Blog Mehr Sicherheit mit Subnetting

  • 08.03.2016
  • Fabian Baumgartner
  • Tech-Talk
  • AS infotrack, Ausbildung, ICT-Services, Security, Support, Tech
Mehr Sicherheit mit Subnetting http://asinfotrack.ch/blog/view/2016-03-08_mehr_sicherheit_mit_subnetting#anchor-comments 0 UserComments http://asinfotrack.ch/images/blog/0041_subnetting.png
Für mehr Sicherheit in Ihrem IT-Netzwerk macht es Sinn, Ihr Netzwerk in verschiedene Anwendungsbereiche zu unterteilen. Dafür verwenden wir das sogenannte Subnetting. In diesem Beitrag können Sie mehr über die Subnetting-Grundlagen, Vorteile, Berechnungen, Einsatzgebiete und die Umsetzung in Ihrem Netzwerk erfahren.

Computer im Netzwerk werden jeweils über sogenannte IP-Adressen, wie zum Beispiel 192.168.100.10 angesprochen. Diese 32-bit Zahl wird durch vier Punkte getrennt und besteht jeweils aus einem Host und einem Netzteil. Ein Oktett (auch Byte genannt) hat 8-bits und kann aus Zahlen von 0 bis 255 bestehen. Die zur IP (Internetprotokoll) gehörende Subnetmaske wie zum Beispiel 255.255.255.0 zeigt, welcher Bereich der IP-Adresse der Host- und der Netzteil ist. Sie dient zur Teilung des Netzwerks in mehrere kleinere Teilnetze.



1. IP-Adressen und Subnetzmasken

Jede IP-Adresse, inklusive die Subnetzmaske, wird mit den Binärzahlen als 0 und 1 dargestellt. Alle Computer rechnen im Inneren mit diesem Binärsystem. Der Computer kann nur zwischen den Zuständen 0 und 1 unterscheiden. 0 bedeutet, dass im Computer keine elektrische Spannung vorliegt und 1 bedeutet elektrische Spannung.

Dadurch ist es wichtig, das Binärsystem und die Umrechnung zu verstehen:

Berechnung einer Oktette der IP 192.168.100.10 in binärer Schreibweise
Potenz 27 26 25 24 23 22 21 20
Dezimal 128 64 32 16 8 4 2 1
Binär 1 0 1 0 1 0 0 0
Rechnung 1*128 + 1*32 + 1*8 = 168

Bei der Umrechnung von einer Dezimalzahl in eine Binärzahl, wie zum Beispiel 168, muss darauf geachtet werden, dass bei der grösstmöglichen Dezimalzahl eine 1 gesetzt wird. Hier wäre das die Zahl 128. Die Tabelle dient nur zur Hilfe bei der Umrechnung. Danach wird der Rest berechnet. 168 – 128 ergibt 40. Dann wird geschaut welche grösstmögliche Zahl in 40 Platz hat. 64 ist zu gross und die nächst kleinere Zahl ist 32. Also wird bei 64 eine 0 gesetzt und bei 32 eine 1. 40 – 32 ergibt 8. 16 ist zu gross und die nächst kleinere Zahl wäre dann 8. Somit wird bei 16 eine 0 und bei 8 eine 1 geschrieben. Der Rest der Zahl 168 ist 0 und somit werden bei den Zahlen 4, 2 und 1 eine 0 gesetzt. Die binäre Schreibweise der Oktette 168 von der IP-Adresse 192.168.100.10 ist 10101000.

Darstellung der IP-Adresse 192.168.100.10 in binärer Schreibweise
Dezimal 192 168 100 10
Binär 1100 0000 1010 1000 0110 0100 0000 1010
Rechnung 128 + 64 128 + 32 + 8 64 + 32 +4 8 + 2

Insgesamt muss man diese Berechnungsschritte für alle 4 Oktette einer IP-Adresse durchführen, damit man die vollständige binäre Schreibweise erhält.

Berechnung der Dezimalzahl 255 in binärer Schreibweise
Potenz 27 26 25 24 23 22 21 20
Dezimal 128 64 32 16 8 4 2 1
Binär 1 1 1 1 1 1 1 1
Rechnung 1*128 + 1*64 + 1*32 + 1*16 + 1*8 + 1*4 + 1*2 + 1*1 = 255

Die Dezimalzahl 255, welche oft in der Subnetzmaske vorkommt wird binär als 1111 1111 geschrieben.


2. Netzwerkklassen

In jeder Netzwerkklasse gibt es einen vordefinierten Adressbereich für private Netzwerke. In diesem Bereich darf die Netzwerkadressierung frei gewählt werden. Diese IP-Adressen können nicht als öffentliche Adressen verwendet werden und sind dort somit unzugänglich. Der Unterschied zwischen den Netzwerkklassen A bis C ist die Grösse der einzelnen Netze. Ein Klasse A Netzwerk kann pro Netzwerk 16‘777‘214 Clients wie Smartphones, Laptops, Computer und andere Geräte umfassen, wobei einer Klasse C Netzwerk nur noch 254 Geräte pro Netzwerk zur Verfügung stehen.

Netzklasse Adressbereich Netzmaske Netze Hosts / Netz
von bis
Klasse A 0.0.0.0 127.255.255.255 255.0.0.0 128 16'777'214
Klasse B 128.0.0.0 191.255.255.255 255.255.0.0 16'384 65'534
Klasse C 192.0.0.0 223.255.255.255 255.255.255.0 2'097'152 254
Klasse D
Multicast Anwendungen
224.0.0.0 239.255.255.255
Klasse E
res. für zukünftige Zwecke
240.0.0.0 255.255.255.255

3. Anwendungsbereiche und Sicherheit

Gastnetzwerke

Beim Subnetting gibt es mehrheitlich nur Vorteile. Wenn wir ein Netzwerk in mehrere Unternetze unterteilen, dann bietet uns das mehr Sicherheit. Wenn wir zum Beispiel in der eigenen Firma viele Kunden oder Besucher vor Ort haben, unterteilen wir das Netzwerk in ein Gastnetzwerk. Wenn ein Kunde sich intern mit dem Smartphone per Access Point oder mit dem Laptop ins interne Netzwerk verbinden will, dann kommt er nur im eingeteilten Gastnetzwerk ins Internet und hat somit keinen Zugriff auf firmenspezifische und vertrauenswürdige Daten und Dokumente. Die Firma ist dadurch von unerlaubtem Zugriff auf Daten abgeschirmt.

Standorte

Ausserdem bietet Subnetting die Möglichkeit eine Firma mit verschiedenen Gebäuden oder geografischen Standorten zu unterteilen. Dadurch ist die IP-Adressierung viel übersichtlicher und einfacher zu verwalten und Netzwerkfehler können so besser ausfindig gemacht werden.

Verwaltung

Wir können je nach Bedarf einen eigenen Netzbereich für Netzwerkadministratoren der Firma zur Verwaltung von den internen Servern bereitstellen. Dies ist ein Vorteil, wenn dieser Netzwerkteil von anderen Netzwerkgeräten und Benutzern geschützt werden soll. Denn jeder Computer im Netzwerk versendet Informationen durch Programme und im schlimmsten Fall durch Viren. Dadurch können diese das Netzwerk stark verlangsamen. Wenn aber das Netzwerk unterteilt wird, gelangen diese zum Teil gefährlichen Informationen nicht in den Netzwerkbereich, welcher den Servern angeschlossen sind.


4. VLAN Konfiguration Switch

Damit ein Subnetting erfolgreich eingerichtet werden kann, müssen wir auf den Switches jeweils noch das VLAN konfigurieren. VLAN (Virtual Local Area Network) bedeutet, dass man ein bestehendes physisches Netzwerk in mehrere logische Netzwerke unterteilt. Dabei wird auf den Switches jeweils ein VLAN für die unterteilten Netzwerke erstellt. Dadurch ist die Kommunikation zwischen den Geräten von unterschiedlichen VLAN unmöglich. Um jedoch eine Kommunikation der gleichen VLAN über mehrere Switches möglich zu machen, werden einzelne Ports auf den Switches für das sogenannte tagged VLAN konfiguriert. Auf diesem Port gelangen die Daten über ein Netzwerkkabel von einem Switch zum anderen.


5. Berechnung eines Netzwerkes in mehrere Subnetze

Einleitung

Eine Firma ist in zwei Bürogebäuden unterteilt. In diesen arbeiten jeweils etwa 30 Mitarbeitende. Sie haben in beiden Gebäuden häufig Besuche von Kunden und externen Mitarbeitenden. Deshalb will die Firma ein öffentliches WLAN für sie anbieten, um mehr Sicherheit im internen Netzwerk zu gewähren. Im bestehenden Netzwerk gibt es keine Netzwerkunterteilung. Die IP-Adressierung 192.168.100.0 mit der Subnetzmaske 255.255.255.0 ist bereits vorhanden. Das Netzwerk sollte für beide Gebäude in ein Gast- und ein Büronetzwerk unterteilt werden.

Netz- und Hostteil festlegen

Der Host- und Netzteil einer IP-Adresse wird durch die Subnetzmaske festgelegt:

Bestimmung Netz- und Hostteil
Bereich Netzteil Hostteil
IP dezimal 192 168 100 0
IP binär 1100 0000 1010 1000 0110 0100 0000 0000
Subnetzmaske dezimal 255 255 255 0
Subnetzmaske binär 1111 1111 1111 1111 1111 1111 0

Damit ein Netzwerk in kleinere Subnetze unterteilt werden kann, muss der Netzteil um eine bestimmte Anzahl von Bits erweitert werden. Wir müssen also die Anzahl von Bits berechnen:

Subnetze berechnen
Anzahl Bits 0 1 2 3 4 5 6 7 8
Anzahl Subnetze 1 2 4 8 16 32 64 128 256
Potenz 20 21 22 23 24 25 26 27 28

Mit 2 Bits können 22 = 4 Subnetze aufgebaut werden. Der Netzteil muss also um 2 Bits erweitert werden.

Netzteil berechnen

Im nächsten Schritt wird die Netzmaske um zwei Bits erweitert:

Bezeichnung Netzteil Hostteil
IP 192.168.100 0000 0000
Netzmaske 255.255.255 0000 0000
Netzmaske binär 1111 1111.1111 1111.1111 1111 0000 0000
Netzmaske binär + 2 Bits 1111 1111.1111 1111.1111 1111 1100 0000

Der Netzteil ist jetzt um 2 Bits grösser und somit besteht der Hostanteil nur noch aus 6 Bits und ist somit kleiner geworden. Neuer Netz- und Hostteil:

Bezeichnung Netzteil Hostteil
IP 192.168.100.00 00 0000
Netzmaske 255.255.255.11 00 0000

Da der Hostteil jetzt nur noch aus 6 Bits besteht, sind für jedes Subnetz noch 26 = 64 IP-Adressen verfügbar, wobei zu beachten ist, dass eine Adresse für das Subnetz und eine Adresse für den Broadcast reserviert wird. Somit sind nur noch 62 Adressen für Hosts verfügbar. 62 Adressen sind genügend und die Firma hat ausserdem zu den jeweils 30 Mitarbeitenden noch zusätzlichen Platz, um mehr Adressen bei einem Personalzuwachs zu vergeben.

Subnetzmaske berechnen

Danach wird die Netzmaske von der binären Schreibweise in die dezimale Schreibweise umgerechnet. Dabei müssen wir nur noch das letzte Oktett umrechnen:

Netzmaske umrechnen in dezimal von 255.255.255.1100 000
Potenz 27 26 25 24 23 22 21 20
Dezimal 128 64 32 16 8 4 2 1
Binär 1 1 0 0 0 0 0 0
Rechnung 128 + 64 = 192

Die neue Subnetzmaske der vier Subnetze ist 255.255.255.192.

Broadcastadresse festlegen

Zuerst wird die Broadcastadresse des ersten Subnetzes berechnet. Dabei werden alle Host-Bits auf 1 gesetzt.

Berechnung Broadcastadresse 1. Subnetz
IP Broadcast 192.168.100.0011 1111
Potenz 27 26 25 24 23 22 21 20
Dezimal 128 64 32 16 8 4 2 1
Binär 0 0 1 1 1 1 1 1
Rechnung 32 + 16 + 8 + 4 + 2 + 1 = 63

Die Broadcastadresse des ersten Subnetzes ist 192.168.100.63. Dieser ist ein sogenannter Rundruf und dient in einem Computernetzwerk dazu, Datenpakete an alle Teilnehmenden eines Netzwerkes zu senden.

Subnetze berechnen

Zum Schluss werden noch die anderen drei Subnetze berechnet:

Bezeichnung Subnetzadresse Hostadressen Broadcastadresse
von bis
Subnetz 1 192.168.100.0 192.168.100.1 192.168.100.62 192.168.100.63
Subnetz 2 192.168.100.64 192.168.100.65 192.168.100.126 192.168.100.127
Subnetz 3 192.168.100.128 192.168.100.129 192.168.100.190 192.168.100.191
Subnetz 4 192.168.100.192 192.168.100.193 192.168.100.254 192.168.100.255

Nach der ersten Broadcastadresse werden nochmals 64 Hosts dazugerechnet, um die Broadcastadresse des zweiten Subnetzes zu erhalten. Wir erhalten die Broadcastadresse 192.168.100.127 im zweiten Subnetz, wobei hier die Adresse 192.168.100.64 wieder als Subnetzadresse verwendet wird. Die Adressen 192.168.100.65 bis 192.168.100.126 sind frei für Hosts. Beim dritten und vierten Subnetz ist das Vorgehen gleich, wie ich dies beim ersten und zweiten Subnetz beschrieben habe.


6. Schlussfolgerung

Das Thema Subnetting ist für mich ein interessantes Netzwerkgebiet in der Informatik. Es ist vor allem sehr sinnvoll wenn sich häufig Kunden oder externe Mitarbeitende in einer Firma aufhalten, welche auf eine Internetverbindung angewiesen sind, aber aus Sicherheitsgründen keinen Zugriff auf die internen Ressourcen haben sollen.

Bei der AS infotrack legen wir für unsere Kunden ein grosses Augenmerk auf die Sicherheit des Datenzugriffs und somit auf die Netzwerk-Unterteilung. Die Anforderungen an die Infrastruktur von Firmen nehmen sogar mit dem Einsatz von mobilen Geräten und dem zeit- und ortsunabhängigen Zugriff auf Unternehmensdaten weiter zu.





Kommentar schreiben


Kommentare

Noch keine Kommentare. Schreiben Sie den ersten Kommentar zu diesem Artikel!