Um ein leistungsstarkes Netzwerk aufbauen und angemessen schützen zu können, müssen Sie sich mit den verschiedenen Geräten in diesem Netzwerk auskennen.
Was sind Netzwerkgeräte?
Netzwerkgeräte (Netzwerk-Hardware) sind physische Geräte, die für die Kommunikation und Interaktion zwischen den Hardwaresystemen in einem Computernetzwerk erforderlich sind.
Arten von Netzwerkgeräten
Diese Geräte kommen typischerweise in einem Netzwerk zum Einsatz:
- Hub
- Switch
- Router
- Bridge
- Gateway
- Modem
- Repeater
- Zugriffspunkt
Hub
Hubs dienen der Verbindung mehrerer Netzwerkgeräte. Ein Hub fungiert außerdem als Repeater, indem er die Signale verstärkt, deren Qualität sich bei einer Übertragung über große Distanzen verschlechtert. Hubs sind die einfachsten Netzwerkgeräte, da sie LAN-Komponenten miteinander verbinden, die mit denselben Protokollen arbeiten.
Ein Hub kann für digitale und analoge Daten genutzt werden, sofern er für die Formatierung der eingehenden Daten konfiguriert wurde. Gehen Daten beispielsweise im digitalen Format ein, muss der Hub sie als Pakete weiterleiten, während eingehende analoge Daten in Signalform weitergeleitet werden.
Hubs führen keine Paketfilterung oder Adressierung durch, sondern senden lediglich Datenpakete an alle verbundenen Geräte. Hubs arbeiten auf der Bitübertragungsschicht des OSI-Schichtenmodells. Es gibt zwei Arten von Hubs: einfache Hubs und Multi-Port-Hubs.
Switch
Switches stellen in der Regel intelligentere Funktionen bereit als Hubs. Ein Switch ist ein Multi-Port-Gerät zur Verbesserung der Netzwerkeffizienz. Der Switch verwaltet grundlegende Routing-Informationen zu den Knoten des internen Netzwerks und ermöglicht Verbindungen zu Systemen wie Hubs oder Routern. Einzelne LAN-Abschnitte sind meist über Switches miteinander verbunden. Switches können die Hardwareadressen eingehender Pakete lesen und sie dann an das jeweilige Zielsystem übertragen.
Der Einsatz von Switches ermöglicht im Vergleich zu Hubs oder Routern eine höhere Effizienz im Netzwerk, da sie virtuelle Verbindungen unterstützen. Switches können auch die Netzwerksicherheit verbessern, da der Datenverkehr bei virtuellen Verbindungen nicht so einfach überwacht werden kann. In einem Switch sind gewissermaßen die besten Funktionen von Routern und Hubs vereint. Ein Switch kann auf der Sicherungsschicht oder auf der Netzwerkschicht des OSI-Modells arbeiten. Ein Layer-3-Switch kann auf beiden Schichten arbeiten, d. h. er kann sowohl als Switch als auch als Router eingesetzt werden. Layer-3-Switches sind hochleistungsfähige Geräte, die dieselben Routing-Protokolle unterstützen wie Router.
Switches können Opfer von Denial-of-Service-Angriffen (DDoS) werden. Mithilfe von Flood Guards wird verhindert, dass schädlicher Datenverkehr einen Ausfall des Switch verursacht. Die Sicherheit von Switch-Ports ist entscheidend, weshalb Sie Ihre Switches sichern sollten: Deaktivierten Sie alle nicht genutzten Ports und verwenden Sie DHCP-Snooping, ARP Inspection und MAC-Adressfilterung.
Router
Router unterstützen die Übertragung von Paketen an ihr Ziel, indem sie mithilfe unterschiedlicher Netzwerktopologien den geeigneten Pfad über die miteinander verbundenen Netzwerkgeräte auswählen. Router sind intelligente Geräte und speichern Informationen zu den Netzwerken, mit denen sie verbunden sind. Die meisten Router können so konfiguriert werden, dass sie als Paketfilterungs-Firewalls fungieren und Zugriffssteuerungslisten (ACLs) verwenden. Router werden in Verbindung mit einer Channel Service Unit/Data Service Unit (CSU/DSU) auch für die Übersetzung von LAN-Framing in WAN-Framing eingesetzt. Diese Übersetzung ist erforderlich, da LANs und WANs unterschiedliche Netzwerkprotokolle verwenden. Solche Router werden auch als Grenzrouter bezeichnet. Sie dienen als Verbindung eines LAN mit einem WAN und werden an der Netzwerkgrenze eingesetzt.
Mithilfe von Routern können außerdem interne Netzwerke in zwei oder mehr Subnetzwerke unterteilt werden. Router können darüber hinaus intern mit anderen Routern verbunden werden, sodass unabhängige Zonen entstehen. Router verwalten Tabellen mit Informationen zu Zielsystemen und lokalen Verbindungen, um die Kommunikation herzustellen. Auf einem Router sind Informationen zu den Systemen gespeichert, mit denen er verbunden ist, sowie dazu, an welche Adresse Anfragen gesendet werden sollen, wenn das Ziel unbekannt ist. Router verwenden für die Kommunikation von Routing- und sonstigen Informationen in der Regel eines von drei Standardprotokollen: das Routing Information Protocol (RIP), das Border Gateway Protocol (BGP) oder Open Shortest Path First (OSPF).
Router sind Ihre erste Verteidigungslinie und müssen so konfiguriert werden, dass sie nur den von Netzwerkadministratoren autorisierten Datenverkehr weiterleiten. Die Routen selbst können als statische oder dynamische Routen konfiguriert werden. Statische Routen können nur manuell konfiguriert werden und bleiben statisch, bis dies geändert wird. Dynamische Routen lernen von anderen Routern in ihrer Umgebung und erstellen auf der Grundlage von Informationen zu diesen Routern ihre Routingtabellen.
Router sind universelle Geräte, die zwei oder mehr heterogene Netzwerke miteinander verbinden. Sie sind in der Regel bestimmten Computern zugeordnet und verfügen über separate Eingangs- und Ausgangsnetzwerkschnittstellen für die einzelnen Netzwerke, mit denen sie verbunden sind. Da Router und Gateways das Rückgrat großer Computernetzwerke wie des Internets sind, verfügen sie über spezielle Funktionen, um unterschiedliche Schemata für die Netzwerkadressierung und unterschiedliche Frame-Größen flexibel unterstützen zu können. Hierzu werden große Pakete in kleinere Pakete segmentiert, die von den neuen Netzwerkkomponenten verarbeitet werden können. Jede Routerschnittstelle verfügt über ein eigenes ARP-Modul (Address Resolution Protocol), eine eigene LAN-Adresse (Adresse der Netzwerkkarte) und eine eigene IP-Adresse (Internet Protocol). Mithilfe einer Routingtabelle kann der Router feststellen, über welche Routen ein Paket vom Quellsystem zum Zielsystem geleitet werden kann. Die Routingtabelle wächst wie bei Bridges und Switches dynamisch an. Bei Erhalt eines Pakets entfernt der Router die Header und analysiert den IP-Header, indem er die Quell- und Zieladressen sowie den Datentyp ermittelt und den Empfangszeitpunkt vermerkt. Er aktualisiert außerdem die Routertabelle mit neuen Adressen. Der IP-Header und der Empfangszeitpunkt werden in der Routingtabelle erfasst. Router arbeiten für gewöhnlich auf der Netzwerkschicht des OSI-Modells.
Bridge
Bridges verbinden zwei oder mehr Hosts oder Netzwerksegmente miteinander. Die grundlegende Aufgabe von Bridges in einer Netzwerkarchitektur besteht darin, Frames zu speichern und zwischen den einzelnen Segmenten, die sie verbinden, zu übertragen. Die Übertragung von Frames erfolgt mithilfe von MAC-Adressen (Media Access Control). Durch Überprüfung der MAC-Adressen von Geräten, die mit den einzelnen Segmenten verbunden sind, können Bridges die Daten weiterleiten oder deren Übertragung verhindern. Bridges können auch eingesetzt werden, um zwei physische LANs zu einem logischen LAN zu verbinden.
Bridges arbeiten ausschließlich auf der Bitübertragungsschicht und der Sicherungsschicht des OSI-Modells. Mithilfe von Bridges werden größere Netzwerke in kleinere Abschnitte unterteilt, da sie sich zwischen zwei physischen Netzwerksegmenten befinden und den Datenfluss zwischen diesen beiden Segmenten steuern.
Bridges sind in vielerlei Hinsicht wie Hubs. Auch sie verbinden LAN-Komponenten mit identischen Protokollen miteinander. Bridges führen jedoch für eingehende Datenpakete (sogenannte Frames) eine Adressfilterung durch, bevor sie weitergeleitet werden. Bei der Filterung der Datenpakete nimmt die Bridge keine Änderungen am Format oder Inhalt der eingehenden Daten vor. Die Bridge filtert Frames und leitet sie mithilfe einer dynamischen Bridging-Tabelle im Netzwerk weiter. In der Bridging-Tabelle, die zunächst leer ist, werden die LAN-Adressen der einzelnen Computer im LAN und die Adressen der einzelnen Bridge-Schnittstellen verwaltet, die das LAN mit anderen LANs verbinden. Ähnlich wie bei Hubs gibt es einfache Bridges und Multi-Port-Bridges.
In den letzten Jahren wurden Bridges weitestgehend durch Switches abgelöst, die einen größeren Funktionsumfang bieten. Mitunter werden Switches aufgrund ihrer Funktionsweise sogar als „Multi-Port-Bridges“ bezeichnet.
Gateway
Gateways arbeiten in der Regel auf der Transportschicht und der Sitzungsschicht des OSI-Modells. Auf der Transportschicht und den darüber liegenden Schichten gibt es zahlreiche Protokolle und Standards unterschiedlicher Hersteller, die jedoch für Gateways kein Problem darstellen. Gateways übersetzen zwischen verschiedenen Netzwerktechnologien wie OSI (Open System Interconnection) und TCP/IP (Transmission Control Protocol/Internet Protocol). Deshalb verbinden sie zwei oder mehr autonome Netzwerke miteinander, die jeweils über eigene Routingalgorithmen, Protokolle, Topologien, Domain Name Services sowie Verfahren und Richtlinien für die Netzwerkadministration verfügen.
Gateways führen alle Funktionen von Routern und darüber hinaus noch weitere Funktionen aus. Somit ist ein Router mit zusätzlichen Funktionen für die Übersetzung ein Gateway. Die Funktion, die die Übersetzung zwischen den unterschiedlichen Netzwerktechnologien übernimmt, wird als „Protokollkonverter“ bezeichnet.
Modem
Modems (Modulatoren-Demodulatoren) übertragen digitale Signale über analoge Telefonleitungen. Die digitalen Signale werden dabei vom Moden in analoge Signale mit unterschiedlichen Frequenzen umgewandelt und an ein Modem an der Empfangsstelle übertragen. Das Empfänger-Modem wandelt die analogen Signale wieder in digitale Signale um und überträgt diese an ein Gerät, das mit dem Modem verbunden ist (meist ein Computer). Die Übertragung der digitalen Daten an ein oder von einem Modem erfolgt in der Regel über ein serielles Kabel über die Standardschnittstelle RS-232. Viele Telefonnetzbetreiber bieten DSL-Dienste an, während viele Kabelbetreiber Modems als Endterminals für die Identifizierung und Erkennung von privaten Anwendern einsetzen. Modems arbeiten auf der Bitübertragungsschicht und der Sicherungsschicht des OSI-Modells.
Repeater
Ein Repeater ist ein elektronisches Gerät zur Verstärkung des empfangenen Signals. Man kann sich einen Repeater als Gerät vorstellen, das ein Signal empfängt und auf einer höheren Ebene oder mit höherer Leistung überträgt, sodass das Signal weite Entfernungen überbrücken kann (mehr als 100 Meter bei LAN-Standardkabeln). Repeater arbeiten auf der Bitübertragungsschicht des OSI-Modells.
Zugriffspunkt
Aus technischer Sicht beinhaltet ein Zugriffspunkt (Access Point, AP) entweder eine kabelgebundene oder eine drahtlose Verbindung. Meist wird mit dem Begriff jedoch ein drahtloses Gerät assoziiert. Ein Zugriffspunkt arbeitet auf der Sicherungsschicht des OSI-Modells und kann wahlweise als Bridge fungieren, die ein herkömmliches Kabelnetzwerk mit drahtlosen Geräten verbindet, oder als Router, der Datenübertragungen von einem Zugriffspunkt zu einem anderen weiterleitet.
Drahtlose Zugriffspunkte (Wireless Access Points, WAPs) bestehen aus einer Kombination aus Sender und Empfänger (Transceiver) zur Erstellung des WLAN (Wireless LAN). Bei Zugriffspunkten handelt es sich meist um separate Netzwerkgeräte mit integrierter Antenne, Sender und Adapter. Zugriffspunkte verwenden den drahtlosen Infrastrukturnetzwerkmodus, um eine Verbindung zwischen WLANs und einem kabelgebundenen Ethernet-LAN herzustellen. Sie haben außerdem mehrere Ports, sodass Sie das Netzwerk zur Unterstützung zusätzlicher Clients erweitern können. Je nach Netzwerkgröße sind für eine vollständige Abdeckung ein oder mehrere Zugriffspunkte erforderlich. Mithilfe zusätzlicher Zugriffspunkte können mehr drahtlose Clients auf das Netzwerk zugreifen und die Reichweite des drahtlosen Netzwerks verbessert werden. Jeder Zugriffspunkt ist durch seinen Übertragungsbereich begrenzt, d. h. durch die mögliche Entfernung zwischen Zugriffspunkt und Client, bei der noch brauchbare Signale empfangen werden und Daten ausreichend schnell verarbeitet werden können. Die tatsächliche Entfernung hängt vom Funkstandard, den Hindernissen und den Umgebungsbedingungen zwischen dem Client und dem Zugriffspunkt ab. Höherwertige Zugriffspunkte haben leistungsstarke Antennen, die eine Übertragung des Funksignals über größere Distanzen ermöglichen.
Zugriffspunkte können auch über mehrere Ports verfügen, mit denen sich das Netzwerk erweitern lässt sowie Firewall-Funktionen und der DHCP-Dienst (Dynamic Host Configuration Protocol) unterstützt werden können. Deshalb gibt es Zugriffspunkte, die Switch, DHCP-Server, Router und Firewall zugleich sind.
Zur Verbindung mit einem drahtlosen Zugriffspunkt benötigen Sie einen SSID-Namen (Service Set Identifier). Funknetzwerke nach dem Standard 802.11 identifizieren mithilfe der SSID alle Systeme, die demselben Netzwerk angehören. Client-Stationen müssen mit der SSID konfiguriert sein, damit sie vom Zugriffspunkt authentifiziert werden können. Der Zugriffspunkt kann die SSID übertragen, sodass drahtlose Clients in der Umgebung die SSID des Zugriffspunkts sehen können. Aus Sicherheitsgründen können Zugriffspunkte jedoch so konfiguriert werden, dass sie die SSID nicht übertragen. In diesem Fall muss der Administrator den Client-Systemen die SSID bereitstellen, da sie nicht automatisch erkannt werden kann. Drahtlose Geräte werden mit standardmäßigen SSIDs, Sicherheitseinstellungen, Kanälen, Kennwörtern und Benutzernamen ausgeliefert. Zur Gewährleistung der Sicherheit wird dringend empfohlen, diese Standardeinstellungen möglichst umgehend zu ändern, da die Standardeinstellungen der Hersteller im Internet einfach zu finden sind.
Man unterscheidet zwischen Fat APs und Thin APs. Fat APs werden mitunter nach wie vor als autonome Zugriffspunkte bezeichnet; ihre Netzwerk- und Sicherheitseinstellungen müssen manuell konfiguriert werden. Anschließend werden sie mehr oder weniger sich selbst überlassen und stellen Dienste für Clients bereit. Thin APs können mit einem Controller remote konfiguriert werden. Da Thin Clients nicht manuell konfiguriert werden müssen, lassen sich sich ohne großen Aufwand neu konfigurieren und überwachen. Zugriffspunkte können außerdem durch Controller gesteuert oder als eigenständige Geräte verwendet werden.
Fazit
Wenn Sie mit den verschiedenen Arten von Netzwerkgeräten vertraut sind, können Sie ein Netzwerk planen und aufbauen, das sicher ist und Ihrem Unternehmen gute Dienste leistet. Damit Ihr Netzwerk vor unbefugten Zugriffen geschützt und ohne Unterbrechungen verfügbar ist, sollten Sie jedoch Ihre Netzwerkgeräte und die Aktivitäten in Ihrem Netzwerk sorgfältig überwachen. So können Sie Hardwareprobleme, fehlerhafte Konfigurationen und Angriffe schnell erkennen und darauf reagieren.