Zugangsschutz im lokalen Netzwerk

Broadcast- und Agenten-basierende Lösungen

Solche Lösungen zeichnen sich durch eine vollständige Protokollüberwachung und -auswertung aus. Da wesentliche Protokolle wie beispielsweise ARP auf ihren Broadcast-Bereich beschränkt sind, erfordern sie das direkte Mitlesen des Datenverkehrs oder dedizierte Agenten, welche diese Funktion "vor Ort" übernehmen und nur die Auswertungsergebnisse weitergeben.

Letzteres reduziert die Netzlast. In jedem Fall ist aber die technische Einbeziehung aller Broadcast-Bereiche notwendig, um eine umfassende Überwachung zu gewährleisten. Die dazu erforderliche Infrastruktur ist sehr aufwendig und muss stets nachgepflegt werden.

Für die IP-Kommunikation über das Ethernet ist ARP ein unverzichtbarer Bestandteil, da die eigentliche Adressierung im Ethernet (webcode: p209) anhand der MAC-Adressen stattfindet. Eine MAC-Adresse (Medium Access Control) ist eine auf der Netzwerkkarte festgelegte Kennung, die im Normalfall einzigartig und unveränderbar ist. Die MAC-Adresse hat eine Länge von 48 Bit und wird in der Regel hexadezimal geschrieben.

Die ersten 24 Bit dieser Adresse beinhalten die Herstellerkennung der Netzwerkkarte, die von der IEEE (Institute of Electronic Engineers) vergeben wird. Zum Beispiel die MAC-Adresse

00-0D-56-XX-XX-XX

können Sie somit als die zugehörige Netzwerkkarte von Dell identifizieren. Eine Liste aller herstellerbezogenen MAC-Adressen finden Sie unter standards.ieee.org.

ARP stellt das Bindeglied zwischen IP- und MAC-Adresse dar. Bevor ein IP-Paket verschickt werden kann, ist die MAC-Adresse des Zielrechners zu ermitteln. Dazu versendet ARP einen Broadcast (Rundruf) mit der Frage "who has <IP-Adresse>". Ist der Ziel-Host online, antwortet dieser mit einem an den Absender gerichteten ARP-Reply "<IP-Adresse> is at <MAC-Adresse>". Diese Antwort speichert der Rechner temporär im ARP-Cache, um weitere Anfragen zu vermeiden.