Userlösungen GA I

[Hel]

Zu den eigentlichen Aufgaben (Was ich noch im Kopf habe, Punkteangaben müssen nicht richtig sein)

Finde den Fehler (4P)

Header analysieren (8P)

Wie wird IPv6 Adresse generiert (3P)

Englisch PoE Mode, Leistung angeben (3P + 3P = 6P)

POE-Hardware (3P)

Welches W-LAN für Radius? (3P)

Firewall Regeln (9P)

Firewall Regeln Internet erlauben (6P)

Was machen die Sektoren (3P)

Was macht ECC-RAM (3P)

Was ist AAA (3P)

RADIUS Server virtualisieren (4P)

Wieso wurde V-LAN getagged (3P?)

Wie kann man in dem Netzwerk trotzdem DNS ermöglichen (3P)

Unterschied Statisches/Dynamisches VLAN (4P)

Multi SSID (4P)

Edit: Sind insgesamt 69P, die ich hier aufgelistet habe... Da fehlt also noch was. Hat wer ne Ahnung? Den Handelsschritt 5 habe ich mir erst garnicht angesehen. Also keine Ahnung.

Bearbeitet 9. Mai 2014 von Hel

[255.255.255.255]

IPv6 Subnetzbildung aus dem englischen Text waren "...16 Bit field.." also 2^16.

Und für die erste Aufgabe GH1 mit dem Fehler in der Client-Konfiguration hab ich geschrieben, dass IPv6 am Client aktiviert wurde, aber kein IPv6 Gateway angegeben ist. IPv4 Gateway war die IP Adresse des Proxy-Server, was auch imho richtig ist...anders würd ein Proxy-Server auch kein Sinn machen für die Clients

Ein Proxy ist kein Gateway, den Proxy als Gateway einzutragen führt nur dazu, dass deine Clients nicht mehr ausserhalb ihres Subnetzes kommunizieren können, zu mehr aber auch nicht.

Genau das war auch die richtige Antwort auf die Frage.

Eventuell bringst du hier GW und transparant proxy durcheinander.

HS5:

1)

Erstellen Sie ein Struktogramm, PAP oder Pseudocode für einen Passwortgenerator. Passwörter sind 10 Stellen lang und bestehen aus dem Alphabet, Zahlen und Sonderzeichen. Am Ende sollte das pw ausgegeben werden.

Beispiel: 9hg_A9gk!p

Gegeben waren diese Funktionen:

rand(127): liefer eine zufällige Zahl zwischen 0 und 127 zurück.

char(zahl): wandelt eine zahl in ihren ascii wert um.

Ausserdem wurde die ASCII Tabelle dargestellt.

2)

Erklären Sie die Funktionsweise einer Hashfunktion wie MD5 oder SHA1.

3)

Wie kann ein Server ein Client-Zertifikat auf Echtheit prüfen?

Hier habe ich in etwa das geschrieben:

Client-Zertifikate werden von einer CA signiert.

Diese CA wird in die Stammzertifikate (vertrauenswürdige CAs) eingetragen.

Wenn ein Client sich verbindet, wird überprüft, ob das Clientzertifikat von einer vertrauenswürdigen CA ausgestellt wurde, wenn ja wird der Client als authentisch angesehen.

Ist das richtig oder wollten die da was von digitaler Signatur mit Hash+PublicKey hören?

Bearbeitet 9. Mai 2014 von 255.255.255.255

[Mlz1993]

Mich würde Interessieren was ihr bei der RADIUS-Server virtualisierung hingeschrieben habt.

Ebendso wie man DNS / Namensvergabe (Bin mir nicht mehr sicher was die eigentliche Fragestellung war) in dem bestimmten Netz trotzdem realisieren kann...

[-0815-]

Mich würde Interessieren was ihr bei der RADIUS-Server virtualisierung hingeschrieben habt.

Ebendso wie man DNS / Namensvergabe (Bin mir nicht mehr sicher was die eigentliche Fragestellung war) in dem bestimmten Netz trotzdem realisieren kann...

Zu der Virtualisierung habe ich geschrieben das man am besten vom bestehenden Server ein Backup macht und dieses Wiederherstellt in der virtuellen Umgebung.

Und zu dem DNS habe ich geschrieben dass man in die HOSTS Datei der Clients die benötigten DNS Einträge vornimmt die man zu testzwecken benötigt. Denke sowas in der Art sollte richtig sein

[Skywarrior]

Ein Proxy ist kein Gateway, den Proxy als Gateway einzutragen führt nur dazu, dass deine Clients nicht mehr ausserhalb ihres Subnetzes kommunizieren können, zu mehr aber auch nicht.

Ein Proxy ist genau so ein "Gateway" wie ein Router auch. Letzendendes überträgt dieser eben als Vermittler die Anfragen an den Router weiter, welcher wiederum die Anfragen ins Internet an die entsprecheneden Ziel-Hosts routet/weiterleitet.

Ähnliche Aufgaben kamen in der Vergangenheit schon öfter dran bei IHK Prüfungen, und da ist die IP des Proxys als GW eingetragen.

[Gast Alibaba83]

Zu der Virtualisierung habe ich geschrieben das man am besten vom bestehenden Server ein Backup macht und dieses Wiederherstellt in der virtuellen Umgebung.

Es gibt auch Software z.B. von VMWare um Physikalische Geräte zu virtualisieren

[-0815-]

Es gibt auch Software z.B. von VMWare um Physikalische Geräte zu virtualisieren

Ja ist mir auch bekannt, aber denke das Backup and Restore ne Lösung ist die auch durchgehen sollte...

Hoffe ich zumindest mal.. Habs mir so einfach wie möglich gemacht und es wurde nirgendwo von Esx oder ähnlichem geschrieben.

Abwarten

[neochrome]

RADIUS Server kann man entweder mit einem Migrationstool virtualisieren, wobei darauf zu achten ist das man nachher alle Netzwerkeinstellungen anpasst weil man von einer Testumgebung ins Produktivsystem migriert. Möglichkeit 2 war halt alles sauber neu einzurichten und zu konfigurieren.

Bei der DNS Aufgabe habe ich angegeben das man bei dem Im netz vorhandenen DNS eine Weiterleitung (DNS Forwarding) einrichtet damit der schon vorhandene DNS Server die Verteilung übernehmen kann. Alternativ halt die Hosts Datei am RADIUS.

[DaySleeper83]

-> mit entsprechender Software Systemabbild erstellen und auf die virtuelleM exportieren

-> einträge in die hosts Datei für/auf alle/allen Rechnern der Testumgebung

WPA2 Enterprise is richtig, WPA Enterprise sollte auch gehen.

Bei der 1. Aufgabe ist definitiv der Gateway falsch.

[Mlz1993]

Bei der Virtualisierung habe ich auch was mit VM's geschrieben... ich hoffe so zusammenhängend und für den Prüfer verständlich das er mir ausreichend Punkte gibt

Bzgl. DNS hab ich auch geschrieben das man es ,,händisch'' bei jedem Client nachtragen muss ...

Ich glaube im nachhinein würde ich ziemlich über meine Antworten lachen, aber ich war sooo in Panik

[legrx]

Ein Proxy ist genau so ein "Gateway" wie ein Router auch. Letzendendes überträgt dieser eben als Vermittler die Anfragen an den Router weiter, welcher wiederum die Anfragen ins Internet an die entsprecheneden Ziel-Hosts routet/weiterleitet.

Ähnliche Aufgaben kamen in der Vergangenheit schon öfter dran bei IHK Prüfungen, und da ist die IP des Proxys als GW eingetragen.

Das wäre dann aber auch falsch gewesen, ein Proxy ist eben kein Gateway. Zunächst arbeiten beide auf unterschiedlichen Schichten, d.h. heißt auch dass die Anfragen eines Clients völlig anders aufgebaut sind, im Sinne von:

192.168.1.10 an 192.168.1.240:3128 mach doch mal ein HTTP GET auf Google, ich warte dann auf die Daten

vs.

192.168.1.10: ping Google (DNS Resolv läuft, also ping 173.194.70.94), IP liegt nicht in meinem Netz, also schicke ich es an den Gateway des Subnetzes. Wenn da jetzt ein Proxy steht, wüsste der mit dieser Anfrage überhaupt nichts anzufangen, genauer gesagt, die Anfrage käme nicht mal bis zu ihm durch, da ja nicht mal ein Port angegeben ist.

Was eben der nächste Unterschied ist, je nach gewünschten Dienst (HTTP, FTP, IMAP) muss der Proxy mit einem Port addressiert werden (wie 3128 beim Squid für Standard-HTTP), deswegen gibt es ja auch die Porteinstellungen in den Proxyoptionen von Browser und Co.

[derPUHmann]

Leute, bitte habe eine Frage

Kann mir jemand recht sicher sagen, ob die Vorteile einer Virtualisierung gegenüber einem physischen System nun in GA1 oder GA2 kamen? Damit meine ich nicht, Hosted vs. Bare-Metal, geschweige denn "wie kriegt man einen Server in eine VM".

[Hel]

Leute, bitte habe eine Frage

Kann mir jemand recht sicher sagen, ob die Vorteile einer Virtualisierung gegenüber einem physischen System nun in GA1 oder GA2 kamen? Damit meine ich nicht, Hosted vs. Bare-Metal, geschweige denn "wie kriegt man einen Server in eine VM".

Die Vorteile kamen auf jeden Fall in GA2 vor. Die Aufgabe kam quasi direkt vor der, wo man den Energieverbrauch des physischen und des virtuellen Servers ausrechnen sollte, falls Du Dich noch an die erinnern kannst.

[Hel]

Erstmal sorry für den Doublepost!

Hätte auch noch eine Frage ... Wäre eventuell jemand, der sich bei den Antworten relativ sicher ist, dazu bereit, sich mal meine Antworten hier anzuschauen und abzuschätzen, ob ich da Punkte für kriegen kann? Das wäre echt super, weil mir das momentan so ein Bisschen den Schlaf raubt... Wäre schon über 30P glücklich.

Fehler finden bei der Client-Konfig:

Da habe ich auch das falsche Gateway genommen. Es müsste ja eigentlich der Router sein.

Warum/wie wird die IPv6 Adresse generiert:

Da habe ich geschrieben, dass die IPv6-Adresse aus der MAC-Adresse des Client-Netzwerkadapters generiert wird... Habe die Frage wohl falsch gelesen weil ich dachte da wird gefragt, wie die Adresse generiert wird und nicht, warum :/

Englisch übersetzen:

Beim 1. habe ich halt geschrieben, dass es der obere Modus ist und, dass auf den bestimmten Pins sowohl der Strom als auch die Daten übertragen werden... Bisschen ausführlicher.

Englisch Leistung ausrechnen:

Hier habe ich leider die 350mA hingeschrieben. Das wird wohl garkeine Punkte geben, oder? :/

Welche W-LAN-Sicherheit für Radius:

802.1x

Firewall-Regeln erklären:

1. HTTP-Verbindungen zum Proxy-Server aus dem und dem Netz erlaubt

2. HTTPS-Verbindungen zum Proxy-Server aus dem und dem Netz erlaubt

3. SMTP-Verbindungen zum Mailserver erlauben (Mailing ist erlaubt)

4. Habe ich leider nichts, wusste aus dem Kopf nicht, was der Port 110 ist ...

5. Sämtliche Verbindungen (außer die in den oben genannten Regeln) werden verworfen

Firewall-Regeln ergänzen:

1. Aus dem Gast-V-LAN-Netz (IN) HTTP-Verbindungen über das Interface VLAN99 zum Proxyserver erlauben

2. Da habe ich Vollidiot blöderweise nicht das HTTPS-Äquivalent sondern irgendeine Verbindung zum DSL genommen ...

Aufgabe mit der Größe der Zuordnungseinheiten:

Die Größe der Zuordnungseinheiten hat Einfluss auf die Lese- und Schreibgeschwindigkeit der Festplatte abhängig von der Größe der einzelnen Dateien.

RADIUS Server virtualisieren:

1. Abbild der Festplatte des Radius-Servers ziehen (z.B. .vmdk-Datei)

2. Virtuellen Server erstellen und entsprechend konfigurieren

3. Festplatten-abbild in den virtuellen Server einbinden

Unterschied statisches/dynamisches V-LAN:

Da habe ich nur geschrieben, dass man beim statischen V-LAN die Konfiguration selber machen muss und beim dynamischen V-LAN blablabla. Bin mir nicht mehr ganz sicher. Habe einfach nur irgendwas geschrieben, damit da was steht.

Warum muss VLAN99 und VLAN1 getagged werden:

Weil man damit den Access Point dem VLAN99 und dem VLAN1 zuweist. Ansonsten käme man, wenn man sich mit einem Notebook mit dem Access Point verbindet, nicht "in die VLANs" rein. Irgendwie sowas.

ECC erklären:

Da habe ich nur geschrieben, dass der Error Correction Code RAM einzelne Lese- und Schreibfehler erkennen und beheben kann.

PXE-Boot und Abhängigkeit von Radius:

Nein, weil beide Funktionen unabhängig voneinander funktionieren können.

Rechnung bei SATA:

Da habe ich leider die tatsächliche, komplette (aber richtige) Rechnung und das Ergebnis anstatt der Formel hingeschrieben.

Full qualified domain name erklären:

Zunächst wird der Name des Servers vorangestellt und daraufhin, mit einem Punkt getrennt, der Name der Domäne.

Aufgaben von Multi-SSID:

Notwendig, um mit einem Access Point mehrere W-LANs zu broadcasten. Mir ist keine 2. echte Aufgabe eingefallen und da habe ich geschrieben, dass man damit Hardware und somit Kosten spart ...

DNS im anderen Netzwerk ermöglichen:

Bin leider nicht auf die Lösung mit der Hosts-Datei gekommen und habe stattdessen geschrieben, dass man auf der Firewall erlauben soll, dass man aus dem Netzwerk den DNS-Server erreichen kann.

PoE-Hardware:

Da sind mir echt nur 2 Sachen (IP-Phone, Videoüberwachungskamera) eingefallen. Was wäre denn z.B. das Dritte gewesen?

Grund für die Neuberechnung des IPv4-Headers:

Weil sich der Header bei jedem Hop bzw. bei jedem Routing nochmal verändert.

Den IP-Header-Analyse-Teil habe ich komplett weggelassen, weil ich mich da auf die Schnelle nicht mehr reindenken konnte.

[Gast]

Ein Proxy ist genau so ein "Gateway" wie ein Router auch. ...

Wenn er genauso ein Gateway wäre wie der Router, dann müssten ja beide auf derselben OSI-Schicht angesiedelt sein.

[rocknfreak]

DNS im anderen Netzwerk ermöglichen:

Bin leider nicht auf die Lösung mit der Hosts-Datei gekommen und habe stattdessen geschrieben, dass man auf der Firewall erlauben soll, dass man aus dem Netzwerk den DNS-Server erreichen kann.

Das habe ich EINS - zu - EINS genau so

Einfach das der DNS mittel der Firewall auch auf dieses Netz zugreifen darf und somit dort den Service DNS anbieten kann

[derPUHmann]

Ich habe geschrieben, einen anderen DNS Server verwendne, z- B- den von Google.

GA1: Warum wird die link-local-Adresse benötigt?

GA2: Engl. Text: Wie heißt die öffentliche IPv6 IP?

GA2: Was macht ping ::1

Kann das jemand bestötigen? also von den Teilen her GA1/GA2?

Bei GA1 Teil bin ich mir recht siche. waren die anderen beiden Sachen denn acuh wirklich in GA2?

[Aitch213]

@derPUHmann Das sind definitiv teile aus GA2 gewesen, die letzten beiden.

Firewall regeln erläutern: Ist es falsch wenn man diese anhand von den IP adressen und Ports erläutert hat? Also: Alle eingehenden Pakete mit Quell IP ... und Ziel IP ... Zum ziel Port ... werden durchgelassen...

Anstatt wie, die pakete vom Proxy zum webserver usw. werden durchgelassen

Es wäre natürlich kein problem gewesen diese anhand des Plans abzulesen, aber mir war nicht ersichtlich dass dies verlangt wurde. Was meint ihr?

[Skywarrior]

GA2: Was macht ping ::1

Ping ::1 (localhost) schaut nur, ob Deine NIC erreichbar ist.

[derPUHmann]

Das weiß ich ;-) Die Frage war nur, welche Teile ;-)

[derPUHmann]

Warum braucht man eine Link-Local-Adresse war aber GA1 oder?!

[Jcena116]

Warum braucht man eine Link-Local-Adresse war aber GA1 oder?!

Die frage habe ich garnicht gesehen oder garnicht mehr im Kopf ^^

[derPUHmann]

Ja viele haben da gelesen

"Wie wird eine link lokal adresse generiert"

und haben geschrieben, "aus der MAC"

ist aber falsch. die frage war, wozu man die benötigt.

[Gast]

Ping ::1 (localhost) schaut nur, ob Deine NIC erreichbar ist.

Dann mach mal den Ping 127.0.0.1 ohne Netzwerkkarte. Da bekommt man auch eine Rückmeldung, allerdings nur, wenn der TCP-Stack auch richtig installiert ist bzw. funktioniert.

Bearbeitet 10. Mai 2014 von WYSIFISI

[Gast]

Ja das mit dem IP-Stack hab ich hingeschrieben, war ja irgendwie auch klar das nichts anderes gefragt ist. Aber denke die IHK wird das werten. Link-Local Addresse dient ja zur Kommunikation im lokalen Netz(Segment) hab ich geschrieben um dann eben den Router/Core Switch Auto Config zu ermöglichen oder so