN im Infrastruktur-Modus verwendet. Ein wesentlicher Unterschied zwischen drahtgebundenen und drahtlosen Netzen ist aus physikalischer Sicht, dass man bei einem drahtlosen WLAN keine Kollisionen erkennen kann. Es kann aber aufgrund des nicht deterministischen Zugangsverfahrens immer zu Kollisionen kommen, die bei Ethernet durch das CSMA/CDVerfahren behandelt werden. Wenn man Kollisionen nicht erkennen kann, ist es auch nicht möglich, den Fall einer Kollision zu behandeln. Bei WLAN gilt daher CSMA/CA: Dies steht für Collision Avoidance, die Kollisionsvermeidung. Bei diesem Verfahren hört die sendewillige Station das Medium – also den Funkkanal – ab. Falls dieser frei ist, wartet sie mit dem Interframe Space (IFS) eine weitere definierte Zeit ab. Ist das Medium am Ende der Wartezeit immer noch frei, wird gesendet. Der Mechanismus funktioniert nur dann, wenn sich alle Stationen gegenseitig empfangen können. [»] Stellen Sie sich vor, dass drei Stationen im Abstand von jeweils 100 Metern voneinander aufgestellt werden, so dass die beiden äußeren Stationen 200 Meter entfernt sind und sich nicht gegenseitig empfangen können (siehe Abbildung 7.1). Möchten die Stationen A und C zu Station B senden, kann der CSMA/CA-
Mechanismus keine Kollisionen verhindern, weil Station A nicht feststellen kann, dass gleichzeitig Station C sendet, und daher das Medium als frei erkennt.
Abbildung 7.1 CSMA/CA funktioniert hier nicht.
Es kann und wird bei WLANs also unvermeidbar zu Kollisionen kommen. Daher wurde schon auf dieser Protokollschicht – eigentlich wäre das Aufgabe von TCP – ein Sicherungsmechanismus implementiert. Gesendete Frames werden vom Empfänger durch ein ACKnowledge bestätigt. Kommt das ACK nicht, beginnt die Sendestation mit der Wiederholung (Retransmission) nach einer vorher definierten Zeit. Bei sehr vielen WLAN-Clients an einem Access Point kann das CSMA/CA-Verfahren nicht mehr ordentlich durchgeführt werden. In diesem Fall wird Request To Send (RTS) angewendet, und ein WLAN-Client muss sich das Senderecht zuvor vom Access Point erteilen lassen.
WLANs bieten die Möglichkeit, Pakete zu fragmentieren, also zu zerteilen. Der Wert des Fragmentation Thresholds gibt an, wie viele Bytes ein Datenpaket groß sein muss, damit es fragmentiert wird. Die Fragmentierung von Paketen führt zu überflüssigen Kontrollinformationen und verschlechtert die Performance des WLAN-Zugangs. Sie sollten den Wert möglichst hoch setzen und nur dann nach unten verändern, wenn es zu defekten Datenpaketen oder Kommunikationsstörungen kommt. Eine Regelung für das Roaming, also das Wandern zwischen verschiedenen Access Points, gab es lange Zeit gar nicht. Der Standard IEEE 802.11r aus dem Jahr 2008 ermöglicht heute ein sehr schnelles Roaming zwischen Access Points, das sogar den Ansprüchen der Telefonie genügt. Andere Ungenauigkeiten führten dazu, dass zu Beginn der WLANÄra die Komponenten eines Herstellers mit denen anderer Hersteller häufig inkompatibel waren. Abhilfe schaffte die Wi-Fi Alliance (siehe Abschnitt 7.12, »Wi-Fi Alliance«). Diese zertifiziert die Kompatibilität zwischen den beteiligten Herstellern durch das WiFi-Zertifikat. Auf dieser Basis arbeiten heute die meisten WLANKomponenten verschiedener Hersteller problemlos zusammen. Eine standardisierte Funktion von IEEE 802.11a/b/g/n ist es, eine niedrigere Datenrate auszuhandeln, wenn die Empfangsbedingungen schlechter werden. Die maximale Bandbreite kommt nur bei gutem Empfang zustande, wenn sich Sender und Empfänger in unmittelbarer Nähe zueinander befinden. Wenige Zentimeter entscheiden zum Schluss über den Empfang; man spricht auch vom Link. Zwischen den Herstellern gibt es massive Unterschiede, was die Sende- und Empfangsqualität angeht. Dabei ist Stahlbeton das größte Hindernis für Funkverbindungen. Es kommt beim Aufstellen eines Access Points
deshalb auf die geschickte Standortwahl an, um den WLAN-Clients möglichst gute Datenraten bieten zu können (siehe Abschnitt 7.16, »Antennenausrichtung und Position«). Mittels IEEE 802.11a/b/g/n lassen sich mit Richtfunkantennen auch längere Strecken überbrücken, wenn Sichtkontakt besteht. Möglich sind ein bis zwei Kilometer bei relativ geringen Datenraten. Diese Verbindung ist störanfällig bei Regen, Schnee, vorbeifliegenden Vögeln, Baukränen und ähnlichen Hindernissen.
7.2 IEEE 802.11b Mit 11 Mbit/s bietet dieser Standard keine zeitgemäße Datenrate mehr. Die Geschwindigkeit ist für einige Anwendungen ausreichend, so z. B. für den normalen DSL-Internetzugang, doch für Multimedia, also z. B. einen Film, sind die 5 Mbit/s tatsächliche Datenrate einfach zu wenig. Die Standards sind abwärtskompatibel. IEEE 802.11 beherrscht Datenraten von 1 oder 2 Mbit/s. IEEE 802.11b hat vier Bandbreitenstufen von 11, 5,5, 2 und 1 Mbit/s. Die Firma Texas Instruments verwendete in ihren WLAN-Chips optional statt der üblichen DSSS- eine PBCC-Kodierung. Dieses Verfahren eignet sich auch für höhere Datenraten. Unter der Bezeichnung 11b+ wurden Geräte verkauft, die Geschwindigkeiten von 22 oder 44 Mbit/s unterstützten. Wenn Sie sowohl WLAN-Karten als auch einen Access Point einsetzen, der dieses unterstützt, spricht nichts dagegen, diese Geschwindigkeitserhöhung zu nutzen.
7.3 IEEE 802.11a/h IEEE 802.11a/h bietet Bruttodatenraten von 54 Mbit/s, netto werden unter guten Bedingungen 20 Mbit/s erreicht. Bei diesem Standard wird ein anderes Frequenzband als bei IEEE 802.11b/g benutzt, es liegt im 5-GHz-Bereich. In den USA war das gewünschte Frequenzband vorher unbenutzt und konnte für WLANs verwendet werden. In Europa und auch in Deutschland waren gewisse Bereiche für Satelliten reserviert. Erst seit der Verabschiedung von IEEE 802.11h im September des Jahres 2003 kann der Standard sorgenfrei in Europa eingesetzt werden. Es handelt sich dabei um den gleichen Standard wie beim US-amerikanischen IEEE 802.11a, jedoch gibt es zwei Erweiterungen zur Frequenzwahl und Sendeleistung: Dynamic Frequency Selection (DFS): Ein benutzter Kanal wird erkannt und erzwingt einen Kanalwechsel. Transmit Power Control (TPC): Schutz anderer Funksysteme; mit implementiertem DFS darf jedoch wieder etwas stärker abgestrahlt werden. IEEE 802.11a/h ist aufgrund des anderen Frequenzbands nicht mit den älteren oder anderen 802.11-Varianten abwärtskompatibel. Das 5-GHz-Frequenzband ist frei von Störquellen, weil es ausschließlich für die drahtlose Datenkommunikation reserviert ist. Aufgrund von 19 Kanälen à 20 MHz ist es möglich, mehr WLANClients bei höheren Datenraten anzubinden, als es bei IEEE 802.11b/g mit drei Kanälen möglich ist.
Ein Vergleich der Firma Intersil ergab, dass die Reichweite von 11a in Großraumbüroumgebungen – amerikanischer Büroeinsatz – schlechter ist als bei 11g. Diese Erfahrung kann ich auch für die deutsche Massivbauweise bestätigen; die Funkabdeckung ist hier wesentlich geringer.
7.4 IEEE 802.11g Im Juni 2003 wurde 11g verabschiedet, die Übertragungsrate beträgt brutto 54 Mbit/s, in der Realität werden unter optimalen Bedingen etwa 20 Mbit/s als Nettodatendurchsatz erreicht. Es gibt keinen grundsätzlichen Unterschied zu 11b, außer dass es viermal so schnell ist. Daher gelten auch die unter 11b gemachten Aussagen. Wie 11b verwendet auch 11g das ISM-Frequenzband bei 2,4 GHz, wodurch es keinerlei Probleme hinsichtlich der Freigabe durch die Bundesnetzagentur gab. 11g ist damit zudem abwärtskompatibel mit 11b, aber es wirken dadurch auch dieselben Störquellen, nämlich Mikrowellenherde und Bluetooth. Deutlich mehr störenden Einfluss als Mikrowellengeräte haben allerdings benachbarte WLANs.
7.5 IEEE 802.11n – WiFi 4 Der inzwischen auch unter dem Namen Wi-Fi 4 bekannte Standard aus dem Jahr 2009 erfüllt folgende Ziele: Die auch als Spatial Multiplexing bekannte MIMO-Technik (siehe Abschnitt 7.13.5, »Multiple Input, Multiple Output«) steigert die Datenrate mit zwei, drei oder vier Antennen (2TX, 3TX oder 4TX) auf 150 Mbit/s pro Datenstrom.
Beim Einsatz von zwei Antennen liegt die Bruttodatenrate bei bis zu 150 Mbit/s, bei vier Antennen bis zu 300 Mbit/s unter Verwendung von 20 MHz pro Kanal. Durch Channel Bonding (siehe Abschnitt 7.13, »Beschleunigertechniken«) kann die jeweils doppelte Datenrate – also max. 600 Mbit/s – erzielt werden, dazu werden zwei 20-MHz-Kanäle zusammengeschaltet. Der neue High-Through-put-Modus verwendet die Technik Frame Bursting. Mehrere Frames können zu einem größeren Frame zusammengeführt werden. Dadurch wird Frame Aggregation effektiver, und im Ergebnis werden höhere Nutzdatenraten erzielt. Durch Verbesserungen des Kodierungsverfahrens werden höhere Datenraten erzielt. So steigt die Datenrate durch den Einsatz von MIMO nicht auf 108, sondern auf 150 Mbit/s. Abschnitt 7.13, »Beschleunigertechniken«, fasst die wichtigsten Beschleunigungsverfahren zusammen.
7.6 IEEE 802.11ac – WiFi 5 Der auch als Wi-Fi 5 geläufige Standard für Gigabit-WLAN nach IEEE 802.11ac wurde im Dezember des Jahres 2013 verabschiedet. Dieser als Wave 1 bezeichnete Standard mit einer theoretischen Bruttodatenrate von 1.300 Mbit/s wurde im Jahr 2016 mit dem Ergebnis Wave 2 und theoretischen 2.167 Mbit/s überarbeitet. Netto ist in der Praxis maximal etwa die Hälfte der Bruttodatenrate zu erwarten. Ein WLAN nach 11ac findet im 5-GHz-Band statt und muss dementsprechend – genauso wie IEEE 802.11a – die in Abschnitt 7.3, »IEEE 802.11a/h«, beschriebenen europäischen Normen DFS und TPC erfüllen. Die 11ac-Router sind abwärtskompatibel mit dem 11n-Standard. Der Access Point verwendet beim Senden zum WLAN-Client MultiUser MIMO (siehe Abschnitt 7.13.6, »Multi-User MIMO«) mit bis zu drei (Wave 1) bzw. vier (Wave 2) Kanälen. Außerdem nutzt WiFi 5 Beamforming (siehe Abschnitt 7.13.4, »Beamforming«).
7.7 IEEE 802.11ax – WiFi 6 Das High Efficiency WLAN wurde im Jahr 2018 normiert. Im Vergleich zum Vorgänger Wi-Fi 5 verdoppelt sich bei Wi-Fi 6 nicht nur die Anzahl der für Multi-User MIMO (siehe Abschnitt 7.13.6, »Multi-User MIMO«) verwendeten Kanäle von 4 auf 8. Darüber hinaus kommt MU-MIMO jeweils in Sende- und Empfangsrichtung zum Einsatz. Dabei bedienen Access Points dieses Standards sowohl das 2,4-GHz-Band als auch das 5 GHz-Band. Geräte, die den Standard Wi-Fi 6E unterstützen, können zusätzlich das Frequenzband bei 6 GHz nutzen. Dieses Band ermöglicht hohe Datenraten auf kurze Entfernungen. Das bei LTE (siehe Abschnitt 13.9, »LTE«) und WiMAX (siehe Abschnitt 13.11, »WiMAX«) bewährte Verfahren Orthogonal Frequency-Division Multiple Access (OFDMA) bildet die Datenübertragung mit Hilfe von – in Bezug auf Anzahl und Größe individuell an die jeweiligen Bedingungen anpassbaren – Unterkanälen ab. Diese Resource Units gruppieren die verfügbaren Subcarrier, in die ein Kanal von 20, 40, 80 oder 160 MHz Breite unterteilt ist. Mit Hilfe des Basic Service Set (BSS) Colorings markieren Access Points ihren Datenverkehr eindeutig, wodurch jeder Empfänger im WLAN die Kommunikation seines Access Points von der Kommunikation anderer Access Points im gleichen Frequenzband leicht unterscheiden kann. Dadurch eignet sich WiFi 6 insbesondere für Orte, wo viele Access Points und Teilnehmer in räumlicher Nähe zueinander kommunizieren, z. B. auf Messen oder in Hotels.
Die Funktion Target Wakeup Time (TWT) kann Geräte des Internet of Things (IoT) für eine definierte Zeit in den Schlaf schicken. Das ermöglicht die Reduzierung des Stromverbrauchs WLAN-basierter Geräte im Smart Home (siehe Kapitel 49, »Hausautomation«).
7.8 IEEE 802.11be – WiFi 7 Zum Zeitpunkt der Drucklegung dieses Buches wird am Extremely High Throughput WLAN gearbeitet. Es gilt als sicher, dass die Nutzung des 6-GHz-Bandes neben dem 2,4-GHz-Band und dem 5GHz-Band verpflichtend wird. Die Modulationsdichte könnte im Maximum auf QAM-4096 ansteigen (siehe Abschnitt 7.13.7, »Quadratur-Amplituden-Modulation«). Während bei Wi-Fi 6 jeder WLAN-Client maximal einen Kanal in genau einem Band nutzen kann, könnte Wi-Fi 7 mit Hilfe von MultiLink-Operation (MLO) die parallele Nutzung mehrerer Bänder ermöglichen. Ob Technologien wie Multi Access Point (Multi AP), also die parallele Nutzung mehrerer Access Points mitsamt Lastverteilung, Einzug in den Standard erhalten, bleibt jedoch noch abzuwarten.
7.9 IEEE 802.11ad Der Standard für 7-Gigabit-WLAN nach IEEE 802.11ad wurde im Jahr 2012 verabschiedet. Der Standard 11ad beschreibt WLAN im lizenzfreien 60-GHz-Band. Der Vorteil ist, dass die verfügbare Bandbreite in diesem Bereich relativ groß ist. Die Kanäle können dementsprechend breiter als im 2,4- oder 5-GHz-Band ausgestaltet werden, die Transferrate ist dementsprechend hoch. Die Kehrseite der Medaille: Die Dämpfung ist bei Funk mit Wellenlängen im Millimeterbereich allein schon durch das Element Sauerstoff enorm groß; ein WLAN ist damit auf die Abmessungen einer kleinen Wohnung beschränkt. Optimalerweise besteht eine Sichtverbindung; eine normale Hauswand dürfte für 11ad bereits eine nicht zu bewältigende Herausforderung sein. Das ist auf den ersten Blick ein großer Nachteil, muss es aber nicht zwangsläufig sein. Die gegenseitige Störung von benachbarten WLANs – bei 2,4- und 5-GHz-Netzen immer ein Thema – scheint im 60-GHz-Band sehr unwahrscheinlich. Die Spezifikation leidet an Ungenauigkeiten[ 4 ] und konnte sich daher nicht durchsetzen. Die Hoffnungen ruhen nun auf dem Nachfolger IEEE 802.11ay.
7.10 IEEE 802.11ay Die vier MIMO-Kanäle des 11ad-Nachfolgers ermöglichen auf kurze Distanz eine theoretische Übertragungsgeschwindigkeit von bis zu 176 Mbit/s. Damit eignet er sich z. B. für die drahtlose Übertragung der 3D-Inhalte von Multimedia und Spielen und auf eine Virtual-Reality-Brille.
7.11 IEEE 802.11e IEEE 802.11e ist der Standard für die Priorisierung von Daten im WLAN. Sein Ziel ist es, den verschiedenen Bedürfnissen von Daten im WLAN besser gerecht zu werden. In den meisten privaten Haushalten werden DECT-Telefone genutzt. Aus der Sicht eines Netzwerkers wird man in Zukunft diese Telefone durch WLAN-Telefone ersetzen. Dazu muss das WLAN selbstverständlich diese Daten ohne Zeitverzögerung transportieren, was insbesondere dann eine Herausforderung ist, wenn parallel zum WLAN-Telefonat noch ein Datendownload über WLAN transportiert werden muss. Die Priorisierung von Daten innerhalb eines WLANs wird den Standard IEEE 802.11n ergänzen. Davon werden im Ergebnis sowohl Privatanwender als auch große Firmen profitieren.
7.12 Wi-Fi Alliance Die Interoperabilität, also die Zusammenarbeit von Geräten verschiedener Hersteller, normiert und testet die Wi-Fi Alliance. WiFi steht – in Anlehnung an Hi-Fi – für Wireless Fidelity. Es gibt ein eigenes Logo, das für interoperable Produkte vergeben wird (siehe Abbildung 7.2).
Abbildung 7.2 Wi-Fi-Logo; Quelle: https://www.wi-fi.org
Wenn Sie Wireless-LAN-Produkte kaufen, sollten Sie Wert auf dieses Logo legen, denn nur dies garantiert Ihnen, dass das Gerät auch mit Geräten anderer Hersteller funktioniert. Welche Produkte mit welchen Eigenschaften zertifiziert sind, können Sie unter https://www.wi-fi.org nachschauen.
7.13 Beschleunigertechniken Die bestehenden 54-Mbit-WLAN-Techniken sind seit vielen Jahren auf dem Markt, doch der Nachfolgestandard IEEE 802.11n ließ auf sich warten und wurde erst im Jahr 2009 endgültig verabschiedet. Um dem Bedürfnis insbesondere privater Kunden nach mehr Bandbreite im WLAN gerecht zu werden, setzen die Hersteller der WLAN-Chipsätze verschiedene Beschleunigungstechniken ein. [!] Diese können herstellerspezifisch sein und funktionieren dann nur bei Geräten mit dem gleichen WLAN-Chipsatz. Kaufen Sie daher passende Geräte eines Herstellers, um die volle Geschwindigkeit nutzen zu können, oder noch besser: Achten Sie auf die Zertifizierung durch die Wi-Fi Alliance.
7.13.1 Channel Bonding Beim Channel Bonding werden einfach zwei Funkkanäle à 20 MHz gleichzeitig genutzt. Zusammen mit der Breite des Frequenzbandes verdoppelt sich die Datenrate. Diese Technik führt bei IEEE 802.11n und bei einigen herstellerspezifischen 802.11g-Varianten dazu, dass durch die benötigten 40 MHz bis zu neun der dreizehn Kanäle im 2,4-GHz-Band belegt werden. Nur so kann ausreichend Frequenzband zusammengeschaltet werden (siehe Tabelle 7.3 sowie Tabelle 7.5). primärer Kanal sekundärer Kanal blockierte Kanäle 1
5
1 bis 7
primärer Kanal sekundärer Kanal blockierte Kanäle 2
6
1 bis 8
3
7
1 bis 9
4
8
2 bis 10
5
9 oder 1
3 bis 11 oder 1 bis 7
6
10 oder 2
4 bis 12 oder 1 bis 8
7
11 oder 3
5 bis 13 oder 1 bis 9
8
12 oder 4
6 bis 13 oder 2 bis 10
9
13 oder 5
7 bis 13 oder 3 bis 11
10
6
4 bis 12
11
7
5 bis 13
12
8
6 bis 13
13
9
7 bis 13
Tabelle 7.3 Channel Bonding im 2,4-GHz-Band: Der sekundäre Kanal liegt 20 MHz über oder unter dem primären Kanal; Quelle: https://en.wikipedia.org/wiki/IEEE_802.11n-2009.
Zwei dieser WLANs in räumlicher Nähe zueinander schließen sich gegenseitig fast aus. Diese Technik ist im 2,4-GHz-Band in hohem Maße unsozial und mit der zunehmenden Verbreitung von WLANs in Städten immer weniger vereinbar. Mit IEEE 802.11n ist sie dennoch offiziell in das 2,4-GHz-Band eingeflossen. Im Gegensatz dazu beschränkt sich der Standard 802.11ac auf die 19 Funkkanäle im 5-GHz-Band.
7.13.2 Frame Bursting Um den Nutzdatenanteil bei der Übertragung zu erhöhen, wird zwischen zwei Datenpaketen nicht die DIFS-Wartezeit eingehalten, sondern nur die kürzere für ACKnowledge-Bestätigungspakete (ACK) vorgesehene SIFS-Wartezeit. Der Vorteil liegt weniger in der gesparten Zeit als darin, den Funkkanal öfter belegen zu können (im Gegensatz zu anderen WLAN-Clients, die immer die DIFS-Wartezeit abwarten). Das Verfahren bringt also nur Vorteile, wenn mehrere WLAN-Clients auf einem Funkkanal arbeiten. Standardisiert wurde die Technik in IEEE 802.11e, dem Standard für Quality of Service bei WLAN.
7.13.3 Frame Aggregation Ein WLAN-Frame darf bis zu 2.304 Bytes groß werden, ein EthernetFrame hingegen nur 1.518 Bytes (siehe Abschnitt 6.12, »Das EthernetDatagramm«). Bei Verwendung von Frame Aggregation werden mehrere Ethernet-Frames zusammengefasst und in einem überlangen WLAN-Frame übertragen. Es existieren zwei Verfahren: MAC Service Data Unit (MSDU): Mehrere Ethernet-Frames werden in einen aggregierten MSDU-Frame mit einer Größe von bis zu 7.935 Bytes integriert. MAC Protocol Data Unit (MPDU): Die Ethernet-Frames werden einzeln in MPDU-Frames eingepackt und in Blöcken verschickt. Der Empfänger quittiert die empfangenen Blöcke, was bei einer hohen Fehlerrate in der Übertragung von Vorteil sein kann. Da die umfangreichen Metainformationen der WLAN-Frames durch die Zusammenfassung nicht mehr so häufig übertragen werden
müssen, erhöht sich die Nutzdatenrate zu Lasten des Overheads deutlich und steigt um ca. 30 Prozent.
7.13.4 Beamforming Ein Access Point sendet grundsätzlich in alle Richtungen mit der gleichen Stärke – unabhängig davon, wo sich der Empfänger befindet, für den die Übertragung gedacht ist. Beamforming nutzt die Interferenzen mehrerer gleichzeitig sendender Antennen, um die Signalabstrahlung in Zielrichtung des Empfängers zu fokussieren. Das rudimentär im Standard 802.11n (siehe Abschnitt 7.5, »IEEE 802.11n«) implementierte und letztlich im Standard 802.11ac (siehe Abschnitt 7.6, »IEEE 802.11ac«) normierte Explicit Beamforming testet die jeweils aktuellen Übertragungsbedingungen mit Hilfe spezieller Pakete. Das nicht standardisierte Implicit Beamforming unternimmt den Versuch, den Empfänger anhand von verlorenen Paketen zu orten. Dadurch kann ein Access Point diese Art von Beamforming auch mit WLAN-Clients betreiben, die Explicit Beamforming nicht beherrschen. Das Explicit Beamforming ist eine Grundlage für MultiUser MIMO (siehe Abschnitt 7.13.6, »Multi-User MIMO«).
7.13.5 Multiple Input, Multiple Output Die MIMO-Technik ist für Nicht-Nachrichtentechniker schwierig zu verstehen. Ähnlich wie beim Channel Bonding wird gleichzeitig mehrfach gesendet, allerdings auf demselben Kanal.
MIMO steht für Multiple Input, Multiple Output. Übersetzt bedeutet dies etwa »mehrere rein, mehrere raus« und will ausdrücken, dass Daten parallel übertragen werden. Die Daten werden bei MIMO nicht auf getrennten Kanälen parallel übertragen, denn das wäre ja Channel Bonding, sondern parallel auf demselben Kanal. Auf einem WLAN-Kanal werden parallel bis zu vier Signale gleichzeitig ausgesendet. Das Problem, das nun ohne weitere Maßnahmen auftritt, ist, dass sich die Signale untrennbar bereits beim Sender vermischen und der Empfänger mit diesem Signalbrei nichts anfangen kann. Die Entwickler von IEEE 802.11n haben sich also ein technisches Verfahren einfallen lassen, das auf Orthogonal Frequency-Division Multiplexing (OFDM) basiert. Dieses Verfahren verteilt ein Signal auf mehrere sogenannte Subcarrier (dt. Unterträger) und macht es damit widerstandsfähiger. MIMO nutzt neben der räumlichen Dimension der Unterkanäle nun noch eine zeitliche Dimension; die Unterkanäle werden zeitlich orthogonal versetzt, damit sich das Ausgangssignal beim Empfänger sauber wiederherstellen lässt. Nun könnte man MIMO mit einer einzigen Antenne betreiben, allerdings müsste man dazu neue, schnelle Chips entwickeln, die in sehr großen Stückzahlen produziert werden müssten, damit man sie günstig verkaufen könnte. Das kostet Zeit und Geld. Die Alternative ist, einfach bestimmte Teile eines WLAN Access Points doppelt, dreifach oder vierfach einzubauen, und daraus resultieren Geräte mit mehreren Antennen. Der WLAN-Client wird auch zukünftig nur eine Antenne benötigen. Das zu erklären, würde tief in die Nachrichtentechnik führen, deshalb verzichte ich hier darauf. Im Vergleich zum Multi-User MIMO wird dieses Verfahren auch als Single-User MIMO bezeichnet.
7.13.6 Multi-User MIMO In einem normalen Haushalt – und damit auch in einem durchschnittlichen WLAN – müssen häufig mehrere Endgeräte parallel mit WLAN versorgt werden. Ein Access Point, der MultiUser MIMO (MU-MIMO) beherrscht, kann gleichzeitig mit mehreren Teilnehmern kommunizieren. Jeder einzelne Anwender muss nicht so lange auf ein Signal warten, was die durchschnittliche Geschwindigkeit Ihres Netzwerks im Vergleich zum herkömmlichen Single-User MIMO (siehe Abschnitt 7.13.5, »Multiple Input, Multiple Output«) deutlich anhebt.
7.13.7 Quadratur-Amplituden-Modulation Während eine klassische Funkübertragung auf einer Trägerwelle stattfindet, verwendet die Quadratur-Amplituden-Modulation (QAM) zwei sich überlagernde Trägerwellen, die jedoch – vergleichbar mit den Winkelfunktionen Sinus und Cosinus – um 90° verschoben sind. Die beiden Komponenten werden auch als I-Signal und QSignal bezeichnet. Durch die Überlagerung können in einem Frequenzband platzsparend mehrere Informationen zusammengefasst und gleichzeitig übertragen werden. [»] QAM-16 kann sechzehn verschiedene Zustände – auch als Symbole bezeichnet – übertragen (siehe Abbildung 7.3).
Abbildung 7.3 QAM-4, QAM-16 und QAM-64 im Vergleich
Die Anzahl der gleichzeitig übertragbaren Bits hängt vom jeweils gewählten Verfahren ab (siehe Tabelle 7.4). Zusammen mit der Informationsdichte in den einzelnen Symbolen steigt auch die Anfälligkeit für Störungen, worunter auch die Reichweite leidet. Daher passt sich die in der Praxis verwendete Modulation in der Regel an die jeweiligen Übertragungsverhältnisse an. QAM Modulation Bits pro Symbol Anwendung in Standard QAM-4
2
QAM-16
4
QAM-32
5
QAM-64
6
IEEE 802.11a/h
QAM-256
8
IEEE 802.11ac
QAM-1024
10
IEEE 802.11ax
QAM-4096
12
evtl. IEEE 802.11be
Tabelle 7.4 Effizienz und Verwendung der QAM-Verfahren
7.14 Kanalwahl Die richtige Wahl des Kanals ist entscheidend für Ihr WLAN. Dabei macht es einen enormen Unterschied, ob Ihr WLAN im 2,4-GHzBand oder im 5-GHz-Band funkt. Die Problematik wird sich absehbar durch das Basic Service Set (BSS) Coloring (siehe Abschnitt 7.7, »IEEE 802.11ax – WiFi 6«) entspannen.
7.14.1 2,4-GHz-Band In Europa kann im ISM-Band aus 13 Kanälen ausgewählt werden, die jeweils einen Abstand von 5 MHz haben. Da jeder Funkkanal etwas mehr als 20 MHz belegt, stören sich nebeneinanderliegende Funkkanäle gegenseitig. Bei WLAN-Geräten, die für den internationalen Einsatz vorgesehen sind, werden oftmals nur die Kanäle 1 bis 11 genutzt – in den USA dürfen die Kanäle 12 und 13 nicht verwendet werden –, so dass es nur drei überlappungsfreie Kanäle gibt: Kanal 1, 6 und 11 (siehe Tabelle 7.5). [+] Wenn Sie ein WLAN aufbauen möchten, dann ist es sehr sinnvoll, einen Kanal zu wählen, der fünf Kanäle von allen Nachbar-WLANs entfernt ist. Die einzelnen Kanäle eines WLANs im 2,4-GHz-Frequenzband sind lediglich 5 MHz auseinander, aber 22 MHz breit. Aus diesem Grund sollte der Abstand zu WLANs von Nachbarn fünf Kanäle betragen. Nur so sind die Frequenzen der WLANs überlappungsfrei und stören sich nicht gegenseitig. Nutzen Sie ausschließlich die Kanäle 1, 6 oder 11.
Verhalten sich Ihre Nachbarn auf dieselbe Weise, können Sie gegenseitige Störungen sehr einfach minimieren. Ein störendes Nachbar-WLAN kann die Leistung Ihres WLANs erheblich beeinflussen, und die Leistung sinkt dann sehr deutlich. Daher sollten Sie den Kanal Ihres WLANs gezielt aussuchen. Ist eine überschneidungsfreie Kanalwahl nicht möglich, sollten Sie möglichst schwache andere WLANs überlappen lassen. Hilft auch das nicht, kann ein WLAN nach IEEE 802.11n und damit verbunden ein Wechsel in das 5-GHz-Band die Lösung sein. Die Besonderheiten, die sich aus der parallelen Nutzung mehrerer Funkkanäle für den Standard IEEE 802.11n ergeben, beschreibe ich in Abschnitt 7.13.1, »Channel Bonding«. Das Programm inSSIDer (http://www.metageek.net/products/inssider) zeigt Ihnen verfügbare WLANs mit Kanal an; so können Sie Nachbar-WLANs aufspüren und Ihre eigene Konfiguration danach richten. Es gibt WiFi-Finder oder auch WLAN Detector genannte Geräte, die WLANSignale melden. Die einfachsten mit einigen LEDs zur Anzeige des Ergebnisses gibt es schon für unter 20 €. Komfortablere Geräte, die auch die SSID und die Verschlüsselungsart anzeigen, kosten ca. 60 €. Kanal Frequenzmitte in GHz überlappungsfrei mit Kanal 1
2,412
6 bis 13
2
2,417
7 bis 13
3
2,422
8 bis 13
4
2,427
9 bis 13
5
2,432
10 bis 13
Kanal Frequenzmitte in GHz überlappungsfrei mit Kanal 6
2,437
1 und 11 bis 13
7
2,442
1 bis 2 und 12 bis 13
8
2,447
1 bis 3 und 13
9
2,452
1 bis 4
10
2,457
1 bis 5
11
2,462
1 bis 6
12
2,467
1 bis 7
13
2,472
1 bis 8
Tabelle 7.5 Funkkanäle im ISM-Band: Jeder Kanal belegt 22 MHz.
Beide Verfahren, 11a und g, ermöglichen die höheren Datenraten bei vergleichbarer Sendeleistung gegenüber 11b durch den Einsatz von Orthogonal Frequency-Division Multiplexing (OFDM). Durch diese Kodierungsverfahren wird insbesondere eine höhere Widerstandsfähigkeit gegenüber Störquellen erreicht.
7.14.2 5-GHz-Band Aus dem 5-GHz-Band sind in Europa die drei Unterbänder UNII1 (5.150 MHz bis 5.250 MHz), UNII-2 (5.250 MHz bis 5.350 MHz) und UNII-2 Extended (5.470 MHz bis 5.725 MHz) nutzbar. Die Nutzung der Kanäle des Unterbandes UNII-1 (siehe Tabelle 7.6) ist nur im Innenbereich erlaubt. TPC und DFS sind in diesem Subband nicht vorgeschrieben. Die maximale Sendeleistung beträgt 200 mW.
Kanal Frequenzmitte in GHz Frequenzspektrum in GHz 36
5,180
5,170–5,190
40
5,200
5,190–5,210
44
5,220
5,210–5,230
48
5,240
5,230–5,250
Tabelle 7.6 Das Unterband UNII-1
Auch das Unterband UNII-2 (siehe Tabelle 7.7) ist nur im Innenbereich erlaubt. DFS ist zwingend erforderlich, bei Verwendung von TPC darf anstatt mit 100 mW mit 200 mW gesendet werden. Kanal Frequenzmitte in GHz Frequenzspektrum in GHz 52
5,260
5,250–5,270
56
5,280
5,270–5,290
60
5,300
5,290–5,310
64
5,320
5,310–5,330
Tabelle 7.7 Das Unterband UNII-2
Die Nutzung des Unterbandes UNII-2 Extended (siehe Tabelle 7.8) ist sowohl im Innen- als auch im Außenbereich erlaubt. DFS ist zwingend zu verwenden, mit TPC steigt die maximale Sendeleistung von 500 mW auf 1.000 mW. DFS wird z. B. in einer FRITZ!Box so implementiert, dass der Router nach einem Neustart oder einer Konfigurationsänderung zehn Minuten lang das Frequenzband überwacht, bevor WLAN-Clients
sich anmelden können. Wird erst später im Betrieb die mögliche Störung eines Primärnutzers wie dem Militär, Wetterradarsystemen oder der Flugsicherung erkannt, wird auch dann ein automatischer Kanalwechsel durchgeführt, wenn der Kanal fest konfiguriert wurde. [ 5 ]
Kanal Frequenzmitte in GHz Frequenzspektrum in GHz 100
5,500
5,490–5,510
104
5,520
5,510–5,530
108
5,540
5,530–5,550
112
5,560
5,550–5,570
116
5,580
5,570–5,590
120
5,600
5,590–5,610
124
5,620
5,610–5,630
128
5,640
5,630–5,650
132
5,660
5,650–5,670
136
5,680
5,670–5,690
140
5,700
5,690–5,710
Tabelle 7.8 Das Unterband UNII-2 Extended
[!] Da die Implementierung von TPC und DFS relativ aufwendig ist, bilden einige Hersteller die Unterbänder UNII-2 und UNII-2 Extended in ihren WLAN-Komponenten nicht ab. Die alleinige Unterstützung der vier Kanäle im Band UNII-1 darf meiner Meinung nach eigentlich nicht zu der Aussage führen, ein Router oder Access Point decke das 5-GHz-Band ab. In der Praxis habe ich leider erleben
müssen, dass die Hersteller preisgünstigerer Hardware dies manchmal ganz anders sehen.
7.15 Sendeleistung Grundsätzlich sollten Sie die Sendeleistung Ihres eigenen WLANs so gering wie möglich halten. Dadurch können weniger potentielle Hacker das Signal Ihres WLANs empfangen. Außerdem reduziert eine Anpassung der Sendeleistung an das benötigte Maß die Gefahr der unnötigen Störung eines Nachbar-WLANs erheblich. Bei schlechten Empfangsbedingungen – z. B. aufgrund von Überlappungen des eigenen Funkkanals mit dem eines benachbarten WLANs – kann eine schwache Sendeleistung des Access Points zu niedrigeren Datenraten führen. Im ersten Schritt empfehle ich eine Aufteilung und Ausnutzung aller Frequenzen im 2,4-GHz- und 5-GHz-Band in Kooperation mit den Betreibern aller benachbarten WLANs. Ist die Reichweite eines WLANs im 5GHz-Band ausreichend, sollte diesem Band regelmäßig der Vorzug vor dem 2,4-GHz-Band gegeben werden, damit benachbarte WLANs weniger gestört werden müssen. Ist es absolut nicht möglich, einen überlappungsfreien Funkkanal zu finden, hilft oftmals die Regulierung der Sendeleistung. Sie können die anderen Betreiber der WLANs bitten – vorausgesetzt, Sie kennen sie –, die Sendeleistung der einzelnen WLANs zu verringern, so dass deren individuelle Reichweite und damit auch der jeweils gegenseitig störende Einfluss geringer wird. [!] Leider ist es nicht bei jedem Access Point möglich, die Sendeleistung einzustellen. Sollte die Sendeleistung zur Abdeckung Ihres Grundstücks noch nicht ausreichen, gibt es drei weitere Möglichkeiten:
Verstärker Antennen Repeater [!] Der Einsatz von Verstärkern oder anderen Antennen dient zur Steigerung der Reichweite. Der Einsatz ist nicht ganz unproblematisch, weil die Sendeleistung von 100 mW EIRP nicht überschritten werden darf. Diese ergibt sich aus der reinen Sendeleistung zuzüglich Kabel und Antenne. Beim Einsatz von Verstärkern und/oder anderen Antennen passiert es leicht, dass Sie mit dem Betrieb Ihres WLANs die zulässige Höchstgrenze von 100 mW/20 dBm überschreiten. Das ist jedoch nicht zulässig. [»] Sie finden viele Anbieter von Austauschantennen im Internet. Einige sind auf einzelne Router oder Hersteller spezialisiert. Die Firma FRIXTENDER (https://frixtender.de) verspricht eine Verbesserung der Reichweite mit externen Antennen bei diversen FRITZ!Boxen und Speedport-Routern. Dieses geschieht trotz einer Öffnung des Routergehäuses nach Angaben der Firma ohne Verlust der Herstellergarantie. Ein Antennenset an meiner FRITZ!Box führte tatsächlich zu einer Verbesserung der Leistung. Von den maximal in Aussicht gestellten 7 dBi Gewinn habe ich in meinen Tests durchschnittlich 4 dBi gemessen. WLAN-Repeater sind in ihrer Wirkungsweise mit Hubs vergleichbar, ihren veralteten kabelgebundenen Verwandten (siehe Abschnitt 6.9, »Hub«). Sie geben ein empfangenes Signal verstärkt wieder aus. Sie haben die Wahl zwischen dedizierten Geräten für diesen Einsatz und normalen Access Points, die diese Funktion[ 6 ] häufig als Option anbieten. Doch Vorsicht: Jeder Repeater halbiert den Datendurchsatz in der Funkzelle, weil er jeden Frame wiederholt
und dadurch Sendezeit auf dem Funkkanal belegt. Eine Ausnahme bilden Cross-Band-Repeater (siehe Abschnitt 7.20, »WLAN-Mesh«).
7.16 Antennenausrichtung und Position Ähnlich wie bei der Erhöhung der Sendeleistung geht es bei der optimierten Ausrichtung des elektromagnetischen Feldes auf den Kommunikationspartner um die Verbesserung der Empfangsbedingungen. Daher kann ein Geschwindigkeitsgewinn nur für die Anwender möglich sein, die bisher noch nicht die volle Geschwindigkeit nutzen konnten. Stabantennen strahlen rechtwinklig ab. Die theoretisch ideale Verbindung zwischen Sender und Empfänger besteht also, wenn die beiden räumlich parallel zueinander stehen. Je länger die Antenne, desto geringer der Abstrahlwinkel, und umgekehrt. Wollen Sie also mehrere Stockwerke mit einer Antenne abdecken, ist eine kurze Antenne vielleicht die bessere Wahl. Der Standort für den Access Point ist natürlich abhängig von vielen Faktoren, nicht zuletzt von der örtlichen Versorgung mit Kabeln und der Ästhetik. Grundsätzlich eignet sich ein zentraler Punkt jedoch besser als die Ecke eines Raumes. Eine höhere Position im Raum kann außerdem zu einer insgesamt besseren elektromagnetischen Ausstrahlung eines Gebäudes führen.
7.17 Sicherheit von WLANs Ein WLAN ist in besonderer Weise anfällig, da im Gegensatz zu kabelgebundenen Netzwerken durch die Funkübertragung jede Station in Reichweite eine potentielle Gefahr darstellt. Beachten Sie unbedingt die Hinweise zur Sicherheit Ihres WLANs in Kapitel 35, »WLAN und Sicherheit«!
7.18 Hot Spots Weltweit nimmt die Anzahl der sogenannten Hot Spots stark zu. Bei einem Hot Spot handelt es sich um einen öffentlichen WirelessLAN-Zugang, der meist einen Internetzugang ermöglicht. In vielen Cafés der Kette Starbucks wurden weltweit Hot Spots installiert, in Flughäfen und Hotels sollen Geschäftsreisende ihre Aufenthaltszeit besser nutzen können.
7.18.1 FON Die Fonero genannten Mitglieder der Wi-Fi-Community der Firma FON (siehe http://www.fon.com) teilen ihren Internetzugang mit anderen Foneros. Mit dem speziellen WLAN-Router La Fonera auf Basis einer bekannten Firmware (siehe Abschnitt 38.2, »OpenWrt – ein freies Betriebssystem für Router«) kann jeder die Verbindung der anderen mitnutzen. Die Deutsche Telekom bietet in Kooperation mit FON das Produkt WLAN TO GO an. Dabei teilen Telekom-Kunden ihren DSLZugang mit Telekom-Nutzern und Foneros. Dafür können sie im Gegenzug mit ihren Zugangsdaten deren Anschlüsse mitnutzen. Obwohl die Router von AVM ab der Firmwareversion 6.20 die Spezifikation 802.11u und damit die Voraussetzungen für Hotspot 2.0/Passpoint erfüllen, lässt die Telekom für WLAN TO GO aktuell nur wenige Speedport-Modelle zu. Im Internet finden Sie auf der Seite http://www.t-mobile.de/netzausbau neben der Abdeckung mit mobilem Internet auch die Orte, an denen ein WLAN TO GO zur Verfügung steht. Da neue Standards für den Mobilfunk deutlich
höhere Datenraten erlauben und sich damit die Lastsituation in den Netzen etwas entspannt (siehe Kapitel 13, »Kabelloser Internetzugang«), entfernt die Telekom die Funktion nach und nach aus der Firmware ihrer Internetrouter.
7.18.2 Freifunk Das dezentral organisierte Projekt Freifunk basiert ebenfalls auf OpenWrt. Jeder Teilnehmer stellt seinen Router für den Datenverkehr der anderen zur Verfügung. Ob sich in Ihrer Umgebung ein Hot Spot oder eine lokale Gruppe befindet, der Sie sich anschließen können und die Ihnen bei der Einrichtung Ihres Routers hilft, erfahren Sie z. B. auf der Seite http://www.freifunkkarte.de im Internet. In der Schweiz gibt es unter dem Namen Openwireless (https://wiki.freifunk.net/Openwireless) ein artverwandtes Projekt, der Verein FunkFeuer (http://www.funkfeuer.at) ist in Österreich aktiv. Es ist etwas schwer zu sagen, was Freifunk ist. Unter dem Begriff fasst man Menschen und Technik zusammen, die sich für freie Netzwerke einsetzen bzw. damit experimentieren. Es gibt keine übergeordnete Organisation oder einen, der sagt, wo es langgeht. Freifunk ist sehr anarchisch, was es für Neulinge in dem Thema sehr undurchsichtig macht. Heute interessieren sich die Nutzer fast ausschließlich für den über Freifunk bereitgestellten Internetzugang. Das eigentliche Ziel von Freifunk ist aber eher, ein eigenes, dezentrales Netz aufzubauen und in diesem selbst Dienste anzubieten. Die Politik kann diese Bürgernetze fördern, indem sie den Freifunkern Zugang zu den Dächern öffentlicher Gebäude gewährt. Gleichzeitig bedrohen die Störerhaftung – also die eventuelle
Haftung des Anbieters für Rechtsverstöße Dritter – und drohende Vorschriften zur anlasslosen Vorratsdatenspeicherung die Zukunft der freien Funknetze. Meist auf Ebene einer Stadt oder eines Stadtteils schließen sich Leute zusammen, die sich dort um Freifunk kümmern wollen. In einigen Fällen gründen diese einen eingetragenen Verein, meist ist es aber ein eher loser Zusammenschluss. Wenn Sie sich mit Freifunk beschäftigen wollen, müssen Sie die für Ihren Ort zuständige Community ausfindig machen.
Abbildung 7.4 Das Logo von Freifunk
Die nächste Ebene ist die Freifunk-Domäne, eventuell auch SubDomäne. Eine Domäne betreibt Technik und stellt Software für die Freifunk-Router bereit. Jede Community gehört zu genau einer Domäne. Freifunk-Vereine betreiben mit dem Übergang ins Internet einerseits Technik, bringen sich häufig aber auch in die politische
Diskussion ein oder stellen Logos und Werbematerial bereit. Der Internetauftritt https://www.freifunk.net wird ebenfalls von einem Freifunk-Verein betrieben. Die ursprüngliche Idee war, dass wir uns alle einen billigen FreifunkRouter ins Fenster stellen, der sich auch in das MeshNetzwerk (siehe Abschnitt 7.20, »WLAN-Mesh«) unserer Community verbindet. So wären alle Nachbarn miteinander verbunden und könnten auch noch über dieses Netzwerk kommunizieren, wenn alle Internetprovider ihre Dienste abschalten würden. Bisher ist diese Idee nicht Wirklichkeit geworden, und sie würde vermutlich auch technisch nicht funktionieren. Grundsätzlich funktioniert Freifunk so, dass der als Freifunk-Node bezeichnete Freifunk-Router einen Tunnel zu einem als FreifunkGateway oder Supernode bezeichneten Server der Domäne im Internet aufbaut. Vergleichbar mit DS-Lite (siehe Abschnitt 14.7.6, »DS-Lite«) bekommt jeder Teilnehmer im Freifunknetz eine private IPv4- und eine globale IPv6-Adresse. Alle Teilnehmer und Nodes einer Domäne befinden sich in einem IP-Subnetz. Obwohl die Störerhaftung entfallen ist, wird der Internetverkehr mittels VPN-Tunneln zu einem Internetexit beispielsweise beim Freifunk Rheinland geleitet. Auch nach dem Wegfall der rechtlichen Hürden in Deutschland bietet Ihnen Freifunk eine relativ einfache und sichere Möglichkeit, Ihr internes Netz vor den Gästen zu schützen. Surfen die Gäste über Freifunk, landet alles in einem Tunnel Richtung Supernode. Der Zugriff auf interne, eigene Geräte des Internetspenders ist nicht möglich, da alles im Tunnel gekapselt ist. Ein weiterer Vorteil ist, dass die Gäste mit einer IP der Domäne im Internet unterwegs sind. Es ist nicht nachvollziehbar, über welchen Freifunk-Router sie surfen.
Ein weiterer großer Vorteil sind die freiwilligen Freifunker. Sie planen und unterstützen in der Regel unentgeltlich, wo Netzwerkexperten für dieselbe Tätigkeit einen ordentlichen Stundenlohn in Rechnung stellen würden. Für die Nutzer ist Freifunk sehr angenehm. Es bedarf keines WPA-Passwortes, es handelt sich einfach um ein offenes WLAN. Einmal die SSID Freifunk im Smartphone als WLAN ausgewählt, nutzt das Smartphone Freifunk automatisch in jeder Kneipe, in der es verfügbar ist. [!] Aus Sicherheitsgründen empfehle ich Ihnen, über das FreifunkNetzwerk immer einen VPN-Tunnel zu Ihrem Router aufzubauen (siehe Kapitel 37, »Virtual Private Network«) und diesen für sämtliche Kommunikation mit dem Internet zu nutzen.
7.19 WLAN-Direktverbindungen Mit Wi-Fi Direct bauen Sie eine direkte WLAN-Verbindung zwischen zwei oder mehr Teilnehmern auf. Einer der Teilnehmer wird dabei zum Access Point und muss den Standard Wi-Fi Direct unterstützen. Die anderen Teilnehmer melden sich an diesem Access Point an. Auf der dadurch entstehenden Verbindung setzen dann Protokolle wie Miracast (siehe Kapitel 46, »Streaming Media«) auf. Der Nachteil von Wi-Fi Direct ist, dass eine bestehende WLANVerbindung der WLAN-Schnittstelle am Mobilgerät für die Wi-FiDirect-Verbindung getrennt werden muss.
7.20 WLAN-Mesh Zur Abdeckung mehrerer Räume oder mehrerer Etagen sind in der Regel auch mehrere Access Points nötig. In einer klassischen WLANInfrastruktur belegen die ausgestrahlten WLANs mehrere Kanäle oder stören sich gegenseitig. Ein Client muss bei schlechter Verbindung zum Access Point selbständig einen Wechsel auf ein anderes Band – also z. B. vom 5-GHz-Band zum 2,4-GHz-Band – oder zu einem anderen Access Point initiieren. Wenn der Wechsel des Bandes vom Access Point initiiert wird, nennt die Firma AVM dieses Verfahren Band Steering. Da die Access Points häufig nicht mit Netzwerkkabeln am LAN angeschlossen sind, wird anstelle eines zusätzlichen Access Points oft ein WLAN-Repeater eingesetzt. Ein solcher empfängt das Signal und gibt es verstärkt wieder aus, was die Sendezeit verdoppelt und damit die Geschwindigkeit halbiert. Nur Cross-Band-Repeater übersetzen das Signal, z. B. vom 2,4-GHz-Band auf das 5-GHz-Band. In jedem Fall liegt einem klassischen WLAN eine sternförmige, hierarchische Struktur zugrunde. Der Ausfall des Access Points ist gleichbedeutend mit dem Ausfall des gesamten WLANs. Beim WLAN-Mesh nach IEEE 802.11s hingegen wandert die Intelligenz von einem zentralen Access Point in einen dezentralen Aufbau hinein, was völlig neue Möglichkeiten eröffnet und die Definition einiger Begriffe notwendig macht. Mesh-Knoten: Bilden mit anderen Mesh-Knoten ein MeshNetzwerk. Sollte ein Knoten ausfallen, bemerkt dies das Netzwerk und sucht sich einen alternativen Weg über andere Knoten.
Mesh Access Point: Mesh-Knoten und gleichzeitig ein herkömmlicher WLAN-AP für Teilnehmer, die nicht vollwertiger Teil des Mesh-Netzwerks sein können oder sein wollen Mesh-Portal: Mesh-Knoten und gleichzeitig Verbindungsglied zu einem anderen Netzwerk Es wird grundsätzlich zwischen zwei Arten von Mesh-Netzwerken unterschieden. Infrastruktur-Mesh: Nur einzelne Mesh-Knoten – in der Regel Mesh Access Points und Mesh-Portale – dürfen Mesh-Knoten sein. Diese marktgängige Variante wird meist als proprietäres Produkt angeboten. Client-Mesh: Jeder Client ist gleichzeitig vollwertiger MeshKnoten und erhöht dadurch Stabilität und Reichweite des gesamten Mesh-Netzwerkes. Mesh-Systeme verwenden immer ein separates Backbone auf einem eigenen Kanal, weshalb Mesh-Knoten in der Regel mit Hilfe mehrerer Antennen die anderenfalls – vergleichbar wie beim WLANRepeater – drohende Halbierung der Geschwindigkeit verhindern. Der Backbone-Kanal dient – in der Regel – ausschließlich der autonomen Konfiguration des Mesh-Netzwerks und der Synchronisation der Teilnehmer. Das Routing der Datenpakete innerhalb des Mesh-Netzwerks zum Ziel findet nicht wie bei IP (siehe Kapitel 14, »Das Internetprotokoll«) auf Layer 3, sondern auf Layer 2 (siehe Kapitel 6, »Ethernet«) des ISO/OSI-Modells (siehe Abschnitt 5.2, »ISO/OSI-Modell«) statt. Mit Hilfe des MAC-Routings versucht das Netzwerk selbständig, für alle Datenströme den effizientesten Weg zu finden und gleichzeitig möglichst wenige Teilnehmer des Mesh-Netzwerks unnötig zu belasten.
Um jedem Client den richtigen Access Point zuzuweisen, verwendet das Mesh-Netzwerk verschiedene Standards für das Management der WLAN-Clients und das Roaming zwischen Access Points. In der Praxis ist das nicht so einfach, denn die wenigsten Nutzer achten beim Kauf ihres Mobilgerätes darauf, welche Standards von ihrem Gerät und dem jeweils installierten Betriebssystem unterstützt werden. IEEE 802.11k: Der Neighbor Report stellt eine Liste mit Kanälen zur Verfügung, die als Roamingzielpunkt dienen könnten. IEEE 802.11v: Das BSS Transition Management empfiehlt dem Client einen anderen Access Point. IEEE 802.11r: Fast BSS Transition verkürzt die Zeit für die Authentifizierung am Access Point während eines Roamingvorganges. Ob nun Google Wifi, Netgear Orbi, TP-Link Deco oder ein anderes Mesh-System für Sie das am besten geeignete ist, finden Sie heraus, indem Sie Ihre Anforderungen aufnehmen und genau mit den durchaus unterschiedlichen Leistungen der Anbieter abgleichen.
Abbildung 7.5 Alle Clients werden im WLAN-Mesh verwaltet; Quelle: http://avm.de.
Dabei sollten Sie auch berücksichtigen, wie Sie vorhandene Infrastruktur weiterverwenden können. Die Firma AVM integriert z. B. die Produkte FRITZ!Powerline und FRITZ!WLAN-Repeater (siehe Abbildung 7.5). Die Hersteller suggerieren, ein Mesh-WLAN sei einfacher aufzubauen als ein klassisches WLAN. Diese Einschätzung teile ich nicht in jedem Fall.
7.21 Abgrenzung zu anderer drahtloser Kommunikation Drahtlose Netzwerke werden häufig verwechselt. WLAN, Bluetooth und NFC sind aber schon allein aufgrund der Reichweite nicht austauschbar. Mit Bluetooth verbinden Sie Geräte in unmittelbarer Nähe. Der Name Near-Field Communication untertreibt, denn die Reichweite beträgt nur wenige Zentimeter.
7.21.1 Bluetooth Der Name Bluetooth leitet sich ab vom dänischen König Harald Blauzahn. Dieser der Sage nach sehr kommunikationsfreudige Herrscher vereinte in seiner Regentschaft mehrere kleine skandinavische Fürstentümer zu einem Königreich. Bluetooth ist ein Standard nach IEEE 802.15 für den Kurzstreckenfunk im ISM-Funkband bei 2,4 GHz. Er ist für die Versorgung von Headsets, Tastaturen, Mäusen und ähnlichem Zubehör gedacht. Man spricht in diesem Zusammenhang auch von einem Personal Area Network (PAN). Der Bluetooth-Standard kennt mehrere Versionen: Bluetooth 1.0 und Bluetooth 1.1 kommen im sogenannten BasicRate-Modus nicht über eine Geschwindigkeit von 723,3 Kbit/s hinaus.
Mit Bluetooth 1.2 erhöht sich die Übertragungsrate auf maximal 1 Mbit/s. Bluetooth 2.0+EDR und Bluetooth 2.1+EDR beherrschen Datenraten von maximal 2.196,6 Kbit/s, verdreifachen also die ursprüngliche Datenrate. EDR steht dabei für Enhanced Data Rate (dt. verbesserte Datenrate). Dabei spart die schnellere Übertragung zusätzlich Energie, weil für die gleiche Datenmenge weniger lang gefunkt werden muss. Bluetooth 3.0 kann vorübergehend in einen optionalen WLANModus schalten und die maximalen Datenraten denen von WLAN anpassen. Mit der Version 4.0 wurde Bluetooth Low Energy (LE) als besonders stromsparende Bluetooth-Variante in den Standard integriert. Dieser Standard wird nicht zuletzt wegen seiner Verwendung in Smartphones und anderen mobilen Geräten auch als Bluetooth Smart bezeichnet. Die Standards Bluetooth 4.0, Bluetooth 4.1 und Bluetooth 4.2 sind aufgrund der eingeführten AES-Verschlüsselung nicht abwärtskompatibel. Bluetooth LE führt mit den Beacons außerdem eine Möglichkeit ein, in der Nähe befindlichen mobilen Geräten per Advertising, einer Art von Broadcast, eine Nachricht zukommen zu lassen, was unter anderem Anwendungen wie Indoor-Navigation ermöglicht. Unter Bluetooth 4 ist die Größe der Nachrichten auf 31 Bytes beschränkt. Bluetooth 5 bietet entweder mehr Datendurchsatz oder mehr Reichweite, was durch die Erhöhung der Sendeleistung von 10 mW auf 100 mW ermöglicht wird. Sensoren (siehe Kapitel 49, »Hausautomation«) und Wearables, also z. B. Fitnessarmbänder, können über Advertising nun Nachrichten mit einer Größe von 255 Bytes verteilen.
Geräte, die sowohl das klassische Bluetooth als auch Bluetooth LE unterstützen, werden als Bluetooth Smart Ready bezeichnet. Bluetooth-Geräte werden anhand ihrer Sendeleistung in drei Klassen unterteilt: Klasse 1: Sendeleistung 10 bis 100 mW, Reichweite bis 100 Meter Klasse 2: Sendeleistung 0,01 bis 2,5 mW, Reichweite bis 50 Meter Klasse 3: Sendeleistung 0,01 mW, Reichweite bis 10 Meter Dabei hat die Klasse nichts mit der Datenrate zu tun, sondern eher mit dem vorgesehenen Anwendungsfall. In ein Mobiltelefon wird Bluetooth der Klasse 1 integriert, weil dies z. B. den drahtlosen Abgleich mit dem PC ermöglicht und dabei aber nur 1 mW an Sendeleistung benötigt. Bei der Vernetzung von PCs spielt Bluetooth keine gewichtige Rolle, weil die Bandbreite zu gering ist. Weitere Informationen finden Sie im Internet auf der Seite http://www.bluetooth.com.
7.21.2 Near-Field Communication Vielleicht haben Sie sich schon einmal gefragt, wie die Zugangskontrolle zu den Skiliften, der programmierbare Hotelzimmerschlüssel auf einer Chipkarte, die Identifizierung von Kühen an der automatischen Melkmaschine oder das bargeldlose Bezahlen im Stadion eigentlich funktioniert? Dahinter steckt die Technologie Radio-Frequency Identification (RFID). Per RFID kommuniziert ein Lesegerät mit einem Transponder. Dieser auch Etikett oder Tag genannte Mikrochip verfügt in der Regel über keine aktive Stromversorgung. Er bezieht die für seine
Nachrichten benötigte Energie vielmehr passiv aus dem Sendesignal des Lesegerätes. Es wird zwischen Read-only-Transpondern und Read-WriteTranspondern unterschieden. Im Unterschied zu einem Read-onlyTransponder können Sie die im zwischen einem einzigen Bit und mehreren Kilobyte großen Speicher eines Read-Write-Transponders abgelegten Informationen nachträglich anpassen. Near-Field Communication (NFC) ist nun eine RFID-Variante, mit der Sie sich das Leben auch im privaten Umfeld bequemer einrichten können (siehe Abbildung 7.6). Die mit Hilfe Ihres NFC-fähigen Smartphones programmieren NFC-Tags verteilen Sie an häufig frequentierten Orten. Klassischerweise wird dann z. B. im Auto Bluetooth angeschaltet und die Navigations-App gestartet, während die WLAN-Schnittstelle in der Regel nicht benötigt wird. Am Arbeitsplatz angekommen, soll das Mobiltelefon lautlos sein, zu Hause aktivieren Sie dann sehr schnell und bequem wieder die zuvor deaktivierte WLAN-Schnittstelle.
Abbildung 7.6 Trigger verwaltet und programmiert RFID-Chips.
[!] Abhängig von den auf dem Chip zu hinterlegenden Informationen benötigen Sie mehr oder weniger Speicher. Die Programmierung von drei Befehlen – z. B. WLAN aus, Bluetooth an, Tonschema lautlos – belegt schon ca. 90 Bits Platz. Achten Sie daher darauf, dass die Speichergröße des von Ihnen bestellten NFC-Tags zu Ihren Anforderungen passt! Es ist angenehmer, wenn Sie später feststellen, dass Sie ein bisschen zu großzügig ausgewählt haben, als dass die Programmierung und der Komfort an ein paar Bits scheitern. [+] Wenn Sie noch tiefer in die Automation Ihres Android-Gerätes einsteigen wollen, empfehle ich Ihnen die App Tasker. Dieses Schweizer Messer ist genau das richtige Werkzeug, wenn Ihnen die Möglichkeiten von Trigger nicht ausreichen.
[»] Das mobile Bezahlsystem der Sparkassen und Google Pay nutzen jeweils die NFC-Funktion geeigneter Kartenterminals.
7.21.3 Long Range Wide Area Network Das Übertragungsprotokoll Long Range Wide Area Network (LoRaWAN) wurde für das Internet of Things (IoT; dt. Internet der Dinge) entwickelt. Die Reichweite der Sender beträgt mehrere Kilometer. In einigen Ländern – z. B. in der Schweiz – wird eine LoRaWAN-Infrastruktur z. B. für die kostengünstige Übertragung von Messdaten und Statusmeldungen verwendet. [»] Mit dem Arduino MKR WAN 1300 können Sie auf der Frequenz von 868 MHz das Internet der Dinge selbst nutzen.
7.22 Ausblick Die Anforderungen an WLANs und insbesondere die verfügbaren Bandbreiten steigen. Mit 11n stehen die üblichen 100 Mbit/s, die wir vom kabelgebundenen Ethernet kennen, für WLAN unter idealen Empfangsbedingungen als Nutzdatenrate zur Verfügung. Die Entwicklung bei den Geschwindigkeiten wird sich weiter Richtung Gigabit-WLAN und darüber hinaus orientieren, und es gibt nicht nur theoretische Nachweise, dass dies mit vorhandener Technik möglich ist. Damit kehrt sich das Geschwindigkeitsverhältnis von WLAN zu LAN vielerorts um: WLANs werden mit 802.11ac und 802.11ad plötzlich schneller als die meisten kabelgebundenen Netzwerke. Und manches Unternehmen wird sich fragen müssen, ob die vorhandene kabelgebundene Netzwerkinfrastruktur für das neue WLAN optimal geeignet ist. Die Investition – und damit die eigentliche Hürde für die noch nicht verabschiedeten WLANStandards – dürften nicht die Access Points, sondern vielmehr die nachfolgende Infrastruktur sein. Auch im Markt der Privatanwender finden mit 11n und 11ac Schritte in Richtung 5-GHz-Band statt; somit sollte es zukünftig vielleicht wieder etwas leichter möglich sein, einen freien Kanal für sein eigenes WLAN zu finden. Die mögliche Nutzung des 60-GHz-Bandes mit 11ad stellt den Kunden in Zukunft vor mehr Auswahlmöglichkeiten. Umso wichtiger ist es für Sie, zwecks Investitionsschutzes vor einer Kaufentscheidung Ihre Bedürfnisse zu analysieren, sich genauestens zu informieren und beraten zu lassen.
Die weiteren Entwicklungen werden insbesondere bei der Optimierung von WLANs, z. B. der Integration von Quality of Service nach IEEE 802.11e, stattfinden. IEEE 802.11i ist nach wie vor gängiger Standard (siehe Abschnitt 35.3, »WPA2«). Die wenigen Schwachstellen werden durch den Nachfolger beseitigt (siehe Abschnitt 35.4, »WPA3«). Verfahren, die der Vereinfachung der Konfiguration eines WLANs dienen sollen, sollten Sie vor einem Einsatz unbedingt kritisch prüfen, was ich in Abschnitt 35.6, »Wi-Fi Protected Setup«, am Beispiel WPS deutlich mache.
8 Netzwerk ohne neue Kabel Das Grundübel von Netzwerken ist, dass die benötigten Kabel meist nicht vorhanden sind. Wenn Sie also ein Netzwerk haben möchten und WLAN aufgrund von Empfangsproblemen nicht möglich ist, dann kommen Sie nicht um das Verlegen von Kabeln herum. Das nachträgliche Verlegen von Kabeln hat häufig leider zur Folge, dass entweder hässliche Kabel den Wohnraum »verzieren« oder aber Sie viel Arbeit damit haben, die Kabel unter Fußleisten und in Kabelkanälen verschwinden zu lassen. Das Problem, keine Kabel für ein Netzwerk verlegen zu wollen oder zu können, haben viele Leute, so dass es sich für die Hersteller lohnt, entsprechende Lösungen anzubieten. Im Wesentlichen werden folgende, meist vorhandene Verkabelungen genutzt: Stromverkabelung Antennenverkabelung Telefonverkabelung Meiner Meinung nach sind alle drei Verfahren Nischentechnologien, wenn es darum geht, innerhalb eines Gebäudes ein LAN aufzubauen. Die universellste (weil am weitesten verbreitete) Verkabelung ist sicher die Stromverkabelung, so widme ich dieser auch eine eingehende Betrachtung. Als Beispiel für die
anderen Kabelarten sei MoCA (Multimedia over Coax Alliance, http://www.mocalliance.org) genannt. Allen Techniken ist übrigens eines gemeinsam: der hohe Preis.
8.1 Daten über Stromkabel Der Trend, auch zu Hause PCs zu vernetzen, ist erst in den letzten zwanzig Jahren aktuell geworden. Von Ausnahmen abgesehen gab es im Jahr 2002 nur wenige Leute, die zu Hause ein Netzwerk betrieben. Das ist ein Grund, weshalb die wenigsten Häuser derzeit über eine LAN-Verkabelung verfügen. Nicht überall können oder dürfen Netzwerkkabel verlegt werden. Doch jedes Haus verfügt über eine Stromverkabelung. Zumindest an den Stellen, an denen ein PC steht, gibt es auch eine Steckdose. Die Verbreitung von LAN im heimischen Bereich und die stets vorhandene Stromverkabelung macht sich der HomePlug"=»Standard« zunutze und realisiert Datenübertragung über Stromleitungen. HomePlug realisiert die ISO/OSI-Schicht 1. Wie auch bei WLAN teilen sich alle Clients die verfügbare Bandbreite unabhängig von dem eingesetzten Standard. In der Praxis sind mit HomePlug 1.0 nur 7 Mbit/s erreichbar, mit HomePlug AV 70 Mbit/s oder 150 Mbit/s. Das Stromnetz erzeugt eine Busstruktur: HomePlug hat Hub-Charakter. Entsprechend gelten die strengen CSMA/CD-Regeln für das Ethernet. Die unterschiedlichen Bezeichnungen können durchaus verwirren. Der allgemeine Begriff ist Powerline Communication (PLC). Einige Hersteller bezeichnen die Lösung als direct LAN (dLAN). Das
Durcheinander wird von der »HomePlug Powerline Alliance« (http://www.homeplug.com) verantwortet. Es handelt sich dabei um einen Zusammenschluss von Herstellern, die einen Industriestandard unter dem Namen HomePlug propagieren. Leider waren die Produkte der einzelnen Hersteller in der Vergangenheit häufig miteinander inkompatibel. Im Jahr 2010 wurde die Norm IEEE 1901 verabschiedet. HomePlug AV2 wurde auf Basis dieses Standards entwickelt. [!] IEEE 1901 basiert in Asien auf der Wavelet-Modulation, in Europa und Nordamerika auf Orthogonal Frequency-Division Multiplexing (OFDM). Aufgrund einer unterschiedlichen Modulation kann es trotz jeweiliger Einhaltung des Standards dazu kommen, dass Geräte die Norm IEEE 1901 erfüllen und trotzdem nicht miteinander kommunizieren können. Im Jahr 2010 verabschiedete die International Telecommunication Union (ITU) den HomeGrid-Standard G.hn, auch als G.9960 bekannt. Firmen wie Intel, Panasonic und Motorola gehören dem HomeGridForum an. Die Standards IEEE 1901 und HomeGrid sind grundsätzlich inkompatibel miteinander. Es gibt jedoch Chipsätze, die beide Verfahren beherrschen, z. B. der CG5110 von Sigma. [»] Die auf dem Standard AV2 basierende dLAN-Produktreihe der Firma Devolo ist kompatibel mit anderen Produkten dieser Familie, z. B. mit FRITZ!Powerline. Diese Produkte arbeiten jedoch nicht mit den auf HomeGrid basierenden Geräten devolo Magic 1 und der um Mesh-Funktionalitäten (siehe Abschnitt 7.20, »WLAN-Mesh«) erweiterten Produktgruppe devolo Magic 2 zusammen. Die Netzwerkteilnehmer sollten sich einen gemeinsamen Stromkreislauf bzw. eine Wechselstromphase teilen. Für ein
Netzwerk über verschiedene Phasen hinweg empfiehlt sich fast immer der Einbau eines Phasenkopplers.
8.1.1 HomePlug 1.0 HomePlug 1.0 basiert auf Intellons Power-Packet-Technologie und nutzt für die Übertragung OFDM (siehe Abschnitt 7.4, »IEEE 802.11g«) und zur Fehlerkorrektur Forward Error Correction (FEC). Die Bandbreite erreicht theoretisch 14 Mbit/s, praktisch werden eher 7 Mbit/s oder weniger erreicht. Das Frequenzspektrum von 4 bis 21 MHz wird mittels OFDM in 84 Kanäle gesplittet, die parallel genutzt werden. Sollte auf einem Kanal ein Störsignal entdeckt werden, werden die Daten über andere Kanäle übertragen. Dadurch wird ein gewisses Maß an Stabilität im aus Sicht der Datenübertragung unruhigen Stromnetz gewährleistet. Als Störquellen kommen insbesondere Elektrogeräte in Betracht, vor allem solche, die über Elektromotoren verfügen (Bohrmaschinen, Waschmaschinen, Föhn, aber auch Halogenstrahler). HomePlug 1.0 ist inkompatibel mit dem Rest der Familie, die Geräte sollten sich aber laut den Herstellern bei gleichzeitigem Betrieb nicht negativ beeinflussen.
8.1.2 HomePlug AV Der wesentlich schnellere Nachfolger von HomePlug heißt HomePlug AV. Er erreicht eine Bruttodatenrate von 200 Mbit/s, davon bleiben netto etwa 60 Mbits/s für Nutzdaten übrig. Damit ist es möglich, einen äußerst attraktiven Bereich von Geräten mit HomePlug zu versorgen: HD-Fernseher. Diese
unterstützen HDTV mit voller Auflösung (1.920 × 1.080 Bildpunkte), dafür wird eine hohe Datenrate benötigt, die keinesfalls durch HomePlug 1.0 bereitgestellt werden kann. Die Vision, die HomePlug und auch die Universal Powerline Association (UPA) nun entfalten, ist das multimediale Haus, in dem der Fernseher mit Filmen per IPTV über HomePlug in HDTV-Qualität versorgt wird. Die Hersteller von Unterhaltungselektronik sollen die HomePlugFunktion direkt in ihre Geräte integrieren; so wünschen es sich zumindest die HomePlug Powerline Alliance und die UPA. Dieser Wunsch ist aber auch nach einigen Jahren nicht in Erfüllung gegangen. Außerdem sind für IPTV Set-Top-Boxen notwendig, die allerdings durchaus mit HomePlug-Technik angeboten werden.
8.1.3 HomePlug AV2 Bei HomePlug AV2 wurde MIMO (siehe Abschnitt 7.13.5, »Multiple Input, Multiple Output«) implementiert, was die Performance auf kurzer Distanz steigert. Die genannte Bruttotransferrate von 500 Mbit/s bis zu 1 Gbit/s muss in der Praxis deutlich nach unten korrigiert werden, je nach Entfernung, Störungen und Leitungsqualität. Eine Erwartung von 40 Prozent als Nettogeschwindigkeit scheint mir realistisch. Trotzdem werden mit AV2 mehrere parallele HD- oder 3-D-TV-Streams möglich. Durch die Abwärtskompatibilität mit HomePlug AV ist eine Integration in bestehende Netzwerke leichter möglich.
8.1.4 HomePlug GreenPHY Mittels HomePlug werden diverse technische Geräte miteinander vernetzt und können über das Stromnetz Informationen
austauschen. Dabei muss es sich nicht nur um Multimedia-Inhalte handeln. Vielmehr können die Daten über den Strombedarf des Gerätes ausgewertet werden und der Verbrauch intelligent beeinflusst werden. Ein intelligentes Stromnetz hat immense Vorteile für alle Beteiligten. Stromkunden bekommen vom Versorger an intelligenten Stromzählern den aktuellen Strompreis übermittelt und können auf Strompreisschwankungen reagieren. Der Verbrauch wird nicht absolut, sondern zeitbezogen erfasst und berechnet. Stromverbrauch wie der Ladevorgang eines strombetriebenen Autos könnte dann – abhängig vom Strompreis – bevorzugt in die günstigeren Nachtstunden verlegt werden. Spitzen im Energiebedarf könnten bereits im Haus abgefedert werden. Dadurch sinkt die Höchstlast, was den Investitionsbedarf der Netzbetreiber und Stromerzeuger dämpft. Eine Voraussetzung für die Massentauglichkeit der Spezifikation HomePlug GreenPHY ist zunächst die Verfügbarkeit billiger Adapter. Die verfügbaren Adapter müssen von den Herstellern dann noch in Endprodukte integriert werden. Sollte dies geschehen, hat diese Technologie aus meiner Sicht enormes Potential.
8.1.5 HomeGrid HomeGrid, auch G.hn oder G.9960, soll die Nutzung sämtlicher vorhandener Verkabelung möglich machen; auch alte Telefonkabel oder Koaxialkabel können so noch einen Zweck erfüllen. In der Praxis und im direkten Vergleich mit AV2 bietet G.hn häufig eine leicht verbesserte Performance und gleichzeitig etwas höhere
Stabilität. Sollten Sie eine komplett neue Powerline-Infrastruktur aufbauen, empfehle ich Ihnen diesen Standard.
8.2 Powerline Telecommunication Anders als bei der reinen Hausvernetzung mit HomePlug geht es bei Powerline (PLC) oder auch Powerline Telecommunication (PLT) um den Internetzugang und insbesondere um das Überwinden der sogenannten »letzten Meile«, also dem Anschluss bis zum Provider, ähnlich wie bei DSL. Neben dem soeben dargestellten HomePlug AV befasst sich die HomePlug Powerline Alliance mit HomePlug Broadband PowerLine (HomePlug BPL), einem Standard für einen PowerlineInternetzugang. Internetzugang über die Stromsteckdose war die Vision, die in Deutschland die Unternehmen RWE und EnBW skizzierten. Die Stromversorger wollten über die bestehende Stromverkabelung Internetdienstleistungen anbieten. In den Umspannhäusern werden die Daten in das Backbone geleitet und über getrennte Datenverbindungen geführt. Auf dieser kurzen Strecke werden bis zu 2 Mbit/s geboten. Allerdings ist zu beachten, dass sich alle, die über dieses Trafohaus versorgt werden, die Bandbreite teilen. Im Extremfall – in einer Hochhaussiedlung – könnten sich also 20 Teilnehmer die Bandbreite von 2 Mbit/s teilen, so dass pro Nutzer nur eine sehr geringe Bandbreite übrig bleibt. Sowohl RWE und EnBW als auch der größte Hersteller der benötigten Modems (Ascom) können nicht recht auf Erfolge verweisen. Daher sind beide Stromversorger aus dem Versuch ausgestiegen. Lediglich einige wenige Provider halten an Powerline fest. An dieser Stelle passt die Aussage auf heise.de: »Als InternetZugangstechnik ist Powerline Communication, Datenübertragung
über Stromleitungen, so gut wie gefloppt.«[ 7 ] Der Grund liegt wohl in technischen Problemen, und die Diskussion über die elektromagnetische Abstrahlung der Lösung ist noch nicht beendet. Neben technischen Problemen gibt es insbesondere immer wieder Ärger mit Amateurfunkern, deren Hobby durch die hohe elektromagnetische Interferenz von Powerline gestört wird und die massiv gegen Powerline argumentieren. Anders als bei HomePlug muss die Sendeleistung bei Powerline ausreichend sein, um die Daten sicher bis zum nächsten Trafohaus zu übertragen. Es muss der Stromzähler überwunden werden; aufgrund der Struktur des Stromnetzes sind Ihre Daten grundsätzlich auch beim Nachbarn empfangbar.
8.3 Sicherheit Das Thema Sicherheit ist auch beim Stromnetz zu beachten, schließlich enden die Kabel ja nicht innerhalb Ihres Gebäudes, sondern werden über den Hausanschluss bis zum Versorger gelegt. Prinzipiell handelt es sich um ein durchgängiges Stromnetz, in dem sich die Daten komplett ausbreiten. Dies gilt für HomePlug aufgrund der geringen Sendeleistungen (Signalpegel) eingeschränkt. Nicht nur der Stromzähler, auch das Stromkabel hat eine nicht unerhebliche Dämpfung. Schließlich wurde es ja nicht für die Datenübertragung konzipiert. Weil jede Wohnung und jedes Haus über einen Stromzähler angeschlossen ist, stellt dieser quasi eine Datenbarriere dar. Die Daten verlassen in der Regel nicht den Bereich bis zum Zähler, obwohl dies theoretisch möglich ist. Auch bis zum Stromzähler können die Signale vielerorts abgehört werden. Daher gibt es bei HomePlug 1.0 eine DES-56-BitVerschlüsselung, ab HomePlug AV eine 128-Bit-AES-Verschlüsselung, die optional eingeschaltet werden kann. Der Schlüssel wirkt zunächst sehr kurz und damit unsicher. Dies stimmt aber nur, wenn man automatisiert die Rohdaten auf dem Stromnetz mitlesen kann. Geräte, die den HomePlug-Standard erfüllen, tun dies im Gegensatz zu Ethernet-Karten im Promiscuous Mode nicht, sie nehmen nur Daten an, die auch für sie bestimmt sind, und leiten diese dann als Ethernet-Paket weiter. Wenn Sie also die Rohdaten wollen, müssen Sie sich schon ziemlich gut mit Lötkolben auskennen. Daher können Sie nur alle möglichen Schlüssel durchprobieren, und dies dauert dann doch zu lange. [!] Ich empfehle Ihnen in jedem Fall die Aktivierung der Verschlüsselung. Vergessen Sie nicht, das voreingestellte Kennwort
zu ändern!
9 Glasfasertechnik Wenn Glasfaser die Lösung für Internetanschlüsse ist, ist es dann nicht auch die Lösung für das LAN? Die Glasfasertechnik (engl. fibre, »Glasfaser«) hat unbestrittene Vorteile, und daher wird sie in Zukunft auch im privaten Umfeld Einzug halten. Allgemein ist im Moment jedoch eher der Trend zu erkennen, dass Geräte im häuslichen Umfeld gar keinen kabelgebundenen Netzwerkanschluss mehr haben. Mit NBase-T (siehe Abschnitt 6.4, »NBase-T«) für die Anbindung von Access Points (siehe Kapitel 7, »WLAN«) wurden passend dazu mit 2,5 Gbit/s und 5 Gbit/s neue Geschwindigkeitsstufen geschaffen. Was sind nun die Vorteile von Glasfaser? Sehr hohe Bandbreiten sind möglich. Alle Geschwindigkeiten von Ethernet sind bereits mit Glasfaser möglich. Neue, schnellere Ethernet-Verfahren werden zunächst als Glasfaservariante bereitstehen. Ich behaupte sogar, es wird nach 10 Gbit/s kein Ethernet auf Basis von Kupferkabeln mehr geben, das sich in der Praxis durchsetzt. Die galvanische Trennung, also die Trennung der Stromkreise der Teilnehmer, erhöht den Schutz vor Störungen. Das gegenseitige Übersprechen der Leitungen wird verhindert. Glasfaser ist völlig unempfindlich gegen elektromagnetische Störquellen.
Eine Erdung, also ein Potentialausgleich, ist nicht erforderlich. Hülle und Leiter bestehen jeweils aus nicht elektrisch leitendem Material, es fließt also kein Strom. Dieser Vorteil ist relevant, wenn mehrere Gebäude mit unterschiedlichem elektrischen Potential per Netzwerkkabel verbunden werden sollen. Bei einem Kupferkabel findet der Potentialausgleich ungewollt und zumeist unvermeidbar über das Netzwerkkabel statt. Glasfasertechnik ermöglicht dünnere Bündelkabel als Kupfer. Die Kabel haben insgesamt weniger Masse und wiegen daher im Vergleich weniger. Durch die Einsparung von Kabeln in Anzahl und Querschnitt entsteht in Summe eine geringere Brandlast. Die Abhörsicherheit ist deutlich größer als bei elektrischen Signalen. Sehr lange Übertragungswege von ca. 200 Kilometern sind ohne Signalauffrischung möglich. Die Kupfervarianten von Ethernet erlauben hingegen maximal 100 Meter Strecke. Ist das Grundstück sehr groß oder soll ein Anschluss bis in ein Nachbargebäude verlegt werden, ist diese Grenze schnell überschritten. Im Vergleich zu Kupfer bietet die Glasfaser deutlich schnellere Signallaufzeiten. Wo es Vorteile gibt, gibt es häufig auch Nachteile. Welche sind das? Glasfasertechnik ist teurer als Kupfertechnik. Stecker kann man als Laie nicht an ein Glasfaserkabel anschließen, daher muss ein Kabel mit Steckern verlegt werden. Glasfasertechnik hat mehr Varianten, daher ist es unübersichtlicher, und die Gefahr von Fehlkäufen steigt. Fehlerpotential liegt zudem in der erforderlichen Drehung der beiden Glasfaseradern einer Verbindung. Es gibt Kabel und Stecker
ohne Drehung, und zwei Drehungen heben sich gegenseitig natürlich auf. Über ein Glasfaserkabel kann keine Betriebsspannung übertragen werden, anders als bei Power over Ethernet (PoE) (siehe Abschnitt 25.3, »Fachbegriffe für den Switch-Kauf«). Es gibt fast keine Endgeräte mit Glasfaseranschluss. In der Regel haben lediglich Server, Switches (siehe Abschnitt 6.10, »Switch«) und größere NAS-Systeme (siehe Kapitel 40, »Netzwerkspeicher«) einen Anschluss. Messtechnik für Glasfaser ist extrem teuer. Glasfasertechnik ist äußerst empfindlich gegen Staub und Schmutz. [+] Welches Gesamtfazit folgt nun aus der Abwägung der Vorteile und der Nachteile? Bei Geschwindigkeiten bis zu 10 Gbit/s und Übertragungsstrecken von weniger als 100 Metern empfehle ich, weiter Kupferverkabelung zu nutzen. Wenn Sie gerade ein Haus bauen oder renovieren, dann kann es aus meiner Sicht absolut nicht schaden, z. B. in jede Etage ein Glasfaserkabel zu legen.
9.1 Kabel Es gibt zwei miteinander inkompatible Kabelarten. Während Monomode, das auch als Singlemode bezeichnet wird, für lange Übertragungsstrecken gedacht ist, ist Multimode auf wenige Hundert Meter beschränkt. Mit Hilfe der unterschiedlichen Farben für die Kunstoffummantelung können Sie die Kabel leicht voneinander unterscheiden: Gelb: Monomode in Qualität OS1 oder OS2 Orange: Multimode in Qualität OM1 oder OM2
Türkis: Multimode in Qualität OM3 Violett: Multimode in Qualität OM4 Die Verfügbaren Ethernet-Standards und die jeweils maximal möglichen Übertragungsstrecken hängen von der jeweiligen Qualität der Glasfaser ab. Ähnlich wie bei Kupferkabeln (siehe Kapitel 23, »Netzwerkkabel«) werden Glasfasern in Klassen unterteilt. Dabei wird zwischen den Kategorien Optical Singlemode (OS) und Optical Multimode (OM) unterschieden (siehe Tabelle 9.1). EthernetStandard
Wellenlänge OM1
OM2
OM3
OM4
OS1/OS2
1000BASE- 850 nm SX
300 m 500 m 1 km
1 km
---
1000BASE- 1.310 nm LX
550 m 550 m 550 m 550 m 5 km
1000BASE- 1.310 nm EX
---
---
---
---
40 km
1000BASE- 1.550 nm ZX
---
---
---
---
80 km
1000BASE- 1.550 nm EZX
---
---
---
---
120 km
10GBASESR
850 nm
30 m
80 m
300 m 500 m ---
10GBASELR
1.310 nm
---
---
---
10GBASELRM
1.310 nm
220 m 220 m 220 m 220 m ---
---
10 km
EthernetStandard
Wellenlänge OM1
OM2
OM3
OM4
OS1/OS2
10GBASEER
1.550 nm
---
---
---
---
40 km
10GBASEZR
1.550 nm
---
---
---
---
80 km
Tabelle 9.1 Maximale Übertragungsstrecken für Ethernet über Glasfaser
9.2 Stecker Der heute üblicherweise verwendete Stecker ist der LC-Stecker. Nur er kann in ein SFP-Modul eingesteckt werden. Sollten Sie bereits verlegte Glasfaserkabel nutzen wollen, die nicht in LC-Technik realisiert sind, so gibt es Adapterkabel von ST- bzw. SC-Technik auf LC-Stecker. Eine Fehlerquelle ist die Drehung von Kabeln oder Steckern. Auf einer Faser, aus rotes Licht kommt, sendet ein Gerät (TX). Diese Faser muss auf die Seite, wo der Kommunikationspartner empfängt (RX). Das ist selbstverständlich die Faser, deren Ende kein rotes Licht abstrahlt.
Abbildung 9.1 LC-Stecker; Quelle: Wikipedia.org
Stecker werden an Glasfaserverlegekabel angespleißt. Dabei wird die Glasfaser mit einem Spezialwerkzeug angeschmolzen. Für Ihre Glasfaserinstallationen sollten Sie also ein vorgefertigtes Kabel der passenden Länge mit Steckern kaufen.
Abbildung 9.2 ST-Stecker; Quelle: Wikipedia.org
[+] Für kurze Strecken gibt es auch Glasfaserkabel, die bereits ab Werk mit zwei SFP-Modulen bestückt sind. Diese werden als Active Optical Cable (AOC) bezeichnet. Das entsprechende Gegenstück auf Basis von Kupfer heißt übrigens Direct Attach Cable (DAC).
Abbildung 9.3 SC-Stecker; Quelle: Wikipedia.org
9.3 SFP-Module Seit vielen Jahren ist es üblich, den Glasfaseranschluss an aktiven Geräten nicht mehr als ST-, SC- oder LC-Anschluss auszuführen, sondern gemäß dem Standard Small Form-factor Pluggable (SFP). Die quadratische SFP-Buchse nimmt das SFP-Modul (siehe Abbildung 9.4) auf. Das SFP-Modul übersetzt die elektrischen Signale in optische Signale. Es gibt eine Industrienorm, an der sich die Funktion aller SFP-Module ausrichtet.
Abbildung 9.4 SFP-Modul; Quelle: Wikipedia.org
Aktuell gibt es diese drei SFP-Typen, von denen die ersten beiden – zu erkennen an der Endung »T« im Namen – jeweils optional auch als Variante mit RJ-45-Anschluss angeboten werden: SFP bis 1 Gbit/s SFP+ bis zu 16 Gbit/s, üblich für 10 Gbit/s SFP28 für 25 Gbit/s Zusätzlich existieren QSFP, QSFP+ und QSFP28 mit der jeweils vierfachen (engl. quad) Kapazität. QSFP+ hat somit Relevanz für Ethernet mit 40 Gbit/s und QSFP28 entsprechend für 100 Gbit/s.
Einfache SFP-Module finden Sie schon für unter 10 € im Internet.
Teil III Weitverkehrsnetze
10 Kabelinternetzugang In Deutschland unterrepräsentiert, aber in Österreich und der Schweiz mit einem Marktanteil von etwa 30 Prozent am Breitbandmarkt vertreten: das Internet, das aus dem TV-Netz kommt. In vielen Teilen der Welt und auch in Europa hat die Nutzung von Fernsehkabeln für den breitbandigen Internetzugang einen ordentlichen Marktanteil. Deutschland bildete bis vor wenigen Jahren eine Ausnahme. Auch heute liegt der Anteil bei nur etwa 15 Prozent. Die Kundenzahl steigt jedoch, weil für Kabelkunden die Triple-Play-Angebote – also Telefon, Internet und Kabelfernsehen – häufig preislich attraktiver sind als ein zusätzlicher Telefonanschluss mit DSL. Technisch gesehen handelt es sich bei Kabelinternet nicht um eine DSL-Variante. Die verwendete Technik heißt Data over Cable Service Interface Specification (DOCSIS) und in Europa aufgrund der Besonderheiten des breiteren Kanals durch den hier verbreiteten PAL-Standards EuroDOCSIS. Der Standard EuroDOCSIS 2.0 stammt aus dem Jahr 2003. EuroDOCSIS 3.0 aus dem Jahr 2006 wartet mit deutlich höheren Bandbreiten und IPv6-Kompatibilität (siehe Abschnitt 14.7, »IPVersion 6«) auf. Das Kabelnetz ist wie ein Hub, daher können Daten grundsätzlich auf dem gesamten Kabel mitgelesen werden. Da es ein schlechtes
Gefühl bei den Kunden auslöst, wenn der Nachbar den Surfinhalt mitlesen könnte, umfasst der Standard seit der Version 1.0 eine 56Bit- und seit Version 2.0 eine 128-Bit-Verschlüsselung. Im Download können mit DOCSIS 2.0 theoretische 36 Mbit/s (EuroDOCSIS: 50 Mbit/s), mit DOCSIS 3.0 durch Kanalbündelung bis zu 144 Mbit/s (EuroDOCSIS: 200 Mbit/s) erreicht werden. Der Upload reicht bei DOCSIS 2.0 für theoretische 32 Mbit/s und bei DOCSIS 3.0 gar für 128 Mbit/s. Im Vergleich zu ADSL ist DOCSIS deutlich schneller. Das überrascht nicht weiter, denn das Koaxialkabel ist wesentlich hochwertiger als ein übliches Telefonkabel. Zu beachten ist aber, dass es sich um ein shared medium handelt: Mehrere Anwender teilen sich die mögliche Bandbreite auf dem Kabel. Die Unterscheidung zwischen DOCSIS und EuroDOCSIS wird von DOCSIS 3.1, das im Jahr 2013 verabschiedet wurde, durch das Splitting der Kanäle mit Orthogonal Frequency-Division Multiplexing (OFDM) technisch aufgehoben. Durch eine verbesserte Effizienz und Fehlerkorrektur und QAM-4096 (siehe Abschnitt 7.13.7, »Quadratur-Amplituden-Modulation«) sollen Geschwindigkeiten von 10 Gbit/s im Download und 1 Gbit/s im Upload erreicht werden. An einen Kabelstrang sind in der Regel mehrere Endnutzer angeschlossen. Es handelt sich letztlich – ähnlich wie bei WLAN (siehe Kapitel 7, »Wireless LAN«) – um ein geteiltes Medium, was zu Schwankungen der für jeden Einzelnen nutzbaren Datenraten führen kann. Den dadurch ebenfalls erhöhten Paketlaufzeiten soll mit Low Latency DOCSIS (LLD) entgegengewirkt werden. Der Standard DOCSIS 4.0 aus dem Jahr 2020 sieht Geschwindigkeiten von bis zu 10 Gbit/s für den Download und bis
zu 6 Gbit/s im Upload vor. Dieses wird u. a. durch ein erweitertes und flexibler nutzbares Frequenzspektrum erreicht.
10.1 Aufbau Die Verschaltung des Kabelinternetzugangs ist aus Kundensicht recht einfach: An einer Antennendose hängt das Kabelmodem. Daran wiederum wird der Router angeschlossen, daran der PC. Es gibt natürlich auch Router, z. B. mit dem Zusatz Cable im Produktnamen der Firma AVM, die das Kabelmodem bereits integriert haben.
Abbildung 10.1 Aufbau Kabelzugang
Auf der Seite des Providers wird das Signal über die Kabelinfrastruktur bis zur Kopfstation des Kabelproviders zum Cable Modem Termination System (CMTS) geleitet. Den Aufbau können Sie auch Abbildung 10.1 entnehmen. Die Verbindung zwischen Kabelmodem und CMTS ist dabei verschlüsselt.
10.2 Marktsituation Aktuelle Angebote der Kabelnetzprovider unterscheiden sich nur preislich durch wenige Euro von denen der DSL-Konkurrenz. Innerhalb der großen Städte gibt es einen starken Wettbewerb. In den Großstädten liegt auch ein großes Potential für die Kabelnetzbetreiber, denn viele Mietwohnungen sind mit Kabelfernsehen ausgestattet. Ein übliches Angebot umfasst digitales TV für alle frei empfangbaren Fernsehsender, eine TelefonFlatrate für das deutsche Festnetz und einen 32-Mbit/sInternetzugang für den Download. Bei den Internetzugängen werden bis zu 100 oder 128 Mbit/s im Downloadbereich angeboten, soweit der CMTS bereits auf DOCSIS 3.0 umgestellt wurde. Der ordentlichen Downloadrate standen lange Zeit – der Rückkanal war aufgrund der geringeren Sendeleistung der Kabelmodems häufig nach DOCSIS 1.x realisiert – vergleichsweise mickrige Uploadraten von 1 bis 5 Mbit/s gegenüber. Die durch Verbannung des analogen TV-Signales aus dem Kabelnetz frei gewordenen Frequenzen werden für DOCSIS 3.1 und deutlich höhere UploadDatenraten benötigt. [+] Viele Anbieter von Kabelinternet verfügen nicht über ausreichend IPv4-Adressen und bieten ihren Kunden IPv4 nur über Carrier-grade NAT (siehe Abschnitt 14.6, »DS-Lite«).
11 DSL DSL ist der Oberbegriff für eine ganze Reihe unterschiedlich leistungsfähiger Übertragungsstandards. Zurzeit ist DSL die erfolgreichste InternetZugangstechnologie. Digital Subscriber Line (DSL) wird über herkömmliche zweiadrige Telefonkabel betrieben. Da es sich bei diesen um qualitativ minderwertige Kabel handelt, die spätestens ab dem Hausanschluss bis zur Ortsvermittlung in dicken Bündeln verlegt sind, sind die dennoch erzielbaren Datenraten in meinen Augen erstaunlich. Der Erfolg von DSL beruht vor allem darauf, dass es mit der vorhandenen Telefonverkabelung eingesetzt werden kann. Damit entfallen teure Neuverkabelungen, die sich im Preis und damit im Verbreitungsgrad bemerkbar machen würden. Ein Problem ist der Mischbetrieb verschiedener DSL-Varianten und Anbieter. An einem Outdoor-DSLAM werden frische DSL-Signale in Leitungen neben Leitungen mit bereits gedämpften Signalen vom Hauptverteiler eingespeist. Die Signale am DSLAM werden durch das im ITU-Standard G.997.1 normierte Downstream Power BackOff (DPBO) gedrosselt, damit andere Leitungen mit schwächeren Signalen nicht übersprochen werden. In Ausbaugebieten mit Outdoor-DSLAM muss Ihr DSL-Modem dieses Verfahren zwingend beherrschen.
11.1 ADSL Asymmetric Digital Subscriber Line (ADSL) ist in Deutschland der zurzeit am weitesten verbreitete DSL-Standard. Wichtig ist das »A« für asymmetric (dt. asymmetrisch) in ADSL. Gemeint ist die Bandbreite bei der Übertragung. Diese ist für den Down- und den Upload unterschiedlich schnell: Downloadrate von bis zu 24 Mbit/s Uploadrate von bis zu 3,5 Mbit/s Es gibt verschiedene ADSL-Versionen (siehe Tabelle 11.1). ADSL wurde in den ITU-Standard G.992.1, ADSL2+ in G.992.3 und G.992.5 genormt. Mit ADSL können Daten über eine Strecke von maximal sechs Kilometern übertragen werden, wenn die Telefonverkabelung in einem ausreichend guten Zustand ist. ADSL benötigt ein Adernpaar, das ist die Anzahl der Adern, die bei einem Standardtelefonanschluss zur Verfügung steht. Name
Download Upload
Norm
ADSL
8 Mbit/s
0,6 Mbit/s
ANSI T1.414 Issue 2
ADSL (G.dmt)
8 Mbit/s
1,0 Mbit/s
ITU-T G.992.1
ADSL over POTS
10 Mbit/s
1,0 Mbit/s
ITU-T G.992.1 Annex A
ADSL over ISDN 10 Mbit/s
1,0 Mbit/s
ITU-T G.992.1 Annex B
ADSL Lite
1,5 Mbit/s
0,5 Mbit/s
ITU-T G.992.2
ADSL2
12 Mbit/s
1,2 Mbit/s
ITU-T G.992.3
Name
Download Upload
Norm
ADSL2
12 Mbit/s
3,5 Mbit/s
ITU-T G.992.3 Annex J
RE-ADSL2
6 Mbit/s
1,2 Mbit/s
ITU-T G.992.3 Annex L
ADSL2 Lite
12 Mbit/s
1,0 Mbit/s
ITU-T G.992.4
ADSL2
12 Mbit/s
3,5 Mbit/s
ITU-T G.992.4 Annex J
RE-ADSL
6 Mbit/s
1,2 Mbit/s
ITU-T G.992.4 Annex L
ADSL2+
24 Mbit/s
1,0 Mbit/s
ITU-T G.992.5
RE-ADSL2+
24 Mbit/s
1,0 Mbits/s ITU-T G.992.5 Annex L
ADSL2+M
24 Mbit/s
3,5 Mbit/s
ITU-T G.992.5 Annex M
Tabelle 11.1 ADSL-Normen; Quelle: http://de.wikipedia.org
Für all diejenigen, die nur ein paar Hundert Meter zu weit entfernt wohnen, oder dort, wo die Leitungsqualität nur wenig unter den Anforderungen für ADSL liegt, gibt es ADSL Lite. Es handelt sich um eine abgespeckte Variante von ADSL, die aufgrund von niedrigeren Datenraten beim Download nur halb so viel liefert und ein paar Hundert Meter weiter übertragen werden kann. Der größte Nachteil von ADSL sind die asymmetrischen Datenraten. Durch dieses Ungleichgewicht ist ADSL für Unternehmen zur Verbindung von Standorten nicht oder nur bedingt geeignet. Denn
die Datenrate ist auf die Uploadrate beschränkt. Wenn Sie also den ADSL-Anschluss z. B. für die Kopplung eines Unternehmensund eines Filialnetzwerks benutzen wollten, wäre die Verbindung auf die maximale Datenrate des jeweiligen Uploads beschränkt. ADSL ist eine Zugangstechnologie, und zwar genauer gesagt eine Internet-Zugangstechnologie. Die Nutzer laden mehr Informationen aus dem Netz, als sie in das Internet senden, daher war die asymmetrische Übertragungsrate unerheblich. Durch die starke Verbreitung der Internettelefonie und Tauschbörsen bekommt das Missverhältnis von Up- und Download immer mehr Gewicht. Bei einem Upload von 128 Kbit/s lässt sich ein Internettelefongespräch nur in mäßiger Qualität führen. Eine Spezialität waren die in Deutschland eingesetzten ADSLAnschlüsse gemäß ADSL over ISDN (siehe Abbildung 11.1), auch wenn beim Teilnehmer kein ISDN eingesetzt wurde. Dadurch sank die maximale Länge der Telefonleitung um 500 Meter oder die mögliche Bandbreite von 25 Mbit/s auf 16 Mbit/s. Annex J verbessert Datenrate und Reichweite, da die Signaldämpfung in niedrigen Frequenzbändern geringer wirkt.
Abbildung 11.1 Genutzte Frequenzbereiche; Quelle: http://www.elektronikkompendium.de
Da DSL und ISDN- oder POTS-Telefonie in verschiedenen Frequenzbereichen lagen, konnten sie entbündelt über die Teilnehmeranschlussleitung (TAL) zum Kunden transportiert werden. Beim Line-Sharing teilte früher ein Splitter des Netzbetreibers das Signal auf. Eine Leitung konnte auf diese Weise von zwei unterschiedlichen Providern versorgt werden.
11.2 SDSL Symmetric Digital Subscriber Line ist die symmetrische DSLVariante; sie bietet im Up- und Download Übertragungsraten von 2 Mbit/s. Verwendet wird wie bei ADSL ein Kupferadernpaar des Telefonanschlusses, allerdings ist der Übertragungsweg auf 2.400 Meter begrenzt. Durch die symmetrischen Übertragungsraten wird der bei ADSL aufgeführte Nachteil der asymmetrischen Übertragungsraten ausgeschlossen. Es ist also sinnvoll, zwei LANs über SDSL zu koppeln. Für die Verbindung stehen bis zu 2,3 Mbit/s in beide Richtungen zur Verfügung, eine Geschwindigkeit, die deutlich über den 128 Kbit/s von ISDN oder ADSL liegt. ADSL2+ holt in dieser Hinsicht auf und bietet – zu Lasten der Downloadgeschwindigkeit – bis zu 3,5 Mbit/s im Upload. Direkte Kopplung ist nicht möglich, da Sie sich per SDSL mangels Rufnummer nicht einwählen. Also erfordert eine Kopplung, dass Ihnen der Provider ein Datennetz als Verbindung zur Verfügung stellt. Sie können, insbesondere wenn Sie weniger strenge Anforderungen an die Qualität der Datenverbindung stellen, eine Kopplung über das Internet vornehmen. In diesem Fall müssen Sie lediglich zwei SDSL-Internetzugänge installieren. Bei einer Kopplung sind Verschlüsselungstechnologien wie z. B. VPN (siehe Kapitel 37, »Virtual Private Network«) dringend anzuraten. Die meisten Firmen brauchen Datenverbindungen mit einer gleich bleibenden und stabilen Bandbreite, und das schließt eine Kopplung über das Internet aus. Stattdessen kann die Kopplung über eine exklusiv für Sie im Backbone des Providers geschaltete
Verbindung realisiert werden. Der Provider kehrt dafür übrigens nicht zur Vermittlungstechnik zurück, sondern arbeitet in seinen Datennetzen mit Bandbreiten-Reservierungstechniken. Die Quality of Service (QoS), also die Dienstgüte, wird in einem Service-Level Agreement (SLA) vertraglich festgelegt. Neben den bekannten Anbietern wie der Telekom und Vodafone gibt es eine ganze Reihe von Anbietern, die SDSL-Zugänge vermarkten. Erwähnenswert ist insbesondere der Anbieter QSC, der bedingt auch für Privatanwender DSL-Zugänge bereitstellt. Wenn Sie in einer Großstadt ansässig sind, dann wird es bei Ihnen vermutlich auch einen City-Carrier geben, der SDSL-Zugänge anbietet.
11.3 VDSL Die Very High Data Rate Digital Subscriber Line ist eine DSL-Variante, die insbesondere in den fünf neuen Bundesländern interessant ist. Dort liegen – anders als in den alten Bundesländern – oft Glasfaserkabel bis zum Hausanschluss. ADSL, SDSL und andere sind aber Verfahren, die ausschließlich auf Kupferkabeln eingesetzt werden können. Auch VDSL kann auf Kupferkabeln eingesetzt werden, erreicht dann aber bei der maximalen Downloadrate von 52 Mbit/s nur eine Entfernung von 300 Metern, wenn es auf einem Kupferadernpaar betrieben wird. VSDL als asymmetrisches DSL-Verfahren bietet eine Downloadrate von 52 Mbit/s und eine Uploadrate von 11 Mbit/s. Das im ITU-Standard G.993.1 genormte VDSL ist in nur wenigen Ländern weltweit verbreitet, dazu gehört insbesondere Südkorea. Der Nachfolger VDSL2 wird deutlich häufiger eingesetzt.
11.4 VDSL2 Nachteile des alten VDSL-Standards sind, dass nur sehr beschränkte Reichweiten mit sinnvollen Bandbreiten erreicht werden und dass die Daten nicht priorisiert werden können. Diese Priorisierung ist aber für Video on Demand und Telefonie wichtig: Ohne sie kann Triple Play nicht ernsthaft angeboten werden. Anders als VDSL oder ADSL kann VDSL2 mit bis zu 200 Mbit/s symmetrisch betrieben werden, wird aber in der Regel asymmetrisch betrieben. Genormt im ITU-Standard G.993.2 ist es abwärtskompatibel mit ADSL2+ und störungsfrei zu ADSL und ADSL2. In Profilen werden die Bandbreite, die Anzahl der Frequenzen, der Frequenzabstand und der Übertragungspegel festgelegt. Daraus ergibt sich auch die maximale Übertragungsgeschwindigkeit (siehe Tabelle 11.2). Profil Bandbreite theoretische Übertragungsrate 8b
8,832 MHz
50 Mbit/s
17a
17,664 MHz 100 Mbit/s
30a
30 MHz
35b
35,328 MHz 300 Mbit/s
200 Mbit/s
Tabelle 11.2 Gängige VDSL2-Profile
Bei hohen Datenraten ist es wichtig, möglichst nah mit einer Glasfaserverbindung an den Kunden heranzukommen und möglichst wenige Meter auf Kupferleitungen übertragen zu müssen. Entsprechend erreichen VDSL-Angebote Anwohner, die in
einem Umkreis von maximal einem Kilometer um die Ortsvermittlungsstellen wohnen. Alternativ können die Kabelverzweiger – die grauen Kästen am Straßenrand – mit Outdoor-DSLAMs aufgerüstet werden.
11.5 VDSL2-Vectoring Die theoretischen 100 Mbit/s im Download werden in der Praxis erst zusammen mit Vectoring erreicht. Dieses Verfahren kann nur eingesetzt werden, wenn sowohl der Kabelverzweiger als auch das Modem dazu in der Lage sind. Beim Modem reicht oft ein Firmwareupdate, während ein DSLAM für den Wechsel von VDSL2 auf VDSL2-Vectoring eine Aufrüstung erfahren muss. Telefonleitungen liegen in Wohngebieten in der Regel dicht nebeneinander, wodurch sich die übertragenen Signale gegenseitig übersprechen. Beim Vectoring kompensiert der DSLAM diese Störungen, indem er gleichzeitig alle anliegenden Leitungen misst und die bei der Übertragung zu erwartende Störung jeweils berücksichtigt. Daher kann Vectoring auch nur eingesetzt werden, wenn alle Leitungen eines Kabelverzweigers von einem einzigen Provider kontrolliert werden. Dieser bestimmt dann die Spielregeln der Übertragung. In Deutschland garantiert die Bundesnetzagentur den freien Zugang eines DSL-Anbieters zur letzten Meile, also der Leitung vom Kabelverzweiger zum Kunden. Diese Garantie eines Zuganges zur TAL gilt seit dem Jahr 2013 nur noch eingeschränkt. Ein Betreiber kann Mitbewerbern den Zugang zu einem von ihm auf VDSL2Vectoring ausgebauten Kabelverzweiger unter bestimmten Bedingungen verweigern. Der vorgesehene Bitstrom-Zugang ist nur bedingt ein Ersatz, denn die technischen Rahmenbedingungen der letzten Meile werden letztlich vom Betreiber des Kabelverzweigers bestimmt. Seit dem Jahr 2016 muss der Bitstrom-Zugang anstatt des bisher üblichen Layers 3 auf Layer 2 und damit auf der Ebene von VLANs möglich sein. Das ist Voraussetzung für Technologien
wie Quality of Service (QOS) für z. B. Telefonie und Multicasts für z. B. IP-TV.
11.6 Supervectoring Das DSL-Profil 35b ist eine Weiterentwicklung von VDSL2 und wird auch als VDSL Annex Q oder Vectoring Plus bezeichnet. Das verwendete Frequenzspektrum erhöht sich auf maximal 35 MHz, was die maximale Übertragungsgeschwindigkeit in einem Umkreis von 300 Metern um den Kabelverzweiger auf theoretische 300 Mbit/s erhöht.
11.7 G.fast Der Standard G.fast (fast access to subscriber terminals) wird VDSL2 in einem Umkreis von ca. 250 Metern um einen Kabelverzweiger ergänzen oder mittelfristig ersetzen. In direkter Umgebung sind theoretisch bis zu 1 Gbit/s möglich. G.fast kann wie VDSL2 symmetrisch oder asymmetrisch betrieben werden. Die Nutzung eines deutlich höheren Frequenzspektrums von bis zu 212 MHz macht das Vectoring bei G.fast anspruchsvoller. Trotzdem kann es für die Betreiber wirtschaftlich sein, die Glasfaser als Fibre To The Distribution Point (FTTdp) nur bis zu einem Kabelverzweiger zu legen und von dort auf eine bereits vorhandene Kupferader umzusetzen.
11.8 TV über das Telefonkabel TV über das Internet ist für viele schon Realität. Schwierig wird es, wenn gleichzeitig zwei Sendersignale parallel übertragen werden sollen, z. B. eines für eine Aufnahme und eines direkt in den Fernseher. Interpoliertes HDTV aus dem Internet ist inzwischen möglich. Die Telekom spricht von mindestens DSL 16 plus, das eine etwas höhere Mindestbandbreite für den Download garantiert. Erst VDSL2Anschlüsse sind schnell genug für zwei gleichzeitige HDTV-Streams.
12 Fibre-Internet Die Kupfertechnik, mit der die DSL-Varianten realisiert werden, stößt immer mehr an ihre Grenzen. Daher werden Internetanschlüsse häufig mit Glasfaser realisiert. Beim Anschluss der Glasfaser gibt es unterschiedliche Anschlusspunkte: Fibre to the Curb (FTTC): Die Verlegung der Glasfaser bis zum Bordstein ist die Anbindung mit Glasfaser bis zum Kabelverzweiger. Fibre to the Building (FTTB): Glasfaser bis zu einem Übergabepunkt bietet sich z. B. für größere Mietshäuser an. Fibre to the Home (FTTH): Die Glasfaser wird bis zu einem Teilnehmeranschluss im Wohnbereich des Kunden geführt. Fibre to the Desk (FTTD): Sogar der Weg vom Teilnehmeranschluss bis zum Schreibtisch des Kunden geht über Glasfaser. Ein Glasfasernetz könnte mit einer Point-to-Point-Verbindung (PtP) bis zum Endkunden hin aufgebaut sein (siehe Abschnitt 4.3, »Sterntopologie«). Eine dezentrale Verteilung ist im Moment deutlich wahrscheinlicher, da die Umsetzung einer geringeren Anzahl von Glasfasern wirtschaftlicher und flexibler ist. Die Verteilung der Datenpakete kann aktiv oder passiv erfolgen. Ein Active Optical Network (AON) verteilt die Daten ähnlich wie ein Switch (siehe Abschnitt 6.10, »Switch«) an den richtigen Empfänger.
Neben den hohen Investitionen wäre auch der Betrieb der dezentralen Komponenten sehr kostenintensiv, was zur Dominanz des FTTH als Passive Optical Network (PON) führt. Die Pakete werden bei diesem Verfahren von passiven Splittern aufgeteilt. Im asiatischen Raum findet das Ethernet PON (EPON) Verbreitung, in Europa und Nordamerika das Gigabit PON (GPON). Die Deutsche Telekom setzt auf GPON, während der Anbieter Deutsche Glasfaser die AON-Technik verwendet.
Teil IV Höhere Protokollschichten
13 Kabelloser Internetzugang Es ist normal geworden, unterwegs E-Mails zu bearbeiten, Fotos zu machen und sie auf Facebook zu veröffentlichen oder auf Dienste in Ihrem Heimnetz zuzugreifen. Dafür brauchen Sie mobiles Internet. Die Mobilfunknetze unterteilen sich in Generationen. In Tabelle 13.1 finden Sie eine Übersicht. Generation Standard
Vermittlung
theoretische Bandbreite
2G
GSM
leitungsvermittelt 14,4 Kbit/s
2.5G
HSCSD
leitungsvermittelt 57,6 Kbit/s
GPRS
paketvermittelt
171,2 Kbit/s
2.75G
EDGE
paketvermittelt
473,6 Kbit/s
3G
UMTS
paketvermittelt
384 Kbit/s
3.5G
HSPA
paketvermittelt
14,4 Mbit/s
3.75G
HSPA+
paketvermittelt
42,44 Mbit/s
3.9G
LTE
paketvermittelt
326,4 Mbit/s
4G
LTE Advanced
paketvermittelt
1 Gbit/s
Generation Standard
Vermittlung
theoretische Bandbreite
5G
paketvermittelt
20 Gbit/s
5G
Tabelle 13.1 Digitale Mobilfunknetze
Die Unterscheidung zwischen leitungsvermittelten und paketvermittelten Mobilfunknetzen fällt auf. Leitungsvermittlung nutzt die Bandbreite exklusiv. Paketvermittlung teilt die Ressourcen des Mobilfunkbetreibers gerecht auf; es bleibt dadurch keine Bandbreite ungenutzt. Die Pakete werden über eine virtuelle Verbindung übertragen. Der Laufweg des Paketes bleibt – wie z. B. auch im Internet – für den Empfänger unsichtbar. Da sich alle Teilnehmer eine maximale Bandbreite teilen, kann es bei paketvermittelten Netzen mit steigender Nutzung zu massiven Schwankungen kommen.
13.1 Vertragsarten und Anwendung Welcher Standard mit welcher Geschwindigkeit steht Ihnen nun zur Verfügung? Alle Netzbetreiber bieten Übersichtskarten mit dem aktuellen Stand des Netzausbaus an. Im Internet auf der Site http://www.umts-netzabdeckung.de finden Sie mit den verlinkten Netzkarten einen Überblick über den Netzausbau in Deutschland. Sie sollten vor Vertragsabschluss unbedingt prüfen, ob die jeweilige Abdeckung des Anbieters und des Tarifes Ihren individuellen Bedürfnissen – also insbesondere Ihrem Bewegungsprofil – entspricht!
Achten Sie auch auf Volumenbegrenzungen. Häufig wird die höhere Geschwindigkeit nur für ein bestimmtes Datenvolumen angeboten, danach fällt die Verbindung auf eine niedrigere Geschwindigkeit zurück. Deshalb eignet sich eine mobile Internetanbindung auch nur bedingt als DSL-Ersatz. Die hohe Geschwindigkeit lässt viele Kunden ein begrenztes Datenvolumen akzeptieren. In einigen Routern können Sie sogar einen USB-Stick mit zugriff auf mobile Daten einstecken und ihn so als Rückfallebene oder Ergänzung für die DSL-Leitung nutzen. Bei den Routern (siehe Kapitel 38, »Internetzugang«) unterscheidet man die klassischen Router mit integriertem Modem und die Pocket Router, die dank Akku einen wirklich portablen und geteilten Internetzugang für WLAN-Clients bieten. Viele Smartphones können mit Tethering zu einem Router gemacht werden. Dabei wird die WLAN-Schnittstelle des Telefons zu einem WLAN Access Point, was diese Lösung besonders im Urlaub für viele attraktiv macht. Lediglich die Leistung des Akkus limitiert die mittels Tethering online verbrachte Zeit. [»] Sie können Ihr Volumen im Urlaub besser nutzen, indem Sie überflüssigen Traffic vermeiden. Werbung kann z. B. mit dem Firefox-Add-on Adblock Plus ausgeblendet werden. Viele Browser bieten die Möglichkeit, Bilder erst nach expliziter Aufforderung nachzuladen. Für den Firefox gibt es das Add-on ImageBlock. Unbedingt sollten Sie das Prefetching – also das vorauseilende Laden von verlinkten Seiten – abschalten.
13.2 Verbindungsaufbau mit MWconn und ixconn Für den Aufbau der Verbindung benötigen Sie neben einer SIMKarte Anmeldedaten, die häufig in der Software auf dem Speicher des mitgelieferten USB-Sticks enthalten sind. Die Informationen umfassen neben einem Benutzernamen und einem Kennwort den Access Point Name (APN). Wenn Sie nicht für jeden Provider in jedem Land eine andere Software auf dem PC installieren möchten, können Sie alternativ ein Programm für alle mobilen Internetverbindungen verwenden. Das kostenlose Programm MWconn für Windows bzw. ixconn für auf Debian basierende Linux-Systeme (www.mwconn.net) verwaltet Ihre mobilen Internetverbindungen sehr übersichtlich (siehe Abbildung 13.1).
Abbildung 13.1 MWconn verwaltet Ihre mobilen Internetzugänge.
[o] Sie finden MWconn im Verzeichnis /software/sonstiges bei den Download-Materialien.
13.3 Verbindungsaufbau mit Huawei HiLink Neuere USB-Sticks von Huawei sind häufig mit HiLink ausgestattet. Diese Software macht den USB-Stick intelligenter. Sie erkennt den Provider der jeweils eingelegten SIM-Karte und baut automatisch eine Verbindung auf.
Abbildung 13.2 HiLink erhöht die Funktionalität des USB-Sticks.
Mit der HiLink-Software verhält sich der Surfstick nicht mehr länger wie ein normales USB-Modem, sondern wie ein Router. Ein Netzwerkinterface und ein entsprechendes Routing werden beim Einstecken des Sticks automatisch eingerichtet. Der Router hat ein Managementinterface für die grundlegende Konfiguration. Sie erreichen diese grafische Benutzeroberfläche über den Link http://192.168.8.1 mit einem Browser (siehe Abbildung 13.2). [»] In Abschnitt 38.1.4, »Mobiler Internetzugang«, finden Sie ein Beispiel für einen USB-Stick als Router mit HiLink. Darüber hinaus erfahren Sie in Abschnitt 55.2, »Ihr eigener Router für unterwegs«,
wie Sie auf der Basis eines Raspberry Pi einen mobilen Router aufbauen können.
13.4 Messen der Signalstärke Es gibt mehrere Faktoren, die negativen Einfluss auf die Empfangsqualität haben: Die Stärke des Signals hängt wesentlich von der Entfernung zum Funkmast der Zelle ab. Die Feldstärke beim Empfänger nimmt abhängig vom Logarithmus der Entfernung zum Sender ab. Ein LTE-Funkmast sendet mit bis zu 40 Watt pro Kanal, ein LTEHandgerät mit bis zu 250 Milliwatt. Davon bleiben etwas entfernt nur noch einige Picowatt übrig. Die Leistung wird bei ausreichender Nähe der Teilnehmer zueinander automatisch an das jeweils benötigte Niveau angepasst. Die Empfänger besitzen dementsprechend sehr empfindliche Antennen. Im Idealfall existiert eine horizontale Sichtlinie zwischen Sender und Empfänger. Berge und hohe Bauwerke sind wie auch Reflektionen des Signals ein möglicher Störfaktor. In geschlossenen Räumen müssen Sie außerdem bauliche Isolatoren – insbesondere Stahlarmierungen – berücksichtigen. Moderne Fenster sind für eine bessere Wärmeisolierung mit einer dünnen Metallschicht überzogen. Es macht einen Unterschied, ob der Empfänger sich bewegt oder in einer Ruheposition befindet. In einem fahrenden Auto werden Sie daher eine schlechtere durchschnittliche Verbindungsqualität messen als in einem stehenden. Alle Mobilfunkteilnehmer beeinflussen sich gegenseitig. Das gilt für Sendemasten genauso wie für Mobilgeräte. Das Störpotential wächst, je größer die Anzahl der sendenden Geräte ist, in deren Reichweite Sie sich befinden.
Erfahrungsgemäß hat auch das Wetter Einfluss auf die Verbindungsqualität. Zum Auslesen der Empfangsqualität Ihres Endgerätes gibt es aussagekräftigere Anzeigen als die allgemein bekannten Balken auf dem Display eines Smartphones. Router geben in der Regel deutlich detaillierter Auskunft (siehe Abbildung 13.3).
Abbildung 13.3 Die Links beider LTE-MIMO-Antennen im Detail
Der RSSI (Received Signal Strength Indicator) bewertet die empfangene Leistung inklusive Rauschen und Fremdsignalen. Über den RSRP (Reference Signal Received Power) wählt das Endgerät die beste Funkzelle in der Umgebung aus. Das Endgerät ermittelt diese Zelle mit Hilfe von Referenzsignalen des Funkmastes. Der RSRQ (Reference Signal Received Quality) ist das Verhältnis von RSRP und RSSI. Je höher dieser Wert, desto stärker ist der gemessene Nutzanteil an der gesamten empfangenen Leistung.
Da die unterschiedlichen Mobilfunkstandards jeweils unterschiedliche Empfindlichkeiten der Antennen voraussetzen, ist der RSSI nicht geeignet, den Empfang von Geräten mit unterschiedlichen Standards zu bewerten. Dafür kann man abhängig vom Standard die ASU (Arbitrary Strength Unit) aus dem RSSI ableiten, bei LTE aus dem RSRP (siehe Abbildung 13.4). Programme wie MWconn (siehe Abschnitt 13.2, »Verbindungsaufbau mit MWconn und ixconn«) rechnen diese Werte in einen Prozentsatz um.
Abbildung 13.4 Die ASU eines Android-Smartphones mit EDGE-Verbindung
13.5 Signalverstärkung An manchen Orten ist das Signal so schwach, dass selbst eine externe Antenne nicht ausreichend Gewinn[ 8 ] bringt, um eine stabile Verbindung aufzubauen. Sehr häufig verbessern aber schon kleine Änderungen des Standortes das Signal ausreichend. Doch nicht in jeder Situation und bei jedem Wetter möchte man auf den Balkon gehen oder aufs Dach klettern. Nicht jede Antenne ist für jeden Zweck geeignet. Außerdem müssen Sie gesetzliche Rahmenbedingungen beachten. Viel wichtiger als der Gewinn der Antenne sind die Abstimmung auf Ihre Bedürfnisse, die Auswahl des Standortes und zudem bei einer Richtantenne die richtige Ausrichtung. Die abgestrahlte Leistung Ihrer Antenne, EIRP (Equivalent Isotropic Radiated Power), darf bei UMTS maximal 24 dBm und bei LTE maximal 23 dBm betragen. Die Gesamtleistung errechnen Sie sehr einfach: EIRP [dBm] = Ausgangsleistung des Gerätes [dBm] - Verlust durch Stecker, Kabel und Adapter [dB] + Antennengewinn [dBi]. Abhängig von der Kabelqualität können Sie für jeden Meter Kabel einen Verlust von ca. 0,25 bis 0,5 dB annehmen. Es gibt diverse Systeme für Antennenanschlüsse, z. B. SMA, CRC9, FME und TS9. Sie sind miteinander nicht kompatibel, lassen sich aber mit als Pigtail (dt. Zopf) bezeichneten Adaptern koppeln. Beachten Sie aber, dass jeder Adapter natürlich etwas Leistungsverlust mit sich bringt. Einige Geräte haben zwei Anschlüsse für externe Antennen. Für das von LTE verwendete MIMO (siehe Abschnitt 7.13.5, »Multiple
Input, Multiple Output«) benötigen Sie grundsätzlich zwei Antennen. Es wird zwischen Kugelstrahlantennen und Richtantennen unterschieden. Kugelstrahlantennen ergeben Sinn, wenn sich der Aufwand für das Ausrichten der Richtantenne nicht lohnt oder Sie z. B. mit dem Wohnmobil in Bewegung sind. Bei längeren Standzeiten – z. B. auf dem Campingplatz oder an Gebäuden – kann sich der Einsatz einer Richtantenne lohnen. Es gibt Antennen für mehrere Frequenzbänder, andere sind auf ein schmales Frequenzband – z. B. eines der drei LTEFrequenzbänder – spezialisiert. Für eine geringere Flexibilität erhalten Sie in der Regel einen höheren Leistungsgewinn. Eine Richtantenne müssen Sie – wie es der Name schon andeutet – auf den Funkmast der Zelle ausrichten. Während des Vorganges sollten Sie den RSRQ Ihres Routers ständig im Blick behalten und ihm nach jeder Korrektur genügend Zeit für die Aktualisierung lassen. Für AVM-Router und Huawei-Router empfehle ich Ihnen jeweils das passende Programm LTEWatch (siehe Abbildung 13.5). Das Programm MWconn (siehe Abschnitt 13.2, »Verbindungsaufbau mit MWconn und ixconn«) eignet sich für die Ausrichtung der Antenne eines Modems am USB-Port. Bei Smartphones können Sie die ASU beobachten.
Abbildung 13.5 Transparentes LTE dank LTEWatch; Quelle: http://www.lteanbieter.info
Die Auswahl der Antenne richtet sich auch nach der Frequenz des Signals, das verstärkt werden soll. Da die Frequenzbänder für LTE auf sehr unterschiedlichen Frequenzen beheimatet sind, können Sie den stationären Empfang deutlich verbessern, wenn Sie die für die jeweilige Frequenz richtige Antenne nutzen. Ein Indiz könnte das jeweils ausgewählte Frequenzband Ihres mobilen Endgerätes sein. Doch wie bekommen Sie das heraus? Ein Android-Mobiltelefon verrät Ihnen nach Eingabe des MMICodes[ 9 ] *#0011# nähere Informationen (siehe Abbildung 13.6). Ihr iOS-Gerät versetzen Sie mit der Eingabe *3001#12345#* in den Feldtest-Modus. Die so ermittelten Frequenzen sind jedoch irreführend und müssen für die tatsächliche Frequenz noch umgerechnet werden. Das können Sie z. B. auf der Seite http://www.cellmapper.net/arfcn erledigen.
Abbildung 13.6 Dieses Android-Gerät nutzt gerade LTE Band 3.
13.6 GPRS Der General Packet Radio Service (GPRS) ist eine Erweiterung des GSM-Netzes. Die durch Kanalbündelung theoretisch erreichbaren 171,2 Kbit/s werden in der Praxis durch die Netzbetreiber auf um die 50 Kbit/s im Download und etwa die Hälfte dieser Bandbreite im Upload beschränkt. Im deutschsprachigen Raum bieten die großen Anbieter eine GPRSAbdeckung von nahezu 100 Prozent. ASU [dBm]
RSSI [dBm]
MWconn [%]
bestmögliche Verbindung
27 bis 31
–59 bis –51
87 bis 100
E-EDGE ≤ 1 Mbit/s
16 bis 26
–81 bis –61
52 bis 84
EDGE ≤ 220 Kbit/s
13 bis 15
–87 bis –83
42 bis 48
stabiles EDGE
11 bis 12
–91 bis –89
35 bis 39
langsames EDGE
9 bis 10
–95 bis –93
29 bis 32
GPRS ≤ 54 Kbit/s
6 bis 8
–101 bis –97 19 bis 26
stabiles GPRS
3 bis 5
–107 bis – 103
10 bis 16
langsames GPRS
1 bis 2
–111 bis – 109
3 bis 6
Nur GSM
Tabelle 13.2 ASU-Tabelle für GSM, GPRS und EDGE; Quelle: http://www.lteanbieter.info
13.7 EDGE Mit Hilfe des Modulationsverfahrens Enhanced Data Rates for GSM Evolution (EDGE) wird aus GPRS E-GPRS. Das theoretische Maximum von 473,6 Kbit/s wird in der Praxis nicht erreicht. Dort sind 220 Kbit/s im Download und 110 Kbit/s im Upload realistischer; die Telekom verspricht ein wenig mehr. Der Ausbau von EDGE und damit auch die Abdeckung hängen maßgeblich vom Netzbetreiber ab. Theoretisch wäre Evolved EDGE (E-EDGE) mit möglichen 1,2 Mbit/s Downloadrate eine Alternative für Gebiete, in denen noch kein 3GNetz verfügbar ist. Technisch leicht umsetzbar, scheitert Evolved EDGE am mangelnden Willen der Netzbetreiber.
13.8 UMTS Viele in Deutschland erinnern sich noch an die Versteigerung der Frequenzen des Universal Mobile Telecommunications System (UMTS) im Jahr 2000 für 100 Milliarden DM. Eigentlich sollte der UMTS-Standard die auf GSM basierenden Netze (2G) zeitnah ablösen. Die Netzbetreiber scheuten die zusätzlich zum Lizenzerwerb anfallenden Kosten für den Netzausbau und zogen die Erweiterung des GSM-Netzes zunächst dem Ausbau des UMTSNetzes vor. Der UMTS-Netzstandard stellt eine Bandbreite von 384 Kbit/s zur Verfügung. ASU [dBm]
RSSI [dBm] MWconn [%]
bestmögliches Netz
24 bis 31
–68 bis –54
77 bis 100
HSPA+ möglich
16 bis 23
–84 bis –70
52 bis 74
HSDPA ≤ 7,2 Mbit/s
11 bis 15
–94 bis –86
35 bis 48
stabiles HSDPA
6 bis 10
–104 bis – 96
19 bis 23
HSDPA ohne Wetterreserve
3 bis 5
–110 bis – 106
10 bis 16
instabiles HSDPA
1 bis 2
–114 bis – 112
3 bis 6
nur UMTS
Tabelle 13.3 ASU-Tabelle für UMTS, HSDPA und HSPA+; Quelle: http://www.lte-anbieter.info
Der Begriff High Speed Packet Access (HSPA) umfasst diverse Technologien zur Beschleunigung von UMTS. HSDPA bietet im Download bis zu 3,6 Mbit/s, 7,2 Mbit/s oder 14,4 Mbit/s, HSDPA+ mehrstufig bis zu 42,2 Mbit/s. Im Upload stehen mit HSUPA maximal 5,76 Mbit/s zur Verfügung. Bei Mobilfunknetzen entscheidet letztendlich der jeweils unterschiedliche Netzausbau eines Providers über die maximal verfügbare Geschwindigkeit. Um die Frequenzen für LTE und 5G nutzen zu können, haben viele Mobilfunknetzbetreiber ihre UMTS-Netze in den Jahren 2020 und 2021 sukzessive abgeschaltet.
13.9 LTE Von den beiden miteinander inkompatiblen LTEStandards Frequency-Division Duplexing (FDD) und Time-Division Duplexing (TDD) ist FDD hierzulande der deutlich vorherrschende, weshalb ich im Folgenden auch nur diesen Standard betrachte. Durch die Umstellung des terrestrischen Fernsehens von Phase Alternating Line (PAL) auf Digital Video Broadcasting – Terrestrial (DVB-T) wurden Frequenzbänder frei, die auch als Digitale Dividende bezeichnet werden und zur Überbrückung der digitalen Kluft dienen sollen. In Deutschland und Österreich wurden daraufhin im Jahr 2010, in der Schweiz im Jahr 2012, Frequenzen für Long-Term Evolution (LTE) versteigert. Dabei nahm der deutsche Fiskus im Vergleich zur UMTS-Frequenzversteigerung bescheidene 4,4 Milliarden € ein. Mit dem Kauf der Lizenz gingen die Netzbetreiber gleichzeitig die Verpflichtung ein, zuerst die ländlichen Gebiete mit LTE zu versorgen, die noch nicht mit DSL ausgestattet sind. Die Betreiber betrachten ihre Pflicht vielerorts bereits als erfüllt. Ob mit einem 1-Mbit/s-DSL-Internetanschluss die digitale Kluft als überwunden betrachtet werden kann, darf bezweifelt werden. Die Frequenzen aus dem auslaufenden Fernsehsignal DVB-T [ 10 ] im 700-MHz-Bereich sind besonders für LTE im ländlichen Bereich geeignet, wofür sie in den USA auch schon längere Zeit genutzt werden. Bei der Versteigerung der Bänder dominierend waren in Europa außerdem die Bänder bei 800 MHz (Band 20), 2.600 MHz (Band 7) und immer mehr auch 1.800 MHz (Band 3). In Deutschland erbrachte die als Digitale Dividende II bezeichnete Versteigerung der Bänder 3, 8, 28 und 32 im Jahr 2016 Erlöse von
mehr als 5 Milliarden €.[ 11 ] Die Bereiche um 1.900 MHz und 2.100 MHz werden für LTE nur insoweit eine Rolle spielen können, als sie nicht von GSM bzw. UMTS belegt sind. Insgesamt ergibt sich national und besonders international mittlerweile ein Fleckenteppich aus Dutzenden Frequenzbändern (siehe Tabelle 13.4). Nicht nur unterschiedliche Provider in Deutschland nutzen unterschiedliche Frequenzen. Band Bereich [MHz]
Downlink [MHz]
Uplink [MHz]
Region
1
2.100
2.110– 2.170
1.920– 1.980
Europa, Asien
2
1.900
1.850– 1.910
1.930– 1.990
Asien, USA
3
1.800
1.710– 1.785
1.805– 1.880
EU, Asien, USA
4
1.700
1.710– 1.755
2.110– 2.155
USA
5
850
824–849
869–894
USA, Südkorea, Israel
7
2.600
2.500– 2.570
2.620– 2.690
Europa, Asien, Kanada
8
900
880–915
925–960
Europa, Japan, Lateinamerika
12
700
699–716
729–746
USA
13
700
777–787
746–756
USA
14
700
788–798
758–768
Band Bereich [MHz]
Downlink [MHz]
Uplink [MHz]
Region
17
700
788–798
734–746
USA
19
850
830–845
875–890
Japan
20
800
832–862
791–821
Europa (Digitale Dividende)
22
3.500
3.410– 3.490
3.510– 3.590
–
25
1.900
1.850– 1.915
1.930– 1.995
USA
26
850
814–849
859–894
USA
28
700
758–803
703–748
Europa (Digitale Dividende II)
32
1.400
1.452– 1.496
–
Europa (nur Carrier Aggregation)
Tabelle 13.4 LTE-Frequenzbänder; Quelle: http://www.lte-anbieter.info
In Smartphones, Tablets und Laptops sind häufig LTE-Modems verbaut. Insbesondere wenn Sie viel auf Reisen sind und nicht auf LTE verzichten möchten, sollten Sie sich vor dem Kauf Ihres Endgerätes informieren, ob die Provider in den von Ihnen besuchten Regionen mit den Frequenzbereichen Ihres Modems kompatibel sind.[ 12 ] Dies gilt umso mehr, wenn Sie ein vermeintlich günstiges Gerät im Ausland kaufen. Aus den Schwierigkeiten beim Umstieg von GSM (2G) auf UMTS (3G) wurde gelernt; der Aufwand beim Umstieg auf LTE (3.9G) ist
vergleichsweise gering. Trotzdem wird es meiner Meinung nach mittelfristig – ähnlich wie für UMTS zwischen O2 und E-Plus bereits geschehen – zu einem National Roaming auch für LTE kommen. Dadurch könnten Provider sowohl ihre Netz- als auch ihre Frequenzabdeckung erhöhen. Nicht nur die Verfügbarkeit, auch die maximale LTEGeschwindigkeit ist abhängig vom Provider. Zur Zeit der Drucklegung dieses Buches ist LTE mit bis zu 300 Mbit/s im Download und 50 Mbit/s im Upload erhältlich. Abhängig von der Signalqualität ergeben sich niedrigere Raten (siehe Abbildung 13.7).
Abbildung 13.7 Eine aktive LTE-Verbindung im Überblick
Erst LTE Advanced erfüllt die strengen Anforderungen des Normierungsgremiums 3rd Generation Partnership Project (3GPP) an den 4G-Standard. Die Datenrate wird in den einzelnen Normierungen im Wesentlichen durch MIMO (siehe Abschnitt 7.13.5, »Multiple Input, Multiple Output«) und Carrier Aggregation – die parallele Verwendung mehrerer Kanäle im gleichen oder einem anderen Band – erhöht. Mittels Orthogonal Frequency-Division Multiple Access (OFDMA) auf Subcarrier wird die Übertragung der
Nutzdaten zudem in mehrere Teilströme unterteilt. Des Weiteren wird die Effizienz der Datenübertragung mittels QAM (siehe Abschnitt 7.13.7, »Quadratur-Amplituden-Modulation«) erhöht. LTE wird in den 3GPP-Releases 8 und 9 definiert. Ab Release 10 ist LTE Advanced gemeint. In diesen Releases wird u. a. Carrier Aggregation definiert. Mit dieser Technik können mehrere Frequenzbänder gebündelt werden. Die Releases definieren letztlich verschiedene EndgeräteKategorien (siehe Tabelle 13.5). Die Leistungsmerkmale von Produkten werden häufig mit Hilfe dieser Kategorien beschrieben, weshalb sie wichtig für die Auswahl der passenden Hardware sind. Kategorie 3GPPRelease
MIMO T × R
Downlink [MHz]
Uplink [MHz]
3
8/9
2 × 2
100
50
4
8/9
2 × 2
150
50
5
8/9
4 × 4
300
75
6
10
2 × 2/4 × 4
300
50
7
10
2 × 2/4 × 4
300
100
8
10
bis 8 × 8
3.000
1.500
9
11
2 × 2/4 × 4
450
50
10
11
2 × 2/4 × 4
450
100
Kategorie 3GPPRelease
MIMO T × R
Downlink [MHz]
Uplink [MHz]
11
2 × 2/4 × 4
600
50
12
Tabelle 13.5 LTE-Kategorien; Quelle: http://www.lte-anbieter.info
Je höher die Frequenz des Trägersignals, desto geringer die Reichweite. Band 20 findet sich daher bevorzugt in ländlichen Bereichen, während Band 7 in Städten eine große Rolle spielt. ASU [dBm]
RSRP [dBm]
RSSI [dBm]
MWconn Bemerkung [%]
71 bis 95
–69 bis – –49 bis – 80 bis 45 25 100
48 bis 70
–92 bis – –72 bis – 54 bis 79 sehr stabiles LTE 70 50 ≤ 50 Mbit/s
41 bis 47
–99 bis – –79 bis – 46 bis 53 stabiles LTE ≤ 25 Mbit/s 93 73
31 bis 40
–109 bis –100
–89 bis – 35 bis 45 vorwiegend 80 stabiles LTE ≤ 15 Mbit/s
16 bis 30
–124 bis –110
–104 bis –90
18 bis 34 LTE möglich
10 bis 15
–130 bis –125
–110 bis –105
11 bis 17 instabiles LTE ≤ 2,5 Mbit/s
3 bis 9
–137 bis –131
–117 bis –111
3 bis 10
LTE ≤ 100 Mbit/s
sehr instabiles LTE ≤ 1 Mbit/s
Tabelle 13.6 ASU-Tabelle für LTE; Quelle: http://www.lte-anbieter.info
In LTE-Release 13 wurde u. a. das Narrowband Internet of Things (NBIoT) normiert, das als Grundlage für das Internet der Dinge (siehe Kapitel 49, »Hausautomation«) genutzt werden kann.
13.10 5G Neben einer deutlich höheren Übertragungsgeschwindigkeit bietet der neue Mobilfunkstandard 5G auch erheblich verringerte Paketlaufzeiten beim Zugriff über das Mobilfunknetz. Diese Eigenschaften machen 5G zu einer wesentlichen Voraussetzung für vernetzte autonome Mobilität. Die in den Jahren 2020 und 2021 frei gewordenen Frequenzen für UMTS dienen als Grundlage für das mobile Datennetz. Die Releases 12 bis 14 werden auch als 4.5G bezeichnet und deuten so auf den Übergang zum 5G-Standard hin. Release 15 wird auch als 5G Phase 1 bezeichnet, Release 16 als 5G Phase 2. In Release 13 hält Elevation Beamforming Einzug in den Standard. Damit optimiert ein Sendemast die Ausrichrung des von ihm abgestrahlten Signales zu den Kommunikationspartnern innerhalb seiner Zelle. Kategorie 3GPP-Release MIMO T × R Downlink [MHz] 11
12
4 × 4
600
12
12
4 × 4
600
13
12
4 × 4
400
14
12
8 × 8
4.000
15
12
4 × 4
780
16
12
4 × 4
1.000
17
13
8 × 8
25.000
Kategorie 3GPP-Release MIMO T × R Downlink [MHz] 18
13
bis 8 × 8
1.210
19
13
bis 8 × 8
1.700
20
14
bis 8 × 8
2.000
21
14
bis 8 × 8
1.400
Tabelle 13.7 Downloadkategorien; Quelle: http://www.lte-anbieter.info
Ab Release 12 wird zudem zwischen Kategorien für den Download (siehe Tabelle 13.7) und den Upload (siehe Tabelle 13.8) unterschieden. Die einzelnen Kategorien aus Download und Upload sind nur eingeschränkt kombinierbar. Kategorie 3GPPRelease
Uplink [MHz]
Kompatible Downloadkategorien
3
12
51
13, 15, 16, 19, 20, 21
5
12
75
4, 6, 11, 13, 16, 19
7
12
102
13, 15, 16, 18, 19, 20, 21
8
12
1.497
14
13
12
150
7, 10, 12, 13, 15, 16, 18, 19, 20, 21
14
13
9.585
17
15
13
226
12, 16, 19, 20, 21
16
14
105
6, 9, 11, 13, 15, 16, 18, 19, 20, 21
Kategorie 3GPPRelease
Uplink [MHz]
Kompatible Downloadkategorien
17
14
2.119
14
18
14
211
7, 10, 12, 13, 15, 16, 18, 19, 20, 21
19
14
13.563
17
20
14
316
12, 16, 18, 19, 20, 21, 22, 23, 24, 25
21
14
301
19, 20, 22, 23
22
15
422
22, 23, 34, 25
23
15
527
22, 23, 24, 25
24
15
633
22, 23, 24, 25
25
15
738
22, 23, 24, 25
Tabelle 13.8 Uploadkategorien; Quelle: http://www.lte-anbieter.info
13.11 WiMAX Seit dem Jahr 2001 gibt es einen Standard für Funktechnologie, der insbesondere für die Versorgung der letzten Meile, also als Konkurrenz zu DSL, eingesetzt wird. WiMAX (Worldwide Interoperability for Microwave Access) wird wie WLAN von der IEEE normiert; die Normierungsgruppe ist IEEE 802.16. Zur Verwaltung der verfügbaren Frequenzbänder setzt WiMAX auf Orthogonal Frequency-Division Multiple Access (OFDMA) und MIMO-Technik (siehe Abschnitt 7.13.5, »Multiple Input, Multiple Output«). Seitdem ein schneller Internetzugang ein bedeutender Standortfaktor ist, suchen Gemeinden ohne DSL-Versorgung zunehmend nach Alternativen. WiMAX kann theoretisch bis zu 109 Mbit/s übertragen oder eine Strecke von bis zu 50 Kilometern überbrücken, wenn Sichtverbindung besteht. Ohne Sichtverbindung werden Datentransferraten erreicht, die auf dem Niveau von UMTS liegen. Mit diesen Eckdaten wird deutlich, dass man WiMAX zur Versorgung von ländlichen Gebieten einsetzen kann, in denen DSL z. B. aufgrund der Längenrestriktion nicht möglich oder aber aufgrund weniger Kunden nicht wirtschaftlich ist. Gegen Ende des Jahres 2005 wurde der Standard IEEE 802.16e verabschiedet, der auch eine nomadische Nutzung ermöglicht: Man darf sich als Anwender auch bewegen, daher wird auch der Begriff Mobile WiMAX verwendet. In Deutschland sind einige wenige Anbieter tätig, die insbesondere ländliche Gebiete mit Breitbandzugängen versorgen, in denen
kein DSL zur Verfügung steht.
14 Das Internetprotokoll Das Internetprotokoll wird nicht nur im Internet, sondern auch sehr erfolgreich im LAN eingesetzt. Es wird von allen wichtigen Betriebssystemen unterstützt. Das Internetprotokoll (IP) ist ein Protokoll der dritten Schicht des ISO/OSI-Modells (siehe Abschnitt 5.2, »ISO/OSI-Modell«) und hat die Aufgabe der Wegewahl: Wie kommt ein Datenpaket von IPNetz A in IP-Netz B (siehe Abbildung 14.1)? Die Wahl des richtigen und möglichst auch des am besten geeigneten Weges, das ist die Aufgabe dieser Netzwerkschicht und damit des IP.
Abbildung 14.1 Verbundene IP-Netze
[»] Bevor wir in dieses schwierige Thema einsteigen, möchte ich versuchen, ein Beispiel zu zeigen, das gerne für Vergleiche mit IP
herangezogen wird: das Telefonsystem.
Eine Vermittlungsstelle der Telefongesellschaft hat dieselbe Aufgabe wie ein Router im IP: Sie leitet ein Gespräch in Richtung des anderen Teilnehmers weiter. Eine Telefonnummer besteht üblicherweise aus einer Vorwahl und einer Rufnummer: (0211) 784444. Wenn Sie also an Ihrem Telefon diese Nummer eingeben, weiß die Ortsvermittlungsstelle durch die Ziffer Null, dass Sie ein Ferngespräch führen wollen. Es folgt die Zwei, eine Art Region, hier die Region »West«. Schließlich möchten Sie in das Ortsnetz »11« von Region »West«, konkret ist das Düsseldorf. Die Ziffern »78« bezeichnen die Ortsvermittlungsstelle im Stadtteil »Oberbilk«, dort möchten Sie mit dem Teilnehmer »4444« sprechen. Von links nach rechts hat die Rufnummer also den Weg Ihres Anrufs bis zum Teilnehmer »4444« vorgegeben. Die Rufnummer enthält zwei Informationen: die Zugehörigkeit zu einer geografischen Gruppe (Vorwahl + Ortsteil) = 021178 eine eindeutige Rufnummer innerhalb dieser Gruppe (Rufnummer) = 4444 Sie werden sehen, dass es beim IP ähnlich ist; wenn Sie die Grundsätze übertragen, hilft Ihnen dies beim Verständnis von IP weiter. Eine IP-Adresse, das bekannteste Element des Internetprotokolls, enthält ebenfalls zwei Informationen: die Zugehörigkeit zu einer Gruppe (IP-Netz) und eine eindeutige Nummer innerhalb dieser Gruppe (Host-ID)
Beide Informationen müssen trennbar sein. Die Subnetzmaske gibt an, welche Bits der IP-Adresse die Gruppenzugehörigkeit beschreiben. Die restlichen Bits, die nicht von der Subnetzmaske erfasst werden, beschreiben die eindeutige Nummer eines Rechners innerhalb der Gruppe und werden Hostanteil oder Host-ID genannt. [»] Sie benötigen das hier dargestellte Wissen für die Themen Routing und Firewall (siehe Abschnitt 14.3, »Routing«, und Kapitel 34, »Programme zur Netzwerksicherheit«).
Abbildung 14.2 Aufbau einer IP-Adresse
Die IPv4-Adresse ist 4 Bytes, also 32 Bits, lang, und normalerweise wird jedes Byte von den anderen durch einen Punkt getrennt (siehe Abbildung 14.2). In einem Byte können 28 = 256 Werte dargestellt werden. Diese entsprechen dezimalen Werten von 0 bis 255. Von den 256 möglichen Werten haben die 0 und die 255 eine besondere Bedeutung, aber nur im Bereich der Host-ID, also wenn diese aus Nullen oder aus 255 besteht. Die Schreibweise 172.16.0.0 steht also für das IP-Netz 172.16. Der Weg in ein Netz wird im Rechner etwa so beschrieben: 172.16.0.0 über 192.168.1.12 am Anschluss Ethernet1 Dieser Routingeintrag bedeutet, dass das IP-Netz 172.16 über den Router 192.168.1.12 erreicht werden kann. Die Nullen in den beiden letzten Bytes geben in Verbindung mit der Subnetzmaske an, dass das gesamte IP-Netz gemeint ist.
Alternativ zur dezimalen Schreibweise könnte man IP-Adressen auch binär schreiben. Man hat pro Byte acht Stellen, die entweder auf 0 oder 1 gesetzt sind. Dabei wird deutlicher, dass eine dezimale Null in einem Byte acht binären Nullen entspricht und 255 acht Einsen. Sehr selten kommt es vor, dass die IP-Adresse hexadezimal geschrieben wird. Eine Ausnahme gibt es jedoch: Bei der IPVersion 6 (siehe Abschnitt 14.7, »IP-Version 6«) werden IP-Adressen immer hexadezimal geschrieben. In der folgenden Aufzählung finden Sie einige konkrete Beispiele, anhand derer ich die Notation verdeutlichen möchte: 192.168.4.1 mit einer Subnetzmaske von 255.255.255.0:
Die 255 bei der Subnetzmaske bedeutet jeweils, dass das Byte auf die Netz-ID entfällt, entsprechend sind bei der Subnetzmaske drei Bytes gesetzt (24 Bits). Die ersten drei Bytes beschreiben den Netzteil (Netz-ID) der IP-Adresse: 192.168.4. Das letzte Byte mit dem Wert 1 ist der Hostteil (Host-ID), die Nummer der Station innerhalb des IP-Netzes. 172.16.5.77 mit einer Subnetzmaske von 255.255.0.0:
Die ersten zwei Bytes sind das Netz 172.16.0.0, die zweiten beiden Bytes, 5.77, bestimmen den Rechner in dem IP-Netz. Möchte man alle Rechner in dem IP-Netz ansprechen, heißt die IP-Adresse daher 172.16.255.255. Das ist die Broadcast-Adresse dieses Netzes (siehe Abschnitt 14.1, »IP-Broadcast«). 10.6.8.9 mit einer Subnetzmaske 255.0.0.0:
Der Netzteil der IP-Adresse umfasst lediglich das erste Byte, das IP-Netz heißt daher 10.0.0.0, und der Rechner hat die Nummer 6.8.9. Wie Sie bemerkt haben, ist die Subnetzmaske bei den Beispielen immer kleiner geworden, und der Bereich, mit dem man die
Rechner (engl. hosts) anspricht, wurde immer größer. Wozu? [»] Stellen Sie sich vor, Sie haben eine Rechtsanwaltskanzlei und möchten ein IP-Netz für Ihre Kanzlei einrichten. Es wird vermutlich ausreichen, ein IP-Netz mit einer 24-Bit-Subnetzmaske – also 255.255.255.0 – zu verwenden. Zur Adressierung von PCs innerhalb dieses Netzes haben Sie 254 Adressen zur Verfügung.[ 13 ] Wenn Sie aber Vorstandschef von Daimler wären und ein IP-Netz einrichten wollten, in dem jeder PC Ihres Unternehmens eine IP-Adresse bekommen soll – würden 254 Möglichkeiten reichen? Nein, Sie bräuchten ein IP-Netz, das mehr Adressraum für Host-IDs bereitstellt. Im Fall von Daimler würden Sie ein Netz benötigen, das eine 8-Bit-Subnetzmaske – also 255.0.0.0 – hat. Dann hätten Sie 24 Bits oder 224 = 16,7 Millionen Möglichkeiten, eine Host-ID zu vergeben. Von diesen IP-Netzen mit 8-Bit-Subnetzmaske gibt es weltweit rechnerisch 254 Stück; tatsächlich sind es weniger. IP-Netze wurden früher in Klassen eingeteilt. Man trifft aber heute trotzdem immer noch regelmäßig z. B. auf den Begriff Class-C-Netz, so dass ich die Netzwerkklassen kurz erwähnen möchte: 24-Bit-Subnetzmaske (255.255.255.0): Class C 16-Bit-Subnetzmaske (255.255.0.0): Class B 8-Bit-Subnetzmaske (255.0.0.0): Class A Dabei bestimmt die Klasse die Subnetzmaske. Die Einteilung in Klassen ist jedoch weitestgehend überholt. Das Classless Inter-Domain Routing (CIDR) bricht die starren Netzwerkklassen auf, um die knappen Adressbereiche effizienter ausnutzen zu können. Ein Suffix wird unabhängig von einer Netzwerkklasse an die IP-Adresse angehängt und ist eine andere Schreibweise für die Subnetzmaske.
[»] Sie müssen sich Subnetzmasken in binärer Schreibweise vorstellen. Die Subnetzmaske 255.0.0.0 wäre binär durch 8 Einsen und 24 Nullen beschrieben. Das korrekte Suffix wäre demnach /8. Die IP-Adresse 10.6.8.9/8 würde also die Subnetzmaske Ihres Netzwerks gleich mitliefern. Im Netzwerk 10.6.8 mit der Subnetzmaske 255.255.255.0 wäre 10.6.8.9/24 die korrekte Notation. Denkbar und üblich wäre auch das Suffix /18, das die Subnetzmaske 255.255.192.0 darstellen würde. Im Internet erhalten Sie üblicherweise eine IPv4-Adresse mit dem Suffix /32 von Ihrem Provider, also eine Adresse mit der Subnetzmaske 255.255.255.255. Damit sind Sie automatisch der einzige Teilnehmer Ihres kleinstmöglichen Subnetzes. Über welche Art von IP-Netz reden wir? Es geht um ein offizielles, aus dem Internet erreichbares IP-Netz. Jeder dort angeschlossene PC hat eine weltweit eindeutige IP-Adresse innerhalb des Internets und ist direkt von dort erreichbar. Nur wenige Privatleute benötigen eine feste IP-Adresse. Als normaler Anwender »leihen« Sie sich eine offizielle IP-Adresse von Ihrem Internetprovider für die Dauer der Internetverbindung. Mit jeder neuen Verbindung bekommen Sie dann eine andere IPAdresse zugewiesen. Das Problem der dynamischen Adressen lösen diverse Anbieter mit Diensten wie DynDNS (http://www.dyndns.com). Sie aktualisieren von Ihrem PC aus regelmäßig Ihre öffentliche IP-Adresse, so dass Ihre Webadresse zuverlässig und dynamisch zur jeweils aktuellen IPAdresse aufgelöst wird (siehe Kapitel 39, »DynDNS-Dienste«). Hat ein Unternehmen einen festen Internetzugang ohne Einwahl, ist es also 24 Stunden online, stellt der Internetprovider eine feste IP-Adresse zur Verfügung. Wie man über nur eine offizielle IPAdresse mit mehreren Rechnern im Internet erreichbar ist, lesen Sie
in Abschnitt 14.5, »Network Address Translation«. Private, also nicht offizielle IP-Adressen, werden in Abschnitt 14.4, »Private IPAdressen«, behandelt. Offizielle IP-Netze werden an Unternehmen, Behörden und Universitäten vergeben. Diese erhalten dann einen zugeteilten Adressbereich. [»] Hat ein Unternehmen ein eigenes Klasse-C-Netz zugeteilt bekommen, also z. B. das Netzwerk 192.140.252.0/24, dann hat es 254 offizielle IP-Adressen zur Verfügung, die es im Internet verwenden darf. Vergeben werden die IP-Adressen in Europa von der Organisation RIPE, die diese Aufgabe an die Provider delegiert hat. Wenn Sie sich also einen Adressbereich reservieren wollen, wenden Sie sich an Ihren Provider. Der Standardfall der Kommunikation ist der Unicast (siehe Abbildung 14.3). Der Sender verschickt seine Nachricht an einen Empfänger, ohne unbeteiligte Dritte dabei unnötig zu belästigen.
Abbildung 14.3 Unicast ist die Kommunikation »eins zu eins«.
14.1 IP-Broadcast Eine Sonderbedeutung bei der Notation einer IPv4-Adresse hat – neben der 0 – die 255, wenn sie den Bereich der Host-ID ausfüllt. Ein IP-Paket, das als Zieladresse 172.16.255.255 eingetragen hat, spricht jede Station im IP-Netz 172.16.0.0 an. Diese IP-Broadcasts werden in einen Ethernet-Broadcast (siehe Abschnitt 6.10.1, »Ethernet Broadcast«) umgesetzt. [+] Router leiten keine Broadcasts von einem IP-Netz in ein anderes IP-Netz weiter. Ein Router trennt also Broadcast-Domänen voneinander.
Abbildung 14.4 Broadcast ist die Kommunikation »Eins-zu-alle«.
Die typischen Anwendungsfälle von Broadcasts im IPv4-Netzwerk – z. B. ARP"=Requests (siehe Kapitel 15, »Address Resolution Protocol und Neighbor Discovery Protocol«) – werden in einem IPv6Netzwerk durch Multicasts (siehe Abschnitt 14.7.3, »IPv6-Multicast«) abgedeckt.
14.2 IPv4-Multicast Multicasts kommen zum Einsatz, wenn die Nachricht einen bestimmten Empfängerkreis im Netzwerk erreichen soll. Protokolle wie Zeroconf (siehe Abschnitt 22.2, »Zeroconf«) und UPnP (siehe Abschnitt 22.1, »Universal Plug and Play«) bauen auf MulticastNachrichten auf. [»] Würden die IPTV-Anbieter (siehe Kapitel 46, »Medienstreaming«) ihre Programme mittels Unicast streamen, dann müssten die Inhalte über den gesamten Laufweg des Signals doppelt übertragen werden. Mit Broadcasts müssten selbst aktuell von niemandem angesehene Programme gleichzeitig an alle potentiellen Zuschauer übertragen werden, was unnötig Last erzeugen würde. Beim Multicast abonniert der Abnehmer den Stream jeweils beim nächsten stromaufwärts gelegenen Router oder Switch. Wollen zwei Teilnehmer am gleichen Switch ein Programm sehen, dupliziert der Switch den Stream einfach auf beide SwitchPorts und reicht ihn auf diese Weise stromabwärts weiter. Im Gegensatz zu Broadcasts können Multicasts geroutet werden. Soll sich der Multicast auf mehrere Subnetze erstrecken, muss der Router die Pakete weiterleiten. Der Router muss dazu wissen, welche Multicast-Streams weitergeleitet werden sollen. Das Netzwerk muss in Erfahrung bringen, an welchen Anschlüssen welche Multicasts ausgegeben werden sollen. Daher abonnieren die Abnehmer bestimmte Multicast-Streams, und das Netzwerk schaltet per IGMP eine Verbindung zwischen Sender und den Empfängern (siehe Abbildung 14.5).
Abbildung 14.5 Multicast ist die Kommunikation »eins zu mehrere«.
Für IPv4-Multicasts ist der Adressbereich 224.0.0.0/4 reserviert, also alle Adressen zwischen 224.0.0.0 und 239.255.255.255. Ein billiger Switch (siehe Abschnitt 25.1, »Einsteiger: Mini-Switches«) behandelt einen Multicast auf Layer 2 (siehe Abschnitt 5.2, »ISO/OSIModell«) exakt wie einen Broadcast, was zu massiven Problemen im Netzwerk führen kann. Erst höherwertige Switches (siehe Abschnitt 25.2, »Webmanaged Switches«) lenken Multicasts mittels IGMP beziehungsweise MLD richtig. [!] Sollte ein am Streaming beteiligter Switch kein IGMPv3 bzw. MLDv2 beherrschen, können im WLAN Probleme entstehen. Eine mögliche Auswirkung beschreibe ich in Abschnitt 46.2.4, »TV Media Player«.
IPv4-Multicast-Adressen werden auf Layer 2 in MAC-Adressen umgesetzt (siehe Abschnitt 6.10.2, »Ethernet-Multicast«). Dafür ergänzen die letzten 23 Bits der IPv4-Adresse die MAC-Adresse 0100-5e und bilden so MAC-Adressen im Bereich zwischen 01-00-5e00-00-00 und 01-00-5e-7f-ff-ff. [+] Diese Multicast-MAC-Adressen können von Switches nicht gelernt und in der Switching-Tabelle (siehe Abschnitt 25.3, »Fachbegriffe für den Switch-Kauf«) abgespeichert werden, da der Multicast-Stream unidirektional ist. Dementsprechend schickt der Empfänger niemals Ethernet-Frames mit der Multicast-MACAdresse als Absender. Das Kommando netsh int ip show joins gibt Ihnen unter Windows einen Überblick über die lokalen IPv4-Multicast-Adressen. Unter Linux verwenden Sie das Kommando ip -4 maddress. Unter macOS erhalten Sie durch die Eingabe von netstat -g eine Liste der Multicast-Adressen. [»] Durch die IPv4-Multicast-Adresse 224.0.0.1 kommt ein Netzwerkteilnehmer in die Multicast-Gruppe All Hosts; die Adresse 224.0.0.2 ist für Router reserviert.
14.3 Routing Möchte ein PC aus IP-Netz A mit dem Rechner aus IP-Netz B kommunizieren, benötigt er dafür mindestens einen Router. Der Router arbeitet eine ISO/OSI-Schicht höher als ein Switch, nämlich auf ISO/OSI-Schicht 3. Der Router verbindet im einfachsten Fall zwei IP-Netze miteinander. Dabei funktioniert er ähnlich wie eine Bridge (siehe Abschnitt 6.10, »Switch«). Er leitet alle Datenpakete aus IP-Netz A in IP-Netz B, wenn sie an einen Rechner in diesem Netz adressiert sind. Eine Bridge oder ein Switch teilt ein Ethernet in einzelne Segmente, so dass es zu einer Bandbreitenerhöhung kommt. Das Internetprotokoll sieht die Einteilung in Segmente bereits vor: Segmente heißen IP-Netze oder Subnetze. Diese IP-Netze verbindet ein Router. Er hat dazu zwei Anschlüsse (engl. interfaces), in jedem IP-Netz (A und B) jeweils einen. Empfängt der Router auf seinem IP-Netz-A-Interface ein Datenpaket, so schaut er in die IP-Adressierung. Dort steht unter anderem die IP-Ziel-Adresse. Lautet die Zieladresse IP-Netz B, dann sendet der Router das Datenpaket auf Interface B in IP-Netz B. Das macht deutlich: Mit dem Begriff Router ist weniger ein konkretes Gerät gemeint, sondern vielmehr eine Funktionalität, die von verschiedenen Geräten, auch PCs, ausgeübt werden kann. Ein Router entscheidet anhand der IP-Adresse, wohin er das Paket schicken muss, damit es seinem Ziel näher kommt. Dazu hat ein Router mindestens zwei Netzwerkanschlüsse. [»] Aus Gründen der Übersichtlichkeit habe ich die IP-Adressen im Beispiel auf zwei Bytes verkürzt. Eine korrekte IP-Adresse würde z. B. 192.168.1.2 oder 192.168.2.1 lauten.
In Abbildung 14.6 sendet PC 1.2 (Netz 1, PC 2) an PC 2.1 (Netz 2, PC 1) Daten. Unterstellen Sie in diesem Beispiel eine Subnetzmaske von 24 Bits (255.255.255.0), können Sie zunächst feststellen, dass sich PC 1.2 und PC 2.1 nicht im selben IP-Netz befinden, daher kann man sagen: PC 2 aus Netz 1 möchte mit PC 1 aus Netz 2 kommunizieren.
Abbildung 14.6 Routing von 1.2 zu 2.1
Weil beide Rechner unterschiedlichen IP-Netzen angehören, können sie nicht direkt miteinander kommunizieren. Das gilt auch dann, wenn Sie sie mit einem gedrehten Kabel (siehe Abschnitt 23.7, »Cross-Kabel«) direkt verbinden. Ein PC rechnet aus, ob die Zieladresse im eigenen Subnetz liegt. Wenn das nicht der Fall ist, dann braucht er einen sogenannten Routingeintrag. Hat er keinen Routingeintrag, ist das Ziel für den PC nicht erreichbar. PC 1.2 schickt die Daten also zu seinem Standardgateway; diese Adresse muss in seinem IP-Netz liegen, z. B. die IP-Adresse 1.10. Der Router hat eine Verbindung zu Netz 2 über sein Interface 2.10 und sendet also die Datenpakete an Rechner 2.1 über sein Interface 2.10. [»] Stellen Sie sich einen DSL-Router vor. Dieser hat zwei Interfaces, eines in Ihrem LAN (Netzwerk), eines zum Provider (DSL). Der Router hat nur zwei Einträge:
Das Netz 192.168.1.0/24 (ein Beispiel) läuft über die Netzwerkkarte. Alle anderen Netze (0.0.0.0) laufen über DSL zum Provider. Der letzte Eintrag heißt Defaultrouting. Ist kein anderer Routingeintrag genauer, dann wird das Routing über das hier definierte Standardgateway ausgeführt. Sie können sich den Weg eines Datenpaketes zum Ziel ansehen. Der Befehl dazu heißt traceroute. [»] Unter Windows wählen Sie Start • Ausführen … und geben cmd ein. In der Eingabeaufforderung tippen Sie dann beispielsweise tracert www.web.de. Sie erhalten eine Auflistung aller Router zwischen dem eigenen Rechner und dem Ziel im Internet. Abbildung 14.7 zeigt, wie ein solches Ergebnis aussehen kann. Weitere Informationen zu dem Kommando traceroute finden Sie in Kapitel 29, »Troubleshooting«.
Abbildung 14.7 »traceroute« vom eigenen PC zu WEB.DE
Routingeinträge, also die Information, welches Ziel über welchen Router erreichbar ist, können auf zwei verschiedene Arten in den Router gelangen: statisch: manuell eingetragen dynamisch: durch Informationsaustausch zwischen Routern
Die statischen Routen werden oftmals von Hand gepflegt und genauso konfiguriert wie eine IP-Adresse. Moderne Betriebssysteme helfen ein wenig und fügen automatisch Routen für Netze ein, in denen ein Anschluss existiert. Wenn die Netzwerkkarte 1 die IPAdresse 192.168.1.100/24 hat, dann fügen die Betriebssysteme eine entsprechende Route automatisch hinzu. Dynamische Routen werden durch sogenannte Routingprotokolle eingetragen. Router tauschen Informationen über die von ihnen erreichbaren IP-Netze aus, einschließlich der IP-Netze, von denen sie durch andere Router gehört haben. Zusätzlich zu der Information IP-Netz und Router wird angegeben, wie günstig (d. h. nah, schnell) die Route zu dem IP-Netz ist. Bekommt ein Router (X) die Information von einem Nachbarrouter (Y), dass jener IP-Netz A mit fünf Schritten erreichen kann, verbreitet Router X, dass er IP-Netz A mit 5 + 1 = 6 Schritten erreichen kann. Bekannte Beispiele für Routingprotokolle wie RIP, OSPF und (E)IGRP finden in größeren Netzwerken Anwendung. Der Einsatz von Routingprotokollen in kleineren privaten Netzwerken ist unwirtschaftlich.
14.4 Private IP-Adressen Als ich schrieb, dass IP-Adressen durch die Organisation RIPE vergeben werden, haben Sie sich vielleicht gefragt, ob Sie eine IPAdresse für Ihr Netzwerk beantragen müssen. Antwort: normalerweise nicht. IP-Adressen, die aus dem Internet erreichbar sein sollen, müssen eindeutig sein. Dafür sorgt RIPE üblicherweise über die Internetprovider. Diese haben ihrerseits einen Pool von offiziellen IP-Adressen zur Verfügung und leihen jedem Kunden für die Dauer der Internetverbindung eine offizielle IP-Adresse. [+] Wenn Sie IP-Adressen für Ihr lokales LAN benötigen, kommt es selten zu Problemen: Benutzen Sie und jemand anderes gleichzeitig dieselbe Adresse, dann ist diese zwar nicht eindeutig, aber sie stören sich nicht gegenseitig, weil Ihre beiden Netze nicht verbunden sind. Verbinden Sie Ihr Netz dagegen mit dem Internet, verbinden Sie es ja gleichzeitig mit vielen anderen Netzen, und es käme zu einem Adresskonflikt, wenn eine IP-Adresse zweifach genutzt würde. Für Ihr Heim-/Büronetzwerk und andere interne Netze gibt es Adressbereiche, die im Internet nicht verwendet werden und deren IP-Adressen nicht aus dem oder in das Internet transportiert werden: Class C: 192.168.0.0 bis 192.168.255.0 Class B: 172.16.0.0 bis 172.31.255.0 Class A: 10.0.0.0
Für ein kleines Netz mit weniger als 255 Rechnern benutzt man ein IP-Netz aus dem Class-C-Bereich, z. B. 192.168.1.0/24. Entsprechend reichen die IP-Adressen dieses IP-Netzes von 192.168.1.1 bis 192.168.1.254. Für etwas größere Netzwerke gilt: Vergeben Sie IP-Adressen nicht mit der Gießkanne! Die Administration eines Netzwerks wird umso einfacher, je systematischer Sie IP-Adressen vergeben. Sie erhalten im Idealfall sogenannte sprechende IP-Adressen, aus denen Sie leicht ablesen können, zu welchem Gerät eine Adresse gehört. Welches System Sie dazu nutzen wollen, bleibt natürlich Ihnen überlassen. Ein Beispiel, an dem Sie sich orientieren können, teilt die Geräte anhand der Betriebsysteme ein und sortiert auch Drucker extra. Wenn Sie beobachten, dass 192.168.1.210 Probleme macht, wissen Sie sofort, dass es um einen Netzwerkdrucker geht. [+] Das folgende Schema bietet eine Orientierung für ein Klasse-C-Netz: 192.168.1.200 bis 192.168.1.249 = Drucker 192.168.1.100 bis 192.168.1.199 = PC-Clients 192.168.1.20 bis 192.168.1.29 = Linux-Server 192.168.1.10 bis 192.168.1.19 = Windows-Server 192.168.1.1 = Routerinterface
Sobald Sie die IP-Adresse kennen, wissen Sie sofort, um welche Art von Netzwerkteilnehmer es sich handelt, und können gezielter Hilfe leisten.
14.5 Network Address Translation Die meisten Netzwerke werden mit dem Internet verbunden. Damit ein PC aus einem lokalen Netz direkt mit dem Internet kommunizieren kann, benötigt er eine offizielle IP-Adresse. Sollen also zehn PCs gleichzeitig auf das Internet zugreifen, benötigen Sie zehn offizielle IPAdressen. Weil sich das Problem vergrößert, je mehr PCs gleichzeitig auf das Internet zugreifen sollen, und weil offizielle IP-Adressen knapp sind, wurden zwei Lösungen erfunden: Network Address Translation (NAT) und Proxy. Das Grundprinzip von NAT ist einfach: Beispielsweise ersetzt ein Router die privaten Adressen des internen LANs in den Datenpaketen (z. B. 192.168.4.2) durch die ihm vom Internetprovider zugewiesene offizielle IP-Adresse (z. B. 62.182.96.204). Wenn die Antworten aus dem Internet kommen, erreichen sie zunächst den Router, der sich gemerkt hat, welche Daten zu welchem Ziel gesendet wurden, und die Antwortpakete dem ursprünglichen internen PC zuordnen kann. Der Router tauscht im Antwortpaket die Ziel-IP-Adresse 62.182.96.204 gegen die private IP-Adresse 192.168.4.2 aus und schickt dem PC das Paket. UrsprungsIP
Ursprungs- offizielle IPport Adresse
neuer Ziel-IPPort Adresse
Zielport
192.168.1.23 1333
80.44.53.222 5555
62.34.5.6
80
192.168.1.77 23675
80.44.53.222 5556
10.77.33.2 25
Tabelle 14.1 NAT-Tabelle
Der Router bedient sich dabei der UDP-/TCP-Portnummern. Ein IP-Paket enthält ein UDP- oder TCP-Paket. Das UDP-/TCP-Paket enthält zwei Ports: den Zielport und den Ursprungsport. Der Router baut sich eine
Tabelle auf, in der er sich notiert, an welchen PC Antworten geschickt werden müssen. [»] Wenn im Beispiel aus Tabelle 14.1 dieser Router ein IP-Paket für seine offizielle IP-Adresse 80.44.53.222 und den Ziel-TCP-Port 5555 empfängt, weiß er, dass er das Paket an die IP-Adresse 192.168.1.23 auf dem TCPPort 1333 weiterleiten muss. Betrachtet man den Router vom Internet aus, dann scheint er ein »Super-Surfer« zu sein, weil er viele gleichzeitige Anfragen ins Internet schickt. Der Vorteil von NAT ist, dass man für ein ganzes Netzwerk mit PCs, die auf das Internet zugreifen, nur eine offizielle IP-Adresse benötigt. Anders ausgedrückt: Sie benötigen NAT, wenn Sie mit nur einer offiziellen IPAdresse mehreren PCs den Zugriff auf das Internet ermöglichen wollen. NAT wird unter UNIX-artigen Betriebssystemen übrigens häufiger Masquerading genannt. Ein weiterer Vorteil von NAT ist, dass ein potentieller Angreifer nur den Router im Internet erkennen kann, weil nur dieser Router bei der Kommunikation ins Internet in Erscheinung tritt. Der Hacker bzw. Cracker weiß nicht, dass sich hinter dem Router ein ganzes Netzwerk verbirgt. Man versteckt also durch NAT die eigene Netzwerkstruktur und macht es so einem Hacker/Cracker schwieriger, die für ihn eigentlich interessanten PCs im LAN anzugreifen. NAT und eine Firewall ergänzen sich. Genaueres dazu erfahren Sie in Abschnitt 33.4, »Sicherheitslösungen im Überblick«. [!] Leider gibt es einige Anwendungen, die nicht mit NAT zusammenarbeiten. Die meisten dieser Anwendungen verarbeiten die IP-Adresse in der Applikation, dadurch kommt es zu Problemen, wenn die tatsächliche Absender-IP-Adresse nicht mit der Absender-IPAdresse der Applikationsdaten identisch ist. Ein weiterer Nachteil von NAT ist, dass Sie keine Dienste aus dem LAN im Internet anbieten können. Wenn ein Client aus dem Internet auf einen
Webserver in Ihrem LAN zugreifen möchte, so kann der NAT-Router die Anfrage keinem PC zuordnen, so dass die Anfrage abgewiesen wird. Das Problem lösen die meisten DSL-Router so, dass über eine Funktion – oft Portweiterleitung (engl. Port Forwarding) oder Virtual Server genannt – Verbindungen auf einem bestimmten TCP-/UDP-Port immer zu einem PC im LAN weitergeleitet werden. Das ist z. B. auch erforderlich für die Teilnahme an einem BitTorrent-Netzwerk.
14.6 Carrier-grade NAT Die begrenzten IPv4-Adressen können mit Carrier-grade NAT effizienter genutzt werden. Dabei weist der Provider dem Kunden eine private statt einer öffentlichen IP-Adresse zu. Beim Provider wird die Kommunikation mittels NAT ins öffentliche Internet umgeleitet. Auf die Portweiterleitungen dieses NAT haben Sie im Gegensatz zu den Regeln Ihres eigenen Routers keinen Einfluss. Deshalb ist es Ihnen auch unmöglich, hinter einem Carrier-grade NAT einen Dienst im Internet anzubieten, z. B. einen VPN-Zugriff auf Ihr LAN (siehe Abschnitt 37.9, »FRITZ!Box-VPN«). Das sollten Sie insbesondere dann bedenken, wenn Sie gerade einen neuen Internetanschluss bestellen möchten (siehe Abschnitt 14.7.6, »DSLite«). Das Port Control Protocol (PCP) soll es den Teilnehmern in Zukunft ermöglichen, Portweiterleitungen über den eigenen Router hinaus im NAT des Providers einzurichten. Bis dahin müssen Sie auf Anbieter wie PageKite (http://pagekite.net) zurückgreifen.
14.7 IP-Version 6 Die bekannte und weltweit im Einsatz befindliche IP-Version ist die Version 4. IPv6 oder auch IP next Generation (IPnG) ist der Nachfolger von IPv4.[ 14 ] Bei dieser Aussage sind sich alle Experten einig. Auf eine andere Frage bekommt man von zehn Experten zwölf Antworten: »Wann wird IPv6 IPv4 ersetzen?« IPv6 ist schon älter, als Sie vermuten werden. Die ersten Schritte zur Normung wurden bereits im Jahr 1994 von der IETF unternommen. Seit einigen Jahren wird IPv6 zunehmend eingesetzt, und viele neu geschaltete Internetzugänge bekommen eine IPv4- und eine IPv6Adresse (siehe Abschnitt 14.7.5, »Dual Stack«), andere werden ausschließlich mit IPv6 versorgt (siehe Abschnitt 14.7.6, »DS-Lite«). Viele Internetauftritte sind bereits über IPv6 zu erreichen, und auch die Statistik von Google verzeichnet zunehmend IPv6-Zugriffe. Die neue IP-Version soll einige heute bestehende Probleme lösen. Folgende wesentliche Punkte ändern sich: Der Adressraum beträgt 2128 statt 232 Adressen. IPv6-Adressen sind also im Gegensatz zu IPv4-Adressen keine Mangelware. Die neue Version setzt auf Any2Any-Kommunikation statt NAT. Jeder kann also grundsätzlich direkt mit jedem kommunizieren. Die Autokonfiguration (ähnlich DHCP) ist Bestandteil von IPv6. Schnellere Routingalgorithmen sind durch die bessere IP-HeaderStruktur möglich (der Standard-Header von IPv6 ist immer gleich groß). Router fragmentieren IPv6-Pakete nicht; stattdessen verwerfen sie zu große Pakete und senden ein ICMPv6 (siehe Kapitel 16,
»Internet Control Message Protocol«) mit dem Inhalt »packet too big« an den Absender. Der IPv6-Header (siehe Abschnitt 14.11, »Das IPv6-Datagramm«) kann erweitert werden. Leider dient dies gleichzeitig als großes Einfallstor für Attacken. ICMPv6 wird für die Kommunikation zwingend benötigt. Sogar zwischen LAN und Internet müssen bestimmte ICMPv6-Pakete über die Firewall weitergeleitet werden. ICMPv4-Pakete werden von einer Firewall (siehe Abschnitt 33.4.1, »Firewall«) hingegen üblicherweise verworfen. Pro Netzwerkinterface gibt es immer mehrere IPv6-Adressen. Ein und dieselbe IPv6-Adresse kann oft sehr unterschiedlich geschrieben werden. Es wird einen sanften Umstieg auf IPv6 geben, der einige Jahrzehnte dauern wird. Auf diese Situation ist IPv6 eingerichtet. Es gibt explizite Migrationstechnologien. Auch alle Anwendungen müssen mit IPv6-Adressen umgehen können.
14.7.1 IPv6-Adressen Der Adressraum, also die Anzahl der Adressen, beträgt 2128 statt 232. Ein IP-Subnetz wird immer mindestens 264 Adressen enthalten, auch ein privates, z. B. von Ihrem Provider zugewiesenes Netz. Damit könnten Sie daheim theoretisch einige Milliarden Geräte adressieren. Mehrfach genutzte private Adressen können gänzlich entfallen und durch offizielle IP-Adressen ersetzt werden. Die neuen Adressen werden hexadezimal geschrieben. Die acht Blöcke mit jeweils vier Zeichen werden durch einen Doppelpunkt
voneinander getrennt: 2001:0db8:e100:00db:0000:0000:0000:0002 Das erste Vorkommen von Nullen kann durch einen Doppelpunkt gekürzt werden. Statt führender Nullen kann auch nur eine einzige Null geschrieben werden. Die obige Adresse heißt in der Kurzfassung also 2001:db8:e100:db::2. Der Netzanteil der Adresse wird Prefix oder Präfix genannt, der Hostteil heißt Interface Identifier. In diesem Beispiel lautet das Prefix 2001:db8:e100:db. Der Interface Identifier lautet ::2, somit ergibt sich die oben stehende vollständige Adresse. Der Interface Identifier kann aus der MAC-Adresse gebildet werden. Dazu wird die 48 Bits große MAC-Adresse gemäß dem EUI-64Verfahren mittig um die Zeichen ff:fe auf 64 Bits erweitert, zusätzlich wird der Zustand eines einzelnen Bits gekippt. Per Multicast werden danach alle lokalen Router angesprochen. Mit Hilfe der vom Router verschickten Netzwerkinformationen – die auch das Prefix enthalten – kann nun jedes IPv6-Gerät selbständig eine gültige IP-Adresse bilden, dazu wird dem Identifier nur das Prefix vorangestellt. Eine doppelte Adressvergabe verhindern die Teilnehmer selbständig per Duplicate Address Detection (DAD). Dieses Verfahren heißt Autokonfiguration oder Stateless Address Autoconfiguration (SLAAC, siehe Abschnitt 19.3.1, »IPv6Autokonfiguration mit SLAAC«). Es werden verschiedene Klassen von IPv6-Adressen unterschieden. Besonders erwähnenswert sind folgende: Link Local Unicast: eine automatisch per SLAAC generierte lokale Adresse (Prefix fe80::/64)
Unique Local Unicast: eine zugewiesene lokale Adresse ohne Gültigkeit für das Internet (Prefix fc00::/7) Multicast: für Multicast (siehe Abschnitt 14.7.3, »IPv6-Multicast«) reservierter Bereich (Prefix ff00::/8) Global Unicast: Adressen, die auch im Internet gültig sind
14.7.2 Privacy Extension Wird der Interface Identifier aus der weltweit einmaligen MACAdresse (siehe Kapitel 6, »Ethernet«) abgeleitet, so ist er in allen IPNetzen gleich. Das Gerät wird dadurch in unterschiedlichen Netzwerken eindeutig identifizierbar, z. B. in der Firma, zu Hause oder am WLAN-Hot-Spot. Jeglicher Netzwerkverkehr könnte eindeutig bis zu einem Endgerät hin zurückverfolgt werden, was nicht im Sinne des Datenschutzes sein kann. Dieses Problem wird durch die Funktion Privacy Extensions (dt.: Erweiterungen für die Privatsphäre) umgangen. Dabei wird der Interface Identifier aus einer zufälligen Zeichenkette gebildet und dieser Vorgang regelmäßig wiederholt, wodurch sich die IPv6-Adresse jeweils ändert.
14.7.3 IPv6-Multicast Grundsätzlich funktioniert ein IPv6-Multicast sehr ähnlich einem IPv4-Multicast (siehe Abschnitt 14.2, »IPv4-Multicast«). Die Bedeutung von Multicast hat mit IPv6 jedoch deutlich zugenommen. Und es gibt kleinere Unterschiede. Das Prefix einer IPv6-Multicast-Adresse ist immer ff00::/8.
Mit der Adresse ff02::2 werden alle Router im lokalen Netzwerk angesprochen. Die Adresse ff02::f wird für UPnP (siehe Abschnitt 22.1, »Universal Plug and Play«) verwendet. Auf der Adresse ff02::fb lauschen sämtliche an mDNS (siehe Abschnitt 20.5, »Multicast DNS«) beteiligten Kommunikationspartner. [»] Mit Hilfe des Kommandos ping -6 ff02::2 können Sie bequem alle Router im lokalen Netzwerk ansprechen. Achten Sie darauf, dass Sie bei Unicast- und Multicast-Adressen in der Regel das Netzwerkinterface angeben müssen (siehe Abschnitt 29.4.4 und Abschnitt 29.5.4). Die Implementation von IGMP in IPv6 unter dem Namen Multicast Listener Discovery (MLD) verwendet den ICMP-Typ 130 (siehe Abschnitt 16.3, »Das ICMPv6-Datagramm«). IPv6-Multicast-Adressen werden auf Layer 2 in MAC-Adressen umgesetzt (siehe Abschnitt 6.10.2, »Ethernet-Multicast«). Dafür ergänzen die letzten 32 Bits der IPv6-Adresse die MAC-Adresse 33-33 und bilden so MAC-Adressen im Bereich zwischen 33-33-00-00-0000 und 33-33-ff-ff-ff-ff. Das Kommando netsh int ipv6 show joins gibt Ihnen unter Windows einen Überblick über die lokalen IPv6-Multicast-Adressen. Unter Linux verwenden Sie ip -6 maddress. Unter macOS nutzen Sie – wie bei IPv4 – den Befehl netstat -g. [»] Durch die IPv6-Multicast-Adresse ff02::1 kommt ein Netzwerkteilnehmer in die Multicast-Gruppe All Hosts; die Adresse ff02::02 ist für Router reserviert.
14.7.4 Migration Es gab eine Diskussion über IPv6 im Internet: Die Zugangsprovider argumentierten, dass es keine Nachfrage nach IPv6 gab. Die Kunden argumentierten, es gäbe keine Inhalte. Inhaltsanbieter sagten, dass niemand auf Inhalte zugreifen könne, solange die Zugangsprovider nicht IPv6 freischalten. Kurz: ein Henne-Ei-Problem. Etwa seit dem Jahr 2010 machen insbesondere Hostinganbieter in großem Stil Inhalte auch per IPv6 erreichbar. Im nächsten Schritt müssen die Internetprovider ihre Kunden zusätzlich zur IPv4Adresse mit einem IPv6-Subnetz versorgen. Dieses Verfahren nennt sich Dual Stack (siehe Abschnitt 14.7.5, »Dual Stack«). Wenn Sie mit den Einschränkungen leben können, genügt vielleicht auch ein Anschluss mit DS-Lite (siehe Abschnitt 14.7.6, »DS-Lite«). In Deutschland läuft bereits seit dem Ende des Jahres 2020 mehr als die Hälfte der Zugriffe auf Google über IPv6. Viel weiter sind die Hard- und Softwarehersteller. Fast jede Hardware, jedes Betriebssystem und jede Anwendung ist heute IPv6-fähig.
14.7.5 Dual Stack Internetanbieter wie z. B. die Deutsche Telekom verfügen über genügend IPv4-Adressen. Bei neuen DSL-Anschlüssen werden den Kunden daher IPv4 und IPv6 parallel zur Verfügung gestellt. Diese Anschlüsse werden auch als Dual Stack bezeichnet. Dual Stack (dt. Doppelstapel) bedeutet, dass beide IP-Protokolle gleichzeitig verfügbar sind und genutzt werden können. Das gilt so auch für die meisten Betriebssysteme, die gleichzeitig beide Protokolle aktivieren. Dadurch ist sichergestellt, dass auch mit ausschließlich per IPv6 oder IPv4 erreichbaren Zielen (siehe Abschnitt 14.9, »IPv6-only«) kommuniziert werden kann.
Ist ein Ziel sowohl per IPv4 als auch per IPv6 erreichbar, dann werden in der Regel IPv6-Verbindungen bevorzugt. Allerdings können auch Anwendungen den IP-Stack beeinflussen. Aktuelle Browser verwenden z. B. das sogenannte Happy Eyeball für die Auswahl der jeweils schnelleren Verbindung.
14.7.6 DS-Lite IPv4-Adressen sind Mangelware. Das trifft insbesondere die Anbieter, die noch nicht so lange am Markt sind. Auch deshalb müssen viele Kabelinternetanbieter (siehe Kapitel 10, »Kabelinternetzugang«) auf DS-Lite zurückgreifen. Dabei bekommen Sie eine IPv6-Adresse. Der Umsetzung von IPv6 für die Kommunikation mit IPv4-Teilnehmern im Internet geschieht über Carrier-grade NAT (siehe Abschnitt 14.6, »Carrier-grade NAT«) bei Ihrem Provider. Dadurch wird es unmöglich, einen IPv4-Service aus Ihrem lokalen Netz aus dem Internet sichtbar zu machen. Sie könnten den Dienst einfach auf IPv6 umstellen, und der Zugriff wäre für einen IPv6-Client aus dem Internet – ganz ohne störendes NAT – gar kein Problem mehr. In Mobilfunknetzen und bei den meisten Hot Spots ist IPv4 allerdings noch auf absehbare Zeit der Standard, weshalb ein Zugriff von dort aus nur noch über einen IPv6-Tunnel möglich wäre (siehe Abschnitt 14.8, »IPv6 ausprobieren«). Wenn Sie das Carrier-grade NAT umgehen wollen, benötigen Sie die Hilfe eines Übersetzers von IPv4 in IPv6 im Internet: Ein eigener Root-Server (siehe Abschnitt 48.2.1, »Infrastructure as a Service«) kann die Umsetzung von IPv4 in IPv6 bewerkstelligen. Er ist aber aufwendig einzurichten und bedingt regelmäßig einen hohen finanziellen und zeitlichen Aufwand.
Die Einrichtung eines IPv4-Tunnels zu einem Anbieter mit Portweiterleitung ist umständlich, da dies zunächst ein funktionierendes VPN (siehe Kapitel 37, »Virtual Private Network«) mit einer lokal installierten Clientsoftware voraussetzt. Die IPv4-Pakete müssen in IPv6 eingepackt werden, was die Pakete natürlich etwas größer macht. Um Paketfragmentierung zu vermeiden, sollten Sie daher die Maximum Transmission Unit (MTU) innerhalb des VPN anpassen. Ein IPv6 TCP-Portmapper – wie z. B. feste-ip.net der Firma Cosimo – ist eleganter. Dieser nimmt den IPv4-Datenstrom an einer öffentlichen IPv4-Adresse entgegen und setzt ihn über eine IPv6-Verbindung in Ihr lokales LAN um. [+] Den Zugriff von einem IPv4-Client aus dem Internet auf einen unverschlüsselten IPv6-Webserver können Sie im Bedarfsfall über das kostenlose 6to4-Gateway laufen lassen.
14.8 IPv6 ausprobieren Falls Sie IPv6 ausprobieren wollen und Ihr Internetanschluss kein natives IPv6 hat, können Sie ein 6to4-Gateway konfigurieren.
14.8.1 IPv6-Tunnel mit Endpunkt FRITZ!Box In den Erweiterten Einstellungen der FRITZ!Box aktivieren Sie unter Internet • Zugangsdaten • IPv6 die IPv6-Unterstützung. Sie treffen anschließend die Auswahl IPv6-Anbindung mit Tunnelprotokoll verwenden und bestimmen als Tunnelprotokoll schließlich 6to4 (siehe Abbildung 14.8).
Abbildung 14.8 6to4 schickt IPv4-Pakete zu einem IPv6-Gateway.
Das Resultat sehen Sie im Online-Monitor (siehe Abbildung 14.9).
Abbildung 14.9 Im Online-Monitor der FRITZ!Box werden Verbindungsstatistiken gepflegt.
14.8.2 Das Firefox-Add-on »IP Address and Domain Information« Mit dem Add-on IP Address and Domain Information für den Mozilla Firefox können Sie nähere Informationen zur Domain und zur IPAdresse ansehen (siehe Abbildung 14.10). Auch für andere Browser gibt es entsprechende Erweiterungen.
Abbildung 14.10 Die Domain google.com im Detail
14.9 IPv6-only Erklärtes Ziel von IPv6 ist es, IPv4 abzulösen. Man spricht auch von IPv6-only. Auch wenn Dual Stack (siehe Abschnitt 14.7.5, »Dual Stack«) eine elegante Migrationsmöglichkeit bietet, so birgt es doch zahlreiche Nachteile und führt letztlich IPv6 ad absurdum. Denn der immens große Adresspool von IPv6 kann erst genutzt werden, wenn nicht parallel zu in ausreichender Menge verfügbaren IPv6-Adressen auch noch eine IPv4-Adresse vergeben werden muss. Letztlich bedeutet es natürlich auch doppelte Arbeit, zwei Konfigurationen aktuell zu halten. Gleichzeitig ist es eine doppelte Fehlerquelle. Wenn Sie nun wissen, dass alles auf IPv6-only hinaus läuft, sollten Sie Ihr Netzwerk nicht direkt IPv6-only aufsetzen? So könnten Sie sich doch IPv4 sparen und gleich mit dem moderneren IPv6 durchstarten? Um das mal für ein paar Tage auszuprobieren, müssten Sie lediglich im Betriebssystem den IPv4-Stack deaktivieren. Vermutlich werden Sie allerdings nicht sehr glücklich. Denn zum Zeitpunkt der Drucklegung dieses Buches ist es noch so, dass viele Ziele im Internet nicht per IPv6 erreichbar sind. Es gehören u. a. GitHub, Spotify und zahlreiche Bezahlportale dazu. Wirklich möglich wird IPv6 im eigenen LAN allerdings erst dann, wenn Sie ein NAT64-Gateway –- z. B. auf einem Raspberry Pi (siehe Kapitel 54, »Raspberry Pi«) oder einem OpenWrt-Router (siehe Abschnitt 38.2, »OpenWrt – ein freies Betriebssystem für Router«) – betreiben. Moment, hatte ich nicht unter IP-Version 6 gesagt, es gäbe bei IPv6 kein NAT (siehe Abschnitt 14.5, »Network Address
Translation«)? Richtig, von IPv6 nach IPv6 gibt es das auch nicht, also kein NAT66. Eine Adressumsetzung von IPv6 nach IPv4 gibt es schon, für diesen Zweck existiert sogar ein reserviertes Prefix, nämlich 64:ff9b::/96. Zusätzlich brauchen Sie einen DNS64Server (siehe Kapitel 20, »Namensauflösung«), der Ihrem IPv6Client jede IPv4 als verklausulierte IPv6-Adresse (64:ff9b…) darbietet und somit dafür sorgt, dass die Kommunikation über das NAT64Gateway geleitet wird. Sie merken: Es ist ein relativ komplexes Thema. Falls Sie das nicht abschreckt, empfehle ich Ihnen, sich die Software Jool (https://www.jool.mx) anzuschauen.
14.10 Das IPv4-Datagramm Ein IP-Paket von ISO/OSI-Schicht 3 ist ein möglicher Nutzinhalt eines Ethernet-Frames (siehe Abschnitt 6.12, »Das EthernetDatagramm«) von ISO/OSI-Schicht 2. Eine Zeile in Abbildung 14.11 entspricht 32 Bits. Der Nutzinhalt ist entgegen der Darstellung mittels nur einer Zeile nicht auf 32 Bits begrenzt. Der gesamte IPv4-Header ist 160 Bits – also 20 Bytes – groß.
Abbildung 14.11 Das Datagramm eines IPv4-Paketes
Version: Die ersten vier Bits enthalten die IP-Version (4 oder 6) des Datagramms. Header length: Datagramme können Optionen enthalten und dementsprechend unterschiedlich lang sein. Der typische Wert 5 in diesen vier Bits steht für einen Header von fünf 32-Bit-Wörtern, also insgesamt 20 Bytes. Da die Optionen erst in der sechsten Zeile stehen, wäre in diesem Fall kein Platz mehr für sie im Datagramm. Type of Service (ToS): Diese acht Bits können für eine Priorisierung mittels Quality of Service (QoS) genutzt werden. Der Differentiated Services Codepoint (DSCP) in den ersten sechs
Bits dient der Klassifizierung des Inhaltes. Die letzten beiden Bits werden für Explicit Congestion Notification (ECN) verwendet. Mit diesem Verfahren kann ein entsprechender Router dem Empfänger eines Paketes eine drohende Überlast mitteilen, um dem eventuell zu einem späteren Zeitpunkt notwendigen Wegwerfen von Paketen vorzubeugen. Das weitere Verfahren findet auf Ebene von TCP statt (siehe Abschnitt 17.3, »Das TCPDatagramm«). Ein Beispiel für die Anwendung von QoS bei Voice over IP finden Sie in Abschnitt 47.2.1, »Quality of Service«. ECT: Mit dem Flag ECN Capable Transport (ECT) signalisiert ein Absender seine ECN-Kompatibilität. CE: Mit dem Flag Congestion Experienced (CE) (dt. Stauung erfahren) meldet ein Router seine drohende Überlastung. Datagram length: Die 16-Bit-Darstellung erlaubt eine theoretische maximale Größe des Datagramms von 65.535 Bytes. Im EthernetStandard bestimmt der Nutzinhalt des Ethernet-Frames von – in der Regel – 1.500 Bytes (siehe Abschnitt 6.12, »Das EthernetDatagramm«) die Maximum Transmission Unit (MTU), also die maximale Größe des IP-Paketes. Identifier: Sollte ein IP-Paket für eine Übertragung fragmentiert werden müssen, enthält dieses 16 Bits große Feld bei allen zusammengehörenden Teilen den gleichen Wert. Flags: Falls das Paket z. B. vom einem Router mit zu geringer Maximum Transmission Unit (MTU) weitergeleitet werden soll, muss das Paket fragmentiert werden. Ist das mittlere dieser drei Bits gesetzt, wird ein Router angewiesen, das Paket nicht zu fragmentieren. Stattdessen verwirft er es und sendet dem Absender eine ICMP-Fehlermeldung (siehe Kapitel 16, »Internet Control Message Protocol«) mit seiner MTU im Inhalt. Der Absender weiß dadurch, dass sein Ziel für Pakete mit der von
ihm gewählten Größe nicht erreichbar ist, und passt seine eigene MTU an die Path Maximum Transmission Unit (PMTU) an. Fragmentation offset: Sollte ein fragmentiertes Paket vom Empfänger zusammengesetzt werden müssen, findet er in diesen 13 Bits die Information, an welcher Stelle genau er das Fragment in das Gesamtpaket einbauen muss. Time to live (TTL, dt. Lebenszeit): Der Wert ist 8 Bits lang und limitiert die Hops, also die Weiterleitungen eines Datagramms durch andere Router. Dabei zählt jeder Router den Wert um eins herunter. Ist der Wert 0 erreicht, wird das Datagramm verworfen. Protocol: Diese 8 Bits weisen den Empfänger auf die Art der nächsten Protokollschicht hin. So steht z. B. der Wert 1 für ICMP (siehe Kapitel 16, »Internet Control Message Protocol«), der Wert 6 für TCP (siehe Kapitel 17, »Transmission Control Protocol«) und der Wert 17 für UDP (siehe Kapitel 18, »User Datagram Protocol«). Header checksum: Nicht nur vom Empfänger, sondern auch von weiterleitenden Routern wird diese 16 Bits lange Prüfsumme berechnet und verglichen. Sie bezieht sich ausschließlich auf den Header, nicht auf den Nutzinhalt des IPv4-Paketes. Sollte die Prüfsumme nicht stimmen, wird das Paket verworfen. Data: Der Nutzinhalt beträgt bei einer typischen Größe eines Ethernet-Frames von 1.500 Bytes und einem minimalen Header von 20 Bytes maximal 1.480 Bytes.
14.11 Das IPv6-Datagramm Eine Zeile in Abbildung 14.12 entspricht 32 Bits. Für die Darstellung der IPv6-Adressen 128 Bits werden dementsprechend jeweils vier Zeilen zusammengefasst. Der Nutzinhalt ist entgegen der Darstellung in einer Zeile nicht auf 32 Bits begrenzt. Der IPv6Header ist 320 Bits – also 40 Bytes – groß. IPv6 setzt eine minimale Größe der Maximum Transmission Unit (MTU) von 1.280 Bytes voraus.[ 15 ] Die Version 6 des IP-Protokolls beschränkt sich im Vergleich zur Version 4 auf das Wesentliche und kommt – mit Ausnahme der längeren Adressanteile – daher etwas schlanker als sein Vorgänger daher. Dafür bietet IPv6 aber Extension Header an. Mit Hilfe dieser optionalen, zusätzlichen Header können Erweiterungen des Headers nachträglich implementiert werden. Die Header werden dabei miteinander verkettet.
Abbildung 14.12 Das Datagramm eines IPv6-Paketes
Version: Die ersten vier Bits enthalten die IP-Version (4 oder 6) des Datagramms.
Traffic class: Diese acht Bits können für eine Priorisierung mittels Quality of Service (QoS) genutzt werden. Der Differentiated Services Codepoint (DSCP) in den ersten sechs Bits dient der Klassifizierung des Inhaltes. Die letzten beiden Bits werden für Explicit Congestion Notification (ECN) verwendet. Mit diesem Verfahren kann ein entsprechender Router dem Empfänger eines Paketes eine drohende Überlast mitteilen, um dem eventuell zu einem späteren Zeitpunkt notwendigen Wegwerfen von Paketen vorzubeugen. Das weitere Verfahren findet auf Ebene von TCP statt (siehe Abschnitt 17.3, »Das TCP-Datagramm«). Ein Beispiel für die Anwendung von QoS bei Voice over IP finden Sie in Abschnitt 47.2.1, »Quality of Service«. ECT: Mit dem Flag ECN Capable Transport (ECT) signalisiert ein Absender seine ECN-Kompatibilität. CE: Mit dem Flag Congestion Experienced (CE) (dt. Stauung erfahren) meldet ein Router seine drohende Überlastung. Flow label: Mit Hilfe dieser 20 Bits kann der Absender eines Datagrammes von weiterleitenden IPv6-Routern eine spezielle Behandlung verlangen. Dadurch können z. B Datagramme mit dem gleichen Flow label bevorzugt immer den gleichen Weg nehmen, was einem möglichen zeitlichen Versatz entgegenwirkt. Payload length: Diese 16 Bits stellen die Länge des Nutzdatenanteiles samt Extension-Header dar. Next header: Diese acht Bits können auf Extension-Header verweisen. Hop limit: Der Wert ist acht Bits lang und limitiert die Hops, also die Weiterleitungen eines Datagramms durch andere Router. Dabei zählt jeder Router den Wert um eins herunter. Ist der Wert 0 erreicht, wird das Datagramm verworfen.
Data: Der Nutzinhalt beträgt bei einer typischen Größe eines Ethernet-Frames von 1.500 Bytes und einem Header von 40 Bytes maximal 1.460 Bytes. Die minimale MTU von 1.280 Bytes für IPv6 legt die minimale Größe Nutzinhaltes auf 1.240 Bytes fest.
15 Address Resolution Protocol und Neighbor Discovery Protocol Das Address Resolution Protocol (ARP) und das Neighbor Discovery Protocol (NDP) haben die Aufgabe, IP- in MACAdressen aufzulösen. Es handelt sich um eine sehr wichtige Funktion, die wie das Internetprotokoll auf ISO/OSI-Schicht 3 arbeitet. Wenn Ihr PC ein IP-Paket in einem Netzwerk versenden möchte, so muss dieses Paket in ein Ethernet-Paket verpackt werden. Der Ethernet-Frame wird mit der Ziel-MAC-Adresse versehen, doch welche MAC-Adresse gehört zur Ziel-IP-Adresse? [+] Beim ARP-Spoofing und NDP-Spoofing (siehe Abschnitt 33.3, »ARP- und NDP-Missbrauch«) werden absichtlich falsche MACAdressen im Netzwerk verteilt und der Datenverkehr an den gewünschten Empfänger umgeleitet. Mit manipuliertem Inhalt können die Pakete anschließend an den richtigen Empfänger weitergeleitet werden.
15.1 Address Resolution Protocol Welche MAC-Adresse gehört zu einer bestimmten IPv4-Adresse? Diese Frage wird durch das Address Resolution Protocol (ARP)
beantwortet. ARP ist wenig effizient, denn es versendet einen Broadcast an alle Stationen mit der Frage: »Welche MAC hat 192.168.1.4?« Die Station mit dieser Adresse meldet sich mit »192.168.1.4 hat 00:08:90:4b:33:2e«. Mit dieser Information kann anschließend der Ethernet-Header zwecks Übermittlung von Nutzinhalt gefüllt werden. [+] Für eine bestimmte Dauer merkt sich der PC nun die Zuordnung der IP-Adresse zur MAC-Adresse im sogenannten ARP-Cache. Die in diesem Cache enthaltenen Informationen können Sie unter Windows mit dem Kommando arp -a, unter Linux mit dem Kommando ip neigh show auslesen (siehe Abbildung 15.1). Weitere Kommandobeispiele finden Sie in Kapitel 29, »Troubleshooting«.
Abbildung 15.1 ARP-Cache mit Einträgen
15.2 Neighbor Discovery Protocol Unter IPv6 findet ARP keine Anwendung mehr. Es wird vom Neighbor Discovery Protocol (NDP) ersetzt. Für jede IPv6-Netzwerkschnittstelle werden von NDP mehrere Listen verwaltet: Der Neighbor Cache ist das Pendant zur ARP-Tabelle. Er enthält IPAdressen und MAC-Adressen des gleichen Netzwerks. Im Destination Cache finden sich die Sprungadressen von Teilnehmern, die nicht im gleichen Netzwerk sind. Für diese wird die MAC-Adresse des Routers (siehe Abschnitt 14.3, »Routing«) gespeichert. Sollte für eine Zieladresse weder im Neighbor Cache noch im Destination Cache ein Eintrag vorhanden sein, wird in der Prefix List ein zu dem Ziel passender Eintrag (siehe Abschnitt 14.7, »IPVersion 6«) gesucht. Sollte auch in der Prefix List kein passender Eintrag vorhanden sein, werden Sprungpunkte aus der Default Router List verwendet. Die Einträge aus der Prefix List und der Default Router List werden dynamisch erzeugt, indem ICMP-Nachrichten (siehe Kapitel 16, »Internet Control Message Protocol«) ausgetauscht werden. Man spricht in diesem Zusammenhang von Router Advertisement (RA) und Router Solicitation (RS). Über dieses Verfahren geben sich Router auf einem Netzwerklink zu erkennen. Sämtliche Informationen müssen regelmäßig erneuert werden, da sie mit einer Lebensdauer versehen sind.
[+] Den Inhalt des Neighbor Cache können Sie auslesen. Unter Windows verwenden Sie den Befehl netsh interface ipv6 show neighbors, unter Linux nehmen Sie das Kommando ip -6 neigh show, und unter macOS zeigt der Befehl ndp -a den Inhalt des Cache an. Weitere Kommandobeispiele finden Sie in Kapitel 29, »Troubleshooting«.
15.3 Das ARP-Datagramm ARP-Pakete und NDP-Pakete q ISO/OSI-Schicht 3 sind ein möglicher Nutzinhalt eines Ethernet-Frames (siehe Abschnitt 6.12, »Das Ethernet-Datagramm«) von ISO/OSI-Schicht 2 (siehe Abschnitt 5.2, »ISO/OSI-Modell«).
Abbildung 15.2 Das Datagramm eines ARP-Paketes
Eine Zeile in Abbildung 15.2 entspricht 80 Bits. Das ARP-Datagramm ist damit insgesamt 224 Bits oder 28 Bytes groß und setzt sich aus mehreren Elementen zusammen. Es kann zwischen Anfragen (ARPRequests) und den darauf folgenden Antworten (ARP-Replies) unterschieden werden. Hardware type (HTYPE): Diese zwei Bytes enthalten den Hardwareadresstyp und damit die Art des Netzwerks. Der Wert 1 steht z. B. für 10-Mbit/s-Ethernet, der Wert 6 für die schnelleren Ethernet-Varianten (siehe Kapitel 6, »Ethernet«). Die Felder HTYPE und HLEN finden sich mit gleicher Bedeutung noch an einer anderen Stelle (siehe Abschnitt 19.4, »Das DHCPDatagramm«). Protocol type (PTYPE): Im zwei Byte großen Protokolladresstyp wird bestimmt, für welches Protokoll eine Antwort erwartet wird. Der Wert 2.048 bedeutet IPv4. Hardware length (HLEN): Dieses Byte enthält die Länge der MACAdresse in Bytes, für Ethernet entsprechend den Wert 6.
Protocol length (PLEN): Dieses Byte enthält die Länge der Adresse der höheren Protokollschicht in Bytes. Ist IPv4 im PTYPE festgelegt, beträgt die Länge einer Adresse folgerichtig 4 Bytes. Operation (OPER): Diese zwei Bytes legen fest, welche Operation ausgeführt werden soll. Der Wert 1 steht für ARP-Requests, der Wert 2 für eine Antwort. Source MAC: Diese 6 Bytes enthalten in einem ARP-Request die MAC-Adresse des anfragenden Netzwerkteilnehmers, in einem ARP-Reply enthalten sie die MAC-Adresse des antwortenden Hosts. Source IP: Im Falle von IPv4 enthalten diese 4 Bytes in einem ARPRequest die IP-Adresse des anfragenden Netzwerkteilnehmers, in einem ARP-Reply die IP-Adresse des antwortenden Hosts. Destination MAC: Diese 6 Bytes enthalten in einem ARP-Request immer eine Broadcast-Adresse, in einem ARP-Reply die MACAdresse des anfragenden Hosts. Destination IP: Im Falle von IPv4 enthalten diese 4 Bytes in einem ARP-Request die IP-Adresse des gesuchten Netzwerkteilnehmers, in einem ARP-Reply die IP-Adresse des ursprünglich anfragenden Hosts.
15.4 Das NDP-Datagramm Das Neighbor Discovery Protocol wurde über eine Erweiterung des ICMPv6-Protokolls (siehe Abschnitt 16.3, »Das ICMPv6Datagramm«) um zusätzliche fünf Typen realisiert: Router Solicitation (Typ 133): Alle Router an einem Link werden aufgefordert, sich zu melden. Router Advertisement (Typ 134): Router machen sich anderen Netzwerkteilnehmern bekannt, z. B. als Antwort auf eine RouterSolicitation"=Anfrage. Neighbor Solicitation (Typ 135): Dient der Auflösung von IPv6Adressen in MAC-Adressen und der Überprüfung der Erreichbarkeit anderer Netzwerkteilnehmer. Neighbor Advertisement (Typ 136): Die Antwort auf eine NeighborSolicitation"=Anfrage. Redirect (Typ 137): Mit dieser Nachricht teilt ein Router mit, wenn er einen geeigneteren Weg zum Ziel gefunden hat.
16 Internet Control Message Protocol Nicht alle Aufgaben sind mit TCP/IP lösbar; so kann man beispielsweise die grundsätzliche Erreichbarkeit nicht feststellen und bessere Routingwege nicht mitteilen. Das Internet Control Message Protocol (ICMP) ist Bestandteil aller TCP/IP-Implementierungen und damit auf jedem Rechnersystem verfügbar. Die Aufgabe von ICMP ist es, Fehler- und Diagnoseinformationen an die Kommunikationspartner zu übermitteln. Es ist ein IP-Hilfsprotokoll und parallel zu IP auf ISO/OSI-Schicht 3 angesiedelt (siehe Abschnitt 5.2, »ISO/OSIModell«). Für den Betrieb von IPv6 (siehe Abschnitt 14.7, »IP-Version 6«) ist ICMPv6 eine notwendige Voraussetzung, da NDP auf ICMPv6 aufbaut (siehe Abschnitt 15.2,»Neighbor Discovery Protocol«). Über ICMP werden weitere Informationen transportiert, z. B. Source Squench, wenn der für Datenpakete reservierte Puffer vollgelaufen ist, Destination unreachable, wenn ein Zielrechner nicht erreichbar ist, Time out, wenn die maximale Laufzeit eines Datenpaketes erreicht wurde, oder Redirecting, wenn der Sender in Zukunft einen anderen, günstigeren Weg zum Ziel nehmen soll. [!] Insbesondere das Redirecting ist eine ernst zu nehmende Sicherheitslücke, weil Hacker/Cracker mit seiner Hilfe Datenströme
beliebig umleiten können. Dabei befiehlt der Angreifer einem Rechner im Internet, dass dieser den gesamten Datenverkehr über den Rechner des Hackers/Crackers laufen lassen soll. So erlangt der Angreifer die Möglichkeit, Ihre Daten komplett mitzulesen. Das war selbstverständlich nicht der ursprüngliche Sinn des Redirectings. Es dient dazu, einem Rechner oder Router im Netzwerk bzw. Internet mitzuteilen, dass es einen kürzeren Weg gibt, und verrät, welcher das ist.
16.1 Paketlaufzeiten Die bekannteste Anwendung von ICMP ist der ping-Befehl. Technisch gesehen handelt es sich bei einem ping um ein ECHO request und ein ECHO response des ICMP. Dabei werden von ICMP zusätzlich Zeitinformationen erfasst, die Auskunft über die Paketlaufzeit geben. Mit diesen Werte lässt sich sagen, wie schnell Datenpakete über das Medium gehen (siehe Tabelle 16.1). Wenn die Werte in Ihren Tests deutlich abweichen, stimmt vielleicht etwas mit der Übertragung nicht. Oder der von Ihnen angepingte Server antwortet nur mit Verzögerung. Zugang
von (ms) bis (ms)
DSL
40
100
DSL2+
15
30
SAT Internet
200
350
VDSL
15
30
SDSL
10
20
Zugang
von (ms) bis (ms)
Kabelinternet
20
30
Glasfaser (FTTH) 5
20
UMTS
200
400
HSPA
80
140
LTE
20
80
Tabelle 16.1 Typische Paketlaufzeiten abhängig von der jeweiligen Internetzugangstechnologie; Quelle: http://www.vdsl-tarifvergleich.de
Paketverluste (engl. packet loss) oder schwankende Laufzeiten, das sogenannte Jitter, können Indizien für Probleme im Netzwerk sein. Die jeweiligen Laufzeiten sind neben der Frage, ob ein Ziel überhaupt erreichbar ist, daher insbesondere bei der Fehleranalyse (siehe Kapitel 29, »Troubleshooting«) eine äußerst wichtige Informationsquelle.
16.2 Das ICMP-Datagramm Eine ICMP-Nachricht ist immer in ein IP-Paket integriert. Ein IPPaket mit einem Wert von 1 im Feld Protocol des IPv4Datagramms (siehe Abschnitt 14.10, »Das IP-Datagramm«) enthält eine ICMP-Nachricht. Typ: Diese 8 Bits enthalten den Typ der ICMP-Nachricht. Der Wert 3 steht z. B. für Destination unreachable (dt. Ziel nicht erreichbar). Code: Der 8 Bits lange Subtyp beschreibt die Nachricht genauer. So steht z. B. Typ 3 in Verbindung mit Code 0 für Destination network unreachable (dt. Zielnetzwerk nicht erreichbar) und in Verbindung mit Code 4 für Fragmentation required, but do-notfragment flag set (dt. Fragmentierung notwendig, aber Nichtfragmentieren-Signal gesetzt). Prüfsumme: Die Prüfsumme wird über die gesamte ICMPNachricht gerechnet. Variabler Anteil Header: Diese 32 Bits haben je nach Typ und Code unterschiedlichen Inhalt. Data: Im Fall von ICMP-Mitteilungen über fehlerhafte IP-Pakete sind hier z. B. eine Kopie des IP-Headers und ein Teil des Inhaltes des fehlerhaften IP-Paketes zu finden.
Abbildung 16.1 Das Datagramm einer ICMP-Nachricht
Eine Zeile in Abbildung 16.1 entspricht 32 Bits.
16.3 Das ICMPv6-Datagramm Eine ICMPv6-Nachricht ist immer in ein IPv6-Paket integriert. Ein IPv6-Paket mit einem Wert von 58 im Feld Next header des IPv6Datagramms (siehe Abschnitt 14.11, »Das IPv6-Datagramm«) enthält eine ICMPv6-Nachricht.
Abbildung 16.2 Das Datagramm einer ICMPv6-Nachricht
Eine Zeile in Abbildung 16.2 entspricht 32 Bits. Typ: Diese 8 Bits enthalten den Typ der ICMPv6-Nachricht. Werte von 0 bis 127 bedeuten Fehlermeldungen, Werte von 128 bis 255 Meldungen mit informativem Charakter. Der Wert 133 steht z. B. für Router Solicitation (siehe Abschnitt 15.4, »Das NDPDatagramm«), der Typ 130 deutet auf eine Multicast-ListenerDiscovery-Nachricht hin (siehe Abschnitt 14.7.3, »IPv6Multicast«). Code: Der 8 Bit lange Subtyp kann eine Fehlermeldung genauer beschreiben. So steht z. B. Typ 1 (Destination Unreachable) in Verbindung mit Code 0 für No route to destination (dt. Keine Route zum Ziel) und in Verbindung mit Code 1 für communication with destination administratively prohibited (dt. Die Kommunikation mit dem Ziel wurde administrativ unterbunden), was z. B. auf ein Kommunikationshindernis (siehe Abschnitt 33.4.1, »Firewall«) hindeuten kann. Prüfsumme: Die Prüfsumme wird über die gesamte ICMPNachricht und einen Pseudo-Header gerechnet, der aus einer
Kopie des IPv6-Headers besteht. Data: Im Fall von ICMPv6-Mitteilungen über fehlerhafte IPv6Pakete sind in diesem Teil der Nachricht z. B. eine Kopie des IPv6Headers und ein Teil des Inhaltes des fehlerhaften IPv6-Paketes zu finden.
17 Transmission Control Protocol Mit dem Internetprotokoll finden Sender und Empfänger den richtigen Kommunikationspartner. Das Transmission Control Protocol (TCP) gewährleistet und überwacht diese Kommunikation. Weder Ethernet noch IP bieten Möglichkeiten, zu überprüfen, ob alle Datenpakete auch wirklich ankommen. Dies ist Aufgabe von ISO/OSI-Schicht 4 (siehe Abschnitt 5.2, »ISO/OSI-Modell«).
17.1 Der Ablauf einer TCPVerbindung Das Transmission Control Protocol (TCP) regelt zunächst den Verbindungsaufbau mit einem Three-Way-Handshake. Der Sender teilt dem Empfänger mit: »Ich möchte Daten schicken.« Der Empfänger antwortet: »OK«, und der Sender beginnt sein Vorhaben nach der Mitteilung »Gut, dann fang’ ich jetzt an!«. Wozu dient dieser umständliche Weg? Sie können sich die Kommunikation im Netzwerk vereinfacht wie den Nachrichtenaustausch zweier weit entfernter Indianerstämme vorstellen, die sich auf den perfekten Zeitpunkt für den Angriff auf
ein Fort verständigen möchten, das in der Mitte zwischen den beiden Stämmen gelegen ist. Schickt Stamm A einen Boten zu Stamm B und kommt dieser nicht mehr zurück, dann weiß Stamm A nicht, ob die Nachricht vor dem Verschwinden des Boten noch erfolgreich überbracht werden konnte. Stamm B schickt den Boten natürlich zurück, um den Empfang zu bestätigen. Wird der Bote nicht abgefangen, weiß Stamm A, dass Stamm B die Information erhalten hat. Da aber auch dieser Bote vom Weg abgekommen und verschwunden sein könnte, muss Stamm A den Empfang ebenfalls bestätigen. Anderenfalls kann Stamm B nicht wissen, dass Stamm A von der erfolgreichen Übermittlung des Angriffstermines Kenntnis hat. Erst wenn der Bote den Weg ein drittes Mal bewältigt hat, können sich beide Partner der Überbringung der Nachricht sicher sein. Stamm A hat aber keinerlei Gewissheit, dass der Bote diese dritte Nachricht überbringen kann, und muss auf eine erneute Quittung von Stamm B warten. Letztlich können sich beide Stämme der Überbringung ihrer Nachricht niemals sicher sein, da die Bestätigungen jeweils verlorengehen können. Eine unendliche Nachrichtenkette mit Quittungen ist die logische Konsequenz. Und was ist die Folge, wenn der Bote zwischendurch verschwindet? Dann muss sich wohl ein anderer Bote auf den Weg machen und versuchen, den Angriffszeitpunkt zu übermitteln. Der Verbindungsabbau ist ähnlich umständlich: »Ich bin fertig mit Senden.« »Ich habe auch nichts mehr.« »Ich baue dann die Verbindung ab.« »Ist gut.« Das Ganze dient dem Ziel, dass zwei Rechner miteinander kommunizieren, als ob sie allein auf der Welt wären und eine direkte Verbindung zueinander hätten. TCP handelt aus, nach wie vielen gesendeten Bytes eine Bestätigung über empfangene Pakete gesendet werden muss. Fehlt die
Empfangsbestätigung, weil z. B. ein Paket verlorengegangen ist, werden alle nicht bestätigten Pakete noch einmal gesendet. Man bezeichnet den Vorgang als empfängerseitige Flusskontrolle. Das Empfangsfenster heißt TCP Receive Window (RWND), das Sendefenster TCP Send Window. Die Größe des Sendefensters wird dabei von mehreren Faktoren limitiert: Der Menge der gesendeten Daten, für die noch keine Übertragungsbestätigung zurückgekommen ist. Man spricht von Bytes in Flight. Dem Congestion Window (CWND). Das Congestion Window (dt. Stauchungsfenster) vergrößert sich langsam, bis es entweder zu einer Überlastsituation kommt oder die Größe des Receive Windows erreicht wird. Dem Sendepuffer des Sockets. Ein Socket des Betriebssystems bietet der Anwendung einen Kommunikationsendpunkt mit einer gewissen Speicherkapazität. Woher weiß Ihr Betriebssystem, welche Anwendung welche Datenpakete bekommt, wenn Sie gleichzeitig im Internet surfen und E-Mails abrufen? Die TCP-Ports (gilt analog für UDP-Ports) haben eine eindeutige Nummer für eine Anwendung. Man unterscheidet Server- und Clientports. Erstere sind einheitlich festgelegt, Letztere sind zufällig. Jeder Rechner besitzt die Textdatei services, die die Zuordnung der Serverports zu den Anwendungen enthält. So ist der TCP-Serverport 80 für HTTP reserviert. Die Clientports sind immer größer als 1.024 (bis maximal 65.536) und werden dynamisch für die Clientanwendung vergeben.
Aus dem Header eines jeden TCP-Paketes, das Ihr PC empfängt, ist ersichtlich, von welchem Quell-TCP-Port die Daten verschickt wurden und an welchen Ziel-TCP-Port das Paket adressiert ist. Darüber kann das Betriebssystem jedes Datenpaket eindeutig einem Anwendungsprozess zuordnen (siehe Abbildung 17.1). Diese Nummern (Ports) werden von der Behörde IANA (http://www.iana.org) vergeben. Zustand
Bedeutung
LISTEN
Ein Server wartet darauf, angefragt zu werden.
SYN-SENT
Der Client hat ein SYN geschickt und wartet auf ein entsprechendes SYN des Servers.
SYNRECEIVED
Der Server hat ein SYN geschickt und wartet auf das ACK des Clients.
ESTABLISHED Die Verbindung ist hergestellt. Wird der Verbindungsabbau von der lokalen Seite initiiert, sendet sie ein FIN und wechselt in den Zustand FIN-WAIT-1. Wird ein FIN empfangen, bestätigt dies die lokale Seite mittels ACK und geht in den Zustand CLOSE-WAIT. FIN-WAIT-1
Die lokale Seite hat den Abbau der Verbindung mittels FIN initiiert. Nun wird auf die Bestätigung des Kommunikationspartners gewartet. Ist die Antwort ein ACK, geht die lokale Seite in den Zustand FIN-WAIT-2. Handelt es sich um ein FIN, bestätigt dies die lokale Seite mittels ACK und geht in den Zustand CLOSING über.
Zustand
Bedeutung
FIN-WAIT-2
Als Antwort auf das gesendete FIN wurde ein ACK empfangen. Nun wird auf das FIN des Kommunikationspartners gewartet. Die lokale Seite bestätigt dies mit einem ACK und wechselt in den Zustand TIME-WAIT.
CLOSE-WAIT
Der Kommunikationspartner hat ein FIN gesendet. Nun wird auf die Bestätigung der lokalen Anwendung gewartet und ebenfalls ein FIN gesendet. Die lokale Seite geht in den Zustand LAST-ACK.
CLOSING
Ist die Antwort eines Kommunikationspartners auf ein lokal initiiertes FIN ebenfalls ein FIN, spricht man von einem Simultaneous Close. Nun wird auf eine Bestätigung dieser Antwort mittels ACK gewartet. Die lokale Seite geht in den Zustand TIME-WAIT über.
LAST-ACK
Sobald die lokale Anwendung und der Kommunikationspartner den Verbindungsabbau bestätigt haben, geht die lokale Seite direkt in den Zustand CLOSED über.
TIME-WAIT
Um potentiellen Konflikten mit neuen Verbindungen vorzubeugen, wird dem letzten ACK etwas Laufzeit garantiert, bevor die lokale Seite in den Zustand CLOSED übergeht.
CLOSED
Ein fiktiver Zustand vor dem Beginn und nach dem Ende einer TCP-Verbindung.
Tabelle 17.1 Zustände einer TCP-Verbindung
[»] Einige Serverports werden numerisch, andere mit einem der Datei services entnommenen Namen dargestellt. Den Dienst, der auf TCP-Port 22 lauscht, müssen Sie deshalb nicht erst mühsam ermitteln (siehe Abschnitt 32.2, »Secure Shell (SSH)«). Das um die Option -n erweiterte Kommando ss -an listet anstelle der Klarschrift eines Ports dessen Nummer auf.
Abbildung 17.1 »ss -tn« listet alle TCP-Verbindungen auf.
Der Serverport und der Clientport werden durch einen Doppelpunkt von der IP-Adresse oder dem Hostnamen getrennt. Erläuterungen zum jeweiligen Status der Verbindung aus der Spalte State finden Sie in Tabelle 17.1.
17.2 Multipath-TCP Das klassische TCP beschränkt die Kommunikation auf einen einzelnen Pfad pro Verbindung. Mit mehreren parallel genutzten Datenströmen erhöht Multipath-TCP (MPTCP) die Effizienz, denn im Zweifel sind zwei Leitungen sind immer besser als eine. Das Aufteilen der Kommunikation auf mehrere Wege erhöht sowohl den Nettodurchsatz als auch die Ausfallsicherheit der Gesamtverbindung. Dabei können einzelne Wege auch nur als Reserve für den Notfall vorgehalten werden und bei Bedarf einspringen, ohne dass der Anwender etwas davon bemerkt. Als Einsatzgebiet für MPTCP kommen natürlich in erster Linie mobile Endgeräte in Betracht. Sie können eine Verbindung auf mehrere Datenströme aufteilen und anschließend nahtlos zwischen verschiedenen Zugangsnetzen wechseln oder den Ausfall einer Verbindung kompensieren. Zudem möchten viele Provider von mobilen Internetzugängen den Verkehr aus ihren ausgelasteten Netzen gerne in WLANs verlagern (siehe Abschnitt 7.18, »Hot Spot«). Aus diesem Grund setzt auch z. B. die Deutsche Telekom mit den angebotenen Hybridzugängen (siehe Abschnitt 38.1.5, »Hybridrouter«) auf MPTCP. Apple nutzt MPTCP für die Spracherkennungssoftware Siri[ 16 ]. In der Virtualisierung bietet die Verwendung von Multipath-TCP neue Möglichkeiten. Eine virtuelle Maschine müsste die Netzwerkverbindung bei einer Migration auf einen anderen Host nicht mitnehmen – sie könnte schon vorher dort sein.
17.3 Das TCP-Datagramm Ein TCP-Datagramm von ISO/OSI-Schicht 4 ist ein möglicher Nutzinhalt eines IP"=Paketes (siehe Kapitel 14, »Das Internetprotokoll«) von ISO/OSI-Schicht 3. Eine Zeile in Abbildung 17.2 entspricht 32 Bits. Der typische TCPHeader ist demnach 160 Bits – also 20 Bytes – groß. Er könnte theoretisch durch eine oder mehrere 32 Bit lange Options erweitert werden, die jedoch nur äußerst selten Anwendung finden.
Abbildung 17.2 Das TCP-Datagramm
TCP Source Port: Diese 16 Bits enthalten die Portnummer beim Absender. TCP Destination Port: Diese 16 Bits enthalten die Portnummer beim Empfänger. Sequence Number: Zu Beginn der Verbindung einigen sich Sender und Empfänger auf den Wert der Initial Sequence Number (ISN). Die 32 Bit lange Sequenznummer erhöht sich anschließend jeweils um die Anzahl der versendeten Bytes. Dadurch kann der Empfänger die Nachrichtenteile in der richtigen Reihenfolge zusammensetzen oder die erneute Übertragung verlorener Daten anfordern.
Acknowledgement Number: Bei gesetztem ACK-Flag enthalten diese 32 Bits die Sequenznummer, die der Empfänger als Nächstes erwartet. Dadurch quittiert er gleichzeitig den bis zu dieser Stelle vollständigen Empfang der Nachricht. Offset: Diese 4 Bits bestimmen – multipliziert mit 4 – die Größe des TCP-Headers in Bytes. Der kleinstmögliche Wert 5 deutet auf eine Größe des Headers von 20 Bytes hin, der größtmögliche Wert 15 auf die maximale Größe von 60 Bytes. Reserviert: für zukünftige Verwendung Flags: Mit diesen 9 Bits kann jeweils ein Signal gesetzt werden, das im Wesentlichen für die Behandlung von Überlastsituationen und die Kennzeichnung des Kommunikationszustandes (siehe Tabelle 17.1) verwendet wird. NS: Mittels Explicit Congestion Notification (ECN) kann ein Router durch eine entsprechende Markierung im IP-Header dem Empfänger des Paketes eine drohende Überlast mitteilen (siehe Kapitel 14, »Das Internetprotokoll«). Das Flag NS ist experimentell.[ 17 ] Es dient als Checksumme, die eine Empfangsbestätigung für eine erhaltene ECN-Nachricht ermöglicht. CWR: Mit dem Flag Congestion Window Reduced (CWR) bestätigt der Sender, dass er die Größe des Congestion Window reduziert hat und der Empfänger der TCP-Übertragung kein ECE-Flag mehr senden soll. ECE: Der Empfänger teilt dem Sender per ECN-Echo (ECE) mit, dass in einem empfangenen IP-Header das Flag Congestion Experienced (CE) gesetzt war. Der Sender verkleinert dann sein Congestion Window und sendet ein CWR-Flag.
URG: Das Flag Urgent weist auf einen Urgent Pointer im Header hin. ACK: Ein gesetztes Flag Acknowledge dient der Empfangsbestätigung. PSH: Sobald alle Daten gesendet wurden oder der Sender das Empfangsfenster ausgereizt hat, veranlasst er den Empfänger mit dem Flag Push (engl. schieben), die Daten an die Anwendung weiterzugeben. RST: Das Flag Reset lehnt den Verbindungsaufbau ab oder unterbricht eine laufende Verbindung. SYN: Ein Synchronize dient als Antrag auf einen Verbindungsaufbau. Das fortlaufende Senden von SYN-Flags wird als SYN-Flooding (engl. to flood = fluten) bezeichnet. Daraus kann ein Denial of Service (DoS) entstehen (siehe Abschnitt 33.2, »Angriffsarten: Überblick«). FIN: Der Sender teilt mit dem Flag Final mit, dass alle Daten gesendet wurden und die Verbindung abgebaut werden kann. Window Size: In diesen 2 Bytes übermittelt der Absender, für wie viele Bytes er empfangsbereit ist, also die Größe des TCP Receive Window. Prüfsumme: Die 2 Bytes große Prüfsumme wird über die Nutzdaten, den TCP"=Header und einen Pseudo-Header, unter anderem bestehend aus den IP-Adressen des Senders und des Empfängers, berechnet. Urgent Pointer: Selten kommt es zu Ereignissen, die die reguläre Weiterverarbeitung des TCP-Datenstroms beim Empfänger unterbrechen sollen. Ein solches Out-of-Band-Paket signalisiert der Sender mit Hilfe des Urgent-Flags, und der 2 Bytes große
Urgent Pointer weist in diesem Fall auf das erste Byte nach dem Inhalt der dringlichen (engl. urgent) Nachricht hin. Data: Ein typisches IPv4-Paket ist 1.480 Bytes groß (siehe Abschnitt 14.10, »Das IP-Datagramm«). Zieht man den minimalen TCP-Header von 20 Bytes ab, ergeben sich 1.460 Bytes für den Nutzdatenanteil eines TCP-Paketes. Ein typisches IPv6Paket ist 1.460 Bytes groß (siehe Abschnitt 14.11, »Das IPv6Datagramm«), was zu 1.440 Bytes Nutzdatenanteil führt.
18 User Datagram Protocol Im Gegensatz zu TCP wird bei UDP die Kommunikation nicht kontrolliert: Daten werden einfach gesendet, unabhängig davon, ob der Empfänger damit etwas anfangen kann und ob die Daten empfangen werden oder nicht. Das User Datagram Protocol (UDP) ist auf derselben ISO/OSISchicht 4 wie TCP angesiedelt. UDP ist im Gegensatz zu TCP aber ein verbindungsloses Protokoll. Bei der Übertragung mittels UDP werden deutlich höhere Netto-Datendurchsatzraten erreicht, weil viele Steuerungsinformationen wegfallen. [»] UDP wird üblicherweise bei Anwendungen eingesetzt, die nicht auf jedes Bit, aber dafür auf Geschwindigkeit angewiesen sind: Telefonie und Video. Wenn bei einem Videobild ein Pixel nicht übertragen worden ist, kann das Videoprogramm diese fehlende Information ergänzen. Üblicherweise benutzen Sprach- und VideoAnwendungen das Real-Time Transport Protocol (RTP) zur Übermittlung der Daten, das seinerseits auf UDP basiert.
18.1 Der Ablauf einer UDPVerbindung Ohne jeden Overhead schickt ein UDP-Client Pakete an den Server. Einige Anwendungen kontrollieren den Erfolg der Kommunikation
auf Applikationsebene (ISO/OSI-Schicht 7). Die Anwendung muss dementsprechend resistent gegenüber Paketverlusten sein oder über entsprechende Sicherungsmechanismen verfügen.
18.2 Das UDP-Datagramm Ein UDP-Datagramm von ISO/OSI-Schicht 4 ist ein möglicher Nutzinhalt eines IP-Paketes (siehe Kapitel 14, »Das Internetprotokoll«) von ISO/OSI-Schicht 3. Eine Zeile in Abbildung 18.1 entspricht 32 Bits. Der typische UDPHeader ist demnach 64 Bits – also 8 Bytes – groß.
Abbildung 18.1 Das UDP-Datagramm
UDP Source Port: In diesen 16 Bits findet sich die Portnummer des Absenders. Im Gegensatz zu TCP (siehe Kapitel 17, »Transmission Control Protocol«) ist UDP verbindungslos. Falls vom Absender also keine Antwort erwartet wird, steht hier der Wert 0. UDP Destination Port: Diese 16 Bits werden von der Portnummer des Empfängers belegt. Length: Diese 16 Bits bestimmen die Länge des gesamten UDPDatagramms, also Header und Daten zusammen. Theoretisch wären demnach bis zu 65.536 Bytes möglich. Prüfsumme: Die 16 Bits große Prüfsumme wird über die Nutzdaten, den UDP"=Header und einen Pseudo-Header, unter anderem bestehend aus den IP-Adressen des Senders und des Empfängers, berechnet. Data: Ein typisches IPv4-Paket ist 1.480 Bytes groß (siehe Abschnitt 14.10, »Das IP-Datagramm«). Zieht man die Größe des UDP-Headers von 8 Bytes ab, ergeben sich 1.472 Bytes für den
Nutzdatenanteil eines UDP-Paketes. Ein typisches IPv6-Paket ist 1.460 Bytes groß (siehe Abschnitt 14.11, »Das IPv6Datagramm«). Zieht man auch hier den minimalen UDP-Header ab, ergeben sich 1.452 Bytes für den Nutzdatenanteil.
19 DHCP DHCP steht für Dynamic Host Configuration Protocol. DHCP weist PCs und anderen Geräten im LAN automatisch eine Netzwerkkonfiguration zu. Lästiges Einrichten von Hand ist nicht mehr nötig. Sie können, müssen sich aber nicht zwingend für eine vollständige Netzwerkkonfiguration mit dem Dynamic Host Configuration Protocol (DHCP) entscheiden. Es ist manchmal auch durchaus sinnvoll, jeweils einen Teilbereich im Netzwerk für manuell konfigurierte statische und einen Teilbereich für von einem DHCPServer verwaltete dynamische IP-Adressen zu reservieren. Die Einrichtung von DHCP in Ihrem Netzwerk läuft folgendermaßen ab: Stellen Sie die PCs im LAN so ein, dass sie ihre IP-Adresse automatisch beziehen, also DHCP durchführen. Das ist die Standardeinstellung fast aller Betriebssysteme. Wenn Sie nun einen PC einschalten, stellt dieser eine Anfrage nach einer IPKonfiguration ins Netzwerk. Üblicherweise antwortet der DHCPServer und weist dem PC eine IP-Adresse, eine Subnetzmaske und möglicherweise ein Standardgateway zu. Die Clients, also die PCs, bekommen die Konfiguration nicht auf unbestimmte Zeit, sondern nur für einen begrenzten Zeitraum, z. B. 24 Stunden. Ist die Gültigkeit abgelaufen, muss der Client beim DHCP-Server nachfragen, ob die Gültigkeit verlängert wird oder ob sich etwas ändern soll. Über diesen Mechanismus können Änderungen im
Netzwerk (z. B. ein neues Standardgateway) automatisch im LAN verteilt werden. Bei DHCP handelt es sich um ein Standardverfahren, das bei allen Betriebssystemen Unterstützung findet. DHCPv4-Pakete werden auf dem UDP-Port 67 für Clients und Port 68 für Server versendet, DHCPv6-Pakete auf dem UDP-Port 546 für Clients und Port 547 für Server. DHCP bietet im Gegensatz zu seinem Vorläufer BootP die Möglichkeit, dynamisches DHCP durchzuführen. Dynamisch bedeutet, dass ein IP-Adressbereich definiert wird, innerhalb dessen der DHCP-Server IP-Adressen verteilen kann. Alternativ kann die IP-Adresse an die MAC-Adresse geknüpft werden; dies ist auch das Verfahren bei BootP. Einer festgelegten MAC-Adresse wird immer eine festgelegte IP-Adresse zugewiesen. Welche Vorteile bietet das DHCP-Verfahren? Automatische Konfiguration der LAN-Clients: Sie müssen die Clients nicht mehr manuell konfigurieren, sondern die Einrichtung erfolgt zentral am DHCP-Server. Richtlinien: Sie können im DHCP Richtlinien für die Konfigurationsparameter umsetzen, die dann automatisch auf alle Clients angewendet werden. Mehrere IP-Subnetze: Ein DHCP-Server kann für mehrere IPSubnetze zuständig sein. Hierfür ist die zusätzliche Funktion DHCP Relay erforderlich. Eindeutige IP-Adressen: Der DHCP-Server verhindert, dass IPAdressen doppelt vergeben werden. Daher kann es bei vollständiger Anwendung von DHCP keine IP-Konflikte geben.
Effiziente Speicherung der Daten: Die Konfigurationsdaten werden auf dem DHCP-Server abgelegt. Sollte der Client neu installiert werden, stehen die DHCP-Daten wieder zur Verfügung. Unterstützung weiterer Anwendungen: Insbesondere automatische Installationsverfahren, z. B. das Preboot eXecution Environment (PXE), benötigen DHCP, um die notwendigen Informationen für die Netzwerkinstallation zu bekommen. [!] Es besteht die Gefahr eines konkurrierenden DHCP-Servers. Wenn jemand absichtlich oder unabsichtlich einen DHCP-Server betreibt, der falsche oder bereits vergebene IP-Adressen vergibt, dann kann dadurch schnell ein komplettes Netzwerk in Mitleidenschaft gezogen werden. In einem solchen Fall muss man den Störenfried schnell ausfindig machen, was bei einem so unscheinbaren Ding wie einem DSL-Router nicht so einfach ist. Ist dies gelungen, müssen alle PCs neu gestartet werden, damit sie die richtige IP-Konfiguration bekommen. Ein DHCP-Server sollte möglichst immer verfügbar sein, weshalb diese Funktionalität zu Hause gerne auf den DSL-Routern liegt. Falls Sie selbst einen DHCP-Server aufsetzen möchten, haben Sie diese Möglichkeit mit dem Netzwerkserver siegfried (siehe Abschnitt 43.6, »DHCP-Server«).
19.1 Die einzelnen Pakete Es gibt vier unterschiedliche DHCP-Pakete, die während der Vergabe einer IP-Konfiguration zwischen dem Client und dem Server ausgetauscht werden: DHCP DISCOVER
DHCP OFFER DHCP REQUEST DHCP ACKNOWLEDGE DISCOVER
Der DHCP DISCOVER ist ein Broadcast-Paket (siehe Abschnitt 6.10.1, »Ethernet Broadcast«) mit ungefähr folgendem Inhalt: »An alle: Ich brauche eine gültige IP-Konfiguration!« Möglicherweise ergänzt der PC die Anfrage noch um den Zusatz: »Ich akzeptiere nur Angebote, die mindestens folgenden Inhalt umfassen: …« Diese Anfrage wird im gesamten IP-Netz von allen PCs und Servern empfangen. Weil der anfragende PC noch keine IP-Adresse hat, gibt es in diesem Paket auch keine Absender-IP-Adresse, sondern lediglich eine MAC-Adresse. OFFER
Jeder DHCP-Server im IP-Netz – es könnten ja mehrere sein – empfängt das DHCP DISCOVER des PCs (des Clients). Der DHCPServer kontrolliert, ob er eine IP-Adresse zuweisen kann, insbesondere, ob noch eine freie dynamische oder eine statische IPAdresse existiert. Wenn ja, dann macht er ein Angebot (engl. offer): »Ich biete dir IP-Adresse …, Subnetzmaske …« Sollte beispielsweise der zur Verfügung stehende Bereich von dynamisch zu vergebenden IP-Adressen ausgeschöpft sein, kommt kein DHCP OFFER vom DHCP-Server. Die IP-Adresse, die der DHCP-Server dem PC angeboten hat, wird zunächst reserviert.
REQUEST
Der PC hat möglicherweise mehrere Angebote erhalten und kann sich nun eines davon aussuchen. Üblicherweise überprüft der Client, welcher DHCP-Server alle angefragten Optionen mitliefert. Alle unvollständigen Angebote werden ignoriert, und von den verbleibenden wird jenes angenommen, das zuerst empfangen wurde. Das ausgewählte Angebot wird jetzt beim DHCP-Server mittels REQUEST noch einmal angefragt (engl. request). Es könnte ja sein, dass sich in der Zwischenzeit eine Änderung ergeben hat. ACKNOWLEDGE
Der DHCP-Server überprüft die erneute Anfrage und schickt in aller Regel eine Bestätigung (engl. acknowledgement), auch ACK genannt. Die Alternative zur Bestätigung wäre die Ablehnung mittels DHCPNAK. Der Client müsste dann wieder mit einem DISCOVER beginnen. Damit ist das übliche Verfahren abgeschlossen. Der Client hat eine IP-Adresse und kann im LAN über seine IP-Adresse erreicht werden. Sie halten das Verfahren für aufwendig? Das ist es aber nicht. Das gesamte Verfahren tauscht vier Datenpakete und damit sehr wenig Daten aus. Im Normalfall benötigt der gesamte Vorgang nicht mehr als ein paar Millisekunden. Optionale und zusätzliche Pakete beschreibe ich im Folgenden. INFORM
Beim INFORM handelt es sich um eine Anfrage an einen DHCPServer, in der nach weiteren Informationen gefragt oder Informationsaustausch zwischen verschiedenen DHCP-Servern betrieben wird. DECLINE
Der Client kann die ihm vom DHCP-Server zugewiesene IPKonfiguration mit DECLINE ablehnen. Dies passiert z. B. dann, wenn der Client feststellt, dass ein anderer PC dieselbe IP-Adresse besitzt. Würde er die IP-Adresse akzeptieren, käme es zu einem IPAdressenkonflikt. RELEASE
Ein RELEASE wird vom Client ausgesendet, wenn er die IPKonfiguration zurückgeben möchte. Der DHCP-Server weiß, dass die IP-Adresse wieder vergeben werden kann.
19.2 Der DHCP-Ablauf Nachdem ich Ihnen die einzelnen DHCP-Pakete erläutert habe, möchte ich Ihnen nun die Arbeitsweise von DHCP genauer schildern. Abbildung 19.1 zeigt den vollständigen Ablauf von DHCP.
19.2.1 Initialisierung Im Status der Initialisierung (engl. init) führt der Client ein DHCP DISCOVER aus. Aus den Angeboten, die der Client bekommt (DHCP OFFER), muss er eines auswählen (engl. select). Die ausgewählte IPKonfiguration wird angefragt (DHCP REQUEST). Üblicherweise bestätigt der DHCP-Server die Anfrage (DHCPACK). Ein DHCPNAK (Not Acknowledge) würde zurück in den Zustand der Initialisierung führen, ebenso ein durch den Client ausgesendetes DHCPDECLINE. Bis zu diesem Punkt wurden alle Pakete als Broadcast versendet!
19.2.2 Gebundenheit Die IP-Konfiguration wird angenommen. Wenn 50 Prozent der Gültigkeitsdauer (engl. lease) abgelaufen sind, fragt der PC gezielt per Unicast[ 18 ] ausschließlich bei dem ihm bekannten DHCP-Server nach, ob die Gültigkeit verlängert (engl. renew) wird. Falls die Anfrage bestätigt wird (DHCPACK), geht es zurück in den gebundenen Zustand (engl. bound).
19.2.3 Erneuerung Ist der DHCP-Server nicht mehr erreichbar, wartet der Client, bis 87,5 Prozent der Gültigkeitsdauer abgelaufen sind. Er sendet bis zum Ablauf der Gültigkeit – auf Englisch heißt dieser Zustand rebinding – Anfragen per Broadcast an alle DHCP-Server. Kommt eine Bestätigung, befindet sich der Client im gebundenen Zustand, ansonsten wechselt er in den Zustand Initialisierung.
Abbildung 19.1 Zustände des DHCP-Clients
Sollte der Client bis zum Ablauf der Gültigkeit seiner IPKonfiguration keine Bestätigung bekommen, muss er die IPKonfiguration löschen. Dies bedeutet, dass er im LAN nicht mehr erreichbar ist und dort nicht mehr arbeiten kann.
19.3 IPv6-Konfiguration IPv6 bietet mehr Möglichkeiten der IP-Konfiguration. Jede Variante hat Vor- und Nachteile. Insbesondere bei DHCPv6 ändert sich einiges gegenüber DHCPv4, und mit SLAAC (siehe Abschnitt 19.3.1, »IPv6-Autokonfiguration mit SLAAC«) gibt es erstmals einen zuverlässigen Mechanismus ganz ohne weitere Dienste im Netzwerk. [+] Wenn Sie mit SLAAC (siehe Abschnitt 19.3.1, »IPv6Autokonfiguration mit SLAAC«) auskommen, dann empfehle ich Ihnen: Lassen Sie DHCPv6 weg! Alternativ könnten Sie – wie schon bei IPv4 – die IPv6-Konfiguration manuell vornehmen. Vielleicht nutzen Sie diese Möglichkeit in Ihrem IPv4-Netz zurzeit und konfigurieren die Adressen mancher Systeme manuell, wie beispielsweise die Ihres NAS (siehe Kapitel 40, »Netzwerkspeicher«). Bei IPv6 empfehle ich Ihnen das nicht, denn die manuelle Pflege von IPv6-Adressen ist sehr fehleranfällig. Die vielen Teile einer IPv6-Adresse und deren hexadezimale Schreibweise erschweren die Eingabe gegenüber einer IPv4-Adresse erheblich. Bei einer IPv4-Adresse ist der Hostteil üblicherweise nur das vierte Byte, also eine Zahl zwischen 1 und 254. Bei IPv6 sind es bis zu 16 Zeichen für das Prefix (siehe Abschnitt 14.7.1, »IPv6Adressen«) und weitere 16 Zeichen für den Hostanteil. [!] Die statische Konfiguration ist auch aus einem anderen Grund in einem LAN keinesfalls zukunftsfähig: Es existiert kein NAT (siehe Abschnitt 14.7, »IP-Version 6«). Ihr Provider wird Ihnen mindestens ein /64-Subnetz zuweisen, üblich ist sogar ein /56-Subnetz. Damit stehen Ihnen mindestens 264 IPv6-Adressen zur Verfügung.
Gleichzeitig bedeutet dies, dass jeder Netzwerkteilnehmer eine offizielle IPv6-Adresse bekommt und ausschließlich mit dieser im Internet surfen kann. Bei Endkundenanschlüssen ist es jedoch üblich, dass der Provider das Prefix eines Subnetzes im Turnus von 24 Stunden wechselt. Das würde bei einer statischen IPv6Konfiguration bedeuten, dass Sie regelmäßig nach Ablauf von 24 Stunden manuell die statische IPv6-Konfiguration aller PCs in Ihrem LAN erneuern müssten.
19.3.1 IPv6-Autokonfiguration mit SLAAC Jeder IPv6-Router sendet regelmäßig Router Advertisements (RA) (siehe Abschnitt 15.2, »Neighbor Discovery Protocol«) in das LAN. Mehr braucht es nicht, um eine vollständige IPv6-Konfiguration im Netzwerk zu erhalten. Wechselt das Prefix Ihres offiziellen /64-Subnetzes, sendet der Router aktualisierte RAs, und alle Netzwerkteilnehmer erstellen eine neue IPv6-Konfiguration. Dieses Verfahren heißt Stateless Address Autoconfiguration (SLAAC). Zustandslos (engl. stateless) bedeutet, dass die IP-Konfiguration nicht zentral verwaltet wird, sondern dass der Netzwerkteilnehmer aufgefordert wird, sich aus dem mitgelieferten Prefix (siehe Abschnitt 14.7, »IP-Version 6«) selbständig eine IPv6-Adresse zu generieren. Mittels Duplicate Address Detection (DAD) stellt er anschließend sicher, dass diese Adresse nicht bereits verwendet wird. Dazu sendet er die Nachricht Neighbor Solicitation an die von ihm errechnete Adresse. Kommt von dort ein Neighbor Advertisement als Antwort zurück, muss er eine andere Adresse bilden.
Neben dem Prefix erfährt ein Netzwerkteilnehmer aus dem RA auch das Standardgateway und das IPv6-Subnetz für den Routingeintrag. Alle modernen Betriebssysteme unterstützen darüber hinaus Recursive DNS-Server (RDNSS), worüber im RA auch die IPv6Adresse des DNS-Servers (siehe Kapitel 20, »Namensauflösung«) mitgeteilt werden kann. Ältere Geräte unterstützen mitunter kein RDNSS. In diesem Fall haben Sie die Option, DHCPv6 für die IPv6-Konfiguration zu nutzen.
19.3.2 DHCPv6 DHCP für IPv6 hat sich gegenüber DHCP für IPv4 an vielen Stellen geändert. Leider ist es so, dass die Normierungsgruppen für IPv6 und DHCP nicht gut miteinander kooperieren. Im Ergebnis wird die IPv6-Konfiguration komplizierter, als es nötig wäre. Ich möchte einige wesentliche Neuerungen herausgreifen: Die Identifizierung der DHCPv6-Clients und der jeweiligen Netzwerkschnittstelle, der eine IPv6-Adresse zugewiesen werden soll, erfolgt anhand des DHCP Unique Identifier (DUID) und des Identity Association Identifier (IAID) und nicht – wie bei DHCPv4 üblich – anhand der MAC-Adresse. Das Defaultgateway kann nicht per DHCPv6 gesetzt werden. Diese Information muss stattdessen dem Router Advertisement entnommen werden. Ein Client, der eine Zeit lang nicht mit dem Netzwerk verbunden war, kann mit der Nachricht CONFIRM die Gültigkeit seiner ursprünglich zugewiesenen Adresse überprüfen lassen. Ein Server kann einen seiner DHCP-Clients mit der Nachricht RECONFIGURE auffordern, eine ganze Konfiguration
oder Teile davon neu anzufordern. Es gibt Stateless DHCPv6, bei dem der DHCP-Server keine IPAdresse zuweist. Zwei Arten von DHCPv6 werden mit Hilfe der Flags Managed Configuration (M-Flag) und Other Configuration (O-Flag) im Router Advertisement (siehe Abschnitt 15.2, »Neighbor Discovery Protocol«) unterschieden: Stateful DHCPv6: Die zustandsbehaftete (engl. stateful) Konfiguration wird zentral von einem DHCPv6-Server verwaltet. Der Netzwerkteilnehmer wird mit gesetztem M-Flag im Router Advertisement aufgefordert, sich dort seine komplette Konfiguration samt Netzwerk-Prefix abzuholen. Stateless DHCPv6: Ohne ein gesetztes M-Flag wird die IPv6Konfiguration mittels SLAAC (siehe Abschnitt 19.3.1, »IPv6Autokonfiguration mit SLAAC«) gebildet. Ein im Router Advertisement gesetztes O-Flag weist auf ergänzende Konfigurationsanteile – wie z. B. DNS- oder NTP-Server – hin, die über DHCPv6 verteilt werden. Ohne Router Advertisement funktioniert DHCPv6 also nicht. DHCPv6 setzt gleichzeitig auf Bewährtes, wie Sie Tabelle 19.1 entnehmen können. Type
Beschreibung
IPv4-Pendant
SOLICIT (1)
Der Client sucht DISCOVER einen DHCPServer (Beginn einer DHCPAushandlung).
Type
Beschreibung
IPv4-Pendant
ADVERTISE (2)
Der Server reagiert auf SOLICITNachrichten.
OFFER
REQUEST (3)
Der Client fragt eine konkrete neue Lease an.
REQUEST
CONFIRM (4)
Der Client testet REQUEST die Gültigkeit seiner Lease.
RENEW (5)
Der Client will seine Lease verlängern (Unicast zu bekanntem Server).
REBIND (6)
Wird per REQUEST Multicast gesendet, wenn auf
RENEW keine Antwort kam.
REQUEST
Type
Beschreibung
IPv4-Pendant
REPLY (7)
Wird vom Server auf SOLICIT, REQUEST,
RENEW und REBIND gesendet.
ACKNOWLEDGE
RELEASE (8)
Der Client gibt seine Lease wieder frei (z. B. beim Shutdown oder Reboot).
RELEASE
DECLINE (9)
Der Client meldet dem Server, dass eine Adresse am Link bereits genutzt wird (DAD).
DECLINE
RECONFIGURE (10)
Der Server sendet dem Client die Nachricht, dass sich die Konfiguration geändert hat.
–
Type
Beschreibung
IPv4-Pendant
INFORMATION"=REQUEST Der Client fragt (11) zusätzliche Parameter und
Optionen an.
INFORM
RELAY-FORW (12)
Der DHCPRelay-Agent sendet Anfragen weiter.
–
RELAY-REPL (13)
Ein Server antwortet dem DHCP Relay Agent.
–
Tabelle 19.1 DHCPv4 und DHCPv6 im Vergleich
Die typische DHCPv6-Kommunikation läuft wie folgt ab: 1. SOLICIT 2. ADVERTISE 3. REQUEST 4. REPLY Setzt ein Client die Option Rapid Commit in seiner SOLICIT-Anfrage und ist der Server ebenfalls entsprechend konfiguriert, werden ADVERTISE und REQUEST übersprungen. Das Netzwerk wird dadurch auf Kosten der Ausfallsicherheit entlastet. Auf der Internetseite http://www.elektronikkompendium.de/sites/net/1902141.htm finden Sie ein ausführliches
Beispiel für den kompletten Ablauf einer IPv6-Konfiguration mitsamt Router Advertisement.
19.4 Das DHCP-Datagramm Falls dort nichts Abweichendes vermerkt ist, entspricht eine Zeile des DHCPv4-Datagramms in Abbildung 19.2 32 Bits. Das DHCPv4-Datagramm ist bis zu 576 Bytes groß.
Abbildung 19.2 Das DHCP-Datagramm
Operation Code (OP): Haben diese 8 Bits den Wert 1, handelt es sich um eine Anfrage (z. B. ein REQUEST oder ein DISCOVER). Bei einem Wert von 2 handelt es sich hingegen um eine Antwort (z. B. OFFER oder ACKNOWLEDGE). Hardware type (HTYPE): Diese 8 Bits enthalten den Hardwareadresstyp und damit die Art des Netzwerks. Der Wert 1 steht z. B. für 10-Mbit/s-Ethernet, der Wert 6 für die schnelleren Ethernet-Varianten (siehe Kapitel 6, »Ethernet«). Die Felder HTYPE und HLEN finden sich mit gleicher Bedeutung noch an einer anderen Stelle (siehe Abschnitt 15.3, »Das ARPDatagramm«).
Hardware length (HLEN): Dieses Byte enthält die Länge der Hardwareadresse in Bytes, für Ethernet (MAC) entsprechend den Wert 6. HOPS: Da ein DISCOVER als Broadcast gesendet wird, wird er von Routern in der Regel nicht weitergeleitet und kann so nicht in ein anderes Netzwerksegment gelangen, selbst wenn dort eine Konfiguration für den Client vorhanden wäre. Nur Router mit der Funktion DHCP Relay bzw. BootP Relay können DHCP helfen, die Grenzen eines Netzwerksegmentes zu überwinden. Die Anzahl dieser DHCP-Relay-Agents wird von den Routern selbst in diesen 8 Bits hochgezählt, um Schleifen zu erkennen. Transaction Identifier (XID): Mit Hilfe der von ihm erzeugten 4 Bytes großen ID ordnet der DHCP-Client die Antworten des DHCP-Servers seinen Anfragen zu. Seconds (SECS): Die Zeit in Sekunden, seit der die aktuelle Anfrage des DHCP-Clients läuft. DHCP Relays können dieses Feld auswerten und nur Anfragen weiterleiten, die bereits eine gewisse Lebensdauer überschritten hat. FLAGS: Von diesen 16 Bits wird nur das erste als Broadcast-Flag benutzt. Besitzt der Client während der Anfrage keine gültige IPAdresse, setzt er dieses Flag und signalisiert dem Server, dass dieser mit einem Broadcast antworten soll. Client IP Address (CIADDR): Sollte der Client bereits eine gültige IP-Konfiguration besitzen, teilt er sie in 4 Bytes mit. Your IP Address (YIADDR): Die 4 Bytes große IP-Adresse, die der Server an den anfragenden Client vergibt. Server IP Address (SIADDR): In diese 4 Bytes trägt der Server seine IP-Adresse ein.
Gateway IP Address (GIADDR): Die 4 Bytes große IP-Adresse des Relay Agents. Client Hardware Address (CHADDR): Diese 16 Bytes enthalten die Hardwareadresse des anfragenden Netzwerkteilnehmers, für Ethernet also die MAC-Adresse. Server Name (SNAME): Mit diesen 64 Bytes kann ein DHCP-Server dem Client zusammen mit der Konfiguration seinen Namen übermitteln. Boot Filename (FILE): Der DHCP-Server kann dem Client in diesen 128 Bytes den Namen einer Datei mitteilen, die er über das Trivial File Transfer Protocol (TFTP) von einem Server laden soll, der als Option mitgegeben wird. Options: Optionale Parameter in maximal 312 Bytes, die den eigentlichen Inhalt der Kommunikation darstellen.
19.5 Das DHCPv6-Datagramm Eine Zeile in Abbildung 19.3 entspricht 32 Bits.
Abbildung 19.3 Das DHCPv6-Basis-Datagramm
Message Type (MSG-Typ): In diesen 8 Bits findet sich der Typ der jeweiligen Nachricht (siehe Tabelle 19.1). Transaktions-ID: Mit Hilfe dieser 3 Bytes großen ID können Anfragen und Antworten einander zugeordnet werden. Option-Code: Diese 16 Bits spezifizieren die in der jeweiligen Nachricht enthaltene Option. Option-Len: In diesen 16 Bits ist die Länge des Feldes Option-Data in Bytes gespeichert. Option-Data: der eigentliche Inhalt der Kommunikation Andere zusätzlich in DHCPv6 definierte Datagramme – z. B. für DHCP-Relay-Nachrichten – weichen von dem oben beschriebenen Basisdatagramm zur Kommunikation zwischen DHCP-Server und Client ab. Sie finden eine komplette Beschreibung der Unterschiede in englischer Sprache unter https://www.rfc-editor.org/rfc/rfc3315.txt.
20 Namensauflösung Wozu braucht man Namen? Offensichtlich sind Menschen gut in der Lage, sich Namen zu merken, während der PC besser mit Zahlen umgehen kann. Ein PC verwendet zur Kommunikation die IP- und MAC-Adressen, die wir uns als Menschen nur schwer merken können. Es liegt nahe, dass Sie als Ziel einen Namen angeben, ebenso wie Sie Menschen mit ihrem Namen ansprechen. Wenn Sie die Website der Zeitschrift c’t sehen möchten, dann geben Sie in die Adresszeile Ihres Browsers www.heise.de und nicht die IP-Adresse 193.99.144.85 ein. Sie wissen aber, dass dieser Name (www.heise.de) in eine IPAdresse umgesetzt werden muss, damit die Anfrage mittels Routing im Internet zum Webserver des Heise-Verlags transportiert wird. Für die Umsetzung von Namen in IP-Adressen (engl. mapping), die üblicherweise als Auflösung bezeichnet wird, stehen mehrere Verfahren zur Verfügung.
20.1 Die »hosts«-Datei Früher, als es nur ein paar Hundert oder ein paar Tausend Rechner im Internet gab, reichte es aus, jeden Tag eine aktualisierte Version der Datei hosts bereitzustellen. Diese Datei enthält auf sehr simple Art die gewünschte Information:
[… # Kommentar] Sie finden die
Datei hosts unter Windows ab der Version NT im Systemverzeichnis C:\WINDOWS\system32\drivers\etc. Sie enthält unverändert nur einen Eintrag: 127.0.0.1 localhost
[+] Bei Linux und macOS liegt die Datei unter /etc. Auf Ihrem Android-Gerät werden Sie unter /system/etc fündig. Sie sollten in diese Datei nichts einfügen, wenn Sie einen DNSServer für Ihr LAN betreiben. Der große Vorteil von DNS ist, dass Sie sämtliche Daten nur noch an einer Stelle, nämlich im DNS-Server, pflegen müssen. [+] Wenn Sie ein kleines LAN ohne DNS-Server betreiben, dann bietet es sich an, diese Datei für die Namensauflösung zu verwenden. Sie müssen – feste IP-Adressen vorausgesetzt – lediglich eine Datei nach dem gerade dargelegten Muster erzeugen und an alle PCs verteilen, die sich in Ihrem LAN befinden.
20.2 NetBIOS Das veraltete NetBIOS unterstützt kein IPv6 (siehe Abschnitt 14.7, »IP-Version 6«) und verteilte maximal 16 Zeichen lange Namen per Broadcast (siehe Abschnitt 6.10.1, »Ethernet Broadcast«) im Netzwerk. NetBIOS-Namen unterscheiden sich von den DNS-Hostnamen dadurch, dass sie nicht Teil einer Struktur sind. Ein PC heißt dort einfach Kurt und nicht Kurt.haus.hier. [+] Mit dem Kommando nbtstat erhalten Sie Zugriff auf Protokollstatistiken von NetBIOS over TCP/IP.
20.3 WINS In früheren Windows-Netzwerken übernahm der sogenannte Windows Internet Naming Service (WINS) die Namensauflösung. WINS kommt mit weniger Broadcasts aus als NetBIOS und konnte daher auch in größeren Netzwerken eingesetzt werden.
20.4 DNS Heute werden viele Milliarden Rechner im Internet über ihre Namen erreicht. Ein zentrales Konzept, also ein DNS-Server, der alle Informationen hat, wäre ungeschickt, weil ein sehr hoher Datentransfer zu diesem Server entstünde. Es wurde daher ein Zonenkonzept entwickelt. Die bekanntesten Zonen sind die Länderzonen, die anhand der Top-Level-Domain (TLD), z. B. .de, .at oder .ch, zu erkennen sind. Für jede Zone kann ein eigener DNSServer betrieben werden. In Wirklichkeit werden mehrere DNSServer pro TLD-Zone betrieben. Zuständig für den Betrieb sind die nationalen NICs, also in Deutschland die DeNIC, in Österreich NIC.at und in der Schweiz SWITCH. Ein Verzeichnis der nationalen NICs finden Sie unter http://www.iana.org/root-whois. Jede Zone kann in beliebig viele Subzonen aufgeteilt werden. Jede Zone, die im Internet erreichbar ist, muss einen DNS-Server betreiben. Wenn Sie sich die Struktur in Abbildung 20.1 ansehen, werden Sie feststellen, dass DNS automatisch eine hierarchische Struktur aufbaut. Der Root-DNS-Server kennt alle darunterliegenden Zonen und ihre DNS-Server. So kennt auch der DNS-Server der Zone de. alle unter ihm liegenden DNS-Server, die für seine Subzonen zuständig sind.
Abbildung 20.1 DNS-Konzept
[»] Betrachten Sie die Situation eines PCs, der boris.example.com heißt. Dieser PC möchte den Rechner www.example.com erreichen. Um an die IP-Adresse dieses Rechners zu kommen, richtet boris eine Anfrage an den DNS-Server dns.example.com und fragt nach www.example.com. Kein Problem: Denn dieser Rechner liegt in der gleichen Zone, sogar in der gleichen Domain wie boris selbst. Der DNS-Server wird die Anfrage sofort beantworten können. Der Benutzer von boris.example.com möchte sich ein neues Autoradio kaufen, daher will er Kontakt zu www.becker.de aufnehmen. Die Anfrage beim lokalen DNS-Server der Zone example.com (z. B. dns.example.com) wird keinen Erfolg bringen. Daher wendet sich der DNS von example.com an den übergeordneten DNS-Server, den DNS-Server der Zone de. Dieser teilt dem dns.example.com mit, dass er sich an den becker.de-DNSServer (z. B. dns.becker.de) wenden muss. Von dns.becker.de bekommt dns.example.com die benötigte IP-Adresse und reicht sie an boris.example.com weiter.
Es werden pro Zone mehrere DNS-Server betrieben. Ein DNS-Server ist der Master, die Slaves gleichen ihren Datenbestand mit dem Master ab. So wird gewährleistet, dass die Last der Anfragen auf mehrere Server verteilt wird. Wichtig ist noch zu erwähnen, wie die umgekehrte Namensauflösung (engl. reverse lookup) funktioniert: Sie haben die IP-Adresse 155.76.45.2 und möchten wissen, wie der dazugehörige Rechner heißt. Jeder DNS-Server erzeugt zu den normalen Einträgen auch sogenannte Reverse-Einträge. Dabei wird die IP-Adresse von rechts nach links abgebildet und in die folgende Form gebracht: 2.45.76.155.in-addr.arpa
[!] Wenn Sie einen DNS-Server im LAN betreiben, dann sollten Sie eine Zone/Domain verwenden, die im Internet nicht existent ist. Das gilt auch für den Fall, dass Sie eine Domain wie http://www.pcnetzwerke.de besitzen, diese aber bei einem Hoster und nicht lokal in Ihrem LAN erreichbar ist. Warum? Sie verhindern sonst, dass andere DNS-Server zur Namensauflösung angesprochen werden. Wählen Sie z. B. Ihren (Firmen-)Namen mit der Endung (TLD) .lan. Diese Domain existiert nicht, daher gibt es keinerlei Verwirrungen. Keinesfalls sollten Sie eine scheinbar kreative Domain wie test.de verwenden. In diesem Fall gehört die Domain der Stiftung Warentest. Ihrem lokalen DNS-Server müssen Sie mindestens einen offiziellen DNS-Server im Internet mitteilen. Ich empfehle Ihnen, bevorzugt die DNS-Server Ihres Providers zu nutzen. Von diesen sollten DNS-Anfragen am schnellsten beantwortet werden. Die Performance des jeweiligen DNS-Servers mag zwar bei einzelnen Abfragen keine große Rolle spielen, bei der Masse aller Anfragen
summieren sich die Antwortzeiten schnell zu einem wahrnehmbaren Faktor. Einen Überblick über Verfügbarkeit, Qualität und Antwortzeiten von DNS-Servern z. B. in Europa finden Sie auf der Seite https://www.dnsperf.com/#!dns-resolvers,Europe im Internet.
20.4.1 Resource Records Die grundlegende Informationseinheit eines DNS ist der Resource Record (RR). Die wichtigsten RR-Typen möchte ich Ihnen kurz vorstellen (siehe Tabelle 20.1). Den Typ des Resource Records können Sie dem Kommando dig (siehe Anhang A, »Linux-Werkzeuge«) als Option mitgeben. Typ
Inhalt
A (Address)
Verweis auf die IPv4-Adresse eines Hosts (siehe Kapitel 14, »Das Internetprotokoll«)
AAAA (IPv6 Address)
die IPv6-Adresse eines Hosts
CNAME (Canonical Name)
optionaler Alias auf einen Hosteintrag
MX (Mail eXchange)
Zuordnung einer oder mehrerer Mailserver zu einer Domain
NS (Name Server)
Verweis auf weitere Nameserver, z. B. für eine Subdomain
Typ
Inhalt
TXT (Text)
frei wählbarer Text
Tabelle 20.1 DNS-Resource-Record-Typen
[»] Mit Hilfe des TXT-Records können Anbieter von domänenbezogenen Diensten wie Google oder Let's Encrypt (https://letsencrypt.org) validieren, dass der jeweilige Kommunikationspartner tatsächlich der Inhaber einer Domäne ist.
20.4.2 DNS als Filter In der Vergangenheit wurde versucht, Nameserver für Zwecke der Zensur zu verwenden. Diese Sperren lassen sich jedoch leicht umgehen, indem z. B. anstelle eines zensierten DNS-Servers eines Providers ein unzensierter DNS-Server[ 19 ] für die Namensauflösung angesprochen wird. Einen alternativen Internetdienstleister wie OpenDNS (https://www.opendns.com) können Sie z. B. auch für Zwecke des Jugendschutzes verwenden. Dafür tragen Sie – je nach gewünschtem Umfang des Schutzes in Ihrem LAN – am Internetrouter oder am PC den alternativen DNS-Server des Anbieters ein. Wird eine Domain mit zweifelhaftem Inhalt angefragt, verweigert der DNS-Server die korrekte Auflösung des Domainnamens (siehe Abbildung 20.2).
Abbildung 20.2 Die Testseite wird wie gewünscht geblockt.
Weitere Möglichkeiten des Jugendschutzes auf der Basis Ihres Netzwerks finden Sie in Abschnitt 26.6, »Jugendschutz«, und Abschnitt 42.2, »Web Proxy Appliance«.
20.4.3 DNS und Datenschutz Für praktisch jede Aktivität im Internet wird zunächst der Name einer Domain im Internet in eine IP-Adresse aufgelöst. Die dadurch entstehenden Profile sind eine begehrte und wirtschaftlich nutzbare Ware für Zwecke des Marketings. Der Datenschutz kann jedoch gewährt bleiben, wenn Sie den aus Spenden und öffentlichen Mitteln finanzierten DNSAnbieter Quad9 (https://www.quad9.net) für Ihre Anfragen nutzen (siehe Abbildung 20.3).
Abbildung 20.3 Den im LAN zu nutzenden DNS-Server können Sie konfigurieren.
20.4.4 DNSSEC DNSSEC verifiziert die Quelle und den Inhalt von Namensauflösungen. [»] Wenn Sie den Namen Ihrer Bank in Ihren Browser eingeben, könnten Angreifer versuchen, die IP-Adresse in der Antwort des DNS-Servers während der Übertragung auszutauschen und Ihre Verbindung so umzuleiten. Dieses Vorgehen wird auch als Spoofing bezeichnet (siehe Abschnitt 33.2, »Angriffsarten: Übersicht«) und kann Teil eines Man-in-the-Middle-Angriffs sein. Die Authentizität der Bank wird mit Hilfe von Verschlüsselungsverfahren (siehe Abschnitt 36.4, »Signaturen«) durch eine Chain of Trust gewährleistet. Vereinfachter Ablauf von DNSSEC Der Inhaber einer Domäne erzeugt ein Schlüsselpaar. Die Resource Records der Domäne signiert er mit dem privaten Schlüssel. Den öffentlichen Schlüssel gibt er an die übergeordnete Domäne.
In der übergeordneten Domäne wird der Schlüssel signiert und veröffentlicht.
20.4.5 DNS over TLS/HTTPS Damit DNS-Anfragen weder abgehört noch manipuliert werden können, können sie mit DNS over TLS (DoT) verschlüsselt werden. Das Protokoll nutzt dann den TCP-Port 853. Im Gegensatz dazu nutzt DNS over HTTPS (DoH) den StandardHTTPS-Port 443 und ist damit vom restlichen verschlüsselten Netzwerkverkehr über diesen Port inhaltlich nicht zu unterscheiden. Das sorgt ganz nebenbei für ein Mehr an Sicherheit.
20.5 Multicast DNS Als Alternative zu einem zentralen Server kann eine Anfrage zur Namensauflösung innerhalb eines lokalen Netzwerks auch an eine Multicast-Adresse gesendet werden. Das Verfahren, wie die Gruppe der Empfänger mit dieser Anfrage umgeht, wird als Multicast DNS (mDNS) bezeichnet. Die Namensauflösung von Hostnamen, die auf .local enden, werden als link-lokal identifiziert und über mDNS aufgelöst. Eine der wichtigsten Implementationen von mDNS ist Zeroconf (siehe Abschnitt 22.2, »Zeroconf«). Multicast DNS verwendet Port 5353 des UDP-Protokolls (siehe Kapitel 18, »User Datagram Protocol«). Die IPv4-MulticastAdresse 224.0.0.251 (siehe Abschnitt 14.2, »IPv4-Multicast«) entspricht der MAC-Adresse 01:00:5E:00:00:FB; die IPv6-MulticastAdresse ff02::fb (siehe Abschnitt 14.7.3, »IPv6-Multicast«) wird abgebildet durch die MAC-Adresse 33:33:00:00:00:fb.
20.6 LLMNR Wie mDNS basiert auch Link-Local Multicast Name Resolution (LLMNR) auf den Prinzipien von DNS und Multicast. LLMNR verwendet Port 5355 des UDP-Protokolls (siehe Kapitel 18, »User Datagram Protocol«). Die IPv4-MulticastAdresse 224.0.0.252 (siehe Abschnitt 14.2, »IPv4-Multicast«) entspricht der MAC-Adresse 01:00:5E:00:00:FC, die IPv6-MulticastAdresse ff02::1:3 (siehe Abschnitt 14.7.3, »IPv6-Multicast«) entspricht der MAC-Adresse 33:33:00:01:00:03.
20.7 systemd-resolved Wenn Sie gemischte lokale Netzwerke mit z. B. Windows, macOS und Linux betreiben, bleibt Ihnen als gemeinsamer Nenner eigentlich nur DNS als zentraler Dienst zur Namensauflösung. Windows kann kein mDNS, Linux und macOS können kein LLMNR. Unter Linux kann systemd (siehe Abschnitt 27.7, »Das systemdProjekt«) Hostnamen in allen drei Verfahren auflösen. Da seine Funktionalität jedoch im Wesentlichen auf die Namensauflösung beschränkt ist, stellt er keinen vollständigen Ersatz für Avahi (siehe Abschnitt 22.2.3, »Avahi unter Linux«) dar. Dabei gibt Ihnen das Kommando resolvectl status einen vollständigen Überblick über die vom System oder von einer einzelnen Netzwerkschnittstelle unterstützten Verfahren.
pi@raspberrypi:~ $ resolvectl status eth0
Link 2 (eth0)
Current Scopes: DNS LLMNR/IPv4 LLMNR/IPv6
DefaultRoute setting: yes
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: allow-downgrade
DNSSEC supported: no
Current DNS Server: 192.168.4.3
DNS Servers: 192.168.4.3
21 Simple Network Management Protocol (SNMP) Das Simple Network Management Protocol (SNMP) wurde – so wird es
auf Seminaren gern erzählt – in einer Kneipe erfunden. [»] Stellen Sie sich vor, Sie haben 200 Netzwerkkomponenten. Wie hoch ist die Wahrscheinlichkeit, dass eine dieser Komponenten ausfällt oder überlastet ist, und wie hoch ist die Wahrscheinlichkeit, dass Sie dies – wenn Sie nicht automatisiert darüber informiert werden – mitbekommen? Aus diesen und ähnlichen Überlegungen heraus wurde das Simple Management Protocol (SNMP) erfunden. Es besteht aus zwei Komponenten: Der SNMP-Agent legt Hardware- und Softwareinformationen in Variablen ab. Die Managementkonsole fragt diese Variablen zyklisch bei allen Geräten ab, schreibt sie in eine Datenbank und generiert Alarme. Außerdem können Sie Auswertungen und Statistiken erstellen. [»] Der SNMP-Agent schreibt beispielsweise jede Sekunde die aktuelle CPU-Last des DSL-Routers in eine Variable, die SNMPSoftware MRTG (http://oss.oetiker.ch/mrtg) holt jede Sekunde den Wert ab und kann den Verlauf grafisch darstellen. Sobald die CPU-
Last für die Dauer von fünf Minuten über 97 Prozent steigt, wird ein Alarm ausgelöst. Die Summe der Variablen heißt Management Information Base (MIB). Die Werte werden per SNMP ausgelesen. Die Managementkonsole ist ein PC mit einer Software, die die notwendigen zyklischen Abfragen durchführt. Damit nicht jeder beliebige Teilnehmer Informationen per SNMP auslesen kann, gibt es ein SNMP-Passwort, die Community. Meist gibt es zwei Communities: read, um auszulesen, und write, um zu schreiben – schließlich können Sie mittels SNMP auch Werte setzen, beispielsweise die IP-Adresse oder den Namen des Verwalters. Standardmäßig heißt die read-Community »public« und die writeCommunity »private«. Da die Passwörter bei jeder Anfrage im Klartext übertragen werden – also möglicherweise mehrfach pro Sekunde –, stellt das Ausspähen dieser Passwörter für einen Angreifer keine echte Hürde dar. Die Version SNMPv3 löst diese Sicherheitsprobleme, ist aber leider aufgrund der höheren Komplexität bisher noch zu wenig verbreitet. Neben dem Auslesen und Setzen von Werten gibt es die Möglichkeit, Alarme zu generieren. Diese sogenannten Traps werden direkt durch die betroffene Station an die festgelegte Managementstation versendet. Üblicherweise ist das Starten eines Systems ein solcher Fall. Für dieses Ereignis wird ein Coldstart-Trap vom jeweiligen System gesendet. Durch diese Art der Traps informiert Sie eine Netzwerkkomponente ohne Zeitverzug über ein außergewöhnliches Ereignis. Typischerweise können Sie für einen Host neben der SNMP-Überwachung noch mehrere andere Services aggregieren. Jeweils ein Agent überwacht die Verfügbarkeit der einzelnen Dienste.
[»] Wenn auf einem System ein SSH-Server (siehe Abschnitt 32.2, »Secure Shell (SSH)«) und ein Webserver laufen, überwacht das Netzwerkmanagement jeweils aktiv den TCP-Port 22 und den TCPPort 80 (siehe Kapitel 17, »Transmission Control Protocol«). Eine komplett ausgefallene Netzwerkkomponente kann natürlich keine Traps mehr generieren. Zusätzlich zu den Traps der Stationen fragt aber die Netzwerk-Managementstation in regelmäßigen Abständen den Zustand aller registrierten Komponenten ab. Also werden Sie alarmiert, wenn z. B. eine Ihrer 200 Netzwerkkomponenten ausfällt. Sie bekommen eine Meldung und können agieren, bevor der erste Benutzer den Ausfall bemerkt hat. Es existieren zahlreiche Anbieter von kommerziellen Systemmanagement-Lösungen. Die Software PRTG (https://www.de.paessler.com/prtg) ist bis zu einer Anzahl von 100 Sensoren gratis. Nagios (http://www.nagios.org) ist ein Beispiel für eine sehr gute freie Software. Sie können das Monitoring Ihres Netzwerkes z. B. auf einem Raspberry Pi betreiben (siehe Abbildung 21.1). Diesbezüglich finden Sie zahlreiche gute Anleitungen im Internet.
Abbildung 21.1 Das Monitoring meines Netzwerkes
Teil V Praxiswissen
22 Service Discovery Stellen Sie sich vor, Sie starten zwei Rechner in Ihrem Netzwerk, und die beiden können dann einfach zusammenarbeiten. Es werden sogar Druckerfreigaben und andere Dienste automatisch gefunden.
22.1 Universal Plug and Play Universal Plug and Play (UPnP; siehe Abbildung 22.1) ist ein Industriestandard, ein Protokoll, das Kommunikation zwischen Netzwerkendgeräten ermöglicht. Es setzt TCP/IP als Basis voraus und kann im LAN oder auch in anderen Netzen eingesetzt werden.
Abbildung 22.1 UPnP-Logo; Quelle: https://openconnectivity.org
UPnP basiert auf dem Simple Service Discovery Protocol (SSDP). Dieses ähnelt zwar sehr stark Multicast DNS (siehe Abschnitt 20.5,
»Multicast DNS«), ist aber nicht damit kompatibel. SSDP kommuniziert per HTTP über Port 1900 des UDPProtokolls (siehe Kapitel 18, »User Datagram Protocol«) und kommuniziert über die IPv4-MulticastAdresse 239.255.255.250 (siehe Abschnitt 14.2, »IPv4-Multicast«) und – abhängig von der Adressklasse (siehe Abschnitt 14.7.1, »IPv6Adressen«) – die IPv6-Multicast-Adressen ff02::c, ff05::c, ff08::c oder ff0e::c (siehe Abschnitt 14.7.3, »IPv6-Multicast«). Die Vision der Open Connectivity Foundation (OCF) (https://openconnectivity.org) ist, dass aufgrund der geringen Preise für Netzwerktechnik viele Geräte mit Netzwerkanschlüssen ausgestattet werden. Diese Geräte sollen sich automatisch finden und sich selbsttätig in das Netzwerk integrieren. Das ist eine schöne Vorstellung, doch sicherlich überlegen einige von Ihnen, ob so etwas wirklich funktionieren kann. [»] Sie haben in Ihrem technisch hochgerüsteten Eigenheim einen DSL-Anschluss, dort ist ein DSL-Router angeschlossen. Sie besitzen selbstverständlich mehrere PCs, einen WLAN Access Point und einen TV-Festplattenrekorder. Damit der TVFestplattenrekorder auf das Internet zugreifen und das aktuelle Fernsehprogramm herunterladen kann, meldet sich der DSL-Router beim TV-Festplattenrekorder als Internet-Gateway-Device. Umgekehrt meldet sich der TV-Festplattenrekorder im Netzwerk als Mediaserver. Bis hierher ist die Sache in meinen Augen relativ unspektakulär und sicherlich technisch sinnvoll zu lösen. Es geht aber weiter. Möglicherweise setzen Sie auf Ihrem PC eine Software ein, die ausschließlich mit dem Internet kommuniziert.
[»] Die Filesharingsoftware µTorrent ist ein gutes Beispiel; sie bietet UPnP-Support. Damit Sie erfolgreich durch Firewalls (siehe Abschnitt 33.4.1, »Firewall«) und trotz des Einsatzes von NAT Dateien tauschen können, müssen Sie den DSL-Router konfigurieren. In diesem Fall erledigt die Software diese Aufgabe per UPnP für Sie. Dazu müssen Sie auf dem DSL-Router lediglich UPnP aktivieren, und die Software schaltet automatisch Ports in der Firewall des DSLRouters frei. Selbstverständlich werden Sie nicht darüber informiert, welche Ports das sind und dass dies geschehen ist. Es muss die offizielle IP-Adresse ermittelt werden, und mittels NAT bestimmte TCP-/UDP-Ports müssen an einen PC im LAN weitergeleitet werden. Die Funktion ist auch unter dem Namen NATTraversal bekannt; die Einstellungen werden von der jeweiligen Software automatisch vorgenommen. [!] UPnP am Router ist also ein riesiges Sicherheitsloch! Wenn Ihnen Sicherheit nicht völlig egal ist, dann deaktivieren Sie UPnP im DSL-Router. Schadsoftware hätte sonst die Möglichkeit, Ihre Firewall nutzlos zu machen.
22.2 Zeroconf Zeroconf löst ohne manuelle Konfiguration (engl. zero configuration) das lästige Problem der IP-Adresszuweisung, der Namensauflösung und des Auffindens von Diensten. Dabei setzt Zeroconf auf IP und ist damit betriebssystemunabhängig. Kern von Zeroconf ist der Multicast DNS (mDNS) an die IP 224.0.0.251 und den UDP-Port 5353 (siehe Abschnitt 20.5, »Multicast DNS«). Die Website http://www.dns-sd.org bietet eine genaue Beschreibung des Verfahrens. Dort wird auch eine Liste namens DNS-Based Service Discovery verwaltet, die über die Dienste und ihre Kürzel informiert. Während sich Zeroconf als quasi technische Bezeichnung für diese drei Methoden etabliert hat, ist es unter macOS als Bonjour bekannt. Unter Linux können Sie mit Avahi Dienste im Netzwerk finden und auch selbst propagieren.
22.2.1 Windows Automatic Private IP Adressing (APIPA) ist normalerweise bei jeder Standard-Windows-Installation eingeschaltet, wenn DHCP bei den Netzwerkeinstellungen aktiviert ist. Sie können das sehr einfach nachprüfen, indem Sie ipconfig /all auf der Kommandozeile eingeben und dann auf die Zeile Autokonfiguration aktiviert schauen (siehe Abbildung 22.2). Zunächst versucht der PC, per DHCP eine IP-Adresse zu bekommen. Erhält der PC nach dem Ablauf einer bestimmten Zeit keine Antwort auf seine DHCP-Anfragen, legt er eine IP-Adresse selbständig fest.
Abbildung 22.2 Die Autokonfiguration ist aktiv.
Der von der IANA normierte Adressbereich für diese Funktion ist 169.254.0.1 bis 169.254.255.254/16. Der Adressbereich umfasst somit ein Class-B-Subnetz und könnte 65.536 PCs versorgen. Der PC sucht sich eine beliebige IP-Adresse aus, also z. B. 169.254.10.33/16. Eine IP-Adresse muss eindeutig sein, und daher muss nun sichergestellt werden, dass sie noch kein anderer PC verwendet. Dazu wird ein ARP-Paket an diese Adresse gesendet. Kommt keine Antwort, ist die Adresse folglich noch frei. Anderenfalls – wenn eine Antwort vom PC empfangen wird – ist die Adresse schon belegt, und der PC sucht sich eine neue zufällige Adresse und wiederholt die Überprüfung. Folgende Nachteile sind zu bedenken: Jeder PC bekommt eine zufällige IP-Adresse. Es kann kein Standardgateway per APIPA konfiguriert werden, so dass Sie nur mit den mittels APIPA konfigurierten Systemen kommunizieren können. Ein Zugriff auf das Internet über das LAN ist nicht möglich. Zunächst wird auf die Antwort eines DHCP-Servers gewartet, so dass es zu einer Zeitverzögerung beim Starten der PCs kommen kann.
Zusätzlich zur Konfiguration der IP-Adresse nutzen Windows 10 und Windows 11 Zeroconf für die Suche und Einbindung von im Netzwerk freigegebenen Druckern. Wenn Sie sich etwas intensiver mit Zeroconf beschäftigen möchten, dann können Sie das Paket Bonjour SDK for Windows von Apple installieren, das Sie unter https://developer.apple.com/bonjour/ finden. Dieses enthält unter anderem den Befehl dns-sd. Das von Apple nach wie vor zur Verfügung gestellte Paket Bonjour Print Services for Windows enthält ein Programm zur Konfiguration von Druckern im Netzwerk. Da es seit mehr als zehn Jahren nicht mehr aktualisiert wurde und lediglich Windows 7 unterstützt, betrachte ich die Lösung jedoch als obsolet.
22.2.2 macOS macOS bietet von Haus aus eine vollständige ZeroconfUnterstützung. Wenn Sie Rechner miteinander verbinden und kein DHCP-Server im Netzwerk eingerichtet wurde, weisen sich die miteinander verbundenen Rechner automatisch eine IP-Adresse zu. Die Aktivierung von APIPA ist unter macOS nicht notwendig. In Abbildung 22.3 wurde ein drahtloses Computer-zu-ComputerNetzwerk erstellt (siehe Abschnitt 28.4). Sie erhalten in diesem Fall in den Systemeinstellungen von macOS den Hinweis, dass eine selbst zugewiesene IP-Adresse verwendet wird. Als Konfigurationsmethode müssen Sie dann DHCP auswählen, auch wenn sich in Ihrem Netzwerk kein DHCP-Server befindet.
Abbildung 22.3 Wurde kein DHCP-Server gefunden, weist sich macOS selbst eine IP zu.
Innerhalb des Betriebssystems tritt Bonjour unter macOS an vielen Stellen in Erscheinung. So werden Ihnen im Finder alle Rechner, die Dateidienste anbieten und diese über Zeroconf kommunizieren, in der Seitenleiste unter Freigaben und in der Ansicht Netzwerk angezeigt (siehe Abbildung 22.4). Auch bei der Installation eines im Netzwerk freigegebenen Druckers wird unter macOS Bonjour konsultiert, und dem Anwender werden gefundene Drucker direkt angeboten.
Abbildung 22.4 Der Rechner »MacBookPro« kommuniziert seine Dateidienste über Bonjour im lokalen Netzwerk.
Wenn Sie sich ein wenig für die auffindbaren Dienste interessieren, dann können Sie unter macOS am Dienstprogramm Terminal den Befehl dns-sd verwenden. Dieser verfügt über eine mit man dns-sd aufrufbare Dokumentation.
22.2.3 Avahi unter Linux Für die Verwendung von Zeroconf unter Linux steht Ihnen Avahi zur Verfügung, das von den meisten Distributionen (unter anderem openSUSE und Ubuntu) unterstützt wird. Avahi enthält zunächst eine Reihe von Bibliotheken und Hintergrunddiensten, die die Unterstützung für Zeroconf bereitstellen. Zunächst können Sie Avahi unter Ubuntu über Ubuntu Software installieren, indem Sie den Suchbegriff »avahi« eingeben. Mit dem Paket avahi-daemon wird der Hintergrunddienst für die Kommunikation von Diensten ins Netzwerk installiert. Die Konfigurationsdateien für den Avahi-Daemon finden Sie im Verzeichnis /etc/avahi. Ferner stehen Ihnen die Programme Avahi SSH Server Browser und Avahi VNC Server Browser zur Verfügung, mit denen Sie sich die über Zeroconf kommunizierten SSH- und VNC-Server anzeigen lassen können. Und schließlich bietet das Avahi-Projekt das Programm Avahi Zeroconf Browser, mit dem Sie im lokalen Netzwerk nach weiteren Diensten suchen können, die über Zeroconf kommuniziert werden.
Abbildung 22.5 Avahi-Komponenten installiert z. B. das Programm »Ubuntu Software«.
Wenn das Programm nicht über die grafische Oberfläche verfügbar ist, können Sie es am Terminal durch Eingabe von avahi-discover starten. Das Programm zeigt Ihnen in einem Fenster alle im lokalen Netzwerk gefundenen Dienste an, wobei deren Bezeichnungen mit dem Kürzel dargestellt werden, das vom jeweiligen Programm verwendet wird (siehe Abbildung 22.6). Welches Kürzel für welchen Dienst steht, können Sie über die Website http://www.dns-sd.org in Erfahrung bringen.
Abbildung 22.6 Avahi bringt ein Hilfsprogramm zur Suche nach Diensten im Netzwerk mit.
23 Netzwerkkabel Dieser Teil des Buches befasst sich mit der praktischen Umsetzung eines Netzwerks. Sie werden alle wichtigen Bereiche anhand dieser Kapitel erarbeiten können: Kabel, Karten und Konfiguration. Ich erhebe in diesem Buch den Anspruch, mehr Wert auf die praktische Umsetzung eines Netzwerks als auf die Darstellung theoretischer Grundlagen zu legen. Die Fülle der praktischen Möglichkeiten, ein Netzwerk aufzubauen, kann in nur einem Buch trotzdem nicht abschließend behandelt werden. In diesem Teil werde ich Ihnen übliche Konfigurationsmöglichkeiten aufzeigen und erläutern. Wenn Sie sich an die Realisierung Ihres Netzwerks machen, dann benötigen Sie nur wenige Werkzeuge. Möchten Sie Netzwerkkabel verlegen und diese in Netzwerkdosen und auf Patchpanels münden lassen, benötigen Sie Abisolierwerkzeug und ein LSA-PLUS-Werkzeug. Damit drücken Sie die Drähte auf die Kontakte der Netzwerkdose oder des Patchpanels. Wenn Sie Netzwerkkabel mit RJ-45-Steckern versehen, also einen Stecker crimpen möchten, dann benötigen Sie eine Crimpzange. Wenn Sie allerdings nur sehr wenige Stecker crimpen wollen, sind werkzeugfreie Crimpstecker eventuell wirtschaftlicher als die Anschaffung einer Crimpzange. Das LSA-PLUS-Werkzeug und das Abisolierwerkzeug kosten jeweils ca. 15 €, eine Crimpzange kostet ca. 30 €. Ab 60 € können Sie also
alle benötigten Werkzeuge in der Hand halten – ein Preis, den Sie durch Ihre Eigenleistung bei der Verlegung von Netzwerkkabeln schnell einsparen können.
23.1 Kategorien Kupferkabel gibt es in verschiedenen Qualitäten. Sie unterscheiden sich einerseits in ihren physikalischen Eigenschaften und andererseits im Aufwand der Schirmung und Verarbeitung. Die wichtigste Eigenschaft eines Kabels in Bezug auf die Netzwerktechnik ist die maximale Übertragungsfrequenz in Megahertz (siehe Tabelle 23.1). Die US-Normierungsbehörde Electronic Industries Alliance/Telecommunication Industry Association (ETA/TIA) unterteilt Kabel in Kategorien (engl. categories). Kategorie Frequenz
Verwendung
Cat 1
keine Vorgabe Telefon, Klingeldraht
Cat 2
≤ 1 MHz
Telefon
Cat 3
≤ 16 MHz
LAN: 10BASE-T
Cat 4
≤ 20 MHz
LAN: Token-Ring
Cat 5
≤ 100 MHz
LAN: 100BASE-TX
Cat 5e
≤ 100 MHz
LAN: 1000BASE-T
Cat 6
≤ 250 MHz
LAN: 1000BASE-T
Cat 6A
≤ 500 MHz
LAN: 1000BASE-T
Kategorie Frequenz
Verwendung
Cat 7
≤ 600 MHz
LAN: 10GBASE-T
Cat 7a
≤ 1 GHz
LAN: 10GBASE-T
Cat 8.1
≤ 2 GHz
LAN: 40GBASE-T
Cat 8.2
≤ 2 GHz
LAN: 40GBASE-T
Tabelle 23.1 Übersicht über die EIA/TIA-Kategorien
[»] Wenn Sie Ethernet mit 1 Gbit/s, also 1000BASE-T, betreiben möchten, dann müssen Sie mindestens ein Kabel der Kategorie Cat 5e verwenden.
23.2 Linkklassen Üblicherweise werden die US-Normen zur Beschreibung der Kabel angegeben. In Europa sind aber nur die Linkklassen rechtlich bindend (siehe Tabelle 23.2). Linkklasse Frequenz
Verwendung
Klasse A
≤ 100 kHz
ISDN, X.21
Klasse B
≤ 1 MHz
ISDN
Klasse C
≤ 16 MHz
10BASE-T, Token-Ring
Klasse D
≤ 100 MHz 100BASE-TX
Klasse E
≤ 250 MHz 1000BASE-T(X)
Klasse EA
≤ 500 MHz 1000BASE-T(X)
Klasse F
≤ 600 MHz 10GBASE-T
Klasse FA
≤ 1 GHz
10GBASE-T
Klasse I/II
≤ 2 GHz
40GBASE-T
Tabelle 23.2 Übersicht über die Linkklassen
Die EIA/TIA-Kategorien und die europäischen Linkklassen entsprechen sich hinsichtlich der Frequenzen. Doch die EIA/TIA normiert das Kabel, während eine Linkklasse die gesamte Verbindung inklusive Patchpanel und Anschlussdose umfasst.
23.3 Schirmung Neben der Eignung für eine maximale Frequenz unterscheiden sich Netzwerkkabel insbesondere durch eine unterschiedlich aufwendige Schirmung. Bezeichnung Gesamtschirm
Adernschirm
UTP
unscreened
unshielded
S/UTP
screened
unshielded
F/UTP
foiled
unshielded
SF/UTP
screened • Foiled unshielded
S/FTP
screened
foiled
F/FTP
foiled
foiled
SF/FTP
screened • Foiled foiled
F/STP
foiled
screened
S/STP
screened
screened
Tabelle 23.3 Schirmungsvarianten für Twisted-Pair-Kabel
Ein Twisted-Pair-Kabel erhält seine eigentliche Schirmung durch die Verdrillung (engl. twist) der vier Adernpaare. Sie erinnern sich noch an die Zeit, als Sie stundenlang mit zwei Magneten gespielt haben und immer fasziniert waren, dass diese sich abstoßen? Sie haben damals zwei Magnetisierungen gegeneinander ausgespielt, und genauso macht es auch Twisted Pair. In der Mitte zwischen Ihren beiden Magneten gab es augenscheinlich kein Magnetfeld, weil sich
dort die Wirkung der beiden Pole hob. Durch die Verdrillung von jeweils zwei Adern (siehe Abbildung 23.1) heben sich die elektromagnetischen Felder um diese Adern gegenseitig auf, und die Daten werden vor Verfälschungen geschützt.
Abbildung 23.1 Unscreened/Unshielded Twisted Pair mit vier Adernpaaren
Zusätzlich zu dieser Schirmung gibt es zwei weitere Möglichkeiten: jedes Adernpaar mit einem Schirm zu ummanteln und/oder alle Adern zusammen zu ummanteln (siehe Tabelle 23.3). Aus der Bezeichnung des Kabels können Sie die Schirmung ableiten. Vor dem Schrägstrich steht die Außenschirmung, die Adernschirmung dahinter. Ein »U« steht für Unscreened oder Unshielded. Ein »F« steht für jeweils für Foil, eine Metallfolie. In der Regel werden zwei Adern als Paar in Metallfolie (PiMf) zusammengefasst (siehe Abbildung 23.2).
Ein »S« steht für Screened, eine Schirmung mit einem feinen Drahtgeflecht (siehe Abbildung 23.3). Je aufwendiger die Schirmung ist, desto geringer wirken äußere elektromagnetische Störungen auf das Kabel. Je weniger Störungen auf das Kabel wirken, desto geringer ist die Gefahr von Datenfehlern. Die Nachteile von aufwendig geschirmten Kabeln sind ihre größere Biegesteifigkeit und ihr höherer Preis. Ein Verlegekabel unterscheidet sich von einem Patchkabel dadurch, dass es eine andere Ummantelung hat und dass die Adern beim Patchkabel Litzen sind. Litzen bestehen aus mehreren dünnen Drähten und sind daher leichter zu biegen, während sie gleichzeitig nicht so schnell brechen.
Abbildung 23.2 Unscreened/Foiled Twisted Pair mit vier Adernpaaren
Verlegekabel gibt es für verschiedene Anforderungen: Innen- oder Außenverlegung, säurefest und Ähnliches. Das Verlegekabel wird
mittels LSA-PLUS-Werkzeug auf LSA-PLUS-Leisten aufgedrückt, während das Patchkabel mit RJ-45-Steckern versehen wird.
Abbildung 23.3 Screened/Foiled Twisted Pair mit vier Adernpaaren
Der jeweilige Einsatzzweck bestimmt also, welches Kabel Sie kaufen müssen. Für den Anschluss auf ein Patchpanel oder eine Netzwerkdose müssen Sie Verlegekabel verwenden. RJ-45-Stecker hingegen crimpen Sie auf Patchkabel.
23.4 Netzwerkstecker anbringen Der bis zur Linkklasse E oder Cat 6 verwendete Stecker ist der RJ-45Stecker. Dieser ist aus elektrotechnischer Sicht eine mittelgroße Katastrophe, weil die für Twisted Pair so wichtige Verdrillung im Stecker aufgehoben wird. Die Adern liegen im Stecker ungeschirmt nebeneinander, was zu gegenseitigem Übersprechen führt. Der einzige Vorteil dieses Steckers: Er ist billig. Der Nachteil: Frequenzen über 500 MHz galten mit dieser Technologie lange als unmöglich, weshalb Cat 7 und Cat 7a nicht mit RJ-45 kompatibel sind. Leider gibt es nicht »den einen« RJ-45-Stecker, denn dann würden Sie auch nur »die eine« Crimpzange benötigen. Es gibt verschiedene, inkompatible Systeme. Die beiden bekanntesten sind Hirose und Steward. Inkompatibel meint, dass unterschiedliche Crimpzangen verwendet und ein Hirose-Stecker nicht mit einer Steward-Crimpzange hergestellt werden kann. Die Stecker sind beide von der Bauform her gleich, so dass sie in jeden RJ-45Anschluss passen. [+] Wenn Sie RJ-45-Stecker kaufen, dann müssen Sie entsprechend die Stecker kaufen, die für Ihre Crimpzange geeignet sind. Wenn Sie nur sehr wenige Stecker crimpen wollen, empfehle ich Ihnen werkzeugfreie Crimpstecker. Falls Sie eine größere Anzahl von Steckern crimpen müssen, dann sollten Sie mehr Geld in eine höherwertige Crimpzange investieren. Bessere Crimpzangen erledigen mehrere Arbeitsschritte in einem Durchgang und können verschiedene Steckergrößen über Einsätze crimpen.
[!] Bevor Sie die Adern in der richtigen Reihenfolge in den Stecker schieben, müssen Sie die Knickschutzhülle auf das Kabel schieben!
Um einen Stecker zu crimpen, führen Sie folgende Arbeitsschritte aus: 1. Isolieren Sie das Kabelende knapp drei Zentimeter ab (nur äußeres PVC). Die einzelnen Adern bleiben isoliert! 2. Schieben Sie die Knickschutzhülle auf das Kabel. 3. Entdrillen Sie die Adern auf dem abisolierten Stück, und führen Sie das Metallgeflecht nach hinten (Erdung). 4. Sie nehmen nun eine dieser kleinen durchsichtigen Leisten (dünnes Ende nach vorn) und schieben die einzelnen Adern nach der Belegung von EIA/TIA 568B in die Leiste. Die Farbbelegung gilt bei einem Stecker, der wie in Abbildung 23.4 vor Ihnen liegt, von unten nach oben: Weiß-Orange Orange Weiß-Grün Blau Weiß-Blau Grün Weiß-Braun Braun
Abbildung 23.4 Abisoliertes Kabel vor dem Stecker
5. Schneiden Sie die Aderenden so ab, dass alle Adern gleich lang sind.
Abbildung 23.5 Stecker für das Crimpen vorbereiten
6. Führen Sie die Leiste in den Stecker, so dass alle Aderenden vorn am Stecker bündig anliegen (siehe Abbildung 23.5) und die Erdung von der Zugentlastung erfasst wird. 7. Drücken Sie den Stecker in die Crimpzange. 8. Kontrollieren Sie, ob die Zugentlastung am Ende des Steckers von der Zange richtig erfasst wird; wenn nicht, drücken Sie diese ein wenig zu (siehe Abbildung 23.6).
Abbildung 23.6 Crimpen eines Hirose-Steckers
9. Indem Sie die Crimpzange zudrücken, crimpen Sie den Stecker. 10. Schieben Sie jetzt noch die Knickschutzhülle auf den Stecker, bis sie einrastet. [!] Bevor Sie das Kabel nun für die nächsten zehn Jahre hinter einer Mahagoni-Vertäfelung verschwinden lassen, sollten Sie erst ausprobieren, ob es auch funktioniert.
Für Kabel nach Cat 7, Cat 7a und Cat 8.2 genügt ein RJ-45-Stecker grundsätzlich nicht mehr, auch wenn Sie die höherwertigen Kabel nicht zwingend mit Dosen der gleichen Kategorie kombinieren müssen. Die niedrigste beteiligte Kategorie bestimmt die maximale Leistungsfähigkeit des jeweiligen Netzwerkabschnittes.
Falls Sie diese Kategorie zwingend für Ihr Netzwerk benötigen, empfehle ich Ihnen Stecker und Buchsen, die dem vom Hersteller Nexan entwickelten Standard GG-45 entsprechen. Die Buchsen sind abwärtskompatibel mit dem RJ-45-Standard und ermöglichen so einen relativ preiswerten Übergang. Eine Alternative bietet der Standard TERA der Firma Siemon. Da die Marktakzeptanz für neue Steckersysteme jedoch äußerst gering ist, setzt Cat 8.1 wieder auf RJ-45. Die maximale Länge einer Verkabelung ist für die Kategorie 8 allerdings auf 30 Meter begrenzt.
23.5 Kabeltest Der Königsweg, ein Kabel zu prüfen, ist ein Kabeltester. Die erforderlichen Geräte dafür sind unterschiedlich teuer. Die billigsten Geräte, die lediglich die Adernbelegung testen und somit auch feststellen können, wenn eine Ader nicht funktioniert, kosten ca. 10 €. Fehler wie einen falsch gecrimpten Stecker oder einen Kabelbruch erkennen Sie damit zuverlässig. Ich empfehle den Kauf eines solchen Gerätes. Bessere Kabelmessgeräte überprüfen zusätzlich zum Adernkontakt, ob die Anforderungen – z. B. an die Linkklasse D – erfüllt werden. Diese Geräte sind ab ca. 500 € erhältlich, können aber auch tageweise gemietet werden. Haben Sie gerade keinen Kabeltester zur Hand, können Sie notfalls mit einem handelsüblichen Messgerät den Durchgang prüfen. Sie müssen dann jede Ader einzeln durchmessen. Wenn Sie auch kein Messgerät besitzen, dann bleibt nur noch die schlechteste aller Möglichkeiten: anschließen. Sie schließen das Kabel an einem Hub oder Switch und einem PC an. Wenn es funktioniert und Sie mit dem PC im Netzwerk erreichbar sind, so ist das Kabel in Ordnung. [+] Erst jetzt, nachdem Sie sicher sind, dass das Kabel funktioniert, sollten Sie es in einem Kabelkanal verlegen und verschwinden lassen. Kabelkanäle gibt es in größeren Baumärkten zu kaufen. Für den Hausgebrauch reichen kleine Kabelkanäle für bis zu vier Kabel aus; sie kosten ca. 1 € pro Meter.
Sie fragen sich, warum die letzte Testmethode, nämlich einen PC an dem Kabel zu betreiben, die schlechteste sein soll? Das 10- und 100Mbit/s-Ethernet verwendet lediglich vier von acht Adern (also zwei von vier Adernpaaren). Das 1000BASE-T-Verfahren verwendet alle Adern. Sollte Ihr Kabel mit 100BASE-TX funktionieren, könnte es sein, dass Sie nächstes Jahr feststellen, dass eine einzelne, bisher nicht verwendete Ader keinen Kontakt hat und den Einsatz von 1000BASE-T auf diesem Kabel verhindert. Übrigens sind die für die Übertragung von (Fast) Ethernet verwendeten Adern die Adern 1, 2, 3 und 6, wie Sie aus Tabelle 23.4 erkennen. Ader Funktion
Polung
1
Senden
Tx+
2
Senden
Tx–
3
Empfangen Rx+
6
Empfangen Rx–
Tabelle 23.4 Adernbelegung bei 10/100BASE-T
23.6 Patchpanel und Netzwerkdosen anschließen Verlegekabel werden nicht direkt mit RJ-45-Steckern versehen an den Switch angeschlossen, sondern auf ein Patchpanel aufgelegt (siehe Abbildung 23.7). Sie können Verlegekabel auch nicht direkt mit RJ-45-Steckern versehen, weil das Kabel massiv ist und sich die Kontakte des Steckers nicht in einen Draht drücken lassen, anders als bei Litze, also Patchkabeln. Durch das Patchpanel werden die in der DIN EN 50173 geforderten Strukturen geschaffen und folgende Vorteile erreicht: Ordnung der Verlegekabel mechanische Entlastung der Verlegekabel Flexibilität in der Frage, welche Netzwerkdosen an einen Switch angebunden werden Wenn Sie zehn Netzwerkanschlüsse installiert haben, münden auch zehn Netzwerkkabel in Ihren Etagenverteiler. Das Schlimmste, was passieren kann, ist, dass Sie nicht mehr wissen, welches Kabel mit welchem Netzwerkdosenanschluss verbunden ist. Die Beziehung zwischen den Kabelenden im Etagenverteiler und den Netzwerkanschlüssen an den Netzwerkdosen wird durch Nummerierung hergestellt. Jeder Dosenanschluss wird mit einer Nummer versehen, die sich aus der Raumnummer und einer fortlaufenden Nummer zusammensetzt. Bei Doppelnetzwerkdosen, die zwei Netzwerkanschlüsse bieten, wird meist der Zusatz »L« für linker Anschluss und »R« für rechter Anschluss genutzt.
[»] In Raum Nummer 4 heißt der rechte Anschluss an der dritten Netzwerkdoppeldose 4/3R. Die Bezeichnung findet sich einerseits auf der Netzwerkdose (4/3) und andererseits auf dem Patchpanel (4/3R).
Abbildung 23.7 Geöffnetes 8-Port-Patchpanel
Sowohl das Patchpanel als auch die Netzwerkdosen bieten eine LSAPlus-Leiste, auf der die Adern des Verlegekabels verbunden werden (siehe Abbildung 23.8). Als Werkzeug wird ein LSA-PlusWerkzeug verwendet, das ab 15 € erhältlich ist. Die Verbindung vom RJ-45-Port des Patchpanels zum Switch-Anschluss erfolgt mittels Patchkabel, also einem ganz normalen Twisted-Pair-Kabel.
Abbildung 23.8 Geöffnete Netzwerkdose
Neben dem Kriterium der Ordnung schont das Patchpanel das Verlegekabel. Das Patchkabel, das das Patchpanel und den Switch miteinander verbindet, wird möglicherweise häufiger umgesteckt und dadurch mechanisch belastet. Wenn ein Patchkabel defekt ist, tauschen Sie es einfach aus. Netzwerkdosen kosten ca. 5 €, es gibt sie als Auf- oder Unterputzdosen. Ein Patchpanel mit 24 Anschlussmöglichkeiten im 19"-Format kostet ca. 45 €, ein Tischpatchverteiler im 10"-Format mit zwölf Anschlüssen kostet ca. 24 €. [+] Für sehr flexible und individuelle Bestückung der Patchpanels empfehle ich Ihnen RJ-45-Keystone-Module. Für die einfache Montage benötigen Sie zumeist noch nicht einmal Werkzeug.
23.7 Cross-Kabel Bei der direkten Verbindung von zwei PCs über ein Cross-Kabel werden die Sende- und Empfangsadern gekreuzt (engl. cross) und so die Sendeadern des einen PCs jeweils mit den Empfangskontakten des anderen PCs verbunden (siehe Abbildung 23.9).
Abbildung 23.9 Ein Cross-Kabel
Ein Cross-Kabel ermöglicht maximal die Verbindung von zwei PCs. Preislich ist die Möglichkeit sehr attraktiv, denn Sie sparen den Switch, und ein Cross-Kabel kostet nur wenige Cent mehr als ein normales 1 : 1-Kabel. Mit Hilfe der Funktion Auto MDI-X erkennen neuere Komponenten die jeweilige Art der physikalischen Verbindung und passen sich – unabhängig vom Kabel – daran an (siehe Abschnitt 24.8, »Sonderfunktionen«).
24 Netzwerkkarten Unabhängig davon, für welche Ethernet-Variante Sie sich entscheiden, müssen Sie Netzwerkkarten in Ihr System integrieren. Dies bedeutet bei PCs ohne On-BoardNetzwerkkarte, dass der PC geöffnet werden muss, um die Netzwerkkarte einzusetzen. In nahezu allen neuen PCs, die man als Komplett-PC kaufen kann, ist bereits eine LAN-Karte integriert. Es handelt sich meist um eine On-Board-Karte, also um eine in das Motherboard integrierte Netzwerkkarte.
24.1 Kaufhilfe für kabelgebundene Netzwerkkarten Die aktuelle Standard-Netzwerkkarte hat eine Durchsatzrate von 1 Gbit/s. Diese Geschwindigkeit wird von PCs und anderen Netzwerkkomponenten üblicherweise nicht oder zumindest nicht dauerhaft ausgenutzt. Aufgrund des Preisverfalls von GigabitNetzwerkkomponenten sollten Sie direkt mit Gigabit-LAN einsteigen. Heutige PCs sind durchaus in der Lage, mehr als 100 Mbit/s an Netzwerklast zu erzeugen. Beim Kopieren großer Datenmengen innerhalb des LANs macht sich Gigabit zeitsparend bemerkbar. So kann es durchaus sinnvoll sein, trotz bereits
vorhandener 100-Mbit/s-On-Board-Netzwerkkarte eine zusätzliche Gigabit-Netzwerkkarte nachzurüsten. Eine No-Name-Gigabit-Karte kostet ca. 10 €. Oft ist ein 8168oder 8111-Chipsatz von Realtek verbaut. Es handelt sich um eine Karte, die die grundsätzlichen Anforderungen an eine Netzwerkkarte erfüllt, jedoch keinerlei Sonderleistungen bietet. Der Chipsatz wird von allen wichtigen Betriebssystemen (unter anderem Windows, macOS, Linux, FreeBSD) mit Treibern unterstützt, so dass es kein Problem sein dürfte, diese Karte in Betrieb zu nehmen. Hersteller der mittleren Preisklasse sind z. B. D-Link, SMC und Netgear. Eine einfache Gigabit-Karte kostet dort ca. 15 €. Sie erhalten bis zu fünf Jahre Garantie und haben einen Hersteller, an den Sie sich wenden können, falls Probleme mit der Hardware auftreten. Voraussichtlich wird es auch Treiber für zukünftige Betriebssysteme geben. In der preislichen Luxusklasse gibt es z. B. 3Com, Intel und Adaptec als Hersteller von Netzwerkkarten. Üblicherweise liegt der Vorteil der Karten dieser Hersteller in der jahrelangen Treiberunterstützung. Was teuer ist, das muss nicht zwangsläufig gut sein; die Performance dieser Netzwerkkarten liegt nicht deutlich über denen von Mittelklassekarten. Sie müssen entscheiden, ob die Marke es Ihnen wert ist, denn die Karten liegen mit 28 € pro Stück im oberen Preissegment. Bereits im letzten Jahrtausend entstand 1000BASE-T, also GigabitEthernet über Kupferkabel. Die Netzwerkkarten dazu werden immer preisgünstiger und sind als No-Name-Produkte schon für 10 € zu bekommen. Auch die Preise für Gigabit-Switches sind stark gesunken und liegen bei etwa 40 € für einen 5-Port-Switch.
Unterscheiden müssen Sie zwischen PCI- und PCI-Express(PCIe-)Karten. Der Preisunterschied ist zwar minimal, jedoch bieten PCIe-Karten – die nur in einem entsprechenden Slot eingebaut werden können – einen vielfach höheren tatsächlichen Datendurchsatz und sind somit im Zweifel zu bevorzugen. Während PCI-Gigabit-Karten maximal etwa 500 Mbit/s verarbeiten, sind es bei PCIe-Karten bis zu 900 Mbit/s. Dies sind natürlich Werte aus einem Labor und in der Praxis so nicht zu erwarten. Gigabit-Karten beherrschen 10, 100 und 1.000 Mbit/s. Die bestmögliche Geschwindigkeit des Switches wird dabei mittels Autosensing (siehe Abschnitt 24.8, »Sonderfunktionen«) ausgehandelt. Die Abwärtskompatibilität ist also sichergestellt. Bitte beachten Sie dabei, dass Sie die Netzwerkkarte üblicherweise an einen Switch anschließen. Die Gigabit-Netzwerkkarte bringt nur dann Vorteile, wenn auch der Switch den Anschluss von GigabitNetzwerkkarten unterstützt. Solche Switch-Systeme sind aber zurzeit noch teurer als die, die lediglich 100 Mbit/s bieten. Unabhängig davon, für welche Preisklasse Sie sich bei Ihrer neuen Netzwerkkarte entscheiden, sollten Sie Gigabit kaufen. Der preisliche Unterschied zwischen Fast Ethernet und Gigabit-Ethernet ist so gering, dass er vernachlässigbar ist.
24.2 PCI-Express-Netzwerkkarten In der Vergangenheit wurden PCI-Karten genutzt, dieser Steckplatz wird jedoch schon seit Jahren nicht mehr verwendet. Die aktuelle Variante von PCI ist PCI Express (PCIe). Anders als PCI und PCI-X ist dies eine serielle Technik; jedem Gerät stehen zwei Adernpaare zur Verfügung. Vom Namen her scheint PCIe lediglich eine Fortentwicklung des alten, bekannten PCI-Busses zu sein. Tatsächlich ist es aber eine kleine Revolution, die uns als Kunden von dem Flaschenhals PCI-Bus endlich befreit. Noch einmal zur Erinnerung: Der PCI-Bus unterstützt lediglich eine Bandbreite von 1.064 Mbit/s. PCIe ist mit PCI und AGP inkompatibel, so dass man keine PCIKarten in einem PCIe-Slot betreiben kann. Das liegt daran, dass bei PCIe statt einer parallelen Datenübertragung eine serielle Datenübertragung auf sogenannten Lanes (dt. Spuren) erfolgt. Die Ziffer hinter dem Kürzel PCIe gibt dabei die Anzahl der gebündelten Lanes an (siehe Tabelle 24.1). Lanes Gbit/s (netto) Anwendung 1×
16
Ersatz für PCI-Slot
2×
32
Ersatz für PCI-Slot
4×
64
Ersatz für PCI-Slot
8×
128
Ersatz für PCI-Slot
16×
256
Grafikkarten (PEG)
Tabelle 24.1 PCIe-Version 4.0 aus dem Jahr 2017
Motherboards bieten oft einen PCIe-16x-Slot für die Grafik und einige PCIe-1x-Slots für andere Erweiterungskarten. Dabei sind die einzelnen PCIe-Kanäle unabhängig voneinander und stören sich gegenseitig nicht. Die 16 gebündelten PCIe-Lanes werden auch PCI Express for Graphics (PEG) genannt und sind für Grafikkarten gedacht. Für Netzwerkkarten reicht PCIe-1x aus, weil sich damit die Übertragungsrate von 1 Gbit/s als Fullduplex abbilden lässt.
24.3 PCI Express Mini Card Der Standard PCI Express Mini Card für Netzwerkkarten in Notebooks ersetzt den Standard Mini PCI. Die Größe dieser Karten bemisst sich auf ca. 51 × 30 mm oder im Format half size (dt. halbe Größe) auf ca. 29 × 30 mm (siehe Abbildung 24.1).
Abbildung 24.1 Eine PCI Express Mini Card mit zwei Antennenanschlüssen
[!] Selbst bei passendem Bus und passender Bauform sind ein Notebook und eine Erweiterungskarte nicht zwangsläufig miteinander kompatibel. Denn manch ein Hersteller schränkt durch entsprechende Programmierung des BIOS den Kreis der unterstützten Karten ein. Welche genau das sind, erfahren Sie auf den Internetseiten des Herstellers.
24.4 Next Generation Form Factor oder M.2 Über M.2 können sowohl bis zu vier PCIe-Lanes als auch eine SATASchnittstelle bereitgestellt werden. Aus der Produktbezeichnung einer Karte dieses häufig für SSD-Speicherkarten verwendeten Standards können Sie die Größe des Moduls direkt ablesen. [»] Ein M.2-2230-WLAN-Modul passt mit einer Breite von 22 mm einer Länge von 30 mm in einen Port mit der Bezeichnung M.2 2260 und einer entsprechenden Länge von 60 mm.
24.5 PC-Card/Cardbus/ExpressCard Früher gab es nur den Begriff PCMCIA (Personal Computer Memory Card International Association), und auch heute wird dieser Begriff für die Erweiterungseinschübe einiger Notebooks verwendet. Später setzten sich die Begriffe PC-Card, Cardbus und ExpressCard durch. Die PC-Card ist eine 16-Bit-Karte. Cardbus-Karten arbeiten mit 32 Bits und können somit auch sinnvoll mit 100 Mbit/s betrieben werden. Erweiterungskarten, die mit PCIe arbeiten, heißen ExpressCard. Heute spielen diese Karten keine bedeutsame Rolle mehr. Bei heutigen Notebooks sind eine Gigabit-Netzwerkkarte und WLAN »on board« dabei. ExpressCard-Karten sind immer noch deutlich teurer als eine PCIKarte. Jedoch verfügt nicht jedes Notebook über einen entsprechenden Slot. In fast jedem Fall können Sie sehr einfach auf USB-Adapter ausweichen.
24.6 USB-Adapter Sehr praktisch an den USB-Adaptern ist, dass Sie sie nicht einbauen müssen, sondern einfach nur im laufenden Betrieb an Ihren PC stecken und anschließend den Treiber installieren. Sinnvoll ist dieser Adapter insbesondere, wenn Sie keinen PCI-Slot frei haben oder keine Modifikationen am PC vornehmen dürfen. Es gibt drei USB-Versionen. Alle Geräte an einem USB-Hub teilen sich die Bandbreite und damit die Geschwindigkeit auf dem Bus. Der veraltete Standard USB 1.1 bietet eine theoretische Bandbreite von 12 Mbit/s. USB 2.0 bietet theoretische 480 Mbit/s. Es wäre natürlich unsinnig, einen USB-Adapter für 100BASE-TX mit 100 Mbit/s an einen USB"=1.1-Port anzuschließen. Vertretbar sind USB"=1.1Adapter lediglich für WLAN mit 11 Mbit/s. USB 3.0 wird auch SuperSpeed USB genannt. Der Standard existiert seit dem Jahr 2008, und mit ihm kompatible Geräte erreichen Geschwindigkeiten von bis zu 5 Gbit/s. Er ist abwärtskompatibel mit seinen Vorgängern. Die Auswahl an WLAN-USB"=Adaptern der verschiedenen Hersteller ist groß. Die Geräte sind in etwa so groß wie ein USB-Stick. Wichtig ist der korrekte Treiber, der in der Regel auf einer CD mitgeliefert wird und im Internet zum Download bereitsteht. Ein Vorteil von USB-WLAN-Adaptern ist, dass sie durch ein längeres USB-Kabel nicht zwingend am gleichen Ort stehen müssen wie das Notebook oder der PC. Sie können also den Empfang
von WLAN verbessern, indem Sie einen etwas veränderten Standort für den WLAN-Adapter wählen. Generell gilt, dass die Geräte keine zusätzliche Stromversorgung benötigen. Sie werden über den USB-Port versorgt. Die Abmessungen sind so gering, dass die Adapter bequem mitgeführt werden können. [»] Als einen typischen Vertreter der USB-WLAN-Adapter möchte ich den USB-Stick AVM FRITZ!WLAN Stick AC 860 vorstellen (siehe Abbildung 24.2). Trotz seiner sehr geringen Abmessungen bietet der wenige Gramm schwere USB-Stick zwei Status-LEDs und auch über größere Entfernungen gute Übertragungsraten.
Abbildung 24.2 USB-Stick AVM FRITZ!WLAN: schön klein! Quelle: http://avm.de
24.7 WLAN-Netzwerkkarten Wenn Sie die Netzwerkverbindung hauptsächlich für den Internetzugang und nur selten für die Übertragung großer Datenmengen nutzen wollen, dann eignet sich WLAN sehr gut dafür. Der Hauptvorteil ist die Flexibilität, an beliebigen Orten eine Datenverbindung verwenden zu können. Außerdem müssen Sie selbstverständlich keine Kabel verlegen. Karten für WLAN (siehe Kapitel 7, »Wireless LAN«) gibt es nicht nur für Notebooks oder als USB-Ausführung, sondern auch als PCI- bzw. PCIe-Variante (siehe Abbildung 24.3).
Abbildung 24.3 PCIe-WLAN-Karte von Asus; Quelle: http://asus.com
Beim Einbau unterscheiden sich die PCI-WLAN-Karten nicht von anderen Netzwerkkarten. Es gibt viele angegebene Geschwindigkeiten, die jeweils abhängig vom gewählten Funkbereich – also 2,4 oder 5 GHz – erreicht werden sollen, z. B. 11-, 54-, 108-, 125-, 300-, 450-, 600-, 750-, 900-, 1.200-, 1.300- oder 1.900Mbit/s-Karten. Die tatsächlich erreichbaren Übertragungsgeschwindigkeiten liegen bei sehr gutem Empfang ungefähr bei der Hälfte des Packungsaufdrucks. Die einzelnen WLAN-Karten unterscheiden sich hinsichtlich des Empfangs und dementsprechend hinsichtlich der erzielbaren Übertragungsgeschwindigkeit deutlich. Ich empfehle Ihnen daher, sich möglichst vor dem Kauf mit Hilfe verschiedener Hardwaretests zu informieren. Ob Sie innerhalb eines Hauses Empfang haben und welche Geschwindigkeiten Sie dann erreichen, hängt sehr von baulichen Gegebenheiten ab. Normale DECT-Funktelefone haben üblicherweise einen größeren Aktionsradius. Wenn Sie also mit Ihrem Funktelefon zwischen zwei Punkten keinen Empfang bekommen, können Sie davon ausgehen, dass auch eine WLANVerbindung zwischen diesen Punkten nicht funktionieren wird. Das Funksignal wird insbesondere durch Stahlbeton, wie er bei Geschossdecken zum Einsatz kommt, stark abgeschwächt, so dass eine WLAN-Verbindung vom Dachboden bis in den Keller durch mehrere Geschossdecken selten gelingt.
24.8 Sonderfunktionen Sobald Sie eine Netzwerkkarte eingebaut haben, kann es sein, dass Sie besondere Funktionen dieser Karte nutzen möchten. Auch ist es möglich, dass die Kommunikation zwischen Netzwerkkarte und Switch nicht richtig funktioniert. Die wichtigsten Mechanismen stelle ich Ihnen in diesem Abschnitt vor.
24.8.1 Half-/Fullduplex Fast Ethernet bietet ein Full- und ein Halfduplex-Verfahren zur Übertragung an. Fullduplex bedeutet gleichzeitiges Senden und Empfangen. Im Halfduplex-Modus ist entweder das Senden oder das Empfangen möglich. Ab 1000BASE-T aufwärts gibt es nur noch den Fullduplex-Modus.
24.8.2 Autonegotiation Die automatische Aushandlung des Übertragungsmodus (Full-/Halfduplex) nennt man Autonegotiation. Diese Funktion ist eine Quelle von Fehlern. Dabei handeln der Switch und die Netzwerkkarte unterschiedliche Einstellungen aus, so dass die Kommunikation nicht oder nur mit sehr hoher Fehlerrate funktioniert. Wenn man diesen Fehler festgestellt hat, bleibt nur noch die Möglichkeit, den Übertragungsmodus fest einzustellen.
24.8.3 Autosensing Alle handelsüblichen Karten beherrschen 10 oder 100 Mbit/s. Sie können also wahlweise mit 10 oder 100 Mbit/s betrieben werden. Damit Sie beim Umstecken der PCs diese Einstellung nicht jeweils manuell vornehmen müssen, wird die maximal mögliche Geschwindigkeit per Autosensing ausgehandelt. Die Aushandlung der Geschwindigkeit funktioniert meist, aber nicht immer, so dass es ähnlich wie bei der Autonegotiation zu Fehlern kommen kann. Sollten Sie einen solchen Fehler bemerken, müssen Sie die Geschwindigkeit fest einstellen.
24.8.4 Trunking Der Zusammenschluss von mehreren Netzwerkanschlüssen zu einem virtuellen Adapter wird oftmals als Trunking, manchmal – wie bei IEEE 802.3ad – als Link-aggregation bezeichnet. Man kann bei Markenherstellern Netzwerkkarten des gleichen Typs zusammenschalten. Sie haben dann statt 1.000 Mbit/s beispielsweise 2 × 1.000 Mbit/s = 2.000 Mbit/s zur Verfügung. In der Regel sind verschiedene Modi möglich: Load-Balancer: die Verteilung der Netzlast auf beide Adapter Failover: das automatische Umschwenken der Verbindung im Fehlerfall gleichzeitig Load-Balancer und Failover in Kombination
24.8.5 Wake-on-LAN
Bei Wake-on-LAN (WoL) arbeitet die Netzwerkkarte mit der ATXStromversorgung des Mainbaords zusammen. Über bestimmte Datenpakete, sogenannte Magic Packets, kann ein schlafen gelegter PC aufgeweckt, also eingeschaltet werden. Die Funktion ist praktisch, wenn Sie PCs aus der Ferne warten oder administrieren wollen, so z. B. bei Softwareupdates in der Nacht. Leider funktioniert WoL nicht immer zuverlässig, so dass Sie zunächst zehn erfolgreiche Testzyklen absolvieren sollten, bevor Sie sich auf diese Technik verlassen. Ich meine damit, dass Sie jeden PC vor dem eigentlichen Einsatz zehnmal per WoL aufwecken können müssen – bei 100 Prozent Erfolgsquote. In den Newsgroups tauchen die ATX-Funktionen immer wieder als Fehlerquelle auf, weil die PCs nicht oder nicht richtig erwachen.
24.8.6 Auto MDI-X Ein im Gegensatz zum Cross-Kabel (siehe Abschnitt 23.7, »CrossKabel«) bereits im Gerät gekreuzter Anschluss wird als Medium Dependent Interface (MDI-X) bezeichnet. Diese Anschlussart ist üblich bei Hubs (siehe Abschnitt 6.9, »Hub«) und Switches (siehe Abschnitt 6.10, »Switch«). Gigabit-Komponenten (siehe Abschnitt 6.3, »Gigabit-Ethernet«) erkennen gekreuzte Sende- und Empfangsadern in der Regel über die Funktion Auto MDI-X. Ihre Reaktion besteht in einer selbständigen Anpassung.
25 Switches Wenn Sie mehr als zwei PCs verbinden möchten, dann benötigen Sie einen Switch. Dieses Koppelelement verbindet die PCs untereinander; jeder PC wird mit einem Kabel an diesen Switch angebunden. Ein Switch ist eine Netzwerkkomponente von ISO/OSI-Schicht 2, arbeitet also auf der Ebene von Ethernet. Ein Switch entscheidet anhand der Ziel-MAC-Adresse, an welchen Anschluss bzw. welche Anschlüsse das Ethernet-Paket ausgegeben werden muss. Ausführliche theoretische Informationen finden Sie in Abschnitt 6.10, »Switch«. Da ein Switch meist im Store-and-forwardModus arbeitet, speichert er ein eingehendes Datenpaket zunächst vollständig zwischen und sendet es dann als Ganzes weiter. Ein Switch kann ein defektes Ethernet-Paket erkennen und verwerfen. Ich möchte Ihnen auf den nächsten Seiten einen Überblick darüber geben, welche Switches existieren, Beispiele nennen und Empfehlungen geben, welche Switches Sie je nach Ihrem Vorhaben einsetzen sollten. Die Inbetriebname eines Switches ist dann ganz einfach: Es sind Plug-and-Play-Geräte, die einfach angeschlossen werden und funktionieren.
25.1 Einsteiger: Mini-Switches
Den Begriff Mini-Switch möchte ich so definieren, dass er alle Switches umfasst, die nicht administriert werden können. Inzwischen sind auch Gigabit-Switches im Format eines MiniSwitches erhältlich.
Abbildung 25.1 16-Port-Mini-Switch; Quelle: http://netgear.com
Es gibt Mini-Switches mit 5 bis 48 Ports. Allen gemeinsam ist, dass sie reine Plug-and-Play-Komponenten sind. Sie schließen sie an das Netzwerk an und können keine Konfiguration vornehmen. Dies bedeutet auch, dass Sie keinerlei Informationen aus diesem Switch auslesen können. Der Vorteil vieler Mini-Switches ist, dass sie lüfterlos arbeiten, die Stromaufnahme und Wärmeabgabe gering sind, so dass sie sich für den Einsatz in Büros oder Wohnräumen eignen (siehe Abbildung 25.1). Die billigsten Vertreter der Mini-Switches haben fünf Switch-Ports und bieten die Geschwindigkeit von Fast Ethernet an jedem davon. Informationen stellt das Gerät mit Hilfe von LEDs dar. Der Preis für einen solchen Switch beginnt bei 10 €. Das Angebot an Mini-Switches, die Gigabit-Geschwindigkeit erreichen, ist groß. Die günstigen Switches beginnen bei 15 € und bieten fünf Gigabit-Ports sowie volle Bandbreite auf allen Ports.
[»] Ein Anwendungsfall sind Filmdateien. Ein Full-HD-Film ist abhängig von der Kompression einige Gigabyte groß. Mit Fast Ethernet, also in der Praxis etwa 85 Mbit/s, dauert die Übertragung vom NAS auf den PC etwa zehnmal so lange wie eine Übertragung mit Gigabit. Ein Mini-Switch ist eine Blackbox. Sie können fast nichts über dieses Gerät erfahren, z. B. wie viele Fehler auf einem Switch-Port aufgelaufen sind und Ähnliches. Dies ist ein entscheidender Nachteil beim Troubleshooting. Die Performance, also die Netzwerkgeschwindigkeit, ist nur interessant, wenn Sie öfter größere Datenmengen über Ihr Netzwerk übertragen. Wenn es lediglich um den Internetzugang geht oder ab und zu einmal zwischen zwei PCs ein Film übertragen wird, fällt dies nicht ins Gewicht. Mini-Switches decken vor allem den Bedarf bei sehr kleinen Firmen und Privatleuten ab. Ich empfehle den Einsatz dieser Geräte bis maximal 16 Teilnehmer. In größeren Netzwerken sollten die Switches administrierbar sein. [+] Wenn Sie in Ihrem Netzwerk Multimedia streamen wollen (siehe Kapitel 46, »Medienstreaming«), dann achten Sie beim Kauf darauf, dass Ihr Switch die Protokolle IGMPv3 beziehungsweise MLDv2 unterstützt. Diese Funktionalität ist in der Regel nur bei Webmanaged Switches enthalten.
25.2 Webmanaged Switches Ein Webmanaged Switch lässt sich mit dem Browser konfigurieren, besitzt meist ein oder zwei Steckmöglichkeiten für Erweiterungskarten im Modulformstandard Small Form-factor Pluggable (SFP) und ist vorwiegend für den Einsatz als Etagenverteiler konzipiert. Ein wichtiges Kriterium für einen Webmanaged Switch ist die hohe Anzahl von Anschlussmöglichkeiten, eben RJ-45-Ports. Da Sie an einen Webmanaged Switch möglichst viele PCs anschließen möchten, bieten diese Geräte mit sehr kompakter Bauhöhe 8 bis 48 Switch-Ports für den Anschluss von PCs mittels Twisted-Pair-Kabel. In Abbildung 25.2 sehen Sie ein entsprechendes Gerät der Firma Netgear. Es bietet 24 PC-Anschlüsse für PCs und zwei Uplinks in Form von SFP-Slots.
Abbildung 25.2 Zu managender Switch; Quelle: http://netgear.com
Ein Webmanaged Switch bietet normalerweise Techniken wie Spanning Tree, VLAN, SNMP, IGMP und Trunking. SNMP (siehe Kapitel 21, »Simple Network Management Protocol«) bietet die Möglichkeit, einen Switch zu managen und seine Werte
abzufragen. Das Spanning Tree Protocol (STP) (IEEE 802.1D/t) verhindert die Bildung von Schleifen (engl. loops) im Netzwerk. Das bedeutet Folgendes: Wenn Sie z. B. einen Switch redundant, also mit mehr als einem Anschluss an das LAN anbinden, wird es ohne weitere Maßnahmen dazu kommen, dass Datenpakete kreisen. Das Phänomen wächst exponentiell, und nach wenigen Minuten transportiert Ihr Switch nur noch kreisende Pakete. Diese müssen an allen Anschlüssen ausgegeben werden. Spanning Tree erkennt solche redundanten Wege (siehe Abbildung 25.3) und schaltet nach bestimmten Regeln automatisch eine Strecke ab. Fällt die aktive Strecke aus, wird die inaktive Strecke innerhalb von 40 Sekunden aktiviert. Die neuesten Versionen von Spanning Tree heißen Rapid Reconfiguration Spanning Tree (RSTP), IEEE 802.1w oder Multiple Spanning Tree (MSTP).
Abbildung 25.3 Ein Fall für Spanning Tree
Das Internet Group Management Protocol (IGMP) dient zum Management von Multicasts (siehe Abschnitt 14.2, »IPv4Multicast«). Die Implementation von IGMP in IPv6 wird auch als Multicast Listener Discovery (MLD) bezeichnet (siehe Abschnitt 14.7.3, »IPv6-Multicast«). Trunking ist die Technik, mit der man mehrere Switch-Ports zu einem größeren Switch-Port zusammenschaltet. Ein standardisiertes Verfahren heißt Linkaggregation und ist nach IEEE 802.3ad normiert. Grundlagen zum Thema VLAN (IEEE 802.1q) finden Sie in Abschnitt 6.11, »Virtual LAN«. Mittels einer besonderen Kennzeichnung (engl. tag) der Ethernet-Pakete werden auf einer physikalischen LAN-Verkabelung mehrere virtuelle LANs gebildet. Jedes VLAN hat eine Nummer (ID). Die Pakete für die ID 222 werden nur an Switch-Ports ausgegeben, die sich im VLAN 222 befinden. Zu anderen Anschlüssen können die Pakete nur über einen Router gelangen (siehe Abschnitt 25.4, »Ein eigenes VLAN und WLAN für Gäste«). Stellen Sie sich vor, dass Datenströme verschiedene Farben aufweisen. Gelbe Netzanschlüsse können nur untereinander kommunizieren, das Gleiche gilt für andere Farben. [»] Sie betreiben ein Bürogebäude und vermieten die Büros inklusive IT-Support an Firmen. Aus finanziellen Gründen möchten Sie eine einheitliche LAN-Verkabelung benutzen. Selbstverständlich müssen die LAN-Anschlüsse der Firma Anton von denen der Firma Berta getrennt sein. Die Lösung sind VLANs. Sie kreieren zwei VLANs und konfigurieren die Anschlüsse so, dass sich die Anschlüsse der Firma Anton in VLAN 1 und die Anschlüsse der Firma Berta in VLAN 2 befinden.
Für die meisten von Ihnen wird ein Webmanaged Switch die beste Option sein. Die größeren Modelle bieten die Möglichkeit, längere Strecken mittels Glasfaserkabel (siehe Abschnitt 6.3, »GigabitEthernet«) und SFP-Modul (siehe Abschnitt 9.3, »SFP-Module«) zu überbrücken. Durch die Möglichkeit, mit dem Browser auf den Switch zu schauen, können einige Fehler gefunden oder fortschrittlichere Lösungen wie ein Gäste-WLAN konfiguriert werden.
25.3 Fachbegriffe für den SwitchKauf Wenn Sie einen Switch kaufen, werden Sie in der technischen Beschreibung viele der folgenden Fachbegriffe wiederfinden: Switches mit Auto MDI-X erkennen automatisch, ob eine gekreuzte Kabelverbindung vorliegt, und stellen ihren Anschluss entsprechend ein (siehe Abschnitt 24.8.6, »Auto MDI-X«). Store • forward bedeutet, dass Datenpakete komplett zwischengespeichert werden, bevor sie übertragen werden. Dadurch kann der Switch defekte Pakete erkennen und sie verwerfen, so dass sie das Netzwerk nicht mehr belasten. In seiner Switching-Tabelle speichert der Switch die Information darüber, welche MAC-Adresse(n) er an einem Port schon empfangen hat. Erst über die MAC-Adresse kann ein Switch einen bestimmten Netzwerkteilnehmer erreichen. Ein Puffer (engl. buffer) dient zum Zwischenspeichern der Datenpakete. NWay fasst die Funktionen Autonegotiation und Autosensing zusammen. Ein Uplink ist ein Anschluss, an dem das Senden und das Empfangen vertauscht sind. Dadurch kann man Daten mit einem normalen Kabel (also ohne Cross-Kabel) einspeisen. Flow Control IEEE 802.3x verhindert das Überlaufen und Überschreiben des Speichers (Puffer/Buffer). Droht diese Gefahr, sendet der Switch ein Signal an den oder die Sender.
Stackable ist ein Switch, mit dem man mehrere Switches untereinander über ein herstellerabhängiges Kabel verbinden kann. Diese Switches können über einen Uplink versorgt und oft wie ein Switch gemanagt werden. GigaBit Interface Connector (GBIC) bezeichnet den Einschub, in den ein zusätzliches Modul eingesteckt werden kann. Dieses verfügt als Anschluss z. B. über 1000BASE-T, 1000BASE-SX oder 1000BASE-LX. Üblicherweise werden diese Einschübe für den Uplink verwendet. Rackmount sind Switches, die man in einen Netzwerkschrank einbauen kann. 19 Zoll sind das Standardmaß. Priorisierung/IEEE 802.1p wird eingesetzt, wenn im LAN zu wenig Bandbreite zur Verfügung steht. Es ist z. B. möglich, kleine Datenpakete großen vorzuziehen. Erst wenn alle kleinen Pakete transportiert sind, werden große Datenpakete transportiert; damit werden die kleinen Datenpakete zeitgerecht zugestellt. Layer 3 ist die ISO/OSI-Schicht 3, also die Schicht von IP. Ein Layer3-Switch ist ein schneller Router. Power over Ethernet (PoE) ist eine Stromversorgung von Netzwerkteilnehmern mit einer Spannung von 48 Volt über das Netzwerkkabel. Üblicherweise werden mit PoE Geräte versorgt, die wenig Leistung verbrauchen, wie z. B. IP-Telefone oder Netzwerkkameras. Ein PoE-Switch nach IEEE 802.3af stellt eine Leistung von maximal 15,4 Watt und nach IEEE 802.3at von maximal 25,4 Watt an einem Netzwerkport bereit. Dabei ist grundsätzlich eine gewisse Verlustleistung aufgrund der Kabellänge zu berücksichtigen. Webmanaged bedeutet, dass Sie auf den Switch über ein Webinterface zugreifen können, um ihn zu prüfen oder zu
konfigurieren. Manchmal wird dies auch als Smartmanaged bezeichnet. Managed ist ein Switch, wenn er über ein eigenes Betriebssystem mit Command Line Interface (CLI) verfügt und vollständig, professionell administrierbar ist. Green Ethernet ist der Begriff, unter dem stromsparende Switches vermarktet werden. Die Maßnahmen zur Energieeffizienz sind in der Norm IEEE 802.3az beschrieben. Ein Switch kann z. B. Strom einsparen, indem er seine Komponenten passiv – also ohne Lüfter – kühlt. Moderne Switches können außerdem die Kabellänge messen und die Spannung des Stroms zur Signalübertragung anpassen. Bei kurzen Leitungen spart der intelligente Switch also Strom. Häufig sind bereits Netzwerkkabel der Kategorien 5e und 6 (siehe Kapitel 23, »Netzwerkkabel«) verlegt. Switch-Ports des Standards IEEE 802.3bz können auch über Kabel dieser Kategorien untereinander eine Geschwindigkeit bis zu 2,5 Gbit/s bzw. 5 Gbit/s aushandeln (siehe Abschnitt 6.4, »NBase-T«).
25.3.1 Fazit und Empfehlung Im Netz daheim sind die Anforderungen üblicherweise nicht so hoch, und ein Webmanaged Switch mit Gigabit reicht aus. An diesen Switches schätzen Sie den lüfterlosen Betrieb, denn der Switch wird in Ihren Wohnräumen stehen. Möglicherweise sind Kombinationsgeräte aus Switch, DSL-Router und WLAN Access Point für Sie interessant. Informationen dazu finden Sie in Abschnitt 38.1, »Hardwarerouter«.
Geld können Sie nicht nur bei der Anschaffung des Switches sparen, sondern auch, indem Sie an den Stromverbrauch während der voraussichtlichen Betriebszeit denken. Wenn die Hersteller die Werte nicht bereits selbst angeben, finden Sie im Internet Seiten, die den durchschnittlichen Stromverbrauch gängiger Modelle mit und ohne Last auf den Switch-Ports auflisten. Selbst eine relativ unscheinbare Einsparung von nur 5 Watt summiert sich im Dauerbetrieb zu einem Betrag von ca. 15 € pro Jahr.
25.4 Ein eigenes VLAN und WLAN für Gäste Es gibt eine ganze Menge Gründe, die für ein separates Netz für Gäste sprechen. Im Kern ist es so, dass man Freunden, Verwandten und einigen Geräten im Haus zwar Zugriff ins Internet geben möchte, allerdings sollen sie keinen Zugriff auf interne Dienste – z. B. ein NAS – bekommen. Bei einigen aktuellen Routern verbirgt sich diese Funktion hinter dem Begriff Gäste-LAN oder auch Gäste-WLAN. Dieses Beispiel dient insbesondere der Veranschaulichung der zugrundeliegenden VLANTechnik. Sie können mein Beispiel mit kleinen Anpassungen natürlich auf Ihr LAN übertragen. Hintergründe zum Thema VLAN finden Sie in Abschnitt 6.11, »Virtual LAN«. Basiskonfiguration
Für das Gästenetzwerk nutzen Sie die Funktion Ihres Routers, an einem Anschluss ein Gastnetzwerk bereitzustellen. Bei einer FRITZ!Box ist dies üblicherweise LAN4. Nach dem Aktivieren des Gäste-LAN an der FRITZ!Box müssen wir jetzt dafür sorgen, dass an diesem Anschluss nur Daten der Gäste ankommen. Dazu habe ich auf meinem 24-Port-Switch ein separates VLAN 99 angelegt und dem Switch-Port zugewiesen, an dem LAN4-Port der FRITZ!Box angeschlossen ist. [+] Es ist wichtig, die VLAN-Markierung (engl. VLAN-tag) für eingehende Daten – also vom Router kommend – zu setzen, sie aber
für ausgehende Daten zu entfernen. Jeder Switch-Port, der jetzt in das VLAN 99 konfiguriert wird, kann über das Gäste-LAN ins Internet, jedoch nicht mehr auf das interne LAN zugreifen, denn dieses befindet sich im VLAN 1. Die Trennung ist da. Das Gäste-WLAN
Für mein Gäste-WLAN nutze ich die Funktion SSID VLAN Mapping von OpenWrt (siehe Abschnitt 38.2, »OpenWrt – ein freies Betriebssystem für Router«). OpenWrt strahlt die SSIDs WLAN67 für das interne WLAN und WLAN67-Gast für das Gäste-WLAN aus. Dabei laufen die beiden SSIDs auf dem gleichen Funkkanal und verschwenden so nicht unnötig Frequenzen (siehe Abbildung 25.4).
Abbildung 25.4 OpenWrt trennt ein WLAN für Gäste ab.
Im ersten Schritt aktivieren Sie in der Administrationsoberfläche von OpenWrt unter Network • Switch die Option Enable VLAN functionality. Anschließen legen Sie VLAN 1 und VLAN 99 an und stellen bei der CPU den Uplink-Port auf tagged. Unter Network • Interfaces erzeugen Sie ein weiteres Interface mit dem Namen Gast und tragen die IP-Einstellungen ein.
[!] Wenn Sie eine FRITZ!Box haben, müssen Sie in OpenWrt DHCP deaktivieren, da die FRITZ!Box diese Aufgabe übernimmt. Unter dem Reiter Physical Settings wird das Interface Gast nun mit dem VLAN-Interface eth0.99 verbunden (siehe Abbildung 25.5). Im letzten Schritt legen Sie nun unter Network • Wifi eine neue SSID an und wählen als Network das Netzwerk Gast aus. Unter dem Reiter Wireless Security müssen Sie nur noch Ihre WPA-Einstellungen anpassen. Auf meinem 24-Port-Switch musste ich außerdem am Port des OpenWrt sowohl VLAN 1 als auch VLAN 99 explizit zulassen. Eventuell müssen Sie noch prüfen, dass an diesem Port markierte (engl. tagged) Pakete eingehen dürfen. Verbindet sich nun ein WLAN-Nutzer mit WLAN67N67, so werden sämtliche Pakete dieser Verbindung von OpenWrt mit VLAN 1 markiert und können dementsprechend alle internen Ports – z. B. das ebenfalls an einem Switch-Port in VLAN 1 befindliche NAS – erreichen. Verbindet sich jemand mit WLAN67guest, markiert OpenWrt die Daten mit VLAN 99, und Sie können nur Switch-Ports von VLAN 99 erreichen – in meinem Fall Port 4 der FRITZ!Box. Das NAS ist also unerreichbar und entsprechend geschützt.
Abbildung 25.5 »VLAN 99« und »WLAN67guest« werden miteinander verbunden.
Da immer mehr Geräte Zugriff auf das Internet haben wollen, von denen Sie nicht wissen, wie es um ihre Sicherheit bestellt ist – bei mir z. B. eine per App regelbare Deckenleuchte –, eignet sich ein Gäste-WLAN auch, um diese Geräte des Internet of Things (IoT) aus Ihrem inneren Netz herauszuhalten. Im nächsten Schritt können Sie eine interne Firewall (siehe Abschnitt 33.4.1, »Firewall«) aufbauen, die den Verkehr zwischen VLAN 1 und VLAN 99 überwacht. Es wäre z. B. regelbar, dass der HTTP-Zugriff auf Ihr NAS erlaubt ist, nicht aber der Zugriff mit dem Samba-Protokoll.
26 Windows einrichten In der Version Windows 95 war TCP/IP noch ein Protokoll, das aus Sicht von Microsoft nicht zur Standardinstallation des Betriebssystems gehören musste. In diesem Buch behandle ich die Versionen Windows 11, Windows 10 und Windows 8. Die Darstellung beschränkt sich also auf die Clientvarianten der Windows-Betriebssystemfamilie. Die Windows-Serverprodukte werden in anderen Publikationen von Rheinwerk ausführlich behandelt, und die Darstellung von Active Directory und ähnlichen Technologien würde zudem den Rahmen dieses Buches sprengen.
26.1 Windows-Versionen und Editionen In den jeweiligen Abschnitten finden Sie Hinweise dazu, für welche Windows-Versionen der Inhalt relevant ist. Ein genereller Unterschied der Editionen in Bezug auf die Netzwerkfunktionalität ist allen Windows-Versionen gemein: Wenn Sie das System in eine Domäne integrieren möchten, reicht eine Edition für Heimanwender nicht aus.
26.1.1 Windows 11 Windows 11 definiert für die Installation einige wesentliche Voraussetzungen an die Hardware, bringt jedoch im Vergleich zu Windows 10 insgesamt relativ wenige Neuerungen. Eine interessante neue Funktion ist die native Unterstützung von Android-Apps mit dem Windows-Subsystem für Android (WSA). Windows 11 erscheint in folgenden Versionen: Windows 11 Home: die Standardedition für Privatanwender Windows 11 Pro unterstützt zusätzlich den Remote Desktop Service, die Festplattenverschlüsselung BitLocker, Client HyperV und die Windows-Sandbox. Windows 11 Enterprise: eine Edition ausschließlich für Großkunden Windows 11 Education und Pro Education: mit der Enterprise Edition identische Version für Bildungseinrichtungen Windows 11 SE: Cloud-First Edition für Bildungseinrichtungen Windows 11 Pro for Workstations: Version für anspruchsvolle Workloads Windows 11 Mixed Reality: mögliche zukünftige Version als Basis für virtuelle Realität (VR) Mehrere Versionen werden – wie schon bei Windows 10 – auch als NVersion ohne Media Player angeboten.
26.1.2 Windows 10 Der Nachfolger von Windows 8 heißt nicht wie erwartet Windows 9, sondern Windows 10. Microsoft bezeichnete es denn auch
als Perfect 10, also vollkommen. Eigentlich sollte es keine weiteren Major Releases mehr geben, sondern eine kontinuierliche Weiterentwicklung des Betriebssystems in Form von kleineren und größeren Updates. Die Bedienung von Windows 10 auf dem PC wurde im Vergleich zu Windows 8 erheblich verbessert. Microsoft macht einen weiteren Schritt in Richtung Cloud (siehe Kapitel 48, »Cloud-Computing«). Windows 10 ist in folgenden Versionen erhältlich: Windows 10 Home: die Standardedition für Privatanwender Windows 10 Pro unterstützt zusätzlich den Remote Desktop Service, die Festplattenverschlüsselung BitLocker, die Kontrolle von Programmstarts mit AppLocker, Dateiverschlüsselung, Gruppenrichtlinien, Client HyperV und Booten von virtuellen Festplatten im VHD-Format. Windows 10 Enterprise: eine Edition ausschließlich für Großkunden Windows 10 Education: mit der Enterprise Edition identische Version für Bildungseinrichtungen Windows 10 Mobile eine Version für Smartphones und Tablets mit Supportende im Jahr 2019 Windows 10 Mobile Enterprise: für Smartphones und Tablets bei Großkunden Windows 10 IoT Core: Windows 10 auf ARM-Prozessoren Mehrere Versionen werden als N-Version auch ohne Media Player angeboten. Die Edition Enterprise 2015 Long-Term Service Branch richtet sich mit dem Versprechen eines auf insgesamt zehn Jahre verlängerten Supports vornehmlich an Großkunden.
Im Bereich Sicherheit und Authentifizierung gab es eine wichtige Neuerung: Das Authentifizierungssystem Windows Hello unterstützt verstärkt biometrische Erkennungssysteme wie die Gesichtserkennung oder Fingerabdruckscanner. Auch der Passwortmanager Microsoft Passport, der als Schnittstelle voll in das Betriebssystem integriert ist, wird durch biometrische Systeme unterstützt, soweit diese vorhanden und für Passport freigegeben sind. Microsoft hat sein Betriebssystem außerdem mit dem Browser Edge ausgerüstet (siehe Abschnitt 26.16, »Microsoft Edge«). Dieser integriert auch die persönliche Assistentin Cortana. Insbesondere der neue Browser und die Sprachassistenz sind gleichzeitig Vorwand und Mittel, den Umfang der über den Benutzer gesammelten Daten erheblich auszuweiten. Microsoft geht damit den Weg, den Google mit seinem Betriebssystem Android bereits geebnet hat. Mit der ursprünglich in Windows 10 enthaltenen Funktion Wi-Fi Sense konnten Sie sich automatisch mit freigegebenen WLANs Ihrer Kontakte aus Outlook.com, Skype und Facebook verbinden, sobald diese in Reichweite waren. Dieses aus Sicherheitsgründen sehr umstrittene Vertrauen wurde mit dem Windows 10 Anniversary Update (Redstone) wieder gestrichen, nach Angaben von Microsoft aus Kostengründen. Außerdem wurde Windows 10 mit dem Anniversary Update um die Möglichkeit erweitert, Linux-Shells wie die Bash nativ auszuführen (siehe Abschnitt 26.17, »WindowsSubsystem für Linux«). Aus dem Windows Defender wird mit dem Windows 10 Creators Update (Redstone 2) das Windows Defender Security Center. Dieses integriert den Virenschutz (siehe Abschnitt 33.4.2, »Virenscanner«), die Firewall (siehe Abschnitt 26.5, »Windows-Firewall«) und den Kinder- und Jugendschutz (siehe Abschnitt 26.6, »Jugendschutz«).
Das Windows 10 Fall Creators Update (Redstone 3) bringt insbesondere Verbesserungen für OneDrive (siehe Abschnitt 48.3.2, »Microsoft OneDrive«) und erleichtert die Verwaltung von Netzwerkprofilen (siehe Abschnitt 26.15, »Windows in verschiedenen Netzwerken«). Außerdem kann der Remotedesktop (siehe Abschnitt 32.4, »Remotedesktop«) nun auch über den Dialog Einstellungen verwaltet werden. Außerdem können Sie Ihr Smartphone mit Ihrem PC koppeln (siehe Abschnitt 26.18, »Smartphone mit Windows verknüpfen«). Das Update aus Oktober 2018 (Redstone 5) führt mit einer optionalen Cloud-Unterstützung (siehe Abschnitt 48.4, »Windows Cloud Clipboard«) und dem Zwischenablageverlauf gleich zwei neue Funktionen für die Windows-Zwischenablage ein. Außerdem integriert Microsoft OpenSSH (siehe Abschnitt 32.2, »Secure Shell (SSH)«) in Windows. Die unter dem Codenamen 19H1 veröffentlichte Version 1903 enthält eine auf Virtualisierungstechnologie (siehe Abschnitt 26.12, »Client HyperV«) basierende Sicherheitsfunktion (siehe Abschnitt 41.7, »Windows Sandbox«). Ab Windows 10 Version 1909 verhindert Microsoft die Verbindung des PCs zu WLANs mit den unsicheren Verschlüsselungsstandards WEP (siehe Abschnitt 35.1, »WEP«) und WPA-TKIP (siehe Abschnitt 35.2, »WPA2«). Sollte ein PC oder zeitgleich mehrere PCs im Netzwerk sich mit Windows-Updates versorgen, kann insbesondere eine langsamere Internetverbindung dadurch so stark ausgelastet sein, dass sie die sonstige Arbeit stark einschränkt. Ab Windows 10 20H1 lässt sich die absolute oder relative maximale Bandbreite für Updates jeweils im Vordergrund und im Hintergrund in den erweiterten Optionen
der Übermittlungsoptimierung separat einstellen (siehe Abbildung 26.1).
Abbildung 26.1 Updates dauern etwas länger, aber dafür können Sie parallel noch surfen.
Mit Windows 10 20H2 stellt Microsoft den hauseigenen Browser (siehe Abschnitt 26.16, »Microsoft Edge«) auf Chromium um. Unter diesem Namen stellt Google einen Großteil des Quellcodes seines Browsers Google Chrome zur Verfügung. Die Updates des Jahres 2021 enthalten keine wesentlichen neuen Funktionen.
26.1.3 Windows 8
Der klassische PC bekommt immer stärkere Konkurrenz von verschiedenen Endgeräten mit leistungsschwachen Prozessoren. Der Nachfolger von Windows 7 vollzieht vermutlich aus diesem Grund einen Spagat zwischen einem von Windows 7 übernommenen Desktop für PCs und der neuen Metro-Oberfläche. Diese ist mit ihren Kacheln besonders für Endgeräte mit Touchscreen geeignet, während die Bedienung mit der Maus holprig erscheint. Der Desktop kann als eine von vielen Applikationen aus der Metro-Oberfläche heraus über eine Kachel gestartet werden. Folgende Editionen von Windows 8 gibt es: Windows 8: die Standardedition für Privatanwender Windows 8 Pro unterstützt zusätzlich den Remote Desktop Service, die Festplattenverschlüsselung BitLocker, Dateiverschlüsselung, Gruppenrichtlinien, Client HyperV und Boot von virtuellen Festplatten im VHD-Format. Windows 8 Enterprise: eine Edition ausschließlich für Großkunden Windows 8 Phone: für Smartphones Windows RT: Windows 8 auf ARM-Prozessoren Im Netzwerkbereich gibt es wenige, aber richtungsweisende Neuerungen im Vergleich zu Windows 7: File History automatisiert Sicherungskopien (siehe Abschnitt 26.7, »File History«). Client HyperV: eine integrierte Virtualisierungssoftware (siehe Abschnitt 26.12, »Client HyperV«) Das obligatorische Update Windows 8.1 ermöglicht wenig überraschend wieder das direkte Booten in den Desktop. Außerdem
wurde der Schutz vor Schadsoftware ausgeweitet (siehe Abschnitt 26.8, »Windows Defender«). Ab Windows 8.1 wird außerdem der Screencast Miracast (siehe Kapitel 46, »Streaming Media«) unterstützt. Der erweiterte Support von Windows 8.1 endet im Jahr 2023, Sie sollten also schleunigst den Sprung auf Windows 10 oder 11 einplanen.
26.2 Hardwareerkennung Sie haben eine neue Netzwerkkarte eingebaut und starten den PC. Windows erkennt die Veränderung und startet die Hardwareerkennung. Sollte der Hardwareassistent nicht über einen passenden Treiber für das Produkt verfügen, muss an anderer Stelle gesucht werden: Auf einer Treiber-CD des Herstellers, in einer Verzeichnisstruktur auf einem Laufwerk oder im Internet. Üblicherweise funktioniert die Installation ohne weitere Probleme. Windows liefert den Großteil der Gerätetreiber gleich mit. Microsoft zertifiziert Software im Kernel-Modus[ 20 ] mit einem Verisign-Zertifikat, also einem Publisher Identity Certificate (PIC).
26.3 IPv4-Konfiguration Das Netzwerk ist mit der Treiberinstallation bis zur ISO/OSISchicht 2 eingerichtet. Die Standardeinstellung für IP (ISO/OSISchicht 3) ist DHCP (siehe Abbildung 26.2).
Abbildung 26.2 Die IP-Standardkonfiguration geschieht über DHCP.
Sie können sich die Netzwerkeinstellungen ansehen, indem Sie in der Systemsteuerung unter Netzwerk und Internet • Netzwerk- und Freigabecenter • Adapteroptionen ändern den gewünschten Netzwerkadapter auswählen und über das Kontextmenü die Eigenschaften (siehe Abbildung 26.3) der LAN-Verbindung ansehen. Die TCP/IP-Einstellungen finden Sie über den
Punkt Internetprotokoll, Version 4 (TCP/IPv4). Markieren Sie den Eintrag, und wählen Sie Eigenschaften.
Abbildung 26.3 Eigenschaften der LAN-Verbindung
[»] Wenn Sie einen DHCP-Server beispielsweise auf einem DSLRouter betreiben, ist IP-Adresse automatisch beziehen die richtige Auswahl. Der DHCP-Server wird dem Windows-PC die richtige IPKonfiguration zuweisen. Die wichtigste manuelle IP-Einstellung ist zunächst die IP-Adresse. Beachten Sie bitte: gleiche Gruppen-ID (Netz-ID) wie die anderen PCs andere Host-ID als die anderen PCs im IP-Netz Betreiben Sie keinen DHCP-Server, sollten Sie die IP-Konfiguration selbst vornehmen, wie es in Abbildung 26.4 gezeigt wird. Aber auch
wenn Sie einen solchen Server nutzen, kann es sinnvoll sein, PCs, die ständig ausschließlich in Ihrem LAN arbeiten, mit einer festen IP-Konfiguration zu versehen. Oft ist das die einzige Möglichkeit, einem PC immer dieselbe IP-Adresse zuzuteilen, so dass er Dienste anbieten kann, die immer unter einer Adresse erreichbar sind.
Abbildung 26.4 Manuelle IP-Konfiguration
Die Subnetzmaske wird automatisch bereitgestellt; vermutlich ist sie richtig. Dann müssen Sie lediglich noch ein Standardgateway einrichten, wenn Sie im IP-Netz übergreifend kommunizieren möchten (z. B. Internetzugriff über das LAN). In meinem privaten LAN sind das Standardgateway und der Bevorzugte DNS-Server jeweils mein DSL-Router. Mein PC
kommuniziert mit anderen IP-Netzen nur, wenn ich ins Internet gehe. Mit diesen wenigen Einstellungen haben Sie den PC in Ihr Netzwerk integriert. Ob es wirklich funktioniert, sollten Sie selbstverständlich ausprobieren. Der einfachste Test ist: ping in der Eingabeaufforderung (siehe Abbildung 26.5). Ist der ping erfolgreich, so ist die Funktionalität bis zur Schicht 3 des ISO/OSI-Modells sichergestellt.
Abbildung 26.5 Erfolgreicher Test der Verbindung mit »ping«
Am Prompt tippen Sie dann das soeben genannte ping-Kommando ein. Wenn das funktioniert, werden Ihnen Antwortzeiten angezeigt. Funktioniert es nicht, sehen Sie lediglich die Meldung Zeitüberschreitung der Anforderung. Falls Sie die IP-Adresse des anderen PCs nicht erreichen können, finden Sie weitere Informationen zur Fehlersuche in Kapitel 29, »Troubleshooting«. Der ping von Windows zeigt die Antwortergebnisse auf Millisekunden genau an. Unter Linux ist die Ausgabe der Antwortzeiten noch genauer; für Windows können Sie alternativ das Programm hrping verwenden. Dieses zeigt die Antwortzeiten in Mikrosekunden an, also sehr genau. Weitere Informationen zu hrping finden Sie unter http://www.cfos.de/en/ping/ping.htm.
Wenn Sie die Eigenschaften von TCP/IPv4 aufrufen, gibt es neben Allgemein den Reiter Alternative Konfiguration. Letzterer erscheint nur, wenn die IP-Konfiguration unter Allgemein auf IPAdresse automatisch beziehen gesetzt ist, wenn also DHCP verwendet wird. Wozu gibt es diese Alternative Konfiguration? Der von Microsoft angedachte Anwendungsfall ist die Verwendung eines Notebooks im Firmen-LAN mit DHCP-Server (Reiter Allgemein) und zu Hause ohne DHCP-Server und ohne APIPA, sondern mit der alternativen IP-Konfiguration. Sollten Sie kein DHCP verwenden, dann müssen Sie die IP-Adresse, die Subnetzmaske und das Standardgateway wie gehabt manuell eintragen (siehe Abbildung 26.6). Damit die Namensauflösung – beispielsweise für das Surfen im Internet – funktioniert, müssen Sie auch einen DNS-Server angeben. Üblicherweise ist dies die IPAdresse des Internetrouters in Ihrem LAN.
Abbildung 26.6 Die alternative Konfiguration
Über die Schaltfläche Erweitert… können Sie z. B. eine zweite IPAdresse konfigurieren, ein zweites Standardgateway eintragen oder weitere Einstellungen zur Namensauflösung vornehmen. Einen Einstieg in die Analyse von Problemen mit Ihrer IPv4Konfiguration bietet Abschnitt 29.4, »Windows-Bordmittel«.
26.4 IPv6-Konfiguration IPv6 (siehe Abschnitt 14.7, »IP-Version 6«) ist seit Windows Vista fester Bestandteil des Betriebssystems. Für die Konfiguration von IPv6 bieten sich Ihnen mehrere Möglichkeiten: automatische linklokale Adressen manuelle IPv6-Konfiguration IPv6-fähiger DHCP-Server (siehe Abschnitt 19.3.2, »DHCPv6«) In Abschnitt 14.7, »IP-Version 6«, beschreibe ich, dass die Stateless Address Autoconfiguration (SLAAC) die Verwendung von DHCP weitestgehend überflüssig macht. Daher ist es üblich, IPv6 ohne DHCP zu verwenden. Das Betriebssystem errechnet anhand der MAC-Adresse eine sogenannte linklokale Adresse nach dem EUI64-Standard. [+] Windows-Versionen ab Windows Vista verwenden vorrangig IPv6. Ist eine IPv6-Adresse vorhanden, wird sie auch verwendet. Sehen können Sie dies, indem Sie einen ping auf den Namen localhost absetzen (siehe Abbildung 26.7). Die IPAdresse ::1 ist die Entsprechung zu 127.0.0.1 bei IPv4.
Abbildung 26.7 »ping« auf »localhost« mit IPv6
Normalerweise sollten Sie bei IPv6 keine manuelle Konfiguration (siehe Abbildung 26.8) vornehmen müssen. Einen Einstieg in die Analyse von Problemen mit Ihrer IPv6-Konfiguration bietet Abschnitt 29.4, »Windows-Bordmittel«.
Abbildung 26.8 Die IPv6-Konfiguration geschieht meist automatisch.
26.5 Windows-Firewall Microsoft spendierte seinem Betriebssystem mit dem Service Pack 2 von Windows XP zunächst eine sehr rudimentäre Firewall, die mit der Zeit nach und nach verbessert wurde. Ab Windows 7 kann ich sie für normale Anforderungen empfehlen. In der Systemsteuerung unter System und Sicherheit • Windows Defender Firewall sehen Sie den Status Ihrer lokalen Firewall (siehe Abbildung 26.9). Sie können die Windows-Firewall ein- oder ausschalten und über Benachrichtigungseinstellungen ändern entscheiden, ob Sie von einer Aktion der Firewall in Kenntnis gesetzt werden möchten oder nicht.
Abbildung 26.9 Windows unterscheidet private und öffentliche Netzwerke.
Mit der Funktion Eine App oder ein Feature durch die Windows-Firewall zulassen möchte Microsoft einen vereinfachten Zugang zur Firewall-
Konfiguration anbieten. Hier finden Sie Dienste wie z. B. den Remote Desktop Service. Es wird für alle Regeln zwischen den Netzwerkprofilen Privat und Öffentlich unterschieden. Je nach Typisierung der Netzwerkverbindung greifen also andere Regelsätze. [»] Während im Biergarten der Zugriff auf die freigegebenen Ordner unerwünscht ist, ist im eigenen LAN üblicherweise genau das gewollt. Diesem Umstand trägt die Firewall Rechnung und passt die Firewall-Regeln an, je nachdem, ob Sie sich in einem privaten oder öffentlichen Netzwerk befinden. Eine umfangreichere Übersicht bieten die erweiterten Einstellungen. Hier finden Sie unter den Windows-Firewalleigenschaften die Standardaktionen für eingehende Verbindungen und ausgehende Verbindungen und die Einstellungen zur Protokollierung (siehe Abbildung 26.10). Interessant für die Fehleranalyse ist der Ort der Logdatei in Verbindung mit der Option Verworfene Pakete protokollieren, die Sie jeweils für ein Profil separat festlegen.
Abbildung 26.10 Für jede Zone existiert eine angepasste Firewall.
[»] Die Logdatei der Firewall finden Sie, wenn Sie nichts anderes konfiguriert haben, im Verzeichnis %systemroot%/system32/LogFiles/Firewall. Sie können sie z. B. mit dem Programm Notepad öffnen, das Sie allerdings über das Kontextmenü als Administrator ausführen müssen. In Abbildung 26.11 finden Sie nähere Informationen zu zwei geblockten TCP-Paketen (siehe Kapitel 17, »Transmission Control Protocol«).
Abbildung 26.11 Das Logfile ist der Einstieg in die Netzwerkanalyse.
Die erweiterten Einstellungen unterscheiden Eingehende Regeln und Ausgehende Regeln (siehe Abbildung 26.12). Markieren Sie einen der Einträge, und erweitern Sie Ihre Firewall über Aktion • Neue Regel… um weitere Einträge.
Abbildung 26.12 Regeln können sehr effektiv gefiltert werden.
Im folgenden Dialog (siehe Abbildung 26.13) wählen Sie den Regeltyp aus. Sie können Regeln für ein ganz bestimmtes Programm oder für einen bestimmten Port erstellen. Microsoft bietet zusätzlich vordefinierte Regeln an. Eine benutzerdefinierte Regel ermöglicht eine Kombination aus Programmen und Ports.
Abbildung 26.13 Eine neue Regel für die Firewall entsteht.
Eine Firewall berücksichtigt die Quell- und Ziel-IP-Adresse sowie den Quell- und Ziel-TCP-/UDP-Port (siehe Kapitel 18, »User Datagram Protocol«). Die Portnummern sind weltweit einheitlich definiert, so hat z. B. HTTP die TCP-Portnummer 80. Den Wirkungsbereich der Regel legen Sie wieder über das Profil fest.
26.6 Jugendschutz Es ist ein Streitthema in vielen Familien: die Computernutzung durch die lieben Kleinen. Der Softwaremarkt bietet einige Programme, die die Nutzung limitieren oder gefährdende Webseiten blockieren. Microsoft hat ähnliche Funktionen integriert. Windows 8 verwaltet die Kinderkonten mit Family Safety noch lokal. Ab Windows 10 können Sie Familienmitglieder zwar unter Einstellungen • Konten • Familie und weitere Kontakte anlegen, deren Jugendschutzeinstellungen aber nur noch im Account des Administrators online verwalten. Dafür ist leider eine unangemessen umfangreiche Registrierung der Kinder notwendig. Von Vorteil ist, dass die einmalig zentral getroffenen Festlegungen automatisch für sämtliche Geräte gelten, an denen sich der Nachwuchs mit seinem Microsoft-Konto anmeldet. Sie können als Administrator die Nutzung des PCs z. B. auf solche Zeiten beschränken, in denen Sie die Kinder beaufsichtigen. Doch die Möglichkeiten gehen noch deutlich weiter. Schalten Sie den Jugendschutz für einen Benutzer aktiv, können Sie mehrere Optionen auswählen, die Sie Abbildung 26.14 entnehmen können.
Abbildung 26.14 Jugendschutz im Überblick
Sie können mit Hilfe des Jugendschutzes sehr viele Onlineaktivitäten kontrollieren. Jedoch würde es den Rahmen dieses Buches sprengen, alle Möglichkeiten der Jugendschutzeinstellungen aufzulisten. Ich möchte mich daher auf den Bereich konzentrieren, der etwas mit Netzwerken zu tun hat: den Webfilter. Die Filter eines Webbrowsers arbeiteten früher nur mit gesperrten Begriffen, die auf der Webseite im Text enthalten waren oder für Namen von Bildern verwendet wurden. So wurden Bilder – egal welchen Inhalts – gesperrt, die beispielsweise msexplore.jpg hießen, weil dort die Buchstabenfolge »sex« im Namen enthalten war. Der Fokus der Filterung lag dabei auf pornografischen Seiten und Seiten über Rauschmittel, während Hassrede und Bombenbau weitestgehend zugänglich blieben. Mittlerweile arbeiten die Webfilter und Suchfilter der großen Suchmaschinen deutlich zuverlässiger. Interessant finde ich die Möglichkeit, beim Webfilter von Microsoft für Ausnahmefälle die Zustimmung der Eltern einzuholen (siehe Abbildung 26.15).
Natürlich funktioniert das nur mit Browsern aus dem Hause Microsoft (siehe Abschnitt 26.16, »Microsoft Edge«). Weitere Möglichkeiten des Jugendschutzes auf der Basis Ihres Netzwerks finden Sie in Abschnitt 20.4.2, »DNS als Filter«, und Abschnitt 42.2, »Web Proxy Appliance«.
Abbildung 26.15 Die Zustimmung kann sogar per E-Mail eingeholt werden.
26.7 File History Vielleicht haben Sie sich schon einmal eine Funktion wie Apple Time Machine (siehe Abschnitt 45.5, »macOS Time Machine«) für ein Windows-Betriebssystem gewünscht? Mit File History können Sie Sicherungskopien von Verzeichnisinhalten zu definierten Zeitpunkten einrichten (siehe Abbildung 26.16).
Abbildung 26.16 File History in der Übersicht
Dabei sind Sie auf persönliche Dateien aus Ihren Bibliotheken, den Desktopinhalt, Kontakte und Favoriten beschränkt. Den Inhalt der Bibliotheken können Sie mit dem Windows-Dateiexplorer verwalten. Im Kontextmenü eines Verzeichnisses finden Sie die Aktion In Bibliothek aufnehmen. Natürlich können Sie einzelne Ordner und Unterordner aus der Bibliothek von der Sicherung ausschließen. Sie aktivieren File History über die Schaltfläche Systemsteuerung • System und Sicherheit • Dateiversionsverlauf • Aktivieren.
26.7.1 Ein Laufwerk auswählen Zunächst müssen Sie ein Laufwerk auswählen. File History kann ein lokal angeschlossenes externes Laufwerk oder eine Netzwerkfreigabe als Sicherungsmedium verwenden (siehe Abbildung 26.17).
Abbildung 26.17 Sie haben die Auswahl: lokales oder entferntes Sicherungsmedium?
Falls Sie Mitglied einer Heimnetzgruppe sind, möchten Sie anderen Mitgliedern vielleicht die Verwendung dieses Laufwerkes für File History empfehlen, was Ihnen im Anschluss angeboten wird.
26.7.2 Erweiterte Einstellungen In den Erweiterten Einstellungen können Sie das Sicherungsintervall und die Aufbewahrungsdauer der Sicherung festlegen (siehe Abbildung 26.18). Mit der Funktion Versionen bereinigen können Sie alte Sicherungen löschen und Speicherplatz freigeben.
Abbildung 26.18 File History im Detail
26.7.3 Restore Mit File History können Sie jede gesicherte Datei wiederherstellen und dabei die Version auswählen. Der Dialog öffnet sich nach einem Klick auf Persönliche Dateien wiederherstellen (siehe Abbildung 26.19). Bei mehreren gesicherten Versionen können Sie jeweils die Vorherige Version und die Nächste Version wählen.
Abbildung 26.19 Welche Version ist die richtige? Die Vorschaufunktion könnte helfen.
26.8 Windows Defender Bei Spyware (dt. Spionageprogramm, siehe Kapitel 33, »Sicherheit und Datenschutz im LAN und im Internet«) handelt es sich um Programme, die meist mit nützlichen Programmen mitgeliefert werden. Die Spyware ermittelt das Surfverhalten des Nutzers, meldet dieses über das Internet an einen Spywareanbieter, und dieser verkauft seine Informationen z. B. an einen Werbeanbieter. Dieser ist dann z. B. mit Hilfe einer Advertisement Software (Adware, dt. Reklamesoftware) in der Lage, dem Benutzer Werbung zu zeigen, die auf ihn zugeschnitten ist. So weit die harmlose Variante. Eine bösartige Ausführung zeichnet als Keylogger Tastatureingaben auf, fertigt Screenshots an und versendet diese an den Auftraggeber. Um Ihre Privatsphäre zu schützen, sollten Sie eine Antispyware einsetzen. Das bekannteste Programm ist Ad-Aware. Das für den privaten Gebrauch kostenfreie Programm finden Sie im Internet unter https://www.adaware.com/de. Microsoft bietet mit dem Windows Defender eine kostenfreie Software an, die als Antispyware arbeitet und ab Windows XP installiert werden kann. Mit Windows 8 wurde dem Defender eine umfassende Aufwertung zuteil. Vielleicht kennen Sie die kostenlosen Microsoft Security Essentials für Windows-Betriebssysteme. Diese sind im Windows Defender aufgegangen. Windows 8 integriert somit einen Virenscanner (siehe Abschnitt 33.4.2, »Virenscanner«) in den Defender. Ab Windows 8.1 analysiert der Defender das Netzwerk auf typisches Verhalten von Schadsoftware, wodurch bekannte und unbekannte
Eindringlinge entdeckt und unschädlich gemacht werden. Außerdem wurde der Schutz auf ausführbare Inhalte im Internet Explorer – z. B. ActiveX – ausgedehnt.
Abbildung 26.20 Die Security Suite zeigt relevante Informationen sehr übersichtlich.
Mit dem Windows 10 Creators Update wurde aus dem Defender das Windows Defender Security Center (siehe Abbildung 26.20). Ähnlich wie ein Virenschutz überwacht der Defender die Systemaktivität und warnt, wenn eine bekannte Spyware installiert werden soll. [+] Die meisten Antivirus-Programme decken den Bereich Antispyware ebenfalls ab. Es ist der Performance eines PCs abträglich, wenn mehrere Programme parallel versuchen, dieselbe Aufgabe zu erledigen. Entsprechend sollten Sie den Defender deaktivieren, wenn Ihr Virenschutzprogramm auch vor Spyware schützt. Das übernimmt zumeist die Installationsroutine des Virenschutzprogrammes. Umgekehrt müssen Sie das Virenschutzprogramm in der Regel deinstallieren, wenn Sie den Defender wieder aktivieren möchten. Wenn Sie dem Microsoft SpyNet beitreten, werden die Ergebnisse des Defenders an Microsoft gesendet. So können die DefenderSignaturen laufend aktualisiert werden.[ 21 ]
26.9 Microsoft-Konto Die ab Windows 7 ins Betriebssystem integrierte Live ID (siehe Abschnitt 26.14, »Microsoft-Konto verknüpfen«) bekam mit Windows 8 noch mehr Bedeutung. Benutzer können sich mit ihrer Windows Live ID am System anmelden. Ab Windows 10 spricht man nicht mehr von der Live ID, sondern vom Microsoft-Konto. Dieses bietet Ihnen einen einheitlichen Zugang zu den Cloud-Diensten von Microsoft, wie z. B. OneDrive (siehe Abschnitt 48.3.2, »Microsoft OneDrive«), Skype (siehe Abschnitt 47.7.1, »Skype: Einfacher geht es nicht«) oder Office (siehe Abschnitt 48.3.1, »Microsoft Office Online und Office 365«). Insgesamt wird die effektive Nutzung der MicrosoftCloud dadurch deutlich einfacher.
26.10 Einstellungen synchronisieren Sie können Ihre persönlichen Einstellungen mit Ihrem MicrosoftKonto verknüpfen (siehe Abbildung 26.21). Diese Einstellungen sind immer verfügbar, sobald Sie sich mit diesem Microsoft-Konto auf irgendeinem Endgerät mit Windows 8, Windows 10 oder Windows 11 anmelden. Die Einstellungen werden auf Wunsch in der Cloud abgelegt. Nach einer erfolgreichen Anmeldung wird das entsprechende Gerät im Hintergrund synchronisiert. Über Einstellungen • Konten gelangen Sie zum Punkt Einstellungen synchronisieren. Hier entscheiden Sie, ob und welche Einstellungen mit der Microsoft Cloud synchronisiert werden sollen.
Abbildung 26.21 Welche Einstellungen sollen in die Cloud?
Unter den vielen Optionen möchte ich besonders den Punkt Kennwörter hervorheben. Der Credential Manager speichert die Login-Informationen verschiedener Anwendungen, Internetseiten, Netzwerke und Heimnetzgruppen. Er arbeitet vergleichbar mit einem Passwortmanager eines Browsers. Die Login-Informationen werden auf Wunsch in der Microsoft Cloud gespeichert. [!] Der Credential Manager und die Passwort-Synchronisation sind in Kombination ein zweischneidiges Schwert. Viele Benutzer verwenden im Internet eines oder wenige Kennwörter für mehrere Dienste, da sie sich verschiedene nicht merken können oder wollen. Ein Passwortmanager im Betriebssystem bietet Abhilfe und speichert auch komplizierteste Passwörter. Der WindowsPasswortmanager setzt natürlich ein vertrauenswürdiges Endgerät mit Windows-Betriebssystem voraus. Wer die Zugangsdaten zu Ihrem Windows-Konto ausspäht, der erhält gleichzeitig alle synchronisierten Kennwörter auf dem Silbertablett. [+] Sollte das Passwort Ihres Windows-Kontos unbefugt geändert worden sein, akzeptiert ein Gerät mit Windows-Betriebssystem auch das zuletzt bei einer Anmeldung erfolgreich verwendete Passwort.
26.11 Bildcode Der Bildcode ist eine neue Art der Benutzerauthentifizierung, die in erster Linie für Endgeräte mit Touchscreen gedacht ist. Theoretisch können Sie auch eine Maus verwenden. Zur Einrichtung des Bildcodes wählen Sie zunächst ein geeignetes Bild aus, auf dem Sie dann nacheinander drei Gesten – Striche oder Kreise – zeichnen. [+] Auch wenn für einen Benutzer der Bildcode eingerichtet ist, kann er sich weiterhin über die Schaltfläche Zu Kennwort wechseln mit seinem Passwort anmelden. Ein Bildpasswort ist grundsätzlich genauso sicher und unsicher wie ein normales Passwort. Detailreichtum und etwas Kreativität sollten Sie unbedingt einbringen.
26.12 Client HyperV Microsoft bot mit Windows Virtual PC 2007 eine Virtualisierungslösung (siehe Kapitel 41, »Virtualisierung«) für Hosts mit Windows 7 und Gäste mit Windows 7, Windows Vista oder Windows XP. Ab Windows 8 hat Microsoft Client HyperV integriert, das zuvor nur auf Windows-Server-Betriebssystemen angeboten wurde. Client HyperV bietet im Vergleich zu Virtual PC interessante Funktionen: Snapshots: Der Zustand einer kompletten virtuellen Maschine wird gesichert. Dynamic Memory: Der virtuellen Maschine wird ein minimaler und maximaler Speicherverbrauch zugewiesen (Memory Oversubscription). Live Storage Move: Virtuelle Maschinen können zur Laufzeit auf ein anderes Speichermedium (auch im Netzwerk) verschoben werden. Es gibt jedoch auch Nachteile. Diese wiegen insgesamt so stark, dass ich mich gegen eine detaillierte Beschreibung von Client HyperV in diesem Buch entschieden habe. Die Windows-Standardversionen unterstützen kein Client HyperV. Zwingend erforderlich ist die Prozessoreigenschaft Second-Level Address Translation (SLAT).
Es mangelt an Komfort (z. B. Drag and Drop, automatische Anpassung von Größe und Auflösung).
26.13 Netzwerk- und Freigabecenter Die Motivation, im kleinen Rahmen ein Netzwerk aufzubauen, entsteht oftmals aus dem Wunsch heraus, Dateien zwischen mehreren PCs bequem auszutauschen oder Dokumente an nicht lokal angeschlossenen Druckern auszudrucken. Nicht nur in reinen Windows-Netzwerken sind Freigaben möglich. Für heterogene Netzwerke steht Ihnen Samba zur Verfügung (siehe Abschnitt 43.7, »Samba als Fileserver«). Wenn der Netzwerkordner richtig eingerichtet ist, können Sie darin genauso navigieren und arbeiten wie in einem Ordner auf Ihrer lokalen Festplatte. Windows fasst schon seit der Version Vista die bis dahin getrennten Einstellungen für Netzwerke und Freigaben (Drucker-, Datei- und Laufwerksfreigaben) im Netzwerk- und Freigabecenter zusammen. Sie erkennen für jede Netzwerkverbindung, ob es sich um ein privates oder öffentliches Netzwerk handelt (siehe Abbildung 26.22).
Abbildung 26.22 Netzwerk- und Freigabecenter
26.13.1 Öffentliches oder privates Netzwerk Für Freigaben ist entscheidend, welchen Netzwerktyp Sie konfiguriert haben. Wenn Sie Ihren PC an ein Netzwerk anschließen, würden Sie instinktiv überlegen, welchen Vertrauensstatus dieses Netzwerk in Ihren Augen genießt. Für Ihre Entscheidung wären sicherlich einige Fragen relevant: Wie gut kenne ich den Betreiber bzw. Administrator und die anderen Teilnehmer? Ist der Teilnehmerkreis klar umgrenzt, z. B. ein Firmennetzwerk? Wie gut ist das Netzwerk gegen Fremdzugriff geschützt? Je mehr dieser Fragen Sie positiv beantworten können, desto höher ist der Vertrauensvorschuss, den Sie dem neuen Netzwerk gewähren können. Windows bietet Ihnen zwei Gruppen an und unterscheidet zwischen öffentlichen und privaten Netzwerken. Wie im Abschnitt über die Firewalls dargestellt, passt die Firewall ihr Regelwerk an, je nachdem, ob Sie sich in einem öffentlichen oder einem privaten Netzwerk befinden. Beim Einrichten eines Netzwerkes werden Sie gefragt, ob Ihr PC von anderen Netzwerkteilnehmern gefunden werden soll. Stimmen Sie zu, konfiguriert Windows ein privates Netzwerk, anderenfalls ein öffentliches. Den Netzwerktyp einer in Verwendung befindlichen Verbindung können Sie nachträglich über Einstellungen • Netzwerk und Internet • Status • Verbindungseigenschaften ändern anpassen (siehe Abbildung 26.23).
Abbildung 26.23 Der Netzwerktyp kann öffentlich oder privat sein.
[!] Sollte das aktuell verwendete Netzwerk ein öffentliches sein, schlägt Ihnen Windows gegebenenfalls auch die Umwandlung in ein privates Netzwerk vor. Dies sollten Sie selbstverständlich nur zulassen, wenn es sich um ein vertrauenswürdiges Netzwerk handelt, und nicht, wenn Sie über einen WLAN-Hot-Spot bei Starbucks surfen. [!] Sie können natürlich die Firewall- und Sicherheitseinstellungen konfigurieren und die Freigaben so anpassen, dass sie jeweils auch in öffentlichen Netzwerken verfügbar sind. Empfehlen möchte ich dies nicht, denn damit steigt die Wahrscheinlichkeit, dass bei einem Besuch eines Hot Spots Freigaben sichtbar sind. Nutzen Sie die Trennung von Windows, und deklarieren Sie nur private Netzwerkverbindungen als privat. Damit sind alle übrigen Netzwerkverbindungen öffentlich, und die Firewall arbeitet dort restriktiver.
26.13.2 Netzwerkerkennung und Freigabeoptionen
Weitere Freigabeoptionen für die Netzwerkprofile verbergen sich hinter dem Punkt Erweiterte Freigabeeinstellungen ändern (siehe Abbildung 26.24).
Abbildung 26.24 Die Netzwerkprofile entscheiden über das Verhalten des Adapters.
Eine kurze Erläuterung der einzelnen Möglichkeiten macht deutlich, wie die einzelnen Freigabeoptionen den Zugriff steuern. Netzwerkerkennung: Ihr PC wird in der Netzwerkumgebung angezeigt. Datei- und Druckerfreigabe: Aktiviert die Dateifreigabe und Druckerfreigabe. Freigabe des öffentlichen Ordners: Dieses besondere Verzeichnis (siehe Abschnitt 26.13.4, »Öffentlicher Ordner«) vereinfacht die Freigabe.
Medienstreaming: Die Freigabe von Mediadateien ermöglicht Medienstreaming (siehe Abschnitt 26.13.7, »Medienstreaming«). Dateifreigabeverbindungen: Ist sie mit 128 Bits nicht möglich, können Sie alternativ die Verschlüsselung mit 40 Bits oder 56 Bits zulassen. Kennwortgeschütztes Freigeben: Wenn dieser Punkt aktiviert ist, muss sich der Nutzer mittels Benutzerkonto und Kennwort authentifizieren, damit er auf eine Freigabe zugreifen kann.
26.13.3 Dateifreigaben einrichten Unter Windows gibt es zwei für Freigaben relevante Berechtigungen: zum einen die Berechtigung, auf eine Freigabe zuzugreifen (Freigabeberechtigung), und zum anderen die NTFSBerechtigungen einer Datei (Dateisystemberechtigung). Beide Berechtigungen müssen erfüllt sein, damit Dateifreigaben funktionieren. Für die Synchronisation sorgt in der Regel der Freigabeassistent, den Sie mit Hilfe der Ordneroption Freigabeassistent verwenden (empfohlen) an- und abschalten können. Ich verwende in meinen Beispielen den Freigabeassistenten. [»] Sie können einzelne Dateien, Ordner oder ganze Laufwerke freigeben. Klicken Sie mit der rechten Maustaste auf einen Ordner, den Sie freigeben möchten. Unter Zugriff gewähren auf finden Sie Vorschläge für den zu berechtigenden Benutzerkreis: Zugriff entfernen Bestimmte Personen…
Sie können gezielt Bestimmte Personen… auswählen (siehe Abbildung 26.25).
Abbildung 26.25 Personen für die Freigabe auswählen
Jeder ist die richtige Auswahl, wenn Sie jedem Benutzer, der einen Account auf Ihrem PC besitzt, den Zugriff – auch über das Netzwerk – gewähren möchten. Zu jedem Nutzer können Sie folgende Rechte auswählen: Lesen: Lesen von Dateien und Ausführen von Programmen Lesen/Schreiben: Lesen, Ändern und Löschen von Dateien sowie Ausführen von Programmen
26.13.4 Öffentlicher Ordner Um auf noch einfachere Art und Weise Dokumente mit anderen Benutzern desselben PCs oder auch mit anderen Benutzern im Netzwerk austauschen zu können, hat Microsoft die Freigabe des öffentlichen Ordners erfunden. Ohne weitere Einstellung im Netzwerk- und Freigabecenter können nur lokale Benutzer des PCs den öffentlichen Ordner zum Datenaustausch nutzen. Sie können
den Ordner zusätzlich mit oder ohne Kennwortschutz für Benutzer im Netzwerk freigeben.
Abbildung 26.26 Der öffentliche Ordner ist bequem einzurichten.
Im Bereich Netzwerk- und Freigabecenter • Erweiterte Freigabeeinstellungen können Sie die Freigabe des öffentlichen Ordners definieren (siehe Abbildung 26.26). Diese können Sie unabhängig von anderen Freigaben steuern.
26.13.5 Netzlaufwerke Wenn Sie ein Netzlaufwerk einrichten, müssen Sie die Verbindung nicht jedes Mal wieder neu herstellen. Sie bestimmen, ob die Verbindung beim nächsten Start wiederhergestellt werden soll. Ein rechter Mausklick auf Arbeitsplatz bzw. Dieser PC oder die Netzwerkumgebung bzw. das Netzwerk bietet Ihnen die Funktion Netzlaufwerk verbinden… Sie können einen Laufwerksbuchstaben – z. B. z:\ – auswählen und die Anmeldeinformationen hinterlegen. Auf Wunsch kann die Verbindung bei jeder Anmeldung am System automatisch hergestellt werden. Sie können nun bequem und einfach Ihre Dokumente auf z:\ und damit direkt auf dem anderen PC speichern. Ein Netzlaufwerk erkennen Sie leicht am Symbol: Das Laufwerk hängt am Kabel (siehe Abbildung 26.27).
Abbildung 26.27 Netzlaufwerkssymbol: die Festplatte am Kabel
Die Geschwindigkeit von Laufwerksfreigaben liegt häufig unter den Möglichkeiten des Netzwerks. Dies liegt am CIFS-Protokoll, das für die Übertragung der Datenpakete verantwortlich ist. Im Extremfall beträgt der Geschwindigkeitsunterschied zwischen einer Laufwerksfreigabe und FTP bis zu 50 Prozent. Daher sollten Sie den Umstieg auf FTP prüfen, wenn Sie regelmäßig größere Datenmengen übertragen.
26.13.6 Druckerfreigabe Wenn Sie einen Drucker so freigeben möchten, dass andere Benutzer ihn nutzen können, gehen Sie analog zur Dateifreigabe vor. Sie klicken in der Systemsteuerung mit der rechten Maustaste auf den Drucker und wählen Druckereigenschaften • Freigabe. Im folgenden Dialog wählen Sie die Option Drucker freigeben. Windows schlägt Ihnen einen Freigabenamen vor, der dem Druckernamen entspricht. Eine weitere Konfiguration ist üblicherweise nicht erforderlich (siehe Abbildung 26.28).
Abbildung 26.28 Den Freigabenamen können Sie z. B. um den Standort erweitern.
Die Schaltfläche Zusätzliche Treiber… bietet die Möglichkeit, die Druckertreiber dieses Gerätes für andere Windows-Varianten zur Installation über das Netzwerk bereitzustellen. Über die versteckte Freigabe print$ können die Druckertreiber bezogen werden. Wenn Sie keinen Druckertreiber für das Betriebssystem zur Verfügung stellen, wird der Benutzer von seinem Client-PC aufgefordert, einen Treiber zu installieren. Die Option Druckauftragsaufarbeitung auf Clientcomputern durchführen verlagert Arbeit vom PC mit dem angeschlossenen Drucker auf die Client-PCs.
26.13.7 Medienstreaming
Das Medienstreaming ermöglicht es, per UPnP (siehe Abschnitt 22.1, »Universal Plug and Play«) Inhalte zu einem Empfänger zu streamen oder einen Stream von einem Mediaserver zu empfangen. Damit dies funktioniert, müssen alle beteiligten Geräte in einem IPSubnetz sein. Automatisch werden die benötigten TCP-/UDP-Ports in der Windows-Firewall (siehe Abschnitt 26.5, »Windows-Firewall«) geöffnet. Die Freigabe von Mediadateien ist nur eine von vielen Möglichkeiten, Multimedia über das Netzwerk zu verbreiten (siehe Kapitel 46, »Streaming Media«).
26.13.8 Versteckte Freigabe Ein Freigabename mit einem Dollarzeichen am Ende ist eine versteckte Freigabe. Das Wort »versteckt« drückt es gut aus: Benutzer können über diese Freigabe über die Netzwerkumgebung nicht finden. Selbstverständlich kann ein entsprechend berechtigter Benutzer nach wie vor eine Verbindung zu dieser Freigabe herstellen. Er muss nun allerdings den Namen dieser Freigabe kennen. Es gibt im LAN vordefinierte administrative Freigaben, z. B. $. [!] Versteckte Laufwerks- oder Druckerfreigaben sind kein Sicherheitsmechanismus!
26.13.9 Häufige Probleme Die Probleme beim Zugriff auf Freigaben resultieren oft aus der Benutzer-Authentifizierung. Geben Sie den Benutzernamen beim Verbinden mit einer Freigabe folgendermaßen ein: \
. Mit dieser Schreibweise fordern Sie den PC auf,
nicht den Benutzer des Client-PCs zu authentifizieren, sondern den auf mit der Freigabe. Sie werden sich fragen, warum das nicht ohne das Anlegen eines Benutzers geht, denn schließlich haben Sie den Vollzugriff für Jeder erlaubt. Jeder bezieht sich im Fall von Windows auf jeden, den das PC-System kennt, und darunter fallen nicht alle. Prüfen Sie, ob Sie – wie von mir empfohlen – den Freigabeassistenten aktiviert haben und ob das richtige Netzwerkprofil eingestellt ist (siehe Abschnitt 26.13.3, »Dateifreigaben einrichten«).
26.14 Microsoft-Konto verknüpfen Innerhalb Ihrer Heimnetzgruppe können Sie Freigaben grundsätzlich nur für die gesamte Gruppe oder lokal bekannte Benutzer einrichten. Eine feinere Rechtestruktur fehlt, da es an einer zentralen Benutzerverwaltung mangelt. Ein berechtigter Benutzer muss daher immer im Vorhinein auf allen beteiligten Systemen eingerichtet werden. Wenn Sie die Benutzerkonten jedoch jeweils mit einem MicrosoftKonto verknüpfen, wird ein Benutzer durch dieses Konto eindeutig identifizierbar, und eine Freigabe für einzelne mit einem MicrosoftKonto verknüpfte Benutzer ist möglich, ohne dass im Vorhinein ein Benutzerkonto auf dem freigebenden PC eingerichtet wurde. Ab Windows 8 ist die Anmeldung am System mit dem MicrosoftKonto möglich. Unter PC-Einstellungen • Konten stellen Sie ein lokales Konto auf das Microsoft-Konto um oder lösen diese Verbindung wieder (siehe Abbildung 26.29).
Abbildung 26.29 Hier wird ein lokales Konto mit einem Microsoft-Konto verknüpft.
26.15 Windows in verschiedenen Netzwerken Sie haben vielleicht ein Notebook, das Sie in verschiedenen Netzwerken verwenden möchten. Sollten alle Netzwerke die IPKonfiguration per DHCP erhalten, haben Sie zumindest immer eine gültige IP-Adresse. Weitere Einstellungen wie Proxy, Standarddrucker oder Netzwerkfreigaben werden jedoch nicht angepasst. Das kleine Hilfsprogramm Net Profiles (https://github.com/netprofilesmod) bietet sich als Lösung an, die allerdings Administratorrechte voraussetzt. Nach der Installation ändern Sie über Options • Select Your Language • Deutsch die Spracheinstellung (siehe Abbildung 26.30). Ein neues Netzwerkprofil legen Sie über die Schaltfläche Neues Profil an. Im Gegensatz zu vielen anderen Programmen können Sie neben einigen Netzwerkeinstellungen auch Proxyeinstellungen, anzubindende Netzlaufwerke, Standarddrucker, Programmausführungen, Hintergrundbild und WLANEinstellungen festlegen. Entweder schalten Sie die Netzwerkeinstellungen in der Oberfläche des Programmes um, oder Sie legen Verknüpfungen auf dem Desktop an. Die Möglichkeiten gehen weit über das hinaus, was mit Windows-Bordmitteln realisiert werden kann. Mit der Alternativen Konfiguration (siehe Abschnitt 26.3, »IPv4Konfiguration«) können Sie zwei IP-Konfigurationen – z. B. Büro und zu Hause – verwalten.
Abbildung 26.30 Net Profiles verwaltet Konfigurationen.
Die Netzwerkprofile erlauben es Ihnen, abhängig von der Art des Netzwerks bestimmte Freigabeoptionen zu nutzen. So wird standardmäßig beim Typ öffentlich, also etwa einem Hot Spot, der Datenverkehr durch die Firewall restriktiv behandelt; der Typ privat erlaubt hingegen Datei- und Druckerfreigaben.
26.16 Microsoft Edge Microsofts neuer Browser ersetzt den in die Jahre gekommenen Internet Explorer. Er bietet interessante Neuerungen: Webseiten können im Browser mit Kommentaren versehen werden. Im Lesemodus, der durch einen Klick auf ein kleines Buch in der Adresszeile
aktiviert wird, werden störende Elemente ausgeblendet. Der Browser integriert die Sprachsteuerung Cortana. Mittels Casting können Bilder, Videos und Audioinhalte über Miracast und DLNA
(siehe Kapitel 46, »Medienstreaming«) im Netzwerk gestreamt werden. In den Anfängen von Edge habe ich noch klar von seinem Einsatz abgeraten. Mit jedem Update von Windows ist der Browser allerdings komfortabler, schneller und sicherer geworden. Dies erst recht, seit Microsoft mit der Version 20H2 von Windows 10 die Basis des Edge auf den Chromium (https://www.chromium.org) umgestellt hat. [+] Auf der Internetseite https://www.microsoft.com/de-de/edge können Sie den Browser auch für Windows 8, Linux, macOS, iOS oder Android herunterladen.
26.17 Windows-Subsystem für Linux Wenn Sie die Arbeit mit der Bash (siehe Anhang A, »LinuxWerkzeuge«) gewohnt sind, können Sie die Möglichkeiten dieser Shell auch unter einem 64-Bit-Windows nutzen. Das WindowsSubsystem für Linux (WSL) bietet Linux-Distributionen eine Laufzeitumgebung an, die sich in vielerlei Hinsicht anfühlt wie ein natives Linux. Die Installation von WSL gelingt als Administrator mit dem Befehl wsl --install auf der Kommandozeile. Mit wsl --list -online erhalten Sie einen Überblick über die installierbaren LinuxDistributionen. Mit dem Kommando wsl --install -d installieren Sie die Distribution Ihrer Wahl. Alternativ suchen Sie sich Ihre bevorzugte Linux-Distribution im Microsoft Store aus. Während der Installation legen Sie einen Benutzernamen und ein Passwort für den WSL-Benutzer fest (siehe Abbildung 26.31). Der Benutzername muss dabei nicht einem Kontonamen des Windows-Betriebssystems entsprechen.
Abbildung 26.31 Das Passwort benötigen Sie u. a. für das Kommando »sudo«.
[+] Das Kommando wsl -l -v listet nähere Informationen über Ihre Distributionen auf. Sollten Sie bereits WSL 1 installiert haben, dann können Sie die Standardversion, die für den Start Ihrer Linux-
Distributionen genutzt werden soll, mit dem Kommando wsl --setdefault-version 2 auf WSL 2 anpassen. Mit wsl --set-version passen Sie unabhängig davon die Version gezielt für einzelne Distributionen an. Mit dem Kommando bash starten Sie nun jederzeit eine LinuxDistribution auf Ihrem Windows-PC. Alternativ bietet die App Windows Terminal einen komfortablen Zugriff – nicht nur auf die Kommandozeile Ihrer WSL-Linux-Shell. [+] Auf die Dateien einer laufenden WSL-Linux-Distribution können Sie sehr bequem mit dem Windows-Explorer über die automatisch eingerichtete Netzwerkfreigabe zugreifen (siehe Abbildung 26.32).
Abbildung 26.32 Zugriff auf Ihr Linux bietet auch der Explorer.
[+] Im Microsoft Store finden Sie die App Windows Subsystem for Linux von Microsoft, die nach der Installation unter Windows 11 die Updates für WSL von den Updates des Betriebssystems entkoppelt.
26.18 Smartphone mit Windows verknüpfen Mit der App Ihr Smartphone aus dem Microsoft Store können Sie Ihren PC mit Ihrem Smartphone verknüpfen. Nutzer von iOS profitieren davon nur sehr bedingt und können das geräteübergreifende Teilen von Webseiten mit Hilfe des hauseigenen Browsers Edge (siehe Abschnitt 26.16, »Microsoft Edge«) leichter umsetzen. Für Android-Smartphones sind die Funktionen deutlich interessanter. Einige Beispiele möchte ich erwähnen: Anrufe, SMS und Benachrichtigungen vom PC aus steuern sofortiger Zugriff auf neue Fotos und Videos, die mit dem mobilen Gerät aufgenommen wurden Übertragung von Dateien auf der Basis von Microsoft OneDrive (siehe Abschnitt 48.3.2, »Microsoft OneDrive«)
27 Linux einrichten Wer denkt, es gäbe schon viele Windows-Versionen, der kennt noch
nicht die bunte Linux-Vielfalt. Als Linus Torvalds im Jahr 1991 den ersten Linux-Kernel in der Version 0.01 zur Diskussion ins Netz stellte, konnte er nicht ahnen, welche Lawine er damit auslöste. Von Anfang an war TCP/IP ein fester Bestandteil von Linux. Dies könnte man als Sachzwang bezeichnen, denn die Entwicklung des Betriebssystems und unzähliger Programme wurde vornehmlich über das Internet vorangetrieben. Rasch fanden sich in diesem neuen Medium unzählige freiwillige Programmierer, die sich für die Idee der freien Software begeisterten. Die Entwickler der Software rund um Linux stellen ihre Software häufig unter die GNU General Public License (GPL, siehe http://www.gnu.org). Software unter dieser Lizenz zeichnet sich insbesondere durch den Gedanken der Freiheit aus. Dabei ist nicht Freiheit im Sinne von Freibier, sondern eher im Sinne der Redefreiheit gemeint. Alle Quellen der Software unter der GPL müssen für Entwickler und Interessierte zugänglich und verfügbar sein. In diesen Wirren unzähliger Entwickler und Richtungen muss es Standards geben, an die sich alle halten. Unter anderem werden die Linux-Kernel versioniert und tauchen in diesen Versionen bei den
Distributoren wie z. B. Red Hat, SUSE und Debian wieder auf. Dabei bedeutet eine gerade Zahl nach dem Punkt immer, dass es sich um einen stabilen Kernel handelt. Die Kernel-Version des Distributors ist nicht zu verwechseln mit der Version des Verkaufspaketes. [o] Ich konzentriere mich in diesem Buch auf SUSE. Diese Distribution erfreut sich im deutschsprachigen Raum großer Beliebtheit. openSUSE ist ein Ableger, der sich ausschließlich auf die GPL-Bestandteile der Distribution konzentriert. Der Server siegfried6 basiert auf einem von mir für dieses Buch vorkonfiguriertem openSUSE Leap 15. Testen Sie ausführlich die Annehmlichkeiten dieses Systems in Kapitel 43, »siegfried6 – ein vielseitiger Server«. Zusätzlich erhalten Sie mittels Raspberry Pi OS (siehe Abschnitt 54.5, »Auswahl des Betriebssystems für den Raspberry Pi«) einen Einblick in eines der vielen Debian-Derivate, zu denen u. a. Ubuntu gehört.
27.1 Dokumentation Von Linux wird behauptet, es sei das am besten dokumentierte Betriebssystem überhaupt. Aber man sollte wissen, wo man suchen muss. Ich möchte Ihnen eine kleine Systematik zeigen, nach der Sie vorgehen können, wenn Sie Informationen suchen. Die erste Informationsquelle des Administrators ist das Manual (dt. Anleitung). Mit Manual ist nicht eine gedruckte Anleitung wie die Ihres Fernsehers gemeint. Mit dem Befehl man erhalten Sie in einer Shell Einsicht in die Manpage (dt. Handbuchseite) zum gewünschten Thema (siehe
Abbildung 27.1). Mit der Leertaste blättern Sie nach unten, mit (q) verlassen Sie das Manual.
Abbildung 27.1 Der Hilfebrowser »man«
Frequently Asked Questions (FAQ, dt. häufig gestellte Fragen) begleiten die Dokumentation vieler Softwarepakete. Auch im Internet finden Sie FAQs zu vielen Linux-Themen und aus ganz verschiedenen Quellen. HOWTOs sind systematischer aufgebaut als FAQs. Sie sind oft sehr umfangreich und eignen sich daher sowohl für unerfahrene Benutzer als auch für alte Hasen, die sich in ein Thema einlesen wollen. SUSE installiert viele dieser HOWTOs im Verzeichnis /usr/share/doc/manual. Viele Softwarepakete bringen eine eigene Dokumentation mit, die Sie in den Unterverzeichnissen von /usr/share/doc/packages finden. Das Linux Documentation Project (LDP) bietet Bücher und Dokumente zu etlichen Themen an. Der Großteil der Bücher ist in englischer Sprache, einige sind auch auf Deutsch erhältlich. Auf der
Website http://www.tldp.org finden Sie ganz nebenbei auch Manpages, HOWTOs und FAQs. Es gibt außerdem unzählige gute Foren im Internet. Dort können sowohl Anfänger wie auch Fortgeschrittene unter Ihnen ihre Probleme schildern. Wenn Sie dann Erfahrung gesammelt haben, können Sie sie später selbst an andere weitergeben. Eine Suchmaschine empfehle ich erst für den zweiten Schritt. Ohne die Suche geschickt einzugrenzen, werden Sie von der Zahl der Ergebnisse erschlagen. Trotzdem kenne ich viele Einsteiger, die Suchmaschinen bemühen und ihre Frage im Forum posten, ohne zuvor eine Manpage oder ein HOWTO gelesen zu haben.
27.2 Administration Die Vielfalt der Programme und Distributionen führt oftmals dazu, dass sich der weniger erfahrene Anwender nicht mit Linux befassen möchte. Das liegt auch daran, dass sich die Distributoren bis heute nicht auf ein einheitliches System geeinigt haben. Dateien liegen manchmal bei dem einen dort, beim nächsten woanders. Ein so mächtiges Administrationstool wie YaST2 (Yet another Setup Tool) gibt es nur für SUSE. Einen erfahrenen Anwender kann das nicht schockieren, aber manch Otto-Normal-Linuxer wünscht sich am Anfang doch seine gewohnte Windows-Klick-Umgebung zurück. Aus diesem Grund verwende ich in diesem Buch neben YaST2 soweit möglich das Administrationstool Webmin (siehe Abschnitt 43.5, »Webmin«). Webmin kann mit Hilfe des Betriebssystems weitgehend erkennen, wo welche Konfigurationsdatei zu finden ist. Wenn Sie mit Webmin umgehen können, dann können Sie bei der Administration jedes UNIX- oder Linux-Systems zumindest ein Wörtchen mitreden. [o] Falls Sie Webmin auf einem anderen Linux-System installieren möchten, finden Sie die dafür notwendigen Dateien bei den Download-Materialien im Verzeichnis /software/administration/webmin. Die Anleitungen zur Installation und mehr Informationen finden Sie im Internet auf der Webmin-Website (http://www.webmin.com). [+] Natürlich können Sie Webmin auch auf Ihrem Raspberry Pi (siehe Kapitel 54, »Raspberry Pi«) installieren und nutzen.
Administrationsarbeit erledigt in der Regel der Benutzer root. Außerhalb des Heimatverzeichnisses stoßen andere Benutzer schnell an die Grenzen ihrer Berechtigungen. Wenn Sie mit einer Shell arbeiten, können Sie sich mit dem Kommando whoami Klarheit über Ihre Identität verschaffen. Linux lässt sich ganz ohne grafische Werkzeuge administrieren. Sie können jede Datei einzeln mit einem Editor bearbeiten. Meine Empfehlung lautet, für die unterschiedlichen administrativen Aufgaben jeweils das individuell beste Werkzeug zu verwenden. Das könnte für SUSE YaST2, Webmin, der Editor auf der Kommandozeile oder auch ein grafisches Werkzeug[ 22 ] sein. An einigen Stellen offenbaren grafische Tools ihre Unzulänglichkeiten. In diesem Fall ist ein guter Editor der einzig erfolgversprechende Weg, den Inhalt einer Konfigurationsdatei zu manipulieren. Ich verwende den Editor vi, der in der UNIX-Welt weit mehr als nur ein einfacher Texteditor ist. Er wurde entwickelt, als die verschiedenen Terminals[ 23 ] mit sehr unterschiedlichen Tastaturbelegungen aufwarteten. Um ein unabhängiges Werkzeug zu schaffen, bildeten die Entwickler viele Funktionen des Editors auf der Standardtastatur ab. Den Umgang mit dem vi lernen Sie in Abschnitt A.3, »Der Editor vi«. Aller Anfang ist schwer, aber die Mühe lohnt sich! Die Kommandozeile (Eingabeaufforderung) von Linux ist Teil der Shell. Die Shell bietet im Gegensatz zur WindowsEingabeaufforderung deutlich mehr Möglichkeiten. Die Shell nimmt Kommandos entgegen, interpretiert diese und bietet jedem auszuführenden Programm eine definierte Umgebung. Wenn Sie in die Shell hineinschnuppern möchten, dann finden Sie ein paar Kommandos in Abschnitt A.2, »Grundbefehle«.
Die Konfiguration der Netzwerkkarte besteht eigentlich aus zwei Schritten. Zuerst muss der erforderliche Treiber für die Netzwerkkarte als Modul in den Kernel geladen werden. Danach kann die Karte über den Treiber konfiguriert werden. YaST2 arbeitet so, dass diese Unterteilung nicht sofort augenscheinlich wird.
27.3 Predictable Interface Names Früher wurden Netzwerkadapter vom Kernel einfach in der Reihenfolge ihres Erscheinens beim Systemstart durchnummeriert. Die erste Netzwerkkarte hieß also einfach eth0, die zweite eth1. Dieses simple Verfahren hat entscheidende Nachteile: Eine neu eingebaute oder eine ausgefallene Karte konnte die Reihenfolge der anderen Netzwerkinterfaces nachträglich beeinflussen. Eine Update des Betriebssystems oder der Treiber konnte zu einem Vertauschen in der Reihenfolge führen. Das Programm userspace /dev (udev) verwaltet die LinuxGerätedateienanhand von Regeln und kann den Namen eines Netzwerkinterface z. B. anhand der MAC-Adresse eindeutig und resistent festlegen. Die Namen der Interfaces sind in einigen Distributionen nun abhängig vom Ort des Einbaus, was Vorteile mit sich bringt: Der Steckplatz ist eindeutig und macht den Namen des Netzwerkinterface schon vor seinem Einbau vorhersagbar. Bei einem Austausch einer defekten Netzwerkkarte gegen eine Karte im gleichen PCI-Slot muss keine Anpassung im Betriebssystem mehr vorgenommen werden, da die IPKonfiguration nicht mehr an der MAC-Adresse, sondern am Steckplatz festgemacht wird. Der Predictable Interface Name setzt sich z. B. aus folgenden Elementen zusammen: en steht für ethernet
sl steht für serial line IP (slip) wl steht für wlan ww steht für wwan
[»] Darauf folgt der Ort der Karte. Die Bezeichnung enp0s17 vertritt eine Netzwerkkarte im PCI-Slot 17 auf dem Bus 0, eno123 eine Onboard-Karte, die mit dem Index 123 über das Advanced Configuration and Power Interface (ACPI) angesprochen wird.
27.4 Auswahl des Netzwerkmanagers Es gibt viele Möglichkeiten, Ihr Linux-Netzwerk zu verwalten. Sie bestimmen durch die Auswahl Ihres bevorzugten Netzwerkmanagers, wer die wesentlichen Funktionen der IP-Konfiguration (siehe Kapitel 14, »Das Internetprotokoll«) und der Übersetzung von Rechnernamen in Adressen (siehe Kapitel 20, »Namensauflösung«) übernimmt. Netzwerkmanager Werkzeuge zur DHCP Administration Client
systemd Units
Wicd
wicd.service
wicd-cli, wicd-
dhcpcd
curses
NetworkManager
nmcli, nmtui
intern, NetworkManager.service dhclient
systemd-networkd
networkctl
intern, systemddhclient networkd.service, systemdresolved.service
Tabelle 27.1 Linux-Netzwerkmanager im Überblick
Der DHCP-Client dhcpcd wird auch von Raspberry Pi OS verwendet (siehe Abschnitt 54.7.1, »IP-Konfiguration«). In der letzten Spalte der Tabelle finden Sie die Namen der jeweiligen Unit Files (siehe Abschnitt 27.7, »Das systemd-Projekt«). Sie aktivieren den NetworkManager-Dienst oder den Wicked-Dienst unter openSUSE über YaST2 • Netzwerkeinstellungen • Globale Optionen. Ich möchte Ihnen in den folgenden Abschnitten das Programm Wicked (Wicd), den NetworkManager und den systemdnetworkd vorstellen. Für einzelne Funktionen, z. B. den DHCP-
Client (siehe Kapitel 19, »DHCP«), bedienen sich die Netzwerkmanager teilweise externer Programme (siehe Tabelle 27.1).
27.5 NetworkManager Die grafische Konfigurationsoberfläche des NetworkManagers – enthalten in den Paketen NetworkManager-connection-editor und NetworkManager-applet – starten Sie per Mausklick aus der KDE heraus (siehe Abbildung 27.2).
Abbildung 27.2 NetworkManager bietet eine alternative zur Konfiguration mit YaST.
27.6 Wicd Der Netzwerkmanager Wicd (http://wicd.sourceforge.net) ist insbesondere für die Verbindung zu kabellosen Netzwerken (siehe Kapitel 7, »Wireless LAN«) beliebt. Im Verzeichnis /etc/wicked finden Sie die Konfigurationsdateien.
27.7 Das systemd-Projekt Ein Init-System verwaltet den Start und Stopp aller Dienste. Die Konfiguration des vergleichsweise neuen systemd gliedert sich in Unit Files. Darin steht, wie ein Dienst zu starten und zu beenden ist. Aus den beschriebenen Abhängigkeiten errechnet systemd den Weg zu einem Ziel (engl. target) und führt möglichst viele Aktionen parallel aus, um den gewünschten Zielzustand ohne unnötigen Verzug zu erreichen.
27.7.1 systemd-networkd Die Entwickler des systemd stellten richtigerweise fest, dass eine Netzwerkverbindung für viele Dienste eine notwendige Voraussetzung ist. Um Abhängigkeiten zur Laufzeit besser abbilden zu können und so z. B. einem Dienst die Möglichkeit zu geben, auf den willentlich oder unwillentlich herbeigeführten Stopp der Netzwerkverbindung zu reagieren, entwickelten sie die Netzwerkkonfiguration neu. Im Ergebnis können systemd-networkd und systemdresolved (siehe Abschnitt 20.7, »systemd-resolved«) die IPKonfiguration und die lokale Namensauflösung auf einem LinuxSystem komplett übernehmen. Meiner Meinung nach wird dieses System seine Vorgänger langfristig verdrängen.
27.7.2 Migration zum systemd-networkd
Um vom NetworkManager oder vom Wicked zum systemdnetworkd zu migrieren, überprüfen Sie zunächst, welcher Netzwerkmanager aktuell läuft. Den auf Ihrem System aktiven Netzwerkmanager deaktivieren Sie dann. sudo systemctl status NetworkManager.service
sudo systemctl status wicd.service
Listing 27.1 gpListing sudo systemctl disable NetworkManager.service
sudo systemctl disable wicd.service
Listing 27.2 gpListing
Sollten Sie sich in einer Sitzung auf der Konsole befinden und damit nicht über das Netzwerk verbunden sein (siehe Kapitel 32, »Fernadministration und Zusammenarbeit«), können Sie den Dienst bereits stoppen. sudo systemctl stop NetworkManager.service
sudo systemctl stop wicd.service
Listing 27.3 gpListing
Im Verzeichnis /etc/systemd/network legen Sie für die IPKonfiguration (siehe Kapitel 14, »Das Internetprotokoll«) eine Datei mit der Endung .network an, also z. B. die Datei wired.network. [Match]
Name=eth0
[Network]
DNS=192.168.1.1
[Address]
Address=192.168.1.2/24
[Route]
Gateway=192.168.1.1
Listing 27.4 gpListing
Im nächsten Schritt müssen Sie die Datei /etc/resolv.conf vor dem Zugriff anderer Systeme als dem systemd-resolved bewahren. Unter openSUSE löschen Sie dazu den Inhalt der Variablen NETCONFIG_DNS_POLICY in der Datei /etc/sysconfig/network/config. Sie erstellen eine Verknüpfung (engl. link) mit einem dynamisch zur Laufzeit durch den systemd-resolved erzeugten Ersatz. sudo rm /etc/resolv.conf
sudo ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf
Listing 27.5 gpListing
Anschließend aktivieren Sie die systemd-Units für die Netzwerkkonfiguration und die Namensauflösung. Sobald die systemd-Units aktiviert sind, können sie gestartet werden. sudo sudo
sudo sudo
systemctl enable systemd-networkd.service
systemctl enable systemd-resolved.service
systemctl start systemd-networkd.service
systemctl start systemd-resolved.service
Listing 27.6 gpListing
Den Zustand der beiden systemd-Units Ihres Netzwerkmanagers können Sie jederzeit prüfen. Darüber hinaus stellt das Kommando networkctl weitere Informationen zu den von systemdnetworkd verwalteten Netzwerkschnittstellen zur Verfügung. sudo systemctl status systemd-networkd.service
sudo systemctl status systemd-resolved.service
Listing 27.7 gpListing
[+] Für die Migration zum systemd-networkd unter Raspberry Pi OS müssen Sie die hier beschriebenen Schritte teilweise anpassen:
Die Netzwerkkonfiguration wird unter Raspberry Pi OS gewöhnlich vom dhcpcd (siehe Abschnitt 54.7.1, »IPKonfiguration«) verantwortet. Deshalb müssen Sie die systemdUnit dhcpcd.service deaktivieren und stoppen. Die Datei /etc/resolv.conf wird in der Regel vom Programm openresolv gepflegt. Dieses können Sie mit dem Kommando apt remove openresolv deinstallieren.
27.8 Netzwerkkarte unter SUSE einrichten Im Normalfall wird die Konfiguration der Netzwerkkarte bereits bei der Installation abgefragt, Sie können sie aber jederzeit ändern. Dazu melden Sie sich an der grafischen Oberfläche an und starten YaST2 über System • YaST (siehe Abbildung 27.3). Die Netzwerkkonfiguration verbirgt sich hinter System • Netzwerkeinstellungen.
Abbildung 27.3 Mit dem Konfigurationstool YaST2 bearbeiten Sie Netzwerkeinstellungen.
Im folgenden Fenster wählen Sie eine vom System erkannte Netzwerkkarte aus und klicken auf Bearbeiten. Es ist aber möglich, dass die Netzwerkkarte über Hinzufügen zunächst dem System bekannt gemacht werden muss (siehe Abbildung 27.4).
Abbildung 27.4 Eine Netzwerkkarte bearbeiten oder hinzufügen
Bei einer vom System nicht erkannten Netzwerkkarte handelt es sich in der Regel um einen PCMCIA- oder USB-Netzwerkadapter. In diesem Fall setzen Sie einfach das entsprechende Häkchen. Mit einem Klick auf Bearbeiten bzw. Weiter gelangen Sie zur IPKonfiguration dieser Netzwerkkarte.
27.9 IPv4-Konfiguration SUSE Linux verwendet standardmäßig die Dynamische Adresse (DHCP). Wenn Sie keinen DHCP-Server betreiben oder für diesen PC eine statische IPv4-Adresse bevorzugen, müssen Sie Statisch zugewiesene IP-Adresse auswählen. Einem Server sollten Sie immer eine statische Adresse geben (siehe Abbildung 27.5).
Abbildung 27.5 Die IP-Konfiguration des Netzwerkadapters
Die statische IPv4-Adresse tragen Sie zusammen mit der Subnetzmaske und dem Hostnamen ein, bevor Sie auf Weiter klicken. Falls Sie die IPv4-Adresse über DHCP beziehen, können Sie zusätzlich bestimmen, ob zusammen mit der IP-Adresse auch der Hostname, das Standardgateway und der Nameserver vom DHCPServer bezogen werden sollen.
Sollten Sie eine statische IPv4-Adresse konfiguriert haben, müssen Sie das Standardgateway für den Zugriff auf das Internet nun ebenfalls von Hand eintragen. Zurück in den Netzwerkeinstellungen verwenden Sie dazu den Reiter Routing (siehe Abbildung 27.6). Beim Standardgateway wird es sich in der Regel um die IP-Adresse Ihres Internetrouters handeln. Dieser eine Eintrag sollte für eine normale Netzwerkinstallation ausreichen. [!] Wenn Sie die Option IP-Weiterleitung aktivieren, machen Sie den PC zum Router. Dies empfehle ich Ihnen nur, wenn Sie genau wissen, was Sie tun (siehe Abschnitt 14.3, »Routing«). Auf einem Server hat eine Routingfunktionalität nichts zu suchen.
Abbildung 27.6 Die IP-Adresse des Routers als Standardgateway
Falls Sie mit dem Linux-PC ins Internet wollen, müssen die Namen der Kommunikationspartner in IP-Adressen übersetzt werden. Einen Dienst für diese Aufgabe nennt man allgemein Nameserver (siehe Kapitel 20, »Namensauflösung«). Es gibt mindestens zwei Möglichkeiten, wie die Namensübersetzung in IP-Adressen erfolgen kann:
Domain Name Service (DNS) hosts-Datei Sie müssen sich nicht entweder für DNS oder für die Datei /etc/hosts entscheiden. Üblicherweise werden beide Verfahren parallel genutzt. Welches Vorrang hat, wird durch die Reihenfolge der Einträge files und dns in der Datei /etc/nsswitch.conf bestimmt. [»] In Abbildung 27.7 sehen Sie ein Beispiel für einen Nameserver. Ich habe die IP-Adresse meines DSL-Routers eingetragen. Dieser leitet die Namensauflösungen für das Internet an DNS-Server im Internet weiter. Der Hostname für meinen Linux-PC ist suse, den Domainnamen (nicht zu verwechseln mit einer Windows-Domäne) habe ich mit home so gewählt, dass er im Internet nicht vorkommen kann. Die Top-Level-Domain »home« gibt es nicht und wird es wohl auch nie geben.
Abbildung 27.7 Den Hostnamen und den Nameserver mit YaST2 einstellen
Die Datei /etc/hosts enthält Einträge wie: 127.0.0.1 192.168.1.2 192.168.1.3
localhost max max.home wlan wlan.home
# loopback - device
# PC Max
# DSL-Router
Anhand dieser Datei kann Namensauflösung betrieben werden, denn die Namen sind der IP-Adresse zugeordnet. Mit YaST2 können Sie die Einträge unter Netzwerkdienste • Rechnernamen bearbeiten. Einen Einstieg in die Analyse von Problemen mit Ihrer IPv4Konfiguration bietet Abschnitt 29.5, »Linux-Bordmittel«.
27.10 IPv6-Konfiguration Sollten Sie IPv6 (siehe Abschnitt 14.7, »IP-Version 6«) verwenden wollen, haben Sie mehrere Möglichkeiten: automatische linklokale Adressen manuelle IPv6-Konfiguration IPv6-fähiger DHCP-Server (siehe Abschnitt 19.3.2, »DHCPv6«) In Abschnitt 14.7, »IP-Version 6«, beschreibe ich, dass die Stateless Address Autoconfiguration (SLAAC) die Verwendung von DHCP weitestgehend überflüssig macht. Daher ist es üblich, IPv6 ohne DHCP zu verwenden. Das Betriebssystem errechnet anhand der MAC-Adresse eine sogenannte linklokale Adresse nach dem EUI64-Standard. Eine statische IPv6-Adresse konfigurieren Sie unter Statisch zugewiesene IP-Adresse • Hinzufügen (siehe Abbildung 27.8).
Abbildung 27.8 Setzen einer zusätzlichen IPv6-Unicast-Adresse mit YaST
[+] Sie können mit Hilfe der Auswahl DHCP, nur Version 4 oder DHCP, nur Version 6 bei Bedarf für jede IP-Version ein eigenes Konzept verfolgen. Einen Einstieg in die Analyse von Problemen mit Ihrer IPv6Konfiguration bietet Abschnitt 29.5, »Linux-Bordmittel«.
27.11 Firewalld Die Firewall kann dazu verwendet werden, einen PC mit einer Netzwerkschnittstelle sicher gegen Angriffe aus dem lokalen Netz oder dem Internet zu machen (siehe Kapitel 34, »Programme zur Netzwerksicherheit«). Wenn Sie ein aktuelles SUSE installieren, ist automatisch der Firewalld (https://firewalld.org) aktiviert. Ich möchte Ihnen die wichtigsten Funktionen dieser Firewall und deren Konfiguration mit dem YaST2 kurz vorstellen. YaST2 verändert dabei die Konfigurationsdatei der Firewall, /etc/firewalld/firewalld.conf. Wenn Sie später tiefer in das Thema Firewalld einsteigen möchten, dann ist die Lektüre dieser Datei hervorragend dazu geeignet. Das YaST2-Modul Sicherheit und Benutzer • Firewall (siehe Abbildung 27.9) können Sie für die Administration verwenden, sobald Sie unter System • Dienste-Verwaltung sichergestellt haben, dass der Firewall-Dienst firewalld bereits aktiviert und aktiv ist. Der Firewalld unterscheidet die Profile Runtime für die aktuell ablaufende Konfiguration und Permanent für die in den Konfigurationsdateien geschriebene Konfiguration, die beim Start des Firewalld dann als Runtime-Konfiguration eingelesen wird. Im Reiter Schnittstellen ordnen Sie jedem Netzwerkinterface einen Gefahrenbereich zu. Es kann Aufgabe der Firewall sein, einen bestimmten Dienst innerhalb des lokalen Netzes (internal) anzubieten und den Zugriff aus einem unsicheren Netz (public) zu unterbinden.
Abbildung 27.9 Die Firewall kann grafisch administriert werden.
Sie können nun für jede Zone explizit festlegen, welche Dienste zugelassen werden sollen. Achten Sie darauf, dass nicht nur Server, sondern auch einige Clients bei der Arbeit von der Firewall geblockt werden können. Das liegt z. B. im Fall von dhcpv6-client daran, dass der Client per Broadcast eine IP-Adresse anfordert und noch gar nicht wissen kann, welcher Netzwerkteilnehmer ihm ein Antwortpaket schicken wird. [!] Jeder Dienst, den Sie in einem unsicheren Netz erlauben, ist ein zusätzlicher Schwachpunkt der Firewall. Die Firewall und Ihr Netzwerk werden also aus einem unsicheren Netzwerk heraus zusätzlich angreifbar.
Wenn Sie unter Masquerading die Option Maskierte Zone aktivieren, dann wird in diese Zone NAT (siehe Abschnitt 14.5, »Network Address Translation«) durchgeführt. Zusätzlich haben Sie die Möglichkeit, für einzelne Dienste den Zugriff aus dem externen Netz auf einen bestimmten Server im internen Netz (Virtual Server) umzuleiten. Masquerading kann überhaupt nur dann von Interesse
sein, wenn Sie über mindestens zwei Netzwerkschnittstellen verfügen. Dann können Sie z. B. einen gemeinsamen Zugriff der lokalen Netzwerkteilnehmer auf das Internet einrichten. [!] Auf einen Server mit wichtigen Daten gehört meiner Meinung nach keinerlei Routingfunktionalität, also auch kein Masquerading. Da der Server aus dem Internet sichtbar ist, ist er auch angreifbar. Auch eine aktivierte Firewall bietet keinen hundertprozentigen Schutz. Deshalb betrachte ich den Einsatz einer Software-Firewall mit Routingfunktionalität grundsätzlich als Sicherheitsrisiko!
27.12 WLAN unter Linux Nicht immer haben freie Softwareprojekte nur Vorteile. Beim Thema WLAN birgt Linux eine gewisse Komplexität. Wenn Sie WLAN unter Linux einsetzen möchten, sollten Sie sich möglichst vor dem Kauf erkundigen, ob dieses WLAN-Gerät bei Linux im gewünschten Umfang unterstützt wird. Entscheidend für die Linux-Unterstützung einer WLAN-Hardware ist der verwendete Chipsatz. Es ist also weniger entscheidend, ob Sie eine WLAN-Karte von Netgear oder von D-Link haben, sondern welchen Chipsatz die Karte verwendet. Vermutlich wissen Sie gar nicht, welche Ihrer Karten beziehungsweise welches Ihrer USB-Geräte welchen WLAN-Chipsatz verwendet. Dieser wird vom Hersteller des WLAN-Adapters auch nur selten veröffentlicht. Allerdings gibt es Webseiten mit Datenbanken, die zu aktuellen WLAN-Geräten jeweils die verwendeten Chipsätze auflisten. Dabei müssen Sie sehr genau auf Versionen achten. Auf der Seite http://de.opensuse.org/Portal:Hardware pflegt openSUSE sein Hardwareportal mit unterstützten Komponenten. [+] Wenn Sie wissen, welcher Chipsatz verwendet wird, dann gibt es zwei Möglichkeiten: Entweder es existiert ein echter Linux-Treiber oder nicht. Wenn für den Chipsatz Ihrer Karte kein Linux-Treiber zur Verfügung steht, können Sie sie üblicherweise mit dem WindowsTreiber in Gang bekommen. Dazu gibt es das Tool Ndiswrapper (http://ndiswrapper.sourceforge.net), das openSUSE mitbringt. Sie müssen es nur über das Softwaremodul von YaST2 installieren. Allerdings wird der sogenannte Monitor-Modus nicht unterstützt. Sie können also mit
einer per Ndiswrapper betriebenen WLAN-Karte keine Sniffer nutzen. Nach der Installation muss Ndiswrapper eingerichtet werden. Eine detaillierte Installationsanleitung finden Sie im Wiki von openSUSE auf der Internetseite http://de.opensuse.org/SDB:Ndiswrapper.
27.12.1 Flugzeugmodus mit RFkill Der Flugzeugmodus lässt sich an einem Laptop sehr einfach mit einer speziellen Taste kontrollieren. Rechner ohne diese spezielle Taste (siehe Kapitel 54, »Raspberry Pi«) müssen Sie über die Kommandozeile administrieren. In der Ausgabe des Kommandos rfkill list erkennen Sie, ob Ihre Bluetooth-Adapter (siehe Abschnitt 7.21.1, »Bluetooth«) und WLANSchnittstellen derzeit aktiviert (unblocked) oder deaktiviert (blocked) sind. Schnittstellen können auf Ebene der Hardware (hard) oder Software (soft) blockiert sein. Eine vorhandene Softwareblockierung hebt das Kommando rfkill unblock wieder auf.
27.12.2 WLAN unter SUSE einrichten Im aktuellen Linux-Kernel sind bereits viele Treiber enthalten. Falls es trotzdem mit einer vom Kernel unterstützten Netzwerkkarte ein Problem gibt, prüfen Sie , ob das Paket kernel-firmware-all installiert ist. Dieses enthält die Firmware für die Treiber. [»] In einem Beispiel möchte ich Ihnen die Konfiguration mit Hilfe des NetworkManagers zeigen. Über Verbindungen verwalten… gelangen Sie in die Übersicht Ihrer Netzwerkinterfaces, sortiert nach Kategorien wie z. B. Kabelgebunden und Drahtlos. Klicken Sie
auf Hinzufügen, und geben Sie die Daten Ihres WLANs ein (siehe Abbildung 27.10). Geben Sie im Reiter Drahtlos-Sicherheit noch die Verschlüsselungsmethode (siehe Kapitel 35, »WLAN und Sicherheit«) und Ihr WLAN-Passwort ein.
Abbildung 27.10 WLAN-Einstellungen des NetworkManagers
28 macOS einrichten macOS bringt als offizielles UNIX-System umfangreiche Netzwerkfunktionen mit. Mit den Systemeinstellungen ist die Konfiguration recht einfach. Die Konfiguration des Netzwerks wird unter macOS mit den Systemeinstellungen im Ordner Programme vorgenommen. Alternativ gelangen Sie über das Apfel-Menü in die Systemeinstellungen. Wenn Sie die Systemeinstellungen gestartet haben, finden Sie dort den Eintrag Netzwerk. Mit einem Klick auf diesen Eintrag wechseln Sie die Ansicht und gelangen zu den Einstellungen, die das Netzwerk betreffen. Um Änderungen an den Netzwerkeinstellungen vornehmen zu können, müssen Sie sich mit einem Benutzerkonto anmelden, bei dem in der Ansicht Benutzer:innen & Gruppen der Systemeinstellungen die Option Benutzer:in darf diesen Computer verwalten aktiviert ist. Bei Änderungen der Netzwerkeinstellungen müssen Sie beachten, dass sie erst wirksam werden, wenn Sie unten rechts auf die Schaltfläche Anwenden klicken. Mit einem Klick auf die Schaltfläche Zurücksetzen kehren Sie zur letzten angewandten Konfiguration zurück und können auf diese Weise Eingaben verwerfen.
28.1 Netzwerkumgebungen macOS gruppiert die Einstellungen in sogenannten Netzwerkumgebungen. In den Systemeinstellungen finden Sie den Eintrag Umgebung (siehe Abbildung 28.1). Die Aufgabe dieser Umgebungen besteht darin, verschiedene Konfigurationen zu bündeln und einen schnellen Wechsel zwischen diesen zu ermöglichen. Sie könnten z. B. eine Umgebung Home Office anlegen, die Ihre Einstellungen für das Netzwerk im heimischen Wohnzimmer enthält, und eine weitere Umgebung Mobil, in der Sie die Einstellungen für die Arbeit unterwegs treffen. Nützlich ist der Einsatz dieser Umgebungen insbesondere mit einem mobilen Rechner, den Sie z. B. tagsüber in der Firma und abends zu Hause benutzen. Mit einem Mausklick können Sie zwischen den Konfigurationen wechseln.
Abbildung 28.1 macOS gruppiert verschiedene Konfigurationen.
In dem Ausklappmenü nach dem Eintrag Umgebungen finden Sie sowohl die schon vorhandenen Umgebungen als auch den Eintrag Umgebungen bearbeiten. Wenn Sie diesen Punkt auswählen, dann erscheint ein Feld (siehe Abbildung 28.2), in dem Sie neue Umgebungen erstellen, vorhandene löschen sowie umbenennen können.
Abbildung 28.2 Die Netzwerkumgebung wählen Sie über das Apfel-Menü aus.
Es gibt zwei Möglichkeiten, die aktive Netzwerkumgebung zu wechseln. Zunächst können Sie in den Systemeinstellungen oben eine Umgebung auswählen und dann auf Anwenden klicken. Einfacher und direkter geht der Wechsel über das Apfel-Menü. Haben Sie mindestens zwei Umgebungen angelegt, dann finden Sie im Apfel-Menü (siehe Abbildung 28.2) den Eintrag Umgebung und können dort die von Ihnen gewünschte Umgebung auswählen. Der Wechsel wird unmittelbar vorgenommen.
28.2 Schnittstellen verwalten In den Systemeinstellungen finden Sie in der linken Spalte die aktiven Netzwerkschnittstellen, die in diesem Zusammenhang als Dienste bezeichnet werden. Abhängig von der Hardware Ihres Rechners finden Sie dort Ethernet-Schnittstellen, WLAN-Karten, Thunderbolt und Bluetooth.
Abbildung 28.3 Über das Pluszeichen fügen Sie eine Netzwerkschnittstelle hinzu.
Eine aktive Schnittstelle wird mit einem grünen, eine inaktive mit einem roten Knopf gekennzeichnet. Ein gelber Knopf besagt, dass entweder ein Problem vorliegt oder aber eine selbst zugewiesene IPAdresse verwendet wird. Eine ausgegraute Schnittstelle (in Abbildung 28.3 ist es VPN) besagt, dass sie deaktiviert wurde.
Über das Pluszeichen unten links fügen Sie eine nicht aufgeführte oder aus der Liste entfernte Netzwerkschnittstelle hinzu. In dem erscheinenden Panel finden Sie auch die Möglichkeit, ein VPN oder eine DSL-Verbindung über PPPoE einzurichten. Mit dem Minuszeichen entfernen Sie eine Schnittstelle aus der Liste. Über das kreisförmige Icon erreichen Sie ein Menü, in dem Ihnen unter anderem die Möglichkeit zur Verfügung steht, eine Schnittstelle zu deaktivieren oder die Reihenfolge der Dienste festzulegen. Diese Reihenfolge legt auch fest, über welche Schnittstelle die Datenpakete zuerst verschickt werden.
28.3 Schnittstellen konfigurieren Für jede aktivierte Schnittstelle können Sie nun Einstellungen vornehmen. Zunächst wählen Sie unter IPv4 konfigurieren aus, wie die IP-Adresse vergeben wird. Zur Auswahl stehen hier DHCP, DHCP mit manueller Adresse, der DHCP-Vorläufer BootP und Manuell (siehe Abbildung 28.4).
Abbildung 28.4 Die Konfiguration können Sie auch manuell eingeben.
Handelt es sich um eine Ethernet-Karte, dann steht Ihnen auch die Option PPPoE-Dienst erstellen zur Verfügung. Mit dieser Option erstellen Sie eine Verbindung zu Ihrem DSL-Provider, die links in der Liste der Schnittstellen erscheint und in der Sie Zugangsdaten eingeben können. Wenn Sie die Einstellungen getroffen haben, dann können Sie sie anwenden. Das System versucht dann, mit diesen Einstellungen
eine Verbindung ins Netzwerk aufzubauen, und zeigt den Status anschließend über den Knopf in der linken Spalte an. Während Sie auf diese Weise nur die grundlegenden Parameter konfigurieren, nehmen Sie über die Schaltfläche Weitere Optionen eine detaillierte Konfiguration vor (siehe Abbildung 28.5). Sie können zunächst unter TCP/IP wieder die IP-Adresse vergeben. Hierbei ist es unter dem Menüpunkt IPv6 konfigurieren auch möglich, die IPv6-Adresse manuell vorzugeben oder, wenn gewünscht, die Unterstützung von IPv6 ganz auszuschalten.
Abbildung 28.5 Weitere Details können Sie in einem Panel konfigurieren.
In der Ansicht DNS können Sie mehrere DNS-Server und SuchDomains vorgeben, sofern Ihr Netzwerk diese Komplexität bereits erreicht hat. In der Ansicht Hardware finden Sie unter anderem die MAC-Adresse der Schnittstelle. Bestätigen Sie die Änderungen über die Schaltfläche OK, dann müssen Sie sie anschließend ebenfalls anwenden.
28.4 WLAN-Karte konfigurieren Verfügt Ihr Rechner über eine WLAN-Karte, dann finden Sie links in der Liste der Schnittstellen auch einen Eintrag WLAN. Haben Sie diesen ausgewählt, dann können Sie hinter Status die Karte aktivieren und deaktivieren. Hinter Netzwerkname finden Sie ein Ausklappmenü (siehe Abbildung 28.6), das Ihnen zunächst das derzeit aktive Netzwerk anzeigt.
Abbildung 28.6 Das Menü hinter »Netzwerkname« zeigt gefundene Netzwerke an.
Wenn Sie dieses Menü ausklappen, dann beginnt die Suche nach sichtbaren Netzwerken in Ihrer Umgebung. Verschlüsselte Netzwerke werden in der Liste mit einem Schloss gekennzeichnet. Sie können nun ein Netzwerk aus der Liste auswählen oder über den Eintrag Mit anderem Netzwerk verbinden den Namen eines unsichtbaren Netzwerks eingeben. Sofern das Netzwerk
verschlüsselt ist, werden Sie anschließend zur Eingabe des Passwortes aufgefordert. Über die Option WLAN-Status in der Menüleiste anzeigen können Sie der Leiste oben rechts einen Eintrag hinzufügen (siehe Abbildung 28.7), mit dessen Hilfe Sie ein Netzwerk auswählen oder die Karte aktivieren und deaktivieren können.
Abbildung 28.7 Der WLAN-Status kann auch in der Menüleiste angezeigt werden.
Abbildung 28.8 Sie können vorgeben, ob sich das System die Netzwerke merken soll.
Auch die WLAN-Karte verfügt über weitergehende Konfigurationsmöglichkeiten, die Sie über die Schaltfläche Weitere Optionen aufrufen. Sie finden hier zusätzlich eine Ansicht WLAN. Mit der Funktion Alle Netzwerke merken, mit denen dieser Computer verbunden war weisen Sie das System an, über die aufgenommenen Verbindungen Buch zu führen. Die so gemerkten Netzwerke werden dann in der Liste Bevorzugte Netzwerke aufgeführt. Über das Plusund Minuszeichen können Sie dieser Liste selbst Netzwerke hinzufügen oder vorhandene Einträge löschen. Wenn Sie die Option Frühere Netzwerke und Optionen einblenden auswählen, dann erhalten Sie zunächst alle Netzwerke, mit denen Sie sich bereits verbunden haben. Ferner ist dann auch die Option Netzwerk anlegen über die Menüleiste erreichbar. Hiermit können Sie Ihren Rechner als WLAN-Router einrichten, und andere Geräte können eine direkte Verbindung zu Ihrem System aufnehmen.
28.5 Die Firewalls von macOS macOS verfügt in den aktuellen Versionen über zwei Firewalls. Die Application-Level-Firewall wird in diesem Abschnitt eingehend beschrieben und konfiguriert.
Abbildung 28.9 Die Firewall konfigurieren Sie unter »Sicherheit & Datenschutz«.
Bis OS X 10.10 war im System der Paketfilter ipfw enthalten und wurde bis Mac OS X 10.6 auch als Standard genutzt. Abgelöst wurde er durch die von OpenBSD übernommene Firewall pf, die sehr viel flexibler zu konfigurieren ist. Eine grafische Oberfläche für die Konfiguration von pf ist in macOS nicht vorhanden. Den Firewalls ipfw und pf ist eigen, dass sie eingehende und auch ausgehende Pakete anhand von Regeln prüfen. Ihre Funktionsweise entspricht somit weitgehend den IPTables (siehe Abschnitt 34.2, »IPTables, Firewall für Linux«) unter Linux.
Im Verzeichnis /etc finden Sie die Konfigurationsdateien der pf. Neben den beiden Hauptdateien (pf.conf und pf.os) liegen im Unterverzeichnis pf.anchors weitere Einstellungsdateien. Die Konfiguration der pf setzt aber sehr gute Kenntnisse über Firewall und Netzwerkkonfiguration voraus. Dabei ist die erste Firewall von macOS für die meisten Zwecke völlig ausreichend und auch viel leichter zu konfigurieren. Hierbei handelt es sich nicht um einen Paketfilter, sondern um eine Application-Level-Firewall. Sie überprüft, ob ein Programm Daten aus dem Netzwerk entgegennehmen darf oder nicht. Die Prüfung bezieht sich dabei nur auf eingehende Datenpakete. Beim Datenverkehr, der von Programmen ins Netzwerk geschickt wird, erfolgt keine Prüfung. In den Systemeinstellungen finden Sie in der Ansicht Sicherheit die Ansicht Firewall. Wenn Sie die Firewall aktivieren, dann stehen Ihnen auch die Firewall-Optionen zur Verfügung. Die Firewall bietet Ihnen vier Optionen: Alle eingehenden Verbindungen blockieren: Hierbei handelt es sich um die stringenteste Einstellung. Kein Programm darf Pakete aus dem Netzwerk entgegennehmen. Als Ausnahmen (oder in der Terminologie Apples: grundlegende Internetdienste) gelten in diesem Zusammenhang der unter anderem für DHCP zuständige Systemdienst configd, der mDNSResponder beziehungsweise discoveryd für Bonjour (siehe Abschnitt 22.2, »Zeroconf«) sowie der Dienst racoon, mit dem das Protokoll IPsec unter macOS realisiert wird. Beachten Sie, dass Ihnen bei dieser restriktiven Einstellung keine Windows-Rechner mehr in der Ansicht Netzwerk angezeigt werden, weil auch diese Kommunikation unterbunden wird.
Integrierter Software automatisch erlauben, eingehende Verbindungen zu empfangen: Diese Option bezieht sich auf alle Dienste und Programme, die mit dem Betriebssystem selbst installiert wurden und von Apple stammen. Nur diese Anwendungen dürfen Daten aus dem Netzwerk empfangen. Geladener signierter Software automatisch erlauben, eingehende Verbindungen zu empfangen: Unter macOS können Programme mit einer digitalen Signatur versehen werden. Diese soll die Echtheit und Integrität garantieren, so dass Sie als Anwender vor einem trojanischen Pferd, so die Theorie, weitgehend geschützt sind. Zu den signierten Programmen gehören auf jeden Fall fast alle Programme, die zur Standardinstallation des Systems gehören. Ferner werden die Programme, die Sie über den App Store erwerben, ebenfalls mit einer Signatur versehen. Aktivieren Sie diese Option, dann ist es signierter Software automatisch möglich, Verbindungen entgegenzunehmen. Tarnmodus: Aktivieren Sie diese Option, dann wird Ihr Rechner im Netzwerk mehr oder weniger unsichtbar. In einer im weitesten Sinne feindlichen Netzwerkumgebung kann diese Option sinnvoll sein. Andererseits kann sie die Fehlersuche erschweren, weil Ihr Rechner zum Beispiel auf ping nicht mehr antwortet und Sie dadurch nicht mehr in der Lage sind, die Verbindung als solche auf ihre Funktionsfähigkeit hin zu überprüfen. Neben diesen vier Grundeinstellungen finden Sie eine Liste der Programme, denen Sie die Entgegennahme einer Verbindung erlaubt oder verboten haben. Bei den Freigaben werden in der Liste (siehe Abbildung 28.9) etwaige Dienste (Dateifreigabe, Entfernte Anmeldung …) aufgeführt. Haben Sie einen solchen Dienst aktiviert, dann wird er vom System automatisch den Regeln der Firewall hinzugefügt. Das System geht
davon aus, dass der Empfang von Datenpaketen gewünscht ist, wenn Sie den Dienst aktivieren. Darunter finden Sie die Programme, die Pakete entgegennehmen dürfen oder nicht. Zu dieser Liste gehören nicht nur Programme mit einer grafischen Oberfläche wie Dropbox, sondern auch Hintergrunddienste wie der nachträglich installierte DNS-Server dnsmasq.
Abbildung 28.10 Eingehende Netzwerkverbindungen können Sie annehmen oder untersagen.
Sie können entweder über das Pluszeichen Programme dieser Liste hinzufügen oder sie mit dem Minuszeichen wieder entfernen. Bei Programmen, die in dieser Liste aufgeführt werden, können Sie festlegen, ob Sie Eingehende Verbindungen erlauben oder Eingehende Verbindungen blockieren. Wenn Sie ein Programm starten, das Daten aus dem Netzwerk empfangen möchte und noch nicht in der Liste in
den Systemeinstellungen aufgeführt wird, dann erhalten Sie eine Rückfrage des Systems danach, ob das Programm eingehende Netzwerkverbindungen erhalten darf. Ihre Auswahl wird anschließend der Liste der Systemeinstellungen hinzugefügt. Wenn Sie sich nicht mit der Konfiguration der pf im Detail auseinandersetzen möchten und Ihnen die Beschränkung der Application-Level-Firewall auf den eingehenden Datenverkehr nicht ausreicht, dann bietet Ihnen die Shareware Little Snitch (http://www.obdev.at) eine recht komfortable Möglichkeit, sowohl den ein- als auch den ausgehenden Datenverkehr zu überwachen und zu reglementieren.
28.6 »networksetup« am Terminal Wenn Sie auf die Konfiguration über die grafische Benutzeroberfläche und insbesondere die Systemeinstellungen verzichten möchten, dann können Sie am Terminal auch den Befehl networksetup nutzen. Dieser muss als Super-User ausgeführt werden, und Sie müssen ihm daher den Befehl sudo voranstellen. Die über man networksetup aufzurufende Dokumentation enthält alle Parameter und Optionen, die Sie networksetup übergeben können.
Abbildung 28.11 »networksetup« verfügt über eine umfangreiche Dokumentation.
28.7 Freigaben für Windows unter macOS Wenn Sie Ordner unter macOS mittels SMB auch für Windows oder für Linux freigeben möchten, dann können Sie die entsprechende Freigabe in den Systemeinstellungen aktivieren. Apple nutzt für die Freigabe von Ordnern über SMB schon seit geraumer Zeit eine eigene Implementierung des Protokolls SMB und hat dieses zwischenzeitlich auch zum eigentlichen Standard für die Freigabe von Ordnern im Netzwerk erkoren. Das von Apple selbst stammende Apple Filing Protocol (AFP) wird unter Monterey für die Freigabe von Ordnern im Netzwerk nicht mehr unterstützt. Sie können sich aber nach wie vor über den Finder mit Freigaben mittels AFP verbinden.
28.7.1 Ordner freigeben In den Systemeinstellungen in der Ansicht Freigaben können Sie zunächst allgemein den Dienst Dateifreigabe aktivieren. Sie finden dort auch eine Liste Geteilte Ordner. Über das Pluszeichen unterhalb dieser Liste können Sie weitere Ordner im Netzwerk freigeben und in der Liste Benutzer die Benutzerkonten festlegen, die auf diesen Ordner zugreifen dürfen.
Abbildung 28.12 Die im Netzwerk freizugebenden Ordner konfigurieren Sie in den Systemeinstellungen.
28.7.2 Freigabe aktivieren Selbst wenn der Dienst Dateifreigabe bereits aktiv ist, bedeutet dies nicht, dass auch die Freigabe mittels SMB aktiviert wurde. Hierzu müssen Sie über die Schaltfläche Optionen das Panel aufrufen, in dem Sie die Serverdienste aktivieren, die die freigegebenen Ordner im Netzwerk verfügbar machen. Sie finden dort die Option Dateien und Ordner über SMB teilen. Wenn Sie diese Option aktivieren, dann wird die Freigabe mittels SMB gestartet. Eine Anmeldung können Sie aber immer noch nicht vornehmen, denn Sie müssen für die Freigabe über SMB auch die Benutzerkonten explizit freigeben, die mittels SMB auf die freigegebenen Ordner zugreifen dürfen. Der Grund für diese Maßnahme besteht darin, dass die SMBImplementierung unter macOS nicht in der Lage ist, direkt auf die Passwortdatenbank des Systems zuzugreifen. Der Hinweis in dem
Panel, dass dieses Passwort weniger sicher sei, ist dahingehend korrekt, als dass die Verschlüsselung des Passworts nicht ganz dem Standard von macOS entspricht. Allerdings haben Sie keine andere Wahl, als das Passwort weniger sicher zu speichern, wenn Sie über ein Benutzerkonto mittels Samba auf die freigegebenen Ordner zugreifen.
Abbildung 28.13 Die Benutzerkonten, die über SMB auf Freigaben zugreifen dürfen,
müssen eigens ausgewählt werden.
Haben Sie einen oder mehrere Accounts ausgewählt (siehe Abbildung 28.13), die über SMB auf Ordner zugreifen sollen, und die Schaltfläche Fertig betätigt, dann müssen Sie die Passwörter der ausgewählten Konten nacheinander eingeben. Anschließend ist eine Anmeldung von Windows aus möglich. Wenn in Ihrem Netzwerk eine Arbeitsgruppe existiert, in die sich auch das macOS-System einfügen soll, dann können Sie in den Systemeinstellungen in der Ansicht Netzwerk die betreffende Schnittstelle auswählen und über Weitere Optionen das Panel für die
detaillierte Konfiguration aufrufen. Dort finden Sie in der Ansicht WINS ein Feld Arbeitsgruppe (siehe Abbildung 28.14).
Abbildung 28.14 Die Arbeitsgruppe geben Sie in den Einstellungen der Netzwerkschnittstelle vor.
29 Troubleshooting Sie haben ein Netzwerk erfolgreich eingerichtet, alle angeschlossenen PCs funktionieren, und Sie können einzelne PCs erreichen. Ein einziger PC tut aber nicht, was Sie erwarten. Jetzt möchten Sie den Fehler möglichst schnell finden. Vielleicht kennen Sie die folgenden Situationen: Sie haben alle Anschluss- und Einstellungsarbeiten an einem PC erledigt, dieser ist aber nicht im Netzwerk erreichbar. Ein Kollege hat Sie gerade angerufen und mitgeteilt, dass sein PC nicht mehr »im Netz« ist. In beiden Fällen kommt es meist darauf an, den Fehler schnell zu finden, um die Ausfallzeiten zu minimieren, denn: »Ohne Netz läuft nix!« Eine gezielte und effektive Fehlersuche wird umso wichtiger, je mehr PCs Sie betreuen. Sie machen nicht nur einen kompetenten Eindruck, es hilft Ihnen auch, Ihre Aufgaben zu bewältigen. Das folgende Vorgehen vermittle ich in Netzwerkseminaren Anfängern am ersten Nachmittag. Daraufhin manipuliere ich die Netzwerkkonfigurationen aller PCs im LAN, und die Teilnehmer müssen anhand des folgenden Vorgehens die Fehlerursache finden. Für sechs PCs mit jeweils mehreren Fehlern, Erklärungen und Diskussionen benötigen die Teilnehmer nie mehr als eine halbe Stunde. Dann sind alle Fehler gefunden und behoben.
Machen Sie sich systematisch an die Fehlersuche. Es bringt nichts, mal hier, mal dort nach dem Fehler zu suchen. Es gibt grundsätzlich vier mögliche Bereiche: das Kabel der Netzwerkkartentreiber die IP-Konfiguration Programmeinstellungen Die Bereiche bauen aufeinander auf. Ich möchte damit ausdrücken, dass das Kabel seine Funktion ohne das Programm erfüllen kann, aber nicht umgekehrt. Jeder der gerade genannten Bereiche funktioniert nur, wenn die Bereiche davor funktionieren. Jeder Bereich ist also von den vorher genannten Bereichen abhängig. Der schlechteste Einstieg ist es, die Suche beim Programm zu beginnen. Angenommen, es läge am Netzwerkkabel, dann müssten Sie alle vier Fehlerbereiche abarbeiten, bis Sie schlussendlich auf das defekte Netzwerkkabel stoßen. [+] Eine systematische Fehlersuche im LAN beginnt daher in der Mitte mit dem Befehl ping. Sie überprüfen, ob die Verbindung bis zur IP-Konfiguration funktioniert. Wenn ja, dann liegt der Fehler in einer logischen Schicht oberhalb von IP, wenn nein, gibt es zumindest einen Fehler auf der Schicht von IP oder darunter.
29.1 Problemursachen finden
Wenn Ihnen ein Netzwerkfehler gemeldet wird, ist es am augenfälligsten, dass die gewünschte Anwendung nicht funktioniert: »Ich komme nicht ins Internet!« Diese Aussage hilft Ihnen bei der Problemfindung nicht weiter. Wenn Sie sich an das ISO/OSI-Modell (siehe Abschnitt 5.2, »ISO/OSI-Modell«) erinnern, wurde Ihnen gerade ein Fehler auf Schicht 7 (Application) gemeldet. Die Ursache kann die Applikation selbst, eine der sechs Schichten darunter oder auch die Hardware sein (siehe Tabelle 29.1). Nr. Schicht
Beispiel
7
Application
HTTP
6
Presentation
5
Session
4
Transport
TCP
UDP
3
Network
IP
IPX
2
Data Link
Ethernet
1
Physic
Manchester 10B5T Trellis
SMTP FTP
ATM
FDDI
DNS
TR
Tabelle 29.1 ISO/OSI-Schichtenmodell
Wenn Sie das Schichtenmodell nun von oben beginnend nach unten abarbeiten, das Problem aber ein abgezogenes Netzwerkkabel ist, haben Sie viel Aufwand betrieben – immerhin haben Sie sechs Schichten des ISO/OSI-Modells überprüft. Das Problem hätten Sie schneller finden können. [+] Steigen Sie mit Ihrer Fehlersuche in der Mitte des ISO/OSIModells ein!
Sie testen, ob die ISO/OSI-Schichten bis zu Schicht 3 funktionieren, indem Sie ein ping an die IP-Adresse des PCs schicken, bei dem der Fehler aufgetreten ist. Hat Ihr ping Erfolg und können Sie den PC damit erreichen, dann kann der Fehler nur noch oberhalb von Schicht 3 liegen. Weil es in Schicht 4 sehr selten zu Problemen kommt und die Schichten 5 und 6 faktisch nicht existieren, wird der Fehler auf der Anwendungsebene zu finden sein. Ein Beispiel wäre ein falscher Proxyeintrag für den Firefox oder ein falsch geschriebener Eintrag in der Browserzeile. Ist der ping erfolglos und der PC des Kollegen nicht auf diese Weise erreichbar, dann müssen Sie das Problem unterhalb von Schicht 4 suchen. [+] Sie sehen, dass Sie durch Ihren Einstieg in der Mitte des ISO/OSI-Modells viel Zeit gewonnen haben, denn Sie wissen nun anhand des ping-Ergebnisses, ob Sie unterhalb oder oberhalb von Schicht 3 suchen müssen.
Selbstverständlich gibt es Fehler, die aus mehreren Einzelfehlern bestehen, so dass Sie mit einer einfachen Lösungsstrategie nicht in einem Schritt zum Erfolg kommen. Dies kann insbesondere dann auftreten, wenn durch falsches Ausprobieren bereits unabsichtlich ein zusätzlicher Fehler produziert wurde. Aber solche Fehler sind sehr selten und in einfachen Netzwerken unwahrscheinlich. [»] Auch bei der Kombination mehrerer Fehler kommen Sie mit dem ping-Einstieg schnell ans Ziel, z. B. wenn eine der folgenden Situationen zutrifft: Netzwerkkabel nicht angeschlossen falscher Netzwerkkartentreiber
falsche Subnetzmaske fehlerhafte Einstellungen in der Anwendung Der ping schlägt in einem solchen Fall fehl, daher überprüfen Sie Schicht 3 und alle darunter liegenden Schichten. Bei der Überprüfung von Schicht 3 fällt Ihnen auf, dass die Subnetzmaske falsch ist. Nach der Korrektur versuchen Sie den ping erneut. Der ping funktioniert immer noch nicht, daher überprüfen Sie die Schichten 3 bis 1. Auf Schicht 2 fällt Ihnen auf, dass die Netzwerkkarte im Gerätemanager mit einem gelben Ausrufezeichen dargestellt wird, dass also ein Hardwareproblem vorliegt. Sie installieren den richtigen Treiber. Der ping wird immer noch nicht funktionieren. Von Windows, Linux und macOS wird jetzt der Fehlerzustand angezeigt, dass kein Netzwerkkabel am PC angeschlossen ist. Sie können dies auch an anhand der Link-LED der Netzwerkkarte erkennen. Sie stecken daraufhin das Netzwerkkabel ein. Der ping funktioniert, doch die Freude währt nicht lange, denn die Anwendung funktioniert immer noch nicht. Sie wissen aber nun, dass der Fehler nur noch oberhalb von Schicht 3 zu suchen ist und vermutlich in der Anwendung liegt – ich hatte bereits erwähnt, dass auf Schicht 4 selten Fehlerursachen gefunden werden –, und die Schichten 5 und 6 gibt es in der Realität nicht. Jetzt haben Sie gezielt ein Problem gelöst, das sehr komplex aus mehreren Fehlern zusammengesetzt war. [!] Ein falscher Lösungsansatz, der meiner Meinung nach oft gemacht wird, besteht darin, zunächst in den Anwendungseinstellungen zu suchen. Wenn ich als Beispiel einen Browser anführe, wird sehr schnell deutlich, weshalb ich das für
problematisch halte: Programme haben üblicherweise heute so viele Optionen, dass man Stunden damit verbringen kann, alle denkbaren Einstellungen durchzuprobieren. Dabei verliert man leicht den Überblick, und die Gefahr des »Verschlimmbesserns« ist groß. Möglicherweise verstellen Sie richtige Einstellungen und vergessen später, sie wieder zurückzusetzen. Auf den Punkt gebracht: Das ist oftmals wie ein Stochern im Nebel. Wenn Sie die Fehlersuche mit einem ping einleiten und es sich herausstellt, dass das Problem in den Programmeinstellungen zu finden ist, ist der Zeitverlust durch den ping nicht messbar, da er nur wenige Sekunden beträgt. In jedem Fall verhindern Sie stundenlanges Suchen in den Programmeinstellungen, falls das eigentliche Problem z. B. in einer falschen Subnetzmaske liegt. Man kann es auch anders formulieren: Weil man am ping nichts einstellen kann, ist es sehr leicht, die ISO/OSI-Schichten 1 bis 3 als Fehlerquelle auszuschließen. Die Programmschicht (ISO/OSISchicht 7) auszuschließen, ist wesentlich schwieriger, weil dort mehr Fehlerquellen in Form von Einstellungsmöglichkeiten existieren.
29.2 Fehlersuche Schritt für Schritt Sie haben den Fehler nun mit Hilfe des ISO/OSI-Modells eingekreist. Jetzt bestimmen Sie die exakte Fehlerursache und schließen dazu andere Fehlerquellen gezielt aus.
29.2.1 Kabel Jede Netzwerkkarte verfügt über eine Link-LED (siehe Abbildung 29.1). Diese leuchtet dann, wenn physisch eine elektrische Verbindung zu einem anderen Netzwerkgerät, z. B. einem Switch, besteht und beide Geräte – Switch und PC – eingeschaltet sind.
Abbildung 29.1 Einfache Netzwerkkarte mit drei Link-LEDs; Quelle: http://dlink.com
Wenn die LED leuchtet, dann ist das Kabel in Ordnung. Wenn nicht, sollten Sie zunächst beide RJ-45-Stecker aus- und wieder einstecken. Es kommt vor, dass ein Stecker nicht richtig in der Buchse sitzt, leicht verkantet ist und dadurch kein Kontakt zustande kommt. Schafft dies keine Abhilfe, dann sollten Sie ein anderes Kabel verwenden – vorzugsweise eines, von dem Sie wissen, dass es funktioniert. Sollte auch mit dem anderen Netzwerkkabel, von dem Sie sicher wissen, dass es funktioniert, die Link-LED nicht leuchten, dann liegt es vielleicht an einer falsch eingebauten Netzwerkkarte. Möglicherweise sitzt die Karte nicht richtig im Slot – oder die OnBoard-Karte im BIOS ist deaktiviert?
29.2.2 Netzwerkkartentreiber Unter Windows können Sie die Funktionsfähigkeit des Netzwerkkartentreibers im Gerätemanager kontrollieren. Ist ein Treiber oder ein Gerät fehlerhaft, wird dies dort mit einem gelben Ausrufezeichen oder einem roten Kreuz neben der Netzwerkkarte symbolisiert. Zusätzlich erfahren Sie durch einen Doppelklick auf den Eintrag des Problemgeräts, warum es funktionsuntüchtig ist. [+] Eine Netzwerkkarte ist eine Komponente wie jede andere auch. Wenn die Karte laut Windows nicht funktioniert, sollten Sie zunächst versuchen, den richtigen Treiber zu installieren. Dieser Schritt ist oftmals leichter gesagt als getan. Wegen der Vielzahl an möglichen Ursachen kann ich an dieser Stelle nicht näher auf das Problem der Treiberinstallation eingehen.
29.2.3 IP-Konfiguration Die IP-Konfiguration – oder besser gesagt ihre Funktion – können Sie mit dem Kommando ping überprüfen.
Abbildung 29.2 »ping« unter Windows
Geben Sie in der Eingabeaufforderung ping ein und betätigen anschließend (¢) . Wenn der Ziel-PC erreicht werden kann, wird Ihnen die Antwortzeit angezeigt (siehe Abbildung 29.2). Hat Ihr ping funktioniert, dann müssen Sie die Fehlerursache im Programm suchen. Hat der ping nicht funktioniert, liegt ein Fehler in der IPKonfiguration oder in den Schichten darunter vor. Damit ist nicht ausgeschlossen, dass zusätzlich im Programm ein Konfigurationsfehler existiert. Beginnen Sie damit, die Link-LED zu kontrollieren. Dann sehen Sie nach, ob der Treiber korrekt arbeitet. Haben Sie diese beiden Bereiche überprüft, kann das Problem nur noch in der IP-Konfiguration liegen. Sie können sich mit dem Windows-Befehl ipconfig /all die IPKonfiguration für alle Netzwerkkarten anzeigen lassen (siehe Abbildung 29.3). Der Befehl für macOS heißt ifconfig eth0 oder für alle Netzwerkkarten einfach ifconfig. Unter Linux verwenden Sie das Kommando ip addr show eth0 bzw. ip addr show.
Abbildung 29.3 »ipconfig /all« unter Windows
29.3 Checkliste Ich möchte Ihnen jetzt eine Checkliste vorstellen, die Sie abarbeiten können und mit der Sie fast jedem Fehler auf die Schliche kommen können. 1. »ping«
Ist der PC per ping erreichbar? ja: dann Schritt 5 nein: dann Schritt 2 2. Link
Leuchtet die Link-LED an der Netzwerkkarte? ja: dann Schritt 4 nein: dann Schritt 3 3. Kabel
Die/Eine Fehlerquelle ist: Das Kabel: Steckt das Kabel richtig (am Switch und am PC!)? Tauschen Sie möglicherweise das Kabel. Die Karte: Steckt die PCI-Karte richtig? Der Switch: Ist der Switch eingeschaltet? Der PC: Ist der PC einschaltet? Sind alle PCI-Slots im BIOS aktiviert? Der Netzwerkkartentreiber: Wird er im Gerätemanager richtig angezeigt?
4. IP
Stimmt die IP-Konfiguration? Windows: ipconfig /all Linux: ip addr show macOS: networksetup Prüfen Sie insbesondere die IP-Adresse (eindeutig?) und die Subnetzmaske! (Kein Problem, wenn DHCP genutzt wird!) Wird die Netzwerkkarte im Gerätemanager richtig angezeigt? Stimmt der Netzwerkkartentreiber? Wenn die Konfiguration stimmt, wie sieht das Routing aus? Windows: route print Linux: ip route show macOS: netstat -r Falls mehrere Router im Spiel sind (z. B. ins Internet): Stimmt das Routing außerhalb des LANs? Windows: tracert Linux: traceroute macOS: traceroute 5. Firewall
Läuft auf dem PC eine Personal Firewall? ja: dann testweise beenden! nein: dann Schritt 6 6. DNS
Kontrollieren Sie die manuellen DNS-Einstellungen. Löschen Sie
alle Einträge, booten Sie, und führen Sie (bei Windows) ipconfig /flushdns aus. 7. Programm
Die Fehlerquelle ist das Programm! Kontrollieren Sie alle Einstellungen genau! [+] Arbeiten Sie diese Checkliste grundsätzlich von oben nach unten ab, wenn Sie nicht anderweitig verwiesen werden. Sobald Sie einen Fehler gefunden haben, müssen Sie ihn beheben. Anschließend prüfen Sie mit ping, ob die Verbindung funktioniert.
Eine zusätzliche Fehlerquelle kann die Namensauflösung sein. Dies gilt insbesondere für den Zugriff auf das Internet, weil dort üblicherweise Namen verwendet werden. Führen Sie einen ping auf den Zielnamen aus, und prüfen Sie dann mit Hilfe des Onlinedienstes http://www.ping.eu, ob der Name richtig aufgelöst wird.
29.4 Windows-Bordmittel Die hier vorgestellten Windows-Programme, die Ihnen bei der Fehlersuche helfen werden, arbeiten fast alle auf der Kommandozeile und wirken daher möglicherweise veraltet oder unprofessionell. Das ist ungerechtfertigt, denn schließlich basieren viele professionelle Applikationen auf ebensolchen einfachen Programmen und stellen die Ergebnisse nur anders und in einer grafischen Oberfläche dar. Viele der genannten Programme sind bereits installiert und auf jedem PC verfügbar. Sie kosten keine Lizenzgebühren und müssen nicht konfiguriert werden. Damit sind sie überall sofort einsatzbereit und zeigen dem Benutzer exakt die Informationen, die er in der jeweiligen Situation benötigt. [+] Ab Windows Vista besitzen viele Kommandos die Optionen -4 und -6. Damit können Sie gezielt für IPv4 oder IPv6 einen Befehl absetzen. Ich werde mich bei der Beschreibung der Programme an den Schichten des ISO/OSI-Modells orientieren, beginnend bei Schicht 1.
29.4.1 IP-Konfiguration auslesen Mit dem Kommando ipconfig /all (siehe Abbildung 29.3) geben Sie die aktuelle IPv4- und IPv6-Konfiguration aller Netzwerkadapter aus. Für Schicht 1 des ISO/OSI-Modells gibt es kein Programm, das vom Betriebssystem mitgeliefert wird. Wenn auf das Kommando hin allerdings kein Ethernet-Adapter ausgegeben wird, dann ist die
Netzwerkkarte nicht richtig eingebunden, daher funktioniert die Kommunikation nicht. In der Ausgabe finden Sie zusätzlich zur IP-Konfiguration Informationen über die eventuelle Nutzung eines DNS-Servers (siehe Kapitel 20, »Namensauflösung«) und zum Status von DHCP (siehe Kapitel 19, »DHCP«).
29.4.2 MAC-Adressen und IP-Adressen Der Befehl arp -a listet den sogenannten ARP-Cache auf (siehe Abbildung 29.4). Darin wird zwischengespeichert, welche MACAdresse zu welcher IP-Adresse gehört (siehe Kapitel 15, »Address Resolution Protocol und Neighbor Discovery Protocol«). Auch für die Schicht 2 des ISO/OSI-Modells gibt es eigentlich kein Testprogramm.
Abbildung 29.4 Der ARP-Cache wird angezeigt.
Den Inhalt des IPv6-Pendants zum ARP-Cache, des Neighbor Cache, listet das Kommando netsh interface ipv6 show neighbors auf.
29.4.3 DHCP erneuern
Wenn Sie einen DHCP-Server einsetzen, möchten Sie einen PC möglicherweise zwingen, seine Konfiguration zu erneuern, damit sich Änderungen auswirken. Dazu müssen Sie weder die halbe Lease-Time abwarten noch booten. Geben Sie ipconfig /release ein, und der PC gibt seine IP-Konfiguration zurück. [!] Sie sollten dieses Kommando nicht bei einer Remoteverbindung ausführen, weil der ferngewartete PC dann aus dem Netz nicht mehr erreichbar ist, schließlich hat er keine IP-Konfiguration! Mit dem Befehl ipconfig /renew zwingen Sie den PC, erneut beim DHCP-Server anzufragen. Das IPv6-Pendant zu diesem Kommando lautet ipconfig /renew6.
29.4.4 »ping« Der ping-Befehl ist das von Netzwerkadministratoren am häufigsten eingesetzte Werkzeug, um Fehler zu diagnostizieren. Das ist deshalb so, weil dieser Befehl sehr unkompliziert verwendet werden kann. Mit Optionen können Sie ping um weitere wichtige Funktionen ergänzen und so optimale Informationen erhalten.
Abbildung 29.5 Mit »ping« die Datenpaketgröße messen
Der Standardanwendungsfall ist ping . Wenn Sie zusätzlich überprüfen möchten, ob der Name des PCs in die richtige IP-Adresse aufgelöst wird, geben Sie ping ein. Oftmals zeigen Netzwerkkomponenten Probleme, wenn die Datenpakete größer werden. Mit ping -f -l 1412 senden Sie 1.412 Bytes große ICMP-Pakete (siehe Kapitel 16, »Internet Control Message Protocol«). Die Option -f gibt an, dass die Datenpakete nicht fragmentiert werden, sondern in einem Stück übertragen werden müssen (siehe Abbildung 29.5). Diese so gewonnene Information hilft Ihnen, festzustellen, welche maximale Paketgröße Sie ins Internet senden können, ohne dass die Pakete fragmentiert werden. Die aktuell konfigurierte Maximum Transmission Unit (MTU) ermitteln Sie mit dem Kommando netsh interface ipv4 show interfaces. Der Spalte Idx entnehmen Sie das Subinterface, für das Sie die MTU anschließend anpassen können. [»] Mit netsh interface ipv4 set subinterface 6 mtu=1200 store=persistent setzen Sie die MTU für das Subinterface 6 dauerhaft auf 1200. Eine IPv6-Adresse prüfen Sie mit Hilfe des Kommandos ping -6. Beachten Sie, dass Sie bei Unicast- und Multicast-Adressen in der Regel das Netzwerkinterface angeben müssen. Dazu fügen Sie hinter der IPv6-Adresse ein % und die Identifikationsnummer der Netzwerkschnittstelle hinzu, die Sie mit Hilfe des Kommandos ipconfig in Erfahrung bringen können. [+] Die Path Maximum Transmission Unit (PMTU) entfernter IPv6Netzwerke zeigt Ihnen die Ausgabe des Kommandos netsh interface ipv6 show destinationcache an.
29.4.5 »traceroute« Die IP-Konfiguration der beiden an der Kommunikation beteiligten PCs scheint in Ordnung zu sein. Allerdings befinden sich beide Geräte in verschiedenen IP-Netzen, die über Router verbunden sind. Ein ping funktioniert nicht. Das folgerichtige Kommando heißt traceroute. [»] PC-Heinz möchte PC-Kurt Daten schicken, und das klappt nicht. Sie machen einen traceroute von PC-Heinz zu PC-Kurt: tracert kurt (siehe Abbildung 29.6). Es wird ein ICMP-Request mit der Time To Live (TTL) von 1 an die Ziel-IP-Adresse 45.78.9.17 geschickt. Router eins bekommt das Paket, zieht von der Lebensdauer eins ab (1–1 = 0) und kommt auf einen Wert von 0. Das bedeutet: Das Paket darf nicht weitergeleitet werden, schließlich hat es keine Lebensdauer mehr. Diese Information wird vom ersten Router an den Absender, PC-Heinz, zurückgemeldet: Das ICMP-Paket hat seine Lebensdauer überschritten. PC-Heinz schickt nun einen erneuten ICMP-Request mit der TTL 2 an die Ziel-IP-Adresse. Router eins leitet das Paket weiter, die RestTTL beträgt 1 (2–1 = 1), Router zwei bekommt das Paket. Er leitet es nicht weiter, sondern meldet der Absender-IP-Adresse, dass die Lebensdauer abgelaufen ist (1 – 1 = 0).
Abbildung 29.6 »traceroute«-Anwendungsfall
PC-Heinz sendet einen dritten ICMP-Request, den PC-Kurt beantwortet. Jetzt listet traceroute alle drei beteiligten Komponenten auf. Die Informationen zu den zwischengeschalteten Routern eins und zwei, z. B. IP-Adresse und Name, hat PC-Heinz aus der Rückmeldung der Fehler bekommen. Jede Station zwischen den Kommunikationspartnern wird auch als Hop (dt. Hüpfer) bezeichnet. Die Anzahl der Stationen heißt entsprechend Hop Count. Allgemein kann man sagen, dass traceroute die ICMPFehlermeldungen auswertet. Sie könnten die Funktion von traceroute auch manuell per ping nachbilden. Auch dort können Sie von Hand die TTL mit der Option -i setzen. Der Befehl tracert liefert sehr wertvolle Hinweise darauf, an welcher Stelle die Kommunikation abbricht. Sie müssen nur nach dieser Stelle suchen und nicht mehr die gesamte Übertragungsstrecke prüfen (siehe Abbildung 29.7).
Abbildung 29.7 »tracert« ins Internet
Das Kommando tracert -6 ist das entsprechende Gegenstück für IPv6.
29.4.6 »route« Das Internetprotokoll dient der Wegewahl, dem Routing (siehe Abschnitt 14.3, »Routing«). Die Routingtabelle eines PCs lassen Sie mit route print ausgeben (siehe Abbildung 29.8). Wenn Sie einen manuellen Routingeintrag erzeugen möchten, erledigen Sie das mit folgendem Kommando: route add mask
metric if
Abbildung 29.8 »route print« zeigt die Routingtabelle.
Ebenso können Sie einen Routingeintrag löschen: route delete
Um ihn zu verändern, tippen Sie:
route change … (dann wie route add).
Wenn Sie mit route add einen Routingeintrag erzeugen, ist dieser Eintrag beim nächsten Booten nicht mehr aktiv! Wenn Sie den Routingeintrag dauerhaft (engl. persistent) hinzufügen wollen, müssen Sie die Option -p verwenden: route add -p … (dann wie route add).
Für die Anzeige der IPv6-Routingtabelle verwenden Sie entweder das Kommando route -6 print oder alternativ das Kommando netsh interface ipv6 show route.
29.4.7 TCP-/UDP-Verbindungen Welche Verbindungen von Ihrem PC unterhalten werden und auf welchen Verbindungen Ihr PC Anfragen akzeptiert, listen Sie mit dem Befehl netstat -a auf.
Abbildung 29.9 »netstat« listet Verbindungen auf.
Die Option -n listet die TCP-/UDP-Ports numerisch auf. Mit der Option -o können Sie sich zusätzlich die Prozessnummer ausgeben lassen. (Die Option -o steht leider nicht unter allen Windows-
Varianten zur Verfügung.) Der Befehl netstat -ano listet alle TCP-/UDP-Verbindungen auf. Egal, in welchem Zustand sie sich befinden, TCP-/UDP-Ports werden numerisch ausgegeben, und zu jeder Verbindung wird die Prozess-ID auf Ihrem PC mit angegeben (siehe Abbildung 29.9). Eine grafische Aufbereitung dieser Ausgabe finden Sie in Abschnitt 30.2.1, »CurrPorts«. [+] Die Option -p bietet einen Filter. Sie können z. B. mit den Argumenten TCPv6 oder UDPv6 gezielt nach Verbindungen auf Basis von IPv6 und TCP bzw. UDP suchen. Die Option -s liefert hilfreich untergliederte Statistiken.
29.4.8 NetBIOS Informationen über die NetBIOS-Funktion bekommen Sie mit dem Befehl nbtstat. Insbesondere ist der Befehl nbtstat -c interessant; er listet die Namenstabelle auf, die im NetBIOS-Cache abgelegt ist. Mit der Eingabe von nbtstat -A können Sie die MACAdresse und weitere Informationen über einen anderen PC abfragen (siehe Abbildung 29.10). Hinter dem Namen wird ein hexadezimaler Wert angegeben. Beträgt dieser Wert 20, handelt es sich um einen Server im Sinne von NetBIOS, der PC hat z. B. eine Dateifreigabe eingerichtet. Freigaben können Sie sich mit dem Befehl net view \\ zu der angegebenen IP-Adresse auflisten lassen, falls Sie die nötigen Zugriffsrechte für den PC haben.
Abbildung 29.10 »nbtstat -A« listet die Informationen zum PC auf.
Für IPv6 unterstützt Microsoft kein NetBIOS.
29.4.9 Der Windows-Ressourcenmonitor Den Ressourcenmonitor erreichen Sie über Leistung • Ressourcenmonitor öffnen • Netzwerk aus dem Windows-Taskmanager heraus. Der Ressourcenmonitor listet übersichtlich alle Anwendungen und ihre offenen Netzwerkverbindungen auf. Zusätzlich erkennen Sie, welche Anwendung wie viel Netzwerkverkehr erzeugt (siehe Abbildung 29.11).
Abbildung 29.11 Der Ressourcenmonitor zeigt auch die Netzwerklast.
29.4.10 Network Diagnostics Framework Die Netzwerkverbindung eines Computers ist heute eine absolute Selbstverständlichkeit. Dementsprechend ärgerlich ist es, wenn sie nicht funktioniert. Bisher konnte Windows z. B. im Browser nur anzeigen, dass die gewünschte Webseite nicht aufgerufen werden konnte. Den Grund dafür herauszufinden, blieb dem Benutzer überlassen. Das Abarbeiten des Prüfungsschemas (siehe Abschnitt 29.3, »Checkliste«) kann aber in vielen Fällen auch durch das Betriebssystem erfolgen, und so können Netzwerkprobleme leichter analysiert und Lösungen für das Problem vorgeschlagen werden. Ab Windows Vista ist das Network Diagnostics Framework (NDF) integriert. Es prüft unterschiedliche Konfigurationen (Netzwerkkarte, WLAN-Verbindung, IP-Konfiguration, DNSKonfiguration, Firewall-Einstellungen) und lokalisiert das Problem. [»] Wie Sie Abbildung 29.12 entnehmen können, habe ich einige typische Fehler mit dem NDF diagnostizieren lassen. In diesem Fall hatte ich für den Test einen fehlerhaften lokalen DNS-Server eingetragen. Sie erreichen das NDF über die Schaltflächen Problembehandlung oder Diagnose. Da der Fokus des NDF auf der Analyse leichter Netzwerkprobleme liegt, erfüllt es durchaus seinen Zweck.
Abbildung 29.12 Das NDF zeigt fehlerhafte Einstellungen des DNS-Servers.
29.5 Linux-Bordmittel Linux bringt eine ganze Reihe von Programmen mit, die Ihnen bei der Fehlersuche helfen. Die von mir vorgestellten Programme führen Sie in einer Linux-Shell aus, also in einem Terminalfenster oder auf einer der Konsolen. Ich werde mich bei der Beschreibung der Programme an den Schichten des ISO/OSI-Modells orientieren, beginnend bei Schicht 1.
29.5.1 Ethernet-Konfiguration: »ethtool« Nur selten müssen Sie die Ethernet-Konfiguration einer Netzwerkkarte von Hand korrigieren. Die Netzwerkgeschwindigkeit und die Duplexeinstellung der Netzwerkteilnehmer und des Switches müssen übereinstimmen. In der Regel handeln die beiden Ethernet-Teilnehmer diese Regeln über Autonegotiation stimmig aus. Nur sehr selten funktioniert dieses automatische Verfahren nicht. Sollte hier ein manueller Eingriff doch einmal nötig sein, ist das Kommando ethtool das richtige Werkzeug. Der Aufruf ethtool eth0 listet die verfügbaren Modi der Netzwerkkarte auf (siehe Abbildung 29.13). Außerdem teilt das Betriebssystem mit, ob die Netzwerkkarte überhaupt einen Link zu Ethernet erkannt hat.
Abbildung 29.13 Hier wurde Fullduplex-Gigabit ausgehandelt.
Das Kommando bietet eine Fülle weiterer Möglichkeiten. Ich empfehle Ihnen die Lektüre der Manpage (man ethtool) und möchte Ihnen nur ein Beispiel vorstellen: [»] Das Kommando ethtool -s eth0 speed 10 duplex half autoneg off setzt die Netzwerkkarte eth0 fest auf 10 Mbit Halfduplex. Nach ethtool -s eth0 autoneg on werden die Einstellungen wieder automatisch ausgehandelt. [+] Auch die Einstellungen für Wake-on-LAN können Sie mit dem Kommando ethtool verändern. Die Möglichkeiten der Einstellung entnehmen Sie der Manpage. [!] Nicht alle Netzwerkkartentreiber arbeiten vollständig mit ethtool zusammen.
29.5.2 IP-Konfiguration auslesen Das Kommando ip addr show eth0 zeigt die Konfiguration der ersten Netzwerkschnittstelle an. Dazu gehört die Information, welches
ISO/OSI-Schicht-2-Protokoll angewendet wird. In Abbildung 29.14 ist es Ethernet, dahinter folgen die MAC-Adresse, die IP-Adresse und die IP-Broadcast-Adresse. Zusätzlich wird eine IPv6-Adresse ausgegeben. Bei dieser Adresse handelt es sich um eine sogenannte linklokale (dt. verbindungslokale) Adresse. Solche IPv6-Adressen beginnen immer mit fe80::.
Abbildung 29.14 Wichtige Informationen per »ip addr show«
Der Befehl ip kann mehr als nur die Konfiguration der Netzwerkschnittstelle auslesen. Mit ihm können Sie die Netzwerkschnittstelle auch konfigurieren, wenn Sie als Administrator auf dem System arbeiten, also als Benutzer root angemeldet sind. Ob Sie als root arbeiten, können Sie am Prompt der Shell erkennen. Das # wird nur für den Benutzer root verwendet. Wenn Sie sich nicht sicher sind, unter welcher Benutzerkennung Sie gerade arbeiten, können Sie auch den Befehl who am i eingeben. Um als normaler Benutzer ein Kommando mit den Rechten des Super-Users root auszuführen, müssen Sie sudo voranstellen und auf Nachfrage das eigene Passwort eingeben. Mit ip link set down deaktivieren Sie ein Interface. Mit ip link set up aktivieren Sie dieselbe Schnittstelle wieder. [!] UNIX-typisch wird selbst bei solch massiven Eingriffen nicht nachgefragt, ob Sie die Aktion wirklich ausführen möchten. Wenn
Sie per Fernadministration auf einem Linux-System arbeiten und dann mit ip link eth0 down die Netzwerkschnittstelle abschalten, haben Sie sich ausgesperrt: Sobald Sie (¢) gedrückt haben, ist die Datenverbindung unterbrochen. ip addr add 192.168.1.2 dev eth0 Danach arbeitet das Interface eth0
mit der IP-Adresse 192.168.1.2. Manchmal wird die Broadcast-Adresse nicht richtig gesetzt, insbesondere wenn Sie einen IP-Bereich, der ursprünglich für Class-B-IP-Netze gedacht war, für ein Class-CSubnetz nutzen. Sie können das Problem lösen, indem Sie den Netzwerkanteil eines Class-C-Subnetzes mit Hilfe des CIDR /24 bestimmen: ip addr add 172.16.1.2/24 dev eth0 Diese Beispiele gelten für den Fall, dass Sie die Netzwerkschnittstelle eth0 oder genauer /dev/eth0 konfigurieren möchten. Sie ist die erste EthernetNetzwerkkarte im System. Entsprechend wäre die zweite Netzwerkkarte /dev/eth1 usw.
29.5.3 MAC-Adressen und IP-Adressen Den ARP-Cache (siehe Kapitel 15, »Address Resolution Protocol und Neighbor Discovery Protocol«) können Sie auch unter Linux sehr einfach auslesen. Das Kommando ip neigh show listet alle bekannten Beziehungen zwischen MAC- und IP-Adresse auf (siehe Abbildung 29.15). Mit dem Befehl ip neigh add lladdr dev setzen Sie bei Bedarf ARP-Einträge. Sollten Sie ARPEinträge löschen wollen, verwenden Sie das Kommando ip neigh del dev .
Abbildung 29.15 »ip neigh show« unter Linux
[»] Das Löschen des ARP-Cache kann notwendig sein, wenn Sie einen neuen PC mit der IP-Adresse eines alten PCs betreiben möchten. Ist zwischen dem Abschalten und der Inbetriebnahme des neuen PCs nur wenig Zeit vergangen, kann es sein, dass noch die alte Beziehung der MAC-Adresse zur IP-Adresse besteht. Mit dem Löschen des alten ARP-Cache-Eintrags können Sie die Aktualisierung der anderen Netzwerkteilnehmer erzwingen. Den Inhalt des IPv6-Pendants zum ARP-Cache, des Neighbor Cache, listet das Kommando ip -6 neighbor show auf.
29.5.4 »ping« Das Kommando ping ist unter Linux um ein Vielfaches mächtiger als unter Windows. Es ist ein wirkliches Universalwerkzeug. Die Möglichkeiten von ping werden von Optionen erweitert, die Sie an das eigentliche Kommando anhängen können. Im einfachsten Fall tippen Sie: ping Die Anzeige des Ergebnisses ist so genau, dass Sie Schwankungen erkennen können. Anders als bei Windows werden nicht lediglich vier pingPakete versendet, sondern – der Windows-Option -t entsprechend – unbegrenzt viele. Sie können den ping"=Ablauf mit der Tastenkombination (Strg) + (C) jederzeit abbrechen. In Abbildung 29.16 wird ein ping -M do -c 4 -s 1472 ausgeführt. Die Option -M do führt dazu, dass Pakete nicht
defragmentiert werden; sie entspricht also der Option -f unter Windows. Die Option -c 4 bedeutet, dass vier Pakete gesendet werden; ansonsten würden endlos Pakete geschickt. Die Option -s 1472 legt die IP-Paketgröße auf 1.472 Bytes fest. Dass trotz der Angabe -s 1472 in Wirklichkeit 1.480 Bytes gesendet werden, liegt daran, dass die ping-Kontrollinformationen (ICMP-Header) acht Bytes umfassen (siehe Abschnitt 16.2, »Das ICMP-Datagramm«).
Abbildung 29.16 »ping« mit Optionen unter Linux
[+] Interessant ist die Option -f. Dieser sogenannte flood-ping sendet unablässig ICMP-Pakete. Für jedes gesendete Paket schreibt er einen Punkt auf den Bildschirm, und für jedes beantwortete Paket wird ein Punkt gelöscht. Dadurch sehen Sie sehr schnell, wie viele Pakete verlorengegangen sind. Eine weitere nützliche Option ist ping -l . Man erzeugt damit eine definierte Anzahl von Paketen und sendet diese als Last sofort los. So können sehr gut Hochlastsituationen simuliert werden. Die Abbildung 29.17 zeigt einen ping -l 50 -c 50 -s 1472 , bei dem 38 Prozent der Pakete verlorengehen. Wie Sie erkennen, wurden die Pakete bis zu Paket 31 beantwortet, dann war der Kommunikationspartner überlastet. Mit der Option -l 50 werden fünfzig Datenpakete im Speicher erzeugt und als Spitzenlast losgesendet. Der ping sendet durch die Einstellung -c 50 genau fünfzig Pakete.
Die Path Maximum Transmission Unit (PMTU) für den Weg zu einer entfernten IPv6-Adresse zeigt das Kommando ip -6 route get . Eine IPv6-Adresse prüfen Sie mit Hilfe des Kommandos ping6. Achten Sie darauf, dass Sie bei Unicast- und Multicast-Adressen in der Regel das Netzwerkinterface angeben müssen. Dazu verwenden Sie entweder die Option -I oder hängen an die IPv6-Adresse ein Prozentzeichen und den Namen der gewünschten Netzwerkschnittstelle an, z. B. ping6 ff02::2%eth0. Die angesprochenen Optionen sind nur ein kleiner Teil aller Möglichkeiten. Wenn Sie weitere Optionen nutzen möchten, dann können Sie sich mit ping -h und man ping zusätzliche Informationen beschaffen.
Abbildung 29.17 In Lastsituationen gehen 38 Prozent der Pakete verloren.
29.5.5 »bing«
Der Befehl bing ist dem ping nicht unähnlich. Sie können damit die Antwortzeiten von zwei oder mehr PCs miteinander vergleichen. In Abbildung 29.18 vergleicht dieser Befehl die Geschwindigkeit der beiden PCs 192.168.1.1 und 192.168.4.3: bing -S 1000 -e 50 -c 1 192.168.1.1 192.168.4.3 Wenn Sie sich die Werte für die großen Datenpakete ansehen, werden Sie feststellen, dass der PC 192.168.1.1 etwa die doppelte Antwortzeit benötigt, also deutlich langsamer ist. Die Option -S 1000 gibt die Paketgröße mit 1.000 Bytes an, die Option -e 50 sendet 50 Pakete an die beiden PCs, und mit -c 1 sendet bing nur einmal 50 Pakete. [»] Ein Anwendungsfall für den Einsatz von bing ist das Überprüfen von Server-Netzwerkanbindungen: Benutzer beklagen sich, dass die Anwendung langsam sei. Sie sollten dann herausfinden, ob wirklich das Netzwerk oder vielleicht der Server langsam ist. Dazu »bingen« Sie von einem Linux-PC auf alle Server. Sollte sich herausstellen, dass die Antwortzeiten des Servers, auf dem die als langsam beschriebene Anwendung läuft, im Vergleich zu den anderen Servern besonders lang sind, ist das Problem vermutlich nicht im Netzwerk, sondern zunächst auf dem Server zu suchen.
Abbildung 29.18 »bing« vergleicht die Geschwindigkeit von zwei PCs.
29.5.6 »traceroute«
Sie haben einen PC, dessen Netzwerkschnittstelle funktioniert; auch die Netzwerkanbindung des Ziel-PCs funktioniert, »doch sie können zusammen nicht kommen«. Beide PCs sind in unterschiedlichen IPNetzen, haben also verschiedene Netz-IDs. Das ist immer der Fall, wenn Sie einen PC im Internet ansprechen möchten. Das Werkzeug der Wahl ist in einem solchen Fall traceroute. Der Befehl sendet ICMP-Pakete (also ping-Pakete) mit fest definierter Gültigkeit. Da ein Router, der ein Paket nicht weiterleitet, weil dessen Gültigkeit abgelaufen ist, eine Information zum Absender schickt, gibt jeder Router zwischen der Absender- und der Ziel-IP dem Absender seine Existenz mit einem traceroute bekannt. Sie wissen dann, bis zu welchem Punkt die Kommunikation funktioniert, nämlich bis zum letzten Router, der angezeigt wurde. Sie können nun in der Kommunikationskette gezielt hinter diesem Punkt mit Ihrer Fehlersuche beginnen. Das Kommando traceroute -6 ist das entsprechende Gegenstück für IPv6.
29.5.7 »ip route« Die Routingtabellen können Sie mit dem Kommando ip route show auslesen. Das Kommando ip funktioniert für IPv4 und IPv6 gleichermaßen. Sie können sich Ihre IPv6-Routingtabelle gezielt durch Anhängen der Option -6, also mit dem Kommando ip -6 route show, ansehen. Für eine Standardinstallation sollten, wie in Abbildung 29.19 zu sehen ist, nur zwei Einträge in der Routingtabelle vorhanden sein.
Der erste Eintrag ist eigentlich kein richtiger Routingeintrag. Er beschreibt, dass der PC das Netz 192.168.4.0/24 ohne Gateway erreichen kann. Dies ist verständlich, wenn man berücksichtigt, dass der PC mit seiner IP-Adresse 192.168.4.145 bereits Mitglied im Netzwerk 192.168.4.0/24 ist.
Abbildung 29.19 Die Kernel-Routingtabellen ausgeben
Der Eintrag default ist das Standardgateway. Wenn ein Datenpaket zu einer IP-Adresse gesendet werden muss, die nicht in das eigene Netzwerk 192.168.4.0/24 gehört, dann wird das IP-Paket über den Default-Routingeintrag abgearbeitet. [!] »Gateway« ist meiner Meinung nach keine korrekte Bezeichnung, denn gemeint ist an dieser Stelle ein Router. Ein Gateway ist eigentlich ein Gerät, das das Übertragungsmedium wechselt, z. B. ein E-Mail-Fax-Gateway: E-Mails werden in Faxe umgesetzt und umgekehrt. Ein Router wechselt das Übertragungsmedium nicht, sondern leitet das IP-Paket aus einem Netzwerk in die Zielrichtung eines anderen Netzwerks weiter. Mit ip route add via dev können Sie Routingeinträge hinzufügen. Der Befehl ip route add default via 192.168.4.1 richtet den Router 192.168.4.1 als Standardrouter ein. Nur in Spezialfällen benötigen Sie mehr als einen DefaultRoutingeintrag. Mit der Angabe einer Metrik können Sie die Reihenfolge ansonsten gleichwertiger Routingeinträge bestimmen und so im Fehlerfall eine alternative Verbindung nutzen: ip route add default via 192.168.1.254 metric 200 Sie erzeugen einen
weiteren Routingeintrag, der durch den höheren Wert der Metrik aber ungünstiger ist als der zuvor vorgenommene Eintrag. [!] Das Ändern von Routingeinträgen kann die Netzwerkverbindung unterbrechen. Eine Verbindungsunterbrechung ist sehr ungünstig, wenn Sie den PC von einem anderen PC aus z. B. per SSH oder Telnet fernadministrieren. Sollten Sie sich selbst ausgesperrt haben, bleibt Ihnen nur noch die Möglichkeit, persönlich den PC aufzusuchen; ein unter Umständen zeitraubendes Vorhaben. Sie können mit ip route del via Routingeinträge löschen.
29.5.8 MTU: »tracepath« Wenn Sie mit der Path Maximum Transmission Unit (PMTU) die maximale Paketgröße für ein Datenpaket, das durch mehrere IPNetze wandern soll, bestimmen möchten, hilft Ihnen das Programm tracepath (siehe Abbildung 29.20).
Abbildung 29.20 Ein »tracepath« im gleichen IP-Netz, die MTU ist 1500.
Mit der Syntax tracepath [-n] [] prüfen Sie z. B. auch die Kommunikation mit einem Teilnehmer im Internet: tracepath www.web.de. Eine auf diese Art bestimmte maximale Paketgröße für die Kommunikation mit anderen Netzwerkteilnehmern können Sie als MTU in Ihre Netzwerkeinstellungen übernehmen.
Für IPv6-Verbindungen verwenden Sie das Kommando tracepath6.
29.5.9 TCP-/UDP-Verbindungen Das Kommando ss listet auf, in welchem Zustand sich die TCP-/UDP-Verbindungen befinden. Mit der Option -n werden die UDP-Port-Nummern (-u) als Zahl und nicht im Klartext ausgegeben. Über state unconnected werden die Ports gefiltert, die auf eine Verbindung warten (siehe Abbildung 29.21).
Abbildung 29.21 Der Befehl »ss -nu« listet die TCP-/UDP-Verbindungen auf.
29.5.10 Portscanner: »nmap« Ein Portscanner ist ein Programm, mit dem man TCP- und UDPPorts prüfen kann. Wenn eine Verbindung auf einem bestimmten Port akzeptiert wird, lässt dies den Schluss zu, dass dort ein entsprechender Dienst verfügbar ist. Doch das Programm nmap kann noch viel mehr als nur Ports überprüfen, z. B. das Betriebssystem eines Hosts mit nmap -O erraten (siehe Abbildung 29.22).
Abbildung 29.22 Betriebssystemraten mit »nmap -O«: ein Router mit LinuxKernel
Es ist sehr praktisch, überprüfen zu können, ob ein PC einen bestimmten Dienst überhaupt anbietet. Andererseits wird nmap von Hackern/Crackern eingesetzt, die damit nach offenen Serverports suchen und möglicherweise das Betriebssystem erraten, um sich anschließend über Schwachstellen zu informieren. Zurzeit erkennt nmap über 1.700 Betriebssysteme in über 5.000 Versionen an charakteristischen Merkmalen der Netzwerkkommunikation. Beim TCP-Handshake agieren Betriebssysteme unterschiedlich, und anhand ihres Verhaltens (Fachbegriff: Fingerprint, dt. Fingerabdruck) kann nmap erraten, welches Betriebssystem sich hinter einem Netzwerkteilnehmer verbirgt. Wenn Sie genauer wissen möchten, wie die Erkennung des Betriebssystems technisch abläuft, finden Sie nähere Informationen auf der Internetseite https://nmap.org/book/osdetect.html. Sie wundern sich, dass es so viele Betriebssysteme gibt? Es handelt sich hier auch um Betriebssysteme von Netzwerkkomponenten (z. B. Switches und Router).
29.6 Bordmittel von macOS Unter macOS wurde das Netzwerkdienstprogramm knapp zwei Jahrzehnte für die Analyse von Fehlern und Fehlkonfigurationen im Netzwerk genutzt. Dabei handelte es sich genau genommen um eine grafische Oberfläche für Programme, die Sie am Terminal auch durch die Eingabe eines Befehls direkt hätten ausführen können. Mit macOS 11 hat Apple das Dienstprogramm aufgegeben. Wenn Sie es im Verzeichnis /System/Library/Core Services/Applications über einen Doppelklick im Finder starten, werden Sie unmittelbar ans Terminal verwiesen. Lediglich der Befehl stroke für den Portscan (siehe Abschnitt 29.6.6) ist noch enthalten.
Abbildung 29.23 Das Netzwerkdienstprogramm gibt es in der bekannten Form nicht mehr.
29.6.1 IP-Konfiguration auslesen Den aktuellen Zustand der Netzwerkschnittstellen bringen Sie am Terminal schnell durch die Eingabe von ifconfig in Erfahrung. In
der Ausgabe von ifconfig finden Sie links zunächst das Kürzel der Schnittstelle, beispielsweise en0 für eine Ethernet-Schnittstelle. Daneben eingerückt werden die einzelnen Einstellungen aufgeführt. Die aktuelle IP-Adresse wird nach inet für IPv4 und inet6 für IPv6 unterschieden.
Abbildung 29.24 »ifconfig« gibt die aktuelle Konfiguration der Netzwerkschnittstellen aus.
Um in Erfahrung zu bringen, welches Kürzel den jeweiligen Schnittstellen zugeordnet ist, geben Sie den Befehl networksetup listallhardwareports ein. Sie erhalten eine Liste der Schnittstellen, die sowohl die in den Systemeinstellungen vergebenen Bezeichnungen als auch das Kürzel enthält. Der Befehl networksetup bietet Ihnen noch eine Reihe weiterer Möglichkeiten. So können Sie durch die Eingabe von networksetup listallnetworkservices eine Liste aller in den Systemeinstellungen konfigurierten Schnittstellen aufrufen. Sie erhalten mit networksetup -getinfo weitere Informationen über die aktuelle Konfiguration einzelner Interfaces.
29.6.2 ping und ping6
Der Befehl ping steht Ihnen am Terminal zur Verfügung. Sie übergeben dem Befehl entweder eine IP-Adresse oder den Hostnamen des anzupingenden Rechners, beispielsweise ping 10.0.1.2. Um ein Gerät mittels IPv6 anzusprechen, nutzen Sie den Befehl ping6 gefolgt von der IPv6-Adresse. Mit dem Kurzbefehl (cmd) + (.) beenden Sie den Versand der Datenpakete.
Abbildung 29.25 Die Funktionsweise des Befehls »ping« entspricht derjenigen unter Linux.
29.6.3 »traceroute« Um den Weg der Datenpakete im Netzwerk nachzuverfolgen, können Sie auch unter macOS auf den Befehl traceroute zurückgreifen. Ihm übergeben Sie als Parameter die IP-Adresse oder den Namen des Zielsystems.
Abbildung 29.26 Der Befehl »traceroute« zeigt den Weg der Datenpakete.
29.6.4 Routingtabelle mit »netstat« einsehen Möchten Sie sich über die aktuellen Routingtabellen Ihres Systems und Netzwerks informieren, dann nutzen Sie am Terminal den Befehl netstat mit der Option -r.
Abbildung 29.27 Die Routingtabelle bringen Sie über »netstat -r« in Erfahrung.
29.6.5 TCP"=/UDP-Verbindungen mit »netstat«
Auch unter macOS können Sie sich die aktiven Verbindungen ins Netzwerk durch die Eingabe von netstat anzeigen lassen.
Abbildung 29.28 »netstat« zeigt die aktuellen Netzwerkverbindungen an.
Sie finden in der linken Spalte die IP-Version ( tcp4 oder tcp6) und unter Foreign Address den Rechner, mit dem die Verbindung besteht.
29.6.6 Portscan mit »stroke« Für einen Portscan am Terminal können Sie das Programm stroke nutzen. Der Clou bei stroke ist, dass es Teil des obsoleten Netzwerkdienstprogramms ist, aber nicht in den Standardverzeichnissen für Terminalbefehle liegt. Sie stellen den Pfad /System/Library/CoreServices/Applications/Network\ Utility.app/Contents/Resources vor das Kommando (siehe Abbildung 29.29).
Abbildung 29.29 Der Befehl »stroke« benötigt für den Scan eine gewisse Zeit.
Dem Befehl übergeben Sie die Adresse des zu scannenden Systems sowie den Start- und Endport. Der Scanvorgang mit stroke kann ein wenig Zeit in Anspruch nehmen. Sie können den Scan mit dem Kurzbefehl (cmd) + (.) abbrechen.
29.6.7 Drahtlose Netzwerke mit »airportd« überblicken Wenn Sie sich für weitergehende Details Ihres drahtlosen Netzwerkes interessieren, dann kann Ihnen der im Verzeichnis /usr/libexec verfügbare Befehl airportd behilflich sein. Dem Aufruf mit dem vollständigen Pfad stellen Sie noch sudo voran. Authentifizieren Sie sich, um airportd mit den notwendigen Zugriffsrechten auszustatten.
Abbildung 29.30 »airportd« zeigt Details des drahtlosen Netzwerks an.
Die Eingabe von sudo /usr/libexec/airportd info liefert eine Reihe von technischen Informationen über das drahtlose Netzwerk, die Ihnen die Systemeinstellungen nicht bieten. Nutzen Sie das Verb prefs in der Form sudo /usr/libexec/airportd info, werden Ihnen die derzeit gültigen Konfigurationen für das Netzwerk angezeigt. Mit /usr/libexec/airportd -h erfahren Sie mehr über die Möglichkeiten des airportd.
29.6.8 Geschwindigkeiten mit »networkQuality« ermitteln Der Befehl networkQuality informiert Sie über die Qualität Ihrer Verbindung ins Internet. Dafür misst er die Geschwindigkeit des Uploads und des Downloads.
Abbildung 29.31 »airportd« ermittelt die Geschwindigkeit der Internetverbindung.
30 Zusatzprogramme Sie benötigen noch weitere Informationen über einen PC oder über den Datenverkehr im Netzwerk? Mit den richtigen Werkzeugen ist das kein Problem! Wenn Sie ganz sicher sind, dass das Problem, das eine erfolgreiche Netzwerkkommunikation verhindert, nur noch auf der Anwendungsebene gefunden werden kann, sind Sie dennoch nicht am Ziel: Sie müssen das Problem erst noch finden! Mit etwas Glück stellt Ihnen die Anwendung selbst brauchbare Informationen in Logfiles zur Verfügung, und durch Analyse grenzen Sie das Problem weiter ein. Eine weitere Möglichkeit, solchen – meist anwendungsbezogenen – Problemen in Netzwerken auf den Grund zu gehen, ist die Paketanalyse. Dabei helfen sogenannte Sniffer (dt. Schnüffler), die den gesamten Netzwerkverkehr mitschneiden und den Inhalt der Pakete anzeigen.
30.1 Wireshark Ursprünglich begann diese Software unter dem Namen Ethereal für das Betriebssystem Linux. Nun heißt sie Wireshark (dt. Kabelhai), und es existieren Portierungen auf zahlreiche andere
Betriebssysteme wie Windows und macOS. Die Unabhängigkeit vom Betriebssystem macht Wireshark sehr beliebt. Der Einsatz von Wireshark (siehe Abbildung 30.1) ist eine komplexe Analysemethode, die fortgeschrittenes Wissen erfordert. Kapitel 3 dieses Buches, »Grundlagen der Kommunikation«, hilft Ihnen, das entsprechende Basiswissen aufzubauen. Wireshark für Windows benötigt eine weitere Anwendung, die Bibliothek Windows Packet Capture (WinPcap). Dies ist eine Freewarebibliothek, die es ermöglicht, Netzwerkpakete unter Windows mitzuschneiden. Sie wird auch von ntop und NmapWin benutzt. Im Hauptfenster (siehe Abbildung 30.2) wählen Sie den Menüpunkt Capture • Options.
Abbildung 30.1 Mitgeschnittener Datenverkehr
Abbildung 30.2 Wireshark-Hauptansicht
Es erscheint ein Konfigurationsfenster, in dem Sie Einstellungen für das Paketesammeln vornehmen können. Der wichtigste Punkt ist Interface. Dort sollten Sie die Bezeichnung der Netzwerkkarte wiederfinden, die Sie benutzen wollen. Eine hilfreiche Einstellung ist der Capture Filter, wenn Sie die Daten vorfiltern wollen. Eventuell wissen Sie, welcher PC die Anfragen sendet; dann können Sie eintragen, dass nur die Pakete mitgeschnitten werden sollen, die von diesem PC kommen. Das spart Platz und ist für Sie wesentlich übersichtlicher.
30.1.1 Umgang mit Filtern [»] Sie wollen alle Pakete erfassen, die zum Webserver von WEB.DE gesendet werden (siehe Abbildung 30.3). Der Filter würde dann lauten: dst host web.de && tcp dst port 80 Weitere Informationen zu den
Filtermöglichkeiten finden Sie auf den Hilfeseiten, entweder im
Internet auf der Seite http://www.tcpdump.org/tcpdump_man.html oder unter Linux mit dem Kommando man tcpdump.
Abbildung 30.3 Wireshark mit »Capture Filter«
Wenn Sie auf Start klicken, beginnt die Aufzeichnung. Sie dauert so lange, bis Sie auf Stop klicken. Jede Zeile im Hauptfenster steht für ein Datenpaket. Sie sehen in der ersten Spalte eine fortlaufende Nummerierung von Wireshark, in der zweiten Spalte eine sehr genaue Zeitangabe. Die Spalte Source gibt die IP-Adresse oder den Namen des Absenders an, Destination ist die Ziel-IP-Adresse oder der Name des Ziel-PCs. In der Spalte Protocol wird das Verfahren (z. B. HTTP) angegeben, und unter Info erfahren Sie, welche Funktion des Protokolls benutzt wurde.
30.1.2 Auswertung des Mitschnittes Wenn Sie auf ein Paket, also auf eine Zeile der Hauptansicht, klicken, werden weitere Informationen im Bereich der Einzelansicht
angezeigt. Die Einzelheiten beziehen sich auf die sogenannten Header-Informationen, also auf die Kontrollinformationen der verschiedenen Protokolle. Im unteren Teil steht der dekodierte Inhalt.
Abbildung 30.4 Von Wireshark dekodierte E-Mail
Sehr hilfreich ist die Möglichkeit, mit der rechten Maustaste auf ein Datenpaket zu klicken und aus dem Kontextmenü Follow TCPStream auszuwählen. Alle zu der TCP-Kommunikation gehörenden und aufgezeichneten Pakete werden von Wireshark in der richtigen Reihenfolge zusammengesetzt und in einem gesonderten Fenster dargestellt (siehe Abbildung 30.4). Erschreckend ist es, die unverschlüsselte Kommunikation beim Abrufen von E-Mails mitzuschneiden. Mit Follow TCP-Stream können Sie die Anmeldeprozedur samt Benutzernamen, Passwort und dem Inhalt der E-Mail im Klartext lesen (siehe Abbildung 30.4). Diese Möglichkeit besteht nicht, wenn Sie Ihre E-Mails verschlüsselt abrufen (siehe Abschnitt 43.14, »Mailserver«). Doch diese Funktion
wird nicht von jedem Provider angeboten oder von jedem Kunden genutzt, so dass viele der abgerufenen E-Mails genauso lesbar sind wie die hier dargestellte. [+] Verwenden Sie für die Kommunikation mit dem E-Mail-Server – wann immer möglich – unbedingt TLS (siehe Abschnitt 36.3, »Hybride Verschlüsselung«). Dabei spielt es keine Rolle, ob Sie Ihre E-Mails mit POP3 oder IMAP abrufen!
30.1.3 Paketmitschnitt am Router Möchten Sie gerne wissen, wohin Ihr Smartphone via WLAN kommuniziert? Interessiert Sie vielleicht, welche Server Ihr SmartTV kontaktiert? Dann stehen Sie zunächst vor dem Problem, einen Paketmitschnitt aufzuzeichnen. Eine Reihe der leistungsfähigeren Router bieten Ihnen von Haus aus schon die Möglichkeit, über das Webinterface einen Paketmitschnitt zu machen. Die Hersteller dokumentieren die Funktion üblicherweise nicht; im Internet wird die Funktion oft auch als »Schnüffelfunktion« verunglimpft.
Tabelle 30.1 können Sie URLs für den Paketmitschnitt entnehmen. Router
Verfahren
AVM http:///html/capture.html oder
FRITZ!Box http:///capture.lua
Router
Verfahren
T-Com http:///html/capture.html oder Speedport http:///cgi-bin/webcm? getpage=../html/capture.html Vodafone Easybox
im Webinterface unter Extras • Diagnoseprogramm • Aufzeichnen von WANDaten • VC1
Alice-/O2Router
http:///web.cgi? controller=System&action=IndexDiagnostic
Tabelle 30.1 Die richtigen Wege zum Paketmitschnitt für fast jeden Router
[»] Nach dem Aufruf der entsprechenden URL im Browser und einer Authentifizierung wählen Sie die zu überwachende Schnittstelle (siehe Abbildung 30.5).
Abbildung 30.5 Paketmitschnitt an einer FRITZ!Box
Den Stream speichern Sie als Download auf Ihrem PC. Der Mitschnitt wird mit einem Klick auf die Stop-Schaltfläche beendet. Im Ergebnis erhalten Sie eine Datei, die z. B. den Namen iad-ifeth0_11.10.14_1820.eth haben könnte. Sie hängen nun einfach die Endung .pcap an den Dateinamen an und öffnen diese Datei mit Wireshark. Weitere Informationen zur Paketmitschnittfunktion der FRITZ!Box finden Sie auf der Internetseite https://praxistipps.chip.de/fritzboxdatenverkehr-mitschneiden_9989.
30.1.4 Wireshark und Oracle VM VirtualBox Der Netzwerktraffic virtueller Maschinen kann an vielen Stellen abgegriffen werden: Im Gastbetriebssystem: Sinnvoll und zielführend, wenn nur eine einzelne virtuelle Maschine betroffen und auf dieser voller administrativer Zugriff für die Wireshark-Installation gegeben ist. Im Hostbetriebssystem: Das Hostbetriebssystem hat theoretisch Zugriff auf den gesamten Netzwerkverkehr aus der virtuellen Umgebung heraus. Trotzdem überbrückt ein Adapter, der sich z. B. im Bridged-Modus befindet – wie der Name schon aussagt – weitestgehend das Hostbetriebssystem und ist daher nur über Umwege überwachbar. Auf einer separaten virtuellen Maschine: Die Wireshark-VM könnte über einen Port des virtuellen Switches im Promiscuous Mode den gesamten Netzwerkverkehr der am Switch angeschlossenen virtuellen Maschinen mitlesen. Dieses Vorgehen ist in großen Umgebungen durchaus üblich, bei den
meisten Virtualisierungslösungen für den Heimbereich jedoch nicht enthalten. Am effektivsten wird der Netzwerkverkehr direkt in der Virtualisierungsschicht abgegriffen. Für den Mitschnitt einer virtuellen Maschine, die unter Oracle VM VirtualBox (siehe Abschnitt 41.2, »Oracle VM VirtualBox«) betrieben wird, müssen nur ihr Name, die Nummer des Netzwerkadapters und ein Dateiname angegeben werden. [»] Im folgenden Beispiel wird der Netzwerkverkehr des ersten Adapters der virtuellen Maschine »siegfried6« in der Datei siegfried6.pcap gespeichert. Das Kommando VBoxManage befindet sich im Installationsverzeichnis von VirtualBox. # VBoxManage modifyvm "siegfried6" --nictrace1 on
--nictracefile1 siegfried6.pcap
Danach können Sie die virtuelle Maschine starten. Vergessen Sie nicht, den weiteren Mitschnitt im Anschluss zu beenden. Anderenfalls könnte freier Speicherplatz auf Ihrer Festplatte bald schon rar werden. # VBoxManage modifyvm "siegfried6" --nictrace1 off
30.1.5 Beispiel: Mit Wireshark auf der Spur von IPv6 [»] Ich möchte Ihnen mit Hilfe eines Beispiels zeigen, warum Wireshark ein solch praxisrelevantes und nützliches Werkzeug ist. Dazu analysiere ich den Netzwerkverkehr, der im Rahmen von IPv6 (siehe Abschnitt 14.7, »IP-Version 6«) in meinem LAN stattfindet. Es ist dabei unerheblich, über welchen Weg Sie den Mitschnitt des Netzwerktraffics erzeugt haben. Ich möchte mir
gerne anschauen, welche Router Advertisements (RA; siehe Abschnitt 15.2, »Neighbor Discovery Protocol«) in meinem Netzwerk ausgetauscht werden. Da ich nur einen einzigen Router habe, der von meinem Provider ein täglich wechselndes /56-Subnetz zugewiesen bekommt, erwarte ich RAs ausschließlich von diesem.
Abbildung 30.6 Wireshark filtert zwei Quellen von Router Advertisements heraus.
RAs werden vom Router regelmäßig gesendet. Sie sind leicht zu finden. Wenn Sie in Wireshark aufzeichnen, können Sie einen Filter verwenden, der Ihnen ausschließlich RAs anzeigt. Wenn Sie in der Filterzeile icmpv6.type==134 eingeben, werden Ihnen nur ICMPv6Datagramme angezeigt (siehe Kapitel 16, »Internet Control Message Protocol«), die vom Typ 134 sind und damit Router Advertisements enthalten (siehe Abschnitt 15.4, »Das NDP-Datagramm«). Zu meiner Überraschung gibt es in meinem LAN zwei RAs aus unterschiedlichen Quellen (siehe Abbildung 30.6). Wie Sie am (Prefix fe80::/64) erkennen, senden beide mit ihrer
per SLAAC (siehe Abschnitt 19.3.1, »IPv6-Autokonfiguration mit SLAAC«) automatisch generierten Link-local Adresse (siehe Abschnitt 14.7.1, »IPv6-Adressen«). Welche IPv6-Adresse von diesen beiden vertritt nun meinen Internetrouter, und was steckt hinter der zweiten IPv6-Adresse? Vielleicht kann ich die Suche über den Anbieter (engl. vendor) des jeweiligen Routers eingrenzen? Dazu suche ich die vorderen drei Hextette der MAC-Adresse (siehe Kapitel 6, »Ethernet«) in Datenbanken im Internet, die Sie mit der Hilfe einer Suchmaschine und den Suchbegriffen »MAC Address Lookup« leicht finden können.
Abbildung 30.7 Der Router vermittelt Stateful DHCPv6.
Ebenfalls sehr hilfreich könnte eine gleichzeitig auf der Schnittstelle des IPv6-Routers konfigurierte IPv4-Adresse sein. Mit Hilfe des Kommandos arp (siehe Abschnitt 15.1, »Address Resolution Protocol«) prüfe ich, welche der beiden MAC-Adressen zu der mir bekannten IPv4-Adresse meines Internetrouters gehört. Es ist
diejenige, von der aus auch die RAs mit der IPv6-Adresse …:c1c3 versendet werden. Mit gesetztem Flag Managed Configuration (MFlag) im Zweig Flags (siehe Abbildung 30.7) signalisiert der Router Stateful DHCPv6 (siehe Abschnitt 19.3.2, »DHCPv6«). Außerdem verschickt der Router zwei Prefixes und teilt neben der Maximum Transmission Unit (MTU) von 1.492 Bytes auch die Unique-Local-Adresse (siehe Abschnitt 14.7.1, »IPv6-Adressen«) eines DNS-Servers (siehe Kapitel 20, »Namensauflösung«) mit. Im Gegensatz dazu sind die Flags im RA des Routers mit der IPv6Adresse …:ff52 auf null gesetzt (siehe Abbildung 30.8). Dieser Router teilt also allen Clients mit, dass kein DHCPv6 zum Einsatz kommt. Die IPv6-Konfiguration läuft stattdessen über Stateless Address Autoconfiguration (siehe Abschnitt 19.3.1, »IPv6-Autokonfiguration mit SLAAC«). Die IPv6-Adresse 2001:4860:4860::8888 ist die GlobalUnicast-Adresse des DNSv6-Servers von Google.
Abbildung 30.8 IPv6-Konfiguration mit Stateless Address Autoconfiguration171
Was ist nun die Lösung des Rätsels eines zweiten Routers in meinem Netzwerk? Er ist ein Relikt eines meiner IPv6-Tests und wurde nach Abschluss dieser – jedoch leider, ohne die Konfiguration entsprechend anzupassen – als zusätzlicher Switch im Wohnzimmer angeschlossen. Von dort schickt er jetzt regelmäßig RAs. Das stört allerdings nicht. Denn es ist bei IPv6 durchaus üblich, mehr als eine IPv6-Adresse auf eine Netzwerkschnittstelle zu konfigurieren. Zudem ist das bekannt gemachte Netz fde3:d8d3:fc63::/64 erkennbar aus dem Adressbereich Unique Local Unicast. Mein PC wird diesen Routingeintrag also nur verwenden, wenn er mit Teilnehmern aus diesem speziellen Netzwerk kommunizieren möchte. [+] Alternativ können Sie die Router Ihres Netzwerkes auch ohne Wireshark-Mitschnitt herausfinden. Für die jeweils für Windows, Linux und macOS geeigneten Kommandos siehe Abschnitt 15.2, »Neighbor Discovery Protocol«. Router werden z. B. in der Ausgabe des Kommandos unter Windows mit dem angehängten Ausdruck (Router) kenntlich gemacht.
30.2 Zusatzprogramme für Windows Sie benötigen weitere Informationen über einen PC in Ihrem Netzwerk? Für Windows gibt es einige Hilfsmittel, die Sie bei der Arbeit unterstützen.
30.2.1 CurrPorts Sie kennen schon das Windows-Kommando netstat, mit dem Sie sich TCP- und UDP-Verbindungen ansehen können (siehe Abschnitt 29.4.7, »TCP-/UDP-Verbindungen«).
Abbildung 30.9 CurrPorts zeigt TCP-/UDP-Verbindungen.
Ich möchte Ihnen mit dem Programm CurrPorts (http://www.nirsoft.net) ein zusätzliches grafisches Werkzeug für Windows vorstellen. CurrPorts bietet Ihnen den einfachen Zugriff auf Details zu einer einzelnen Netzwerkverbindung und zum jeweiligen Prozess, der die Netzwerkverbindung hält (siehe Abbildung 30.9).
In der Datei readme.txt finden Sie Hinweise dazu, wie Sie ein deutsches Sprachpaket für CurrPorts installieren können.
30.2.2 WifiInfoView Wenn Sie ein WLAN einrichten wollen, ist es wichtig zu wissen, welche anderen WLANs in der Nachbarschaft existieren. Ein Programm, das dies leistet, war lange Zeit der NetStumbler, der allerdings nicht mehr weiterentwickelt wird und zudem auf aktuellen Windows-Betriebssystemen gar nicht mehr funktioniert. Die aktuellere Alternative WifiInfoView (https://www.nirsoft.net/utils//wifi_informa tion_view.html) nutzt die Windows-API, um auf die WLANInformationen zuzugreifen.
Abbildung 30.10 WifiInfoView zeigt WLANs.
Angezeigt werden sowohl die SSID als auch der Kanal, die Signalqualität, Sicherheit und Geschwindigkeit. Dazu gibt es auch noch eine nette Grafik (siehe Abbildung 30.10).
30.2.3 Tftpd64
Das Programm Tftpd64 (https://pjo2.github.io/tftpd64) ist das Schweizer Messer des Netzwerkadministrators (siehe Abbildung 30.11). Es bietet neben einem TFTP-Server – wie der Name schon vermuten lässt – auch einen DHCP-, SNTP- und Syslog-Server. Tftpd64 steht in drei Varianten zur Verfügung: als Dienst (service edition), als normales Programm und als Portable App, die ohne Installationsroutine auskommt.
Abbildung 30.11 Tftpd64, hier als Syslog-Server
30.2.4 SlimFTPd In SlimFTPd (http://www.whitsoftdev.com/slimftpd) haben Sie einen FTP-Server mit gutem Datendurchsatz. Wenn Sie also einen FTPServer für die Übertragung großer oder vieler Dateien benötigen, bietet es sich an, zumindest unter Windows auf den SlimFTPd zurückzugreifen. Er wird über die Konfigurationsdatei slimftpd.conf konfiguriert. Der einzige notwendige Eintrag ist der Laufwerkspfad:
Password "geheim"
Mount / d:\download
Allow / All
Bei dieser Einstellung darf der Benutzer admin mit dem Passwort geheim auf das Verzeichnis d:\download mit allen Berechtigungen zugreifen.
30.2.5 FileZilla Wenn Sie einen FTP-Server mit einer ansprechenden grafischen Oberfläche und umfangreicher Funktionalität suchen, dann sollten Sie sich unbedingt den FileZilla-Server anschauen. Er ist die Ergänzung zum recht bekannten FTP-Client FileZilla. Sie finden beide Programme unter http://filezilla-project.org. Das Programm wird ständig weiterentwickelt und bietet beim Start sehr häufig Aktualisierungen an. FileZilla ist ein grafisches Windows-Programm, das meiner Meinung nach dem Platzhirsch WS_FTP in nichts nachsteht.
30.2.6 Microsoft Message Analyser Der Microsoft Message Analyser erlaubt als Nachfolger des Microsoft Network Monitors nicht nur das Mitschneiden von Paketen, sondern auch die Einbeziehung weiterer Datenquellen wie z. B. Logfiles, Windows-Ereignissen und Datenbanken. Dabei legt der Message Analyser Wert auf Übersichtlichkeit und Komfort. [»] So ist es z. B. möglich, sich die Nutzdaten eines eigentlich verschlüsselten Netzwerkmitschnittes nach Import des Serverzertifikats vom Message Analyser unverschlüsselt darstellen zu lassen. Der Message Analyser bietet nicht nur vorgefertigte Templates für Netzwerkmitschnitte von z. B. Samba (siehe
Abschnitt 43.7, »Samba als Fileserver«), sondern darüber hinaus für Bluetooth (siehe Abschnitt 7.21.1, »Bluetooth«) und USBDatenverkehr.
Abbildung 30.12 Anlegen einer Session im Message Analyser
Nach der Installation starten Sie das Programm häufig über das Kontextmenü als Administrator, da Ihnen einige Funktionen sonst nicht zur Verfügung stehen. Die Basis des Message Analysers ist die Message, was z. B. ein mitgeschnittenes Paket, ein Ereignis in der Ereignisanzeige oder ein Eintrag in einem Logfile sein kann. Messages können – mitsamt der Hierarchie in der Spalte Module – in einem Stack (dt. Stapel) dargestellt werden. Mehrere Messages können zu einer Conversation (dt. Unterhaltung) gehören. Bei einem Netzwerkmitschnitt erkennen Sie eine Konversation an einem blauen Symbol in der Spalte MessageNumber. Für die Arbeit mit dem Message Analyser sollten Sie zunächst eine Session (dt. Sitzung) anlegen (siehe Abbildung 30.12) und diese
mit einem Scenario verknüpfen. Ein Szenario ist ein Template mit einer Zusammenstellung vorkonfigurierter Message Provider. [»] Mit dem Microsoft-PEF-WFP-MessageProvider filtern Sie die Datenschichten oberhalb des Internetprotokolls und erhalten somit die Daten ab ISO/OSI-Schicht 4 (siehe Abschnitt 5.2, »ISO/OSIModell«). Zusätzlich wird in diesem Beispiel das Event Tracing for Windows (ETW) der Windows Firewall einbezogen. In Abbildung 30.13 sehen Sie den mit Hilfe eines View Filters gefundenen Mitschnitt einer DNS-Anfrage (Query) samt Antwort (Response).
Abbildung 30.13 Die IP-Adresse und der Port helfen beim Auffinden der Konversation.
Der Microsoft Message Analyser unterscheidet verschiedene Filtertypen: Session Filter greifen bereits bei der Aufzeichnung der Daten. Wenn Sie genau wissen, wonach Sie suchen, verschwenden Sie keinen unnötigen Speicherplatz. Die Fast Filter – zu finden
über Configure • Provider – arbeiten dabei auf einer hardwarenahen Ebene und sind effizienter. View Filter ermöglichen eine bessere Übersichtlichkeit und damit eine nachträgliche Konzentration auf das Wesentliche. Auf der Internetseite https://docs.microsoft.com/en-us/messageanalyzer/message-analyzer-tutorial finden Sie ein sehr gutes Handbuch in englischer Sprache.
30.3 Zusatzprogramme für Linux Einige der Zusatzprogramme für Windows werden Sie auch unter Linux wiederfinden. Andere hingegen existieren nur dort.
30.3.1 Performanceüberblick mit xosview Für einen ständigen Blick auf die wichtigsten Performancedaten des PCs eignet sich xosview. Neben der CPU- und Speicherauslastung sehen Sie in der Zeile NET auch die Auslastung des Netzwerkadapters (siehe Abbildung 30.14). Meiner Meinung nach ist xosview ein Programm der Kategorie »klein, aber fein«.
Abbildung 30.14 xosview, Überblick über die Systemparameter
30.3.2 Pakete mitschneiden mit IPTraf Optisch im Vergleich nicht mehr ganz frisch kommt IPTraf daher (siehe Abbildung 30.15). Es handelt sich um ein textbasiertes Programm, mit dem Sie einfache Netzwerkmitschnitte machen können.
Abbildung 30.15 Das rudimentäre IPTraf in Aktion
Wenn Sie Programme wie Wireshark oder KSnuffle benutzen können, werden Sie kaum auf solch primitive Werkzeuge zurückgreifen. Doch der Vorteil dieses einfachen Programms ist, dass es leicht auf der Kommandozeile, z. B. über eine SSHVerbindung, genutzt werden kann. Das aktuelle Paket für openSUSE heißt iptraf-ng.
31 Netzwerkgeschwindigkeit ermitteln Wenn Sie ein LAN betreiben, kommt sicherlich schnell die Frage auf, welchen Datendurchsatz Ihr Netzwerk erreicht. Der Vergleich des Durchsatzes kann auch beim Aufspüren von Fehlern helfen. Wie Sie ihn am besten messen, erfahren Sie in diesem Kapitel. Zu Zeiten des Lockdowns während der Corona-Pandemie war die Performance eines Netzwerkes im Büro und zu Hause ein großes Thema. Die Eltern arbeiteten beide von zu Hause, während die Kinder zeitgleich mit und in Videokonferenzen beschult wurden (siehe Abschnitt 32.10, »Zusammenarbeit im Internet – Kollaboration«) oder Videos und Filme streamten (siehe Kapitel 46, »Medienstreaming«). Häufig führte dies zu Problemen. Der Ursache ist jedoch nicht leicht auf die Spur zu kommen. Sind die Server der Schule oder im Büro überlastet? Ist der gemeinsame Internetzugang zu langsam? Oder liegt das Problem irgendwo im eigenen LAN bzw. WLAN? Ich habe es häufig erlebt, dass von einem Arbeitsplatz im LAN aus ein Internet-Speedtest gemacht und bei einem unbefriedigenden Ergebnis ein vermeintlich schnellerer Internetzugang bestellt wird. Das Problem dabei ist, dass praktisch jede auf dem Kommunikationsweg beteiligte Netzwerkkomponente im LAN ursächlich für ein schlechtes Ergebnis sein kann. Das Ziel ist muss es
daher sein, die langsamste Stelle des an der Kommunikation beteiligen Netzwerks zu finden, den sogenannten Flaschenhals (engl. bottleneck). Ich empfehle Ihnen, bei einer Bottleneck-Analyse immer systematisch vorzugehen: Das spart Zeit, Geld und Nerven. Eine Überlastung der Server im Internet kann in der Regel ausgeschlossen werden, solange nicht alle Kollegen bzw. Mitschüler davon betroffen sind. Tauschen Sie sich also aus, und fragen Sie nach, ob auch andere ähnliche Probleme haben oder nicht. Die 50 Mbit/s eines marktüblichen DSL-Zuganges (siehe Kapitel 11, »DSL«) reichen meiner Erfahrung nach für Homeoffice und Homeschooling einer vierköpfigen Familie aus. Hier kann eigentlich nur der maximale Upload von 10 Mbit/s knapp werden, sobald in mehreren Videokonferenzen das eigene Videobild mit anderen Teilnehmern geteilt wird. In der Weboberfläche Ihres Internetrouters können Sie die Auslastung Ihres Downstreams und Ihres Upstreams im Auge behalten und schnell erkennen, in welchen Situationen der Zugang an seine Grenzen kommt. Bei der Bottleneck-Analyse in Ihrem eigenen LAN müssen Sie beachten, dass der schwächste Punkt in der Kommunikation die Geschwindigkeit bestimmt. So kann z. B. ein WLAN (siehe Kapitel 7, »WLAN«) noch so schnell sein – solange der Access Point über eine langsame Powerline-Verbindung (siehe Abschnitt 8.1, »Daten über Stromkabel«) mit dem Rest des LANs verbunden ist, können Sie diese Geschwindigkeit niemals voll ausreizen. Die Bottleneck-Analyse im eigenen LAN wird umso anspruchsvoller, je mehr unterschiedliche Netzwerkkomponenten beteiligt sind. Die Bottleneck-Analyse des eigenen LANs beginnt am
Internetzugangspunkt. Vom Zentrum aus bewegen Sie Ihre Messpunkte Schritt für Schritt zu den Endpunkten Ihrer Netzwerkinfrastruktur (siehe Abschnitt 4.3, »Sterntopologie«). Im Idealfall haben Sie zwei Notebooks mit Gigabit-LAN zu Ihrer Verfügung. Ich empfehle Ihnen, die gemessenen Werte – idealerweise in einer Skizze – zu notieren. 1. Schließen Sie beide Notebooks mit einem geeigneten Kabel (siehe Kapitel 23, »Netzwerkkabel«) an Ihren Internetrouter an, und messen Sie die Datenrate zwischen den beiden Notebooks (siehe Abschnitt 31.2, »Performancemessung mit iPerf«). 2. Netzwerkkabel: Sollten Sie hier z. B. nur 100 Mbit/s messen, prüfen Sie im nächsten Schritt die Netzwerkkabel und die von den Switch-Ports und den Notebooks mittels Autosensing (siehe Abschnitt 24.8, »Sonderfunktionen«) ausgehandelte Geschwindigkeit. Sollte die Geschwindigkeit einmal nicht korrekt ausgehandelt worden sein, kann es helfen, den Port fest auf Gigabit-Geschwindigkeit zu konfigurieren. 3. WLAN: Sollte Ihr Internetrouter auch als WLAN Access Point dienen, wiederholen Sie den Test nun in räumlicher Nähe, aber ohne Netzwerkkabel. Dabei sollten Sie prüfen, welche WLANStandards Ihr WLAN Access Point zur Verfügung stellt und welchen davon Ihr Endgerät auswählt. Mögliche Störquellen gibt es viele. Hilfe finden Sie in diesem Buch (siehe Kapitel 7, »WLAN«). 4. Sobald die Kommunikation zwischen den Notebooks – und damit auch zwischen dem Router und den Notebooks – hinreichend schnell ist, können Sie von dieser Stelle aus den Internet-Speedtest durchführen. Falls Sie – wie manche Menschen, die ich in Foren getroffen habe – vermuten, dass Ihr
Provider die Ergebnisse von Speedtests an seinen eigenen Anschlüssen positiv beeinflusst, wählen Sie einfach einen unabhängigen Anbieter. 5. Nun trennen Sie ein Notebook vom Internetrouter und bewegen es zur nächsten Netzwerkkomponente, von wo aus Sie erneut die Datenrate zwischen den beiden Notebooks prüfen. 6. Sollte die Datenrate niedriger sein als in der Messung, in der sich die beiden Notebooks am gleichen Router befanden, müssen Sie die Ursache hierfür ermitteln. Ist sie plausibel oder abstellbar, trennen Sie nun das zweite Notebook ebenfalls vom Internetrouter und bewegen es zum Messpunkt des zweiten Notebooks oder einen Schritt dahinter. Auf diese Weise analysieren Sie nach und nach jede einzelne Strecke in Ihrem LAN. 7. Powerline: Soll schnell ein Arbeitsplatz eingerichtet werden, ist Powerline eine bequeme Wahl. Meiner Erfahrung nach ist es häufig aber auch der Flaschenhals einer Netzwerkverbindung. Mit Hilfe der zwei Notebooks und Kabel prüfen Sie die Performance einer Powerline-Verbindung unabhängig vom restlichen Netzwerk. Sie werden überrascht sein, dass selbst die Verwendung einer andere Steckdose im gleichen Raum eine unerwartet große Auswirkung haben kann. Die langsamsten Strecken in Ihrem LAN sind diejenigen, die insgesamt den größten Erfolg versprechen, wenn Sie sich darum kümmern. Es gibt noch sehr viele weitere Programme, die Sie bei der Messung Ihrer Netzwerkperformance unterstützen können. Sie erhalten einen Überblick über diese Werkzeuge und ihren jeweiligen Zweck auf der Internetseite http://www.caida.org/tools/taxonomy/performance.x ml.
31.1 Performancemessung mit NetIO [o] Das sicherlich bekannteste, einfachste und vielleicht insgesamt beste Programm für Geschwindigkeitsmessungen im LAN ist NetIO (https://web.ars.de/netio). Im Zusatzmaterial ist es im Verzeichnis /software/management zu finden. Wenn Sie die ZIP-Datei ausgepackt haben, finden Sie im Ordner bin u. a. folgende Programme: linux-i386: für 32-Bit-Linux linux-x86_64: für 64-Bit-Linux mac-osx-10.5.tar.gz: für macOS win32-i386.exe: für Windows [+] NetIO funktioniert betriebssystemübergreifend. Sie können also z. B. einen Linux- und einen Windows-PC beliebig als Server und Client verwenden.
31.1.1 Windows Legen Sie das Programm win32-i386.exe in ein per Kommandozeile gut erreichbares Verzeichnis, z. B. Ihren Desktop, und benennen Sie es aussagekräftig um, z. B. in netio132.exe. Öffnen Sie danach über Start • Ausführen … und das Kommando cmd eine Eingabeaufforderung. Um NetIO auf dem ersten PC als Server zu starten, geben Sie in der Eingabeaufforderung den Befehl netio -s ein. Auf diesem PC wartet NetIO jetzt auf Verbindungen von Clients (siehe Abbildung 31.1). Dann geben Sie netio -t auf dem zweiten PC ein, und NetIO legt los (siehe Abbildung 31.2).
Abbildung 31.1 NetIO wartet auf Verbindungen.
Die Option -t bedeutet dabei, dass TCP-Pakete gesendet werden, -u erzeugt UDP-Pakete und -n NetBIOS-Pakete. NetBIOS wird für Windows-Freigaben genutzt und hat üblicherweise einen wesentlich schlechteren Datendurchsatz als etwa FTP.
Abbildung 31.2 NetIO-Datendurchsatzmessung
Beim UDP-Test wird angegeben, wie viel Prozent der UDP-Pakete verlorengegangen sind. Weitere Informationen zu UDP und den Unterschieden zu TCP finden Sie in Kapitel 17, »Transmission Control Protocol«. Wenn Sie den NetBIOS-Durchsatz messen möchten, dann müssen Sie NetIO mit einer etwas anderen Syntax aufrufen: netio132 -n -m
Dabei steht für den Windows-Namen, auch NetBIOS-Name genannt.
31.1.2 Linux
Wie schon erwähnt, gibt es im Verzeichnis bin des ZIP-Archivs eine fertige Version von NetIO für Linux. Dies gilt so lange, wie Linux auf normalen PCs ausgeführt wird, also auf PCs mit x86-kompatiblen Prozessoren, wie es Intel- und AMD-Prozessoren üblicherweise sind. Der erste Schritt ist, dass Sie die Datei, sofern nicht schon geschehen, ausführbar machen: chmod 700 linux-i386
Anschließend sollten Sie das Programm noch sinnvoll umbenennen: mv linux-i386 netio132
Sie können die gleiche Syntax unter Linux wie unter Windows verwenden. Entsprechend starten Sie auf einem der Rechner den Server mit diesem Befehl: ./netio132 -s
Danach kontaktieren Sie ihn vom anderen Computer aus z. B. mit TCP-Paketen: ./netio132 -t
31.2 Performancemessung mit iPerf Als Alternative zu NetIO bietet sich das Programm iPerf an. Im Downloadbereich der Internetseite https://iperf.fr finden Sie vorkompilierte Binaries für Windows, Linux, Apple und Android. [o] Im Zusatzmaterial finden Sie das Programm im Verzeichnis /software/management. Wie auch bei NetIO müssen Sie auf einem PC den iPerf-Server mit der Option -s starten (siehe Abbildung 31.3). Mit dem Kommando iperf -c bauen Sie von der Gegenseite eine Verbindung zu diesem Server auf. Mit der Option -w verändern Sie auf Wunsch die zu verwendende TCP Window Size (siehe Kapitel 17, »Transmission Control Protocol«).
Abbildung 31.3 iPerf misst den Datendurchsatz im WLAN.
31.3 Intel NAS Performance Toolkit Die Ermittlung einer aussagekräftigen Netzwerkgeschwindigkeit ist kein einfaches Unterfangen. Wenn Sie große Dateien mittels FTP übertragen, werden Sie relativ hohe Datendurchsatzgeschwindigkeiten messen. Diese Geschwindigkeiten werden Sie beim Kopieren vieler kleiner Dateien nicht annähernd erreichen. Es ist also schwierig, wirklichkeitsnahe Szenarien zu entwerfen, die einzelnen Messungen richtig zu gewichten und daraus die zu erwartende realistische Geschwindigkeit abzuschätzen. Das gilt auch, wenn Sie verschiedene Netzlaufwerke hinsichtlich ihrer Geschwindigkeit vergleichen wollen. Das Intel NAS Performance Toolkit (NASPT) gibt es zum Download auf der Webseite http://www.intel.de/content/www/de/de/storage/nas-performancetoolkit.html. Dieses Werkzeug enthält diverse vordefinierte Szenarien, wie z. B. die HD-Wiedergabe, Office-Arbeit, das Kopieren von Dateien zum oder vom NAS, Fotoalbum und mehr.
Abbildung 31.4 Der NASPT-Exerciser bereitet Testdaten vor.
Die Software besteht aus zwei Programmen: NASPT-Exerciser: führt die Tests aus NASPT-Analyzer: bereitet die Testergebnisse grafisch auf Sie starten den NASPT-Exerciser über das Icon Configure und legen zunächst fest, welches Netzlaufwerk verwendet werden soll (Target Directory) und wo die Testergebnisse gespeichert werden sollen (Output Directory). Auf dem NAS benötigen Sie 80 GByte freien Platz. Wählen Sie aus der Liste Application Tests die Tests aus, die Sie für relevant halten. Nach einem Klick auf Prepare werden entsprechende Daten angelegt (siehe Abbildung 31.4). Je mehr Tests Sie ausgewählt haben, desto länger dauert es, während auf dem Netzlaufwerk nun Ordner angelegt werden. Klicken Sie nach der Vorbereitung auf das Icon Run. Während des Tests beeinflusst die anderweitige Benutzung des NAS natürlich die Performanceergebnisse. Da ich jedoch davon ausgehe, dass Sie nicht
an wissenschaftlich korrekten Messreihen arbeiten, vernachlässige ich diesen Aspekt hier, schließlich wird in der Praxis auch unterschiedlich auf ein NAS zugegriffen. Die Testergebnisse werden in XML-Dateien abgelegt und können mit dem NASPT-Analyzer ausgewertet werden (siehe Abbildung 31.5). Unter dem Reiter Throughput finden Sie den Datendurchsatz.
Abbildung 31.5 Der NASPT-Analyzer zeigt den Fotoalbumdurchsatz.
32 Fernadministration und Zusammenarbeit Die Remoteadministration ist einer der wesentlichen Vorteile eines Netzwerks. Ich verstehe unter diesem Begriff die Möglichkeit, einen PC über das Netzwerk zu bedienen, ohne persönlich vor Ort sein zu müssen. In einem begrenzten Raum wie einer Etagenwohnung ist es vielleicht einfacher, jeweils zu dem PC hinzulaufen, der gerade ein Problem hat. Je größer der räumliche Abstand und je ausgeprägter das Wissen des Administrators über die Mittel eines Netzwerks zur Fernwartung sind, desto häufiger wird dieser lieber sitzen bleiben und das Problem von seinem PC aus lösen. Die Fähigkeit zur Remoteadministration ist ein großer Vorteil in einem Netzwerk. Die Administration über das LAN spart Zeit, und diese können Sie sicher sinnvoller verbringen als damit, durch das Gebäude zu laufen. Wenn Sie geringe Ansprüche an die Remoteadministration stellen, kommen Sie ohne Investitionen aus: VNC oder Remotedesktop helfen Ihnen weiter. Doch diese Programme sind eher für die gelegentliche Fernadministration in kleineren LANs geeignet und bieten ohne weitere Maßnahmen keine sichere Übertragung. Der Einsatz über das ungesicherte Internet ist daher nicht ohne weitere Sicherheitsmaßnahmen wie ein VPN (siehe Kapitel 37, »Virtual Private Network«) denkbar.
[!] Einen PC aus der Ferne administrieren zu können, hat viele Vorteile. Leider geht man damit auch das Risiko ein, dass der PC von Hackern fernadministriert wird. Insbesondere warne ich vor der sorglosen Freischaltung von Funktionen, die dann ungehindert aus dem Internet verfügbar sind. Eine übliche Firewall (siehe Kapitel 34, »Programme zur Netzwerksicherheit«) schützt in diesem Punkt vor so mancher Gefahr. Sie sollten sie deshalb unbedingt einsetzen! Die Remoteadministration kann selbstverständlich auch zum Benutzersupport eingesetzt werden. Wenn Sie die Möglichkeit haben, auf jedem PC Ihrer Firma Remotesoftware einzusetzen, können Sie Kolleginnen und Kollegen, die z. B. Ihre Unterstützung bei der Erstellung eines Serienbriefs in Word benötigen, auch aus der Ferne helfen. Sie beobachten, wie die Kolleginnen und Kollegen versuchen, das Problem zu lösen, und können notfalls die Steuerung übernehmen und die anderen auf den richtigen Lösungsweg bringen. Sie sparen die Zeit, um persönlich im Büro des Hilfesuchenden zu erscheinen, und können möglicherweise aus Ihrem Büro heraus aufgrund der erweiterten Möglichkeiten auf Ihrem PC besseren Support leisten. Die Kommandozeile bietet dabei häufig mehr Möglichkeiten als eine grafische Umgebung. Manchmal kommt es auch vor, dass eine grafische Benutzeroberfläche nicht richtig funktioniert. Eine Remotesoftware hat dort ihre technische Grenze, wo es Probleme mit der Hardware gibt. Ein nicht eingestecktes Netzwerkkabel werden Sie sicherlich nicht aus der Ferne in die Netzwerkdose stecken können.
32.1 Telnet Das älteste Programm zur Fernadministration ist Telnet. Es ist vor allem bei UNIX-Systemen und Netzwerkkomponenten (Switches,
Router und Ähnlichen) weitverbreitet. Die Befehle, die auf der Kommandozeile (Shell) lokal eingegeben werden können, können auch im Telnet-Fenster eingegeben werden. Beide Eingabeformen haben die gleiche Wirkung. Telnet und SSH bieten eine Textoberfläche, die einer Windows-Eingabeaufforderung ähnelt. Telnet benötigt – wie auch SSH – zwei Komponenten: den TelnetServerdienst und den Telnet-Client. Nach Aufbau der Verbindung des Clients zum Server müssen Sie einen Benutzernamen und ein Passwort eingeben. [!] Unter openSUSE wird der Telnet-Server aus Sicherheitsgründen nach der Installation deaktiviert. Bei der Installation aktivierbar ist der OpenSSH-Dienst, so dass Sie den Linux-PC nur per SSH fernadministrieren können. Der Telnet-Dienst sollte auch nur dann aktiviert werden, wenn es gute Gründe dafür gibt, und es gibt sie eigentlich nie. Weil Telnet die Daten unverschlüsselt überträgt und daher sehr unsicher ist, gibt es meiner Meinung nach keinen guten Grund, Telnet als Server unter Linux einzusetzen. Ich beschränke mich deswegen auf die Beschreibung der Verwendung des Clients, den man z. B. für die Administration von Routern einsetzen kann. Der Telnet-Client von Windows kann über Start • Ausführen … und Eingabe von telnet [TCP-Port] ausgeführt werden. Gegebenenfalls müssen Sie das Programm zuvor in der Systemsteuerung über Programme • Windows-Features aktivieren oder deaktivieren aktivieren. Die Angabe des TCP-Ports ist optional. So können Sie sich beispielsweise per Telnet mit einem SMTP-Server verbinden und alle Befehle manuell absetzen, die normalerweise das E-Mail-Programm für Sie sendet: telnet mail.gmx.de 25
[o] Um einen Linux-PC von Windows aus per Telnet oder SSH zu administrieren, bietet sich als SSH-Client PuTTY an (siehe Abbildung 32.1). Das Programm PuTTY (http://www.chiark.greenend.org.uk/∼sgtatham/putty) ist ein hervorragender Telnet- und SSH-Client. Er fällt u. a. positiv dadurch auf, dass der Anwender je nach Zielsystem verschiedene Zeichensätze einstellen kann. Sie finden PuTTY mit einigen Zusatzprogrammen im Verzeichnis /software/administration/PuTTY.
Abbildung 32.1 PuTTY, der Telnet- und SSH-Client für Windows
32.2 Secure Shell (SSH) Telnet ist wie viele Anwendungen (z. B. FTP, Mail, News) sehr alt, und damals wurden keine Sicherheitsmechanismen eingebaut. Login, Passwort und Befehle mit ihren Ausgaben – alle Daten werden im Klartext als ASCII-Zeichen über das LAN transportiert. Telnet ist also in höchstem Maße unsicher. Kein Problem bleibt ohne Lösung, und so wurde die Secure Shell (SSH) erfunden, mit der die gesamte Datenkommunikation »Ende zu Ende«-verschlüsselt wird. Aktuelle SSH-Versionen arbeiten mit relativ sicherer hybrider Verschlüsselung (siehe Abschnitt 36.3, »Hybride Verschlüsselung«). Dies ist jedoch konfigurierbar, so dass optional auch auf ältere Verfahren zurückgegriffen werden kann. Die ersten Versionen von SSH waren Freeware, inzwischen ist SSH kostenpflichtig. Aufbauend auf der letzten Freewareversion wurde von der Firma SSH Communications die Open-SourceSoftware OpenSSH (https://www.openssh.com) entwickelt. [o] Als Telnet-Client habe ich Ihnen das Programm PuTTY schon vorgestellt. PuTTY kann aber auch SSH-Verbindungen initiieren. Sie finden die Anwendung im Verzeichnis /software/administration/PuTTY auf der Buch-DVD. Auch das sichere Kopieren von Daten kann per SSH erfolgen. Das Kommando heißt unter Linux scp (secure copy). Für Windows finden Sie im gleichen Verzeichnis das Kommando pscp. Das Programm WinSCP, das im Verzeichnis /software/administration liegt, bietet eine Ansicht ähnlich der des Windows-Explorers. Mit diesem Werkzeug können Sie Dateien intuitiv und trotzdem sicher kopieren.
Die Konfiguration von OpenSSH erfolgt in den folgenden zwei Dateien: /etc/ssh/ssh_config: Clientkonfiguration /etc/ssh/sshd_config: Serverkonfiguration Bevor der hybride Sitzungsschlüssel (engl. session key) ausgetauscht wird, wird die Identität der Beteiligten mit einem asymmetrischen Serverschlüssel (engl. host key) oder Benutzerschlüssel (engl. user key, auch Clientschlüssel genannt) überprüft. [+] Windows hat ab der Version 1809 (siehe Abschnitt 26.1.2, »Windows 10«) einen integrierten OpenSSH-Client für die Kommandozeile, den Sie in den Einstellungen unter Optionale Features finden (siehe Abbildung 32.2). Der OpenSSH-Server von Windows lässt sich über die Schaltfläche Feature hinzufügen auswählen und installieren. Anschließend können Sie den OpenSSH-Dienst starten.
Abbildung 32.2 Der eigene OpenSSH-Client und OpenSSH-Server von Windows
32.2.1 Passwortgeschützte Verbindung mit Serverschlüssel
Beim ersten Login wird Ihnen der Fingerprint des öffentlichen Schlüssels des SSH-Servers angezeigt. Sie werden gefragt, ob es sich um den richtigen Server handelt. Wenn Sie misstrauisch sind, sollten Sie den Administrator anrufen und den Fingerprint vergleichen. Danach speichert der Client den öffentlichen Schlüssel. Jemand könnte nun einen anderen Server in das Netzwerk einschleusen und diesen als den richtigen SSH-Server ausgeben (Man-in-the-Middle-Angriff), um so Informationen zur Authentifizierung gegen den Original-SSH-Server zu sammeln (siehe Abschnitt 33.2, »Angriffsarten: Übersicht«). Dann würde sich aber auch der öffentliche Schlüssel des Servers ändern und der Verbindungsaufbau abbrechen (siehe Abbildung 32.3).
Abbildung 32.3 Handelt es sich um einen Man-in-the-Middle-Angriff?
So haben Sie auf einfache Art eine passwortgeschützte und verschlüsselte Verbindung eingerichtet. Allerdings gibt es auch hier Nachteile: Sie müssen das Passwort bei jeder Verbindung eintippen. Ändert sich der Host Key, dann müssen Sie den Client anpassen. Grundsätzlich gilt dieses Verfahren als sicher. Sie können die Secure Shell allerdings noch sicherer gestalten. Das entsprechende Verfahren möchte ich Ihnen im folgenden Abschnitt vorstellen.
32.2.2 Passphrasegeschützte Verbindung mit Clientschlüssel Anstelle des Serverschlüssels können Sie auch ein Schlüsselpaar eines Benutzers am Client, den Clientschlüssel, zum Verschlüsseln der Verbindung benutzen. Sie müssen dazu zuerst ein Schlüsselpaar auf dem Client erzeugen. Je nachdem, welches Betriebssystem Sie dort einsetzen, funktioniert dieser Vorgang jeweils etwas anders. [»] Den Clientschlüssel erzeugen Sie als Linux-Benutzer wie folgt: siegfried@siegfried:∼> ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (∼/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Your identification has been saved in ∼/.ssh/id_rsa.
Your public key has been saved in ∼/.ssh/id_rsa.pub.
Den öffentlichen Clientschlüssel kopieren Sie nun auf den Server, den Sie fernadministrieren wollen: ∼> ssh-copy-id -i ∼/.ssh/id_rsa.pub 192.168.4.100
[email protected] s password:
Now try logging into the machine, with "ssh 192.168.4.100",
and check in: .ssh/authorized_keys to make sure we
haven't added extra keys that you weren't expecting.
Danach ist es möglich, dass sich der Benutzer mittels ssh 192.168.4.100 ohne weitere Passworteingabe – dafür aber mit Eingabe der Passphrase – am Server anmeldet. [!] Zwei Dinge sollten Sie unbedingt verinnerlichen: Achten Sie peinlichst darauf, den privaten Schlüssel nicht von Fremden ausspähen zu lassen! Es ist deutlich sicherer, beim Erstellen des Clientschlüssels eine Passphrase für den privaten Schlüssel einzugeben.
Wenn Sie auf die Passphrase verzichten, kann sich jeder, dem es gelingt, Ihren privaten Schlüssel zu entwenden, ohne Eintippen einer Passphrase oder eines Passworts am Zielsystem anmelden! [+] Sie können auch ein mit OpenPGP generiertes Schlüsselpaar verwenden, falls dieses mit der Funktion Authentisierungsnutzbarkeit erzeugt wurde (siehe Abschnitt 36.6.1, »Schlüsselgenerierung«).
32.2.3 SSH Single Sign-On Es ist trotz der Konfiguration eines Clientschlüssels erforderlich, bei jedem Login die Passphrase des privaten Schlüssels einzugeben. Abhilfe bietet der SSH-Agent. Dieser benutzerbezogene Dienst kann einen oder mehrere private Schlüssel abspeichern und sich darum kümmern, dass Sie sich nur noch einmal mit Hilfe der Passphrase identifizieren müssen. Der SSH-Agent speichert dann den Schlüssel und die Passphrase, auf Wunsch bis zu einem Neustart des Systems. Sie müssen sich also nur noch einmal authentifizieren (aus dem Englischen: Single Sign-On). [o] Das gut dokumentierte Skript mit dem Namen setup finden Sie im Verzeichnis /software/sicherheit. Dieses Skript legen Sie ins Verzeichnis ∼/.ssh und führen anschließend das Kommando chmod 700 setup aus. An die Datei ∼/.profile fügen Sie folgende Zeile an. Achten Sie bitte auf das Leerzeichen nach dem Punkt! . $HOME/.ssh/setup Haben Sie sich einmal authentifiziert,
funktioniert der SSH-Agent nun auch in anderen Konsolen.
[!] Ich empfehle, in sicherheitskritischen Umgebungen den privaten Schlüssel nur eine bestimmte Zeit im Speicher zu halten. Dies können Sie erreichen, indem Sie den Befehl ssh-add im Skript um die Option -t und die Anzahl der Sekunden erweitern, die die Passphrase gültig sein soll. [o] Auch für Windows existiert mit PuTTY ein mächtiger SSH-Client. Für die Verbindung mit einem Clientschlüssel benötigt auch PuTTY zunächst ein Schlüsselpaar. Im Verzeichnis /software/administration/ finden Sie das Programm puttygen.exe, mit dessen Hilfe Sie neue Schlüssel erstellen oder vorhandene Schlüssel für PuTTY importieren und aufbereiten können.
Abbildung 32.4 PuTTY erzeugt ein Schlüsselpaar.
Um einen neuen Schlüssel zu generieren, klicken Sie auf Key • Generate key pair. Den Typ des Schlüssels können Sie auf SSH-2 RSA
belassen. Nach dem Klick auf Generate müssen Sie nun den Mauszeiger über dem Fenster bewegen, um dem Programm genügend Zufallsdaten für den Schlüssel zu liefern. Anschließend tragen Sie noch eine Passphrase für den privaten Schlüssel ein (siehe Abbildung 32.4). Den öffentlichen und den privaten Schlüssel speichern Sie nun jeweils nach einem Klick auf Save public key und Save private key. Bevor Sie das Programm beenden, markieren Sie den Inhalt des Fensters Public key for pasting into OpenSSH authorized_keys file mit der Maus und kopieren ihn mit der Tastenkombination (Strg) + (C) in die Zwischenablage Ihres Betriebssystems. Sie melden sich nun mit PuTTY am Linux-PC an. Im Heimatverzeichnis des Benutzers erstellen Sie nun zunächst das Verzeichnis .ssh: mkdir .ssh Danach kopieren Sie den Inhalt der Zwischenablage mit einem Editor in die Datei .ssh/authorized_keys. Alternativ können Sie die Datei auch auf einem Windows-System mit dem Editor (Notepad) speichern und danach mit dem Programm WinSCP auf das Linux-System übertragen. Nun können Sie ein neues PuTTY-Profil für das Login auf diesem Linux-System anlegen. Dazu starten Sie PuTTY erneut und füllen zunächst das Feld Host Name (or IP address). Den Benutzernamen tragen Sie unter Connection • Data • Auto-login username ein. Nun müssen Sie unter Connection • SSH • Auth • Private key file for authentication auf den abgespeicherten privaten Schlüssel verweisen. Die Einstellungen sollten Sie mit einem Klick auf Session • Save unter einem aussagekräftigen Namen abspeichern, den Sie zuvor im Feld Saved Sessions eintragen. Durch einen Doppelklick auf diesen Namen werden später immer wieder die aktuellen Einstellungen geladen. Sie müssen die Daten also nicht noch einmal eintippen.
32.2.4 Erweiterte Konfiguration des Servers In sicherheitskritischen Umgebungen sollte Ihnen die verschlüsselte Verbindung allein nicht genügen. Sobald ausreichend Benutzer auf die Authentifizierung mit dem Clientschlüssel umgestiegen sind, sollten Sie daher den Server noch umkonfigurieren, indem Sie zwei Einträge in der Datei /etc/ssh/sshd_config bearbeiten: Mit UsePAM no ignoriert der Server die Standardauthentifizierung Pluggable Authentication Module (PAM). Mit PermitRootLogin no wird verhindert, dass der Administrator root sich direkt am System anmelden kann. Ein Administrator kann sich so nur noch mit seinem personalisierten Account anmelden. Danach muss er sich mit anderen Mitteln um weitere Rechte bemühen.[ 24 ] Vergessen Sie nicht, den Secure-Shell-Server anschließend mit dem Kommando /etc/init.d/sshd restart neu zu starten! [+] Es kann passieren, dass Sie mit Fehlern in der Konfiguration des SSH-Servers das Login über das Netzwerk verhindern und sich so selbst aussperren. In diesem Fall können Sie sich aber zumindest noch lokal an der Konsole anmelden.
32.2.5 SSH unter macOS nutzen OpenSSH ist auch in macOS integriert. Sie können den Dienst in den Systemeinstellungen in der Ansicht Freigaben aktivieren. Es handelt sich um den Dienst Entfernte Anmeldung (siehe Abbildung 32.5).
Dabei legen Sie mit Zugriff erlauben für: fest, ob sich alle oder nur ausgewählte Benutzer und Gruppen über SSH anmelden dürfen.
Abbildung 32.5 Der Dienst »Entfernte Anmeldung« in der Ansicht »Freigaben« aktiviert SSH.
Am Terminal können Sie den Befehl ssh in gleicher Form nutzen wie unter Linux. Es ist ebenfalls möglich, wie in Abschnitt 32.2.2, »Passphrasegeschützte Verbindung mit Clientschlüssel«, beschrieben, sich statt mit einem Passwort durch einen Schlüssel zu authentifizieren. Das Schlüsselpaar können Sie mit dem dort ebenfalls erläuterten Befehl ssh-keygen erzeugen. Ferner steht Ihnen ssh-copy-id zur Verfügung.
32.2.6 SSH-Client-App Auch von Ihren mobilen Endgeräten aus können Sie SSH komfortabel nutzen. Ich empfehle Ihnen die App Terminus (siehe Abbildung 32.6). Diese App gibt es sowohl für Android als auch für iOS.
Abbildung 32.6 Ihre SSH-Verbindungen verwaltet Terminus übersichtlich.
32.3 X11, das grafische System unter Linux Telnet und SSH bieten Ihnen die Möglichkeit, textbasierte Kommandos auszuführen. Viele der heute genutzten Anwendungen haben leider ausschließlich eine grafische Ausgabe und sind somit nicht allein per Telnet oder SSH nutzbar. Unter Linux ist die grafische Ausgabe nur eine Anwendung. Linux läuft selbstverständlich auch dann, wenn das grafische System nicht gestartet ist. Dieses System heißt X11. X11 ist als Open-SourceSoftware in Form von X.org (https://www.x.org) in Linux implementiert. Allgemein wird X11 als X bezeichnet. KDE und GNOME, die bekanntesten Benutzeroberflächen für Linux, sind keine Alternative zum X-Server, sondern grafische Desktops und damit X-Clients. Damit Sie KDE oder GNOME benutzen können, muss auf Ihrem System ein X11-Server installiert und lauffähig sein. Diese Aufgabe erledigt YaST für Sie bei der Installation von SUSELinux. Normalerweise wird die X11-Ausgabe auf den lokalen PC gelenkt. XServer und X-Client laufen also physisch auf dem gleichen PC. Dies ist aber kein Muss, Sie können die X11-Ausgabe genauso gut auf andere PCs umlenken.
32.3.1 X11-Client Ein X11-Client ist ein Programm, das grafische Daten erzeugt und sie an einen X-Server zur Darstellung weitergibt. Auf der
Kommandozeile geben Sie export DISPLAY=:0.0 ein. Damit haben Sie das Ziel für die Ausgabe umgesetzt. Jetzt können Sie ein Programm mit grafischer Ausgabe aufrufen, z. B. xterm, ein Terminalprogramm, in dem Sie Shell-Kommandos absetzen können. Sie werden auf dem Quellsystem nichts sehen, denn die Ausgabe wird ja umgeleitet.
32.3.2 X11-Server Der X11-Server läuft im Hintergrund. Seine Hauptaufgabe ist die Bereitstellung einer hardwareunabhängigen Schnittstelle für Anwendungen (X-Clients). Auf dem Empfänger-PC muss ein X11Server laufen, der X-Daten verarbeiten, also darstellen kann. Eine weitere Voraussetzung dafür ist die Bereitschaft des X11-Servers, Fenster anzunehmen. Unter Linux geben Sie bei dem PC, der die Daten von einem X-Client empfangen soll, xhost + ein, und schon gehen Fenster auf Ihrem Zielsystem auf, sobald Sie eine X11-Ausgabe auf diesen Rechner umgelenkt haben. [!] X11 ist unsicher. Ein fremder X11-Client kann sich ohne großen Aufwand an einem Server anmelden und Daten ausspähen. Es ist daher aus Sicherheitsgründen populär, den X11-Server ohne Netzwerkunterstützung zu starten. Das führt dazu, dass keine X11Clientanfragen vom Netzwerk angenommen werden. Falls Sie das ausnahmsweise doch wünschen, müssen Sie zunächst zwei Einträge in der Datei /etc/sysconfig/displaymanager verändern: DISPLAYMANAGER_REMOTE_ACCESS="yes"
DISPLAYMANAGER_XSERVER_TCP_PORT_6000_OPEN="yes"
Alternativ erledigen Sie diese Einstellungen mit dem YaST2Modul Sicherheit und Benutzer • Sicherheits-Center und Systemhärtung •
Einstellungen für das Anmelden • Grafische Anmeldung von Remote erlauben. Im Anschluss müssen Sie jeweils den X11-Server neu starten. Das erledigen Sie bei laufendem X-Server mit der Tastenkombination (Strg) + (Alt) + (237). Diese Tastenkombination muss – abhängig von der Konfiguration des XServers – auf einigen Distributionen doppelt ausgeführt werden. Jeder X11-Server hat eine eindeutige Nummer. So bedeutet das Kommando export DISPLAY=:0.0, dass Verbindung mit dem ersten X-Server aufgenommen würde. Ein zusätzlicher X11Server auf der gleichen Hardware hieße wahrscheinlich :1.0. Das Kommando export DISPLAY=:0.0 verbindet einen X11-Client Verbindung mit dem lokalen X11-Server :0.0. Mit dem Kommando echo $DISPLAY erhalten Sie Informationen über den aktuellen X11-Server in Ihrer Shell. Ich meine mit »Ausgabe umlenken«, dass nicht nur die gesamte Programmoberfläche auf einem anderen PC dargestellt wird, sondern das Programm auch von dort gesteuert wird. Sie benutzen das Programm, als säßen Sie direkt vor dem Quell-PC. [»] Sie haben zwei Linux-PCs, ein PC steht im Wohnzimmer (192.168.1.3), der andere in Ihrem Arbeitszimmer (192.168.1.10). Beide PCs sind Teil eines LANs. Im Wohnzimmer haben Sie in das CD-Laufwerk des Linux-PCs Ihre Lieblings-CD »Isabella« von den »Flippers« eingelegt. Sie sitzen noch in Ihrem Arbeitszimmer, möchten aber gern das Wohnzimmer für den »Flippers«-Genuss allein für sich haben. Kein Problem! Geben Sie in einer Konsole Ihres Arbeitszimmer-PCs das Kommando xhost +192.168.1.3 ein, und verbinden Sie sich mittels ssh @192.168.1.3 zu Ihrem Wohnzimmer-PC.
Lenken Sie nun X zu Ihrem Arbeitszimmer-PC um (export DISPLAY=192.168.1.10:0.0), und rufen Sie den KDE-CDPlayer mit dem Kommando kscd auf. Auf Ihrem ArbeitszimmerLinux-PC erscheint der CD-Player. Sie klicken auf Play, und im Wohnzimmer ertönt »Isabella« von den »Flippers«. Ob Sie damit das Wohnzimmer für sich erobern, mögen Ihre Mitmenschen entscheiden. Sie bemerken: Obwohl die grafische Ausgabe der Darstellung umgelenkt wurde, wird das Programm nicht auf der Hardware des X11-Servers ausgeführt, sondern auf dem PC, auf dem das Programm gestartet wurde.
32.3.3 Getunneltes X11 [!] Alle Freunde der Sicherheit werden aufgeschrien haben, als ich beschrieben habe, wie man X ohne weitere Sicherheit weiterleitet. Das Umlenken von X bietet keinen besonderen Schutz, daher ist das Verfahren unsicher. Um das Manko zu beseitigen, müssen Sie das gerade geschilderte Beispiel wie folgt abwandeln: [»] Beide PCs sind unverändert. Die »Flippers«-CD liegt im Laufwerk. Auf Ihrem Arbeitszimmer-Linux-PC setzen Sie das Kommando ssh -X @192.168.1.3 /usr/bin/kscd ab, geben das Passwort
für den Benutzer ein, und auf Ihrem lokalen Desktop erscheint der KDE-CD-Player. Alle Daten werden durch den SSH-X11-Tunnel übertragen.
32.3.4 Xming, X11 für Windows
[o] Sie finden im Verzeichnis /software/administration die Installationsdateien Xming"=6-9-0-31-setup.exe und Xming-fonts"=75-0-93-setup.exe. Bei der Installation von Xming können Sie die Standardeinstellungen akzeptieren. Nach der Installation starten Sie Xming und damit den X11-Server auf Ihrem Windows-PC. Damit der SSH-Client PuTTY unter Windows das X11-Protokoll tunnelt, müssen Sie unter Connection • SSH • X11 die Option Enable X11 forwarding aktivieren. Sie verbinden sich danach ganz normal per SSH mit dem X11-Client (im Beispiel 192.168.1.3) und führen den Befehl aus (im Beispiel kscd). [+] Auf der Projekt-Website https://sourceforge.net/projects/xming finden Sie eine extra auf Xming abgestimmte PuTTY-Version. Sie können für die von mir beschriebene Arbeit jedoch genauso gut die Standardausgabe von PuTTY verwenden.
32.3.5 X11 unter macOS Für macOS steht ebenfalls ein X11-Server zur Verfügung, wobei sich dieser naturgemäß nicht der Beliebtheit erfreut, die ihm unter Linux zuteil wird. Apple hat die Entwicklung des X11-Servers ausgelagert und in einem freien Projekt zusammengefasst. In diesem Projekt finden auch die Arbeit und das Engagement Freiwilliger Eingang. Unter http://xquartz.macosforge.org finden Sie ein Installationspaket dieser Variante. Das X11-System von macOS unterscheidet sich von den unter Linux eingesetzten X11-Servern in einem wichtigen Punkt: Die Variable DISPLAY wird nicht von Ihnen als Anwender festgelegt, sondern im Hintergrund durch den Systemdienst launchd. Dieser überwacht auch, ob ein Programm gestartet wird, das auf einen X11-
Server angewiesen ist. Wenn Sie unter macOS am Terminal den Befehl xeyes eingeben, dann erkennt launchd, dass dieses Programm einen X11-Server benötigt, und startet diesen. Dies funktioniert auch bei einer Verbindung über das Netzwerk. Allerdings müssen Sie zunächst die Konfiguration entsprechend anpassen. Durch die Eingabe von sudo nano /etc/ssh/ssh_config
starten Sie den Editor nano. Fügen Sie im Bereich Host * die zwei Zeilen ForwardX11 yes
ForwardAgent yes
hinzu. Bauen Sie nun über diese Eingabe eine verschlüsselte Verbindung auf: ssh -X Benutzer@Rechner
Starten Sie auf dem entfernten Rechner ein grafisches Programm, dann wird automatisch das X11-System und darin das Programm gestartet. Eine Desktopumgebung wie GNOME oder komplexe Programme wie Firefox und Thunderbird funktionieren in Verbindung mit dem X11-Server unter macOS aber selten einwandfrei.
Abbildung 32.7 macOS stellt über den X11-Server Thunderbird und xedit dar.
32.4 Remotedesktop Wenn Sie einen Windows-PC in Ihrem LAN fernsteuern möchten, gibt es eine kostenlose Alternative zu kommerziellen Programmen: das Remote Desktop Protocol (RDP). Auf dem fernzusteuernden PC muss der Remotedesktop aktiv sein (siehe Abbildung 32.8). Die Einstellungen finden Sie unter Computer • Eigenschaften • Remote. Im unteren Teil des Fensters aktivieren Sie den Remotedesktop. Ihr Administrations-PC benötigt einen RDP-Client. Am einfachsten ist es, wenn Sie die »Remotedesktopverbindung« benutzen, die Microsoft seit Windows 10 mitliefert. Die Konfiguration des RDPClients ist sehr einfach (siehe Abbildung 32.9): Sie tragen unter Computer lediglich die IP-Adresse oder den Namen des Ziel-PCs ein; Benutzername sollte selbstredend sein. Über die Schaltfläche Verbinden stellen Sie die Verbindung her. Wenn Sie die die Opionen ausblenden, ist der Dialog nochmal übersichtlicher.
Abbildung 32.8 Der Remotedesktop muss aktiviert werden.
Abbildung 32.9 Remotedesktop-Verbindung einstellen
32.4.1 RDP für Linux Für Linux finden Sie mit dem Programm rdesktop (https://www.rdesktop.org) einen RDP-Client. Dieser Client bietet nicht den kompletten Funktionsumfang des RDP-Clients für Windows. Auch die Bedienbarkeit über die Kommandozeile ist gewöhnungsbedürftig, wenn Sie den komfortablen Windows-Client gewohnt sind.
32.4.2 Remotedesktop-Verbindung für macOS Microsoft stellt Ihnen im Mac App Store das kostenlose Programm Microsoft Remote Desktop zur Verfügung. Dieses Programm
ermöglicht die direkte Verbindung mit einem Windows-System über RDP und bietet eine vollständige Unterstützung des Protokolls. Unterstützt wird auch der Austausch des Inhalts der Zwischenablage zwischen den Rechnern.
Abbildung 32.10 Die Verbindung zu einem Windows-Rechner kann über den Remote Desktop Connection Client von Microsoft erfolgen.
32.5 Windows Admin Center Das Windows Admin Center ermöglicht die Verwaltung von Windows-Servern im Browser. Optional können Sie PCs mit Hilfe des Tools über das Netzwerk verwalten. Dazu benötigen Sie jeweils eine Komponente auf dem Windows-Client und eine Komponente auf dem zu administrierenden PC. [»] Laden Sie das Windows Admin Center von den Internetseiten der Firma Microsoft herunter, und installieren Sie es auf dem Admin-PC. Auf dem zu administrierenden System starten Sie mit Hilfe der Tastenkombination (é) + (X) das Windows-AdminMenü und wählen Windows PowerShell (Administrator). Alternativ können Sie auch eine administrative Eingabeaufforderung verwenden. Das Kommando winrm quickconfig (siehe Abbildung 32.11) konfiguriert und startet den WindowsRemoteverwaltungsdienst (WinRM) und schaltet zudem die notwendigen Netzwerkports frei (siehe Abschnitt 26.5, »WindowsFirewall«).
Abbildung 32.11 Die Windows-Remoteverwaltung bereitet den PC vor.
Mit der Schaltfläche Hinzufügen machen Sie dem Windows Admin Center einen neuen PC bekannt, über Verwalten als… geben Sie Informationen zur Anmeldung mit einem Administratorkonto ein.
Nach der Verbindung (siehe Abbildung 32.12) bietet das Windows Admin Center eine Fülle von Funktionen, von denen ich einige nennen möchte: Verwaltung von Diensten Ereignisanzeige Konfiguration der Firewall geplante Aufgaben Gerätemanagement Verwaltung von Benutzern und Gruppen Netzwerkverwaltung Zugang zu einer PowerShell Überblick über laufende Prozesse Zugriff auf die Registrierungsdatenbank grafischer Zugriff auf das System (siehe Abschnitt 32.4, »Remotedesktop«) Bei Bedarf können Sie die zahlreichen administrativen Möglichkeiten des Windows Admin Centers mit Hilfe von Erweiterungen über den Standard hinaus ausweiten.
Abbildung 32.12 Das Windows Admin Center im Überblick
32.6 Windows-Remoteunterstützung Easy Connect Wenn ein Laie Hilfe bei einem Computerproblem braucht, kann es äußerst hilfreich sein, wenn ein kompetenter Helfer auf seinen PC schaut und ihn bei der Lösung des Problems unterstützt. Bei den Desktopversionen von Windows gibt es deshalb die Funktion Remoteunterstützung. Sie finden sie in der Systemsteuerung unter System und Sicherheit • System • Remoteunterstützung starten • Eine vertrauenswürdige Person zur Unterstützung einladen. Es wird eine Datei generiert, die als E-Mail-Anhang [ 25 ] versendet und als .msrcincidentDatei von der Remoteunterstützung aller Windows"=Varianten geöffnet werden kann. In der Datei ist insbesondere die IP-Adresse des Hilfesuchenden enthalten. Bevor der Helfer – der hier als Experte bezeichnet wird – auf den PC des Hilfesuchenden zugreifen kann, muss der Hilfesuchende noch ein paar Dialoge à la Möchten Sie den Experten wirklich zugreifen lassen? Ja/Nein beantworten. [+] In der Datei .msrcincident wird die IP-Adresse eingetragen, die der PC gerade besitzt. Wenn Sie über einen Router mit NAT verbunden sind und Hilfe über das Internet haben möchten, funktioniert die Remoteunterstützung nicht mehr. Erstens ist in der Hilfedatei die lokale/private IP-Adresse enthalten (z. B. 192.168.1.2), die aus dem Internet nicht erreichbar ist, und zweitens müssen die Daten für den Zielport direkt an den hilfesuchenden PC weitergeleitet werden. Eine solche Funktion muss aber konfiguriert werden (Port Forwarding). Mit diesen Hürden ist die
Remoteunterstützung für die Zielgruppe »Hilfe suchende Computer-Analphabeten« nicht verwendbar. Für den Einsatzzweck »Computerlaie kontaktiert Helfer« ist die ursprüngliche Remoteunterstützung von Windows XP und Windows Vista ungeeignet. Sie teilt dem Helfer die private IPAdresse mit, mit der dieser jedoch nichts anfangen kann, wenn er aus dem Internet zugreifen will. Erfährt er durch den Inhalt der von der Remoteunterstützung generierten Einladungsdatei von der öffentlichen IP-Adresse des Hilfesuchenden, sind zusätzliche Portweiterleitungen am Router erforderlich. Diese Mängel beseitigt Easy Connect ab Windows 7 mit Hilfe von zwei Techniken: IPv6, mit Hilfe des Tunnelprotokolls Teredo auch über IPv4Internetzugänge Peer Name Resolution Protocol (PNRP), um für den Hilfesuchenden – vergleichbar mit DynDNS – einen weltweit eindeutigen Namen für den Zugriff des Helfers aus dem Internet zu generieren Die Einstellungen zur Remoteunterstützung finden Sie unter Systemsteuerung • System und Sicherheit • System • Remote (siehe Abbildung 32.13). Wenn Sie unter der Schaltfläche Erweitert… die Windows-Version der Helfer auf Windows Vista oder höher beschränken, wird PNRP genutzt. Dabei muss nicht wie früher eine Datei mit den Verbindungsinformationen ausgetauscht werden. Vielmehr dient ein generiertes Passwort zugleich als Adresse in einer PNRP-Cloud.
Abbildung 32.13 Die Remoteunterstützung ist aktiviert.
Eine neue Sitzung starten Sie als Hilfesuchender über Systemsteuerung • System und Sicherheit • Remoteunterstützung starten. Sie bestimmen in dem in Abbildung 32.14 gezeigten Dialog, ob Sie Hilfe brauchen oder helfen wollen.
Abbildung 32.14 Helfen oder Hilfe anbieten?
Im folgenden Dialog können Sie entscheiden, wie Sie den Helfer informieren wollen. Sie können die Einladung als Datei speichern und sie beispielsweise per USB-Stick weitergeben oder sie direkt per Mail an den Helfer verschicken. Bei der Auswahl Easy Connect verwenden braucht der Helfer nur noch ein Passwort einzutippen (siehe Abbildung 32.15). Dieses Passwort ist letztlich die Adresse des Hilfesuchenden im PNRP-Netzwerk.
Abbildung 32.15 Einladung an den Helfer
Für PNRP ist – wie bei anderen Peer-to-Peer-Anwendungen auch – kein zentraler Server nötig. Die Verbindung mit der PNRP-Cloud überprüfen Sie mit dem Kommando netsh p2p pnrp cloud show list. Der Name Global_ sollte bei einer funktionierenden Kommunikation im Status Aktiv sein. Ein funktionierendes PNRP nutzt Easy Connect für die Überbrückung eines NAT-Routers (siehe Abschnitt 14.5, »Network Address Translation«). In Abbildung 32.16 hilft ein PC mit Windows 10 einem PC mit Windows 8.
Abbildung 32.16 Der Helferdesktop
32.7 Quick Assist Sollten sowohl Hilfesuchender als auch Helfer mit Windows 10 oder Windows 11 ausgerüstet sein, können beide einfach die App Quick Assist nutzen. Der Helfer gibt den Sicherheitscode an den Hilfesuchenden weiter (siehe Abbildung 32.17).
Abbildung 32.17 Der Helfer generiert einen Schlüssel.
Der Hilfesuchende fordert Unterstützung an (siehe Abbildung 32.18).
Abbildung 32.18 Mit nur einer App gewähren oder bekommen Sie Hilfe.
Der Helfer wird von Quick Assist mit vielen Werkzeugen ausgerüstet; z. B. kann er dem Hilfesuchenden Hinweise auf den Bildschirm malen. Falls möglich, sollten Sie Quick Assist aber immer mit einem Telefongespräch flankieren.
32.8 TeamViewer Für die Fernadministration über das Internet benötigt man in einigen Fällen eine einfache Lösung, die beim Hilfesuchenden ohne weitere Einstellungen am Router oder an einer Personal Firewall zuverlässig funktioniert. Die Software TeamViewer (https://www.teamviewer.com) bohrt sich durch alle Firewalls. Für die private Nutzung ist die Software kostenfrei. Es existieren jeweils Versionen für Windows, Linux, macOS und alle gängigen mobilen Geräte. Mit dabei ist eine Extrakomponente für Hilfesuchende namens TeamViewer QuickSupport.
Abbildung 32.19 TeamViewer: Hilfesuchende starten TeamViewer QuickSupport.
Hilfesuchende starten das Programm TeamViewerQS_de.exe. Es erscheint eine Anzeige wie in Abbildung 32.19, die eine ID und ein Kennwort angibt. Dieses erhalten Sie als Helfender beispielsweise per Telefon, und Sie tragen beides in Ihrem TeamViewerProgrammfenster ein (siehe Abbildung 32.20). Sie werden noch nach dem Kennwort gefragt, und die Verbindung wird geöffnet. Neben dem Remotedesktop bietet TeamViewer einen Chat und die Möglichkeit, eine Datei zu übertragen oder ein VPN aufzubauen. Die Performance ist insgesamt zufriedenstellend. Auch über schmalere Internetverbindungen arbeitet die Fernsteuerung flüssig.
Abbildung 32.20 TeamViewer: Einstellungen für den Helfer
32.9 Virtual Network Computing (VNC) Virtual Network Computing (https://www.realvnc.com) ist eine PCFernsteuerungs-Software im eigentlichen Sinne. Die Open Edition der Software steht unter der GPL, für aktuelle Versionen benötigen Sie eine kostenfreie Lizenz, mit der Sie dann bis zu fünf PCs fernadministrieren können. [+] VNC lässt sich unter SUSE zusätzlich über das YaSTModul Administration entfernter Rechner (VNC) steuern.
32.9.1 VNC-Client und VNC-Server Auf dem fernzusteuernden PC wird der VNC-Server installiert und konfiguriert. Mit dem Client VNC-Viewer verbindet man sich von einem entfernten PC aus mit dem VNC-Server. Man sieht die Oberfläche des ferngesteuerten PCs, die im Fall von Windows genau dem entspricht, was Sie auch auf der lokalen Konsole sehen würden.
Abbildung 32.21 VNC konfigurieren
VNC gibt es im Internet für alle gängigen Betriebssysteme. Viewer und Server können, müssen aber nicht auf der gleichen Betriebssystemplattform betrieben werden. Sie können auf einem Windows-PC den VNC-Server installieren und konfigurieren (siehe Abbildung 32.21) und dann unter Linux auf diesen PC zugreifen. Sie haben ein Programmfenster, in dem alle Bedienungsmöglichkeiten vorhanden sind, die Ihnen auch lokal am Windows-PC zur Verfügung stünden. An dieser Stelle sollen die Nachteile von VNC nicht verschwiegen werden: Der VNC-Server belastet Windows-Systeme spürbar, wenn von den Clients aus zugegriffen wird. Es ist nicht möglich, Ton zu übertragen. Die Reaktionen von VNC sind relativ langsam. Dies ist ärgerlich bei dauerhaftem Arbeiten, insbesondere über langsame WANVerbindungen.
Es gibt keine Integration anderer Authentifizierungsmechanismen; es ist immer ein eigenständiges Passwort erforderlich. VNC ist nicht sehr sicher (mögliche Lösung: SSH-Tunnel). Diese Nachteile wirken sich besonders bei größeren Netzwerken aus. Daher sind größere Firmen meistens bereit, Geld für eine andere Remoteadministrations"=Software auszugeben. Ideal hingegen ist VNC für kleine Netzwerke, in denen ab und zu einmal ein Server fernadministriert werden soll oder Sie einem Kollegen über das Netzwerk kurz auf seinem Desktop behilflich sein möchten. [»] Angenommen, Sie möchten sich vom Windows-PC (192.168.4.5) über den VNC-Viewer mit einem VNC-Server auf einem LinuxPC (192.168.4.56) verbinden. Zunächst müssen Sie den VNC-Server auf dem Linux-PC starten: vncserver :10 Sie bestimmen das Passwort für den Zugriff. Der VNC-
Server wird in diesem Beispiel mit der Displaynummer 10 gestartet. Der VNC-Dienst ist entsprechend über Port 5910 (5900 + Displaynummer 10) nativ und über Port 5810 (5800 + Displaynummer 10) für einen Webbrowser ansprechbar. Sie starten den VNC-Viewer auf dem Windows-PC und geben in das Feld VNC Server: die Adresse 192.168.4.56:10 ein. Vor dem Zugriff auf den Desktop müssen Sie sich authentifizieren. [+] Alternativ zum VNC-Viewer bietet VNC Zugriff über einen Webbrowser. In diesem Beispiel ist er dann über die URL http://192.168.4.56:5810 erreichbar.
32.9.2 Getunneltes VNC
Wenn Sie VNC über eine gesicherte Verbindung mit SSH übertragen möchten, dann müssen Sie beim Windows-SSH-Client PuTTY einige besondere Einstellungen vornehmen (siehe Abbildung 32.22). Die Konfiguration erfolgt im Bereich Connection • SSH • Tunnels • Port forwarding. Sie tragen bei Add new forwarded port: unter Source port den normalen VNC-TCP-Port 5901 ein. Dies ist der lokale Port, den das VNC-Clientprogramm auf dem Windows-PC sieht. Dann tragen Sie unter Destination die IP-Adresse des VNC-Server-PCs ein, gefolgt von einem Doppelpunkt und der TCP-Portnummer des Servers. Weil wir das Display 10 gewählt haben, lautet die vollständige Adresse 192.168.4.56:5910.[ 26 ] Klicken Sie auf die Schaltfläche Add. Jetzt verbinden Sie PuTTY mit dem LinuxPC 192.168.4.56 ganz normal über SSH.
Abbildung 32.22 PuTTY-Einstellungen für VNC über SSH
Lassen Sie das PuTTY-Fenser unbeachtet, und starten Sie den VNCViewer mit der Ziel-Adresse localhost:5901 (siehe Abbildung 32.23).
Abbildung 32.23 Der VNC-Viewer
[+] Grundsätzlich startet der VNC-Server unter SUSE eine wenig benutzerfreundliche Oberfläche mit dem Fenstermanager TWM. Wenn Sie die komfortable Oberfläche KDE benutzen möchten, wechseln Sie zunächst in das Home-Verzeichnis des Benutzers, der bei Ihnen den VNC-Server startet. Öffnen Sie die Datei /home//.vnc/xstartup mit einem Texteditor. Ersetzen Sie in dieser Datei twm & durch startkde &. Sie müssen nun alle laufenden VNC-Server beenden (vncserver -kill:) und danach neu starten. Jetzt können Sie KDE benutzen (siehe Abbildung 32.24).
Abbildung 32.24 KDE über SSH-getunneltes VNC
Gesetzt den Fall, dass Sie einen Linux-PC mit einem anderen LinuxPC über VNC fernadministrieren und die Verbindung mittels SSHTunnel verschlüsseln möchten, ändert sich gegenüber der Vorgehensweise für Windows nur die SSH-Clientkonfiguration. Geben Sie auf der Kommandozeile Ihres Fernsteuerungs-PCs Folgendes ein: ssh -L 5901:192.168.4.56:5910 192.168.4.56 Dies entspricht genau der PuTTY-Konfiguration für Windows.
32.9.3 Bildschirmfreigabe unter macOS macOS verfügt ebenfalls über einen VNC-Client und einen VNCServer, wobei Apple diese Funktion Bildschirmfreigabe getauft hat. In den Systemeinstellungen können Sie in der Ansicht Freigaben den Dienst Bildschirmfreigabe aktivieren.
Abbildung 32.25 Der VNC-Server von macOS wird mit dem Dienst Bildschirmfreigabe gestartet.
Sie können hierbei den Zugriff auf bestimmte Benutzer und Gruppen beschränken. Über die Schaltfläche Computereinstellungen können Sie ferner festlegen, ob bei der Verbindung zur Ihrem Rechner über VNC ein Passwort abgefragt wird und ob sich jeder an Ihrem Rechner anmelden darf, dies jedoch Ihrer Zustimmung bedarf. Wenn Sie von Linux oder Windows aus eine Verbindung aufbauen möchten, dann sollten Sie in dem über Computereinstellungen erreichbaren Panel die Option VNCViewer können den Bildschirm mit dem folgenden Kennwort steuern aktivieren und ein Passwort vergeben. Um von Ihrem Rechner eine Verbindung über VNC aufzunehmen, können Sie den in macOS enthaltenen VNC-Client nutzen. Sofern der entfernte VNC-Dienst über Zeroconf bzw. Bonjour (siehe Abschnitt 22.2, »Zeroconf«) kommuniziert wird, was auch bei vielen Linux-Distributionen mittlerweile der Fall ist, dann erscheint er in der Ansicht Netzwerk im Finder von macOS. Wenn Sie den Rechner
ausgewählt haben, dann können Sie über die Schaltfläche Bildschirm steuern den VNC-Client starten. Beim VNC-Client von macOS handelt es sich um das Programm Bildschirmfreigabe im Verzeichnis /System/Library/Services/Applications. Sie können dieses Programm auch direkt starten und es ebenfalls im Dock ablegen.
Abbildung 32.26 Wenn der VNC-Server über Zeroconf kommuniziert wird, dann erscheint er in der Ansicht »Netzwerk«.
Haben Sie die Bildschirmfreigabe direkt gestartet, dann werden Sie aufgefordert, einen Host einzugeben. Hierbei handelt es sich entweder um die IP-Adresse oder den Namen des Rechners, zu dem Sie eine Verbindung aufbauen möchten. Sofern die VNC-Verbindung mit einem Passwort gesichert ist, müssen Sie dieses in einem zweiten Dialog eingeben. Wird die Verbindung aufgenommen, dann erhalten Sie gegebenenfalls eine Warnung, dass die Verbindung unverschlüsselt erfolgt. Dies ist auch der Fall, wenn Sie zuvor einen Tunnel mit SSH erstellt haben. Die Tunnelung einer VNC-Verbindung mit SSH ist auch unter macOS möglich. Dazu erstellen Sie zunächst den Tunnel:
ssh -L 6666:127.0.0.1:5900 -N -l Benutzer Rechner Wenn Sie nun das
Programm Bildschirmfreigabe starten, geben Sie unter Verbinden mit »127.0.0.1:6666« ein, und die Verbindung wird über SSH getunnelt.
[+] Bei der Arbeit mit Apples Bildschirmfreigabe sollten Sie bedenken, dass es sich hierbei um ein recht stark modifiziertes VNCSystem handelt. Wenn Sie die Verbindung zu einem anderen Betriebssystem wie Windows oder Linux herstellen, kann es unter anderem Probleme bei der Tastaturbelegung geben. Auch waren Verbindungen zu Linux-Systemen bei meinen Tests instabil und schlugen fehl. Abhängig von Ihren Anforderungen kann vielleicht der Erwerb alternativer Programme wie Screens 4 (https://edovia.com/en/screens-mac) sinnvoll sein.
32.10 Zusammenarbeit im Internet – Kollaboration Die Globalisierung führt dazu, dass immer mehr Teams über den Globus verteilt gemeinsam an Projekten arbeiten. Die Herausforderung besteht darin, trotz der geografischen Entfernungen ein gemeinsames Produkt zu erstellen. Telefongespräche allein reichen dafür oftmals nicht aus, dauernde Reisen zu Besprechungen sind ineffizient. Es müssen aber nicht immer internationale Projekte sein, für die der Einsatz von Werkzeugen für die Kollaboration (dt. Zusammenarbeit) sinnvoll ist. Auch für dieses Buch haben wir solche Lösungen genutzt, um die Arbeit von uns drei Autoren zu unterstützen. Die meisten hier vorgestellten Lösungen bieten keine oder qualitativ nur unzureichende Möglichkeiten für Telefonkonferenzen. Eine gute Alternative ist Skype, das wir Ihnen in Abschnitt 47.7.1, »Skype: Einfacher geht es nicht«, vorstellen.
32.10.1 WebEx und Apache OpenMeetings Eine fast unüberschaubare Anzahl von Firmen bietet sogenannte Webmeetings an. Gemeint sind Sitzungen wie mit Mikogo, allerdings ohne dass ein Teilnehmer eine Software installieren muss. Ein Browser reicht vollkommen. Diese Form der Onlinekollaboration ist sehr einfach und kann auch hinter Firewalls problemlos genutzt werden, denn der Zugriff auf Webinhalte ist immer erlaubt.
Unter den Cloud-Anbietern habe ich WebEx (https://www.webex.com) herausgegriffen. Damit können Sie kostenlose Konferenzen mit bis zu drei Teilnehmern durchführen. Jeder Teilnehmer einer WebEx-Konferenz sieht, was ihm der Moderator (siehe Abbildung 32.27) zur Verfügung stellt. Hier gibt es neben der Teilnehmerliste und einem Video im Hauptfenster eine geteilte Applikation. Je nach Wunsch können die Moderationsmöglichkeiten auch an einen anderen Teilnehmer übertragen werden, oder ein anderer Teilnehmer kann die Steuerungsrechte anfordern. Für die Audioverbindung können die Teilnehmer ein lokales Mikrofon nutzen oder eine der internationalen Telefonnummern anrufen, um sich in die Telefonkonferenz einzuwählen. Die komplette Sitzung kann mit Video und Ton aufgezeichnet werden. Das bietet insbesondere für Präsentationen eine schöne Möglichkeit: Fehlenden Teilnehmern können Sie den Inhalt des Meetings anschließend zur Verfügung stellen. Die Software Apache OpenMeetings (siehe Abbildung 32.28) bietet Ihnen die Möglichkeit, Ihr eigenes Webmeeting-Portal im Container zu betreiben. Sie finden vorgefertigte Images unter »apache/openmeetings« im Docker Hub (siehe Kapitel 44, »Containertechnologie«).
Abbildung 32.27 Im Meeting wird der Desktop ganz oder teilweise geteilt.
Abbildung 32.28 Ein Apache OpenMeeting im Container
Selbstverständlich können Webmeetings kein persönliches Treffen ersetzen. Immer dann, wenn es eigentlich zu gar keinem gemeinsamen Treffen kommen kann, weil beispielsweise keine Zeit für die Reise oder kein Budget zur Verfügung steht, sind Webmeetings jedoch eine kostengünstige und sehr spontan realisierbare Möglichkeit der Zusammenarbeit.
32.10.2 Mikogo Die Software Mikogo (https://www.mikogo.com) kann kostenfrei verwendet werden, auch für geschäftliche Anwendungen. Vor der Benutzung müssen Sie und die anderen Teilnehmer ein Benutzerkonto auf der Website von Mikogo anlegen.
Abbildung 32.29 Mikogo: ein Meeting starten
Nach der Installation der Software finden Sie im Windows-Tray links neben der Uhr ein graues M, das Mikogo-Icon. Mit einem Klick darauf können Sie ein Meeting starten (Start Meeting) oder einem Meeting beitreten (Join Meeting). Derjenige, der ein Meeting gestartet hat (siehe Abbildung 32.29), erhält eine neunstellige Meetingnummer (Meeting-ID), die er den anderen Teilnehmern beispielsweise per E-Mail oder Skype-Chat mitteilt.
Teilnehmer melden sich mit einer eindeutigen Meeting-ID an (siehe Abbildung 32.30).
Abbildung 32.30 Mikogo: Am Meeting teilnehmen
Die Daten werden mit sehr geringer Verzögerung übertragen, allerdings belastet die Anwendung die CPU der Teilnehmer nicht unerheblich. Die Belastung wird stärker, je mehr Änderungen sich am Bildschirm ergeben. Wildes Hin- und Herschieben von Fenstern sollte man also lieber unterlassen.
33 Sicherheit und Datenschutz im LAN und im Internet Ein nicht gesichertes LAN, das man metaphorisch auch als offenes Scheunentor bezeichnet, ist nicht nur eine Gefahr für Ihre Daten, sondern auch eine Gefahr für andere Netzwerke und ein juristisches Risiko für Sie, weil Ihre PCs für Angriffe missbraucht werden können. Warum sind Netzwerkanwendungen so unsicher? Diese Frage könnten Sie stellen, wenn Sie dieses Kapitel gelesen haben. Die Antwort heißt: »Netzwerkverfahren sind historisch gewachsen!« Ethernet, TCP/IP, Telnet, FTP, DHCP, DNS und weitere Verfahren wurden erfunden, als es das Internet in seiner heutigen Form noch nicht gab. Ende des Jahres 1969 wurden die ersten Schritte für das ARPANET (Advanced Research Projects Agency Network) – einen Vorläufer des Internets – abgeschlossen. Im Jahr 1978 wurde TCP/IP geboren, sechs Jahre später kam DNS hinzu, weil die Anzahl der Rechner im ARPANET schon auf über 1.000 gestiegen war. Im Verlauf des Jahres 1989, als die Anzahl der Rechner 100.000 überstieg, wurde von den Europäern RIPE (Réseaux IP Européens) gegründet. Gleichzeitig kam das Ende des ARPANET, der Nachfolger hieß NSFNET. Erst im Jahr 1992 wurde der Grundstein für das Internet gelegt: Die Internet Society (ISOC) wurde gegründet, und zugleich wurde am CERN das World Wide Web (WWW) erfunden.
Noch immer war das Internet ein Medium, von dem Sie vermutlich damals nicht wussten, dass es existierte. Erst im Jahr 1995 erschienen mit Netscape ein bequemer Browser und gleichzeitig erste Internetprovider. Das Thema wurde in den Medien präsent, und Privatleute eroberten zögerlich das Internet. Heute sind ca. 90 Prozent[ 27 ] der deutschen Haushalte online, und kaum jemand kann mit dem Begriff Internet gar nichts anfangen. Nachdem Sie den kurzen Abschnitt über die Geschichte des Internets gelesen haben, wird Ihnen klar geworden sein, dass das Internet nicht als Netz für jedermann geplant war. Die Erfinder konnten das Potential zu Beginn nicht erkennen. Das primäre Ziel des ARPANET und des Internets war der Austausch von Forschungsinformationen. Noch im Jahr 1995 setzte Microsoft auf das eigene Netzwerk The Microsoft Network (MSN). Daher wurde bei Windows 95 kein TCP/IP installiert, denn das brauchte man nach Ansicht von Microsoft nicht. Firmenchef Bill Gates veröffentlichte sein Buch »The Road Ahead«, in dem er dem Internet keine Chance einräumte. Nur ein halbes Jahr später kam die Wende, und auch Microsoft setzte ganz auf das Internet. Im selben Jahr begann zwischen Microsofts Internet Explorer und dem damals weitverbreiteten Netscape Navigator der sogenannte Browserkrieg, den Microsoft zunächst für sich entscheiden konnte. Aber die OpenSource-Alternative Firefox von Mozilla und Chrome von Google haben sich inzwischen einen respektablen Anteil am Browsermarkt gesichert und so auch Microsoft gezwungen, den Browser Edge (siehe Abschnitt 26.16, »Microsoft Edge«) zu entwickeln. Im Jahr 1969 wurden die Bedrohungen, die das Internet mit sich bringen würde, nicht erkannt, weil sie damals noch nicht einmal hypothetisch bestanden. Damals gab es keine Privatleute, die einen PC hatten, und die Anzahl potentieller Hacker/Cracker war
entsprechend gering. Der Einsatz von Verschlüsselungsalgorithmen wäre viel zu rechenintensiv für die damals vorhandenen Rechner gewesen. Alles in allem liegt es an den sehr alten Wurzeln der noch heute genutzten Technologien, dass diese von sich aus unsicher sind und keinen wirklichen Schutz bieten. Neben den Angriffen durch Hacker/Cracker auf ein LAN wird der Datenschutz vermehrt von Firmen und Geheimdiensten unterminiert. Während einige die Aktivitäten der Sicherheitsorgane nach dem Motto »Ich habe schließlich nichts zu verbergen« als notwendiges Übel erachten, sehen andere nicht erst seit den Enthüllungen von Edward Snowden durch die Verfassung garantierte Grundfreiheiten verletzt. Wenn Sie sich durch die Datensammelei der Geheimdienste bedroht fühlen, hilft vor einer gesetzlichen Regelung und internationalen Abkommen nur ein Verzicht auf große Teile der modernen Kommunikationsinfrastruktur. [»] Um die Dimensionen zu veranschaulichen, hilft meines Erachtens ein Vergleich mit der Welt außerhalb der modernen Kommunikationsmittel. Stellen Sie sich vor, Sie würden bei jeder Ihrer Aktivitäten vom Staat oder von einem Konzern beobachtet. Jemand schreibt auf, wann Sie morgens aufstehen, was und wo Sie einkaufen, wohin Sie gehen, wofür Sie sich interessieren, wonach Sie suchen und was Sie den Tag über so tun. Jedes private und berufliche Gespräch – und sei es noch so intim – kann von Ihnen nicht bekannten Personen abgehört und aufgezeichnet werden. Briefe werden geöffnet und gelesen. Bei jeder Ihrer Handlungen schaut jemand über Ihre Schulter. Was im öffentlichen Leben vermutlich enorme Widerstände provozieren würde, wird im
Internet von der Mehrheit gar nicht wahrgenommen oder unter Verweis auf Terrorgefahren zumindest geduldet.
33.1 Mögliche Sicherheitsprobleme Wenn man eine generelle Aussage zum Thema Netzwerksicherheit machen möchte, die unanfechtbar ist, dann diese: »Ein LAN ist unsicher.« Dieser weise Ausspruch hilft Ihnen nicht weiter, weil Sie konkret erfahren müssen, wo die Probleme liegen und wie Sie sie lösen können. Ich möchte Ihnen zunächst ganz allgemein mögliche Sicherheitslücken nennen: 1. Authentifizierung von Benutzern 2. Autorisierung von Benutzern 3. Authentifizierung von PCs 4. Überprüfung der Datenintegrität 5. Schadprogramme (Viren, Ransomware, Würmer usw.) 6. Sicherheitslücken in Programmen (Bugs)
33.1.1 Authentifizierung und Autorisierung Die Authentifizierung und Autorisierung von Benutzern in einem Netzwerk wird üblicherweise von den Betriebssystemen gelöst. Sie melden sich an einem PC mit dem Betriebssystem Windows, Linux oder macOS als Benutzer an und haben vom Administrator ein definiertes Maß an Benutzerrechten bekommen. Durch diese
Anmeldung und das Zuweisen von Rechten sind die unter Punkt 1 und Punkt 2 genannten Probleme somit gelöst. Schwierig ist es, einen PC zu authentifizieren. Wenn Sie Daten von einem PC zu einem anderen schicken, dessen IP-Adresse Sie kennen oder dessen Name per DNS in eine IP-Adresse aufgelöst wird, woher wissen Sie, welchen Computer Sie tatsächlich ansprechen? Sie wissen es nicht! Die LAN-Protokolle Ethernet und IP unterstützen keine Authentifizierung. Jeder PC, der die entsprechende MAC-/IP-Adresse hat, bekommt die Daten für diese MAC-/IP-Adresse, unabhängig davon, ob diese Daten wirklich für ihn bestimmt sind. Wenn Sie überprüfen, wie es auf den anderen Schichten des ISO/OSI-Modells in puncto Sicherheit aussieht, werden Sie feststellen, dass keine Schicht Authentifizierung und/oder Autorisierung unterstützt. Sie können zwei Schlussfolgerungen daraus ziehen: Ein LAN ist auf den ISO/OSI-Schichten 1 bis 6 unsicher. Für Sicherheit muss demnach auf der Applikationsschicht (ISO/OSI-Schicht 7) gesorgt werden.
33.1.2 Datenintegrität Der vierte Punkt, die Datenintegrität, ist ebenfalls bisher nicht durch die bestehenden LAN-Protokolle abgedeckt. Woher wissen Sie, dass die E-Mail, die Sie von Ihrer Bank bekommen haben, auch wirklich mit dem geschriebenen Text des Bankmitarbeiters übereinstimmt? Ist es ausgeschlossen, dass die Daten auf dem Transportweg verändert wurden? Eine Methode, dies
sicherzustellen, finden Sie in Abschnitt 36.7, »E-Mails mit Thunderbird und OpenPGP verschlüsseln«. Tatsächlich könnten die Authentifizierung und Autorisierung auch auf anderen ISO/OSI-Schichten als auf der Applikationsschicht erfolgen. Beispielsweise finden bei entsprechender Konfiguration in der IP-Version 6 (IPv6) beide Funktionen auch auf ISO/OSISchicht 3 (IP) statt (siehe Abschnitt 14.7, »IP-Version 6«). In einem Netzwerk mit – zumindest zum Teil – IPv4 bleiben folgende Lösungen übrig: VPN-Verschlüsselung auf ISO/OSI-Schicht 2 oder 3 (siehe Kapitel 37, »Virtual Private Network«) IPv4 um IPsec (Internet Protocol Security) erweitern (siehe Abschnitt 37.3, »IPsec«) Sicherheit auf der Applikationsebene, z. B. SSHVerschlüsselung (siehe Abschnitt 32.2, »Secure Shell (SSH)«) Datenintegrität durch Signaturen und Verschlüsselungsalgorithmen sicherstellen (siehe Abschnitt 36.4, »Signaturen«)
33.1.3 Schadprogramme Schadprogramme wie Viren, Würmer, Ransomware, Spyware und Bots werden zu einem gewissen Teil von Virenscannern erkannt und unschädlich gemacht. Weitere Informationen dazu finden Sie in Abschnitt 33.4, »Sicherheitslösungen im Überblick«.
33.1.4 Sicherheitslücken
Der Quellcode heutiger Programme ist viele Hunderttausend Zeilen lang, entsprechend ist ein komplett fehlerfreies Programm nicht zu erwarten. Täglich werden z. B. auf https://nvd.nist.gov Sicherheitslöcher veröffentlicht. Dies ist nicht weiter schlimm, wenn es um selten benutzte Programme geht. Leider sind sehr oft Browser oder Webserver betroffen. Dabei handelt es sich genau um die Anwendungen, die viel im unsicheren Internet kommunizieren. Erkenntnis ist wie immer der erste Schritt zur Besserung, also brauchen Sie für ein betroffenes Produkt ein Update, oft auch Patch (dt. Flecken, Flicken) genannt. Üblicherweise kann Ihnen nur der Hersteller des Produkts einen solchen Patch liefern. Die Firma Microsoft hat in den letzten Jahren einiges für die Sicherheit ihrer Produkte getan. Zum Patchday, dem zweiten Dienstag eines jeden Monats, werden für Microsoft-Produkte Sammlungen von Patches veröffentlicht.
33.1.5 Exploit Wenn Sie sich die Beschreibung einer Sicherheitslücke durchlesen, werden Sie vermutlich denken: »Gut und schön, aber wer treibt so einen Aufwand, um eine derartige Sicherheitslücke auszunutzen?« Falsch! Es gibt im Internet Softwarebaukästen, mit denen man Programme zusammenbasteln kann, die speziell altbekannte Sicherheitslücken ausprobieren und – falls vorhanden – ausnutzen (engl. exploit). Exploits sind häufig sehr leicht zu bedienen. [+] Wenn Sie keines der bereits genannten Verfahren zur Verbesserung der Sicherheit (Verschlüsselung, Virenscanner, Benutzerauthentifizierung, Firewall) einsetzen, ist Ihr LAN nicht
sicher. Ob Ihr LAN sicher sein muss, das müssen Sie entscheiden. Oftmals reicht eine Firewall, um die »bösen Buben« nicht in das LAN zu lassen. Sie hilft aber nicht, wenn jemand von innen, z. B. über das WLAN, Zugriff auf Ihr Netzwerk hat.
33.1.6 Fallbeispiele In Abbildung 33.1 habe ich einen Auszug aus der Logdatei meiner Firewall dargestellt. Sie können erkennen, dass innerhalb der fünf Minuten, in denen die Internetverbindung bestand, neun Pakete verworfen wurden. In der Spalte Destination sehen Sie die IP-Adresse (80.132.197.51) und nach dem Doppelpunkt den Ziel-UDP-Port (siehe Kapitel 18, »User Datagram Protocol«), meist Port 137. Die TCP-/UDP-Ports 137 bis 139 übermitteln NetBIOS over TCP/IP. Mit anderen Worten: Über diese Ports werden z. B. die Datei- und Druckerfreigabe ermöglicht. Die beiden ICMP-Pakete, also die ping-Pakete, sollen feststellen, ob in einem Bereich von IP-Adressen ein PC erreichbar ist. Erst wenn der ping erfolgreich war, suchen die Hacker-Programme weiter. Laut der Firewall-Logdatei wurden alle Pakete verworfen (engl. dropped), so dass der Absender der soeben aufgezählten Pakete keine Rückmeldung erhalten hat. Dies bietet zwar keinen umfangreichen Schutz, doch die Mehrzahl aller Hacker gibt auf, wenn sie auf einen ping keine Antwort bekommt, und sucht sich ein leichteres Ziel. Nur dann, wenn Ihr LAN ein besonderes Interesse bei Hackern, Crackern und Industriespionen weckt, werden sich diese
Zeitgenossen nicht durch so einfache Mechanismen abhalten lassen, und Sie müssen auf jeden Fall intensiver vorsorgen.
Abbildung 33.1 Fünf Minuten Firewall-Log mit neun geblockten Paketen
Nicht jedes Datenpaket, das zu Ihrem PC gelangt, muss von einem Hacker sein. Potentiell ist aber jedes Paket von einem Hacker, der Ihnen Böses will.
33.1.7 Der Hackerparagraph In Deutschland gibt es mit dem § 202c StGB einen sogenannten Hackerparagraphen. Er stellt den Versuch unter Strafe, in andere Netzwerke einzudringen. Damit der Versuch strafbar ist, muss ein kritisches Programm (beispielsweise ein Sniffer) ohne Erlaubnis des Netzwerkbesitzers absichtlich gegen ein Netzwerk eingesetzt werden. So weit die Theorie; in der Praxis werden die meisten Angriffe gar nicht erst entdeckt. Es ist außerdem fraglich, ob die Angreifer
ermittelt werden können. Selbst falls das gelingen sollte, müssen Sie die Absicht, manipulativ in Ihr Netzwerk einzudringen, auch beweisen können. Ich jedenfalls verlasse mich nicht darauf, im Falle des Falles juristisch gegen Eindringlinge vorgehen zu können. Es scheint mir im Vergleich mit einer nachträglich ausgetragenen Auseinandersetzung vor Gericht doch deutlich einfacher, im Vorhinein ein LAN ausreichend zu sichern, so dass Aufwand und Nutzen aus der Sicht eines potentiellen Angreifers in keinem tragbaren Verhältnis zueinander stehen.
33.2 Angriffsarten: Übersicht Ich möchte in Tabelle 33.1 die gängigsten Angriffe auf ein Netzwerk oder einen PC in einer Übersicht darstellen. Name
Beschreibung
Beispiel
Brute-Force Attack
Passwörter durch Rechen-
leistung knacken.
Alle Varianten werden durchprobiert.
Anhand von Wortlisten werden die gängigsten Passwörter mit einem entsprechenden Programm (z. B. john unter Linux) durchprobiert.
Buffer Overruns
Programmierfehler ausnutzen, indem man in Eingabefelder falsche oder zu viele Daten eingibt
Eine zu lange Benutzereingabe enthält den Programmcode einer Shell. Dieser ersetzt den auf Eingabe wartenden Prozess.
Name
Beschreibung
Beispiel
Denial of
Netzwerkverbindungen Service (DoS) oder Server stören bzw. unterbrechen. Wenn möglich, den PC/das Netzwerk zum Absturz bringen
Der Webserver wird mit Anfragen bombardiert (siehe Kapitel 17, »Transmission Control Protocol«). Lücken in TCP/IP werden ausgenutzt, um den Speicher eines Systems mit Müll zu belegen.
Distributed DoS
Die Webseiten von unliebsamen Organisationen werden mit so vielen Anfragen bombardiert, dass sie für (sinnvolle)
Benutzung nicht mehr zur
Verfügung stehen.
PCs oder Netzwerke werden zum Ausfall gebracht, indem ein Sturm von Daten erzeugt wird. Der Datensturm geht von vielen anderen Servern im Internet gleichzeitig aus. Diese hat der Hacker unter seine
Kontrolle gebracht.
Name
Beschreibung
Beispiel
Man-in-theDie Daten werden Middle-Angriff zwischen dem Quell- und dem Ziel-PC abgefangen und modifiziert zum ZielPC geschickt.
In einer Onlinebanking-
Sitzung werden die Eingaben abgefangen und die Zielkontonummer, der Betrag oder
beides geändert.
Portscanning
Welche Dienste bietet
ein PC an?
mit nmap prüfen, ob ein Telnet auf einem PC läuft
Replay
Mitgeschnittene Daten werden wieder abgespielt.
SSH-Login mitschneiden, dann wieder abspielen und an einem Server per SSH angemeldet sein
Sniffing, Monitoring
Daten mitschneiden oder Passwörter im mithören Netzwerk abhören
Social Engineering
Menschen klassisch täuschen.
Hierzu gehört auch Phishing.
Telefonanruf eines angeblichen Administrators, der nach einem Benutzerpasswort fragt. Mit einem TechnikerOverall PCs abbauen und mitnehmen
Name
Beschreibung
Beispiel
Spoofing, Hijacking
Der Cracker schleicht sich unter Vortäuschung einer anderen Identität in eine Netzwerkverbindung ein.
Der Cracker verwendet die IP-Adresse eines wichtigen PC/Servers, damit die Benutzer dort ihr Passwort eingeben.
Tabelle 33.1 Angriffsszenarien im Überblick
Sie erkennen an der Vielzahl der Angriffsarten, dass es zahlreiche Möglichkeiten gibt, ein Netzwerk zu attackieren. Entsprechend schwer ist es, ein Netzwerk zu sichern – wenn es nicht sogar unmöglich ist.
33.3 ARP- und NDP-Missbrauch IPv4-Adressen werden mit Hilfe des Address Resolution Protocols (ARP), IPv6-Adressen mit Hilfe des Neighbor Discovery Protocols (NDP) in eine AC-Adresse aufgelöst (siehe Kapitel 15, »Address Resolution Protocol und Neighbor Discovery Protocol«). Entsprechend wird im LAN für die Adressierung des EthernetPaketes an einen PC immer zunächst per ARP oder NDP nach dessen MAC-Adresse gefragt. Falls kürzlich bereits mit dem Ziel-PC kommuniziert wurde, befindet sich diese bereits im ARP-Cache oder NDP-Cache und muss nicht neu ermittelt werden. Ein Sicherheitsproblem von ARP und NDP ist, dass jeder PC im LAN behaupten kann, der PC mit einer bestimmten IP-Adresse zu sein. Dadurch eröffnet sich die Möglichkeit von ARP-Spoofing und NDPSpoofing, mit der man trotz des Einsatzes von Switches Datenverkehr über den eigenen PC leiten kann.
Abbildung 33.2 Eine komplette HTTP-Anmeldung wurde mitgeschnitten.
[»] Im Programm Ettercap (https://www.ettercap-project.org) wählt der Angreifer über Sniff • Unified sniffing… die Netzwerkschnittstelle aus, auf der in den Datenverkehr eingegriffen werden soll. In der Übersicht Hosts • Scan for hosts generiert er die Host List. Der Angreifer (10.0.2.15, MAC 08:00:27:81:B1:DF) schleicht sich in die Kommunikation des PCs Target 1 (10.0.2.4, MAC 08:00:27:FA:5C:FF) ein. Durch Auswahl von Mitm • ARP poisoning mit aktivierter Option Sniff remote connections bombardiert er unaufgefordert den DSL-Router Target 1 (10.0.2.1) mit gefälschten ARPAntwortpaketen. Darin gibt er vor, dass die IP-Adresse 10.0.2.4 in seine MAC-Adresse aufzulösen sei (08:00:27:81:B1:DF). Entsprechend adressiert der Router ab sofort – der ARP-Cache ist ja gefüllt, und er muss dank des »Bombardements« kein ARP mehr für diesen PC durchführen – alle Ethernet-Pakete für den PC mit der IPAdresse 10.0.2.4 an die MAC-Adresse 08:00:27:81:B1:DF. Entsprechend leitet der Switch, der auf ISO/OSI-Layer 2 arbeitet (siehe Abschnitt 5.2, »ISO/OSI-Modell«), das Datenpaket an den Angreifer-PC weiter. Damit die Kommunikation nun nicht ins Stocken gerät, muss der Angreifer-PC alle Datenpakete, die eigentlich für den PC 10.0.2.4 gedacht sind, an diesen weiterleiten. Nichts einfacher als das: Er nimmt die Pakete, verpackt sie in ein neues Ethernet-Paket und adressiert es an die korrekte MAC-Adresse 08:00:27:FA:5C:FF. Die Sache ist aber noch nicht ganz perfekt, denn bisher gelangen nur die Datenpakete aus dem Internet auf den Angreifer-PC. Um die vollständige Kommunikation erschnüffeln zu können, müssen auch die Datenpakete vom Opfer-PC an den Router über den Angreifer-PC umgeleitet werden. Das geschieht analog zum ersten ARP-Spoofing, indem der PC des Nutzers unaufgefordert mit ARP-Antwortpaketen bombardiert wird. Ettercap selbst schneidet interessante Vorgänge
mit, bei Bedarf kann der Angreifer zusätzliche Werkzeuge starten (siehe Abschnitt 30.1, »Wireshark«). Damit Ettercap wie in diesem Beispiel beschrieben funktioniert, muss auf dem Angreifer-PC mit dem Kommando sysctl -w net.ipv4.ip_forward=1 Paketforwarding für IPv4 (siehe Kapitel 14, »Das Internetprotokoll«) erlaubt und zusätzlich die Zeilen für IPTables (siehe Abschnitt 34.2, »IPTables, Firewall für Linux«) in der Konfigurationsdatei /etc/ettercap/etter.conf auskommentiert worden sein. IPv6 kann diesem Missbrauch mit Hilfe des Secure Neighbor Discovery Protocols (SEND) einen Riegel vorschieben. Dazu wird die Authentizität der IPv6-Kommunikationspartner mit Zertifikaten einer zentralen Zertifizierungsstelle sichergestellt (siehe Abschnitt 36.10, »Verschlüsselte Kommunikation mit Servern«). Leider ist dieser Mechanismus noch nicht verbreitet implementiert.
33.4 Sicherheitslösungen im Überblick Sie haben nun einen Überblick darüber erhalten, welche Gefahren in Netzwerken lauern. Es gibt jedoch einige einfache Mittel, mit deren Hilfe Sie Angreifern hoffentlich unüberwindbare Hürden in den Weg stellen. Ich wiederhole mich, wenn ich sage, dass es keine absolute Sicherheit gibt. Und gerade dann, wenn ich glaube, dass alles sicher ist, werde ich leichtsinnig und öffne versehentlich eine kleine Hintertür. [»] Ich war immer vorsichtig, was mögliche Viren auf Datenträgern und in Fremdprogrammen anging. Über Jahre hinweg hatte ich keinerlei Befall, während Freunde regelmäßig über Viren und Datenverlust klagten. Eines Nachts klickte ich müde eine Warnmeldung meiner Firewall weg und hatte mir prompt einen Virus eingefangen. Es gibt zurzeit vier Säulen, auf denen die Sicherheit im Netzwerk basiert: Grundsicherheit (sichere Passwörter …) Virenscanner Firewalls Network Intrusion Detection System Alle diese Verfahren sind nur dann wirkungsvoll, wenn Sie in Ihrem Netzwerk bei allen Benutzern gewisse Sicherheitsstandards durchsetzen. Der am schwächsten gesicherte Zugang zu Ihrem Netzwerk entspricht dem Sicherheitsniveau des gesamten
Netzwerks, weil genau wie bei einer Kette das schwächste Glied maßgeblich ist. Selbstverständlich ist es unsinnig, ein hohes Maß an Sicherheit aufzubieten und dann als Benutzerpasswort eines Administrators »Passwort« zuzulassen. Man kann also sagen: Jede Sicherheitskette ist so stark wie ihr schwächstes Glied! [+] Auch wenn es keine absolute Sicherheit gibt, lohnt sich die Arbeit, die Sie in die Absicherung Ihres Netzwerks investieren. Denn: Warum sollte jemand viel Arbeit in Angriffe auf Ihr Netzwerk investieren, wenn es für weniger Mühe an anderer Stelle leichtere Beute gibt? Oftmals gilt also beim allgemein niedrigen Sicherheitsniveau im Internet, dass Sie nur besser sein müssen als die anderen. Sobald Sie besseren Schutz einsetzen, werden Angreifer vermutlich auch nicht massiv attackieren, weil es Tausende anderer gibt, die schwächere Schutzmechanismen nutzen. Wenn Sie ein besser gesichertes Netzwerk haben, ist es unwahrscheinlicher, dass Ihr Netzwerk erfolgreich angegriffen wird, auch wenn es nicht hundertprozentig perfekt gesichert ist.
33.4.1 Firewall Ich habe schon mehrfach den Begriff Firewall benutzt, ohne ihn genauer zu definieren. Viele verstehen eine Firewall als ein komplettes Sicherheitskonzept und nicht als ein einzelnes Programm. Dies ist auch sinnvoll, denn das Programm allein verschafft keine wirkliche Sicherheit. Im Folgenden spreche ich allerdings von der Firewall als einem Programm, das im einfachsten Fall auf der Basis von IP-Adressen und TCP-/UDP-Ports und anhand der Transportrichtung (Richtung Internet oder Richtung LAN) Datenpakete prüft und filtert.
Eine Firewall ist ein elektronischer Filter, der nicht jedes Paket, sondern nur bestimmte Pakete durchlässt, ähnlich wie der Türsteher am Samstag vor der Disco; ein Türsteher wendet jedoch andere Kriterien an als eine Firewall. [»] Ich beziehe mich noch einmal auf das Beispiel des vorherigen Abschnitts. Wenn Sie keine Dateien über das Internet durch Windows-Laufwerksfreigaben austauschen wollen, ergibt es keinen Sinn, Datenpakete aus dem Internet auf den TCP-Ports 137 bis 139 zu akzeptieren oder deren Versand in das Internet zuzulassen. Damit Sie das Versenden oder das Empfangen unerwünschter Pakete verhindern können, wurden Firewalls erfunden. Sie blockieren Pakete, die nach definierten Regeln nicht weitergeleitet werden dürfen. Diese Regeln – Firewall-Regeln – definieren Sie selbst. Die wichtigste Firewall-Regel ist: Alles blockieren! Diese wichtigste Regel greift immer dann, wenn es keine speziellere Firewall-Regel gibt. Sie blockieren jeglichen Datenverkehr und legen dann Ausnahmen von dieser Regel fest. Falsch wäre es, umgekehrt nur bestimmte Bereiche zu blockieren; es wird immer nur im Rahmen einer Ausnahme bestimmter Datenverkehr erlaubt. Ich kann mir vorstellen, dass Sie per HTTP auf das WWW zugreifen möchten, daher muss eine Regel lauten: Eine ausgehende Verbindung zu allen IP-Adressen mit TCP-Zielport 80 ist erlaubt. [!] Mit dieser Regel, die Ihnen einerseits den Webzugang ermöglicht, haben Sie andererseits das erste kleine Sicherheitsloch erzeugt. Wenn man es genau betrachtet, könnte ein Programm Daten Ihres PCs aus Ihrem LAN in das Internet senden, wenn es TCPZielport 80 benutzt. Diese Programme heißen in Anspielung auf den bekannten griechischen Mythos trojanische Pferde.[ 28 ] Die einzig logische Schlussfolgerung ist, dass möglichst wenige – genauer gesagt nicht mehr als unbedingt nötig – Firewall-
Ausnahmen existieren sollten. Je mehr Ausnahmen existieren, desto durchlässiger ist Ihre Firewall. Und je durchlässiger die Firewall insgesamt ist, desto eher findet ein Schadprogramm ein Schlupfloch. Firewalls gliedern sich in drei Kategorien: Paketfilter Stateful Inspection Application Level Packet-Filtering-Firewalls prüfen auf der IP-Ebene (ISO/OSISchicht 3). Die Firewall"=Regeln enthalten als Merkmale die IPAdresse(n), die TCP-/UDP-Port(s) und die Transportrichtung (in das LAN oder in das Internet). Diese Art der Firewall bietet Basissicherheit und lässt sich relativ leicht umgehen. Ihr großer Vorteil ist der recht geringe CPU-Aufwand, so dass hohe Durchsatzraten erzielt werden. Stateful-Inspection-Firewalls arbeiten auf der Ebene TCP-/UDP (ISO/OSI-Schicht 4). Sie berücksichtigen, ob eine wartende Verbindung für einen speziellen Port besteht, und passen die Firewall-Regeln für bestimmte Anwendungen (wie aktives/dynamisches FTP) dynamisch an, wenn innerhalb der Anwendungsdaten neue TCP-Ports ausgehandelt werden. Das erzielbare Sicherheitsniveau ist sehr hoch, die Konfiguration ist schwierig, die Datendurchsatzraten sind ebenfalls hoch. Application-Level-Firewalls filtern auf der Applikationsebene (ISO/OSI-Schicht 7) Daten. Damit wird es möglich, Benutzer zu authentifizieren oder zu autorisieren. Bei den beiden zuvor genannten Firewalls ist es lediglich möglich, auf Basis der IP-Adresse(n) Regeln aufzustellen. Die Funktionsweise einer Application-Level-Firewall ist dagegen der Proxy (dt. Stellvertreter), der stellvertretend für den Zielwebserver im Internet die Anfragen
vom Client annimmt, sie in das Internet weiterleitet, die Antworten vom Zielwebserver bekommt und diese seinerseits an den Client weiterleitet. Da die Tätigkeit der Firewall sehr aufwendig ist, ist der Datendurchsatz niedrig. Nicht selten sind Firewalls selbst anfällig für Angriffe, so dass es bereits gelang, die Firewall selbst zu kapern. Da Firewalls – insbesondere Personal Firewalls auf PCs – mit administrativen Rechten laufen, erlangt ein Angreifer direkt Administratorrechte.
33.4.2 Virenscanner Wenn Sie Sicherheit vor trojanischen Pferden haben möchten, müssen Sie einen Virenscanner einsetzen. Wenn Sie ein Programm aus dem Internet laden, z. B. die neueste Version von WinZip, woher wollen Sie dann wissen, dass die Programmquelle nicht mit einem Virus, einem trojanischen Pferd, verseucht ist, das genau das von mir beschriebene schädliche Verhalten aufweist und persönliche Daten von Ihnen über TCP-Zielport 80 ins Internet sendet? Sie können nur dann einigermaßen sicher sein, wenn Sie einen Virenscanner mit den aktuellsten Virendefinitionen einsetzen. Der Aktualisierungsrhythmus muss im Bereich weniger Stunden liegen, weil sich im Internet Viren bereits innerhalb von wenigen Stunden massiv verbreiten. Die Firma Avira bietet für den privaten Einsatz den kostenlosen Virenscanner AntiVir Personal an (https://www.avira.com). Alternativ gibt es noch als freien Virenscanner AVG Antivirus (http://free.avg.com). Ich bin allerdings der Meinung, dass es sich durchaus lohnt, die etwa 20 € für ein kommerzielles Produkt mit wesentlich mehr Leistung auszugeben.
Ein Virenscanner ist selbstverständlich nicht nur dann einzusetzen, wenn Sie ein LAN betreiben. Da er auch nicht zum Kernbereich des Netzwerks gehört, belasse ich es bei diesem Hinweis. Windows bringt einen aktivierten Virenscanner mit (siehe Abschnitt 26.8, »Windows Defender«).
33.4.3 Network Intrusion Detection System Sie betreiben ein LAN, es versorgt 50 PCs. Die Kollegen im LAN sind alle technisch sehr versiert. Der Chef wird aufgrund der schwierigen Finanzlage 20 Mitarbeitern die Kündigung aussprechen. Wie hoch ist das Risiko, dass einer der gekündigten Kollegen sich rächt, indem er einen Server lahmlegt oder Daten für die Konkurrenz stiehlt, um seine Chance auf einen neuen Job zu erhöhen? Man soll an das Gute im Menschen glauben; die Möglichkeit, dass einer der gekündigten Kollegen sich in dieser Weise betätigen will, besteht aber unabweisbar. Studien behaupten, dass die Mehrzahl aller Angriffe auf ein LAN aus dem LAN selbst kommt. Zum Vorteil des deutschen und österreichischen Fiskus sind viele Schweizer Banken Opfer ihrer eigenen Angestellten geworden. Diese kopierten Daten von Kunden und verkauften sie als Steuer-CDs an die Finanzverwaltungen anderer Länder. Angriffe aus dem LAN auf das eigene LAN werden nicht von einer Firewall erfasst, da die Daten ja nicht über die Firewall gesendet werden. Eine Firewall bietet für ein solches Szenario also keinen Schutz. Wenn Sie herausfinden möchten, welche Merkwürdigkeiten bzw. Auffälligkeiten intern in Ihrem Netzwerk auftreten, müssen Sie ein Network Intrusion Detection System (NIDS) einsetzen. Ein solches System sammelt Merkwürdigkeiten, wie ich es ausdrücken möchte.
[»] Eine Merkwürdigkeit wäre z. B. eine IP-Adresse, die während der normalen Geschäftszeiten anhand der MAC-Adresse einem Server zuzuordnen ist und von 22:00 bis 22:23 Uhr – ebenfalls anhand der MAC-Adresse nachweisbar – von einem anderen PC genutzt wird. Geht man von den in Westeuropa üblichen Arbeitszeiten aus, ist es ein sehr ungewöhnliches Verhalten für einen PC, um 22 Uhr seine IP-Adresse zu ändern und das auch nur für 23 Minuten. Wenn Sie kein NIDS einsetzen, wird Ihnen nichts auffallen, weil Sie um 22 Uhr nicht mehr im Büro sind. Und selbst wenn Sie es wären, wäre die Wahrscheinlichkeit gering, dass Sie es bemerkten. Damit bleiben solche Merkwürdigkeiten von den meisten Firmen mangels NIDS unerkannt. Ein NIDS erkennt bekannte Angriffsmuster, z. B. Portscans, und schlägt dann Alarm. Die Reaktion des Systems können Sie einstellen. Sie sollte davon abhängig sein, gegen welchen Rechner sich der Angriff gerichtet hat. Es gibt zahlreiche verschiedene NIDS. Einige installieren einen sogenannten Honey-Pot (dt. Honigtopf), auf den der Angreifer geleitet wird. Dort beobachtet man, welche Aktionen der Cracker eigentlich auf seinem Zielrechner vornehmen wollte, und erhält so Hinweise, um wen es sich bei dem Angreifer handeln könnte. Die Pflege und Überwachung eines NIDS ist aufwendig. Aus diesem Grund sind solche Systeme nur selten anzutreffen. Eine Alternative zum NIDS ist das Host Intrusion Detection System (HIDS), das einzelne PCs überwacht. Von diesem System werden beispielsweise Veränderungen an Systemdateien und ungewöhnliche Zugriffe auf das Netzwerk bemerkt und verhindert. Für Ihr WLAN können Sie ein eigenes Wireless Intrusion Detection System (WIDS) auf einem Raspberry Pi (siehe Kapitel 54, »Raspberry Pi«) aufsetzen. Die Software nzyme
(https://www.nzyme.org) überwacht den WLAN-Netzwerkverkehr und registriert Angriffe und verdächtige Aktivitäten.
33.4.4 Unsichere Passwörter Sichere Passwörter sind der Anfang von Sicherheit. Viele Anwender wählen Passwörter, die innerhalb eines Radius von einem Meter um ihren PC zu finden sind, oder notieren Passwörter auf Zetteln, die unter der Schreibtischablage liegen. Dabei ist es sehr menschlich, unsichere Passwörter zu wählen, weil es wirklich schwer ist, sich regelmäßig ein sicheres Passwort auszudenken. Viele Systeme setzen inzwischen Mindestanforderungen an Passwörter durch. Beispielsweise muss das Passwort oftmals Klein- und Großbuchstaben und Zahlen enthalten, manchmal zusätzlich Sonderzeichen. Üblicherweise kombinieren Anwender dann einfache Tricks: Aus »Passwort« wird »Passw0rd« oder »Passwort123«. Der Gewinn an Sicherheit ist minimal, weil diese simplen Tricks in entsprechenden Passwortlisten längst enthalten sind. Die einzige Lösung ist es, statt Passwörtern richtige Passphrasen zu verwenden. Gemeint ist damit ein ganzer Satz, denn damit werden üblicherweise wesentlich mehr Zeichen verwendet, und die Sicherheit steigt enorm. Wenn ein ganzer Satz zu lang ist, kann man ein sicheres Passwort sehr einfach wählen. Nehmen Sie einen Satz: »Petra? Isst gerne 68 saure Kirschen!« Jetzt verwenden Sie immer die ersten drei Buchstaben eines jeden Wortes und das Ausrufezeichen: »Pet?Issger68sauKir!« Jede Wette, dass ein solches Passwort in absehbarer Zeit nicht geknackt wird! Reicht das? Nein, Sie sollten mehr als ein Passwort besitzen. Wenn Sie dieses gute Passwort einsetzen, um neben Ihrem Onlinebanking auch noch E-
Mails bei einem Freemailer wie GMX, Yahoo! oder Gmail abzuholen, und es somit jedes Mal unverschlüsselt übertragen, dann sinkt natürlich die Sicherheit enorm. Die wirkliche Krux der Passwörter ist, dass wir alle inzwischen so viele Passwörter und PINs haben, dass sich niemand mehr alle merken kann. Abhilfe schafft ein Passwort-Safe. Dieser verwaltet Ihre Passwörter in einer verschlüsselten Datenbank, die sogar in der Cloud liegen kann (siehe Abschnitt 48.3.9, »Der Passwort-Safe KeePass«). Da dieses meiner Meinung nach die einzig praktikable Art ist, viele unterschiedliche und kryptische Passwörter zu verwalten, empfehle ich den Einsatz einer solchen Software ausdrücklich. Weitere Informationen zu sicheren Passwörtern finden Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik unter https://www.bsi-fuerbuerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node. html. [+] Im Internet werden Identitätsdaten erbeutet, um sie anschließend zu veräußern. Wird eine Datenbank mit gestohlenen Logindaten gefunden, so kann sie die Basis für einen Identity Leak Checker bilden, wie sie ihn z. B. auf der Seite https://sec.hpi.de/ilc/search finden. Sie geben Ihre E-Mail-Adresse ein und bekommen daraufhin eine Liste der ausspionierten Logins zugeschickt.
33.4.5 Multi-Faktor-Authentifizierung Für viele Vorgänge ist das Vertrauen in die Identität des Benutzers von entscheidender Bedeutung. Daher verlassen sich die Anbieter vieler Dienste nicht allein auf einen Authentisierungsmechanismus
wie z. B. ein Passwort, sondern setzen bei der Multi-FaktorAuthentifizierung (MFA) auf die Kombination mehrerer Komponenten. So müssen z. B. bei der Zwei-FaktorAuthentifizierung (2FA) zwei eigentlich voneinander unabhängige Formen der Authentifizierung erfüllt sein: Der Nutzer verfügt über spezielles Wissen, wie z. B. ein Passwort. Der Nutzer kann sich mit Hilfe eines individuellen Merkmals wie z. B. seines Fingerabdrucks authentifizieren. Der Nutzer ist im Besitz einer bestimmten Sache, z. B. seines Ausweises oder seines mobilen Endgerätes, auf das ihm eine Nachricht mit Authentisierungsinformationen gesendet wird. Um voneinander unabhängige Faktoren zu gewährleisten, müssen die Übertragungswege für jeden verwendeten Faktor unterschiedlich sein. [»] Microsoft bietet mit Personal Vault einen mit Zwei-FaktorAuthentifizierung besonders geschützten Bereich innerhalb eines Cloud-Speichers (siehe Abschnitt 48.3.2, »Microsoft OneDrive«) an. Ich empfehle Ihnen, den Zugriff auf Ihren Passwortsafe ebenfalls mit Hilfe einer Zwei-Faktor-Authentifizierung abzusichern (siehe Abschnitt 48.3.9, »Der Passwort-Safe KeePass«).
34 Programme zur Netzwerksicherheit Mit den theoretischen Grundlagen können Sie nun entscheiden, welche Programme für Ihr Netzwerk sinnvoll sind. Das Thema Datensicherheit rückt auch in der öffentlichen Diskussion immer mehr in den Vordergrund. Früher musste man eine Firewall nach einer Linux-Installation erst mühsam konfigurieren und eigens einschalten. Heute wird sie automatisch gestartet und ist in der Regel bereits sinnvoll vorkonfiguriert. Auch Windows-Betriebssysteme brachten ursprünglich keine Firewall mit. Heute gehören sie zum Standardumfang. Über den Sinn von Personal Firewalls, also auf PCs laufende Zusatzprogramme, die die Aufgabe einer Firewall wahrnehmen, wird in Fachkreisen immer wieder gestritten, weil dem Anwender ultimative Sicherheit suggeriert, tatsächlich aber nur ein deutlich geringeres Sicherheitsniveau erreicht wird. Der Anwender wähnt sich in Sicherheit und verhält sich weniger sicherheitsbewusst; er öffnet möglicherweise aus Neugier doch einmal einen unaufgefordert zugesandten Dateianhang eines unbekannten EMail-Absenders oder surft auf fragwürdigen Webseiten.
34.1 Firewalls für Windows Alle aktuelle Windows-Versionen enthalten Firewalls (siehe Kapitel 26, »Windows einrichten«). Die Alternative oder Ergänzung zu den Windows-Firewalls sind Programme von Drittanbietern. Wenn Sie bereits ein Security-Paket (Virenscanner, Firewall und Antispyware) verwenden, ist es uninteressant, eine weitere Firewall zu installieren. Sollten Sie lediglich einen Virenscanner verwenden, empfehle ich Ihnen, zusätzlich eine Firewall einzusetzen. Sie verhindert nicht nur den Zugriff auf Ihr System, sondern auch, dass Schadsoftware von dort aus weiteren Schaden anrichtet. Der Markt für Windows-Firewalls ist recht unübersichtlich; es gibt Hunderte von Produkten. Die Anzahl der kostenfreien Firewalls ist da schon geringer, ändert sich aber ständig. Es ist daher unmöglich, hier konkrete Empfehlungen für einzelne Produkte zu geben, da die Haltbarkeit der Informationen nur wenige Wochen beträgt. Anstelle konkreter Vorschläge möchte ich Ihnen ein paar Tipps an die Hand geben, wie Sie eine für Sie geeignete Firewall finden können. Firewall-Leistungen
Die Leistungen der einzelnen Firewalls sind recht unterschiedlich, auch wenn jeder Hersteller damit wirbt, ultimative Sicherheit zu bieten. Ein Beispiel für weniger gute Firewalls ist die Möglichkeit, die Firewall durch ein Schadprogramm einfach zu beenden oder zu deaktivieren. Merkt sich die Firewall nur den Programmnamen und den Pfad einer zugelassenen Datei, muss die Schadsoftware nur dieses Programm mit demselben Namen überschreiben und kann dann ins Internet kommunizieren. Abhilfe schafft nur, sich den
Hashwert eines Programms zu merken und zu vergleichen, allerdings geht dies zu Lasten der Geschwindigkeit. Wirkungslos wird so manche Firewall, weil sie permanent kryptische Fragen stellt: »Programm xzy.dll will auf das Internet zugreifen. Erlauben/Verweigern.« Kaum jemand vermag zu entscheiden, ob die Bibliothek xzy.dll auf das Internet zugreifen können soll. Die Folge ist, dass mit der Zunahme der Nachfragen auch die Anwendungen erlaubt werden … Das bringt keine Sicherheit! Eine Firewall, die also den Anwender permanent fragt, ist selbst eher fragwürdig. Kommerzielle Produkte bieten einen Modus, in dem anhand einer Liste bekannter Programme der Zugriff auf das Internet geregelt wird. Bei den heutigen Datendurchsatzraten des Internetzugangs ist eine Firewall zudem oft ein Flaschenhals und bremst auf ein deutlich geringeres Tempo herunter. Quellen im Web
Aufgrund der Popularität sogenannter Personal Firewalls wird in den Medien regelmäßig geprüft, welche Firewall die beste ist. Da jeder Tester eigene Schwerpunkte legt, kommen dabei naturgemäß unterschiedliche Ergebnisse heraus. Mit den Suchbegriffen »Windows Firewall Test« gelangen Sie zu entsprechenden Berichten. Dabei kann ich Forendiskussionen über Firewalls nur bedingt empfehlen, weil dort meist lediglich persönliche Erfahrungen wiedergegeben werden und nicht Erfahrungen, die auf strukturierten Tests verschiedener Firewalls basieren.
In der Vergangenheit haben u. a. die folgenden Seiten solche Tests veröffentlicht: TecChannel (https://www.tecchannel.de) PC-Welt (https://www.pcwelt.de)
34.2 IPTables, Firewall für Linux IPTables ist eine Schnittstelle zur Linux-Firewall, die in den LinuxKernel integriert ist. Über Befehle auf der Kommandoebene werden einzelne Firewall-Regeln gesetzt, geändert oder gelöscht. Mit IPTables werden Tabellen gepflegt, die im Wesentlichen Filterregeln und Adressumsetzungen enthalten. Es gibt mehrere Möglichkeiten, die IPTables-Firewall auch grafisch zu konfigurieren. Ein Beispiel ist die Firewall von SUSE, die in Abschnitt 27.11, »Firewalld«, beschrieben wird. Eine Anwendung von IPTables auf der Kommandozeile finden Sie in Abschnitt 55.2.5, »Firewall und NAT«.
34.3 Firewalls testen Wenn Sie eine Firewall eingerichtet haben, dann sollten Sie unbedingt testen, ob sie auch funktioniert. Firewalls werden üblicherweise durch simulierte Angriffe getestet. Es gibt die Möglichkeit, ein Unternehmen, das sich auf Sicherheitsüberprüfungen spezialisiert hat, mit der Überprüfung zu beauftragen. Da Experten auf dem Gebiet der Sicherheit hoch bezahlte Mitmenschen sind, wird ein solcher Test mit hohen Kosten verbunden sein. Diese Kosten sollten Sie als größeres Unternehmen nicht scheuen, denn es ist billiger, wenn die Sicherheitsfirma die Lücken aufdeckt, als wenn ein Cracker sie findet und Ihr Netzwerk zum Beweis seines Könnens stilllegt. Als kleines Unternehmen oder als Privatperson können Sie auf Tests zurückgreifen, die im Internet angeboten werden. Die offizielle IPAdresse, unter der Sie aus dem Internet heraus zu erreichen sind, steht in jedem Datenpaket, das aus Ihrem LAN an einen Server im Internet gesendet wird. Es ist daher kein Problem für Dienste im Internet, direkt diese IP-Adresse anzusprechen. Die Websites, die einen Firewall-Test anbieten, greifen die IP-Adresse mit Programmen wie z. B. nmap (siehe Abschnitt 29.5, »LinuxBordmittel«) an. Einige kostenlose Anbieter sind: https://www.auditmypc.com https://www.heise.de/security/dienste/portscan https://www.dnstools.ch/port-scanner.html Ich empfehle, alle Angebote auszuprobieren. Sie können dann sicher sein, dass viele Angriffspunkte getestet wurden. Außer dem
Zeitaufwand, der von der Intensität des jeweiligen Tests abhängt, müssen Sie nichts investieren. Die Ergebnisse der Tests werden üblicherweise direkt auf der Webseite angezeigt. [!] Führen Sie die Firewall-Tests nur dann aus, wenn Sie der Administrator der Firewall sind oder wenn Sie den Test mit dem zuständigen Administrator abgesprochen haben. Ansonsten wird er einen Hacker-Angriff vermuten und entsprechend reagieren.
35 WLAN und Sicherheit Wenige Neuerungen bei den Netzwerken haben so viele Sicherheitsfragen aufgeworfen wie WLAN. Da Funkwellen nur schwer auf eine Wohnung oder ein Haus zu begrenzen sind, gibt es viele potentielle Mitleser. Deshalb ist die WLANVerschlüsselung vielleicht das Wichtigste, was Sie bei der Einrichtung Ihres Routers beachten sollten. Zu Anfang des Jahrtausends verbrachten manche Menschen ihre Freizeit damit, durch größere Städte und Büro- oder Industriegebiete zu fahren und dort nach WLAN-Zugängen zu suchen. Diese Tätigkeit wurde als Wardriving bezeichnet. Im harmlosesten Fall wurden ungesicherte Zugänge einfach für den Internetzugang genutzt und die Zugangsdaten zusammen mit den GPS-Koordinaten fein säuberlich in eine Karte eingetragen. Landstreicher (engl. hobo) malten früher mit Kreide Zeichen an Hauswände, die Auskunft darüber gaben, wie nett die Bewohner zu ihnen waren. Dadurch wussten die anderen Landstreicher, ob es sich lohnte, dort z. B. nach Essen zu fragen. Wurden hingegen Zeichen gemalt, wo sich WLAN-Zugänge befinden, spricht man von Warchalking. Die Leute, die diese Zeichen anbringen, nennen sich Wibo. Der Administrator des WLANs bestimmt mit dem sogenannten Service Set Identifier (SSID) oder Extended Service Set Identifier (ESSID) den Namen. Nach diesem Namen eines WLANs können Sie suchen, denn der WLAN Access Point verschickt
regelmäßig ein Beacon (dt. Signalfeuer). Ein Beacon-Paket enthält unter anderem die SSID, MAC-Adresse, maximale Datentransferrate und Zeitinformationen. Es ist immer unverschlüsselt und verrät dadurch einen Access Point. Es gibt einige Programme, die Ihnen bei der Suche nach WLANs helfen. Unter Windows ist das Programm inSSIDer (siehe Abschnitt 30.2.2, »WifiInfoView«) sehr nützlich. Sicherlich kommt Ihnen an dieser Stelle die Frage in den Sinn, ob das, was durch diese Hacker gemacht wird, denn nicht rechtswidrig ist. Wird Ihr WLAN lediglich geortet, ist kein Gesetzesverstoß zu erkennen. Das Knacken des WEP- oder WPA-Keys ist inzwischen durch § 202c StGB strafbar. Sollte in Ihr Netzwerk eingedrungen worden sein, ist es nicht einfach, den Urheber festzustellen. Es müsste schon ein großer Zufall sein, wenn Sie den Eindringling dabei erwischen. Bei einem WLAN mit Verschlüsselung kann zwar immer noch jeder die verschlüsselten Daten abhören, jedoch nicht mehr ohne weiteres auswerten.
35.1 WEP Wired Equivalent Privacy (WEP) war der erste Sicherheitsmechanismus im WLAN. Das Verschlüsselungsverfahren ist optionaler Bestandteil des veralteten WLAN-Standards IEEE 802.11b. Mit WEP64 und WEP128 gibt es zwei Stufen von WEP. [!] Unabhängig von der WEP-Stufe ist das Verfahren unsicher, und Sie sollten es nicht mehr einsetzen.
Bei WEP64 wird der Inhalt der Nachrichtenpakete mit einem 40-BitRC4-Algorithmus verschlüsselt. Der Administrator richtet maximal vier Passphrasen ein, die er auch bei jedem WLAN-Client hinterlegt und mit deren Hilfe die Verschlüsselung durchgeführt wird. Die 104Bit-Variante WEP128 ist nicht viel sicherer als die 40-Bit-Variante. Weil diese Schlüssel einmal definiert werden, relativ kurz sind und der eingesetzte RC4-Verschlüsselungsalgorithmus als sogenannter Stromchiffrierungsalgorithmus nicht besonders sicher ist, ist WEP knackbar. Man kann WEP entweder durch aktives Hacken oder durch passives Mitschneiden von Daten knacken. Das Kernproblem ist, dass aus dem Schlüssel ein sogenannter Initialisierungsvektor (IV) generiert wird. Weil es sich um statische Schlüssel handelt, wiederholt sich der IV spätestens nach 224 Paketen. Durch statistische Verfahren ist ein WEP-Key oft sogar in nur wenigen Minuten entschlüsselt.
35.2 WPA Nach der massenweisen Verbreitung von WLAN und dem schnellen Bekanntwerden der vielen Sicherheitsprobleme der WEPVerschlüsselung war die Wi-Fi Alliance zum Handeln gezwungen. Es war nicht möglich, auf die Sicherheitslösung IEEE 802.11i zu warten. Außerdem sollte eine Lösung gefunden werden, die nach einem Firmwareupdate auch auf den bereits verkauften WLANKomponenten lauffähig war. Diese Zwischenlösung heißt Wi-Fi Protected Access (WPA). WPA wurde von der Organisation Wi-Fi Alliance entwickelt und sollte die massiven Sicherheitsprobleme mit WEP bis zum hochsicheren Standard IEEE 802.11i überbrücken. WPA ist weit weniger leicht zu knacken, wenn Passwörter verwendet werden, die nicht auf Wörterbucheinträgen basieren und mehr als 20 Zeichen haben. Daher basiert die Verschlüsselung weiterhin auf dem Algorithmus RC4, wurde aber um die Authentifizierungsprotokolle Extensible Authentication Protocol (EAP) und Temporal Key Integrity Protocol (TKIP) erweitert. Diese beiden Verfahren umgehen die größten Schwächen von WEP: den konstanten Schlüssel und die fehlerhafte Integritätssicherung. Damit machen sie WPA sicherer als WEP. EAP prüft die Authentizität des WLAN-Headers. Dadurch ist es nicht länger möglich, einfach aufgezeichnete Pakete erneut zu senden (engl. replay attack). Sollte die Passphrase lediglich wenige Zeichen lang sein und nicht die mögliche Länge von 63 Zeichen ausschöpfen, ist auch WPA leicht zu knacken (siehe Abschnitt 35.8, »WLAN-Sicherheit analysieren«). Mittels Message Integrity Check (MIC) wird sichergestellt, dass die Daten nicht verfälscht wurden.
WPA ist heute bei allen Access Points integriert, die höhere Datenraten von 54 Mbit/s und mehr bieten. WPA gibt es in zwei Ausprägungen. Die Variante WPA-PSK wendet sich mehr an Privatleute und kleine Unternehmen. Sie arbeitet mit Pre-Shared Keys (PSK; dt. zuvor ausgetauschte Schlüssel). In großen Installationen ist es wichtig, nicht allen Mitarbeitern einen Schlüssel mitzuteilen, den diese dann auch noch eingeben müssen. Der Schlüssel ist dann natürlich nicht mehr geheim. Es lässt sich im Nachhinein auch nicht mehr herausfinden, wer diesen Schlüssel verraten hat. Es sollte zudem möglich sein, sich als Benutzer z. B. über die Windows-Domäne und das dort vergebene Passwort auch am WLAN anzumelden. Die Verwaltung und Bereitstellung der Passwörter übernimmt ein RADIUS-Server in Zusammenarbeit mit EAP und IEEE 802.1x. Bei WPA kommen TKIP oder AES zum Einsatz. Bei einem Leistungsvergleich komme ich zu dem interessanten Ergebnis, dass AES generell schneller ist als TKIP. Zudem beschränkt TKIP die Leistung des WLANs insgesamt auf maximal 54 Mbit/s.
35.3 WPA2 Inzwischen ist das dem Standard IEEE 802.11i entsprechende WPA2 weitverbreitet. Dieser Sicherheitsstandard unterstützt neben dem Verschlüsselungsverfahren TKIP (RC4) auch AES, genauer gesagt AESCCMP oder kurz CCMP mit 128 Bits. Die Wi-Fi Alliance unterscheidet zwischen WPA2 Personal und WPA2 Enterprise. Die Personal-Version arbeitet mit einem Pre-Shared Key, die Enterprise-Version unterstützt gemäß IEEE 802.11i RADIUS zur Authentifizierung der WLAN-Clients. Auch bei WPA2 können wie schon bei WPA schwache Passwörter offline angegriffen werden (siehe Abschnitt 35.8, »WLAN-Sicherheit analysieren«), wenn vorher die passende Anmeldung eines Clients am WLAN aufgezeichnet wurde.
35.4 WPA3 Der Standard WPA3 aus dem Jahr 2018 entschärft das Problem möglicher Offlineangriffe auf schwache Passwörter nun ganz erheblich. Mit Perfect Forward Secrecy (PFS) wird das Verfahren für den Austausch des Sitzungsschlüssels (siehe Abschnitt 36.3, »Hybride Verschlüsselung«) dahingehend verändert, dass aufgezeichnete Pakete nicht nachträglich entschlüsselt werden können.
35.5 Access List Viele Access Points bieten die Möglichkeit, sogenannte Access Lists (ACLs) zu führen. Dabei handelt es sich um Listen, in der die zulässigen MAC-Adressen aufgeführt werden. Andere als die dort notierten Adressen werden ausgesperrt. Die MAC-Adressen der meisten WLAN-Karten sind veränderbar, so dass eine mitgelesene MAC-Adresse auch mit einer anderen Karte benutzt werden kann; auf diese Weise können Angreifer Zutritt erhalten. Alle üblichen Programme, die geeignet sind, ein WLAN zu hacken, bieten die Möglichkeit, die MAC-Adresse beliebig zu fälschen. Dieser Mechanismus ist daher meiner Meinung den Aufwand nicht wert, denn einen Hacker können Sie mit diesem Mittel ganz sicher nicht aufhalten.
35.6 Wi-Fi Protected Setup Die korrekte und sichere Konfiguration von WLAN ist kein einfaches Unterfangen. Ein einfacher WPA-Schlüssel ist in Sekunden geknackt, und komplexere Schlüssel werden von den Anwendern nicht freiwillig eingerichtet. Mit Wi-Fi Protected Setup (WPS) schuf die WiFi Alliance einen Standard, den inzwischen viele WLANKomponenten beherrschen. Damit können Geräte selbständig alle notwendigen Parameter für die Verschlüsselung austauschen. Es gibt mehrere übliche Methoden, wie WPS ablaufen kann. Dabei müssen Access Point und WLAN-Client beide dieselben Methoden unterstützen: PIN: Eine PIN steht auf dem Access Point oder wird in einem Display angezeigt. Diese PIN müssen Sie bei der Einrichtung des WLAN-Clients eintragen. Dieses Verfahren muss von allen zertifizierten Lösungen unterstützt werden. PBC: Ein Knopf muss gedrückt werden (auch ein virtueller in einer Software). Anschließend wird unverschlüsselt die Konfiguration ausgetauscht und nach wenigen Sekunden wieder in die sichere Konfiguration zurückgeschaltet. NFC: Das Gerät muss in die absolute Nähe, weniger als 10 Zentimeter, des Access Points gebracht werden. Dort erfolgt die Aushandlung. USB: Die Konfiguration wird auf einem USB-Stick abgespeichert und kann eingelesen werden.
[!] WPS gaukelt Ihnen vor, ein einfaches Setup mit ausreichender Sicherheit herstellen zu können. Das ist definitiv nicht der Fall!
WPS ist in vielen Routermodellen angreifbar.[ 29 ] Einbrechern liefert WPS das WLAN-Passwort in wenigen Stunden auf dem Silbertablett. Dabei gibt es anfälligere und weniger anfälligere Systeme.[ 30 ] Das Verfahren ist denkbar einfach.[ 31 ] Auch Windows unterstützt WPS, dort heißt es Windows Connect Now (WCN). WLANGeräte werden dabei über UPnP im Netzwerk erkannt. Das funktioniert nicht, wenn Sie meinem Rat gefolgt sind und am Router UPnP deaktiviert haben, damit nicht x-beliebige Programme Firewall-Regeln anpassen können.
35.7 WLAN-Konfiguration per QRCode Die Sicherheit Ihres WLANs steht und fällt mit der Länge Ihres WLAN-Schlüssels. Die Passphrase sollte außerdem möglichst kryptisch sein. Im Internet finden Sie viele Passwort-Generatoren, bei denen Sie die Länge und Zusammensetzung eines dynamisch generierten Wortes aus zufällig zusammengewürfelten Zeichen selbst bestimmen können, das sich anschließend als WLANPassphrase verwenden lässt. Die Weitergabe eines solchen Passwortes gestaltet sich natürlich umso schwieriger, je länger eine solch unleserlich generierte Zeichenkette ist und je mehr Sonderzeichen sie enthält. Selbst wenn ein fehlerfreies Diktieren möglich wäre, besitzt nicht jedes WLANGerät eine Tastatur, mit der die Sonderzeichen effektiv eingegeben werden können. Soll dem Wochenendbesuch vielleicht spontan Zugriff auf Ihr WLAN ermöglicht werden, um Fotos und Videos aus dem letzten Urlaub auf Ihren Fernseher zu streamen? Möchten Sie der lieben Verwandtschaft beim Weihnachtsbesuch das Surfen im Internet mit den mitgebrachten Tablets und Smartphones über Ihr WLAN vereinfachen? [»] Es bietet sich daher an, die benötigten Daten für den WLANZugriff so zu verteilen, dass sie maschinell eingelesen werden können. Dazu erstellen Sie für Ihr WLAN einen Quick-Response(QR-)Code, der die Art der Verschlüsselung, die SSID und die Passphrase enthält (siehe Abbildung 35.1).
Abbildung 35.1 Mit diesem QR-Code können Sie Ihre Apps testen.
[+] Natürlich können Sie nicht nur WLAN-Passwörter in QR-Codes speichern und teilen. Für viele andere Inhalte bieten Apps wie der QR Droid für Android (siehe Abbildung 35.2) ebenfalls eine komfortable Verwaltung an.
Abbildung 35.2 Der QR Droid kann Codes erzeugen und lesen.
Falls Ihr Router nicht – wie z. B. die FRITZ!Box – einen von ihm generierten QR-Code in der Administrationsoberfläche zum Ausdrucken bereitstellt, finden Sie auf der Seite https://qrcode.tecit.com/de/wifi einen QR-Code-Generator. Sie tragen die Daten zu Ihrem eigenen WLAN ein und erhalten eine Bilddatei, die Sie ausdrucken und Ihren Gästen bei Bedarf vorlegen. Je nach mobilem Endgerät und verwendetem Programm werden die Informationen unterschiedlich verarbeitet. Einige Programme verarbeiten die im QR-Code enthaltenen Informationen direkt in einem neuen WLAN-Profil. Andere Programme stellen nur den Schlüssel dar und erlauben es Ihnen, diesen über die Zwischenablage des Gerätes in ein neues WLAN-Profil zu kopieren. Einige Betriebssysteme bieten keine Schnittstelle, die es Programmen ermöglichen würde, einen Schlüssel automatisch in
ein WLAN-Profil zu übernehmen. Die Gründe für den umständlicheren, erzwungen manuellen Weg liegen in der höheren Sicherheit, denn so kann keine Schadsoftware unbemerkt Zugriff auf Ihren WLAN-Schlüssel erlangen.
35.8 WLAN-Sicherheit analysieren Die Sicherheit von Wireless LANs ist ein ständiges Thema in den Fachmedien. Wenn Sie ein WLAN betreiben, ist es für Sie interessant und wichtig, Ihr eigenes WLAN in puncto Sicherheit zu prüfen. Ich möchte Ihnen in diesem Abschnitt einige Programme vorstellen, die zur Sicherheitsanalyse von WLANs eingesetzt werden können. Viele davon funktionieren ausschließlich unter Linux. [!] An dieser Stelle möchte ich erneut auf den Hackerparagraphen in Deutschland hinweisen: § 202c StGB stellt das Mitschneiden von Netzwerkverkehr unter Strafe (siehe Abschnitt 33.1.7, »Der Hackerparagraph«). Dies gilt nicht, wenn man das eigene WLAN prüft. Das WLAN des Nachbarn aber ist tabu! Die spezielle Linux-Distribution Kali (https://www.kali.org) eignet sich für die Überprüfung eines WLANs. Sie unterstützt eine Vielzahl von WLAN-Karten. Bei der Software Aircrack-ng (https://www.aircrack-ng.org) geht es um das Knacken von WEP- oder WPA-Keys. Aircrack-ng besteht aus mehreren Programmen, die jeweils eine eigene Funktion haben. Es ist nicht möglich, parallel zum eigentlichen Schnüffeln (engl. sniff) der WLAN-Daten diese direkt zu dekodieren, dies erfolgt vielmehr in mehreren Schritten: airmon-ng: Setzt die WLAN-Karte in den Monitormodus, damit
überhaupt Pakete aufgezeichnet werden.
airodump-ng: Zeichnet WLAN-Pakete auf, damit Aircrack-ng sie
analysieren kann.
aircrack-ng: Knackt auf der Basis entsprechender Mitschnitte den
Schlüssel.
aireplay-ng: Sendet modifizierte WLAN-Pakete. airdecap-ng: Entschlüsselt Mitschnitte, die mit WEP oder WPA
verschlüsselt sind.
Damit Sie die Analyse Ihres WLANs beginnen können, müssen Sie unter Linux einen WLAN-Anschluss haben. Das Kommando ip addr show listet alle Netzwerkinterfaces auf. WLANKarten verbergen sich üblicherweise hinter wlan0. Im nächsten Schritt versetzen Sie Ihre WLAN-Karte mit dem Programm airmon-ng in den Monitormodus: airmon-ng start wlan0 Weiter geht es zur Aufzeichnung mit dem Programm airodump-ng: airodump-ng --w wlan0 --bssid
Abbildung 35.3 »airodump-ng« zeichnet WLAN-Traffic auf.
Aus rechtlicher Sicht ist es wichtig, dass Sie die Daten auf die MACAdresse Ihres Access Points beschränken. Sie verhindern damit, versehentlich Daten eines anderen WLANs mitzuschneiden. Melden Sie nun einen WLAN-Client in Ihrem Netzwerk an; Sie können bei airodump-ng sehen, dass es eine Station gibt. Warten Sie die WLAN-Anmeldung (siehe Abbildung 35.3) ab, und drücken Sie anschließend (Strg) + (C) .
Gesetzt den Fall, Sie haben als Dateiname dump gewählt, so werden mehrere Dateien nach dem Muster dump.cap angelegt. Diese Dateien sind die Ausgangsbasis für den nächsten Schritt. Sie benötigen nun noch eine Passwortliste. Der Einfachheit legen Sie sich diese einfach selbst an: echo > wordlist.txt Wenn Sie Ihr WPA-Passwort hier eintragen, können Sie nicht herausfinden, ob es in Passwortlisten im Internet enthalten ist, doch wenn nicht, ergäbe sich die Frage: Wie lange bleibt es noch unerkannt? Wenn also unter Kenntnis Ihres Passworts mit nur einer einzigen Anmeldung Ihr WLAN zu hacken wäre, ist eine grundsätzliche Schwäche gegeben. Der Aufruf von aircrack-ng lautet nun wie folgt: aircrack-ng -w wordlist.txt dump*.cap
Abbildung 35.4 »aircrack-ng« zeigt den WPA2-Key: Master Key Aircrack-ng
Nach der Auswahl Ihres WLANs dauert es voraussichtlich nur wenige Sekunden, und schon sehen Sie Ihren WLAN-Key (siehe Abbildung 35.4). [+] Vielleicht fragen Sie sich nun, ob Sie einen Angriff auf Ihr WLAN schutzlos über sich ergehen lassen müssen oder ob Sie ihn vielleicht bemerken und gegebenenfalls entsprechend reagieren können.
Ein Wireless Intrusion Detection System (WIDS) setzt Sie über mögliche Angriffe in Kenntnis (siehe Abschnitt 33.4.3, »Network Intrusion Detection System«).
36 Verschlüsselung Sie haben es beim Thema Sicherheit im WLAN bemerkt: An Verschlüsselungstechniken führt kein Weg vorbei. Aber wie genau funktioniert eigentlich eine verschlüsselte Verbindung? Ein Datenpaket durchläuft auf seinem Weg vom Sender zum Empfänger zumeist mehrere Stationen und durchwandert mehrere Übertragungsmedien. Das gilt für Ihr lokales Netzwerk (z. B. Router, Ethernet, WLAN), erst recht aber für das Internet. Stellen Sie sich bitte einmal die Route einer E-Mail von Ihrem PC über die beteiligten Mailprovider vor, bis sie schließlich auf dem PC des Empfängers angekommen ist! Auf diesem Weg wird diese E-Mail gewöhnlich im Klartext übertragen. Sie kann gelesen und im schlimmsten Fall sogar verändert werden, bevor sie ihr Ziel erreicht. Die Werkzeuge, die dazu nötig sind, wurden sogar von Netzwerkadministratoren für die tägliche Arbeit entwickelt (siehe Kapitel 30, »Zusatzprogramme«). Dabei ist eine Überwachung nicht unbedingt automatisch eine rechtswidrige Handlung. Zum einen sind die gesetzlichen Grundlagen nicht immer auf dem aktuellen Stand der Technik. Zum anderen ist es manchmal eine offizielle Regierungsorganisation, die Interesse am Inhalt des Datenstroms im Internet hegt. Beispielsweise müssen E-Mail-Provider die Verbindungsdaten aller E-Mails einige Monate verwahren und auf Verlangen der Behörden mit richterlicher Genehmigung Einsicht gewähren. So verwundern
mich die anfänglichen Bestrebungen der US-Regierung nicht, die Verschlüsselung zu reglementieren und einzuschränken. Wie der Begriff Verschlüsselung nahelegt, benötigt man für diesen Vorgang einen oder sogar mehrere Schlüssel.
36.1 Symmetrische Verschlüsselung Beim symmetrischen Verschlüsselungsverfahren sind beide Kommunikationspartner im Besitz des gleichen Schlüssels. Dieser Schlüssel kann sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet werden. Da der Schlüssel im Vorhinein an beide Partner verteilt werden muss, spricht man auch von einem Pre-Shared Key (PSK). Dieser Schlüssel muss unter allen Umständen geheim gehalten werden. Ablauf der symmetrischen Verschlüsselung A verschlüsselt mit dem Schlüssel PSK. B entschlüsselt mit dem Schlüssel PSK.
36.2 Asymmetrische Verschlüsselung Beim asymmetrischen Verfahren wird für jeden Teilnehmer ein Schlüsselpaar generiert. Der öffentliche Schlüssel wird mit geeigneten Mitteln verbreitet, der private verbleibt beim Eigentümer. Mit dem öffentlichen Schlüssel können die Daten nun verschlüsselt, nicht aber entschlüsselt werden. Die Entschlüsselung ist nur mit dem privaten Schlüssel möglich. Manchmal findet man statt der Bezeichnung symmetrische bzw. asymmetrische Verschlüsselung auch die Begriffe Secret-Key-Verschlüsselung und Public-Key-Verschlüsselung. Ablauf der asymmetrischen Verschlüsselung A verschlüsselt mit öffentlichem Schlüssel von B. B entschlüsselt mit seinem privaten Schlüssel.
[»] Ein bekanntes Beispiel für eine symmetrische Verschlüsselung ist Data Encryption Standard (DES), ein Beispiel für asymmetrische Verschlüsselung ist RSA (benannt nach den drei Mathematikern Rivest, Shamir und Adleman). RSA erfreut sich großer Beliebtheit und findet z. B. bei X.509, IPsec, Secure Shell (SSH) oder Pretty Good Privacy (PGP) Anwendung. Ich möchte Sie mit Abschnitt 36.6, »GNU Privacy Guard (GnuPG)«, gerne schrittweise an die Anwendung eines beliebigen asymmetrischen Verschlüsselungsverfahrens anhand eines Beispiels heranführen.
36.3 Hybride Verschlüsselung Die Vorteile der asymmetrischen Verschlüsselung gehen stark zu Lasten der Geschwindigkeit, da längere Schlüssel benötigt werden und die Verschlüsselung aufwendiger ist. Deshalb wird heute bei den meisten Anwendungen ein hybrides Verfahren aus symmetrischer und asymmetrischer Verschlüsselung verwendet. Die asymmetrische Verschlüsselung wird dabei nur verwendet, um einen gemeinsamen Sitzungsschlüssel (session key) auszutauschen. Dieser für alle Kommunikationspartner gleiche Schlüssel wird danach regelmäßig erneuert. Ablauf der hybriden Verschlüsselung A generiert einen Sitzungsschlüssel. A verschlüsselt den Sitzungsschlüssel mit dem öffentlichen Schlüssel von B. B entschlüsselt den Sitzungsschlüssel mit seinem privaten Schlüssel. A und B kommunizieren über den Sitzungsschlüssel.
[»] Ein Beispiel für eine hybride Verschlüsselung ist Transport Layer Security (TLS), der Nachfolger von Secure Sockets Layer (SSL). TLS bringt die erstaunliche Möglichkeit mit, andere Protokolle in dieses Protokoll zu implementieren. So wird z. B. aus HTTP mit Hilfe von SSL/TLS Hypertext Transfer Protocol Secure (HTTPS).
36.4 Signaturen Der private Schlüssel kann außerdem für eine andere Aufgabe als zum Entschlüsseln verwendet werden: für eine Signatur, also eine digitale Unterschrift. Die eigentliche Botschaft wird dabei nicht verschlüsselt. Aber es wird zusätzlich eine mit dem privaten Schlüssel erstellte Prüfsumme angehängt. Dieser verschlüsselte Anhang kann dann mit dem öffentlichen Schlüssel des Signierenden entschlüsselt werden. Damit kann sichergestellt werden, dass die Botschaft nicht verfälscht wurde. Es wird deutlich, wie wichtig die Authentizität des öffentlichen Schlüssels ist. Ablauf der Verschlüsselung mit Signatur A signiert mit seinem privaten Schlüssel. B überprüft die Signatur mit öffentlichem Schlüssel von A.
36.5 (Un-)Sicherheitsfaktoren der Verschlüsselung Theoretisch ist mit genügend Zeit jeder Schlüssel knackbar. Ein Angreifer könnte schlicht alle möglichen Schlüssel ausprobieren. Das Ganze nennt man Brute-Force Attack (dt. Angriff mit roher Gewalt). Dabei stehen dem Angreifer diverse Hilfsmittel zur Verfügung: Er kann sich z. B. aus Wörterbüchern bedienen (Dictionary Attack). [!] Diese Angriffsarten müssen Sie insbesondere bei Pre-Shared Keys berücksichtigen. Wenn Sie z. B. einen Schlüssel für Ihr WLAN festlegen, verwenden Sie bitte keine Begriffe aus dem Wörterbuch, sondern im Idealfall zufällig generierte Zeichenketten, und keine kleinen Schlüssellängen. Ein Schlüssel mit mindestens 40 Zeichen Länge gilt momentan als relativ sicher gegenüber Brute-Force-Angriffen.
36.6 GNU Privacy Guard (GnuPG) GnuPG (https://www.gnupg.org) ist kompatibel mit Pretty Good Privacy (PGP). Beide orientieren sich am Standard OpenPGP. GnuPG wurde von Werner Koch entwickelt. Die Version 1.0 wurde im Jahr 1999 fertiggestellt. Zurzeit ist die Version 2.2 aktuell. [!] Seit GnuPG Version 2 ist ein laufender gpg-agent Voraussetzung für die Arbeit mit GnuPG. In der Regel wird dieser Dienst automatisch gestartet, sobald er benötigt wird. Manchmal funktioniert das nicht zuverlässig, und der gpg-agent muss mit diesem Kommando von Hand gestartet werden: eval `gpg-agent --daemon` Achten Sie aber darauf, dass jeder
Benutzer nur einen gpg-agent startet!
Ich möchte Ihnen die Funktionsweise von GnuPG zunächst an einem Beispiel veranschaulichen. [»] Klaus und Marie kochen leidenschaftlich gerne. Seit einiger Zeit versucht die Oma von Klaus verzweifelt, herauszubekommen, wie Marie ihren berühmten Borschtsch zubereitet. Marie möchte das Rezept jedoch gerne vor der Oma von Klaus geheim halten. Klaus hingegen soll ausnahmsweise eine Kopie des Rezepts erhalten. Da sie vermutet, dass die Oma geeignete Abhörmechanismen im LAN von Klaus installiert hat, möchte sie ihr Rezept verschlüsselt an Klaus verschicken.
36.6.1 Schlüsselgenerierung
Dazu erstellt der Empfänger Klaus mit GnuPG zunächst ein Schlüsselpaar: klaus@siegfried:∼> gpg --full-gen-key
gpg (GnuPG) 2.2.12;
Copyright (C) 2018 Free Software Foundation, Inc.
This is free software:
you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(1) RSA und RSA (voreingestellt)
(2) DSA und Elgamal
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
Ihre Auswahl?
Klaus wählt das voreingestellte RSA und RSA. Der sogenannte RSA"= (Haupt-)Schlüssel kann so für Signierungen verwendet werden, der RSA"=(Unter-)Schlüssel (engl. subkey) zur eigentlichen Verschlüsselung von Daten. Der Vorteil eines Unterschlüssels im Vergleich zu einem Hauptschlüssel wird insbesondere dann deutlich, wenn Sie z. B. einen privaten Schlüssel für Zwecke der Entschlüsselung Ihrer E-Mails auf mobilen Endgeräten importieren. Wird der Unterschlüssel dort kompromittiert oder geht das Gerät verloren, können Sie den einzelnen Unterschlüssel mit Hilfe des Hauptschlüssels gezielt widerrufen. Dem zeitlich unbegrenzt gültigen Hauptschlüssel können Sie später jederzeit weitere Unterschlüssel mit in der Regel begrenzter Gültigkeit hinzufügen. Jeder Unterschlüssel kann bis zu drei Funktionen haben: Die Signaturnutzbarkeit (S) dient der digitalen Beglaubigung. Die Verschlüsselungsnutzbarkeit (V) dient der Verschlüsselung von Inhalten. Ein Schlüssel, der die Funktion einer Authentisierungsnutzbarkeit (A) enthält, kann z. B. als
Schlüsselpaar für OpenSSH (siehe Abschnitt 32.2, »Secure Shell (SSH)«) dienen. Danach wird Klaus aufgefordert, die Länge seines Schlüssels zu bestimmen. Je länger der Schlüssel, desto höher die später benötigte Rechenleistung. Je kürzer der Schlüssel, desto leichter ist er zu knacken. RSA-Schlüssel können zwischen 1.024 und 4.096 Bits lang sein.
Welche Schlüssellänge wünschen Sie? (3072)
[!] Sie sollten die Schlüssellänge mit Bedacht wählen, da sie für einen existierenden Schlüssel nicht im Nachhinein verändert werden kann! Jetzt ist noch zu bestimmen, wie lange der Schlüssel gültig sein soll. Dabei verhindert die Limitierung der Gültigkeit eines Schlüssels, dass in Zukunft – z. B. mit Hilfe der Rechenleistung von Quantencomputern – potentiell unsichere Schlüssel unbegrenzt weiterverwendet werden könnten. Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
= Schlüssel verfällt nach n Tagen
w = Schlüssel verfällt nach n Wochen
m = Schlüssel verfällt nach n Monaten
y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0)
Jetzt muss Klaus noch persönliche Informationen preisgeben. Diese sollen es anderen ermöglichen, ihn eindeutig zu identifizieren. Unter anderem gibt Klaus seine E-MailAdresse [email protected] ein. Zum Abschluss wird Klaus gebeten, eine Passphrase (dt. Kennwortsatz) einzugeben (siehe Abbildung 36.1). Da die Passphrase unter dem Sicherheitsaspekt als kritisch betrachtet werden muss, sollte es an dieser Stelle weder an Kreativität noch an
Sorgfalt mangeln. Es sollte ein möglichst langer und sinnfreier Satz mit vielen Sonderzeichen sein. Er sollte nicht in Büchern oder Lexika vorkommen oder in irgendeiner Form zu erraten sein.
Abbildung 36.1 Jeder private Schlüssel sollte gut gesichert werden.
Die Passphrase hält Klaus genauso unter Verschluss wie seinen privaten Schlüssel. Dieser befindet sich im Ordner ∼/.gnupg, von dem er eine Kopie auf einem USB-Stick anlegt und sicher aufbewahrt.
36.6.2 Export Klaus muss seinen öffentlichen Schlüssel nun an Marie weitergeben. Dazu kann er ihn zunächst in ein lesbares Format bringen: klaus@siegfried:∼$ gpg --armor --output pubkey.gpg
--export [email protected]
Den Inhalt der so erzeugten Datei pubkey.gpg kann sich Klaus mit dem Kommando cat pubkey.gpg ansehen und ihn Marie zukommen lassen.
[+] Entsprechend können Sie mit Hilfe der Option --export-secretkeys einen privaten Schlüssel exportieren. Einen Unterschlüssel exportieren Sie folgerichtig mit der Option --export-secretsubkeys.
36.6.3 Import Marie hat eine E-Mail erhalten, in der sie den öffentlichen Schlüssel von Klaus vermutet. Sie kann den Schlüssel nun zu ihrem Schlüsselbund hinzufügen: marie@suse:∼> gpg --import pubkey.gpg
36.6.4 Überprüfung Klaus hat seinen öffentlichen Schlüssel an Marie versendet. Im besten Fall hat er den Schlüssel auf einem Datenträger persönlich übergeben. Aber wie kann Marie sich sicher sein, dass der Schlüssel unterwegs in der E-Mail nicht verfälscht wurde, wenn er als E-MailAnhang verschickt wurde? In diesem Fall können Sie auf den Fingerprint (dt. Fingerabdruck) des Schlüssels vertrauen. Den 16 Bytes langen Fingerprint des öffentlichen Schlüssels von Klaus können sich sowohl Klaus als auch Marie anzeigen lassen: marie@suse:∼> gpg --fingerprint [email protected]
pub rsa3072 2021-01-10 [SC]
26B2 2922 6F85 6711 BB3C B384 7B41 176B FA63 1089
uid [vollständig] Klaus Loddenkötter
sub rsa3072 2021-01-10 [E]
Telefonisch vergleichen Klaus und Marie nun den Fingerprint. Damit haben die beiden sichergestellt, dass die Oma den Schlüssel auf dem Datenweg nicht heimlich ausgetauscht hat.
36.6.5 Signierung Wenn Marie den importierten Schlüssel anwenden möchte, wird sie in der Regel gefragt werden, ob sie dem öffentlichen Schlüssel von Klaus wirklich vertrauen möchte. Da Marie Klaus persönlich kennt und sie den Fingerprint seines öffentlichen Schlüssels genau überprüft hat, möchte sie den Schlüssel nun für sich und auch andere beglaubigen. Dafür benötigt Marie einen eigenen privaten Schlüssel, den sie mit den gleichen Kommandos erzeugt, wie es zuvor Klaus getan hat. Mit der Signierung beglaubigt Marie, dass der Schlüssel wirklich zu Klaus gehört. Sie gelangt über das Kommando gpg --edit-key [email protected] in den Schlüsseleditor. Mit dem Befehl sign signiert sie den öffentlichen Schlüssel von Klaus: gpg> sign
pub rsa3072/7B41176BFA631089
erzeugt: 2021-01-10 verfällt: niemals Nutzung: SC
Vertrauen: unbekannt Gültigkeit: unbekannt
Haupt-Fingerabdruck = 26B2 2922 6F85 6711 BB3C
B384 7B41 176B FA63 1089
Klaus Loddenkötter
Sind Sie wirklich sicher, dass Sie vorstehenden Schlüssel
mit Ihrem Schlüssel "Marie Mayer "
(B4A15AA3E408296E) beglaubigen wollen?
Wirklich signieren? (j/N)
Den signierten öffentlichen Schlüssel von Klaus kann Marie nun zusammen mit ihrem eigenen öffentlichen Schlüssel wieder an Klaus zurückgeben. Dieser importiert seinen von Marie signierten öffentlichen Schlüssel dann in seinen Schlüsselbund. Für jeden, der in Zukunft in den Besitz des öffentlichen Schlüssels von Klaus kommt, ist auf Anhieb ersichtlich, dass Marie für die Echtheit des Schlüssels von Klaus garantiert. Den Status der Signatur können Besitzer des signierten Schlüssels jederzeit prüfen:
marie@suse:∼> gpg --check-signatures [email protected]
pub rsa3072 2021-01-10 [SC]
26B229226F856711BB3CB3847B41176BFA631089
uid [vollständig] Klaus Loddenkötter
sig!3 7B41176BFA631089 2021-01-10 Klaus Loddenkötter
sig! B4A15AA3E408296E 2021-01-10 Marie Mayer
sub rsa3072 2021-01-10 [E]
sig! 7B41176BFA631089 2021-01-10 Klaus Loddenkötter
36.6.6 Verschlüsselung Marie ist nun in der Lage, ihr Kochrezept BorschtschRezept.docx mit dem öffentlichen Schlüssel von Klaus zu verschlüsseln. Da sie mehrere Schlüssel an ihrem Schlüsselbund haben könnte, bestimmt sie genau den Empfänger und damit den öffentlichen Schlüssel, der zur Verschlüsselung dienen soll: marie@suse:∼> gpg --encrypt --recipient [email protected]
--output BorschtschRezept.gpg BorschtschRezept.docx
Die auf diese Weise erzeugte verschlüsselte Datei BorschtschRezept.gpg verschickt Marie nun an Klaus.
36.6.7 Entschlüsselung Klaus kann das Kochrezept leicht wieder in lesbare Form bringen. Er ist im Besitz des privaten Schlüssels zur Entschlüsselung der Datei. Zusätzlich benötigt er die Passphrase, die er bei der Erzeugung seines Schlüsselpaares eingegeben hat: klaus@siegfried:∼> gpg BorschtschRezept.gpg Ich habe Ihnen gezeigt, wie Marie ihre Daten sicher an Klaus versenden kann. Im richtigen Leben würde Marie ihren öffentlichen Schlüssel nun wahrscheinlich ebenfalls an Klaus
übergeben, um eine verschlüsselte Kommunikation in beide Richtungen zu ermöglichen.
36.6.8 Vertrauen Marie hat sich persönlich von der Echtheit des Schlüssels von Klaus überzeugt. Doch ein Bekannter von Klaus möchte nun ebenfalls eine Kopie des Kochrezepts haben. Marie sieht, dass sein öffentlicher Schlüssel von Klaus unterschrieben ist. Sie hat nun zwei Möglichkeiten: entweder Klaus zu vertrauen oder nicht. Dabei spielt es eine Rolle, inwieweit Marie Klaus dahingehend vertraut, dass auch er einen fremden Schlüssel erst nach eingehender Prüfung signiert. Marie kann Klaus in eine der fünf Vertrauensstufen einsortieren: 1 = Unbekannt: Sie können oder wollen nicht sagen, ob Sie dem Schlüsseleigentümer vertrauen. 2 = Kein Vertrauen: Der Schlüsseleigentümer signiert nicht so, wie Sie es tun und von anderen erwarten. 3 = Teilweises Vertrauen: Der Eigentümer überprüft Schlüssel immer, bevor er sie unterschreibt. 4 = Volles Vertrauen: Der Eigentümer genießt in Bezug auf den richtigen Umgang mit Schlüsseln Ihr volles Vertrauen. 5 = Ultimatives Vertrauen: Dieses Vertrauen genießt z. B. der eigene Schlüssel. Mit dem Befehl trust legen Sie die Stufe des Vertrauens fest: gpg> trust
pub rsa3072/7B41176BFA631089
erzeugt: 2021-01-10 verfällt: niemals Nutzung: SC
Vertrauen: unbekannt Gültigkeit: vollständig
sub rsa3072/346FA94BA3BA6F07
erzeugt: 2021-01-10 verfällt: niemals Nutzung: E
[vollständig] (1). Klaus Loddenkötter
Bitte entscheiden Sie, inwieweit Sie diesem User zutrauen, Schlüssel anderer
User korrekt zu prüfen (durch Vergleich mit Lichtbildausweisen, Vergleich der
Fingerabdrücke aus unterschiedlichen Quellen …)?
1 = Weiß nicht so recht
2 = Nein, ihm traue ich NICHT
3 = Ich vertraue ihm marginal
4 = Ich vertraue ihm vollständig
5 = Ich vertraue ihm absolut
m = Zurück zum Menü
Ihre Auswahl?
Die Informationen über Ihr Vertrauen in den Eigentümer eines Schlüssels werden in der Datei trustdb.gpg gespeichert. Marie kann nun festlegen, inwieweit ein von ihr selbst nicht unterschriebener Schlüssel trotzdem als gültig anerkannt werden soll, indem sie Bedingungen vorgibt, unter denen sie bereit ist, einen solchen Schlüssel zu akzeptieren. Marie verändert z. B. mit den Optionen --marginals-needed und --completes-needed die Anzahl der aus ihrer Perspektive teilweise vertrauenswürdigen oder voll vertrauenswürdigen Schlüsselsignaturen des fremden Schlüssels, die dazu nötig sind. Das so entstehende Netz von Vertrauensbeziehungen nennt man Web of Trust (dt. Vertrauensnetz). Es würde an dieser Stelle zu weit führen, Ihnen die genaue Funktionsweise des Web of Trust zu erläutern. Bei Interesse empfehle ich Ihnen die Lektüre der Manpages und die Suche im Internet.
36.6.9 Keyserver
Klaus und Marie haben verschiedene Möglichkeiten, ihre öffentlichen Schlüssel bekannt zu machen. Ein sehr populärer Weg ist das Hochladen des Schlüssels auf einen Keyserver (dt. Schlüsseldienst). Marie bestimmt bei Bedarf einen individuellen Server in der Datei gpg.conf und kopiert ihren öffentlichen Schlüssel dorthin: gpg --send-keys Die Schlüssel-ID des gewünschten Unterschlüssels erfährt Marie aus der Ausgabe des Kommandos gpg --list-keys. [!] Leider kann jeder beliebig viele öffentliche Schlüssel – mit frei definierbaren E-Mail-Adressen verknüpft – generieren und auf Keyserver hochladen. Außerdem kann das Verzeichnis der E-MailAdressen als sehr leicht zugängliche Quelle von möglichen Empfängern für Spam-E-Mails dienen. Um die Authentizität des Schlüsselinhabers besser verifizieren zu können, müssen die E-Mail-Adressen von Schlüsseln, die auf den von GnuPGP bevorzugt verwendeten Server keys.openpgp.org hochgeladen werden, überprüft werden (siehe Abbildung 36.2). Dazu können Sie die Ausgabe des folgenden Kommandos direkt in die Adresszeile Ihres Browsers kopieren: gpg --export | curl -T - https://keys.openpgp.org
Abbildung 36.2 Der Schlüssel wird erst nach einer Verifizierung veröffentlicht.
Keyserver dienen also der Veröffentlichung und Verbreitung von Schlüsseln. Dies gilt auch, wenn nachträglich Veränderungen an einem Schlüssel vorgenommen wurden. Marie könnte den von ihr unterschriebenen Schlüssel von Klaus auch direkt auf einen Keyserver kopieren. Störer könnten über den Umweg der Signierung allerdings riesige Datenmengen an einen Schlüssel anhängen und ihn so praktisch unbenutzbar machen. Als – leider notwendige und angemessene – Reaktion darauf löscht der Server keys.openpgp.org beim Hochladen eines Schlüssels alle hinzugefügten Signaturen und schafft das Web of Trust damit faktisch ab. Nach der Verifizierung kann Maries öffentlicher Schlüssel weltweit sehr einfach mit dem Kommando gpg --recv-keys heruntergeladen werden.
36.6.10 Keysigning-Partys Keysigning-Partys sind eine nette Möglichkeit, Schlüssel gegenseitig zu prüfen und zu signieren. Auf der Seite https://rhonda.deb.at/projects/gpg-party/gpg-party.de.html im Internet erfahren Sie mehr zu diesem Thema.
36.6.11 KGpg In der KDE-Umgebung gibt es ein grafisches Programm, das Ihnen die Arbeit mit GnuPG vereinfachen kann. KGpg dient als grafisches Frontend für GnuPG (siehe Abbildung 36.3). Wenn Sie also die Funktionsweise von GnuPG verstanden haben, dann wird Ihnen die Arbeit mit KGpg sehr leicht fallen.
Abbildung 36.3 Grafische Schlüsselverwaltung mit KGpg
Wenn Sie mehr über GnuPG lesen möchten, empfehle ich Ihnen die Anleitung auf der Internetseite https://www.gnupg.org/gph/de/manual. Der vorliegende Abschnitt ist noch lange keine abschließende Beschreibung der Möglichkeiten von GnuPG. Es geht mir nur darum, Ihnen die Funktionsweise zu veranschaulichen. GnuPG hat noch viele andere praktische Anwendungsmöglichkeiten. Eine davon möchte ich Ihnen im folgenden Abschnitt zeigen.
36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln Aufgrund der vielen verschiedenen E-Mail-Programme und der Dokumentation im Internet ergibt es keinen Sinn, an dieser Stelle verschiedene GnuPG-Implementierungen zu beschreiben. Ich werde mich daher auf den Einsatz im Thunderbird (siehe Abschnitt 43.18.1, »Mozilla Thunderbird«) beschränken. Auch jedes andere gute E-Mail-Programm unterstützt Verschlüsselung; meistens muss dafür aber nachträglich Software installiert werden. Das E-Mail-Programm Thunderbird hat mit der Version 78.2.0 die Software GnuPGP integriert. Vor dieser Version musste außerdem die Thunderbird-Erweiterung Enigmail installiert werden.
Abbildung 36.4 Die Schlüsselverwaltung von Thunderbird
Im Menü können Sie unter Extras sämtliche OpenPGP-Schlüssel verwalten (siehe Abbildung 36.4). Dort können Sie die entsprechenden Dateien nun importieren, wenn Sie bereits in Besitz eines privaten oder öffentlichen Schlüsselbunds sind. Wenn Sie noch keinen privaten Schlüssel besitzen, bauen Sie mit einem Klick auf Erzeugen • Neues Schlüsselpaar ein neues Paar. Die von Ihnen verlangten Angaben können Sie in Abschnitt 36.6.1, »Schlüsselgenerierung«, nachlesen. Fast alles, was Sie auf der
Kommandozeile machen können, können Sie nun auch komfortabel mit der Schlüsselverwaltung erledigen. Bereits bestehende Schlüsselbunde können Sie über Datei • Importieren weiterverwenden. Das trifft natürlich auch auf aus OpenPGP exportierte Unterschlüssel zu. Unter Extras • Konten-Einstellungen • Ende-zu-Ende-Verschlüsselung können Sie für jedes E-Mail-Konto den Schlüssel für Ihre persönliche Signatur bestimmen und festlegen, ob Sie Nachrichten standardmäßig signieren und ob Sie Nachrichten mit dem öffentlichen Schlüssel eines Empfängers gegebenenfalls verschlüsseln möchten. Falls Sie sich gegen die standardmäßige Verschlüsselung entscheiden, können Sie trotzdem neue E-Mails mit einem Klick auf Sicherheit verschlüsseln lassen (siehe Abbildung 36.5). Ein geschlossenes Ringschloss im Fenster zeigt Ihnen an, dass Thunderbird die E-Mail vor dem Absenden verschlüsseln wird. Erschrecken Sie nicht, wenn Sie nach dem Klick auf Senden Ihre Passphrase eingeben sollen! Dies dient lediglich dazu, eine eventuell gewünschte Signatur der Nachricht zu authentifizieren.
Abbildung 36.5 Eine verschlüsselte Nachricht wird erzeugt.
[+] Genau so, wie Sie andere Schlüssel signieren, können Sie auch eine Nachricht mit Ihrem privaten Schlüssel unterschreiben. Der Empfänger kann die Nachricht mit seinem privaten Schlüssel nach Eingabe seiner Passphrase wieder entschlüsseln. Er kann die EMail mit Thunderbird wie eine nicht verschlüsselte Nachricht bearbeiten (siehe Abbildung 36.6).
Abbildung 36.6 Die Nachricht ist angekommen.
36.7.1 S/MIME, PGP/MIME und PGP/INLINE Es gibt zwei wesentliche und konkurrierende Verfahren bei der Verschlüsselung von E-Mails. Diese Verfahren werden als Multipurpose Internet Mail Extensions (MIME) definiert. Die Verfahren Secure Multipurpose Internet Mail Extensions (S/MIME) und Pretty Good Privacy Multipurpose Internet Mail Extensions (PGP/MIME) sind sich ähnlich, aber nicht miteinander kompatibel.
Mit S/MIME initiieren Sie den Schlüsselaustausch in der Regel lediglich durch eine signierte E-Mail, an die S/MIME automatisch Ihren öffentlichen Schlüssel anhängt. Keyserver sind – ganz im Gegensatz zu Verfahren auf Basis von PGP – bei S/MIME nicht gebräuchlich. Eine E-Mail, die nach PGP/INLINE kodiert ist, speichert den verschlüsselten Text samt eventueller Anhänge einzeln im Textkörper der E-Mail. Der Vorteil ist, dass PGP/INLINE auch von einem Mailprogramm weiterverarbeitet werden kann, das – wie z. B. Webmailer – PGP/MIME vielleicht nicht nativ unterstützt. Da die Namen der Anhänge unverschlüsselt übertragen werden, lässt dieses Verfahren eventuell Rückschlüsse auf den Inhalt zu. PGP/MIME räumt als Weiterentwicklung von PGP/INLINE mit dessen Nachteilen auf. Es ist daher bevorzugt zu verwenden. [»] Nur wenige Apps für mobile Endgeräte unterstützen eines der gängigen Verschlüsselungsverfahren. Die App MailDroid für Android (siehe Abbildung 36.7) ist diesbezüglich eine Ausnahme. Für die App K-9 bietet OpenKeychain eine passende Implementation von OpenPGP.
Abbildung 36.7 Die Art der Verschlüsselung ist konfigurierbar.
36.7.2 Autocrypt und p≡p Es ist relativ komplex für den Endanwender, den jeweils vom Empfänger erwarteten Verschlüsselungsstandard zu ermitteln und daraus die richtigen Schritte abzuleiten. Das Projekt Pretty Easy Privacy (p≡p) ermittelt im Hintergrund, welches Verfahren jeweils zur Verschlüsselung verwendet werden kann. Der Prozess von der Schlüsselgenerierung über den Schlüsselaustausch bis zur fertigen Verschlüsselung ist dabei weitestgehend automatisiert. Die automatische Generierung von Schlüsselpaaren ohne Passphrase und die für den Anwender relativ intransparente Schlüsselverwaltung ist meiner Meinung nach nur ein Mehrwert nach dem Motto »Wahrscheinlich nur besser als gar nichts«.
Auch Autocrypt https://autocrypt.org setzt auf eine Vereinfachung des OpenPGP-Vertrauensmanagements. Die Verteilung der öffentlichen Schlüssel erfolgt dezentral im Header (dt. Kopfzeilen) einer jeden verschickten E-Mail. Der Schlüsselaustausch zweier Kommunikationspartner geschieht weder verschlüsselt noch signiert, wodurch Autocrypt – übrigens genauso wie p≡p – keinen wirksamen Schutz gegen einen Man-in-the-Middle-Angriff (siehe Abschnitt 33.2, »Angriffsarten: Übersicht«) bietet. Das relativ einfache Verfahren der Ende-zu-Ende-Verschlüsselung von Autocrypt erinnert an Verfahren, die ähnlich auch von Messengern wie z. B. WhatsApp eingesetzt werden.
36.8 Volksverschlüsselung Die Volksverschlüsselung ist eine Initiative des Fraunhofer-Institutes für Sichere Informationstechnologie (SIT) und der Deutschen Telekom zur Verwaltung von Zertifikaten für die Verschlüsselung von E-Mails. Besitzen Sie einen Anschluss der Deutschen Telekom, können Sie Ihre Identität mit Hilfe Ihrer Login-Daten für das Telekom"=Serviceportal bestätigen. Alternativ können Sie Ihre Identität mit einem elektronischen Personalausweis bestätigen. Ein weiterer Mehrwert besteht darin, dass die Software Ihr E-MailProgramm – falls es eines der unterstützten ist – automatisch richtig konfiguriert (siehe Abbildung 36.8).
Abbildung 36.8 Die Volksverschlüsselungssoftware unterstützt bei der Konfiguration.
Aktuell unterstützt die Software das Verschlüsselungsverfahren S/MIME; PGP/MIME soll erst später hinzukommen.
36.9 GPGTools für macOS Das Projekt »GPGTools« bietet eine fast vollständige Integration von GnuPG in macOS. Die GPGTools enthalten eine Erweiterung für die Systemeinstellungen, ein Dienstprogramm für die Verwaltung der privaten und öffentlichen Schlüssel, Erweiterungen für das Menü Dienste und für das Programm Mail. Mit dieser Erweiterung können Sie direkt in Mail Nachrichten nebst Anhängen ver- und entschlüsseln. Von der Website des Projekts (https://www.gpgtools.org) können Sie ein Installationspaket herunterladen und wie gewohnt (siehe Abbildung 36.9) installieren. Nach der Installation starten Sie das Dienstprogramm GPG Schlüsselbund (siehe Abbildung 36.11) und rufen über die Schaltfläche Neu den Assistenten für die Erstellung eines neuen Schlüsselpaares auf. Im Dienstprogramm können Sie über die entsprechend bezeichneten Schaltflächen Schlüssel exportieren und importieren.
Abbildung 36.9 Die GPGTools werden mit einem Installationspaket eingerichtet.
Sofern Sie es während der Installation bei den Standardeinstellungen belassen haben, finden Sie in den Systemeinstellungen eine Ansicht GPG Suite. Hier können Sie unter Einstellungen Ihren Standardschlüssel auswählen. Sie können hier ferner den Schlüsselserver festlegen, auf dem nach öffentlichen Schlüsseln gesucht wird.
Abbildung 36.10 Mit dem Programm »GPG Schlüsselbund« verwalten Sie Schlüssel.
Außerdem ist es möglich, die Kennwörter der GPG-Schlüssel im Programm Schlüsselbund von macOS zu speichern (In macOS Schlüsselbund speichern). Somit müssen Sie die Passwörter zum Verund Entschlüsseln nicht mehr von Hand eingeben, weil sie dem Schlüsselbund des Betriebssystems entnommen werden.
Abbildung 36.11 Die Erweiterung der GPGTools muss aktiviert werden.
Zur Verschlüsselung von E-Mails bringen die GPGTools eine Erweiterung des Programms Mail mit. Diese muss beim ersten Start von Mail nach der Installation der GPGTools zunächst aktiviert werden. Anschließend verrichtet sie ihren Dienst diskret im Hintergrund. Wenn Sie eine neue E-Mail erstellen und als Empfänger eine E-MailAdresse angeben, deren öffentlicher Schlüssel sich in Ihrem Schlüsselbund befindet, dann erscheinen rechts zwei kleine Icons. Mit dem Häkchen können Sie die E-Mail signieren; das Icon mit Schloss zeigt die Verschlüsselung an. Oben rechts können Sie über die grüne Schaltfläche noch umschalten zwischen der Verschlüsselung mittels OpenPGP, womit die GPGTools gemeint sind, und der Verschlüsselung mittels S/MIME, sofern Sie diese konfiguriert haben.
Abbildung 36.12 Die Erweiterung für das Programm Mail fügt zwei Schaltflächen hinzu.
Erhalten Sie eine verschlüsselte Nachricht und befindet sich der zur Entschlüsselung benötigte Schlüssel in Ihrem GPG-Schlüsselbund, dann wird die Nachricht automatisch im Hintergrund entschlüsselt. Die Erweiterung ergänzt ferner die Voreinstellungen des Programms Mail. Sie finden dort nun auch die Ansicht GPGMail. Dort können Sie festlegen, ob die Verschlüsselung und Signierung für neue E-Mails aktiviert werden soll. Ferner können Sie die Verschlüsselung von Entwürfen und die automatische Suche nach Updates für die Erweiterung aktivieren. [+] Beachten Sie bei der Arbeit mit den GPGTools und insbesondere bei der Erweiterung für Mail, dass das Projekt sehr engagiert vorangetrieben wird und die Entwickler sehr oft Aktualisierungen und Updates zur Verfügung stellen. Auf der anderen Seite dauert es nach einem Update des Betriebssystems manchmal ein paar Tage, bis die Erweiterung für Mail auf den neuesten Stand gebracht wurde.
36.10 Verschlüsselte Kommunikation mit Servern Ähnlich der verschlüsselten Kommunikation von Klaus und Marie funktioniert auch die Verschlüsselung von Webservern und anderen Servern im Internet. Es gibt drei unterschiedliche Typen von Serverzertifikaten: Das Domain-Validated (DV) Zertifikat wird in der Regel herausgegeben, nachdem der Antragsteller glaubhaft gemacht bzw. versichert hat, Inhaber der zu zertifizierenden Domain zu sein. Beim Organization-Validated (OV) Zertifikat erfolgt eine rudimentäre Überprüfung der Identität des Antragstellers, z. B. wird die Vorlage eines amtlichen Dokumentes verlangt. Ein Extended-Validated (EV) Zertifikat setzt eine genaue Prüfung der Authentizität und Legitimität des Antragstellers voraus. Wenn Sie z. B. eine Verbindung zu Ihrem Onlinebanking-Server aufmachen, dann prüft Ihr Browser das Zertifikat des öffentlichen Schlüssels Ihrer Bank. Dabei werden Sie von Ihrem Browser – in der Regel durch eine Kennzeichnung der Adressleiste in grüner Farbe – darauf aufmerksam gemacht, dass dieser Schlüssel von einer vertrauenswürdigen Instanz mit einem EV-Zertifikat beglaubigt wurde. Ein Mausklick auf das Schloss in der Adresszeile verrät die Details des Zertifikats (siehe Abbildung 36.13). Diese Serverzertifikate werden von vielen Organisationen im Internet angeboten. Eine der bekanntesten ist VeriSign (https://www.verisign.com). Diese sogenannten Zertifizierungsstellen
werden im Englischen als Certificate Authority (CA) bezeichnet. Das Kapital dieser Firmen beruht auf dem Geheimhalten ihrer RootZertifikate, mit denen sie durch die Signatur bestätigen, dass es sich bei dem Schlüssel eines Internetdienstes tatsächlich um den versprochenen Anbieter handelt.
Abbildung 36.13 Edge informiert über den Herausgeber des Zertifikats.
Diese Zertifikate sind in der Regel recht teuer und müssen regelmäßig erneuert werden. Für Privatpersonen ist dieser Weg daher uninteressant. Eine freie, aber fast genauso sichere Alternative ist CAcert (https://www.cacert.org). Hier entscheidet nicht ein einzelnes Unternehmen über Ihre Glaubwürdigkeit. Vielmehr benötigen Sie mehrere Personen, die höchstselbst Ihre Identität bestätigen. Je mehr Personen für Sie bürgen, desto mehr steigt auch das Ansehen Ihrer Schlüssel! [+] Sie finden bei CAcert auch Anleitungen, wie Sie mit Ihrem Browser automatisch Serverzertifikaten von CAcert vertrauen können. Der relativ komplexe Vorgang zur Beantragung eines Zertifikats steht dem allgemeinen Ziel im Wege, die verschlüsselte
Kommunikation im Internet zum Standard zu machen. Der von der gemeinnützigen Internet Security Research Group (ISRG) finanziell unterstützte Dienst Let's Encrypt (https://letsencrypt.org) will u. a. über eine Kooperation mit Webhostern (siehe Abschnitt 48.2.1, »Infrastructure as a Service«) die grundsätzliche Verschlüsselung von Inhalten vorantreiben. [»] Ein Beispiel für die Anwendung eines Serverzertifikats mit Let's Encrypt finden Sie in Abschnitt 50.9.2, »Reverse Proxy«.
37 Virtual Private Network Sie möchten sicherheitskritische Daten über ein unsicheres Medium transportieren. Sie wollen über das Internet auf Ihren E-Mail-Server im Firmen-LAN zugreifen. Vielleicht beabsichtigen Sie auch, das Netzwerk einer Filiale mit dem Netzwerk der Hauptverwaltung zu verbinden oder ein grundstücksübergreifendes WLAN aufzubauen? Damit die Kommunikation sicher stattfinden kann, geht ein Virtual Private Network (VPN) den folgenden Weg: Es wird ein Tunnel zwischen den Kommunikationspartnern aufgebaut, so als ob der eine bei dem anderen Teilnehmer angerufen hätte. Bei diesem Tunnelaufbau findet eine Authentifizierung und Autorisierung statt. Nach dem Tunnelaufbau werden die eigentlichen Daten übertragen. Seit der Corona-Pandemie arbeiten viele im Home Office. Auch deshalb sind VPNs heute weit verbreitet und fast jedermann ein Begriff, denn ohne eine funktionierende und sichere Verbindung von zu Hause ins Firmennetz wäre dies sicherlich undenkbar. Ein VPN kann zwischen (mindestens) zwei Rechnern oder zwischen (mindestens) zwei Netzen aufgebaut werden. Im Zusammenhang mit VPNs begegnen Ihnen die drei Abkürzungen PPTP, L2TP, IPsec und SSL-VPN. Dahinter verbergen sich verschiedene VPN-Verfahren. Es gibt noch etliche weitere Möglichkeiten, die in diesem Buch aber nicht weiter vertieft werden.
Es gibt mehrere Möglichkeiten, eine VPN-Lösung aufzubauen. Die Architektur sollte sich immer zuerst an den Anforderungen orientieren.
37.1 PPTP Das Point-to-Point Tunneling Protocol (PPTP) ist eine ISO/OSISchicht-2-Technologie. Sie verpackt Datenpakete in Point-to-PointProtocol"=(PPP-)Rahmen. Alle PPP-Möglichkeiten wie Authentifizierung, Adressvergabe, Datenkompression und Datenverschlüsselung stehen zur Verfügung. Die Authentifizierung findet mittels unverschlüsseltem Password Authentication Protocol (PAP), dem Challenge Handshake Authentication Protocol (CHAP) oder MS-CHAPv2 statt. Diese Protokolle gelten als unsicher, da eine mitgeschnittene Authentifizierung einen Angriff ermöglicht.[ 32 ] PPTP übermittelt die PPP-Rahmen in IP-Paketen verpackt über das IP-Netz zum Kommunikationspartner. PPTP hat deshalb den Nachteil, dass es nur über IP-Netzwerke arbeiten kann. Der Vorteil von PPTP ist seine große Verbreitung. Da PPTP von sich aus kein NAT unterstützt (siehe Abschnitt 14.5, »Network Address Translation«), muss ein Internetrouter den Mechanismus PPTP-Passthrough implementiert haben.
37.2 L2TP Das Layer 2 Tunneling Protocol (L2TP) konkurriert mit PPTP, ist ebenfalls eine ISO/OSI-Schicht-2-Technologie und kann auch über andere als IP-Netzwerke übertragen. Für die Authentifizierung können Sie zwischen PAP, CHAP und MS-CHAPv2 wählen. L2TP ist sicherer, moderner und bietet zudem deutlich mehr Möglichkeiten als PPTP. Anders als PPTP besteht bei L2TP die Möglichkeit, eine Multitunnel-Verbindung aufzubauen. Einzelne L2TP-Tunnel können im Gegensatz zu PPP leicht voneinander unterschieden werden, was den Einsatz über NATGrenzen hinweg ermöglicht. L2TP hat keine Verschlüsselung implementiert. Es ist darauf ausgelegt, mit IPsec kombiniert zu werden. Die WindowsUnterstützung besteht seit Windows 2000.
37.3 IPsec Internet Protocol Security (IPsec) ist eine ISO/OSI-Schicht-3Technologie, also auf der Ebene von IP angesiedelt. Die wesentlichsten Funktionen von IPSec dienen der Vertraulichkeit und Integrität von Daten. Authentication Header (AH): Das selten eingesetzte AH stellt die Integrität, also die Unverfälschtheit von Daten, sicher, indem ein geheimer Hash Message Authentication Code (HMAC) einen Hashwert über das Paket errechnet. Encapsulation Security Payload (ESP): Die Vertraulichkeit wird von ESP durch Verschlüsselung gesichert. Neben der Auswahl von AH oder ESP muss zusätzlich die Wahl zwischen zwei Übertragungsmodi getroffen werden: Im Tunnelmodus wird das gesamte IP-Paket inklusive IP-Header verschlüsselt. Das Ergebnis wird anschließend von einem neu generierten IP-Header ummantelt. Man nimmt Firewalls und Virenscannern bei der vollständigen Verschlüsselung die Möglichkeit, die IP-Pakete zu analysieren. Im Transportmodus werden lediglich die Nutzdaten eines IPPaketes verschlüsselt, der IP-Header hingegen bleibt unverschlüsselt. Allerdings hilft dieser Modus nur einer PacketFiltering-Firewall (siehe Abschnitt 33.4, »Sicherheitslösungen im Überblick«); schließlich können weder die Firewall noch der Virenscanner die verschlüsselten Nutzdaten analysieren. Die Möglichkeit, die Schlüssel für IPsec vorab manuell zu konfigurieren, wird relativ selten benutzt. Häufiger findet die
automatische Schlüsselverwaltung Internet Key Exchange (IKE) Anwendung. Dabei handelt es sich um einen Standard, der in IPsec integriert ist, jedoch auf der Applikationsebene (ISO/OSI-Schicht 7) angesiedelt ist. Die Einigung zwischen den VPN-Teilnehmern auf die zu verwendenden Schlüssel läuft in zwei Phasen ab: Phase 1 dient der Einigung auf eine gemeinsame Security Association (SA). Dabei handelt es sich z. B. um Vereinbarungen, welche Protokolle zur Authentifizierung und Verschlüsselung genutzt werden sollen und wie lange – zeitlich begrenzt oder abhängig vom übertragenen Volumen – diese gültig sind. Die Identität kann entweder über einen Pre-Shared Key (PSK) (siehe Abschnitt 36.1, »Symmetrische Verschlüsselung«) oder bevorzugt über ein Zertifikat erfolgen. Mit diesen Zertifikaten kann die Identität von Clients und Servern (siehe Abschnitt 36.10, »Verschlüsselte Kommunikation mit Servern«) sichergestellt werden. Sollte keine Zertifikatsinfrastruktur vorhanden sein und zusätzlich die IP-Adresse des den VPN-Aufbau initiierenden Partners dynamisch – und damit dem anderen Partner unbekannt – sein, muss ein Hashwert des PSK unverschlüsselt im Aggressive Mode übertragen werden. Das macht dieses Verfahren äußerst anfällig für eine Brute-Force Attack (siehe Abschnitt 33.2, »Angriffsarten: Übersicht«).[ 33 ] Im Main Mode führt die verschlüsselte Übertragung dieser Daten zu deutlich mehr Sicherheit. In Phase 2 geht es um die fortlaufende Erneuerung der SA und um den Aufbau von verschlüsselten Übertragungskanälen auf der Basis von zusätzlichen SA. Da der umständliche Weg aus Phase 1 dazu nicht mehr notwendig ist, wird diese Phase auch als Quick Mode bezeichnet.
37.4 SSL-VPN Die Konfiguration von IPsec auf dem Client ist relativ kompliziert. Eine dynamische IP-Adresse, eine Firewall oder ein NAT-Router können zusätzliche Hürden aufstellen. Durch den Einsatz von SSL bzw. TLS (siehe Abschnitt 36.3, »Hybride Verschlüsselung«) können Sie manche dieser Hindernisse überwinden. Ein SSL-VPN im engeren Sinne könnte reine Anwendungsdaten transportieren, da die Daten nach der Verschlüsselung an die Transportschicht – TCP oder UDP – übergeben werden. Heute wird der Begriff allerdings auch für VPNs verwendet, die auf Basis einer TLS-Verschlüsselung Pakete der Schichten 2 (Ethernet) oder 3 (IP) des ISO/OSI-Modells (siehe Abschnitt 5.2, »ISO/OSIModell«) kapseln. Dadurch können dann z. B. auch Broadcasts übertragen werden. [»] Ein bekanntes Beispiel der SSL-VPNs ist OpenVPN (https://openvpn.net). OpenVPN ist flexibel zu konfigurieren und bietet zwei verschiedene Übertragungsmodi: Ein TAP-Device arbeitet als Netzwerkbrücke (siehe Abschnitt 6.10, »Switch«) auf Ebene 2 des ISO/OSI-Modells. Dadurch können über dieses VPN hinweg z. B. auch Netzwerkteilnehmer aufgeweckt werden (siehe Abschnitt 24.8.5, »Wake-on-LAN«). Ein TUN-Device erzeugt virtuelle Endpunkte auf Ebene 3 des ISO/OSI-Modells. Diese sind über virtuelle Router und entsprechende Routingeinträge miteinander verbunden. Die Einrichtung ist komplexer als bei TAP. Der Overhead durch z. B. Broadcasts ist geringer, was sich positiv auf die Performance auswirkt.
Wie bei IPsec kann die Authentifizierung bei OpenVPN entweder mit Zertifikaten oder einem Pre-Shared Key (PSK) erfolgen. OpenVPN-Server nutzen Port 1194 des UDP-Protokolls (siehe Kapitel 18, »User Datagram Protocol«). Sie können aber z. B. auch Port 443 des TPC-Protokolls (siehe Kapitel 17, »Transmission Control Protocol«) konfigurieren, um auf diese Weise z. B. eine bessere Stabilität zu erreichen oder den Einsatz einer Proxyinfrastruktur (siehe Abschnitt 38.3, »Proxy«) zu ermöglichen. OpenVPN genießt eine breite Unterstützung. Sie finden jeweils Varianten für Windows, Linux und macOS. Ihr OpenWrtRouter (siehe Abschnitt 38.2, »OpenWrt – ein freies Betriebssystem für Router«) bietet sich als OpenVPN-Server an.
37.5 WireGuard VPN Leider ist der aktuelle Markstandard (siehe Abschnitt 37.3, »IPsec«) weder trivial noch sonderlich performant. Aus dieser Motivation heraus ist WireGuard entstanden (siehe Abbildung 37.1). Es hat den Anspruch, mit einer kleinen und damit besser prüfbaren Codebasis eine sichere und gleichzeitig performante Verschlüsselung zu bieten. Zusätzlich soll es deutlich robuster bei Unterbrechungen sein, die beispielsweise beim Wechsel aus einem WLAN in ein Mobilfunknetz und umgekehrt auftreten können.
Abbildung 37.1 WireGuard unter Windows
Nach eigenen Messungen bietet WireGuard bei gleicher Hardware den vierfachen Datendurchsatz von OpenVPN (siehe Abschnitt 37.4, »SSL-VPN«) und gleichzeitig deutlich bessere Paketlaufzeiten. Genaueres finden Sie auf der Website https://www.wireguard.com. WireGuard unterstützt eine große Anzahl von
Betriebssystemplattformen, u. a. Windows, Linux, macOS, iOS und Android. Für den Aufbau des WireGuard-VPN benötigt jeder Teilnehmer ein Schlüsselpaar (siehe Abschnitt 36.2, »Asymmetrische Verschlüsselung«). [+] Für den Raspberry Pi wurde mit PiVPN (https://www.pivpn.io) eine sehr einfache Möglichkeit der Installation und Konfiguration geschaffen. Es folgt damit dem Vorbild von Pi-hole (siehe Abschnitt 55.5, »Pi-hole als schwarzes Loch für Werbung«) und lässt sich mittels curl -L https://install.pivpn.io | bash auf der Kommandozeile – gerne auch parallel zu Pi-hole – installieren.
37.6 End-to-Site-VPN Wenn Sie Außendienstmitarbeiter und Heimarbeiter mit ihren Homeoffices[ 34 ] an Ihr Unternehmens-LAN anbinden möchten, spricht man von einem End-to-Site-VPN (siehe Abbildung 37.2). Ein Endgerät – das Notebook des Außendienstmitarbeiters, der PC des Heimarbeiters – verfügt über eine Software, den VPN-Client, und greift über das Internet auf den VPN-Punkt in Ihrem Netzwerk zu. [»] Bei dem in Abbildung 37.2 dargestellten Beispiel ist der Datenverkehr vom Laptop aus bis zum VPN-Server im LAN verschlüsselt. Von einem Windows-Client wird ein IPsec-Tunnel über das Internet zu dem IPsec-Server – meinem FRITZ!Box-Router – aufgebaut. Der Server vergibt eine IP-Adresse. Der Client kann arbeiten, als würde er sich in meinem LAN befinden.
Abbildung 37.2 End-to-Site-VPN
Je nach eingesetzter Verschlüsselung könnte eine im Router implementierte Firewall die Datenpakete nicht kontrollieren. Daher wird im Idealfall zwischen dem VPN-Endpunkt und dem LAN noch eine weitere Firewall installiert, so dass eine demilitarisierte Zone (DMZ) entsteht (siehe Abbildung 37.3).
Der größte Vorteil einer End-to-Site-VPN-Lösung ist einerseits, dass sie verhältnismäßig kostengünstig ist. Andererseits ist sie sehr flexibel, da ein beliebiger Internetzugang ausreicht, um weltweit – gesichert über eine verschlüsselte Verbindung – auf das Unternehmensnetz zugreifen zu können. [»] Fast alle Firmen bieten ihren Mitarbeitern die Möglichkeit, über das Internet und einen VPN-Client auf dem Notebook auf das Firmennetzwerk zuzugreifen. Dabei ist es unerheblich, wie der Internetzugang ausgestaltet ist. Genutzt werden können Internetzugänge von Hotels, Flughäfen (z. B. Hot Spots) oder zu Hause. Die VPN-Software stellt sicher, dass es unmöglich ist, die Daten unberechtigt zu entschlüsseln.
Abbildung 37.3 Verschlüsseltes VPN zwischen Client und Endpunkt über unsichere Netze
37.7 Site-to-Site-VPN Die Kopplung von zwei LANs über ein VPN nennt man Site-to-SiteVPN. Dabei findet die Verschlüsselung zwischen zwei VPN-Gateways statt; innerhalb des LANs werden die Daten unverschlüsselt übertragen.
Abbildung 37.4 Site-to-Site-VPN
Das in Abbildung 37.4 dargestellte VPN hat den Vorteil, dass lediglich die VPN-Server über die notwendigen Schlüssel verfügen müssen. Die einzelnen PCs adressieren ihre Daten über das VPNGateway an das andere Netz. Die Verschlüsselung ist Aufgabe des VPN-Servers. Häufig sind Router und VPN-Gateway in einem Gerät vereint.
37.8 VPN zwischen Netzwerken VPNs werden nicht nur über das Internet eingesetzt, sie kommen auch zur Kopplung von Unternehmensnetzen zum Einsatz. Unterhält man viele Site-to-Site-VPNs, kann dies in einer sternförmigen Struktur oder voll vermascht geschehen. In der sternförmigen Struktur muss es einen Mittelpunkt geben. Diese Situation ist insbesondere dann nicht gegeben, wenn kooperierende Unternehmen sich gegenseitig LAN-Zugänge einrichten. Möglich wäre der Aufbau eines voll vermaschten VPNs, wie in Abbildung 37.5 dargestellt.
Abbildung 37.5 Voll vermaschtes VPN
Jeder Teilnehmer dieses VPN-Verbunds hat einen VPN-Tunnel zu jedem anderen Teilnehmer. Wie Sie sehen, entstehen auch bei wenigen Teilnehmern schon recht komplexe Strukturen. Es handelt
sich bei n Teilnehmern um (n2–n)/2 Verbindungen und um n2–n Tunnelenden, die verwaltet werden müssen. [»] Entsprechend gibt es im Beispiel von Abbildung 37.5 sechs Teilnehmer, 15 Verbindungen und 30 Tunnelenden. Bei nur drei weiteren Teilnehmern, in Summe also neun Teilnehmern, steigt der Administrationsaufwand auf 36 Verbindungen und 72 Tunnelenden, hat sich also mehr als verdoppelt. Stellen Sie sich einen großen Verbund von 50 Teilnehmern vor. Sie müssten sich um 1.225 Verbindungen und 2.450 Tunnelenden kümmern. Die Beschreibung »unübersichtlich« wäre geschmeichelt. Alternativ zur eigenen Verwaltung können Sie auch bei einem Provider VPNs mieten. Auf diese Weise ersparen Sie sich die aufwendige Konfiguration und Administration.
37.9 FRITZ!Box-VPN Der Hersteller AVM bietet für viele seiner FRITZ!Box-Modelle ein integriertes VPN. Diese Möglichkeit ist insbesondere interessant, wenn Sie ein fremdes WLAN für den Internetzugang nutzen oder Zugriff aus dem Internet auf Ihr heimisches LAN, z. B. auf NASDaten (siehe Kapitel 40, »Netzwerkspeicher«), haben wollen. Die Nutzung eines fremden WLANs (siehe Abschnitt 7.18, »Hot Spot«) wird zwar möglicherweise per WPA (siehe Kapitel 35, »WLAN und Sicherheit«) verschlüsselt, jedoch nur auf der Funkstrecke. Der WLAN-Anbieter kann den unverschlüsselten Datenverkehr mitlesen. Daher nutze ich einen Hot Spot ausschließlich zum Aufbau einer VPN-Verbindung. Die verschlüsselten Daten sind für Dritte nicht verwertbar. Voraussetzung ist, dass bei den Teilnehmern unterschiedliche Subnetze konfiguriert sind und die beteiligten FRITZ!Box-Geräte über dynamisches DNS (siehe Kapitel 39, »DynDNS-Dienste«) aus dem Internet erreichbar sind. Während die VPN-Konfigurationen früher mit dem Programm FRITZ!Box-Fernzugang einrichten erstellt wurden, bietet FRITZ!OS ab der Version 7.50 eine deutlich einfachere und performantere Lösung (siehe Abschnitt 37.5, »WireGuard VPN«). Unter Internet • VPN • VPN Verbindung hinzufügen haben Sie u. a. folgende Auswahlmöglichkeiten: Eine WireGuard-Verbindung für einen Laptop/PC einrichten erzeugt eine Datei, die Sie auf einem VPN-Teilnehmer importieren können.
Eine WireGuard-Verbindung für ein Smartphone einrichten erstellt Ihnen einen flüchtigen QR-Code, den Sie mit einer geeigneten App auf Ihrem mobilen Endgerät abfotografieren können. Ihr Heimnetz mit einem weiteren FRITZ!Box-Netzwerk verbinden (LANLAN-Kopplung) verbindet zwei komplette Netzwerke über ein VPN (siehe Abschnitt 37.7, »Site-to-Site-VPN«). [»] Ich selbst nutze eine LAN-LAN-Kopplung mit einer FRITZ!Box bei meinen Eltern für die Hilfe bei den Herausforderungen der Bedienung des PC. Sobald der Hilferuf per Telefon eintrifft, kann ich alternativ ein VPN von einem PC oder von einem mobilen Endgerät aus aufbauen. Mit Unterstützung spezieller Software (siehe Abschnitt 32.9, »Virtual Network Computing (VNC)«) lassen sich die meisten Probleme dann gemeinsam lösen.
38 Internetzugang Ein LAN sollte über einen einzigen Internetzugang verfügen. Mit einfachen Technologien können Sie einen solchen Internetzugang realisieren. Ich möchte Ihnen in diesem Kapitel verschiedene Möglichkeiten vorstellen, mit deren Hilfe Sie einen Internetzugang für Ihr LAN realisieren können. Bei der Beschreibung ist es mir wichtig, die Vorund Nachteile der jeweiligen Lösung für Sie transparent zu machen, so dass Sie in die Lage versetzt werden, die für Sie beste Lösung auszuwählen. Ich erinnere mich noch gut an die Zeiten von Modems mit einer Übertragungsgeschwindigkeit von 19.200 Bit/s. Auf den damaligen Kartons war zusätzlich eine Geschwindigkeit angegeben, die das Modem unter Einsatz von Kompressionsmechanismen wie V.42bis erreichen konnte: 57.600 Bit/s. Ich kaufte mir damals ein 14.400Bit/s-Modem, weil mir die 19,2-Kbit/s-Modems zu teuer waren. Es kursierte die Meinung, dass mit 19.200 Bit/s die Grenze des physikalisch Machbaren erreicht und eine weitere Steigerung nur noch über Kompressionsmechanismen realisierbar sei. Einen ISDNAnschluss hatten damals nur wenige Leute, und mit Wörtern wie »E-Mail« löste man bei anderen nur Unverständnis aus. [+] Die Internetverbindungsfreigabe werde ich hier nicht mehr vorstellen. Die Hardwarerouter dominieren, das auch Internet
Connection Sharing (ICS) genannte Verfahren ist nicht mehr zeitgemäß. Mit der Verbreitung von VDSL nimmt die Anzahl von Softwareroutern allerdings wieder zu, weil viele ältere Hardwarerouter noch nicht in der Lage sind, 50 Mbit/s Datendurchsatz zu routen. In diesem Fall sollten Sie die Anschaffung eines neuen Routers jedoch immer vorziehen.
38.1 Hardwarerouter Wenn Sie einen Hardwarerouter kaufen, erwerben Sie ein Gerät, das etwa so groß ist wie ein externes Modem. Das Gerät nimmt also sehr wenig Platz in Anspruch, verbraucht wenig Strom, ist normalerweise lüfter- und daher lautlos. Zusätzlich zu seiner Grundfunktion bietet ein DSL-Router üblicherweise noch weitere Funktionen wie eine Firewall (siehe Abschnitt 33.4.1, »Firewall«), einen DHCP-Server (siehe Kapitel 19, »DHCP«) und einen WLAN Access Point. Vielleicht können Sie mit diesem Access Point ein WLAN-Mesh aufbauen (siehe Abschnitt 7.20, »WLAN-Mesh«). Ein veraltetes Modem in einem Router können Sie durch ein externes Modem – z. B. für VDSL2 – ersetzen und den DSL-Router an dieses Modem anschließen. Sollten Sie sich für einen DSL-Router mit integriertem DSL-Modem interessieren, informieren Sie die Herstellerangaben darüber, bis zu welcher DSL-Geschwindigkeit das Gerät verwendbar ist. Einige ältere Routermodelle schaffen z. B. nicht mehr als ADSL2+ mit 16 Mbit/s und sind natürlich nicht für VDSL2-Vectoring mit bis zu 100 Mbit/s im Download geeignet.
Abbildung 38.1 Der DSL-Router verbindet Ihr LAN und das Internet.
Der sehr einfache Anschluss eines Routers ist in Abbildung 38.1 dargestellt.
38.1.1 Router für die Internetanbindung Das Internet ist das bekannteste öffentliche IP-Netz. Eine Anbindung eines Netzwerks an dieses Netz kann über einen Router (siehe Abbildung 38.2) erfolgen. Der einzusetzende Router unterstützt dabei mit den Anschlüssen Ethernet für das LANInterface und z. B. xDSL für das WAN-Interface. Das technische Niveau des Internetrouters orientiert sich dabei an den Anforderungen, die Sie an dieses Gerät stellen. Die einfachen DSL-Router kosten ca. 50 € und bieten nicht viel mehr als
den reinen Internetzugang für Ihr Netzwerk. Die Router kommen mit einer Firmware, die Sie bei manchen Modellen durch eine alternative Firmware ersetzen können (siehe Abschnitt 38.2, »Die Routersoftware OpenWrt«). Diese als Router konzipierten Geräte unterscheiden sich optisch wenig von Switches. Üblicherweise stellen diese Geräte zur Konfiguration – diese ist im Gegensatz zu einem Switch immer erforderlich – eine Webkonsole bereit.
Abbildung 38.2 DSL-Router von D-Link; Quelle: https://dlink.de
Informieren Sie sich vor einem Kauf auf den Webseiten des Herstellers darüber, welche Anleitungen und Hilfestellungen er dort anbietet. Viele – auch kleine – Hersteller bieten dort zahlreiche Auskünfte. Dadurch können Sie einen guten Eindruck davon gewinnen, ob das Gerät Ihren Bedürfnissen entspricht. Ein Blick in das Benutzerhandbuch zeigt, welche Funktionen der Router tatsächlich bietet oder ob eine bestimmte Funktion Einschränkungen unterworfen ist. Die Router, die neben xDSL-Routerdiensten auch einen WLANZugang ermöglichen, implementieren zwar eine Firewall, jedoch
kann über diese üblicherweise nicht der WLAN-Zugang gesondert abgesichert werden. Wenn also jemand den WLAN-Zugang geknackt hat, hat er die gleichen Möglichkeiten wie ein Teilnehmer, der mit einem Netzwerkkabel angeschlossen ist. Nutzen Sie das WLAN nicht, dann deaktivieren Sie es. Das ist nicht nur sicherer, sondern spart auch Energie.
38.1.2 Kriterien für den Routerkauf Die wichtigste Entscheidung, die Sie treffen müssen, ist, welche Anschlusstechnologie (z. B. Kabel, DSL, VDSL, VDSL2, VDSL2Vectoring, UMTS, LTE) der Router abdecken muss. Das könnten durchaus auch mehrere Technologien sein, z. B. ein DSL-Zugang und ein UMTS-Modem in Form eines USB-Sticks als Backup. Soll der Router ein integriertes DSL-Modem haben, oder wird er an ein – häufig als WAN-Interface bezeichnetes – Modem angeschlossen? Wichtig ist unter Umständen auch, ob und in welcher Form der Router IPv6 (siehe Abschnitt 14.7, »IP-Version 6«) unterstützt. Insbesondere für kleine Netzwerke sind die Zusatzfunktionen der Router interessant. Zu den Funktionen, die auf allen gängigen DSLRoutern vorhanden sind, gehören NAT, Firewall, ein Webinterface zur Konfiguration, ein DHCP-Server, WLAN, USB-Anschluss und dynamisches DNS. Für unabdingbar halte ich die Firewall-Funktion. Der Einsatz einer Firewall auf einzelnen PCs im LAN kann die Handhabung z. B. von Laufwerksfreigaben erheblich erschweren. Daten aus dem Internet sollten dort gefiltert werden, wo sie in das LAN gelangen, und das ist am Router. Alle Router verfügen inzwischen über eine Firewall, die Qualität ist durchaus unterschiedlich. Falls Sie IPv6 nutzen wollen
oder müssen, sollten Sie sich in jedem Fall mit dem Sicherheitskonzept des jeweiligen Routers vertraut machen. Wenn Sie viel Wert auf Sicherheit legen, dann kommt für Sie womöglich ein Router mit einer Stateful-Inspection-Firewall (SPIFirewall) in Betracht, die wesentlich mehr Sicherheit bieten kann. Praktisch ist die Funktion eines Drucker-Spoolers. Sie können am USB-Port des Routers einen Drucker anschließen, der über das Netzwerk erreichbar ist und somit von allen Netzwerkteilnehmern im LAN genutzt werden kann. Das lohnt aber nur, wenn der Aufstellort am Router auch für einen gemeinsamen Drucker sinnvoll ist. Router, die nicht mittels LAN und RJ-45-Stecker angeschlossen werden, sondern über USB, bergen einige Nachteile: Der erste Nachteil ist, dass Ihnen niemand sagen kann, wieso die Verbindung zum Router über USB nicht funktioniert. Über Windows-Treiber wird eine Netzwerkschnittstelle emuliert, und man kann die Probleme nur nachvollziehen, wenn man exakt diesen Router hat. Ein zweiter Nachteil ist der geringe Datendurchsatz, weil USB nicht für Datenübertragung im Sinne von LAN konzipiert ist. Hinzu kommt eine große Abhängigkeit vom Hersteller hinsichtlich der Treiber, sie funktionieren meist nur unter Windows. Am USB-Port des Routers können Sie auch einen USB-Stick oder eine USB-Festplatte anschließen. Damit haben Sie ein sehr einfaches, aber funktionierendes NAS (siehe Kapitel 40, »Netzwerkspeicher«) geschaffen. Die Daten auf dem Speicher können Sie mit einigen Modellen ins Netzwerk streamen (siehe Kapitel 46, »Streaming Media«). Einige Router bieten einen optionalen VPN-Zugang (siehe Kapitel 37, »Virtual Private Network«). Wenn Sie ihn fertig konfiguriert haben,
können Sie damit jederzeit von unterwegs auf Ihr Heimnetz zugreifen. Auch Internettelefonie können Sie mit einigen Modellen betreiben. Häufig lässt sich ein altes Telefon an einem geeigneten Router als SIP-Client weiterbetreiben. Ein Router kann sogar als Telefonanlage und DECT-Basisstation fungieren (siehe Abschnitt 47.8.1, »FRITZ!Box Fon«). Einige Router lassen sich mit anderen WLAN Access Points in einem Mesh-Netzwerk verknüpfen und dienen so als Mesh-Portal (siehe Abschnitt 7.20, »WLAN-Mesh«).
38.1.3 Stand der Dinge Was können Sie erwarten, wenn Sie einen Router kaufen? Ein ordentlicher Router bietet heute folgende Anschlussmöglichkeiten: Switch-Ports mit Gigabit-Geschwindigkeit WLAN nach IEEE 802.11ax mit marktüblich 2,4 Gbit/s (brutto) USB-Anschluss Supervectoring-Modem, Glasfasermodem, DOCSIS 3.1-Modem oder WAN-Interface
Abbildung 38.3 Zugriffssteuerung bei D-Link
Möglicherweise staunen Sie über Gigabit-Switch-Ports, aber diese sind angesichts der heute verbreiteten Gigabit-LAN-Anschlüsse und auch angesichts von 11n als WLAN-Technik eine sinnvolle Ausstattung. Der Datendurchsatz ist deutlich höher als bei Fast Ethernet; aktuelle PC-Hardware lastet 100 Mbit/s leicht aus, wenn beispielsweise Filmdateien kopiert werden. Da heute der Internetzugang für sehr viele unterschiedliche Dienste genutzt wird, ist es sinnvoll, dass der Router Quality of Service (QoS) unterstützt. Damit können Sie – manche Router können es automatisch – die Internettelefonie gegenüber Downloads priorisieren, so dass die Gesprächsqualität nicht unter dem Download leidet. Wenn Sie Kinder haben, kennen Sie die leidigen Diskussionen zur Computernutzung. Nützlich ist daher ein Router, der Zugriffe bestimmter PCs regelt und so den Kindern die Internetnutzung nur zu bestimmten Zeiten ermöglicht (siehe Abbildung 38.3).
Ebenfalls von Interesse für Haushalte mit Nachwuchs ist die Möglichkeit, Webinhalte zu filtern. Allerdings beschränkt sich das bei Routern auf recht rudimentäre Funktionen, bestimmte Webseiten zu sperren. Mehr Möglichkeiten bietet in solchen Fällen ein Proxy, wie er in Abschnitt 38.3, »Proxy«, vorgestellt wird. Der USB-Anschluss am Router arbeitet meist mit USB 3.0, so dass der Datendurchsatz für eine USB-Platte oder einen USB-Stick ausreicht. Damit kann man dann ein gemeinsames Netzlaufwerk bereitstellen. Bei geringen Ansprüchen kann das eine günstige Alternative zum NAS (siehe Abschnitt 40.3, »Hardware-NAS«) sein.
38.1.4 Mobiler Internetzugang Auch für unterwegs kann sich ein Router lohnen. Am Urlaubsort oder während der Reise können sich mehrere Teilnehmer einen mobilen Internetzugang (siehe Kapitel 13, »Kabelloser Internetzugang«) teilen. Dadurch vermeiden Sie den Aufwand für mehrere SIM-Karten im Ausland. Viele Smartphones lassen sich per Tethering sehr einfach zum Router machen. Wichtig ist die Stromversorgung, denn eine Nutzung des Smartphones als Access Point belastet seinen Akku nicht unerheblich. Pocket Router sind kleine Router, die speziell für Reisen konzipiert sind. Häufig können sie ihren Strombedarf über die USB-Schnittstelle decken oder bieten diese selbst als Stromversorgung an, wenn sich das Netzteil in der Steckdose befindet. Einen Pocket Router können Sie mit einem Raspberry Pi auch selbst bauen (siehe Abschnitt 55.2, »Ihr eigener Router für unterwegs«). Für das Streaming von TV und sonstigen Mediainhalten über den Internetzugang und den USB-Steckplatz des Routers nutze ich den Raspberry Pi zusätzlich als Media Center (siehe Abschnitt 55.1,
»Raspberry Pi als Media Center«), was ihn zum nützlichen Begleiter in fast jeder Ferienwohnung qualifiziert. Auch kleine USB-Sticks können sich letztlich wie ein Router verhalten (siehe Abschnitt 13.3, »Verbindungsaufbau mit Huawei HiLink«). In Abbildung 38.4 stellt ein Huawei-E3372-USB-Stick die Internetverbindung für einen TP-Link MR3420 her. Der E3372 ist über das WLAN des MR3420 erreichbar.
Abbildung 38.4 Die IP-Adresse des HiLink-Routers in der Oberfläche des MR3420
38.1.5 Hybridrouter Die Deutsche Telekom bietet einen Hybridanschluss aus DSL (siehe Kapitel 11, »DSL«) und LTE (siehe Abschnitt 13.9, »LTE«) an. Die Kombination des beiden Zugänge erfolgt mit Multipath-TCP (siehe Abschnitt 17.2, »Multipath-TCP«). Um das 4G-Netz nicht zu überlasten, wird die Grundlast zunächst mit DSL abgedeckt. Erst im Bedarfsfall wird LTE hinzugeschaltet. Besonders positiv zu
erwähnen ist hierbei, dass der Kunde keine – ansonsten übliche – Beschränkung des LTE-Datenvolumens beachten muss. Als Mindestgeschwindigkeit des splitterlosen DSL-Zuganges gilt 384 Kbit/s. Darüber hinaus wird ein spezieller Router benötigt. Ein Speedport Hybrid der Deutschen Telekom kann gekauft oder gemietet werden. Technisch werden der DSL- und der LTE-Kanal mittels Channel Bonding verknüpft. Der Hybrid Access Aggregation Point (HAAP) regelt den Datenverkehr im WAN. Dort werden die Multipath-TCPKanäle wieder zusammengesetzt und zum jeweiligen Kommunikationspartner weitergeleitet.
Abbildung 38.5 Das »Engineer-Menü« des Speedport
In meinen Tests funktionierte der Hybridzugang völlig problemlos. Auch ein IPSEC-VPN ließ sich problemlos über den Router betreiben. Der tolle Eindruck der Hybridtechnik wird nur durch den Router getrübt. Der Speedport-Router gibt nur wenig Informationen preis. Immerhin können Sie über den versteckten Zugang http://speedport.ip/engineer/html/lteinfo.html?lang=de (siehe Abbildung 38.5) zumindest die LTE-Verbindungsqualität (siehe Abschnitt 13.9, »LTE«) einsehen.
In Deutschland wird die Hybridtechnik nur von der Deutschen Telekom angeboten. Das wird vermutlich auch noch für ungewisse Zeit so bleiben, da die Telekom ihren Wettbewerbern kein Vorleistungsprodukt anbieten muss.[ 35 ]
38.1.6 FRITZ!Box hinter dem Hybridrouter Für einen Hybridzugang der Deutschen Telekom ist der Speedport Hybrid alternativlos. Andere Hersteller halten sich eher zurück.[ 36 ] Viele Hybridkunden möchten aber Komfort und Leistungsumfang der FRITZ!Box nicht mehr missen. Sie können eine FRITZ!Box auch hinter einem beliebigen anderen Router betreiben, den Sie mit dem Anschluss LAN 1 der FRITZ!Box verkabeln. Einzelne Ports können – je nach gewünschtem Funktionsumfang – an die FRITZ!Box weitergeleitet werden. Für das VPN müssen die Ports 500/UDP und 4500/UDP an die FRITZ!Box durchgereicht werden. Für die Telefonie finden Sie eine sehr gute und ausführliche Anleitung auf der Internetseite https://www.lubensky.de. Das dynamische DNS (siehe Kapitel 39, »DynDNS-Dienste«) muss vom Hybridrouter aktualisiert werden. [+] Wir haben uns alle an das ständig verfügbare Internet inzwischen so gewöhnt, dass es mir schwerfällt, auf den Internetzugang für einige Tage zu verzichten. Es war ein Freitagnachmittag, an dem ich feststellte, dass Elektroarbeiten mit einer Spannungsspitze offenbar dazu geführt hatten, dass mein DSL-Modem durchgebrannt war. Die Folge: kein Internet!
Gar nicht so einfach, schnell ein Ersatzmodem zu besorgen … – klar, eBay, aber ohne Internet? Nach diesem Wochenende habe ich mir umgehend einen Ersatzrouter angeschafft. Somit kann nun ruhig ein Hardwaredefekt auftreten, ich komme trotzdem noch ins Internet. Sollte Ihnen ein funktionierender Internetzugang ebenfalls wichtig sein, kann ich Ihnen nur empfehlen, sich rechtzeitig um Hardwareersatz zu kümmern. Da DSL-Modems und Router immer noch von Providern subventioniert werden, sind Router oft schon für 1 € zu bekommen. Einige Router lassen sich mit einem USB-Stick um einen Backupzugang erweitern. Ein mobiler Internetzugang (siehe Kapitel 13, »Kabelloser Internetzugang«) kann also einen Ausfall Ihrer Leitung – verursacht z. B. durch Straßenbauarbeiten – abfangen.
38.1.7 Alternative Firmware Es ist kein Geheimnis, dass viele Router intern Linux als Betriebssystem verwenden. Allerdings haben die Hersteller die Linux-Versionen nicht im Quellcode offengelegt, wie dies in der GPL (GNU General Public License) von Linux verlangt wird. Nachdem ein wenig Druck ausgeübt wurde, haben vor vielen Jahren Hersteller – bekannt wurde insbesondere Linksys – die Quellen offengelegt und so die Entwicklung von freien Firmwareversionen für einige Router möglich gemacht. Leider ist es so, dass die Entwicklungszyklen der Router immer kürzer werden und viele Original-Firmwareversionen über 1.0.1 nicht mehr hinauswachsen. Einige Funktionen sind nur
unzureichend gelöst, andere mögliche Funktionen fehlen. Eine alternative Firmware hingegen unterstützt Hardware, solange sich jemand findet, der die Software darauf portiert, und solange die Speicherausstattung aktuelle Versionen ermöglicht. Dies bietet die Möglichkeit, eine Firmware zu bekommen, die aktueller ist als die letzte – vielleicht einige Jahre alte – Firmware des Herstellers. Ob Sie diese Möglichkeit nutzen möchten, müssen Sie im Einzelfall selbst entscheiden. Die Verwendung einer entsprechenden Firmware geschieht übrigens in der Regel ohne Herstellerunterstützung. Bekanntester Vertreter mit alternativer Firmware war der LinksysRouter WRT-54G. Für ihn gab es die erste alternative Firmware: OpenWrt. Durch das OpenWrt-Projekt wird inzwischen eine Vielzahl von Routern auch anderer Hersteller unterstützt. Viele Seiten im Internet beschäftigen sich mit alternativer Firmware für Router: https://www.openwrt.org (siehe Abschnitt 38.2, »OpenWrt – ein freies Betriebssystem für Router«) https://www.dd-wrt.com https://www.wl500g.info https://github.com/Freetz/freetz [+] Ende der 1990er Jahre stellte Apple seinen eigenen WLANRouter, genannt AirPort, vor. Gekleidet in ein leicht futuristisch anmutendes Gehäuse, verrichtete die AirPort-Basisstation in vielen Haushalten über mehrere Versionen hinweg ihren Dienst. Konfiguriert werden diese Stationen über das AirPortDienstprogramm, das Sie im Ordner Dienstprogramme finden. 2018 hat Apple die Produktion und Auslieferung der AirPort-
Basisstationen eingestellt. Sollten Sie noch eine Basisstation nutzen, dann können Sie sie über das Dienstprogramm auch unter macOS Monterey wie gewohnt konfigurieren. Darüber hinaus ist Apples AirPort als veraltet zu betrachten.
38.2 OpenWrt – ein freies Betriebssystem für Router Mein alter WLAN-Router hatte vor Jahren sein letztes Firmwareupdate vom Hersteller bekommen. Gelegentlich hängte er sich auch mal auf. Dann half nur noch ein Neustart: Stecker raus, Stecker rein. Dann fand ich das Projekt OpenWrt (https://openwrt.org), und tatsächlich wurde mein kleiner billiger WLAN-Router unterstützt. Seinen Nachfolger habe ich extra so ausgewählt, dass auch er OpenWrt unterstützt, er ist mein WLAN Access Point. Wenige Tage nach Veröffentlichungen über die WPA2-Schwäche KRACK stand eine fehlerbereinigte Version bereit. Das Projekt OpenWrt hatte einige schwere Jahre, einige Entwickler gründeten ein neues Projekt namens LEDE. Im Jahr 2018 fand man schließlich wieder zusammen. Dabei wurde der Softwarestand der LEDE-Version 17.01 als Basis des neuen OpenWrt-Projektes genommen.
38.2.1 Warum OpenWrt? OpenWrt nutzt die Möglichkeiten der Routerhardware oft deutlich besser aus als die Originalfirmware des Herstellers. So können Sie beispielsweise VLANs einrichten, was Ihnen mit der Firmware des Herstellers in der Regel nicht gelingen wird. Je nach Speicherausstattung können Sie weitere Pakete installieren, z. B. auch die Telefonanlagensoftware Asterisk (siehe Abschnitt 42.3,
»Incredible PBX Asterisk Appliance«). Einige Funktionen von OpenWrt möchte ich erwähnen: Unterstützung für IPv6 (siehe Abschnitt 14.7, »IP-Version 6«) mitsamt DHCPv6 WLAN-Mesh-Portal nach IEEE 802.11s (siehe Abschnitt 7.20, »WLAN-Mesh«) Intrusion Prevention (siehe Abschnitt 33.4.3, »Network Intrusion Detection System«) Wireless Distribution System als Netzwerkbrücke zwischen zwei Access Points (https://wiki.openwrt.org/doc/howto/clientmode)
38.2.2 Los geht's Der schwierigste Punkt ist, das richtige Image für Ihre Hardware auszuwählen. Die Website von OpenWrt ist dabei nicht sehr hilfreich und alles andere als benutzerfreundlich. Für die Suche in der Table of Hardware, also der Liste der unterstützten Hardware, benötigen Sie die exakte Bezeichnung Ihres Routers. In der Spalte Targets finden Sie die Angabe, welcher Chipsatz genutzt wird. [»] So nutzt z. B. der TP-Link TL-WDR4300v1 einen ar71xx. Es gibt Releases und den aktuellen Entwicklungsstand Development Snapshot Build. In der Table of Hardware (https://openwrt.org/toh) suchen Sie nach Ihrem Modell. Auf der modellspezifischen Seite finden Sie unter dem Punkt Installation das aktuellste Release. Es gibt immer zwei Versionen, von denen eine auf factory.bin, die andere auf sysupgrade.bin endet. Die factory-Version ist für das Update des Original-Betriebssystems gedacht, die Version sysupgrade für die Aktualisierung einer älteren OpenWrt-Version.
Dieses Image können Sie im Regelfall sehr einfach über die normale Firmwareupdatefunktion des Routers einspielen. Nach dem Update erreichen Sie mit einem Browser über die Adresse http://192.168.1.1 das Webinterface LuCI. [»] Ein praxisnahes Beispiel für eine Anwendung von OpenWrt ist ein virtuelles LAN (siehe Abschnitt 25.4, »Ein eigenes VLAN und WLAN für Gäste«).
38.3 Proxy Während NAT auf Schicht 3 des ISO/OSI-Modells arbeitet und lediglich IP-Adressen austauscht, arbeitet ein Proxy auf Schicht 7. Das ermöglicht dem Proxy, Benutzer auf der Applikationsebene zu authentifizieren, so dass sich steuern lässt, wer auf das Internet zugreifen darf und wer nicht. Proxy bedeutet Stellvertreter (Merkhilfe: »pro« = »für«, »xy« = »alles«). Dem Proxyserver kommen zumindest zwei Aufgaben zu: Anfordern und Weiterleiten der Internetseiten Zwischenspeichern von Internetseiten (sogenanntes Caching) Ein PC im lokalen Netz fordert einen Internetinhalt (über HTTP oder FTP) beim Proxyserver an, behandelt den Proxy also wie einen Webserver. Der Proxyserver fordert die Seite, falls erforderlich, bei dem entsprechenden Webserver im Internet an, und der Webserver antwortet dem Proxy, behandelt ihn also wie einen Client. Die Seiten, die der Proxy angefordert und bekommen hat, speichert er in seinem Cache zwischen. Wird die Seite vom Client erneut angefordert, fordert der Proxy die Seite vom Webserver nur noch unter der Bedingung an, dass sie sich seit der letzten Anforderung verändert hat. Damit wird verhindert, dass häufig dieselben Seiten aus dem Internet übertragen werden müssen und so unnötig Bandbreite belegen. Da der Proxy alle Anfragen ins Internet stellt, wird ähnlich wie bei NAT nur eine offizielle IP-Adresse benötigt. Das gesamte
Netzwerk versteckt sich hinter dem Proxyserver, so dass es für Hacker/Cracker unsichtbar ist. Ein Proxyserver filtert häufig bestimmte Webseiten auf Basis des jeweiligen Inhaltes oder pauschal aufgrund der Adresse im Internet. Servernamen von der Blacklist werden gesperrt. Findet eine Whitelist Verwendung, sind diese Adressen erlaubt. Der Proxydienst muss alle Protokolle beherrschen, für die er Proxy ist. Das kann insbesondere bei Audio- und Videostreaming über das Netzwerk zu Problemen führen, wenn der Proxy für die verwendeten Protokolle nicht geeignet ist. Eine vorkonfigurierte virtuelle Proxy Appliance finden Sie bei den Materialien zum Buch. Der Proxy selbst wird in Abschnitt 42.2, »Web Proxy Appliance«, beschrieben. Dort finden Sie auch Anleitungen zur Einrichtung des Proxyservers für gängige Browser.
39 DynDNS-Dienste Sie wissen nun, wie Sie Verbindungen aus Ihrem LAN ins Internet aufbauen können. Wie aber findet man PCs in Ihrem LAN aus dem Internet? Der Begriff DynDNS steht für dynamisches DNS und bedeutet, dass Sie als Kunde die zu Ihrer Internetdomain gehörende IP-Adresse selbst im DNS-Server eintragen. [»] Stellen Sie sich vor, Sie möchten im Internet eine Homepage anbieten. Darauf soll neben dem üblichen HTML auch die Skriptsprache PHP zum Einsatz kommen, Sie benötigen außerdem eine Datenbank und einen SSH-Zugriff. Üblicherweise liegt der Preis um 10 € monatlich. Wenn Sie eine DSL-Flatrate haben und im Keller noch ein alter PC herumsteht, dann können Sie die Lösung zum Nulltarif bekommen. Sie melden sich zunächst bei einem der kostenlosen DynDNS"=Dienste im Internet an und können sich dort einen Namen für Ihre Domain aussuchen, z. B. http://meinehp.dyndns.org. Dieser Name muss in die täglich wechselnde IP-Adresse umgesetzt werden, die Ihnen Ihr Provider zuweist. Dazu müssen Sie jedes Mal, wenn Ihre IP-Adresse wechselt, diese bei dyndns.org aktualisieren. Da es zu aufwendig ist, dies manuell zu tun, können manche Router Ihnen das abnehmen.
39.1 Anbieter
Es gibt eine unübersichtliche Anzahl von DynDNS"=Anbietern. Die meisten bieten ein kostenloses Einsteigerpaket und verlangen für weitere Dienstleistungen Geld. Ein kostenfreier DynDNS"=Eintrag wird vom Anbieter jedoch in der Regel gelöscht, wenn er für eine gewisse Zeit nicht mehr aktualisiert wurde. [»] Als Beispiele möchte ich stellvertretend Nerdcamp (https://nerdcamp.net) und No-IP (https://www.noip.com) nennen.
39.1.1 Aktualisierung der IP-Adresse Sie können die Aktualisierung natürlich jeweils manuell vornehmen. Die Webseiten sämtlicher Anbieter bieten Ihnen diese Möglichkeit. Melden Sie sich z. B. auf der Webseite von No-IP an (siehe Abbildung 39.1). Unter Hostnames wählen Sie den Host aus, dessen IP-Adresse Sie aktualisieren möchten.
Abbildung 39.1 Aktualisierung per Web bei No-IP
Ein Klick auf Update Hostname aktualisiert die Zuordnung, und Sie sind wieder unter Ihrem Namen pcnetzwerke.ddns.net erreichbar.
39.1.2 Router Viele Router bieten die Möglichkeit, Updates bei DynDNS"=Anbietern vorzunehmen. Allerdings ist die Auswahl der möglichen Anbieter meist eingeschränkt.
Abbildung 39.2 Der Speedport-Hybridrouter beherrscht DynDNS.
Der Vorteil, den Router zu verwenden, liegt darin, dass dieser die offizielle IP-Adresse kennt, die Sie von Ihrem Provider bekommen haben. Es sind also keine weiteren Tricks notwendig, um die korrekte Adresse zu ermitteln.
39.1.3 MyFRITZ! Viele Anbieter haben ihre kostenlosen DynDNS"=Dienste in kostenpflichtige umgewandelt. Besitzern einer FRITZ!Box bietet MyFRITZ! viel mehr als einen Zugriff auf Ihre FRITZ!Box über die Seite https://sso.myfritz.net aus dem Internet heraus. Während des Registrierungsvorganges wird Ihnen eine Adresse für den direkten Zugang zu Ihrer FRITZ!Box mitgeteilt. Die Adresse zufallszeichen.myfritz.net ist gleichzeitig eine vollwertige DynDNS"=Adresse.
39.1.4 Software Wenn Ihr Router keine Möglichkeit bietet, den von Ihnen favorisierten DynDNS"=Dienst zu aktualisieren, bleibt noch die Möglichkeit, die Aktualisierung über ein Programm vorzunehmen. Es gibt diverse Programme für alle Betriebssysteme. Häufig bieten die DynDNS"=Anbieter eigene Programme zum Update der Adressen an. Der Nachteil einer jeden Software ist, dass die IPÄnderung immer erst nachträglich festgestellt wird, entsprechend hinkt die Aktualisierung stets etwas hinterher.
39.1.5 Update Clients für macOS Nutzen Sie den Provider No-IP für die automatische Aktualisierung einer IP-Adresse mit einem dynamischen Hostnamen unter macOS, dann hat sich das kostenlose Programm Dynamic DNS Update Client (DUC) for Mac über viele Jahre hinweg bewährt. Unter https://www.noip.com/download?page=mac steht das Programm zum Download zur Verfügung. Einmal konfiguriert verrichtet das Programm seine Arbeit unauffällig im Hintergrund und eignet sich daher auch für Serverdienste. Eine jüngere Alternative, die eine ganze Reihe alternativer Provider unterstützt, stellt das Programm dDNS Broker SE dar. Sie finden das kostenpflichtige Programm entweder im App Store von Apple oder unter der URL https://ddnsbroker.com.
40 Netzwerkspeicher Mit der Verbreitung von Netzwerken, dem sinkenden Preis von Festplattenvolumen und dem Speicherverbrauch durch Fotos, Videos und Musik stieg der Bedarf an netzwerkfähigen Speicherlösungen: NAS. Zunächst gab es Network Attached Storage (NAS) nur für das professionelle Umfeld. Lösungen für den Heimanwender oder kleinere geschäftliche Netzwerke wurden meist auf PC-Basis und mit Windows- oder Linux-Betriebssystemen erstellt: ein alter PC, Windows oder Linux drauf, eine SMB-Freigabe erstellt, fertig. Es gibt im Wesentlichen vier unterschiedliche Möglichkeiten für ein NAS: eine Linux-Distribution auf PC-Hardware eine Linux-Distribution auf einem Einplatinencomputer (siehe Abschnitt 55.4, »Raspberry NAS«) eine spezielle Hardwarelösung ein Router mit externem USB-Datenspeicher Wenn Sie sich mit dem Thema NAS beschäftigen und Testberichte dazu lesen, werden Sie feststellen, dass üblicherweise die Frage des Datendurchsatzes im Fokus steht. Oftmals ist das schnellste NAS im Test auch der Testsieger. Die Argumentation ist auch grundsätzlich richtig, schließlich will man beim Speichern oder Abrufen der Daten nicht auf das NAS warten. Andererseits ist in vielen Fällen fraglich,
ob mit den typischen Programmen eines Privatanwenders auch nur annähernd messbarer Datendurchsatz erzeugt werden kann. Ein gutes Beispiel für den NAS-Einsatz ist die digitale Bildersammlung. Alle sollen auf die Fotos zugreifen können. Ein 3 MByte großes Foto bedeutet aber lediglich 24 Mbit; entsprechend dauert es selbst bei einem langsamen NAS weniger als eine Sekunde, dieses Foto zu laden. Ob es nun aber letztendlich 0,3 oder 0,001 Sekunden dauert, ist bei einem Bild irrelevant. Der zweite Einsatzzweck ist das Backup von Dateien. Hier ist Datendurchsatz gefordert; schließlich will man nicht auf die Fertigstellung des Backups warten. Zu beachten ist, dass ein Schreibvorgang in der Regel deutlich länger dauert als ein Lesevorgang. Nach meinen Beobachtungen lasten z. B. Backuptools eine gebräuchliche Netzwerkverbindung (siehe Abschnitt 6.3, »Gigabit-Ethernet«) durchschnittlich zu etwa 60 Prozent aus. Insbesondere bei der Verarbeitung vieler kleiner Dateien ist der Flaschenhals häufig die Anwendung und nicht das NAS oder das LAN. [+] Möglichkeiten, wie Sie Ihren PC am besten sichern, finden Sie in Kapitel 45, »Netzwerkbackup«, beschrieben. Dort stelle ich verschiedene Ansätze vor.
40.1 EasyNAS, FreeNAS, OpenMediaVault und Co. Wenn Sie ausschließlich Speicherplatz im Netzwerk möchten und weitere Funktionen der heutigen NAS-Systeme für Sie uninteressant sind, kann eine spezielle Linux-Distribution wie FreeNAS
(https://www.freenas.org) oder OpenMediaVault (https://www.openmediavault.org) für Sie interessant sein. EasyNAS (https://easynas.org) basiert auf der Distribution openSUSE und verwendet das B-Tree Filesystem (siehe Abschnitt 43.4, »Das BTree Filesystem«). [+] Vor der Verwendung alter PC-Hardware für ein NAS muss ich aus mehreren Gründen warnen. Entweder ist der Stromverbrauch moderat, dann wird die Leistung nicht stimmen, oder der Stromverbrauch ist – verglichen mit modernen Systemen – exorbitant. Der zweite Grund betrifft die Ausfallsicherheit: Alte Komponenten, insbesondere alte Festplatten, gehören meiner Meinung nach nur bedingt in ein NAS, denn dort möchten Sie Ihre Daten sicher ablegen.
Bitte berücksichtigen Sie die gerade angeführten Überlegungen, wenn Sie über ein Selbstbau-NAS nachdenken. Die Lösung mag grundsätzlich reizvoll sein, der Weg zu einer komfortablen Lösung ist allerdings steinig. Die Stromkosten eines 80-Watt-NAS belaufen sich im Jahr auf stolze 140 €, so dass die Lösung innerhalb von drei Jahren bei den Betriebskosten in etwa dieselben Kosten verursacht wie für die Anschaffung. Leider bleiben die Spezialdistributionen hinsichtlich ihrer Performance deutlich hinter aktuellen Linux-Distributionen und insbesondere hinter OpenSolaris zurück. Wenn Sie sich ein Beispiel für ein kleines NAS anschauen wollen, dann finden Sie eine Beschreibung in Abschnitt 55.4, »Raspberry NAS«.
40.2 Router mit externer USB-Platte Eine beliebte Minimallösung ist es, einen Router über seine USBSchnittstelle mit einer externen USB-Festplatte zu erweitern und Netzlaufwerke anzubieten. Bevor Sie diese Lösung in Betracht ziehen, bedenken Sie bitte, dass eine einzelne USB-Platte auch ausfallen kann. Diese Platten sind nicht für den Dauerbetrieb ausgelegt; dies erhöht das Ausfallrisiko, wenn sich die Platte nicht in den Schlaf schicken lässt. Eine weitergehende Sicherung der Daten kann üblicherweise nicht erfolgen; daher sollten auf dieser Lösung nur Daten abgelegt werden, die entweder auf anderen PCs noch vorhanden sind oder deren Verlust Sie leicht verschmerzen können.
40.2.1 DSL-Router Was bietet nun der DSL-Router als Fileserver? Das hängt natürlich vom Router selbst ab. Die bekannten und beliebten FRITZ!BoxModelle können die USB-Platte per SMB oder FTP im Netzwerk zur Verfügung stellen. Es ist möglich, einen Kennwortschutz zu vergeben. Es gibt jedoch keine Benutzerverwaltung; jeder Benutzer hat also – abgesehen vom einheitlichen Kennwortschutz – Zugriff auf alle Dateien. Ein häufiges Problem sind USB-Platten, die ihren Strom vom USBPort beziehen. Der Strom an der FRITZ!Box reicht in einigen Fällen nicht aus, so dass Sie für eine zusätzliche externe Stromzufuhr sorgen müssen. In diesem Fall kann das nur ein USB-Hub mit eigener Stromversorgung sein.
Während der Datendurchsatz früherer Router mit USB 1.1 oder USB 2.0 häufig nicht über 2 Mbit/s bzw. 16 Mbit/s hinausging, erreichen heutige Modelle über USB 3.0 auf schnellen SSDSpeichern in der Spitze Werte von mehr als 500 Mbit/s beim Lesen und 200 Mbit/s beim Schreiben. Eine FRITZ!Box bietet zusätzlich die Möglichkeit, Multimediadateien mit einem Streamingserver im Netzwerk bereitzustellen (siehe Kapitel 46, »Medienstreaming«). Der große Vorteil dieser Lösung ist ganz klar der Preis: keine zusätzliche Hardware kein zusätzlicher Stromverbrauch (von der USB-Platte abgesehen) kein zusätzlicher Netzwerkanschluss kein Lärm Insgesamt bietet diese Lösung Basisfunktionalitäten. Sie ist weit entfernt von den Möglichkeiten, die selbst einfache NAS-Systeme bieten.
40.3 Hardware-NAS Häufig ist die Anschaffung eines Hardware-NAS die vernünftigste Lösung. Oder zumindest ist es langfristig die günstigere Lösung, wenn Sie die Stromkosten berücksichtigen. Was bietet ein solches NAS heute üblicherweise? Natürlich hängt der Leistungsumfang stark vom Preis ab. Zu den Standarddiensten eines NAS gehören Dateifreigaben über Protokolle wie Samba (siehe Abschnitt 43.7, »Samba als Fileserver«) und NFS. Die Synchronisierung der Dateien zwischen verschiedenen Anwendern und Plattformen wird häufig mit vom Hersteller des NAS bereitgestellter Clientsoftware ermöglicht. Für die Datensicherung auf ihr System bieten die Hersteller in der Regel ebenfalls Lösungen an. Wenn Sie es vielleicht von Ihrer Arbeit mit virtuellen Maschinen kennen (siehe Abschnitt 41.2, »Oracle VM VirtualBox«), dann werden Sie eine Snapshot-Funktionalität auf Ihrem NAS sicherlich auch nützlich finden. Dazu muss das Filesystem Ihres NAS diese Funktionalität unterstützen, so wie dies z. B. beim B-Tree Filesystem der Fall ist (siehe Abschnitt 43.4, »Das BTree Filesystem«). Sie können Ihr NAS für die Ablage und das Streamen von Multimediainhalten (siehe Kapitel 46, »Medienstreaming«) nutzen. Soll Ihr NAS zugleich als komplettes Media Center – vergleichbar einer Lösung wie Kodi – dienen (siehe Abschnitt 46.4, »Kodi Home Theater«), muss es natürlich über
entsprechende Schnittstellen zum Anschluss eines TV-Gerätes verfügen. Einige Hersteller integrieren Werkzeuge zur Kollaboration in ihre NAS-Systeme. Dazu zählen z. B. ein Teamkalender oder eine private Cloud-Office-Lösung (siehe Kapitel 48, »CloudComputing«). Die Nutzung des NAS als Host für Zwecke der Virtualisierung (siehe Kapitel 41, »Virtualisierung«) benötigt selbstverständlich deutlich mehr verfügbare Hardwareressourcen. Häufig können Sie die Aufnahmen Ihrer Raumüberwachung (siehe Abschnitt 46.2.1, »Netzwerkkamera«) direkt von Ihrem NAS verwalten lassen. Ein dauerhaft eingeschaltetes NAS ist auch eine mögliche Basis für Ihr Smart Home (siehe Kapitel 49, »Hausautomation«). Sie finden im Internet diverse Anleitungen für die Installation von z. B. FHEM (siehe Kapitel 50, »FHEM-Steuerzentrale«) oder openHAB auf gängigen NAS-Systemen. Viele NAS-Systeme ermöglichen die integrierte Bereitstellung von Datenbanken. Eine zentrale Datenbank können Sie u. a. für Ihr Home Theater nutzen (siehe Abschnitt 46.4.3, »Medienverwaltung«) und z. B. eine im Wohnzimmer begonnene Videowiedergabe ohne lästige vorherige Suche der richtigen Position im Film komfortabel im Schlafzimmer fortsetzen.
40.3.1 Art und Anzahl der Festplatten Obwohl eigentlich jede Festplatte in einem NAS genutzt werden kann, bieten die Hersteller in Bezug auf Hardware und Firmware auf
den jeweiligen Einsatzzweck abgestimmte Modelle an. Festplatten für Desktop-PCs, die heute in der Regel durch SSD-Speicher abgelöst werden, erreichen durch eine höhere Umdrehungsgeschwindigkeit eine bessere Performance. Allerdings benötigen sie auch deutlich mehr Strom, was sie in einem für den Dauerbetrieb konzipierten NAS unwirtschaftlich macht. Die speziell für den Einsatz in einem NAS vorgesehenen Festplatten benötigen hingegen weniger Strom und tolerieren die in den Ruhezeiten des NAS üblichen Parkvorgänge des Schreib-/Lesekopfes oft besser. [+] Ich empfehle Ihnen, vor einer Anschaffung von Festplatten auf die Kompatibilitätsliste des Herstellers Ihres jeweiligen NASSystems zu achten. Wie viele Festplatten braucht das NAS? Viele Nutzer entscheiden sich für einen Kompromiss und damit zwei Festplatten. So ist es möglich, die Daten mittels RAID 1 zu spiegeln; die Datensicherheit ist also gegenüber der Lösung mit einer Platte erhöht. Eine weitergehende Datensicherung ist dennoch unbedingt zu empfehlen. Der Einsatz von wenigen Festplatten mit mehr Kapazität verbraucht im Betrieb zudem weniger Energie als der Einsatz mehrerer Festplatten mit weniger Speicherplatz und amortisiert sich daher in der Regel schnell. Der Einsatz von SSD-Speichern in einem NAS empfiehlt sich aufgrund der höheren Anschaffungskosten in der Regel nur, wenn Sie die schnelle SSD als Cache vor den langsameren Festplatten einsetzen. Viele NAS-Systeme bieten diese Funktionalität. Wir können uns hinsichtlich der Festplattenkonfiguration (siehe Tabelle 40.1) voll und ganz auf den Aspekt der Datensicherheit konzentrieren. Weitere Aspekte wie Zuwachs des Datentransfers kommen bei den Einsteiger-NAS-Systemen nicht zum Tragen.
Ich habe in einigen Fachpublikationen gelesen, dass die Spiegelung des RAID 1 keinen erheblichen Vorteil bringe, da sie lediglich den Ausfall einer Platte abdecke. Genau das wird aber doch der häufigste Fall sein. Die Wahrscheinlichkeit, dass beide Platten zusammen ausfallen, ist doch eher gering. Ich gehe davon aus, dass die Daten auf Ihrem NAS für Sie wichtig sind, und kann Ihnen nur wärmstens empfehlen, den Schwerpunkt auf Sicherheit zu legen. Entsprechend ist RAID 1 mein Favorit und punktet auch gegenüber JBOD. RAID 0, bei dem alle Daten verloren sind, wenn eine Platte defekt ist, verbietet sich von selbst. Für eine Lösung mit einer Platte spricht, dass sie deutlich günstiger in der Anschaffung ist und etwa 10 Watt weniger an Strom verbraucht. 10 Watt klingt wenig, bei einem 24-Stunden-Betrieb kommt man aber auf jährliche Kosten von zurzeit etwa 20 €. Anzahl Konfiguration Wirkung Platten ≥2
RAID 0
Die Daten werden immer auf allen Platten verteilt, totaler Datenverlust beim Defekt einer Platte.
≥2
RAID 1
Spiegelung aller Daten auf einem Spiegel, daher nur die halbe Kapazität; beim Defekt einer Platte sind die Daten vollständig auf der anderen Platte vorhanden.
Anzahl Konfiguration Wirkung Platten ≥2
JBOD
Die Platten wirken wie eine große Festplatte. Daten werden entweder auf der einen oder auf der anderen Platte gespeichert. Beim Defekt sind »nur« die Daten der defekten Platte verloren.
≥3
RAID 5
Die Daten werden reihum auf alle Platten verteilt, zusätzlich werden auf mindestens einer Platte Paritätsinformationen geschrieben (rechenintensiv!). Beim Ausfall einer Platte stehen weiterhin alle Informationen zur Verfügung. Die Gesamtkapazität des Verbundes vermindert sich effektiv nur um die Paritätsinformationen.
Tabelle 40.1 Möglichkeiten der Konfiguration von Festplatten
40.3.2 Fallstricke bei der Auswahl Nachdem Sie sich nun für die Anzahl der Platten entschieden haben, geht es jetzt um die konkreten Produkte. Ich kann Ihnen nur wärmstens empfehlen, sich mit Testberichten ausführlich zu informieren. Die Seite https://www.smallnetbuilder.com ist in englischer Sprache, im deutschsprachigen Internet werden öfter Tests auf https://www.tomshardware.com veröffentlicht. Mögliche Probleme bei Hardware-NAS sind:
laute Lüftergeräusche inkompatible Festplatten (Herstellervorgaben beachten!) niedriger Datendurchsatz nicht funktionierender Schlafmodus (Hibernation) für Platten keine Weiterentwicklung der NAS-Firmware funktionale Einschränkungen, Funktionen nicht nutzbar Ergebnis meiner Recherche war, dass die NAS-Systeme üblicherweise lauter sind als erhofft. Nicht selten sind es die Lüftergeräusche, die den unangenehmsten Lärm verursachen. Für das Wohnzimmer oder gar Schlafzimmer taugen diese Systeme nicht. Die NAS-Performance hängt insbesondere mit der CPU und dem RAM zusammen. Kleinere oder billigere NAS sind tendenziell auch langsamer. Dabei sind die Festplatten nicht die Ursache für Performanceengpässe; sie leisten 400 Mbit/s oder mehr. Das ist ein Wert, von dem die meisten NAS-Systeme beim Datendurchsatz um den Faktor zehn entfernt sind. Entsprechend sollten Sie bei der Festplattenauswahl eher Wert auf geringen Stromverbrauch und geringe Lärmentwicklung legen. Bevor Sie sich für ein Hardware-NAS entscheiden, empfehle ich Ihnen, die jeweilige Benutzeroberfläche des Herstellers zu testen. Sie finden z. B. eine Onlinedemo des QNAP-NAS-Betriebssystems (QTS) unter https://www.qnap.com/de-de/live-demo, eine Livedemo des DiskStation Managers (DSM) von Synology im Internet unter der Adresse https://demo.synology.com/de-de/dsm. [»] In Abbildung 40.1 sehen Sie ein Webinterface eines HardwareNAS der Firma QNAP. Es zeichnet sich durch einen großen Funktionsumfang aus, wie z. B. Überwachungsstation für IP-
Kameras, iTunes-Server, Webserver mit MySQL-Datenbank und diverse Cloud-Dienste (siehe Kapitel 48, »Cloud-Computing«). Sie zahlen bei der eierlegenden Wollmilchsau auch für den großen Funktionsumfang. Das ist nur sinnvoll, wenn zumindest einige dieser Funktionen auch genutzt werden.
Abbildung 40.1 Webinterface eines Hardware-NAS
40.3.3 Einbindung ins Netzwerk Die erste Hürde, die Sie bei der NAS-Einrichtung nehmen müssen, ist, das NAS im LAN zu finden. Alle NAS sind bei der Auslieferung auf DHCP gestellt, so dass sie eine IP-Konfiguration vom Router bekommen, wenn dieser als DHCP-Server aktiv ist. Bei vielen Routern kann man im Webinterface nachschauen, welche IP-Adressen vergeben wurden. Suchen Sie direkt beim Punkt DHCP oder im Bereich Status & Log. Viele Hersteller von NAS-Lösungen bieten auf der dem Produkt beiliegenden CD ein Programm, das das NAS im Netzwerk sucht. Ob
das NAS gefunden wird, ist nicht immer sicher. Im Fall des Qfinder Pro von QNAP hat es geklappt (siehe Abbildung 40.2).
Abbildung 40.2 Gefunden: mein NAS
Sollten Sie das NAS weder im DHCP-Server noch mit dem Assistenten finden, bleiben noch einige wenige Möglichkeiten. Sie können versuchen, das Gerät per ping aus einem WindowsEingabefenster heraus anzusprechen. for /L %i in (1,1,254) do
@(ping -n 1 -w 20 192.168.1.%i|find ".%i: B")
Listing 40.1 gpListing
Es dauert ein wenig, weil von 192.168.1.1 bis 192.168.1.254 alle IPAdressen angepingt werden. Angezeigt werden nur die Stationen, die erreicht werden. Eine weitere Möglichkeit ist der Einsatz eines Portscanners wie nmap (https://nmap.org). Ich empfehle einen Scan des Webserver-Ports 80 mit folgendem Kommando: nmap -p 80 192.168.1.0/24 Das Ergebnis dauert nur wenige Sekunden, Sie bekommen sogar den Hersteller anhand der MAC-Adresse aufgelistet, so dass Sie üblicherweise direkt entscheiden können, welche IP-Adresse zu Ihrem NAS gehört. Ich empfehle Ihnen, über das NAS-Webinterface eine feste IPKonfiguration einzustellen. Ansonsten könnte es passieren, dass
die IP-Adresse des NAS wechselt und Sie die Konfiguration für die Netzlaufwerke anpassen müssen.
41 Virtualisierung In größeren Unternehmen wird Hardware zunehmend virtualisiert. Können ganze Server oder Netzwerke virtualisiert werden? Die Antwort lautet: »Ja!« Aber kann dies nicht auch eine Lösung für Ihr Netzwerk im Büro oder zu Hause sein? Zu den ersten Auflagen des Buches »PC-Netzwerke« gehörte bereits eine eigene Linux-Distribution mit dem Namen siegfried. Es handelt sich um einen kleinen, aber feinen Linux-Home-Server auf der Basis von KNOPPIX. Mit diesem Server konnten Sie mit einfachen Mitteln einen vorkonfigurierten Netzwerkserver für Ihr LAN installieren und Ihren Benutzern etliche Dienste bereitstellen. Der Nachteil bei der Installation eines solchen Servers ist, dass das Betriebssystem zunächst auf der von Ihnen ausgewählten Hardware installiert werden muss. Dafür muss es sehr alte und gleichzeitig sehr neue Komponenten unterstützen. Obwohl KNOPPIX eine große Menge an Hardware unterstützt, gibt es trotzdem immer wieder Probleme mit der Installation. Eine Virtualisierungssoftware hingegen gaukelt dem Betriebssystem des virtuellen Gastes eine Standardumgebung vor, egal, aus welchen Hardwarekomponenten Ihr PC in Wirklichkeit zusammengesetzt ist. Damit könnten Sie theoretisch noch in einigen Jahren die auf der damaligen Buch-DVD mitgelieferten Server in Ihrem LAN ohne die
Angst einsetzen, dass Ihre Hardwarekomponenten zur Entstehungszeit dieses Buches noch gar nicht existierten. Ein weiterer Vorteil der Virtualisierung ist die gewonnene Flexibilität. Ein Umzug der virtuellen Maschine auf einen anderen PC ist problemlos möglich. Außerdem können Sie mehrere virtuelle Maschinen gleichzeitig und unabhängig voneinander auf einem PC laufen lassen – und das auch mit völlig verschiedenen Betriebssystemen. Das spart Platz, Strom und damit Geld. Außerdem ist die Virtualisierungssoftware, die ich Ihnen vorstellen möchte, absolut kostenlos. Seit der dritten Version wird siegfried also nicht mehr als installierbares Linux geliefert, sondern als vorinstalliertes Image einer virtuellen Maschine mit allen damit verbundenen Vorteilen. In diesem Kapitel möchte ich Ihnen zeigen, wie Sie siegfried6 als virtuellen Homeserver aufsetzen können.
41.1 Hardwarevoraussetzungen Noch bevor Sie sich mit den virtuellen Maschinen (im Folgenden als Gast bezeichnet) befassen, sollten Sie sich noch ein paar Gedanken über die Hardware und das Betriebssystem des PCs machen, der die virtuellen Maschinen beheimaten soll (im Folgenden als Wirt bezeichnet). Ihr Wirt benötigt ein Betriebssystem. Dieses kann ein Windowsoder ein Linux-Betriebssystem Ihrer Wahl sein. Für den Anfang und zu Testzwecken empfehle ich Ihnen, einfach Ihren PC als Wirt zu verwenden.
Es muss genügend freier Speicherplatz vorhanden sein. Dabei ist unwichtig, ob sich dieser auf dem PC, einem externen Speichermedium oder auf einem NAS befindet. Es macht natürlich einen Unterschied, ob Sie die MP3-Musikdateien Ihrer Familie oder sensible Daten Ihrer Kollegen aus dem Büro auf dem Server ablegen wollen. Sehr wichtige private Daten und Unternehmensdaten sollten Sie nicht auf einer einzelnen Festplatte speichern. Dafür gibt es RAID-Controller oder ein Software-RAID.[ 37 ] Mit einem RAID halten Sie alle Daten gespiegelt auf zwei oder mehreren Festplatten vor. So gewinnen Sie eine höhere Datensicherheit und eventuell auch eine bessere Performance. Ein Hardware-RAID-Controller übernimmt genau diese Aufgabe. Falls Sie keinen solchen besitzen, können Sie die Vorteile ebenso gut auch mit einem Software-RAID nutzen. Sie fassen dazu Partitionen zu Mirror Devices zusammen. Die gebräuchlichsten RAIDTechniken sind RAID 0, RAID 1 und RAID 5. RAID 0: Striping verteilt die Datenblöcke (chunks) auf zwei Festplatten. Dadurch hat man keinerlei Fehlertoleranz. RAID 1: Mirroring bedeutet, dass alle Datenblöcke gespiegelt in mindestens zwei Partitionen vorgehalten werden. RAID 5 ist der Versuch, die Geschwindigkeitsvorteile von RAID 0 und die Sicherheit von RAID 1 zu vereinen. Es benötigt mindestens drei Partitionen auf verschiedenen Festplatten und ist in der Administration etwas anspruchsvoller. [!] Ein RAID ist erst ab mindestens zwei Festplatten sinnvoll. Zwei Partitionen auf einer Festplatte bringen keinerlei Gewinn. Doppelte Schreibzugriffe verringern sogar die Performance und die Lebensdauer Ihrer Festplatte.
Es ist nicht einfach, ein RAID komplett selbst zu administrieren und zu überwachen. Deshalb möchte Sie noch auf eine andere Möglichkeit aufmerksam machen: Sie können auch ein NAS (siehe Kapitel 40, »Netzwerkspeicher«) als Ablageort für die virtuellen Maschinen verwenden. Abhängig von den Aufgaben des Servers und Ihren persönlichen Ansprüchen an die Verfügbarkeit, Leistungsfähigkeit und Sicherheit müssen Sie sich außerdem mehr oder weniger Gedanken über die folgenden Fragen machen: Wie hoch sind die Ansprüche an Performance und Kapazität des Fileservers? Wo könnte ein Engpass entstehen? Lohnt sich eventuell eine Investition in eine schnellere Infrastruktur, oder reicht die alte Hardware? Wie gehe ich vor, wenn der Server aufgrund eines Hardwaredefektes ausfällt? Wie hoch darf die Ausfallzeit maximal sein, und wer kümmert sich, wenn ich nicht da bin, um die Behebung eines Fehlers? Reicht bei Datenverlust eine Wiederherstellung der Daten aus einem Backup aus? Oder sollen die Daten gespiegelt auf zwei Festplatten vorgehalten werden? Ist der physische Standort des Servers gut gewählt?
41.2 Oracle VM VirtualBox Die Virtualisierungssoftware Oracle VM VirtualBox bietet einen großen Funktionsumfang, z. B. eine vollwertige SnapshotFunktionalität. Sollte auf Ihrem Windows-System HyperV (siehe Abschnitt 26.12, »Client HyperV«) aktiviert sein, verwendet VirtualBox dieses anstelle der eigenen Plattform. Installation
Die Virtualisierungslösung Oracle VM VirtualBox ist auf Windows, macOS und allen gängigen Linux-Plattformen lauffähig. Sie finden die richtige Installationsdatei unter https://www.oracle.com/virtualization/technologies/vm/virtua lbox.html. An gleicher Stelle liegt das Oracle VM VirtualBox Extension Pack. Damit kommen folgende Erweiterungen zum Funktionsumfang von VirtualBox dazu: virtuelle USB-Controller Netzwerkbooten über PXE Fernsteuerung des Gastes über das VirtualBox Remote Desktop Protocol (VRDP) experimentelle PCI-Passthrough-Unterstützung für Linux-Hosts Ich empfehle die Installation dieses Extension Packs. Das geschieht über Datei • Globale Einstellungen … • Zusatzpakete • Paket hinzufügen.
Erste Schritte mit VirtualBox
Das Erzeugen einer virtuellen Maschine ist sehr leicht. Dies gilt besonders, wenn Sie den Umgang mit einer anderen Virtualisierungslösung bereits gewohnt sind. [o] Auch die virtuelle Maschine siegfried6 (siehe Kapitel 43, »siegfried6 – ein vielseitiger Server«) aus den Materialien zum Buch lässt sich problemlos in VirtualBox importieren (siehe Abbildung 41.1). Sie finden siegfried als im Open Virtualization Format (OVF) komprimierte virtuelle Maschine im Verzeichnis /appliances der Buch-DVD. Nach einem Klick auf Datei • Appliance importieren werden Sie durch den Import geführt.
Abbildung 41.1 Import von siegfried6 unter VirtualBox
Die Netzwerkanbindung können Sie konfigurieren, wenn Sie mit der Standardeinstellung DHCP für die Netzwerkkarte nicht einverstanden sind (siehe Abschnitt 27.8, »Netzwerkkarte unter SUSE einrichten«).
41.3 Virtuelle Netzwerke Sie können bis zu vier verschiedene Netzwerkkarten in einer virtuellen Maschine konfigurieren. Dabei können Sie jeweils zwischen sechs Netzwerkmodi wählen (siehe Abbildung 41.2). Der Adaptertyp bestimmt die Art der emulierten Hardware.
Abbildung 41.2 Netzwerkkonfiguration einer virtuellen Maschine unter VirtualBox
NAT
Mit der Einstellung NAT verwendet der Gast für externe Kommunikation die IP des Wirtes. Per DHCP (siehe Kapitel 19, »DHCP«) erhält er seine interne IP-Adresse. [»] Der IP-Adressbereich des Netzwerks 10.0.2.0/24 kann unter Windows mit dem Kommando VBoxManage.exe im VirtualBoxInstallationsverzeichnis geändert werden. Das Kommando VBoxManage.exe modifyvm siegfried6 --natnet1 "192.168.3.0/24" passt das NAT-Netzwerk für siegfried6 an.
Eine NAT-Netzwerkschnittstelle stellt für eingehende Verbindungen eine Firewall dar (siehe Abschnitt 14.5, »Network Address Translation«). Deshalb können Sie über die Schaltfläche PortWeiterleitungen Virtual-Server-Regeln einrichten. Netzwerkbrücke
Über eine Netzwerkbrücke (engl. bridge) wird der virtuelle Adapter direkt in das Netzwerk des Wirtsystems integriert. Im PromiscuousModus wird der virtuelle Switch-Port zu einem Hub-Port (siehe Abschnitt 6.1, »Ursprung von Ethernet«). Internes Netzwerk
Das interne Netzwerk ist ein virtuelles lokales Netzwerk, dem ausschließlich der Wirt und seine Gäste angehören können. Generischer Treiber
Ein generisches Netzwerk kann für folgende Zwecke verwendet werden: UDP-Tunnel: ein Netzwerktunnel zwischen Gästen auf unterschiedlichen Hosts Virtual Distributed Ethernet (VDE): ermöglicht die Integration von hostübergreifenden Netzwerk-Switches (z. B. Open vSwitch, http://openvswitch.org)
41.4 VMware Workstation Player Seit der Version 3 kann der VMware Workstation Player neue Gäste selbst erstellen. Zuvor konnte er virtuelle Maschinen lediglich abspielen. Die Liste der installierbaren Gastbetriebssysteme ist bemerkenswert lang. Installation
Es gibt jeweils 64-Bit-Installationsdateien für Windows und Linux. Die Installation unter Linux ist ähnlich einfach wie die unter Windows, jedoch abhängig von der jeweiligen Linux-Distribution. Im Verlauf der Installation müssen Sie zwei Verzeichnisse bestimmen. In das erste Verzeichnis werden die Programmdateien kopiert, das zweite Verzeichnis ist ein Speicherort für Ihre virtuellen Maschinen. Hier werden später die virtuellen Festplatten und die Konfigurationsdateien der Gäste abgelegt. Sollte auf Ihrem Windows-System HyperV (siehe Abschnitt 26.12, »Client HyperV«) aktiviert sein, kann der VMware Workstation Player dieses anstelle der eigenen Plattform verwenden. Erste Schritte mit dem VMware Workstation Player
[o] Sie finden siegfried6 (siehe Kapitel 43, »siegfried6 – ein vielseitiger Server«) komprimiert im Open Virtualization Format (OVF) im Verzeichnis /appliances. Virtuelle Maschinen in diesem Format können Sie über den Dialog Player • File • Open… importieren (siehe Abbildung 41.3).
Abbildung 41.3 siegfried6 wird als OVF importiert.
Virtuelle Netzwerke
Den Gastsystemen stehen drei vorkonfigurierte Netzwerkanbindungen zur Auswahl. VMnet0 (Bridged): Die Netzwerkkarte wird in ein Netzwerk des Wirtes überbrückt. VMnet1 (Host-only): Dies ist ein kleines Netzwerk ausschließlich zwischen dem Wirt und seinen Gästen. VMnet8 (NAT): Der Gast verwendet für die Kommunikation außerhalb der virtuellen Infrastruktur die IP des Wirtes. Für die Netzwerke Host-only und NAT startet VMware jeweils einen DHCP-Server (siehe Kapitel 19, »DHCP«). Für das Netzwerk VMnet0 ist dies nicht vorgesehen, da ein DHCP-Server im VMnet0 auch Clients im gesamten LAN versorgen und damit mit einem anderen DHCP-Server konkurrieren könnte. Das gilt es unbedingt zu vermeiden, damit IP-Adressen nicht doppelt vergeben werden.
41.5 Anpassungen des Gastbetriebssystems Die meisten Hersteller bieten Zusatzsoftware zur Installation in den Gast an, die in der Regel optimierte Treiber und Konfigurationsanpassungen bereitstellt. Unter VMware sollten immer die aktuellen VMware Tools installiert werden. Das Pendant von VirtualBox heißt Gasterweiterungen. [+] Achten Sie unbedingt auf aktuelle VMware Tools und Gasterweiterungen.
Falls das Betriebssystem ebenfalls Erweiterungen für Ihre Virtualisierungslösung anbietet, sollten Sie sie den Erweiterungen der Virtualisierungssoftware vorziehen.
41.6 Tuning Virtuelle Maschinen sind in der Regel langsamer als physische Hardware, da die Virtualisierungsschicht zusätzlich Performance verbraucht. Unter Beachtung einfacher Regeln halten Sie die Performanceeinbußen gering: Hauptspeicher: Beenden Sie überflüssige Anwendungen, die Speicher verbrauchen. Verzichten Sie unbedingt auf dynamische Bildschirmschoner. Festplatten: Verteilen Sie den Wirt und die Gäste auf mehrere Festplatten, falls vorhanden. Das erhöht die Leistungsfähigkeit deutlich.
41.7 Windows Sandbox Manchmal ist es wünschenswert, ganz unkompliziert und schnell einen Einweg-Test in einer abgesicherten Umgebung ausführen zu können, ohne zunächst eine virtuelle Maschine erstellen und mit einem Betriebssystem ausstatten zu müssen. Voraussetzung für die Nutzung von Sandbox ist eine CPU mit aktivierter Virtualisierungsunterstützung auf Ebene der Hardware und die Verwendung einer Windows-Version 10 oder 11 als Pro- oder Enterprise-Edition. Die Windows-Sandbox basiert auf HyperV (siehe Abschnitt 26.12, »Client HyperV«). Nachdem Sie die Sandbox über Windows-Features aktivieren oder deaktivieren • Windows-Sandbox aktiviert haben, erscheint ein gleichnamiger Eintrag im Windows-Startmenü. [!] Im Gegensatz zur Arbeit mit einer virtuellen Maschine gehen alle Änderungen einer Sitzung verloren, sobald Sie die Sandbox schließen.
42 Virtuelle Appliances Warum sollte man das Rad zweimal erfinden? Eines kann ich mit Sicherheit sagen: Man ist nur äußerst selten der Erste, der eine bestimmte Aufgabe zu bewältigen hat oder auf ein bestimmtes Problem stößt. Virtual Appliances sind vorinstallierte Softwarelösungen. Im Gegensatz zu Containern (siehe Kapitel 44, »Containertechnologie«), die den Kernel des Host-Betriebssystems nutzen, enthalten Virtual Appliances ein komplettes Betriebssystem. Sie finden fertige Appliances für verschiedene Virtualisierungslösungen und sehr viele Anwendungen im Internet. Eine von mehreren Quellen für virtuelle Appliances ist das VMwareTechnologienetzwerk VMTN (https://www.vmware.com/vmtn). Ein Vorteil dieser vorgefertigten virtuellen Maschinen ist der Zeitgewinn. Die gewünschte Lösung muss nur aus dem Internet heruntergeladen und kann in der Regel sofort ausprobiert werden. Auch die VMware Tools, die regelmäßig in den Gast installiert werden müssen, bringen die meisten Appliances bereits mit. In den folgenden Abschnitten möchte ich Ihnen einige Beispiele für den sinnvollen Einsatz von vorgefertigten virtuellen Maschinen geben.
42.1 IP-Adressen der virtuellen Maschinen Alle Virtual Appliances, die ich Ihnen in diesem Kapitel vorstelle, sind als Server für Ihr LAN gedacht. Ich empfehle Ihnen, die Netzwerkkarte der virtuellen Maschine zum Ausprobieren zunächst in das Host-only-Netzwerk zu hängen. Sollten Sie später die Dienste dieser Maschine im gesamten LAN nutzen wollen, müssen Sie die Maschine nur noch in das Bridged-Netzwerk umhängen. VirtualBox verwendet die Bezeichnung Netzwerkbrücke. Sie werden bemerken, dass alle Virtual Appliances als DHCP-Client konfiguriert sind. Das ist äußerst sinnvoll, da die virtuelle Maschine so in jedem LAN ohne viel Konfigurationsaufwand genutzt werden kann. Ich empfehle Ihnen dringend, bei der Arbeit mit Virtual Appliances einen DHCP-Server für Ihr LAN einzurichten. Dafür bietet sich z. B. ein Hardware-DSL-Router an, der diese Funktionalität in der Regel mitbringt. Welche Adresse hat die Maschine nun zugewiesen bekommen? Sie müssen sich nicht unbedingt auf dem Router oder der virtuellen Maschine anmelden, um das herauszufinden. Die der virtuellen Maschine vom DHCP-Server zugewiesene IP-Adresse finden Sie – falls die VMware Tools beziehungsweise die Gasterweiterungen von VirtualBox im Gast installiert sind – direkt in der grafischen Benutzeroberfläche.
42.2 Web Proxy Appliance Ein Proxy dient als Stellvertreter für den Zugang zum Netz (siehe Abschnitt 38.3, »Proxy«). Dabei bietet er einige Zusatzleistungen, die sowohl für den professionellen als auch für den privaten Bereich sehr wertvoll sind. [»] Eine Anwendung ist das Filtern von Daten. Viele Unternehmen beschränken z. B. den Zugriff auf die Videoplattformen, um die Netzlast nicht unnötig zu strapazieren. Eine weitere interessante Funktion ist das Filtern von Inhalten. Verschiedene Inhalte können dabei geblockt werden, z. B. auf der Basis von Internetadressen oder Schlagwörtern. Gerade Familien oder Schulen können ihre Kinder so wirksam vor jugendgefährdenden Seiten schützen. Zu den unerwünschten Inhalten des Internets gehören natürlich auch Viren und andere Schadsoftware. Diese können vom Proxy ebenfalls erkannt und unschädlich gemacht werden. Weitere Möglichkeiten des Jugendschutzes auf der Basis Ihres Netzwerks finden Sie in Abschnitt 20.4.2, »DNS als Filter«, und Abschnitt 26.6, »Jugendschutz«. Die Firma Artica (http://articatech.net) bietet eine Proxy Appliance an, von der ich einige Bestandteile und Merkmale erwähnen möchte: Squid, die Proxysoftware (http://www.squid-cache.org) UfdbGuard, ein Webfilter (https://sourceforge.net/projects/ufdbguard) SafeSearch, ein Filter für Suchmaschinen-Ergebnisse die Einbindung externer Virenscanner
einfache Administration samt Updatemechanismus
42.2.1 Einbinden der virtuellen Maschine Auf der Seite https://sourceforge.net/projects/artica-squid/files/ESXIvirtual-appliance finden Sie das aktuelle Image der virtuellen Appliance. Diese eigentlich für VMware ESXi entwickelte Appliance kann jedoch auch in VirtualBox (siehe Abschnitt 41.2, »Erste Schritte mit VirtualBox«) und in den VMware Player (siehe Abschnitt 41.4, »Erste Schritte mit dem VMware Player«) importiert werden. Eventuelle Warnungen aufgrund von nicht exakt übereinstimmenden Hardwarespezifikationen können Sie ignorieren. Um die CPU- und Memory-Ressourcen des HostsSystems zu schonen, müssen Sie die vorgeschlagenen Werte der Appliance eventuell anpassen.
Abbildung 42.1 Artica teilt seine IP-Adresse mit.
Nach dem Start der virtuellen Maschine meldet sich der Proxy auf der Konsole und teilt seine aktuell konfigurierte IP-Adresse mit (siehe Abbildung 42.1). Neben der IP-Konfiguration legen Sie hier auch administrative Zugriffsmöglichkeiten und Passwörter fest.
Mit einem Browser kommen Sie über https://:9000 auf die Administrationsoberfläche der Appliance. Das selbstsignierte Serverzertifikat (siehe Abschnitt 36.10, »Verschlüsselte Kommunikation mit Servern«) akzeptieren Sie, bevor Sie ein Assistent durch die grundlegende Konfiguration führt. Sie können z. eine DNS-Konfiguration festlegen (siehe Kapitel 20, »Namensauflösung«). Verwenden Sie den Benutzernamen Manager und das von Ihnen festgelegte Passwort für die Anmeldung an der Weboberfläche. Mit Hilfe des Webfilters können Sie auf der Basis vorkonfigurierter Kategorien Inhalte ausschließen.
42.2.2 Den Proxy Squid verwenden Die Konfiguration des Proxyservers ist abhängig vom verwendeten Browser. Als Port tragen Sie »3128« ein, den Standardport von Squid. Ziele in Ihrem eigenen LAN sollten Sie vom Proxy ausnehmen.
Abbildung 42.2 Die Proxyeinstellungen des Browsers Edge
[»] Für den Microsoft-Browser Edge (siehe Abschnitt 26.16, »Microsoft Edge«) konfigurieren Sie den Proxy nicht mehr im Browser selbst. Sie richten den Proxy in den Einstellungen unter Netzwerk und Internet • Proxy ein (siehe Abbildung 42.2). Diese Eingabemaske erreichen Sie über Einstellungen • Erweiterte Einstellungen anzeigen • Proxyeinstellungen öffnen alternativ auch direkt aus Edge heraus. Wenn Sie den Schiebeschalter Proxyserver verwenden auf Ein umstellen, können Sie die Adresse und den Port Ihres Proxyservers eingeben. Wenn Sie es wünschen, führen Sie Kommunikation innerhalb Ihres eigenen Netzwerks mit der Option Proxyserver nicht für lokale Adressen (Intranet) verwenden am Proxy vorbei.
Abbildung 42.3 Die Proxyeinstellungen des Browsers Firefox
[»] Im Firefox wird der Proxy über Extras • Einstellungen • NetzwerkProxy konfiguriert. Aktivieren Sie die Option Manuelle ProxyKonfiguration, und tragen Sie die IP-Adresse des Proxyservers ein (siehe Abbildung 42.3). [»] Die vom Browser Google Chrome verwendeten Systemeinstellungen öffnen Sie über Einstellungen • Erweitert • System • Proxy-Einstellungen öffnen • Einstellungen (siehe Abbildung 42.4).
Abbildung 42.4 Die Proxyeinstellungen des Browsers Chrome
42.2.3 Proxy unter macOS konfigurieren Unter macOS konfigurieren Sie einen Proxyserver für jede Netzwerkschnittstelle einzeln. In der Ansicht Netzwerk der Systemeinstellungen rufen Sie hierzu das Panel für die erweiterten Einstellungen mit der Schaltfläche Weitere Optionen auf. Wechseln Sie in die Ansicht Proxies. Dort können Sie für die einzelnen Protokolle die Nutzung eines Proxyservers aktivieren und dessen IP-Adresse, den Netzwerkport und – falls benötigt – Authentifizierungsdaten eingeben. Beachten Sie, dass Sie diese Änderungen nach Klicks auf die Schaltflächen OK und Anwenden auch aktivieren müssen.
Diese Proxyeinstellungen wirken für die meisten Programme, die unter macOS laufen. Ausnahmen sind solche Programme, die die Standardkonfigurationen des Betriebssystems nicht beachten.
Abbildung 42.5 Die Nutzung von Proxyservern wird in den erweiterten Einstellungen einer Netzwerkschnittstelle festgelegt.
42.2.4 Webfilter Sie können nun unter Your System • Features Proxy features den Proxy service und die Web-Filtering Engine installieren. [»] Zunächst definieren Sie unter Web-Filtering • Filtering rules die Regel Default mit Inhalten, die für alle Nutzer des Proxyservers gelten sollen. In diesem Beispiel sind das die Kategorien Malwares und Phishing (siehe Abbildung 42.6). Nach einem Klick auf Apply treten die zusätzlichen Regeln in Kraft. Unerwünschter Inhalt wird geblockt (siehe Abbildung 42.7). Um spezifischere Regeln zu erstellen, die sich z. B. auf eine spezielle
Benutzergruppe in einem LDAP-Benutzerverzeichnis oder mit einem bestimmten IP-Adressraum beziehen, duplizieren Sie die Regel Default und verknüpfen sie nach einem Klick auf Sources mit diesem Personenkreis.
Abbildung 42.6 Sie bestimmen, welche Kategorien Ihr Proxy filtert.
Abbildung 42.7 Eine Chat-Seite wird vom Proxy gefiltert.
42.3 Asterisk Appliance Beim Wort Asterisk denken viele zunächst an ein kleines gallisches Dorf und seinen Bewohner Asterix. Tatsächlich steht das Wort »asterisk« im Englischen für das Sternchen »*«. Dieses ist in der IT häufig ein Platzhalter für beliebige und beliebig viele Zeichen. Genau das spiegelt die Philosophie von Asterisk wider: Es kann beliebige und beliebig viele Aufgaben einer TK-Anlage übernehmen. Die Appliance Incredible PBX (https://incrediblepbx.com) ermöglicht Ihnen den einfachen und bequemen Einstieg in das Thema Asterisk PBX.
42.3.1 Einbinden der virtuellen Maschine Auf der Seite https://sourceforge.net/projects/pbxinaflash/files finden Sie Installationsdateien für diverse Plattformen. Sie können diese virtuelle Maschine sowohl in VirtualBox (siehe Abschnitt 41.2, »Erste Schritte mit VirtualBox«) als auch im VMware Player (siehe Abschnitt 41.4, »Erste Schritte mit dem VMware Player«) betreiben. Für Incredible PBX gibt es eine Vielzahl alternativer Installationsmöglichkeiten, z. B. auch auf einem Raspberry Pi (siehe Kapitel 54, »Raspberry Pi«).
42.3.2 Incredible PBX konfigurieren Mit dem Benutzer root und dem Passwort password melden Sie sich auf der Konsole an. Mit (¢) bestätigen Sie die initiale Installation
und Konfiguration und melden sich nach dem Neustart nochmals an. Während der weitergehenden Konfiguration von Incredible PBX teilt Ihnen die Appliance auf der Konsole die vom DHCP-Server erhaltene IP-Adresse mit. Mit dieser Information können Sie sich mit einem Browser an der Oberfläche von Incredible PBX anmelden (siehe Abbildung 42.8).
Abbildung 42.8 Incredible PBX im Überblick
Der für die Systemkonfiguration genutzte Webmin (siehe Abschnitt 43.5, »Webmin«) horcht auf Port 9001. In der Administrationsoberfläche des Webmin vergeben Sie über Networking • Network Configuration • Network Interfaces eine statische IP-Adresse (siehe Abbildung 42.9). Das Passwort des Benutzers admin für die Weboberfläche von Incredible PBX können Sie auf der Konsole mit dem Skript adminpw-change anpassen.
Abbildung 42.9 Webmin als Administrationsoberfläche von Incredible PBX
42.3.3 Telefone konfigurieren [»] Ich möchte Ihnen in diesem Abschnitt zeigen, wie Sie zwei SIPClients einrichten, die dann direkt oder auch über einen SIPProvider miteinander telefonieren können. Im Dialog unter Applications • Extensions • Add Extension • Add New SIP (Legacy) [chan_sip] Extension tragen Sie die Durchwahl – z. B. 100 – im Feld User Extension ein. Legen Sie im Feld Display Name den Namen des Teilnehmers fest. Die folgenden Werte sind optional: CID Num Alias: eine nur intern verwendete Anzeige SIP Alias: SIP-Adresse für direkte Anrufe Outbound CID: externe Rufnummernanzeige Ring Time: Zeit in Sekunden bis zur Sprachbox
Call Waiting: Anklopfen Call Screening: erzwingt Identifizierung der Anrufer Emergency CID: Rufnummernanzeige bei Notrufen DID Description: Beschreibung Add Inbound DID: eingehend erreichbare Durchwahl Add Inbound CID: eingehende Rufnummer DTMF Signaling: Verfahren für die Tastentöne Recording Options: Aufzeichnung eingehender und ausgehender Gespräche Es bleibt das Feld Secret. Hier bestimmen Sie ein Passwort für den Client, mit dem dieser sich dann gegen Asterisk authentifizieren kann. Klicken Sie abschließend auf die Schaltfläche Submit am Ende der Seite, und wiederholen Sie den Vorgang für die Durchwahl 200. In der Menüleiste erscheint nun die Schaltfläche Apply Config. Mit einem Klick hierauf werden alle Einstellungen wirksam. Konfigurieren Sie nun einen SIP-Client, z. B. die Software PhonerLite (siehe Abschnitt 47.7.2, »PhonerLite«). Tragen Sie dazu folgende Werte ein: Proxy/Registrar: Benutzername: 100 oder 200 Kennwort:
Abbildung 42.10 Asterisk mit zwei registrierten SIP-Clients
Wenn Sie alles richtig eingetragen und gespeichert haben, sollte sich der SIP-Client registrieren. Dies können Sie überprüfen, indem Sie im Menü Reports auf den Menüpunkt Asterisk Info klicken. Abbildung 42.10 zeigt zwei registrierte SIP-Clients, auch SIP Peers genannt. Diese können nun schon intern miteinander telefonieren. Über die Rufnummer (*) (9) (7) erreichen Sie die Mailboxansage.
42.3.4 SIP-Provider konfigurieren Eine Telefonanlage ohne Verbindung zur Außenwelt ist nur in wenigen Fällen interessant. Mit wenig Aufwand ist die Anbindung eines SIP-Providers möglich. [»] Im folgenden Beispiel werde ich die Vorgehensweise für den Provider Sipgate (https://www.sipgate.de) aufzeigen. Selbstverständlich können Sie andere Provider ebenfalls nutzen, auch mehrere gleichzeitig. Klicken Sie im Asterisk-Menü auf Connectivity • Trunks • Add Trunk • Add SIP (chan_sip) Trunk. Vergeben Sie als Trunk Name jeweils Sipgate und als Outbound CallerID die ausgehende Rufnummer. Außerdem
tragen Sie folgende PEER Details im Bereich sip Settings • Outgoing ein: type=peer
host=sipgate.de
outboundproxy=sipgate.de
nat=yes
port=5060
username=
fromuser=
secret=
fromdomain=sipgate.de
dtmfmode=rfc2833
insecure=port,invite
canreinvite=no
registertimeout=600
disallow=all
allow=alaw
allow=ulaw
Listing 42.1 gpListing
Der User Context unter Incoming ist Ihre Sipgate-ID, die User Details müssen bei einigen Providern angepasst werden. secret=
type=user
context=from-trunk
Listing 42.2 gpListing
Als Register String tragen Sie Folgendes ein: :@sipgate.de/ Klicken Sie
nun auf Submit und Apply Config. Hiermit haben Sie nun die Verbindung zu Sipgate geschaffen. Mit dem Kommando asterisk rx "sip show registry" prüfen Sie im Command Line Interface von Asterisk auf der Konsole den Status der Registrierung. Der Trunk sollte Registered sein. Es fehlt natürlich noch eine Regelung dafür,
wie mit aus- und eingehenden Anrufen jeweils verfahren werden soll. Ausgehende Anrufe werden über den Punkt Connectivity • Outbound Routes • Add Outbound Route angelegt. Zunächst konfigurieren Sie eine Route zur Testrufnummer 10000. Wählen Sie als Route Name SipgateTest, tragen Sie unter match pattern 10000 ein, und legen Sie den zuvor konfigurierten Trunk Sipgate fest. Klicken Sie jetzt auf Submit. Wenn Sie ein Guthaben für externe Gespräche haben, könnten die Dial Patterns aus Tabelle 42.1 sinnvoll sein. Name
Pattern
Bedeutung
Sprachbox
50000
Anrufbeantworter
Lokal
ZXXX.
Ortsnetz (mindestens vierstellig)
National
0ZX.
ohne Länderkennung
Europa
00[34]X.
nur europäische Länder
International
00XX.
alle Länder
Alles
.
keine Beschränkung
Tabelle 42.1 Wählmuster (Dial Patterns)
Jetzt fehlt noch die Konfiguration für die eingehenden Anrufe. Klicken Sie dazu auf Connectivity • Inbound Routes. Eine gegebenenfalls bestehende Inbound Route können Sie bearbeiten. Geben Sie unter Description »Sipgate eingehend« ein. Als Destination wählen Sie die Extension aus. Wenn diese Lösung Sie begeistert und Sie noch weitere Möglichkeiten nutzen wollen, dann könnten folgende Punkte für Sie interessant sein:
Ring Groups: mehrere Durchwahlen, die eine Gruppe bilden und gleichzeitig, nacheinander usw. klingeln Voicemail: Sprachnachrichten als E-Mail mit Dateianhang Music on Hold: Wartemusik
43 siegfried6 – ein vielseitiger Server Ihr LAN funktioniert, doch Sie wollen mehr Komfort für sich und die Benutzer? Sie werden in diesem Kapitel erfahren, wie leicht Sie einen Server einrichten können, der Ihnen das Leben sehr viel angenehmer macht. Der Begriff Server ist nicht eindeutig definiert. Das Wort Server kommt von »dienen« (engl. serve). Ein Server ist also ein Diener, ein Computer, der seine Dienste in Form von Services anbietet. Die deutsche Übersetzung von Service, die unter anderem Microsoft verwendet, ist Dienst. [»] Ein DHCP-Dienst eines Windows-Betriebssystems entspricht ziemlich genau einem DHCP-Server unter Linux. In beiden Fällen ist nicht die Hardware gemeint, sondern die dort installierte Software DHCP. Wenn also jemand einen DHCP-Server, DNS-Server, DSL-Server, Telnet-Server, FTP-Server, Webserver und einen Fileserver zu Hause betreibt, bedeutet das nicht, dass derjenige in seiner Wohnung insgesamt mindestens sieben Computer untergebracht haben muss. Vermutlich handelt es sich sogar um nur einen einzigen Rechner, der all diese Aufgaben zugleich wahrnimmt. Andererseits kann man mit dem Wort Server auch eine Hardwareeinheit beschreiben, z. B. einen Computer als Server für
Ihr LAN. Diese Hardware kann – wie im Fall von siegfried6 – auch virtualisiert sein.
43.1 Motivation – oder: Warum ausgerechnet Linux? Administratoren – ob zu Hause oder im Beruf – richten ihren Benutzern im Netzwerk Dienste ein, die von diesen Benutzern dann genutzt werden können. Diese Dienste werden zentral auf einem oder mehreren Rechnern installiert. Für den Serverbetrieb gibt es viele Betriebssysteme. Seit Jahren macht dabei ein Betriebssystem durch hohe Zuwachsraten auf sich aufmerksam, da es stabil und gleichzeitig sehr kostengünstig ist: Linux. Linux ist ein freies Betriebssystem. Frei bedeutet hier in erster Linie quelloffen. Das heißt, neben den lauffähigen Programmen werden immer auch die dazugehörigen Quellcodes veröffentlicht. Eine große Anzahl von Programmierern auf der ganzen Welt arbeitet unentgeltlich an der Weiterentwicklung. Deshalb entwickelt sich Linux so rasant und ist gleichzeitig eines der sichersten Betriebssysteme: Der Quellcode der Programme wird von vielen Entwicklern geschrieben und von unzähligen Augen Korrektur gelesen. Der Kern des Betriebssystems (Kernel) und die meisten Anwendungen stehen unter der GNU Public License (GPL). Das bedeutet, die Software darf frei verwendet und für beliebige Zwecke angepasst werden. Keine Innovation der letzten Zeit hat die IT-Branche annähernd so durcheinandergewirbelt wie das Betriebssystem mit dem kleinen
Pinguin als Logo (siehe Abbildung 43.1).
Abbildung 43.1 Tux, der Linux-Pinguin
Ich habe mich entschieden, openSUSE Leap 15 (https://www.opensuse.org) als Grundlage für siegfried6 zu verwenden, da die Distribution aus Nürnberg im deutschsprachigen Raum weitverbreitet ist. Wenn Sie nicht bereits ein gestandener UNIX- oder Linux-Nutzer sind, möchten Sie vielleicht jetzt oder später einmal wissen, was im Hintergrund passiert und wie Sie etwas tiefer in das System einsteigen. Dafür müssen Sie zwangsläufig auf der Kommandozeile und mit einem geeigneten Editor arbeiten. Dies ist am Anfang sehr gewöhnungsbedürftig, lohnt sich aber. Ich kenne niemanden, der die Kommandozeile als Administrationswerkzeug gegen seine Maus zurücktauschen möchte.
Eine Hilfe für den Anfang finden Sie in Anhang A, »LinuxWerkzeuge«. Für siegfried6 sind diese vertieften Kenntnisse der Kommandozeile jedoch keine zwingende Voraussetzung, da siegfried mit Webmin (http://www.webmin.com) zusätzlich eine übersichtliche und leicht zu bedienende grafische Oberfläche bietet. Wenn Sie den Linux-Server einmal eingerichtet haben, werden Sie nur noch minimalen Administrationsaufwand haben. Sie sollten allerdings regelmäßige Sicherungen (engl. backups) der Daten durchführen.
43.2 Aufgaben Ihres Netzwerkservers Sie wissen besser als ich, welche Aufgaben ein Netzwerkserver in Ihrem LAN erfüllen muss. Ich könnte mir z. B. folgende nutzbringende Anwendungen vorstellen: DHCP-Server: Der DHCP-Server verteilt dynamische und möglicherweise auch statische IP-Adressen. Fileserver: Er stellt Netzlaufwerke bereit, auf denen Daten abgelegt und dann zentral gesichert werden. Drucker-Spooler: Jeder Benutzer im LAN sollte auf jedem Drucker drucken können. Möglicherweise gibt es auch zentrale Drucker, z. B. Etagendrucker. Dies schließt das Erzeugen von PDFDokumenten ein. Mailserver: Die E-Mail-Konten der Mitarbeiter im LAN liegen auf dem Netzwerkserver. Bei Bedarf holt dieser Mails ab und verschickt sie ins Internet. Der Zugriff auf die Konten erfolgt mittels IMAP. Downloadserver: Mit einem entsprechenden Dienst auf dem Netzwerkserver verwenden Sie diesen als Downloadmanager im Internet. Time-Service: Ihr Server synchronisiert die Zeit im LAN. Sie brauchen sich nicht mehr um die Umstellung von Sommer- auf Winterzeit und umgekehrt zu kümmern, und alle Uhren laufen synchron.
Dies ist sicherlich keine geschlossene Liste; sie könnte beliebig verlängert und erweitert werden. Natürlich lohnt ein zentraler Netzwerkserver umso mehr, wenn Sie mit ihm mehrere PCs versorgen können. Erst dann kann durch Zentralisierung von Aufgaben effektiv Zeit und Sicherheit (z. B. durch Backups) gewonnen werden. [!] Ausdrücklich möchte ich davor warnen, diesen Server gleichzeitig zum Router für das Internet zu machen, denn auf ihm sind viele wichtige Daten gespeichert. Deshalb sollte er nicht direkt aus dem Internet erreichbar sein. Ein solcher Server ist angreifbar. Ausgerechnet auf ihn auch Ihre Daten zu legen, wäre daher tollkühn.
43.3 Einbinden der virtuellen Maschine [o] Sie finden siegfried als komprimierte virtuelle Maschine im Verzeichnis /appliances bei den Materialien zum Buch. Sie benötigen dazu das Packprogramm 7-Zip aus dem Verzeichnis /software/sonstiges. Nach dem Start der virtuellen Maschine können Sie sich an der grafischen Konsole mit dem Benutzernamen siegfried und dem Passwort pcnetzwerke anmelden. Es startet die Desktopumgebung KDE (siehe Abbildung 43.2).
Abbildung 43.2 Der KDE-Desktop unter siegfried6
43.4 Das B-Tree-Dateisystem Ein Dateisystem dient der Verwaltung der Dateien auf einem Laufwerk. openSUSE geht in aktuellen Versionen einen mutigen Schritt und verwendet das B-Tree Filesystem (btrfs) als StandardDateisystem des Wurzelverzeichnisses (engl. root partition). Dieses Dateisystem weist einige Ähnlichkeiten mit dem von der Firma Sun Microsystems entwickelten ZFS auf, ist aber noch nicht gleichermaßen ausgereift. Das B-Tree Filesystem bietet einige Vorteile: Vorhandene extX-Partitionen können offline in btrfs-Partitionen umgewandelt werden. Das Dateisystem umfasst eine optionale Komprimierung. Ein integrierter Volume Manager, der auch RAID beherrscht, macht den Logical Volume Manager (LVM) für btrfs weitgehend überflüssig. Devices lassen sich im laufenden Betrieb hinzufügen und entfernen. Wie ZFS unterstützt btrfs Copy-On-Write (COW). Geänderte Blöcke werden nicht überschrieben, sondern auf bis dahin ungenutztem Platz abgelegt. Anschließend wird der Verweis im Filesystem vom alten Block in den neuen Block geändert. Sehr interessant sind die Filesystem-Snapshots. Sie belegen natürlich etwas Platz, lassen sich aber mit ein wenig Erfahrung als einfache und schnelle Sicherung vor Updates oder Änderungen der Konfiguration verwenden. Mit Subvolumes unterteilen Sie ein großes Dateisystem und können Snapshots für Teilmengen erstellen oder auch Teile des
Dateisystems von einem Snapshot ausnehmen. Ein B-Tree-Filesystem können Sie jederzeit im laufenden Betrieb vergrößern, verkleinern oder defragmentieren. openSUSE legt vor Installationen und Updates mit dem Kommando zypper automatisch einen btrfs-Snapshot an. Außerdem werden im Turnus mehrere Snapshots angelegt (siehe Abbildung 43.3).
Abbildung 43.3 Mit der Zeit kommen viele Snapshots zusammen.
Wie oft z. B. Snapshots des Root-Filesystems angelegt werden und wie lange sie dann aufbewahrt werden sollen, können Sie in der Datei /etc/snapper/configs/root einsehen und anpassen. openSUSE legt die Snapshots lesbar im Verzeichnis /.snapshots/ ab. Mit dem YaST2-Modul Snapper, zu finden unter YaST2 • System • Dateisystemschnappschuss, haben Sie Ihre Snapshots immer im Blick und können bei Bedarf auch neue Snapshots erzeugen.
43.5 Webmin Webmin ist installiert und von mir so konfiguriert, dass Sie nach der Installation von jedem PC im LAN darauf zugreifen können. Sie müssen dem Server wie in Kapitel 27, »Linux einrichten«, beschrieben eine Netzwerkkonfiguration verpassen, dann können Sie mit der URL https://:10000 direkt loslegen und sich mit dem Benutzer siegfried und dem Passwort pcnetzwerke anmelden. Wichtig ist, dass die Namensauflösung für den Netzwerkserver funktioniert. Wenn nicht, müssen Sie die IP-Adresse der virtuellen Maschine anstelle des Namens verwenden. Webmin ist unterteilt in verschiedene Kategorien. Innerhalb der Kategorien Webmin, System, Server, Werkzeuge, Netzwerk, Hardware, Cluster und Sonstiges finden Sie Module oder Modulgruppen, die Sie durch Anklicken aufrufen können. Webmin kennt und verwendet verschiedene Eingabehilfen. Am häufigsten sind Felder, deren Inhalt Sie einfach mit der Tastatur verändern können. Für Sprünge zwischen den Feldern können Sie wahlweise die Maus oder (ÿ) verwenden. Links zu anderen Seiten sind wie von Webseiten gewohnt unterstrichen. Diese Links können Sie genauso wie die Webmin-Symbole anklicken. Manchmal sind auch die Feldbeschreibungen als Link gekennzeichnet. Das bedeutet, dass sich mit einem Klick ein Hilfefenster für dieses Feld öffnet. Auf dieser Seite finden sich auch Beispiele für verschiedene Auswahlmöglichkeiten.
43.6 DHCP-Server Sie möchten flexibel und schnell unterschiedlichste Netzwerkteilnehmer von einer Stelle aus in Ihr LAN integrieren? Mit einem DHCP-Server werden Netzwerkkonfigurationen an zentraler Stelle verwaltet. Ein Client im Netzwerk stellt eine BroadcastAnfrage an alle anderen Teilnehmer im LAN und erhält als Antwort z. B. eine IP-Adresse, Netzwerkmaske, einen Routingeintrag und einen Hostnamen. Dabei können die Einträge entweder fest anhand der MAC-Adresse des Clients oder aber dynamisch aus einem Pool vergeben werden. Die theoretischen Grundlagen zum DHCP-Server können Sie in Kapitel 19, »DHCP«, nachlesen. Die Webseite des Moduls Server • DHCP Server ist in vier Bereiche unterteilt (siehe Abbildung 43.4). Im oberen Teil werden die Subnetze definiert, für die der DHCP-Server zuständig sein soll. Im zweiten Bereich werden dann die einzelnen Rechner den im oberen Teil festgelegten Netzen zugeordnet, oder ihnen werden direkt IPAdressen zugewiesen. Der dritte Bereich ist dazu da, DNSZonen (siehe Abschnitt 20.4, »DNS«) zu definieren. Die Schaltflächen im unteren Abschnitt sind von besonderem Interesse. Mit der Schaltfläche Liste aktive Vergaben auf erhalten Sie einen Überblick über die aktuell vergebenen Adressen, soweit es sich nicht um mittels Hosteintrag statisch vergebene Adressen handelt. Mit einem Klick auf Server starten bzw. Änderungen anwenden starten Sie den DHCP-Server. Die Schaltfläche wechselt abhängig davon, ob der DHCP-Dienst gerade läuft oder nicht. Ein Klick auf diese Schaltfläche ist unbedingt erforderlich, wenn Sie die Konfiguration geändert haben.
In der Maske, die sich hinter Bearbeite Client-Einstellungen verbirgt, werden globale Vereinbarungen getroffen, die dann an alle Subnetze vererbt werden. Einige Einstellungen (z. B. den Routingeintrag) könnten Sie auch hier vornehmen, allerdings bevorzuge ich wegen der besseren Übersichtlichkeit die Konfiguration des jeweiligen Subnetzes an einer einzigen Stelle.
Abbildung 43.4 Der DHCP-Server im Überblick
[»] Sie möchten einen kleinen DHCP-Server für Ihr Büro zu Hause aufsetzen. In Ihrem Büro stehen drei Computer und der DHCPServer. Zusätzlich bringen Sie manchmal Laptops aus der Firma mit nach Hause. Die Laptops sind von den Administratoren in Ihrer Firma so konfiguriert, dass sie ihre Netzwerkkonfiguration per DHCP aus dem Netz beziehen. Zwecks Datenaustauschs möchten Sie die Laptops schnell in Ihr LAN integrieren, ohne die Konfiguration ändern zu müssen. Außerdem sollen im Moment noch nicht genau bestimmbare DHCP-Clients in Zukunft per DHCP als Teilnehmer in Ihr LAN integriert werden.
Die wichtigsten Informationen für die Kommunikation in Ihrem LAN sind natürlich die IP-Adresse und die Netzwerkmaske. Dieses Beispiel behandelt das Netzwerk 192.168.1.0/255.255.255.0. Den Computern Rechner1, Rechner2 und Rechner3 soll anhand der MAC-Adresse eine feste IP-Adresse (192.168.1.1, 192.168.1.2, 192.168.1.3) zugeordnet werden. Die noch unbekannten Laptops aus der Firma und andere Netzwerkkomponenten sollen mit einer IPAdresse ab 192.168.1.201 versorgt werden. Mit einem Klick auf Ein neues Subnet hinzufügen legen Sie ein Subnetz für Ihr LAN an. Sie können eine Beschreibung für das Netz eintragen. Dann geben Sie die Netzwerkadresse und die Netzwerkmaske Ihres Netzwerks zu Hause ein. Im nächsten Schritt wird ein Adressbereich für die Clients bestimmt, die eine freie IPAdresse vom DHCP-Server bekommen sollen. Ich vergebe in diesem Beispiel absichtlich nur Adressen von 192.168.1.201 bis 192.168.1.250, da ich die Adressen bis 192.168.1.254 für zukünftige administrative Aufgaben freihalten möchte. Mit einem Klick auf Erstellen schreiben Sie die Konfiguration des DHCP-Servers (siehe Abbildung 43.5).
Abbildung 43.5 Ein DHCP-Subnet für das LAN zu Hause
Die Konfiguration für das DHCP-Subnetz ist nun fertig. Mit einem Klick auf das Subnetz 192.168.1.0 gelangen Sie in eine der bereits bekannten Masken für ein neues Subnetz, in der Sie nun die Konfiguration überprüfen und bei Bedarf Änderungen vornehmen können. Nun können Sie ausgehend von dieser Maske die Einträge für die PCs Rechner1, Rechner2 und Rechner3 festschreiben. Sollten diese DHCP-Clients nun eine Anfrage an den aktivierten DHCPServer stellen, bekämen sie aktuell eine dynamische Adresse aus dem Bereich 192.168.1.201 bis 192.168.1.250. Um für einzelne PCs eine bestimmte IP-Adresse aus diesem Pool fest zu vergeben, legen Sie jeweils mit einem Klick auf Einen neuen Host hinzufügen einen Eintrag für jeden der drei Rechner an (siehe Abbildung 43.6). Wichtige Felder sind insbesondere der Rechnername, die IP-Adresse und die Ethernet-Adresse. Die Hosteinträge können Sie aus der allgemeinen Übersicht heraus mit einem Klick auf den Hostnamen ändern oder löschen. [!] Der DHCP-Server darf selbst kein DHCP-Client sein. Wenn dieser Server gebootet oder das Netzwerk neu gestartet wird, dann fragt der DHCP-Client nach einer Konfiguration auf IPEbene. Eine Antwort kann es nicht geben, da der DHCP-Server noch nicht gestartet ist. Er wird auch nicht starten, da der Netzwerkadapter eth0 noch nicht aktiv ist. Ein Teufelskreis!
Abbildung 43.6 DHCP-Hosteintrag erstellen
Einige wichtige Funktionen des DHCP-Servers fehlen allerdings noch. So haben die Clients im LAN beispielsweise noch keinen Routingeintrag. Mit einem erneuten Klick auf das Subnetz 192.168.1.0 gelangen Sie in eine Maske, in der Sie die Schaltfläche Bearbeite Client-Einstellungen betätigen. Sie erhalten die Gelegenheit, abweichend von den globalen Einstellungen nur für das Subnetz Vereinbarungen zu treffen. Hier sollten Sie – soweit vorhanden – den Standardrouter, den Domainnamen, den DNSServer oder einen anderen Server eintragen, der den DHCP-Clients bekannt gemacht werden soll (siehe Abbildung 43.7).
Abbildung 43.7 DHCP-Optionen für das Subnetz
Für Sie interessant ist vielleicht auch der Eintrag für einen Zeitserver oder NTP-Server.[ 38 ] Diese Dienste werden ausführlicher in Abschnitt 43.20, »Time-Server«, beschrieben. [!] Ein Eintrag im DHCP-Server bedeutet nicht, dass der DHCPClient auch etwas mit dieser Information anfangen kann. Eventuell nimmt er sich nur einige für ihn interessante Informationen und ignoriert den Rest. Der DHCP-Server überprüft nicht, ob der Client die ihm anvertrauten Optionen auch richtig verwertet. Das Subnetz und die Hosts sind nun vollständig beschrieben. Bevor Sie den DHCP-Server testen, vergessen Sie bitte nicht, Ihre Konfiguration mit einem Klick auf Änderungen anwenden bzw. Server starten zu aktivieren. Der Dienst DHCP kann auch direkt beim Booten automatisch gestartet werden. Dazu markieren Sie den Dienst dhcpd.service im Modul System • Hochfahren und Herunterfahren und klicken auf Aktiviere ausgewählte zur Bootzeit.
43.7 Samba als Fileserver Samba ist ein sehr mächtiger Dienst; die Möglichkeiten sind sehr vielfältig. Sie können den Client über Samba-Netzwerkfreigaben anbieten oder eine ganze Windows-Domäne mit Samba abbilden. Ich konzentriere mich in diesem Abschnitt auf die Eigenschaft von Samba als Dateiserver. In fast allen Fällen müssen sich die Benutzer gegenüber Samba authentisieren. Dies bedeutet, dass sie dem Samba-Server mittels gültigem Benutzernamen und zugehörigem Kennwort glaubhaft machen, eine bestimmte Leistung des Servers in Anspruch nehmen zu dürfen. Die Authentifizierung kann der Server selbst übernehmen oder aber an eine vertraute Instanz delegieren.[ 39 ] Erste Wahl zur Administration des Samba-Servers wäre eigentlich das Samba Web Administration Tool (SWAT). Aus Gründen der Einheitlichkeit beschränke ich mich aber auf Webmin. Sie finden auf den folgenden Seiten eine Anleitung, mit der es Ihnen gelingen wird, Ihren Netzwerkserver mit Samba zum Fileserver zu machen und die freigegebenen Verzeichnisse für Clients nutzbar zu machen. Im Webmin-Modul Server • Samba – SMB/CIFS-Fileserver erhalten Sie zunächst eine Übersicht über den Samba-Dienst. Vielleicht sind Sie überrascht, dass in der Voreinstellung die Heimatverzeichnisse aller Benutzer freigegeben sind. Dies bedeutet allerdings nicht, dass die Benutzer sich mit dieser Freigabe bereits verbinden können. Es scheitert noch an der Benutzerauthentifizierung. Für einen Benutzer auf Betriebssystemebene existiert nicht automatisch auch ein entsprechender Zugriff auf sein Heimatverzeichnis über Samba.
Eventuell betreiben Sie in Ihrem LAN bereits eine Arbeitsgruppe oder Domäne? In diesem Fall empfiehlt es sich, den Namen im Feld Arbeitsgruppe unter Server • Samba – SMB/CIFS-Fileserver • Windows Einstellungen einzutragen. Die Samba-Freigabeverwaltung ist unterteilt in mehrere Bereiche (siehe Abbildung 43.8). Im ersten Teil befinden sich sämtliche Samba-Freigaben. Der zweite Abschnitt enthält die globale Konfiguration. Im dritten Bereich werden die Benutzer verwaltet. Ganz unten auf der Seite befinden sich die Schaltflächen Samba Server neu starten und Stoppe Samba Server, mit denen der Dienst jederzeit gestartet bzw. angehalten werden kann. [!] Änderungen der globalen Konfiguration von Samba müssen immer durch einen Neustart des Servers aktiviert werden.
Abbildung 43.8 Ihr Samba-Server im Überblick
43.7.1 Samba-Benutzer Die Benutzer des Netzwerkservers können, müssen aber nicht zwangsläufig einen Samba-Zugriff haben. Sie richten zunächst Systembenutzer mit dem Modul System • Benutzer und Gruppen ein. Sollen diese Benutzer reine Samba-Benutzer sein und sich daher nicht z. B. per Secure Shell (SSH) (siehe Kapitel 32, »Fernadministration und Zusammenarbeit«) anmelden dürfen, kann die Systemanmeldung mit der Einstellung Keine Anmeldung erlaubt verhindert werden. Mit Samba-Mitteln wird auf Wunsch nachträglich zu einem Systembenutzer ein entsprechender SambaBenutzer geschaffen. Mit einem Klick auf Server • Samba – SMB/CIFSFileserver • Benutzer konvertieren werden alle aktuellen Systembenutzer auch als Samba-Benutzer eingerichtet (siehe Abbildung 43.9). Dabei wird jedoch wegen der gewählten Verschlüsselung das Systempasswort nicht automatisch übernommen. Das Passwort der konvertierten Samba-Benutzer passen Sie über die Funktionalität Samba Benutzer im Nachhinein an.
Abbildung 43.9 UNIX-Benutzer zu Samba-Benutzern konvertieren
Mit einem Klick auf Authentifizierung gelangen Sie zu den Passworteinstellungen (siehe Abbildung 43.10). Hier müssen Sie entscheiden, ob Samba ein verschlüsseltes Passwortverfahren verwenden soll.
Abbildung 43.10 Verschlüsselte Passwörter sind Standard.
Ich empfehle Ihnen, diese Option aktiviert zu lassen, und beschreibe das weitere Vorgehen ausführlich. Der Nachteil dieses Sicherheitszugewinns besteht im Wesentlichen darin, dass Sie die Passwörter nach einer Konvertierung der Systembenutzer zu Samba-Benutzern einmal neu vergeben müssen. [!] Sie sollten sich außerdem Gedanken über die Sicherheit machen und deshalb beim Passwort für neu erstellte Benutzer die Auswahl Benutzer gesperrt treffen. Anderenfalls kann sich ein Fremder mit einem ihm bekannten Benutzernamen ohne Passwortabfrage über Samba am System anmelden. Mit einem Klick auf Samba Benutzer könnten Sie einen auf diese Weise konvertierten Benutzer aktivieren und ihm ein SambaPasswort geben. Wenn Sie ein gemeinsames Passwort für den System- und den Samba-Benutzer vergeben möchten, sollten Sie zunächst die im Folgenden beschriebene Benutzer-Synchronisation einstellen und danach mit dem Modul System • Benutzer und Gruppen ein einheitliches Passwort für beide vergeben. Der Samba-Benutzer wird durch diesen Schritt aktiviert.
Abbildung 43.11 Automatischer Abgleich der Benutzer
Sie sollten Webmin jetzt so einstellen, dass eine Aktion bei einem Systembenutzer mit dem Modul System • Benutzer und Gruppen automatisch auch eine Änderung des entsprechenden SambaBenutzers mit sich bringt. Hierzu bedienen Sie sich des Links Benutzer-Synchronisation (siehe Abbildung 43.11). Sollten Sie einen Systembenutzer mit Webmin anlegen oder vom System entfernen, dann passiert Entsprechendes automatisch mit dem Samba-Benutzer. Falls Sie andere Tools für die Benutzerverwaltung verwenden (z. B. YaST2 von SUSE), greift dieser Mechanismus nicht.
43.7.2 Freigaben Jeder Benutzer kann nun bereits sein Heimatverzeichnis als Freigabe des Netzwerkservers an seinen PC anbinden. Er kann dort Dateien anlegen, modifizieren und löschen. Ich vermute, diese Freigabe wird Ihnen noch nicht genügen, denn momentan kann ein Benutzer zwar sein Heimatverzeichnis nutzen, wirklich reizvoll wird Samba aber erst bei einer gemeinsamen Zugriffsmöglichkeit von zwei und mehr Benutzern auf eine Freigabe. Wie eine solche Freigabe den Benutzern bereitgestellt wird, möchte ich mit einem kleinen Beispiel veranschaulichen.
[»] Die Benutzer klaus und marie sind bereits Samba-Benutzer und nutzen von ihren Windows-PCs aus alle Vorzüge der Freigabe ihrer Heimatverzeichnisse. Da die beiden beim Arbeiten gerne Musik hören, möchten sie nun zusätzlich eine Freigabe mit dem Namen mp3 erstellen. Auf diese soll von allen Benutzern im Netzwerk aus lesend zugegriffen werden können. Klaus soll außerdem neue Musikdateien hinzufügen und alte löschen dürfen. Die Freigabe wird durch einen Klick auf Neue Dateifreigabe erstellen möglich (siehe Abbildung 43.12). Sie bestimmen den Freigabenamen und legen das Verzeichnis /daten/musik für die Freigabe fest.
Abbildung 43.12 Verzeichnisse mit Samba freigeben
Über die Option Verzeichnis automatisch erzeugen wird das freizugebende Verzeichnis von Webmin erstellt, falls es noch nicht vorhanden ist. Das funktioniert allerdings nur, wenn das übergeordnete Verzeichnis, also in diesem Fall das Verzeichnis /daten, bereits existiert. Dieses erstellen Sie bei Bedarf z. B. mit Webmin über Sonstiges • Datei Manager. Im WebminDateimanager öffnet ein Klick auf das von Windows bekannte Ordnersymbol mit der Unterschrift Neu einen Dialog, mit dessen Hilfe Sie ein neues Verzeichnis anlegen können. Die Berechtigungen bei Samba-Freigaben sind eine mögliche Fehlerquelle. An zwei unabhängigen Stellen wird überprüft, ob der
Nutzer einer Dateifreigabe auf die Daten zugreifen darf. Zunächst entscheidet Samba, welche Rechte ein Benutzer besitzt. Hinzu kommen die Mechanismen des Betriebssystems, die zusätzlich jeden Schreib- und Lesezugriff überwachen. Ich habe mich in meinem Beispiel für eine sehr einfache Konfiguration der Rechte entschieden. Zur Demonstration der Funktionalität ist dies ausreichend; für einen professionellen Einsatz müssten Sie sich um die Sicherheit mehr Gedanken machen.
43.7.3 Linux-Rechte Klaus möchte nicht, dass andere Benutzer der Freigabe seine Musikstücke löschen oder neue dort ablegen können. Deshalb definiert er sich selbst als Erzeuger und damit auch als Besitzer des neu anzulegenden Verzeichnisses. Danach wählt er als UNIX-Gruppe für die Freigabe die Standardgruppe für alle Systembenutzer (users) aus. Über den Eintrag in das Feld Create with Permissions wird festgelegt, wer welche UNIX-Rechte in dem Verzeichnis besitzt. Dabei bestimmen die drei Ziffern von links nach rechts gelesen die Berechtigungen für den Benutzer selbst, die Gruppe und schließlich alle anderen. Jede dieser drei Ziffern ist eine Summe, die sich beliebig aus einem oder mehreren Teilen zusammensetzt: 4 = Leserechte 2 = Schreibrechte
1 = Ausführungsrechte für Dateien; bei Verzeichnissen darf in das Verzeichnis
gewechselt werden Durch die Auswahl 750 bestimmt Klaus den Vollzugriff für sich selbst und den Lesezugriff für die Gruppe. Alle anderen haben keinerlei UNIX-Zugriffsrechte.
Abbildung 43.13 Vorgaben für neue Dateien und Verzeichnisse
Wenn der Benutzer klaus neue Verzeichnisse für Musikdateien unterhalb von /daten/musik anlegt, sollten auch sie den Zugriff der anderen Benutzer erlauben. Ein Klick auf die neue Freigabe mp3 lässt Sie zunächst die Freigabedetails einsehen. Die Standardvorgaben für über Samba neu angelegte Dateien und Verzeichnisse sind über den Link Dateiberechtigungen einsehbar (siehe Abbildung 43.13). Die Auswahl 640 für den Unix Dateimodus und 750 für den Unix Verzeichnismodus gewährt den entsprechenden Zugriff für Klaus und seine Gruppe.
43.7.4 Samba-Berechtigungen
Unter dem Link Sicherheit und Zugriffskontrolle richten Sie die gewünschten Zugriffsmöglichkeiten ein (siehe Abbildung 43.14).
Abbildung 43.14 Sicherheitseinstellungen für die Samba-Freigabe
In der Voreinstellung haben alle Benutzer nur Leseberechtigung. Der Benutzer klaus bekommt nun zusätzlich das Schreibrecht. Aus der Auswahl, die bei einem Klick auf die drei Punkte bei Lese-/Schreibberechtigung (Benutzer) erscheint, könnten neben klaus natürlich auch andere Benutzer ausgewählt werden. Alternativ können Sie mit der Option Beschreibbar allen SambaBenutzern einen Schreibzugriff gewähren.
43.8 Windows als Client Was nutzt Ihnen die schönste Samba-Freigabe auf Ihrem Netzwerkserver, wenn sie keiner in Anspruch nimmt? In diesem Abschnitt möchte ich beschreiben, wie Sie Windows-PCs als SambaClients an den Netzwerkserver anhängen. [!] Es ist möglich, dass Ihr Server eine neuere Samba-Version hat als der Client, und umgekehrt. Das ist grundsätzlich kein Problem. Der Mechanismus funktioniert so: Server und Client verständigen sich auf den größten gemeinsamen Nenner. Meiner Erfahrung nach funktioniert das reibungslos, solange die Anforderungen rudimentärer Natur sind. Sollten Sie einmal mehr SambaFunktionalität als die einfache Dateifreigabe nutzen, dann rate ich Ihnen, immer eine entsprechend aktuelle Samba-Version einzusetzen.
43.8.1 Einfacher Zugriff Wenn Sie nur kurz auf die Freigabe zugreifen möchten, geben Sie unter Start • Ausführen … den Freigabenamen in der Form \ an. Sie werden gegebenenfalls nach einem gültigen Samba-Benutzernamen und dem dazugehörigen Passwort gefragt. Bei erfolgreicher Authentifizierung öffnet sich ein Fenster, das Sie wie unter Windows gewohnt für den Datenaustausch nutzen können.
43.8.2 Netzlaufwerke
Sie möchten vermutlich häufiger auf die Freigabe des Netzwerkservers zugreifen, aber nicht jedes Mal einen so großen Aufwand treiben. Sie sollten daher ein Netzlaufwerk einrichten. Beim Einbinden des Netzlaufwerks können Sie bestimmen, ob beim nächsten Start die Verbindung wiederhergestellt werden soll. Windows bietet Ihnen diese Funktionalität gleich an drei verschiedenen Stellen an. Sie erhalten die Möglichkeit im Kontextmenü durch einen Klick mit der rechten Maustaste auf den Windows-Arbeitsplatz oder auf die Netzwerkumgebung. Wenn Ihnen das noch nicht reicht, gelangen Sie im Windows-Explorer unter Extras • Netzlaufwerk verbinden … zum gleichen Ziel. Ein Netzlaufwerk bekommt genauso wie ein lokales Laufwerk einen Laufwerksbuchstaben, z. B. z:\. Sie können bequem Ihre Dokumente auf das Laufwerk z:\ und damit letztlich auf dem Netzwerkserver speichern.
43.9 Linux als Client Immer häufiger kommt auch zu Hause auf dem Desktop ein LinuxBetriebssystem zum Einsatz. Leistungsstarke Officeprodukte wie OpenOffice sind für viele Anwender Anreiz genug, diese Lösung dem lizenzpflichtigen Microsoft Office vorzuziehen. Und wenn schon OpenOffice als Anwendung, warum dann nicht auch Linux als Betriebssystem? Natürlich sollen alle Textdateien sowohl bei der Arbeit mit Microsoft als auch bei der Arbeit mit einem Linux-PC zur Verfügung stehen. In diesem Fall verwenden Sie Linux als SambaClient.
43.9.1 Dolphin KDE bringt mit dem Dateibrowser Dolphin ein mächtiges Werkzeug mit. Der GNOME-Dateimanager verfügt über eine vergleichbare Funktionalität.
Abbildung 43.15 Dolphin als Samba-Client
Dolphin dient sowohl als Webbrowser als auch als Dateimanager. Es hängt lediglich davon ab, was in der Adresszeile eingetragen wird. Mit file:/ erhalten Sie Zugriff auf das Dateisystem, mit https:// surfen Sie im LAN oder im Internet, und mit smb:/// nutzen Sie den eingebauten SambaClient (siehe Abbildung 43.15). Der einzige Nachteil besteht darin, dass die Freigabe nicht als Filesystem eingehängt, sondern nur über Dolphin einsehbar ist. Das Ablegen von OpenOffice-Dokumenten ist also nur über Umwege möglich. Für viele kleinere Anwendungen sollte das allerdings völlig ausreichen.
43.9.2 Samba-Filesystem
Filesysteme einzuhängen – egal, ob lokal oder über das Netzwerk – ist unter Linux grundsätzlich Sache des Benutzers root. Falls Sie nicht mit einem Texteditor wie dem Vi arbeiten möchten, empfehle ich Ihnen, zuerst Webmin auf dem Linux-PC zu installieren. Danach können Sie den benötigten Mountpoint mit dem WebminModul Sonstiges • Datei-Manager oder auf der Kommandozeile leicht erstellen: mkdir -p
[»] Im folgenden Beispiel möchte Marie an ihrem Linux-PC auf die Samba-Freigabe mp3 des Netzwerkservers zugreifen. Dazu hat sie sich auf ihrem Linux-PC als Benutzer root angemeldet und legt zunächst einen Mountpoint an: mkdir -p /mnt/musik Im nächsten Schritt hängt sie die
Netzwerkfreigabe in ihr lokales Dateisystem ein: mount -t smbfs -o username=marie,password=
///mp3 /mnt/musik Nachdem Marie die Daten aus der
Freigabe nicht mehr benötigt, hängt sie die Freigabe wieder aus: umount /mnt/musik Dieses Verfahren hat zwei wesentliche Nachteile: Es ist kompliziert, und die Linux-Benutzerin marie benötigt regelmäßig root-Rechte. Es geht aber auch anders. Der Benutzer root gibt mit Hilfe des Webmin-Moduls System • Lokale und Netzwerk-Dateisysteme der Benutzerin marie die Möglichkeit, ohne weitere Hilfe eines Administrators die Samba-Freigabe selbständig einzuhängen. Dazu wählen Sie Common Internet Filesystem (CIFS) und klicken auf Füge Mount hinzu. Im nun folgenden Dialog wählen Sie zunächst einen Mountpoint im Heimatverzeichnis der Benutzerin marie, z. B. /home/marie/jazz. Wählen Sie Speichern, um einen Eintrag in der Datei /etc/fstab zu
erzeugen. Treffen Sie die Auswahl nicht mounten, denn der Zugriff auf die Freigabe soll später von der Benutzerin marie initiiert werden. Die Informationen Servername und Freigabename werden selbstverständlich benötigt. Entscheidend ist die Auswahl der Option Erlaube Benutzern das Mounten des Dateisystems. Damit gewährt root auch anderen Benutzern das Recht, genau diesen Mount-Vorgang in seinem Namen auszuführen (siehe Abbildung 43.16).
Abbildung 43.16 Linux-Client-Einstellungen für Samba
Den automatisch von Webmin angelegten Mountpoint kann die Benutzerin marie so einfach nicht nutzen. Das Verzeichnis gehört noch dem Benutzer root. Um es an marie zu verschenken, führt root folgendes Kommando aus: chown marie:users /home/marie/jazz Befindet sich marie nun in ihrem eigenen Heimatverzeichnis /home/marie, dann kann sie auf die Netzwerkfreigabe mp3 mit dem Kommando mount jazz zugreifen. Mit dem Samba-Passwort der Samba-Benutzerin marie authentifiziert sie sich gegenüber dem Netzwerkserver. Jetzt haben Sie mit Webmin für einen nicht/privilegierten Benutzer die Möglichkeit geschaffen, auf SambaFreigaben zuzugreifen. Wenn Sie mit einem Texteditor vertraut
sind, können Sie aber auch einfach eine einzelne Zeile an die Datei /etc/fstab anhängen, um dasselbe Ergebnis zu erzielen: //siegfried/mp3 /home/marie/jazz smbfs user,noauto 0 0 Den
Editor müssen Sie wegen eines Fehlers in Webmin auch immer dann verwenden, wenn Sie auf dem gleichen Linux-PC dieselbe Samba-Freigabe für zwei unterschiedliche Benutzer in der Datei /etc/fstab einrichten möchten.
[!] Vielleicht fragen Sie sich, warum ich den Mount für die Freigabe mp3 nicht gleich mit der Option Speichern und Mounten beim Bootup ausführen lasse? Um das zu tun, müsste ich einen Anmeldungsnamen und ein Anmeldungskennwort speichern. Dies möchte ich möglichst umgehen. Das Kennwort stünde wie der Name in Klarschrift in der Datei /etc/fstab. Aus diesem Grund sollten Sie genau abwägen, ob Sie den Komfort des Mountens von Samba-Freigaben beim Booten nutzen oder lieber häufiger das Samba-Passwort eintippen. [+] Natürlich können Sie mit einem Linux-Client über Samba auch auf eine Dateifreigabe eines Windows-PCs zugreifen.
43.10 macOS als Client Wenn Sie von macOS auf die Freigabe zugreifen möchten, dann können Sie zunächst über die Funktion Gehe zu • Mit Server verbinden die Verbindung aufbauen. Für die automatische Einbindung von Freigaben unter macOS gibt es mehrere Möglichkeiten. Die einfachste besteht darin, das Passwort im Schlüsselbund zu sichern und die Freigabe den Anmeldeobjekten des Benutzerkontos hinzuzufügen.
Abbildung 43.17 Das Kennwort können Sie im Schlüsselbund sichern.
Wenn Sie die Verbindung aufnehmen und nach dem Namen und Passwort gefragt werden, können Sie die Option Passwort im Schlüsselbund sichern aktivieren. Anschließend werden Sie nicht mehr nach dem Kennwort für diesen Server gefragt. Der zweite Schritt besteht darin, die eingebundene Freigabe den Anmeldeobjekten des Benutzerkontos hinzuzufügen. In der Ansicht Benutzer:innen & Gruppen der Systemeinstellungen wählen Sie
Ihr Benutzerkonto aus und wechseln dann in die Ansicht Anmeldeobjekte. Dort fügen Sie über das Pluszeichen ein weiteres Objekt hinzu, das sofort nach der Anmeldung mit diesem Benutzerkonto geöffnet wird. Die eingebundenen Freigaben finden Sie auf der obersten Ebene in dem Panel zur Auswahl einer Datei, die Ihrem Computer entspricht. In Abbildung 43.18 ist dies die Freigabe users. Wenn Sie diese Freigabe den Startobjekten Ihres Benutzerkontos hinzufügen, dann wird sie nach jeder Anmeldung automatisch eingebunden und dabei auf das im Schlüsselbund gesicherte Passwort zurückgegriffen.
Abbildung 43.18 Die Freigabe wird den Anmeldeobjekten des Benutzerkontos hinzugefügt.
43.11 Windows und macOS als Server Eine Beschreibung von Freigaben unter Windows-Betriebssystemen befindet sich in Abschnitt 26.13, »Netzwerk- und Freigabecenter«, und die Konfiguration von Freigaben für Windows unter macOS wird in Abschnitt 28.7, »Freigaben für Windows unter macOS«, ausführlich besprochen. Da diese thematisch nur indirekt mit dem Netzwerkserver zu tun hat, soll an dieser Stelle der Verweis auf den entsprechenden Abschnitt genügen.
43.12 Drucken im Netzwerk Ziel dieses Abschnitts ist es, den Benutzern einen zentralen Druckserver im Netzwerk anzubieten. Nicht an jedem Computer gibt es einen Drucker, von besonderen Modellen ganz zu schweigen. Jeder Benutzer kann mit dem Druckserver bequem von seinem Arbeitsplatz aus auf einem entfernten Drucker seine Dokumente aufs Papier bringen. Sollte der Drucker kurzzeitig nicht verfügbar sein, weil er z. B. gar nicht eingeschaltet ist, dann speichert der Netzwerkserver die Daten so lange, bis der Drucker den Auftrag annehmen kann. Hier setzen Drucksysteme an. Sie stellen im Netzwerk Druckerwarteschlangen (engl. queues) zur Verfügung, in die Clients Druckaufträge einreihen können. Aufträge werden zunächst gespeichert und nacheinander zum Drucker gesendet. Dieses Verfahren bezeichnet man auch als Drucker-Spooling. Für die UNIX-Welt allgemein existieren mehrere Drucksysteme. Es gibt z. B. den Berkeley Line Printer Daemon (lpd) sowie das AT&T Line Printer System. Aktuell wird häufig das Common UNIX Printing System (CUPS) installiert. Es unterstützt das moderne IPP und bietet gleichzeitig bei Bedarf die gewohnten Kommandozeilentools älterer Drucksysteme.[ 40 ] CUPS wurde von Easy Software Products entwickelt und mittlerweile von Apple aufgekauft. Das Projekt steht weiterhin unter der GPL. [+] Samba bietet eine Schnittstelle für Druckaufträge zu einem Printing System. Damit baut man eine unnötige Schicht in das ohnehin komplizierte netzwerkbasierte Drucken ein. Das Drucken funktioniert, allerdings ist die Einrichtung der richtigen PostScript-
Treiber nicht einfach. Die automatische Treiberinstallation über eine Samba-Freigabe ist möglich, für kleinere Netzwerke jedoch wenig lohnend. Ich empfehle ein moderneres Verfahren, das sich bereits vielerorts durchgesetzt hat. Das Internet Printing Protocol (IPP) basiert auf dem Hypertext Transfer Protocol (HTTP). Die Protokolle sind eng verwandt, nur transportiert das IPP keine Inhalte von Internetseiten, sondern Druckdaten. CUPS nutzt damit ein Protokoll, das sich als Standard für alle Betriebssysteme durchsetzen könnte. Samba wird nicht benötigt, da auch aktuelle Windows-Versionen das Internet Printing Protocol kennen.
43.12.1 Drucker am Server einrichten Webmin liefert mit dem Modul Hardware • Druckerverwaltung eine Administrationsoberfläche für CUPS und andere Drucksysteme. Um einen Drucker einzurichten, klicken Sie auf Einen neuen Drucker hinzufügen. Geben Sie dem Drucker einen Namen, der nicht zu kompliziert sein sollte. Verzichten Sie außerdem auf Leerzeichen und Sonderzeichen! Diese können Sie bei der Beschreibung allerdings verwenden, denn diese ist nur zur Information der Benutzer gedacht. Im nächsten Schritt wählen Sie die Anschlussart des Druckers aus. Es gibt theoretisch die Möglichkeit, einen Drucker lokal an einem lokalen Port anzuschließen. Da siegfried6 auf einer virtuellen Maschine läuft, verzichte ich auf diese Beschreibung.
Abbildung 43.19 Ein neuer Netzwerkdrucker entsteht.
Das Drucken auf einem anderen Netzwerkdrucker kann hier eingestellt werden. Hier wird z. B. das Format HP JetDirect unterstützt. Dieses Format liefert Druckaufträge unmittelbar an einen Netzwerkdrucker, der selbst eine IP-Adresse besitzt und an Port 9100 nach Aufträgen lauscht. Außerdem könnten Sie hier einen anderen IPP-Drucker auswählen. Eine weitere nützliche Option ist das Drucken auf einem freigegebenen Drucker an einem Windows-PC. Natürlich wäre auch ein direktes Drucken ohne Umweg über den Netzwerkserver möglich; Sie müssen sich dann aber immer darum kümmern, ob der PC und der Drucker auch eingeschaltet sind. Aus der Druckerwarteschlange auf dem Netzwerkserver wird gedruckt, wenn der Drucker wieder verfügbar ist. Abschließend fragt CUPS Sie nach der genauen Konfiguration des Anschlusses. Hier kommt es nun darauf an, welchen Geräteanschluss Sie gewählt haben. [»] In diesem Beispiel ist Ihr Drucker an einem Windows-PC angeschlossen und über Samba mit dem Namen Farbdrucker
freigegeben. Für diesen Netzwerkdrucker muss Webmin für Sie zunächst einen Geräte-URI zusammenbauen. Hier muss das Programm – je nachdem, wie der PC eingerichtet ist – die allgemeine Form für den Zugriff auf Samba-Freigaben einhalten: smb:/// smb://// smb://:@/ smb://:@//
Da diese Form recht gewöhnungsbedürftig ist, fragt Webmin die möglichen Eingaben einzeln ab. Der Drucker ist anschließend fertig eingerichtet (siehe Abbildung 43.19). [!] Das von Ihnen eingegebene Passwort wird im Klartext in einer Datei der Druckerkonfiguration hinterlegt. Sie können den eingerichteten Drucker direkt mit dem Browser testen und über https://siegfried6:631/printers/MeinHP auf den CUPS-Druckdialog zugreifen. Mit einem Klick auf Testseite Drucken erfahren Sie zuverlässig, ob der Drucker korrekt eingerichtet wurde.
43.12.2 PDF-Drucker [o] PDF ist ein Format, mit dem man Dokumente plattformunabhängig austauschen kann. Sie können unter Windows mit der kostenlosen Software FreePDF arbeiten. Die Installationsdateien zu FreePDF und GhostScript finden Sie bei den Materialien im Verzeichnis /software/sonstiges. Diese Lösung ist allerdings nicht netzwerkfähig. Mit einem PDF-Netzwerkdrucker
legen Sie die Dokumente auf dem Netzwerkserver ab und können dann z. B. über eine Samba-Freigabe darauf zugreifen. Ausdrucke über diesen Drucker landen als Datei in einem Unterverzeichnis von /var/spool/cups-pdf/. Die Software versucht, den Druck einem Benutzer zuzuordnen, und legt die Datei in einem Unterverzeichnis mit diesem Benutzernamen ab. Gelingt dies nicht, landen die PDF-Dateien automatisch im Verzeichnis /var/spool/cups-pdf/ANONYMOUS. Diese Verzeichnisse können Sie per Samba freigeben (siehe Abschnitt 43.7, »Samba als Fileserver«), oder Sie nutzen einfach die von mir eingerichtete Freigabe pdf. Damit kann jeder Benutzer schnell und leicht auf seine frisch erzeugten PDF-Dokumente zugreifen. Für das Verzeichnis ANONYMOUS müssen Sie bei Bedarf eine zusätzliche Freigabe einrichten. [+] Zusätzlich werden alle PDF-Dateien als Anhang per E-Mail an den Linux-Benutzer auf dem siegfried-Server gemailt. Nicht zugeordnete Dateien landen im Postfach des Benutzers siegfried. Auf diese E-Mails können Sie mit Ihrem gewohnten EMail"=Programm zugreifen (siehe Abschnitt 43.14, »Mailserver«).
43.13 Netzwerkdrucker am Client einrichten Die Drucker sind am Server so konfiguriert, dass die Clients den Datenstrom ohne Aufbereitung – also raw – direkt an den Netzwerkserver senden könnten. Der Client kann sich dann schnell wieder um seine eigentlichen Aufgaben anstelle der Druckaufbereitung kümmern. Es schadet allerdings auch nicht, wenn der Druck vom Client aufbereitet an den Server gesendet wird. CUPS erkennt in diesem Fall, dass ihm diese Arbeit bereits abgenommen wurde.
43.13.1 Windows Auf einem Windows-Client können Sie nun in der Systemsteuerung über Drucker • Drucker hinzufügen einen oder mehrere Netzwerkdrucker einrichten. Über die URL https://:631/printers/ erhalten Sie Anschluss an die Netzwerkdrucker.
43.13.2 Linux Bei einem Linux-Client können Sie über dieselbe URL wie bei einem Windows-PC auf den Netzwerkdrucker zugreifen. Sie müssen lediglich am Client für den neuen Drucker bei CUPS das Internet Printing Protocol (http) auswählen.
43.13.3 macOS Einen Drucker im Netzwerk fügen Sie unter macOS in den Systemeinstellungen in der Ansicht Drucker & Scanner hinzu. Sie finden dort zunächst eine Liste der schon eingerichteten Drucker und rufen über das Pluszeichen den in Abbildung 43.20 dargestellten Dialog auf. Während in der Ansicht Standard die über Bonjour (siehe Abschnitt 22.2, »Zeroconf«) im Netzwerk kommunizierten Drucker aufgeführt werden, finden Sie unter Windows die mittels SMB kommunizierten Geräte. Die Schaltfläche Erweitert können Sie, sollte sie nicht schon sichtbar sein, durch einen Rechtsklick in die Symbolleiste hinzufügen. Sie ermöglicht Ihnen die detaillierte Konfiguration einiger Protokolle, die für Drucker im Netzwerk genutzt werden.
Abbildung 43.20 Der Drucker kann über die Systemeinstellungen hinzugefügt werden.
In dem Fenster wählen Sie in der Ansicht IP zunächst unter Protokoll das Internet Printing Protocol – IPP aus; als Adresse geben Sie die IP-Adresse oder den Namen des Servers ein, und die Warteliste setzt sich analog zur Angabe unter Linux aus printers/ zusammen. Unter Verwenden wählen Sie die vom System vorgeschlagene Funktion Allgemeiner PostScript-Drucker aus.
43.13.4 Druckertreiber für den PDF-Drucker Beim Anbinden des CUPS-PDF-Druckers werden Sie nach einem passenden Druckertreiber gefragt. Prinzipiell können Sie hier jeden PostScript-Druckertreiber nehmen. Ich habe insgesamt sehr positive Erfahrungen mit dem Druckertreiber HP Color LaserJet PostScript gemacht.
43.14 Mailserver Sie möchten Mails direkt an Empfänger im Internet senden? Mails sollen zentral über den Netzwerkserver im LAN versendet werden? Die Teilnehmer in Ihrem LAN sollen ihre Mails in Postfächern auf dem Netzwerkserver finden? In diesem Abschnitt werde ich Ihnen das dafür nötige Handwerkszeug näherbringen. Sie brauchen dazu zunächst einen Mail Transfer Agent (MTA), von denen verschiedene existieren. Ich habe mich für Postfix (https://www.postfix.org) entschieden. Dieser Mailserver sieht sich selbst als modernen Ersatz für den langjährigen Standard Sendmail. Das Thema Mailserver ist komplex und teilweise abstrakt. Ich beschränke mich darauf, Ihnen alle Funktionen des Servers grundlegend vorzustellen und zu erläutern. Sie werden jedoch schnell erkennen, dass Postfix noch unzählige weitere Möglichkeiten bietet. Welche Sie davon nutzen, bleibt Ihnen überlassen. [!] Führen Sie die folgenden Aktionen zunächst mit einem E-MailKonto durch, das zum Testen geeignet ist und bei dem der Verlust von E-Mails keine schlimmen Folgen hat! Erst wenn Sie sicher sind, dass die Konfiguration funktioniert, sollten Sie echte E-Mail-Konten verwenden.
43.14.1 Mails mit Postfix verschicken Ich gehe davon aus, dass für den Netzwerkserver eine Internetanbindung konfiguriert ist. Alles Weitere erledigen Sie mit dem Webmin-Modul Server • Postfix-Mail-Server • Allgemeine
Einstellungen. Sie müssen nur wenige Einstellungen vornehmen, dann können Sie erste Mails verschicken. Treffen Sie zunächst unter dem Menüpunkt Sende ausgehende Mail durch Host die Auswahl Direkt liefern. Dann tragen Sie im Feld Lokaler Internet-Domänenname Ihre lokale Domain (z. B. home) ein. Diese wenigen Einstellungen sind bereits ausreichend (siehe Abbildung 43.21). [+] Der Hostanteil, den ein Empfänger in Ihrer E-Mail-Adresse sieht, wird in der Datei /etc/mailname bestimmt. Nach einem Klick auf Speichern und Anwenden können Sie die erste Mail verschicken. Öffnen Sie eine Shell, und führen Sie das folgende Kommando aus: echo "HALLO WELT" | mail Der Empfänger erhält eine Mail von benutzername@siegfried6. Eine Antwort an diese Adresse würde natürlich (noch) nicht ankommen. Suchen Sie die Mail nicht nur im Posteingang! Es ist nicht unwahrscheinlich, dass sie im Spam-Ordner gelandet ist.
Abbildung 43.21 Allgemeine Postfix-Einstellungen
[!] Leider ist es noch wahrscheinlicher, dass die E-Mail von Ihrem Provider gar nicht akzeptiert wird. Die große Zahl der Spam-Mails zwingt die Mailprovider zu drastischen Schritten. Die Folgen erkennen Sie an solchen oder ähnlichen Einträgen in der Datei /var/log/mail.info: Dec 3 10:26:02 siegfried postfix/smtp[5185]: connect to
mx0.gmx.de[213.165.64.100]: server refused to talk to me:
554-{mx070} Your address is listed as dynamic on
SORBS (dul.dnsbl.sorbs.net) 554 We are currently not
accepting connections from such hosts. (port 25)
Wie Sie trotzdem E-Mails an diesen und andere Mailserver im Internet verschicken können, erfahren Sie in Abschnitt 43.14.5, »Mails mit Postfix über einen Provider verschicken«.
43.14.2 Mails mit Postfix empfangen Sie haben zwei Möglichkeiten, Mails aus dem Internet zu empfangen: Sie haben eine über DynDNS ständig aktualisierte Adresse im Internet und richten den Server als selbständige Maildomain ein. Sie machen sich davon unabhängig und nutzen ein bestehendes Mailkonto im Internet, z. B. bei einem Freemailer. [+] Wenn Sie die IP-Adresse Ihres Routers per DynDNS im Internet ständig aktualisieren, dann können Sie den Netzwerkserver so konfigurieren, dass er eine E-Mail annimmt, die direkt an seine Internetadresse gerichtet ist. Mails werden dann so verschickt, dass eine Antwort automatisch an die dynamische Adresse geht. Wie Sie dynamisches DNS nutzen, erfahren Sie in Kapitel 39, »DynDNSDienste«. Tragen Sie in der Datei /etc/mailname einen voll qualifizierten DNSHostnamen ein (also z. B. .dyndns.org). Unter diesem Namen muss Ihr Router aus dem Internet erreichbar sein. Diesen Namen fügen Sie außerdem der Liste Für welche Domänen soll email empfangen werden im Modul Server • Postfix-Konfiguration • Allgemeine Einstellungen hinzu. Hier sollten andere lokale InternetDomänennamen (z. B. siegfried.home oder siegfried.meinedomain) zusätzlich eingetragen werden. Jetzt tragen Sie den DNS-Hostnamen noch als Internethost-Name dieses Mail-Systems ein. Überprüfen Sie außerdem, dass der Wert des Eintrags Lokale Netzwerke auf Standard (alle angebundenen Netzwerke) und der Wert des Eintrags Netzwerkschnittstellen zum Empfangen von Mail auf Alle steht! Von diesen Netzwerken wird Postfix Mails zur Weiterleitung akzeptieren. Sie können aus Sicherheitsgründen hier später noch
Einschränkungen machen. Die Anpassungen aktivieren Sie mit einem Klick auf Speichern und Anwenden. Schließlich richten Sie noch eine Portweiterleitung auf Ihrem DSLRouter ein. Sie müssen ihn so konfigurieren, dass er Pakete für Port 25 per Simple Mail Transfer Protocol (SMTP) direkt an den Netzwerkserver weiterleitet.
43.14.3 Test des SMTP-Servers Die grundlegende Funktion des Postfix-SMTP-Servers können Sie nun überprüfen, indem Sie über eine Telnet-Verbindung aus Ihrem LAN heraus ins Internet und von dort zurück über Port 25 Ihres Routers auf den Netzwerkserver gehen (siehe Abbildung 43.22).
Abbildung 43.22 Postfix über das Internet testen
Einige Router verkraften es allerdings nicht, eine Verbindung zu sich selbst zu verwalten. In diesem Fall können Sie nur einen Freund bitten, Ihren Mailserver über das Internet zu testen oder einfach einen anderen Zugang nutzen. Der Nachteil dieses Verfahrens liegt klar auf der Hand: Wenn der Netzwerkserver oder der Router nicht eingeschaltet sind, können Sie keine E-Mails empfangen!
[!] Beachten Sie, dass der Netzwerkserver jetzt aus dem Internet sichtbar und damit theoretisch angreifbar ist! Ich rate daher von dieser Konfiguration ab. Besser geeignet ist das Programm Fetchmail, das ich in Abschnitt 43.15, »Postfachinhalte aus dem Internet holen«, genauer beschreibe.
43.14.4 Maildir-Format Die E-Mails speichert Postfix in der Standardkonfiguration im Verzeichnis /var/mail/ oder in /var/spool/mail/ zwischen. In diesem Format können die Mails zwar lokal auf dem Netzwerkserver gelesen werden, aber für die Anbindung eines E-Mail-Clients im LAN an den Courier IMAP Server[ 41 ] (siehe Abschnitt 43.18, »IMAP-Clients im LAN an den Server anbinden«) müssen die Mails im MaildirFormat vorliegen. Postfix kann dieses Format erzeugen. Dazu tragen Sie im Modul Server • Postfix-Konfiguration • Lokale Lieferung im Feld Pfadname der Mailbox-Datei relativ zum Home-Verzeichnis den Wert Maildir/ ein. Gegebenenfalls ist der Inhalt des Feldes Externer Befehl, der anstelle Lieferung an Mailbox benutzt wird zu löschen (siehe Abbildung 43.23).
Abbildung 43.23 Eingehende E-Mails im Maildir-Format speichern
Mit dieser Einstellung landen eingehende Mails automatisch im Heimatverzeichnis des Benutzers im Unterordner Maildir/new. Dieses Verzeichnis wird nicht automatisch erstellt. Jeder Benutzer muss zunächst auf der Shell in seinem Heimatverzeichnis mit dem folgenden Kommando ein entsprechendes Verzeichnis erstellen: maildirmake Maildir Dies können Sie neu einzurichtenden Benutzern allerdings auch ersparen, indem Sie die Vorlage für Heimatverzeichnisse entsprechend erweitern. Dazu müssen Sie lediglich als Benutzer root das Kommando im Verzeichnis /etc/skel ausführen. Der Inhalt dieses Verzeichnisses wird dann beim Anlegen neuer Accounts kopiert. Bei siegfried ist dies bereits geschehen.
43.14.5 Mails mit Postfix über einen Provider verschicken Postfix verschickt bereits Mails ins Internet. Deshalb werden Sie sich vielleicht fragen, welchen Sinn es hat, die Nachrichten über einen Mailprovider zu versenden. Zum einen ist dieser rund um die Uhr
erreichbar. Zum anderen sortieren viele Mailprovider die Post in »gute« und in »schlechte« Post (Spam). Das Risiko, in einem Spam-Ordner zu landen, ist beim Versenden über einen vertrauenswürdigen Provider viel geringer. Gegenüber dem Server im Internet müssen Sie sich mit Benutzernamen und Kennwort authentifizieren.
43.14.6 Authentifizierung In meinem Beispiel verwende ich die SMTP-Auth-Authentifizierung. Um herauszufinden, ob ein Provider diesen Mechanismus unterstützt, bietet sich ein telnet auf Port 25 (SMTP) des entsprechenden Providers an (siehe Abbildung 43.24).
Abbildung 43.24 Der Provider unterstützt SMTP-Auth.
Das Schlüsselwort EHLO in Verbindung mit meinem Mailservernamen pcnetzwerke.homeunix.org fordert die Liste an. Die Auskunft besagt, dass mein Mailprovider SMTP-AUTH mit den Verfahren LOGIN und PLAIN unterstützt. Mit dem Schlüsselwort STARTTLS informiert der Server außerdem über seine Fähigkeit, zu verschlüsseln.
Nun können Sie Postfix einrichten. Stellen Sie mit Webmin über Server • Postfix-Konfiguration • Edit Config Files sicher, dass in der Datei /etc/postfix/main.cf die folgenden drei Zeilen enthalten sind: smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
Listing 43.1 gpListing
Die untere Zeile enthält einen Verweis auf eine Datei, die alle für die Authentifizierung nötigen Informationen enthält. Außerdem müssen Sie die Datei /etc/postfix/smtp_auth mit den Zugangsdaten Ihres Mailproviders füllen: : Entsprechend
sieht meine Datei /etc/postfix/smtp_auth wie folgt aus:
mail.hosteurope.de test:geheim Postfix erwartet für die
Datei /etc/postfix/smtp_auth.db ein bestimmtes Datenbankformat, in das diese Datei mit einem Kommando umgewandelt wird: postmap /etc/postfix/smtp_auth Zum Abschluss richten Sie den Mailserver, über den Sie versenden möchten, mit dem WebminModul Server • Postfix-Konfiguration • Allgemeine Einstellungen noch als Relay-Host ein. Damit weisen Sie Postfix an, alle Mails außerhalb des LANs über diesen Host zu versenden (siehe Abbildung 43.25).
Abbildung 43.25 Der Relay-Mailserver von Postfix
Den Erfolg oder Misserfolg Ihrer Bemühungen können Sie nach dem Versenden von Testmails in der Logdatei /var/log/mail begutachten.
43.15 Postfachinhalte aus dem Internet holen Fast jeder besitzt heute eine oder mehrere E-Mail-Adressen bei einem oder mehreren Mailprovidern. Jeder Benutzer auf dem Netzwerkserver soll die Möglichkeit haben, seine Mails bei diesen Providern abzurufen und zentral zu sammeln. Dazu dient Ihnen das Programm Fetchmail. Es holt die Mails vom Provider ab und gibt sie dann an Postfix weiter. Der MTA Postfix ist bereits so konfiguriert, dass er die Mails im Maildir-Format abspeichert (siehe Abschnitt 43.14.2, »Mails mit Postfix empfangen«). Der Benutzer im LAN kann also über IMAP mit seinem gewohnten Programm auf seine Mails zugreifen (siehe Abschnitt 43.18, »IMAP-Clients im LAN an den Server anbinden«).
43.15.1 ».fetchmailrc« Fetchmail-Konfigurationsdateien liegen jeweils im Heimatverzeichnis jedes einzelnen Benutzers. Sie können mit dem vi oder einem anderen Texteditor bearbeitet werden. Das WebminModul Server • Fetchmail-Konfiguration bietet jedoch einen komfortableren Weg, eine solche Datei zu erzeugen. Wählen Sie zuerst den Benutzer aus, für den Fetchmail eingerichtet werden soll, und klicken Sie dann auf Hinzufügen eines Fetchmail-Servers für den Benutzer. [+] Der Punkt vor dem Dateinamen gibt an, dass es sich um eine versteckte Datei handelt. Das Kommando ls wird diese Datei nur
mit der Option -a auflisten.
43.15.2 Konfiguration Die weitere Konfiguration möchte ich mit einem Beispiel erläutern. Für meine Tests habe ich ein E-Mail-Konto eingerichtet: E-Mail-Adresse: [email protected] Benutzername: test Passwort: geheim SMTP-Server: mail.hosteurope.de POP3-Server: mail.hosteurope.de Selbstverständlich habe ich dieses Konto vor der Veröffentlichung des Buches wieder gelöscht. Ich hoffe, dass Ihnen die Angaben helfen, die weitere Konfiguration nachzuvollziehen. [!] Ich empfehle Ihnen – soweit möglich – E-Mails über eine verschlüsselte Verbindung vom Server abzuholen. Wie Sie diese einrichten, erfahren Sie in der Manpage (Kommando man fetchmailrc). In Webmin wählen Sie dann die entsprechende Authentisierungsmethode. [»] Klaus möchte seine E-Mails vom Mailprovider abholen und auf dem Netzwerkserver im LAN speichern. Zunächst erstellen Sie mit Webmin die Datei /home/klaus/.fetchmailrc für den Systembenutzer klaus (siehe Abbildung 43.26).
Abbildung 43.26 Ein E-Mail-Konto aus dem Internet
Hier tragen Sie den Mailserver und das Protokoll ein, das verwendet werden soll. Mögliche Protokolle und genauere Zugangsdaten erfahren Sie bei Ihrem E-Mail-Provider. Jetzt fehlen nur noch der Benutzername, das Passwort, der Lokale Benutzer und ein Klick auf Speichern, dann kann Klaus seine Mails abrufen. Dies können Sie für ihn mit einem Klick auf Überprüfe alle Server erledigen. Sie sehen auf diese Weise ein ausführliches SMTP-Verbindungsprotokoll.
43.15.3 Zugriffstest Der erste Fetchmail-Test kann vom Systembenutzer klaus auf der Kommandozeile erfolgen. Er hat Post: klaus@siegfried:∼$ fetchmail 1 Nachricht für test bei mail.hosteurope.de (1359 Oktetts).
Nachricht [email protected]:1 von 1 wird gelesen
(1359 Oktetts) . geflusht
43.16 Regelmäßiges Abholen der Post Klaus selbst kann seine Mailbox regelmäßig überprüfen lassen. Wenn Sie keine zeitbasierte Abrechnung für das Internet haben, ist das auch völlig in Ordnung. Klaus muss das Intervall in Sekunden angeben, in dem Fetchmail nach neuen Mails schauen soll. Das Kommando fetchmail -d 300 startet einen Dienst, der alle fünf Minuten in der Datei /home/klaus/.fetchmailrc gelistete Mailprovider auf neue E-Mails untersucht.
43.16.1 Automatisches Abholen Sie können als Benutzer root auch das automatische Abholen der Mails einrichten. Sie schreiben nach dem Vorbild der Datei .fetchmailrc in den Heimatverzeichnissen der lokalen Benutzer mit dem Editor die Datei /etc/fetchmailrc. In diese Datei tragen Sie zunächst die Daten für ein E-Mail-Konto ein, später können Sie noch weitere hinzufügen: set daemon 600
poll mail.hosteurope.de
proto pop3
user "test"
pass "geheim"
is klaus
fetchall
Listing 43.2 gpListing
Die erste Zeile bewirkt, dass Fetchmail alle zehn Minuten (600 Sekunden) das Konto überprüft. Die Rechte der Datei schränken Sie mit dem Kommando chmod 600 /etc/fetchmailrc weitmöglichst ein.
43.16.2 Automatischer Start von Fetchmail Der Dienst soll nun noch automatisch während des Bootvorgangs des Systems gestartet werden? Bitte lesen Sie zuerst sorgfältig den nächsten Abschnitt, bevor Sie diesen Dienst einrichten! Im Modul System • System-Start und -Stop markieren Sie Fetchmail und klicken auf Aktiviere ausgewählte zur Bootzeit.
43.16.3 Regelmäßiges Abholen per Cronjob Der Nachteil des geschilderten Verfahrens liegt auf der Hand: Es wird ein Dienst benötigt, der auch noch mit den Rechten des Benutzers root abläuft. Deshalb nutzen Sie bitte die elegante Lösung über Webmin, um dies zu vermeiden! Nach einem Klick auf Regelmässige Überprüfung können Sie festlegen, wann der Cron-Dienst, der der regelmäßigen Erledigung von Aufgaben dient, das Programm Fetchmail aktivieren soll (siehe Abbildung 43.27).
Abbildung 43.27 Fetchmail wird per Cronjob alle fünf Minuten gestartet.
Dabei können Sie die Minuten, Stunden, Wochentage, Kalendertage und Monate bestimmen, zu denen Cron Ihren Auftrag ausführt. Wenn einer dieser Punkte für Sie unwichtig ist, dann belassen Sie es einfach bei Alle. Es ist wichtig, dass Sie bei Regelmässige Überprüfung aktiviert die Auswahl Ja treffen. Den fertigen Cronjob können Sie zusätzlich im Modul System • Geplante CRON Aufträge einsehen.
43.17 IMAP-Server für Clients im LAN vorbereiten Damit die Clients an die Postfächer auf dem Netzwerkserver herankommen können, muss auf dem Netzwerkserver ein entsprechender Dienst angeboten werden. Es gibt verschiedene Standards. Sie kennen bestimmt die althergebrachten POP3-Server von Freemail-Providern aus dem Internet. Diesen Dienst möchte ich Ihnen nicht vorstellen, da er im Vergleich zum moderneren IMAP einen sehr geringen Funktionsumfang bietet. Ich habe mich in puncto siegfried für den IMAP-Server Courier entschieden, da er leicht zu konfigurieren und leistungsstark ist. Courier unterstützt unzählige Authentifizierungsmechanismen. Für siegfried habe ich die Methode USERDB ausgewählt. Sie authentifiziert alle Benutzer gegen einen Export der gewöhnlichen Systemdateien /etc/passwd und /etc/shadow. Diesen Export erzeugen Sie auf der Kommandozeile als Benutzer root oder mit dem entsprechenden Webmin-Modul und dem Kommando pw2userdb > /etc/userdb. Bei siegfried6 ist die Datei /etc/userdb mit aus Sicherheitsgründen eingeschränkten Rechten angelegt.
Abbildung 43.28 Test des IMAP-Servers
Der erste Test des IMAP-Servers sollte mit Telnet direkt auf IMAPPort 143 erfolgen. Dieses Vorgehen schließt Fehlerquellen beim Server aus: telnet 143 Jeder Befehl beginnt mit einem . und einem Leerzeichen. Sie melden sich am Server mit einem gültigen Benutzernamen und Passwort an (siehe Abbildung 43.28). Courier meldet mit dem Ausdruck * 4 EXISTS, dass für den Benutzer klaus vier E-Mails im Posteingang liegen. [!] Erst durch erneutes Ausführen des Kommandos pw2userdb >/etc/userdb werden spätere Veränderungen von Benutzern oder deren Passwörtern dem Courier-Server bekannt gegeben.
43.18 IMAP-Clients im LAN an den Server anbinden Nun können Sie Clients anbinden. Dabei bleibt es natürlich Ihnen überlassen, welchem Programm Sie den Vorzug geben. Ich habe die Anbindung der gängigsten Clients beschrieben. Jedes aktuelle Mailprogramm unterstützt das IMAP-Protokoll. Mit Ihren gewohnten E-Mail-Programmen können Sie den Netzwerkserver siegfried als vollwertigen Mailserver nutzen! Sie haben außerdem die Möglichkeit, über den jeweiligen Client eine persönliche Ordnerstruktur auf dem Netzwerkserver aufzubauen.
43.18.1 Mozilla Thunderbird Ein sehr guter IMAP-Client, den ich persönlich gerne nutze (siehe Abbildung 43.29), ist der Mozilla Thunderbird (https://www.thunderbird.net/de).
Abbildung 43.29 Der Mozilla Thunderbird als IMAP-Client
Der »Donnervogel« (so die deutsche Übersetzung) ist ebenso wie der Browser Firefox eine Entwicklung des Mozilla-Projekts.
Selbstverständlich funktionieren auch andere Mailprogramme im Zusammenspiel mit dem Netzwerkserver.
43.18.2 Apple Mail Das unter macOS standardmäßig vorhandene Programm Mail bringt ebenfalls eine vollständige Unterstützung für IMAP mit. Wenn Sie das Programm zum ersten Mal starten, können Sie in dem selbsterklärenden Assistenten IMAP als zu verwendendes Protokoll auswählen. Der Assistent umfasst auch die Einrichtung der Verbindung zu einem SMTP-Server. Haben Sie bereits ein E-MailKonto angelegt, können Sie ein zweites Konto über den Menüpunkt Mail • Einstellungen in der Ansicht Accounts erstellen.
Abbildung 43.30 In den Einstellungen eines Kontos werden die Ordner konfiguriert.
Um zu konfigurieren, welche Ordner auf dem IMAP-Server Entwürfe, verschickte Mails sowie Spammails enthalten sollen, können Sie in den Einstellungen eines Kontos in die Ansicht Postfach-Verhalten wechseln. Dort können Sie dann den Ordnern auf dem IMAP-Server eine Funktion zuweisen.
43.19 Shared Folders Ein nettes Bonbon des IMAP-Servers Courier ist die Option, gemeinsam genutzte Ordner einzubinden. Diese werden von einem Benutzer angelegt und können dann von anderen Benutzern als Verweis dem eigenen Postfach hinzugefügt werden. Gemeinsam genutzte Ordner müssen Sie auf der Kommandozeile des Netzwerkservers erstellen. Ich möchte Ihnen ein einfaches Beispiel vorstellen. [»] Klaus und Marie sind beide Benutzer auf dem Netzwerkserver (nicht root) und sind bereits für IMAP konfiguriert (es existiert ein Maildir-Verzeichnis in ihrem jeweiligen Heimatverzeichnis). Klaus und Marie sind leidenschaftliche Kochrezeptesammler und lassen sich von ihren Freunden Rezepte von leckeren Gerichten zusenden. Klaus möchte diese Gerichte in zwei Verzeichnissen ablegen, sortiert nach Fleischgerichten und vegetarischen Gerichten. Marie soll als militante Vegetarierin natürlich E-Mails im vegetarischen Ordner ablegen dürfen (Schreibrecht). Für die Fleischrezepte reicht Marie lesender Zugriff. Zuerst richtet Klaus in seinem Heimatverzeichnis für die gemeinsam genutzten Ordner ein Verzeichnis im Maildir-Format ein (Achtung: großes S): maildirmake -S Maildir-shared Jetzt legt Klaus die zwei Ordner an, einen mit Schreibrecht für alle und einen, in dem nur er Mails ablegen darf (Achtung: kleines s): maildirmake s read -f Fleisch Maildir-shared maildirmake -s write -f Beilagen Maildir-shared Er selbst muss nun aus seinem eigenen MaildirVerzeichnis eine Verknüpfung zu den gemeinsam genutzten
Verzeichnissen erstellen. Die Bezeichnung meine taucht später in der Ordnerhierarchie des E-Mail-Clients wieder auf. maildirmake --add meine=/home/klaus/Maildir-shared Marie möchte nun die Rezepte von Klaus lesen. Sie muss dazu lediglich den letzten Befehl in ihrem Heimatverzeichnis ausführen. Dabei wählt sie wahrscheinlich einen anderen Namen: maildirmake --add klaus=/home/klaus/Maildirshared Die Anzeige der Ordnerstruktur am Client sollten Sie nun aktualisieren. Dieses ist ein sehr einfaches Beispiel. Möchten Sie tiefer gehenden Einblick in diesen oder in einen anderen IMAP-Server nehmen, dann empfehle ich Ihnen die Lektüre der Manpages sowie die Suche im Internet.
43.20 Time-Server Ein entscheidender Faktor in einem gut funktionierenden LAN ist die Zeit. Auch im privaten LAN ist eine synchrone und möglichst genaue Zeit sinnvoll. E-Mails werden z. B. mit einem Zeitstempel versehen und beim Empfänger nach diesem Kriterium sortiert. Ihre Nachrichten werden bei einer falsch gehenden Uhr unter Umständen gar nicht bemerkt, weil sie sich im Posteingang in der Vergangenheit einreihen. Jeder PC verfügt über einen eingebauten Zeitgeber, die Real Time Clock (RTC). Diese Uhr hängt an einer kleinen Batterie, ist aber meistens sehr ungenau. Sollte keine bessere Quelle zur Verfügung stehen, dann macht sich jeder Teilnehmer im LAN mit seiner RTC sein eigenes Bild von der richtigen Zeit. Neben dieser Hardwarezeit kennt das Betriebssystem die Systemzeit. Die Systemzeit kann beim Booten mit der RTC abgeglichen werden und ist dadurch genauso ungenau wie die Hardwarezeit. Die Logik der Sommer- und Winterzeit wird übrigens in der Regel nicht von der RTC übernommen. Darum kümmert sich das Betriebssystem. [+] Die Systemzeit und die Hardwarezeit können Sie mit Webmin einsehen und auch verändern. Dazu verwenden Sie das Modul Hardware • Systemzeit. Wie bekommen nun alle Teilnehmer im LAN die gleiche Systemzeit? Es wäre ein sehr umständlicher Weg, die Hardware-Uhr ständig zu aktualisieren. Deswegen wurden verschiedene Protokolle entwickelt, die einen mehr oder weniger aufwendigen Zeitabgleich zulassen. Ich stelle Ihnen zunächst den Dienst Network Time
Protocol (NTP) vor, der vom Netzwerkserver angeboten werden kann und von den meisten Clients im LAN ohne weitere Software verstanden wird. Das NTP-Protokoll führt über einen ausgeklügelten Mechanismus dazu, dass Rechner auch über große Entfernungen die Zeit sehr genau aushandeln können. Dabei wird sogar die Laufzeit der Pakete berücksichtigt. In größeren Netzwerken können dann mehrere Zeitserver die Referenzzeit vereinbaren. Ein Server, der stark von den anderen abweicht, wird nach einer Art Abstimmung entmachtet; der Rest bleibt weiter in Kontakt und bestimmt die Zeit im LAN. Die Server sind je nach Genauigkeit in Schichten gegliedert (Strata, Singular Stratum). Je niedriger das Stratum, desto höher die Genauigkeit und Wertigkeit des Servers. Das NTP-Protokoll kommuniziert über UDP-Port 123. Es existieren verschiedene Implementationen des Network Time Protocol, von denen ich drei Beispiele herausgreifen möchte: Der Network Time Protocol Daemon (ntpd) ist der Großvater unter den Zeitdiensten. Der modernere chrony kann wie der ntpd sowohl die lokale Zeit mit einer Zeitquelle synchronisieren als auch anderen Clients selbst als Quelle dienen. Er bietet im Vergleich einen größeren Leistungsumfang an. Der systemd-timesyncd lässt sich als Teil des systemd (siehe Abschnitt 27.7, »Das systemd-Projekt«) gut in ein aktuelles Linux integrieren. Er sorgt u. a. dafür, dass bereits früh im Verlauf des Systemstarts alle Ereignisse verlässlich einem möglichst genauen Zeitpunkt zugeordnet werden können. Anders als ntpd und chrony stellt er anderen Teilnehmern im Netzwerk seine
Uhrzeit nicht als Dienstleistung zur Verfügung und verhält sich daher wie ein einfacher SNTP-Client.
43.20.1 Zeitserver aufsetzen Um den Zeitserver chrony einzurichten, muss die Datei /etc/chrony.conf bearbeitet werden. Ich stelle Ihnen zunächst die Einträge vor, die zu machen sind. Unter siegfried sind diese Konfigurationen bereits vorgenommen. Immer wenn kein Server im LAN oder Internet zum Abgleich der Zeit konfiguriert und erreichbar ist, muss die local clock (dt. lokale Uhr) als Ersatz ausreichen. Sie wird von einer Pseudo-IP-Adresse vertreten: server 127.127.1.0
local stratum 10
Zunächst tragen Sie einen oder besser mehrere Zeitserver aus dem Internet ein. Im Internet finden sich auf der Seite http://www.ntp.org Listen mit Zeitservern. Nahe gelegene Zeitserver sind aufgrund niedrigerer Paketlaufzeiten genauer. Deshalb empfehle ich Ihnen, einen lokalen Zeitserver-Pool zu nutzen. Für Deutschland ist das der Pool de.pool.ntp.org. Das Driftfile speichert die Information darüber, wie stark die Systemzeit von der Referenzzeit im Internet abweicht: driftfile /var/lib/ntp/chrony.drift Die Funktion des Servers
testen Sie mit dem Kommando chronyc. Mit dem Argument sources erhalten Sie einen Überblick über Verbindungen zu Servern, von denen der lokale NTP-Dienst seine Zeit bezieht.
[+] Wenn Sie einen DHCP-Server einsetzen, kann dieser als Option auch einen NTP-Server verteilen (siehe Abschnitt 43.6, »DHCPServer«). In diesem Fall bevorzugt der Client – je nach Konfiguration – entweder die lokale Konfiguration oder die des DHCP-Servers. Nach einigen Minuten sucht sich der lokale NTP-Client einen Server zur Synchronisation aus der Liste, den er mit einem * markiert (siehe Abbildung 43.31). Ein Server, der für diesen als Ersatz dienen könnte, wird mit einem + gekennzeichnet, vorerst nicht verwendete Server werden mit einem - versehen.
Abbildung 43.31 »chronyc« zeigt den Status der Zeitserver.
Die Anbindung der Clients an den Server ist einfach. In den meisten Fällen ist es nicht nötig, zusätzliche Software aufzuspielen.
43.20.2 Linux-Client an den Zeitserver anbinden Entsprechend der Einrichtung des Servers sieht die Anbindung eines Linux-PCs im LAN aus. Ein Eintrag in der Datei /etc/ntp.conf für den ntpd bzw. /etc/chrony.conf für chrony genügt: server siegfried.home Überprüfen Sie anschließend, dass der NTP-
Dienst bzw. der chronyd gestartet ist!
[+] Mit YaST2 • Netzwerkdienste • NTP-Konfiguration ist es zusätzlich und ohne Kommandozeile möglich, NTP zu konfigurieren.
Das Kommando timedatectl hilft Ihnen dabei, den jeweils aktuellen Zustand der Synchronisation zu verfolgen.
43.20.3 systemd-timesyncd In der Konfigurationsdatei des systemd-timesyncd werden die gewünschten Zeitserver und – für den Notfall – deren Ersatz hinterlegt. [Time]
NTP=0.de.pool.ntp.org 1.de.pool.ntp.org 2.de.pool.ntp.org 3.de.pool.ntp.org
FallbackNTP=time1.google.com time2.google.com time3.google.com time4.google.com
Listing 43.3 gpListing
Falls Sie von einem anderen Zeitdienst zum systemd-timesyncd migrieren, müssen Sie die alten Dienste noch stoppen und deaktivieren. Anschließend aktivieren und starten Sie den systemdtimesyncd. sudo sudo sudo sudo
systemctl systemctl systemctl systemctl
stop {ntp.service,ntpd.service,chronyd.service}
disable {ntp.service,ntpd.service,chronyd.service}
enable systemd-timesyncd.service
start systemd-timesyncd.service
Listing 43.4 gpListing
Das Kommando systemctl status systemd-timesyncd.service gibt Aufschluss über den Zustand des systemd-timesyncd. [+] Es ist möglich, dass Sie den ntpd vor dem Start des systemdtimesyncd komplett deinstallieren müssen, da der systemdtimesyncd bei Existenz der /usr/sbin/ntpd den Start verweigert.
43.20.4 Windows-Client an den Zeitserver anbinden Unter Windows übernimmt der Dienst Windows-Zeitgeber die Synchronisation per Simple Network Time Protocol (SNTP). Ein SNTPClient kann seine Zeit mit einem NTP-Server abgleichen; umgekehrt funktioniert es nicht. Klicken Sie auf Start • Ausführen …, und starten Sie die WindowsEingabeaufforderung cmd. Mit w32tm.exe verwalten Sie den Zeitdienst (siehe Abbildung 43.32).
Abbildung 43.32 Der Zeitgeber von Windows
43.20.5 macOS-Client an den Zeitserver anbinden In der Ansicht Datum & Uhrzeit der Systemeinstellungen können Sie im Textfeld nach Datum & Uhrzeit automatisch einstellen auch direkt die Adresse eines NTP-Servers eingeben, wenn Sie die von Apple bereitgestellten zugunsten Ihres eigenen nicht mehr verwenden möchten.
43.20.6 Systemzeit virtueller Maschinen Sie können die Zeit eines Gastes automatisch mit der – hoffentlich korrekten – Zeit des Host-Betriebssystems synchronisieren. Das hat
den Vorteil, dass nicht in jedem Gast ein eigener Zeitdienst laufen muss, der die Paketlaufzeiten der Infrastruktur ausgleicht. Diese Art des Zeitabgleichs wirkt sich positiv auf die Performance aus. VMware synchronisiert über die VMware Tools. Die Einstellungen finden Sie daher im Reiter Options unter VMware Tools der Virtual Machine Settings. Bei VirtualBox entscheiden Sie in den Einstellungen der virtuellen Maschine unter System, ob die virtuelle Echtzeituhr die Uhrzeit in koordinierter Weltzeit (UTC) oder in lokaler Zeit an den Gast weitergibt.
44 Containertechnologie Container sind nicht nur ein Transportmittel für eine Vielzahl unterschiedlicher Güter, sondern auch eine Technologie zur Portierung von Anwendungen samt Konfiguration und Abhängigkeiten. Definieren lässt sich ein Container als ein Softwareformat, das einer kompletten Anwendung inklusive ihrer Konfiguration und Abhängigkeiten entspricht. Verpackt ist diese Anwendung in einem genau definierten und wiederverwendbaren Format. Auch wenn im Zusammenhang mit Containern häufig von einer Virtualisierungstechnologie (siehe Kapitel 41, »Virtualisierung«) gesprochen wird, enthält ein Container im Gegensatz zu einer virtuellen Maschine kein eigenes Betriebssystem. Das ermöglicht einen vergleichsweise ressourcenschonenden Betrieb von Containern. Container können sehr schnell erstellt, gestartet und wieder verworfen werden. Dadurch eignen sie sich hervorragend, um den Betrieb von Anwendungen zu skalieren. Üblicherweise verteilt dann ein Load-Balancer die Netzwerklast auf mehrere Instanzen eines Containers. Mehrere Container können bei Bedarf mit Hilfe spezieller Software wie Kubernetes orchestriert werden. Ein Containerimage ist ein standardisiertes Dateisystemimage. Sie haben die Wahl und können ein fertiges Image übernehmen, aus
einem Basisimage einen neuen Container bauen oder einen Container von Grund auf neu (engl. from scratch) erstellen. [»] Aber auch wenn Sie einfach nur neue Dinge ausprobieren wollen, können Ihnen Container Ihre Arbeit häufig sehr erleichtern. Container benötigen keine komplizierten Installations- und Deinstallationsroutinen. Als Container-Engine verwende ich in den folgenden Beispielen Docker (https://www.docker.com). Sie können z. B. Ihre Hausautomation (siehe Kapitel 50, »FHEMSteuerzentrale«) oder Ihr Webmeeting-Portal auf Basis von Apache OpenMeetings (siehe Abschnitt 32.10.1, »WebEx und Apache OpenMeetings«) als Container betreiben. Installationsanleitungen finden Sie auf der Seite https://docs.docker.com/install im Internet. Docker ist zudem in der Softwareverwaltung aller namhaften Linux-Distributionen enthalten. Das gilt auch für den Raspberry Pi (siehe Kapitel 54, »Raspberry Pi«) und viele NAS-Systeme (siehe Kapitel 40, »Netzwerkspeicher«).
44.1 Docker Client Mit Hilfe von Docker können Sie Container unter Windows, Linux und macOS betreiben. Docker für Windows basierte ursprünglich rein auf HyperV (siehe Abschnitt 26.12, »Client HyperV«). Für Windows-Editionen ohne HyperV – z. B. Windows Home – blieb daher als Alternative nur die Docker Toolbox, die auch mit Oracle VM VirtualBox (siehe Abschnitt 41.2, »Oracle VM VirtualBox«) kompatibel ist. Seit dem Release 2004 von Windows 10 empfehle ich Ihnen jedoch, Docker-Container unter WSL 2 (siehe Abschnitt 26.17, »Windows-Subsystem für Linux«) laufen zu lassen. Dazu setzen Sie
die Option Settings • Use the WSL 2 based Engine. Beim Menüpunkt Resources konfigurieren Sie unter Network das von Docker zu verwendende Subnetz und unter WSL Integration die von Docker zu verwendende Linux-Distribution. Ich empfehle Ihnen, einen Benutzer auf der Website https://hub.docker.com zu registrieren. Mit dem Kommando docker run hello-world:latest können Sie nach der Installation Ihren ersten Container aus dem Register (engl. registry) Docker Hub herunterladen und starten (siehe Abbildung 44.1). Das Etikett (engl. tag) »latest« verweist hierbei auf die aktuellste Version dieses Containers.
Abbildung 44.1 Docker lädt einen Container aus dem Hub.
44.2 Dockerfile [»] Als Einstieg in die Containertechnologie möchte ich Ihnen anhand eines einfachen Beispiels zeigen, wie Sie den Webserver Apache 2 in einem Container aufsetzen. [o] Für die Beschreibung des gewünschten Containers legen Sie die Datei Dockerfile an. Sie finden das Dockerfile aus diesem Beispiel im Verzeichnis /Docker bei den Materialien. Diese Datei legen Sie zusammen mit der Datei content.html, deren Inhalt Sie nach Belieben anpassen können, in ein neues Verzeichnis. FROM ubuntu:latest as base
RUN apt-get update
&& DEBIAN_FRONTEND=noninteractive
apt-get install -y --no-install-recommends
lsb-core
lsb-release
apache2
\ && rm -rf /var/lib/apt/lists/*
RUN lsb_release -a
COPY content.html /var/www/html/
EXPOSE 80/tcp
CMD ["apachectl", "-D", "FOREGROUND"]
Listing 44.1 gpListing
Anweisung Bedeutung FROM
Verweist auf das Basisimage dieses Images.
Anweisung Bedeutung RUN
Führt Kommandos während des Build-Prozesses aus.
COPY
Kopiert Dateien in das Image.
EXPOSE
Dokumentiert den Port eines Dienstes, der zur Laufzeit des Containers genutzt werden kann.
CMD
Ein Befehl, der beim Start des Containers ausgeführt werden soll. Dieser Befehl kann mit einem Argument des Kommandos docker run (siehe Tabelle 44.3) überschrieben werden.
USER
Bestimmt den Benutzer, mit dessen Rechten die jeweils nachfolgenden Befehle CMD und RUN ausgeführt werden.
ENV
Definiert Umgebungsvariablen.
Tabelle 44.1 Die wichtigsten Anweisungen im Dockerfile
Als Basis für Ihr Image soll ein aktuelles Ubuntu Linux dienen. Nach der Installation von Software wird die Datei content.html in das Image kopiert. TCP-Port 80 (siehe Kapitel 17, »Transmission Control Protocol«) ist der Port, auf dem der Apache 2 Webserver auf Verbindungen wartet. Einen Überblick über Anweisungen eines Dockerfiles finden Sie in Tabelle 44.1. Mit dem Kommando docker build -t apache2:latest erstellen Sie Ihr Containerimage. Wie Sie erkennen, können Sie einer Version Ihres eigenen Images ebenfalls das Etikett »latest« verleihen.
Mit dem Kommando docker images erhalten Sie einen Überblick über Ihre Images (siehe Abbildung 44.2). Alle Images können Sie mit Hilfe einer eindeutigen IMAGE ID verwalten. In Tabelle 44.2 finden Sie gängige Kommandos zur Verwaltung von Images.
Abbildung 44.2 Mit der Zeit sammeln sich diverse Images an.
Kommando Bedeutung build
Erstellt ein Image aus einem Dockerfile.
pull
Lädt ein Image aus einem Register.
push
Speichert ein Image in einem Register.
images
Listet Images auf.
rmi
Löscht Images.
Tabelle 44.2 Die wichtigsten Kommandos für Docker-Images
Ihren Container starten Sie als Instanz Ihres soeben fertiggestellten Images mit dem Kommando docker run -d -p 8888:80 apache2:latest. Da Docker die Container hinter einem virtuellen NAT-Router betreibt (siehe Abschnitt 14.5, »Network Address Translation«), muss Docker HTTP-Port 80 aus dem Container über den NAT-Router weiterreichen. Die Option p 8888:80 richtet ein entsprechendes Port Forwarding ein. Nun können Sie mit einem Browser unter
der Adresse http://localhost:8888/content.html auf Ihren Inhalt zugreifen. Mit dem Kommando docker ps verschaffen Sie sich einen Überblick über aktuell laufende Container und ihre CONTAINER ID. Laufende Container beenden Sie mit dem Kommando docker stop . Wenn Sie einen Container nicht mehr benötigen, entfernen Sie ihn mit dem Kommando docker rm . Entsprechend löscht der Befehl docker rmi ein Image. Weitere Kommandos finden Sie in Tabelle 44.3. Kommando Bedeutung create
Erstellt einen neuen Container.
start
Startet einen gestoppten Container.
run
Erstellt einen Container und startet ihn.
ps
Listet Container auf.
pause
Hält alle Prozesse eines Containers an.
unpause
Startet alle Prozesse eines pausierten Containers.
attach
Startet eine Terminalemulation für einen Container.
stop
Beendet Container.
rm
Löscht Container.
Tabelle 44.3 Die wichtigsten Kommandos für Docker-Container
[!] Bei dem von mir in diesem Beispiel verwendeten Basisimage »ubuntu« handelt es sich um ein offizielles Image. Ich empfehle Ihnen dringend, ausschließlich offizielle Images als
Basisimage zu verwenden. Woran Sie solche Images erkennen und wie Sie sich so vor möglichem Schaden schützen können, erfahren Sie im folgenden Abschnitt.
44.3 Docker Cloud Die Verwaltung der Images können Sie leicht in die Cloud auslagern (siehe Kapitel 48, »Cloud-Computing«). Docker unterscheidet dabei zwischen einem öffentlichen (engl. public) und einem privaten (engl. private) Depot (engl. repository). Die Images »hello-world« und »ubuntu« hat Docker aus einem Verzeichnis im Internet mit dem Namen Docker Hub geladen. In der Regel setzen sich die Namen der Images in diesem Verzeichnis aus einem Benutzernamen und dem eigentlichen Imagenamen zusammen, also z. B. »pcnetzwerke/apache2«. Offizielle Images verzichten auf den Benutzernamen. Bei Images, deren Quelle Sie nicht kennen und vertrauen können, besteht grundsätzlich die Gefahr einer Kontamination mit Schadsoftware (siehe Abschnitt 33.2, »Angriffsarten: Überblick«). Mit dem Kommando docker pull laden Sie Images aus dem Hub herunter, entsprechend kopieren Sie mit docker push ein Image aus Ihrem lokalen Verzeichnis in den Hub. Mit docker tag verknüpfen Sie Ihr lokales Image mit dem Image im Hub. docker tag apache2 /apache2
docker push /apache2
Listing 44.2 gpListing
Wenn Sie Ihr Konto bei Docker Hub mit Ihrem Account bei der Quellcodeverwaltung GitHub verknüpfen, können Sie den Container auch direkt in der Cloud erstellen lassen. Auf Docker Hub verknüpfen Sie Ihr Repository über Builds • Configure Automated Builds mit einem Repository auf GitHub, in dem sich das Dockerfile befindet (siehe Abbildung 44.3).
Abbildung 44.3 Builds können auch automatisiert gestartet werden.
44.4 CI/CD Die Anwendung von Containern ist abhängig vom beabsichtigten Nutzen sehr unterschiedlich. Die Bereitstellung und der Betrieb von Containern können unter dem Begriff Container as a Service (CaaS) zusammengefasst werden. Darüber hinaus sind Container häufig Bestandteil von IaaS (siehe Abschnitt 48.2.1, »Infrastructure as a Service«) und PaaS (siehe Abschnitt 48.2.1, »Platform as a Service«). [»] In der agilen Anwendungsentwicklung erleichtern Container die einfache Integration einzelner Komponenten im Rahmen einer Continuous Integration (CI), die Testautomation und letztlich die Auslieferung qualitativ hochwertiger Software (Continuous Delivery; CD). Ein großer Teil des Lebenszyklus einer Software kann mit Hilfe einer CI/CD-Pipeline abgebildet und weitestgehend automatisiert werden. Sie können z. B. bei einem Anbieter wie BitBucket (https://bitbucket.org) eine CI/CD-Pipeline definieren, die auf Basis von Containern aus dem Docker Hub Ihre Software übersetzt und anschließend ausliefert. Auch die LaTeX-Quellen dieses Buches werden regelmäßig auf der Basis einer derartigen CI/CD-Pipeline verarbeitet.
45 Netzwerkbackup Sie sollten sich unbedingt Zeit nehmen, um über ein Backupkonzept für Ihren Netzwerkserver nachzudenken. Betrachten Sie dieses Kapitel als Vorbereitung für Ihre Entscheidung. Es geht mir nicht darum, Ihnen eine fertige Backuplösung vorzusetzen – das wäre Unsinn, denn ich kenne Ihre Infrastruktur nicht. Es geht mir vielmehr darum, Ihnen die Grundbegriffe zu erläutern. Außerdem möchte ich Ihnen ein Beispielsetup vorstellen. Die Entscheidung darüber, welches Programm und welche Strategie Sie wählen, müssen Sie letztlich aber allein treffen.
45.1 Wozu Backup? Ihre Daten lagen vor dem Netzwerkserver verstreut auf mehreren Clients. Eine Sicherung aller Clients ist sehr zeitaufwendig und technisch anspruchsvoll. Deshalb macht es auch kaum jemand. Sie haben auf dem Netzwerkserver bereits viele Aufgaben zentralisiert. Im Idealfall liegen keine unersetzlichen Daten mehr auf den anderen PCs in Ihrem Netzwerk. Auf den Festplatten des Netzwerkservers befinden sich persönliche Daten und E-Mails, Nachrichten Ihres Anrufbeantworters oder heruntergeladene Dateien. Was passiert, wenn die Festplatte dieses Servers ausfällt?
Wenn Sie beim Gedanken daran Zahnschmerzen bekommen, sind Sie hier richtig: beim Backup. Es sind nicht nur defekte Festplatten, die zum Datenverlust führen. In vielen Fehlerstatistiken liegt der Faktor Mensch noch vor der Hardware. Ein falsches Kommando, und wichtige Daten können verloren sein. Wer aus Gewohnheit immer als root arbeitet, macht früher oder später leidvoll diese Erfahrung. Ein weiterer Grund dafür für Backups ist die mögliche Manipulation von Daten. In einem wichtigen Brief wird ein Absatz gelöscht und der Brief so gespeichert. Wochen später fällt Ihnen ein, dass der Absatz doch wichtiger sein könnte als ursprünglich angenommen. Glücklich ist der Mensch, der ein Backup hat. Ein sehr unangenehmes Thema ist auch die mögliche Manipulation Ihrer Daten von außerhalb des LANs. Ein Teilnehmer im Netzwerk könnte beim Surfen im Internet einen Virus eingeschleppt haben. Infizierte Dateien würden Sie einfach mit nicht infizierten aus einer Sicherung überschreiben. Falls Sie einen Einbruch in Ihr System entdeckt haben, ist es außerdem ratsam, die Dateien auf der Festplatte mit den vor dem Einbruch gesicherten Daten zu vergleichen. Im Internet findet sich eine Fülle von Free- und Sharewareprogrammen. Welches davon das richtige für Sie ist, müssen Sie selbst entscheiden. Stellen Sie sich beim Lesen dieses Kapitels bitte folgende Fragen: Welche Datenmenge muss gesichert werden? Wie häufig (z. B. wöchentlich) sollten die Daten gesichert werden? Welche Laufwerke und Sicherungsmedien stehen zur Verfügung?
45.1.1 Backup Eine hundertprozentige Sicherheit gibt es nicht. Im Wesentlichen entscheiden Sie selbst, wie ausfallsicher Ihr Server sein soll. Dies bedeutet: Je mehr Gedanken Sie sich jetzt machen, desto schneller ist das System im Fehlerfall wieder aufgebaut. Es gibt grundsätzlich zwei Sicherungsarten: lokale Sicherungen und Sicherungen über das Netzwerk. Bei der lokalen Sicherung werden die Daten auf ein Laufwerk oder Medium des Netzwerkservers gesichert. Dabei kann es sich um ein Bandlaufwerk (z. B. DDS oder DLT), einen CD- oder DVD-Brenner, einen USB-Datenspeicher oder auch eine andere Festplatte handeln. Die Sicherung von Daten in eine Datei auf der gleichen Festplatte ist natürlich nicht zu empfehlen, da bei einem Ausfall der Platte mit den Daten auch das Backup verschwunden wäre. Netzwerksicherungen liefern die Dateien über einen anderen Netzwerkteilnehmer an ein dort angeschlossenes Gerät. Einige Freewareprogramme bieten die Sicherung in eine Netzwerkfreigabe eines anderen PCs an (z. B. mit FTP, NFS, Samba). Nicht nur auf Sicherungslaufwerke können Sie über einen anderen PC im LAN zugreifen. Auch die Steuerung der Sicherung muss nicht lokal bleiben. Die Sicherungsdaten – wann wurde was wohin gesichert? – können auf diese Weise vom zu sichernden System ferngehalten werden. Sollte der Netzwerkserver also Daten verlieren, wären die Informationen über die Sicherungen unversehrt. Wenn Sie größere Mengen relativ statischer Daten sichern möchten, sollten Sie bei der Wahl Ihres Backuptools darauf achten, dass inkrementelle Sicherungen unterstützt werden. Bei diesen Sicherungen werden nur die Dateien in die Sicherung einbezogen,
die sich seit der letzten Vollsicherung oder der letzten inkrementellen Sicherung verändert haben.
45.1.2 Restore Bei einem Restore (Zurückspielen der Daten vom Sicherungsmedium auf die Festplatte) sollten Sie mit Bedacht vorgehen. Die meisten Backupprogramme bieten Ihnen die Möglichkeit, die betroffenen Dateien und Verzeichnisse einzeln auszuwählen. Andere Optionen können im Ernstfall sehr hilfreich sein. Mittels No Overwrite werden nur Dateien zurückgespielt, die nicht mehr vorhanden – weil z. B. versehentlich gelöscht – sind. Alle anderen Dateien bleiben unberührt. Ob und welche anderen Hilfsmittel das Backupprogramm Ihnen bietet, erfahren Sie aus der Dokumentation.
45.1.3 Disaster Recovery Wenn gar nichts mehr geht, hilft nur ein Disaster Recovery. Es ist denkbar, dass das Betriebssystem nicht mehr zu retten ist. Die Basis selbst ist so in Mitleidenschaft gezogen, dass nur noch ein kompletter Restore der Partitionen hilft. Die möglichen Ursachen dafür sind vielfältig: Administrationsfehler Fehler im Filesystem Hardwareausfall Virenbefall
Ich empfehle Ihnen zur Vorsorge für diesen Notfall eine Imagesicherung (siehe Abschnitt 45.2, »Clonezilla«) oder ein Systemabbild (siehe Abschnitt 45.3.4).
45.2 Clonezilla Clonezilla bietet Ihnen eine einfache Möglichkeit für Backups und Restores ganzer Festplatten über das Netzwerk. Dabei spielt es keine Rolle, ob es sich bei dem zu sichernden PC um einen physikalischen oder einen virtuellen Rechner handelt. Clonezilla unterstützt alle gängigen Filesysteme – einschließlich Windows-NTFS und HFS+ von macOS – und den Logical Volume Manager 2 (LVM2) von Linux. [+] Diese Verfahren sichert ganze Festplatten. Durch das Backup einzelner Dateien können Sie auch Imagesicherungen von virtuellen Systemen durchführen. Solche Sicherungen ganzer virtueller Festplatten werden aber nicht im Gast durchgeführt, sondern auf dem Wirt. Vorhandene Sicherungspunkte der virtuellen Maschine müssen Sie bei einer Dateisicherung des Wirtes in die Sicherung integrieren. Die Nutzung dieser Appliance für ein Backup eines macOS-Systems ist nur begrenzt sinnvoll. Das aktuelle Dateisystem von Apple, APFS, wird von Clonezilla nicht ausreichend unterstützt. Sie sollten, bevor Sie sich auf Clonezilla als Backuplösung verlassen, mehrere Tests durchführen und dabei sicherstellen, dass alle Partitionen und deren Wiederherstellung zuverlässig funktionieren. Die beste Lösung, um eine Partition zu duplizieren, besteht in der Nutzung des Festplattendienstprogramms von macOS oder eines spezialisierten wie dem Carbon Copy Cloner (https://bombich.com). [o] Sie finden das ISO-Image von Clonezilla im Verzeichnis /software/administration. Dieses CD-Image eignet sich für 64-Bit-Systeme von Intel und AMD. Auf der Website https://clonezilla.org finden Sie Clients für weitere
Architekturen. Für die Sicherung einer physikalischen Maschine brennen Sie das ISO-Image auf eine CD. Alternativ finden Sie auf den Internetseiten von Clonezilla auch Dateien für den Boot vom USB-Stick oder per Preboot Execution Environment (PXE) über das Netzwerk.
45.2.1 Backup mit Clonezilla Um ein Backup durchzuführen, muss der Backupclient gebootet werden. Das passiert bei physikalischer Hardware und virtuellen Systemen sehr ähnlich: Sie erstellen ein Backup einer kompletten virtuellen Maschine, indem Sie die ISO-Datei in das virtuelle CDLaufwerk einlegen. Beim Boot lädt die virtuelle Maschine nun automatisch den Clonezilla-Client, soweit die Bootreihenfolge im BIOS der virtuellen Maschine dementsprechend eingestellt ist. Nach Sprache und Tastaturbelegung wählen Sie Starte Clonezilla. Die Methode device-image erzeugt ein Backupimage einer Partition oder Festplatte. Neben einem lokal angeschlossenen Sicherungsmedium bietet Clonezilla eine Auswahl aller gängigen Netzwerkprotokolle: ssh_server: Der Datenverkehr wird über die Secure Shell (siehe
Abschnitt 32.2, »Secure Shell (SSH)«) getunnelt.
samba_server: Die Images werden in einer Samba-Freigabe (siehe
Abschnitt 43.7, »Samba als Fileserver«) abgelegt.
nfs_server: Sie können einen Samba- oder NFS-Share Ihres NAS
oder Fileservers (siehe Abschnitt 55.4, »Raspberry NAS«) nutzen. webdav_server: WebDAV (Web-based Distributed Authoring and
Versioning) hebt Limitierungen im HTTP-Protokoll auf. Dadurch können über Port 80 Cloud-Festplatten (siehe Abschnitt 48.2.1,
»Infrastructure as a Service«) für die Sicherungen verwendet werden. Die IP-Adresse des Backupclients können Sie statisch oder per DHCP vergeben. Die Netzwerkadresse des Backupziels und den dortigen Ablageort der Images geben Sie von Hand ein. Die Funktion savedisk sichert ganze Festplatten, während Sie nach der Auswahl von saveparts die zu sichernden Partitionen voneinander trennen können. Den optionalen Filesystem-Check finde ich sehr gelungen (siehe Abbildung 45.1).
Abbildung 45.1 Optionales »btrfsck« beim Backup von siegfried6
45.2.2 Restore mit Clonezilla Ein Wiederherstellen der Daten funktioniert ähnlich wie die Datensicherung: Zunächst booten Sie den Backupclient. Über Expert • restoredisk wählen Sie das Archiv mit den gesicherten Daten und die richtige Festplatte oder Partition. [!] Das hier ausgewählte Ziel wird mit den Daten der Sicherung überschrieben. Die darauf vorhandenen Daten sind danach verloren!
45.3 Windows-Bordmittel Die Sicherung von Daten ist ein wichtiger Schritt, um Sicherheit für Ihr Netzwerk zu erreichen. Windows bringt wie macOS oder Linux eigene Bordmittel mit, mit denen Sie Sicherungen anlegen können.
45.3.1 Robocopy Windows verfügt über das Kommandozeilentool robocopy.exe. Wie der Name schon andeutet, ist es eigentlich kein klassisches Sicherungstool, sondern ein Kopierprogramm. Es eignet sich insbesondere dazu, ein Verzeichnis, z. B. Eigene Dateien, auf das NAS zu spiegeln. Mit den entsprechenden Parametern kopiert Robocopy nur Dateien, die sich geändert haben oder neu sind, und löscht – sofern gewünscht – im Quellordner gelöschte Dateien. Das Programm bietet etliche Optionen, und Sie sollten überlegen, eine kostenfrei verfügbare Programmoberfläche zu nutzen. Ich habe mich für RoboGUI (https://www.spoonsoft.de/robogui) entschieden. Über diese bequeme und mit Hilfstexten versehene Oberfläche (siehe Abbildung 45.2) können Sie verschiedene Kopierjobs anlegen, umfangreich konfigurieren und auch direkt einen Zeitplan für die Ausführung festlegen.
Abbildung 45.2 RoboGUI hilft beim Einrichten von Robocopy.
Im Gegensatz zu einigen anderen Sicherungstools arbeitet Robocopy mit maximaler Datenrate, ohne das Quellsystem dabei zu sehr zu belasten. Allerdings werden die Daten auch nicht komprimiert, so dass genug Platz auf den Zielverzeichnissen zur Verfügung stehen muss. Ein Nachteil kann je nach Konfiguration von Robocopy sein, dass gelöschte Dateien auch in der Kopie gelöscht werden. Versehentlich gelöschte Dateien können dann in der Sicherung nicht mehr wiedergefunden werden. Außerdem können Sie nicht mehrere Versionen einer Sicherung anlegen.
45.3.2 SyncToy SyncToy von Microsoft ist speziell auf die Synchronisierung von Verzeichnissen ausgelegt (siehe Abbildung 45.3). Die Optionsvielfalt
von Robocopy bietet SyncToy nicht. Wenn Sie nur zwei Ordner synchron halten wollen, ist es aber eine nette Alternative.
Abbildung 45.3 SyncToy kopiert von links nach rechts.
Zur Einrichtung bestimmen Sie den Quellordner Left Folder und den Zielordner Right Folder. Die beiden bilden ein Paar und werden mit Action • Synchronize abgeglichen. Im Quellverzeichnis nicht mehr vorhandene Dateien werden auch im Zielverzeichnis gelöscht, wenn Sie nicht die Option Contribute aktivieren. Es gibt weitere Optionen, mit denen Sie Verzeichnisse oder Dateien ausschließen können. Im Vergleich zu Robocopy ist SyncToy deutlich langsamer, kann beim Kopieren einer geänderten Datei aber auch ihren Inhalt berücksichtigen. Auch bei diesem Programm handelt es sich nicht um ein klassisches Backupprogramm, das Ihnen ein komprimiertes Archiv zur Verfügung stellt, sondern auf dem NAS liegen die Dateien 1 : 1 wie auf dem Quell-PC. Dafür sind die Dateien nutzbar, was beispielsweise bei Musik oder Fotos oft wünschenswert sein dürfte.
45.3.3 Offlinedateien Ein Bordmittel von Windows sind die Offlinedateien. Die Funktion wird durch das Synchronisierungscenter unterstützt. Eine Offlinedatei ist eine Datei auf einem Netzlaufwerk, die in einen lokalen Ordner synchronisiert wird. Dies soll nach Aussage von Microsoft genutzt werden, wenn eine schlechte Netzwerkanbindung vorliegt oder die Dateien auch ohne Netzwerkanbindung bearbeitet werden sollen. Für eine Datei oder einen Ordner auf dem Netzlaufwerk können Sie mittels rechter Maustaste über Eigenschaften • Offlinedateien • Immer offline verfügbar die Synchronisierung aktivieren. Um einen Zeitplan brauchen Sie sich keine Gedanken zu machen; die Synchronisierung wird im Hintergrund automatisch ausgeführt. Dabei kann es sein, dass es zu einem Konflikt kommt, wenn Original und Kopie bearbeitet wurden. In diesen Fällen fragt Windows nach, was nun zu tun ist. Ein kleines Symbol in der Ansicht des Ordners oder der Datei zeigt die Synchronisierung an. Im Synchronisierungscenter der Systemsteuerung erfahren Sie, welche Dateien synchronisiert werden und wie der jeweilige Status dieses Vorgangs ist. Für die Offlinedateien gilt wie schon bei Robocopy und SyncToy, dass es kein Backupwerkzeug im eigentlichen Sinn ist, da kein Backuparchiv erzeugt wird.
45.3.4 Systemabbild Ab Windows 7 ist das Systemabbild ins Betriebssystem integriert.
Über Systemsteuerung • System und Sicherheit • Sichern und Wiederherstellen • Systemabbild erstellen starten Sie den Vorgang. Wählen Sie das Backupziel, das aus einer lokalen Festplatte, einem optischen Brenner oder einem Netzwerkshare bestehen kann. Im Anschluss an die Sicherung werden Sie gefragt, ob Sie einen Systemreparaturdatenträger erstellen möchten (siehe Abbildung 45.4). Sollte das Betriebssystem so stark in Mitleidenschaft gezogen worden sein, dass es nicht mehr startet, können Sie mit Hilfe des Systemreparaturdatenträgers den Restore problemlos initiieren. Das Systemabbild ergänzt damit sinnvoll andere WindowsWerkzeuge wie das Wiederherstellungslaufwerk, die Systemwiederherstellungspunkte und das Zurücksetzen des Betriebssystems.
Abbildung 45.4 Der Systemreparaturdatenträger für das Disaster Recovery
45.3.5 Windows File History Ab Windows 8 können Sie den Dateiversionsverlauf (siehe Abschnitt 26.7, »File History«) für die Sicherung und Wiederherstellung von Verzeichnissen zu definierten Zeitpunkten einsetzen.
45.4 Linux »rsync« Das Kommando rsync bietet ein einfaches und schnelles Dateibackup über das Netzwerk. Die Dateien werden unverändert in ein anderes Dateisystem – z. B. auf ein NAS – kopiert, wodurch auch ein sehr unkomplizierter Restore gewährleistet ist: $ sudo rsync -aP --delete @:
Durch die Option --delete werden auf dem Quellsystem gelöschte Dateien auf dem Zielsystem ebenfalls gelöscht. Weitere Details und Optionen werden in der Manpage (siehe Abschnitt 27.1, »Dokumentation«) erläutert. Der Restore funktioniert ganz ähnlich: $ sudo rsync -aP @:
In der Regel wird rsync im Zusammenspiel mit einer Secure Shell (SSH) (siehe Kapitel 32, »Fernadministration und Zusammenarbeit«) benutzt. Nach einem optionalen Schlüsselaustausch kann – natürlich nur in nicht sicherheitskritischen Umgebungen – auf die Eingabe eines Passwortes verzichtet werden (siehe Abschnitt 32.2.2, »Passphrasegeschützte Verbindung mit Clientschlüssel«). [+] Manchmal ist es wichtig, dass die Daten eines Backups logisch in sich konsistent sind. Da zwischen dem Beginn und dem Ende eines Backupvorganges immer etwas Zeit vergeht, könnten Dateien, die während des Backups verändert werden, logisch im Widerspruch zueinander stehen. In einem solchen Fall bietet es sich an, zunächst einen Snapshot des kompletten Dateisystems zu erzeugen (siehe Abschnitt 43.4, »Das B-Tree Filesystem«). Dieser – immer
konsistente – Snapshot kann anschließend mit rsync gesichert werden. [»] Ein Beispiel für die Sicherung mit dem Kommando rsync auf Ihr NAS finden Sie in Abschnitt 55.4.4, »Netzwerkfreigaben«.
45.5 macOS Time Machine Wenn Sie unter macOS ein Backup über das Netzwerk erstellen möchten, dann müssen Sie einige Faktoren berücksichtigen. Zwar handelt es sich bei macOS um ein vollwertiges und sogar offiziell zertifiziertes UNIX-System, aber in vielen Punkten verhält sich macOS doch etwas anders. Dies betrifft insbesondere die Arbeit mit Dateien. macOS verwendet standardmäßig das Dateisystem APFS. Das System ist zwar in der Lage, auch auf Festplatten mit dem FATDateisystem zuzugreifen und das Dateisystem NTFS zu lesen, aber ein vollständiges und wirklich funktionsfähiges Backup erreichen Sie in der Regel nur mit einer Apple-eigenen Lösung wie Time Machine oder kostenpflichtigen Zusatzprogrammen, die die besonderen Anforderungen der Plattform berücksichtigen.
Abbildung 45.5 Als Zielmedium für das Backup können Sie auch einen freigegebenen Ordner verwenden.
Eine der wesentlichen Anforderungen an ein Backupsystem besteht in der korrekten Handhabung der erweiterten Dateiattribute, die
unter macOS viele Aufgaben wahrnehmen und manchmal nicht nur zusätzliche Informationen einer Datei speichern, sondern in Ausnahmefällen auch den eigentlichen Inhalt. Eine recht einfach zu konfigurierende Variante besteht im Einsatz von Time Machine, der hauseigenen Lösung des Systems. Um unter macOS 10.13 und 10.14 einen Ordner als Ziel für eine Time-MachineSicherung zu konfigurieren, fügen Sie ihn in den Systemeinstellungen in der Ansicht Freigabe zunächst zur Liste der geteilten Ordner hinzu. Rufen Sie dann mit einem Rechtsklick die erweiterten Optionen auf. Sie finden dort die Option Als Ziel eines Time Machine-Backups teilen. Damit die Time-Machine-Backups nicht den gesamten Speicherplatz des Datenträgers beanspruchen, können Sie ferner eine Grenze festlegen.
Abbildung 45.6 Ein Ordner kann für die Nutzung mit Time Machine gezielt freigegeben werden.
Wenn Sie die freigegebenen Ordner unter macOS im Finder eingebunden haben, können Sie sie als Ziel für ein Backup im Netzwerk verwenden. Wenn Sie bereits Time Machine nutzen, können Sie in der Ansicht Time Machine der Systemeinstellungen über
die Schaltfläche Volume auswählen ein Panel aufrufen. In diesem Panel werden alle Festplatten und eingebundenen Ordner aufgeführt, die als Zielmedium für ein Time-Machine-Backup geeignet sind. In Abbildung 45.5 wird der im Netzwerk freigegebene Ordner ZielordnerTM als Zielmedium für das Backup ausgewählt. Wenn Sie auf diese Weise eine Freigabe im Netzwerk konfiguriert haben, beginnt das System mit der Erstellung des ersten Backups. Dieser Vorgang kann mehrere Stunden dauern. Gesichert wird hierbei neben Ihren Daten im persönlichen Benutzerordner auch das gesamte Betriebssystem. Das Backup wird auf dem Zielmedium nicht in Form einzelner Dateien und Ordner abgelegt. Vielmehr wird ein Festplattenabbild erstellt, dessen Bezeichnung dem Namen Ihres Systems entspricht. Innerhalb dieses Festplattenabbilds mit der Dateiendung .sparsebundle befindet sich die Dateistruktur des Backups. macOS Monterey nimmt die Systemdateien nicht mehr in das Backup auf. Wenn Sie das System aus dem Backup wiederherstellen, dann wird zunächst das System frisch installiert und dann die gesicherten Daten. Apple hat hier mit den letzten Versionen eine striktere Trennung mit Hilfe von Partitionen vorgenommen.
45.6 Cloud-Backup Ein zentrales Backup hat viele Vorteile. Durch die räumliche Nähe des Originals und des Backups können jedoch auch beide gleichzeitig in Mitleidenschaft gezogen werden. Die Folge ist ein totaler Datenverlust. Ein dezentrales Backup in der Cloud (siehe Kapitel 48, »CloudComputing«) ist dieser Gefahr nicht ausgesetzt. Viele kommerzielle Anbieter stellen den Speicherplatz und die passende Backupsoftware als Gesamtpaket zur Verfügung.
45.6.1 Amazon S3 Der allgemeine Onlinespeicher von Amazon S3 (siehe Abschnitt 48.3.3, »Amazon S3«) lässt sich im Speziellen auch für Backups nutzen. Es gibt diverse S3-Backupclients für Windows, Linux und macOS. Auch auf einigen NAS-Systemen ist bereits ein S3-Client installiert. QNAP bietet etwa eine einfache Datensynchronisation mit dem Amazon-S3-Speicher (siehe Abbildung 45.7). Die Replikationsaufträge entsprechen einer Backupdefinition.
Abbildung 45.7 Daten vom QNAP NAS werden in die Cloud repliziert.
45.6.2 File History mit Synchronisation in die Cloud Die Funktion File History (siehe Abschnitt 26.7, »File History«) können Sie nicht nur mit einem USB-Laufwerk, sondern auch mit einem Netzlaufwerk verwenden. Warum sollten Sie nicht ein Netzwerklaufwerk aus der Cloud, wie z. B. Microsoft OneDrive (siehe Abschnitt 48.3.2, »Microsoft OneDrive«) oder Dropbox (siehe Abschnitt 48.3.4, »Dropbox«), für diesen Zweck verwenden? [!] Beachten müssen Sie natürlich die verfügbare Bandbreite. Das Backup Ihrer privaten Heimvideosammlung gehört wahrscheinlich nicht in die Cloud.
46 Medienstreaming LAN und WLAN eignen sich hervorragend, um Musik, Video und Fotos überall im Haus verfügbar zu machen. Spezielle Clients können auf bereitgestellte Streams zugreifen. Ein Videostream enthält direkt empfangbare Bild- und Toninformationen. Demgegenüber ist beispielsweise die Übertragung einer mit H.264 komprimierten Videodatei über das LAN lediglich ein Datenstrom. Der Vorteil des Streamings ist also, dass die empfangenen Daten von verschiedenen Geräten – z. B. PC, Media Center, Internetradio – empfangen und wiedergegeben werden können. [»] Stellen Sie sich vor, dass Sie Ihre Videosammlung auf dem NAS für alle im LAN verfügbar machen möchten. Sie können diese Mediendateien vom NAS auf verschiedene PCs streamen oder aber auch ein Media Center nutzen, z. B. eine Set-Top-Box, die an den Fernseher angeschlossen wird (siehe Abbildung 46.1).
Abbildung 46.1 DLNA-Teilnehmer; Quelle: https://conrad.de
Geräte, die problemlos zusammenarbeiten, werden oft mit dem DLNA-Siegel beworben. Die Digital Living Network Alliance (DLNA) ist eine Organisation ähnlich wie die Wi-Fi Alliance. Sie hat einen Katalog von Prüfkriterien aufgestellt, die Geräte erfüllen müssen, wenn sie DLNA-kompatibel sein wollen. Die Möglichkeiten, die Ihnen DLNA gibt, sind vielfältig. Insbesondere für das Streamen von mobilen Geräten aus haben sich neben DLNA weitere Standards entwickelt. Sie eignen sich in erster Linie für die kabellose Übertragung oder Ansteuerung von Medieninhalten. Mit Miracast können Sie den Bildschirminhalt Ihres Smartphones auf einem anderen Gerät – z. B. einem Beamer oder GroßbildTV – präsentieren. Dafür benötigen Sie dank Wi-Fi Direct (siehe Abschnitt 7.19, »WLAN-Direktverbindungen«) nicht einmal einen WLAN-Router. Fernseher, die den Standard nicht von sich aus beherrschen, können mit einem entsprechenden HDMIDongle aufgerüstet werden. Googles Chromecast setzt einen speziellen HDMI-Dongle voraus. Dieser ruft Internetinhalte direkt ab, daher können statt eines kompletten Bildschirms z. B. gezielt einzelne Tabs des Google-
Browsers Chrome oder Videos der Plattform YouTube übertragen werden. Mit Apples AirPlay übertragen Sie die Inhalte von iPads und iPhones auf die Set-Top-Box Apple TV. Tabelle 46.1 gibt die durchschnittlichen Datenraten für digitale Medien an. Videos mit stark bewegten Bildern erzeugen natürlich einen höheren Datenstrom als Videos, die sich weniger verändern. Außerdem haben natürlich die jeweils verwendete Farbtiefe und die Bildwiederholfrequenz Einfluss auf die Datenmenge. Medium
typischer Codec
typische Auflösung
typische Bitrate
DVB-S
MPEG-2
768 × 576
2 Mbit/s
DVB-S2
MPEG-4
1.920 × 1.080
12 Mbit/s
DVD
MPEG-2
720 × 576
4 Mbit/s
Blu-ray
MPEG-4
1.920 × 1.080
12 Mbit/s
4K Bluray
H.265/HEVC
4.096 × 2.160
50 Mbit/s
Tabelle 46.1 Videodatenraten
Für die jeweilige Auflösung von Videoübertragungen haben sich mehrere Standards etabliert (siehe Tabelle 46.2). Bei der typischen Bitrate in Tabelle 46.2 handelt es sich um die durch Komprimierung mit einem jeweils gebräuchlichen Codec verlustbehafteten Datenraten, die für die Videoübertragung im Netzwerk benötigt werden. Unkomprimiert würde eine Übertragung in Full HD mehr als 1 Gbit/s benötigen, eine
Übertragung in UHD-2-Qualität mehr als 20 Gbit/s. Durch die Komprimierung entsteht immer Verlust, weshalb Sie von der Auflösung nur indirekt auf die Qualität des Videos schließen können. Standard typische Auflösung typische Bitrate HD ready 1.280 × 720
3 Mbit/s
Full HD
1.920 × 1.080
8 Mbit/s
UHD-1
3.840 × 2.160
25 Mbit/s
4K
4.096 × 2.160
30 Mbit/s
UHD-2
7.680 × 4.320
geschätzt 80 Mbit/s
Tabelle 46.2 Auflösung
Zudem dürfen Sie den Audio-Datenstrom nicht vergessen, der z. B. bei Stereo häufig 224 Kbit/s und im Falle einer DVD mit DolbyDigital-5.1-Surround-Sound bis zu 448 Kbit/s beträgt. Der Speicherplatz, den die HD-Bildqualität einer Blu-ray benötigt, ermöglicht auch neue Audioformate. Der Codec DTS-HD High Resolution Audio benötigt bis zu 6 Mbit/s, der verlustfreie Codec Dolby True HD bis zu 18 Mbit/s. Bei einer normalen DVD in Stereoqualität habe ich im LAN eine durchschnittliche Übertragungsrate von 7 bis 10 Mbit/s gemessen. In Europa ist Phase Alternating Line (PAL) mit einer Auflösung von 720 × 576 Bildpunkten gebräuchlich. Da eine DVD mit variabler Bitrate (VBR = Variant Bit Rate, CBR = Constant Bit Rate) arbeitet, schwankt die zu übertragende Menge je nach Häufigkeit der Bildwechsel.
Camcorder und Smartphones können UHD-Inhalte aufnehmen. Das Streamen der in H.264 oder H.265 kodierten Videos im Netzwerk erfordert reichlich Bandbreite.
46.1 Protokolle und Codecs Es gibt eine Fülle von Streamingprotokollen und Codecs. Alle haben Vor- und Nachteile. Allerdings kann man nicht vom Codec auf die tatsächliche Qualität schließen, weil beim Streaming weitere Faktoren wie eine konstante Übertragung (insbesondere bei Internetstreams ein Thema) und die Vorverarbeitung wichtig sind: Eine alte TKKG-Kassette klingt auch dann schlecht, wenn sie mit Ogg in einen 256 Kbit/s-Stream eingebettet ist. [!] Wenn die Medienquelle in einem Format codiert ist, das das Empfangsgerät nicht verstehen kann, muss das Signal transcodiert werden. Viele Medienserver bieten dies on-the-fly an. Der Vorgang benötigt jedoch Rechenleistung – was nicht selten zu unliebsamen Rucklern und Aussetzern beim Anschauen von Videos führt.
46.1.1 Audio-Codecs Der Vergleichsstandard von Audio-Codecs ist die CD. Es gibt eine Reihe von sogenannten Hörtests, bei denen verschiedene Codecs bei unterschiedlichen Musikrichtungen miteinander vergleichbar gemacht werden. Ziel aller verlustbehafteten Codecs ist es, Transparenz zu erreichen. Gemeint ist, dass ein Hörer keinen Unterschied im Vergleich zu einer CD hört. Beim Streaming sind zurzeit folgende Codecs am Markt weitverbreitet:
MP3 WMA AAC+ Ogg Dolby Digital, auch als AC-3 bezeichnet DTS Digital Surround Das bekannte und weitverbreitete MP3-Format ist von sehr vielen Playern abspielbar. Bei Internetradios ist dieses Format ebenso beliebt wie bei der Umwandlung der privaten CD-Sammlung. Microsoft entwickelte den Codec Windows Media Audio (WMA). Im Gegensatz zu MP3 können bei WMA auch digitale Rechte vergeben werden, was als Digital Rights Management (DRM) bezeichnet wird. Insbesondere wenn sehr niedrige Bandbreiten von weniger als 96 Kbit/s gestreamt werden sollen, kann WMA eine gute Alternative sein, denn in diesem Bereich sinkt die Qualität von MP3 stark ab. Den Codec Advanced Audio Coding (AAC) darf man durchaus den Nachfolger von MP3 nennen. Er wurde wie MP3 maßgeblich von der Fraunhofer-Gesellschaft entwickelt. Das Kodierungsverfahren wurde deutlich verbessert und erzeugt nun bei gleicher Datenrate einen wesentlich natürlicheren Klang. Die Möglichkeit, mehr als zwei Kanäle – also mehr als Stereo – zu verarbeiten, konkret 5.1- oder 7.1-Sound, ist eine weitere Verbesserung gegenüber MP3. Die Variante AAC+ kommt insbesondere bei niedrigen Datenraten von weniger als 96 Kbit/s zum Einsatz und bietet im Verhältnis einen relativ hochwertigen Klang. Im Gegensatz zu AAC ist Ogg ein Open-Source-Format und somit lizenzfrei nutzbar. Es erreicht eine ähnliche Qualität wie AAC und bietet auch die Möglichkeit, 5.1- oder 7.1-Sound zu verarbeiten.
Dabei hängt die Qualität von der gewählten Musikart ab, vom jeweils eingesetzten En-/Decodierer und von den eigenen Präferenzen. Der Hörsinn aller Menschen ist jeweils unterschiedlich geschult und ausgeprägt. Üblicherweise sind Codecs auf die durchschnittliche Meinung von »Otto Normalhörer« ausgelegt.
46.1.2 Video-Codecs Im LAN werden für das Streaming üblicherweise folgende Codecs verwendet: MPEG-2: das Kompressionsformat H.262 MPEG-4 bzw. MPEG-4 Part 2: ein Kompressionsformat, das häufig in mit DivX oder Xvid komprimierten AVI-Containern benutzt wird MPEG-4 AVC bzw. MPEG-4 Part 10, auch als H.264 bezeichnet High Efficiency Video Coding (HEVC), auch als H.265 bekannt VP9 Der bekannte Standard MPEG-2 wird insbesondere beim digitalen TV-Rundfunk eingesetzt, also insbesondere für das SD-Signal bei Digital Video Broadcasting – Terrestrial (DVB-T), Digital Video Broadcasting – Satellite (DVB-S) und Digital Video Broadcasting – Cable (DVB-C). Auch die DVD verwendet diesen Codec. Die HD-Varianten des Digital Video Broadcasting setzen in der Regel auf den Nachfolger MPEG-4, der in vielen weiteren Varianten vorkommt. So nutzt das bekannte DivX ebenso MPEG-4 wie Xvid oder Nero Digital. Die Datenrate ist bei gleicher Qualität deutlich geringer als bei MPEG-2.
In Deutschland nutzt DVB-T2, wie auch eine 4K Blu-ray, den Codec H.265. Die meisten anderen Länder setzen jedoch weiterhin auf H.264. Daher können Sie einen im Ausland gekauften DVB-T2Empfänger in Deutschland häufig nicht verwenden. Für den Einsatz im Bereich von Onlinevideotheken eignet sich wegen der DRM-Integration der Codec Windows Media Video (WMV). YouTube unterstützt für 4K-Videos den hauseigenen VP9-Codec, Netflix setzt auf H.265. Dieser ermöglicht mit einem im Vergleich zu H.264 etwa 20 Prozent effektiveren Codec eine Streamingrate von etwa 25 Mbit/s in UDH-1-Qualität.
46.1.3 Streamingdienste Damit ein Video im LAN vom Sender zum Empfänger kommt, müssen die beiden sich kennen. Der Streamingserver muss den Streamingclients im Netzwerk mitteilen, dass er seine Dienste anbietet. Ein Streamingclient kann sich dann verbinden und auf die Medien zugreifen, die der Streamingserver bereithält. Unter Windows ermöglicht UPnP AV (siehe Abschnitt 22.1, »Universal Plug and Play«) diese Dienste. Es gibt drei Funktionen: Mediaserver: stellt Medien bereit Control Point: zeigt und sortiert Medien, sorgt für die Wiedergabe durch einen Renderer Media Renderer: gibt Medien wieder Wenn man die Funktionen übersetzt, ist der Mediaserver der Streamingserver, während Control Point und Media Renderer Funktionen des Streamingclients sind.
Der Windows Media Player (WMP) kann ab Version 11 auch UPnP Control Point sein, stellt allerdings gewisse Anforderungen an den Mediaserver, so dass die Auswahl und Wiedergabe von Mediainhalten nicht zuverlässig funktioniert. Mit anderen Worten: Nicht in jedem Fall sind die per UPnP zur Verfügung gestellten Medien mit dem WMP 11 abrufbar. Seinerseits kann der WMP 11 auf Wunsch selbst Medien per UPnP im LAN anbieten. Einige Streamingserver bieten zusätzlich die Möglichkeit, Medien via Bonjour (siehe Abschnitt 22.2, »Zeroconf«) im Netzwerk zu verteilen.
46.2 Streaminghardware Immer den PC für die Wiedergabe von Videos, Musik oder Fotos laufen zu lassen, ist unbequem. Schöner ist es, wenn ein Radio oder die Musikanlage sich um die Wiedergabe kümmert. Nebenbei bemerkt: Es klingt auch besser.
46.2.1 Netzwerkkamera Eine IP-Kamera stellt einen Videostream im Netzwerk zur Verfügung. Dabei gibt es Kameras mit WLAN-Unterstützung (siehe Kapitel 7, »Wireless LAN«) und kabelgebundene Kameras, von denen einige die Stromversorgung über Power over Ethernet (PoE) (siehe Abschnitt 25.3, »Fachbegriffe für den Switch-Kauf«) beziehen können. Viele Kameras bieten die Möglichkeit, neben dem häufig über das Real Time Streaming Protocol (RTSP) transportierten, mit H.264 kodierten Videostream auch gezielt Schnappschüsse – z. B. im JPEGFormat – abzugreifen. Die richtige Stream-URL für Ihre Kamera erfahren Sie aus der jeweiligen Dokumentation oder im Internet. [»] Unter der Adresse rtsp://:@ können Sie den einer Abus TVIP61500 zur Verfügung gestellten Stream direkt im VLC (siehe Abschnitt 46.3.2, »Videostreaming mit dem VLC Media Player«) abgreifen. Unter http://: @:/Streaming/channels/1/picture stellt diese Kamera einen Schnappschuss als JPEG bereit. Wollen Sie dieses Bild weiterverarbeiten, können Sie es mit einem Linux-Kommando abrufen und lokal abspeichern.
$ curl -o bild.jpg
http://:@:/Streaming/channels/1/picture
[+] Wenn Sie mehrere Kameras verschiedener Hersteller verwenden möchten, empfehle ich Ihnen, beim Kauf auf den Standard ONVIF zu achten.
46.2.2 Digitaler Bilderrahmen Dank digitaler Fotokameras wachsen Fotoordner heute schnell, und nicht selten sind etliche Fotos enthalten. Wie bei den Papierbildern schaut man sich die Fotos eigentlich viel zu selten an. Abhilfe versprechen digitale Bilderrahmen, die Fotos der Fotosammlung als Diashow anzeigen. Immer mehr Bilderrahmen unterstützen WLAN, so dass Sie per UPnP oder per RSS-Feed auf Ihre Fotos zugreifen können. Der Bilderrahmen kann dann eine zufällige Auswahl aus all Ihren digitalen Fotos zeigen; es werden garantiert viele Erinnerungen geweckt. Ich halte die Speicherkartenlösung nicht für optimal, denn die Lust, permanent neue Fotos auf die Speicherkarte zu bannen, sinkt mit der Zeit genauso wie die Übersichtlichkeit. Spezielle Dienste wie z. B. http://www.framechannel.com bieten zusätzlich zur eigenen Bildersammlung auf dem NAS die Möglichkeit, auch Nachrichten eines RSS-Feeds oder den Wetterbericht auf dem Bilderrahmen zwischen die eigenen Fotos einzustreuen. Über eine E-Mail-Adresse kann man leicht neue Bilder auf den Bilderrahmen schicken oder auf diesem Weg von Freunden ihre Schnappschüsse bekommen.
46.2.3 Internetradio
Verschiedene Lösungen ringen um die Gunst der Kunden. Ich konzentriere mich bei meiner Betrachtung auf die weitverbreiteten Internetradios. Technisch gibt es zu den teureren Hi-FiKomponenten aus Sicht eines Netzwerkers keinen großen Unterschied. Internetradios greifen per LAN oder WLAN auf eine stetig wachsende Anzahl von Internetradiostationen zu. Zusätzlich wird die eigene Musiksammlung per UPnP im Netzwerk gefunden und wiedergegeben. Die Unterstützung von Codecs ist breit gestreut: MP3, WMA, AAC oder Ogg gehören auch bei günstigen Geräten zum Standardumfang. Das ist auch notwendig, denn die Streamingformate im Internet sind vielfältig. Bei privaten Musiksammlungen dominiert MP3; mit guten Encodern gibt es auch keinen Grund, ein anderes Format zu nutzen. Ebenso ist es Geschmacksache, ob LAN oder WLAN genutzt wird. Bei den vergleichsweise geringen Bandbreiten von meist weniger als 256 Kbit/s sollte kein WLAN überfordert sein. Was bieten die Einsteigergeräte? Über ein mehrzeiliges Display, einige wenige Funktionstasten und/oder eine kleine Fernbedienung steuert man das Gerät. Am Display können Sie sich für die Wiedergabe von UPnP-Mediendaten oder Internetradio entscheiden. Bei UPnP wird Musik nach Kategorien wie Album, Künstler, Genre oder Wiedergabelisten angeboten. Das funktioniert nur, wenn entsprechende Metadaten hinterlegt sind oder ermittelt werden können – eine Leistung des UPnP-Mediaservers. Er hat anhand der vorhandenen Musik eine entsprechende Datenbank aufgebaut. Entscheiden Sie sich für Internetradio, können Sie nach Ländern, Musikgeschmack oder nach einem konkreten Namen suchen. Je nach Gerät können Radios mit geringer Bandbreite ausgefiltert
werden. Auf jeden Fall haben Sie die Qual der Wahl, und Sie werden schnell feststellen, dass es mühselig ist, diese Arbeit mit einer Fernbedienung und einem zweizeiligen Display zu erledigen. Diese Erkenntnis ist auch den meisten Herstellern gekommen, und sie kooperieren mit speziellen Webseiten, an denen das Radio angemeldet wird. Auf den Webseiten können Sie Ihre Lieblingsradiostationen mit dem PC suchen, Probe hören und dann zu den Favoriten hinzufügen. Auf diese greifen Sie dann über das Radio zu. In diesem Buch finden Sie eine Anleitung, mit deren Hilfe Sie sich aus einem Raspberry Pi ein eigenes Internetradio bauen können (siehe Abschnitt 55.3, »Der Raspberry-Pi-Radiowecker«).
46.2.4 TV Media Player Videostreaming-Clients werden üblicherweise von den DSLProvidern im Rahmen eines TV-Angebots vergünstigt an die Kunden verkauft und oft als Media Player bezeichnet. Unabhängig von den technischen Möglichkeiten sind diese Geräte meist auf das Anbieterportal festgelegt. Auch wenn neben Video- auch Audiostreaming oder die Wiedergabe von Fotos beherrscht wird, wird es von der Software meist nicht unterstützt. Daher hat sich eine ganze Reihe von Umbauprojekten etabliert, die die vorhandene Software ersetzen oder zumindest ergänzen. Die Geräte werden wie ein Receiver über SCART, AV oder HDMI an den Fernseher angeschlossen und über eine gesonderte Fernbedienung gesteuert. Ein Anschluss für die Hi-Fi-Anlage sorgt für ordentlichen Klang. Aus Netzwerksicht betrachtet handelt es sich bei den Geräten um UPnP-AV-Clients, sofern UPnP unterstützt wird.
[+] In einem reinen Mac-Umfeld ist interessant, sich Produkte wie Apple TV anzuschauen, weil dieses sich per Bonjour-Protokoll sehr gut in die Mac-Umgebung integriert. Für Windows-Benutzer ist dies meiner Meinung nach eher uninteressant. Das Gerät ist eng in iTunes integriert; so können recht einfach im iTunes Store gekaufte Filme oder Musik über Apple TV wiedergegeben werden.
Den Google Chromecast können Sie von einem mobilen Endgerät mit Android-Betriebssystem aus als Präsentationsoberfläche des Browsers Google Chrome nutzen und über diesen Weg verschiedenartige Inhalte streamen. Das Amazon Fire TV bietet unter anderem Zugriff auf Amazon Prime Instant Video und den Musikdienst Spotify. Beim Kauf eines Gerätes sollten Sie neben der Verfügbarkeit der von Ihnen genutzten Apps außerdem auf breite Formatunterstützung achten, so dass hoffentlich auch Filme der nächsten Jahre noch über das Gerät wiedergegeben werden können. Bei Full HD in Kombination mit WLAN sollten Sie Skepsis walten lassen. Es ist fraglich, ob am gewünschten Abspielort eine ausreichende Datenrate permanent zur Verfügung steht. Für den Fall, dass es in Ihrer Umgebung nicht funktioniert, sollten Sie auf die Möglichkeit der Rückgabe achten. Der Vorteil der Lösung ist, dass sie neben Audio auch Video und Fotos umfasst. Um eine möglichst hohe Qualität zu erreichen, sollte das Bildmaterial digital – z. B. über HDMI – an den Fernseher übermittelt werden.
[!] Vorsicht beim Streaming über eigene Switches hinter dem Internetrouter! Einige Anbieter setzen hier IGMPv3 (siehe Abschnitt 14.2, »IPv4-Multicast«) bzw. MLPv2 (siehe Abschnitt 14.7.3, »IPv6-Multicast«) voraus. Setzen Sie ältere Switches mit IGMPv2 ein, könnte der gesamte Stream auf allen Ports inklusive WLAN ausgegeben werden!
Warum ist das ein Problem? Die Performance des Streams oder sogar des ganzen Netzwerks könnte in Mitleidenschaft gezogen werden. Das gilt unabhängig davon, ob der Stream über das WLAN zu einem Abonnenten übertragen wird, da der Switch den Multicast nicht versteht und ihn deshalb als Broadcast an allen Ports – also auch über einen eventuell angeschlossenen oder integrierten WLAN Access Point – verteilen möchte. Da der Switch nicht wissen kann, wer genau im WLAN Interesse an dem Stream hat und mit welcher Geschwindigkeit der jeweils langsamste unter diesen Streams versorgt werden kann, muss er im Zweifel eine sehr niedrige Übertragungsgeschwindigkeit wählen. Diese Streams belegen unnötig einen Großteil der verfügbaren Datenrate im WLAN. Ich habe erlebt, dass nicht nur der Stream, sondern das ganze Netzwerk zusammenbrach, als ein beteiligter Switch nicht die erforderlichen Multicast-Fähigkeiten mitbrachte. Eine mögliche Lösung des WLAN-Routers wird als Multicast to Unicast Conversion oder Multi-flow bezeichnet. Dabei werden Multicasts als Unicast weitergeleitet. Bei der FRITZ!Box heißt diese Funktion WLAN-Übertragung für Live TV optimieren (siehe Abbildung 46.2).
Abbildung 46.2 Die FRITZ!Box kann Multicasts im WLAN in Unicasts umwandeln.
46.2.5 TV-Geräte Viele moderne Fernseher beherrschen DLNA. Über LAN oder WLAN können mehrere Server im Netzwerk erkannt werden. Fotos, Videos und Musik werden z. B. in das Wohnzimmer gestreamt und über die vorhandenen Hi-Fi-Geräte genossen. Viele Geräte – u. a. von LG, Panasonic und Toshiba – beherrschen inzwischen Miracast. Ein Nachfolger für den in die Jahre gekommenen Videotext ist das Hybrid broadcast broadband TV (HbbTV). Über das Internet werden die Sendungen um zusätzliche Inhalte ergänzt.
46.2.6 Sat-over-IP Sat-over-IP oder auch Sat>IP ist ein genormtes, herstellerübergreifendes Protokoll zur Verteilung digitaler TVSignale über ein IP-Netzwerk. Das weitverbreitete Koaxialkabel wird dadurch überflüssig.
In der Logik des Verfahrens gibt es einen Sat>IP-Server und einen oder mehrere Sat>IP-Clients. Der Server ist entweder ein gesondertes Gerät oder als Funktion in modernen Sat-Receivern integriert. Der Sat>IP-Client ist als eine Softwarefunktion in diversen Apps und bekannten Programmen wie VLC (siehe Abschnitt 46.3.2, »Videostreaming mit dem VLC Media Player«) oder Kodi (siehe Abschnitt 46.4, »Kodi Home Theater«) enthalten. Der Streamingserver Tvheadend (https://tvheadend.org) kann zusätzlich die Funktion eines Aufnahmegerätes übernehmen. Mit Hilfe des Add-ons für Kodi kann die Heimkinozentrale auf dem Raspberry Pi um einen Sat>IP-Server ergänzt werden. Der Medienstream wird als UDP-Multicast gesendet, weshalb es zu Performanceproblemen im WLAN kommen kann (siehe Abschnitt 46.2.4, »TV Media Player«). Die in meinen Versuchen gemessene Datenrate liegt für einen HDStream bei ca. 30 Mbit/s, für einen SD-Stream bei ca. 10 Mbit/s.
46.2.7 Linux Receiver Unter dem Begriff Linux Receiver, Enigma oder Set-Top-Box (STB) werden viele verschiedene Geräte gehandelt. Bekanntester Vertreter ist die Dreambox. Aktuelle Modelle – meist mit dem Zusatz 4K – haben einen DecoderChip, der auch den Codec H.265/HEVC beherrscht. Das zugrundeliegende Betriebssystem Linux bietet viele Möglichkeiten, die Grundfunktionen mittels Softwareerweiterungen zu ergänzen. Für das Streaming bieten sich z. B. die Erweiterungen MediaPortal, Kodi (siehe Abschnitt 46.4, »Kodi Home Theater«) und YouTube an.
Wenn Sie eine FRITZ!Box als Router verwenden, finden Sie die Erweiterung FritzCall vielleicht nützlich. Diese zeigt eingehende Anrufe samt Telefonbuchsuche in einem Infokasten auf dem Fernseher. Zudem können Sie den Status der FRITZ!Box auf dem TV überwachen. Wenn Sie FHEM (siehe Kapitel 49, »Hausautomation«) nutzen, können Sie den Receiver mit der Erweiterung ENIGMA2 steuern. Einen Überblick über diverse Erweiterungen für eine ganze Reihe von Receivern finden Sie im Forum des alternativen Betriebssystems OpenATV (https://www.opena.tv). Wirklich toll ist die Möglichkeit, einen Netzwerkstream des TVProgrammes vom Receiver zu empfangen. Die Box kann das TVProgramm als M3U-Playlist im Netzwerk anbieten, Live-TV genauso wie aufgezeichnete Sendungen. Dabei handelt es sich um einen Unicast-Stream, wodurch keine Multicast-Probleme auftreten (siehe Abschnitt 46.2.4, »TV Media Player«).
46.2.8 Spielekonsolen Spielekonsolen sind häufig netzwerkfähig und mittels HDMI-Kabel an einen Fernseher angeschlossen. Daher bieten sie sich in idealer Weise für das Streaming im Netzwerk an.
46.2.9 Smartphones Auch für Smartphones existieren diverse DLNA-Clients. Dass es auch diverse DLNA-Server gibt, ergibt auf den ersten Blick vielleicht nur wenig Sinn. Viele nutzen die guten Kameras der Smartphones aber für hochauflösende Schnappschüsse und können das Ergebnis
via WLAN und DLNA gleich auch auf größeren Displays in voller Auflösung darstellen.
46.2.10 Router Ein Router eignet sich ideal als Zuspielgerät der heimischen MP3Sammlung, da er sich in der Regel im Dauerbetrieb befindet. Deshalb können Sie an viele Modelle einen USB-Speicher anschließen und den Inhalt über DLNA im Netzwerk anbieten. AVM bietet für die FRITZ!Box einen DLNA-Server für Cloud-Speicher. Damit können Sie Google Play Music, das Telekom Mediencenter oder den 1&1 Onlinespeicher einbinden. Ein interessantes Produkt von AVM ist ein WLAN-Repeater, der zusätzlich Kabel-TV (DVB-C) in Ihr LAN streamen kann.
46.2.11 NAS-Speicher Das optimale Zuspielgerät für Videos, Fotos und Musik ist der Netzwerkspeicher. Benutzer legen ihre Dateien auf Shares ab. Dort werden sie vom DLNA-Server erkannt und umgehend als Stream angeboten.
46.2.12 Raspberry Pi Der Raspberry Pi bietet dank seines HDMI-Ausganges eine gelungene Schnittstelle für Ihr Heimkino. Obwohl er mittels UPnP (siehe Abschnitt 22.1, »Universal Plug and Play«) sowohl als DLNA-Server als auch DLNA-Client eingesetzt werden kann, liegen seine Stärken in der direkten Anbindung der Inhalte
über Filesharingprotokolle wie NFS (siehe Abschnitt 55.1, »Raspberry Pi als Media Center«).
46.3 Streamingsoftware Sie müssen sich nicht zwingend neue Hardware kaufen, wenn Sie Netzwerkstreaming ausprobieren möchten.
46.3.1 Betriebssysteme Alle modernen Betriebssysteme für den Heimbetrieb unterstützen DLNA. Auch zwischen PCs ist das Streamen also problemlos möglich (siehe Abbildung 46.3). Je moderner die Software, desto besser funktioniert der Stream.
Abbildung 46.3 Ein PC, ein NAS und ein Router bieten Multimediainhalte per DLNA.
Unter Windows ist die Freigabe eines Streams über das Netzwerk abhängig vom Netzwerktyp (siehe Abschnitt 26.13.1, »Öffentliches oder privates Netzwerk«). Die Rechte eines dem Server bereits
bekannten Streamingclients können Sie über die Medienstreamingoptionen im Netzwerk- und Freigabecenter der Systemsteuerung verwalten (siehe Abbildung 46.4). Ein mit der Heimnetzgruppe verbundener Streamingclient kann auch mit dem Windows Media Player über Wiedergabe • Wiedergeben auf vom Server aus angesteuert werden.
Abbildung 46.4 Streaming mit den Mitteln des Windows-Betriebssystems
Miracast findet in Windows ab Version 8.1 Unterstützung, setzt jedoch gleichzeitig einiges voraus.[ 42 ] Microsoft hat Miracast in Windows 10 überarbeitet und unterstützt nun auch Bildwiederholfrequenzen von mehr als 30 Hz. Mit dem Browser Edge (siehe Abschnitt 26.16, »Microsoft Edge«) können Sie Medieninhalte über DLNA und Miracast streamen.
46.3.2 Videostreaming mit dem VLC Media Player Manche von Ihnen werden den VLC Media Player vermutlich kennen, weil die Software eine Vielzahl von Videoformaten
unterstützt. Sie finden den VLC zum Download für alle gängigen Betriebssysteme (Windows, Linux, macOS, iOS, Android) auf der Seite https://www.videolan.org. Sie können mit dem VLC Media Player lokale Blu-rays, DVDs, VideoCDs (VCDs) oder Bilder von an diesem PC angeschlossenen anderen Videoquellen ansehen. Der VLC unterstützt eine Vielzahl von Videound Audioformaten. Von vielen anderen Videoplayern unterscheidet er sich aber durch seine Streamingfunktion. Jede Datei, DVD oder Videoquelle, die Sie lokal ansehen, können Sie auch streamen. Dabei steht es Ihnen frei, in Echtzeit die Datenrate zu reduzieren oder das Format zu konvertieren. Um eine lokal vorhandene Mediendatei oder ein lokal eingelegtes Medium an den Empfänger zu streamen, starten Sie auf dem Sender-PC den VLC und wählen unter Medien den Punkt Stream…. Nachdem Sie die Datei bzw. das im Netzwerk zu streamende Medium ausgewählt haben, klicken Sie auf die Schaltfläche Stream. Im Fenster Streamausgabe (siehe Abbildung 46.5) können Sie die Wiedergabe nun so steuern, wie Sie es für Ihr Netzwerk und den Empfänger als am besten geeignet empfinden.
Abbildung 46.5 Für jedes Ziel gibt es einen separaten Reiter.
Im Bereich Ziel einstellen können Sie auf Wunsch sogar mehrere Streams parallel konfigurieren: Lokal wiedergeben: öffnet zusätzlich ein Fenster auf dem Sender-PC Datei: speichert den Stream in einer Datei ab HTTP: streamt per HTTP MS-WMSP (MMSH): streamt mit dem Microsoft Media Server Protocol z. B. an einen Windows Media Player RTP/MPEG Transport Stream: streamt MPEG-codierte Medien in einem Real-Time-Transport-Protocol-(RTP-)Container RTP Audio/Video Profile: streamt in einem der definierten RTP/AVP-Profile UDP (legacy): streamt die Nutzdaten effizient und ohne Statusüberwachung auf Protokollebene (siehe Kapitel 18, »User Datagram Protocol«)
Icecast: streamt an einen Icecast-Server Für einen ersten Test wählen Sie UDP (legacy) aus. Tragen Sie bei Adresse die IP-Adresse des Empfängers ein, und wählen Sie im Bereich Profil je nach Mediendatei beispielsweise Video – H.264 + MP3 (MP4) für Video oder Audio – MP3 für eine Audiodatei. [+] Mit RTP oder UDP können Sie immer eine UnicastAdresse (siehe Kapitel 14, »Das Internetprotokoll«) oder eine Multicast-Adresse (siehe Abschnitt 14.2, »IPv4-Multicast«, und Abschnitt 14.7.3, »IPv6-Multicast«) ansprechen. Auf dem Empfänger-PC starten Sie ebenfalls den VLC und wählen unter Medium den Punkt Netzwerkstream öffnen … aus dem Menü. Als Netzwerkadresse tragen Sie für das UDP-Protokoll in diesem Beispiel udp://@:1234 ein und klicken anschließend auf Wiedergabe (siehe Abbildung 46.6). Dieser VLC horcht nun auf UDP-Port 1234. Sobald Sie beim Sender auf Stream klicken, beginnt automatisch die Wiedergabe.
Abbildung 46.6 Der VLC Media Player horcht auf UDP-Port 1234.
46.3.3 Apps für mobile Endgeräte Es kann sehr praktisch sein, Videos vom mobilen Endgerät aus auf z. B. einen Fernseher zu streamen. Dafür finden Sie viele Apps für Android und iOS, z. B. AllCast oder Web Video Cast (siehe Abbildung 46.7).
Abbildung 46.7 Viele Apps unterstützen diverse Standards und Wiedergabegeräte.
46.4 Kodi Home Theater In der Regel liegen Ihre Medien nicht nur auf einem USB-Stick, sondern sind in Ihrem Netzwerk verfügbar. Kodi unterstützt dabei eine Fülle von Möglichkeiten, z. B. Samba, NFS, SSH, FTP, AFP, UPnP, DLNA und Zeroconf. Um die Vorteile von Kodi nutzen zu können – hiermit meine ich insbesondere die Katalogdarstellung Ihrer Medien inklusive Zusatzinformation –, müssen Sie Netzwerkprotokolle wie Samba oder das Network File System (NFS) verwenden. Aufgrund der etwas schlankeren Struktur und der damit geringeren Last sollten Sie – wann immer möglich – NFS den Vorzug geben. Mit fast allen NAS-Systemen können Sie NFS-Freigaben zur Verfügung stellen. Für macOS, Linux, Synology, QNAP und andere sind die erforderlichen Einstellungen im Wiki auf der Seite https://kodi.wiki/?title=NFS beschrieben. Leider ist es nämlich nicht so, dass Sie einfach NFS anhaken und Kodi sofort auf eine Freigabe zugreifen kann. Lesen Sie im oben erwähnten Wiki nach, welche zusätzlichen Einstellungen erforderlich sind, damit der Zugriff klappt! [!] Eventuell werden Filme über WLAN nicht so flüssig wiedergegeben wie über ein kabelgebundenes Netzwerk. Die WLANVerschlüsselung erfordert immer etwas zusätzliche CPU-Kapazität. Kodi verarbeitet Medien in einer sortierten Ordnerstruktur mit sprechenden Namen der Unterordner (z. B. Filme, Musik, TV, Fotos) am besten. Die Ordnerstruktur kann getrennt durchsucht und mit Hilfe sogenannter Scraper um Metainformationen aus dem Internet ergänzt werden. So erscheint neben einem Filmtitel auch das
Kinoplakat, der Film wird in ein Genre einsortiert und viele weitere nützliche Dinge mehr. [»] Zur Nutzung einer Samba-Freigabe wählen Sie Videos • Dateien • Videos hinzufügen… • Suchen • Netzwerkfreigabe hinzufügen… aus. Hier müssen Sie unter Server die IP-Adresse eingeben, unter der die Freigabe zu erreichen ist. Sollten sich noch andere Inhalte in dieser Freigabe befinden, geben Sie zusätzlich den Unterordner mit den Videos an, in diesem Beispiel /Videos/Sammlung. Je nach Art der Freigabe benötigen Sie noch einen Benutzernamen und das entsprechende Passwort (siehe Abbildung 46.8).
Abbildung 46.8 Aus dem Share »media« wird der Unterordner »filme« hinzugefügt.
Nachdem Sie alles mit OK bestätigt haben, sollte die aktualisierte Liste nun einen Eintrag smb::///media/Videos/Sammlung enthalten. Zwecks Aktualisierung der Datenbank wählen Sie zunächst die soeben erzeugte Sammlung, bestimmen als Art des Inhalts z. B. Filme und aktivieren die Option Filme liegen in getrennten Ordnern, die dem Filmtitel entsprechen. Nun durchsucht Kodi die Internetfilmdatenbank. Im Ergebnis haben Sie einen neuen Menüpunkt generiert, in diesem Beispiel Sammlung (siehe Abbildung 46.9). Auf diese Weise können Sie Ihre Filme, Serien und
Musik in die Datenbankstruktur übernehmen und von Kodi erkennen lassen. Um zu erfahren, wie genau die Ordner heißen müssen, können Sie Filme zuvor in der Datenbank https://www.themoviedb.org suchen.
Abbildung 46.9 Die »Sammlung« ist nun Teil der Medienbibiothek.
46.4.1 Internetdienste einbinden Sie können in der Oberfläche über System • Addons aus der umfangreichen Liste der Erweiterungen auswählen. Einige beliebte Erweiterungen möchte ich beispielhaft aufführen. Mediathek: Mediathek der öffentlich-rechtlichen Sender aus Deutschland 7TV: Mediathek der ProSiebenSat.1-Gruppe Apple iTunes Podcasts: Sammlung freier Audio- und Videopodcasts Icecast: Internetradio Dokumonster: Sammlung freier Dokumentationen Picasaweb: Zugriff auf Ihre Picasa-Webalben
Facebook Media: Nutzung der Social-Media-Plattform YouTube: Einbindung der bekannten Videoplattform [+] Das Modul KODI stellt eine Schnittstelle zum Smart Home zur Verfügung (siehe Abschnitt 50.7.3, »Kodi Media Center«). Darüber lassen sich z. B. Vorführungen in Ihrem Heimkino mit passenden Lichtszenarien verbinden.
46.4.2 Mobilgeräte als Fernsteuerung Sie können Ihr Media Center vom Tablet oder Smartphone aus über das Netzwerk steuern. Dafür gibt es die Official XBMC Remote in den App Stores für iOS und Android. Auf Android-Geräten empfehle ich die App Yatse aus dem Google Play Store. Wenige Funktionen erfordern eine kostenpflichtige Freischaltung, aber auch in der Grundversion ist die App ein Gewinn. [»] Um die Dienste des Media Centers zuverlässig im Netzwerk ansprechen zu können, sollte die IP-Adresse nicht dynamisch wechseln. Dies können Sie entweder über Ihren DHCP-Server konfigurieren oder eine feste IP-Adresse einstellen. Wählen Sie dafür die Netzwerkverbindung unter LibreELEC • Verbindungen, und stellen Sie im Bereich IPv4 die IP-Adressierungsmethode von dhcp auf manual um. Nun können Sie eine feste, unbenutzte IP-Adresse vergeben, die außerhalb des Bereiches liegen sollte, den Ihr DHCPServer verwaltet. Mit Hilfe der Option Dienste • Steuerung • Steuerung über HTTP erlauben ermöglichen Sie die Fernsteuerung Ihres Media Centers. Falls gewünscht, können Sie den Webzugriff mit einem Passwort absichern. Starten Sie nun Yatse auf Ihrem Mobilgerät, und tragen Sie als Verbindungsziel die IP-Adresse des Media Centers und
gegebenenfalls den Benutzernamen und das Passwort ein (siehe Abbildung 46.10).
Abbildung 46.10 Yatse fungiert als Fernsteuerung für Ihr Media Center.
Zusätzlich zur Steuerung der Wiedergabe haben Sie die Möglichkeit, die Medienbibliothek einzusehen oder während der Wiedergabe zusätzliche Informationen abzurufen. An dieser Stelle können Sie die Funktion Ihrer selbstgebauten Fernsteuerung prüfen und gleichzeitig unter Verwendung der Filme bei den Materialien erneut sicherstellen, dass die Qualität der Wiedergabe nicht unter den Anpassungen leidet. [+] Ein in der YouTube-App Ihres Mobilgerätes ausgewähltes Video können Sie mit der Funktion Teilen • Mit Kodi abspielen auf dem Media Center wiedergeben.
46.4.3 Medienverwaltung Wenn Kodi erst einmal richtig läuft, macht Ihnen das vielleicht so viel Spaß, dass Sie noch mehr ausprobieren möchten. Sobald Ihre ganze Mediensammlung ordentlich in Kodi aufgelistet ist, möchten
Sie sich vielleicht mit Tastaturkürzeln beschäftigen. In diesem Fall ist das Wiki von Kodi auf der Seite https://kodi.wiki/view/Keyboard_controls ein guter Einstiegspunkt. Bei mehreren Fernsehern zu Hause möchten Sie Ihre Mediensammlung vielleicht auf allen Media Centern synchron halten. In der Datenbank des Media Centers wird neben dem Titel und dem Ablageort der Inhalte auch festgehalten, ob Sie den Film gesehen und an welcher Stelle Sie ihn gegebenenfalls pausiert haben. Diese Datenbank kann als MySQL-Datenbank auf einem NAS (siehe Abschnitt 40.3, »Hardware-NAS«) ausgelagert werden. Der WikiEintrag https://kodi.wiki/view/MySQL ist auch hier ein guter Anfang. Im Ergebnis können Sie dann einen Film im Wohnzimmer beginnen, pausieren und am Schlafzimmer-TV an dieser Stelle weiter anschauen. Ihr erfolgreiches Kodi-Projekt möchten Sie vielleicht auch anderen Familienmitgliedern nahebringen. Wegen der leicht erlernbaren Bedienung kann das auch gelingen. Ich empfehle zuvor die Auseinandersetzung mit verschiedenen Benutzerprofilen (https://kodi.wiki/view/Profiles).
46.5 Plex Der Media Server Plex (https://www.plex.tv) ist eine Alternative zu Kodi, und mit RasPlex (https://www.rasplex.com) existiert auch ein entsprechendes Pendant zu Kodi auf dem Raspberry Pi. Plex ist keine völlige Neuerfindung. Das Produkt spaltete sich von XMBC – dem Namensvorgänger von Kodi – im Jahr 2008 ab. Allerdings ist Plex anders aufgebaut als Kodi. Es gibt den Plex Server auf dem PC oder NAS, und der RasPlex ist dann ein Medienclient, den Plex als App bezeichnet. Plex ist bei voller Nutzung kostenpflichtig, dafür wird eine größere Vielfalt an Plattformen unterstützt. Im Allgemeinen wird Plex unterstellt, deutlich einfacher in der Nutzung zu sein. Kodis Vorteile werden in den sehr umfangreichen Einstellungsmöglichkeiten gesehen.
47 Voice over IP Vor wenigen Jahren waren VoIP oder Internettelefonie noch nicht besonders weit verbreitet. Inzwischen hat sich das geändert. Schon sehr früh wurde das Internet als Medium für das Telefonieren entdeckt. Die ersten Schritte wurden schon kurz nach dem ersten Internet-Boom ab dem Jahr 1998 unternommen. Microsoft erweiterte zu Zeiten des sogenannten Browserkriegs – Netscape versus Internet Explorer – seine Internetsuite aus Internet Explorer und Outlook Express um ein weiteres Programm: NetMeeting. Bei NetMeeting konnte man einen Account mit einem kreativen Benutzernamen auf einem Microsoft-Verzeichnisserver erstellen und war dann aus dem gesamten Internet erreichbar. Dabei konnte man sowohl chatten als auch über ein Whiteboard Skizzen austauschen, Anwendungen freigeben oder eben auch telefonieren. Der damals gängige Telefonstandard war H.323. Heute würde man die Funktionen als Kollaboration bezeichnen (siehe Abschnitt 32.10, »Zusammenarbeit im Internet – Kollaboration«). Ein typischer Internet-Arbeitsplatz bestand zu der Zeit von NetMeeting aus einem PC mit einem Pentium-II-200-MHzProzessor, 64 MByte RAM, einer 16-Bit-Soundkarte und einem 33,6Kbit/s- oder 56,7-Kbit/s-Modem für die Verbindung ins Internet. Als Betriebssystem kam Windows 95 oder Windows 98 zum Einsatz. Vielleicht erinnern Sie sich auch noch an diese Zeit.
Dieses – aus heutiger Sicht – nicht sehr leistungsstarke Hardwaregespann erweiterte man um ein billiges Headset für ca. 5 € und probierte Internettelefonie. Ich habe es damals exakt ein Mal versucht. Technisch war das schon interessant, doch die Sprachqualität war unglaublich schlecht: Ich konnte ca. ein Viertel des Gesprächs nicht verstehen. Schuld daran war vor allem meine langsame 33,6-Kbit/s-Modemverbindung. Zu lange Paketlaufzeiten führten dazu, dass Sprachpakete ignoriert wurden und dann im Sprachstrom Lücken entstanden: Die Sprache klang abgehackt und war selbst mit viel Fantasie nicht mehr zu verstehen. Damals wurde Voice over Internet Protocol (VoIP) im Privat- und vor allem im Businessbereich ein riesiges Wachstum prognostiziert. Es waren die Zeiten des Börsen-Hypes, in der jede Aktie am Neuen Markt am ersten Tag ihren Emissionspreis verdoppelte. Große Firmen wie Cisco Systems stiegen in das Geschäft mit VoIP ein. Die Liberalisierung des Telekommunikationsmarkts brachte stark sinkende Gebühren für nationale und internationale Gespräche. Die Wirtschaftlichkeitsberechnungen für VoIP basierten aber auf hohen Gesprächsgebühren. Heute liegen die Gesprächsgebühren von Deutschland in andere Wirtschaftsmetropolen der Welt auf dem Niveau von einem Cent pro Minute. Eine Gebühreneinheit kostete bei der Deutschen Telekom damals sechs Cent, ein Gespräch in die USA bis zu 72 Cent/Minute. Heute ist ein solches Gespräch für einen Cent zu bekommen, ein Preisverfall von über 98 Prozent. Es lohnt sich also nicht mehr, ausschließlich wegen der Gesprächsgebühren VoIP zu benutzen, wenn sich nicht noch weitere Vorteile ergeben. Die Anbindung an das Internet war teuer. Flatrates gab es in Deutschland erst mit der großflächigen Einführung von DSL.
Minutenpreise für den Internetzugang von einigen Cent ließen VoIP ebenfalls schnell unwirtschaftlich werden. All diejenigen, die z. B. für die Anbindung von Firmenfilialen an die Hauptgeschäftsstelle eine feste Datenanbindung hatten, litten unter den schmalbandigen Datenleitungen (9,6 bis 64 Kbit/s), die zusätzliche Daten nicht bewältigen konnten. Ein Gespräch in ISDN-Qualität benötigt für reine Audiodaten 64 Kbit/s (8 Bit/Sample bei 8 kHz), hinzu kommt der sogenannte Protokoll-Overhead von UDP, IP und beispielsweise Ethernet. So werden leicht 80 Kbit/s pro Gesprächsrichtung erreicht, die sich auf einer einzelnen ISDN-Verbindung nicht transportieren lassen. Um Bandbreite zu sparen, mussten die Audiodaten komprimiert werden. Dazu wurden diverse Coder/Decoder (engl. codecs) entwickelt. Aktuelle Codecs sind hochwertig und mindern die Sprachqualität kaum, sind aber auch relativ rechenintensiv. Weitere Informationen zu Audio-Codecs finden Sie in Abschnitt 47.1.3, »Audio-Codecs«. Die in Europa gewohnte Leistungsvielfalt von modernen TKAnlagen konnte von VoIP nicht geboten werden. Das Kommunikationsprotokoll H.323 umfasste hinsichtlich der Telefonie Grundfunktionen, wie sie auch bei einem privaten analogen Telefon zur Verfügung stehen. Besondere Leistungen, die in Unternehmen notwendig sind, wurden nicht abgedeckt. Wenn keine speziellen Endgeräte (IP-Telefone) verwendet werden, ist es einigermaßen aufwendig, über das Internet zu telefonieren: Der Gesprächspartner muss ebenfalls im Internet sein und sein Telefonprogramm gestartet haben, daher entsteht
Abstimmungsbedarf. Es ist viel leichter, mit dem normalen Telefon anzurufen. Nach über zehn Jahren VoIP kann man sagen, dass es sich heute durchgesetzt hat. Sowohl in Unternehmen als auch bei Privatanwendern ist VoIP längst nichts Besonderes mehr. Telefongebühren sind weitestgehend durch Flatrates ersetzt. Der aktuelle Trend heißt Unified Communication (UC). Neben dem Telefonieren ist es dabei zusätzlich möglich, auf einfache Weise eine Konferenzschaltung zu machen oder Videos zu schauen. Welche Freunde oder Kollegen wie erreichbar sind, geht aus der jeweiligen Statusinformation hervor.
47.1 Grundlagen zu VoIP Dieser Abschnitt bringt Ihnen die Grundlagen für VoIP näher, so dass Sie Auswirkungen der einen oder anderen Technik besser verstehen und einschätzen können. Zunächst möchte ich ein paar Begriffe abgrenzen: Voice over IP (VoIP, dt. Sprache über IP): Sprache wird über ein Datennetzwerk mit dem Internetprotokoll übertragen. VoIP ist der Oberbegriff. IP-Telefonie: Marketingbegriff, der die VoIP-Fähigkeit von TKAnlagen und die Fähigkeiten von Software-TK-Anlagen (engl. softPBX) deutlich voneinander trennen soll. Beim Einsatz einer SoftPBX spricht man von IP-Telefonie. Internettelefonie: Aus Kostengründen telefoniert man über das Internet. Nach den Anfängen mit mangelnder Gesprächsqualität ist heute HD-Telefonie (siehe Abschnitt 47.3, »HD Voice«) üblich.
Unified Communication (UC): Unter diesem Begriff versammeln sich verschiedene Kommunikationslösungen wie Sprache, Video und Erreichbarkeitsinformationen (Presence).
47.1.1 Protokolle Damit zwei Kommunikationspartner miteinander telefonieren können, ist es erforderlich, dass beide Telefonanwendungen die gleiche »Sprache« sprechen. Bei VoIP unterscheidet man zwischen zwei notwendigen Schritten der Kommunikation: Gesprächsaufbau Sprachübertragung Der Gesprächsaufbau umfasst neben dem Austausch der IPAdressen und UDP-Ports die Aushandlung von Fähigkeiten beider Partner, beispielsweise die Frage, welche Audio-Codecs von beiden Partnern unterstützt werden. Typische Vertreter sind H.323 und SIP. Die Sprachübertragung findet mittels Real-time Transport Protocol (RTP) statt, das in UDP-Paketen transportiert wird. Wie die Sprache verpackt ist, bestimmt der Codec. Das Protokoll H.323 ist der Klassiker der Datentelefonie. Dabei handelt es sich bei H.323 nicht um einen einzelnen Standard, der »Telefonieren« standardisiert, sondern um eine Sammlung von vielen Standards, die sich mit dem Verbindungsaufbau von Spracheund Videokommunikation über Datennetze beschäftigen, und zusätzlichen Audio-Codecs für die Kodierung der Sprache in Datenpaketen. H.323 orientiert sich sehr stark an der ISDN-Telefonie und bildet sie auf die Datenwelt ab.
Einer der Nachteile von H.323 ist, dass der Standard an einigen Punkten nicht genau genug definiert war und somit verschiedene, inkompatible Umsetzungen existierten. Heute spielt H.323 nur noch bei Unternehmenslösungen eine nennenswerte Rolle. Der aktuelle Erfolg vieler Internettelefonie-Angebote basiert auf dem Session Initiation Protocol (SIP). SIP wurde für den Verbindungsaufbau im Internet entwickelt und im Gegensatz zu H.323 einfach aufgebaut. Im Folgenden sehen Sie eine SIPNachricht aus dem Logfile eines Softphones: SEND >> 192.168.1.222:5060
REGISTER sip:192.168.1.222 SIP/2.0
Via: SIP/2.0/UDP 192.168.1.10:5060;rport;
branch=z9hG4bKA43D3F92CF39445BA5B519A6AA70D369
From: asterisk
To: asterisk
Contact: "asterisk"
Call-ID: [email protected]
CSeq: 41430 REGISTER
Expires: 1800
Max-Forwards: 70
User-Agent: X-Lite build 1101
Content-Length: 0
Sie sehen eine SIP-Anfrage zur IP-Adresse 192.168.1.222, der Client will sich beim Asterisk-Server registrieren (REGISTER). Dass SIP aus der Entwicklungszeit des Internets stammt, erkennen Sie auch daran, dass SIP-Adressen, also die SIP-Telefonnummern, vom Aufbau her E-Mail-Adressen sehr ähnlich sind: SIP:[email protected] SIP definiert verschiedene
Funktionen, wie dies auch H.323 tut: User Agent Registrar-Server Proxyserver
Redirect-Server [»] Der User Agent entspricht dem Telefon und ist in der Praxis beispielsweise ein Softphone, die FRITZ!Box Fon (siehe Abschnitt 47.8.1, »FRITZ!Box Fon«) oder ein IP-Telefon. Zwei User Agents können über IP-Adressen direkt eine Verbindung zueinander aufnehmen. Allerdings ist dies ein ziemlich aufwendiges Verfahren, schließlich müssten Sie zunächst die – dynamisch wechselnde – IPAdresse Ihres Kommunikationspartners ermitteln. Daher melden sich die User Agents üblicherweise bei einem Registrar-Server an, wie Sie es in der gerade dargestellten SIP-Meldung sehen. Der Asterisk-Server (192.168.1.222) ist der Registrar-Server für die SIPDomain 192.168.1.222. Bekommt der Registrar-Server eine Verbindungsanfrage für seine SIP-Domain, ermittelt er aus seinem sogenannten Location Service – einer Datenbank – die IP-Adresse des entsprechenden User Agents und leitet die Anfrage an den angerufenen User Agent weiter. Diese Funktion ist mit der DNS-Namensauflösung vergleichbar. Der SIP-Proxy greift auf die Informationen des Location Service zurück, wenn er eine Verbindungsanfrage für seine Domain bekommt. Er ermittelt so die IP-Adresse eines angemeldeten User Agents. Anders als der Registrar-Server begleitet er den Verbindungsaufbau bis zum Schluss und kann daher bestimmte Teile der Nachrichten umschreiben, falls dies erforderlich ist. Wenn der gewünschte User Agent beispielsweise nicht zu der Domain des Proxys gehört, kann er die Anfrage an den zuständigen Proxy weiterreichen. Zur Entlastung des SIP-Proxys dient der Redirect-Server. Er übersetzt die von einem User Agent angefragten SIP-Adressen in IP-Adressen.
SIP kann auch für den Verbindungsaufbau von Multimedia, ELearning oder Computerspielen verwendet werden. Dabei handelt das Session Description Protocol (SDP) die Audio-Codecs und zu verwendenden Transportprotokolle (UDP, TCP, SCTP) aus.
47.1.2 ENUM [»] Angenommen, Klaus Loddenkötter hat einen SIP-Account, und für diesen hat er auch eine Rufnummer im deutschen Ortsnetz: +49 211 456789. Wenn ich Klaus nun von meinem IP-Telefon anrufe, werde ich 0211 456789 tippen, und somit werden wir ein kostenpflichtiges Gespräch über das Festnetz führen. Das ist widersinnig, denn mein IP-Telefon könnte seines auch direkt über das Internet erreichen. Dazu müsste es allerdings wissen, an welchen SIPProvider/SIP-Account es sich wenden muss. Für diese Aufgabe wurde E.164 Number Mapping (ENUM) erfunden. ENUM ist eine DNS-Erweiterung und arbeitet ähnlich wie das dortige Reverse Lookup (siehe Kapitel 20, »Namensauflösung«). Die gerade genannte Rufnummer +49 211 456789 wird zu 9.8.7.6.5.4.1.1.2.9.4.e164.arpa. Dabei wurden aus der internationalen Schreibweise der Rufnummer alle Zeichen entfernt, die keine Ziffer waren, die Ziffern durch Punkte voneinander getrennt, die Kennzeichnung für die Ländervorwahl (+) weggelassen, die Reihenfolge umgedreht und am Ende .e164.arpa angehängt.[ 43 ] Mit der Adresse 9.8.7.6.5.4.1.1.2.9.4.e164.arpa wird ein sogenannter ENUM-Lookup durchgeführt. Sofern die Adresse bzw. Rufnummer ENUM-registriert ist, kommt als Ergebnis zurück, wie die
gewünschte Rufnummer erreichbar ist. So wäre es möglich, dass in folgender Reihenfolge versucht werden soll, Klaus zu erreichen: 1. SIP: [email protected] 2. Festnetz: +49 211 456789 3. Mobil: +49 177 456789 4. E-Mail: [email protected] Mein IP-Telefon wird nach dieser Rückmeldung versuchen, Klaus per SIP zu erreichen. Sollte das nicht funktionieren, probiert es nacheinander die anderen Alternativen. Die anfallenden Gebühren muss ich natürlich jeweils zahlen. Leider gibt es aber zurzeit in Deutschland die noch sehr verbreitete Unsitte, zwischen SIP-Provider private Peerings (dt. Zusammenschlüsse) zu machen. Die einzige Gefahr, die von einem ENUM-Eintrag ausgeht, ist Spam over IP Telephony (SPIT). Die Kontaktdaten von Klaus Loddenkötter sind über ENUM-Abfragen verfügbar. Spammer und/oder Spitter könnten diese Daten sammeln, und dann klingelt das IP-Telefon und die Nigeria-Connection fragt, ob Klaus eine Million Dollar verdienen möchte. Tatsächlich habe ich bisher noch nie einen SPITAnruf erhalten, obwohl meine Daten seit Jahren registriert sind. [+] Programme wie jAnrufmonitor (https://www.janrufmonitor.de), mit dem Sie unter anderem Ihre FRITZ!Box Fon überwachen können, bieten Ihnen mehr Kontrolle über Ihre Telefonate. Mutmaßlich habe ich aber auch noch nie einen Anruf bekommen, der über ENUM zustande kam. Die Technik wird aus wirtschaftlichen Gründen von den Anbietern blockiert. Jeder SIPProvider berechnet seinem Kunden einen Preis für Gespräche in das Telefonnetz – auch wenn dieser Preis oft in den Kosten für eine
Flatrate steckt. Bei eingehenden Gesprächen berechnet der SIPProvider des Angerufenen dem Anrufer-SIP-Provider eine Gebühr für die Durchleitung des Gesprächs. Würden die Gespräche direkt über das Internet abgewickelt, würde der Kunde erwarten, dass diese Gespräche per se kostenlos sind.
47.1.3 Audio-Codecs Ein Kodierer setzt ein Audiosignal in Datenpakete um. Der Dekodierer empfängt die Datenpakete und wandelt sie zurück in ein Audiosignal. Beim Kodieren können die Audiodaten komprimiert und/oder verschlüsselt werden, müssen es aber nicht. Wichtig ist nur, dass der Dekodierer korrespondierende Fähigkeiten hat. Die Qualität, die ein Audio-Codec erreicht, wird in einem Mean Opinion Score (MOS, dt. durchschnittlicher Meinungswert) ausgedrückt. Es wurde anhand von repräsentativen Gruppen ermittelt, wie nahe der eingesetzte Codec an die menschliche Sprache im Original kommt. Dabei weist ein Wert von 1 auf eine schlechte, ein Wert von 5 hingegen auf eine exzellente Qualität hin. Tabelle 47.1 enthält eine Übersicht gängiger Audio-Codecs und deren Eigenschaften. Name
Kbit/s (netto)
MOS
Math. Verzögerung
Qualität
G.728
16
3,61
0,625 ms
ausreichend
G.723
5,3/6,3
3,8/3,9 30 ms
befriedigend
G.726
24/32
--/3,85
befriedigend
0,125
Name
Kbit/s (netto)
MOS
Math. Verzögerung
Qualität
GSM
4 bis 21
3,8
20 ms
befriedigend
G.729
8
3,92
10 ms
gut
G.711
64
4,4
0,125 ms
gut
iLBC
14,4
4
30 ms
gut
G.722
64
4,5
0,125 ms
sehr gut
G.722.2 6,6 bis 23,85 < 4,5
23 bis 30 ms
sehr gut
EVS
7,2 bis 24,4
< 4,5
32 ms
sehr gut
iSAC
30 bis 60
>4
33 bis 63 ms
sehr gut
Speex
2,15 bis 44,2 > 4
30 bis 34 ms
sehr gut
SVOPC 20
>4
25 ms
sehr gut
SILK
>4
25 ms
sehr gut
6 bis 40
Tabelle 47.1 Audio-Codecs im Vergleich
Der Codec G.711 entspricht der ISDN-Kodierung und arbeitet ohne Komprimierung. Der reine Sprachdatenanteil beträgt 8 kHz × 8 Bit = 64 Kbit/s. Die zusätzlichen Protokollinformationen, z. B. für RTP, UDP, IP oder Ethernet, lassen das Datenvolumen von 64 Kbit/s auf etwa 80 bis 90 Kbit/s anwachsen. Viele kommerzielle Lösungen verwenden den G.729-Audio-Codec, der ordentliche Sprachqualität bei guter Komprimierung ermöglicht. Leider ist dieser Audio-Codec kostenpflichtig, so dass er bei der Internettelefonie seltener zum Einsatz kommt. Dort
wird iLBC oder Speex genutzt. Letzterer ist kostenfrei und bietet trotz Komprimierung gute Sprachqualität. Er hat außerdem eine variable Bitrate und kann somit der verfügbaren Bandbreite angepasst werden. Moderne Entwicklungen sind neben Speex der iLBC- und der iSACAudio-Codec. Beide bieten gute bis sehr gute Sprachqualität. Skype hat zwei eigene Codecs entwickelt: SVOPC und SILK. Letzterer wird von Skype kostenfrei zur Nutzung angeboten. Seine Stärken liegen insbesondere darin, Wideband-Qualität – denken Sie in Kategorien von CD-Qualität – über Internetverbindungen zu liefern. Dabei kann er Paketverluste ausgleichen, falls die Verbindung während eines Gespräches schlechter wird.
47.2 Voraussetzungen für VoIP im Netzwerk Wenn Sie VoIP im Netzwerk betreiben wollen, handelt es sich um eine anspruchsvolle Anwendung. Telefonie ist eine Echtzeitanwendung, die auf Fullduplex ausgelegt ist. Das bedeutet, dass sie auf gleichzeitiges Sprechen und Hören ausgelegt ist. Aus diesem Grund sind besondere Voraussetzungen im Netzwerk zu beachten. So gibt es z. B. hinsichtlich der Verzögerung (engl. delay), der Laufzeitschwankung (engl. jitter) und des Paketverlusts (engl. packet loss) Empfehlungen: Delay: < 150 ms für einen Weg. Das ist zu unterscheiden von der Zeit für den kompletten Hin- und Rückweg, der sogenannten Round Trip Time (RTT). Jitter: < 30 ms Packet Loss: "
key_mgmt=WPA-PSK
}
Listing 54.3 gpListing
[!] Wenn Sie das WLAN Ihres Raspberry Pi auf der Kommandozeile konfigurieren wollen, achten Sie darauf, dass Ihre WLANSchnittstellen aktiviert sind (siehe Abschnitt 27.12.1, »Flugzeugmodus mit RFkill«).
55 Projekte mit dem Raspberry Pi Wofür eignet sich der scheckkartengroße Einplatinencomputer denn nun im Alltag? Wofür lässt sich die Hardware besonders gut nutzen? Und welche Software passt zu dem kleinen Alleskönner? Das Tolle am Raspberry Pi ist, dass er unzählige Verwendungsmöglichkeiten für Ihr Netzwerk bietet. Ein paar davon möchte ich Ihnen vorstellen. Da immer häufiger Entwickler ihre Software auch für den Raspberry Pi zur Verfügung stellen, vergrößern sich auch die Szenarien für den Einsatz fortlaufend.
55.1 Raspberry Pi als Media Center Zunächst war ich recht skeptisch, ob ein solch kleiner Rechner überhaupt für die Wiedergabe von Videoinhalten geeignet ist. Heute weiß ich: Er ist sehr gut geeignet! Auch wenn Smart-TVs gewisse Fähigkeiten mitbringen, Video- und Audiodateien per Netzwerk wiederzugeben, so bleiben die Möglichkeiten doch begrenzt. Besonders diese Eigenschaften qualifizieren den Raspberry Pi als gute Basis für ein Media Center: geringer Stromverbrauch (ca. 3 Watt)
HDMI-Schnittstelle mit CEC-Unterstützung volle Hardwareunterstützung sehr kostengünstig Die HDMI-Schnittstelle des Raspberry Pi unterstützt Consumer Electronics Control (CEC), also die Bedienung über die Fernbedienung des TV-Gerätes. Jeder TV-Hersteller benennt CEC anders; z. B. heißt es bei LG SimpLink, bei Panasonic Viera Link und bei Sony BRAVIA Sync. CEC ist sehr praktisch und führt gerade bei anderen TV-Nutzern, z. B. Familienangehörigen, zu deutlich mehr Akzeptanz. Die Decodierung von Videos muss nicht von der CPU geleistet werden. Die GPU des Raspberry Pi übernimmt diese Aufgabe. Damit wird sichergestellt, dass auch Videos mit Full-HD-Auflösung flüssig wiedergegeben werden. [!] Das Digital Rights Management (DRM) versieht viele digitale Medien mit Kopierschutz oder Verschlüsselung. Der Raspberry Pi kann nur DRM-freie Medien wiedergeben. Dies bedeutet, dass Sie einige kostenpflichtige Streamingangebote (z. B. Watchever, Maxdome) nicht über den Raspberry Pi nutzen können. Der Grund dafür ist, dass die Inhalte mit Microsoft Silverlight geschützt werden, das unter Linux nicht bzw. nur sehr umständlich betrieben werden kann. Als Alternative zu Silverlight etabliert sich aktuell HTML5 DRM. Amazon Prime nutzt Wivedine. Auf dieser Basis funktioniert z. B. das Kodi-Addon Amazon VOD. Ich halte den Raspberry Pi für eine wirklich gute Media-CenterLösung. Einmal eingerichtet, arbeitet er zuverlässig und bietet tolle Möglichkeiten, die weit über die reine Wiedergabe von Musik und Video hinausgehen.
55.1.1 Raspberry Pi OS, OSMC, XBian oder LibreELEC? Für die Basis des bekannten Media Centers Kodi (ehemals XMBC) auf dem Raspberry Pi gibt es mehrere Alternativen: Raspberry Pi OS: Sie können Kodi komplett selbst kompilieren, was jedoch zeitaufwendig und anspruchsvoll ist. OSMC: Sie müssen für den Betrieb des Nachfolgers von Raspbmc keinerlei Linux-Kenntnisse mitbringen. Bei Bedarf steht Ihnen aber der uneingeschränkte Zugang zur Debian-Basis offen. XBian: XBian empfehle ich im aktuellen Entwicklungsstadium nur zum Test. LibreELEC: LibreELEC ist schlank, performant, einfach zu bedienen und ausschließlich für den Betrieb als Media Center ausgelegt. Wenn Sie flexibel zusätzliche Software auf dem Raspberry Pi nutzen möchten, dann sollten Sie sich für eine offene Debian-Basis entscheiden.
55.1.2 Aufbau der Hardware Sie benötigen für den Betrieb von Kodi: Raspberry Pi mit SD-Karte Micro-USB-Stromversorgung mit Anschluss an einem USB-Port des TV oder ein Netzteil HDMI-Kabel. (Ab Version 1.0 unterstützen alle HDMI-Versionen durchgängig CEC.) TV mit HDMI-Anschluss oder einen freien HDMI-Port am AVReceiver
TV-Fernbedienung Netzwerkanbindung Darüber hinaus empfehle ich Ihnen eine Funktastatur mit Maus. Sie benötigen außerdem Zugriff auf die Medien über LAN oder WLAN. [o] Für das erste Ausprobieren sollten Sie die Filme aus den Materialien zum Buch auf einen schnellen USB-Stick kopieren. Verbinden Sie den Raspberry Pi über das HDMI-Kabel mit dem TV. Nach Anschluss von Maus und Tastatur stellen Sie die Netzwerkverbindung per LAN-Kabel her oder stecken einen kompatiblen WLAN-Stick ein. Mit dem Verbinden der Micro-USBStromversorgung startet der Raspberry Pi.
55.1.3 Erste Schritte mit LibreELEC Auf der Site https://openelec.tv finden Sie die aktuelle Version als Diskimage für den Raspberry Pi. Die Installation von LibreELEC ist schnell erledigt (siehe Abschnitt 54.6, »Eine bootfähige SD-Karte erstellen«). Beim ersten Start hilft Ihnen ein Assistent bei der Festlegung des Hostnamens, der Konfiguration der Netzwerkverbindung und dem optionalen Start der Dienste SSH und Samba. Im Anschluss können Sie in den Einstellungen über Interface settings • Regional • Keyboard Layout • German neben der Sprache weitere regionale Anpassungen wie das Tastaturlayout, das Standardformat für Region und die Zeitzonen-Region vornehmen. Unter LibreELEC • System stellen Sie die Tastaturbelegung auf de. Ihre Netzwerkkonfiguration von LibreELEC, das auch WLAN unterstützt, können Sie später jederzeit anpassen (siehe
Abbildung 55.1).
Abbildung 55.1 Die Netzwerkkonfiguration von LibreELEC
[+] An dieser Stelle können Sie auch Tethering (siehe Abschnitt 38.1.4, »Mobiler Internetzugang«) einrichten. Nachdem Sie die Grundeinrichtung vorgenommen haben, möchte ich Ihnen zusätzliche Einstellungen empfehlen, die die Performance des Raspberry Pi erhöhen. Diese sollen verhindern, dass der Raspberry Pi Video- oder Audiodaten mit der CPU verarbeitet, denn dies führt fast immer zu Rucklern und Aussetzern. [+] Navigieren können Sie mit den Pfeiltasten der Tastatur, auswählen durch (¢), und zurück kommen Sie mit (237) . Von der Hauptansicht ausgehend wählen Sie System • Darstellung und stellen ganz unten die Einstellungsebene auf Fortgeschritten um, damit Sie alle nachfolgend genannten Menüpunkte sehen können. Deaktivieren Sie unter Benutzeroberfläche • Sonstiges den RSSNewsfeed. Dieser wird im Hintergrund aktualisiert, und das kann den Raspberry Pi aus dem Tritt bringen. Den Wert für Wiedergabe • Bildwiederholfrequenz anpassen setzen Sie auf Beim Starten/Stoppen. Damit wird sichergestellt, dass ein 24-fps-
Video nicht mit 60 fps wiedergegeben werden muss, weil die Oberfläche von LibreELEC gerade 60 fps verwendet.[ 56 ] Das Audio Ausgabegerät unter System • Audio sollten Sie auf PI:HDMI einstellen und Audio-Passthrough • Passthrough erlauben sollten Sie – wann immer dies möglich ist – aktivieren. Mit Passthrough wird das Audiosignal unverändert an den Fernseher bzw. den zwischengeschalteten AV-Receiver weitergegeben, was die Systemlast des Raspberry Pi deutlich verringert. Der jeweilige Abnehmer muss natürlich in der Lage sein, dieses Tonsignal des Quellmediums – z. B. Dolby Digital (AC3) oder Digital Theater Systems (DTS) – zu interpretieren. Ferner empfehle ich, die Qualität der Anpassung auf Gering (schnell) zu stellen. [!] Wichtig ist, dass Sie für den nun folgenden Test auf nicht unbedingt notwendige Dienste – z. B. RSS-Newsfeed und Wetter – verzichten, denn jeder benötigt ein wenig CPU-Leistung, die nicht mehr für die Wiedergabe der Medien zur Verfügung steht. [o] Damit sind die wichtigsten Einstellungen getroffen, und dem ersten Test steht nichts mehr im Wege. Die Videodateien aus dem Verzeichnis media/1080p kopieren Sie dazu auf einen USB-Stick. Der USB-Stick wird am Raspberry Pi automatisch erkannt. Wählen Sie nun über Videos • Dateien den Film big_buck_bunny_1080p_h264.mov aus. Der Buchstabe »p« hinter der vertikalen Auflösung steht für progressiv, die real übertragene vertikale Auflösung.[ 57 ] Der Film liefert 24 fps in einer progressiven vertikalen Auflösung von 1.080 Zeilen. Er eignet sich gut für die Prüfung, ob der Raspberry Pi unter optimalen Bedingungen Full-HD-Video flüssig wiedergeben kann. Diesen Test können Sie bei Änderungen an der Konfiguration wiederholen und
das Ergebnis vergleichen, z. B. nach der Anbindung einer Medienquelle über LAN oder WLAN. Die Datei big_buck_bunny_1080p_surround.avi liefert AC3Surround-Sound. Sie eignet sich daher dazu, den Raspberry Pi und Ihren AC3-fähigen Receiver über die Passthrough-Option mit einer Dolby-Digital-Surround-Spur zu testen. Interessiert Sie die Systemauslastung zur Laufzeit? Unter System • Systeminfo • Info finden Sie alle wichtigen Informationen. Wahrscheinlich befindet sich die Auslastung der CPU während der Wiedergabe nahe 100 Prozent. Grundsätzlich sollte die Wiedergabe des Films flüssig erfolgen und der Ton synchron zum Bild sein. Weitere Informationen rund um Kodi auf dem Raspberry Pi finden Sie auf der Seite https://kodi.wiki/index.php?title=Raspberry_Pi_FAQ im Wiki. Allgemeine Informationen zu Handhabung und Streaming von Medien mit Kodi finden Sie in Abschnitt 46.4, »Kodi Home Theater«. [+] Mit Hilfe von Add-ons erweitern Sie auf bequeme Weise die Funktionalität von LibreELEC. Das Add-on Network Tools stellt z. B. Kommandos wie rsync (siehe Abschnitt 31.1.2, »Linux rsync«) und iPerf (siehe Abschnitt 31.2, »Performancemessung mit iPerf«) zur Verfügung.
55.1.4 Zusätzliche Video-Codecs Die GPU des Raspberry Pi beherrscht einige Codecs auf Ebene der Hardware. Sowohl für den auf DVDs gängigen Codec MPEG-2 als auch für den auf einigen Blu-ray-Discs verwendeten Codec VC-1 von Microsoft müssen für den Raspberry Pi 1, den Raspberry Pi 2 und den Raspberry Pi 3 zuvor Lizenzen erworben werden. Diese können
Sie einzeln und günstig auf der Website https://codecs.raspberrypi.org bestellen. Dafür müssen Sie die Seriennummer Ihrer CPU kennen, die Sie mit dem Kommando cat /proc/cpuinfo auslesen. Sie erhalten nach kurzer Zeit per E-Mail eine ausschließlich für diesen Raspberry Pi gültige Lizenz. Da die CPU des Raspberry Pi 4 über ausreichend Leistung für eine Decodierung mit Hilfe von Software wie VLC (siehe Abschnitt 46.3.2, »Videostreaming mit dem VLC Media Player«) oder LibreELEC (siehe Abschnitt 55.1, »Raspberry Pi als Media Center«) verfügt, sind diese Lizenzen für den Raspberry Pi 4 weder erforderlich noch verfügbar. Die Lizenzschlüssel tragen Sie in die Datei /boot/config.txt ein. Dabei sollten Sie nicht vergessen, eventuell vorhandene Kommentarzeichen zu entfernen. ##############################################
# License keys to enable GPU hardware decoding
decode_MPG2=0x61b4f3d9
decode_WVC1=0x3caeb48b
Listing 55.1 gpListing
Nach einem Neustart des Raspberry Pi und mit – vorübergehend – aktiviertem SSH-Zugang können Sie sich den Erfolg Ihrer Arbeit mit den Kommandos vcgencmd codec_enabled MPG2 und vcgencmd codec_enabled WVC1 bestätigen lassen.
55.2 Ihr eigener Router für unterwegs Zu Hause ist die Situation klar: Alle Familienmitglieder besitzen Laptops und mobile Geräte. Diese verfügen über eigene Internetzugänge oder können zumindest über das heimische WLAN auf das Internet zugreifen. Anders sieht es im Urlaub aus. Im Urlaubsland angekommen, verfügen längst nicht alle Ferienwohnungen und Hotels über einen zuverlässigen und sicheren WLAN Access Point. Glücklicherweise gibt es in vielen Ländern mobile Internetzugänge. Sie benötigen unter Umständen mehrere SIM-Karten, um nicht dauernd zwischen den Geräten tauschen zu müssen. Daher empfiehlt sich in manchen Fällen ein eigener WLAN-LTE-Router, den Sie unter dem Namen Pocket Router erwerben können. Eine andere Lösung ist Tethering (siehe Abschnitt 38.1.4, »Mobiler Internetzugang«), also die Nutzung eines Smartphones als Access Point. Für die meisten Anwendungsfälle reicht dies im Urlaub völlig aus, kann aber in Bezug auf Reichweite und Bedienbarkeit nicht allen Ansprüchen genügen. Wenn Sie über einen Raspberry Pi, einen alten LTE-Stick und – falls nicht schon auf dem Raspberry Pi vorhanden – einen kompatiblen WLAN-Adapter verfügen, können Sie Ihren eigenen mobilen Router für den Urlaub bauen. Selbst wenn Sie den Router nicht nachbauen möchten, wird die Lektüre dieses Kapitels zumindest helfen können, Ihr Verständnis eines Routers zu vertiefen. [»] Für meinen mobilen Router habe ich einen Raspberry Pi 4 mit einem LTE-Modem (siehe Abschnitt 13.9, »LTE«) Modell
Huawei E3372 ausgerüstet.
55.2.1 Eine Bridge zwischen LAN und WLAN Der Raspberry Pi verfügt über zwei LAN-Schnittstellen. Diese werden unabhängig voneinander konfiguriert und stellen daher eigentlich getrennte Netzwerksegmente dar. Für Ihren Router möchten Sie diese Trennung aufheben und ein virtuelles Interface aus der WLAN-Schnittstelle und dem LAN-Port einrichten. Dazu müssen Sie zunächst mit Hilfe der bridge-utils eine Netzwerkbrücke (siehe Abschnitt 6.10, »Switch«) einrichten. Den hostapd installieren Sie zwecks späterer Verwendung gleich mit. pi@raspberrypi ~ $ sudo apt-get install bridge-utils hostapd
Das virtuelle Interface br0 versehen Sie gleichzeitig mit einer IPAdresse. Die Konfiguration speichern Sie in der Datei /etc/network/interfaces.d/br0. Die IP-Adresse Ihres Routers bestimmen Sie mit dem Wert für address. auto br0
iface br0 inet static
address 192.168.1.1
netmask 255.255.255.0
bridge_fd 1
bridge_hello 3
bridge_Maxage 10
bridge_stp off
bridge_ports eth0 wlan0
allow hotplug eth0
iface eth0 inet manual
allow-hotplug wlan0
iface wlan0 inet manual
Listing 55.2 gpListing
Da der dhcpcd kein Bridging beherrscht, entziehen Sie ihm den Zugriff auf die Netzwerkschnittstellen des Raspberry Pi mit einem Eintrag in der Datei /etc/dhcpcd.conf: denyinterfaces br0,eth0,wlan0
Anschließend starten Sie das System neu.
55.2.2 Der Raspberry Pi als Access Point Der Raspberry Pi wird nun mit Hilfe des hostapd zum Access Point. Dazu passen Sie den Eintrag DAEMON_CONF=/etc/hostapd/hostapd.conf in der Datei /etc/default/hostapd an. Er verweist auf die Konfigurationsdatei des hostapd, die Sie anlegen. interface=wlan0
bridge=br0
driver=nl80211
macaddr_acl=0
ssid=mitohnekabel
hw_mode=g
ieee80211n=1
channel=1
country_code=DE
wpa=2
wpa_passphrase=ganz_geheim
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
rsn_pairwise=CCMP
beacon_int=100
auth_algs=1
wmm_enabled=1
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]
Listing 55.3 gpListing
Der Eintrag hw_mode=g steht für den Standard IEEE 802.11g, ieee80211n=1 für IEEE 802.11n. Entsprechend würde mit hw_mode=a und ieee80211ac=1 ein IEEE 802.11ac-Access-Point (zu IEEE 802.11ac
siehe Abschnitt 7.6, »IEEE 802.11ac«) im 5-GHz-Band entstehen. Den Kanal stellen Sie mit dem Schlüsselwort channel ein. Die Zeile auth_algs=1 schließt die WEP-Verschlüsselung zugunsten von WPA aus. Mit wpa=2 erlauben Sie nur WPA2- und schließen Verbindungen mit WPA1-Verschlüsselung aus. In der letzten Zeile wird die maximale Kanalbreite durch optionale Nutzung eines benachbarten zweiten 20-MHz-Kanals auf 40 MHz erweitert. Dadurch erhöhen sich der maximale Datendurchsatz und die Geschwindigkeit. Der hostapd kann nun gestartet werden. $ sudo systemctl unmask hostapd
$ sudo systemctl enable hostapd
$ sudo systemctl start hostapd
55.2.3 Einrichten des Modems Viele Internet-Sticks haben ein integriertes Laufwerk, auf dem Treiber und ein Programm zur Einrichtung der Internetverbindung unter Windows gespeichert sind. Erst nach der Installation der Treiber erkennt das Betriebssystem den Stick als Modem. Unter Linux kann ein Stick bei Bedarf mit dem Programm usb_modeswitch umgeschaltet werden. Das Verzeichnis /usr/share/usb_modeswitch enthält Vorlagen für die vom System verwalteten IDs. Auf der Seite https://wiki.ubuntuusers.de/USB_ModeSwitch finden sich für viele Huawei-Sticks die USB-IDs als Datenträger und die entsprechend richtigen USB-IDs als Modem. Extrahieren Sie die Datei, die sich aus den beiden IDs zusammensetzt, und kopieren Sie sie in das Verzeichnis /etc/usb_modeswitch.d/. Das Programm usb_modeswitch ändert die Device ID der Huawei E3372 im Datenträger-Modus 12d1:1f01 in
die ID 12d1:14dc des HiLink-Modus (siehe Abschnitt 13.3, »Verbindungsaufbau mit Huawei HiLink«). Um Zugriff auf die serielle Schnittstelle des Modems zu erhalten, müssen Sie es jedoch in den Fallback-Modus versetzen. Dazu legen Sie die Datei /etc/usb_modeswitch.d/12d1:1f01 an: # Huawei e3372s (Fallback-Modus)
TargetVendor= 0x12d1
TargetProduct= 0x155f
MessageContent="555342431234567800000000000000110630000001000100000000000000 00"
Listing 55.4 gpListing
Wenn Sie nun den Stick in einen USB-Port des Raspberry Pi einstecken, wird das Modem im richtigen Modus erkannt und stellt gleichzeitig die gewünschte serielle Schnittstelle bereit. pi@raspberry:~ Bus 002 Device Bus 001 Device Bus 001 Device Bus 001 Device
$ lsusb
001: ID 1d6b:0003 023: ID 12d1:155e 002: ID 2109:3431 001: ID 1d6b:0002
Linux Foundation 3.0 root hub
Huawei Technologies Co., Ltd.
VIA Labs, Inc. Hub
Linux Foundation 2.0 root hub
55.2.4 Aufbau der Verbindung Mit dem Point-to-Point Protocol (PPP) geschieht die Einwahl in das Netz des Providers. Mit dem Kommando sudo apt-get install ppp installieren Sie die benötigten Pakete. Jetzt könnten Sie sich manuell einwählen, müssten den Vorgang im Falle von Verbindungsabbrüchen aber ständig wiederholen. Deshalb empfehle ich, dem Programm UMTSkeeper (https://github.com/daladim/umtskeeper) Aufbau und Kontrolle der Internetverbindung zu überlassen. Das Skript steht unter dem Hacktivismo Enhanced Source Software
License Agreement (HESSLA). Nach der Installation können Sie sich direkt ins Internet einwählen. Dazu müssen Sie insbesondere die ID Ihres Modems, die PIN Ihrer SIM-Karte und die Daten zum Access Point Name( APN) anpassen. Das NAT aktivieren Sie an dieser Stelle noch nicht. $ $ $ $ $
sudo apt-get install git
cd /usr/local
sudo git clone https://github.com/daladim/umtskeeper.git
cd umtskeeper
sudo ./umtskeeper --sakisoperators "USBINTERFACE='0' OTHER='USBMODEM'
USBMODEM='12d1:155e' SIM_PIN='1234' APN='CUSTOM_APN'
CUSTOM_APN='internet.t-mobile' APN_USER='t-mobile' APN_PASS='tm'"
--sakisswitches "--sudo --console" --devicename 'Huawei' --log --nat 'no'
Abbildung 55.2 Mit UMTSkeeper wird die Verbindung transparent.
Eine funktionierende Einwahl können Sie bei jedem Systemstart durchführen, indem Sie statt eines Startskripts die Zeile vor dem exit 0 in das Skript /etc/rc.local einfügen. Das Logging wird in eine Datei umgelenkt. Zusätzlich horcht auf Port 8000 ein Webserver, der Verbindungsinformationen liefert (siehe Abbildung 55.2).
/usr/local/umtskeeper/umtskeeper --sakisoperators "USBINTERFACE='0'
OTHER='USBMODEM' USBMODEM='12d1:155e' SIM_PIN='1234' APN='CUSTOM_APN'
CUSTOM_APN='internet.t-mobile' APN_USER='t-mobile' APN_PASS='tm'"
--sakisswitches "--sudo --console" --devicename 'Huawei' --log --silent
--nat 'no' --httpserver &>> /var/log/umtskeeper_error.log
Listing 55.5 gpListing
55.2.5 Firewall und NAT Sie können das integrierte NAT-Routing (siehe Abschnitt 14.5, »Network Address Translation«) aktivieren, indem Sie die Option -nat 'no' durch --nat 'yes' ersetzen. Ich empfehle die Firewall IPTables (siehe Abschnitt 34.2, »IPTables, Firewall für Linux«). Damit können Sie leicht weitere Regeln erstellen. Sie verwenden ein Skript, das im Beispiel masquerading.sh heißt und ausführbar sein muss. IPT=/sbin/iptables
LOCAL_IFACE=br0
INET_IFACE=ppp0
# aufräumen
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
# forwarding
$IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT
$IPT -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# masquerading
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
Listing 55.6 gpListing
Dieses Skript erstellt die Regeln, die anschließend mit Hilfe von iptables-save in der Datei /etc/network/iptables abgespeichert
werden. pi@raspberrypi ~ $ sudo ./masquerading.sh
pi@raspberrypi ~ $ sudo sh -c "iptables-save > /etc/network/iptables"
Durch den zusätzlichen Eintrag pre-up iptables-restore < /etc/network/iptables in der Datei /etc/network/interfaces.d/br0 wird die IPTables-Konfiguration beim Systemstart automatisch geladen. Um das Paketforwarding für IPv4 (siehe Kapitel 14, »Das Internetprotokoll«) zu erlauben, führen Sie das Kommando sudo sysctl -w net.ipv4.ip_forward=1 aus und entfernen in der Datei /etc/sysctl.conf das Kommentarzeichen vor der Zeile net.ipv4.ip_forward=1.
55.2.6 DHCP Ein Router benötigt natürlich auch eine DHCP-Funktion (siehe Kapitel 19, »DHCP«). Dafür installieren Sie mit dem Kommando sudo apt-get install dnsmasq einen geeigneten DNS-Server und legen für das zu bedienende Interface br0 die Datei /etc/dnsmasq.d/br0 an: interface=br0
dhcp-range=192.168.1.100,192.168.1.199,255.255.255.0,24h
Listing 55.7 gpListing
Der Wert des Eintrages dhcp-range bestimmt Anfang und Ende der vom DHCP-Server zu verwaltenden IP-Adressen, die Subnetzmaske (Class C) und Gültigkeitsdauer (24 Stunden).
55.2.7 Signalstärke
Die Qualität einer Funkverbindung wird maßgeblich von der Signalstärke bestimmt (siehe Abschnitt 13.4, »Messen der Signalstärke«). Die Signalstärke am Modem wird über eine serielle Verbindung mit dem Kommando AT+CSQ ausgelesen. Das Programm comgt übernimmt und vereinfacht die Kommunikation. pi@raspberrypi ~ $ sudo apt-get install comgt
pi@raspberrypi ~ $ comgt sig
Trying list of devices
Signal Quality: 14,99
[»] Mit dem Wert vor dem Komma, in diesem Beispiel also 14, errechnen Sie die Signalstärke Received Signal Strength Indication (RSSI). Dazu setzen Sie diesen Wert in die Formel RSSI = 113 - 2 * ein und erhalten einen RSSI von 85.
55.3 Der Raspberry-Pi-Radiowecker In diesem Abschnitt möchte ich Ihnen zeigen, wie Sie Ihren Raspberry Pi zum Internetradio und darüber hinaus zum Radiowecker machen können. Die Nutzung eines Raspberry Pi als Internetradio mit einer vorkonfigurierten Auswahl an Sendern kann insbesondere für Kinder sinnvoll sein. Die Bedienung des Radios soll per Fernbedienung möglich sein. Die Steuerung des Radioweckers übernimmt FHEM (siehe Kapitel 50, »FHEMSteuerzentrale«). Die täglichen Weckzeiten können Sie dabei bequem über einen Kalender im Internet einstellen. Damit Sie den Wecker nicht jeden Tag neu stellen müssen, sollten Sie die Weckzeiten als Serientermin definieren. Unter bestimmten Bedingungen – z. B. während der Schulferien – bleibt der Wecker auf Wunsch auch still.
55.3.1 Voraussetzungen Das Audiosignal kann am Kopfhöreranschluss des Raspberry Pi abgenommen werden. Wenn Sie die Lautsprecher direkt anschließen, können Sie den benötigten Strom bei einigen Modellen direkt aus einem USB-Steckplatz des Raspberry Pi beziehen. Bei der Wahl der Infrarot-Steuerung habe ich mich für einen Bausatz entschieden, der auf Auktionsplattformen für wenige Cent angeboten wird. Dieses Set wird geliefert mit einem Sensor HX1838, einer kleinen Platine mit Anschlüssen, Kabeln und einer kleinen Fernbedienung. Grundsätzlich können Sie stattdessen aber auch
jede nicht mehr gebrauchte Fernbedienung verwenden, die bei Ihnen im Keller liegt. Der Zusammenbau des Infrarot-Moduls ist relativ einfach. Einen Lötkolben benötigen Sie nicht. Zu jedem Bausatz sollte eine Anleitung existieren, in der der Anschluss an die richtigen GPIOPins des Raspberry Pi (siehe Abbildung 55.3) beschrieben ist.
Abbildung 55.3 GPIO-Pins des Raspberry Pi
[»] In meinem Fall wird das Modul an Pin 1 (+3,3 Volt), Pin 6 (GND) und Pin 12 (GPIO 18) – dem Standard für Infrarot-Empfänger an einem Raspberry Pi ab Version 2 – angeschlossen. Der Eintrag dtoverlay=gpio-ir,gpio_pin=18 wird in der Datei /boot/config.txt ergänzt. Weitere Anpassungen sind – ein aktueller Kernel vorausgesetzt – nicht erforderlich.
Der Raspberry Pi muss über WLAN oder LAN an Ihr Netzwerk angeschlossen sein. Für das Streaming der Radiosender benötigt er Zugriff auf das Internet. Der Soundtreiber wird beim Systemstart in der Regel automatisch geladen, was Sie mit dem Kommando lsmod leicht überprüfen können. Falls das Modul snd_bcm2835 nicht in der Liste der geladenen Kernel-Module enthalten ist, stellen Sie bitte sicher, dass der Eintrag dtparam=audio=on in der Datei /boot/config.txt enthalten und nicht auskommentiert ist.
55.3.2 Music Player Daemon Für die Wiedergabe der Radiosendungen aus dem Internet eignet sich der Music Player Daemon (MPD; https://www.musicpd.org). Die Installation sollte zusammen mit einem Client zur Bedienung des MPD geschehen. $ sudo apt-get install mpd mpc alsa-utils
Die am Raspberry Pi für die Audioausgabe zur Verfügung stehenden Geräte können mit dem Soundsystem Advanced Linux Sound Architecture (ALSA) verwaltet werden. Das von Raspberry Pi OS im Standard benutzte PulseAudio wird von den Entwicklern eher auf Benutzersitzungen mit grafischer Konsole ausgerichtet und ist daher etwas komplexer in der Handhabung der Konfiguration. pi@radio ~ $ aplay -l
**** Liste der Hardware-Geräte (PLAYBACK) ****
Karte 0: b1 [bcm2835 HDMI 1], Gerät 0: bcm2835 HDMI 1 [bcm2835 HDMI 1]
Sub-Geräte: 3/4
Sub-Gerät #0: subdevice #0
Sub-Gerät #1: subdevice #1
Sub-Gerät #2: subdevice #2
Sub-Gerät #3: subdevice #3
Karte 1: Headphones [bcm2835 Headphones], Gerät 0: bcm2835 Headphones
[bcm2835 Headphones]
Sub-Geräte: 4/4
Sub-Gerät #0: subdevice #0
Sub-Gerät #1: subdevice #1
Sub-Gerät #2: subdevice #2
Sub-Gerät #3: subdevice #3
In der zentralen Konfigurationsdatei des MPD /etc/mpd.conf bestimmen Sie das gewünschte Ausgabegerät, im folgenden Beispiel den Kopfhöreranschluss: audio_output {
type name device }
"alsa"
"My ALSA Device"
"hw:1,0" # optional
Listing 55.8 gpListing
Mit dem Kommando sudo systemctl restart mpd lesen Sie die Änderungen im System ein. Im nächsten Schritt geben Sie den Mitgliedern der Systemgruppe audio mit dem Kommando sudo chmod g+w /var/lib/mpd/playlists Schreibrechte in diesem Verzeichnis und konfigurieren die von Ihnen gewünschte Auswahl von Radiosendern in der Datei /var/lib/mpd/playlists/sender.m3u. pi@radio /var/lib/mpd/playlists $ cat sender.m3u
http://wdr-kiraka-live.icecast.wdr.de/wdr/kiraka/live/mp3/128/stream.mp3
http://avw.mdr.de/streams/284311-2_mp3_high.m3u
http://mp3channels.webradio.antenne.de/hits-fuer-kids
Im Internet finden Sie viele Verzeichnisse mit international verfügbaren Internetradiostreams, z. B. auf der Seite https://wiki.ubuntuusers.de/Internetradio/Stationen. Nun machen Sie dem MPD Ihre Playlist bekannt, starten mit dem Music Player Client (MPC) über das Kommando mpc einen der Streams aus Ihrer Playlist und passen die Lautstärke an:
pi@radio ~ $ mpc load sender
loading: sender
pi@radio ~ $ mpc play 3
http://mp3channels.webradio.antenne.de/hits-fuer-kids
[playing] #3/3 0:00/0:00 (0%)
volume: 0% repeat: off random: off single: off consume: off
pi@radio ~ $ mpc volume 90
ANTENNE BAYERN Hits fuer Kids: Das Gezeichnete Ich - Grün, grün, grün
[playing] #3/3 0:05/0:00 (0%)
volume: 90% repeat: off random: off single: off consume: off
55.3.3 Eine Fernbedienung für das Radio Die vom Infrarot-Sensor am Raspberry Pi (siehe Abschnitt 55.3.1, »Voraussetzungen«) empfangenen Signale werden von dem Dienst Linux Infrared Remote Control (LIRC) entschlüsselt und weiterverarbeitet. $ sudo apt-get install lirc
Die passende Konfigurationsdatei Ihrer Fernbedienung finden Sie im Verzeichnis /usr/share/lirc/remotes oder auf der Seite http://lirc.sourceforge.net/remotes im Internet. Die passende Konfigurationsdatei legen Sie unter dem Namen lircd.conf im Verzeichnis /etc/lirc ab. Ob die Signale Ihrer Fernbedienung richtig verstanden werden, können Sie nun mit dem Kommando irw testen. Mit der Tastenkombination (Strg) + (C) brechen Sie die Ausführung des Kommandos ab. pi@radio ~ $ irw
0000000000ffa25d 00 0000000000ffa25d 01 0000000000ffe21d 00 0000000000ffe21d 01 0000000000ff18e7 00
KEY_CHANNELDOWN /etc/lirc/lircd.conf
KEY_CHANNELDOWN /etc/lirc/lircd.conf
KEY_CHANNELUP /etc/lirc/lircd.conf
KEY_CHANNELUP /etc/lirc/lircd.conf
KEY_NUMERIC_2 /etc/lirc/lircd.conf
Wenn die Kommandos Ihrer Fernbedienung richtig erkannt werden, können Sie im nächsten Schritt mit einzelnen Tasten Aktionen verknüpfen. Diese können Sie in der Datei /etc/lirc/lircrc konfigurieren. [»] Die in meinem Beispiel verwendeten Tasten und Aktionen sind willkürlich gewählt. Der Eintrag button in der Datei /etc/lirc/lircrc bestimmt eine Taste, die Sie zuvor mit dem Kommando irw identifiziert haben. Der Eintrag config ist das Kommando, das bei Tastendruck ausgeführt werden soll. ## irexec
begin
prog = button config repeat end
begin
prog = button config repeat end
begin
prog = button config repeat end
begin
prog = button config repeat end
begin
prog = button config repeat end
begin
irexec
= KEY_PREVIOUS
= /usr/bin/mpc volume -2
= 0
irexec
= KEY_FORWARD
= /usr/bin/mpc volume +2
= 0
irexec
= KEY_CHANNELUP
= /usr/bin/mpc stop
= 0
irexec
= KEY_CHANNELDOWN
= /usr/bin/mpc play
= 0
irexec
= KEY_NUMERIC_1
= /usr/bin/mpc play 1
= 0
prog = button config repeat end
begin
prog = button config repeat end
irexec
= KEY_NUMERIC_2
= /usr/bin/mpc play 2
= 0
irexec
= KEY_NUMERIC_3
= /usr/bin/mpc play 3
= 0
Listing 55.9 gpListing
55.3.4 Das Radio als Wecker nutzen Die Weckzeiten sollen in diesem Beispiel über einen GoogleKalender gepflegt werden können. In den Ferien soll nicht geweckt werden. Die logische Verknüpfung übernimmt die Hausautomation (siehe Kapitel 50, »FHEM-Steuerzentrale«). Für die Ferienzeiten brauchen Sie einen Internetkalender im iCalendar-Format, wie Sie ihn z. B. unter https://calovo.de finden. Die URL übernehmen Sie in die Definition Ihres Kalenders, die Sie bevorzugt über die Eingabezeile der Weboberfläche von FHEM oder alternativ über Edit files • fhem.cfg übernehmen. Der Wert 86400 am Ende ist der Zeitraum in Sekunden, nach dem FHEM den Kalender aktualisiert. define Ferien_NRW Calendar ical url https://calendar.google.com/calendar/ical
/u5pdgv2fih5utqhlnps9ag96jqemk3ru%40import.calendar.google.com
/public/basic.ics 86400
attr Ferien_NRW room Kalender
Listing 55.10 gpListing
Sobald ein Termin in diesem Kalender beginnt (Ferienanfang) oder endet (Ferienende), wird der Zustand des Dummys angepasst. define Schulferien dummy
attr Schulferien room Kalender
attr Schulferien webCmd ja:nein
define Ferienanfang notify Ferien_NRW:start:.* set Schulferien ja
define Ferienende notify Ferien_NRW:end:.* set Schulferien nein
Listing 55.11 gpListing
Für sonstige Schaltzeiten legen Sie den Google-Kalender Schaltzeiten an. In den Kalenderdetails finden Sie die Privatadresse dieses Kalenders, die Sie in die Konfiguration übernehmen. define Schaltzeiten Calendar ical url 1800
attr Schaltzeiten room Kalender
Zwecks besserer Übersichtlichkeit können Sie sich die nächsten Termine in der Webübersicht von FHEM anzeigen lassen. define SchaltzeitenWeblink weblink
htmlCode CalendarAsHtml("Schaltzeiten","next 3")
attr SchaltzeitenWeblink room Kalender
Listing 55.12 gpListing
Sobald ein Termin in diesem Kalender beginnt, soll FHEM den Schaltbefehl on an den Aktor senden, dessen Name im Betreff des Termins genannt ist. Sobald dieser Termin endet, wird ein off an diesen Aktor gesendet. define dummy_an notify Schaltzeiten:start:.* my $reading = "$EVTPART0" ;;
my $uid = "$EVTPART1" ;;
my $actor = fhem('get Schaltzeiten events
filter:uid=="'.$uid.'" format:custom="$S" limit:count=1') ;;
if(defined $actor) fhem(ßet $actor on")
define dummy_aus notify Schaltzeiten:end:.* my $reading = "$EVTPART0" ;;
my $uid = "$EVTPART1" ;;
my $actor = fhem('get Schaltzeiten events
filter:uid=="'.$uid.'" format:custom="$S" limit:count=1') ;;
if(defined $actor) fhem(ßet $actor off")
Listing 55.13 gpListing
Für den Radiowecker kann der Zustand nun ebenfalls in einem Dummy festgehalten werden. Termine im Google-Kalender mit dem Namen Wecken steuern den Zustand. define Wecken dummy
attr Wecken eventMap on:ja off:nein
attr Wecken room Julia
attr Wecken webCmd ja:nein
Listing 55.14 gpListing
Mehr Informationen zum Modul Calendar finden Sie auf der Seite https://wiki.fhem.de/wiki/Calendar im FHEM-Wiki. FHEM bietet das Modul MPD (https://wiki.fhem.de/wiki/MPD) für die Anbindung des Music Player Daemon an. Um es benutzen zu können, installieren Sie zunächst die benötigte Software auf dem Hausautomationsserver: $ sudo apt-get install libjson-perl libxml-simple-perl
Die Konfiguration erfolgt bevorzugt in der Eingabezeile von FHEM. Die Attribute des Radios können Sie problemlos in der Weboberfläche von FHEM hinzufügen. Das Editieren der Konfigurationsdatei über Edit files • fhem.cfg funktioniert ebenfalls, ist allerdings anfälliger für Tippfehler. Fügen Sie die IP-Adresse Ihres Internetradios ein. define Radio MPD
attr Radio devStateIcon play:rc_PLAY:stop stop:rc_STOP:play
attr Radio icon it_radio
Abbildung 55.4 Das Ansteuern des Radios aus FHEM testen Sie mit der Weboberfläche.
Sie können den MPD nun aus der FHEM-Weboberfläche steuern (siehe Abbildung 55.4). Jetzt verknüpfen Sie den KalenderDummy mit dem Radiowecker, damit der Radiowecker von den Terminen im Google-Kalender gesteuert werden kann. In diesem Beispiel verwende ich das Modul DOIF (https://wiki.fhem.de/wiki/DOIF). define Klingeln
DOIF ([Wecken] eq "ja") and ([Schulferien] eq "nein") ( set Radio play )
DOELSEIF ([Wecken] eq "nein") ( set Radio stop )
Listing 55.15 gpListing
55.3.5 Alternative Fernbedienungen Der Music Player Daemon lässt sich auch ohne eine klassische Infrarot-Fernbedienung steuern. In der Grundkonfiguration lauscht der Music Player Daemon an allen Netzwerkanschlüssen auf TCPPort 6600 (siehe Kapitel 17, »Transmission Control Protocol«).
Abbildung 55.5 Die App MPDroid läuft unter Android.
[»] Sie finden Apps zur Steuerung des Music Player Daemon für alle gängigen mobilen Endgeräte. Diese Apps geben volle Kontrolle über fast sämtliche Funktionen des MPD (siehe Abbildung 55.5).
55.4 Raspberry NAS Es wäre möglich, alle wichtigen Daten an jedem PC im Netzwerk einzeln zu spiegeln und so die Datensicherheit zu erhöhen. Viel sinnvoller ist es unter Umständen aber, diese Aufgabe an einen zentralen Netzwerkspeicher zu delegieren. NAS steht für Network Attached Storage (dt. netzwerkbasierter Speicher). Sie können auf einem Server gleichzeitig verschiedenste Dienste in Ihrem Netzwerk anbieten. Der Nutzen wird durch die Dateiserverdienste erreicht, so z. B. CIFS/Samba (Windows-Dateifreigabe), FTP (File Transfer Protocol), NFS (Network File Service) oder iSCSI (internet Small Computer System Interface), ein über IP getunneltes StorageProtokoll. [»] Ihre Daten sind auf einem NAS zu Hause grundsätzlich gut aufgehoben. Aber haben Sie sich schon einmal Gedanken darüber gemacht, dass Sie im Falle eines Brandes oder Wasserschadens Ihre gesamten digitalen Familienalben verlieren könnten? Ich möchte Ihnen zeigen, wie Sie sich mit einem Raspberry Pi und ein paar alten SATA-Festplatten ein Backup-NAS aufbauen, das Sie für dezentrale Backups über das Internet verwenden können. Die Ansteuerung soll über die Hausautomation mit FHEM (siehe Kapitel 50, »FHEM-Steuerzentrale«) erfolgen. Mit wenig Geld und Aufwand bauen Sie sich Ihre eigene und kostengünstige private Backup-Cloud (siehe Abschnitt 45.6, »Cloud-Backup«). Die zu erwartende Performance ist nicht berauschend, was für ein reines Backupziel jedoch nicht entscheidend ins Gewicht fällt. Am besten lernen Sie ein NAS kennen, indem Sie selbst eines aufbauen. Auf den folgenden Seiten beschreibe ich die Verwendung eines Raspberry Pi als Backup-NAS.
55.4.1 Hardware Der Einkaufszettel für das Beispielprojekt ist überschaubar: ein Raspberry Pi gebrauchte SATA-Festplatten oder USB-Speichermedien SATA-USB-Adapter mit externer Stromversorgung ein kleines Festplatten-Rack aus Holz oder Plastik eine von FHEM (siehe Kapitel 49, »Hausautomation«) schaltbare Steckdose eine Steckdosenleiste Im Beispiel nutze ich ein Site-to-Site-VPN mit zwei FRITZ!Boxen (siehe Kapitel 37, »Virtual Private Network«) für das sichere Backup über das Internet.
55.4.2 Installation Das aktuelle Image von Raspberry Pi OS schreiben Sie auf Ihre SDKarte (siehe Abschnitt 54.6, »Eine bootfähige SD-Karte erstellen«). Anschließend nehmen Sie die grundlegende Konfiguration vor (siehe Abschnitt 54.7, »Erste Schritte mit Raspberry Pi OS«). Für die Verwaltung des Redundant Array of Independent Disks (RAID; siehe Kapitel 40, »Netzwerkspeicher«) benötigen Sie die geeignete Software. pi@raspberrypi ~ $ sudo apt-get install mdadm
55.4.3 Speicherplatzverwaltung
[!] Sie müssen mit Hilfe des Kommandos sudo fdisk -l zunächst die richtigen Speichermedien identifizieren, um nicht ungewollt Daten zu überschreiben. [»] In diesem Beispiel möchte ich demonstrieren, wie Sie einen RAID-Verbund aus den beiden USB-Festplatten sda und sdb einrichten können. Die folgenden Schritte müssen Sie für die zweite Festplatte wiederholen. Das Kommando sudo fdisk -l öffnet einen Dialog, in dem Sie mit p die aktuelle Partitionstabelle auflisten. Mit d löschen Sie nacheinander alle Partitionen, bevor Sie über n und p eine neue primäre Partition anlegen können. Die weiteren Eingaben bestätigen Sie mit (¢). Mit w speichern Sie die neue Partitionstabelle. Anschließend bilden Sie aus den beiden neu erstellten Partitionen /dev/sda1 und /dev/sdb1 ein RAID. $ sudo mdadm --create /dev/md/raid1 --level=1
--raid-devices=2 /dev/sda1 /dev/sdb1
Mit Hilfe des Kommandos cat /proc/mdstat sehen Sie den Fortschritt des Synchronisationsprozesses. Damit Ihr RAID beim Neustart des Systems automatisch mit initiiert wird, müssen Sie die Datei /etc/mdadm/mdadm.conf modifizieren: $ sudo /usr/share/mdadm/mkconf > /etc/mdadm/mdadm.conf
Nun können Sie ein Dateisystem auf Ihr RAID legen und ein Verzeichnis als Mountpoint erstellen, wo dieses Dateisystem angehängt werden soll: $ $ $ $ $
sudo sudo sudo sudo sudo
mkfs.ext4 /dev/md/raid1
mkdir -p /mnt/raid1
mount /dev/md/raid1 /mnt/raid1
mkdir /mnt/raid1/backupdir
chmod 777 /mnt/raid1/backupdir
Mit einem Eintrag in der Datei /etc/fstab sorgen Sie dafür, dass das Verzeichnis beim Systemstart eingehängt wird: /dev/md/raid1
/mnt/raid1
ext4
defaults
0
2
55.4.4 Netzwerkfreigaben [»] In diesem Beispiel soll das NAS lediglich für Backups mit dem Netzwerkprotokoll rsync (siehe Abschnitt 31.1.2, »Linux rsync«) verwendet werden. Auf die Eingabe eines Passwortes muss für die Automatisierung des Backups verzichtet werden (siehe Abschnitt 32.2.2, »Passphrasegeschützte Verbindung mit Clientschlüssel«), was innerhalb des VPN verantwortbar scheint. Um das Backup starten zu können, benötigt der Systembenutzer, unter dem FHEM auf dem FHEM-Server abläuft, zusätzlich passwortlosen Zugriff auf das Raspberry NAS. pi@fhem ~ $ sudo bash
root@fhem:/home/pi# su - fhem
fhem@fhem: $ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/opt/fhem/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /opt/fhem/.ssh/id_rsa. Your public key has been saved in /opt/fhem/.ssh/id_rsa.pub.
Für die leichtere Einrichtung von z. B. Samba-Freigaben (siehe Abschnitt 43.7, »Samba als Fileserver«) können Sie zusätzlich grafische Administrationstools wie den Webmin (siehe Abschnitt 43.5, »Webmin«) installieren.
55.4.5 Backupsteuerung mit FHEM
[»] Der Raspberry Pi wird in diesem Beispiel mit einer schaltbaren Steckdose der Firma AVM (siehe Abschnitt 50.7.2, »FRITZ!DECTSteckdosen«) angeschaltet und ausgeschaltet. Die Backups sollen täglich inkrementell (siehe Abschnitt 45.1.1, »Backup«) abgelegt werden. Dazu dient das Skript rsync_nas.sh auf dem FHEM-Server, das Sie mit dem Kommando chmod o +rx rsync_nas.sh für den Benutzer fhem ausführbar machen. HEUTE=$(date -I)
perl /opt/fhem/fhem.pl 7072 "set FBDECT_nas on"
sleep 600
ssh pi@ leitet die Ausgabe eines Befehls in eine Datei um. Sollte die
Datei existieren, wird der Inhalt überschrieben. Die ShellOption noclobber kann dies verhindern.
>> leitet die Ausgabe eines Befehls in eine Datei um. Die Ausgabe
wird angehängt, gegebenenfalls wird die Datei angelegt.
< liest den Inhalt einer Datei und verwendet ihn als Eingabe für
ein Kommando.
2> leitet die Fehlerausgabe des Kommandos in eine Datei um. >/dev/null 2>&1 leitet zunächst die Standardausgabe ins
Siliziumnirwana /dev/null. Zusätzlich wird der Dateideskriptor 2 (stderr) auf den Dateideskriptor 1 (stdout) umgelenkt. Damit landen auch alle Fehlermeldungen im Datenmülleimer /dev/null.
Es gibt darüber hinaus weitere unzählige interessante Grundlagen; ich kann Ihnen leider nur wenige vorstellen: (Strg) + (C) ist die Tastenkombination, mit der man die meisten
Befehle beenden kann. Sollte das in Ihrer Shell nicht bereits so vereinbart sein, können Sie die Tastenkombination mit dem Kommando stty intr (Strg) + (C) + (¢) definieren.
Wenn Sie einen Befehlsaufruf mit einem & (Kaufmanns-Und) zum Abschluss ergänzen, wird der Befehl im Hintergrund ausgeführt, und Sie können auf der Shell weiterarbeiten. Das Kommando jobs zeigt den aktuellen Status der Hintergrundprozesse.
A.2 Grundbefehle Kommandos unter Linux haben häufig Optionen, die mit einem Minuszeichen eingeleitet werden.
Bewegen im Dateisystem ls ls listet (fast) alle Dateien und Verzeichnisse des aktuellen
Verzeichnisses auf. Dabei kann man von der Anzeige her Dateien und Verzeichnisse nicht unterscheiden. Der Befehl ist vergleichbar mit dem dir-Befehl unter DOS bzw. auf der Windows-Konsole. ls -l listet (fast) alle Dateien und Verzeichnisse auf und gibt
weitere Informationen zu jeder Datei aus, z. B.: drwxr-xr-x 7 root root 1024 Mar 29 2003 var Verzeichnisse sind unter Linux nichts anderes als Dateien. Daher gelten die gleichen Regeln auch für sie. In der ersten Spalte stehen die Rechte; dabei gibt das d an, dass es sich um ein Verzeichnis handelt. rwxr-xr-x steht für die Rechte lesen (r), schreiben (w) und ausführen (x). Es gibt drei Klassen von Benutzern: den Eigentümer, eine Gruppe und alle anderen. Entsprechend bedeuten die Rechte in diesem Fall Folgendes: Der Besitzer root darf rwx (alles), die Mitglieder der Gruppe root dürfen r-x (lesen und ausführen, nicht ändern oder löschen!), ebenso wie alle anderen Benutzer. ls -a listet alle Dateien, auch die versteckten, auf. Versteckte
Dateien sind solche, die mit einem Punkt im Dateinamen
beginnen. ls -al listet alle Dateien in der Detailansicht auf, da Optionen
kombiniert werden können.
ls -l c? zeigt alle Dateien und den Inhalt aller Verzeichnisse an,
deren Name aus zwei Zeichen besteht und mit dem Buchstaben c beginnt. ls -l c* zeigt den Inhalt aller Verzeichnisse und alle Dateien an,
deren Dateiname mit c beginnt. cd
Der Befehl cd ist sicherlich einigen schon von DOS bzw. Windows her bekannt. Sie wechseln damit das Verzeichnis. cd /boot wechselt absolut in das Verzeichnis /boot, das sich direkt
unter dem Verzeichnis / – dem RootVerzeichnis (dt. Wurzelverzeichnis) – befindet, unabhängig von Ihrem Standpunkt innerhalb der Dateistruktur. Solche Angaben werden deshalb absolute Pfadangaben genannt. cd boot wechselt auch in das Verzeichnis boot, allerdings relativ
zum aktuellen Standort. Wenn ich also ein Verzeichnis /tmp/boot habe, unter /tmp stehe und dort cd boot eingebe, dann lande ich in /tmp/boot und nicht in /boot. Dies wird daher auch relative Pfadangabe genannt. cd .. wechselt in das nächsthöhere Verzeichnis. Dabei können die
Punktangaben auch mit Verzeichnisangaben kombiniert werden: cd ../test wechselt relativ in das Verzeichnis test, das sich auf der gleichen Ebene wie das aktuelle Verzeichnis befindet.
cd ∼ wechselt in Ihr Heimatverzeichnis bzw. das des Benutzers, als
der Sie angemeldet sind: für den Benutzer root in /root und für
andere Benutzer in /home/. Das Kommando cd ohne Optionen hat in den meisten Shells den gleichen Effekt. mkdir
Der Name lässt es erahnen: Mit diesem Befehl wird ein Verzeichnis erzeugt. mkdir test legt in dem Verzeichnis, in dem Sie sich befinden, ein
neues Unterverzeichnis test an.
mkdir -p /test2/hallo legt das Verzeichnis /test2/hallo an. Sollte
das Verzeichnis /test2 noch nicht existieren, wird es gleich mit angelegt. cp
Dieses Kommando kopiert Dateien. cp test.txt kiki.txt kopiert die Datei test.txt in die Datei kiki.txt. cp -r /tmp/* /bin kopiert alle Dateien und Verzeichnisse
unterhalb von /tmp nach /bin.
cp /var/log/messages . kopiert die Datei /var/log/messages in das
aktuelle Verzeichnis, das durch den Punkt repräsentiert wird.
cp /var/log/messages .. kopiert die Datei /var/log/messages in
das übergeordnete Verzeichnis. mv
Der Befehl mv verschiebt Dateien. Die Dateien werden also am alten Ablageort gelöscht. Es gilt die gleiche Syntax wie bei cp.
rm
Das Kommando rm löscht Dateien und Verzeichnisse. Dabei bedeutet Löschen, dass die Dateien nicht mehr vorhanden sind. Sie werden nicht in einem Papierkorb aufbewahrt! rm test.txt löscht die Datei test.txt. rm -r /tmp löscht das Verzeichnis /tmp inklusive aller enthaltenen
Dateien und Verzeichnisse ohne Nachfrage und unwiederbringlich.
rm -r * löscht alle Dateien. Damit hätten Sie den Ast, auf dem Sie
sitzen, abgesägt, zumindest, wenn Sie als Benutzer root diesen Befehl im falschen Verzeichnis absetzen, denn auch alle Programme werden gelöscht.
[+] Auf einigen Systemen ist das Kommando rm durch einen Alias abgesichert. Jedes Mal, wenn Sie den Befehl rm eintippen, ersetzt die Shell den Befehl automatisch durch den Befehl rm -i. Diese interaktive Variante fragt jedes Mal nach, bevor sie eine Datei löscht. Wenn Sie dieses Verhalten abstellen möchten, können Sie entweder die Option -f (engl. »force«) verwenden oder den Alias mit dem Kommando unalias rm auflösen. chmod
Das Programm ändert die Benutzerrechte an Verzeichnissen und Dateien. Dabei gehe ich bei meiner Beschreibung davon aus, dass Sie als root, also als Administrator, arbeiten. Als solcher dürfen Sie alles machen, wofür Sie sich nicht selbst die Rechte entzogen haben. Wären Sie als normaler Benutzer angemeldet, könnten Sie nur die Rechte der Dateien verändern, die Ihnen gehören. Die Rechte werden über Zahlenwerte ausgedrückt:
4 = lesen 2 = schreiben 1 = ausführen
Die Zahlen kann man addieren und dann dem Kommando übergeben. Die 6 bedeutet lesen und schreiben (4 + 2), die 7 bedeutet lesen, schreiben und ausführen (4 + 2 + 1), und die 5 lesen und ausführen (4 + 1). chmod 666 test.txt ändert die Rechte der Datei test.txt so, dass alle
Benutzerklassen (Besitzer, Gruppe und der Rest der Welt) lesen und schreiben dürfen. chmod -R 666 /tmp setzt für das Verzeichnis /tmp und alle darin
befindlichen Dateien und Unterverzeichnisse die Rechte auf Lesen und Schreiben für alle Benutzerklassen.
chmod 744 test.sh macht die Datei test.sh für den Eigentümer
ausführbar. Alle anderen Benutzer dürfen lesend darauf zugreifen. pwd
Der Befehl pwd gibt den Standort im Verzeichnisbaum an (»print working directory«), liefert also die Information darüber, in welchem Verzeichnis Sie sich gerade befinden. chown
Das Kommando ändert die Eigentümerschaft einer Datei bzw. eines Verzeichnisses. chown ens:ensusers test.txt Die Datei test.txt wird Eigentum des
Benutzers ens und der Gruppe ensusers.
chown -R ens:ensusers /bsp ändert rekursiv den Besitz des
Verzeichnisses /bsp und aller darunter liegenden Dateien und Verzeichnisse. Alle Dateien und Verzeichnisse gehören von nun an dem Besitzer ens und der Gruppe ensusers. find
Das Kommando find hilft bei der Suche nach Dateien, die irgendwo im Verzeichnisbaum liegen. Dabei können verschiedene Auswahlkriterien berücksichtigt werden. find ohne Optionen liefert eine Liste aller Dateien im aktuellen
Verzeichnis und in allen Unterverzeichnissen.
find . -name mar* findet alle Dateien im aktuellen Verzeichnis und
dessen Unterverzeichnissen, die mit mar beginnen. Das JokerZeichen (die Wildcard) * ist mit einem maskiert.
find /home -group users findet alle Dateien und Verzeichnisse, die
unterhalb des Verzeichnisses /home liegen und der Gruppe users gehören.
Datenstrom cat
Der Befehl gibt Textdateien aus. cat test.txt gibt die Datei test.txt auf dem Bildschirm aus. cat test.txt | less gibt die Datei test.txt bildschirmweise aus. Um
die nächste Bildschirmseite zu sehen, müssen Sie eine Taste drücken. Die Ausgabe von cat wird an das Programm less übergeben, das die Ausgabe seitenweise vornimmt.
cat /proc/interrupts listet die IRQs auf.
echo
Mit echo geben Sie Texte oder Variablen aus. echo $HOME gibt den Inhalt der Variablen mit dem Namen HOME
aus.
echo "Hallo Welt" schreibt Hallo Welt auf den Bildschirm. echo "Hallo Welt" >test.txt schreibt Hallo Welt in die
Datei test.txt. Sie können dies mit cat test.txt überprüfen und ausgeben lassen. grep
Der Befehl filtert Textausgaben beziehungsweise durchsucht Textdateien nach Zeichenketten. cat /var/log/messages | grep ERROR >/var/log/error.log gibt die
Ausgabe der Datei /var/log/messages an den Befehl grep weiter. Dieser Befehl filtert alle Zeilen heraus, die das Wort ERROR enthalten, und schreibt die Ausgabe in eine Datei /var/log/error.log. grep ERROR /var/log/error.log macht das
Gleiche wie der obige Befehl.
grep -v ERROR /var/log/error.log schreibt
alle diejenigen Zeichen in die Datei, die das Wort ERROR nicht enthält. date
Das Kommando gibt das aktuelle Datum mit Uhrzeit aus. date +%Y-%m-%d gibt z. B. 2018-10-06 aus, also im Format: jjjj-mm-tt.
Prozesse und Dateisystem ps
Der Befehl gibt die Prozessliste aus. ps gibt eine Tabelle aus. In der ersten Spalte steht die
Prozessnummer. Diese ist wichtig, wenn man den Prozess beenden möchte. ps -ef gibt eine Prozesstabelle mit den Prozessen aller
Benutzer (engl. everybody) in einer umfassenden (engl. full) Liste aus. top
Dieses Tool schreibt ähnlich wie der Windows-Taskmanager eine Prozessliste mit den Prozessen und ihrer jeweiligen CPU-Nutzung auf die Standardausgabe. Diese Liste wird in einem selbst definierbaren Intervall aktualisiert (Voreinstellung ist 1 Sekunde). kill
Beendet Prozesse anhand ihrer Prozessnummer. kill 243 versucht, den Prozess 243 sauber (mit dem Signal 15) zu
beenden.
kill -9 243 beendet den Prozess 243 unabhängig davon, ob dieser
das möchte oder nicht.
kill -l liefert eine Liste aller möglichen Signale. killall netscape beendet alle Prozesse mit dem Namen netscape.
df und du df (»disk free«) gibt an, wie viel Platz noch auf den Laufwerken
frei ist. Die Option -H sorgt für mehr Übersichtlichkeit.
du (»disk usage«) listet auf, welches Verzeichnis wie viel Platz
belegt.
mount und umount
Der Befehl mount bindet Laufwerke in das Dateisystem ein, umount hängt sie wieder aus. mount listet alle gemounteten Laufwerke auf. Das sind alle
Laufwerke, auf die man zugreifen kann.
mount -t iso9660 /dev/cdrom /mnt macht den Inhalt der
eingelegten optischen Disk unter /mnt verfügbar.
mount -t ntfs /dev/hda4 /mnt bindet eine NTFS-Partition ein und
macht ihren Inhalt unter /mnt verfügbar.
umount /mnt löst die Verbindung, die man unter /mnt hergestellt
hatte. Dies ist wichtig, um z. B. das CD-Laufwerk wieder öffnen zu können oder damit Daten auf den gemounteten Datenträger zurückgeschrieben werden. hdparm
Dieses Kommando ist sehr mächtig. Verwenden Sie es nur, wenn Sie verstehen, was Sie tun. Sie können mit ihm
Festplatteneinstellungen (DMA-Modus und Ähnliches) vornehmen. hdparm /dev/hda gibt die Einstellungen für die Festplatte aus. hdparm -help gibt weitere Informationen aus.
halt, reboot und shutdown halt fährt den PC herunter. reboot startet den PC neu. shutdown -h now fährt den PC herunter. Wenn Sie die Option now
weglassen, fährt Ihr PC zeitverzögert herunter. Dies geschieht dann möglicherweise für Sie unerwartet.
Netzwerkbefehle ping
Überprüft die Erreichbarkeit von Rechnern auf der IP-Ebene. Weitere Ausführungen zu ping unter Linux finden Sie in Abschnitt 29.5, »Linux-Bordmittel«. ping 192.168.4.2 sendet unablässig ICMP-Pakete an die IP-
Adresse 192.168.4.2 und zeigt, falls erfolgreich, die Antwortzeiten an. ping Eins löst zunächst den PC-Namen Eins in die IP-
Adresse 192.168.4.2 auf, so dass Sie bei Erfolg wissen, dass die Namensauflösung in Ihrem Netz funktioniert. ping -c 5 192.168.4.2 sendet fünf ICMP-Pakete zum
Rechner 192.168.4.2.
ifconfig
Ein wichtiges Kommando, wenn der Router fli4l nicht wie gewünscht funktioniert. Sie lassen sich damit die Konfiguration von Netzwerkschnittstellen anzeigen. In aktuellen Linux-Distributionen ersetzt der Befehl ip das Kommando ifconfig. ifconfig gibt die Konfiguration aller Schnittstellen aus. ifconfig eth0 gibt die Konfiguration von eth0, der ersten
Netzwerkkarte, aus.
ifconfig eth0 192.168.1.1 up aktiviert die
Netzwerkschnittstelle eth0 mit der IP-Adresse 192.168.1.1. route
Mit diesem Kommando sehen und setzen Sie Routingeinträge. In aktuellen Linux-Distributionen ersetzt der Befehl ip das Kommando route. route gibt die aktuelle Routingtabelle aus. Mit der Option -6 wird
explizit das IPv6-Routing angesprochen.
route add -net 0.0.0.0 gw 192.168.1.1 konfiguriert das
Defaultrouting auf das Gateway 192.168.1.1. arp
ARP ist das Address Resolution Protocol. Es löst IP-Adressen in MACAdressen auf. Die aktuell bekannten MAC-zu-IP-Beziehungen können Sie ausgeben lassen: arp -a listet die ARP-Tabelle auf.
In aktuellen Linux-Distributionen ersetzt der Befehl ip das Kommando arp. ip
Der Befehl ip löst die betagten Kommandos ifconfig, route und arp ab. ip addr show eth0 zeigt die Konfiguration der
Netzwerkschnittstelle eth0.
ip addr add 10.10.10.10/32 dev eth0 fügt der
Netzwerkschnittstelle eth0 die IP-Adresse 10.10.10.10 mit der Netzwerkmaske 255.255.255.0 hinzu. Mit dem Argument del anstelle von add wird diese Adresse wieder gelöscht. ip link set eth0 up aktiviert die Netzwerkschnittstelle eth0. Mit
dem Argument down anstelle von up wird diese Schnittstelle wieder deaktiviert.
ip route gibt die aktuelle Routingtabelle aus. Mit der Option -6
wird explizit das IPv6-Routing angesprochen.
ip route add default via 192.168.1.1 dev eth0 legt einen
Standardroutingeintrag für die Netzwerkschnittstelle eth0 über den Router 192.168.1.1 an. ip rule show zeigt die Regeln der Routing Policy Database (RPDB)
an. Diese Datenbank enthält die Algorithmen zur Auswahl des richtigen Routings. Die spezifischen Regeln können weit mehr, als nur die Ziel-IP-Adresse als Grundlage für Entscheidungen nutzen, und ermöglichen daher sogar mehr als nur ein Standardgateway auf einem System. ip neigh show listet die ARP-Tabelle auf.
ip maddress listet lokale Multicast-IP-Adressen auf.
netstat
Der Befehl netstat zeigt die TCP-/UDP-Verbindungen an. Sie können so feststellen, welcher Prozess auf welchem TCP-/UDP-Port arbeitet und in welchem Zustand er ist. netstat -s gibt Statistiken in Bezug auf einige Netzwerkprotokolle
aus.
netstat -an gibt alle Verbindungen aus und zeigt die Ports
numerisch an.
netstat -p gibt die Prozessnummer an, so dass Sie den zu einer
Verbindung gehörigen Prozess identifizieren können.
In aktuellen Linux-Distributionen ersetzt der Befehl ss das Kommando netstat. ss
Die socket statistics lösen das betagte Kommando netstat ab. Um die Umstellung zu erleichtern, übernimmt ss die gängigen Optionen seines Vorgängers. Deutlich effizienter wird das Kommando durch den Einsatz mächtiger Filtermöglichkeiten, die sich miteinander kombinieren lassen. ss -4 und ss -6 filtern auf die IP-Version 4 oder 6. ss -t und ss -u filtern auf TCP bzw. UDP. ss state listening beschränkt die Ausgabe auf Ports, die für
einen Verbindungsaufbau bereit sind.
ss dst 192.168.4.1 filtert Verbindungen zur IP-Adresse 192.168.4.1.
ss dst :443 filtert alle Netzwerkverbindungen zu einem
Zielport 443, in der Regel https. dig
Mit dem domain information groper können Sie Informationen von DNS-Servern abfragen, also z. B. Namen von Hosts in IPAdressen umwandeln und umgekehrt. dig www.google.de AAAA fragt die IPv6-Adresse des
Hosts www.google.de ab. Der Resource Record Typ AAAA steht dabei immer für die IPv6-Adresse (siehe Abschnitt 20.4.1, »Resource Records«). dig www.google.de fragt die IPv4-Adresse ab. Diese wird
standardmäßig abgefragt, wenn kein anderer Resource Record Typ als Argument übermittelt wird. networkctl
Das Kommando networkctl stellt Informationen zu den von systemd verwalteten Netzwerkschnittstellen zur Verfügung. networkctl list stellt einen Überblick über alle
Netzwerkschnittstellen her.
networkctl status gibt nähere Informationen zu konfigurierten
Netzwerkinterfaces aus. resolvectl
Das Kommando resolvectl ermöglicht die Verwaltung der Namensauflösung einer Netzwerkschnittstelle, die vom systemdresolved verwaltet wird.
resolvectl status stellt einen Überblick über alle
Netzwerkschnittstellen her.
resolvectl service ermöglicht ein zielgerichtetes Aufspüren von
Diensten im Netzwerk (siehe Kapitel 22, »Service Discovery«).
A.3 Der Editor vi Wenn Sie regelmäßig unter Linux Dateien verändern, dann benötigen Sie einen Editor. Selbstverständlich können Sie dazu KWrite oder Kate verwenden, doch beide KDE-Programme stehen nur unter der grafischen Benutzeroberfläche, also der Desktopumgebung, zur Verfügung. Sie können zwischen reinen Textkonsolen und einer grafischen Konsole wählen. In der Regel können Sie mit den Tastenkombinationen (Alt) + (F1) bis (Alt) + (F7) zwischen den Konsolen wechseln. Wenn Sie auf einer Textkonsole arbeiten, benötigen Sie einen entsprechenden Texteditor. Es gibt Leute, die dazu vi verwenden, und es gibt andere, die Emacs bevorzugen. Ich benutze vi, weil ich seine Befehle halbwegs beherrsche. [o] Wenn Sie vi fleißig verwenden, werden Sie ihn irgendwann lieben. Wenn es so weit ist, können Sie ihn auch unter Windows verwenden: Sie können gVim von der Internetseite https://www.vim.org herunterladen und finden ihn außerdem im Verzeichnis sonstiges bei den Materialien zum Buch. Ich und auch jeder andere, den ich kenne und der vi zum ersten Mal verwendet hat, hielt ihn anfangs für ein sehr schlechtes Programm. Die Bedienung ist alles andere als intuitiv, man muss sich alle Befehle merken und ständig zwischen dem Eingabe- und dem Kommandomodus wechseln. Was ich anfänglich als schlecht empfunden habe, halte ich inzwischen für ein geniales Programm, das dank Zehnfingersystem sehr bequem und äußerst schnell bedient werden kann.
Arbeiten mit vi Entweder Sie arbeiten am Text, dann erfolgt das im Eingabemodus, in dem Ihnen Befehle nur eingeschränkt zur Verfügung stehen; oder Sie arbeiten im Kommandomodus, dann können Sie keinen Text eingeben. [»] Sie rufen vi mit vi /tmp/test.txt auf, um unter /tmp eine Datei test.txt zu erzeugen. Sie sehen zunächst einen leeren Bildschirm. Wenn Sie ein i tippen, wechseln Sie in den Eingabemodus. Geben Sie nun ein paar Buchstaben ein, z. B. »mein erster Text mit vi«. Um wieder in den Kommandomodus zu wechseln, drücken Sie (Esc). Nur im Kommandomodus können Sie den Text abspeichern. Dazu geben Sie :w, gefolgt von (¢), ein. Wenn Sie vi verlassen wollen, müssen Sie :q, gefolgt von (¢), eingeben. Da Sie ja im Kommandomodus sind, entfällt das vorherige Drücken von (Esc). Befehle im Kommandomodus
Diese Befehle werden immer im Kommandomodus eingegeben: A: Springt an das Ende der Zeile und wechselt dort in den
Eingabemodus.
a: Wechselt hinter der aktuellen Cursor-Position in den
Eingabemodus.
i: Wechselt an der Stelle in den Eingabemodus, an der sich der
Cursor befindet.
o: Wechselt unterhalb der aktuellen Zeile in den Eingabemodus. O: Wechselt oberhalb der aktuellen Zeile in den Eingabemodus.
r: Das Zeichen unter dem Cursor wird verändert. Für dieses eine
Zeichen wechselt vi in den Eingabemodus.
R: Das aktuelle Wort wird von der Cursor-Position bis zum
Wortende editierbar. Der Editor wechselt dazu in den Eingabemodus.
cw: Das aktuelle Wort wird ab der Cursor-Position ausgetauscht.
Der Editor wechselt in den Eingabemodus.
Dateien können gelesen und geschrieben werden. Im Kommandomodus beginnen die Befehle dafür mit einem Doppelpunkt: :w speichert die Datei unter dem vorgegebenen Namen ab. Um
den Text unter einem anderen Dateinamen abzuspeichern, geben Sie :w ein. :q verlässt vi. :wq speichert die Änderungen und beendet den Editor. :x entspricht :wq. :q! verlässt vi, ohne die Änderungen abzuspeichern. :w! hebt den Schreibschutz für eine Datei auf (sofern der
Benutzer überhaupt Schreiberlaubnis für diese besitzt).
:r fügt eine Datei ein. Geben Sie :r ein, um den
Inhalt der Datei einzulesen.
Der Editor vi bietet Ihnen eine Suchfunktion. Wenn Sie sich im Kommandomodus befinden, können Sie mit dem Schrägstrich /, gefolgt von einem Suchbegriff, vorwärts im Dokument suchen. Das Fragezeichen ? sucht rückwärts.
[»] Sie haben die Datei /var/log/messages geöffnet. Diese enthält 10.000 Zeilen, und Sie suchen eine Zeile, in der das Wort 2003-02-23 vorkommt. Dazu geben Sie /2003-02-23 ein. Wenn Sie zum nächsten Treffer springen möchten, geben Sie n ein; mit N kommen Sie zum vorherigen Treffer. Sie können sich mit den Cursor-Tasten bewegen. Wenn Sie die Finger auf der Buchstabentastatur liegen lassen möchten, können Sie sich unter anderem mit den Buchstaben h, j, k, l im Text bewegen: h: Sie bewegen sich ein Zeichen nach links. j: Sie bewegen sich eine Zeile nach oben. Alternativ können Sie
auch eine Zahl vor dem j eingeben. Zum Beispiel bewegt 40j Sie 40 Zeilen nach oben. k: Sie bewegen den Cursor eine Zeile im Text nach unten. l: Sie bewegen den Cursor ein Zeichen nach rechts. 0: Der Cursor wird am Anfang der Zeile positioniert. $: Der Cursor wird am Ende der Zeile positioniert. G: Der Cursor wird in der letzten Zeile des Textes positioniert. Sie
geben 6G ein, und der Cursor springt in die sechste Zeile. Im Kommandomodus können Sie kopieren und löschen:
yy: Die aktuelle Zeile wird in den Puffer gelesen. Sie geben 4yy ein,
und vier Zeilen einschließlich der aktuellen werden in den Puffer gelesen. p: Der Inhalt des Puffers wird eingefügt. dd: Die aktuelle Zeile wird gelöscht und in den Puffer gelegt. Sie
geben 4dd ein, und vier Zeilen einschließlich der aktuellen werden
gelöscht und in den Puffer gelesen. dG: Von der aktuellen Zeile bis zum Ende des Dokuments wird
alles gelöscht und in den Puffer gelegt.
x: Das Zeichen unter dem Cursor wird gelöscht. u: Die letzte Bearbeitung wird rückgängig gemacht.
Bei Linux wird Vim (Vi iMproved) eingesetzt, ein frei verfügbarer Editor. Dieser hat zusätzlichen Komfort, z. B. können Sie auch die Cursor-Tasten zur Navigation verwenden und Syntaxhighlighting – die Hervorhebung von Schlüsselwörtern – nutzen. Suchen und Ersetzen
Sie möchten ein umfangreiches Suchen und Ersetzen durchführen? Mit vi können Sie reguläre Ausdrücke verwenden, um Zeichenketten aufzuspüren und zu ersetzen. Damit haben Sie fast unendliche Möglichkeiten, automatisch Ersetzungen vorzunehmen. Im Kommandomodus wechseln Sie mit dem Doppelpunkt in die untere Zeile. Sie können den Zeilenbereich angeben, in dem das Suchen und Ersetzen vorgenommen werden soll: 0,8 ersetzt nur bis zur achten Zeile. Wenn Sie das Suchen und Ersetzen auf den ganzen Text anwenden möchten, dann geben Sie % ein. [»] Sie möchten in einem Dokument das Wort »Netzwerk« gegen »LAN« austauschen. Dazu tippen Sie folgenden Ausdruck und schließen die Eingabe durch (¢) ab: :%s/Netzwerk/LAN/g
Im ganzen Dokument (%) wird »Netzwerk« gegen »LAN« ausgetauscht, auch wenn der Suchbegriff mehrfach pro Zeile existiert (g).
[»] Sie möchten in allen Zeilen, die mit einer Zahl beginnen und ein »#« enthalten, den Teil einschließlich des Rautezeichens löschen: :%s/^[0-9]*.#//
Natürlich bietet vi noch viel mehr Möglichkeiten, die den Inhalt dieses Buches jedoch sprengen würden. Wenn Sie Interesse an diesem Editor haben, finden Sie im Internet weiterführende Literatur.
A.4 Shell-Skripte Es ist sehr einfach, Programme selbst zu schreiben. Man kann Linux-Befehle miteinander kombiniert in eine Datei schreiben, und schon ist das eigene Programm fertig. Es handelt sich um eine Textdatei, die dann mittels chmod 700 ausführbar gemacht wird. Weil Sie diesen Quellcode nicht in Maschinensprache übersetzen (kompilieren), heißt das Ganze Skript. Dies ist das alte Hallo-Welt-Programmier-Beispiel als Shell-Skript: !#/bin/sh
echo "Hallo Welt"
Damit Sie dieses Beispiel ausprobieren können, müssen Sie zunächst einen Texteditor aufrufen: vi test.sh Sie können jetzt die drei Zeilen abtippen und dann mit der Tastenkombination (Esc) + :qw die Datei speichern und den Editor verlassen. Als zweiten Schritt müssen Sie die Datei ausführbar machen: chmod 700 ./test.sh Der Aufruf von ./test.sh sollte ein Hallo Welt auf den Bildschirm zaubern. Das Beispiel ist natürlich unsinnig, aber man kann in ShellSkripten if-Abfragen durchführen, for- und while-Schleifen einsetzen und vieles mehr. Variablen werden durch VAR=unsinn belegt und mit echo $VAR ausgegeben. Mein Ziel ist es an dieser Stelle nicht, einen Kurs über ShellProgrammierung abzuhalten. Ich wollte Sie nur kurz auf die Möglichkeiten hinweisen. Weitere Informationen finden Sie sehr leicht im Internet. Achten Sie darauf, dass die meisten Dokumente
zum Thema die Bash, also die Standard-Linux-Shell, beschreiben. fli4l verwendet die A-Shell.
B Glossar Sollten Sie im Glossar nicht fündig werden, helfen Ihnen diese Websites bei der Suche
nach Begriffen und Abkürzungen weiter: https://de.wikipedia.org und
https://www.webopedia.com. 1TR6 siehe DSS1 AC-3 das Dolby Digital Mehrkanal-Audiosystem ACL (Access Control List) Zugriffskontrollliste; sie regelt, welche MAC-/IPAdresse Zugriff erhält. Eine ACL wird unter anderem bei Routern eingerichtet. Sie können so z. B. bestimmte PCs anhand ihrer IP-Adresse vom Zugriff auf das Internet ausschließen. Active Directory AD ist die Weiterentwicklung der Windows-Domäne. Insbesondere ist der Vorteil eines einheitlichen AD, dass dort mehr Informationen zu einem Benutzer abgelegt werden können und so eine zentrale Benutzerdatenbank entsteht, auf die viele Anwendungen zugreifen können (Exchange, Rechnungswesen usw.). AD siehe Active Directory ADSL (Asymmetric DSL) Das am weitesten verbreitete DSL-Verfahren; die Datenraten für den Up- und Download sind nicht gleich, sondern unterschiedlich (asymmetrisch). AES (Advanced Encryption Standard) Nachfolger von DES und 3DES (TripleDES); wird zur Verschlüsselung unter anderem bei WPA eingesetzt
AGI (Asterisk Gateway Interface) AGI ist die Möglichkeit, die weitere Verarbeitung des Gesprächs über ein Skript/Programm durchführen zu lassen. ALG (Application Layer Gateway) Erweiterung einer Firewall um die Fähigkeit, Datenpakete der Anwendungsschicht zu verstehen und zu modifizieren AMR-WB (Adaptive Multirate Wideband) Verfahren zur Kodierung von Sprache in HD-Qualität, das sich den Übertragungsbedingungen anpassen kann; wird unter anderem bei UMTS verwendet ANSI (American National Standards Institute) Normungsausschuss in den USA, vergleichbar mit DIN AOSS (AirStation One-Touch Secure System) Die Firma Buffalo bietet ein vereinfachtes Verfahren, die Verschlüsselung für WLAN zwischen Buffalo-Geräten einzurichten. API (Application Programming Interface) eine Schnittstelle eines Softwaresystems für Applikationen APIPA (Automatic Private IP Addressing) Eine IP-Adressen-Konfiguration ohne DHCP; der von der Behörde IANA normierte Adressbereich für diese Funktion ist 169.254.0.1 bis 169.254.255.254/16. Die Funktion wird unter Windows automatisch ausgeführt, wenn kein DHCP-Server gefunden wird und keine manuelle IP-Konfiguration existiert. AppleTalk LAN-Vermittlungsprotokoll von der Firma Apple. Das Protokoll arbeitet auf ISO/OSI-Schicht 3 und wurde von den älteren macOS=Versionen benutzt. Appliance Der englische Begriff appliance bedeutet so viel wie Gerät. Gemeint ist mit dem Begriff ein physikalischer oder virtueller Server, der mit Software (z. B. einer Firewall)
geliefert wird und sofort einsatzbereit ist. APT (Advanced Packaging Tool) die Software-Paketverwaltung von Debian
ASCII (American Standard Code of Information Interchange) Zeichen wie Zahlen und Buchstaben müssen für PCs in Zahlen umgesetzt werden. Diese Aufgabe erfüllt ASCII, indem es 128 Zeichen auf 128 Zahlen kodiert (0 bis 127, 7 Bits). Der erweiterte ASCII-Standard mit 8 Bits bietet 256 Zeichen Platz und enthält außer englischen z. B. auch deutsche Zeichen wie Umlaute. ASIC (Application-Specific Integrated Circuit) Ein Chip, der speziell für eine Funktion gefertigt wird. Er ist eine in Hardware gegossene Funktion. ASICs kommen bei hochwertigen Switches und Layer-3-Switches zum Einsatz. Asterisk Asterisk ist eine Software-PBX. Sie unterstützt mehrere VoIPProtokolle. ASU (Arbitrary Strength Unit) eine vom Funkstandard unabhängige Bewertung der Qualität einer mobilen Datenverbindung ATM (Asynchronous Transfer Mode) Konkurrenztechnik zu Ethernet mit sehr guten QoS-Merkmalen. ATM hat den Nachteil, dass die Geräte sehr teuer sind. Daher wird ATM nur noch im WAN eingesetzt. Authentisierung Überprüfung der Identität einer Person oder eines PCs. Die Überprüfung kann mit einem einfachen Benutzernamen, aber z. B. auch mittels Fingerabdruck durchgeführt werden. Autorisrierung Gewähren von Rechten (z. B. Zugriffsrechten). Wenn Sie eine Datei den anderen Benutzern per Dateifreigabe zur Verfügung stellen, autorisieren Sie diese Benutzer, auf die Datei zuzugreifen. Möglicherweise haben Sie das Recht der anderen beschränkt, so dass diese die Datei z. B. nicht löschen können. Backbone Der Begriff wird nicht eindeutig verwendet. In einem LAN ist ein Backbone die Verbindung der Hauptverteiler. Ein Provider bezeichnet als sein Backbone die Datenverbindungen, die seine wichtigen Zugangsknoten verbinden. Backplane Die »Rückwand« eines Hubs, Switches oder Routers, auf der die Daten transportiert werden. Gemeint ist ein ähnliches Bauteil wie das Motherboard im PC. Sie können sich darunter ein Bussystem vorstellen, auf dem die Daten ausgetauscht werden.
Baud Anzahl der Symbole, die pro Sekunde über eine Schnittstelle ausgetauscht werden, also die Schrittgeschwindigkeit. Die Angabe in Baud wurde für alte Modems verwendet und ist nicht mehr üblich. Heute ist die Angabe in Bits pro Sekunde (Bit/s) gebräuchlich. BD (Blu-ray Disc) optisches Speichermedium und Nachfolger des DVDStandards BDC (Backup Domain Controller) Stellvertreter des PDC; ein BDC ist nicht erforderlich und wird hauptsächlich zur Lastverteilung und zur Gewährleistung der Ausfallsicherheit eingesetzt. BIOS (Basic Input/Output System) Im ROM des Motherboards abgelegtes Programm, das die Hardwareansteuerung durchführt. Bei PCs gelangen Sie üblicherweise an die BIOS-Einstellungen, indem Sie beim Systemstart (F2) oder (Entf) drücken. Bit (Binary Digit) die kleinste Informationseinheit (Ziffer 0 oder 1, Strom an oder aus) Bluetooth Bluetooth ist ein kabelloses Übertragungsverfahren, das mittlerweile mehrere Ziele verfolgt. Einerseits geht es um das PAN (Personal Area Network). Man möchte
z. B. Headsets für Handys kabellos an das Handy anbinden, und zwar mittels Bluetooth. Es gibt Bestrebungen, Bluetooth auch für den drahtlosen Internetzugang zu benutzen, z. B. AVM Blue FRITZ!. BootP (Bootstrap Protocol) der Vorläufer von DHCP; dient auch zur Zuweisung einer IP-Konfiguration, aber nur mit der Zuordnung fester IP-Adressen zu MACAdressen Botnet Eine Gruppe von Bots (dt. Roboter); diese werden von einem zentralen Operator über das Internet überwacht, gesteuert und können so für diverse Zwecke missbraucht werden. BRI (Basic Rate Interface) Bezeichnung für einen ISDN-Anschluss; beispielsweise werden Module, die es einem Router ermöglichen, per ISDN (S0) angebunden zu werden, als BRI-Module bezeichnet.
Bridge Eine Bridge (dt. Brücke) ist ein Gerät, das zwei Netzwerksegmente (zwei Ethernets) verbindet. Stellen Sie sich einen Switch mit nur zwei Anschlüssen vor. Die Switches sind die Nachfolger der Bridges. Broadcast die parallele Kommunikation eines Senders mit allen Empfängern in einem LAN BSS (Basic Service Set) ein im Infrastruktur-Modus aufgebautes WLAN mit WLAN-Clients und einem oder mehreren Access Point(s) Bundesnetzagentur Im Zuge der Liberalisierung des Telekom-Marktes wurde die Regulierungsbehörde für Telekommunikation und Post (RegTP) geschaffen, die verschiedentlich auch im Netzwerkbereich (WLAN) Zuständigkeiten hat. Nach der Erweiterung der Aufgaben um den Strommarkt wurde die RegTP in Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (kurz Bundesnetzagentur, BNetzA) umbenannt. Byte Eine Maßeinheit; 8 Bits ergeben 1 Byte. Cache schneller Zwischenspeicher CA eine Zertifizierungsstelle, die Zertifikate zwecks Zuordnung von öffentlichen Schlüsseln und Anbietern von Inhalten herausgibt CAM (Constant Access Mode) Verfahren im WLAN, bei dem die Clients nicht in den Stromspar-Modus fallen (siehe PAM) Cardbus-Card 32-Bit-PCMCIA-Karte, die ähnlich wie eine PCI-Karte aufgebaut ist. Die Datenrate ist wesentlich höher als bei einer PC-Card. CBR (Constant Bit Rate) immer gleich bleibende Datenrate eines Audio-Codecs CCC (Chaos Computer Club e. V.) ein Verein, der die Kommunikation zwischen Hackerszene und Öffentlichkeit fördert und für Informationsfreiheit eintritt CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) AES-CCMP ist die Verschlüsselungsmethode bei WPA.
CD (Continuous Delivery) die strukturierte Auslieferung von Softwareständen (siehe CI) über einen definierten Weg (siehe CI/CD-Pipeline) CEC (Consumer Electronics Control) CEC ermöglicht die übergreifende Steuerung von Consumergeräten über HDMI. CELP (Code-Excited Linear Prediction) Sprachkodierungsverfahren, das unter anderem bei GSM verwendet wird CERN (Conseil Européen pour la Recherche Nucléaire) Europäische Forschungsgemeinschaft für Teilchenphysik mit Sitz in Genf; als Anwendungen für das CERN selbst wurden dort Webtechnologien wie HTTP und Hyperlinks entwickelt. CERT (Computer Emergency Response Team) Die Hauptaufgabe dieser Expertengruppe ist die Veröffentlichung von Sicherheitsproblemen bei Computern. Auch in Deutschland gibt es nationale CERTs, die beispielsweise Informationen über Viren oder Sicherheitslücken veröffentlichen. CHAP (Challenge Handshake Authentication Protocol) Bei PPP kann eine Autorisierung durchgeführt werden. Eine Methode ist CHAP: Es übermittelt eine Benutzername-Passwort-Kombination, und zwar verschlüsselt. Ein anderes Verfahren ist PAP (Password Authentication Protocol). Normiert ist CHAP im RFC 1994. CI (Continuous Integration) ein Verfahren, das die Qualität fortlaufend integrierten Quellcodes mehrerer Entwickler in ein gemeinsames Softwarerepository sicherstellt CI/CD-Pipeline eine Methodik, die die Erstellung und Auslieferung von Software standardisiert und beschleunigt CIDR (Classless Inter-Domain Routing) eine Technik, die auf IP-Klassen verzichtet und das Routing anhand der Subnetzmaske durchführt CLI (Command Line Interface) Diese Schnittstelle von Netzwerkgeräten oder Programmen ermöglicht die Eingabe von Befehlen auf der Kommandozeile.
CLID (Calling Line Identification) Rufnummernübertragung bei ISDN oder Handy; technisch kann Rufnummernübertragung auch bei analogen Telefonanschlüssen erfolgen. CLIP (Calling Line Identification Presentation) Verfahren zur Rufnummernübertragung bei ISDN oder beim Handy CLIR (Calling Line Identification Restriction) Verfahren zur Rufnummernunterdrückung; der Angerufene sieht die Rufnummer nicht. Cloud Server, Speicher, Laufzeitumgebungen, Entwicklungsumgebungen oder Anwendungen werden abstrahiert und über ein Netzwerk als Service zur Verfügung gestellt. Codec (Coder Decoder) elektronische Verpackung eines Audio- oder Videosignals Container technischer Standard für Software, der die Portierung und Skalierung von Anwendungen erleichtert CPU (Central Processing Unit)
der Prozessor Cracker Ein Hacker, der in Ihrem Netzwerk Schaden verursachen will; oftmals wird zwischen Hackern und Crackern unterschieden. Die erste Sorte ist angeblich nur technisch interessiert und will keinen Schaden verursachen, die zweite Sorte will nur Schaden anrichten. Eine bekannte Hacker"=Vereinigung ist der CCC (Chaos Computer Club e. V.). CRC9 ein Standard für Anschlüsse von Mobilfunkantennen CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) WLANVerfahren zur Kollisionsvermeidung. Eine echte Kollisionserkennung kann nicht stattfinden, weil es nicht wie bei kabelgebundenen LANs zu einer Potentialerhöhung kommt. CSMA/CD (Carrier Sense Multiple Access/Collision Detection) Das Zugriffsverfahren im Ethernet-Standard; jeder Teilnehmer hört die Leitung ab.
Wenn kein anderer sendet, darf jeder Teilnehmer senden (nicht deterministisch). Sollte es zu Kollisionen kommen, müssen sie erkannt werden. In einem vollständig geswitchten Netzwerk findet CSMA/CD auch bei Verwendung von Ethernet faktisch keine Anwendung mehr. CTS (Clear To Send) Gegenstück zu RTS CUL (CC1101 USB Lite) ein USB-Funkmodul für Smart Homes Datagramm Übertragungseinheit im Netzwerk. Datagramme werden in ISO"-/OSI-Schicht 2 als Frame, in Schicht 3 als Paket und auf Schicht 4 als Segment bezeichnet. Datex-P (Data Exchange, paketorientiert) der Name eines alten paketvermittelten Dienstes auf Basis von X.25 DCF (Distributed Coordination Function) Funktion beim WLAN, die es ermöglicht, auf Basis von DIFS einen WLAN-Kanal zu nutzen DDNS (Dynamisches DNS) Ein DNS-Verfahren, das ständig automatisch aktualisiert wird; dabei können die Clients selbst oder der DHCP-Server die notwendigen Informationen liefern. DECT (Digital Enhanced Cordless Telecommunications) Digitales Übertragungsverfahren für schnurlose Telefone (Funktelefone), das von der ETSI entwickelt wurde. Es arbeitet normalerweise in einem Frequenzbereich von 1,88 bis 1,9 GHz und ist daher in den USA nicht zugelassen. Die Datenrate beträgt 24 Kbit/s pro Zeitschlitz. Die Sendeleistung beträgt 250 mW, und daher ist die Reichweite innerhalb von Gebäuden ca. 40 Meter. Es gibt aber DECT@ISM, das im 2,4-GHz-Bereich funkt und eine Datenrate von 1 Mbit/s erreicht. DES (Data Encryption Standard) Ein symmetrischer Verschlüsselungsalgorithmus; er wird manchmal auch als DEA (Data Encryption Algorithm) bezeichnet. DFS (Dynamic Frequency Selection) Abhängig vom Datenverkehr wird der Funkkanal bei IEEE 802.11a gewählt.
DHCP (Dynamic Host Configuration Protocol) ein Verfahren, mit dem insbesondere eine IP-Konfiguration (IP-Adresse, Subnetzmaske usw.) beim Booten und in zeitlichen Intervallen zugewiesen wird Dialer Ein Dialer (dt. Einwahlprogramm) wählt sich ungewollt über das Telefonnetz in ein anderes Netzwerk ein. DIFS (Distributed IFS) siehe IFS DIN (Deutsches Institut für Normung) Die wichtigste nationale Normungsorganisation in der Bundesrepublik Deutschland; in der DIN 476 sind beispielsweise die Größe von DIN-A4-Papier und andere Standardformate festgelegt. Diversity Die sogenannte Antennen"=Diversity nutzt bei zwei Antennen z. B. eines WLAN Access Points die Antenne zum Senden, auf der das Signal des Kommunikationspartners stärker empfangen wird. DMZ (Demilitarized Zone) Vom Internet und vom LAN durch jeweils eine Firewall abgetrennter Bereich; er ist nicht so unsicher wie das Internet, aber nicht so sicher wie das eigene LAN. Üblicherweise befinden sich z. B. Mailserver in der DMZ. DNS (Domain Name Service) Namensauflösung im Internet und auch im LAN; Namen von PCs oder Websites werden mittels DNS in die zugehörigen IPAdressen umgewandelt. DoS (Denial of Service) Hackerangriff, mit dem Ziel, einen Server funktionsuntüchtig zu machen DOS (Disk Operating System) In Form von MS-DOS als altes Betriebssystem bekannt; es gab/gibt aber noch viele weitere DOS-Systeme, z. B. FreeDOS. DPBO (Downstream Power Back-Off) eine Reduktion des DSL-Signals am Outdoor-DSLAM, um das Übersprechen zu reduzieren DPCM (Differential Pulse Code Modulation) Sprachkodierungsverfahren bei Audio-Codecs
DRM (Digital Rights Management) Ermöglicht die Nutzungskontrolle von digitalen Inhalten, z. B. zwecks Abrechnung. DSCP (Differentiated Services Codepoint) Priorisierungsverfahren, das zur Kennzeichnung der gewünschten Übertragungsqualität im IPProtokollkopf 1 Byte benutzt, Nachfolger des ungenaueren ToS (Type of Service) DSL (Digital Subscriber Line) DSL ist eine Technologie, die einen Internetzugang bereitstellt, der über eine hohe Bandbreite verfügt. Mit der Technik DSL wird dabei nur eine kurze Strecke zwischen der Vermittlungsstelle des Providers und der Telefondose des Kunden überbrückt. DSLAM (Digital Subscriber Line Access Multiplexer) das Gegenstück zum DSLModem eines Kunden in einer Ortsvermittlungsstelle, an dem die DSLVerbindungen der Kunden gebündelt werden. DSP (Digital Signal Processor) Mikroprozessoren, die auf Echtzeitanwendung optimiert sind und somit insbesondere für die Modulierung/Kodierung von Sprache geeignet sind DSSS (Direct Sequence Spread Spectrum) das Standard-Modulationsverfahren im WLAN nach IEEE 802.11b DTE (Data Terminal Entry Power via MDI) Stromversorgung für kleine Netzwerkgeräte über das Twisted-Pair-Kabel nach IEEE 802.3af DTIM (Delivery Traffic Indication Map) Wert, der angibt, wie häufig eine TIM in einer Reihe von Beacon-Paketen vorkommt DTMF (Dual-Tone Multi-Frequency) Tastentöne eines Telefons, in Deutschland auch unter dem Begriff MFV (Mehr-Frequenzwahl-Verfahren) bekannt DTS (Digital Theater Systems) ein Mehrkanal-Audiosystem Duplex Gleichzeitiges Senden und Empfangen von Daten; der unsinnige Begriff Halfduplex beschreibt das Gegenteil, nämlich entweder Senden oder Empfangen.
DVD (Digital Versatile Disc) Medium mit 4,7 bis 17 GByte Speicherkapazität; bei Video-DVDs wird der MPEG"=2-Standard zur Komprimierung der Videodaten eingesetzt. EAP (Extensible Authentication Protocol) Ein Authentifizierungsverfahren, das ursprünglich für PPP entwickelt wurde; mittlerweile findet es z. B. bei IEEE 802.1x Verwendung und wird dort als EAPoL (EAP over LAN) bezeichnet. Es ist in RFC 2284 normiert. EEPROM (Electrically Erasable Programmable Read-Only Memory) ein nichtflüchtiger Speicher ohne Versorgungsspannung EFM (Ethernet in the First Mile) Ein IEEE-Standardisierungsvorhaben, das Ethernet für den Internetzugang ermöglichen soll; der Standard wird IEEE 802.3ah heißen. EIA/TIA (Electronic Industries Alliance/Telecommunications Industry Association) Verband der elektronischen Industrie der USA. Er erlässt einige Normierungen, z. B. für die Belegung von Twisted-Pair-Kabeln nach EIA/TIA 568. EIB (Europäischer Installationsbus) ein Standard für Smart Homes, Vorgänger von KNX EIFS (Extended IFS) siehe IFS EIGRP (Enhanced IGRP) verbesserte Version von IGRP EIRP (Equivalent Isotropically Radiated Power) Die EIRP ist ein Vergleichswert. Sie gibt an, mit welcher Leistung man einen idealen Rundstrahler (isotroper Strahler) speisen müsste, damit er dieselbe Feldstärke erzeugt wie die vorliegende Anlage aus Sender, Kabel und Antenne. ENUM (E.164 Number Mapping) Telefonnummern sind hiermit über einen DNS-Server in IP-Adressen auflösbar, so dass eine Festnetzrufnummer für andere Internettelefonanwender kostensparend über das Internet angerufen werden kann.
ESP8266 ein kostengünstiger Mikroprozessor, der häufig als Basis für ein SoC mit WLAN verwendet wird ESSID (Extended Service Set Identifier)
siehe SSID EtherTalk Netzwerkprotokoll der Firma Apple ETSI (European Telecommunications Standards Institute) Diese Behörde normiert Telekommunikationsstandards wie GSM, GRPS und andere für Europa. ETTH (Ethernet To The Home) ein Internetanschluss, der mittels Ethernet realisiert ist Euro-ISDN vereinheitlichtes ISDN EVS (Enhanced Voice Service) Codec für Sprachverbindungen im Mobilfunknetz ExpressCard 32-Bit-PCMCIA-Karte, die ähnlich wie eine PCIe-Karte aufgebaut ist Extranet Zugangsbereich eines Intranets für Partner und Kunden; aus Sicht der Sicherheit nimmt der Zugang für Partner oder Kunden eine Position zwischen internem LAN-Zugang und Internet ein. Das Extranet ist somit vertrauenswürdiger als das Internet, aber weniger vertrauenswürdig als das LAN. Fast Ethernet 100BASE-TX/FX, IEEE 802.3u, Ethernet mit einer Geschwindigkeit von 100 Mbit/s FDDI (Fibre Distributed Data Interface) Ein auf Glasfaserkabeln basierendes Konkurrenzverfahren zu Ethernet; es handelt sich um ein Ringverfahren wie auch Token-Ring, das mit einer Geschwindigkeit von 100 Mbit/s arbeitet und große Entfernungen von mehreren Hundert Kilometern überbrücken kann. FEC (Forward Error Correction) Beim FEC-Korrekturverfahren kodiert der Sender die Daten redundant, so dass der Empfänger Übertragungsfehler korrigieren kann.
FHEM (Freundliche Hausautomatisierung und Energie-Messung) ein integrativer Server für das Smart-Home FHSS (Frequency Hopping Spread Spectrum) Ein Modulationsverfahren im WLAN; dabei wird mehrfach pro Sekunde das Frequenzband gewechselt, um so Störungen auf einzelnen Frequenzen auszuweichen. Fibre Channel Übertragung von Daten (z. B.
zu Festplatten) über große Entfernungen Firewall Filter, der Daten aus dem und in das Internet kontrolliert, bevor er sie passieren lässt FireWire Eine serielle Schnittstelle am PC, ähnlich wie USB; der Standard IEEE 1394 zeichnet sich insbesondere durch hohe Datenraten aus (IEEE 1394a = 400 Mbit/s und IEEE 1394b = 800 Mbit/s). Ursprünglich wurde dieser Bus von der Firma Apple entwickelt, er ist jedoch inzwischen insbesondere für Videoanbindungen an PCs zahlreich verfügbar. FireWire wird auch unter anderen Namen vertrieben. Die Firma Sony benutzt den Begriff i.link und die Firma Texas Instruments Lynx. Firmware ein in elektronischen Geräten eingebettetes Softwareprogramm Flash-Speicher nichtflüchtiger Speicher für digitale Inhalte FME ein Standard für Anschlüsse von Mobilfunkantennen FQDN (Fully Qualified Domain Name) der PC-Name mit Angabe des Domainnamens und der Top-Level-Domain, z. B. asterix.pcnetzwerke.de oder idefix.haus.hier Fragmentierung Fragmentierung ist die Unterteilung eines Datenpakets in mehrere Blöcke. FS20 ein Smart-Home-Standard Frame ein Datagramm in ISO/OSI-Schicht 2
FTP (File Transfer Protocol) Standardanwendung zur Dateiübertragung FTTC (Fibre To The Curb) ein Glasfaseranschluss bis zum Bordstein, gemeint ist:
Glasfaser bis in die Straße FTTH (Fibre To The Home) eine Glasfaserleitung in die Wohnung des Kunden G.711 verbreiteter Codec für VoIP G.722 Codec für HD-Telefonie, verbreitet im Festnetz G.722.2 siehe AMR-WB G.729 Codec für VoIP GAN (Global Area Network) WAN, das sich über die gesamte Welt verteilt, beispielsweise bei einem internationalen Unternehmen Gateway Der Begriff wird nicht einheitlich benutzt. So ist mit Standardgateway unter Windows der Defaultrouter gemeint. In meinem Wortgebrauch ist ein Gateway ein Verbindungsgerät bzw. eine Verbindungsgerät-Software zwischen inkompatiblen Netzwerken, z. B. ein Fax-to-Mail-Gateway. GBIC (Gigabit Interface Converter) Ein Einschubmodul bei Switches, das entweder 1000BASE-SX, -LX oder -T als Gigabit-Variante unterstützt; bei der Anschaffung des Switches ist man somit variabler. Siehe auch SFP. GG-45 Der Nachfolger des RJ-45-Steckers; er kommt ab Kategorie-7-Kabeln als Stecker zum Einsatz. Die Buchse ist abwärtskompatibel mit dem RJ-45-Stecker. GnuPG (GNU Privacy Guard) Freie Software zum Verschlüsseln und Entschlüsseln von Daten sowie zum Erzeugen und Signieren von Schlüsseln; GnuPG ist kompatibel mit PGP (Pretty Good Privacy). GPIO (General Purpose Input/Output) ein für die Eingabe oder Ausgabe elektrischer Signale programmierbarer Kontakt
GPL (GNU General Public License) eine Lizenz, die die Freiheit, die Software zu nutzen, weiterzuentwickeln und weiterzugeben gewährleisten soll GPRS (General Packet Radio Service) Schnellere Datenkommunikation am Handy; GRPS ist die Weiterentwicklung von HSCSD und arbeitet im Gegensatz zu diesem paketvermittelt. GSM (Global System for Mobile Communications) Genormt durch die ETSI; GSM ist ein Standard für Mobiltelefonie (2G). H.262 der Video-Codec für das MPEG-2-Format H.264 der Video-Codec für das MPEG-4-Format H.265 ein Video-Codec für hochauflösende Videos H.323 eine Zusammenfassung verschiedener Protokolle für den Verbindungsaufbau und -abbau von Sprachverbindungen über IP HAAP (Hybrid Access Aggregation Point)
der Endpunkt gebündelter Kanäle des Internetproviders HDLC (High-Level Data Link Control) ein Verfahren von ISO/OSI-Schicht 2, das vor allem bei ISDN eingesetzt wird HDMI (High Definition Multimedia Interface) eine Schnittstelle zur Bild- und Tonübertragung HDTV (High Definition Television) Neuer Fernsehstandard mit wesentlich besserer Auflösung (1.920 × 1.080) als PAL (720 × 576) oder NTSC; HDTV basiert auf NTSC-Technik und arbeitet rein digital. Header Metadaten am Anfang eines Datenblocks HomePlug Marketingbegriff für PLC-Technik innerhalb eines Hauses, beispielsweise dLAN von Devolo; in der HomePlug Powerline Alliance haben sich führende Hersteller dieses Bereichs zusammengeschlossen.
Host Host (dt. Gastgeber) ist die allgemeine Bezeichnung für Netzwerkteilnehmer. Es wird sich normalerweise um einen PC handeln, möglich wäre z. B. auch ein netzwerkfähiger Drucker oder ein DSL-Router. HSCSD (High Speed Circuit Switched Data) Datenübertragungsverfahren für die schnellere Datenkommunikation mit Handys; technisch werden mehrere Kanäle à 14,4 Kbit/s gebündelt. HTML (Hypertext Markup Language) Sprache, die die Struktur und den Inhalt von Webseiten beschreibt HTTP (Hypertext Transfer Protocol) Protokoll zur Übertragung von Internetseiten Hub Der »Dreh- und Angelpunkt« ist auch unter dem Begriff »Sternkoppler« oder »Multiport-Repeater« bekannt. Der Hub ist ein Gerät, das in einem Netzwerk mit Twisted-Pair-Verkabelung alle Teilnehmer miteinander verbindet. Er selbst ist dabei lediglich elektrischer Verstärker und trifft keinerlei Entscheidungen. IANA (Internet Assigned Numbers Authority) Verwaltungsbehörde, legt unter anderem die TCP-/UDP-Nummern (Ports) weltweit eindeutig fest IAPP (Inter Access Point Protocol) Kommunikationsstandard zwischen mehreren WLAN Access Points eines LANs, der z. B. das Roaming zwischen verschiedenen APs ermöglicht; die Normung wird nach IEEE 802.11f erfolgen. IBSS (Independent Basic Service Set) Ein im Ad-hoc-Modus aufgebautes WLAN; dabei funkt eine WLAN-Karte zu einer anderen, und es gibt keinen Access Point. ICE (Interactive Connectivity Establishment) probiert verschiedene Wege aus, um eine Kommunikation zu ermöglichen (STUN, TURN, IPv4, IPv6 …) ICMP (Internet Control Message Protocol)
Kontrollprotokoll auf ISO/OSI-Schicht 3;
z. B. basiert ping auf ICMP-Echo-Request und -Response. IDS (Intrusion Detection System) siehe NIDS
IEEE (Institute of Electrical and Electronics Engineers) US-amerikanischer Verband der Elektronik- und Elektrotechnik-Ingenieure, der Normungen wie IEEE 802.3 durchführt. Der Verband entspricht dem deutschen VDI (Verband Deutscher Ingenieure). IETF (Internet Engineering Task Force) Gremium, das Internetstandards wie HTTP, PPP usw. normiert; Standards werden als RFCs herausgegeben. Sie können unter https://www.rfc-editor.org nach solchen Standards suchen. IFS (Interframe Spacing) Wartezeit beim CSMA/CA-Verfahren von WLANClients. Es gibt DIFS (Distributed Coordination Function Interframe Spacing) als Wartezeit zwischen Datenpaketen und SIFS (Short Interframe Spacing) als Wartezeit zwischen einem Datenpaket und seinem ACK. PIFS (Point Coordination Function Interframe Spacing) ist die Wartezeit eines Point Coordinators, der Zugriffsberechtigungen an WLAN-Clients verteilt. EIFS (Extended Interframe Spacing) bezeichnet die Wartezeit nach einem Frame-Fehler. Im neuen WLANStandard 11n wird zusätzlich RIFS (Reduced IFS) definiert, eine kürzere Zeitspanne als die der SIFS. RIFS wird im Burst-Mode zur Trennung von Daten unterschiedlicher Sendeleistung verwendet. IGMP (Internet Group Management Protocol) Verfahren zur intelligenteren Behandlung von Multicasts; diese werden nicht an allen Anschlüssen wie Broadcasts ausgegeben, sondern nur an Anschlüssen, die sich für einen speziellen Multicast angemeldet haben. IGRP (Interior Gateway Routing Protocol) ein proprietäres Routingverfahren der Firma Cisco IMAP (Internet Message Access Protocol) Ein Protokoll zum Verwalten von EMails; im Gegensatz zu POP3 verbleiben die Mails in der Regel auf dem Server. Implementieren Einen Standard in Software umsetzen; der RFC 2132 wurde z. B. im MS DHCP Server implementiert. Infiniband Infiniband ist ein serielles Bussystem, das zum Anschluss interner und externer Geräte mit hoher Geschwindigkeit verwendet werden kann.
Internet Das allseits bekannte, weltweite Netzwerk; in einigen englischsprachigen Dokumenten ist übrigens mit »internet« generell ein IPbasiertes LAN gemeint. Erst wenn dort »Internet« geschrieben wird, ist das eigentliche Internet gemeint. Intranet Ein der Öffentlichkeit unzugängliches Netz; viele Unternehmen und Behörden betreiben Intranets, in denen unter anderem Neuigkeiten des Unternehmens bzw. der Behörde verbreitet werden und auf die mittels Browser zugegriffen werden kann. IoT (Internet of Things) Das Internet der Dinge bezeichnet die intelligente Vernetzung von Gegenständen. IP (Internet Protocol) Implementierung von ISO/OSI-Schicht 3; mittlerweile ist IP eines der bedeutendsten Protokolle in der Netzwerkwelt. Im Internet wird ausschließlich IP als Protokoll von ISO/OSI-Schicht 3 verwendet. IPP (Internet Printing Protocol) Das Verfahren stellt Druckdienste über ein Netzwerk, z. B. das Internet oder ein lokales Netzwerk, zur Verfügung. IP basiert auf HTTP 1.1 und ist in den RFCs 2910 und 2911 standardisiert. IPsec (Internet Protocol Security) Sichere Form von IP; IP-Daten werden verschlüsselt übertragen, und das Verschlüsselungsverfahren setzt auf Schlüsselaustausch. IRC (Internet Relay Chat) Online-Chat (dt. Plauderei) im Internet; es gibt verschiedene themenbezogene Räume, in denen sich Interessierte austauschen. ISC (Internet Software Consortium) Herstellerfirma des DNS-Servers Bind und des ISC-DHCP-Servers ISDN (Integrated Service Digital Network)
Früher verbreitete Norm für digitale, öffentliche Telefonnetze in Europa; die Gesprächsdaten werden nicht analog, sondern in digitalisierter Form übertragen. Es gibt zwei Anschlussarten, ISDN-BRI (Basic-Rate-Interface) mit zwei B-Kanälen und einem D-Kanal und ISDN-PRI (Primary-Rate-Interface) mit 30 B-Kanälen und einem 64-kByte-Datenkanal. Auf dem D-Kanal erfolgt die Signalisierung, also z. B. die Rufnummernübertragung.
ISM (Industrial Scientific Medical) Der Frequenzbereich von 2,4 GHz ist für allgemeine, genehmigungsfreie Funkanwendungen reserviert. WLAN, Bluetooth und einige andere Techniken (wie Ihre Mikrowelle) nutzen diese Frequenz. ISO (International Organization for Standardization) Die Organisation ist aus über 140 nationalen Standardisierungsgremien zusammengesetzt und veröffentlicht international gültige Standards. ITSP (IP Telephony Service Provider) Bezeichnung für SIP-Provider ITU/ITU-T (International Telecommunication Union/Telecommunication Standardization Sector) die internationale Normungsbehörde für die Telekommunikation IVR (Interactive Voice Response) Sprachmenüs, die mit DTMF-Tönen oder Sprache gesteuert werden können: »Drücken Sie die Eins
für …« IWV (Impulswahlverfahren) Das alte Wahlverfahren bei analogen Telefonen, das verschieden lange Impulse für das Wählen verwendet; das heutige Wahlverfahren ist MFV und arbeitet mit Tastentönen. Jitter die Schwankung der Laufzeit in Millisekunden KNX ein Smart-Home-Standard, Nachfolger von EIB Kollision Kollisionen treten auf, wenn zwei Stationen in einem EthernetSegment gleichzeitig Daten senden. KVM-Switch (Keyboard-Video-Mouse-Switch) Fernadministration eines PCs per KVM bedeutet, dass Tastatur, Maus und Monitor an eine spezielle Box angeschlossen sind. Die Informationen der Anschlüsse können bei manchen Geräten über das LAN übertragen werden. L2TP (Layer 2 Tunneling Protocol) ein Protokoll, das auf ISO/OSI-Schicht 2 VPNTunnel aufbauen kann LAN (Local Area Network) ein Computernetzwerk innerhalb eines Grundstücks
LDAP (Lightweight Directory Access Protocol) Mit LDAP können Verzeichnisse abgefragt werden. Dazu haben diese Verzeichnis-Datenbanken einen sogenannten LDAP-Connector. LDAP ähnelt SQL, dient jedoch speziell zur Abfrage von Verzeichnisdatenbanken. LEAP (Lightweight Extensible Authentication Protocol) Vereinfachtes EAP; das Protokoll wird unter anderem von der Firma Cisco zur Absicherung von WLANs genutzt. Load-Balancer ein System, das die Netzwerklast zwischen mehreren Servern verteilt LoRaWAN (Long Range Wide Area Network) ein drahtloses Netzwerkprotokoll, das im IoT Verwendung findet LRS (Limited Rate Support) ein Verfahren für IEEE"=802.11g-Komponenten zum Einbinden alter, nicht standardkonformer 11b-Clients LTE (Long-Term Evolution) Der LTE-Standard (3,9G) baut auf UMTS auf. LTE Advanced (Long-Term Evolution Advanced) eine Erweiterung (4G) des LTEStandards LVM (Logical Volume Manager) Verfahren, bei dem Festplatten und Partitionen als logische (nicht wirklich existierende) Laufwerke abgebildet werden; eine Volume Group besteht aus mehreren Partitionen oder Festplatten und kann flexibel wiederum in mehrere beliebig große viele Logical Volumes aufgeteilt werden. LWL (Lichtwellenleiter) ein Glasfaserkabel (engl. fibre) M3U (MP3-URL) Ein offenes Playlist-Format für viele Medieninhalte, ursprünglich für MP3 entwickelt. Konkurriert mit PLS MAC (Media Access Control) MAC ist ein Teil von Ethernet, insbesondere ist die MAC"=Adresse bekannt. Sie ist sechs Bytes lang und wird als Hexadezimalwert geschrieben, z. B. 00:07:f3:ea:10:22. Die Doppelpunkte trennen die einzelnen Bytes voneinander ab, dienen aber nur der besseren Lesbarkeit.
Magic Packet Ein Netzwerkadapter mit aktiviertem Wake-on-LAN schaltet das System nach einem Magic Packet ein. MAN (Metropolitan Area Network) Ein Netzwerk innerhalb einer Stadt; die Bezeichnung ist inzwischen unüblich geworden, meistens wird ein MAN als WAN bezeichnet. Mb/s (Megabit pro Sekunde) die übliche Angabe von Datenraten im Netzwerk MB/s (Megabyte pro Sekunde) Gängige Informationsmengen-Einheit, sie entspricht 1.024 × 1.024 Bytes. MCU (Multipoint Control Unit) Begriff aus dem Verfahren H.323; eine MCU ermöglicht gleichzeitige Datenströme zwischen mehr als zwei Teilnehmern (Konferenz). MDI/MDI-X (Medium Dependent Interface) Die Anschlussart von RJ-45 kann MDI oder MDI-X sein. Ersteres besteht z. B. bei einer typischen Netzwerkkarte, Zweiteres bei einem typischen Switch-Port. Möchten Sie zwei gleichartige Anschlüsse (z. B. zwei Netzwerkkarten) direkt miteinander verbinden, ist ein Cross-Kabel erforderlich. Heutige Switches beherrschen meist Auto-MDI(X). Sie erkennen automatisch, welcher Partner angeschlossen ist, und stellen ihren Anschluss entsprechend ein. Sie könnten also auch mit einem Cross-Kabel einen PC anschließen. Mesh Mesh-Netze sind WLAN-Verbindungen verschiedener WLAN Access Points zu einem Gesamtnetz, so dass beispielsweise nur ein Access Point einen Zugang zum Internet benötigt. Dabei sollen sich die Netzwerke herstellerunabhängig weitestgehend selbständig konfigurieren. Die zugehörige Norm heißt IEEE 802.11s. MFV (Switch-Port) Nachfolger des Impulswahlverfahrens (IVW), siehe DTMF MIB (Management Information Base) Eine Ansammlung von OIDs, also SNMPVariablen, wird MIB genannt. Es gibt offiziell normierte Standard-MIBs, z. B. MIBII, und den Bereich der Private MIB, die jeder Hersteller spezifisch füllt.
MIC (Message Integrity Check) Verfahren bei WPA-Verschlüsselung im WLAN, das die Integrität – also die Unverfälschtheit – der Daten sicherstellt; es handelt sich im Wesentlichen um eine Hashfunktion. MIMO (Multiple Input, Multiple Output) Funkverfahren, das auf einem Kanal mehrere parallele Signale versendet; MIMO findet bei IEEE 802.11n und LTE Verwendung. MLD (Multicast Listener Discovery) das Pendant zu IGMP unter IPv6 MMI (Man-Machine Interface) eine Benutzerschnittstelle MMS-Protokoll (Microsoft Media Server Protocol) Verfahren zum Senden von .asf-Dateien als Videostream über ein Netzwerk Monomode Die 900 nm dicken LWL-Fasern leiten den Laserstrahl durch die Mitte und werden Monomode-Fasern genannt. MOS (Mean Opinion Score) durchschnittliche subjektive Wahrnehmung der Qualität einer Sprachverbindung MP3 (MPEG-1, Audio Layer 3) Bekanntestes Format von komprimierten Audiodateien; es wird die Komprimierungsfunktion aus dem MPEG-1-Standard für Audio (Layer 3) verwendet. MPEG (Moving Pictures Experts Group) Eine Arbeitsgruppe der ISO, die Videoverfahren normiert; der Standard MPEG-1 bietet VHS-Videoqualität, während MPEG-2 aufgrund höherer Auflösung und besserer Bildwiederholrate oberhalb von VHS liegt. MPEG-2 wird auch auf DVDs eingesetzt. Es werden weiterhin neue MPEG-Standards entwickelt und verabschiedet. MPTCP (Multipath-TCP) ein Multipathing-Mechanismus innerhalb von ISO/OSI-Schicht 4 MRU (Maximum Receive Unit) Die maximale Größe von Datenpaketen, die an einem Stück (nicht fragmentiert) empfangen werden können; bei PPP kann der Client anhand seiner MRU Pakete mit einer bestimmten maximalen Größe anfordern.
MS-CHAP (Microsoft-CHAP) siehe CHAP MSN (Multiple Subscriber Number) eine Telefonnummer, auf die ein ISDNEndgerät reagiert MSS (Maximum Segment Size) maximale Größe eines TCP-Paketes in Bytes MSTP (Multiple STP) siehe RSTP MTA (Mail Transfer Agent) ein Programm, das Mails von einem Server verschickt und dort empfängt, z. B. Sendmail oder Postfix MTBF (Mean Time Between Failures) Die angegebene Zahl sagt aus, wie viele Stunden das Gerät (z. B. Festplatte, Switch) durchschnittlich arbeitet, bevor es zu einem Fehler oder Ausfall kommt. Allerdings sind diese Werte oft geschönt, weil nicht von einem Dauerbetrieb ausgegangen wird. MTU (Maximum Transmission Unit) maximale Größe eines Paketes auf ISO/OSI-Schicht 3, das in einem Stück gesendet werden kann Multicast die parallele Kommunikation eines Senders mit mehreren Empfängern MultiFlow MultiFlow bezeichnet ein Verfahren, bei dem Multicasts zwecks besserer Übertragbarkeit über das WLAN in Unicasts umgewandelt werden. Multimode LWL-Fasern, die 50.000 nm oder 62.500 nm dick sind und den Laserstrahl an der Grenzfläche zum Mantel reflektieren NAPT (Network Address and Port Translation) Wenn NAT erwähnt wird, ist meist NAPT gemeint. Es kann mit einer IP-Adresse mehrere Clients ins Internet bringen. NAT (Network Address Translation)
Adressumsetzung zwischen privater und offizieller IP-Adresse NDF (Network Discovery Framework) Technik, die ab Windows Vista Fehler bei der Internetanbindung diagnostiziert
NDIS (Network Driver Interface Specification)
Eine logische Schicht, über die Netzwerkkarten mittels Treibern angesprochen werden können; NDIS gibt es nur bei Windows, es wurde von Microsoft und 3Com entwickelt. Es erlaubt die Koexistenz von mehreren Protokollen, die auf eine Netzwerkkarte zugreifen (z. B. TCP/IP und IPX). NetBEUI (NetBIOS Extended User Interface) ein nicht routingfähiges Transportprotokoll, das die ISO/OSI-Schichten 2, 3 und 4 umfasst NetBIOS (Network Basic Input/Output System) Programmierschnittstelle (API) zu NetBEUI; NetBIOS basiert auf einem Nachrichtenformat, das Server Message Block (SMB) heißt. Newsgroup Diskussionsforen im Internet; nach Themenbereichen geordnet, gibt es Gruppen, die sich über alle möglichen Themen austauschen. Das Protokoll zum Austausch von News ist NNTP (Network News Transport Protocol). NFS (Network File System) Das UNIX-Netzwerkprotokoll ermöglicht den Zugriff auf Dateien über das Netzwerk. NIDS (Network Intrusion Detection System) eine Software, die Auffälligkeiten im Netzwerk unter Sicherheitsaspekten auswertet und mögliche Angriffe innerhalb des LANs meldet NNTP (Network News Transport Protocol)
siehe Newsgroup NTBA (Network Termination for Basic Access) Das Netzabschlussgerät auf der Seite des Kunden; am NTBA entsteht der S0-Bus, an den Sie ISDN-Endgeräte anschließen können. NTBBA (Network Termination Broad Band Access) das DSL-Modem, oftmals in den DSL-Router integriert NTP (Network Time Protocol) Zeitsynchronisation über das Netzwerk; damit können Sie erreichen, dass alle PCs im LAN die richtige oder zumindest die gleiche Uhrzeit haben. Sehr genau gehende NTP-Server gibt es auch im Internet.
NTSC (National Television System Committee) in den USA vorherrschendes Verfahren für den TV-Empfang mit 525 Zeilen und 60 Halbbildern pro Sekunde (Alternative: PAL) OFDM (Orthogonal Frequency-Division Multiplexing) das Modulationsverfahren im schnellen WLAN (IEEE 802.11a/g) OFDM (Orthogonal Frequency-Division Multiple Access) das Modulationsverfahren für High Efficiency WLAN (IEEE 802.11ax), LTE und WiMAX OID (Object ID) eine Variable, die vom SNMP-Agenten gefüllt wird openHAB (open Home Automation Bus) ein integrativer Smart Home Server OSI (Open Systems Interconnection) ISO-Standard für die Datenkommunikation; seine Struktur ist im OSI-Referenz-Modell, dem ISO/OSISchichten-Modell, abgefasst. OSPF (Open Shortest Path First) Ein dynamisches Routingprotokoll; dieses Protokoll ist der technische Nachfolger von RIP und bietet viele Möglichkeiten, Routing durchzuführen. Insbesondere werden Kosteneinträge für einzelne Verbindungen unterstützt. Dadurch ist es möglich, eine Verbindung günstig oder teuer zu machen. Entsprechend wird diese Verbindung oft oder selten genutzt. Paket ein Datagramm in ISO/OSI-Schicht 3 PAL (Phase Alternating Line) Vorherrschendes Übertragungsverfahren beim Fernsehempfang in Europa; es erzeugt ein Bild mit 625 Zeilen und 50 Halbbildern pro Sekunde (Alternative: NTSC). PAM a) Polled Access Mode: WLAN-Clients schlafen ein und werden gezielt aufgeweckt. b) Pluggable Authentication Modules: Authentifizierungsverfahren unter Linux, das flexible Möglichkeiten eröffnet, Benutzer zu authentifizieren PAN (Personal Area Network) Ein Netzwerk, das mittels Bluetooth um eine Person herum eingerichtet ist; gemeint ist der Nahbereich von maximal zehn Metern um eine Person.
PAP (Password Authentication Protocol)
Authentifizierungsverfahren z. B. bei HTTP oder PPP, bei dem der Benutzername und das Passwort im Klartext, also unverschlüsselt übermittelt werden. PBCC (Packet Binary Convolution Coding)
Ein Kodierungsverfahren für WLAN von der Firma Texas Instruments; es wird von einigen IEEE"=802.11b-Komponenten beherrscht, die dann Datenraten von bis zu 44 Mbit/s (statt 11 Mbit/s) erreichen. Konkurrenz ist OFDM, das für IEEE 802.11a, IEEE 802.11g und IEEE 802.11n ausgewählt wurde. PBX (Private Branch Exchange) eine Telefonanlage PC-Card Eine 16-Bit-PCMCIA-Erweiterungskarte, die insbesondere für Notebooks benutzt wird. Sie ist deutlich langsamer als eine Cardbus-Karte. PCI (Peripheral Component Interconnect)
Die Schnittstelle bei PCs; Sie können PCs durch PCI-Karten erweitern. Üblicherweise ist der PCI-Bus 32 Bits breit und wird mit 33 MHz getaktet, daher können – theoretisch – bis zu 133 Mbit/s übertragen werden. PCIe (PCI Express) Nachfolger von PCI mit wesentlich höheren Datenraten von 2 Gbit/s Fullduplex pro Kanal; die Anzahl der Kanäle wird z. B. für einen Kanal mit PCIe-1X angegeben. PCM (Pulse Code Modulation) Sprachkodierungsverfahren, das unter anderem beim Sprach-Codec G.711 eingesetzt wird; Erweiterungen sind DPCM (Differential PCM) und ADPCM (Adaptive Differential PCM). PCMCIA (Personal Computer Memory Card International Association) Industriestandard für Notebook-Erweiterungskarten; es gibt verschiedene Typen (siehe PC-Card, Cardbus-Card und ExpressCard). PCP (Port Control Protocol) Verfahren zur Portweiterleitung bei Carriergrade NAT PDC (Primary Domain Controller) Windows-Domänen-Anmeldungsserver; er verwaltet die Benutzer-/Computerkonten der Domäne. Sein Stellvertreter ist der BDC.
PDF (Portable Document Format) von Adobe Systems entwickeltes Dateiformat Peer-to-Peer Innerhalb des Peer-to-Peer"=Netzwerks gibt es keine Client-ServerHierarchie. Jeder PC ist nur Client. PEG (PCI Express for Graphics) gebündelter 8X-PCIe-Kanal, als Ablösung für AGP-Grafikkarten PGP (Pretty Good Privacy) Ein Programm für ein symmetrisches Verschlüsselungsverfahren; PGP ist nicht durchgehend quelloffen, deshalb entstand das kompatible GnuPG. PIFS (PCS IFS) siehe IFS PLC (Power Line Communication) Datenübertragung über die Stromkabel, entweder als Internetzugang (das ist vor allem in der Schweiz ansatzweise erfolgreich) oder als Vernetzungsmöglichkeit zu Hause (siehe HomePlug) PLS Ein Dateiformat für Playlists. Konkurriert mit M3U. PLT (Power Line Telecommunication) siehe PLC PMTU (Path Maximum Transmission Unit) die maximale Größe eines Paketes im Verlauf des Laufweges eines Paketes auf ISO/OSI-Schicht 3 PNRP (Peer Name Resolution Protocol) von Microsoft genutztes Protokoll, das via Peer-to-Peer-Netzwerk und IPv6 die Namensauflösung unabhängig von einem DNS-Server macht PoE (Power over Ethernet) Stromversorgung von Netzwerkteilnehmern über das LAN-Kabel POP (Post Office Protocol) Verfahren zum Empfangen von E-Mails von einem EMail-Server; aktuell ist die Version 3, daher heißen die Server POP3-Server. POS (Personal Operating Space) Arbeitsbereich um uns herum, zielt auf PAN ab
POTS (Plain Old Telephone Service) DSL hat einen für Telefonie reservierten Kanal; dieser wird als POTS bezeichnet. PPP (Point-to-Point Protocol) IETF-Standard zur Übertragung von IP-Paketen über serielle Leitungen, bekannt insbesondere beim Einsatz zur Interneteinwahl PPPoE (Point-to-Point Protocol over Ethernet) das übliche Verfahren zur Übertragung von DSL-Daten PPTP (Point-to-Point Tunneling Protocol)
Protokoll zum Erzeugen von VPNs PRI (Primary Rate Interface) Die große Variante von BRI; PRI bezeichnet die Anschlussmöglichkeit von S2M, also einem ISDN-Anschluss mit 30 Kanälen. Die Bandbreite beträgt 64 Kbit/s × 30 + 64 Kbit/s = 1.984 Kbit/s, also ungefähr 2 Mbit/s. Proprietär Es handelt sich um ein Verfahren oder eine Technik, die von einem Unternehmen kommt und nicht offengelegt und somit anderen Herstellern nicht frei zur Verfügung gestellt wird. Das alte doc-Format von MS Word ist proprietär, weil es nicht offengelegt ist und es keinen anderen Anbieter außer Microsoft gibt. Der Nachteil einer proprietären Lösung ist ihre mangelnde Interoperabilität, also die Unfähigkeit, mit anderen Lösungen zusammenzuarbeiten. Proxy Ein Proxy (dt. Stellvertreter) leitet Anfragen in das Internet stellvertretend weiter. Dadurch ist es unter anderem möglich, Webseiten zu filtern oder mit einer einzelnen offiziellen IP-Adresse ein ganzes Netzwerk mit einem Internetzugang zu versorgen. PSK (Pre-Shared Key) Manuelles Austauschverfahren für geheime elektronische Schlüssel. Die entsprechenden Passwörter werden bei beiden Geräten z. B. für WPA (WPA-PSK) manuell eingetragen. PTR Resource Record IP-Adresse zum Namenseintrag bei DNS PUI (Phone User Interface) hörbare Benutzeroberfläche eines Telefons, siehe auch TUI (Telephone User Interface)
PVC (Permanent Virtual Circuit) Eine virtuelle Verbindung, die permanent verfügbar ist; die Verbindung besteht bereits, wenn kommuniziert wird, und muss nicht erst aufgebaut werden. PVCs werden unter anderem bei ATM verwendet. PXE (Preboot Execution Environment) Ein von Intel und anderen Firmen entwickeltes Verfahren, das es ermöglicht, aus dem BIOS heraus Programme auszuführen. Damit ist es möglich, im Zusammenspiel mit DHCP PCs ohne Bootdisketten oder Ähnliches beim erstmaligen LAN-Anschluss automatisch über das Netzwerk mit Software zu betanken (z. B. ein Betriebssystem zu installieren). QAM (Quadratur-Amplituden-Modulation ein Verfahren zur Erhöhung der Effizienz einer elektronischen Datenübertragung QoS (Quality of Service) zugesicherte Verbindungsqualität (Paketlaufzeit, zur Verfügung stehende Bandbreite, Schwankung der Laufzeit) einer Übertragungsstrecke Queue Priorisierungen für WAN-Verbindungen teilen Datenverkehr je nach Dringlichkeit in eine Warteschlange (engl. queue) ein. Erst wenn alle Pakete aus der dringlichsten Queue transportiert worden sind, wird die zweite Queue abgearbeitet. RADIUS (Remote Authentication Dial-In User Service) Das RADIUS-Verfahren wird von vielen Providern angewandt. Wenn Sie Ihren Internetzugang aktivieren, authentifizieren Sie sich mit einem Benutzernamen und einem Passwort. Das wird mittels RADIUS überprüft. Nur wenn es korrekt ist, können Sie ins Internet. RADIUS findet auch bei IEEE 802.1x Anwendung. RAID (Redundant Array of Independent Disks) Ein logischer Verbund von Festplatten mit dem Ziel, die Ausfallsicherheit und/oder die Performance des Gesamtsystems zu verbessern; es gibt Hardware- und Softwarelösungen. RAM (Random Access Memory) Dieser flüchtige Speicher existiert in Form von Chips. Der Hauptspeicher eines PCs ist sein RAM. Das RAM benötigt elektrische Spannung, um die Informationen zu halten, daher sind die Informationen nur so lange im RAM, wie der PC eingeschaltet ist.
RDP (Remote Desktop Protocol) Über RDP werden die Maus-, Tastatur- und Monitorinformationen zu einem Fernsteuerungs-PC weitergeleitet. Man spricht hier von einem Terminal Service. RegTP (Regulierungsbehörde für Telekommunikation und Post) siehe Bundesnetzagentur Regulärer Ausdruck Ein regulärer Ausdruck (engl. regular expression) ist eine Zeichenkette zur Umschreibung einer bestimmten Menge anderer Zeichenketten. Häufig als Filter verwendet. Reverse Proxy Ein Reverse Proxy (dt. umgekehrter Proxy) leitet Webanfragen eines Clients an einen oder mehrere Server weiter. Ziel ist es, das wirkliche Ziel vor dem Client zu verbergen. RFC (Requests for Comments) Standard der IETF; es gibt verschiedene Stufen eines Standards, vom Entwurf bis zum wirklich verabschiedeten Standard. RIFS (Reduced Inter Frame Space) siehe IFS RIP (Routing Information Protocol) Ein einfaches und weitverbreitetes dynamisches Routingverfahren; es gibt RIP Version 1 und 2. Technisch ist RIP weitestgehend überholt und wird nach und nach durch OSPF (Open Shortest Path First) abgelöst. RIPE (Réseaux IP Européens) europäische Verwaltungsbehörde für IP-Adressen, wurde im Jahr 1989 gegründet RJ-45 (Registered Jack 45) Der Standardstecker für Twisted-Pair-Verkabelungen bietet acht Kontakte und wird außer bei LAN-Verkabelungen auch bei ISDN eingesetzt. RMON (Remote Monitoring) Die SNMP-Erweiterung bietet mit weiteren MIBs und mehr Möglichkeiten an, Kenndaten über das LAN zu erhalten (standardisiert in RFC 1757 und 2021). ROM (Read-Only Memory) Ein Speicher, der mehrfach gelesen werden kann, aber nur einmal beschrieben wurde; er ist aber dauerhaft und benötigt keine
ständige Spannungsversorgung. Router verbindet unterschiedliche Netzwerke auf ISO/OSI-Schicht 3, z. B. zwei IP-Netze Routing Wegewahl im IP, das Verbinden von IP-Netzen RPM (RPM Package Management) Software-Paketverwaltungssystem von Red Hat; von SUSE u. a. übernommen RSA Das asymmetrische kryptografische Verfahren kann sowohl zur Verschlüsselung als auch zur digitalen Signatur verwendet werden. RSA wurde nach seinen Erfindern, den drei Mathematikern Rivest, Shamir und Adleman, benannt. RSS (Really Simple Syndication) Protokoll zur Verbreitung von Neuigkeiten, die Abonnenten automatisch sehen RSRP (Referenz Signal Received Power) ein Referenzsignal zur Bestimmung der Qualität einer mobilen Datenverbindung RSRQ (Reference Signal Received Quality) der nutzbare Anteil der gesamten empfangenen Leistung eines Kanals einer mobilen Datenverbindung RSSI (Received Signal Strength Indikator) die gesamte empfangene Leistung eines Kanals einer mobilen Datenverbindung RSTP (Rapid Spanning Tree Protocol) Standardverfahren nach IEEE 802.1w, das schneller arbeitet als STP RTCP (Real-Time Control Protocol) Überwachungsprotokoll für RTP, ermittelt Fehler, Jitter oder Delay (RFC 1890 und 3551) RTP (Real-Time Protocol) Paketformat für UDP-Datenpakete, unter anderem für Audiodatenströme (RFC 1889 und 3550) RTS (Request To Send) Verfahren im WLAN, das Clients abfragt, anstatt CSMA/CA durchzuführen
S0 siehe ISDN und BRI S2M siehe ISDN und PRI Samba Stellt Möglichkeiten zur Nutzung von Funktionen zwischen Windowsund Nicht-Windows-Betriebssystemen bereit. SASL (Simple Authentication and Security Layer) Eine Erweiterung von SMTP um eine Autorisierungsstufe laut RFC 2222; das Verfahren ist auch als AUTH SMTP bekannt. Der Benutzer meldet sich mit Benutzernamen und Kennwort am SMTPServer an; erst dann kann eine E-Mail versendet werden. SATA (Serial ATA) eine Schnittstelle für den Anschluss von Datenspeichern wie z. B. Festplatten SCTP (Stream Control Transmission Protocol) Dieses Protokoll wurde von der IETF als neues Transportprotokoll neben UDP und TCP vorgeschlagen und in RFC 2960 veröffentlicht. Es handelt sich somit um ein neues ISO/OSI-Layer-4Protokoll. SDP (Session Description Protocol) das eigentliche Datenprotokoll von SIP SDSL (Symmetric DSL) Anders als bei ADSL sind bei SDSL die Up- und die Downloadraten gleich hoch. Segment ein Datagramm in ISO/OSI-Schicht 4 Segmentierung Unterteilung eines Netzwerks durch Switches oder Router in kleinere Einheiten mit dem Ziel, die Bandbreite zu erhöhen SES (Secure Easy Setup) Einrichtungshilfe für WLAN-Sicherheit, unter anderem von Linksys, siehe auch AOSS SFP (Small Form-factor Pluggable) ein kleines Einschubmodul für Netzwerkverbindungen, siehe auch GBIC S-HDSL (Single-Pair High-Speed Digital Subscriber Line) Der designierte Nachfolger von ADSL ist eine symmetrische DSL-Variante, die neben höheren
Datenraten auch eine fehlerärmere Übertragung bietet. SIFS (Short Interframe Spacing) siehe IFS SIP (Session Initiation Protocol) Der Nachfolger des H.323Kommunikationsstandards regelt den Verbindungsaufbau und -abbau für Voice over IP (genormt nach RFC 3261). SIPS (Session Initiation Protocol Secure) verschlüsseltes SIP, also die Verschlüsselung von Signalisierungsinformationen SLA (Service-Level-Agreement) Eine Vereinbarung über die Qualität einer Dienstleistung (QoS); so kann z. B. Teil eines SLA sein, wie oft ein Internetzugang verfügbar ist. Der Wert wird üblicherweise in Prozent festgelegt. SLAT (Second-Level Address Translation) Diese Prozessoreigenschaft erleichtert virtuellen Maschinen die Adressierung des Hostspeichers. Intel nennt das EPT (Extended Page Table), AMD bezeichnet es als RVI (Rapid Virtualization Indexing). SMA ein Standard für Anschlüsse von Mobilfunkantennen SMB (Server Message Block) Windows-Datei- und Druckerfreigaben verwenden unter anderem das Protokoll SMB. Unter UNIX werden solche Freigaben mittels Samba nutzbar. SMTP (Simple Mail Transfer Protocol) Verfahren zum Senden von E-Mails zum E-Mail-Server; üblicherweise wird TCP-Port 25 zur Kommunikation genutzt. SNMP (Simple Network Management Protocol) Verfahren, das Informationen über den Zustand von Netzwerkteilnehmern (Hardware und Software) liefert SNTP (Simple Network Time Protocol) siehe NTP SOA (Start Of Authority) Eintrag in den Zonendateien des DNS-Servers SoC (System-on-a-Chip) ein Chip, auf dem eine Vielzahl von Funktionen integriert sind
Socket Dieser Kommunikationsendpunkt wird vom Betriebssystem bereitgestellt. Softphone Ein Programm, das IP-Telefonie ermöglicht Speex Codec für VoIP SPIT (Spam over Telephony) unerwünschte Anrufe Spyware Software, die ohne Wissen des Anwenders Daten ausspäht und weitergibt SQL (Structured Query Language) SQL ist die Abfragesprache der meisten Datenbanksysteme. Eine typische Abfrage lautet: SELECT * FROM KUNDEN. SRTP (Secure RTP) verschlüsseltes RTP, also Verschlüsselung der Audiodaten SSD ein elektronisches Speichermedium ohne bewegliche Bauteile SSID (Service Set Identifier) Name des Access Points. Die SSID ist 32 Bytes lang wird in jedem WLAN-Paket mitgesendet STP (Spanning Tree Protocol) Standardverfahren, bei dem Schleifen (engl. loops) in Netzwerkkonfigurationen automatisch unterdrückt werden. Dadurch kann man Reserve-Leitungsverbindungen legen, die durch dieses Verfahren von den Switches automatisch aktiv bzw. inaktiv geschaltet werden. STUN (Session Traversal Utilities for NAT)
Verfahren, das einen Client hinter einem NAT-Router erreichbar macht Subnetz Synonym zu IP-Netz; PCs, die sich im selben Subnetz befinden, sind im selben IP-Netz und haben dieselbe Netz-ID in der IP-Adresse. Subnetzmaske gibt die Anzahl der Bits an, die bei einer IP-Adresse die Netz-ID ausmachen
TCP (Transport Control Protocol) Implementierung von ISO/OSI-Schicht 4; TCP ist verbindungsorientiert, es gibt einen Verbindungsauf- und -abbau, und das Empfangen der Datenpakete wird durch Bestätigungen sichergestellt. TAL Die Teilnehmeranschlussleitung ist die Verbindung von der Ortsvermittlungsstelle zum Hausanschluss. TFTP (Trivial FTP) vereinfachtes FTP, wird häufig von Netzwerkkomponenten zur Sicherung der Konfiguration/Software eingesetzt TIA (Telecommunications Industry Association) Verband der Telekommunikationsindustrie in den USA und Kanada TIM (Traffic Indication Map) Aufwecken der WLAN-Clients über ein spezielles Paket, festgelegt in einem DTIM-Intervall TKIP (Temporal Key Integrity Protocol) Verschlüsselungsverfahren für WPA, alternativ kann AES angeboten werden. TLS (Transport Layer Security) ein Protokoll zur hybriden Verschlüsselung ToS (Type of Service) 1 Byte lange Information zur Priorisierung von IP-Paketen, die im IP-Protokollkopf eingetragen wird, siehe auch DSCP TPC (Transmit Power Control) Regelfunktion für die Sendeleistung von IEEE"=802.11a-WLAN-APs abhängig von der Frequenz TS9 ein Standard für Anschlüsse von Mobilfunkantennen TTL (Time to live) Anzahl der Router, über die ein ICMP-Paket transportiert wird; üblicherweise spricht man von Hops (dt. Hüpfern), die ein Paket überwindet. TUI (Telephone User Interface) Sprachmenü für Voicemailboxen Tunnel(n) Daten werden in Pakete eines anderen Formats gepackt, damit sie durch ein Netz transportiert werden können, das das ursprüngliche Paketformat nicht beherrscht.
TURN (Traversal Using Relay NAT) TURN hat eine ähnliche Aufgabe wie STUN, bietet jedoch einen Lösungsansatz, der auf größere Firmennetze zugeschnitten ist. Twinaxkabel ein Paar verdrillter Kupferadern (Innenleiter), die von einem Dielektrikum und einer Schirmung umgeben sind (ähnlich einem Koaxialkabel) Twisted Pair Kabel zur Nachrichtenübertragung mit verdrillten Adernpaaren zwecks Abschirmung gegen äußere elektromagnetische Störungen UC (Unified Communication) zusätzliche Komfortdienste zum Telefonieren wie Konferenzschaltung oder Video UDP (User Datagram Protocol) Implementierung von ISO/OSI-Schicht 4; UDP ist verbindungslos. Eine Kontrolle wie bei TCP, ob Daten empfangen wurden oder ein Verbindungsauf- und -abbau stattgefunden hat, bleibt aus. UMTS (Universal Mobile Telecommunications System) Der Mobilfunkstandard der dritten Generation (3G). Anders als bei GSM funktioniert dieser Standard weltweit. Unicast die Kommunikation mit genau einem Sender und einem Empfänger UPnP (Universal Plug and Play) Kommunikationsverfahren für unterschiedliche Netzwerkteilnehmer, z. B. zwischen DSL-Router und Videostreaming-Server USB (Universal Serial Bus) Anschluss am PC für Geräte (unter anderem Tastatur, Scanner, Maus, Kamera); in der Version 1.1 wird eine Übertragungsrate von 12 Mbit/s, in der Version 2.0 von bis zu 480 Mbit/s erreicht. Ein Konkurrenzsystem ist FireWire. USV (Unterbrechungsfreie Stromversorgung) Die Batteriepufferung der Stromversorgung von PCs oder Netzwerkkomponenten sichert Geräte gegen Stromausfall und Spannungsschwankungen ab. VBR (Variable Bit Rate) Diese Kompressionsmethode erzeugt Audio- und Videodaten mit gleichbleibender Qualität. Der Gegensatz ist CBR (Constant Bit
Rate). VCD (Video-CD) MPEG-1-komprimierte Video-CD mit einer Auflösung von 352 × 288 Bildpunkten; bessere Qualität bietet die SVCD (Super VCD) mit 576 × 480 Bildpunkten. VCI (Virtual Channel Identifier) virtueller Kanal bei ATM VDSL (Very High Speed Digital Subscriber Line) Diese bandbreitenstarke, asymmetrische DSL-Variante bietet bis zu 52 Mbit/s im Download. VDSL kann auch symmetrisch betrieben werden und erreicht dann bis zu 34 Mbit/s. VDSL2 (Very High Speed Digital Subscriber Line 2) Der Nachfolger von VDSL bietet bis zu 100 Mbit/s im Download. Vectoring Diese VDSL2-Erweiterung vermindert gegenseitige Störungen in parallel verlegten Telefonleitungen. Virus Ein sich selbst reproduzierendes Programm, das sich in anderen Programmen oder Dateien einnistet und diese infiziert. VLAN (Virtual LAN) Bei einem virtuellen LAN erzeugen Sie mehrere LANs, deren Daten auf einer einheitlichen Verkabelung transportiert werden. Die Unterscheidung der verschiedenen VLANs geschieht durch feste Zuordnung von Switch-Ports oder mit Hilfe einer Kennzeichnung im EthernetPaket (engl. tagging). VoIP (Voice over IP) Übertragung von Sprachdaten unter Verwendung von vorhandener LAN-Verkabelung VoLTE (Voice over LTE) Protokoll für die Übertragung von Sprache im LTE-Netz VP9 ein Video-Codec der Firma Google VPI (Virtual Path Identifier) virtueller Kanal im ATM VPN (Virtual Private Network) Es handelt sich um eine sichere, virtuelle Verbindung über unsichere Netzwerke. Ein VPN wirkt wie ein Tunnel: Die Daten
im Inneren sind gegen Außeneinflüsse (Hacker) geschützt. Bekannte Standards sind IPsec und PPTP. Wake-on-LAN Bei ausgeschaltetem PC bleibt die LAN-Karte aktiv und kann den PC aus seinem Schlaf erwecken. Dazu sind allerdings spezielle Datenpakete erforderlich (Magic Packets). WAN (Wide Area Network) ein städteübergreifendes Netzwerk, das von Ihnen kontrolliert wird WDS (Wireless Distribution System) Ein Verbund von mehreren über WLAN verbundenen Access Points vergrößert den Empfangsbereich eines WLANs. WebDAV (Web-based Distributed Authoring and Versioning) Unter Verwendung bestehender HTTP-Infrastruktur können über Port 80 auch Fileservices angeboten werden. WEP (Wireless Equivalent Privacy) Dieser Verschlüsselungsstandard für WLAN ist nachweislich unsicher, unabhängig davon, ob Sie WEP mit 40-(64-) oder 104(128-)Bit-Verschlüsselung verwenden. Wi-Fi Firmenkonsortium für die Zertifizierung von WLAN-Geräten WiBro (Wireless Broadband) Konkurrenzverfahren zu WiMAX, das aus Korea stammt und lizenzfrei verwendbar ist WiFi calling Ein Provider bietet die alternative Nutzung eines WLANs für seine Telefoniedienste über das Internet. WiMAX (Worldwide Interoperability for Microwave Access) Diese Funktechnik nach IEEE 802.16 wird insbesondere als Konkurrenz zu DSL vermarktet. Seit der Möglichkeit, auch sich bewegende Clients zu versorgen, ist WiMAX auch Konkurrenz für WLAN. WINS (Windows Internet Name Service) NetBIOS-Namensauflösung; der WINSServer löst NetBIOS-Namen in IP-Adressen auf. Seit Windows 2000 ist WINS nur noch aus Kompatibilitätsgründen in Windows enthalten. Ab Windows 2000 wird DNS verwendet.
WLAN (Wireless LAN) Standard 802.11 der IEEE für drahtlose LANs WoL (Wake-on-LAN) siehe Wake-on-LAN WPA (Wi-Fi Protected Access) Der Ersatz für WEP ist deutlich sicherer. Zur Familie
gehören WPA, WPA2 und WPA3. WPAN (Wireless PAN) siehe PAN WPP (Wireless Performance Prediction) WPP ist der IEEE 802.11t-Standard, der Testverfahren festlegen will. Wurm sich selbst reproduzierendes Programm, das im Gegensatz zum Virus keine anderen Programme infiziert WWW (World Wide Web) Dieses weltweite Netz umfasst elektronische Hypertext-Dokumente (HTML-Seiten) im Internet, die durch Hyperlinks miteinander verknüpft sind. X.21 Spezifikation für Datenübertragung aus den 1970er Jahren X.509 Ein Zertifizierungsstandard z. B. für Webserver im Internet; mit einer Signatur wird die Authentizität eines öffentlichen Schlüssels von der zertifizierenden Stelle bestätigt.
Stichwortverzeichnis ↓A ↓B ↓C ↓D ↓E ↓F ↓G ↓H ↓I ↓J ↓K ↓L ↓M ↓N ↓O ↓P ↓Q ↓R ↓S ↓T ↓U ↓V ↓W ↓X ↓Y ↓Z
1000BASE-EX → siehe [Ethernet] 1000BASE-EZX → siehe [Ethernet] 1000BASE-LX → siehe [Ethernet] 1000BASE-SX → siehe [Ethernet] 1000BASE-T → siehe [Ethernet] 1000BASE-TX → siehe [Ethernet] 1000BASE-ZX → siehe [Ethernet] 100BASE-TX → siehe [Ethernet] 100GbE → siehe [Ethernet] 10BASE-T → siehe [Ethernet] 10GBASE → siehe [Ethernet] 10GBASE-ER → siehe [Ethernet] 10GBASE-LR → siehe [Ethernet] 10GBASE-LRM → siehe [Ethernet] 10GBASE-SR → siehe [Ethernet]
10GBASE-T → siehe [Ethernet] 40GBASE-T → siehe [Ethernet] 10GBASE-ZR → siehe [Ethernet] 40GbE → siehe [Ethernet] 2FA → siehe [Zwei-Faktor-Authentifizierung] 5G [→ 13.10 5G] 3GPP [→ 13.9 LTE] 4K → siehe [Streaming] 1-Wire → siehe [Hausautomation]
A ⇑ AAC [→ 46.1 Protokolle und Codecs] Abkürzungsdefinitionen [→ B Glossar] AC-3 [→ 46.1 Protokolle und Codecs] [→ 55.1 Raspberry Pi als Media Center] [→ B Glossar] Access Point → siehe [WLAN] ACL [→ 35.5 Access List] [→ B Glossar] ACPI [→ 27.3 Predictable Interface Names] Active Noise Cancelling → siehe [ANC] Active Optical Network → siehe [FTTH, AON] Address Resolution Protocol → siehe [ARP] ADSL → siehe [DSL]
Advanced Configuration and Power Interface → siehe [ACPI] Advanced Packaging Tool → siehe [APT] Adware → siehe [Sicherheit] AGI [→ B Glossar] Aircrack-ng [→ 35.8 WLAN-Sicherheit analysieren] AirPlay → siehe [Streaming] AirPort [→ 28.4 WLAN-Karte konfigurieren] AirStation One-Touch Secure System → siehe [AOSS] ALSA → siehe [Linux] Amazon EC2 → siehe [Cloud] Amazon Echo → siehe [Hausautomation] Amazon Fire TV → siehe [Streaming] Amazon Prime → siehe [Streaming] Amazon S3 → siehe [Cloud] AMR-WB [→ 47.3 HD Voice] Begriff [→ B Glossar] ANC [→ 47.9 Headsets] ANSI [→ B Glossar] Antennenkabel → siehe [Kabel] AntiVir [→ 33.4 Sicherheitslösungen im Überblick] AOC → siehe [LWL]
AON → siehe [FTTH] AOSS [→ B Glossar] Apache OpenMeetings [→ 32.10 Zusammenarbeit im Internet – Kollaboration] Webserver [→ 44.2 Dockerfile] [→ 50.9 Zugriff auf FHEM aus dem Internet] APFS [→ 45.2 Clonezilla] API [→ B Glossar] APIPA [→ 22.2 Zeroconf] APN → siehe [Internet] Apple Homekit → siehe [Hausautomation] Apple iCloud → siehe [Cloud] Apple iTunes → siehe [Streaming, iTunes] Apple Siri → siehe [Hausautomation] Apple TV → siehe [Streaming] AppleTalk [→ B Glossar] Appliance [→ B Glossar] Application Layer [→ 18.1 Der Ablauf einer UDP-Verbindung] Application Layer → siehe [Layer] Application Programming Interface → siehe [API] APT [→ B Glossar]
ARP [→ 15.1 Address Resolution Protocol] Cache [→ 15.1 Address Resolution Protocol] [→ 29.4 Windows-Bordmittel] [→ 33.3 ARP- und NDP-Missbrauch] Datagramm [→ 15.3 Das ARP-Datagramm] HLEN [→ 15.3 Das ARP-Datagramm] HTYPE [→ 15.3 Das ARP-Datagramm] Missbrauch [→ 33.3 ARP- und NDP-Missbrauch] OPER [→ 15.3 Das ARP-Datagramm] PLEN [→ 15.3 Das ARP-Datagramm] PTYPE [→ 15.3 Das ARP-Datagramm] Reply [→ 15.3 Das ARP-Datagramm] [→ 33.3 ARP- und NDPMissbrauch] Request [→ 15.3 Das ARP-Datagramm] Spoofing [→ 15.1 Address Resolution Protocol] [→ 33.3 ARP- und NDP-Missbrauch] ARPANET [→ 33.1 Mögliche Sicherheitsprobleme] ASCII [→ B Glossar] ASIC [→ B Glossar] Asterisk [→ 47.1 Grundlagen zu VoIP] [→ B Glossar] Appliance [→ 42.3 Asterisk Appliance] Asterisk Gateway Interface → siehe [AGI] ASU [→ 13.4 Messen der Signalstärke] Begriff [→ B Glossar] ATA [→ 47.8 VoIP-Hardware]
ATM [→ 4.2 Ringtopologie] Begriff [→ B Glossar] VCI [→ B Glossar] VPI [→ B Glossar] AttrTemplate [→ 53.7 Tasmota als MQTT Publisher] Audio-Codec → siehe [Streaming] Authentication Header → siehe [VPN, AH] Authentifizierung [→ 33.1 Mögliche Sicherheitsprobleme] Authentisierung [→ B Glossar] Auto MDI-X [→ 23.7 Cross-Kabel] [→ 24.8 Sonderfunktionen] [→ 25.3 Fachbegriffe für den Switch-Kauf] Autocrypt → siehe [Verschlüsselung] Autonegotiation [→ 6.2 Fast Ethernet] [→ 24.8 Sonderfunktionen] Autorisierung [→ B Glossar] Autosensing [→ 6.2 Fast Ethernet] [→ 24.1 Kaufhilfe für kabelgebundene Netzwerkkarten] [→ 24.8 Sonderfunktionen] [→ 31.1 Performancemessung mit NetIO]
B ⇑ Backplane [→ B Glossar] Backup [→ 45.1 Wozu Backup?] Clonezilla [→ 45.2 Clonezilla] Cloud [→ 45.6 Cloud-Backup] [→ 55.4 Raspberry NAS]
Datensicherung [→ 40.3 Hardware-NAS] inkrementelles [→ 45.1 Wozu Backup?] [→ 55.4 Raspberry NAS] Restore [→ 45.1 Wozu Backup?] Robocopy [→ 45.3 Windows-Bordmittel] rsync [→ 45.4 Linux »rsync«] [→ 55.1 Raspberry Pi als Media Center] [→ 55.4 Raspberry NAS] SyncToy [→ 45.3 Windows-Bordmittel] Time Machine [→ 45.5 macOS Time Machine] Backup Domain Controller → siehe [BDC] Band Steering → siehe [WLAN] Baud [→ B Glossar] BDC [→ B Glossar] Beamforming Elevation [→ 13.10 5G] Explicit [→ 7.13 Beschleunigertechniken] Implicit [→ 7.13 Beschleunigertechniken] Begriffsdefinitionen [→ B Glossar] BidCoS → siehe [HomeMatic] bing [→ 29.5 Linux-Bordmittel] BIOS [→ 54.4 Firmwareeinstellungen] [→ B Glossar] Bit [→ B Glossar] BitBucket [→ 44.4 CI/CD]
Bitstrom → siehe [DSL] BitTorrent [→ 14.5 Network Address Translation] Blacklist → siehe [Proxy] Bladeserver [→ 6.7 IEEE 802.3ba/j/m – 40- und 100-GigabitEthernet] Bluetooth [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] [→ 27.12 WLAN unter Linux] [→ 47.9 Headsets] [→ B Glossar] Advertising [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] Beacon [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] Bluetooth LE [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] [→ 49.1 Kabel und Funk im Vergleich] Bluetooth Smart [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] Bluetooth Smart Ready [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] Broadcast [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] Mitschnitt [→ 30.2 Zusatzprogramme für Windows] Blu-ray [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] 4K [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] Begriff [→ B Glossar]
Bonjour [→ 22.2 Zeroconf] [→ 28.5 Die Firewalls von macOS] [→ 32.9 Virtual Network Computing (VNC)] [→ 43.13 Netzwerkdrucker am Client einrichten] [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] BootP → siehe [DHCP] Botnet → siehe [Sicherheit] Bottleneck → siehe [Netzwerk] BRAVIA Sync → siehe [CEC] Bridge [→ 6.10 Switch] [→ 37.4 SSL-VPN] Abgrenzung [→ 14.3 Routing] Begriff [→ B Glossar] Beispiel [→ 55.2 Ihr eigener Router für unterwegs] VirtualBox [→ 41.3 Virtuelle Netzwerke] VMware Workstation Player [→ 41.4 VMware Workstation Player] WLAN [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] Broadcast [→ B Glossar] Browser Chrome [→ 26.1 Windows-Versionen und -Editionen] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 42.2 Web Proxy Appliance] [→ 46.1 Protokolle und Codecs] [→ 48.3 Beispiele aus der Cloud] [→ 53.2 Firmware flashen] Chromium [→ 26.1 Windows-Versionen und -Editionen] [→ 26.16 Microsoft Edge]
Edge [→ 26.1 Windows-Versionen und -Editionen] [→ 26.1 Windows-Versionen und -Editionen] [→ 26.16 Microsoft Edge] [→ 26.18 Smartphone mit Windows verknüpfen] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 42.2 Web Proxy Appliance] [→ 53.2 Firmware flashen] Firefox [→ 13.1 Vertragsarten und Anwendung] [→ 14.8 IPv6 ausprobieren] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 42.2 Web Proxy Appliance] [→ 43.18 IMAP-Clients im LAN an den Server anbinden] Happy Eyeball [→ 14.7 IP-Version 6] Internet Explorer [→ 26.8 Windows Defender] [→ 26.16 Microsoft Edge] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 47.1 Grundlagen zu VoIP] Netscape Navigator [→ 33.1 Mögliche Sicherheitsprobleme] [→ 47.1 Grundlagen zu VoIP] Brute-Force Attack [→ 36.5 (Un-)Sicherheitsfaktoren der Verschlüsselung] Brute-Force Attack → siehe [Sicherheit] B-Tree Filesystem → siehe [Linux] Buffer Overrun → siehe [Sicherheit] Bundesnetzagentur [→ B Glossar] Burst-Modus [→ 6.3 Gigabit-Ethernet] Byte [→ B Glossar] Bytes in Flight → siehe [TCP]
C ⇑
CAcert → siehe [Verschlüsselung] Cache [→ 40.3 Hardware-NAS] [→ B Glossar] CAM [→ B Glossar] Capacity on Demand → siehe [COD] Cardbus → siehe [Netzwerkkarte] Carrier Aggregation [→ 13.9 LTE] Carrier-grade NAT → siehe [NAT] CBR [→ B Glossar] CBR → siehe [Streaming] CC1101 USB Lite → siehe [FHEM, CUL] CCC [→ B Glossar] CCMP → siehe [Verschlüsselung] CEC [→ 55.1 Raspberry Pi als Media Center] [→ B Glossar] CELP [→ B Glossar] CERN [→ 33.1 Mögliche Sicherheitsprobleme] [→ B Glossar] CERT [→ B Glossar] Certificate Authority → siehe [Verschlüsselung] Chain of Trust → siehe [Sicherheit] Challenge Handshake Authentication Protocol → siehe [CHAP] Channel Bonding [→ 7.5 IEEE 802.11n – WiFi 4] [→ 7.13 Beschleunigertechniken] [→ 10.1 Aufbau] [→ 38.1
Hardwarerouter] Chaos Computer Club e. V. → siehe [CCC] CHAP [→ 37.1 PPTP] Begriff [→ B Glossar] Chrome → siehe [Browser] Chromecast → siehe [Streaming] chrony → siehe [NTP] CI/CD-Pipeline → siehe [Container] CIDR → siehe [Routing] Classless Inter-Domain Routing → siehe [Routing] CLI [→ B Glossar] Clientport → siehe [TCP] Cloud [→ 48.1 Infrastrukturen] [→ B Glossar] Amazon EC2 [→ 48.3 Beispiele aus der Cloud] [→ 53.3 Tasmota für WLAN konfigurieren] Amazon S3 [→ 45.6 Cloud-Backup] [→ 48.3 Beispiele aus der Cloud] Apple iCloud [→ 48.3 Beispiele aus der Cloud] ASP [→ 48.2 Everything as a Service] Backup [→ 45.6 Cloud-Backup] [→ 55.4 Raspberry NAS] Bitrix [→ 48.3 Beispiele aus der Cloud] CaaS [→ 44.4 CI/CD] COD [→ 48.3 Beispiele aus der Cloud]
Container [→ 44.3 Docker Cloud] [→ 48.2 Everything as a Service] [→ 48.3 Beispiele aus der Cloud] Docker Hub [→ 44.3 Docker Cloud] Dropbox [→ 48.3 Beispiele aus der Cloud] [→ 48.3 Beispiele aus der Cloud] Drucken [→ 48.3 Beispiele aus der Cloud] Epson Connect [→ 48.3 Beispiele aus der Cloud] File History [→ 45.6 Cloud-Backup] Google App Engine [→ 48.2 Everything as a Service] Google Cloud Print [→ 48.3 Beispiele aus der Cloud] Google Docs [→ 48.3 Beispiele aus der Cloud] Google Drive [→ 48.3 Beispiele aus der Cloud] Hybrid [→ 48.1 Infrastrukturen] IaaS [→ 44.4 CI/CD] [→ 48.2 Everything as a Service] IFTTT [→ 48.3 Beispiele aus der Cloud] [→ 50.9 Zugriff auf FHEM aus dem Internet] Keepass2Android [→ 48.3 Beispiele aus der Cloud] Managed Server [→ 48.2 Everything as a Service] Microsoft 365 [→ 48.3 Beispiele aus der Cloud] Microsoft Azure [→ 48.2 Everything as a Service] Microsoft Managed Desktop [→ 48.3 Beispiele aus der Cloud] OneDrive [→ 26.9 Microsoft-Konto] [→ 26.18 Smartphone mit Windows verknüpfen] [→ 33.4 Sicherheitslösungen im Überblick] [→ 48.3 Beispiele aus der Cloud] PaaS [→ 44.4 CI/CD] [→ 48.2 Everything as a Service]
PNRP [→ 32.6 Windows-Remoteunterstützung Easy Connect] Private [→ 48.1 Infrastrukturen] Projektmanagement [→ 48.3 Beispiele aus der Cloud] Public [→ 48.1 Infrastrukturen] QNAP MyCloudNAS [→ 48.3 Beispiele aus der Cloud] Root-Server [→ 14.7 IP-Version 6] [→ 48.2 Everything as a Service] SaaS [→ 48.2 Everything as a Service] XaaS [→ 48.2 Everything as a Service] Cloud Clipboard → siehe [Windows] COD → siehe [Cloud] Codec [→ 46.1 Protokolle und Codecs] [→ 47.1 Grundlagen zu VoIP] Code-Excited Linear Prediction → siehe [CELP] Coloring → siehe [WLAN, BSS] Command Line Interface → siehe [CLI] Connected Home over IP → siehe [Haus-automation] Connectivity Standards Alliance → siehe [Hausautomation] Consumer Electronics Control → siehe [CEC] Container [→ 44.1 Docker Client] [→ B Glossar] Basisimage [→ 44.1 Docker Client] CI/CD-Pipeline [→ 44.4 CI/CD] [→ B Glossar] Docker [→ 44.1 Docker Client]
Docker Client [→ 44.1 Docker Client] Docker Cloud [→ 44.3 Docker Cloud] Docker Toolbox [→ 44.1 Docker Client] Dockerfile [→ 44.2 Dockerfile] FHEM [→ 50.1 FHEM auf dem Raspberry Pi installieren] from scratch [→ 44.1 Docker Client] Kubernetes [→ 44.1 Docker Client] LXC [→ 52.1 Funkschnittstelle] OpenMeetings [→ 32.10 Zusammenarbeit im Internet – Kollaboration] Register [→ 44.1 Docker Client] Continuous Delivery [→ 44.4 CI/CD] [→ B Glossar] Continuous Integration [→ 44.4 CI/CD] [→ B Glossar] Cortana → siehe [Microsoft] Courier [→ 43.17 IMAP-Server für Clients im LAN vorbereiten] Maildir [→ 43.14 Mailserver] Shared Folders [→ 43.19 Shared Folders] Cracker [→ 14.5 Network Address Translation] Begriff [→ B Glossar] CRC9 [→ 13.5 Signalverstärkung] Begriff [→ B Glossar] Crimpzange → siehe [Werkzeug] cron → siehe [Linux] Cross-Kabel → siehe [Kabel]
CSMA/CA → siehe [WLAN] CSMA/CD → siehe [Ethernet] CUL → siehe [FHEM] CUPS [→ 43.12 Drucken im Netzwerk] Drucker einrichten [→ 43.12 Drucken im Netzwerk] [→ 43.13 Netzwerkdrucker am Client einrichten] IPP [→ 43.12 Drucken im Netzwerk] PDF-Drucker [→ 43.12 Drucken im Netzwerk] Samba [→ 43.12 Drucken im Netzwerk] CurrPorts [→ 30.2 Zusatzprogramme für Windows]
D ⇑ DAC → siehe [Kabel] Datagramm [→ B Glossar] ARP [→ 15.3 Das ARP-Datagramm] DHCP [→ 19.4 Das DHCP-Datagramm] DHCPv6 [→ 19.5 Das DHCPv6-Datagramm] Ethernet [→ 6.12 Das Ethernet-Datagramm] ICMP [→ 16.2 Das ICMP-Datagramm] ICMPv6 [→ 16.3 Das ICMPv6-Datagramm] IPv4 [→ 14.10 Das IPv4-Datagramm] IPv6 [→ 14.11 Das IPv6-Datagramm] NDP [→ 15.4 Das NDP-Datagramm] TCP [→ 17.3 Das TCP-Datagramm]
Data-Link-Layer → siehe [Layer] Datenintegrität [→ 33.1 Mögliche Sicherheitsprobleme] Datenschutz [→ 14.7 IP-Version 6] [→ 33.1 Mögliche Sicherheitsprobleme] [→ Fußnoten] Datensegment → siehe [Segment] Datensicherung → siehe [Backup] Datex-P [→ B Glossar] DCF [→ B Glossar] DECT [→ 2.2 Kabel – wenn ja, welches?] [→ 7.11 IEEE 802.11e] [→ 24.7 WLAN-Netzwerkkarten] [→ 47.8 VoIP-Hardware] [→ 47.8 VoIP-Hardware] [→ 47.9 Headsets] [→ 49.1 Kabel und Funk im Vergleich] [→ B Glossar] DECT ULE [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 49.3 Zentrale oder dezentrale Steuerung?] Repeater [→ 47.8 VoIP-Hardware] [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] Default Router List → siehe [NDP] Delay [→ 47.2 Voraussetzungen für VoIP im Netzwerk] Demilitarisierte Zone → siehe [DMZ] Denial of Service → siehe [Sicherheit] DeNIC [→ 20.4 DNS] DES → siehe [Verschlüsselung] Destination Cache → siehe [NDP]
DFS → siehe [WLAN] DHCP [→ 19.1 Die einzelnen Pakete] ACKNOWLEDGE [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6-Konfiguration] [→ 19.4 Das DHCP-Datagramm] Begriff [→ B Glossar] BootP [→ 19.1 Die einzelnen Pakete] [→ 19.4 Das DHCPDatagramm] [→ B Glossar] CHADDR [→ 19.4 Das DHCP-Datagramm] CIADDR [→ 19.4 Das DHCP-Datagramm] Datagramm [→ 19.4 Das DHCP-Datagramm] DECLINE [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6Konfiguration] DISCOVER [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6Konfiguration] [→ 19.4 Das DHCP-Datagramm] FILE [→ 19.4 Das DHCP-Datagramm] FLAGS [→ 19.4 Das DHCP-Datagramm] GIADDR [→ 19.4 Das DHCP-Datagramm] HLEN [→ 19.4 Das DHCP-Datagramm] HOPS [→ 19.4 Das DHCP-Datagramm] HTYPE [→ 19.4 Das DHCP-Datagramm] INFORM [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6Konfiguration] OFFER [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6Konfiguration] [→ 19.4 Das DHCP-Datagramm] OP [→ 19.4 Das DHCP-Datagramm] Operation Code [→ 19.4 Das DHCP-Datagramm]
Options [→ 19.4 Das DHCP-Datagramm] Relay [→ 19.1 Die einzelnen Pakete] [→ 19.4 Das DHCPDatagramm] RELAY-REPL [→ 19.3 IPv6-Konfiguration] RELEASE [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6Konfiguration] REQUEST [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6Konfiguration] [→ 19.3 IPv6-Konfiguration] [→ 19.3 IPv6Konfiguration] [→ 19.3 IPv6-Konfiguration] [→ 19.4 Das DHCP-Datagramm] SECS [→ 19.4 Das DHCP-Datagramm] SIADDR [→ 19.4 Das DHCP-Datagramm] SNAME [→ 19.4 Das DHCP-Datagramm] Webmin [→ 43.6 DHCP-Server] XID [→ 19.4 Das DHCP-Datagramm] YIADDR [→ 19.4 Das DHCP-Datagramm] DHCP Unique Identifier → siehe [DUID] dhcpcd → siehe [Linux] DHCPv6 [→ 19.3 IPv6-Konfiguration] ADVERTISE [→ 19.3 IPv6-Konfiguration] CONFIRM [→ 19.3 IPv6-Konfiguration] [→ 19.3 IPv6Konfiguration] DAD [→ 19.3 IPv6-Konfiguration] [→ 19.3 IPv6Konfiguration] Datagramm [→ 19.5 Das DHCPv6-Datagramm] DECLINE [→ 19.3 IPv6-Konfiguration]
INFO-REQUEST [→ 19.3 IPv6-Konfiguration] MSG-Typ [→ 19.5 Das DHCPv6-Datagramm] Option-Code [→ 19.5 Das DHCPv6-Datagramm] Option-Data [→ 19.5 Das DHCPv6-Datagramm] Option-Len [→ 19.5 Das DHCPv6-Datagramm] REBIND [→ 19.3 IPv6-Konfiguration] RECONFIGURE [→ 19.3 IPv6-Konfiguration] [→ 19.3 IPv6Konfiguration] RELAY-FORW [→ 19.3 IPv6-Konfiguration] RELEASE [→ 19.3 IPv6-Konfiguration] RENEW [→ 19.3 IPv6-Konfiguration] REPLY [→ 19.3 IPv6-Konfiguration] REQUEST [→ 19.3 IPv6-Konfiguration] SOLICIT [→ 19.3 IPv6-Konfiguration] stateful [→ 19.3 IPv6-Konfiguration] [→ 30.1 Wireshark] stateless [→ 19.3 IPv6-Konfiguration] [→ 19.3 IPv6Konfiguration] Transaktions-ID [→ 19.5 Das DHCPv6-Datagramm] Dictionary Attack [→ 36.5 (Un-)Sicherheitsfaktoren der Verschlüsselung] Differential Pulse Code Modulation → siehe [DPCM] DIFS [→ B Glossar] Digital Signal Processor → siehe [DSP] Digital Theater Systems → siehe [Streaming, DTS] Digitale Dividende [→ 13.9 LTE]
Digitale Kluft [→ 13.9 LTE] DIN [→ B Glossar] direct LAN [→ 8.1 Daten über Stromkabel] Disk Operating System → siehe [DOS] Distributed Coordination Function → siehe [DCF] Distributed DoS → siehe [Sicherheit] Diversity [→ B Glossar] DivX [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] dLAN [→ 8.1 Daten über Stromkabel] DLNA → siehe [Streaming] DMZ [→ 37.6 End-to-Site-VPN] DNS [→ 20.4 DNS] Begriff [→ B Glossar] Datenschutz [→ 20.4 DNS] DDNS [→ B Glossar] dig [→ 20.4 DNS] [→ A.2 Grundbefehle] DNSSEC [→ 20.4 DNS] [→ 20.7 systemd-resolved] DoH [→ 20.4 DNS] DoT [→ 20.4 DNS] DynDNS [→ 39.1 Anbieter] [→ 39.1 Anbieter] Filter [→ 20.4 DNS] FQDN [→ B Glossar]
IPv4 [→ 20.4 DNS] IPv6 [→ 20.4 DNS] Pi-hole [→ 55.5 Pi-hole als schwarzes Loch für Werbung] PTR [→ B Glossar] RDNSS [→ 19.3 IPv6-Konfiguration] rekursiv [→ 19.3 IPv6-Konfiguration] [→ 55.5 Pi-hole als schwarzes Loch für Werbung] Resource Records [→ 20.4 DNS] Reverse Lookup [→ 20.4 DNS] Sicherheit [→ 20.4 DNS] SOA [→ B Glossar] TLD [→ 20.4 DNS] [→ 20.4 DNS] unbound [→ 55.5 Pi-hole als schwarzes Loch für Werbung] Zensur [→ 20.4 DNS] Zonen [→ 20.4 DNS] DNS!dnsmasq → siehe [Linux] dnsmasq → siehe [Linux] Docker → siehe [Container] Docker Hub [→ 32.10 Zusammenarbeit im Internet – Kollaboration] [→ 44.3 Docker Cloud] [→ 50.1 FHEM auf dem Raspberry Pi installieren] DOCSIS → siehe [EuroDOCSIS] DoD-Modell [→ 5.1 DoD-Modell] DoH → siehe [DNS]
Dolby Digital → siehe [AC-3] Dolby Digital → siehe [Streaming] Dolby True HD → siehe [Streaming] Domain-Validated → siehe [Verschlüsselung] DOS [→ B Glossar] DoS-Angriff → siehe [Sicherheit] DoT → siehe [DNS] Downstream Power Back-Off → siehe [DSL, DPBO] DPBO → siehe [DSL] DPCM [→ B Glossar] Dreambox → siehe [Streaming] DRM [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 55.1 Raspberry Pi als Media Center] [→ B Glossar] Dropbox → siehe [Cloud] DSL [→ 11.1 ADSL] [→ 16.1 Paketlaufzeiten] ADSL [→ 11.1 ADSL] [→ B Glossar] Begriff [→ B Glossar] Bitstrom [→ 11.5 VDSL2-Vectoring] DPBO [→ 11.1 ADSL] [→ B Glossar] DSLAM [→ 11.1 ADSL] [→ 11.4 VDSL2] [→ 11.5 VDSL2Vectoring] [→ B Glossar] G.fast [→ 11.7 G.fast] Line-Sharing [→ 11.1 ADSL]
Modem [→ 38.1 Hardwarerouter] NTBBA [→ B Glossar] Paketlaufzeit [→ 16.1 Paketlaufzeiten] POTS [→ B Glossar] PPPoE [→ B Glossar] Profil 35b [→ 11.6 Supervectoring] Router [→ 14.5 Network Address Translation] SDSL [→ 11.2 SDSL] [→ 16.1 Paketlaufzeiten] [→ B Glossar] S-HDSL [→ B Glossar] Supervectoring [→ 11.6 Supervectoring] TAL [→ 11.1 ADSL] [→ 11.5 VDSL2-Vectoring] VDSL [→ 11.3 VDSL] [→ 16.1 Paketlaufzeiten] [→ B Glossar] VDSL2 [→ 11.4 VDSL2] [→ B Glossar] Vectoring [→ 11.5 VDSL2-Vectoring] [→ B Glossar] Vectoring Plus [→ 11.6 Supervectoring] DSLAM → siehe [DSL] DS-Lite → siehe [IP] DSP [→ 47.9 Headsets] [→ B Glossar] DTE [→ B Glossar] DTS [→ B Glossar] DTS → siehe [Streaming] Dual Stack → siehe [IP] DUID [→ 19.3 IPv6-Konfiguration] Duplex [→ B Glossar]
DVB-C [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] DVB-S [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] DVB-S2 [→ 46.1 Protokolle und Codecs] DVB-T [→ 46.1 Protokolle und Codecs] DVB-T2 [→ 46.1 Protokolle und Codecs] DVD [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 55.1 Raspberry Pi als Media Center] Begriff [→ B Glossar] DynDNS → siehe [DNS]
E ⇑ EAP [→ B Glossar] Easy Connect → siehe [Windows] ECN [→ 14.10 Das IPv4-Datagramm] [→ 14.11 Das IPv6Datagramm] [→ 17.3 Das TCP-Datagramm] EDGE [→ 13.1 Vertragsarten und Anwendung] [→ 13.7 EDGE] Edge → siehe [Browser] E-EDGE [→ 13.7 EDGE] EEPROM [→ 54.1 Hardware im Vergleich] [→ B Glossar] EIA/TIA [→ 23.2 Linkklassen] [→ 23.4 Netzwerkstecker anbringen] [→ B Glossar]
EIB → siehe [Hausautomation] EIFS [→ B Glossar] EIGRP [→ B Glossar] Electrically Erasable Programmable Read-Only Memory → siehe [EEPROM] Elevation Beamforming → siehe [Beamforming] Empfänger [→ 3.1 Kommunikation im Alltag] Encapsulation Security Payload → siehe [VPN, ESP] Enhanced Voice Service → siehe [EVS] Enigma → siehe [Streaming] EnOcean → siehe [Hausautomation] EPA → siehe [WLAN] EPON → siehe [FTTH] Epson Connect → siehe [Cloud] ESP8266 [→ 49.1 Kabel und Funk im Vergleich] [→ 53.1 Hardware] [→ B Glossar] D1 Mini [→ 53.1 Hardware] ESP-01 [→ 53.1 Hardware] flashen [→ 53.2 Firmware flashen] Pins [→ 53.1 Hardware] Tasmota [→ 53.3 Tasmota für WLAN konfigurieren] ESSID → siehe [WLAN SSID] Ethereal → siehe [Wireshark]
Ethernet [→ 4.1 Bustopologie] [→ 4.3 Sterntopologie] [→ 6.1 Ursprung von Ethernet] [→ 15.3 Das ARP-Datagramm] [→ 19.4 Das DHCP-Datagramm] 1000BASE-EX [→ 9.1 Kabel] 1000BASE-EZX [→ 9.1 Kabel] 1000BASE-LX [→ 6.3 Gigabit-Ethernet] [→ 9.1 Kabel] 1000BASE-SX [→ 6.3 Gigabit-Ethernet] [→ 9.1 Kabel] 1000BASE-T [→ 6.3 Gigabit-Ethernet] [→ 23.1 Kategorien] 1000BASE-TX [→ 6.3 Gigabit-Ethernet] [→ 23.2 Linkklassen] [→ 23.2 Linkklassen] 1000BASE-ZX [→ 9.1 Kabel] 100BASE-T [→ 23.5 Kabeltest] 100BASE-TX [→ 6.2 Fast Ethernet] [→ 23.1 Kategorien] [→ 23.2 Linkklassen] 100GbE [→ 6.7 IEEE 802.3ba/j/m – 40- und 100-GigabitEthernet] 10BASE-T [→ 6.1 Ursprung von Ethernet] [→ 23.1 Kategorien] [→ 23.2 Linkklassen] 10GBASE [→ 6.5 IEEE 802.3ae – 10GBASE] 10GBASE-ER [→ 9.1 Kabel] 10GBASE-LR [→ 9.1 Kabel] 10GBASE-LRM [→ 9.1 Kabel] 10GBASE-SR [→ 9.1 Kabel] 10GBASE-T [→ 6.6 IEEE 802.3an – 10GBASE-T] [→ 23.1 Kategorien] [→ 23.2 Linkklassen] [→ 23.2 Linkklassen] 40GBASE-T [→ 6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet] [→ 23.1 Kategorien] [→ 23.1 Kategorien]
[→ 23.2 Linkklassen] 10GBASE-ZR [→ 9.1 Kabel] 40GbE [→ 6.7 IEEE 802.3ba/j/m – 40- und 100-GigabitEthernet] Backplane [→ 6.7 IEEE 802.3ba/j/m – 40- und 100-GigabitEthernet] Broadcast [→ 6.10 Switch] [→ 6.10 Switch] [→ 15.3 Das ARPDatagramm] [→ 19.1 Die einzelnen Pakete] [→ 19.4 Das DHCP-Datagramm] [→ 37.4 SSL-VPN] Converged 10 GbE [→ 6.10 Switch] CSMA/CD [→ 6.1 Ursprung von Ethernet] [→ 6.9 Hub] [→ 6.12 Das Ethernet-Datagramm] [→ B Glossar] Datagramm [→ 6.12 Das Ethernet-Datagramm] EFM [→ 6.10 Switch] [→ B Glossar] EtherType [→ 6.12 Das Ethernet-Datagramm] ETTH [→ 6.10 Switch] Fast Ethernet [→ 6.2 Fast Ethernet] [→ B Glossar] FCS [→ 6.12 Das Ethernet-Datagramm] Frame [→ B Glossar] Gigabit [→ 6.3 Gigabit-Ethernet] JAM-Signal [→ 6.1 Ursprung von Ethernet] Jumbo-Frame [→ 6.3 Gigabit-Ethernet] [→ 6.12 Das Ethernet-Datagramm] MAC [→ 6.12 Das Ethernet-Datagramm] [→ 15.1 Address Resolution Protocol] [→ 54.7 Erste Schritte mit Raspberry Pi OS] [→ B Glossar] Multicast [→ 6.10 Switch] [→ 19.3 IPv6-Konfiguration]
Residential [→ 6.10 Switch] Terabit [→ 6.8 IEEE 802.3bs – 200- und 400-GigabitEthernet] Topologie [→ 4.3 Sterntopologie] Unicast [→ 6.10 Switch] VLAN [→ 6.11 Virtual LAN] [→ 11.5 VDSL2-Vectoring] [→ 25.2 Webmanaged Switches] [→ 25.2 Webmanaged Switches] [→ 25.4 Ein eigenes VLAN und WLAN für Gäste] [→ B Glossar] Ethernet PON → siehe [FTTH, EPON] Ethernet To The Home → siehe [ETTH] EtherTalk [→ B Glossar] ETSI [→ B Glossar] Ettercap [→ 33.3 ARP- und NDP-Missbrauch] ETTH [→ B Glossar] EUI-64 [→ 14.7 IP-Version 6] [→ 26.4 IPv6-Konfiguration] [→ 27.10 IPv6-Konfiguration] EuroDOCSIS [→ 10.1 Aufbau] EVS [→ 47.4 VoLTE] Begriff [→ B Glossar] Exploit → siehe [Sicherheit] ExpressCard → siehe [Netzwerkkarte] Extended-Validated → siehe [Verschlüsselung] Extranet [→ B Glossar]
F ⇑ F/FTP → siehe [Kabel] F/STP → siehe [Kabel] Facebook [→ 46.4 Kodi Home Theater] Failover [→ 24.8 Sonderfunktionen] Fast Ethernet → siehe [Ethernet] FCoE [→ 6.10 Switch] FDDI [→ B Glossar] fdisk → siehe [Linux] FEC [→ B Glossar] Fernadministration [→ 32.1 Telnet] FHEM [→ 40.3 Hardware-NAS] [→ 49.1 Kabel und Funk im Vergleich] [→ 50.1 FHEM auf dem Raspberry Pi installieren] andFHEM [→ 50.8 Zugriff auf FHEM mit Apps] Apps [→ 50.8 Zugriff auf FHEM mit Apps] at [→ 53.8 Überwachung der Sensoren] Attribute [→ 50.3 Erste Schritte in FHEM] [→ 51.1 Kommunikation im FS20-Netzwerk] Begriff [→ B Glossar] Benachrichtigungen [→ 50.7 Weitere FHEM-Module] Calendar [→ 55.3 Der Raspberry-Pi-Radiowecker] Container [→ 50.1 FHEM auf dem Raspberry Pi installieren]
CUL [→ 50.4 Das CUL flashen und einbinden] [→ 51.1 Kommunikation im FS20-Netzwerk] [→ 52.1 Funkschnittstelle] [→ B Glossar] define [→ 50.3 Erste Schritte in FHEM] [→ 51.1 Kommunikation im FS20-Netzwerk] Device [→ 50.3 Erste Schritte in FHEM] dewpoint [→ 53.9 Taupunktberechnung mit Dewpoint] DOIF [→ 52.4 Relais zum Brandmelder] [→ 53.8 Überwachung der Sensoren] [→ 53.8 Überwachung der Sensoren] [→ 55.3 Der Raspberry-Pi-Radiowecker] dummy [→ 51.3 Der Dimmer der Terrassenüberdachung] Event [→ 50.3 Erste Schritte in FHEM] [→ 50.7 Weitere FHEM-Module] eventMap [→ 51.1 Kommunikation im FS20-Netzwerk] event-on-change-reading [→ 50.7 Weitere FHEM-Module] FBAHAHTTP [→ 50.7 Weitere FHEM-Module] [→ 55.4 Raspberry NAS] FHEMobile [→ 50.8 Zugriff auf FHEM mit Apps] FHEM-Remote [→ 50.8 Zugriff auf FHEM mit Apps] FHEMWEB [→ 50.9 Zugriff auf FHEM aus dem Internet] FileLog [→ 53.10 Plot erzeugen] group [→ 51.3 Der Dimmer der Terrassenüberdachung] HTTPMOD [→ 55.5 Pi-hole als schwarzes Loch für Werbung] icon [→ 51.2 Eine Zeitsteuerung für die Markise] Internals [→ 50.3 Erste Schritte in FHEM] KODI [→ 50.7 Weitere FHEM-Module]
list [→ 50.3 Erste Schritte in FHEM] Messenger [→ 50.7 Weitere FHEM-Module] model [→ 51.2 Eine Zeitsteuerung für die Markise] MPD [→ 55.3 Der Raspberry-Pi-Radiowecker] MQTT2_SERVER [→ 53.4 FHEM als MQTT Broker] notify [→ 50.3 Erste Schritte in FHEM] [→ 51.3 Der Dimmer der Terrassenüberdachung] Pi-hole [→ 55.5 Pi-hole als schwarzes Loch für Werbung] Reading [→ 50.3 Erste Schritte in FHEM] [→ 50.7 Weitere FHEM-Module] [→ 53.7 Tasmota als MQTT Publisher] ReadingsVal [→ 50.7 Weitere FHEM-Module] rename [→ 50.3 Erste Schritte in FHEM] [→ 50.7 Weitere FHEM-Module] [→ 52.2 Kommunikation im HomeMaticNetzwerk] [→ 53.7 Tasmota als MQTT Publisher] room [→ 50.3 Erste Schritte in FHEM] [→ 51.1 Kommunikation im FS20-Netzwerk] Sensor [→ 51.4 Sensoren anlernen] set [→ 51.1 Kommunikation im FS20-Netzwerk] [→ 51.3 Der Dimmer der Terrassenüberdachung] setList [→ 51.3 Der Dimmer der Terrassenüberdachung] [→ 53.7 Tasmota als MQTT Publisher] stateFormat [→ 50.3 Erste Schritte in FHEM] [→ 53.7 Tasmota als MQTT Publisher] Telegram [→ 50.7 Weitere FHEM-Module] [→ 50.9 Zugriff auf FHEM aus dem Internet] userReadings [→ 50.3 Erste Schritte in FHEM] [→ 53.9 Taupunktberechnung mit Dewpoint]
webCmd [→ 51.1 Kommunikation im FS20-Netzwerk] [→ 53.7 Tasmota als MQTT Publisher] Wetter [→ 50.7 Weitere FHEM-Module] Fibre Channel [→ B Glossar] Fibre Channel over Ethernet → siehe [FCoE] FileZilla [→ 30.2 Zusatzprogramme für Windows] Firefox → siehe [Browser] Firewall [→ 33.4 Sicherheitslösungen im Überblick] [→ 33.4 Sicherheitslösungen im Überblick] ALG [→ B Glossar] Application-Level [→ 28.5 Die Firewalls von macOS] [→ 33.4 Sicherheitslösungen im Überblick] Begriff [→ B Glossar] DMZ [→ B Glossar] ipfw [→ 28.5 Die Firewalls von macOS] IPv6 [→ 14.7 IP-Version 6] Linux [→ 34.2 IPTables, Firewall für Linux] Logdatei [→ 33.1 Mögliche Sicherheitsprobleme] Masquerading SUSE [→ 27.11 Firewalld] Packet-Filtering [→ 33.4 Sicherheitslösungen im Überblick] pf [→ 28.5 Die Firewalls von macOS] Router [→ 38.1 Hardwarerouter] Stateful Inspection [→ 33.4 Sicherheitslösungen im Überblick]
Test [→ 34.3 Firewalls testen] VoIP [→ 47.2 Voraussetzungen für VoIP im Netzwerk] Windows [→ 34.1 Firewalls für Windows] Firewalld → siehe [Linux] FireWire [→ B Glossar] Firmware Begriff [→ B Glossar] Flash-Speicher [→ 53.1 Hardware] [→ B Glossar] Flow Control [→ 25.3 Fachbegriffe für den Switch-Kauf] Flugzeugmodus → siehe [WLAN] FME [→ 13.5 Signalverstärkung] Begriff [→ B Glossar] FON → siehe [WLAN] Forward Error Correction → siehe [FEC] Fragmentierung → siehe [WLAN oder IP] Frame → siehe [Ethernet] Freifunk → siehe [WLAN] FRITZ" Box [→ 4.1 Bustopologie] [→ 7.14 Kanalwahl] [→ 7.15 Sendeleistung] [→ 25.4 Ein eigenes VLAN und WLAN für Gäste] [→ 30.1 Wireshark] [→ 37.9 FRITZ!Box-VPN] [→ 38.1 Hardwarerouter] [→ 39.1 Anbieter] [→ 40.2 Router mit externer USB-Platte] [→ 46.2 Streaminghardware] [→ 46.2 Streaminghardware] [→ 46.2 Streaminghardware] [→ 47.8
VoIP-Hardware] [→ 49.3 Zentrale oder dezentrale Steuerung?] [→ 55.4 Raspberry NAS] Powerline [→ 7.20 WLAN-Mesh] [→ 8.1 Daten über Stromkabel] WLAN [→ 7.20 WLAN-Mesh] [→ 24.6 USB-Adapter] FRITZ"!Box Fon → siehe [VoIP] FritzCall [→ 46.2 Streaminghardware] FS20 [→ 49.1 Kabel und Funk im Vergleich] [→ 51.1 Kommunikation im FS20-Netzwerk] 1 %-Regel [→ 51.1 Kommunikation im FS20-Netzwerk] Adressen [→ 51.1 Kommunikation im FS20-Netzwerk] Begriff [→ B Glossar] Funktionsgruppe [→ 51.1 Kommunikation im FS20Netzwerk] Gerätecode [→ 51.1 Kommunikation im FS20-Netzwerk] globaler Master [→ 51.1 Kommunikation im FS20Netzwerk] Hauscode [→ 51.1 Kommunikation im FS20-Netzwerk] lokaler Master [→ 51.1 Kommunikation im FS20-Netzwerk] Pairing [→ 51.1 Kommunikation im FS20-Netzwerk] FTP [→ 30.2 Zusatzprogramme für Windows] Begriff [→ B Glossar] TFTP [→ B Glossar] FTTB [→ 12 Fibre-Internet] FTTC [→ 12 Fibre-Internet]
FTTD [→ 12 Fibre-Internet] FTTdp [→ 11.7 G.fast] FTTH [→ 12 Fibre-Internet] [→ B Glossar] AON [→ 12 Fibre-Internet] EPON [→ 12 Fibre-Internet] GPON [→ 12 Fibre-Internet] Paketlaufzeit [→ 16.1 Paketlaufzeiten] Point to Point [→ 12 Fibre-Internet] PON [→ 12 Fibre-Internet] Splitter [→ 12 Fibre-Internet] Full HD → siehe [Streaming] Fullduplex [→ 6.1 Ursprung von Ethernet] [→ 6.2 Fast Ethernet] [→ 24.8 Sonderfunktionen] [→ 24.8 Sonderfunktionen]
G ⇑ G.711 [→ 47.1 Grundlagen zu VoIP] G.722 [→ 47.3 HD Voice] G.729 [→ 47.1 Grundlagen zu VoIP] Begriff [→ B Glossar] Begriff [→ B Glossar] Begriff [→ B Glossar] G.9960 [→ 8.1 Daten über Stromkabel] G.722.2 [→ 47.3 HD Voice]
Begriff [→ B Glossar] G.fast → siehe [DSL] G.hn [→ 8.1 Daten über Stromkabel] Gateway [→ 29.5 Linux-Bordmittel] Begriff [→ B Glossar] GBIC → siehe [Switch] Gerätemanager [→ 29.2 Fehlersuche Schritt für Schritt] GG-45 → siehe [Stecker] Gigabit → siehe [Ethernet] Gigabit PON → siehe [FTTH, GPON] GitHub [→ 14.9 IPv6-only] [→ 44.3 Docker Cloud] Glasfaser → siehe [LWL] GnuPG → siehe [Verschlüsselung] Google App Engine → siehe [Cloud] Google Assistant → siehe [Hausautomation] Google Chromecast → siehe [Streaming] Google Cloud Print → siehe [Cloud] Google Docs → siehe [Cloud] Google Drive → siehe [Cloud] Google Wifi → siehe [WLAN] Google-Kalender [→ 55.3 Der Raspberry-Pi-Radiowecker]
GPIO [→ 55.3 Der Raspberry-Pi-Radiowecker] [→ B Glossar] GPL [→ 27.1 Dokumentation] GPON → siehe [FTTH] GPRS [→ 13.1 Vertragsarten und Anwendung] [→ 13.6 GPRS] [→ B Glossar] Green Ethernet → siehe [Switch] GSM [→ 13.1 Vertragsarten und Anwendung] [→ B Glossar] gVim → siehe [vi]
H ⇑ H.262 [→ 46.1 Protokolle und Codecs] H.264 [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] H.265 [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] Begriff [→ B Glossar] Begriff [→ B Glossar] Begriff [→ B Glossar] HAAP [→ 38.1 Hardwarerouter] Begriff [→ B Glossar] Hacker [→ 14.5 Network Address Translation]
Hackerparagraph [→ 33.1 Mögliche Sicherheitsprobleme] [→ 35.8 WLAN-Sicherheit analysieren] Halfduplex [→ 6.1 Ursprung von Ethernet] [→ 24.8 Sonderfunktionen] HAN FUN → siehe [Hausautomation] Happy Eyeball → siehe [Browser] Hausautomation [→ 49.1 Kabel und Funk im Vergleich] 1-Wire [→ 53.1 Hardware] Aktor [→ 49.2 Sensoren und Aktoren] [→ 53.1 Hardware] Amazon Echo [→ 50.10 Einen Sprachassistenten einbinden] Apple Homekit [→ 49.1 Kabel und Funk im Vergleich] AVM [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 50.7 Weitere FHEM-Module] [→ 55.4 Raspberry NAS] Belkin WeMo [→ 49.1 Kabel und Funk im Vergleich] Connected Home over IP [→ 49.3 Zentrale oder dezentrale Steuerung?] Connectivity Standards Alliance [→ 49.3 Zentrale oder dezentrale Steuerung?] D-Link [→ 49.1 Kabel und Funk im Vergleich] EIB [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ B Glossar] Energieverbrauch [→ 49.1 Kabel und Funk im Vergleich] EnOcean [→ 49.1 Kabel und Funk im Vergleich]
ESP8266 [→ 49.1 Kabel und Funk im Vergleich] [→ 53.1 Hardware] Frequenzen [→ 49.1 Kabel und Funk im Vergleich] Gigaset Elements [→ 49.1 Kabel und Funk im Vergleich] Google Assistant [→ 50.8 Zugriff auf FHEM mit Apps] [→ 50.10 Einen Sprachassistenten einbinden] Google Nest [→ 49.1 Kabel und Funk im Vergleich] HAN FUN [→ 49.1 Kabel und Funk im Vergleich] [→ 49.3 Zentrale oder dezentrale Steuerung?] HomeMatic IP [→ 49.1 Kabel und Funk im Vergleich] [→ 49.3 Zentrale oder dezentrale Steuerung?] [→ 49.3 Zentrale oder dezentrale Steuerung?] [→ 52.1 Funkschnittstelle] HomeMatic IP Wired [→ 52.1 Funkschnittstelle] [→ 52.1 Funkschnittstelle] hue [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] innogy Smarthome [→ 49.1 Kabel und Funk im Vergleich] Interoperabilität [→ 49.1 Kabel und Funk im Vergleich] Investitionsschutz [→ 49.1 Kabel und Funk im Vergleich] ioBroker [→ 49.3 Zentrale oder dezentrale Steuerung?] Kanal [→ 49.2 Sensoren und Aktoren] [→ 52.2 Kommunikation im HomeMatic-Netzwerk] KNX [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ B Glossar] Kodi [→ 46.4 Kodi Home Theater] [→ 50.7 Weitere FHEMModule]
LCN [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] Lightify [→ 49.1 Kabel und Funk im Vergleich] Magenta SmartHome [→ 49.3 Zentrale oder dezentrale Steuerung?] mediola [→ 49.1 Kabel und Funk im Vergleich] MQTT [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 53.4 FHEM als MQTT Broker] [→ 53.7 Tasmota als MQTT Publisher] NAS [→ 40.3 Hardware-NAS] openHAB [→ 40.3 Hardware-NAS] [→ 49.1 Kabel und Funk im Vergleich] [→ 50.9 Zugriff auf FHEM aus dem Internet] [→ B Glossar] Pairing [→ 49.3 Zentrale oder dezentrale Steuerung?] Peering [→ 49.2 Sensoren und Aktoren] [→ 49.3 Zentrale oder dezentrale Steuerung?] QUIVICON [→ 49.1 Kabel und Funk im Vergleich] [→ 49.3 Zentrale oder dezentrale Steuerung?] Reichweite [→ 49.1 Kabel und Funk im Vergleich] Routing [→ 49.1 Kabel und Funk im Vergleich] Rückkanal [→ 49.1 Kabel und Funk im Vergleich] Sensor [→ 49.2 Sensoren und Aktoren] [→ 53.1 Hardware] Shelly [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 53.1 Hardware] Sicherheit [→ 49.1 Kabel und Funk im Vergleich] Siri [→ 17.2 Multipath-TCP] [→ 49.3 Zentrale oder dezentrale Steuerung?]
Sonoff [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 53.1 Hardware] [→ 53.3 Tasmota für WLAN konfigurieren] Sonos [→ 49.1 Kabel und Funk im Vergleich] Speedport Smart [→ 49.3 Zentrale oder dezentrale Steuerung?] Sprachassistent [→ 50.10 Einen Sprachassistenten einbinden] Tasmota [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 53.3 Tasmota für WLAN konfigurieren] Thread [→ 49.3 Zentrale oder dezentrale Steuerung?] ZigBee [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 49.3 Zentrale oder dezentrale Steuerung?] [→ 49.3 Zentrale oder dezentrale Steuerung?] [→ 49.3 Zentrale oder dezentrale Steuerung?] Zuverlässigkeit [→ 49.1 Kabel und Funk im Vergleich] Z-Wave [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] Hausautomation!FHEM → siehe [FHEM] Hausautomation!FS20 → siehe [FS20] Hausautomation!HomeMatic → siehe [HomeMatic] Hausautomation!I2C [→ 53.1 Hardware] Hausautomation!MAX! [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] HbbTV → siehe [Streaming]
HD ready → siehe [Streaming] HD Voice [→ 47.3 HD Voice] HDIS [→ 33.4 Sicherheitslösungen im Überblick] HDLC [→ B Glossar] HDMI [→ 46.2 Streaminghardware] [→ B Glossar] HDTV [→ 8.1 Daten über Stromkabel] [→ 11.8 TV über das Telefonkabel] [→ 25.1 Einsteiger: Mini-Switches] [→ 46.2 Streaminghardware] [→ B Glossar] Header Begriff [→ B Glossar] Ethernet [→ 6.12 Das Ethernet-Datagramm] ICMP [→ 16.2 Das ICMP-Datagramm] [→ 29.5 LinuxBordmittel] IP [→ 5.3 Ablauf der Kommunikation] IPv4 [→ 14.10 Das IPv4-Datagramm] IPv6 [→ 14.7 IP-Version 6] [→ 14.11 Das IPv6-Datagramm] TCP [→ 5.3 Ablauf der Kommunikation] [→ 17.3 Das TCPDatagramm] [→ 17.3 Das TCP-Datagramm] UDP [→ 18.2 Das UDP-Datagramm] Wireshark [→ 30.1 Wireshark] Heimatverzeichnis [→ 43.7 Samba als Fileserver] Hijacking → siehe [Sicherheit] HiLink → siehe [Internet] Hirose → siehe [Kabel]
HomeGrid [→ 8.1 Daten über Stromkabel] [→ 8.1 Daten über Stromkabel] HomeMatic [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ 52.1 Funkschnittstelle] 1 %-Regel [→ 52.2 Kommunikation im HomeMaticNetzwerk] AES [→ 52.6 Sicherheit] BidCoS [→ 52.2 Kommunikation im HomeMaticNetzwerk] CCU2 [→ 52.1 Funkschnittstelle] CCU3 [→ 52.1 Funkschnittstelle] Firmware [→ 52.5 Firmware] HMCCU [→ 52.1 Funkschnittstelle] HM-CFG-LAN [→ 52.1 Funkschnittstelle] HM-CFG-USB2 [→ 52.1 Funkschnittstelle] hmId [→ 52.2 Kommunikation im HomeMatic-Netzwerk] HMInfo [→ 52.2 Kommunikation im HomeMaticNetzwerk] HM-LGW-O-TW-W-EU [→ 52.1 Funkschnittstelle] HM-MOD-RPI-PCB [→ 50.6 Ein HomeMatic-Funkmodul für den Raspberry Pi] [→ 52.1 Funkschnittstelle] Kanal [→ 52.2 Kommunikation im HomeMatic-Netzwerk] Pairing [→ 52.2 Kommunikation im HomeMaticNetzwerk] RaspberryMatic [→ 52.1 Funkschnittstelle] Sicherheit [→ 52.6 Sicherheit]
VCCU [→ 52.2 Kommunikation im HomeMatic-Netzwerk] YAHM [→ 52.1 Funkschnittstelle] HomeMatic IP → siehe [Hausautomation] HomePlug [→ 2.2 Kabel – wenn ja, welches?] [→ 2.2 Kabel – wenn ja, welches?] [→ 8.1 Daten über Stromkabel] [→ B Glossar] Hop [→ 29.4 Windows-Bordmittel] Hop Count [→ 14.11 Das IPv6-Datagramm] [→ 29.4 WindowsBordmittel] Host [→ B Glossar] Host Intrusion Detection → siehe [HIDS] hostapd → siehe [WLAN] hosts → siehe [Namensauflösung] Hot Spot [→ 7.18 Hot Spots] [→ 14.7 IP-Version 6] [→ 26.13 Netzwerk- und Freigabecenter] Hotspot 2.0 → siehe [WLAN] hrping → siehe [Windows] HSCSD [→ 13.1 Vertragsarten und Anwendung] [→ B Glossar] HSDPA [→ 13.8 UMTS] HSDPA+ [→ 13.8 UMTS] HSPA [→ 13.1 Vertragsarten und Anwendung] [→ 13.1 Vertragsarten und Anwendung] [→ 13.8 UMTS] Paketlaufzeit [→ 16.1 Paketlaufzeiten]
HSUPA [→ 13.8 UMTS] HTML [→ B Glossar] HTTP [→ B Glossar] Hub [→ 4.3 Sterntopologie] [→ 6.9 Hub] [→ B Glossar] hue → siehe [Hausautomation] Hybrid Access Aggregation Point → siehe [HAAP] HyperV → siehe [Windows]
I ⇑ I2C → siehe [Hausautomation] IAID [→ 19.3 IPv6-Konfiguration] IANA [→ 17.1 Der Ablauf einer TCP-Verbindung] [→ B Glossar] IAPP [→ B Glossar] Icecast [→ 46.4 Kodi Home Theater] ICMP [→ 16.1 Paketlaufzeiten] [→ 33.1 Mögliche Sicherheitsprobleme] Begriff [→ B Glossar] Code [→ 16.2 Das ICMP-Datagramm] Datagramm [→ 16.2 Das ICMP-Datagramm] Paketlaufzeit [→ 16.1 Paketlaufzeiten] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] Prüfsumme [→ 16.2 Das ICMP-Datagramm] TTL [→ B Glossar] Typ [→ 16.2 Das ICMP-Datagramm]
ICMPv6 [→ 16.1 Paketlaufzeiten] Code [→ 16.3 Das ICMPv6-Datagramm] Datagramm [→ 16.3 Das ICMPv6-Datagramm] Prüfsumme [→ 16.3 Das ICMPv6-Datagramm] Typ [→ 14.7 IP-Version 6] [→ 15.4 Das NDP-Datagramm] [→ 16.3 Das ICMPv6-Datagramm] ICMPv6!Router Advertisement → siehe [NDP] ICMPv6!Router Solicitation → siehe [NDP] ICS → siehe [Internetverbindungsfreigabe] Identity Association Identifier → siehe [IAID] Identity Leak Checker → siehe [Sicherheit] IEEE Begriff [→ B Glossar] IEEE 1394 [→ B Glossar] IEEE 1901 [→ 8.1 Daten über Stromkabel] IEEE 801.11 [→ 7.1 IEEE 802.11] IEEE 802.16 [→ 13.11 WiMAX] [→ B Glossar] IEEE 801.11-2012 [→ 7.1 IEEE 802.11] IEEE 802.11a [→ 7.1 IEEE 802.11] [→ B Glossar] [→ B Glossar] [→ B Glossar] [→ B Glossar] IEEE 802.11a/h [→ 7.3 IEEE 802.11a/h] [→ 7.13 Beschleunigertechniken] IEEE 802.11ac [→ 7.1 IEEE 802.11] [→ 7.6 IEEE 802.11ac – WiFi 5] [→ 7.13 Beschleunigertechniken] [→ 7.13
Beschleunigertechniken] [→ 55.2 Ihr eigener Router für unterwegs] IEEE 802.11ad [→ 7.1 IEEE 802.11] [→ 7.9 IEEE 802.11ad] IEEE 802.11ax [→ 7.1 IEEE 802.11] [→ 7.7 IEEE 802.11ax – WiFi 6] [→ 7.13 Beschleunigertechniken] [→ 38.1 Hardwarerouter] [→ B Glossar] IEEE 802.11ay [→ 7.1 IEEE 802.11] [→ 7.10 IEEE 802.11ay] IEEE 802.11b [→ 7.1 IEEE 802.11] [→ 7.2 IEEE 802.11b] [→ 35.1 WEP] [→ B Glossar] [→ B Glossar] IEEE 802.11b+ [→ 7.2 IEEE 802.11b] IEEE 802.11be [→ 7.1 IEEE 802.11] [→ 7.8 IEEE 802.11be – WiFi 7] [→ 7.13 Beschleunigertechniken] IEEE 801.11c [→ 7.1 IEEE 802.11] IEEE 801.11e [→ 7.1 IEEE 802.11] IEEE 802.11e [→ 7.11 IEEE 802.11e] [→ 7.13 Beschleunigertechniken] [→ 7.22 Ausblick] IEEE 802.16e [→ 13.11 WiMAX] IEEE 801.11f [→ 7.1 IEEE 802.11] IEEE 802.11f [→ B Glossar] IEEE 802.11g [→ 7.1 IEEE 802.11] [→ 7.4 IEEE 802.11g] [→ B Glossar] [→ B Glossar] [→ B Glossar] IEEE 802.11h [→ 7.1 IEEE 802.11] IEEE 802.11i [→ 7.1 IEEE 802.11] [→ 7.22 Ausblick] [→ 35.2 WPA] [→ 35.3 WPA2] [→ 35.3 WPA2] IEEE 802.11j [→ 7.1 IEEE 802.11] IEEE 802.11k [→ 7.1 IEEE 802.11] [→ 7.20 WLAN-Mesh] IEEE 801.11m [→ 7.1 IEEE 802.11]
IEEE 802.11n [→ 7.1 IEEE 802.11] [→ 7.5 IEEE 802.11n – WiFi 4] [→ 7.13 Beschleunigertechniken] [→ 7.13 Beschleunigertechniken] [→ 55.2 Ihr eigener Router für unterwegs] [→ B Glossar] [→ B Glossar] IEEE 802.11p [→ 7.1 IEEE 802.11] IEEE 802.11r [→ 7.1 IEEE 802.11] [→ 7.1 IEEE 802.11] [→ 7.20 WLAN-Mesh] IEEE 802.11s [→ 7.1 IEEE 802.11] [→ 7.20 WLAN-Mesh] [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] [→ B Glossar] IEEE 801.11t [→ 7.1 IEEE 802.11] IEEE 802.11t [→ B Glossar] IEEE 801.11u [→ 7.1 IEEE 802.11] IEEE 802.11v [→ 7.1 IEEE 802.11] [→ 7.20 WLAN-Mesh] IEEE 801.11w [→ 7.1 IEEE 802.11] IEEE 802.1ab [→ 4.1 Bustopologie] IEEE 802.3ab [→ 6.3 Gigabit-Ethernet] IEEE 802.3ae [→ 6.5 IEEE 802.3ae – 10GBASE] IEEE 802.3af [→ 25.3 Fachbegriffe für den Switch-Kauf] [→ B Glossar] IEEE 802.3ah [→ 6.10 Switch] [→ B Glossar] IEEE 802.3an [→ 6.6 IEEE 802.3an – 10GBASE-T] IEEE 802.3ap [→ 6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet] IEEE 802.3at [→ 25.3 Fachbegriffe für den Switch-Kauf] IEEE 802.3az [→ 25.3 Fachbegriffe für den Switch-Kauf]
IEEE 802.3ba [→ 6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet] IEEE 802.3bj [→ 6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet] IEEE 802.3bm [→ 6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet] IEEE 802.3bq [→ 6.7 IEEE 802.3ba/j/m – 40- und 100Gigabit-Ethernet] IEEE 802.3bs [→ 6.8 IEEE 802.3bs – 200- und 400-GigabitEthernet] IEEE 802.3bz [→ 6.4 NBase-T] [→ 25.3 Fachbegriffe für den Switch-Kauf] IEEE 802.1p [→ 25.3 Fachbegriffe für den Switch-Kauf] IEEE 802.3u [→ 6.2 Fast Ethernet] [→ B Glossar] IEEE 802.1w [→ B Glossar] IEEE 802.1x [→ 35.2 WPA] [→ B Glossar] [→ B Glossar] IEEE 802.3x [→ 25.3 Fachbegriffe für den Switch-Kauf] IEEE 802.3z [→ 6.3 Gigabit-Ethernet] Info [→ 6.1 Ursprung von Ethernet] IETF [→ B Glossar] IFTTT → siehe [Cloud] IGMP [→ 6.10 Switch] [→ 14.2 IPv4-Multicast] [→ 14.2 IPv4Multicast] [→ 14.7 IP-Version 6] [→ 25.1 Einsteiger: MiniSwitches] [→ 25.2 Webmanaged Switches] [→ 25.2 Webmanaged Switches] [→ 46.2 Streaminghardware] [→ B Glossar]
IGRP [→ 14.3 Routing] [→ B Glossar] iLBC [→ 47.1 Grundlagen zu VoIP] IMAP [→ 30.1 Wireshark] [→ 43.2 Aufgaben Ihres Netzwerkservers] Incredible PBX → siehe [Asterisk] innogy Smarthome → siehe [Hausautomation] inSSIDer [→ 35.1 WEP] Internet APN [→ 13.2 Verbindungsaufbau mit MWconn und ixconn] [→ 55.2 Ihr eigener Router für unterwegs] Begriff [→ B Glossar] HiLink [→ 13.3 Verbindungsaufbau mit Huawei HiLink] [→ 55.2 Ihr eigener Router für unterwegs] ixconn [→ 13.2 Verbindungsaufbau mit MWconn und ixconn] Mobil [→ 13.1 Vertragsarten und Anwendung] MWconn [→ 13.2 Verbindungsaufbau mit MWconn und ixconn] Radio [→ 46.2 Streaminghardware] Router [→ 38.1 Hardwarerouter] Zugang [→ 38.1 Hardwarerouter] Internet Explorer → siehe [Browser] Internet Group Management Protocol → siehe [IGMP] Internet Key Exchange → siehe [VPN, IKE]
Internet of Things → siehe [IoT] Internet Society → siehe [ISOC] Internetverbindungsfreigabe [→ 38.1 Hardwarerouter] Intranet [→ B Glossar] ioBroker → siehe [Hausautomation] IoT [→ 7.7 IEEE 802.11ax – WiFi 6] [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] [→ 25.4 Ein eigenes VLAN und WLAN für Gäste] [→ 49.1 Kabel und Funk im Vergleich] [→ 49.1 Kabel und Funk im Vergleich] [→ B Glossar] NB-IoT [→ 13.9 LTE] [→ 49.1 Kabel und Funk im Vergleich] IP Adresse [→ 14.4 Private IP-Adressen] Adressen [→ 14.1 IP-Broadcast] [→ 14.1 IP-Broadcast] [→ 14.1 IP-Broadcast] [→ 14.1 IP-Broadcast] Begriff [→ B Glossar] Broadcast [→ 14.1 IP-Broadcast] [→ 14.1 IP-Broadcast] [→ 37.4 SSL-VPN] DHCP [→ 2.7 IP konfigurieren] [→ 19.1 Die einzelnen Pakete] DS-Lite [→ 10.2 Marktsituation] [→ 14.7 IP-Version 6] Dual Stack [→ 14.7 IP-Version 6] [→ 14.9 IPv6-only] dynamisch [→ 2.7 IP konfigurieren] [→ 19.1 Die einzelnen Pakete] Fragmentierung [→ 6.12 Das Ethernet-Datagramm] [→ 14.10 Das IPv4-Datagramm] [→ 14.10 Das IPv4Datagramm] [→ 29.4 Windows-Bordmittel] [→ B Glossar]
Info [→ 14.1 IP-Broadcast] IPnG [→ 14.7 IP-Version 6] IPsec [→ 33.1 Mögliche Sicherheitsprobleme] [→ B Glossar] Klasse [→ 14.1 IP-Broadcast] Konfiguration [→ 2.7 IP konfigurieren] [→ 19.1 Die einzelnen Pakete] Multicast [→ 14.2 IPv4-Multicast] [→ 14.7 IP-Version 6] Netz [→ 14.1 IP-Broadcast] QoS DSCP [→ B Glossar] statisch [→ 19.1 Die einzelnen Pakete] Subnetz [→ 14.3 Routing] [→ B Glossar] Suffix [→ 14.1 IP-Broadcast] Telefon [→ 47.8 VoIP-Hardware] Test [→ 2.8 Funktionstest] Unicast [→ 14.1 IP-Broadcast] Version [→ 14.10 Das IPv4-Datagramm] iPerf [→ 31.1 Performancemessung mit NetIO] [→ 31.2 Performancemessung mit iPerf] IP-Kamera → siehe [Netzwerkkamera] IPP [→ B Glossar] IPsec [→ 37.6 End-to-Site-VPN] IPsec → siehe [VPN] IPTables [→ 34.2 IPTables, Firewall für Linux] Beispiel [→ 55.2 Ihr eigener Router für unterwegs]
IPTraf [→ 30.3 Zusatzprogramme für Linux] IPTV [→ 8.1 Daten über Stromkabel] IPv6 [→ 14.7 IP-Version 6] [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] Adressen [→ 14.7 IP-Version 6] Any2Any [→ 14.7 IP-Version 6] Autokonfiguration [→ 14.7 IP-Version 6] IPv4 CE [→ 14.10 Das IPv4-Datagramm] [→ 17.3 Das TCPDatagramm] CE [→ 14.11 Das IPv6-Datagramm] [→ 17.3 Das TCPDatagramm] DAD [→ 14.7 IP-Version 6] Datagram length [→ 14.10 Das IPv4-Datagramm] Datagramm [→ 14.10 Das IPv4-Datagramm] Datagramm [→ 14.11 Das IPv6-Datagramm] DHCP [→ 19.1 Die einzelnen Pakete] DHCP [→ 19.3 IPv6-Konfiguration] DHCPv6 [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] DOCSIS [→ 10.1 Aufbau] DSCP [→ 14.10 Das IPv4-Datagramm] DSCP [→ 14.11 Das IPv6-Datagramm] dynamisch [→ 19.1 Die einzelnen Pakete] ECN [→ 14.10 Das IPv4-Datagramm]
ECN [→ 14.11 Das IPv6-Datagramm] ECT [→ 14.10 Das IPv4-Datagramm] ECT [→ 14.11 Das IPv6-Datagramm] Extension-Header [→ 14.11 Das IPv6-Datagramm] Flags [→ 14.10 Das IPv4-Datagramm] Flow label [→ 14.11 Das IPv6-Datagramm] Fragmentation offset [→ 14.10 Das IPv4-Datagramm] FRITZ" Box [→ 14.8 IPv6 ausprobieren] Global Unicast [→ 14.7 IP-Version 6] Header checksum [→ 14.10 Das IPv4-Datagramm] Header length [→ 14.10 Das IPv4-Datagramm] Hop [→ 14.10 Das IPv4-Datagramm] Hop (limit) [→ 14.11 Das IPv6-Datagramm] Identifier [→ 14.10 Das IPv4-Datagramm] Info [→ 14.1 IP-Broadcast] Interface Identifier [→ 14.7 IP-Version 6] IPv6-only [→ 14.9 IPv6-only] Konfiguration [→ 19.1 Die einzelnen Pakete] Konfiguration [→ 19.3 IPv6-Konfiguration] Link Local Unicast [→ 14.7 IP-Version 6] [→ 30.1 Wireshark] Linux [→ 27.10 IPv6-Konfiguration] Migration [→ 14.7 IP-Version 6] Multicast [→ 14.7 IP-Version 6] [→ 14.7 IP-Version 6]
Next header [→ 14.11 Das IPv6-Datagramm] [→ 16.3 Das ICMPv6-Datagramm] Payload length [→ 14.11 Das IPv6-Datagramm] Präfix [→ 14.7 IP-Version 6] Prefix [→ 14.7 IP-Version 6] [→ 14.7 IP-Version 6] [→ 19.3 IPv6-Konfiguration] Privacy Extension [→ 14.7 IP-Version 6] Protocol [→ 14.10 Das IPv4-Datagramm] [→ 16.2 Das ICMPDatagramm] Pseudo-Header [→ 16.3 Das ICMPv6-Datagramm] QoS [→ 14.10 Das IPv4-Datagramm] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] QoS [→ 14.11 Das IPv6-Datagramm] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] Sicherheit [→ 33.1 Mögliche Sicherheitsprobleme] SLAAC [→ 14.7 IP-Version 6] [→ 19.3 IPv6-Konfiguration] [→ 19.3 IPv6-Konfiguration] [→ 26.4 IPv6-Konfiguration] [→ 27.10 IPv6-Konfiguration] [→ 30.1 Wireshark] [→ 30.1 Wireshark] Standardgateway [→ 19.3 IPv6-Konfiguration] statisch [→ 19.1 Die einzelnen Pakete] ToS [→ 14.10 Das IPv4-Datagramm] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] Traffic class [→ 14.11 Das IPv6-Datagramm] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] TTL [→ 14.10 Das IPv4-Datagramm] Tunnel [→ 14.8 IPv6 ausprobieren]
Unique Local Unicast [→ 14.7 IP-Version 6] [→ 30.1 Wireshark] [→ 30.1 Wireshark] Version [→ 14.11 Das IPv6-Datagramm] Windows [→ 26.4 IPv6-Konfiguration] IRC [→ B Glossar] ISDN [→ 23.2 Linkklassen] 1TR6 [→ B Glossar] Begriff [→ B Glossar] BRI [→ B Glossar] CLID [→ B Glossar] CLIP [→ B Glossar] CLIR [→ B Glossar] Euro-ISDN [→ B Glossar] NTBA [→ B Glossar] PRI [→ B Glossar] ISO/OSI-Modell [→ 5.1 DoD-Modell] [→ 5.2 ISO/OSI-Modell] ISOC [→ 33.1 Mögliche Sicherheitsprobleme] ITU [→ 11.1 ADSL] [→ B Glossar] iTunes → siehe [Streaming] ixconn → siehe [Internet]
J ⇑ JBOD [→ 40.3 Hardware-NAS]
Jitter [→ 16.1 Paketlaufzeiten] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] [→ 47.4 VoLTE] [→ B Glossar] Jool → siehe [NAT] Jugendschutz DNS [→ 20.4 DNS] Proxy [→ 42.2 Web Proxy Appliance] Windows [→ 26.6 Jugendschutz] Jumbo-Frame → siehe [Ethernet]
K ⇑ Kabel [→ 2.2 Kabel – wenn ja, welches?] Antennenkabel [→ 8.1 Daten über Stromkabel] BNC [→ 4.1 Bustopologie] crimpen [→ 23.1 Kategorien] Cross- [→ 23.7 Cross-Kabel] DAC [→ 9.2 Stecker] F/FTP [→ 23.3 Schirmung] F/STP [→ 23.3 Schirmung] Foil [→ 23.3 Schirmung] Hirose [→ 23.4 Netzwerkstecker anbringen] Internet [→ 10.1 Aufbau] [→ 16.1 Paketlaufzeiten] Kategorien [→ 23.1 Kategorien] [→ 23.4 Netzwerkstecker anbringen] [→ 23.4 Netzwerkstecker anbringen]
Knickschutz [→ 23.4 Netzwerkstecker anbringen] Linkklasse [→ 23.2 Linkklassen] Litzen [→ 23.3 Schirmung] Messgerät [→ 23.5 Kabeltest] Patchkabel [→ 2.2 Kabel – wenn ja, welches?] [→ 23.3 Schirmung] S/FTP [→ 23.3 Schirmung] [→ 23.3 Schirmung] S/STP [→ 23.3 Schirmung] S/UTP [→ 23.3 Schirmung] Schirmung [→ 23.3 Schirmung] SF/FTP [→ 23.3 Schirmung] SF/UTP [→ 23.3 Schirmung] Steward [→ 23.4 Netzwerkstecker anbringen] Stromverkabelung [→ 8.1 Daten über Stromkabel] Test [→ 23.5 Kabeltest] Twisted Pair [→ 2.1 Planung: Welche Komponenten benötigen Sie?] [→ 2.2 Kabel – wenn ja, welches?] [→ 4.3 Sterntopologie] [→ 6.1 Ursprung von Ethernet] [→ 23.3 Schirmung] [→ 25.2 Webmanaged Switches] [→ B Glossar] U/UTP [→ 23.3 Schirmung] unscreened [→ 23.3 Schirmung] unshielded [→ 23.3 Schirmung] Verdrillung [→ 23.4 Netzwerkstecker anbringen] Verlegekabel [→ 23.3 Schirmung] [→ 23.6 Patchpanel und Netzwerkdosen anschließen] verlegen [→ 2.6 Hardware ein- und aufbauen]
Werkzeug [→ 23.1 Kategorien] kapKollaboration [→ 31.1 Performancemessung mit NetIO] KeePass → siehe [Sicherheit] Keyboard-Video-Mouse-Switch → siehe [KVM] Keylogger → siehe [Sicherheit] KNX → siehe [Hausautomation] Kodi [→ 55.1 Raspberry Pi als Media Center] Add-ons [→ 55.1 Raspberry Pi als Media Center] Codecs [→ 55.1 Raspberry Pi als Media Center] Erweiterungen [→ 46.4 Kodi Home Theater] Hausautomation [→ 46.4 Kodi Home Theater] [→ 50.7 Weitere FHEM-Module] LibreELEC [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] [→ 55.1 Raspberry Pi als Media Center] [→ 55.1 Raspberry Pi als Media Center] [→ 55.1 Raspberry Pi als Media Center] Media Streaming [→ 38.1 Hardwarerouter] [→ 40.3 Hardware-NAS] [→ 46.2 Streaminghardware] [→ 46.4 Kodi Home Theater] OpenELEC [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] OSMC [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] [→ 55.1 Raspberry Pi als Media Center] Raspbmc [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] [→ 55.1 Raspberry Pi als Media Center]
Steuerung [→ 46.4 Kodi Home Theater] [→ 50.7 Weitere FHEM-Module] XBian [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] [→ 55.1 Raspberry Pi als Media Center] Kodierung [→ 3.1 Kommunikation im Alltag] Kollaboration [→ 32.10 Zusammenarbeit im Internet – Kollaboration] [→ 40.3 Hardware-NAS] Mikogo [→ 32.10 Zusammenarbeit im Internet – Kollaboration] OpenMeetings [→ 32.10 Zusammenarbeit im Internet – Kollaboration] WebEx [→ 32.10 Zusammenarbeit im Internet – Kollaboration] Kollision [→ 6.1 Ursprung von Ethernet] [→ 6.10 Switch] [→ B Glossar] Kommunikation [→ 3.1 Kommunikation im Alltag] [→ 5.1 DoDModell] Kubernetes → siehe [Container] Kubernetes → siehe [Kubernetes] KVM [→ B Glossar]
L ⇑ LAN Backbone [→ B Glossar] Begriff [→ B Glossar]
Karte [→ 24.1 Kaufhilfe für kabelgebundene Netzwerkkarten] LastPass → siehe [Sicherheit] Layer Begriff [→ 5.2 ISO/OSI-Modell] Data Link [→ 5.2 ISO/OSI-Modell] Physical [→ 5.2 ISO/OSI-Modell] Presentation [→ 5.2 ISO/OSI-Modell] [→ 5.2 ISO/OSIModell] [→ 5.2 ISO/OSI-Modell] Switch [→ 5.2 ISO/OSI-Modell] LCN → siehe [Hausautomation] LDAP [→ 42.2 Web Proxy Appliance] [→ B Glossar] LEAP [→ B Glossar] LEDE → siehe [OpenWrt] Leitungsvermittlung [→ 13.1 Vertragsarten und Anwendung] Let's Encrypt → siehe [Verschlüsselung] LibreELEC → siehe [Kodi] Lichtwellenleiter → siehe [LWL] Lightify → siehe [Hausautomation] Limited Rate Support → siehe [LRS] Line-Sharing → siehe [DSL] Linkaggregation [→ 24.8 Sonderfunktionen] [→ 25.2 Webmanaged Switches]
Linkklasse → siehe [Kabel] Link-LED → siehe [Netzwerkkarte] Linux [→ 27.1 Dokumentation] /etc/hosts [→ 27.9 IPv4-Konfiguration] /etc/nsswitch.conf [→ 27.9 IPv4-Konfiguration] ALSA [→ 55.3 Der Raspberry-Pi-Radiowecker] ARP [→ 29.5 Linux-Bordmittel] [→ A.2 Grundbefehle] Avahi [→ 20.7 systemd-resolved] [→ 22.2 Zeroconf] bing [→ 29.5 Linux-Bordmittel] B-Tree Filesystem [→ 43.4 Das B-Tree-Dateisystem] btrfs [→ 40.1 EasyNAS, FreeNAS, OpenMediaVault und Co.] [→ 40.3 Hardware-NAS] [→ 43.4 Das B-Tree-Dateisystem] cron [→ 43.16 Regelmäßiges Abholen der Post] [→ 50.9 Zugriff auf FHEM aus dem Internet] DHCP SUSE [→ 27.9 IPv4-Konfiguration] dhcpcd [→ 27.4 Auswahl des Netzwerkmanagers] [→ 27.7 Das systemd-Projekt] [→ 54.7 Erste Schritte mit Raspberry Pi OS] dig [→ 20.4 DNS] [→ A.2 Grundbefehle] dnsmasq [→ 55.2 Ihr eigener Router für unterwegs] [→ 55.5 Pi-hole als schwarzes Loch für Werbung] Dokumentation [→ 27.1 Dokumentation] Dolphin [→ 43.9 Linux als Client] ethtool [→ 29.5 Linux-Bordmittel] fdisk [→ 55.4 Raspberry NAS] Firewall [→ 34.2 IPTables, Firewall für Linux]
Firewall SUSE [→ 27.11 Firewalld] Firewalld [→ 27.11 Firewalld] Flugzeugmodus [→ 27.12 WLAN unter Linux] ifconfig [→ 29.2 Fehlersuche Schritt für Schritt] [→ A.2 Grundbefehle] ip [→ 29.5 Linux-Bordmittel] [→ A.2 Grundbefehle] ip route [→ 29.5 Linux-Bordmittel] IPv4-Konfiguration SUSE [→ 27.9 IPv4-Konfiguration] IPv6-Konfiguration SUSE [→ 27.10 IPv6-Konfiguration] IRQ [→ A.2 Grundbefehle] Kernel [→ 27.1 Dokumentation] Kommandozeile [→ A.1 Vorbemerkung] LIRC [→ 55.3 Der Raspberry-Pi-Radiowecker] LVM [→ 43.4 Das B-Tree-Dateisystem] [→ 45.2 Clonezilla] [→ B Glossar] Mailserver [→ 43.14 Mailserver] MPD [→ 55.3 Der Raspberry-Pi-Radiowecker] Namensauflösung [→ 27.9 IPv4-Konfiguration] netstat [→ A.2 Grundbefehle] networkctl [→ A.2 Grundbefehle] NetworkManager [→ 27.4 Auswahl des Netzwerkmanagers] [→ 27.12 WLAN unter Linux] Netzwerkkarte SUSE [→ 27.8 Netzwerkkarte unter SUSE einrichten] Netzwerkperformance [→ 30.3 Zusatzprogramme für Linux]
PAM [→ B Glossar] Predictable Interface Names [→ 27.3 Predictable Interface Names] PulseAudio [→ 55.3 Der Raspberry-Pi-Radiowecker] RAID [→ 41.1 Hardwarevoraussetzungen] [→ B Glossar] resolvectl [→ 20.7 systemd-resolved] [→ A.2 Grundbefehle] RFkill [→ 27.12 WLAN unter Linux] route [→ A.2 Grundbefehle] Shell [→ 27.2 Administration] [→ A.1 Vorbemerkung] Shell Bash [→ A.1 Vorbemerkung] Shell Streams [→ A.1 Vorbemerkung] Shell-Skript [→ A.4 Shell-Skripte] ss [→ 29.5 Linux-Bordmittel] [→ A.2 Grundbefehle] SSH [→ 32.2 Secure Shell (SSH)] Standardgateway [→ 27.9 IPv4-Konfiguration] Systemd [→ 20.7 systemd-resolved] [→ 43.20 Time-Server] systemd [→ 27.4 Auswahl des Netzwerkmanagers] [→ 27.7 Das systemd-Projekt] [→ 54.7 Erste Schritte mit Raspberry Pi OS] [→ A.2 Grundbefehle] systemd-networkd [→ 27.4 Auswahl des Netzwerkmanagers] [→ 27.7 Das systemd-Projekt] systemd-resolved [→ 20.7 systemd-resolved] [→ 27.7 Das systemd-Projekt] tracepath [→ 29.5 Linux-Bordmittel] traceroute [→ 29.5 Linux-Bordmittel]
udev [→ 27.3 Predictable Interface Names] [→ 50.4 Das CUL flashen und einbinden] Wicd [→ 27.4 Auswahl des Netzwerkmanagers] [→ 27.6 Wicd] WLAN SUSE [→ 27.12 WLAN unter Linux] WLAN-Karte [→ 27.12 WLAN unter Linux] Linux!Drucksystem → siehe [CUPS] Linux!hostapd → siehe [WLAN] LIRC → siehe [Linux] LLDP [→ 4.1 Bustopologie] LLMNR [→ 20.6 LLMNR] [→ 20.7 systemd-resolved] Load-Balancer [→ 24.8 Sonderfunktionen] [→ 44.1 Docker Client] [→ B Glossar] Logical Volume Manager → siehe [Linux, LVM] Long Range Wide Area Network → siehe [LoRaWAN] Long-Term Evolution Advanced → siehe [LTE Advanced] LoRaWAN [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] [→ B Glossar] LRS [→ B Glossar] LSA-Plus [→ 23.6 Patchpanel und Netzwerkdosen anschließen] LSA-Plus → siehe [Werkzeug] LTE [→ 13.1 Vertragsarten und Anwendung] [→ 13.9 LTE] Begriff [→ B Glossar]
FDD [→ 13.9 LTE] Paketlaufzeit [→ 16.1 Paketlaufzeiten] TDD [→ 13.9 LTE] LTE Advanced [→ B Glossar] LWL [→ 6.3 Gigabit-Ethernet] [→ 11.3 VDSL] [→ 11.4 VDSL2] [→ 25.2 Webmanaged Switches] [→ B Glossar] AOC [→ 9.2 Stecker] Begriff [→ B Glossar] Internet [→ 12 Fibre-Internet] Kabel [→ 9.1 Kabel] LC-Stecker [→ 9.2 Stecker] Monomode [→ 9.1 Kabel] [→ B Glossar] Multimode [→ 9.1 Kabel] Nachteile [→ 9.1 Kabel] Paketlaufzeit [→ 9.1 Kabel] [→ 16.1 Paketlaufzeiten] [→ 16.1 Paketlaufzeiten] SC-Stecker [→ 9.2 Stecker] SFP [→ 9.2 Stecker] [→ 9.3 SFP-Module] [→ 25.2 Webmanaged Switches] [→ 25.2 Webmanaged Switches] [→ B Glossar] Singlemode [→ 9.1 Kabel] Stecker [→ 9.2 Stecker] ST-Stecker [→ 9.2 Stecker] Vorteile [→ 9.1 Kabel] LXC → siehe [Container]
M ⇑ M3U [→ 46.2 Streaminghardware] [→ 55.3 Der Raspberry-PiRadiowecker] Begriff [→ B Glossar] M.2 [→ 24.4 Next Generation Form Factor oder M.2] macOS Bildschirmfreigabe [→ 32.9 Virtual Network Computing (VNC)] dDNS Broker SE [→ 39.1 Anbieter] GPGTools [→ 36.9 GPGTools für macOS] ifconfig [→ 29.6 Bordmittel von macOS] networksetup [→ 29.6 Bordmittel von macOS] Netzwerkdienstprogramm [→ 29.6 Bordmittel von macOS] Netzwerkumgebungen [→ 28.1 Netzwerkumgebungen] ping [→ 29.6 Bordmittel von macOS] Portscan [→ 29.6 Bordmittel von macOS] Privat-Relay [→ 48.3 Beispiele aus der Cloud] Remotedesktop-Verbindung [→ 32.4 Remotedesktop] SSH [→ 32.2 Secure Shell (SSH)] Systemeinstellungen [→ 28.1 Netzwerkumgebungen] traceroute [→ 29.6 Bordmittel von macOS] VNC [→ 32.9 Virtual Network Computing (VNC)] WLAN [→ 28.4 WLAN-Karte konfigurieren] X11 [→ 32.3 X11, das grafische System unter Linux] Magenta SmartHome → siehe [Hausautomation]
Magic Packet [→ 24.8 Sonderfunktionen] [→ B Glossar] [→ B Glossar] Malware → siehe [Sicherheit] Managed Server → siehe [Cloud] Management Information Base → siehe [SNMP] Man-in-the-Middle-Angriff → siehe [Sicherheit] Manpage [→ 27.1 Dokumentation] Masquerading [→ 14.5 Network Address Translation] MAX! → siehe [Hausautomation] Maxdome → siehe [Streaming] Maximum Transmission Unit → siehe [MTU] Mbit/s [→ B Glossar] MByte [→ B Glossar] MCU [→ B Glossar] MDI-X [→ B Glossar] MDI-X → siehe [Auto MDI-X] mDNS [→ 14.7 IP-Version 6] [→ 20.5 Multicast DNS] [→ 20.7 systemd-resolved] [→ 22.2 Zeroconf] MediaPortal → siehe [Streaming] Mediathek [→ 46.4 Kodi Home Theater] mediola → siehe [Hausautomation] Megabyte → siehe [MByte]
Mesh → siehe [WLAN] MFA → siehe [Multi-Faktor-Authentifizierung] Microsoft Cortana [→ 26.1 Windows-Versionen und -Editionen] [→ 26.16 Microsoft Edge] Edge [→ 26.16 Microsoft Edge] Message Analyser [→ 30.2 Zusatzprogramme für Windows] NetMeeting [→ 47.1 Grundlagen zu VoIP] Microsoft 365 → siehe [Cloud] Microsoft Azure → siehe [Cloud] Microsoft Managed Desktop → siehe [Cloud] Microsoft Office → siehe [Cloud] Microsoft!Passport → siehe [Windows] Microsoft-Konto → siehe [Windows] Mikogo → siehe [Kollaboration] MIMO [→ 7.1 IEEE 802.11] [→ 7.5 IEEE 802.11n – WiFi 4] [→ 7.13 Beschleunigertechniken] [→ 13.5 Signalverstärkung] [→ 13.9 LTE] [→ 13.11 WiMAX] [→ B Glossar] Multi-User [→ 7.13 Beschleunigertechniken] Single-User [→ 7.13 Beschleunigertechniken] Miracast → siehe [Streaming] MLD [→ 14.2 IPv4-Multicast] [→ 14.7 IP-Version 6] [→ 25.1 Einsteiger: Mini-Switches] [→ 25.2 Webmanaged Switches]
[→ B Glossar] MLO [→ 7.8 IEEE 802.11be – WiFi 7] MLP [→ 46.2 Streaminghardware] Monitoring [→ 33.2 Angriffsarten: Übersicht] Mosquitto → siehe [MQTT] MP3 [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] [→ B Glossar] MPD → siehe [Linux] MPDU → siehe [WLAN] MPEG [→ 46.1 Protokolle und Codecs] [→ 55.1 Raspberry Pi als Media Center] Begriff [→ B Glossar] MPEG-2 [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] MPEG-4 Part 2 [→ 46.1 Protokolle und Codecs] Part 10 [→ 46.1 Protokolle und Codecs] MPTCP → siehe [TCP, Multipath-TCP] MQTT → siehe [Hausautomation] MRU [→ B Glossar] MSDU → siehe [WLAN] MTBF [→ B Glossar]
MTU [→ 6.12 Das Ethernet-Datagramm] [→ 14.7 IP-Version 6] [→ 14.10 Das IPv4-Datagramm] [→ 29.4 Windows-Bordmittel] [→ 29.5 Linux-Bordmittel] [→ 30.1 Wireshark] [→ B Glossar] Multicast [→ 46.2 Streaminghardware] [→ 46.2 Streaminghardware] [→ 46.2 Streaminghardware] Begriff [→ B Glossar] IPv4 [→ 14.2 IPv4-Multicast] [→ 14.7 IP-Version 6] IPv6 [→ 14.7 IP-Version 6] [→ 14.7 IP-Version 6] Sat>IP [→ 46.2 Streaminghardware] Multicast DNS → siehe [mDNS] Multicast Listener Discovery → siehe [MLD] Multi-Faktor-Authentifizierung → siehe [Sicherheit] Multi-flow [→ 46.2 Streaminghardware] Begriff [→ B Glossar] Multi-Link-Operation → siehe [MLO] Multipath-TCP → siehe [TCP] Multipoint Control Unit → siehe [MCU] Multipurpose Internet Mail Extensions → siehe [Verschlüsselung, MIME] Multi-User MIMO → siehe [MIMO] MU-MIMO [→ 7.13 Beschleunigertechniken] Music Player Daemon → siehe [Streaming] MWconn → siehe [Internet]
MyFRITZ! [→ 39.1 Anbieter]
N ⇑ Nagios → siehe [SNMP] Namensauflösung [→ 20.1 Die »hosts«-Datei] hosts [→ 20.1 Die »hosts«-Datei] NetBIOS [→ 20.2 NetBIOS] NAS [→ 40.1 EasyNAS, FreeNAS, OpenMediaVault und Co.] Datenbank [→ 40.3 Hardware-NAS] [→ 46.4 Kodi Home Theater] Datensicherung [→ 40.3 Hardware-NAS] Hardware [→ 40.3 Hardware-NAS] Hausautomation [→ 40.3 Hardware-NAS] Netzwerkprotokolle [→ 40.3 Hardware-NAS] Performance [→ 31.3 Intel NAS Performance Toolkit] Raspberry Pi [→ 55.4 Raspberry NAS] Raumüberwachung [→ 40.3 Hardware-NAS] Snapshot [→ 40.3 Hardware-NAS] Synchronisierung [→ 40.3 Hardware-NAS] Test [→ 31.3 Intel NAS Performance Toolkit] Virtualisierung [→ 40.3 Hardware-NAS] NAT [→ 14.5 Network Address Translation] [→ 14.7 IP-Version 6] Begriff [→ B Glossar] Beispiel [→ 55.2 Ihr eigener Router für unterwegs]
Carrier-grade [→ 10.2 Marktsituation] [→ 14.6 Carriergrade NAT] Internet [→ 14.5 Network Address Translation] Jool [→ 14.9 IPv6-only] NAT64 [→ 14.9 IPv6-only] Port Forwarding [→ 14.5 Network Address Translation] [→ 14.7 IP-Version 6] [→ 41.3 Virtuelle Netzwerke] [→ 44.2 Dockerfile] Tabelle [→ 14.5 Network Address Translation] Traversal [→ 22.1 Universal Plug and Play] Virtual Server [→ 14.5 Network Address Translation] [→ 14.7 IP-Version 6] [→ 27.11 Firewalld] VirtualBox [→ 41.3 Virtuelle Netzwerke] VMware Workstation Player [→ 41.4 VMware Workstation Player] VoIP [→ 47.2 Voraussetzungen für VoIP im Netzwerk] NAT!STUN → siehe [VoIP] National Television System Committee → siehe [NTSC] NBase-T [→ 6.4 NBase-T] [→ 9.1 Kabel] NB-IoT → siehe [IoT] nbtstat [→ 29.4 Windows-Bordmittel] NDF [→ B Glossar] Ndiswrapper [→ 27.12 WLAN unter Linux] NDP [→ 15.2 Neighbor Discovery Protocol] Cache [→ 33.3 ARP- und NDP-Missbrauch]
Datagramm [→ 15.4 Das NDP-Datagramm] Default Router List [→ 15.2 Neighbor Discovery Protocol] Destination Cache [→ 15.2 Neighbor Discovery Protocol] Missbrauch [→ 33.3 ARP- und NDP-Missbrauch] Neighbor Advertisement [→ 15.4 Das NDP-Datagramm] [→ 19.3 IPv6-Konfiguration] Neighbor Cache [→ 15.2 Neighbor Discovery Protocol] [→ 29.4 Windows-Bordmittel] [→ 29.5 Linux-Bordmittel] Neighbor Solicitation [→ 15.4 Das NDP-Datagramm] [→ 19.3 IPv6-Konfiguration] Redirect [→ 15.4 Das NDP-Datagramm] Router Advertisement [→ 15.2 Neighbor Discovery Protocol] [→ 15.4 Das NDP-Datagramm] [→ 19.3 IPv6Konfiguration] [→ 19.3 IPv6-Konfiguration] [→ 30.1 Wireshark] Router Solicitation [→ 15.2 Neighbor Discovery Protocol] [→ 15.4 Das NDP-Datagramm] Spoofing [→ 15.1 Address Resolution Protocol] [→ 33.3 ARP- und NDP-Missbrauch] Near-Field Communication → siehe [NFC] Nebensprechen → siehe [Übersprechen] Neighbor Advertisement → siehe [NDP] Neighbor Cache → siehe [NDP] Neighbor Discovery Protocol → siehe [NDP] Neighbor Solicitation → siehe [NDP]
Nero Digital [→ 46.1 Protokolle und Codecs] NetBEUI [→ B Glossar] NetBIOS [→ 29.4 Windows-Bordmittel] [→ B Glossar] NetBIOS → siehe [Namensauflösung] NetBIOS Extended User Interface → siehe [NetBEUI] Netgear Orbi → siehe [WLAN] NetIO [→ 31.1 Performancemessung mit NetIO] Netscape Navigator → siehe [Browser] NetStumbler → siehe [WifiInfoView] Network Address Translation → siehe [NAT] Network Discovery Framework → siehe [NDF] Network File System → siehe [NFS] Network Intrusion Detection → siehe [NIDS] NetworkManager → siehe [Linux] Netzwerk Bottleneck [→ 31.1 Performancemessung mit NetIO] Bustopologie [→ 4.1 Bustopologie] Definition [→ 3.3 Was ist nun ein Netzwerk?] Dose [→ 23.6 Patchpanel und Netzwerkdosen anschließen] Kommunikation [→ 5.3 Ablauf der Kommunikation] PAN [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation]
Performance [→ 31.1 Performancemessung mit NetIO] Physik [→ 6.2 Fast Ethernet] Planung [→ 2.1 Planung: Welche Komponenten benötigen Sie?] Planung Kabel [→ 2.2 Kabel – wenn ja, welches?] Planung Powerline [→ 2.2 Kabel – wenn ja, welches?] Planung Router [→ 2.3 Beispiel: Familie Müller] Planung Switch [→ 2.3 Beispiel: Familie Müller] Planung WLAN [→ 2.2 Kabel – wenn ja, welches?] Ringtopologie [→ 4.2 Ringtopologie] Sterntopologie [→ 4.3 Sterntopologie] [→ 6.9 Hub] [→ 12 Fibre-Internet] [→ 31.1 Performancemessung mit NetIO] Topologie [→ 4.1 Bustopologie] Netzwerkkamera → siehe [Streaming] Netzwerkkarte Cardbus [→ 2.6 Hardware ein- und aufbauen] [→ 24.5 PCCard/Cardbus/ExpressCard] [→ B Glossar] ExpressCard [→ 2.6 Hardware ein- und aufbauen] [→ 24.5 PC-Card/Cardbus/ExpressCard] [→ B Glossar] Link-LED [→ 2.6 Hardware ein- und aufbauen] M.2 [→ 24.4 Next Generation Form Factor oder M.2] Mini PCI [→ 24.3 PCI Express Mini Card] NGFF [→ 24.4 Next Generation Form Factor oder M.2] PC-Card [→ 2.6 Hardware ein- und aufbauen] [→ 24.5 PCCard/Cardbus/ExpressCard] [→ B Glossar] PCI [→ 2.6 Hardware ein- und aufbauen]
PCI Express Mini Card [→ 24.3 PCI Express Mini Card] PCIe [→ 2.6 Hardware ein- und aufbauen] [→ 24.2 PCIExpress-Netzwerkkarten] USB-Adapter [→ 2.6 Hardware ein- und aufbauen] [→ 24.6 USB-Adapter] WLAN [→ 2.6 Hardware ein- und aufbauen] [→ 24.7 WLANNetzwerkkarten] Next Generation Form Factor → siehe [NGFF] NFC [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] NFS [→ 40.3 Hardware-NAS] [→ 45.2 Clonezilla] [→ 46.4 Kodi Home Theater] Begriff [→ B Glossar] NGFF [→ 24.4 Next Generation Form Factor oder M.2] Nic.at [→ 20.4 DNS] NIDS [→ 33.4 Sicherheitslösungen im Überblick] [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] [→ B Glossar] nmap [→ 29.5 Linux-Bordmittel] [→ 40.3 Hardware-NAS] No-IP [→ 39.1 Anbieter] NOOBS → siehe [Raspberry Pi] NSFNET [→ 33.1 Mögliche Sicherheitsprobleme] NTP [→ 43.20 Time-Server] [→ B Glossar] chrony [→ 43.20 Time-Server] chrony.conf [→ 43.20 Time-Server]
chrony.drift [→ 43.20 Time-Server] Clients [→ 43.20 Time-Server] ntpd [→ 43.20 Time-Server] Paketlaufzeit [→ 43.20 Time-Server] SNTP [→ 30.2 Zusatzprogramme für Windows] [→ 43.20 Time-Server] [→ 43.20 Time-Server] [→ B Glossar] Stratum [→ 43.20 Time-Server] systemd-timesyncd [→ 43.20 Time-Server] NTSC [→ B Glossar] nzyme → siehe [Raspberry Pi]
O ⇑ OFDM [→ 7.13 Beschleunigertechniken] [→ 7.14 Kanalwahl] [→ 8.1 Daten über Stromkabel] [→ 10.1 Aufbau] [→ B Glossar] OFDMA [→ 7.7 IEEE 802.11ax – WiFi 6] [→ 13.9 LTE] [→ 13.11 WiMAX] [→ B Glossar] Ogg [→ 46.1 Protokolle und Codecs] OneDrive → siehe [Cloud] ONVIF [→ 46.2 Streaminghardware] OpenELEC → siehe [Kodi] openHAB → siehe [Hausautomation] OpenMeetings → siehe [Kollaboration] OpenPGP → siehe [Verschlüsselung] OpenSSH → siehe [SSH]
OpenWrt [→ 7.18 Hot Spots] [→ 7.18 Hot Spots] [→ 38.1 Hardwarerouter] [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] Organization-Validated → siehe [Verschlüsselung] Orthogonal Frequency-Division Multiple Access → siehe [OFDMA] Orthogonal Frequency-Division Multiplexing → siehe [OFDM] OSMC → siehe [Kodi] OSPF [→ 14.3 Routing] [→ B Glossar]
P ⇑ Packet Loss [→ 16.1 Paketlaufzeiten] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] [→ 47.4 VoLTE] Paket [→ B Glossar] Paketlaufzeit → siehe [ICMP] Paketverlust → siehe [Packet Loss] Paketvermittlung [→ 13.1 Vertragsarten und Anwendung] PAL [→ 46.1 Protokolle und Codecs] [→ B Glossar] PAM [→ 7.1 IEEE 802.11] PAN [→ B Glossar] [→ B Glossar] PAN → siehe [Netzwerk] PAP [→ 37.1 PPTP] [→ B Glossar] Passive Optical Network → siehe [FTTH, PON]
Passpoint → siehe [WLAN] Passport → siehe [Windows] Password Authentication Protocol → siehe [PAP] Passwort → siehe [Sicherheit] Patchkabel → siehe [Kabel] Patchpanel [→ 2.2 Kabel – wenn ja, welches?] [→ 23.2 Linkklassen] Path Maximum Transmission Unit → siehe [PMTU] PBX → siehe [Asterisk] PC-Card → siehe [Netzwerkkarte] PCI [→ 2.6 Hardware ein- und aufbauen] [→ 24.1 Kaufhilfe für kabelgebundene Netzwerkkarten] [→ 27.3 Predictable Interface Names] Begriff [→ B Glossar] PCI Express Mini Card [→ 24.3 PCI Express Mini Card] PCIe [→ 2.6 Hardware ein- und aufbauen] [→ 24.1 Kaufhilfe für kabelgebundene Netzwerkkarten] [→ 24.2 PCI-ExpressNetzwerkkarten] Begriff [→ B Glossar] Bus [→ 24.2 PCI-Express-Netzwerkkarten] PEG [→ 24.2 PCI-Express-Netzwerkkarten] [→ B Glossar] PCM [→ B Glossar] PCMCIA [→ 2.6 Hardware ein- und aufbauen] [→ 2.6 Hardware ein- und aufbauen] [→ 24.5 PC-Card/Cardbus/ExpressCard]
[→ 27.8 Netzwerkkarte unter SUSE einrichten] Begriff [→ B Glossar] PCP [→ 14.6 Carrier-grade NAT] Begriff [→ B Glossar] PDF [→ B Glossar] Perfect Forward Security → siehe [Verschlüsselung, PFS] Permanent Virtual Circuit → siehe [PVC] persistent [→ 29.4 Windows-Bordmittel] Personal Area Network → siehe [Netzwerk, PAN] Personal Operating Space → siehe [POS] Personal Vault → siehe [Cloud, OneDrive] PFS → siehe [Verschlüsselung] PGP [→ B Glossar] PGP → siehe [Verschlüsselung] Phase Alternating Line → siehe [PAL] Phasenkoppler [→ 8.1 Daten über Stromkabel] Phishing → siehe [Sicherheit] Phoneboard → siehe [VoIP] PhonerLite [→ 47.7 Softphones] Physical Layer → siehe [Layer] Picasa [→ 46.4 Kodi Home Theater] Pi-hole → siehe [Raspberry Pi]
Ping [→ 2.8 Funktionstest] [→ 16.1 Paketlaufzeiten] [→ 26.3 IPv4-Konfiguration] [→ 28.5 Die Firewalls von macOS] [→ 29.1 Problemursachen finden] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 40.3 Hardware-NAS] flood [→ 29.5 Linux-Bordmittel] Paketlaufzeit [→ 16.1 Paketlaufzeiten] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] PINN → siehe [Raspberry Pi] PiVPN → siehe [VPN] Planung → siehe [Netzwerk] PLC [→ 8.1 Daten über Stromkabel] [→ 8.2 Powerline Telecommunication] [→ B Glossar] Plex [→ 46.5 Plex] PLS [→ B Glossar] PMTU [→ 6.12 Das Ethernet-Datagramm] [→ 29.4 WindowsBordmittel] [→ 29.5 Linux-Bordmittel] [→ 29.5 LinuxBordmittel] [→ B Glossar] PNRP [→ 32.6 Windows-Remoteunterstützung Easy Connect] PoE → siehe [Switch] PoE HAT → siehe [Raspberry Pi] Point-to-Point Protocol → siehe [PPP] PON → siehe [FTTH] POP3 [→ 30.1 Wireshark] [→ 43.15 Postfachinhalte aus dem Internet holen] [→ B Glossar]
Port Control Protocol → siehe [PCP] Port Forwarding → siehe [NAT] Portscanner [→ 29.5 Linux-Bordmittel] [→ 33.2 Angriffsarten: Übersicht] [→ 33.4 Sicherheitslösungen im Überblick] Portweiterleitung → siehe [NAT, Port Forwarding] POS [→ B Glossar] Postfix [→ 43.14 Mailserver] Mails empfangen [→ 43.14 Mailserver] Mails verschicken [→ 43.14 Mailserver] MTA [→ B Glossar] Relay-Host [→ 43.14 Mailserver] SMTP [→ 43.14 Mailserver] Powerline Communication [→ 8.1 Daten über Stromkabel] PPP [→ 28.2 Schnittstellen verwalten] [→ 37.1 PPTP] [→ 55.2 Ihr eigener Router für unterwegs] Begriff [→ B Glossar] PPTP → siehe [VPN] Preboot Execution Environment → siehe [PXE] Predictable Interface Names → siehe [Linux] Prefix List → siehe [NDP] Presentation Layer → siehe [Layer] Pre-Shared Key → siehe [PSK] Pre-Shared Key → siehe [Verschlüsselung, PSK]
Pretty Easy Privacy → siehe [Verschlüsselung] Pretty Good Privacy → siehe [PPG] Primärnutzer → siehe [WLAN] Primary Domain Controller → siehe [PDC] Private Branch Exchange → siehe [PBX] Promiscuous Mode [→ 6.1 Ursprung von Ethernet] [→ 8.3 Sicherheit] [→ 30.1 Wireshark] [→ 41.3 Virtuelle Netzwerke] Proprietär [→ B Glossar] Provider [→ 47.6 SIP-Provider im Internet] Proxy [→ 14.5 Network Address Translation] [→ 29.1 Problemursachen finden] [→ 33.4 Sicherheitslösungen im Überblick] [→ 38.3 Proxy] [→ 38.3 Proxy] Appliance [→ 42.2 Web Proxy Appliance] Begriff [→ B Glossar] Blacklist [→ 38.3 Proxy] Cache [→ 38.3 Proxy] Chrome [→ 42.2 Web Proxy Appliance] Edge [→ 42.2 Web Proxy Appliance] einrichten [→ 42.2 Web Proxy Appliance] Filter [→ 38.3 Proxy] Firefox [→ 42.2 Web Proxy Appliance] macOS [→ 42.2 Web Proxy Appliance] Whitelist [→ 38.3 Proxy] PRTG → siehe [SNMP]
Pseudo-Header → siehe [IPv6] PSK [→ B Glossar] Pulse Code Modulation → siehe [PCM] PulseAudio → siehe [Linux] PuTTY [→ 32.1 Telnet] [→ 53.3 Tasmota für WLAN konfigurieren] PVC [→ B Glossar] PXE [→ 19.1 Die einzelnen Pakete] [→ 41.2 Oracle VM VirtualBox] [→ 45.2 Clonezilla] [→ 54.1 Hardware im Vergleich] [→ B Glossar]
Q ⇑ QAM [→ 7.8 IEEE 802.11be – WiFi 7] [→ 7.13 Beschleunigertechniken] [→ 10.1 Aufbau] [→ 13.9 LTE] [→ B Glossar] QNAP MyCloudNAS → siehe [Cloud] QoS [→ 11.2 SDSL] [→ 38.1 Hardwarerouter] Begriff [→ B Glossar] IPv4 [→ 14.10 Das IPv4-Datagramm] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] IPv6 [→ 14.11 Das IPv6-Datagramm] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] ToS [→ B Glossar] VoIP [→ 47.2 Voraussetzungen für VoIP im Netzwerk] Quadratur-Amplituden-Modulation → siehe [QAM]
Queue [→ B Glossar] Quick Assist → siehe [Windows] QUIVICON → siehe [Hausautomation]
R ⇑ Radio-Frequency Identification → siehe [RFID] RADIUS [→ 35.2 WPA] [→ 35.3 WPA2] [→ B Glossar] RAID [→ 40.3 Hardware-NAS] [→ 41.1 Hardwarevoraussetzungen] [→ 43.4 Das B-Tree-Dateisystem] [→ 55.4 Raspberry NAS] RAM [→ B Glossar] Random Access Memory → siehe [RAM] Ransomware → siehe [Sicherheit] Rapid Spanning Tree Protocol → siehe [RSTP] Raspberry Pi [→ 54.1 Hardware im Vergleich] Arch [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] Bootloader [→ 54.1 Hardware im Vergleich] EEPROM [→ 54.1 Hardware im Vergleich] Firmware [→ 54.4 Firmwareeinstellungen] GPU [→ 54.1 Hardware im Vergleich] HM-MOD-RPI-PCB [→ 50.6 Ein HomeMatic-Funkmodul für den Raspberry Pi] Internetradio [→ 55.3 Der Raspberry-Pi-Radiowecker]
Media Center [→ 46.5 Plex] [→ 55.1 Raspberry Pi als Media Center] NAS [→ 55.4 Raspberry NAS] NOOBS [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] nzyme [→ 33.4 Sicherheitslösungen im Überblick] Pi-hole [→ 55.5 Pi-hole als schwarzes Loch für Werbung] PINN [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] PoE HAT [→ 54.3 Stromversorgung] RISC OS [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] Router [→ 38.1 Hardwarerouter] [→ 55.2 Ihr eigener Router für unterwegs] USB [→ 38.1 Hardwarerouter] [→ 50.4 Das CUL flashen und einbinden] [→ 54.1 Hardware im Vergleich] [→ 54.3 Stromversorgung] [→ 55.1 Raspberry Pi als Media Center] [→ 55.3 Der Raspberry-Pi-Radiowecker] Raspberry Pi OS [→ 54.5 Auswahl des Betriebssystems für den Raspberry Pi] [→ 55.1 Raspberry Pi als Media Center] IPv4-Konfiguration [→ 54.7 Erste Schritte mit Raspberry Pi OS] SSH [→ 54.7 Erste Schritte mit Raspberry Pi OS] WLAN-Konfiguration [→ 54.7 Erste Schritte mit Raspberry Pi OS] Raspbmc → siehe [Kodi] RasPlex [→ 46.5 Plex]
RDNSS → siehe [DNS] RDP [→ 32.4 Remotedesktop] Begriff [→ B Glossar] Client Linux [→ 32.4 Remotedesktop] Client Windows [→ 32.4 Remotedesktop] Real Time Streaming Protocol → siehe [RTSP] Really Simple Syndication → siehe [RSS] Real-Time Control Protocol → siehe [RTCP] Real-Time Transport Protocol → siehe [RTP] Receive Window → siehe [TCP] Received Signal Strength Indicator → siehe [RSSI] RegTP [→ B Glossar] Regular Expression → siehe [Regulärer Ausdruck] Regulärer Ausdruck [→ 51.3 Der Dimmer der Terrassenüberdachung] [→ 53.9 Taupunktberechnung mit Dewpoint] Begriff [→ B Glossar] Regulierungsbehörde für Telekommunikation und Post → siehe [RegTP] Remotedesktop → siehe [RDP] Remoteunterstützung → siehe [Windows] Replay Attack → siehe [Sicherheit] Request To Send → siehe [RTS]
Réseaux IP Européens → siehe [RIPE] Resource Records → siehe [DNS] RFC [→ B Glossar] RFID [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] RIFS [→ B Glossar] RIPE [→ 14.1 IP-Broadcast] [→ 14.4 Private IP-Adressen] [→ 33.1 Mögliche Sicherheitsprobleme] [→ B Glossar] RISC OS → siehe [Raspberry Pi] RJ-45 → siehe [Stecker] Roaming → siehe [WLAN] Robocopy → siehe [Backup] Root-Server → siehe [Cloud] Round Trip Time → siehe [RTT] Router [→ 2.1 Planung: Welche Komponenten benötigen Sie?] [→ 2.3 Beispiel: Familie Müller] [→ 14.3 Routing] [→ 14.3 Routing] Apple Airport [→ 38.1 Hardwarerouter] Begriff [→ B Glossar] Beispiel [→ 55.2 Ihr eigener Router für unterwegs] Druckeranschluss [→ 38.1 Hardwarerouter] DSL [→ 38.1 Hardwarerouter] Firewall [→ 38.1 Hardwarerouter] Firmware [→ 38.1 Hardwarerouter]
Internet [→ 38.1 Hardwarerouter] LTE [→ 55.2 Ihr eigener Router für unterwegs] NAT [→ 14.5 Network Address Translation] Pocket [→ 13.1 Vertragsarten und Anwendung] Raspberry Pi [→ 38.1 Hardwarerouter] [→ 55.2 Ihr eigener Router für unterwegs] Speedport Hybrid [→ 38.1 Hardwarerouter] Tethering [→ 13.1 Vertragsarten und Anwendung] [→ 38.1 Hardwarerouter] [→ 55.1 Raspberry Pi als Media Center] [→ 55.2 Ihr eigener Router für unterwegs] USB [→ 38.1 Hardwarerouter] [→ 38.1 Hardwarerouter] [→ 40.1 EasyNAS, FreeNAS, OpenMediaVault und Co.] [→ 40.2 Router mit externer USB-Platte] Router Advertisement → siehe [NDP] Router Solicitation → siehe [NDP] Router!DynDNS → siehe [DNS] Routing [→ 14.1 IP-Broadcast] [→ 14.3 Routing] Begriff [→ B Glossar] CIDR [→ 14.1 IP-Broadcast] [→ 29.5 Linux-Bordmittel] [→ B Glossar] Eintrag [→ 14.3 Routing] [→ 14.3 Routing] Linux [→ 29.5 Linux-Bordmittel] Protokolle [→ 14.3 Routing] RIP [→ 14.3 Routing] [→ B Glossar] Standardgateway [→ 14.3 Routing] [→ 19.1 Die einzelnen Pakete] [→ 19.3 IPv6-Konfiguration] [→ 22.2 Zeroconf]
Windows [→ 29.4 Windows-Bordmittel] RSA → siehe [Verschlüsselung] RSRP [→ 13.4 Messen der Signalstärke] Begriff [→ B Glossar] RSRQ [→ 13.4 Messen der Signalstärke] Begriff [→ B Glossar] RSS [→ 46.2 Streaminghardware] [→ B Glossar] RSSI [→ 13.4 Messen der Signalstärke] [→ 52.2 Kommunikation im HomeMatic-Netzwerk] [→ 52.2 Kommunikation im HomeMatic-Netzwerk] [→ 53.3 Tasmota für WLAN konfigurieren] Begriff [→ B Glossar] RSTP [→ B Glossar] rsync → siehe [Backup] RTCP [→ B Glossar] RTP [→ 18.1 Der Ablauf einer UDP-Verbindung] [→ 46.3 Streamingsoftware] [→ 46.3 Streamingsoftware] [→ 47.1 Grundlagen zu VoIP] [→ B Glossar] [→ B Glossar] RTS [→ B Glossar] RTSP [→ 46.2 Streaminghardware] RTT [→ 47.2 Voraussetzungen für VoIP im Netzwerk] RWND → siehe [TCP]
S ⇑
S/FTP → siehe [Kabel] S/STP → siehe [Kabel] S/UTP → siehe [Kabel] Samba Backup [→ 45.2 Clonezilla] Begriff [→ B Glossar] Kodi [→ 46.4 Kodi Home Theater] Linux-Client [→ 43.9 Linux als Client] Linux-Server [→ 43.7 Samba als Fileserver] macOS [→ 28.7 Freigaben für Windows unter macOS] Mitschnitt [→ 30.2 Zusatzprogramme für Windows] Netzlaufwerk [→ 25.4 Ein eigenes VLAN und WLAN für Gäste] [→ 40.3 Hardware-NAS] [→ 43.8 Windows als Client] Webmin [→ 43.7 Samba als Fileserver] Windows-Client [→ 43.8 Windows als Client] Sandbox → siehe [Windows] SASL [→ B Glossar] Sat>IP → siehe [Streaming] SATA [→ 24.4 Next Generation Form Factor oder M.2] [→ 55.4 Raspberry NAS] [→ B Glossar] Scraper [→ 46.4 Kodi Home Theater] SCTP [→ B Glossar] Secure Easy Setup → siehe [SES]
Security Association → siehe [VPN, SA] Segment [→ 14.3 Routing] [→ B Glossar] Segmentierung [→ B Glossar] Send Window → siehe [TCP] Sender [→ 3.1 Kommunikation im Alltag] Sendmail → siehe [Postfix] Serial ATA → siehe [SATA] Server [→ 43.1 Motivation – oder: Warum ausgerechnet Linux?] Server Message Block → siehe [SMB] Serverport → siehe [TCP] Serverzertifikat → siehe [Verschlüsselung] SES [→ B Glossar] Session Initiation Protocol → siehe [SIP] Session Layer → siehe [Layer] Set-Top-Box → siehe [Streaming] SF/FTP → siehe [Kabel] SF/UTP → siehe [Kabel] SFP → siehe [LWL] Shelly → siehe [Hausautomation] Sicherheit [→ 33.1 Mögliche Sicherheitsprobleme] Adware [→ 26.8 Windows Defender]
Angriffsszenarien [→ 33.2 Angriffsarten: Übersicht] Autorisierung [→ 33.1 Mögliche Sicherheitsprobleme] Botnet [→ 33.1 Mögliche Sicherheitsprobleme] [→ B Glossar] Brute-Force Attack [→ 33.2 Angriffsarten: Übersicht] [→ 37.3 IPsec] Buffer Overrun [→ 33.2 Angriffsarten: Übersicht] Chain of Trust [→ 20.4 DNS] Dialer [→ B Glossar] Distributed DoS [→ 33.2 Angriffsarten: Übersicht] DoS-Angriff [→ 17.3 Das TCP-Datagramm] [→ 33.2 Angriffsarten: Übersicht] [→ B Glossar] Exploit [→ 33.1 Mögliche Sicherheitsprobleme] Hijacking [→ 33.2 Angriffsarten: Übersicht] Identity Leak Checker [→ 33.4 Sicherheitslösungen im Überblick] IP [→ 33.1 Mögliche Sicherheitsprobleme] KeePass [→ 33.4 Sicherheitslösungen im Überblick] [→ 33.4 Sicherheitslösungen im Überblick] [→ 48.3 Beispiele aus der Cloud] [→ 48.3 Beispiele aus der Cloud] Keylogger [→ 26.8 Windows Defender] LastPass [→ 48.3 Beispiele aus der Cloud] Malware [→ 33.1 Mögliche Sicherheitsprobleme] [→ 42.2 Web Proxy Appliance] Man-in-the-Middle-Angriff [→ 32.2 Secure Shell (SSH)] [→ 33.2 Angriffsarten: Übersicht] [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln]
Multi-Faktor-Authentifizierung [→ 33.4 Sicherheitslösungen im Überblick] Passwort [→ 33.4 Sicherheitslösungen im Überblick] Passwort-Safe [→ 33.4 Sicherheitslösungen im Überblick] Phishing [→ 33.2 Angriffsarten: Übersicht] [→ 42.2 Web Proxy Appliance] Programme [→ 34.1 Firewalls für Windows] Ransomware [→ 33.1 Mögliche Sicherheitsprobleme] Replay Attack [→ 35.2 WPA] Sniffing [→ 33.2 Angriffsarten: Übersicht] Spoofing [→ 20.4 DNS] [→ 33.2 Angriffsarten: Übersicht] Spyware [→ 26.8 Windows Defender] [→ 33.1 Mögliche Sicherheitsprobleme] [→ B Glossar] SYN-Flooding [→ 17.3 Das TCP-Datagramm] [→ 33.2 Angriffsarten: Übersicht] UPnP [→ 22.1 Universal Plug and Play] Viren [→ 26.8 Windows Defender] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 33.4 Sicherheitslösungen im Überblick] [→ B Glossar] Virenscanner [→ 26.1 Windows-Versionen und -Editionen] [→ 26.8 Windows Defender] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 33.4 Sicherheitslösungen im Überblick] [→ 33.4 Sicherheitslösungen im Überblick] WLAN [→ 35.1 WEP] Würmer [→ 33.1 Mögliche Sicherheitsprobleme] [→ B Glossar]
Zwei-Faktor-Authentifizierung [→ 33.4 Sicherheitslösungen im Überblick] [→ 48.3 Beispiele aus der Cloud] [→ 48.3 Beispiele aus der Cloud] SIFS [→ B Glossar] SILK [→ 47.1 Grundlagen zu VoIP] Silverlight [→ 55.1 Raspberry Pi als Media Center] Simple Network Time Protocol → siehe [SNTP] SimpLink → siehe [CEC] Simultaneous Close → siehe [TCP] Single-User MIMO → siehe [MIMO] SIP [→ 42.3 Asterisk Appliance] [→ 47.1 Grundlagen zu VoIP] [→ 47.1 Grundlagen zu VoIP] Begriff [→ B Glossar] Proxy [→ 47.1 Grundlagen zu VoIP] SDP [→ B Glossar] SIP Secure (SIPS) [→ B Glossar] Siri → siehe [Hausautomation] Skype → siehe [VoIP] SLA [→ 11.2 SDSL] [→ B Glossar] SLAAC → siehe [IPv6] SLAT [→ 26.12 Client HyperV] [→ B Glossar] SlimFTPd [→ 30.2 Zusatzprogramme für Windows] SMA [→ 13.5 Signalverstärkung]
Begriff [→ B Glossar] Small Form-factor Pluggable → siehe [LWL, SFP] Smart Home → siehe [Hausautomation] SMB [→ B Glossar] SMTP [→ 43.15 Postfachinhalte aus dem Internet holen] [→ B Glossar] Sniffer [→ 30.1 Wireshark] [→ 33.1 Mögliche Sicherheitsprobleme] [→ 35.8 WLAN-Sicherheit analysieren] Sniffing → siehe [Sicherheit] SNMP [→ 21 Simple Network Management Protocol (SNMP)] [→ 25.2 Webmanaged Switches] Agenten [→ 21 Simple Network Management Protocol (SNMP)] Begriff [→ B Glossar] Community [→ 21 Simple Network Management Protocol (SNMP)] MIB [→ 21 Simple Network Management Protocol (SNMP)] [→ B Glossar] Nagios [→ 21 Simple Network Management Protocol (SNMP)] OID [→ B Glossar] PRTG [→ 21 Simple Network Management Protocol (SNMP)] read [→ 21 Simple Network Management Protocol (SNMP)] RMON [→ B Glossar]
Traps [→ 21 Simple Network Management Protocol (SNMP)] write [→ 21 Simple Network Management Protocol (SNMP)] SNTP → siehe [NTP] SoC [→ 53.1 Hardware] [→ 54.1 Hardware im Vergleich] [→ B Glossar] Social Engineering [→ 33.2 Angriffsarten: Übersicht] Socket [→ B Glossar] Softphone [→ 47.1 Grundlagen zu VoIP] [→ 47.1 Grundlagen zu VoIP] [→ 47.6 SIP-Provider im Internet] [→ 47.7 Softphones] [→ 47.7 Softphones] [→ 47.9 Headsets] [→ B Glossar] Solid-State-Disc → siehe [SSD] Sonoff → siehe [Hausautomation] Sonos → siehe [Hausautomation] Spanning Tree → siehe [Switch] Spanning Tree Protocol → siehe [STP] Speedport Smart → siehe [Hausautomation] Speex [→ 47.1 Grundlagen zu VoIP] Begriff [→ B Glossar] Spoofing → siehe [Sicherheit] Spotify → siehe [Streaming] Sprachassistent → siehe [Hausautomation]
Spyware → siehe [Sicherheit] SQL [→ B Glossar] SSD [→ 24.4 Next Generation Form Factor oder M.2] [→ 40.2 Router mit externer USB-Platte] [→ B Glossar] SSH [→ 32.2 Secure Shell (SSH)] [→ 36.2 Asymmetrische Verschlüsselung] [→ 45.2 Clonezilla] Android-App [→ 32.2 Secure Shell (SSH)] Client Windows [→ 32.1 Telnet] Clientschlüssel [→ 32.2 Secure Shell (SSH)] [→ 36.6 GNU Privacy Guard (GnuPG)] iOS-App [→ 32.2 Secure Shell (SSH)] Linux [→ 32.2 Secure Shell (SSH)] macOS [→ 32.2 Secure Shell (SSH)] pscp [→ 32.2 Secure Shell (SSH)] Raspberry Pi OS [→ 54.7 Erste Schritte mit Raspberry Pi OS] scp [→ 32.2 Secure Shell (SSH)] Serverschlüssel [→ 32.2 Secure Shell (SSH)] [→ 36.6 GNU Privacy Guard (GnuPG)] Sicherheit [→ 32.2 Secure Shell (SSH)] Single Sign-On [→ 32.2 Secure Shell (SSH)] Terminus [→ 32.2 Secure Shell (SSH)] Windows [→ 26.1 Windows-Versionen und -Editionen] [→ 32.2 Secure Shell (SSH)] WinSCP [→ 32.2 Secure Shell (SSH)] X11-Tunnel [→ 32.3 X11, das grafische System unter Linux]
SSL → siehe [Verschlüsselung, TLS] Stecker GG-45 [→ 23.4 Netzwerkstecker anbringen] [→ B Glossar] RJ-45 [→ 2.2 Kabel – wenn ja, welches?] [→ 6.9 Hub] [→ 6.10 Switch] [→ 9.3 SFP-Module] [→ 23.1 Kategorien] [→ 23.3 Schirmung] [→ 23.4 Netzwerkstecker anbringen] [→ 23.6 Patchpanel und Netzwerkdosen anschließen] [→ 23.6 Patchpanel und Netzwerkdosen anschließen] [→ 29.2 Fehlersuche Schritt für Schritt] [→ 38.1 Hardwarerouter] [→ B Glossar] TERA [→ 23.4 Netzwerkstecker anbringen] Steward → siehe [Kabel] Störerhaftung → siehe [WLAN] STP [→ B Glossar] Streaming [→ 2.3 Beispiel: Familie Müller] [→ 31.1 Performancemessung mit NetIO] [→ 46.1 Protokolle und Codecs] 4K [→ 46.1 Protokolle und Codecs] AirPlay [→ 46.1 Protokolle und Codecs] Amazon Fire TV [→ 46.2 Streaminghardware] Amazon Prime [→ 46.2 Streaminghardware] [→ 55.1 Raspberry Pi als Media Center] Apple TV [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] Audio-Codec [→ 46.1 Protokolle und Codecs] CBR [→ 46.1 Protokolle und Codecs]
Chromecast [→ 46.1 Protokolle und Codecs] Client [→ 46.2 Streaminghardware] Datenraten [→ 46.1 Protokolle und Codecs] DLNA [→ 46.1 Protokolle und Codecs] Dolby Digital [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] Dolby True HD [→ 46.1 Protokolle und Codecs] Dreambox [→ 46.2 Streaminghardware] DTS [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 55.1 Raspberry Pi als Media Center] Enigma [→ 46.2 Streaminghardware] Full HD [→ 46.1 Protokolle und Codecs] Google Chromecast [→ 46.2 Streaminghardware] Hardware [→ 40.3 Hardware-NAS] [→ 46.2 Streaminghardware] [→ 46.4 Kodi Home Theater] HbbTV [→ 46.2 Streaminghardware] HD ready [→ 46.1 Protokolle und Codecs] HTTP [→ 46.3 Streamingsoftware] Icecast [→ 46.3 Streamingsoftware] Internetradio [→ 55.3 Der Raspberry-Pi-Radiowecker] iTunes [→ 46.2 Streaminghardware] [→ 46.4 Kodi Home Theater] Kodi [→ 46.2 Streaminghardware] [→ 46.4 Kodi Home Theater] Linux Receiver [→ 46.2 Streaminghardware] Maxdome [→ 55.1 Raspberry Pi als Media Center]
MediaPortal [→ 46.2 Streaminghardware] Miracast [→ 7.19 WLAN-Direktverbindungen] [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] MS-WMSP [→ 46.3 Streamingsoftware] Music Player Daemon [→ 55.3 Der Raspberry-PiRadiowecker] Netflix [→ 46.1 Protokolle und Codecs] Netzwerkkamera [→ 40.3 Hardware-NAS] [→ 46.2 Streaminghardware] [→ 50.7 Weitere FHEM-Module] Raspberry Pi [→ 46.2 Streaminghardware] RTP/AVP [→ 46.3 Streamingsoftware] RTP/MPEG-TS [→ 46.3 Streamingsoftware] Sat>IP [→ 46.2 Streaminghardware] Set-Top-Box [→ 8.1 Daten über Stromkabel] [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] Software [→ 46.3 Streamingsoftware] Spotify [→ 14.9 IPv6-only] [→ 46.2 Streaminghardware] Tvheadend [→ 46.2 Streaminghardware] UHD-1 [→ 46.1 Protokolle und Codecs] UHD-2 [→ 46.1 Protokolle und Codecs] VBR [→ 46.1 Protokolle und Codecs] VBR, Begriff [→ B Glossar] Video-Codec [→ 46.1 Protokolle und Codecs] VLC [→ 46.3 Streamingsoftware] [→ 55.1 Raspberry Pi als Media Center] Watchever [→ 55.1 Raspberry Pi als Media Center]
Windows [→ 26.13 Netzwerk- und Freigabecenter] [→ 46.3 Streamingsoftware] Wivedine [→ 55.1 Raspberry Pi als Media Center] YouTube [→ 46.1 Protokolle und Codecs] [→ 46.2 Streaminghardware] Structured Query Language → siehe [SQL] STUN → siehe [VoIP] Subnetzmaske [→ B Glossar] Subsystem für Android → siehe [Windows, WSA] Subsystem für Linux → siehe [Windows, WSL] Supervectoring → siehe [DSL] SUSE [→ 27.1 Dokumentation] [→ 40.1 EasyNAS, FreeNAS, OpenMediaVault und Co.] SVOPC [→ 47.1 Grundlagen zu VoIP] SWITCH [→ 20.4 DNS] Switch [→ 2.1 Planung: Welche Komponenten benötigen Sie?] [→ 2.6 Hardware ein- und aufbauen] [→ 6.10 Switch] [→ 25.1 Einsteiger: Mini-Switches] GBIC [→ B Glossar] [→ B Glossar] Gigabit [→ 25.1 Einsteiger: Mini-Switches] [→ 38.1 Hardwarerouter] Green Ethernet [→ 25.3 Fachbegriffe für den Switch-Kauf] Layer 3 [→ 5.2 ISO/OSI-Modell] [→ 25.3 Fachbegriffe für den Switch-Kauf] Loop [→ 25.2 Webmanaged Switches]
managed [→ 25.3 Fachbegriffe für den Switch-Kauf] Mini [→ 25.1 Einsteiger: Mini-Switches] NWay [→ 25.3 Fachbegriffe für den Switch-Kauf] PoE [→ 6.4 NBase-T] [→ 9.1 Kabel] [→ 25.3 Fachbegriffe für den Switch-Kauf] [→ 46.2 Streaminghardware] [→ 54.3 Stromversorgung] [→ B Glossar] SFP [→ 25.2 Webmanaged Switches] [→ 25.2 Webmanaged Switches] [→ B Glossar] Spanning Tree [→ 25.2 Webmanaged Switches] store • forward [→ 25.1 Einsteiger: Mini-Switches] [→ 25.3 Fachbegriffe für den Switch-Kauf] Switching-Tabelle [→ 14.2 IPv4-Multicast] [→ 25.3 Fachbegriffe für den Switch-Kauf] Trunking [→ 25.2 Webmanaged Switches] webmanaged [→ 25.2 Webmanaged Switches] [→ 25.3 Fachbegriffe für den Switch-Kauf] [→ 25.3 Fachbegriffe für den Switch-Kauf] Switch!VLAN → siehe [Ethernet] SyncToy → siehe [Backup] SYN-Flooding → siehe [Sicherheit] Systemabbild → siehe [Windows] systemd → siehe [Linux] systemd-networkd → siehe [Linux] systemd-timesyncd → siehe [NTP] System-on-a-Chip → siehe [SoC]
Systemzeit → siehe [NTP]
T ⇑ TAL [→ B Glossar] TAL → siehe [DSL] Target Wakeup Time → siehe [TWT] Tasker-App [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] TCP ACK [→ 17.3 Das TCP-Datagramm] Acknowledgement Number [→ 17.3 Das TCP-Datagramm] Begriff [→ B Glossar] Bytes in Flight [→ 17.1 Der Ablauf einer TCP-Verbindung] Clientport [→ 17.1 Der Ablauf einer TCP-Verbindung] CLOSED [→ 17.1 Der Ablauf einer TCP-Verbindung] CLOSE-WAIT [→ 17.1 Der Ablauf einer TCP-Verbindung] CLOSING [→ 17.1 Der Ablauf einer TCP-Verbindung] CWND [→ 17.1 Der Ablauf einer TCP-Verbindung] [→ 17.3 Das TCP-Datagramm] CWR [→ 17.3 Das TCP-Datagramm] Datagramm [→ 17.3 Das TCP-Datagramm] Destination Port [→ 17.3 Das TCP-Datagramm] ECE [→ 17.3 Das TCP-Datagramm] ESTABLISHED [→ 17.1 Der Ablauf einer TCP-Verbindung] FIN [→ 17.3 Das TCP-Datagramm]
FIN-WAIT-1 [→ 17.1 Der Ablauf einer TCP-Verbindung] FIN-WAIT-2 [→ 17.1 Der Ablauf einer TCP-Verbindung] Flags [→ 17.3 Das TCP-Datagramm] Flusskontrolle [→ 17.1 Der Ablauf einer TCP-Verbindung] Info [→ 17.1 Der Ablauf einer TCP-Verbindung] ISN [→ 17.3 Das TCP-Datagramm] LAST-ACK [→ 17.1 Der Ablauf einer TCP-Verbindung] LISTEN [→ 17.1 Der Ablauf einer TCP-Verbindung] MPTCP [→ 38.1 Hardwarerouter] [→ B Glossar] MSS [→ B Glossar] Multipath-TCP [→ 17.2 Multipath-TCP] Offset [→ 17.3 Das TCP-Datagramm] Options [→ 17.3 Das TCP-Datagramm] Port [→ 17.1 Der Ablauf einer TCP-Verbindung] Prüfsumme [→ 17.3 Das TCP-Datagramm] Pseudo-Header [→ 17.3 Das TCP-Datagramm] Receive Window [→ 17.1 Der Ablauf einer TCP-Verbindung] RST [→ 17.3 Das TCP-Datagramm] RWND [→ 17.1 Der Ablauf einer TCP-Verbindung] Send Window [→ 17.1 Der Ablauf einer TCP-Verbindung] Sequence Number [→ 17.3 Das TCP-Datagramm] Serverport [→ 5.3 Ablauf der Kommunikation] [→ 17.1 Der Ablauf einer TCP-Verbindung] Simultaneous Close [→ 17.1 Der Ablauf einer TCPVerbindung] Source Port [→ 17.3 Das TCP-Datagramm]
SYN [→ 17.3 Das TCP-Datagramm] SYN-RECEIVED [→ 17.1 Der Ablauf einer TCP-Verbindung] SYN-SENT [→ 17.1 Der Ablauf einer TCP-Verbindung] Three-Way-Handshake [→ 17.1 Der Ablauf einer TCPVerbindung] TIME-WAIT [→ 17.1 Der Ablauf einer TCP-Verbindung] URG [→ 17.3 Das TCP-Datagramm] Urgent Pointer [→ 17.3 Das TCP-Datagramm] Verbindungsabbau [→ 17.1 Der Ablauf einer TCPVerbindung] Verbindungsaufbau [→ 17.1 Der Ablauf einer TCPVerbindung] Window Size [→ 17.3 Das TCP-Datagramm] [→ 31.2 Performancemessung mit iPerf] TeamViewer [→ 32.8 TeamViewer] Teilnehmeranschlussleitung → siehe [DSL, TAL] Teilnehmeranschlussleitung → siehe [TAL] Telegram [→ 50.7 Weitere FHEM-Module] [→ 50.9 Zugriff auf FHEM aus dem Internet] Telekommunikation [→ 3.1 Kommunikation im Alltag] Telnet [→ 32.1 Telnet] Client [→ 32.1 Telnet] Sicherheit [→ 32.1 Telnet] TERA → siehe [Stecker] Terabit → siehe [Ethernet]
Tethering → siehe [Router] TFTP [→ 30.2 Zusatzprogramme für Windows] Tftpd64 [→ 30.2 Zusatzprogramme für Windows] Thread → siehe [Hausautomation] Three-Way-Handshake → siehe [TCP] Thunderbird [→ 43.18 IMAP-Clients im LAN an den Server anbinden] TIA [→ B Glossar] Time Machine → siehe [Backup] TKIP → siehe [WLAN] TLS → siehe [Verschlüsselung] Token-Ring [→ 4.2 Ringtopologie] [→ 23.1 Kategorien] [→ 23.2 Linkklassen] TPC → siehe [WLAN] TP-Link Deco → siehe [WLAN] tracepath [→ 29.5 Linux-Bordmittel] traceroute [→ 14.3 Routing] [→ 29.4 Windows-Bordmittel] [→ 29.5 Linux-Bordmittel] Triple Play [→ 10.1 Aufbau] [→ 11.4 VDSL2] Trojanisches Pferd [→ 33.4 Sicherheitslösungen im Überblick] Troubleshooting Allgemeines [→ 29.1 Problemursachen finden] Checkliste [→ 29.3 Checkliste]
Firewall [→ 29.3 Checkliste] ipconfig [→ 29.4 Windows-Bordmittel] IP-Konfiguration [→ 29.2 Fehlersuche Schritt für Schritt] ISO/OSI [→ 29.1 Problemursachen finden] Kabel [→ 29.2 Fehlersuche Schritt für Schritt] Linux Ping [→ 29.5 Linux-Bordmittel] Linux-Bordmittel [→ 29.5 Linux-Bordmittel] macOS-Bordmittel [→ 29.6 Bordmittel von macOS] Paketanalyse [→ 30.1 Wireshark] Ping [→ 29.1 Problemursachen finden] Tools Linux [→ 30.3 Zusatzprogramme für Linux] Treiber [→ 29.2 Fehlersuche Schritt für Schritt] Windows Ping [→ 29.4 Windows-Bordmittel] Windows-Bordmittel [→ 29.4 Windows-Bordmittel] Trunking [→ 24.8 Sonderfunktionen] [→ 25.2 Webmanaged Switches] TS9 [→ 13.5 Signalverstärkung] Begriff [→ B Glossar] TUI [→ B Glossar] Tunnel [→ B Glossar] Tvheadend → siehe [Streaming] Twisted Pair → siehe [Kabel] TWT [→ 7.7 IEEE 802.11ax – WiFi 6]
U ⇑ U/UTP → siehe [Kabel] Übersprechen [→ 6.3 Gigabit-Ethernet] [→ 9.1 Kabel] [→ 23.4 Netzwerkstecker anbringen] Übertragungsmedium [→ 3.1 Kommunikation im Alltag] udev → siehe [Linux] UDP [→ 18.1 Der Ablauf einer UDP-Verbindung] Begriff [→ B Glossar] Destination Port [→ 18.2 Das UDP-Datagramm] Length [→ 18.2 Das UDP-Datagramm] Prüfsumme [→ 18.2 Das UDP-Datagramm] Pseudo-Header [→ 18.2 Das UDP-Datagramm] Source Port [→ 18.2 Das UDP-Datagramm] UHD-1 → siehe [Streaming] UHD-2 → siehe [Streaming] UMTS [→ 13.8 UMTS] [→ B Glossar] Paketlaufzeit [→ 16.1 Paketlaufzeiten] UMTSkeeper [→ 55.2 Ihr eigener Router für unterwegs] unbound → siehe [DNS] Unicast [→ 19.2 Der DHCP-Ablauf] [→ 46.2 Streaminghardware] [→ 46.2 Streaminghardware] [→ B Glossar] Unified Communication → siehe [VoIP]
UNII-1 → siehe [WLAN] UNII-2 → siehe [WLAN] UNII-2 Extended → siehe [WLAN] UNIX [→ A.1 Vorbemerkung] UPnP [→ 22.1 Universal Plug and Play] [→ 46.1 Protokolle und Codecs] [→ B Glossar] Sicherheit [→ 22.1 Universal Plug and Play] Windows-Freigabecenter [→ 26.13 Netzwerk- und Freigabecenter] USB Adapter [→ 2.6 Hardware ein- und aufbauen] [→ 2.6 Hardware ein- und aufbauen] [→ 13.2 Verbindungsaufbau mit MWconn und ixconn] [→ 24.6 USB-Adapter] [→ 27.8 Netzwerkkarte unter SUSE einrichten] [→ 27.12 WLAN unter Linux] Begriff [→ B Glossar] CUL [→ 50.4 Das CUL flashen und einbinden] [→ 52.1 Funkschnittstelle] Drucker [→ 38.1 Hardwarerouter] Headset [→ 47.9 Headsets] [→ 47.9 Headsets] Mitschnitt [→ 30.2 Zusatzprogramme für Windows] ModeSwitch [→ 55.2 Ihr eigener Router für unterwegs] Raspberry Pi [→ 38.1 Hardwarerouter] [→ 54.1 Hardware im Vergleich] Router [→ 38.1 Hardwarerouter] [→ 38.1 Hardwarerouter] [→ 40.1 EasyNAS, FreeNAS, OpenMediaVault und Co.]
Speicher [→ 38.1 Hardwarerouter] [→ 38.1 Hardwarerouter] [→ 38.1 Hardwarerouter] [→ 40.2 Router mit externer USB-Platte] [→ 40.2 Router mit externer USB-Platte] [→ 40.2 Router mit externer USB-Platte] [→ 45.6 CloudBackup] [→ 46.2 Streaminghardware] [→ 55.4 Raspberry NAS] Tastatur [→ 54.7 Erste Schritte mit Raspberry Pi OS] Version [→ 24.6 USB-Adapter] [→ 40.2 Router mit externer USB-Platte] Virtualisierung [→ 41.2 Oracle VM VirtualBox] User Datagram Service → siehe [UDP] userspace /dev → siehe [Linux, udev] USV [→ B Glossar]
V ⇑ VBR → siehe [Streaming] VCD [→ B Glossar] VDSL → siehe [DSL] VDSL2 → siehe [DSL] Vectoring → siehe [DSL] Verdrillung → siehe [Kabel] Verlegekabel → siehe [Kabel] Verschlüsselung [→ 36.1 Symmetrische Verschlüsselung] AES [→ 7.21 Abgrenzung zu anderer drahtloser Kommunikation] [→ 35.2 WPA] [→ 35.3 WPA2] [→ 49.1
Kabel und Funk im Vergleich] [→ 52.6 Sicherheit] [→ B Glossar] asymmetrische [→ 36.2 Asymmetrische Verschlüsselung] Autocrypt [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] CA [→ 33.3 ARP- und NDP-Missbrauch] [→ 36.10 Verschlüsselte Kommunikation mit Servern] [→ B Glossar] CAcert [→ 36.10 Verschlüsselte Kommunikation mit Servern] [→ 36.10 Verschlüsselte Kommunikation mit Servern] CCMP [→ 35.3 WPA2] [→ B Glossar] Clientzertifikat [→ 37.3 IPsec] DES [→ 36.2 Asymmetrische Verschlüsselung] Domain-Validated [→ 36.10 Verschlüsselte Kommunikation mit Servern] E-Mail [→ 30.1 Wireshark] [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] Enigmail [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] Extended-Validated [→ 36.10 Verschlüsselte Kommunikation mit Servern] GnuPG [→ 36.6 GNU Privacy Guard (GnuPG)] GnuPGP [→ 36.6 GNU Privacy Guard (GnuPG)] [→ 36.7 EMails mit Thunderbird und OpenPGP verschlüsseln] Hauptschlüssel [→ 36.6 GNU Privacy Guard (GnuPG)] hybride [→ 36.3 Hybride Verschlüsselung]
Keysigning-Party [→ 36.6 GNU Privacy Guard (GnuPG)] Let's Encrypt [→ 20.4 DNS] [→ 36.10 Verschlüsselte Kommunikation mit Servern] Linux KGpg [→ 36.6 GNU Privacy Guard (GnuPG)] MIME [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] Mozilla Thunderbird [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] OpenPGP [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] Organization-Validated [→ 36.10 Verschlüsselte Kommunikation mit Servern] Passphrase [→ 36.6 GNU Privacy Guard (GnuPG)] PFS [→ 35.4 WPA3] PGP [→ 36.2 Asymmetrische Verschlüsselung] [→ 36.6 GNU Privacy Guard (GnuPG)] PGP/INLINE [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] PGP/MIME [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] Pretty Easy Privacy [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] PSK [→ 36.1 Symmetrische Verschlüsselung] [→ 37.3 IPsec] RSA [→ 36.2 Asymmetrische Verschlüsselung] [→ 36.6 GNU Privacy Guard (GnuPG)] S/MIME [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln]
Serverzertifikat [→ 36.10 Verschlüsselte Kommunikation mit Servern] symmetrische [→ 36.1 Symmetrische Verschlüsselung] TLS [→ 30.1 Wireshark] [→ 36.3 Hybride Verschlüsselung] [→ B Glossar] Unterschlüssel [→ 36.6 GNU Privacy Guard (GnuPG)] Volksverschlüsselung [→ 36.8 Volksverschlüsselung] Web of Trust [→ 36.6 GNU Privacy Guard (GnuPG)] [→ 36.6 GNU Privacy Guard (GnuPG)] X.509 [→ 36.2 Asymmetrische Verschlüsselung] [→ B Glossar] Verschlüsselung!EPA → siehe [WLAN, EPA] Verschlüsselung!TKIP → siehe [WLAN, TKIP] vi [→ 1.4 Das Material zum Buch] [→ 27.2 Administration] [→ A.3 Der Editor vi] Video LAN Client → siehe [Streaming, VLC] Video-CD → siehe [VCD] Video-Codec → siehe [Streaming] Viera Link → siehe [CEC] Vim → siehe [vi] Viren → siehe [Sicherheit] Virenscanner → siehe [Sicherheit] Virtual LAN → siehe [Ethernet, VLAN] Virtual Network Computing → siehe [VNC]
VirtualBox → siehe [Virtualisierung] Virtualisierung [→ 41.1 Hardwarevoraussetzungen] [→ 44.1 Docker Client] [→ 48.1 Infrastrukturen] Appliances [→ 42.1 IP-Adressen der virtuellen Maschinen] Asterisk [→ 42.3 Asterisk Appliance] Gasterweiterungen [→ 41.5 Anpassungen des Gastbetriebssystems] NAS [→ 40.3 Hardware-NAS] Netzwerke [→ 41.3 Virtuelle Netzwerke] [→ 41.4 VMware Workstation Player] Performance [→ 41.6 Tuning] Snapshot [→ 26.12 Client HyperV] [→ 41.2 Oracle VM VirtualBox] Squid [→ 42.2 Web Proxy Appliance] USB [→ 41.2 Oracle VM VirtualBox] VirtualBox [→ 40.3 Hardware-NAS] [→ 41.2 Oracle VM VirtualBox] [→ 44.1 Docker Client] VirtualBox Wireshark [→ 30.1 Wireshark] VMware Tools [→ 41.5 Anpassungen des Gastbetriebssystems] VMware Workstation Player [→ 41.4 VMware Workstation Player] VLAN → siehe [Ethernet] VLC → siehe [Streaming] VNC [→ 32.9 Virtual Network Computing (VNC)] Sicherheit [→ 32.9 Virtual Network Computing (VNC)]
SUSE [→ 32.9 Virtual Network Computing (VNC)] [→ 32.9 Virtual Network Computing (VNC)] Voice over Internet Protocol → siehe [VoIP] Voice over LTE → siehe [VoLTE] VoIP [→ 47.1 Grundlagen zu VoIP] Begriff [→ B Glossar] Client PhonerLite [→ 47.7 Softphones] Codec [→ 47.1 Grundlagen zu VoIP] DTMF [→ B Glossar] E.164 [→ 47.1 Grundlagen zu VoIP] ENUM [→ 47.1 Grundlagen zu VoIP] [→ B Glossar] FRITZ" Box Fon [→ 47.1 Grundlagen zu VoIP] [→ 47.1 Grundlagen zu VoIP] [→ 47.3 HD Voice] [→ 47.8 VoIP-Hardware] H.323 [→ 47.1 Grundlagen zu VoIP] [→ 47.1 Grundlagen zu VoIP] [→ B Glossar] Headset [→ 47.9 Headsets] Internettelefonie [→ 47.1 Grundlagen zu VoIP] [→ 47.2 Voraussetzungen für VoIP im Netzwerk] IP-Telefonie [→ 47.1 Grundlagen zu VoIP] ITSP [→ B Glossar] IVR [→ B Glossar] IWV [→ B Glossar] Jitter [→ 47.2 Voraussetzungen für VoIP im Netzwerk]
Laufzeitschwankung [→ 47.2 Voraussetzungen für VoIP im Netzwerk] MFV [→ B Glossar] MOS [→ 47.1 Grundlagen zu VoIP] [→ B Glossar] NAT [→ 47.2 Voraussetzungen für VoIP im Netzwerk] Phoneboard [→ 47.8 VoIP-Hardware] QoS [→ 47.2 Voraussetzungen für VoIP im Netzwerk] SDP [→ 47.1 Grundlagen zu VoIP] Skype [→ 47.7 Softphones] SPIT [→ 47.1 Grundlagen zu VoIP] Spit [→ B Glossar] STUN [→ 47.2 Voraussetzungen für VoIP im Netzwerk] [→ B Glossar] TURN [→ 47.2 Voraussetzungen für VoIP im Netzwerk] [→ B Glossar] Unified Communication [→ 47.1 Grundlagen zu VoIP] [→ B Glossar] VoLTE [→ 47.4 VoLTE] Begriff [→ B Glossar] VP9 [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] Begriff [→ B Glossar] VPN Aggressive Mode [→ 37.3 IPsec] Begriff [→ B Glossar] dynamische IP [→ 37.3 IPsec]
ESP [→ 37.3 IPsec] FRITZ" Box [→ 37.9 FRITZ!Box-VPN] IKE [→ 37.3 IPsec] IKE Phase 1 [→ 37.3 IPsec] IKE Phase 2 [→ 37.3 IPsec] Info [→ 37.1 PPTP] IPsec [→ 36.2 Asymmetrische Verschlüsselung] [→ 37.3 IPsec] IPsec AH [→ 37.3 IPsec] L2TP [→ 37.2 L2TP] [→ B Glossar] Main Mode [→ 37.3 IPsec] OpenVPN [→ 37.4 SSL-VPN] PiVPN [→ 37.5 WireGuard VPN] PPTP [→ 37.1 PPTP] [→ B Glossar] QR-Code [→ 37.9 FRITZ!Box-VPN] Quick Mode [→ 37.3 IPsec] SA [→ 37.3 IPsec] Site-to-Site [→ 37.7 Site-to-Site-VPN] SSL [→ 37.4 SSL-VPN] TAP [→ 37.4 SSL-VPN] TUN [→ 37.4 SSL-VPN] WireGuard [→ 37.5 WireGuard VPN]
W ⇑
Wake-on-LAN → siehe [WoL] WAN [→ B Glossar] Wardriving [→ 35.1 WEP] Watchever → siehe [Streaming] WDS → siehe [WLAN] WebDAV [→ 45.2 Clonezilla] Begriff [→ B Glossar] WebEx → siehe [Kollaboration] Webmeeting [→ 32.10 Zusammenarbeit im Internet – Kollaboration] Webmin [→ 27.2 Administration] DHCP-Server [→ 43.6 DHCP-Server] Fetchmail [→ 43.15 Postfachinhalte aus dem Internet holen] Incredible PBX [→ 42.3 Asterisk Appliance] Samba [→ 43.7 Samba als Fileserver] siegfried [→ 43.5 Webmin] WEP [→ B Glossar] WEP → siehe [WLAN] Werkzeug Crimpzange [→ 23.1 Kategorien] [→ 23.4 Netzwerkstecker anbringen] LSA-Plus [→ 23.1 Kategorien]
WhatsApp [→ 36.7 E-Mails mit Thunderbird und OpenPGP verschlüsseln] Whitelist → siehe [Proxy] WiBro [→ B Glossar] Wicd → siehe [Linux] WIDS [→ 33.4 Sicherheitslösungen im Überblick] [→ 35.8 WLAN-Sicherheit analysieren] Wi-Fi [→ 7.12 Wi-Fi Alliance] Begriff [→ B Glossar] Generation [→ 7.1 IEEE 802.11] Wi-Fi 4 [→ 7.1 IEEE 802.11] [→ 7.5 IEEE 802.11n – WiFi 4] Wi-Fi 5 [→ 2.3 Beispiel: Familie Müller] [→ 7.1 IEEE 802.11] [→ 7.6 IEEE 802.11ac – WiFi 5] Wi-Fi 6 [→ 2.3 Beispiel: Familie Müller] [→ 7.1 IEEE 802.11] [→ 7.7 IEEE 802.11ax – WiFi 6] [→ 7.14 Kanalwahl] Wi-Fi 7 [→ 7.8 IEEE 802.11be – WiFi 7] Wi-Fi 6E [→ 7.7 IEEE 802.11ax – WiFi 6] Wi-Fi Alliance [→ 7.12 Wi-Fi Alliance] Wi-Fi Direct [→ 7.19 WLAN-Direktverbindungen] WiFi calling [→ 47.5 WiFi calling] Begriff [→ B Glossar] Wi-Fi Direct → siehe [WLAN] Wi-Fi Sense → siehe [Windows]
WifiInfoView [→ 30.2 Zusatzprogramme für Windows] [→ 30.2 Zusatzprogramme für Windows] WiMAX [→ 13.11 WiMAX] [→ B Glossar] Windows Active Directory [→ B Glossar] Admin Center [→ 32.5 Windows Admin Center] alternative Konfiguration [→ 26.3 IPv4-Konfiguration] [→ 26.15 Windows in verschiedenen Netzwerken] APIPA [→ B Glossar] ARP Cache [→ 29.4 Windows-Bordmittel] Benutzerauthentifizierung [→ 26.13 Netzwerk- und Freigabecenter] Bildcode [→ 26.11 Bildcode] Cloud Clipboard [→ 48.4 Windows Cloud Clipboard] Dateisystemberechtigung [→ 26.13 Netzwerk- und Freigabecenter] Defender [→ 26.8 Windows Defender] [→ 26.8 Windows Defender] DHCP [→ 26.3 IPv4-Konfiguration] [→ 29.4 WindowsBordmittel] DNS [→ 29.4 Windows-Bordmittel] Easy Connect [→ 32.6 Windows-Remoteunterstützung Easy Connect] Family Safety [→ 26.6 Jugendschutz] File History [→ 26.7 File History] [→ 45.3 WindowsBordmittel]
Freigabe [→ 26.13 Netzwerk- und Freigabecenter] [→ 26.14 Microsoft-Konto verknüpfen] Freigabe Datei [→ 26.13 Netzwerk- und Freigabecenter] Freigabe Drucker [→ 26.13 Netzwerk- und Freigabecenter] Freigabe, Probleme [→ 26.13 Netzwerk- und Freigabecenter] Freigabeberechtigung [→ 26.13 Netzwerk- und Freigabecenter] Freigabecenter [→ 26.13 Netzwerk- und Freigabecenter] FTP [→ 30.2 Zusatzprogramme für Windows] Hardwareerkennung [→ 26.2 Hardwareerkennung] Hello [→ 26.1 Windows-Versionen und -Editionen] hrping [→ 26.3 IPv4-Konfiguration] HyperV [→ 26.12 Client HyperV] ipconfig [→ 29.2 Fehlersuche Schritt für Schritt] IPv4-Adresse [→ 26.3 IPv4-Konfiguration] IPv4-Konfiguration [→ 26.3 IPv4-Konfiguration] IPv6-Konfiguration [→ 26.4 IPv6-Konfiguration] Live ID [→ 26.9 Microsoft-Konto] Microsoft-Konto [→ 26.6 Jugendschutz] [→ 26.9 MicrosoftKonto] [→ 48.4 Windows Cloud Clipboard] nbtstat [→ 29.4 Windows-Bordmittel] NDF [→ 29.4 Windows-Bordmittel] [→ 29.4 WindowsBordmittel] NDIS [→ B Glossar]
Neighbor Cache [→ 29.4 Windows-Bordmittel] [→ 29.5 Linux-Bordmittel] netstat [→ 29.4 Windows-Bordmittel] Netzlaufwerk [→ 26.13 Netzwerk- und Freigabecenter] Netzwerkcenter [→ 26.13 Netzwerk- und Freigabecenter] Netzwerkdiagnose [→ 29.4 Windows-Bordmittel] Netzwerkprofil [→ 26.15 Windows in verschiedenen Netzwerken] [→ 26.15 Windows in verschiedenen Netzwerken] Offlinedateien [→ 45.3 Windows-Bordmittel] Passport [→ 26.1 Windows-Versionen und -Editionen] Patchday [→ 33.1 Mögliche Sicherheitsprobleme] Ping [→ 26.3 IPv4-Konfiguration] [→ 26.4 IPv6Konfiguration] [→ 29.2 Fehlersuche Schritt für Schritt] Problembehandlung [→ 29.4 Windows-Bordmittel] Quick Assist [→ 32.7 Quick Assist] Remoteunterstützung [→ 32.6 WindowsRemoteunterstützung Easy Connect] Ressourcenmonitor [→ 29.4 Windows-Bordmittel] Routing [→ 29.4 Windows-Bordmittel] Sandbox [→ 41.7 Windows Sandbox] Security Essentials [→ 26.8 Windows Defender] Security Suite [→ 26.1 Windows-Versionen und -Editionen] [→ 26.8 Windows Defender] Shell Bash [→ 26.1 Windows-Versionen und -Editionen] Smartphone [→ 26.18 Smartphone mit Windows verknüpfen]
SSH [→ 26.1 Windows-Versionen und -Editionen] [→ 32.2 Secure Shell (SSH)] Standardgateway [→ 26.3 IPv4-Konfiguration] Subnetzmaske [→ 26.3 IPv4-Konfiguration] Sync Settings [→ 26.10 Einstellungen synchronisieren] Systemabbild [→ 45.3 Windows-Bordmittel] Teredo [→ 32.6 Windows-Remoteunterstützung Easy Connect] Tools [→ 30.2 Zusatzprogramme für Windows] Updates [→ 26.1 Windows-Versionen und -Editionen] versteckte Freigabe [→ 26.13 Netzwerk- und Freigabecenter] Wi-Fi Sense [→ 26.1 Windows-Versionen und -Editionen] Windows 8 [→ 26.1 Windows-Versionen und -Editionen] Windows 10 [→ 26.1 Windows-Versionen und -Editionen] Windows 11 [→ 26.1 Windows-Versionen und -Editionen] WSL [→ 26.1 Windows-Versionen und -Editionen] [→ 26.17 Windows-Subsystem für Linux] WSL 2 [→ 26.17 Windows-Subsystem für Linux] [→ 44.1 Docker Client] Windows!Internet Naming Service → siehe [WINS] Windows!Jugendschutz → siehe [Jugendschutz] Windows!Subsystem für Android → siehe [Windows, WSA] Windows!Subsystem für Linux → siehe [Windows, WSL] WinPcap [→ 30.1 Wireshark]
WINS [→ 20.3 WINS] [→ B Glossar] WireGuard → siehe [VPN] Wireless Broadband → siehe [WiBro] Wireless Distribution System → siehe [WLAN, WDS] Wireless Fidelity → siehe [Wi-Fi] Wireless Intrusion Detection → siehe [WIDS] Wireless Performance Prediction → siehe [WPP] Wireshark [→ 6.1 Ursprung von Ethernet] [→ 30.1 Wireshark] [→ 33.3 ARP- und NDP-Missbrauch] Beispiel [→ 30.1 Wireshark] VirtualBox [→ 30.1 Wireshark] WLAN [→ 2.2 Kabel – wenn ja, welches?] [→ 2.2 Kabel – wenn ja, welches?] [→ 7.1 IEEE 802.11] Access Point [→ 2.3 Beispiel: Familie Müller] [→ 7.1 IEEE 802.11] [→ 13.1 Vertragsarten und Anwendung] [→ 31.1 Performancemessung mit NetIO] [→ 53.3 Tasmota für WLAN konfigurieren] [→ 55.2 Ihr eigener Router für unterwegs] Ad-hoc-Modus [→ 7.1 IEEE 802.11] Antenne [→ 7.1 IEEE 802.11] [→ 7.15 Sendeleistung] [→ 7.16 Antennenausrichtung und Position] Band Steering [→ 7.20 WLAN-Mesh] Beacon [→ 7.1 IEEE 802.11] [→ 35.1 WEP] Begriff [→ B Glossar]
Bridge [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] BSS [→ 7.7 IEEE 802.11ax – WiFi 6] [→ 7.14 Kanalwahl] [→ 7.20 WLAN-Mesh] [→ B Glossar] Bürgernetz [→ 7.18 Hot Spots] Chipsätze [→ 27.12 WLAN unter Linux] Client-Mesh [→ 7.20 WLAN-Mesh] Cross-Band-Repeater [→ 7.20 WLAN-Mesh] CSMA/CA [→ 7.1 IEEE 802.11] [→ B Glossar] Detector [→ 7.14 Kanalwahl] DFS [→ 7.1 IEEE 802.11] [→ 7.3 IEEE 802.11a/h] [→ 7.14 Kanalwahl] [→ B Glossar] DIFS [→ 7.13 Beschleunigertechniken] DSSS [→ 7.2 IEEE 802.11b] [→ B Glossar] DTIM [→ B Glossar] EAP [→ 35.2 WPA] EIRP [→ 7.15 Sendeleistung] [→ B Glossar] Empfang [→ 7.1 IEEE 802.11] [→ 7.1 IEEE 802.11] [→ 7.15 Sendeleistung] [→ 7.16 Antennenausrichtung und Position] [→ 24.7 WLAN-Netzwerkkarten] ESSID [→ 35.1 WEP] FHSS [→ B Glossar] Flugzeugmodus [→ 27.12 WLAN unter Linux] FON [→ 7.18 Hot Spots] Fragmentierung [→ 7.1 IEEE 802.11] Frame Aggregation [→ 7.13 Beschleunigertechniken]
Frame Bursting [→ 7.13 Beschleunigertechniken] Freifunk [→ 7.18 Hot Spots] Google Wifi [→ 7.20 WLAN-Mesh] hostapd [→ 55.2 Ihr eigener Router für unterwegs] Hotspot 2.0 [→ 7.1 IEEE 802.11] [→ 7.18 Hot Spots] IBSS [→ 7.1 IEEE 802.11] [→ B Glossar] IFS [→ 7.1 IEEE 802.11] [→ B Glossar] Infrastruktur-Mesh [→ 7.20 WLAN-Mesh] Infrastruktur-Modus [→ 7.1 IEEE 802.11] ISM [→ 7.1 IEEE 802.11] [→ B Glossar] Kanal [→ 7.1 IEEE 802.11] [→ 7.3 IEEE 802.11a/h] [→ 7.5 IEEE 802.11n – WiFi 4] [→ 7.7 IEEE 802.11ax – WiFi 6] [→ 7.13 Beschleunigertechniken] [→ 7.13 Beschleunigertechniken] [→ 7.13 Beschleunigertechniken] [→ 7.14 Kanalwahl] [→ 7.14 Kanalwahl] [→ 7.15 Sendeleistung] [→ 7.15 Sendeleistung] [→ 25.4 Ein eigenes VLAN und WLAN für Gäste] [→ 30.2 Zusatzprogramme für Windows] [→ 49.1 Kabel und Funk im Vergleich] [→ 55.2 Ihr eigener Router für unterwegs] Medienstreaming [→ 46.2 Streaminghardware] Mesh [→ 7.1 IEEE 802.11] [→ 7.18 Hot Spots] [→ 7.20 WLANMesh] [→ B Glossar] Mesh Access Point [→ 7.20 WLAN-Mesh] Mesh-Backbone [→ 7.20 WLAN-Mesh] Mesh-Knoten [→ 7.20 WLAN-Mesh] Mesh-Portal [→ 7.20 WLAN-Mesh] [→ 38.1 Hardwarerouter] [→ 38.2 OpenWrt – ein freies
Betriebssystem für Router] Monitormodus [→ 27.12 WLAN unter Linux] MPDU [→ 7.13 Beschleunigertechniken] MSDU [→ 7.13 Beschleunigertechniken] Netgear Orbi [→ 7.20 WLAN-Mesh] Netzwerkkarte [→ 2.6 Hardware ein- und aufbauen] [→ 24.7 WLAN-Netzwerkkarten] Passphrase [→ 35.2 WPA] [→ 35.7 WLAN-Konfiguration per QR-Code] Passpoint [→ 7.1 IEEE 802.11] [→ 7.18 Hot Spots] PBCC [→ 7.2 IEEE 802.11b] [→ B Glossar] Primärnutzer [→ 7.1 IEEE 802.11] [→ 7.14 Kanalwahl] Priorisierung [→ 7.11 IEEE 802.11e] QR-Code [→ 35.7 WLAN-Konfiguration per QR-Code] Repeater [→ 7.15 Sendeleistung] [→ 7.20 WLAN-Mesh] [→ 47.8 VoIP-Hardware] [→ 49.1 Kabel und Funk im Vergleich] RFkill [→ 27.12 WLAN unter Linux] Roaming [→ 7.1 IEEE 802.11] RTS [→ 7.1 IEEE 802.11] Sendeleistung [→ 7.15 Sendeleistung] Sicherheit [→ 7.17 Sicherheit von WLANs] [→ 30.2 Zusatzprogramme für Windows] [→ 35.1 WEP] [→ 35.8 WLAN-Sicherheit analysieren] SIFS [→ 7.13 Beschleunigertechniken] Signalstärke [→ 7.13 Beschleunigertechniken] [→ 7.13 Beschleunigertechniken] [→ 7.15 Sendeleistung] [→ 7.15
Sendeleistung] [→ 30.2 Zusatzprogramme für Windows] [→ 55.2 Ihr eigener Router für unterwegs] SSID [→ 7.1 IEEE 802.11] [→ 35.1 WEP] [→ 53.2 Firmware flashen] [→ 53.3 Tasmota für WLAN konfigurieren] [→ B Glossar] Störerhaftung [→ 7.18 Hot Spots] TIM [→ 7.1 IEEE 802.11] [→ B Glossar] TKIP [→ 26.1 Windows-Versionen und -Editionen] [→ 35.2 WPA] [→ 35.2 WPA] [→ B Glossar] TPC [→ 7.3 IEEE 802.11a/h] [→ 7.14 Kanalwahl] [→ B Glossar] TP-Link Deco [→ 7.20 WLAN-Mesh] UNII-1 [→ 7.14 Kanalwahl] UNII-2 [→ 7.14 Kanalwahl] UNII-2 Extended [→ 7.14 Kanalwahl] WDS [→ 38.2 OpenWrt – ein freies Betriebssystem für Router] [→ B Glossar] WEP [→ 35.1 WEP] [→ 55.2 Ihr eigener Router für unterwegs] Wicd [→ 27.6 Wicd] Wi-Fi Alliance [→ 7.1 IEEE 802.11] Wi-Fi Direct [→ 46.1 Protokolle und Codecs] WLAN TO GO [→ 7.18 Hot Spots] WPA [→ 26.1 Windows-Versionen und -Editionen] [→ 35.2 WPA] [→ 55.2 Ihr eigener Router für unterwegs] [→ B Glossar] WPA MIC [→ 35.2 WPA] [→ B Glossar]
WPA2 [→ 35.3 WPA2] [→ 55.2 Ihr eigener Router für unterwegs] WPA3 [→ 35.4 WPA3] WPA-PSK [→ 35.2 WPA] WPS [→ 35.6 Wi-Fi Protected Setup] Zertifizierung [→ 7.12 Wi-Fi Alliance] WLAN!AES → siehe [Verschlüsselung, AES] WLAN!CCMP → siehe [Verschlüsselung] WMA [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] WMV [→ 46.1 Protokolle und Codecs] WoL [→ 24.8 Sonderfunktionen] [→ B Glossar] World Wide Web → siehe [WWW] Worldwide Interoperability for Microwave Access → siehe [WiMAX] WPA → siehe [WLAN] WPA2 → siehe [WLAN] WPA3 → siehe [WLAN] WPAN [→ B Glossar] WPP [→ B Glossar] WPS → siehe [WLAN] Wurm → siehe [Sicherheit, Würmer] WWW [→ 33.1 Mögliche Sicherheitsprobleme] [→ B Glossar]
X ⇑ X11 [→ 32.3 X11, das grafische System unter Linux] Beispiel [→ 32.3 X11, das grafische System unter Linux] Sicherheit [→ 32.3 X11, das grafische System unter Linux] [→ 32.3 X11, das grafische System unter Linux] SSH-Tunnel [→ 32.3 X11, das grafische System unter Linux] X.21 [→ 23.2 Linkklassen] Begriff [→ B Glossar] X.509 → siehe [Verschlüsselung] X.org → siehe [X11] XBian → siehe [Kodi] XBMC → siehe [Kodi] xhost [→ 32.3 X11, das grafische System unter Linux] xterm [→ 32.3 X11, das grafische System unter Linux] Xvid [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs] [→ 46.1 Protokolle und Codecs]
Y ⇑ YaST [→ 27.2 Administration] YouTube [→ 46.1 Protokolle und Codecs] [→ 46.4 Kodi Home Theater]
Z ⇑ Zeit → siehe [NTP]
Zeroconf [→ 22.2 Zeroconf] ZigBee → siehe [Hausautomation] Zusammenarbeit → siehe [Kollaboration] Z-Wave → siehe [Hausautomation] Zwei-Faktor-Authentifizierung → siehe [Sicherheit]
Rechtliche Hinweise Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Weitere Hinweise dazu finden Sie in den Allgemeinen Geschäftsbedingungen des Anbieters, bei dem Sie das Werk erworben haben.
Markenschutz Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne besondere Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.
Haftungsausschluss Ungeachtet der Sorgfalt, die auf die Erstellung von Text, Abbildungen und Programmen verwendet wurde, können weder Verlag noch Autor*innen, Herausgeber*innen, Übersetzer*innen oder Anbieter für mögliche Fehler und deren Folgen eine juristische Verantwortung oder irgendeine Haftung übernehmen.
Über das Autorenteam Martin Linten ist im Bereich Linux-/UNIXSystemtechnik im Rechenzentrum der Finanzverwaltung Nordrhein-Westfalen tätig, ist »HP certified system administrator« und hat sich mehrere Jahre mit VMware vSphere Server- und Clientvirtualisierung beschäftigt (ESXi/View). Privat beschäftigt er sich am liebsten mit Hausautomation und kleinen Raspberry-Pi-Projekten. So hat er z. B. das B-Tree Filesystem und den SuSE snapper auf Raspbian migriert (siehe www.linten.eu). Aktuell arbeitet er an einem in die Hausautomation integrierten Raspberry-Pi-Internetradio-Wecker, der seine Tochter morgens sowohl durch sanfte Beschallung als auch durch Heraufziehen der Rollläden und Aufdimmen des Lichts munter macht. Axel Schemberg ist im Bereich Netzwerkadministration im Rechenzentrum der Finanzverwaltung Nordrhein-Westfalen tätig. Seine Netzwerkkenntnisse vermittelt er darüber hinaus in zahlreichen Seminaren. Kai Surendorf schrieb sein erstes Buch über OS X und UNIX bereits 2003. Zurzeit lebt er in Berlin und arbeitet als Product Owner im ECommerce-Bereich. Seine Webseite zu mac-spezifischen Themen findet sich unter http://mac.delta-c.de.
Dokumentenarchiv Das Dokumentenarchiv umfasst alle Abbildungen und ggf. Tabellen und Fußnoten dieses E-Books im Überblick.
Abbildung 1.1 Die Menüleiste
Abbildung 1.2 Der Button
Abbildung 1.3 Ein Reiter
Abbildung 2.1 Das Haus der Müllers
Abbildung 2.2 Systematische Darstellung des LAN-Aufbaus
Abbildung 2.3 Ein erster Funktionstest
Abbildung 4.1 Bustopologie
Abbildung 4.2 Ringtopologie
Abbildung 4.3 Sterntopologie
Abbildung 5.1 Datenkommunikation nach ISO/OSI-Modell
Abbildung 6.1 Kommunikation im EthernetVerfahren
Abbildung 6.2 Der Bus im Hub
Abbildung 6.3 Eine Bridge erzeugt Segmente auf Ethernet-Ebene.
Abbildung 6.4 Ein Switch erzeugt pro Port ein LAN-Segment.
Abbildung 6.5 VLANs unterteilen Switches in separate Ethernet-Segmente.
Abbildung 6.6 Das Ethernet-Datagramm auf ISO/OSI-Schicht 2
Abbildung 6.7 Ein Ethernet-Datagramm mit VLANTag
Abbildung 7.1 CSMA/CA funktioniert hier nicht.
Abbildung 7.2 Wi-Fi-Logo; Quelle: https://www.wifi.org
Abbildung 7.3 QAM-4, QAM-16 und QAM-64 im Vergleich
Abbildung 7.4 Das Logo von Freifunk
Abbildung 7.5 Alle Clients werden im WLAN-Mesh verwaltet; Quelle: http://avm.de.
Abbildung 7.6 Trigger verwaltet und programmiert RFID-Chips.
Abbildung 9.1 LC-Stecker; Quelle: Wikipedia.org
Abbildung 9.2 ST-Stecker; Quelle: Wikipedia.org
Abbildung 9.3 SC-Stecker; Quelle: Wikipedia.org
Abbildung 9.4 SFP-Modul; Quelle: Wikipedia.org
Abbildung 10.1 Aufbau Kabelzugang
Abbildung 11.1 Genutzte Frequenzbereiche; Quelle: http://www.elektronik-kompendium.de
Abbildung 13.1 MWconn verwaltet Ihre mobilen Internetzugänge.
Abbildung 13.2 HiLink erhöht die Funktionalität des USB-Sticks.
Abbildung 13.3 Die Links beider LTE-MIMOAntennen im Detail
Abbildung 13.4 Die ASU eines AndroidSmartphones mit EDGE-Verbindung
Abbildung 13.5 Transparentes LTE dank LTEWatch; Quelle: http://www.lte-anbieter.info
Abbildung 13.6 Dieses Android-Gerät nutzt gerade LTE Band 3.
Abbildung 13.7 Eine aktive LTE-Verbindung im Überblick
Abbildung 14.1 Verbundene IP-Netze
Abbildung 14.2 Aufbau einer IP-Adresse
Abbildung 14.3 Unicast ist die Kommunikation »eins zu eins«.
Abbildung 14.4 Broadcast ist die Kommunikation »Eins-zu-alle«.
Abbildung 14.5 Multicast ist die Kommunikation »eins zu mehrere«.
Abbildung 14.6 Routing von 1.2 zu 2.1
Abbildung 14.7 »traceroute« vom eigenen PC zu WEB.DE
Abbildung 14.8 6to4 schickt IPv4-Pakete zu einem IPv6-Gateway.
Abbildung 14.9 Im Online-Monitor der FRITZ!Box werden Verbindungsstatistiken gepflegt.
Abbildung 14.10 Die Domain google.com im Detail
Abbildung 14.11 Das Datagramm eines IPv4Paketes
Abbildung 14.12 Das Datagramm eines IPv6Paketes
Abbildung 15.1 ARP-Cache mit Einträgen
Abbildung 15.2 Das Datagramm eines ARPPaketes
Abbildung 16.1 Das Datagramm einer ICMPNachricht
Abbildung 16.2 Das Datagramm einer ICMPv6Nachricht
Abbildung 17.1 »ss -tn« listet alle TCPVerbindungen auf.
Abbildung 17.2 Das TCP-Datagramm
Abbildung 18.1 Das UDP-Datagramm
Abbildung 19.1 Zustände des DHCP-Clients
Abbildung 19.2 Das DHCP-Datagramm
Abbildung 19.3 Das DHCPv6-Basis-Datagramm
Abbildung 20.1 DNS-Konzept
Abbildung 20.2 Die Testseite wird wie gewünscht geblockt.
Abbildung 20.3 Den im LAN zu nutzenden DNSServer können Sie konfigurieren.
Abbildung 21.1 Das Monitoring meines Netzwerkes
Abbildung 22.1 UPnP-Logo; Quelle: https://openconnectivity.org
Abbildung 22.2 Die Autokonfiguration ist aktiv.
Abbildung 22.3 Wurde kein DHCP-Server gefunden, weist sich macOS selbst eine IP zu.
Abbildung 22.4 Der Rechner »MacBookPro« kommuniziert seine Dateidienste über Bonjour im lokalen Netzwerk.
Abbildung 22.5 Avahi-Komponenten installiert z. B. das Programm »Ubuntu Software«.
Abbildung 22.6 Avahi bringt ein Hilfsprogramm zur Suche nach Diensten im Netzwerk mit.
Abbildung 23.1 Unscreened/Unshielded Twisted Pair mit vier Adernpaaren
Abbildung 23.2 Unscreened/Foiled Twisted Pair mit vier Adernpaaren
Abbildung 23.3 Screened/Foiled Twisted Pair mit vier Adernpaaren
Abbildung 23.4 Abisoliertes Kabel vor dem Stecker
Abbildung 23.5 Stecker für das Crimpen vorbereiten
Abbildung 23.6 Crimpen eines Hirose-Steckers
Abbildung 23.7 Geöffnetes 8-Port-Patchpanel
Abbildung 23.8 Geöffnete Netzwerkdose
Abbildung 23.9 Ein Cross-Kabel
Abbildung 24.1 Eine PCI Express Mini Card mit zwei Antennenanschlüssen
Abbildung 24.2 USB-Stick AVM FRITZ!WLAN: schön klein! Quelle: http://avm.de
Abbildung 24.3 PCIe-WLAN-Karte von Asus; Quelle: http://asus.com
Abbildung 25.1 16-Port-Mini-Switch; Quelle: http://netgear.com
Abbildung 25.2 Zu managender Switch; Quelle: http://netgear.com
Abbildung 25.3 Ein Fall für Spanning Tree
Abbildung 25.4 OpenWrt trennt ein WLAN für Gäste ab.
Abbildung 25.5 »VLAN 99« und »WLAN67guest« werden miteinander verbunden.
Abbildung 26.1 Updates dauern etwas länger, aber dafür können Sie parallel noch surfen.
Abbildung 26.2 Die IP-Standardkonfiguration geschieht über DHCP.
Abbildung 26.3 Eigenschaften der LANVerbindung
Abbildung 26.4 Manuelle IP-Konfiguration
Abbildung 26.5 Erfolgreicher Test der Verbindung mit »ping«
Abbildung 26.6 Die alternative Konfiguration
Abbildung 26.7 »ping« auf »localhost« mit IPv6
Abbildung 26.8 Die IPv6-Konfiguration geschieht meist automatisch.
Abbildung 26.9 Windows unterscheidet private und öffentliche Netzwerke.
Abbildung 26.10 Für jede Zone existiert eine angepasste Firewall.
Abbildung 26.11 Das Logfile ist der Einstieg in die Netzwerkanalyse.
Abbildung 26.12 Regeln können sehr effektiv gefiltert werden.
Abbildung 26.13 Eine neue Regel für die Firewall entsteht.
Abbildung 26.14 Jugendschutz im Überblick
Abbildung 26.15 Die Zustimmung kann sogar per E-Mail eingeholt werden.
Abbildung 26.16 File History in der Übersicht
Abbildung 26.17 Sie haben die Auswahl: lokales oder entferntes Sicherungsmedium?
Abbildung 26.18 File History im Detail
Abbildung 26.19 Welche Version ist die richtige? Die Vorschaufunktion könnte helfen.
Abbildung 26.20 Die Security Suite zeigt relevante Informationen sehr übersichtlich.
Abbildung 26.21 Welche Einstellungen sollen in die Cloud?
Abbildung 26.22 Netzwerk- und Freigabecenter
Abbildung 26.23 Der Netzwerktyp kann öffentlich oder privat sein.
Abbildung 26.24 Die Netzwerkprofile entscheiden über das Verhalten des Adapters.
Abbildung 26.25 Personen für die Freigabe auswählen
Abbildung 26.26 Der öffentliche Ordner ist bequem einzurichten.
Abbildung 26.27 Netzlaufwerkssymbol: die Festplatte am Kabel
Abbildung 26.28 Den Freigabenamen können Sie z. B. um den Standort erweitern.
Abbildung 26.29 Hier wird ein lokales Konto mit einem Microsoft-Konto verknüpft.
Abbildung 26.30 Net Profiles verwaltet Konfigurationen.
Abbildung 26.31 Das Passwort benötigen Sie u. a. für das Kommando »sudo«.
Abbildung 26.32 Zugriff auf Ihr Linux bietet auch der Explorer.
Abbildung 27.1 Der Hilfebrowser »man«
Abbildung 27.2 NetworkManager bietet eine alternative zur Konfiguration mit YaST.
Abbildung 27.3 Mit dem Konfigurationstool YaST2 bearbeiten Sie Netzwerkeinstellungen.
Abbildung 27.4 Eine Netzwerkkarte bearbeiten oder hinzufügen
Abbildung 27.5 Die IP-Konfiguration des Netzwerkadapters
Abbildung 27.6 Die IP-Adresse des Routers als Standardgateway
Abbildung 27.7 Den Hostnamen und den Nameserver mit YaST2 einstellen
Abbildung 27.8 Setzen einer zusätzlichen IPv6Unicast-Adresse mit YaST
Abbildung 27.9 Die Firewall kann grafisch administriert werden.
Abbildung 27.10 WLAN-Einstellungen des NetworkManagers
Abbildung 28.1 macOS gruppiert verschiedene Konfigurationen.
Abbildung 28.2 Die Netzwerkumgebung wählen Sie über das Apfel-Menü aus.
Abbildung 28.3 Über das Pluszeichen fügen Sie eine Netzwerkschnittstelle hinzu.
Abbildung 28.4 Die Konfiguration können Sie auch manuell eingeben.
Abbildung 28.5 Weitere Details können Sie in einem Panel konfigurieren.
Abbildung 28.6 Das Menü hinter »Netzwerkname« zeigt gefundene Netzwerke an.
Abbildung 28.7 Der WLAN-Status kann auch in der Menüleiste angezeigt werden.
Abbildung 28.8 Sie können vorgeben, ob sich das System die Netzwerke merken soll.
Abbildung 28.9 Die Firewall konfigurieren Sie unter »Sicherheit & Datenschutz«.
Abbildung 28.10 Eingehende Netzwerkverbindungen können Sie annehmen oder untersagen.
Abbildung 28.11 »networksetup« verfügt über eine umfangreiche Dokumentation.
Abbildung 28.12 Die im Netzwerk freizugebenden Ordner konfigurieren Sie in den Systemeinstellungen.
Abbildung 28.13 Die Benutzerkonten, die über SMB auf Freigaben zugreifen dürfen,
müssen eigens ausgewählt werden.
Abbildung 28.14 Die Arbeitsgruppe geben Sie in den Einstellungen der Netzwerkschnittstelle vor.
Abbildung 29.1 Einfache Netzwerkkarte mit drei Link-LEDs; Quelle: http://dlink.com
Abbildung 29.2 »ping« unter Windows
Abbildung 29.3 »ipconfig /all« unter Windows
Abbildung 29.4 Der ARP-Cache wird angezeigt.
Abbildung 29.5 Mit »ping« die Datenpaketgröße messen
Abbildung 29.6 »traceroute«-Anwendungsfall
Abbildung 29.7 »tracert« ins Internet
Abbildung 29.8 »route print« zeigt die Routingtabelle.
Abbildung 29.9 »netstat« listet Verbindungen auf.
Abbildung 29.10 »nbtstat -A« listet die Informationen zum PC auf.
Abbildung 29.11 Der Ressourcenmonitor zeigt auch die Netzwerklast.
Abbildung 29.12 Das NDF zeigt fehlerhafte Einstellungen des DNS-Servers.
Abbildung 29.13 Hier wurde Fullduplex-Gigabit ausgehandelt.
Abbildung 29.14 Wichtige Informationen per »ip addr show«
Abbildung 29.15 »ip neigh show« unter Linux
Abbildung 29.16 »ping« mit Optionen unter Linux
Abbildung 29.17 In Lastsituationen gehen 38 Prozent der Pakete verloren.
Abbildung 29.18 »bing« vergleicht die Geschwindigkeit von zwei PCs.
Abbildung 29.19 Die Kernel-Routingtabellen ausgeben
Abbildung 29.20 Ein »tracepath« im gleichen IPNetz, die MTU ist 1500.
Abbildung 29.21 Der Befehl »ss -nu« listet die TCP-/UDP-Verbindungen auf.
Abbildung 29.22 Betriebssystemraten mit »nmap O«: ein Router mit Linux-Kernel
Abbildung 29.23 Das Netzwerkdienstprogramm gibt es in der bekannten Form nicht mehr.
Abbildung 29.24 »ifconfig« gibt die aktuelle Konfiguration der Netzwerkschnittstellen aus.
Abbildung 29.25 Die Funktionsweise des Befehls »ping« entspricht derjenigen unter Linux.
Abbildung 29.26 Der Befehl »traceroute« zeigt den Weg der Datenpakete.
Abbildung 29.27 Die Routingtabelle bringen Sie über »netstat -r« in Erfahrung.
Abbildung 29.28 »netstat« zeigt die aktuellen Netzwerkverbindungen an.
Abbildung 29.29 Der Befehl »stroke« benötigt für den Scan eine gewisse Zeit.
Abbildung 29.30 »airportd« zeigt Details des drahtlosen Netzwerks an.
Abbildung 29.31 »airportd« ermittelt die Geschwindigkeit der Internetverbindung.
Abbildung 30.1 Mitgeschnittener Datenverkehr
Abbildung 30.2 Wireshark-Hauptansicht
Abbildung 30.3 Wireshark mit »Capture Filter«
Abbildung 30.4 Von Wireshark dekodierte E-Mail
Abbildung 30.5 Paketmitschnitt an einer FRITZ!Box
Abbildung 30.6 Wireshark filtert zwei Quellen von Router Advertisements heraus.
Abbildung 30.7 Der Router vermittelt Stateful DHCPv6.
Abbildung 30.8 IPv6-Konfiguration mit Stateless Address Autoconfiguration171
Abbildung 30.9 CurrPorts zeigt TCP-/UDPVerbindungen.
Abbildung 30.10 WifiInfoView zeigt WLANs.
Abbildung 30.11 Tftpd64, hier als Syslog-Server
Abbildung 30.12 Anlegen einer Session im Message Analyser
Abbildung 30.13 Die IP-Adresse und der Port helfen beim Auffinden der Konversation.
Abbildung 30.14 xosview, Überblick über die Systemparameter
Abbildung 30.15 Das rudimentäre IPTraf in Aktion
Abbildung 31.1 NetIO wartet auf Verbindungen.
Abbildung 31.2 NetIO-Datendurchsatzmessung
Abbildung 31.3 iPerf misst den Datendurchsatz im WLAN.
Abbildung 31.4 Der NASPT-Exerciser bereitet Testdaten vor.
Abbildung 31.5 Der NASPT-Analyzer zeigt den Fotoalbumdurchsatz.
Abbildung 32.1 PuTTY, der Telnet- und SSHClient für Windows
Abbildung 32.2 Der eigene OpenSSH-Client und OpenSSH-Server von Windows
Abbildung 32.3 Handelt es sich um einen Man-inthe-Middle-Angriff?
Abbildung 32.4 PuTTY erzeugt ein Schlüsselpaar.
Abbildung 32.5 Der Dienst »Entfernte Anmeldung« in der Ansicht »Freigaben« aktiviert SSH.
Abbildung 32.6 Ihre SSH-Verbindungen verwaltet Terminus übersichtlich.
Abbildung 32.7 macOS stellt über den X11-Server Thunderbird und xedit dar.
Abbildung 32.8 Der Remotedesktop muss aktiviert werden.
Abbildung 32.9 Remotedesktop-Verbindung einstellen
Abbildung 32.10 Die Verbindung zu einem Windows-Rechner kann über den Remote Desktop Connection Client von Microsoft erfolgen.
Abbildung 32.11 Die Windows-Remoteverwaltung bereitet den PC vor.
Abbildung 32.12 Das Windows Admin Center im Überblick
Abbildung 32.13 Die Remoteunterstützung ist aktiviert.
Abbildung 32.14 Helfen oder Hilfe anbieten?
Abbildung 32.15 Einladung an den Helfer
Abbildung 32.16 Der Helferdesktop
Abbildung 32.17 Der Helfer generiert einen Schlüssel.
Abbildung 32.18 Mit nur einer App gewähren oder bekommen Sie Hilfe.
Abbildung 32.19 TeamViewer: Hilfesuchende starten TeamViewer QuickSupport.
Abbildung 32.20 TeamViewer: Einstellungen für den Helfer
Abbildung 32.21 VNC konfigurieren
Abbildung 32.22 PuTTY-Einstellungen für VNC über SSH
Abbildung 32.23 Der VNC-Viewer
Abbildung 32.24 KDE über SSH-getunneltes VNC
Abbildung 32.25 Der VNC-Server von macOS wird mit dem Dienst Bildschirmfreigabe gestartet.
Abbildung 32.26 Wenn der VNC-Server über Zeroconf kommuniziert wird, dann erscheint er in der Ansicht »Netzwerk«.
Abbildung 32.27 Im Meeting wird der Desktop ganz oder teilweise geteilt.
Abbildung 32.28 Ein Apache OpenMeeting im Container
Abbildung 32.29 Mikogo: ein Meeting starten
Abbildung 32.30 Mikogo: Am Meeting teilnehmen
Abbildung 33.1 Fünf Minuten Firewall-Log mit neun geblockten Paketen
Abbildung 33.2 Eine komplette HTTP-Anmeldung wurde mitgeschnitten.
Abbildung 35.1 Mit diesem QR-Code können Sie Ihre Apps testen.
Abbildung 35.2 Der QR Droid kann Codes erzeugen und lesen.
Abbildung 35.3 »airodump-ng« zeichnet WLANTraffic auf.
Abbildung 35.4 »aircrack-ng« zeigt den WPA2Key: Master Key Aircrack-ng
Abbildung 36.1 Jeder private Schlüssel sollte gut gesichert werden.
Abbildung 36.2 Der Schlüssel wird erst nach einer Verifizierung veröffentlicht.
Abbildung 36.3 Grafische Schlüsselverwaltung mit KGpg
Abbildung 36.4 Die Schlüsselverwaltung von Thunderbird
Abbildung 36.5 Eine verschlüsselte Nachricht wird erzeugt.
Abbildung 36.6 Die Nachricht ist angekommen.
Abbildung 36.7 Die Art der Verschlüsselung ist konfigurierbar.
Abbildung 36.8 Die Volksverschlüsselungssoftware unterstützt bei der Konfiguration.
Abbildung 36.9 Die GPGTools werden mit einem Installationspaket eingerichtet.
Abbildung 36.10 Mit dem Programm »GPG Schlüsselbund« verwalten Sie Schlüssel.
Abbildung 36.11 Die Erweiterung der GPGTools muss aktiviert werden.
Abbildung 36.12 Die Erweiterung für das Programm Mail fügt zwei Schaltflächen hinzu.
Abbildung 36.13 Edge informiert über den Herausgeber des Zertifikats.
Abbildung 37.1 WireGuard unter Windows
Abbildung 37.2 End-to-Site-VPN
Abbildung 37.3 Verschlüsseltes VPN zwischen Client und Endpunkt über unsichere Netze
Abbildung 37.4 Site-to-Site-VPN
Abbildung 37.5 Voll vermaschtes VPN
Abbildung 38.1 Der DSL-Router verbindet Ihr LAN und das Internet.
Abbildung 38.2 DSL-Router von D-Link; Quelle: https://dlink.de
Abbildung 38.3 Zugriffssteuerung bei D-Link
Abbildung 38.4 Die IP-Adresse des HiLinkRouters in der Oberfläche des MR3420
Abbildung 38.5 Das »Engineer-Menü« des Speedport
Abbildung 39.1 Aktualisierung per Web bei No-IP
Abbildung 39.2 Der Speedport-Hybridrouter beherrscht DynDNS.
Abbildung 40.1 Webinterface eines HardwareNAS
Abbildung 40.2 Gefunden: mein NAS
Abbildung 41.1 Import von siegfried6 unter VirtualBox
Abbildung 41.2 Netzwerkkonfiguration einer virtuellen Maschine unter VirtualBox
Abbildung 41.3 siegfried6 wird als OVF importiert.
Abbildung 42.1 Artica teilt seine IP-Adresse mit.
Abbildung 42.2 Die Proxyeinstellungen des Browsers Edge
Abbildung 42.3 Die Proxyeinstellungen des Browsers Firefox
Abbildung 42.4 Die Proxyeinstellungen des Browsers Chrome
Abbildung 42.5 Die Nutzung von Proxyservern wird in den erweiterten Einstellungen einer Netzwerkschnittstelle festgelegt.
Abbildung 42.6 Sie bestimmen, welche Kategorien Ihr Proxy filtert.
Abbildung 42.7 Eine Chat-Seite wird vom Proxy gefiltert.
Abbildung 42.8 Incredible PBX im Überblick
Abbildung 42.9 Webmin als Administrationsoberfläche von Incredible PBX
Abbildung 42.10 Asterisk mit zwei registrierten SIP-Clients
Abbildung 43.1 Tux, der Linux-Pinguin
Abbildung 43.2 Der KDE-Desktop unter siegfried6
Abbildung 43.3 Mit der Zeit kommen viele Snapshots zusammen.
Abbildung 43.4 Der DHCP-Server im Überblick
Abbildung 43.5 Ein DHCP-Subnet für das LAN zu Hause
Abbildung 43.6 DHCP-Hosteintrag erstellen
Abbildung 43.7 DHCP-Optionen für das Subnetz
Abbildung 43.8 Ihr Samba-Server im Überblick
Abbildung 43.9 UNIX-Benutzer zu SambaBenutzern konvertieren
Abbildung 43.10 Verschlüsselte Passwörter sind Standard.
Abbildung 43.11 Automatischer Abgleich der Benutzer
Abbildung 43.12 Verzeichnisse mit Samba freigeben
Abbildung 43.13 Vorgaben für neue Dateien und Verzeichnisse
Abbildung 43.14 Sicherheitseinstellungen für die Samba-Freigabe
Abbildung 43.15 Dolphin als Samba-Client
Abbildung 43.16 Linux-Client-Einstellungen für Samba
Abbildung 43.17 Das Kennwort können Sie im Schlüsselbund sichern.
Abbildung 43.18 Die Freigabe wird den Anmeldeobjekten des Benutzerkontos hinzugefügt.
Abbildung 43.19 Ein neuer Netzwerkdrucker entsteht.
Abbildung 43.20 Der Drucker kann über die Systemeinstellungen hinzugefügt werden.
Abbildung 43.21 Allgemeine Postfix-Einstellungen
Abbildung 43.22 Postfix über das Internet testen
Abbildung 43.23 Eingehende E-Mails im MaildirFormat speichern
Abbildung 43.24 Der Provider unterstützt SMTPAuth.
Abbildung 43.25 Der Relay-Mailserver von Postfix
Abbildung 43.26 Ein E-Mail-Konto aus dem Internet
Abbildung 43.27 Fetchmail wird per Cronjob alle fünf Minuten gestartet.
Abbildung 43.28 Test des IMAP-Servers
Abbildung 43.29 Der Mozilla Thunderbird als IMAP-Client
Abbildung 43.30 In den Einstellungen eines Kontos werden die Ordner konfiguriert.
Abbildung 43.31 »chronyc« zeigt den Status der Zeitserver.
Abbildung 43.32 Der Zeitgeber von Windows
Abbildung 44.1 Docker lädt einen Container aus dem Hub.
Abbildung 44.2 Mit der Zeit sammeln sich diverse Images an.
Abbildung 44.3 Builds können auch automatisiert gestartet werden.
Abbildung 45.1 Optionales »btrfsck« beim Backup von siegfried6
Abbildung 45.2 RoboGUI hilft beim Einrichten von Robocopy.
Abbildung 45.3 SyncToy kopiert von links nach rechts.
Abbildung 45.4 Der Systemreparaturdatenträger für das Disaster Recovery
Abbildung 45.5 Als Zielmedium für das Backup können Sie auch einen freigegebenen Ordner verwenden.
Abbildung 45.6 Ein Ordner kann für die Nutzung mit Time Machine gezielt freigegeben werden.
Abbildung 45.7 Daten vom QNAP NAS werden in die Cloud repliziert.
Abbildung 46.1 DLNA-Teilnehmer; Quelle: https://conrad.de
Abbildung 46.2 Die FRITZ!Box kann Multicasts im WLAN in Unicasts umwandeln.
Abbildung 46.3 Ein PC, ein NAS und ein Router bieten Multimediainhalte per DLNA.
Abbildung 46.4 Streaming mit den Mitteln des Windows-Betriebssystems
Abbildung 46.5 Für jedes Ziel gibt es einen separaten Reiter.
Abbildung 46.6 Der VLC Media Player horcht auf UDP-Port 1234.
Abbildung 46.7 Viele Apps unterstützen diverse Standards und Wiedergabegeräte.
Abbildung 46.8 Aus dem Share »media« wird der Unterordner »filme« hinzugefügt.
Abbildung 46.9 Die »Sammlung« ist nun Teil der Medienbibiothek.
Abbildung 46.10 Yatse fungiert als Fernsteuerung für Ihr Media Center.
Abbildung 47.1 Die STUN-Antwort enthält unter anderem die offizielle IP-Adresse.
Abbildung 47.2 Webinterface von Sipgate
Abbildung 47.3 PhonerLite-Konfiguration für Sipgate
Abbildung 47.4 FRITZ!Fon; Quelle: avm.de
Abbildung 47.5 Snom D765; Quelle: https://snom.com
Abbildung 47.6 PXC 480 Headset mit ANC; Quelle: https://sennheiser.com
Abbildung 47.7 EPOS | Sennheiser DW Pro 2; Quelle: https://sennheiser.com
Abbildung 48.1 Cloud-Computing in der Übersicht
Abbildung 48.2 Zugriff auf Microsoft Office im Browser
Abbildung 48.3 OneDrive speichert Ihre Dokumente in der Cloud.
Abbildung 48.4 Der Tresor wird bei Inaktivität verschlossen.
Abbildung 48.5 Das Dropbox-Verzeichnis wird mit der Cloud synchronisiert.
Abbildung 48.6 Online zusammenarbeiten mit Google Docs in der Cloud
Abbildung 48.7 Mit MyCloudNAS die eigene Cloud aufbauen; Quelle: https://qnap.com
Abbildung 48.8 Die iCloud verwalten Sie in der Ansicht »Apple-ID« der Systemeinstellungen.
Abbildung 48.9 Ihre Passwörter liegen in einer verschlüsselten Datenbank.
Abbildung 48.10 Drucker können auf Wunsch freigegeben werden.
Abbildung 48.11 Aufgabenverwaltung in der Cloud
Abbildung 48.12 Das Cloud Clipboard aktivieren Sie in den Einstellungen.
Abbildung 50.1 Eine FHEM-Instanz im Container
Abbildung 50.2 Das Programm Flip flasht das CUL.
Abbildung 50.3 Der Abruf der Wetterdaten aus dem Internet hat geklappt.
Abbildung 50.4 DECT-Steckdosen von AVM lassen sich leicht steuern.
Abbildung 50.5 FHEM wird über einen Messenger gesteuert.
Abbildung 50.6 Die Terrasse in der andFHEMOberfläche
Abbildung 50.7 Sprachsteuerung von FHEM mit dem Google Assistant
Abbildung 50.8 Der Trigger »Say a simple phrase«
Abbildung 50.9 Der Web Request aus der Cloud zur eigenen FHEM-Instanz
Abbildung 51.1 Ein Raum in der Ansicht von FHEM
Abbildung 51.2 Ein Handsender und ein Klingelsensor sind angelernt.
Abbildung 52.1 HMInfo bietet einen guten Überblick über das HomeMatic-Netzwerk.
Abbildung 52.2 Die VCCU übernimmt die Kommunikation mit dem Dimmer.
Abbildung 53.1 Ein ESP-01 misst ca. 25 × 15 mm.
Abbildung 53.2 Ein D1 Mini misst ca. 35 × 26 mm. Quelle: https://www.wemos.cc
Abbildung 53.3 Tasmota wurde erfolgreich geflasht.
Abbildung 53.4 Das Signal des Sensors liegt an GPIO2 an.
Abbildung 53.5 Ein Relay schaltet den Strom eines GPIO an und aus.
Abbildung 53.6 Der DHT22 liefert die gewünschten Messdaten.
Abbildung 53.7 Temperatur und Luftfeuchtigkeit werden aufbereitet dargestellt.
Abbildung 54.1 Die grafische Oberfläche des Raspberry Pi Imager
Abbildung 54.2 Das Programm »raspi-config« ist Teil von Raspberry Pi OS.
Abbildung 55.1 Die Netzwerkkonfiguration von LibreELEC
Abbildung 55.2 Mit UMTSkeeper wird die Verbindung transparent.
Abbildung 55.3 GPIO-Pins des Raspberry Pi
Abbildung 55.4 Das Ansteuern des Radios aus FHEM testen Sie mit der Weboberfläche.
Abbildung 55.5 Die App MPDroid läuft unter Android.
Abbildung 55.6 Zwei von fünf DNS-Anfragen »verschwinden« im Pi-hole.
Fußnoten [ 1 ] Technisch wird dieser Zustand an einer Potentialerhöhung auf dem Kabel festgestellt. [ 2 ] Ein grundstückübergreifendes Netzwerk ist bei der Bundesnetzagentur anzeigepflichtig, aber genehmigungsfrei. [ 3 ] Gefährdet sind die WLAN-Kanäle 9 und 10. [ 4 ] https://www.elektronik-kompendium.de/sites/net/2112051.htm [ 5 ] https://avm.de/service/wissensdatenbank/dok/FRITZ-Box7583/3599_DFS-Wartezeit-oder-Radarerkennung-trotz-Kanal-36-48 [ 6 ] Die Funktion heißt bei einigen Routern WLAN-Bridge oder WDS. [ 7 ] http://www.heise.de/newsticker/meldung/Powerline-Zoff-auchjenseits-des-Atlantiks"=83547.html [ 8 ] Der Gewinn bzw. Gain ist der Wert, um den die Signalstärke steigt. [ 9 ] MMI steht für Man-Machine Interface. [ 10 ] http://www.n-tv.de/ratgeber/Dobrindt-kappt-DVB-T-Fernsehenarticle13791116.html [ 11 ] https://de.wikipedia.org/wiki/Digitale_Dividende_II [ 12 ] http://de.wikipedia.org/wiki/Liste_von_LTE-Netzwerken
[ 13 ] Es sind 254 Möglichkeiten, da von 256 bestehenden Möglichkeiten die 0 und die 255 wegfallen. [ 14 ] IPv5 gibt es nicht. [ 15 ] https://www.ietf.org/rfc/rfc2460.txt [ 16 ] https://support.apple.com/de-de/HT201373 [ 17 ] https://tools.ietf.org/html/rfc3540 [ 18 ] Ein Unicast ist eine Kommunikationsverbindung mit genau einem Empfänger. [ 19 ] Der Verein Digitalcourage (https://digitalcourage.de) ist z. B. ein Betreiber eines solchen nicht zensierten DNS-Servers. [ 20 ] Prozesse können im User-Modus oder im privilegierten Kernel-Modus arbeiten. Den Wechsel zwischen diesen beiden Modi bezeichnet man als Kontextwechsel (engl. context switch). [ 21 ] https://www.datenschutz-notizen.de/windows-10datenschutzeinstellungen-im-detail-microsoft-spynet-1116048 [ 22 ] Gnome und KDE sind beliebte Desktopumgebungen für Linux. [ 23 ] Terminals sind Arbeitsplätze mit Tastatur und Bildschirm, die keinen selbständigen Arbeitsplatzrechner enthalten, sondern nur dem Zugriff auf Mehrplatzrechner dienen. [ 24 ] Standard unter Linux für die Vergabe dedizierter Administrationsrechte ist das Programm sudo. [ 25 ] Es handelt sich um eine Datei im XML-Format; sie ist also mit jedem Texteditor les- und veränderbar. [ 26 ] Der VNC-Port beträgt 5900 + . [ 27 ] Quelle: Statistik-Portal statista
[ 28 ] Fälschlicherweise werden sie auch als Trojaner bezeichnet, denn geschichtlich waren die Trojaner die Opfer des trojanischen Pferdes. [ 29 ] https://www.kb.cert.org/vuls/id/723755 [ 30 ] https://www.zdnet.de/magazin/41559084/wpa2-geknackt-wieder-neue-wlan-hack-funktioniert.htm [ 31 ] https://code.google.com/p/reaver-wps [ 32 ] https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP1701365.html [ 33 ] https://www.heise.de/security/artikel/Einbruch-ins-VPN270592.html [ 34 ] Die Sprache der Netzwerke ist »Denglisch«, teilweise auch »Germish«. [ 35 ] https://www.teltarif.de/telekom-magenta-zuhause-hybrid-keinmissbrauch/news/62218.html [ 36 ] https://www.computerbase.de/2015-03/alternative-speedporthybrid-von-avm [ 37 ] Die Abkürzung RAID stand ursprünglich für Redundant Array of Inexpensive Disks, heute aber eher für Redundant Array of Independent Disks. [ 38 ] Das Network Time Protocol (NTP) sorgt für eine synchrone Zeit im LAN. [ 39 ] Samba selbst kann einem Domain-Controller oder einem anderen Verzeichnisdienst (z. B. LDAP) vertrauen. [ 40 ] System V und BSD Printing haben hier bereits früh Standards gesetzt.
[ 41 ] IMAP steht für Internet Message Access Protocol. [ 42 ] Quelle: https://www.borncity.com/blog/2013/10/31/miracastbei-windows-8-1-teil-3 [ 43 ] E.164 ist die international gültige Normierung für Telefonnummern durch die International Telecommunication Union (ITU). [ 44 ] G.711-kodiert belegt ein Gespräch jeweils ca. 80 Kbit/s im Upload und im Download. [ 45 ] Die Registrierung ist nicht erfolgreich, weil die Antworten des Servers Sie nicht erreichen. [ 46 ] Comma-Separated Values ist ein einfaches Textdateiformat, das sich zum Austausch von Daten eignet. [ 47 ] Quelle: https://www.golem.de/news/security-smarthomesoffen-wie-scheunentore-1412-111173.html [ 48 ] »Solange keine belastbare Datenschutzregelung besteht und die Justiz Verstöße dagegen auch ahndet, ist der Bewohner smarter Heime für Werbetreibende und staatliche Überwachungsdienste gläsern.« Quelle: https://www.golem.de/news/smart-home-wenndas-zuhause-vernetzt-wird-1411-109401-3.html [ 49 ] Die Firma Dresden Elektronik ermöglicht mit der RaspberryPi-Erweiterung Raspbee eine Steuerung über das FHEMModul HUEBridge. [ 50 ] Gilt für DECT ULE nur bei entsprechender Firmware. [ 51 ] Quelle: https://www.elektroniknet.de/kommunikation/wireless/artikel/103155
[ 52 ] Quelle: https://www.elektroniknet.de/kommunikation/wireless/artikel/103155 [ 53 ] https://wiki.fhem.de/wiki/HM-MOD-RPIPCB_HomeMatic_Funkmodul_f%C3%BCr_Raspberry_Pi [ 54 ] Quelle: https://www.wiki.fhem.de/wiki/1%25_Regel [ 55 ] https://www.wiki.fhem.de/wiki/1%25_Regel [ 56 ] 24 fps und 60 fps sind Standards für die Bildwiederholfrequenz, also die Anzahl der Bilder pro Sekunde (engl. frames per second). [ 57 ] Im Gegensatz zu interlaced, wo abwechselnd jede zweite horizontale Zeile aktualisiert wird.