ISO/OSI Schichten Modell

Zurück

Physical Layer - Schicht 1

Layer 1 - Physical Layer

  • Übertragung von Bits als elektrische, optische oder elektromagnetische Signale
  • Boolean (1 oder 0), 1 = Strom an, 0 = Strom aus
  • Kabel: Kupfer- und Glasfaserkabel sowie Steckverbindungen (z.B. RJ45, USB)
  • Funktechnologien: WLAN, Bluetooth
  • Layer-1-Geräte: Netzwerkswitch ohne Logik, Repeater, Hub

Aufgaben:

  • Definition elektrischer Spannungspegel, Lichtsignale, Funkwellen
  • Festlegung physikalischer Schnittstellen (Stecker, Kabel, Buchsen)
  • Timing & Taktung (z.B. Clock-Geschwindigkeit)
  • Bestimmung des Übertragungsmediums & der Geschwindigkeit (z.B. 100 Mbit/s, 1 Gbit/s)

Beispiele:

  • Ethernet-Kabel in PC einstecken → Lämpchen am Switch leuchtet (Verbindung vorhanden)
  • WLAN-Signal ist schwach → Problem auf Schicht 1

Angriffsvektoren (physische Angriffe):

  • Kabel abhören (Tapping)
  • Funkabhörung (Sniffing via Luftschnittstelle)
  • Physikalische Zerstörung von Komponenten
  • Störsignale erzeugen (Jamming)
  • EMI-Angriffe (Electromagnetic Interference)

Wichtige Begriffe:

  • RJ45: Standardstecker für Netzwerkkabel
  • Repeater: Verstärkt Signale zur Reichweitenverlängerung
  • Hub: Verteilt Daten an alle Ports - ohne Logik
  • Bandwidth: Maximale Übertragungsrate
  • Attenuation: Signalabschwächung über längere Kabeldistanzen

Data Link Layer - Schicht 2

Layer 2 - Data Link Layer

Sorgt dafür, dass die Bits aus Schicht 1 fehlerfrei und geordnet beim Empfänger ankommen. Sie packt Bits in Frames und hängt Steuerinformationen dran.

Aufgaben:

  • Frame-Erstellung (Bits in Frames verpacken mit Header und Trailer)
  • MAC-Adressierung (Physikalische Adressierung im LAN)
  • Fehlererkennung (Prüfsummen wie CRC und Checksums zum Erkennen von Übertragungsfehlern)
  • Flusskontrolle (Datenrate anpassen, um Überlastung zu vermeiden)
  • Zugriffskontrolle (Regeln, wer das Medium nutzen darf – z. B. CSMA/CD bei Ethernet)

Beispiele:

  • Ethernet (802.3), WLAN (802.11), Layer-2-Switches
  • VLAN (Virtual LAN), MAC-Adressen (Media Access Control), PPP (Point-to-Point Protocol)
  • Ein Switch entscheidet anhand der MAC-Adresse, an welchem Port er einen Frame weiterleitet
  • Bei VLANs wird der Datenverkehr logisch auf Layer 2 getrennt
  • Beschädigte Frames werden vom Data Link Layer verworfen

Angriffsvektoren:

  • MAC-Spoofing
  • ARP-Spoofing & ARP-Poisoning (Man-in-the-Middle)
  • VLAN-Hopping
  • Switch Flooding (CAM Table Overflow)

Wichtige Begriffe:

  • MAC-Adresse: Eindeutige Hardwareadresse (48 Bit, z.B. 00:1A:2B:3C:4D:5E)
  • Frame: Datenpaket auf Layer 2
  • Switch: Gerät, das Frames anhand der MAC-Adressen weiterleitet
  • ARP: Address Resolution Protocol, übersetzt IP-Adressen in MAC-Adressen
  • VLAN: Logische Trennung von Netzwerken auf Layer 2 trotz gemeinsamer physischer Infrastruktur

IEEE Standarts

IEEE steht für Institute of Electrical and Electronics Engineers

Die Arbeitsgruppe 802 innerhalb des IEEE ist zuständig für Local Area Networks (LANs) und Metropolitan Area Networks (MANs)

WLAN-Standards (IEEE 802.11)
IEEE-Standard Wi-Fi-Name Frequenz Max. Datenrate Typische Reichweite Bemerkung
802.11b Wi-Fi 1 2.4 GHz 11 Mbit/s ca. 30–100 m Erster populärer WLAN-Standard
802.11a Wi-Fi 2 5 GHz 54 Mbit/s ca. 10–30 m Schneller als b, aber geringere Reichweite
802.11g Wi-Fi 3 2.4 GHz 54 Mbit/s ca. 30–100 m Kompromiss aus b und a
802.11n Wi-Fi 4 2.4 + 5 GHz 600 Mbit/s bis 100 m (innen ~70 m) Erstes WLAN mit MIMO
802.11ac Wi-Fi 5 5 GHz bis 1,3 Gbit/s ca. 30–50 m Schnell, aber keine 2.4 GHz-Unterstützung
802.11ax Wi-Fi 6 / 6E 2.4 + 5 + 6 GHz bis 9,6 Gbit/s bis 50 m (innen) Optimiert für viele Geräte
802.11be Wi-Fi 7 2.4 + 5 + 6 GHz bis 46 Gbit/s ähnlich wie Wi-Fi 6 Noch in Entwicklung/Einführung
Andere IEEE-Funkstandards (Bluetooth, Zigbee, WiMAX etc.)
IEEE-Standard Name Frequenz Max. Datenrate Typische Reichweite Bemerkung
802.15.1 Bluetooth (Classic) 2.4 GHz bis 3 Mbit/s ca. 10 m (bis 100 m mit Class 1) Kurzstreckenfunk für Headsets etc.
802.15.1 LE Bluetooth Low Energy (BLE) 2.4 GHz 1 Mbit/s ca. 10–50 m Sehr stromsparend
802.15.4 Zigbee 2.4 GHz (auch 868 MHz / 915 MHz) 250 kbit/s 10–100 m IoT & Smart Home
802.16 WiMAX 2–11 GHz (oft 3.5 GHz) bis 70 Mbit/s bis 50 km (Sichtverbindung) Breitband-Alternative zu DSL (ausserhalb CH selten)

Network Layer - Schicht 3

Layer 3 – Network Layer

Verantwortlich für die logische Adressierung (IP) und die Wegewahl (Routing). Sie sorgt also dafür, dass ein Datenpaket den Weg von Sender A zu Empfänger B findet – auch über mehrere Netzwerke hinweg.

Protokolle & Geräte:

  • Protokolle: IPv4, IPv6, ICMP, IPsec
  • Geräte: Router, Layer-3-Switches
  • Datenformat: Pakete

Aufgaben:

  • Routing – Auswahl des besten Weges zum Zielgerät
  • IP-Adressierung – Jedem Gerät eine logische Adresse zuweisen
  • Fragmentierung – Grosse Pakete in kleinere Einheiten zerlegen
  • TTL-Verwaltung – Time to Live zur Vermeidung von Endlosschleifen
  • Fehlermeldungen & Diagnose – z. B. via ICMP (Ping)

Angriffsvektoren:

  • IP-Spoofing
  • ICMP Flood (DoS-Attacke)
  • Teardrop-Attack
  • Routing-Protocol-Angriffe
  • Packet Sniffing

Gegenmassnahmen:

  • IPsec für verschlüsselte IP-Kommunikation
  • Firewalls mit Anti-Spoofing-Filtern
  • ICMP-Throttling zur Abwehr von ICMP-Floods

Wichtige Begriffe:

  • IP-Adresse: Logische Netzwerkadresse (z. B. 192.168.0.4)
  • Subnetz: Unterteilung eines Netzwerks in kleinere logische Einheiten
  • Router: Vermittelt zwischen Netzwerken und trifft Routing-Entscheidungen
  • TTL (Time To Live): Maximale Anzahl an Hops, bevor ein Paket verworfen wird
  • NAT (Network Address Translation): Wandelt private IP-Adressen in öffentliche um

Transport Layer - Schicht 4

Layer 4 – Transport Layer

Der Transport Layer ist zuständig für die Zuverlässigkeit der Kommunikation zwischen zwei Endpunkten. Er sorgt dafür, dass die Daten korrekt, vollständig und in der richtigen Reihenfolge ankommen.

Protokolle:

  • TCP (Transmission Control Protocol)
  • UDP (User Datagram Protocol)

Aufgaben:

  • Port-Adressen verwalten – z. B. Port 20, 80, 443
  • Sessions verwalten – Verbindungen aufbauen, überwachen und beenden
  • Flusskontrolle – Geschwindigkeit der Übertragung regulieren
  • Fehlererkennung & -korrektur – Paketverlust erkennen und korrigieren (nur TCP)
  • Multiplexing/Demultiplexing – Mehrere Verbindungen gleichzeitig verarbeiten

TCP – 3-Way-Handshake:

  1. SYN: Client sendet Verbindungsanfrage
  2. SYN-ACK: Server bestätigt und sendet Rückantwort
  3. ACK: Client bestätigt – Verbindung steht

Am Ende wird die Verbindung mit einem FIN-Flag beendet.

UDP:

Kein Handshake, keine Sicherung – eignet sich für DNS, Voice Chat, Gaming, Streaming.

Angriffsvektoren:

  • TCP SYN-Flood (DoS)
  • UDP Flood (DoS)
  • Port Scanning (Reconnaissance)
  • Session Hijacking
  • RST-Injection

Wichtige Begriffe:

  • Portnummern: 0–65535 (0–1023 = Well-Known Ports)
  • Ephemeral Ports: 49152–65535 – werden dynamisch vom Client gewählt
  • Socket: Kombination aus IP-Adresse und Port (z. B. 192.168.1.10:80)
  • 3-Way-Handshake: Standardmechanismus zum Verbindungsaufbau mit TCP

Session Layer - Schicht 5

Layer 5 – Session Layer

Der Session Layer ist zuständig für die Verwaltung von Sitzungen zwischen zwei Systemen. Er öffnet, hält und beendet Verbindungen.

Protokolle:

  • SMB (Server Message Block)
  • RPC (Remote Procedure Call)
  • NetBIOS

Aufgaben:

  • Session-Aufbau – Verbindung initialisieren (z. B. beim Login)
  • Session-Steuerung – Sitzung aktiv halten (Keep-Alive, Token-Verfahren)
  • Synchronisation – Sitzungen nach Unterbruch fortsetzen
  • Session-Abbau – Verbindung kontrolliert trennen

Beispiele:

  • SQL-Server-Sitzungen – Datenbankverbindungen über längere Zeit
  • TLS-Session – Verwaltung der Sitzung bei HTTPS

Angriffsvektoren:

  • Session Hijacking
  • Session Fixation
  • Replay-Attacken
  • Man-in-the-Middle (z. B. SMB Relay)

Gegenmassnahmen:

  • Sitzungen verschlüsseln (TLS, SMB Signing)
  • Session-Tokens regelmässig erneuern
  • Inaktive Sessions automatisch beenden (Timeout)
  • Token-Validierung mit MAC-Adresse oder IP binden

Wichtige Begriffe:

  • Session-ID: Eindeutige Kennung für eine laufende Sitzung
  • Token: Sitzungsmerkmal – z. B. als Cookie oder Header-Parameter
  • Keep-Alive: Mechanismus, um eine Verbindung auch bei Leerlauf aktiv zu halten

Presentation Layer - Schicht 6

Layer 6 – Presentation Layer

Der Presentation Layer ist zuständig für die Darstellung und Umwandlung von Daten, damit zwei Systeme, die intern unterschiedliche Formate verwenden, sich trotzdem verstehen.

Aufgaben:

  • Übersetzung – Zwischen verschiedenen Formaten (z. B. ASCII zu Unicode oder UTF-8 und zurück)
  • Kompression – Daten wie Bilder oder Videos komprimieren (z. B. JPEG, PNG, MP4, MP3)
  • Verschlüsselung – Inhalte absichern (z. B. über SSL oder TLS)
  • Serialisierung – Datenstrukturen in ein Übertragungsformat bringen (z. B. JSON, XML)

Angriffsvektoren:

  • SSL Stripping (Downgrade von HTTPS zu HTTP)
  • Downgrade Attacks (z. B. auf veraltete TLS-Versionen)
  • Padding Oracle Attack
  • Format Injection (Manipulation von z. B. XML/JSON)
  • Zertifikatsfälschung (Certificate Forgery)

Gegenmassnahmen:

  • Nur moderne Verschlüsselungen verwenden (TLS 1.2 oder höher)
  • Eingabedaten validieren (insbesondere bei serialisierten Formaten)
  • Zertifikatsüberprüfung aktivieren (sowohl auf Client- als auch Serverseite)

Application Layer - Schicht 7

Layer 7 – Application Layer

Der Application Layer ist die Schnittstelle zwischen Nutzeranwendungen und Netzwerk.

Protokolle:

  • HTTP / HTTPS
  • DNS
  • FTP / SFTP
  • SMTP / IMAP / POP3
  • SMB, RDP, SSH
  • LDAP, Telnet

Aufgaben:

  • Webseiten anzeigen
  • Domainnamen auflösen
  • Login-Fenster bereitstellen
  • Dateien übertragen
  • Skripte oder API-Aufrufe ausführen

Angriffsvektoren:

  • SQL-Injection
  • Cross-Site Scripting (XSS)
  • Command Injection
  • Buffer Overflow
  • DNS Cache Poisoning
  • SMB Relay Attack

Gegenmassnahmen:

  • Input-Validierung & Escape von Benutzereingaben
  • Prepared Statements bei Datenbankzugriffen
  • Firewall, IDS/IPS zur Angriffserkennung
  • Content Security Policy (CSP) im Browser setzen

Wichtige Begriffe:

  • API: Schnittstelle zur Kommunikation zwischen Programmen
  • Cookie: Speichert Sitzungsinformationen auf Client-Seite
  • Header: Zusatzdaten bei HTTP-Anfragen (z. B. User-Agent, Authentifizierung)
  • Payload: Nutzdaten der Anfrage (z. B. POST-Daten im Formular)
  • User-Agent: Identifiziert den Browser oder Client beim Server

Angriffsvektoren und Gegenmassnahmen – alle Schichten

Diese Übersicht zeigt pro OSI-Schicht die häufigsten Angriffsvektoren mit Erklärung und passende Gegenmassnahmen (inkl. ausgeschriebener Abkürzungen).

Layer 1 – Physical Layer

  • Angriffsvektoren:
    • Kabel abhören (Tapping): Ein physischer Zugriff auf Netzwerkkabel, um Daten mit einem Sniffer mitzulesen.
    • Funkabhörung: WLAN-Signale werden mit einem Sniffer wie Wireshark mitgeschnitten.
    • Physikalische Zerstörung: Hardware wie Router oder Kabel werden mutwillig beschädigt.
    • Störsignale (Jamming): Senden von Interferenzsignalen, um WLAN zu blockieren.
    • EMI-Angriffe: Elektromagnetische Interferenzen stören die Signalübertragung gezielt.
  • Gegenmassnahmen:
    • Zutrittskontrollen
    • Abgeschirmte Kabel und Räume
    • WLAN mit starker Verschlüsselung (z. B. WPA3)
    • Kabel sauber und versteckt verlegen

Layer 2 – Data Link Layer

  • Angriffsvektoren:
    • MAC-Spoofing: Fälschen der eigenen MAC-Adresse, um als ein anderes Gerät zu erscheinen.
    • ARP-Spoofing / Poisoning: Falsche ARP-Antworten leiten den Datenverkehr über den Angreifer (MITM).
    • VLAN-Hopping: Angreifer verlässt sein VLAN und greift andere VLANs an.
    • Switch Flooding: Überfluten eines Switches mit MAC-Adressen → wird zum Hub.
  • Gegenmassnahmen:
    • Port-Security
    • DAI – Dynamic ARP Inspection
    • Statische ARP-Einträge
    • VLANs sauber segmentieren

Layer 3 – Network Layer

  • Angriffsvektoren:
    • IP-Spoofing: Fälschung der Absender-IP zur Täuschung von Gegenstellen.
    • ICMP Flood: Überlastung durch massenhaft Ping-Anfragen.
    • Teardrop-Attack: Fehlformatierte IP-Fragmente bringen Systeme zum Absturz.
    • Routing-Protokoll-Angriffe: Manipulation von Routing-Tabellen im Netzwerk.
    • Packet Sniffing: Mitlesen von IP-Daten mit Tools wie Wireshark.
  • Gegenmassnahmen:
    • Firewall mit Anti-Spoofing
    • ICMP-Throttling
    • VPN – Virtual Private Network
    • IPsec – Internet Protocol Security
    • Authentifizierung für Routing-Protokolle

Layer 4 – Transport Layer

  • Angriffsvektoren:
    • TCP SYN-Flood: Verbindung wird nicht abgeschlossen → Ressourcenverbrauch. SYN → SYN-ACK → kein ACK
    • UDP Flood: UDP-Pakete ohne erwartete Antwort → Server überlastet.
    • Port Scanning: Offene Ports und Dienste ermitteln (z. B. mit nmap).
    • Session Hijacking: Angreifer übernimmt eine bestehende TCP-Verbindung.
    • RST-Injection: TCP-Verbindung mit gefälschtem Reset (RST) beenden.
  • Gegenmassnahmen:
    • SYN-Cookies
    • Rate Limiting
    • Firewall
    • IDS – Intrusion Detection System/IPS – Intrusion Prevention System
    • TLS – Transport Layer Security

Layer 5 – Session Layer

  • Angriffsvektoren:
    • Session Hijacking: Übernahme einer gültigen Session durch Abfangen der Session-ID.
    • Session Fixation: Session-ID wird vom Angreifer festgelegt und später übernommen.
    • Replay-Attacken: Bereits gesendete Pakete werden erneut abgespielt.
    • SMB-Relay: SMB-Anmeldung wird an anderes System weitergeleitet.
  • Gegenmassnahmen:
    • Session-Timeout
    • Session-Token regelmässig erneuern
    • TLS – Transport Layer Security
    • SMB – Server Message Block-Signierung

Layer 6 – Presentation Layer

  • Angriffsvektoren:
    • SSL Stripping: HTTPS wird zu HTTP heruntergestuft (Downgrade).
    • Downgrade Attacks: Veraltete TLS-Versionen werden erzwungen.
    • Padding Oracle: Entschlüsselungsfehler verraten Infos über den Klartext.
    • Format Injection: Manipulierte Datenstrukturen wie XML/JSON einschleusen.
    • Certificate Forgery: Gefälschte Zertifikate unterjubeln.
  • Gegenmassnahmen:
    • TLS – Transport Layer Security 1.2 oder höher
    • HSTS – HTTP Strict Transport Security
    • Input-Validierung
    • Zertifikatsprüfung & Pinning

Layer 7 – Application Layer

  • Angriffsvektoren:
    • SQL-Injection: SQL-Code über Eingabefelder einschleusen. ' OR 1=1 --
    • XSS (Cross-Site Scripting): JavaScript wird in Webseiten eingeschleust. <script>alert('XSS')</script>
    • Command Injection: Shell-Befehle werden über Eingaben ausgeführt. google.com && rm -rf /
    • Buffer Overflow: Zu viele Daten überlaufen den reservierten Speicherbereich.
    • DNS Cache Poisoning: DNS-Server bekommt gefälschte IP-Zuordnungen.
    • SMB Relay Attack: Authentifizierungsdaten werden an andere Systeme weitergeleitet.
  • Gegenmassnahmen:
    • Prepared Statements
    • Input-Validierung
    • CSP – Content Security Policy
    • WAF – Web Application Firewall
    • Firewall
    • IDS – Intrusion Detection System/IPS – Intrusion Prevention System
    • DNSSEC
    • SMB – Server Message Block-Signierung