IP-Adressen/Grundsätzliches:
Das Internet-Protokoll (IP) benötigt zur Identifizierung für jeden an ein Netzwerk angeschlossenen Computer eine unverwechselbare Zahlen-Adresse (IP-Address). Mittels der genauen Uhrzeit und IP-Adresse ist jeder* Internetuser auch im nachhinein zu identifizieren.
Im World Wide Web (ein Dienst des Internet) vergibt man leichter zu merkende Namen (sog. Domains) und verknüpft diese mit einer festen IP-Adresse, bestehend aus 4 Zahlen zwischen 0-255, die durch einen Punkt getrennt werden (z.B. lautet unsere IP-Adresse: 85.13.188.3). Der erste Teil der Adresse bezeichnet das Netzwerk, der zweite Teil den Hostknoten.
IP-Adressen werden in 5 Klassen eingeteilt, die unterschiedliche Methoden zur Bestimmung des Host- und des Netzwerkteils einer Adresse ermöglichen:
- Class A: Dieses Netzwerk kann bis zu 16.777.214 Hosts beherbergen. Die Netzwerknummer wird durch 8-bits, die Knotennummer durch 24-bits dargestellt (1.x.x.x - 126.x.x.x).
- Class B: Dieses Netzwerk kann bis zu 65.354 Hosts beherbergen. Die Netzwerknummer und die Knotennummer werden durch 16-bits dargestellt (128.1.x.x - 191.254.x.x).
- Class C: Dieses Netzwerk kann bis zu 254 Hosts beherbergen. Die Netzwerknummer wird durch 23-bits, die Knotennummer durch 8-bits dargestellt (192.0.1.x - 223.255.254.x).
- Class D: Diese Adressen werden für den Versand von Nachrichten an mehrere Hosts verwendet (224.0.0.0 - 239.255.255.255)
- Class E: sind nur zu Testzwecken vorhanden
Die letzte größtmögliche IP-Adresse (z.B. bei 192.168.1.x wäre das 192.168.1.255) bezeichnet die sog. Broadcast-IP-Adresse, die von keinem Client belegt werden kann. Unter diese Adresse erreicht man alle Teilnehmer. Z.B. sucht ein Client einen DHCP-Server im Netzwerk unter dieser Adresse (Port UDP 138 Outgoing).
Eine Vergrösserung der Hosts in einem Netzwerk wird durch die Subnet-Adressierung (z.B. 255.255.255.0) erreicht. Dies sei nur ergänzend erwähnt, da es für den privaten Bereich bzw. kleinere Unternehmen weniger Bedeutung hat und deshalb hierauf nicht näher eingegangen wird.
Die IANA (Internet Assigned Numbers Authority, www.iana.org), welche die IP-Adressenblöcke vergibt und verwaltet, hat folgende IP-Adressenbereiche für private Netzwerke reserviert:
- 10.0.0.0 - 10.255.255.255
- 172.16.0.0 - 172.31.255.255
- 192.168.0.0 - 192.168.255.255
Betreiben Sie ein Netzwerk hinter einem Router oder Proxyserver, verwenden Sie unbedingt IP-Adressen aus diesen Bereichen, um Ihr Netzwerk mittels NAT (Network-Address-Translation) oder Proxy vom Internet zu isolieren. Auch durchaus für einen Standalone-Computer aus Sicherheitsgründen zu empfehlen.
Feste und dynamische IP-Adresse:
Im World-Wide-Web werden meistens Namensadressen (Domains) mit festen IP-Adressen verknüpft, um eine unkomplizierte Kommunikation zu ermöglichen. Anwendungsmöglichkeiten:
- Webserver
- Unternehmen mit Außenstellen zur sicheren Kommunikation über VPN-Tunnel
- Standleitungen
- Local Area Network (LAN) anstatt DHCP
Für einen Internet-Service-Provider ist es jedoch viel einfacher seine u.U. Vielzahl an Kunden mittels dynamischer Vergabe von IP-Adressen zu versorgen. Auch sehr grosse Netzwerke sind so einfacher zu administrieren. D.h. ein Host bekommt automatisch bei Zustandekommen einer Verbindung eine IP-Adresse aus einem vorbestimmten Bereich zugeteilt. Dies wird mittels DHCP (Dynamic Host Configuration Protocol) erreicht.
Für einen Webserver ist eine dynamische Vergabe jedoch nicht geeignet, da die Domain mit einer IP-Adresse verknüpft sein muss und der Server ohnehin 24 Stunden online sein sollte.
Für einen privaten Internet-Surfer ist die dynamische Zuweisung einer IP-Adresse jedoch von großem sicherheitsrelevanten Vorteil. Ein potentieller Angreifer findet sein Opfer, nachdem dieser sich erneut ins Internet eingewählt hat, nicht mehr, da die IP-Adresse sich geändert hat. Der Nachteil: Bei Betrieb** eines FTP- oder WebServers muss dem Besucher die sich ständig ändernde IP-Adresse mitgeteilt werden oder es muss über einen DDNS-Client eine dynamische DNS-Auflösung über einen entsprechenden Diensteanbieter (z.B. DynDNS.org) betrieben werden. Filesharing-Programme lösen das Problem mittels eines Verbindungsservers, der vom Client angewählt werden muss, um über diesen an weitere Quellen zu gelangen und gleichzeitig für andere erreichbar zu sein (über P2P = Peer to Peer-Netzwerk).
Für ein privates lokales Netzwerk (LAN), das nicht übermäßig groß ist, empfehlen wir die statische Einrichtung von IP-Adressen, um ersten den Verbindungsüberblick zu behalten, zweitens eine Firewall besser konfigurieren zu können und drittens einem potentiellen Angreifer das Leben zu erschweren.
* außer z.B. über JAP (Mix-Kaskaden-Proxy-Server) der UNI Dresden, leider sehr langsam
**Die Behandlung von IP-Adressen im Zusammenhang des Betriebs eines FTP- oder Webservers hinter einem Router, sehen Sie bitte hier.