Sicherheit und Erweiterungen
In dieser interaktiven Lerneinheit beschäftigst du dich mit Sicherheitsaspekten in IPv4-Netzwerken und lernst wichtige Bedrohungsszenarien sowie Angriffsmethoden kennen. Du verstehst gängige Sicherheitslücken und deren Auswirkungen auf die Netzwerkinfrastruktur und kannst geeignete Schutzmaßnahmen identifizieren. Diese Kenntnisse helfen dir dabei, Netzwerke sicherer zu gestalten und potenzielle Schwachstellen frühzeitig zu erkennen.
Einführung
Stell dir vor, jedes Datenpaket in deinem Netzwerk wäre ein anonymer Brief ohne Absender, unverschlossen und offen lesbar. Du wüsstest weder, von wem er kommt, noch ob sein Inhalt manipuliert wurde.
Genau so funktioniert das ursprüngliche IPv4 – ohne Authentifizierung, ohne Verschlüsselung, ohne Schutzmechanismen. In einer Zeit, in der Milliarden Geräte weltweit verbunden sind, reicht das längst nicht mehr aus.

Deshalb gehört Netzwerksicherheit heute zu den wichtigsten Grundlagen für den Betrieb stabiler und vertrauenswürdiger Systeme.
Lernziele
Nach dieser Lerneinheit kannst du:
- typische Bedrohungen für IPv4-Netzwerke wie IP-Spoofing, DDoS, ARP-Spoofing oder Sniffing benennen und in ihrer Funktionsweise erklären.
- zentrale Schutzmaßnahmen wie Firewalls, IDS/IPS, NAC und Verschlüsselung in ihrem Zweck und Zusammenspiel einordnen.
- konzeptionelle Sicherheitsprinzipien wie Zero Trust, Least Privilege und Netzwerksegmentierung beschreiben und deren Nutzen begründen.
- erklären, wie Quality of Service (QoS) zur Steuerung von Netzwerkverkehr eingesetzt wird und welche Mechanismen (z. B. DSCP, Traffic Shaping) dabei eine Rolle spielen.
Überleitung
Bevor wir uns mit konkreten Schutzmaßnahmen befassen, werfen wir zunächst einen Blick auf typische Bedrohungen und Angriffsszenarien, mit denen IPv4-Netzwerke konfrontiert sind.
Bedrohungen und Angriffe im IPv4-Netzwerk
Netzwerksicherheit ist ein zentrales Thema der Informationstechnologie. IPv4-Netzwerke gelten dabei als besonders anfällig für eine Vielzahl von Bedrohungen und Angriffen, da das IPv4-Protokoll ursprünglich ohne integrierte Sicherheitsmechanismen wie Authentifizierung oder Verschlüsselung entwickelt wurde.
Seit den Anfängen des Internets haben Angreifer zahlreiche Methoden entwickelt, um Schwachstellen im IPv4-Protokoll gezielt auszunutzen. Zu den häufigsten Bedrohungen gehören:
IP-Spoofing
Beim IP-Spoofing senden Angreifer Pakete mit gefälschten Quell-IP-Adressen, um ihre Identität zu verschleiern oder sich als vertrauenswürdiges System auszugeben. Ziele dieser Technik sind unter anderem:
- Umgehung von IP-basierten Filtersystemen
- Verschleierung der Herkunft von Angriffen
- Erschwerung der Rückverfolgung bei DoS-Angriffen
Hinweis: Für klassische Man-in-the-Middle-Angriffe reicht IP-Spoofing allein nicht aus – dafür wird häufig ARP-Spoofing eingesetzt.
ARP-Spoofing
ARP (Address Resolution Protocol) dient der Auflösung von IP-Adressen zu MAC-Adressen in lokalen IPv4-Netzen.
Beim ARP-Spoofing senden Angreifer gefälschte ARP-Antworten, um sich als legitimes Gerät im Netzwerk auszugeben.
Ziele von ARP-Spoofing:
- Abfangen oder Umleiten von Netzwerkverkehr
- Durchführung von Man-in-the-Middle-Angriffen
- Manipulation unverschlüsselter Kommunikation
Besonders problematisch ist ARP-Spoofing in ungesicherten, geswitchten Netzwerken.
Denial-of-Service (DoS) & Distributed DoS (DDoS)
DoS-Angriffe überlasten ein Zielsystem gezielt mit Anfragen, um es für legitime Nutzer unerreichbar zu machen.
DDoS-Angriffe erfolgen verteilt über viele kompromittierte Systeme (z. B. Botnetze), die simultan ein Ziel angreifen.
Typische Merkmale:
- Einsatz infizierter Endgeräte (Bots), oft unbemerkt
- Ziel: Überlastung von Servern, Firewalls oder Bandbreite
- Besonders schwer zu stoppen aufgrund der Vielzahl der Angreiferquellen
Sniffing (Mithören von Datenverkehr)
Sniffing bezeichnet das passive Abhören des Netzwerks, um sensible Daten wie Passwörter oder Bankdaten zu erfassen.
Typische Risiken bestehen bei:
- unverschlüsselten Verbindungen (z. B. HTTP, Telnet)
- offenen WLAN-Netzen ohne Schutzmechanismen
In modernen, geswitchten Netzwerken ist reines Sniffing schwieriger. Angreifer nutzen daher oft Methoden wie:
- ARP-Spoofing, um sich zwischen Geräte zu schalten
- Port-Mirroring, um Traffic gezielt abzugreifen
Netzwerkscans (Portscanning)
Netzwerkscans – z. B. mit Tools wie Nmap – dienen der systematischen Erfassung von:
- offenen Ports
- laufenden Diensten
- möglichen Schwachstellen
Sie gelten als Vorstufe gezielter Angriffe, da sie wertvolle Informationen über die Netzwerkstruktur liefern.
Netzwerkscans sind nicht per se schädlich, sollten aber von Intrusion Detection Systemen (IDS) erkannt und protokolliert werden, um potenzielle Angriffe frühzeitig zu identifizieren.
Gegenmaßnahmen gegen Bedrohungen im IPv4-Netzwerk
Um IPv4-Netzwerke wirksam vor den beschriebenen Bedrohungen und Angriffen zu schützen, ist der Einsatz gezielter Sicherheitsstrategien und Schutzmechanismen unerlässlich. Da das IPv4-Protokoll keine integrierten Sicherheitsfunktionen bietet (z. B. Authentifizierung auf Netzwerkebene), ist ein mehrschichtiger Ansatz – bekannt als Defense in Depth – besonders wichtig.
Firewalls
Firewalls analysieren den ein- und ausgehenden Netzwerkverkehr auf Basis definierter Regeln. Sie blockieren unerlaubte Zugriffe und schützen vor vielen externen Angriffen.
Funktionen moderner Firewalls (Next-Generation Firewalls):
- Deep Packet Inspection
- Applikationskontrolle
- Integrierte Bedrohungserkennung
Wichtig: Firewalls bieten keinen vollständigen Schutz. Sie müssen mit anderen Maßnahmen kombiniert werden.
IDS und IPS (Intrusion Detection & Prevention Systems)
- Ein Intrusion Detection System (IDS) erkennt verdächtige Aktivitäten im Netzwerk und alarmiert Administratoren, reagiert aber nicht selbstständig.
- Ein Intrusion Prevention System (IPS) geht einen Schritt weiter und blockiert schädlichen Verkehr automatisch in Echtzeit.
Beide Systeme ergänzen sich, verbessern die Angriffserkennung und tragen zur Schadensbegrenzung bei.
Network Access Control (NAC)
Network Access Control (NAC) stellt sicher, dass nur autorisierte Geräte mit sicherem Zustand auf das Netzwerk zugreifen dürfen.
Überprüft werden u. a.:
- Benutzeridentität
- Betriebssystem- und Patch-Stand
- Vorhandene Antivirensoftware
- Einhaltung von Sicherheitsrichtlinien
Nicht konforme Geräte werden isoliert oder erhalten nur eingeschränkten Zugriff.
Verschlüsselung
Verschlüsselung schützt Daten vor Einsicht oder Manipulation – auch wenn ein Angreifer den Verkehr mitliest.
Gängige Protokolle:
- HTTPS
- SSH
- TLS (z. B. TLS 1.3)
- VPN-Verbindungen
Wichtig: Nur moderne Standards sollten eingesetzt werden – veraltete oder falsch konfigurierte Verschlüsselung gefährdet die Sicherheit.
Proaktive Sicherheitsüberprüfungen
Regelmäßige Prüfungen helfen, Schwachstellen frühzeitig zu erkennen:
- Penetrationstests
- Schwachstellenscans
- Code-Reviews
- Aktives Monitoring mit Logging und SIEM-Systemen
Diese Maßnahmen sollten durch konsequente Updates und Patches ergänzt werden, um bekannte Schwachstellen zu schließen.
Weitere Empfehlungen
Zusätzlich zu technischen Maßnahmen sind konzeptionelle Sicherheitsstrategien entscheidend:
- Netzwerksegmentierung: Unterteilung in isolierte Bereiche reduziert die potenzielle Angriffsfläche.
- Zero Trust Architecture: Jeder Zugriff wird grundsätzlich als nicht vertrauenswürdig eingestuft – Identität und Kontext müssen geprüft werden.
- Least Privilege-Prinzip: Systeme und Benutzer erhalten nur so viele Rechte wie nötig, nie mehr.
In dem nächsten Modul werfen wir einen Blick auf IPv6 und betrachten, wie Sicherheitsmechanismen dort bereits im Protokoll selbst integriert sind.
Quality of Service (QoS)
Quality of Service (QoS) ermöglicht es Netzwerkadministratoren, den Datenverkehr gezielt zu steuern, um bestimmte Leistungsmerkmale wie Bandbreite, Verzögerung (Latenz), Verfügbarkeit und Paketverlust zu optimieren.
QoS ist besonders in stark ausgelasteten Netzwerken oder bei zeitkritischen Anwendungen entscheidend – z. B. bei Sprach- und Videokommunikation, Online-Gaming oder Echtzeit-Datenübertragungen.
Type of Service (ToS) und Differentiated Services (DiffServ)
Das Type of Service (ToS)-Feld ist ein 8-Bit-Feld im IPv4-Header, das ursprünglich zur Klassifizierung von Paketen nach Dienstgüte vorgesehen war. In der Praxis wurde es jedoch lange nur eingeschränkt genutzt.

Mit der Einführung von DiffServ (Differentiated Services) wurde das ToS-Feld neu interpretiert:
- Die ersten 6 Bits bilden den Differentiated Services Code Point (DSCP) zur Zuweisung von Prioritätsklassen.
- Die letzten 2 Bits werden für die Explizite Überlastungsanzeige (ECN – Explicit Congestion Notification) verwendet.
DiffServ ermöglicht eine skalierbare und flexible QoS-Implementierung, bei der Router Pakete anhand ihrer DSCP-Markierung unterschiedlich behandeln (Per-Hop Behavior, PHB).
Wie Quality of Service (QoS) funktioniert
Quality of Service (QoS) besteht aus verschiedenen Mechanismen, die sicherstellen, dass wichtige Daten bevorzugt verarbeitet werden, während weniger zeitkritische Pakete ggf. verzögert oder verworfen werden.
Zentrale Techniken:
-
Priorisierung von Datenverkehr:
Anwendungen wie VoIP oder Videokonferenzen erhalten Vorrang gegenüber Dateiübertragungen. -
Traffic Shaping:
Der ausgehende Datenstrom wird geglättet, um Netzwerkkapazitäten effizienter zu nutzen und Paketverluste zu vermeiden. -
Congestion Management:
Überlastungen werden durch Warteschlangenmechanismen (z. B. Weighted Fair Queuing, RED) geordnet verarbeitet. -
Congestion Avoidance:
Maßnahmen zur Überlastungsvermeidung, z. B. durch Anpassung der Sendefrequenz bei hohem Verkehrsaufkommen. -
Traffic Policing:
Datenpakete, die definierte Grenzwerte (z. B. maximale Bandbreite) überschreiten, können verzögert oder verworfen werden.
Quality of Service (QoS) auf verschiedenen OSI-Schichten
Quality of Service (QoS) kann auf mehreren Ebenen des OSI-Modells implementiert werden:
| Schicht | Mechanismus / Technologie |
|---|---|
| Anwendungsschicht (Layer 7) | Anwendungen kennzeichnen Pakete mit QoS-Anforderungen |
| Netzwerkschicht (Layer 3) | Klassifizierung über DSCP-Feld im IPv4-Header |
| Vermittlungsschicht (Layer 2.5) | MPLS (Multiprotocol Label Switching) – Label-basierte Weiterleitung |
| Verbindungsschicht (Layer 2) | Class of Service (CoS) über VLAN-Tags (IEEE 802.1p) |
Beispiele für QoS-Anwendungen
- VoIP (Voice over IP):
Geringe Latenz ist entscheidend für die Sprachqualität. - Online-Gaming:
Schnelle Reaktionszeiten und minimale Paketverluste sind essentiell. - Video-Streaming:
Stabile Übertragung vermeidet Ruckler und Nachladezeiten. - Remote-Desktop:
Eine gleichmäßige Datenübertragung ermöglicht flüssige Interaktion.
Hinweis: QoS vs. CoS
- QoS (Quality of Service) ist ein umfassendes Konzept, das in mehreren OSI-Schichten umgesetzt wird und u. a. auch Überlastvermeidung, Priorisierung und Paketkontrolle umfasst.
- CoS (Class of Service) ist eine Teilmenge von QoS, die auf Layer 2 (z. B. IEEE 802.1p bei VLANs) einfache Prioritätsklassen definiert.
QoS und CoS ergänzen sich – sollten aber nicht verwechselt werden.
Zusammenfassung und Ausblick
Zusammenfassung:
IPv4 wurde ursprünglich ohne integrierte Schutzmechanismen entwickelt und ist deshalb anfällig für eine Vielzahl an Angriffen.
Typische Bedrohungen sind:
- IP-Spoofing: Täuschung durch gefälschte Quelladressen zur Umgehung von Filtern.
- DoS/DDoS: Überlastung von Systemen durch massenhafte Anfragen, oft verteilt über Botnetze.
- ARP-Spoofing: Manipulation der MAC-Zuordnung zur Durchführung von Man-in-the-Middle-Angriffen.
- Sniffing: Abhören unverschlüsselter Verbindungen, z. B. in offenen WLANs.
- Netzwerkscans: Systematische Suche nach offenen Ports und Schwachstellen als Vorbereitung auf Angriffe.
Zum Schutz gegen diese Bedrohungen sind verschiedene Maßnahmen notwendig:
- Firewalls blockieren unautorisierten Zugriff und analysieren den Datenverkehr.
- IDS/IPS erkennen und reagieren auf Angriffe – passiv oder aktiv.
- NAC stellt sicher, dass nur vertrauenswürdige Geräte mit aktuellem Sicherheitsstatus zugelassen werden.
- Verschlüsselung schützt Daten auch bei erfolgreichem Abhören.
- Proaktive Sicherheitsprüfungen wie Penetrationstests und kontinuierliches Monitoring decken Schwachstellen frühzeitig auf.
- Konzepte wie Netzwerksegmentierung, Zero Trust und Least Privilege runden den Schutz systematisch ab.
Das ursprüngliche ToS-Feld im IPv4-Header wurde durch DiffServ neu definiert. Daraus ergibt sich die DSCP-Markierung für Prioritätsklassen sowie ECN zur Überlastungsanzeige. Router können Pakete anhand dieser Markierungen unterschiedlich behandeln (Per-Hop Behavior).
Typische QoS-Techniken wie Traffic Shaping, Congestion Management, Policing und Priorisierung helfen, Netzwerkressourcen effizient und zuverlässig zu nutzen.
Je nach OSI-Schicht kommen unterschiedliche Technologien zum Einsatz – von VLAN-Tags auf Layer 2 (CoS) bis zu MPLS auf Layer 2.5 oder DSCP auf Layer 3.
Ausblick
In der nächsten Einheit lernst du konkrete Anwendungsbeispiele und typische QoS-Konfigurationen in der Praxis kennen – von VoIP über Streaming bis hin zu Remote-Zugängen.