Entwurf einer Infrastruktur von Netzwerkdiensten
Grundlegendes:
- Entwurf
- Implementierung
- Verwaltung
- à Testen! (eigene Umgebung) à
Alternativ und RollBack Strategie
Aspekte:
- Funktionalität (erfüllen der Unternehmensanforderungen)
- Sicherheit (Vertraulichkeit der Daten)
- (Hoch-)Verfügbarkeit (Ausfallsicherheit)
- Leistung (schnelle Verfügbarkeit)
Überblick:
- Netzgrundlage
- OSI 1+2 (hier nicht betrachtet aber z.B. 10BaseT)
- Protokoll (z.B. TCP/IP, Appletalk, NWLink, NetBeui, ...)
- Dienste (Z.B. DNS, DHCP, WINS)
- Internetanbindung
- Routing und RAS
- Routing
- Einwahl, VPN, RADIUS
- Entwurfsplanung
Einsatz und Möglichkeiten von TCP/IP:
- Skalierbar, notwendig bei Internetverbindungen und ADS
- TCP/IP ist ein Protokollstapel (3-7 OSI Schicht) z.B.
- IP, TCP, UDP, ICMP, ARP, DNS, RIP, Telnet, ...
- TCP/IP-Features
- Sicherheit (Filter, IPSec, Protokollbindung)
- Bandbreitensteuerung (QoS, RSVP)
- Automatische IP-Adressierung (APIPA)
- NetBios Deaktivierung
- Leistungsoptimierung (Fenster)
- ICMP-Routersuche (standard: deaktiviert)
- Kapazitätsplanung
- Anzahl der Hosts, Teilnetze, Router
- IP Adressierung:
- Privat
- Kostenfrei
- Erweiterbar
- Sicher
- NAT, Proxy für Internetzugriff nötig
- 10.0.0.0/8 ; 172.16.0.0/12 ; 192.168.0.0/16 ;
169.254.0.0/16
- Öffentlich
- Kostet
- Jeder Host ist aus den Internet erreichbar
- NAT, Proxy für Internetzugriff nicht nötig
- IP Adressierung
- Klassen
- A (1-126) 255.0.0.0
- B (128-191) 255.255.0.0
- C (192-223) 255.255.255.0
- D (224-239) - (Multicast)
- Klassenlos
- Variable Länge der Subnetmask
- Anpassen der Anzahl der Teilnetze bzw. der Hosts pro
Teilnetz
- Zusätzliche Teilnetze zum segmentieren bei
Überlastung
- Läuft nicht mit RIP I
- IP Adressierung
- Manuell
- Nicht DHCP fähig bzw. feste Adresse gewünscht
- DHCP
- Automatisch (Reservierung, Klassen) (Optionen)
- APIPA
- Automatisch (fester Bereich) (keine Optionen) à
kleine, nicht geroutete Netze
IP Sicherheit
- Filter (bestimmte Dienste nicht zulassen ; Standard: alles
offen)
- Routing und Ras (Quell/Zieladresse, IP-Protokolltyp,
Quell/Zielport) Eingabe bzw. Ausgabefilter
- Netzwerkumgebung (Portnummer, Protokolltyp)
- IPSec
- Datenintegrität (Authenticationheader AH) oder
Datenintegrität und Verschlüsselung (Encapsulated Security Payload ESP)
- IPSec Richtlinien bestehen aus Filtern und Aktionen,
die manuell oder über GPOs zugewiesen werden können. z.B. die Standardrichtlinien: Client, Server, sicherer Server
- Algorithmen und Protokolle
- Integrität (Hash-Verfahren)
- SHA1 (160 bit)
- MD5 (128 bit)
- Verschlüsselung
- DES (40 bit, 56 bit)
- 3DES (3 x 56 bit)
- Diffie Hellmann Gruppe (Hauptschlüssel,
Schlüsselaustausch)
- Abwägung: Sicherheit contra Leistung und Bandbreite
- Weitere Einstellungen
- Tunnel- oder Transportmodus
- Peer (Rechner) Authentifizierung: Kerberos v5,
Zertifikate, vorinstallierter Schlüssel (gemeinsames Kennwort)
- Erhöhen der Verfügbarkeit
- Konfiguration mehrerer Verbindungen à
Fehlertoleranz (gegenüber Verbindungsausfall)
- Verwendung mehrerer Routen durch dynamische
Routingprotokolle (RIP v2, OSPF) à
Fehlertoleranz + Lastausgleich (bei gleichen Kosten)
- Erhöhen der Leistung:
- größere Bandbreite
- Protokolle und Dienste optimieren (z.B. ausschalten bei Nichtgebrauch)
- Zugriff vor Ort (Standorte)
- Segmentieren (Teilnetze verwenden, Subnetting)
- Routen zusammenfassen (Supernetting)
- Fenstergröße (Bestätigung des Empfangs der Packete nach
dem xten Packet (Standard 12) Konfiguration in der Registry)
- Größer für zuverlässige Netze, kleiner für
unzuverlässige
- Verwandte Begriffe: MTU (maximum transfer unit); MSS (maximum
session size)
- QoS (Quality of Service) (Bandbreitenreservierung für
bestimmte Dienste z.B. IP Telefonie, Videokonferenzen, .. )
- Verwandte Begriffe: RSVP (ressource reservation protocol)
- Unterstützung von RSVP auf den Routern zwischen den
Teilnehmern
DHCP:
- automatische IP-Konfiguration (Adresse + Optionen)
- Broadcast-Protokoll!
- Lease
- DHCP-Features:
- Multicastbereiche (MADCAP)
- Bereich
- IP Adresspool / Subnetmask (Mask nicht nachträglich
änderbar)
- Ausschlussbereiche
- Reservierungen
- Leasedauer
- Bereichsgruppierung
- Zusammenfassen von Bereichen unterschiedlicher
Teilnetze (z.B. für nachträgliche Poolvergrößerung, Wechsel der
IP-Adressbereiche)
- Optionen
- z.B. Standardgateway, DNS-Server, WINS-Server, DNS-Suffix, ...
- Vergabe auf den Ebenen Server, Bereich, Klassen,
Reservierungen (Reihenfolge!)
- Integration in ADS
- Authorisierung (stellt ein W2K DHCP Server fest, dass
eine AD-Domäne im Netz vorhanden ist, überprüft er seinen
Authorisierungstatus um die Starterlaubnis zu erhalten) => keine
unerwünschte Adressvergabe durch unauthorisierte DHCP Server
- Nicht W2K DHCP Server ignorieren dieses Feature
- Integration in DNS
- Integration in Routing und RAS
- RAS/VPN Server können DHCP Adressen für ihre Clients
vergeben
- 10er Blöcke, ohne Optionen (es sei denn: DHCP Relay
Agent „intern“)
- DHCP Clients
- Nicht DHCP fähig
- BOOTP Clients (erkennen keine Leasedauern)
- Nicht MS DHCP Client
- MS DHCP Client (nutzen MS spezifische Optionen z.B. NETBios
Deaktivierung, können die Adresse beim runterfahren freigeben)
- DHCP in einer gerouteten Umgebung
- DHCP pro Teilnetz
- BOOTP fähige Router (RFC 1542)
- DHCP Relay Agent (extra Rechner (Server))
- Nicht auf gleichen Rechner wie DHCP Server einsetzen
- In den unteren Fällen sind Bereiche für jedes der
Teilnetze auf dem DHCP Server nötig (Mechanismus der Bereichszuordnung)
- DHCP erhöhen der Verfügbarkeit
- Cluster (min. 2 W2K Advanced Server => aktive/aktive, Failover)
- Ein physikalisches Teilnetz
- Zweiter DHCP Server , Bereiche aufteilen (50:50)
- Mehrere physikalische Teilnetze
- Zweiter DHCP Server , Bereiche aufteilen (80 lokal : 20
remote)
- DHCP erhöhen der Leistung (kürzere Antwortzeiten)
- Cluster (min. 2 W2K Advanced Server => aktive/aktive, Failover)
- Platzierung des Servers (viele Clients)
- Bessere Hardware (CPUs, RAM, HDD, NICs)
- Mehrere Server mit Bereichsverteilung
- Leasedauer anpassen
DNS:
- Namensauflösung (Firma, Internet) FQDN in IP-Adresse
- AD Domäne: bereitstellen der Service Einträge à notwendig
- DNS Features
- Integration in ADS
- Namensraum
- Service Einträge
- AD integrierte Zonen
- Integration in DHCP (dyn. DNS)
- Integration in WINS
- Scheitert eine Namensauflösung innerhalb einer DNS Zone kann eine Abfrage an einen WINS Server stattfinden (Konfiguration auf Zonenebene); nur W2K DNS
- Im Falle eines nicht W2K DNS Servers kann eine delegierte Unterzone, die auf einem W2K Server geführt wird die Weiterleitung zum WINS Server durchführen
- Zusammenarbeit mit NT4 oder BIND DNS
| Feature |
W2k |
8.2.1 |
8.1.2 |
4.9.7 |
NT4 |
| SRV-Einträge |
x |
x |
x |
x |
- |
| Dyn. Akt. |
x |
x |
x |
- |
- |
| „Nur gesichert“ |
x |
- |
- |
- |
- |
| IXFR |
x |
x |
- |
- |
- |
| UTF 8 Zeichen |
x |
- |
- |
- |
- |
| Neg. Caching |
x |
x |
? |
- |
? |
- Zonentypen
- Standard (auf allen DNS Servern möglich)
- Primär
- Sekundär
- „Nur lese“ Kopie einer anderen Zone
- Zonentransfer muss konfiguriert werden
- Sicherheit beim Transfer über IPSec oder VPN
- Active Directory Integriert (nur auf W2K DCs)
- Multimasterprinzip (alle veränderbar)
- Nur gesicherte Aktualisierungen möglich
- Zonentransfer erfolgt über AD Replikation (automatisch)
- Auflösungen
- Forward (Name in IP)
- Reverse (IP in Name); nicht zwingend nötig aber hilfreich (NSLOOKUP)
- DNS Namensstrategie
- Implementierungsstrategien:
- Internet DNS Zone (extern) ist durch Firewall von einer delegierten DNS Zone (intern) getrennt. ADS Stammdomäne verwendet interne DNS Zone.
- Durchgehender Namensraum
- Längere Namen
- DNS Server für delegierte Zone nötig
- Externer DNS Server (falls bereits vorhanden) muss nicht aktualisiert werden
- AD Daten von öffentlich zugänglichen Daten getrennt
- Internet DNS Zone (extern) ist durch Firewall von einer gleichnamigen DNS Zone (intern) getrennt. ADS Stammdomäne verwendet interne DNS Zone.
- Benutzer verwenden nur einen Namen
- Nur ein registrierter Name
- Firewallkonfiguration ist komplexer
- Synchronisierung
- Mehr Verwaltungsaufwand
- Internet DNS Zone (extern) ist durch Firewall von einer andersnamigen DNS Zone (intern) getrennt. ADS Stammdomäne verwendet interne DNS Zone.
- Mehr Sicherheit
- Strikte Trennung öffentlicher und interner Ressourcen
- Vorhandene DNS Infrastruktur (Server, Zonen) kann weiter verwendet werden.
- In interner Zone evt. Aktualisierung des DNS Servers nötig
- Verwirrung der Benutzer möglich
- DNS-Internetanbindung
- Ausgehend
- à Weiterleitung zu einem DNS Rootserver
- Eingehend
- à Nur nötig falls interne Ressourcen übers Web erreichbar sein sollen
- à Sicherung durch Firewall (evt. sek. Zone, Transfer sichern)
- Verfügbarkeit erhöhen
- Mehr Server (sek. oder AD integrierte Zonen); (Clientkonfiguration)
- Cluster (min. 2 W2K Advanced Server => aktive/aktive, Failover)
- Leistung erhöhen (kürzere Antwortzeiten)
- DNS Server pro WAN Standort
- Mit Zone (sek. o. AD int. o. delegierte Zone (kleinere Datenbanken))
- Steuerung des Transferverkehrs SOA Eintrag oder Repl.verkehr bei AD integrierten Zonen
- Reduzierung durch IXFR
- Nur Cache
- Abwägung zwischen Anfrage und Transferverkehr
- Mehr Server (Clientzuordnung)
- Bessere Hardware
NetBios-WINS:
- Namensauflösung für Netbios Ressourcennamen
- 15+1 Zeichnen
- Broadcastprotokoll (ohne WINS), Unicast mit WINS
- Flacher Namensraum
- Mit WINS dynamische Datenbank
- Wichtig für MS-OS bis W2K (Standard Namensdienst)
- Vorgänge
- Registrierung
- Auflösung
- Erneuerung
- Freigabe
- Reihenfolge
- NBT Cache
- Knotentyp (Broadcast, Peer, Mixed, Hybrid)
- LMHosts falls aktiviert
- WINS Features
- Replikation zwischen WINS Servern
- Push/Pull
- Automatische Partnersuche (2h Repl., Multicastgruppe 224.0.1.24)
- DNS Integration (DNS Server kann WINS Server abfragen)
- Sichere und zentrale Verwaltung (Gruppen, Rechte für Konfiguration)
- Burstmodus
- Planungsüberlegung NetBios mit Bzw. ohne WINS
- Nicht geroutetes LAN
- WINS nicht nötig (da eine Broadcastdomäne), aber wünschenswert, weil der Broadcastverkehr reduziert wird; (alternativ zu WINS in kleinsten Netzen: LMHosts)
- Geroutete LANs
- WINS Einsatz (da Unicast, erfordert WINS Clients)
- LMHosts (nicht in großen Netzen)
- Router lassen NetBiosbroadcasts durch (Ports 137, 138 TCP und UDP)
- Clients
- WINS Client (volle Funktionalität)
- NetBiosbroadcast-Clients
- Integration durch WINS Proxy Client + statische Einträge
- Nicht NetBios Clients
- Bereitstellen von Ressourcen durch statische Einträge
- Evt. WINS Namensauflösung durch DNS-WINS Integration
- Verwendung mehrerer WINS Server
- Verteilte Datenbank durch Registrierung à Replikation à Konvergenz (Abgleich der Datenbank)
- Sterntopologie bevorzugt
- Push Partner (Replikation nach x Änderungen an der Datenbank)
- Pull Partner (Replikation nach Zeitintervall)
- Push/Pull ist Standard
- Aufrechthalten der Verbindung (nur schnelle Netze à sofortige Übertragung)
- Sichern von WINS
- Abfragen oder Replikation können beim durchlaufen öffentlicher Netze durch IPSec oder VPN Tunnel gesichert werden
- Firewalltopologie (Freigabe von NetBios Ressourcen für Internetbenutzer)
- Verfügbarkeit erhöhen
- Mehrere WINS Server (mit Replikation); (WINS Client fragt bis zu 12 Server)
- Cluster (min. 2 W2K Advanced Server => aktive/aktive, Failover)
- Leistung erhöhen (schnellere Antwortzeiten)
- Bessere Hardware
- Mehrere WINS Server (Clients verteilen)
- WINS Server pro WAN Standort
- Abwägung: Abfrage contra Replikationsverkehr
- Abwägung: Aktualität der Datenbank (Konvergenzzeit) contra Replikationsverkehr
- Datenbankoptimierung (z.B. deinstallieren von MS Datei und Druckerfreigabe auf Clientrechnern)
Internetanbindung:
- Router (öffentliche IP Adressen im Intranet nötig, keine Sicherheit à +Firewall)
- Adressübersetzung (private IP Adressen im Intranet möglich,
Sicherheit interner Ressourcen vor Internetzugriff)
- NAT (W2K Server, Routing und RAS, Routingprotokoll)
- Einsatz bei
- Internetzugang für eine LAN mit privaten IP Adressen
- Keine Unterscheidung der Benutzer
- Features
- Adressübersetzung
- Sicherheit der internen Ressourcen
- Mini DHCP möglich
- DNS Proxy möglich
- Integration in bestehende Netze
- Min. 2 Schnittstellen
- Privat
- Öffentlich (NIC oder wählen bei Bedarf)
(mehrere Adressen möglich àPool)
- Zugriff auf interne Ressourcen aus dem Internet (z.B.
Webserver)
- Zuordnung einer privaten Adresse zu einer
Öffentlichen aus dem Adresspool der öffentlichen Schnittstelle
(falls mehrere öffentliche Adressen vorhanden)
- Zuordnung spezieller Ports zu privaten IP Adressen
(+Portnummern) à bei nur einer
öffentlichen Adresse
- Erhöhen der Sicherheit durch
- IP Filter (allgemein, ein/ausgehend)
- VPN-PPTP Tunnel zur Benutzerauthentifizierung
bei der Einwahl
-
Verbessern der Verfügbarkeit und Leistung
- Dedizierten Server einsetzen (nur NAT)
-
Bessere, fehlertolerante (mehrere
Internetverbindungen)
-
(bessere Hardware)
-
NAT funktioniert nicht mit
-
IPSec (L2TP)
-
Kerberos v5 => keine DC Replikation, ...
-
LDAP
-
RPC (einige MMCs)
-
COM (einige Client/Server Anwendung)
-
SNMP
-
Netmeeting
-
ICS ist eine abgespeckte NAT Variante
-
Mini DHCP + DNS Proxy fest vorkonfiguriert (z.B.
192.168.0.1) => Einschränkungen des privaten Netzwerks
-
Öffentliche Schnittstelle: nur Einwahl, kein
Adresspool
-
Auch auf W2K Prof.
-
Konfiguration über Einwahlschnittstelle
-
Proxy2
-
Features
-
Adressübersetzung à
min. 2 Schnittstellen (öffentlich/privat)
-
Integration in bestehende Netze
-
Sicherheit
-
Schutz interner Rechner vor Internetzugriffen
-
Zugriffssteuerung
-
Pro Benutzer/Gruppe und Protokoll (z.B. HTTP)
-
Dyn. Packetfilter (externe Schnittstelle)
-
Domänenfilter (IP-Bereich, DNS Namen)
-
LAT (lokale Adresstabelle); legt die internen
Adressen des Netzes fest
-
Routing deaktivieren! LAT darf keine externen
Adressen enthalten!
-
Für Einwahlverbindungen können VPN, IPSec und TCP/IP
Filter verwendet werden
-
Ist in den IIS integriert
-
Protokollierung der Dienste in Datei oder Datenbank
-
Sichern und Wiederherstellung der Proxykonfiguration
möglich
-
Proxygruppen möglich (Array)
-
Eine Verwaltungseinheit
-
Ansprache über einen Namen à
Fehlertoleranz
-
CARP für verteilten, nicht redundanten Cache à
Leistung
-
WEB PROXY Dienst
-
Browser als Client ; Port 80 auf Proxy ; http, ftp,
https, gopher
-
Caching (http, ftp) ; [aktiv/passiv; Cachefilter;
Größe, Zeiten]
-
Proxyketten (Upstream Proxys); reserve Routen
möglich
-
Webpublishing
-
WINSOCK PROXY Dienst
-
Erfordert MS Proxy Client (remote WinSock) à
OS=Windows
-
Umleitung der Clientanwendung zum Proxy; Portnummer
erhalten; Protokolle (ftp, pop3, RealAudio, InstantMessaging,
...)
-
SOCKS PROXY Dienst
-
OS unabhängig
-
Keine Zugriffssteuerung auf Benutzerebene
-
Erhöhen der Verfügbarkeit
-
Proxygruppe
-
Kette mit reserve Route
-
Proxygruppe mit DNS Round Robin
-
Erhöhen der Leistung
-
Bessere Hardware
-
Cacheeinsstellungen (Aktualität contra
Antwortzeit)
-
Proxygruppe
-
Proxykette (Proxy pro WAN Standort)
Routing:
-
verbindet Teilnetze, die aufgrund von Sicherheit, Anzahl der Hosts oder
Standorten notwendig bzw. gewünscht sind
-
Möglichkeiten von Routing und Ras
-
Schnittstellentypen
-
Dediziert (NIC)
-
Wählen bei Bedarf Schnittstelle (Modem, ISDN, ..., VPNs)
-
Zeitplanung
-
Filter, welche Art von Verkehr die Verbindung
initiert
-
IP in IP Tunnel (z.B. für Multicastweiterleitung über
nicht multicastfähige Router)
-
Routbare Protokolle
-
„Routing Protokolle“
-
statisches Routen
-
manuelle Aktualisierung/Verwaltung
-
kein Netzverkehr durch den Austausch von
Routinginformationen
- Einsatz
- Kleine Netze bzw. „statische“ Netze
- Verkehrvermeidung
-
RIP
-
Distanz Vektor Protokoll
-
Senden der Routingtabelle (Standard alle 30 sek)
-
Max. 15 hops
-
Einsatz
-
Mittelgroße dynamische Netze (bis 50 Einheiten)
-
Version 1
-
Broadcast
-
Nur IP Klassenbasierte Netze
-
„loop to infinity“
-
Version 2
-
Broadcast und/oder Multicast
-
Klassenlose Netze möglich
-
Routerauthentifizierung (Klartextkennwort)
-
OSPF
-
Link State Protokoll (Einsatz einer
Verbindungsstatustabelle)
-
Senden der Änderungen
-
Großer Protokollüberhang
-
Einsatz
-
Broadcast und/oder Multicast
-
Klassenlose Netze möglich
-
Routerauthentifizierung (Klartextkennwort)
-
Komplex in der Konfiguration
-
NAT
-
IGMP
-
Multicastweiterleitung (kein Multicast-Routing)
-
Schnittstellenmodi
-
Router (Clientseite)
-
Proxy (Weitergabeseite) nur eine möglich
-
Erfordert Multicast Backbone oder einen IP in IP
Tunnel zur Überbrückung nicht gerouteter Bereiche
-
DHCP Relay Agent
-
Weiterleitung von DHCP/BOOTP Broadcastsendungen an
einen entsprechenden Server
-
Routing über wählen bei Bedarf
-
Zeitsteuerung
-
Initierungsfilter
-
Vorsicht bei dyn. Routingprotokollen
-
Autostatische Routen (Standard)
-
Sichern des Routingverkehrs
-
Routerauthentifizierung
-
Über öffentliche Netze (Inet)
-
IPSec Tunnel
-
VPN Tunnel
-
PPTP
-
Ab NT4
-
MS
-
Nur Benutzerauthentifizierung (z.B. MS-Chap)
-
Verschlüsselung (MPPE)
-
L2TP
-
Ab W2K
-
Offen zur Verwendung
-
Benutzer + Clientauthentifizierung
(Kerberos, Zertifikat, oder gemeinsames Kennwort)
-
IPSec Verschlüsselung
-
Sichern des Netzes (Zugriff)
-
Verfügbarkeit erhöhen
-
Mehrere Router
-
Mehrere Verbindungen
-
Leistung erhöhen
-
Mehrere Router
-
Mehrere Verbindungen
-
Dedizierte Router
-
Hardware
RAS
- ermöglicht den Zugriff für Remote Clients (über Einwahl oder VPN),
die arbeiten können wie im Firmen LAN