next up previous contents
Next: NIS, NIS+ - Name Up: Protokollbeschreibungen und Portlisten für Previous: NetOp - Remote Konsolsteuerungsprogramm   Contents

NFS - Network File System

NFS ermöglicht den Zugriff auf Dateien eines fernen Rechners. NFS-Server laufen meist auf UNIX-Systemen, Clients gibt es praktisch für alle verbreiteten Betriebssysteme. Das NFS-Protokoll ist zustandslos um größtmögliche Fehlertoleranz zu ermöglichen. Das heißt, dass der NFS-Server nicht weiß, was ein Client vorher getan hat. Um den Protokolloverhead zu minimieren, wird i. A. UDP eingesetzt, NFS Version 3 unterstützt sowohl UDP als auch TCP. NFS macht Gebrauch vom RPC Protokoll, dennoch wird immer Port 2049 verwendet. Da die Authentifizierung bloß auf der IP-Adresse des Clients beruht, gilt NFS als ziemlich unsicher. Es sind nicht nur die Serverdaten gefährdet, sondern auch der Client. Da das Einhängen eines übers Netz freigegebenen Verzeichnisses privilegierte Rechte benötigt, können bösartige Programme, die sich am Server befinden, Schaden auf dem Client anrichten.

Man sollte es möglichst vermeiden, NFS über Firewalls einzusetzen. Ist es dennoch nötig, sollte man wenigstens aktuelle Versionen verwenden, die viele Sicherheitsprobleme älterer Versionen vermeiden. Zusammen mit NFS ist es meist nötig, ein Protokoll zur Synchronisation der Systemuhren einzusetzen (z.Bsp. ntp), weil es sonst zu Fehlverhalten kommen kann.

Wegen der Verwendung von RPC wird Port 111 für den Portmapper benötigt. mountd ist ein RPC-Protokoll und verwendet eine zufällige Portnummer. Werden Dateisperren verwendet, weil konkurrierende Schreibzugriffe kontrolliert werden müssen, so muss auch noch lockd und statd eingesetzt werden. lockd und statd sind ebenfalls RPC-Protokolle auf zufälligen Portnummern.

Der Einsatz von Proxies bei NFS ist nicht nur wegen der Vielzahl an beteiligten Protokollen sehr schwierig, sondern auch aufgrund der großen Datenmengen zeitkritisch. Auch NAT ist kaum einsetzbar, weil mountd die IP-Adressen zur Authentifizierung verwendet. Bei manchen Versionen wird auch noch das NFS-Filehandle zusammen mit der IP-Adresse auf Konsitenz überprüft.

Richtung Proto- Port
Status
Anmerkung
Client Server koll Quelle Ziel
 
         
 
>   UDP 1024: 111
NEW, ESTABLISHED
Portmapper Anfrage von NFS-Client
  < UDP 111 1024:
ESTABLISHED
Antwort von Portmapper
>   UDP :1023 2049
NEW, ESTABLISHED
NFS-Client Anfrage an NFS-Server
  < UDP 2049 :1023
ESTABLISHED
NFS-Server Antwort
>   TCP 1024: 111
NEW, ESTABLISHED
Portmapper Anfrage von NFS-Client
  < TCP 111 1024:
ESTABLISHED
Antwort von Portmapper
>   TCP :1023 2049
NEW, ESTABLISHED
NFS-Client Anfrage an NFS-Server
  < TCP 2049 :1023
ESTABLISHED
NFS-Server Antwort


next up previous contents
Next: NIS, NIS+ - Name Up: Protokollbeschreibungen und Portlisten für Previous: NetOp - Remote Konsolsteuerungsprogramm   Contents
Ernst Pisch 2003-05-17