Tachylite

WAN und VPN

Das Internet besteht aus vielen LANs
WANs werden nicht von den Benutzern betrieben, sondern Normalerweise von Internetanbietern, und sie werden vermietet. Früher waren WANs langsamer, aber inzwischen gibt es Gigabit und 5G.

Topologien

LAN vor allem mit Ethernet hat oft Stern-Topologie, bei WANs ist

  • Point-to-Point Topologie sehr üblich. Das kommt aus dem Telefonnetz, das für Daten verwendet wurde als, es noch kein Datennetz gegeben hat.
  • Hub-and-Spoke Topologie: besteht aus mehreren Point-to-Point Netzwerken mit einem Zentralen Router (Hub), über den alles Läuft
  • Fully / Partially Meshed Topology: Hier ist jeder Endpunkt mit jedem anderen Verbunden, bei Partially Meshed werden manche Verbindungen ausgelassen.

OSI-Modell

IP wurde konzipiert für das WAN und nie für das LAN gedacht, aber weil IP trotzdem im LAN verwendet wird gibt es ab Layer 3 keinen Unterschied zwischen LAN und WAN mehr. Andersherum gibt es die Idee, für WAN auch Ethernet zu verwenden, aber es gibt auch andere (Teilweise veraltete Protokolle).

Etc.

Als Grenze zwischen LAN und WAN kann man das Modem sehen. Je nachdem wo man ist, bekommt man entweder vom Provider ein Modem oder man bekommt ein Kabel aus der Wand und das wars (z.B. in USA).

Serielle Kabel sind schneller als Parallele Kabel, weil man beim Empfangen die Daten wieder Synchronisieren muss.

  • Circuit-Switched Communication: Ein Pfad durch das Netzwerk wird elektronisch geschalten
  • Packet-Switched Communication: Daten werden in Pakete aufgeteilt, und jedes Paket wird unabhängig durch das Netzwerk ans Ziel geroutet, billiger, flexibler

WAN hatte ursprünglich Geswitchte Verbindungen und Dedicated Lines, die fix immer da waren. Bei Switched kann man wieder zwischen Circuit Switched (z.B. Festnetztelefone) und Packet Switched unterscheiden (z.B. Frame Relay)

Telefon war für Sprechen entworfen, deswegen war die Frequenz auf 3.5KHz begrenzt. Das reicht für Sprechen aber hohe Töne gehen oft nicht gut. Das maximum für Datenübertragung war 33kbps. Damit noch mehr geht hat man die Daten komprimiert, die Standard Modems waren damit 56kbps. Das hatte auch den Effekt, das die Telefonleitung nicht mehr verwendet werden konnte, wenn das Internet in Verwendung war.

ISDN: hat die Daten nicht mehr Analog übertragen, sondern Digital. Das hat bei klassischen Telefonkabeln 140 kbit gebracht. Die hat man dann aufgeteilt in 2 B-Kanäle (je 64kbps) und einen D-Kanal (16kbps). Der D-Kanal wurde als Signalisierung verwendet, wenn man angerufen hat, wurde ein B-Kanal ausgewählt. Dadurch dass man zwei Kanäle hat, kann man gleichzeitig anrufen und Internet verwenden. Man kann auch die Kanäle zu einem Datenkanal verbinden, der dann 128 kbit ist. Unternehmen hatten einen Zusätzlichen Anschluss mit 30 B-Kanälen, d.h. man kann entweder 30 Anrufe gleichzeitig machen, oder einen Datenkanal mit 2Mbps. Eine Firma, die immer noch ISDN verwendet, ist die ÖBB

Moderne Architektur

Eine Anwendung von Dedicated Connections ist Dark Fiber: man bekommt vom Anbieter das Ende von einer Glasfaserleitung

Packet Switched: MPLS

MPLS: Multiprotocol Label Switching, simuliert eine Dedicated Connection durch eine "Cloud". Wenn ein Kunde ein Verbindung braucht bekommt er ein Label. Basierend auf dem Label wird eine Route fix eingerichtet
Der Nachteil von Normalen Dedicated Verbindungen ist dass man immer bezahlt, egal wie viel man braucht, weil die Leistung, die man braucht reserviert sein muss. MPLS löst dieses Problem.

DSL kann Internet über Telefonleitungen Daten übertragen. Dazu werden auf der Leitung mehrere Kanäle getestet (im MHz Bereich), dadurch bekommt man Geschwindigkeit von über 100 Mbit. Frequenzen von unter 4 KHz werden für die normale Sprachtelefonie freigehalten.

Kabel: ursprünglich für Fernsehen gedacht, aber später auch Datenübertragung. Normalerweise höhere Geschwindigkeiten als DSL, größere Bandbreite und weniger Störungen.

Andere:

  • Satellit, jetzt möglich über Starlink
  • Wireless: 5G, WiFi, Bluetooth
  • WiMAX: Worldwide Interoperability for Microwave Access, ist ein IEEE Standard, Langstrecken Funkdatenübertragung. Ursprünglich vertrieben von Intel. War nicht erfolgreich weil es damals HSDPA (grottenschlecht) gegeben hat.

VPN

Wir verwenden ein Trägernetzwerk das unsicher ist und über das wir keine Kontrolle haben, darüber wird ein Tunnel aufgebaut. Der ist verschlüsselt, es ist die Aufgabe vom VPN-Protokoll den Tunnel zu verwalten. Ist viel billiger und wahrscheinlich sicherer als eine gemietetes Netzwerk ohne Sicherheit. Geschwindigkeit ist halt abhängig vom unterliegenden Netzanbieter. Ich bin von keiner anderen Technologie abhängig (außer halt Internet).

Arten:

  • Remote Access VPN: Ein einzelner Benutzer verbindet sich mit einem Netzwerk, z.B. von zu Hause aus mit dem Firmennetzwerk
  • Site-to-Site VPN: Verbindet zwei Netzwerke miteinander

interne Funktionsweise:

  • SSL/TLS: funktioniert auf Layer 5, wird oft für Remote Access VPNs verwendet
  • IPSec: funktioniert auf Layer 3, wird oft für Site-to-Site VPNs verwendet

GRE

Generic Routing Encapsulation, ist ein Protokoll, das nur andere Protokolle verpackt und tunneln kann, wird oft in Kombination mit IPSec zum tunneln verwendet, weil IPSec nicht alle Protokolle tunneln kann.

PPTP ist ein älteres Protokoll, das auf Layer 2 arbeitet, ist aber unsicher und wird nicht mehr empfohlen. Es verwendet eine Kombination aus GRE und einem eigenen Authentifizierungsprotokoll. Es war sehr lange das Standardprotokoll für VPNs bei Microsoft.

L2TP von Cisco kann nicht authentifizieren oder tunneln

IPsec ist auf Layer 3, es baut die VPN-Funktionalität in IPv6 ein. Weil IPv6 nicht verwendet wurde, hat man versucht, es auf IPv4 zu implementieren, was grottenschlecht funktioniert hat. Es ist sehr komplex und schwer zu implementieren, und IPsec hat einen sehr schlechten Ruf bekommen.

IPsec ist aufgeteilt in Bereiche, und die Algorithmen in den Bereichen sind austauschbar, z.B. Schlüsselaustausch oder Verschlüsselung. Deswegen muss vorher eine SA (Security Association) verhandelt werden.

zwei Modi:
Tunnelmodus: ganze Paket mit Header verschlüsselt
Transportmodus: nur Payload verschlüsselt

Aufgaben von IPSec:

  • Integrität: HMAC wird ans Paket angehängt
  • Paketauthentifizierung: Abfallprodukt von Integrität
  • Verkehrsflussvertraulichkeit: Es ist nicht möglich zu sehen, wer mit wem kommuniziert, wie viel
  • Schutz vor wiederholtem Senden von Paketen (Replay-Attacke): Wiedereinspielung von vorher gesammelten Daten für Authentifizierung, z.B. von MITM-Attacke
  • Schutz vor DOS-Attacken, braucht gehärteten Stack, funktioniert nur bei dedizierten VPN-Gateways, ausschließlich Tunneling-Protokolle können sich verbinden

Authentication Header (AH): Sorgt für Authentizität, Integrität, Daten werden nicht verschlüsselt
Encapsulation Security Payload (ESP): Authentizität und Integrität innerhalb von IPSec, Daten werden verschlüsselt