WIXLIB

WiresharkNetzwerkanalyse leicht gemachtBest Practices für das Network-Sniffing mit WiresharkVon Angela Orebaugh, Gilbert Ramirez und Jay BealeInhaltWireshark verfügt auch über ein Werkzeug zum Mithören in drahtlosenNetzen. Damit können Administratoren Wireless-Datenverkehr mitschneidenDer Start mit Wiresharkund analysieren und so Probleme in ihren Netzen lösen.Vier Schlüsselfunktionenvon Wireshark imÜberblickProbleme bei WLAN-SniffingDrahtloses „Sniffing“ von Netzwerkverkehr kann einige Herausforderungenmit sich bringen. Eine davon ist die Wahl eines statischen Kanals, dennBest Practices für dasNetwork-Sniffing mitWiresharkdrahtlose Netze können am selben Ort mit vielen verschiedenen Kanälen aufNetzwerkverkehr richtigmitschneidenArten zu finden.Wireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficunterschiedlichen Frequenzen arbeiten. Eine weitere Herausforderungbesteht darin, den richtigen Kanal für das Mitschneiden bestimmter Traffic-Auch die Reichweite kann Probleme bereiten, denn die Entfernung zwischender Erfassungsstation und dem anvisierten Transmitter kann erheblich sein –das ist wichtig für eine zuverlässige Erfassung. Und schließlich kann es auchzu Interferenzen und Kollisionen kommen.Linux und Windows für WLAN-Sniffing konfigurierenUm mit dem Sniffing mittels Wireshark beginnen zu können, müssen Siezunächst Ihre WLAN-Hardware manuell auf den Monitormodus umstellen.Die meisten WLAN-Treiber für Linux verwenden die Schnittstelle LinuxWireless Extension, die eine konsistente Konfigurationsmöglichkeit für dieWireless-Erweiterung bietet. Anschließend können Sie die Paketerfassungstarten. Auf diese Weise sammeln Sie Informationen, die Sie später mit denWireshark-Analysemechanismen auswerten können.Windows-Treiber für Wireless-Karten enthalten oft keinen Support für denMonitormodus. Falls vorhanden, lässt sich diese Beschränkung jedoch perSoftware umgehen, sodass Sie auch auf diesen Windows-Hosts WLANDatenverkehr mit Wireshark erfassen können.Als kommerzielles Produkt dafür kommt AirPcap infrage. Wenn Sie darin IhrePräferenzen für die Erfassung angegeben haben, können Sie WiresharkSeite 7 von 23

WiresharkNetzwerkanalyse leicht gemachtstarten, und eine neue Paketerfassung beginnen. Haben Sie genügendVerkehr mitgeschnitten, dann können Sie anfangen, Informationen daraus zuextrahieren.InhaltDaten aus WLAN-Sniffing analysierenDer Start mit WiresharkDie Analysefunktionen von Wireshark sind fast immer dieselben –Vier Schlüsselfunktionenvon Wireshark imÜberblickunabhängig davon, ob Sie eine gespeicherte Paketerfassung untersuchenoder mit einem Live-Interface auf einem Windows- oder Linux-Host arbeiten.Zu den Funktionen zählen Protocol Dissectors, starke Display-Filter,individuell einstellbare Display-Eigenschaften und die Möglichkeit, WLAN-Best Practices für dasNetwork-Sniffing mitWiresharkDatenverkehr zu entschlüsseln.Netzwerkverkehr richtigmitschneidenbeliebige Pakete klicken, um sich deren Inhalt anzeigen zu lassen. EbensoWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficBei der Untersuchung einer großen Anzahl von Paketen können Sie aufkönnen Sie vorgegebene Filter darauf anwenden und hoffen, dass sie etwasNützliches zutage fördern. Um die Bewertung von erfassten Paketen zuerleichtern, bietet Wireshark im Fenster „Packet List“ außerdem dieMöglichkeit, bestimmte Paketarten farblich zu kennzeichnen. Dies erleichtertzum Beispiel die Fehlersuche bei einem Drahtlosnetzwerk.Ebenfalls hilfreich ist es zu wissen, ob Datenverkehr von einemdrahtgebundenen oder einem drahtlosen Netzwerk stammt. Dazu könnenSie in den Kennzeichnungen im Header Frame Control nach den EinträgenFrom DS bit und To DS bit suchen. Die Analyse von erfassten Paketen gehtleichter von der Hand, wenn Sie störenden Datenverkehr und wiederholteÜbertragungsversuche markieren und weitere Informationsspaltenhinzufügen.Diese Schritte sind nur die Grundlagen für die Analyse drahtloser Netze mitWireshark. Mehr über die Erfassung von Wireless-Verkehr unterRealbedingungen, den Ausfall von Drahtlosverbindungen, Probing vonDrahtlosnetzen, Konten-Sharing bei EAP-Authentifizierung, DoS-Attacken,Spoofing-Angriffe und fehlerhafte Verkehrsanalysen erfahren Sie, wenn Siedas gesamte Kapitel (in englischer Sprache) über Drahtlos-Sniffing mitWireshark lesen.Seite 8 von 23

WiresharkNetzwerkanalyse leicht gemachtDas Kapitel „Wireless Sniffing with Wireshark“ aus dem von AngelaOrebaugh, Gilbert Ramirez und Jay Beale geschriebenen Buch Wireshark &Ethereal Network Protocol Analyzer Toolkit erklärt, wie sich drahtloserInhaltDatenverkehr mithilfe der Wireshark-Software analysieren lässt. Es nennt dieHerausforderungen beim Namen und beschreibt, wie sich Linux undDer Start mit WiresharkWindows für drahtloses Mitschneiden und Analysen konfigurieren lassen.Vier Schlüsselfunktionenvon Wireshark imÜberblickBest Practices für dasNetwork-Sniffing mitWiresharkNetzwerkverkehr richtigmitschneidenWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficSeite 9 von 23

WiresharkNetzwerkanalyse leicht gemachtNetzwerkverkehr richtig mitschneidenVon Mike ChappleInhaltIn diesem Kapitel erklärt Mike Chapple, wie Sie Netzwerk-Traffic richtigmitschneiden und so herausfinden können, ob das Netzwerk in IhremDer Start mit WiresharkUnternehmen Sicherheitslücken aufweist.Vier Schlüsselfunktionenvon Wireshark imÜberblickWireshark kann in Netzwerke hineinblicken und Details des Datenverkehrsauf unterschiedlichen Ebenen erfassen – von Informationen über dieVerbindungsebene bis zu den Bits eines einzelnen Pakets. Diese FlexibilitätBest Practices für dasNetwork-Sniffing mitWiresharkNetzwerkverkehr richtigmitschneidenWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficund Detailliertheit machen es möglich, mit Wireshark Sicherheitsereignissezu analysieren und Probleme mit der Netzwerksicherheit von Gerätenanzugehen. Und auch der Preis ist attraktiv: Wireshark ist kostenlos!Wie und warum man Netzwerkverkehr mitschneiden sollDer Ausdruck „Netzwerkverkehr mitschneiden“ klingt zunächst nachOrwell'schen Visionen und einem Netzwerkadministrator als Big Brother, derdie privaten E-Mails von Beschäftigten liest. Vor jedem Einsatz vonWireshark sollten Organisationen deshalb dafür sorgen, dass es eine klardefinierte Datenschutzrichtlinie gibt. Diese sollte die individuellen Rechte beider Netzwerknutzung enthalten, eine Erlaubnis für das Mitschneiden vonDatenverkehr für Zwecke von Sicherheit und Problembehandlung vorsehenund die Anforderungen im Zusammenhang mit der Erfassung, Analyse undAufbewahrung von Verkehrsdaten nennen. Wer Werkzeuge wie Wiresharkohne die nötigen Genehmigungen einsetzt, kann rechtlich schnell ingefährliches Terrain geraten.Dennoch: Für Sicherheitsprofis gibt es zwei wichtige Gründe,Netzwerkverkehr mitzuschneiden. Erstens kann es von unschätzbarem Wertsein, sich die Details von Paketen anzusehen, wenn es um die Analyse einesAngriffs auf das Netzwerk geht. So lässt sich mit Wireshark bei einemDenial-of-Service-Angriff die genaue Art des Angriffs identifizieren; zudemkann man Upstream-Regeln für die Firewall festlegen, die unerwünschtenTraffic blockieren. Der zweite Hauptzweck von Wireshark liegt in derProblembehandlung bei Sicherheitsausrüstung. Ich selbst nutze es zumBeispiel für die Pflege von Firewall-Regeln. Wenn auf beiden Seiten derSeite 10 von 23

WiresharkNetzwerkanalyse leicht gemachtFirewall Systeme mit Wireshark laufen, lässt sich leicht erkennen, welchePakete die Firewall überwinden und ob dies die Ursache fürVerbindungsprobleme ist.InhaltMan sollte also stets daran denken, dass Wireshark für gute wie für böseDer Start mit WiresharkZwecke eingesetzt werden kann – so wie viele andere Werkzeuge fürVier Schlüsselfunktionenvon Wireshark imÜberblickSicherheitsanalysen auch. In den Händen eines Netzwerk- oderSicherheitsadministrators ist es ein wertvolles Hilfsmittel. In den Händen vonPersonen mit zweifelhafter Moral aber ist Wireshark ein mächtigesAbhörwerkzeug, mit dem sich jedes Paket ansehen lässt, das ein NetzwerkBest Practices für dasNetwork-Sniffing mitWiresharkdurchquert.Netzwerkverkehr richtigmitschneidenWenn Wireshark installiert ist und Sie es starten, sehen Sie einen fast leerenWireshark als Werkzeugfür Cloud-MonitoringDurchführung einer einfachen PaketerfassungBildschirm. Um das Scannen zu beginnen, wählen Sie aus dem CaptureMenü den Punkt Interfaces. Es erscheint ein Pop-up-Fenster ähnlich wiedieses:Wie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficWenn Sie erweiterte Optionen etwa zum Erfassen einer Datei, für dieAuflösung von MAC-Adressen oder zu Grenzen für Zeitdauer oder Umfangeiner Erfassung konfigurieren wollen, klicken Sie auf den Optionsknopf beimjeweiligen Interface. Viele der Optionen können dabei helfen, diePerformance von Wireshark zu verbessern. So lassen sich damit Problemebei der Auflösung von Namen verhindern, die ansonsten dasErfassungssystem verlangsamen und viele Namenabfragen generieren. MitLimits für Zeit und Umfang der Erfassung lassen sich außerdem Grenzen fürSeite 11 von 23

WiresharkNetzwerkanalyse leicht gemachtunbeaufsichtigte Erfassungen vorgeben. Ansonsten können Sie einfach aufden Startknopf neben dem Namen eines Interface klicken, um mit derErfassung seines Datenverkehrs zu beginnen. Sofort wird sich derInhaltWireshark-Bildschirm zu füllen beginnen und in etwa so aussehen:Der Start mit WiresharkVier Schlüsselfunktionenvon Wireshark imÜberblickBest Practices für dasNetwork-Sniffing mitWiresharkNetzwerkverkehr richtigmitschneidenWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficErgebnisse mit den Farb-Codes von Wireshark interpretierenJede Zeile im oberen Bereich von Wireshark entspricht einem einzelnenPaket, das im Netzwerk erfasst wurde. Standardmäßig werden die Zeit(relativ zum Start der Erfassung), die IP-Adresse für Quelle und Ziel, dasverwendete Protokoll und einige Informationen über das Paket angezeigt.Wenn Sie auf eine Zeile klicken, bekommen Sie in den unteren beidenBildschirmbereichen detaillierte Informationen dazu angezeigt.Der mittlere Bildschirmbereich enthält die Details zu oben ausgewähltenPaketen. Die „ “-Symbole zeigen an, wenn weitere Details zu einem Paketzur Verfügung stehen. Im Beispiel habe ich ein DNS-Response-Paketausgewählt und den Bereich DNS Response (Anwendungsebene) desSeite 12 von 23

WiresharkNetzwerkanalyse leicht gemachtPakets erweitert. So lässt sich sehen, dass es eine DNS-Auflösung fürcnn.com angefordert hatte; die Antwort verrät uns, dass zu den dafürverfügbaren IP-Adressen 64.236.91.21 gehört. Im unteren Fenster werdenInhaltdie Inhalte des Pakets in hexadezimaler wie ASCII-Form angezeigt.Der Start mit WiresharkDie Farbkodierungen von WiresharkVier Schlüsselfunktionenvon Wireshark imÜberblickBei der Analyse von Paketen mit Wireshark erhalten Sie Unterstützung durchdie Farben der einzelnen Zeilen. Die dunkelblauen Zeilen im Beispiel obenentsprechen dem DNS-Datenverkehr, die hellblauen dem UDP-SNMP-Trafficund die grünen dem HTTP-Verkehr. Wireshark ermöglicht komplexeBest Practices für dasNetwork-Sniffing mitWiresharkFarbkodierungen, die Sie selbst einstellen können. Vorgegeben sind sie indieser Form:Netzwerkverkehr richtigmitschneidenWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficDies zeigt zusammenfassend sehr gut, wie Wireshark Netzwerkverkehrmitschneidet und analysiert. Am schnellsten werden Sie hier zum Experten,wenn Sie sich die Hände schmutzig machen und einfach mit derNetzwerkerfassung beginnen. Ohne Zweifel werden Sie Wireshark dann alsnützliches Werkzeug kennenlernen – ob es nun darum geht, Firewalls zukonfigurieren, oder darum, Eindringlinge zu entdecken. Denken Sie aberimmer daran: Vor jeder Erfassung von Paketen brauchen Sie eineGenehmigung des Netzwerkeigentümers.Seite 13 von 23

WiresharkNetzwerkanalyse leicht gemachtÜber den Autor: Mike Chapple, CISA, CISSP ist Experte für IT-Sicherheitan der University of Notre Dame und hat früher als IT-Sicherheitsforscher fürInhaltdie National Security Agency und die U.S. Air Force gearbeitet. Er istregelmäßiger Autor für SearchSecurity, technischer Redakteur beim MagazinDer Start mit WiresharkInformation Security und Autor mehrerer Publikationen überVier Schlüsselfunktionenvon Wireshark imÜberblickInformationssicherheit, darunter der CISSP Prep Guide und InformationSecurity Illuminated.Best Practices für dasNetwork-Sniffing mitWiresharkNetzwerkverkehr richtigmitschneidenWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficSeite 14 von 23

WiresharkNetzwerkanalyse leicht gemachtWireshark als Werkzeug für Cloud-MonitoringHerkömmliche Werkzeuge für die Netzwerküberwachung bekommen neueInhaltBetätigungsfelder: Durch die zusätzliche Nutzung von privaten, hybriden undöffentlichen Clouds werden die Netze von Unternehmen komplexer – undDer Start mit WiresharkWerkzeuge für Netzwerküberwachung und -problemlösung berücksichtigenVier Schlüsselfunktionenvon Wireshark imÜberblickzunehmend auch diese Umgebungen.Denn nur weil eine Cloud-Umgebung für IT-Administratoren undNetzwerktechniker nicht direkt zu sehen ist, heißt das nicht, dass sie sichBest Practices für dasNetwork-Sniffing mitWiresharkNetzwerkverkehr richtigmitschneidenWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficdarum nicht kümmern müssten. Für Netzwerküberwachung und problemlösung setzen sie deshalb Werkzeuge ein, die sich bei ihnen bewährthaben, zum Beispiel auch Wireshark.„Das Analyse-Tool für Netzwerkprotokolle ist ein Open-Source-Produkt undwurde traditionell meistens für Paketanalysen hinter der Firewall verwendet.Jetzt wird es auch zu einer Option für Cloud-Problembehandlung inUnternehmen“, sagt Jonah Kowall, Research-Leiter für IT OperationsManagement bei Gartner.Ähnlich sieht das John Pironti, Präsident der Beratungsfirma IP Architects:Wireshark habe zwar nicht den gesamten Funktionsumfang andererAnalysewerkzeuge, könne Sicherheits- und Netzwerkadministratoren aberdurchaus dabei helfen, Datenverkehr über jegliche Netze zu optimieren, sagter.Brauchen Unternehmen Werkzeuge für Cloud-Monitoring?Ob sich Wireshark wirklich für Cloud-Umgebungen eignet, hängt zu großenTeilen davon ab, wie gut es sich mit anderen Werkzeugen für CloudMonitoring integrieren lässt.Cloud-Umgebungen sind üblicherweise deutlich größer als die üblichenUnternehmensnetze. Wireshark lasse sich deshalb als Teil der Due Diligencefür Netzwerküberwachung nutzen, nicht aber als einziges Werkzeug zurTraffic-Erfassung, sagt Pironti: „Wireshark ist ein tolles Techniker-Tool für dieSeite 15 von 23

WiresharkNetzwerkanalyse leicht gemachtAnalyse von Umgebungen und sehr speziellen Netzwerkthemen, aber füreine große Umgebung wie die Cloud reicht es nicht aus.“InhaltZusammen mit Wireshark können Unternehmen für abstrakterePaketerfassung und Verhaltensanalysen Monitoring-Tools wie NetScout oderDer Start mit WiresharkNetWitness einsetzen. Diese werden laut Pironti bereits vielfach fürVier Schlüsselfunktionenvon Wireshark imÜberblickSondierungen in Cloud-Umgebungen eingesetzt, wo sie fortschrittlicheMonitoring-Möglichkeiten bieten, die Wireshark allein nicht bieten kann. „DasWerkzeug lässt sich ohne Frage in jedem Unternehmen mitNetzwerkinfrastruktur verwenden, aber es bleibt noch die Frage derBest Practices für dasNetwork-Sniffing mitWiresharkSkalierbarkeit“, so Pironti.Netzwerkverkehr richtigmitschneidenbegrenzt möglich – IT-Administratoren auf Kundenseite können nicht dasWireshark als Werkzeugfür Cloud-MonitoringWie Sie mit WiresharkVoIP-DatenpaketeabfangenWireshark PacketCapture filtern: Soparsen Sie Ihren VoIPTrafficEinblicke ins Netzwerk sind bei hybriden oder öffentlichen Clouds nurgesamte Netzwerk ihres Anbieters analysieren. Trotzdem muss sich dasinterne Team für Monitoring und Problembehandlung nicht vollkommen aufseine Cloud-Provider verlassen: „Die IT-Abteilung sollte zumindest in derLage sein, Netzwerkprobleme für ihre Nutzer zu analysieren und zu lösen“,sagt Joe McEachern, Gründer und CEO von QA Café, einem Anbieter vonIP-Testlösungen.QA Café ist selbst ein langjähriger Nutzer von Wireshark und hat dasProdukt CloudShark entwickelt. Dabei handelt es sich um eine MonitoringAnwendung für die Erstellung, Weitergabe und Analyse vonNetzwerkinformationen. „Manche Unternehmen glauben vielleicht, dass sieTools wie Wireshark in einer Cloud-Umgebung nicht mehr brauchen, aberdas stimmt nicht. Die IT-Abteilung wird sich immer noch Pakete anschauenwollen, und sei es nur die zwischen dem Unternehmen und dem Provider“,so McEachern.Weil Wireshark ein traditionelles Desktop-Tool ist, hat QA Café CloudSharkso ausgelegt, dass Capture-Dateien über eine Web-Oberfläche von jedemGerät aus zugänglich sind. „Es ist eine Brücke zwischen Desktop- und Webbasierten Anwendungen“, sagt McEachern. Nach seinen Worten müsstejeder Netzwerkadministrator, der mit Wireshark zurechtkommt, auchCloudShark in einer Web-Umgebung gut bedienen können.Seite 16 von 23

WiresharkNetzwerkanalyse leicht gemachtEntwickelt sich Wireshark zum Monitoring-Tool für die Cloud?„Für Problembehandlungen aller Art in Zusammenhang mit einem Netzwerkkann die IT definitiv traditionelle Werkzeuge nutzen, um Netzwerk-TrafficInhaltvom Server zu erfassen“, sagt Gartner-Analyst Kowall. Mit Wireshark sei diesauf Paketebene gut möglich. Zudem habe die Software besondere StärkenDer Start mit Wiresharkbeim Hineinwühlen in die Innereien von Netzwerken. „Es wird vielleicht nichtVier Schlüsselfunktionenvon Wireshark imÜberblickzu einem echten Cloud-Diagnosewerkzeug, aber es lässt sich in der Cloudgenauso nutzen wie im Rechenzentrum oder in einem Heimnetz.“Ähnlich äußert sich Pironti: Die Cloud sei letztlich ein Netzwerk wie jedesBest Practices für dasNetwork-Sniffing mitWiresharkandere. Wireshark sei hier zwar nicht unbedingt dafür geeignet, Probleme zuverhindern oder schnell zu beheben – „ab

Wireshark ist ein mächtiger Netzwerk-Paket-Analyzer. Die Software, früher bekannt als Ethereal, kann für Administratoren bei der Analyse des Und das Beste: Wireshark ist Open Source und daher kostenlos. Wireshark zu installieren ist ein Kinderspiel. Binäre Versionen lassen sich