# Praktikum 2 > Gruppe 2: David Schirrmeister (1125746), Michelle Klein (1126422) ## Vorbereitung **Unterschied zwischen Switch und Hub bei der Datenübertragung** * Switch leitet Daten gezielt an den Empfänger weiter * Hub sendet Daten an alle angeschlossenen Geräte (Broadcast) * Switch arbeitet intelligenter und effizienter **Rolle der MAC-Adresse beim Switch** * Switch speichert MAC-Adressen in einer Tabelle (MAC-Adress-Tabelle) * Entscheidet anhand der MAC-Adresse, an welchen Port die Daten weitergeleitet werden **Verhalten bei unbekannter MAC-Adresse** * Switch sendet das Paket an alle Ports außer dem eingehenden (Flooding) * Sobald das Zielgerät antwortet, speichert der Switch dessen MAC-Adresse **Sicherheitsvorteile des Switches gegenüber dem Hub** * Daten werden nur an das Zielgerät gesendet, nicht an alle Geräte * Erschwert das Abhören (Sniffing) durch Unbefugte * Reduziert die Angriffsfläche im Vergleich zum Hub **Vermeidung von Kollisionen im Ethernet** * In modernen Netzwerken durch Verwendung von Switches mit Vollduplex * In älteren Netzwerken mit CSMA/CD (Carrier Sense Multiple Access with Collision Detection) **Wird Ethernet bei WLAN verwendet** * ja, jedoch nur auf den höhreren Protokollschichten - IEEE 802.11 nutzt nicht das gleiche, physische Ethernet, orientiert sich aber auf OSI L2 stark am Ethernet-Frame-Format **Bedeutung und Funktion von ARP** * ARP steht für Address Resolution Protocol * Übersetzt IP-Adressen in MAC-Adressen * Ermöglicht Kommunikation im lokalen Netzwerk auf Layer 2 **Ablauf von ARP-Request und ARP-Reply** * Gerät sendet ARP-Request an Broadcast-Adresse mit gesuchter IP * Zielgerät mit passender IP antwortet mit seiner MAC-Adresse (ARP-Reply) * Absender speichert MAC-Adresse in seiner ARP-Tabelle ## Laborversuch ### Versuchsbeschreibung Es werden 3 PCs zunächst über je ein Ethernet-Kabel an einen Hub angeschlossen. Diesen wird dann nach folgender Tabelle eine IP-Adresse zugewiesen: | Labor-PC | IP-Adresse | |----------|-------------| | PC 1 | 192.168.1.1 | | PC 2 | 192.168.1.2 | | PC 3 | 192.168.1.3 | Schließlich wird auf allen dreien eine Wireshark-Aufnahme gestartet und von PC1 ein Ping Befehl gesendet, um zu testen ob PC2 erreichbar ist. Gleiches wird danach mit einem Switch statt des Hubs wiederholt. ### Beobachtungen #### Hub Ping PC1 -> PC2: ```bash student@netlab-2023-5:~$ ping 192.168.1.2 PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data. 64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=1.66 ms 64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=1.59 ms 64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=1.54 ms 64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=1.49 ms 64 bytes from 192.168.1.2: icmp_seq=5 ttl=64 time=1.44 ms 64 bytes from 192.168.1.2: icmp_seq=6 ttl=64 time=1.45 ms 64 bytes from 192.168.1.2: icmp_seq=7 ttl=64 time=1.52 ms 64 bytes from 192.168.1.2: icmp_seq=8 ttl=64 time=1.98 ms 64 bytes from 192.168.1.2: icmp_seq=9 ttl=64 time=1.77 ms 64 bytes from 192.168.1.2: icmp_seq=10 ttl=64 time=1.71 ms 64 bytes from 192.168.1.2: icmp_seq=11 ttl=64 time=1.68 ms 64 bytes from 192.168.1.2: icmp_seq=12 ttl=64 time=1.68 ms 64 bytes from 192.168.1.2: icmp_seq=13 ttl=64 time=1.72 ms 64 bytes from 192.168.1.2: icmp_seq=14 ttl=64 time=1.76 ms --- 192.168.1.2 ping statistics --- 14 packets transmitted, 14 received, 0% packet loss, time 13024ms rtt min/avg/max/mdev = 1.435/1.640/1.975/0.143 ms ``` ##### Hub Wiresharkaufzeichnung PC1: ![hub_pc1](rnimage.png) ##### Hub Wiresharkaufzeichnung PC2: ![hub_pc2](rnimage-1.png) ##### Hub Wiresharkaufzeichnung PC3: ![hub_pc3](rnimage-2.png) #### Switch Ping PC1 -> PC2: ```bash student@netlab-2023-5:~$ ping 192.168.1.2 PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data. 64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=2.58 ms 64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=1.79 ms 64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=1.49 ms 64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=1.49 ms 64 bytes from 192.168.1.2: icmp_seq=5 ttl=64 time=1.79 ms 64 bytes from 192.168.1.2: icmp_seq=6 ttl=64 time=1.59 ms 64 bytes from 192.168.1.2: icmp_seq=7 ttl=64 time=1.54 ms 64 bytes from 192.168.1.2: icmp_seq=8 ttl=64 time=1.67 ms 64 bytes from 192.168.1.2: icmp_seq=9 ttl=64 time=1.51 ms 64 bytes from 192.168.1.2: icmp_seq=10 ttl=64 time=1.36 ms 64 bytes from 192.168.1.2: icmp_seq=11 ttl=64 time=1.56 ms 64 bytes from 192.168.1.2: icmp_seq=12 ttl=64 time=1.73 ms 64 bytes from 192.168.1.2: icmp_seq=13 ttl=64 time=1.90 ms --- 192.168.1.2 ping statistics --- 13 packets transmitted, 13 received, 0% packet loss, time 12022ms rtt min/avg/max/mdev = 1.362/1.692/2.580/0.295 ms ``` ##### Switch Wiresharkaufzeichnung PC1: ![switch_pc1](rnimage-3.png) ##### Switch Wiresharkaufzeichnung PC2: ![switch_pc2](rnimage-4.png) ##### Switch Wiresharkaufzeichnung PC3: ![switch_pc3](rnimage-5.png) ### Auswertung #### Auswertung Hub ##### prinzipieller Aufbau und Funktionsweise eines Hubs - Multiport-Repeater (OSI L1) - empfängt Datenpakete über einen Port und sendet sie an alle anderen Ports weiter (Broadcast) ##### Konnten Sie Pakete zwischen PC2 und PC1 im Wireshark-Mitschnitt von PC3 beobachten? - Ja konnten beobachtet werden ([siehe hier](#hub-wiresharkaufzeichnung-pc3)) - Da der Hub die Pakete an alle anderen angeschlossenen Netzwerkgeräte weiterleitet, kommen sie auch bei PC3 an. ##### Risiken und Nachteile durch Verwendung eines Hubs - Datenrate - Alle Geräte teilen sich die Bandbreite - dadurch geringe effektive Datenrate pro Gerät - Latenz - Es können Kollisionen und Wiederholungen auftreten - Medienzugriffe - Kein intelligentes Zugriffsmanagement - Sicherheit - Jeder empfängt alle Datenpakete - dadurch einfaches Abhören möglich ##### Software-Funktionen, mit denen diese Risiken vermindert werden können - VLANs (in Switches) - Firewall --- #### Auswertung Switch ##### Prinzipieller Aufbau und Funktionsweise - Nimmt physikalische Trennung von Netzen vor - Führt Fehler- und Lasttrennung durch - Mechanismen zum Filtern implementiert - Lernt die MAC-Quell-Adressen der aktiven Endgeräte - Trennt Kollisions-Domänen im LAN auf Schicht 2 - wenn Datenpakete empfangen werden, können diese gezielt weitergeleitet werden (Routing) ##### Konnten Sie diesmal auch Pakete zwischen PC2 und PC1 im Wireshark-Mitschnitt von PC3 beobachten? - Nein, diesmal konnten keine Pakete bei PC3 beobachtet werden ([siehe hier](#switch-wiresharkaufzeichnung-pc3)) - Dies ist zu begründen an der Funktionalität des Switch, welche Pakete gezielt weiterleiten kann ##### Vorteile dieser Eigenschaft hinsichtlich IT-Sicherheit - kein einfaches Mitlesen der Nachrichten möglich - Beim Hub Gegenteil der Fall: Alle Geräte erhalten alle Daten ##### Können bei der Hub/Switch Kollisionen auftreten? Wann? - Hub: - ja, können auftreten, wenn mehrere Geräte gleichzeitig senden - alle Geräte teilen sich das Medium (Halbduplex) - Switch: - nein, jedes Gerät hat eine eigene Verbindung (Vollduplex) - Ausnahme: - alte Switch, die noch Halbduplex arbeiten - falsche Konfigurationen am Switch ##### Wie verhält sich der Hub/Switch im Bezug auf Broadcasts und Kollisionsdomänen? - Hub erweitert KD, Broadcasts - Switch segmentiert KD, erweitert Broadcast ##### Weiteres Medium, in dem Kollisionen auftreten können - WLAN ## Nachbereitung ### Welche Sicherheitsrisiken sind mit ARP verbunden und wie kann man davor schützen? - ARP-Spoofing - Angreifer täuscht falsche MAC-Adresse vor - dadurch Datenumleitung, MiM, Mitlesen möglich - Schutzmaßnahmen: - Statische ARP-Einträge - Port-Security am Switch - Dynamic ARP Inspection