weidner/computer/netz/

Kommunikation über Netzwerkverbindungen

Es passiert sehr häufig, dass ich als Netzwerkadministrator mit Problemen konfrontiert werde, mit denen ich nichts anfangen kann, weil wichtige Informationen fehlen.

Gibt es Probleme mit dem Netzwerk, sei es dass eine bestehende Verbindung nicht mehr funktioniert oder eine neue Verbindung durch die Firewall erlaubt werden soll, muss ich wissen, wer mit wem kommunizieren soll und wer die Verbindung initiiert.

Die wichtigen Informationen dafür sind:

Nur diese fünf Dinge sind es, die mich als Netzwerkadministrator an einer Verbindung interessieren, weil sie diese eindeutig charakterisieren. Dabei gehe ich davon aus, dass der Sender die Verbindung aufbaut. Der Senderport ist oft irrelevant, weil er dynamisch vergeben wird und mit jeder einzelnen Verbindung wechseln kann.

Kommt NAT ins Spiel, sehen diese Informationen an den beiden Endpunkten für ein und dieselbe Verbindung unterschiedlich aus, weil außer dem Protokoll alles durch die NAT-Boxen unterwegs geändert sein kann. Im Normalfall weiß ich als Netzwerkadministrator jedoch, wo in meinem Netzwerk eine NAT-Box ist und welche Adressen sie umsetzt. Ich muss nur noch wissen, für welchen Ort im Netz die fünf Merkmale angegeben sind.

Damit ist für mich als Netzwerkadministrator zunächst alles gesagt.

Für den einfachen Anwender ist es hingegen völlig egal, ob sein Programm via TCP oder UDP kommuniziert und welche Adressen und Ports es verwendet. Er klickt im Browser auf ein Link nach http://irgendwo.hin, schickt eine E-Mail an mein.bekannter@mailanbieter oder macht etwas anderes, was sein Programm veranlasst eine Verbindung aufzubauen.

Manchmal hat der Anwender einen Betreuer, der Bescheid wissen sollte, welche Netzwerkverbindungen seine spezielle Anwendung benötigt.

Habe ich als Netzwerkadministrator mit einem Anwendungsbetreuer zu tun, dann erwarte ich, dass er die benötigten Verbindungen kennt und mir die oben genannten Informationen zur Verfügung stellt.

Habe ich es hingegen mit einem einfachen Anwender zu tun, kann ich nicht erwarten, diese Informationen direkt zu bekommen.

Bei Standardanwendungen kann ich oft mit Hilfe des Anwenders und ping, traceroute, ifconfig oder den Windows-Äquivalenten die benötigten Informationen erschließen. Bei komplexen Anwendungen verweise ich ihn an seinen Anwendungsbetreuer.

Zwar gibt es hin und wieder die Möglichkeit, mittels Paketmitschnitten oder durch Auswertung der Firewall-Logs herauszufinden, welche Verbindungen eine Anwendung aufzubauen versucht. Das erfordert jedoch ein erhebliches Vertrauen in eine unbekannte Anwendung und bietet keine Gewähr dafür, dass beim Testen eine Verbindung übersehen wurde und es später wieder zu Problemen kommt.

Darum ist der bessere Ansatz, genau zu wissen, was man tut, oder jemand zu fragen, der es weiß.

Posted 2021-10-09
Tags: