Inhalt
Cloud Security

Was ist Layer 7?

Inhalt

Layer 7, die Anwendungsebene, ist die oberste Ebene des Open-Systems-Interconnection(OSI)-Modells – eines konzeptuellen Rahmenwerks, das die Funktionen eines Kommunikationssystems in sieben Kategorien unterteilt. Layer 7 stellt Verbindungen zu und Services für Anwendungssoftware bereit, die auf einem Hostgerät ausgeführt wird, und unterstützt damit Interaktionen zwischen Benutzern und Anwendungen. Services wie E-Mail-Programme, Datei-Übertragungsdienste und Webbrowser laufen auf dieser Ebene.

Layer 7 erklärt

Die auch als Anwendungsebene bezeichnete Layer 7 des OSI-Modells spielt eine wichtige Rolle in der Netzwerkkommunikation. Sie fungiert als Schnittstelle zwischen den Anwendungen, die wir nutzen, und dem darunterliegenden Netzwerk, über das unsere Daten übertragen werden. Dazu stellt sie eine ganze Suite von Diensten für die Interaktion zwischen der auf einem Hostgerät laufenden Anwendungssoftware und diversen Netzwerkservices bereit.

Das OSI-Modell und die Aufgaben der einzelnen Ebenen im Überblick
Abbildung 1: Das OSI-Modell und die Aufgaben der einzelnen Ebenen im Überblick

Wir können uns Layer 7 als Kontrollzentrum des Netzwerks vorstellen. Ähnlich wie das Gehirn im menschlichen Körper ist Layer 7 für die Verwaltung und Koordination der Kommunikation zwischen verschiedenen Anwendungen im Netzwerk verantwortlich.

Das OSI-Modell

Das Open-Systems-Interconnection-Modell ist ein konzeptuelles Rahmenwerk, das beschreibt, wie Daten über ein Netzwerk übertragen werden. Es wurde 1984 von der International Organization for Standardization (ISO) entwickelt und gilt heute weithin als ein Standardmodell für die Netzwerkkommunikation.

Das OSI-Modell ermöglicht die systematische Darstellung von Netzwerkkommunikationsprozessen, indem es die verschiedenen Dienste, die für eine funktionierende Netzwerkkommunikation erforderlich sind, auf sieben Ebenen verteilt. Jede Ebene kommuniziert mit ihren unmittelbaren Nachbarebenen. Daten werden auf der Absenderseite nach unten „durchgereicht“, dann über das Netzwerk übertragen und anschließend beim Empfänger wieder Ebene für Ebene nach oben „gereicht“.

Die Ebenen des OSI-Modells

Layer 1 – die Bitübertragungsebene: Als unterste Ebene des OSI-Modells ist die Bitübertragungs- oder physische Ebene für die Übertragung von Bitströmen über ein physisches Medium, wie ein Kupfer- oder Glasfaserkabel oder (bei der drahtlosen Übertragung) Radiowellen einer bestimmten Frequenz, zuständig. Aspekte wie Bitrate, Signalstärke, physische Konnektoren, Kabelarten und Netzwerktopologie werden auf dieser Ebene geregelt. Damit sorgt Layer 1 für die Integrität der über das Netzwerk übertragenen Bits.

Layer 2 – die Sicherungsebene: Diese Ebene strukturiert die auf der Bitübertragungsebene nur als Folgen von Bits betrachteten Daten zu sogenannten Frames und verwaltet die Kommunikation zwischen Knoten über deren physische oder MAC-Adressen. Zudem verbessert diese Ebene durch Fehlererkennung und -korrektur die Zuverlässigkeit der Datenübertragung und verwaltet mit Methoden wie Carrier Sense Multiple Access/Collision Detection (CSMA/CD) den Zugang zu den physischen Medien.

Layer 3 – die Vermittlungsebene: Die Vermittlungs- oder Netzwerkebene ermöglicht die Übertragung von Datenfolgen variabler Länge (sogenannten Paketen) zwischen Knoten, die sich möglicherweise in verschiedenen Netzwerken befinden. Dazu routet sie die Pakete anhand logischer Adressen und verwaltet Netzwerküberlastungen und die Reihenfolge der Pakete.

Layer 4 – die Transportebene: Layer 4 managt die Host-zu-Host-Kommunikation zwischen dem Absender- und dem Empfängersystem. Mit Protokollen wie TCP und UDP stellt sie Mechanismen für die Datenübertragung mit und ohne Zustellungsgarantie bereit. Zudem fallen die Flusskontrolle, Fehlererkennung und Segmentierung der Datenpakete in ihren Verantwortungsbereich.

Layer 5 – die Sitzungsebene: Die Sitzungs‑ oder Kommunikationsebene etabliert, verwaltet und beendet Verbindungen (Sitzungen) zwischen Anwendungen an beiden Enden einer Verbindung.

Layer 6 – die Darstellungsebene: Die Darstellungs- oder Präsentationsebene auf dem Absendersystem konvertiert Daten aus ihrem jeweiligen Anwendungsformat in ein gemeinsam genutztes Format und verschlüsselt bzw. komprimiert sie bei Bedarf. Die Darstellungsebene auf dem Empfängersystem entschlüsselt bzw. dekomprimiert die Daten und konvertiert sie aus dem gemeinsam genutzten in das lokal genutzte Anwendungsformat. Damit stellt Layer 6 sicher, dass von der Anwendungsebene eines Systems gesendete Daten auf der Anwendungsebene eines anderen Systems gelesen und richtig interpretiert werden können.

Layer 7 – die Anwendungsebene: Die oberste Ebene des OSI-Modells, die Anwendungsebene, dient als Schnittstelle für die Kommunikation zwischen Benutzern oder Prozessen und dem Netzwerk. Sie stellt anwendungsspezifische Dienste wie HTTP-Aufrufe, Datei-Übertragungen und E-Mail bereit.

Datenflüsse im OSI-Modell

Die für die Datenflüsse im OSI-Modell genutzten Prozesse werden als Datenkapselung (Encapsulation) und Entkapselung (De-Encapsulation) bezeichnet. Beide Prozesse kommen bei der Datenübertragung von einem Absender- zu einem Empfängergerät zum Einsatz.

Datenkapselung (Datenfluss nach unten im Modell)

Die Datenkapselung beginnt auf der Anwendungsebene (Layer 7) des Absendergeräts. Die Benutzerdaten werden in ein für die Übertragung geeignetes Format konvertiert und an die Darstellungsebene (Layer 6) weitergereicht, wo sie konvertiert, komprimiert oder verschlüsselt werden. Auf der Sitzungsebene (Layer 5) wird eine Sitzung aufgebaut und aufrechterhalten, bis die Datenübertragung beendet ist.

Die Transportebene (Layer 4) empfängt diese Daten, unterteilt sie in überschaubare Segmente und versieht diese mit je einem TCP- bzw. UDP-Header, der zum Beispiel Portnummern enthält. Die Vermittlungs- oder Netzwerkebene (Layer 3) fügt einen IP-Header hinzu, der unter anderem die IP-Adresse des Absenders und des Empfängers enthält. Das so erweiterte „Segment“ wird nun als „Paket“ bezeichnet.

Die Sicherungsebene (Layer 2) verkapselt dieses Paket in einem „Frame“, indem sie ihren eigenen Header (mit den MAC-Adressen von Absender und Empfänger) und Trailer (mit einer Prüfsumme für den Frame) hinzufügt. Im letzten Schritt der Datenkapselung konvertiert die Bitübertragungs- oder physische Ebene (Layer 1) diese Frames in Binärdaten (Bits), die dann über das physische Medium übertragen werden.

Entkapselung (Datenfluss nach oben im Modell)

Wenn die Daten das Empfängergerät erreicht haben, werden sie im entgegengesetzten Prozess „nach oben“ gereicht. Auf der Bitübertragungsebene werden die Bits wieder in Frames konvertiert. Die Sicherungsebene vergleicht die Daten mit der Prüfsumme im Trailer, entfernt die MAC-Adressen und gibt das Paket an die Netzwerkebene weiter.

Die Netzwerkebene entfernt die IP-Adressen aus dem Paket – und wandelt es damit wieder in ein Segment um –, das dann an die Transportebene weitergereicht wird. Die Transportebene prüft, ob die Segmente in der richtigen Reihenfolge eingetroffen sind, bestätigt deren Empfang und entfernt den TCP- bzw. UDP-Header.

Die Daten liegen nun wieder in ihrer Ausgangsform vor. Sie werden über die Sitzungsebene (wo die zur Übertragung genutzte Verbindung geschlossen wird) an die Darstellungsebene weitergegeben (wo die auf dem Absenderserver erfolgte Konvertierung, Verschlüsselung oder Komprimierung rückgängig gemacht wird). Nun gelangen sie endlich zur Anwendungsebene, wo sie der Empfängeranwendung in einem Format übergeben werden, das diese nutzen kann.

Die Rolle von Layer 7

Layer 7 unterstützt die Kommunikation zwischen Softwareanwendungen und den Netzwerkdiensten auf den unteren Ebenen des OSI-Modells. Diese Ebene abstrahiert die Einzelheiten des darunterliegenden Netzwerks und konzentriert sich auf die Bereitstellung von Methoden, mit denen Softwareanwendungen Netzwerkdienste bereitstellen können. Die Anwendungsebene dient also im Grunde als Netzwerkdolmetscher: Sie übersetzt die Benutzer- oder Anwendungsdaten in ein Standardprotokoll, das die anderen Ebenen des OSI-Modells verstehen können.

Dazu nutzt sie eine Reihe unterschiedlicher Protokolle (für diverse spezifische Bereiche), um den Informationsaustausch zwischen Kommunikationspartnern auf verschiedenen Systemen zu erleichtern. Zum Beispiel:

  • File Transfer Access and Management (FTAM) ist ein Protokoll, über das Benutzer auf Dateien auf einem Remotesystem zugreifen und diese verwalten können.

  • Über das Simple Network Management Protocol (SNMP) können Netzwerkadministratoren Netzwerkgeräte verwalten, überwachen und konfigurieren.

  • Das Common Management Information Protocol (CMIP) definiert Informationen für das Netzwerkmanagement.

  • Das Hypertext Transfer Protocol (HTTP) unterstützt die Kommunikation zwischen Clients und Servern im Internet.

Lastenausgleich auf Layer 7

Load Balancer verteilen den Netzwerkdatenverkehr auf mehrere Server, um die verfügbaren Ressourcen optimal auszulasten, die Reaktionszeiten zu verkürzen und das Überladen einzelner Server zu vermeiden.

Der Lastenausgleich auf Layer 7 kann bei der Verteilung des Netzwerkdatenverkehrs einen besonderen Mehrwert bieten. Im Gegensatz zu Load Balancern auf Layer 4, die ihre Entscheidungen aufgrund von IP-Adressen und TCP- bzw. UDP-Portnummern treffen, inspizieren Load Balancer auf Layer 7 den Inhalt von Benutzernachrichten.

Sie berücksichtigen bei ihren Entscheidungen beispielsweise HTTP-Header, Cookies oder Daten in Anwendungsnachrichten, um sehr viel individuellere Entscheidungen zum Lastenausgleich zu treffen. Wenn ein Benutzer eine Webseite aufruft, routen sie die Anforderung möglicherweise aufgrund der URL oder der angeforderten Inhaltsart (Bilder, Skripte oder Text) an einen bestimmten Server.

Sicherheit auf Layer 7

Damit sensible Daten effektiv geschützt und Services jederzeit verfügbar bleiben, muss die Anwendungsebene angemessen gesichert werden – unabhängig davon, ob eine Organisation sich für einen On-Premises-, cloudbasierten oder Hybridansatz entschieden hat. Und da sie direkten Zugang zu Benutzern und deren Daten bietet, ist Layer 7 ein ganz besonders verlockendes Ziel für Hacker, die personenbezogene oder Anmeldedaten stehlen wollen. Zu den am häufigsten genutzten Angriffsvarianten auf dieser Ebene gehören Application-Layer- und Layer-7-DDoS-Angriffe.

Bei Application-Layer-Angriffen werden in der Regel Schwachstellen in Anwendungen, wie die unzureichende Prüfung von Eingaben oder unsichere Konfigurationseinstellungen, ausgenutzt. Mit Layer-7-DDoS-Angriffen soll ein Server, ein Service oder ein Netzwerk mit einer zu hohen Anzahl von Anforderungen lahmgelegt werden. Anders als herkömmliche DDoS-Angriffe, bei denen Netzwerke mit riesigen Verkehrsvolumen überflutet werden, beginnen Layer-7-DDoS-Angriffe oft langsam und ahmen das normale Benutzerverhalten nach, wodurch sie schwerer zu erkennen sind.

In cloudnativen Umgebungen warten Tools wie Kubernetes mit eingebauten Funktionen für die Netzwerksicherheit auf Layer 7 auf. Diese Mechanismen sind jedoch oft nur in Kombination mit zusätzlichen Sicherheitsmaßnahmen wie Web-Application-Firewalls (WAFs) oder Intrusion Detection Systems (IDS) sowie robusten Sicherheitsrichtlinien effektiv.

WAFs spielen eine besonders wichtige Rolle für die Sicherheit auf Layer 7, da sie selbst auf der Anwendungsebene laufen und den Inhalt von Datenpaketen interpretieren und bei der Entscheidungsfindung berücksichtigen können. WAFs können schädlichen Datenverkehr aufgrund von für HTTP/HTTPS definierten Regeln herausfiltern und den Netzwerkdatenverkehr somit nuancierter regulieren als herkömmliche, auf der Netzwerkebene angesiedelte Firewalls.

Web-Application-Firewall als Sicherheitsmaßnahme auf Layer 7
Abbildung 2: Web-Application-Firewall als Sicherheitsmaßnahme auf Layer 7

OSI-Modell und TCP/IP-Modell im Vergleich

Ebenso wie das OSI-Modell beschreibt auch das Transmission-Control-Protocol/Internet-Protocol(TCP/IP)-Modell, wie verschiedene Netzwerkprotokolle miteinander kommunizieren und zusammenarbeiten, um Netzwerkdienste bereitzustellen. Die beiden Modelle unterscheiden sich jedoch in ihrer Struktur, dem Abstraktionsniveau und den historisch gewachsenen Anwendungsbereichen.

OSI-Modell und TCP/IP-Modell im Vergleich
Abbildung 3: OSI-Modell und TCP/IP-Modell im Vergleich

Struktur und Abstraktionsniveau

Das OSI-Modell besteht aus sieben Ebenen, von denen jede bestimmte Services bereitstellt und – von genau definierten Interaktionen mit den unmittelbar benachbarten Ebenen abgesehen – unabhängig von den anderen funktioniert. Dieses Design hat sich, wie beabsichtigt, als universeller Standard für alle Arten der Netzwerkkommunikation etabliert.

Das TCP/IP-Modell orientiert sich stärker an der tatsächlichen, realen Netzwerkkommunikation und verzichtet auf die modulare Separation der Funktionalität, wie schon an seiner aus nur vier Ebenen bestehenden Struktur zu erkennen ist.

  1. Netzwerkschnittstelle (entspricht der Bitübertragungs- und Sicherungsebene des OSI-Modells)
  2. Internetebene (entspricht der Vermittlungs- oder Netzwerkebene)
  3. Transportebene
  4. Anwendungsebene (vereint die Sitzungs-, Darstellungs- und Anwendungsebene des OSI-Modells)

Historische Anwendungsbereiche

Trotz seines umfassenden Designs fand das OSI-Modell bei Netzwerkimplementierungen in der Praxis keine weitreichende Anwendung. Stattdessen wurde und wird es hauptsächlich als Konzept zur Erklärung und Beschreibung der Interaktionen zwischen und der Funktionsweise von Netzwerkprotokollen genutzt.

Im Gegensatz dazu wurde das TCP/IP-Modell als Grundlage für das moderne Internet entwickelt und implementiert. Das Transmission Control Protocol (TCP) und das Internet Protocol (IP) bilden das Rückgrat des Internets. Das TCP/IP-Modell wurde entwickelt, um in der Praxis Netzwerkprobleme zu lösen und effektive Weitverkehrsnetze (WANs) aufzubauen – nicht als sauber in Ebenen unterteiltes Referenzmodell.

Layer 7 und das OSI-Modell – FAQ

Als Bitstrom wird das rohe, binäre Format der Informationsübertragung bezeichnet – eine ununterbrochene Folge von Bits. In der Informatik und der digitalen Kommunikation können Texte, Bilder, Audio- und Videoaufzeichnungen sowie viele andere Inhalte in Bitströme konvertiert werden. Bits stellen die grundlegende Einheit der Datenübertragung und -speicherung dar. Jedes Bit (Kofferwort aus „Binary Digit“ oder zu Deutsch: „Binärzahl“) kann einen Wert von 0 oder 1 haben.
Die Prüfsumme ist eine in der Netzwerktechnologie genutzte Methode, mit der Fehler erkannt und die Datenintegrität aufrechterhalten werden können. Dazu wird eine mathematische Formel auf die Bits in einer Nachricht angewendet und das Ergebnis (die Prüfsumme) vor der Übertragung an den Frame angehängt. Wenn das Empfängergerät den Frame erhält, berechnet es mithilfe derselben Formel ebenfalls eine Prüfsumme und vergleicht diese mit der empfangenen Prüfsumme. Stimmen beide überein, wird der Frame als fehlerfrei betrachtet.
Die LLC (zu Deutsch etwa: logische Verbindungskontrolle) ist ein Teil der Sicherungsebene (Layer 2) des OSI-Modells. Sie ist zwischen der MAC-Unterebene von Layer 2 und den verschiedenen Protokollen auf der Netzwerkebene (Layer 3) angesiedelt und fungiert daher als Schnittstelle, über die diverse Netzwerkprotokolle auf verschiedenen Arten von Netzwerken eingesetzt werden können. Zudem ist die LLC für die Fehlererkennung und -korrektur sowie die Flusskontrolle verantwortlich und bietet mitunter Services wie die verbindungsorientierte oder verbindungslose Datenübertragung an.
SNAP wird in der Datenkommunikation als Erweiterung der in IEEE 802.2 definierten LLC genutzt und stellt einen Mechanismus zur Identifizierung des genutzten Netzwerkprotokolls bereit. So können verschiedene Netzwerkprotokolle in einer LLC-Dateneinheit verkapselt und über ein Netzwerk übertragen werden.
Token-Ring ist eine LAN-Technologie, bei der Geräte in einer Ringtopologie miteinander verbunden sind und durch die Weitergabe eines Tokens (Token-Passing) miteinander kommunizieren. Der Token ist ein spezielles Bitmuster, das auf dem Ring übertragen wird. Nur das Gerät, das den Token innehat, darf Daten übertragen. Nach der Übertragung muss es den Token an das nächste Gerät im Ring weitergeben. Dieser Mechanismus reduziert die Anzahl der „Kollisionen“ zwischen Datenpaketen verschiedener Sender und sorgt für einen geordneten Netzwerkzugang.
Layer 7 kann nicht unabhängig von den anderen Ebenen des OSI-Modells funktionieren. Als oberste Ebene benötigt sie die Dienste der unteren Ebenen für eine erfolgreiche Kommunikation. Sie nutzt die Sitzungsebene (Layer 5) zur Verwaltung von Sitzungen zwischen Anwendungen und die darunterliegenden Ebenen für eine zuverlässige Datenübertragung.
Der Lastenausgleich auf der Anwendungsebene hat mehrere Vorteile gegenüber dem Lastenausgleich auf niedrigeren Ebenen. Er kann den Inhalt des Netzwerkdatenverkehrs analysieren und nutzen, um nuanciertere Entscheidungen über dessen Verteilung zu treffen. Zudem bietet er mehr Flexibilität, zum Beispiel durch die Modifizierung von HTTP-Headern oder durch SSL-Offloading. Der Lastenausgleich auf Layer 7 verursacht zwar mehr Verarbeitungsaufwand als der auf den unteren Ebenen, eignet sich aber besonders gut für komplexe moderne Anwendungen, insbesondere in Cloud-Umgebungen.
Layer 7 unterstützt ein breites Spektrum an Protokollen, die für verschiedene spezifische Arten der Netzwerkkommunikation entwickelt wurden. So wird HTTP beispielsweise für das Browsen im Internet, SMTP für E-Mails und FTP für die Datei-Übertragung verwendet. Layer 7 sorgt dafür, dass für die Netzwerkkommunikation jeder Anwendung das richtige Protokoll zum Einsatz kommt.
Eine Web-Application-Firewall (WAF) ist eine Sicherheitslösung, die den HTTP/HTTPS-Datenverkehr zwischen einer Webanwendung und dem Internet überwacht und filtert. Eine WAF kann schädliche Anforderungen erkennen und unterdrücken, bevor eine Webanwendung oder ein Webserver diese annehmen. Damit schützt sie Webanwendungen und ‑server vor SQL-Injections, Cross-Site-Scripting (XSS) sowie DDoS- und anderen Angriffen auf der Anwendungsebene.

Relevante Inhalte

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen