Thomas: Die Seite wurde neu angelegt: „ =Verbindungenszenarien= ==Eingehende Tcp/Ip Verbindungen== Die Regel für eingehende Pakete muss alle Kombinationen von SYN und ACK Flags im TCP Header ak…“

2016-08-18T14:41:49Z

Die Seite wurde neu angelegt: „ =Verbindungenszenarien= ==Eingehende Tcp/Ip Verbindungen== Die Regel für eingehende Pakete muss alle Kombinationen von SYN und ACK Flags im TCP Header ak…“

Neue Seite

=Verbindungenszenarien=

==Eingehende Tcp/Ip Verbindungen==

Die Regel für eingehende Pakete muss alle Kombinationen von SYN und ACK Flags im TCP Header akzeptieren, das heisst, es muss auch das Paket, welches nur ein gesetztes
SYN Flag hat, durchlassen.

Die Regel für ausgehende Pakete muss explizit Pakete, die lediglich das SYN Flag im TCP Header gesetzt haben, ausschliessen um zu verhindern das von innen nach aussen eine Verbindungsaufnahme erfolgen kann.

==Ausgehende Tcp/Ip Verbindungen==

Die Regel für ausgehende Pakete muss alle Kombinationen von SYN und ACK Flags im TCP Header akzeptieren. Das heisst, es muss auch das Paket, welches nur das SYN Flag gesetzt hat, durchlassen. Die Regel für eingehende Pakete muss explizit Pakete, die lediglich das SYN Flag im TCP Header gesetzt haben, ausschliessen, um zu verhindern, dass von aussen nach innen eine Verbindungs- aufnahme erfolgen kann.

==Ausgewählte TCP Dienste auf die diese Regeln zutreffen.==

[[file:TCPDienste.jpg]]
[[file:TCPDienste2.jpg]]

==UDP Problematik==

Da UDP basierende Dienste verbindungslos sind, ergibt sich das Problem,
dass man mit herkömmlichen Mitteln nicht bestimmen kann, welche Seite
die Verbindung initiiert hat.

Ausgewählte UDP Dienste auf die diese Regeln zutreffen:

[[file:UDPDienste.jpg]]

==Sonderfälle==

Die Nachfolgenden Dienste fallen nicht in die oben genannten Kategorien und werden deshalb gesondert behandelt.

===Nameservices (domain Port 53)===

;Client <---> Server
:Bei Anfrage eines Clients an einen Nameserver verwendet der Client als Source Port einen Wert ab 1024 und als Destination Port 53 als Protokoll wird UDP verwendet.
:Bei Verbindungsproblemen oder wenn das Paket größer als 512 Byte ist erfolgt die Anfrage auf TCP Basis.
:Manche Unixe verwenden ausschließlich TCP.

;Server <---> Server
:Bei Lookup-Anfrage eines Nameservers an einen Nameserver verwendet der Client als Source Port einen Wert 53, als Destination Port 53 und als Protokoll wird UDP verwendet.
:Seit BIND 8 verhält sich der anfragende Nameserver wie ein normaler Client (kann per Konfiguration geändert werden).

;Bei Zonentransfers
:verwendet der Client (meist sekundäre Nameserver)
:den Source Port ab 1024 und der Server (meist primärer Nameserver)
:den Port 53 als Protokoll wird TCP verwendet.

===Ftp Dienst ( ftp 21 ftp-data 20)===

Beim Ftp Dienst werden zwei Kanäle zwischen Client und Server
benutzt. Der Verbindungsaufbau wird wie eine ganz normale TCP
Verbindung initiiert. Als Source Port wird ein Wert größer gleich 1024
benutzt und als Destination Port 21. Diese Verbindung bleibt bestehen
und wird als Steuerkanal benutzt.

Danach gibt es zwei Möglichkeiten :

====Aktives FTP====

Beim '''''aktiven FTP''''' teilt der Client dem Server über den Steuerkanal
einen Port oberhalb 1023 mit. Der Server geht darauf eine Verbindung
zum Client auf diesem Port ein. Über diesen Kanal werden die Daten
ausgetauscht.

====Passives FTP====

Beim '''''passiven FTP''''' teilt der Client dem Server über den Steuerkanal
das Schlüsselwort PASV mit. Der Server überträgt darauf einen Port ab
1024 der für den Datenkanal bereit steht. Daraufhin konnektiert der
Client den Server auf diesem Port. Über diesen Kanal werden die
Daten ausgetauscht.

Verbindungsszenarien - Versionsgeschichte

Thomas: Die Seite wurde neu angelegt: „ =Verbindungenszenarien= ==Eingehende Tcp/Ip Verbindungen== Die Regel für eingehende Pakete muss alle Kombinationen von SYN und ACK Flags im TCP Header ak…“