PDF [760 KB] - SwissEduc.ch
PDF [760 KB] - SwissEduc.ch
PDF [760 KB] - SwissEduc.ch
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Lösungen<br />
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
Si<strong>ch</strong>erheitsaspekte im LAN
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
Übersi<strong>ch</strong>t<br />
01_Arbeitsblatt IP-Grundlagen ............................................................................................. 3<br />
02_"Hackerparagraf": Au<strong>ch</strong> die Aufpasser müssen aufpassen .......................................... 5<br />
03_Arbeitsblatt ARP untersu<strong>ch</strong>en mit Wireshark................................................................. 6<br />
04_Arbeitsblatt Mit ARP den ARP-Ca<strong>ch</strong>e manipulieren ..................................................... 8<br />
05_Arbeitsblatt Ports, Dienste und Protokolle ................................................................... 10<br />
06_Arbeitsblatt S<strong>ch</strong>i<strong>ch</strong>tenmodell / Hybridmodell ............................................................. 13<br />
07_Arbeitsblatt Portscan ..................................................................................................... 15<br />
08_Arbeitsblatt Warriors of the net – Fragen zum Film ..................................................... 20<br />
09_Arbeitsblatt ARP Ca<strong>ch</strong>e Poisoning - Man-in-the-middle-attack .................................. 21<br />
Seite 2
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
01_Arbeitsblatt IP-Grundlagen<br />
Beantworte die folgenden Fragen mit eigenen Worten mit Unterstützung des Internets und ma<strong>ch</strong>e<br />
korrekte Quellenangaben.<br />
1. Wel<strong>ch</strong>e Funktion hat die IP-Adresse?<br />
Die IP ist eine im jeweiligen Netzwerk eindeutige Nummer. Wie beim Telefon ma<strong>ch</strong>t sie<br />
es mögli<strong>ch</strong>, dass Geräte adressiert und errei<strong>ch</strong>t werden können. Sie wird dazu verwendet,<br />
Daten vom Sender zum Empfänger zu transportieren. ___________________________<br />
_____________________________________________________________________<br />
2. Zähle mindestens zwei alltägli<strong>ch</strong>e Analogien zur IP-Adresse auf.<br />
Telefonnummer, AHV-Nummer, Postans<strong>ch</strong>rift, PLZ ____________________________<br />
_____________________________________________________________________<br />
3. Wie ist die IPv4 Adresse aufgebaut?<br />
Aus vier Zahlen, die wiederum je aus 8Bits aufgebaut sind und dur<strong>ch</strong> einen Punkt voneinander<br />
getrennt sind. Es lassen si<strong>ch</strong> als Zahlen zwis<strong>ch</strong>en 0 und 255 darstellen.<br />
Bsp. 130.094.122.195 Binär: 10000010 01011110 01111010 11000011 ________________<br />
4. Worin liegt der grundsätzli<strong>ch</strong>e Unters<strong>ch</strong>ied zwis<strong>ch</strong>en IPv4 und IPv6?<br />
Im Gegensatz zu IPv4 mit 32 Bit-Darstellung verwendet IPv6 128 Bit. Dadur<strong>ch</strong> lassen<br />
si<strong>ch</strong> viel mehr vers<strong>ch</strong>iedene IP-Nummern generieren. (2 128 ) _______________________<br />
_____________________________________________________________________<br />
5. Starte die Konsole mit «cmd».<br />
Seite 3
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
6. Wel<strong>ch</strong>e IP-Adresse hat dein Computer? Verwende den Befehl «ipconfig».<br />
Die Antwort auf den Befehl ist insbesondere unter Windows 7 sehr umfangrei<strong>ch</strong>. Unten<br />
ein Auss<strong>ch</strong>nitt. Von Bedeutung sind nur Adapter, deren Status ni<strong>ch</strong>t getrennt ist. Wenn<br />
du über das Kabel am Netzwerk anges<strong>ch</strong>lossen bist, dann findest du die Angaben unter<br />
Ethernet Adapter. In diesem Beispiel ist der Computer drahtlos verbunden.<br />
_____________________________________________________________________<br />
7. Mit «PING IP-Adresse» kannst du testen, ob dein Gegenüber errei<strong>ch</strong>bar i<strong>ch</strong>. Teste, ob<br />
du selber errei<strong>ch</strong>bar bist?<br />
8. Solltest du deine eigene IP-Adresse (da zum Beispiel deine Re<strong>ch</strong>te stark einges<strong>ch</strong>ränkt<br />
sind) ni<strong>ch</strong>t kennen, dann kannst du di<strong>ch</strong> mit der IP 127.0.0.1 1 selbst anpingen. Diese Adresse<br />
ist standardmässig auf jeder Netzwerkkarte eingebaut. Teste bei dir, ob es funktioniert.<br />
9. Taus<strong>ch</strong>e deine IP-Adresse mit deinen Na<strong>ch</strong>barn aus. Testet, ob ihr gegenseitig errei<strong>ch</strong>bar<br />
seid. Funktioniert es? Wieso ni<strong>ch</strong>t? Notierte dir mögli<strong>ch</strong>e Ursa<strong>ch</strong>en.<br />
Es sollte ni<strong>ch</strong>t funktionieren, da standardmässig die Firewall ab Windows XP kein ICMP-<br />
E<strong>ch</strong>o Request zulässt. ____________________________________________________<br />
Diese Option muss in den Optionen der Firewall bewusst aktiviert werden.<br />
_____________________________________________________________________<br />
1<br />
Von aussen ist die IP 127.0.0.1 ni<strong>ch</strong>t errei<strong>ch</strong>bar.<br />
Seite 4
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
02_"Hackerparagraf":<br />
Au<strong>ch</strong> die Aufpasser müssen aufpassen<br />
Fragen und Aufgaben zum Text:<br />
1. Wel<strong>ch</strong>e Programme werden im Artikel erwähnt, bei denen bereits der Besitz in Deuts<strong>ch</strong>land<br />
strafbar ist.<br />
nmap, wireshark, tracert, ping, John the Ripper, BOSS, Tripwire _____________________<br />
_______________________________________________________________________<br />
2. Der Artikel bes<strong>ch</strong>reibt, dass bereits die Verwendung von Windows in Deuts<strong>ch</strong>land problematis<strong>ch</strong><br />
sein kann. Warum?<br />
Da die vorinstallierten Programme ping und tracert au<strong>ch</strong> zu Missbrau<strong>ch</strong>szwecken eingesetzt<br />
werden können. Mit "ping" lässt si<strong>ch</strong> feststellen, ob ein Re<strong>ch</strong>ner online, mit "tracert" über<br />
wel<strong>ch</strong>e Wege er zu errei<strong>ch</strong>en ist. ______________________________________________<br />
3. Beurteile den Hackerparagafen. Was spri<strong>ch</strong>t für und was gegen den Paragrafen?<br />
_______________________________________________________________________<br />
_______________________________________________________________________<br />
_______________________________________________________________________<br />
Seite 5
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
03_Arbeitsblatt ARP untersu<strong>ch</strong>en mit Wireshark<br />
Mitlesen des Netzwerkverkehrs<br />
1. Starte Wireshark<br />
2. Über gelangst du in die Übersi<strong>ch</strong>t über die vers<strong>ch</strong>iedenen<br />
vorhandenen Netzwerks<strong>ch</strong>nittstellen auf deinem PC.<br />
3. Anhand der aktuell gezählten Datenpakete, wel<strong>ch</strong>e über die S<strong>ch</strong>nittstelle transportiert<br />
werden, kannst du die aktive Netzwerkkarte erkennen.<br />
4. Mit einem Mausklick auf „Start“ wird das Mits<strong>ch</strong>neiden des Datenverkehrs aktiviert.<br />
5. Lass nun Wireshark rund eine Minute lang mits<strong>ch</strong>neiden und beoba<strong>ch</strong>te, was protokolliert<br />
wird.<br />
6. Da wirkli<strong>ch</strong> alles mitges<strong>ch</strong>nitten wird, sammelt si<strong>ch</strong> sehr s<strong>ch</strong>nell ungeheuer viel. So könnte<br />
es bei dir aussehen:<br />
Seite 6
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
7. Dur<strong>ch</strong> die Eingabe von „arp“ (mit Enter bestätigen) im Filter grenzen wir unsere Resultate<br />
ein und finden au<strong>ch</strong> sofort das gesu<strong>ch</strong>te Protokoll:<br />
Die in diesem Beispiel gezeigte Abfolge ist typis<strong>ch</strong> für den ARP-Protokollablauf und du<br />
solltest eine verglei<strong>ch</strong>bare Situation in deiner Aufzei<strong>ch</strong>nung finden können.<br />
8. Im Protokollfenster findest du nun die vers<strong>ch</strong>iedenen beteiligten Protokolle. Dur<strong>ch</strong> einen<br />
Mausklick auf das + werden die Details si<strong>ch</strong>tbar.<br />
9. Bes<strong>ch</strong>reibe nun mit deinen Worten den ARP-Protokoll-Ablauf und versu<strong>ch</strong>e dein Vorwissen<br />
über IP- und MAC-Adressen mit einzubeziehen.<br />
Das Ziel des ARP ist es, von jeder IP im Netzwerk die dazugehörige MAC-Adresse zu erhalten und daraus eine Zuordnungstabelle zu<br />
erstellen. Die MAC-Adressen sind deshalb so zentral, da sie im Gegensatz zur IP-Adresse weltweit eindeutig sind und somit erst si<strong>ch</strong>erstellen,<br />
dass die Datenpakete das Ziel au<strong>ch</strong> errei<strong>ch</strong>en.<br />
Damit nun die ARP-Tabelle erstellt werden kann, sendet jedes Gerät im Netzwerk an alle Geräte Anfragen im Stil „Wer hat die IP<br />
192.168.10.100, i<strong>ch</strong> habe die IP 192.168.10.101“ aus. Fühlt si<strong>ch</strong> ein Gerät im Netzwerk angespro<strong>ch</strong>en, d.h. es hat die entspre<strong>ch</strong>ende<br />
IP, dann sendet es an das Anfragegerät seine IP mit der dazugehörigen MAC-Adresse zurück. Die Einträge im ARP-Ca<strong>ch</strong>e können<br />
statis<strong>ch</strong> oder dynamis<strong>ch</strong> sein. Statis<strong>ch</strong>e Einträge können manuell hinzugefügt und gelös<strong>ch</strong>t werden. Dynamis<strong>ch</strong>e Einträge werden<br />
dur<strong>ch</strong> die ARP-Adressauflösung erzeugt.<br />
Jeder dynamis<strong>ch</strong>e Eintrag bekommt einen Zeitstempel. Ist er na<strong>ch</strong> zwei Minuten ni<strong>ch</strong>t mehr abgerufen worden, wird der Eintrag gelös<strong>ch</strong>t.<br />
Wird eine Adresse au<strong>ch</strong> na<strong>ch</strong> zwei Minuten no<strong>ch</strong> benutzt, wird der Eintrag erst na<strong>ch</strong> zehn Minuten gelös<strong>ch</strong>t. Ist der ARP-<br />
Ca<strong>ch</strong>e für neue Einträge zu klein, werden alte Einträge entfernt.<br />
Wird die Hardware neu gestartet oder ausges<strong>ch</strong>altet, wird der ARP-Ca<strong>ch</strong>e gelös<strong>ch</strong>t. Es gehen dabei au<strong>ch</strong> die statis<strong>ch</strong>en Einträge verloren.<br />
Seite 7
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
04_Arbeitsblatt Mit ARP den ARP-Ca<strong>ch</strong>e manipulieren<br />
1. Starte die Command-Shell cmd.exe<br />
2. Mit dem Befehlt „arp –a“ kannst du dir die ARP-Tabelle, das heisst den Inhalt des ARP-<br />
Ca<strong>ch</strong>es anzeigen lassen.<br />
Du kannst zwei Eintragstypen ausma<strong>ch</strong>en: dynamis<strong>ch</strong>e und statis<strong>ch</strong>e. Die dynamis<strong>ch</strong>en<br />
werden dur<strong>ch</strong> die ARP-Auflösung erstellt und sind ni<strong>ch</strong>t veränderbar. Die statis<strong>ch</strong>en<br />
können manipuliert werden.<br />
3. Mit „arp /?“ werden alle mögli<strong>ch</strong>en Befehlsparameter aufgelistet.<br />
Was bewirkt die Eingabe „arp –s“?<br />
Fügt einen Hosteintrag hinzu und ordnet die Internetadresse der physikalis<strong>ch</strong>en Adresse<br />
zu. Die physikalis<strong>ch</strong>e Adresse wird dur<strong>ch</strong> 6 hexadezimale, dur<strong>ch</strong> Bindestri<strong>ch</strong> getrennte<br />
Bytes angegeben. Der Eintrag ist permanent.<br />
4. Mit „netsh interface ip delete arpca<strong>ch</strong>e“ kann der ganze ARP-Ca<strong>ch</strong>e gelös<strong>ch</strong>t werden.<br />
Gelingt es dir?<br />
Ers<strong>ch</strong>eint eine Fehlermeldung?<br />
Wenn ja, wie lautet sie?<br />
Für den angeforderten Vorgang sind erhöhte Re<strong>ch</strong>te erforderli<strong>ch</strong> (Als Administrator ausführen).<br />
Diese Meldung ers<strong>ch</strong>eint ab Windows Vista.<br />
Findest du heraus, wie man das Problem umgeht? Bes<strong>ch</strong>reibe deine Lösung:<br />
Windows-Button, Su<strong>ch</strong>feld cmd eingeben. Auf das Programm cmd.exe re<strong>ch</strong>tsklicken und<br />
„Als Administrator ausführen“ wählen.<br />
Seite 8
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
5. Überprüfe den Inhalt des Ca<strong>ch</strong>es na<strong>ch</strong> erfolgrei<strong>ch</strong>em Lös<strong>ch</strong>en.<br />
Wenn es bereits wieder einen Eintrag in der Tabelle hat, dann war das ARP s<strong>ch</strong>neller als<br />
du und hat bereits wieder eine erfolgrei<strong>ch</strong>e Anfrage gema<strong>ch</strong>t.<br />
6. Versu<strong>ch</strong>e einen einzelnen Eintrag zu lös<strong>ch</strong>en. Mit wel<strong>ch</strong>em Befehl ist das mögli<strong>ch</strong>?<br />
arp 192.168.10.100 –d d.h. arp –d<br />
7. Versu<strong>ch</strong>e nun einen Eintrag einzufügen. Notiere hier deinen genauen Befehl:<br />
arp 192.168.10.1 00-21-29-68-d6-a3 –s<br />
8. Kontrolliere ans<strong>ch</strong>liessend die ARP-Tabelle. Hast du deinen Eintrag gefunden?<br />
9. Was zeigen dir diese Versu<strong>ch</strong>e? Notiere dir hier deine Überlegungen:<br />
Die Versu<strong>ch</strong>e zeigen, dass si<strong>ch</strong> grundsätzli<strong>ch</strong> die Zuweisung von MAC- und IP-Adresse<br />
beliebig manipulieren lässt. In der Unterri<strong>ch</strong>tseinheit mit Cain & Abel wird genau das<br />
ausgenutzt, um den Netzwerkverkehr eines anderen Computers über den Angreifer-PC<br />
umzuleiten und dort alles mitzulesen.<br />
_____________________________________________________________________<br />
Bespre<strong>ch</strong>e deine Notizen mit deinem Bankna<strong>ch</strong>barn.<br />
Seite 9
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
05_Arbeitsblatt Ports, Dienste und Protokolle<br />
Mail über Telnet<br />
Da die meisten Mailserver umfangrei<strong>ch</strong>e Si<strong>ch</strong>erheitsmassnahmen, wie Vers<strong>ch</strong>lüsselung, Authentifizierung<br />
usw. eingebaut haben, nutzen wir als Testserver einen eigenen Mailserver, den wir direkt<br />
auf unseren PCs installieren. Dieser ist dann über den Namen «localhost» (bei Bluewin wäre das<br />
«smtpauth.bluewin.<strong>ch</strong>» und bei Educanet2 «mail.educanet2.<strong>ch</strong>») aufrufbar.<br />
Dazu installieren wir XAMPP<br />
(http://www.apa<strong>ch</strong>efriends.org/de/xamppwindows.html)<br />
mit den Standardeinstellungen und<br />
starten ans<strong>ch</strong>liessend den «Mercury-Server».<br />
Nun müssen wir aber den Mailserver no<strong>ch</strong> so konfigurieren,<br />
dass er den Versand von Mails an ni<strong>ch</strong>t<br />
lokale Empfänger zulässt. So also , dass ein Mail au<strong>ch</strong><br />
an «barack.obama@usa.gov» mögli<strong>ch</strong> wäre. Dazu<br />
geht man auf die Adminoberflä<strong>ch</strong>e des Mercury-<br />
Mailservers.<br />
Dort wählt mandas Menü «Configuration» und da<br />
den Menüpunkt «MercuryS SMTP Server».<br />
Im folgenden Fenster wählt man das Register<br />
«Connection Control» und deaktiviert «Do not<br />
permit SMTP relaying of non-local mail».<br />
S<strong>ch</strong>liessli<strong>ch</strong> muss no<strong>ch</strong> unter «MercuryS SMTP<br />
Client» der Namensserver eingetragen werden:<br />
Seite 10
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
Somit steht uns ein vollwertiger Mailserver zur Verfügung. Nun viel Spass beim Mailen über<br />
Telnet.<br />
Jede Zeile muss mit Enter abges<strong>ch</strong>lossen werden. Die Reihenfolge ist bis auf den Befehl „HELP“<br />
zwingend – so verlangt es das Protokoll.<br />
telnet Mailserver 25 Aktiviert den Mail Dienst des Servers über SMTP. Die Zahl 25<br />
steht für den verwendeten Port. Verwende hier als Adresse localhost,<br />
das ist der Name deines Re<strong>ch</strong>ners.<br />
HELO Mailserver Client meldet si<strong>ch</strong> an<br />
HELP<br />
Alle Befehle, die der Dienst zur Verfügung stellt<br />
MAIL FROM: Absender Der Absender des Mails festlegen. Versu<strong>ch</strong>e es hier mit einer<br />
Fantasieadresse z.B. hase@fu<strong>ch</strong>s.<strong>ch</strong><br />
RCPT TO: Empfänger des Mails festlegen. Trage deine Email-Adresse hier<br />
ein. Damit kannst du au<strong>ch</strong> überprüfen, ob dein Mail s<strong>ch</strong>lussendli<strong>ch</strong><br />
ankommt.<br />
A<strong>ch</strong>te auf die . Die Empfängeradresse muss mit Spitzklammern<br />
ums<strong>ch</strong>lossen sein.<br />
DATA<br />
Anfang des Datenblocks<br />
Dateneingeben<br />
. «.» auf einer separaten Zeile s<strong>ch</strong>liesst die Eingabe ab.<br />
Quit<br />
Client meldet si<strong>ch</strong> ab<br />
Alles OK? Dann überprüfe, ob dein Mail au<strong>ch</strong> angekommen ist.<br />
Neben dem Erleben eines Protokollablaufs sollte dir diese Übung au<strong>ch</strong> no<strong>ch</strong> einen Hinweis auf<br />
ein Si<strong>ch</strong>erheitsproblem geben. Was meinst du?<br />
___________________________________________________________________________<br />
Mit dem Programm telnet ist es einfa<strong>ch</strong> mögli<strong>ch</strong> Emails zu fäls<strong>ch</strong>en und Emails unter fals<strong>ch</strong>em<br />
Namen zu versenden. Mitunter ein Mittel, um Spam zu generieren. _______________________<br />
___________________________________________________________________________<br />
Seite 11
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
HTTP über Telnet<br />
Bei diesem Beispiel stellen wir eine http-Verbindung auf. Natürli<strong>ch</strong> kann unsere Konsole kein<br />
HTML darstellen. Trotzdem werden wir den Code übermittelt kriegen. Das Problem bei diesem<br />
Beispiel ist, dass du den Cursor während der Eingabe ni<strong>ch</strong>t mehr sehen wirst. Du darfst di<strong>ch</strong> also<br />
ni<strong>ch</strong>t vertippen, sonst musst du von vorne anfangen. A<strong>ch</strong>tung: Na<strong>ch</strong> der letzten Eingabe musst<br />
du 2x die ENTER Taste drücken. Au<strong>ch</strong> auf die Leers<strong>ch</strong>läge musst du a<strong>ch</strong>ten, sonst bri<strong>ch</strong>t die<br />
Verbindung ab. Das Protokoll ist da sehr strikt. Das Einzige was kein Problem darstellt, ist, wenn<br />
du alles klein s<strong>ch</strong>reibst.<br />
telnet www.wmisargans.<strong>ch</strong> 80<br />
GET /index.html HTTP/1.1<br />
HOST: www.wmisargans.<strong>ch</strong><br />
CONNECTION: close<br />
USER-AGENT: Mozilla<br />
Aktiviert den HTTP Diensts des Servers über den<br />
Port 80<br />
→ ENTER<br />
→ ENTER<br />
→ ENTER<br />
→ ENTER→ ENTER<br />
Telnet über Telnet<br />
Hier no<strong>ch</strong> eine «Lustige» Anwendung von Telnet. Lass di<strong>ch</strong> überras<strong>ch</strong>en.<br />
telnet towel.blinkenlights.nl 23<br />
Aktiviert den Telnet Dienst des Servers<br />
Seite 12
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
06_Arbeitsblatt S<strong>ch</strong>i<strong>ch</strong>tenmodell / Hybridmodell<br />
1. Erkläre sti<strong>ch</strong>wortartig jede S<strong>ch</strong>i<strong>ch</strong>t und zähle wenn mögli<strong>ch</strong> Beispiele für Protokolle, Dienste,<br />
Ports oder cmd-Befehle auf, die auf dieser S<strong>ch</strong>i<strong>ch</strong>t «liegen».<br />
S<strong>ch</strong>i<strong>ch</strong>t Aufgabe Beispiel<br />
Anwendungen, die ihre Daten versenden wollen, «liegen» in der http (80), ftp<br />
Anwendungss<strong>ch</strong>i<strong>ch</strong>t und nehmen die Dienste der Transports<strong>ch</strong>i<strong>ch</strong>t<br />
(20,21), smtp (25),<br />
in Anspru<strong>ch</strong>. Sie kümmern si<strong>ch</strong> ni<strong>ch</strong>t weiter um die nslookup, ping<br />
Kommunikation.<br />
Anwendung<br />
Transport<br />
Zerstückelung / Segmentierung der Daten. Jedes Segment erhält<br />
Ziel- und Quelladresse sowie eine Laufnummer<br />
TCP-Paket, TCP,<br />
UDP<br />
Netzwerk<br />
Ist für die korrekte Weiterleitung der Datenpakete zuständig.<br />
Die entspre<strong>ch</strong>ende IP-Adresse wird dem Paket angehängt<br />
ICMP, IP<br />
Si<strong>ch</strong>erung<br />
Ist für die fehlerfreie Übertragung zuständig. Fügt Prüfziffern<br />
hinzu und versendet verlorengegangene Pakete neu. Hängt die<br />
MAC-Adresse ans Paket.<br />
ARP<br />
Physikalis<strong>ch</strong>e<br />
Sorgt dafür, dass die Datenpakete über die physikalis<strong>ch</strong>e Leitung<br />
übertragen werden.<br />
Bluetooth, LAN,<br />
W-LAN<br />
2. Probier das cmd-Programm «nslookup» aus. Finde heraus, wel<strong>ch</strong>e IP-Adresse die NZZ hat.<br />
Wel<strong>ch</strong>er Dienst verbirgt si<strong>ch</strong> dahinter? Zu wel<strong>ch</strong>er S<strong>ch</strong>i<strong>ch</strong>t gehört er?<br />
Seite 13
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
<br />
Nslookup (Name Server lookup) ma<strong>ch</strong>t die Auflösung zwis<strong>ch</strong>en Webadresse und IP-<br />
Adresse. Dabei benutzt das Programm den DNS-(Domain Name Service) Dienst.<br />
Der DNS-Dienst ist ein weltweiter Verzei<strong>ch</strong>nisdienst, der die vergebenen Namen<br />
verwaltet. Der DNS-Dienst gehört zur Anwendungss<strong>ch</strong>i<strong>ch</strong>t.<br />
> nslookup nzz.<strong>ch</strong> → Server: nzz.<strong>ch</strong>, Address: 212.71.125.130<br />
Seite 14
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
07_Arbeitsblatt Portscan<br />
Ports des eigenen PC’s<br />
Führe zuerst einen Portscan deines eigenen PC’s dur<strong>ch</strong>. Dazu musst du die Zieladresse deines<br />
Computers eingeben. Die IP des eigenen Computers ist immer 127.0.0.1. Der Selbstscan auf localhost<br />
klappt nur, wenn du zwei Optionen angibst: -sT (TCP connectscan) und -Pn (Nmap soll<br />
ohne den Ping-Befehl scannen). Du gibst auf<br />
deinem Windows-PC also folgendes ein:<br />
nmap -sT -Pn 127.0.0.1. Und dann wartest du!<br />
Bei meinem Selbsttest wurde das folgende Resultat na<strong>ch</strong> vier Minuten ausgespukt:<br />
Informiere di<strong>ch</strong> im Internet über die folgenden Ports: 80, 21, 25, 443.<br />
Protokolliere in der Tabelle.<br />
Wähle ans<strong>ch</strong>liessend einen der offenen Ports auf deinem System und ma<strong>ch</strong> di<strong>ch</strong> darüber s<strong>ch</strong>lau.<br />
Am meisten hilft die Su<strong>ch</strong>e na<strong>ch</strong> dem Service (Dienst), der hinter dem Port steckt. Beim Port 445<br />
z.B. microsoft-ds<br />
Portnummer<br />
Zweck<br />
110 pop3, Übertragungsprotokoll, über wel<strong>ch</strong>es ein ClientE-Mails von einem E-<br />
Mail-Server abholen kann<br />
23 telnet, Netzwerkprotokoll basierend auf zei<strong>ch</strong>enorientiertem Datenaustaus<strong>ch</strong>.<br />
Seite 15
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
445 The SMB (Server Message Block) protocolisusedamongotherthingsforfilesharing<br />
1025 Network File System<br />
ist ein von Sun Microsystems entwickeltes Protokoll, das den Zugriff auf Dateien<br />
über ein Netzwerk ermögli<strong>ch</strong>t. Dabei werden die Dateien ni<strong>ch</strong>t wie z. B.<br />
bei FTP übertragen, sondern die Benutzer können auf Dateien, die si<strong>ch</strong> auf<br />
einem entfernten Re<strong>ch</strong>ner befinden, so zugreifen, als ob sie auf ihrer lokalen<br />
Festplatte abgespei<strong>ch</strong>ert wären.<br />
135 msrpc<br />
Microsoft Remote Procedure Call ->Aufruf einer fernen Prozedur<br />
Die am weitesten verbreitete Variante ist das ONC RPC (Open Network Computing<br />
Remote Procedure Call), das vielfa<strong>ch</strong> au<strong>ch</strong> als Sun RPC bezei<strong>ch</strong>net wird. ONC<br />
RPC wurde ursprüngli<strong>ch</strong> dur<strong>ch</strong> Sun Microsystems für das Network File System<br />
(NFS) entwickelt.<br />
Ablauf:<br />
Die Kommunikation beginnt, indem der Client eine Anfrage an einen bekannten<br />
Server s<strong>ch</strong>ickt und auf die Antwort wartet. In der Anfrage gibt der Client<br />
an, wel<strong>ch</strong>e Funktion mit wel<strong>ch</strong>en Parametern ausgeführt werden soll. Der Server<br />
bearbeitet die Anfrage und s<strong>ch</strong>ickt die Antwort an den Client zurück. Na<strong>ch</strong><br />
Empfang der Na<strong>ch</strong>ri<strong>ch</strong>t kann der Client seine Verarbeitung fortführen.<br />
Wel<strong>ch</strong>e Ports sind nun bei dir vorhanden? Findest du alle «WellKnown Ports»? Erkennst du no<strong>ch</strong><br />
andere Ports?<br />
Portscan des Na<strong>ch</strong>barn<br />
Bildet eine Zweiergruppe und taus<strong>ch</strong>t eure IP-Adressen aus. Führt einen Portscan des Na<strong>ch</strong>barn<br />
dur<strong>ch</strong>.<br />
Seite 16
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
Verwendet hier als Einstellung Quick Scan:<br />
A<strong>ch</strong>tet beim ersten Dur<strong>ch</strong>gang darauf, dass die Netzwerkart auf «Heimnetzwerk» eingestellt ist:<br />
Start – Systemsteuerung – Netzwerk- und Freigabezenter<br />
Dur<strong>ch</strong> Klicken auf die Netzwerkart kann sie ausgewählt werden.<br />
Für Windows 8:<br />
Vom Desktop aus:<br />
<br />
<br />
Linksklick auf das Netzwerkzei<strong>ch</strong>en<br />
Es öffnet si<strong>ch</strong> re<strong>ch</strong>ts die Netzwerkleiste<br />
<br />
<br />
Re<strong>ch</strong>tsklick auf Verbunden<br />
Und auf das aufgehende Popup klicken.<br />
Seite 17
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
<br />
Nun kann man zwis<strong>ch</strong>en öffentli<strong>ch</strong>e Netzwerke oder Für Heim- oder Arbeitsnetzwerke<br />
auswählen.<br />
Ändert diese Einstellung beim zweiten Dur<strong>ch</strong>gang auf «öffentli<strong>ch</strong>es Netzwerk».<br />
Diskutiert die Ergebnisse in der Gruppe.<br />
Seite 18
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
Firewall<br />
Führt die letzte Übung mit einges<strong>ch</strong>alteter bzw. ausges<strong>ch</strong>alteter Firewall dur<strong>ch</strong>.<br />
Unter Windows 7:<br />
Start – Systemsteuerung – Windows-Firewall. Links<br />
oben findet man die S<strong>ch</strong>altflä<strong>ch</strong>e<br />
Deaktiviere die Firewall für alle Netzwerke:<br />
.<br />
Was stellt ihr fest? Wel<strong>ch</strong>e Aufgabe hat die Firewall?<br />
Die Firewall verwaltet die Ports und lässt entweder Datenverkehr zu oder blockiert ihn. _______<br />
Dur<strong>ch</strong> das Deaktivieren der Firewall werden mehr Ports si<strong>ch</strong>tbar. ________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
Anmerkung:<br />
Mit Zenmap können au<strong>ch</strong> ganze Netzwerke gescannt werden:<br />
Bsp. Eingabe 192.168.1.0/24<br />
Das bedeutet, dass die ersten drei Byte (3x8bit=24bit) das Netzwerksegment festlegen.<br />
Hier wird also 192.168.1.1-192.168.1.255 dur<strong>ch</strong>fors<strong>ch</strong>t.<br />
Seite 19
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
08_Arbeitsblatt Warriors of the net – Fragen<br />
zum Film<br />
1. Wel<strong>ch</strong>e Aufgaben hat der Router?<br />
_______________________________________________________________________<br />
S<strong>ch</strong>aut na<strong>ch</strong>, wel<strong>ch</strong>e Adresse das Datenpaket hat und s<strong>ch</strong>ickt es allenfalls au<strong>ch</strong> an ein anderes<br />
Netzwerk.<br />
_______________________________________________________________________<br />
2. Was ma<strong>ch</strong>t der Swit<strong>ch</strong>? Das Bild könnte dir helfen.<br />
__________________________________________________<br />
Der Swit<strong>ch</strong> ist ein Netzwerkknoten, der die IP-Pakete auf ihren<br />
Weg leitet. __________________________________________<br />
3. Was passiert mit Datenpaketen, die ni<strong>ch</strong>t ankommen?<br />
_______________________________________________________________________<br />
Wenn ni<strong>ch</strong>t re<strong>ch</strong>tzeitig eine Quittung für das Paket eintrifft, wird ein Ersatzpaket gesendet. _<br />
_______________________________________________________________________<br />
4. Im Zusammenhang mit der Firewall wird im Film von Eingängen gespro<strong>ch</strong>en. Wie heissen<br />
die Eingänge in der Fa<strong>ch</strong>spra<strong>ch</strong>e? Port _________________________________________<br />
5. Wozu dient der Eingang 80? Webserver ________________________________________<br />
6. Wozu dient der Eingang 25? Mailsserver ________________________________________<br />
Seite 20
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
09_Arbeitsblatt ARP Ca<strong>ch</strong>e Poisoning -<br />
Man-in-the-middle-attack<br />
Verarbeitung<br />
Bespre<strong>ch</strong>e mit deinem Teamkollegen resp. deiner Teamkollegin die folgenden Fragen und halte<br />
die Antworten s<strong>ch</strong>riftli<strong>ch</strong> fest.<br />
1. Untersu<strong>ch</strong>t die ARP-Tabelle des Opfers. Was fällt dir auf? Verglei<strong>ch</strong>e sie mit der ursprüngli<strong>ch</strong>en<br />
ARP-Tabelle.<br />
_______________________________________________________________________<br />
Es werden in der ARP-Tabelle zwei identis<strong>ch</strong>e MAC-Adressen aufgeführt. Die MAC-<br />
Adresse des Angreifers ist au<strong>ch</strong> als MAC-Adresse des Gateways eingetragen. ____________<br />
_______________________________________________________________________<br />
2. Warum gehen die Daten des Opfers über den Computer des Angreifers?<br />
_______________________________________________________________________<br />
Gemäss ARP-Tabelle des Opfers entspri<strong>ch</strong>t die MAC-Adresse des Gateways der MAC-<br />
Adresse des Angreifers. Entspre<strong>ch</strong>end werden alle Datenpakete über den Angreifer gesendet<br />
die eigentli<strong>ch</strong> für den Router bestimmt sind. Das Programm «Cain & Abel» ist in der Lage<br />
die ARP-Tabelle des Opfers entspre<strong>ch</strong>end zu manipulieren. Der Angreifer liest die Informationen<br />
und leitet sie dem ri<strong>ch</strong>tigen Router weiter. Kommt eine Antwort aus dem Internet zurück,<br />
so wir sie vom Router an den Angreifer gesendet. Dieser kann wieder alle Informationen<br />
lesen und sie ans<strong>ch</strong>liessend dem Opfer zustellen. Dieser meint, dass die Informationen<br />
vom Router kommen.<br />
_______________________________________________________________________<br />
3. Erfors<strong>ch</strong>e, wie es mögli<strong>ch</strong> ist, dass der Angreifer einen fals<strong>ch</strong>en Eintrag in die ARP-Tabelle<br />
des Opfers s<strong>ch</strong>reiben kann. Man bezei<strong>ch</strong>net übringens diese Art des Angriffes als ARP<br />
Ca<strong>ch</strong>e Poisoning oder ARP-Spoofing.<br />
_______________________________________________________________________<br />
Um den Datenverkehr zwis<strong>ch</strong>en Host A und Host B abzuhören, sendet der Angreifer an<br />
Host A eine manipulierte ARP-Na<strong>ch</strong>ri<strong>ch</strong>t. In dieser ist ni<strong>ch</strong>t seine eigene IP-Adresse, sondern<br />
die von Host B enthalten, so dass Host A zukünftig die Pakete, die eigentli<strong>ch</strong> für Host<br />
B bestimmt sind, an den Angreifer sendet. Dasselbe ges<strong>ch</strong>ieht mit Host B, so dass dieser Pakete<br />
statt direkt an A nun ungewollt zum Angreifer sendet. Der Angreifer muss nun die von<br />
Seite 21
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
A und B erhaltenen Pakete an den eigentli<strong>ch</strong>en Empfänger weiterleiten, damit eine abhörbare<br />
Verbindung zustande kommen kann. Ist dies ges<strong>ch</strong>ehen, so arbeitet der Angreifer unbemerkt<br />
als Zwis<strong>ch</strong>enstelle. Dieser Angriff wird als «Man in the middle» bezei<strong>ch</strong>net.<br />
_______________________________________________________________________<br />
4. Weshalb können die Daten im Klartext gelesen werden?<br />
_______________________________________________________________________<br />
Die Daten sind ni<strong>ch</strong>t vers<strong>ch</strong>lüsselt. ____________________________________________<br />
_______________________________________________________________________<br />
5. Gegen wel<strong>ch</strong>en der oben dur<strong>ch</strong>gespielten Angriffe würde di<strong>ch</strong> eine Firewall s<strong>ch</strong>ützen?<br />
_______________________________________________________________________<br />
Eine Firewall nützt in dieser Situation ni<strong>ch</strong>ts. Trotz Firewall ist die Manipulation der ARP-<br />
Tabelle des Opfers mögli<strong>ch</strong>.<br />
_______________________________________________________________________<br />
6. Du hast in den vielen vers<strong>ch</strong>iedenen Versu<strong>ch</strong>en si<strong>ch</strong>er erkannt, dass wenn man unbeda<strong>ch</strong>t<br />
das Internet mit all seinen Mögli<strong>ch</strong>keiten nutzt, ein re<strong>ch</strong>t grosses Risiko eingeht. Der letzte<br />
Versu<strong>ch</strong> sollte dir gezeigt haben, dass die Si<strong>ch</strong>erheit massgebli<strong>ch</strong> erhöht werden kann. Beim<br />
Anmelden auf Facebook und Google konntet ihr keine Kennwörter abfangen. Versu<strong>ch</strong>e zu<br />
erklären, warum das ni<strong>ch</strong>t mögli<strong>ch</strong> war.<br />
_______________________________________________________________________<br />
Die Daten werden vers<strong>ch</strong>lüsselt. Bei Facebook und Google wird das Protokoll https („s“<br />
steht für secure) verwendet. Dabei sind die Protokolle SSL (Secure Socket Layer) resp.<br />
TLS (Transport Layer Security) für die Vers<strong>ch</strong>lüsselung zuständig.<br />
_______________________________________________________________________<br />
7. Kevin Mitnick, einst der meist gesu<strong>ch</strong>te Mann des FBI, weil er zig Netzwerke gehackt hatte,<br />
erkannte s<strong>ch</strong>on vor über 20 Jahren, dass es ni<strong>ch</strong>t primär te<strong>ch</strong>nis<strong>ch</strong>es Know-how brau<strong>ch</strong>t, um<br />
erfolgrei<strong>ch</strong> in Computersysteme einzudringen. Viel einfa<strong>ch</strong>er ist es die S<strong>ch</strong>wa<strong>ch</strong>stelle Mens<strong>ch</strong><br />
auszunutzen. (Mitnick & Simon, 2006)<br />
Was können wir alle tun, um im Umgang mit modernen Te<strong>ch</strong>nologien die Si<strong>ch</strong>erheit zu erhöhen?<br />
_______________________________________________________________________<br />
vertrauenswürdige Netze verwenden; öffentli<strong>ch</strong>e Netze meiden; die Nutzung jedes offenen<br />
(d.h. ni<strong>ch</strong>t vers<strong>ch</strong>lüsselten) WLANs ist risikobehaftet; das automatis<strong>ch</strong>e Verbinden der<br />
Smartphone mit offenen Netzwerken unterbinden;… ______________________________<br />
_______________________________________________________________________<br />
Seite 22
Grundlagen der Netzwerkte<strong>ch</strong>nik<br />
8. S<strong>ch</strong>liessli<strong>ch</strong> au<strong>ch</strong> no<strong>ch</strong> ein, zwei te<strong>ch</strong>nis<strong>ch</strong>e Fragen:<br />
Finde heraus auf wel<strong>ch</strong>er Netzwerks<strong>ch</strong>i<strong>ch</strong>t die Protokolle FTP und DHCP eingeordnet werden.<br />
Beide auf der Anwendungss<strong>ch</strong>i<strong>ch</strong>t _____________________________________________<br />
Wel<strong>ch</strong>e Ports nutzen sie? FTP 21, DHCP 67 und 68 _______________________________<br />
9. Untersu<strong>ch</strong>e mit Hilfe des Internets den Unters<strong>ch</strong>ied zwis<strong>ch</strong>en Router und Gateway.<br />
_______________________________________________________________________<br />
Ein Router leitet IP-Pakete zwis<strong>ch</strong>en vers<strong>ch</strong>iedenen Netzwerksegmenten weiter. Ein Gateway<br />
ist ein Protokollvermittler. Es kann zwis<strong>ch</strong>en vers<strong>ch</strong>iedenen Protokollen übersetzen und<br />
somit Netzwerke mit unters<strong>ch</strong>iedli<strong>ch</strong>en Protokollen verbinden.<br />
Aus dieser Erklärung folgt, dass in diesem Beispiel viel mehr von einem Router die Rede<br />
sein müsste als von einem Gateway. ___________________________________________<br />
Seite 23