Aufgabenstellung
Loading
Loading
Vom Schichtenmodell über IP, TCP und DNS bis HTTPS und REST. Netzwerktechnik ist die Voraussetzung jeder modernen Anwendung.
6Abschnitteca. 17Min Lesezeit5KompetenzenNiveauBasis 2 · Standard 3 · Vertiefung 1Stand 06/2026
Lesetiefe: Vertiefung
Schriftgröße: Standard
OSI-Modell (7 Schichten) vs. TCP/IP (4 Schichten)
Eine HTTP-Antwort wird auf dem Weg zum Empfänger gekapselt - in welche Header?
HTTP-Header (Status, Content-Type) und Body.
TCP-Header mit Source/Destination Port, Sequence, ACK, Flags.
IP-Header mit Source/Destination IP, TTL.
Ethernet-Frame mit Source/Destination MAC, Prüfsumme.
Bits über Kupfer/Glas/Funkwelle.
Ergebnis: Jede Schicht hängt ihre Steuerdaten an; beim Empfänger werden sie schichtweise wieder entfernt.
OSI ist die akademische Sicht in 7 Schichten, TCP/IP ist die praktische Implementation in 4 Schichten.
OSI-Modell (7 Schichten) vs. TCP/IP (4 Schichten)
Jedes Schichtenmodell folgt dem Prinzip Encapsulation: niedrigere Schichten wissen nicht, was sie transportieren.
Die Schichten sind austauschbar - WLAN ersetzt Ethernet, ohne dass HTTP es merkt.
SRDP-Aufgaben
Aufgabenstellung
Typische Fehler
Aktive Wiederholung
Ordne folgende Protokolle der OSI-Schicht zu: DHCP, ARP, BGP, IMAP, FTP, HTTPS, SSH, ICMP.
Aktiv abrufen
Erinnere dich an die Kernpunkte — dann aufdecken.
Quellen: Tanenbaum, Wetherall: Computer Networks, 6. Auflage (Pearson) · ISO/IEC 7498-1 - OSI Reference Model (ISO)
IPv4-Präfixe und Hostzahlen
Anzahl Hosts pro IPv4-Subnetz mit Präfix /n
Bestimme Netzadresse, Broadcast-Adresse und Anzahl Hosts für 192.168.10.45/26.
/26 = 26 Netzbits, 32 - 26 = 6 Hostbits.
11111111.11111111.11111111.11000000 = 255.255.255.192.
192.168.10.45 AND 255.255.255.192 = 192.168.10.0 (da 45 < 64).
192.168.10.0 + 2^6 - 1 = 192.168.10.63.
2^6 - 2 = 62 nutzbare Host-Adressen (Netz- und Broadcast abziehen).
Ergebnis: Netz 192.168.10.0/26, Broadcast 192.168.10.63, 62 Hosts. IP 192.168.10.45 liegt im Bereich.
Subnetting heisst, mit der Maske den Netzanteil von der Hostadresse zu trennen.
Pro Subnetz gehen 2 Adressen für Netz- und Broadcast verloren.
IPv6 löst die Adressknappheit - 2^128 Adressen reichen für jeden Sandkörner.
SRDP-Aufgaben
Aufgabenstellung
Typische Fehler
Aktive Wiederholung
Berechne für 10.0.5.130/28 die Netz-, Broadcast- und Anzahl nutzbarer Host-Adressen. In welchem Bereich liegt die IP?
Aktiv abrufen
Erinnere dich an die Kernpunkte — dann aufdecken.
Quellen: RFC 791 - Internet Protocol (IETF) · RFC 4291 - IPv6 Addressing Architecture (IETF)
TCP Three-Way-Handshake
Was passiert, wenn ich `https://example.at/profil` im Browser eingebe?
Browser fragt Resolver -> DNS-Server: A-Record für `example.at` liefert IP 203.0.113.34 (Doku-Adressbereich nach RFC 5737).
SYN -> SYN/ACK -> ACK zur IP, Port 443.
ClientHello, ServerHello, Zertifikataustausch, Schlüsselableitung; ergibt symmetrischen Sitzungsschlüssel.
`GET /profil HTTP/1.1\nHost: example.at\nAccept: text/html`
`HTTP/1.1 200 OK\nContent-Type: text/html\n...`
Browser parst HTML, holt verlinkte Ressourcen (CSS, JS, Bilder).
Ergebnis: Eine einzige URL-Anforderung löst mindestens DNS-, TCP-, TLS- und HTTP-Schichten aus.
DNS ist das Telefonbuch des Internets - es macht aus Namen Nummern.
HTTPS verschlüsselt den HTTP-Verkehr über TLS; das Zertifikat verbürgt die Identität des Servers.
TCP Three-Way-Handshake
REST ist ein Stilprinzip, das HTTP konsequent ausnutzt - Ressourcen + Verben statt RPC-Funktionsaufrufe.
SRDP-Aufgaben
Aufgabenstellung
Typische Fehler
Aktive Wiederholung
Beschreibe Schritt für Schritt, was passiert, wenn du `https://www.bmbwf.gv.at/index.html` im Browser eingibst. Welche Schichten sind beteiligt?
Aktiv abrufen
Erinnere dich an die Kernpunkte — dann aufdecken.
Quellen: RFC 2616 / RFC 9110 - HTTP/1.1 (IETF) · RFC 8446 - TLS 1.3 (IETF) · Fielding: Architectural Styles - REST (UC Irvine)
Heimnetz-Topologie
Welche Schritte sicheren einen neuen WLAN-Router ab?
Admin-Zugang darf nicht "admin/admin" bleiben.
Sicherheitsupdates installieren.
WPA/WEP deaktivieren; starkes WLAN-Passwort (>= 16 Zeichen).
WPS-PIN ist anfällig für Bruteforce.
Separates SSID für Gäste, ohne Zugriff auf LAN.
Remote-Management aus dem Internet abschalten, wenn nicht nötig.
Ergebnis: Ein konsequent gehärteter Heimrouter ist die einfachste Massnahme für Heim-IT-Sicherheit.
Dein Heim-Router ist ein Schweizer Taschenmesser: Modem, Switch, Access Point, NAT, Firewall.
WLAN-Sicherheit hat sich entwickelt: WEP war ein Bug, WPA2 ist Pflicht, WPA3 ist Stand der Technik.
NAT ist warum dein Smartphone und Laptop sich eine öffentliche IP teilen können.
SRDP-Aufgaben
Aufgabenstellung
Typische Fehler
Aktive Wiederholung
Erkläre am Beispiel deines Heimrouters, welche Funktionen er erfüllt (mindestens 5 nennen). Welche Sicherheitseinstellungen sind essentiell?
Aktiv abrufen
Erinnere dich an die Kernpunkte — dann aufdecken.
Quellen: IEEE 802.11-2020 Standard (IEEE)
NAT - Adressübersetzung am Router
Größe der Adressräume
Ein Router hat die Einträge `192.168.10.0/24 -> if1`, `192.168.0.0/16 -> if2`, `0.0.0.0/0 -> if0`. An welches Interface geht ein Paket an 192.168.10.45?
192.168.10.45 passt zu `192.168.10.0/24`, zu `192.168.0.0/16` und zur Default-Route `0.0.0.0/0`.
Von den passenden Routen gewinnt die mit der längsten Präfixmaske: /24 ist spezifischer als /16 und /0.
Das Paket wird an `if1` (die /24-Route) weitergeleitet.
Ergebnis: Das Paket geht an if1; die Default-Route greift nur, wenn keine spezifischere Route passt.
Zwei Geräte (192.168.0.10 und 192.168.0.11) öffnen je eine HTTPS-Verbindung. Wie unterscheidet der Router die Antworten?
Gerät 1: 192.168.0.10:5001 -> Router übersetzt auf 203.0.113.5:40001. Gerät 2: 192.168.0.11:5001 -> 203.0.113.5:40002.
Der Router speichert beide Mappings in der PAT-Tabelle (privater Sockel <-> öffentlicher Sockel).
Antwort an 203.0.113.5:40002 wird laut Tabelle auf 192.168.0.11:5001 zurückübersetzt.
Ergebnis: Durch eindeutige Quellports kann ein Router viele private Geräte hinter einer öffentlichen IP unterscheiden (Port Address Translation).
Routing ist die Wegewahl: jeder Router schaut in seine Tabelle und nimmt die spezifischste passende Route.
NAT - Adressübersetzung am Router
NAT ist die geniale Notlösung gegen IPv4-Knappheit - ein ganzes Heimnetz hinter einer Adresse.
IPv6 macht NAT überflüssig, weil es mehr Adressen gibt als Sandkörner auf der Erde.
SRDP-Aufgaben
Aufgabenstellung
Typische Fehler
Aktive Wiederholung
Erkläre die Funktion von NAT in einem Heimnetz und beurteile, inwiefern IPv6 NAT überflüssig macht.
Aktiv abrufen
Erinnere dich an die Kernpunkte — dann aufdecken.
Quellen: RFC 1918 - Address Allocation for Private Internets (IETF) · RFC 8200 - Internet Protocol, Version 6 (IPv6) (IETF)
RSA - Schlüsselpaar und Verschlüsselung
Beschreibe, wie Browser und Webserver beim Aufruf einer HTTPS-Seite eine sichere Verbindung aufbauen.
Der Browser sendet unterstützte TLS-Versionen, Cipher Suites und einen Zufallswert.
Der Server wählt eine Cipher Suite, sendet sein Zertifikat (mit öffentlichem Schlüssel) und einen Zufallswert.
Der Browser prüft die Signaturkette bis zu einer vertrauenswürdigen CA und die Gültigkeit (Domain, Ablaufdatum).
Per ephemerem Diffie-Hellman einigen sich beide auf ein gemeinsames Sitzungsgeheimnis (Perfect Forward Secrecy).
Beide bestätigen den Handshake; ab jetzt wird symmetrisch (z.B. AES-GCM) verschlüsselt - schnell und sicher.
Ergebnis: TLS erreicht Vertraulichkeit (symmetrische Verschlüsselung), Integrität (MAC/AEAD) und Authentizität (Server-Zertifikat); der MitM-Angriff scheitert an der Zertifikatsprüfung.
Ein Webserver soll nur HTTP/HTTPS aus dem Internet annehmen, SSH nur aus dem internen Netz. Entwirf den Regelsatz.
Default-Policy: alle eingehenden Pakete verwerfen (Default-Deny).
ALLOW TCP von beliebig nach Port 80 und 443.
ALLOW TCP von 192.168.0.0/16 nach Port 22 (SSH), alles andere auf 22 DENY.
Externer SSH-Versuch fällt unter Default-Deny und wird verworfen.
Ergebnis: Nur explizit erlaubter Verkehr passiert; SSH ist auf das interne Netz beschränkt - Angriffsfläche minimal.
Eine Firewall ist der Türsteher des Netzes: erst die Regel, dann der Einlass - am sichersten mit Default-Deny.
TLS verheiratet asymmetrische und symmetrische Kryptografie: Zertifikat für Vertrauen, Sitzungsschlüssel für Tempo.
RSA - Schlüsselpaar und Verschlüsselung
Ein VPN spannt einen verschlüsselten Tunnel über das offene Internet - so als wäre man im Heimnetz.
SRDP-Aufgaben
Aufgabenstellung
Typische Fehler
Aktive Wiederholung
Erkläre den Ablauf eines TLS-Handshakes und beurteile, welche Schutzziele dabei erreicht werden.
Aktiv abrufen
Erinnere dich an die Kernpunkte — dann aufdecken.
Quellen: RFC 8446 - TLS 1.3 (IETF) · BSI - Mindeststandard zur Nutzung von TLS (BSI)
Belege & Quellen
IETF