IT-Sicherheit

Was ist das OSI-Modell und wie funktioniert es?

  • Katrin Graewe
  • September 10, 2021
Was ist das OSI-Modell und wie funktioniert es?

In der Welt der Cybersicherheit werden Bedrohungen oft als auf eine bestimmte Layer abzielend beschrieben – das OSI-Modell spielt hier eine entscheidende Rolle. Aber was bedeutet das eigentlich? Das Konzept der OSI-Layer ist für die Informatik insgesamt von grundlegender Bedeutung, da es erklärt, wie Datensignale von einem Ort zum anderen gelangen. In diesem Artikel erklären wir, was OSI-Layer sind, welches Modell am häufigsten verwendet wird, um sie zu beschreiben, und mit welchen Cyberangriffen die einzelnen Schichten angegriffen werden.

Layer innerhalb des OSI-Modells

Das OSI-Modell (Open Systems Interconnection) wurde von der Internationalen Organisation für Normung (ISO) entwickelt, um zu beschreiben, wie Computernetzwerke strukturiert sind und wie Datensignale von einem System zum anderen gelangen. Das Modell unterteilt das Netzwerk in sieben Layer, wobei die physische Hardware an der Unterseite und die Softwareanwendungen an der Oberseite liegen.

Die Schichtenarchitektur wird oft als universelle Sprache für die Diskussion über Computernetzwerke angesehen. Es ist auch eines der ersten Dinge, die neuen Informatikstudenten beigebracht werden, da die Netzwerkarchitektur die Grundlage für fast alles in der digitalen Welt ist.

Was sind die sieben Network Layer im OSI-Modell?

Die sieben Layer beschreiben ein Netz von Grund auf, angefangen bei der physischen Infrastruktur bis hin zu den Systemen und Anwendungen, die auf dem Bildschirm eines Benutzers erscheinen.

Das OSI-Modell wird in der Regel „auf dem Kopf stehend“ dargestellt, wobei Schicht 7 oben und Schicht 1 unten liegt. Dieser Ansatz kann Anfängern helfen, den Fluss von Datensignalen zwischen zwei Systemen zu verstehen.

Wir interessieren uns jedoch für die Shichten des OSI-Modells aus der Perspektive der Cybersicherheit. Bei Cyber-Bedrohungen geht es aber nicht darum, wie Daten durch das Netz fließen, sondern wie Schwachstellen ausgenutzt werden können. Das führt zu potenziellem Datendiebstahl, Schäden am System oder einer massiven Störung des Netzwerks.

Zu diesem Zweck ist es vielleicht einfacher zu erklären, wie ein Netzwerk von Grund auf aufgebaut ist.:

  1. Die physikalische Layer (Physical layer)

Layer 1 beschreibt die physikalische Hardware, die für eine Datenübertragung benötigt wird. Diese Schicht besteht hauptsächlich aus Datensignalen, d. h. einem Binärstrom.

Ein klassisches Beispiel für einen Angriff der Schicht 1 wäre das Durchtrennen eines Netzwerkkabels.

  1. Die Datenverbindungs-Layer (Data link layer)

Die Datenverbindungsschicht ermöglicht die Übertragung von Daten zwischen zwei Geräten im selben Netz. Auf dieser Schicht werden die Daten in kleine Teile, so genannte Frames, aufgeteilt. Die Layer 2 ist auch für die Fluss- und Fehlerkontrolle zuständig, allerdings nur für Daten, die innerhalb desselben Netzes übertragen werden.

Layer 2 verwendet MAC-Adressen (Media Access Control), um Geräte miteinander zu verbinden und die Berechtigung zum Senden und Empfangen von Daten zwischen Geräten festzulegen. Ein gängiges Beispiel für einen Angriff auf Layer 2 ist das MAC-Spoofing, bei dem sich ein Gerät als ein anderes ausgibt, indem es dessen MAC-Adresse verwendet.

  1. Die Netzwerk-Layer (Network layer)

Die Netzwerkschicht hat zwei Funktionen:

  1. Zerlegung der Daten in Netzwerkpakete und Wiederzusammensetzung der Daten auf der Empfangsseite.
  2. Weiterleitung von Paketen von einem Ort zum anderen, indem der beste Weg durch das physische Netz gefunden wird.

Layer 3 verwendet Netzwerkadressen (normalerweise IPs), um Pakete an die richtige Stelle zu senden.

Layer 3 ist der Ort, an dem DDoS-Angriffe zu einer häufigen Bedrohung werden. DDoS-Angriffe auf Layer 3 zielen darauf ab, die Verarbeitungskapazität der Netzinfrastruktur zu erschöpfen, indem große Mengen an „Junk“-Daten und Verbindungsanfragen gesendet werden.

  1. Die Transport-Layer (Transport layer)

Die Transportschicht steuert die Kommunikation zwischen zwei Geräten. Um Daten zu senden, nimmt die Layer 4 Daten von der Sitzungsschicht (Layer 5) entgegen und zerlegt sie in „Segmente“, bevor sie an die Layer 3 weitergeleitet werden. Um Daten zu empfangen, setzt Layer 4 die Segmente von Layer 3 wieder zusammen und sendet sie an Layer 5 weiter.

Um Leistungsprobleme und Datenverluste zu vermeiden, führt Layer 4 auch eine Fluss- und Fehlerkontrolle durch und sendet Daten mit einer Geschwindigkeit, die das empfangende Gerät auch bewältigen kann. Mit diesem Wissen braucht es nicht viel Phantasie, um zu erraten, wie ein Bedrohungsakteur die Transportschicht angreifen könnte.

DDoS ist eine häufige Bedrohung der Layer 4 und funktioniert ähnlich wie die oben beschriebenen DDoS-Angriffe der Layer 3.

  1. Die Sitzungs-Layer (Session layer)

Die Sitzungs-Layer öffnet und schließt Kommunikationskanäle („Sitzungen“) zwischen zwei Geräten. Sie tut dies in drei Schritten:

  1. Eröffnen einer Sitzung.
  2. Sicherstellen, dass die Sitzung offenbleibt, während Daten übertragen werden.
  3. Schließen der Sitzung nach Beendigung der Kommunikation.

Aus offensichtlichen Gründen verursachen unterbrochene Sitzungen erhebliche Probleme. Um hier Abhilfe zu schaffen, kann die Sitzungs-Layer auch während einer Sitzung „Kontrollpunkte“ setzen. Auf diese Weise kann eine unterbrochene Datenübertragung fortgesetzt werden, wenn die Sitzung wieder geöffnet wird.

In der Vergangenheit gab es auf Layer 5 relativ wenige Cyber-Bedrohungen, insbesondere in einer Unternehmensumgebung. Es gab jedoch einige DoS-Angriffe auf Layer 5 sowie Man-in-the-Middle-Bedrohungen, bei denen ein Angreifer die Kommunikation zwischen zwei Geräten abfängt und die Daten entweder stiehlt oder verändert, bevor er sie weiterleitet.

  1. Die Darstellungs-Layer (Presentation layer)

Die Darstellungs-Layer übernimmt die Daten von der Sitzungsschicht und bereitet sie für die Anwendungs-Layer vor. Sie entscheidet, wie die Daten kodiert, verschlüsselt (in der Regel mit TLS) und komprimiert werden sollen, damit sie vom Empfänger empfangen und gelesen werden können. Bei Daten, die in die andere Richtung fließen, nimmt die Darstellungsschicht die Daten von der Anwendungs-Layer entgegen und bereitet sie für den Versand über die Layer 5-1 (und am anderen Ende wieder über die Layer 1-5) vor.

Die auf Layer 6 ausgeführten Aufgaben sind ressourcenintensiv. Um diese Schicht anzugreifen, können Bedrohungsakteure missgebildete TLS-Anfragen senden, hinter denen sich HTTP-basierte Cyberangriffe verbergen.

  1. Die Anwendungs-Layer (Application layer)

Jede Software – von Webbrowsern über Bürosoftware bis hin zu Webanwendungen – stützt sich auf die Anwendungs-Layer, um Daten zu senden und zu empfangen und sie dem Benutzer zu präsentieren. Es gibt viele beliebte Protokolle der Layer 7, darunter HTTP für Webseiten, FTP für Dateiübertragungen und SMTP für E-Mails.

Die überwiegende Mehrheit der Cyber-Bedrohungen greift die Anwendungs-Layer an. DDoS-Angriffe und HTTP-basierte Angriffe sind eine weit verbreitete Bedrohung, ebenso wie alle in den OWASP Top 10 aufgeführten Bedrohungen und viele weitere Bedrohungen.

Abwärts, aufwärts, abwärts: Der Datenfluss im OSI-Modell

Es gibt einen Grund, warum die Schichtenarchitektur in der Regel auf dem Kopf stehend dargestellt wird: Es zeigt, wie Daten von einem Punkt zum anderen gelangen.

Wenn Sie an Ihrem Computer sitzen und eine Nachricht an einen Computer in einem anderen Gebäude senden, beginnen diese Daten auf der Anwendungsschicht (Layer 7) Ihres Geräts, wandern hinunter zur physischen Schicht (Layer 1) und dann wieder hinauf zur Anwendungsschicht (Layer 7) auf der Empfängerseite.

Mit anderen Worten, das Datensignal würde diesem Pfad folgen:

7 → 6 → 5 → 4 → 3 → 2 → 1 → 2 → 3 → 4 → 5 → 6 → 7

Fehlende Netzwerk-Layer? Nachteile des OSI-Modells

Niemand hat je behauptet, dass das OSI-Schichtenmodell perfekt ist. Weit gefehlt.

Das Problem liegt jedoch tiefer, als den meisten Menschen bewusst ist. Zwar lernen Neulinge in der Welt der Netzwerke auch heute noch das OSI-Modell, aber es erklärt nicht gut, wie moderne TCP/IP-Netzwerke funktionieren.

Die physikalischen Netzwerkschichten (1-4) kommen der Realität ziemlich nahe. In modernen Netzen werden jedoch die Layer 5 (Sitzung) und 6 (Präsentation) oft in Layer 7 „aufgerollt“. Das bedeutet nicht, dass es keine Sitzungen und Präsentationen gibt, sondern nur, dass diese Funktionen in der Regel als Teil der Anwendungsschicht ausgeführt werden.

Das alles soll nicht heißen, dass das Modell überhaupt keinen Nutzen hat. Für jemanden, der noch keine Erfahrung mit Netzwerken hat und nicht für die Entwicklung oder Wartung zuständig ist, ist das OSI-Modell eine gute Grundlage, um zu erklären, wie Netzwerke zusammenpassen, insbesondere in der physischen Welt. Auch aus Sicht der Cybersicherheit kann es hilfreich sein, da es hilft zu verstehen, auf welchen Teil des Netzwerks eine bestimmte Bedrohung abzielt.

Aus technischer Sicht hat das Schichtenmodell jedoch eine Reihe von Problemen – und man könnte argumentieren, dass die Vermittlung moderner Netzwerkinfrastrukturen einfacher wäre, wenn man das OSI-Modell weglassen würde.

Für eine eingehendere Diskussion darüber, warum das OSI-Modell richtig oder falsch ist, finden Sie hier weitere Lektüre:

The OSI Model is a Lie von Robert Graham >>

Response: The OSI Model is a Lie von Ivan Pepelnjak >>

Übrigens: Unsere Infrastructure-DDoS-Protection und unsere Web-DDoS-Protection schützen Ihre Network Layer effektiv vor schadhaften Übergriffen.

Die OSI-Modell Alternative: TCP/IP

Das OSI-Modell ist die übliche Art, die Funktionsweise desInternets näher zu erläutern. Alternativ git es mit dem TCP/IP-Modell eine andere Form der Darstellung, die ebenso eine wichtige Rolle spielt. Der interessante Aspekt bei der TCP/IP-Variante: Die Prozesse werden nicht in sieben Schichten, sondern nur in vier Schichten dargestellt. Die Menungen, welches Modell sich für die Darstellung am Besten eignet, gehen weit auseinander. Fakt ist aber, dass beide Möglichkeiten ihre eigenen Stärken und Schwächen haben.

Die Schichten im TCP/IP-Modell sehen wie folgt aus:

  • 1. Die Netzwerk-Layer (Network Access Layer)
    Übernimmt Schicht 1  und Schicht 2 aus dem OSI-Modell und führt dieser zu einer zusammen.
  • 2. Internet-Layer (Internet layer)
    Punkt 2 entspricht Schicht 3 des Alternativmodells.
  • 3. Transport-Layer (Transport layer)
    Das Pendant zu Schicht 4 des OSI-Modells.
  • 4. Anwendungs-Layer (Application layer)
    Vergleichbar zu Schicht 7 der anderen Darstellungsform.

Wie Sie sehen, fehlen im TCP/IP-Modell die Schichten 5 und 6 komplett. Die Begründung hierfür ist simpel: Laut Befürworter dieses Modells ist die Nennung dieser Schichten nicht mehr nötig, da diese auch einfach den vier hier dargestellten Schichten zugeordnet werden können (siehe einen Absatz über diesem). Zudem gibt es Stimmen, die der Schicht 5 und 6 schlicht die Daseinsberechtigung absprechen, da diese für die heutige Internetfunktion nicht mehr benötigt werden.

Ebenfalls interessant zu wissen: Im TCP/IP-Modell ist nicht die Rede von „Network Layer“ sondern von „Internet Layer“. Schicht 3 des OSI-Modells ist daher Schicht 2 des Alternativmodells und hört nur auf einen anderen Namen. De facto ist der Sinn und die Funktion aber absolut identisch.

 

 

 

 

 

 

Die größten DDoS-Attacken im Jahr 2019 (Infografik)
Cybercrime: Was ist das genau?
X