Wireshark richtig einsetzen: Vier Schlüssel-Funktionen im Überblick

Der Grundstock guter und effizienter Netzwerk-Security ist Paketanalyse: die Fähigkeit, zwischen guten und bösen Paketen unterscheiden zu können. Natürlich gibt es noch viele weitere komplexe Schichten, die man bei der Analyse von Paketen beachten muss. Jeder Administrator, der sich für Netzwerk-Security interessiert, sollte aber die wichtigsten Netzwerk-Analyse-Tools kennen und mit diesen auch umgehen können.

Sehen wir uns zu diesem Zweck eines der leistungsfähigsten Paket-Capturing-Tools für das Netzwerk an. Wir sprechen hier natürlich vom kostenlosen Wireshark. Zusätzlich werfen wir einen Blick auf die Security-Probleme in Unternehmen und mit welchen vier Wireshark-Funktionen Sie diese adressieren können.

Validierung

Dann und wann möchte der Administrator wissen, ob die Firewall des Unternehmens auch blockiert, was sie blockieren soll. Möglicherweise möchten Sie auch nur sicherstellen, dass die Konfiguration der Firewall korrekt ist. Zum Beispiel gibt es keinen plausiblen Grund, Telnet-Traffic in ein Firmen-Netzwerk zu lassen. Die meisten Firewalls blockieren TCP-Port 23 per Standard. Ein guter Netzwerk-Administrator geht aber auf Nummer sicher. Er überprüft hin und wieder, ob das auch tatsächlich der Fall ist.

Testen wir nun die Firewall des Unternehmens mit Hinblick auf den Telnet-Traffic. Dazu kann der Administrator ein Capture (Erfassung) auf einem internen Node laufen lassen, der sich hinter der Gateway-Firewall befindet. Tippen Sie Nachfolgendes in das Filter-Feld, das Sie am oberen Ende der grafischen Schnittstelle von Wireshark finden:

telnet

Im Anschluss melden Sie sich auf einem Node an, der sich außerhalb des Firewall-Perimeters befindet. Hier versuchen Sie nun mittels Telnet auf einen Knoten innerhalb der Firewall zuzugreifen. Sollte sich nun irgendwelcher Telnet-Traffic in der Erfassung von Wireshark zeigen, ist eine Überprüfung der Firewall-Konfiguration dringend anzuraten. Es gibt hier ganz klare Anzeichen von falscher Konfiguration. Sollten Sie nichts Ungewöhnliches an der Konfiguration finden, weist das auf ein größeres Problem hin. In diesem Fall ist eine sofortige Kontaktaufnahme zum Hersteller ratsam.

Erkenntnis und Sensibilisierung

Die meisten Unternehmens-Netzwerke haben irgendwo eine Art Log- und Warn-Mechanismus implementiert, um das Netzwerk im Überblick zu haben und sich entsprechend sensibilisieren zu lassen. Diese Mechanismen können Sie in Verbindung mit einem IDS (Intrusion Detection System) oder einem allumfassenden SIEM (Security Information and Event Management System) verwenden. Diese Produkt-Typen sind fast komplett von exaktem Paket-Capturing abhängig. Nun könnte sich ein Administrator dafür interessieren, was in bestimmten Segmenten des Netzwerks genau vor sich geht. Dafür lässt sich zum Beispiel ein Monitor-Port auf einem der Layer-2-Switches innerhalb des Netzwerks einrichten. Nehmen wir an, dass das Netzwerk ein Subnetz mit 10.0.0.1/24 hat. Dann sollten Sie folgenden Wireshark-Filter anwenden:

ip.addr==10.0.0.1/24

Alle Pakete, die in das oben spezifizierte Subnet fallen, tauchen nun in diesem Wireshark-Capture auf. Der Systemadministrator kann an dieser Stelle entsprechend Anpassungen vornehmen. Soll die Geschichte spezifischer auf ein Protokoll abgestimmt sein, können Sie diesen Filter verwenden:

ip.addr==10.0.0.1/24 && ssl

Dieser Filter ist nützlich, wenn Sie verschlüsselten Traffic innerhalb eines speziellen IP-Bereichs entdecken möchten. Manche Formen von Malware benutzen SSL als Verschlüsselungs-Mechanismus. Administratoren können so unter Umständen besser eingrenzen, welche Hosts mit SSL-aktiver Malware verseucht sind.

Das GUI maximal ausnutzen

Während eines Einbruchs ins Netzwerk haben kleinere und mittelgroße Firmen oftmals keine oder schlechte Visualisierungs-Möglichkeiten. Gut, es gibt die Kommandozeilen-basierten Ausgaben des Open-Source-IDS Snort. Diverse Entwickler haben beherzte Versuche unternommen, ein GUI für Snort zu schaffen. Ich persönlich bevorzuge aber die Visualisierungs-Lösung für Arme, um Snort-Captures darzustellen: Wireshark.

Um das GUI für Snort einzusetzen, müssen Systemadministratoren einfach die Snort-Daten in eine .pcap-Datei speichern. Diese lässt sich dann wiederum mit Wireshark öffnen. An dieser Stelle könnten sich die Analysen der unterschiedlichen TCP-Streams mit Wireshark zu einem fesselnden Nachmittag entwickeln. Oftmals ist eine solche Analyse von Snort-Daten aber ziemlich aufschlussreich.

Malware-Sichtung und -Bekämpfung

Ist ein Netzwerk lange genug mit dem Internet verbunden, rechnet man damit, sich früher oder später eine Infektion mit Malware einzufangen. Dabei spielt es keine Rolle, wie ausgeklügelt die Security-Strategie einer Firma ist. Deswegen sollte in einem Unternehmen immer ein Malware-Experte zur Stelle sein. Dieser kann den Grad der Infektion schnell bestimmen und erste Diagnosen durchführen. So einen Luxus kann sich allerdings nicht jede Organisation leisten. Auch an dieser Stelle hilft Wireshark weiter.

Sobald ein Stück Malware oder verdächtiger Code in Ihr Netzwerk eindringt, müssen Sie eine Kopie der ausführbaren Dateien in Quarantäne schicken und vom restlichen Netzwerk fernhalten. Am besten eignet sich eine virtuelle Umgebung für diese Zwecke. Läuft das Wireshark-Capture in dieser virtuellen Umgebung, sollte der Administrator die ausführbare Datei starten. Nun kann er den kompletten Traffic beobachten, der sich auf dem Bildschirm abspielt. Sobald sich DNS-Versuche zeigen, die auf seltsame URLs verweisen, sollte der Administrator die IP-Adressen und DNS-Informationen schnell notieren. Diese gehören umgehend in die Firewall, damit sie sich blockieren lassen. Somit haben Sie einen provisorischen Fix und können tiefer greifende Analysen durchführen.

Fazit

Diese vier Wireshark-Funktionen sind nur die Spitze des Eisberges, wenn wir über die Möglichkeiten der Open-Source-Security-Software sprechen. Ich bin der festen Überzeugung, dass Wireshark das Schweizer Taschenmesser unter den Security-Tools ist. Es gibt so viele Anwendungsfälle, bei denen die Verwendung von Wireshark unerlässlich ist. Das geht von Netzwerk-Analyse bis hin zur Malware-Abwehr. Wireshark gehört in die digitale Werkzeugkiste jedes Security-Profis.

Über den Autor: Brad Casey hat einen Master of Science in Informationssicherung von der University of Texas in San Antonio. Er bringt umfangreiche Erfahrung in den Bereichen Penetrations-Testing, Public-Key-Infrastruktur, VoIP- und Netzwerk-Paketanalyse mit sich. Weiterhin kennt er sich bei den Themen Systemadministration, Active Directory und Windows Server 2008 aus. Er hat fünf Jahre für die U.S. Air Force gearbeitet und dort Security-Prüfungen und -Tests durchgeführt. In seiner Freizeit wühlt er sich durch Wireshark-Captures und spielt mit diversen Linux-Distributionen in virtuellen Maschinen.