März 28, 2023
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Ursprünglich war für das Internet von Anfang an kein Subnetting vorgesehen. Zunächst gab es nur Netzwerkklassen mit festen Längen für die Host- und Netzwerkteile. Die Angabe einer Subnetzmaske zur eindeutigen Identifizierung der Netze war aufgrund der festen Aufteilung des Adressraums nicht notwendig.
Über die IANA (Internet Assigned Numbers Authority) erhielten Unternehmen und Organisationen je nach Größe Netze der Klassen A, B oder C. Das starke Wachstum des Internets führte allerdings dazu, dass die Adressen schnell knapp wurden. Das Konzept der festen Netzklassen machte keinen Sinn mehr, da es zu einer Verschwendung von IP-Adressen führte.
Ab 1993 verwendete das Internet das Konzept des Classless Inter-Domain Routing (CIDR) welches das klassische auf Netzwerk-Klassen basierende System ersetzte. Bitvariable Netzmasken (Subnetzmasken) ermöglichten die Aufteilung von zuvor statisch definierten Netzbereichen in Subnetze. Voraussetzung für CIDR ist, dass IP-Adressen immer mit der zugehörigen Subnetzmaske verwendet werden. Nur so lassen sich die Netz- und Host-Anteile einer IP-Adresse eindeutig identifizieren.
Einer der Hauptgründe für die Einführung von Classless Inter-Domain Routing (CIDR) und Subnetting war die Adressverschwendung durch die festen IP-Netzklassen. Es ermöglicht Netze voneinander abzugrenzen und somit können private IP-Adressen auch doppelt vergeben werden. Allerdings brachte es auch eine Reihe an weitreichenden Verbesserungen mit sich.
Das Subnetting erhöht die Sicherheit, da die einzelnen Netze voneinander getrennt sind. Angriffe müssen erst andere Netzabschnitte erreichen, bevor sie sich ausbreiten können.
Systemadministratoren können eine logische Struktur für zugewiesene IP-Adressen erstellen. Dies erhöht die Übersichtlichkeit und erleichtert die Arbeit erheblich.
Um das Subnetting zu verstehen, ist es zunächst wichtig, die Struktur von IP-Adressen zu kennen.
Eine IP-Adresse ist eine Adresse, die zur eindeutigen Identifizierung eines Geräts in einem IP-Netz verwendet wird. Die Adresse besteht aus 32 binären Bits welche in vier Oktette unterteilt sind (1 Oktett = 8 Bits). Jedes Oktett wird hierbei in Dezimalstellen umgewandelt und durch einen Punkt getrennt. Aus diesem Grund wird eine IP-Adresse als Dezimalpunktformat bezeichnet.
Der Wert in jedem Oktett liegt zwischen 0 und 255 Dezimalzahlen oder 000000-111111 Binärzahlen.
IP-Adressen sind in zwei Teile unterteilt, einem Netz- und einen Host-Teil. Die Netzadresse (der vordere Teil der IP-Adresse) bezeichnet das Subnetz, in dem sich der Computer mit der entsprechenden Host-Adresse befindet. Was das Netzteil und was der Host-Teil der Adresse ist, wird durch die verwendete Subnetzmaske bestimmt.
Die Netzmaske oder Subnetzmaske ist eine Bitmaske. In IPv4-Netzwerken gibt sie an, aus wie vielen Bits sich das Netzwerkpräfix für eine IP-Adresse zusammensetzt.
Zusammen mit der IP-Adresse definiert sie die Adresse eines Geräts im Netzwerk. Der Netz-Teil zeigt an, welche Geräte sich in einem Netzwerk befinden. Dieser Netz-Teil muss für alle Geräte im Netzwerk gleich sein.
Eine Subnetzmaske besteht aus 32 Bit und wird immer in Kombination mit der IP-Adresse verwendet. Sie ist daher auch genau so lang wie eine IP-Adresse. Die Bits der Subnetzmaske, die “1” sind, legen die Stellen der IP-Adresse fest, die zum Netzanteil gehören. Alle restlichen Stellen der IP-Adresse welche dementsprechend auf “0” gesetzt sind definieren dann den Hostanteil.
CIDR, die Abkürzung für Classless Inter-Domain Routing, ist ein IP-Adressierungsschema, das die Zuweisung von IP-Adressen verbessert. Es ersetzt das alte auf Klassen basierende System.
Dieses Schema hat auch dazu beigetragen, die Lebensdauer von IPv4 erheblich zu verlängern und das Wachstum der Routing-Tabellen zu verlangsamen.
CIDR basiert auf variable-length subnet masking (VLSM). Hierdurch können Präfixe beliebiger Länge definiert werden, was es sehr viel effizienter macht als das alte System. CIDR-IP-Adressen bestehen aus zwei Gruppen von Zahlen. Die Netzwerkadresse wird als Präfix geschrieben, wie man es von einer normalen IP-Adresse kennt (z. B. 192.168.255.255). Der zweite Teil ist das Suffix, welches angibt, wie viele Bits der Subnetz Maske den Netzanteil definieren (z. B. /24). Zusammengenommen würde eine CIDR-IP-Adresse wie folgt aussehen: 192.168.1.0/24
Um die Berechnung zu visualisieren wird als Beispiel ein /14 Netz welches 262144 Adressen Umfasst in ein /23 Netz Umgewandelt. Als erstes gilt es herauszufinden wie groß das Ursprungsnetz ist. Hierzu verwendet man die Subnetzmaske. Wenn man diese in die Binär Schreibweise übersetzt und die Anzahl an 1er Bits zählt (Netzanteil) erhält man den CIDR Suffix. Anschließend gilt es die Größe des Hostanteil zu berechnen hierzu Subtrahiert man einfach die CIDR von 32 und man erhält die die Anzahl an Bits im Hostanteil. Diesen wert kann man nun als Exponent von 2 verwenden um die Gesamtanzahl an Adressen zu Erhalten.
Beispiel: 32 – 14 = 18 ⟶ 2^ 18 = 262144 ( Inklusive Netzadresse & Broadcast )
Das ursprüngliche /14 Netz wird in mehrere Subnetzte unterteilt. Als erstes finden wir heraus, wieviele Hosts je Subnetz benötigt werden. Um das zu ermitteln gilt es den nächst größeren Potenzwert von 2 zu finden. Beispiel: Es werden 300 Hosts je Subnetz benötigt, wäre der nächst höhere Potenzwert 512 ( 2 ^9 ). Hierbei sollte man bedenken das der Netzbereich an sich immer 2 Adressen kleiner ist. Sowohl die Netzadresse als auch der Broadcast wären damit reserviert und können somit Hosts nicht zugewiesen werden.
Die Netzadresse (oder auch Netz ID) ist der Startpunkt eines Netzes. Sie definiert an welcher Stelle das Netz getrennt wird und somit auch wo sich der Broadcast des vorherigen Netzes befindet.
Eine Broadcast-Adresse ist eine Netzwerkadresse, die zur Übertragung an alle an ein Netzwerk angeschlossenen Geräte verwendet wird. Eine Nachricht, die an eine Broadcast-Adresse gesendet wird, kann von allen im Netz angeschlossenen Hosts empfangen werden.
Der Netzbereich definiert die Anzahl an frei verfügbaren IP-Adressen welche Host zugewiesen werden können. Generell sind das alle Adressen in einem Netz. Ausgenommen die Netz ID & Broadcast Adresse.
Wenn Subnetze berechnet werden ist das Oktett, auf welches der Netzanteil endet, das wichtigste. Da dieser auf den Hostanteil umspringt. Dieser Sprung (Hop) wird durch ein „ | “ (Pipe) dargestellt. Siehe Tabelle unten: „Netzanteil/Hostanteil“
Die Schrittweite bezieht sich nur auf das betroffene Oktett welches alle restlichen Oktette, entweder, komplett dem Netzanteil entsprechen und damit fest sind. Oder dem Hostanteil und somit alle Adressen von 0-255 durchrotieren.
Das letzte maskierte Bit des Netzanteils ist von besonderer Bedeutung. Da man alle Potenzwerte von 2 (bis das letzte maskierte Bit des Netzanteils erreicht ist) durchgeht. Der betroffene Potenzwert entspricht somit der Subnetz Schrittweite. In unserem Beispiel ist die neue Subnetz Schrittweite 2 (/23).
128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 | |
| Oktett ( /14 ) | 1 | 1 | 1 | 1 | 1 | 1 | 0 | 0 |
| Oktett ( /23 ) | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 0 |
Im Hostanteil des Oktettes kann man die minimalen & maximalen Hosts des Netzes herausfinden. Setzt man nun im betroffenen Oktett alle Stellen des Hostanteils auf 0, erhält man die kleinstmögliche IP Adresse im Netz.
Die erste Netzadresse hat immer die gleiche Netzadresse, sowie die letzte Broadcast Adresse immer die gleiche Broadcast Adresse hat wie das ursprüngliche Netz. So kann, in dem man im betroffenen Oktett alle Stellen des Hostanteils auf 1 setzt, alles berechnet werden.
Besitzt man nun all diese Informationen, kann an der ersten IP des Netzes angefangen werden zu zählen. Damit lassen sich alle Subnetze, wie auch deren Netzbereiche & Broadcast Adresse, berechnen.
Die erste IP nach der Netzadresse ist immer die erste freiverfügbare IP des Netzbereiches. Die Broadcast IP entspricht immer der nächst kleineren IP der Netzadresse. Vor dieser befindet sich die letzte frei verfügbare IP des Netzbereiches. Man kann zusätzlich die Gesamtanzahl an Subnetzten berechnen indem man die alte CIDR von der neuen CIDR subtrahiert und das Ergebnis als Exponent von 2 rechnet.
| Netzadresse | Netzbereich | Broadcast | ||
| Subnetz 1 | 172.16.0.0 | 172.16.0.1 | 172.1.254 | 172.16.1.255 |
| Subnetz 2 . . . | 172.16.2.0 | 172.16.2.1 | 172.3.254 | 172.16.3.255 |
| Subnetz 511 | 172.19.252.0 | 172.19.252.1 | 172.19.253.254 | 172.19.253.255 |
| Subnetz 512 | 172.19.254.0 | 172.19.254.1 | 172.19.255.254 | 172.19.255.255 |
| Netzmaske | Binär | |||
| CIDR (ALT) | 172.18.0.0/14 | 10101100.000100 | 10.00000000.00000000 | ||
| Subnetzmaske (ALT) | 255.252.0.0 | 11111111.111111 | 00.00000000.00000000 | ||
| Subnetzmaske (NEU) | 255.255.254.0 | 11111111.11111111.1111111 | 0.00000000 | ||
| CIDR (NEU) | 172.18.0.0/23 | 10101100.00010010.0000000 | 0.00000000 | ||
Nun haben wir ein /14 Netz welches 262142 Adressen umfasst in ein /23 Netz geteilt welches 512 ( 2^ 9 ) Subnetzte mit jeweils 510 Freien Adressen bereit stellt.
Ein erster Blick auf IPv6 kann überwältigend sein. Genau genommen ist das Adressierungsschema das selbe wie bei IPv4, mit dem Hauptunterschied, dass die Adresslänge 128 Bit anstelle von 32 Bit beträgt und eine hexadezimale Schreibweise verwendet. Beispielsweise könnte man eine IPv4-Adresse als FFFF:FFFF schreiben was 255.255.255.255 entspräche. Vice versa eine IPv6-Adresse als 255.255.255.255.255.255.255.255. 255.255.255.255.255.255.255.255. Was folglich FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF wäre. Abgesehen vom Adressierungsschema und der hexadezimalen Schreibweise ist IPv6 für Subnetz- und Routingzwecke genau das gleiche wie IPv4. Ein Subnetz ist immer noch ein Subnetz. Ein /24 in IPv4 ist einfach ein /120 in IPv6, folglich die gleiche Anzahl von IP-Adressen. Jedoch bietet IPv6 (aufgrund der 128-bit Adresslänge) die Möglichkeit deutlich größere Netzte zu bilden.
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Burp Suite von Portswigger und OWASP ZAP sind beides Programme mit einem Proxy-Server, welche auf deinem lokalen Gerät laufen. Mit
Unser Mitgründer Immanuel war zu Gast bei Radio Bonn/ Rhein-Sieg und hat dem Moderatoren-Team Nico Jansen und Jasmin Lenz und