Für die Fehlerbehebung in den Netzwerken und zur Überprüfung der Sicherheit ist es unbedingt erforderlich, auf die Paketdaten zugreifen zu können.
Netzwerke sind noch immer komplex und ändern sich kontinuierlich. Die Fehlersuche, Fehleranalyse, oder die Suche nach den Ursachen für Sicherheitslöchern kann in der Praxis sehr aufwändig werden. Stehen die Paketdaten für die betreffenden Aufgaben zur Verfügung, dann erleichtert es die Analyse. Aus einem einzelnen Datenpaket kann der IT-Administrator enorm viel lernen und gezielt auf die Ursachen eines Problems schließen:
- Anhand der Header lässt sich bestimmen, wer der Absender und der Empfänger der Daten sind.
- Die allgemeinen Merkmale (gesicherte Verbindung mit TCP, Best-Effort-Übermittlung auf Basis von UDP, oder den Transfer von zeitkritischen Informationen mittels RTP) des betreffenden Kommunikationsstroms lassen sich ablesen.
- Anhand der genutzten Ports in den Paketen erhält man eine Ahnung über die darin enthaltenen höheren Protokollen (SSL, SSH oder RSH zur sichereren Übermittlung der Daten, HTTP zum Transfer von Web-Daten, usw..)
Treten Probleme im Netzwerk auf, dann kann der Zugriff auf die Paketdaten für die Analyse Gold wert sein. Die Summe der aufgezeichneten Pakete enthält alle zwischen den Netzknoten übermittelten Informationen eines Gesprächs, eines Datentransfers oder einer Videosequenz. Bei der Analyse der aufgezeichneten Pakete kann man bei Bedarf die notwendigen Header-Informationen extrahieren bzw. die Nutzlasten detailliert darstellen.
Tritt beispielsweise ein Problem bei einem Client während eines Zugriffs auf, genügt oft bereits ein Blick in den Datentrace, um das Problem zu erkennen. Eine relativ lange Verzögerung kann mehrere Ursachen haben. Die Untersuchung der Datenströme geben Hinweise:
- Fließen die Steuerpakete (Anfragen und Bestätigungen) zwischen dem Client und dem Server problemlos, aber werden die angeforderten Daten nur schleppend übermittelt, dann besteht das Problem nicht im Netzwerk (das Netz reagiert relativ schnell) sondern in der Anwendung.
- Die Pakete enthalten die Nutzdaten: die an die Datenbank gesendeten spezifischen Anforderungen wie auch die Antworten der Datenbank. Durch eine gezielte Suche in den Nutzlasten kann der Administrator erkennen, welche Daten vom Server zurückgegeben werden, welche Fehlermeldungen übermittelt werden und welche Reaktionen auf diese Fehlermeldungen erfolgen.
Ein häufiges Problem besteht darin, dass ein Benutzer Schwierigkeiten bei der Authentifizierung im Netzwerk hat. Die Authentifizierung erfordert, dass ein Austausch einer bestimmten Paketsequenz abgeschlossen sein muss, bevor die betreffende Verbindung eröffnet wird. Bei einem fehlenden Paket wird der Authentifizierungsprozess fehlschlagen. Aus diesem Grund kommen Probleme bei Authentifizierungsprozessen in drahtlosen Netzwerken immer wieder vor. Eine Störung im Funkmedium führt zu Paketverlusten und somit zum Abbruch der Transaktion. Eine Paketanalyse in einer drahtlosen Umgebung bietet den IT-Administratoren viele praxisrelevante Informationen über eine ganze Reihe von Netzwerk- und Anwendungsparameter. Hierzu gehören beispielsweise Übersichten über die Gesamtfunktionen des Netzwerks, die Client-Aktivität, die Zusatzfunktionen wie die Qualität des Service (QoS) Zur Sprachübermittlung und anderen Echtzeitdiensten.
Die Paketsammlung kann den IT-Teams auch als Grundlage für eine Sicherheitsanalyse dienen. Werden beispielsweise per Wireshark die Pakete und deren Inhalte in Form einer PCAP-Datei abgespeichert.
Wireshark ist Open-Sourc- Software und unterliegt der GNU General Public License (GPL). Über die Website http://www.wireshark.org stehen neben dem Source-Code Installationspakete für Windows und OS-X zum Download bereit. Die entsprechenden Pakete für Linux werden von den Herstellern der Distributionen bereitgestellt und können über die vorhandenen Paketmanager installiert werden.
Wireshark setzt auf libpcap auf und kann so deren vollen Funktionsumfang nutzen. pcap (packet capture) ist eine Programmierschnittstelle zum Mitschneiden des Netzwerkverkehrs. Programme zur Netzwerkanalyse, die eine Sniffer-Funktion enthalten, greifen auf diese Schnittstellen zurück, um Pakete direkt am Netzwerkinterface abzugreifen. Die Bibliothek unterstützt außerdem eine Auflistung aller verfügbaren Netzwerkschnittstellen und die Möglichkeit, „mitgehörte“ Pakete in eine Datei zu speichern. Die so gesammelten Daten können dann mithilfe entsprechender Tools ausgewertet werden. Eine so gespeicherte Datei kann sowohl von libpcap als auch von WinPcap-Programmen interpretiert werden. WinPcap ist somit eine Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf den Netzwerkadapter ermöglicht, und einer Sammlung von Programmen, die den Zugriff auf die einzelnen Schichten der Netzwerke ermöglicht. Die Programmbibliothek basiert auf der von Unix her bekannten Bibliothek libcap, die die pcap-Schnittstelle implementiert.
Die aufgezeichneten Dateien kann der Sicherheitsbeauftragte auf eine Vielzahl von Sicherheitsfragen untersuchen und eventuell aufgetretene Probleme detailliert analysieren. Verfügt ein Unternehmen b bereits Warnungen von einer IDS/IPS/SIEM-Komponente, dann können diese Alarme mit den aufgezeichneten Paketdaten korreliert werden und die Paketdaten im Detail analysiert werden. Der Netzadministrator erkennt zielgerichtet, warum ein Alarm ausgelöst wurde und was genau im Netzwerk passiert ist.
Fazit
Eine Diagnose und die Lösung komplexer Probleme im Netzwerk- und im Sicherheitsbereich benötigt sehr viel Zeit und Geld. Zur effektiven Verwaltung der IT-Ressourcen und zur Einhaltung der für den Betrieb notwendigen Service-Level-Agreements reichen die traditionellen Ansätze des Netzmanagements und des Troubleshootings nicht aus. Eine zum Netzbetrieb parallele Paketsammlung und -Analyse bieten den Unternehmen die Möglichkeit langfristig die Kosten und Zeit für die Fehlerbehebung zu reduzieren. (mh)