Betrachtung des effizienten Einsatzes von Netzwerk-Sniffern in Unternehmen

Aus Winfwiki

Name des Autors / der Autoren:	Markus Höft
Titel der Arbeit:	Betrachtung des effizienten Einsatzes von Netzwerk-Sniffern in Unternehmen
Hochschule und Studienort:	FOM Düsseldorf

Inhaltsverzeichnis 1 Abbildungsverzeichnis 2 Tabellenverzeichnis 3 Einleitung 3.1 Intention zum Thema 3.2 Abgrenzung / Einschränkung des Themas 4 Grundlagen 4.1 Software-Sniffer 4.1.1 Definition 4.1.2 Arbeitsweise 4.1.3 Einsatzgebiete 4.2 OSI-Modell 4.3 Netzwerk-Hardware 5 Soft- und Hardware-Analyse 5.1 Nutzwertanalyse und Vergleich von Sniffer-Produkten 5.1.1 Festlegen der Bewertungskriterien und Rahmenbedingungen 5.1.2 Fluke Optiview Protocol Expert 5.1.2.1 Vorstellung von OptiView Protocol Expert 5.1.2.2 Bewertung von OptiView Protocol Expert 5.1.3 Wireshark 5.1.3.1 Vorstellung von Wireshark 5.1.3.2 Bewertung von Wireshark 5.1.4 Fazit / Empfehlung 5.2 Bewertung und Einsatz von Netzwerk-Hard- und Software 5.2.1 Vorstellung zweier allgemeiner Systeme für die Netzwerkanalyse 5.2.2 Fazit 6 Fazit der Hard- und Softwareanalyse 7 Fußnoten 8 Literatur- und Quellenverzeichis

1 Abbildungsverzeichnis

Abb.-Nr.	Abbildung
1	OptiView Protocol Expert nach dem Starten
2	OptiView Protocol Expert während der Aufzeichnung - 2. Fenster
3	Wireshark nach dem Starten
4	Wireshark während der Aufzeichnung

2 Tabellenverzeichnis

Tabelle Nr.	Beschreibung
1	Nutzwertanalyse - Bewertungskriterien und Gewichtung
2	Nutzwertanalyse - OptiView Protocol Expert
3	Nutzwertanalyse - Wireshark

3 Einleitung

3.1 Intention zum Thema

Netzwerke bilden seit Jahrzehnten die Grundlage für den Datenaustausch zwischen verschiedenster Hardware. Nach eher minimalistischen Anfängen und geringen Datendurchsatzraten wuchsen mit leistungsstärkerer Server- und Client-Hardware auch die Anforderungen an Netzwerke.

Neuere Entwicklungen im Server-, Client- und Softwarebereich aber auch organisatorische und gesetzliche Anforderungen stellen heutzutage besondere und zum Teil recht unterschiedliche Ansprüche an Netzwerke und deren Administratoren. Hier seinen zum Beispiel

• Konvergenz
• IP-basierte Kommunikation (VoIP, Videokonferenzen)
• FibreChannel
• Virtualisierung
• Hochverfügbarkeit
• IT-Sicherheit
• sowie IT-Grundschutz und IT Infrastructure Library (ITIL)

genannt.

Diese Entwicklungen stellen Netzwerkadministratoren vor immer neue, vielschichtige und mitunter schwer handhabbar Herausforderungen. Besonders die Fehlersuche und -eingrenzung in Datennetzen - unabhängig davon, welches Netzwerkgerät Fehler produziert - scheinen ohne geeignete Hilfsmittel zur Netzwerkanalyse kaum möglich zu sein.

Ein durchaus geeignetes, wenn auch nicht unumstrittenes Tool stellen so genannte Netzwerksniffer dar.

In den folgenden Kapiteln werden der Begriff Sniffer, die rechtlichen und technischen Grundlagen für den Einsatz dieser Tools, der Vergleich verschiedener Softwareprodukte aus dem proprietären und dem OpenSource-Bereich sowie die Betrachtung verschiedener Wirtsysteme - unterschieden nach Einsatzgebiet - erläutert, geklärt, analysiert und verglichen.

3.2 Abgrenzung / Einschränkung des Themas

Im Rahmen dieser Hausarbeit zum Thema "Betrachtung des effizienten Einsatzes von Netzwerk-Sniffern in Unternehmen" werden aufgrund des zur Verfügung stehenden, zeitlichen und organisatorischen Rahmens nur standardisierte und idealisierte Netzwerkumgebungen betrachtet.

Für das Netzwerk gilt:

• keine Verwendung von Netzwerk-Hubs; nur Switches und Router werden eingesetzt
• Verwendung des Ethernet-Standards; ältere oder auch neuere Netzwerkmodelle wie TokenRing oder FibreChannel over Ethernet (FCoE) werden nicht betrachtet
• der Netzwerkadministrator hat vollständigen Zugriff auf das Netzwerk und seine Komponenten

Für die Software gilt:

• Da man Netzwerk-Sniffer in Hard- und Softwarelösungen unterscheiden kann, muss auch hier eine Einschränkung erfolgen. In den folgenden Abschnitten werden daher ausschließlich Softwareprodukte vorgestellt, bewertet und verglichen. Die aufwändigeren und proprietären Hardwarelösungen sind nicht Bestandteil dieser Hausarbeit.

Neben den Kriterien und den Einschränkungen in den Bereichen der Soft- und Hardware kann zudem nicht auf jede spezielle und individuelle Unternehmensstruktur eingegangen werden. Dennoch gibt es einige idealisierte Organisationsstrukturen, welche in dem Kapitel zur Bewertung von Netzwerkhard- und Software thematisiert werden.

4 Grundlagen

4.1 Software-Sniffer

In den folgenden Kapiteln werden Software-Sniffer definiert sowie ihre Arbeitsweise und Einsatzgebiete vorgestellt.

4.1.1 Definition

Netzwerk-Sniffer sind konzipiert für die Analyse von Netzwerkverkehr, indem sie die Daten innerhalb eines Netzwerksegments vollständig aufzeichnen und für eine Analyse zur Verfügung stellen.^[1]

4.1.2 Arbeitsweise

Sniffer arbeiten über spezielle Treiber an einer oder mehreren Netzwerkschnittstellen des Wirtsystems. Daten eines gewählten Netzwerk-Interface werden eins-zu-eins als Rohdaten mitgeschnitten, im nachhinein interpretiert und - sofern eine grafisches User-Interface existiert - grafisch aufbereitet. Da normalerweise die Netzwerkkarte alle Daten verwirft, die auf MAC-Adress-Ebene direkt an andere Rechner gerichtet sind, muss die Netzwerkkarte in den sogenannten promiscuous-mode versetzt werden können (siehe Kapitel 4.3).

4.1.3 Einsatzgebiete

Für Netzwerksniffer existieren verschiedene Einsatzgebiete, unter anderem:

• (Netzwerk-) Lehre
• Fehlersuche und -analyse
• Netzwerkanalyse zur Performance-Steigerung
• Security-Tests, hier im Bereich des Monitoring^[2]
• Identifikation unbefugter Netzwerkzugriffe^[3]
• Unberechtigtes Abhören des Netzwerktraffics und entsprechender Daten (Benutzernamen, Passwörter etc.)^[4]

Je nach Einsatzgebiet können die Ansprüche an Sniffer variieren. Generell bleiben jedoch einige Grundansprüche gleich, welche in den späteren Kapiteln beschrieben werden.

4.2 OSI-Modell

Um die Arbeit mit Netzwerksniffern verstehen zu können, ist zwingend die Kenntnis der sieben Schichten des Open Systems Interconnection (OSI) -Referenzmodells erforderlich:

1. Physical Layer
2. Data Link Layer
3. Network Layer
4. Transport Layer
5. Session Layer
6. Presentation Layer
7. Application Layer

Das 1983 von der International Organization for Standardization (ISO) als Standard festgelegte OSI-Modell dient der "[...] Darstellung einer Kommunikationsarchitektur und der Prinzipien des Schichtenmodells."^[5] Die sieben Schichten (auch Layer genannt) standardisieren "[...] die Struktur der Kommunikation innerhalb eines offenen Kommunikationssystems."^[6] Auf jeder der sieben Schichten werden bei der Übertragung die zu versendenden Daten (Quelle) aus den jeweils oberhalb der betrachteten Schicht liegenden Layer mittels Header und teilweise Trailer gekapselt. Im Zielsystem (Senke) werden die Datenpakete entsprechend von Schicht zu Schicht wieder entkapselt.

Daten sind somit während ihrer Übertragung über das verwendete Trägermedium (Kupfer, Luft, Glasfaser) gekapselt. Werden diese Daten mitgeschnitten, so müssen diese für eine Analyse zwangsläufig entkapselt und den verschiedenen OSI-Schichten zugeordnet werden.

Um die mitgeschnittenen Daten einer Applikation oder einem Netzwerkgerät zuordnen zu können (zum Beispiel für die Fehlersuche), muss somit ein Grundverständnis für das OSI-Modell vorhanden sein.

4.3 Netzwerk-Hardware

Die eingesetzte Netzwerkhardware muss für einen optimalen Mitschnitt des Datenverkehrs gewisse Anforderungen erfüllen, welche im Folgenden näher erläutert werden:

• Client-seitig:
  • Netzwerkkarten müssen zwangsläufig den sogenannten promiscuous mode unterstützen, da ansonsten Layer-2-Datenpakete, welche nicht für die eingesetzte Network Interface Card (NIC) bestimmt sind, verworfen werden. Hierzu zählen zum Beispiel Broadcasts, welche nicht direkt an die eigene MAC-Adresse gerichtet sind. Der promiscuous mode wird mittels eines Treibers implementiert.^[7].
  • Der Hauptspeicher eines Rechners, mit dem der Netzwerkverkehr aufgenommen werden soll, dient dem Software-Sniffer als Paketpuffer.^[8] Je nach aufgezeichneter Datenmenge füllt sich der Hauptspeicher dementsprechend schnell mit Daten.
  • Einige Sniffer-Produkte bieten jedoch auch die Auslagerung von Daten auf die üblicherweise größer dimensionierte Festplatte an. Über die bekannte Netzwerkbandbreite kann errechnet werden, wieviel Platz maximal zur Verfügung stehen muss, wenn über einen bestimmten Zeitraum Daten gesammelt werden.
  • Für einen effizienten Netzwerkmitschnitt bedarf es einer angemessenen Prozessorleistung. Für 100Mbit-Netzwerke reichen hierfür jedoch zum Beispiel bereits 850 MHz - CPU's auf Pentium-3-Basis.^[9]

• Switch / Router - seitig:
  • Switch-seitig muss für einen effizienten Mitschnitt des Datenverkehrs ein sogenannter Mirror-Port zur Verfügung stehen. Über diesen Port lassen sich andere Ports eins zu eins spiegeln, d.h. Netzwerkverkehr von und / oder zu einem oder mehreren Netzwerkanschlüssen wird komplett dem für das Sniffing vorgesehenen Port zugeordnet.
  • Der Mirror-Port kann entweder über Hardware oder Software bereitgestellt werden. Sofern die Implementierung über Software erfolgt (zum Beispiel bei Cisco-Switchen) muss mindestens ein freier Port auf dem Switch zur Verfügung stehen. Abhängig vom Switch-Modell stellen große Anbieter von Netzwerkhardware wie zum Beispiel Cisco, Hewlett-Packard und Foundry diese Möglichkeit bereit.
  • Zusätzlich kann Netzwerkverkehr zwischen Endgeräten auch per auf dem Sniffer-System installierter Software umgelenkt werden. Über das sogenannte ARP cache poisoning oder auch ARP spoofing wird der ARP-Cache der betroffenen Systeme so beeinflusst, dass Datenpakete über das für den Mitschnitt vorgesehene System umgelenkt werden. Diese Aufgabe übernimmt zum Beispiel Software wie Cain & Abel.^[10] Die beschriebene Methode stellt jedoch einen nicht ungefährlichen Eingriff in die Netzwerkfunktionen von Betriebssystemen dar und kann für netzwerkbasierende Angriffe wie Denial-of-Serice^[11] oder Man-in-the-Middle^[12] genutzt werden.

5 Soft- und Hardware-Analyse

5.1 Nutzwertanalyse und Vergleich von Sniffer-Produkten

Der folgende Abschnitt analysiert und vergleicht zwei Vertreter von Software-Sniffern aus den Bereichen OpenSource und kommerziell vertriebener Software:

• Der unter der GNU General Public Licences v2 frei verfügbare Sniffer Wireshark^[13]
• Der kommerziell vertriebene Sniffer Fluke Optiview Protocol Expert der Firma Fluke Networks^[14]

Beide Produkte besitzen in Fachkreisen einen recht hohen Bekanntheitsgrad. Im folgenden Kapitel werden für den Vergleich dieser Software-Sniffer entsprechende Kriterien festgelegt.
Um die beiden unterschiedlichen Produkte vergleichbar zu machen, werden jeweils die zum Zeitpunkt der Erstellung dieser Seminararbeit (Januar/Februar 2009) verfügbaren Versionen für die Analyse verwendet:

• Wireshark in Version 1.0.6 vom 06. Februar 2009
• Fluke Optiview Protocol Expert in Version v10.0 von Februar 2009

5.1.1 Festlegen der Bewertungskriterien und Rahmenbedingungen

Um verschiedene Produkte unterschiedlicher Hersteller vergleichen zu können, müssen aussagekräftige qualitative und quantitative Kriterien mit einer entsprechenden Gewichtung definiert werden. Anhand dieser Kriterien lassen sich die verschiedenen Sniffer nach ihrer Untersuchung objektiv vergleichen.

Zur Findung und Festlegung geeigneter Kriterien müssen im Vorfeld die Ansprüche an Sniffer definiert werden. Obwohl die Ansprüche je nach Einsatzgebiet, Unternehmen und jeweiligem Benutzer variieren, so können dennoch über allgemein gehaltene Ansprüche die gesuchten Kriterien abgeleitet werden.

Folgende Ansprüche leiten sich aus den in Kapitel 4.1.3 aufgeführten Einsatzgebieten ab:

1. Wirtschaftlichkeit
2. Investitionsschutz
3. Leistung
4. Sicherheit
5. Service
6. Skalierbarkeit

Folgende Kriterien leiten sich aus den vorgenannten Ansprüchen ab:

1. Preis / Kosten
2. Benutzerfreundlichkeit
3. Verfügbarkeit von Updates
4. Analyse-Funktion
5. Filter-Funktion
6. Support
7. Erfassbare Datenmenge
8. Anzahl unterstützer Protokolle
9. Unterstützte Betriebssysteme

Für die Bewertung der Snifferprodukte wird für jedes Kriterium eine Gewichtung zwischen 1 und 9 festgelegt. Eine Gewichtung von 1 entspricht weniger wichtigen Kriterien, wohingegen eine 9 für sehr wichtige Kriterien steht. Für jedes der beiden Produkte muss die Ausprägung bestimmt werden. Die Ausprägung liegt ebenfalls zwischen 1 (wenig ausgeprägt) und 9 (stark ausgeprägt).
Als Ergebnis gibt die Multiplikation von Gewichtung und Ausprägung dividiert durch die maximal erreichbare Punktzahl einen aussagekräftigen Prozentwert an. Über diesen Wert lassen sich die beiden verglichenen Sniffer anschließend vergleichen.
Die Gewichtung für die einzelnen Kriterien wird wie folgt festgelegt:

Kriterium	Gewichtung	Begründung
Preis / Kosten	6	Große Unterschiede bei Anschaffungskosten
Benutzerfreundlichkeit	4	Bedingt wichtig bei fachkundigen Benutzern
Verfügbarkeit von Updates	7	Sicherheitsaspekte bei dauerhaftem Einsatz
Analyse-Funktion	8	Für schnelle, automatisierte Analyse wichtig
Filter-Funktion	8	Einschränkung bei großen Datenmengen unbedingt nötig
Support	3	Ausreichend User-Foren zum Thema Sniffing vorhanden
Erfassbare Datenmenge	4	Relevant ab größeren Datenaufzeichnungen
Anzahl unterstützer Protokolle	5	Gängigste Protokolle meist standardmäßig unterstützt
Unterstützung unterschiedlicher Betriebssysteme	6	Wichtig für heterogene Netzwerklandschaften
maximal mögliche Ausprägung:	459	bei 9 von 9 erreichbaren Punkten

Tabelle 1: Nutzwertanalyse - Bewertungskriterien und Gewichtung

In den folgenden Kapiteln werden die beiden ausgewählten Software-Sniffer auf diese Kriterien hin analysiert und bewertet.

5.1.2 Fluke Optiview Protocol Expert

Die Software OptiView® Protocol Expert der Firma Fluke Networks stellt den kommerziellen Netzwerksniffer dieser Nutzwertanalyse dar. Diese Firma ist in Everett, Washington, USA beheimatet und in die drei Geschäftsbereiche IT Networking, Datacom Cabling und Telecommunications unterteilt.^[15]

5.1.2.1 Vorstellung von OptiView Protocol Expert

Aufgrund der Komplexität des Programms OptiView Protocol Expert beschränkt sich die folgende Vorstellung auf wesentliche Grundlagen wie die Installation, das Starten und Beenden von Datenaufzeichnungen sowie den grundsätzlichen Aufbau des Programms.

Die Installation verläuft ohne größere Änderungsmöglichkeiten (neben den überlicherweise möglichen Änderungen des Installationsverzeichnisses) auf Windows XP Systemen problemlos. Nach dem Starten der Software präsentiert sich das Anwendungsfenster dreigeteilt: Der obere Teil des Programmfensters stellt die obligatorische Menüführung für Einstellungen und das Hilfesystem zur Verfügung. Im linken Teil des Programms sind die vorhandenen Netzwerkkarten aufgelistet, welche für einen Mitschnitt der Netzwerkdaten zur Verfügung stehen. Das rechte Programmfenster bietet ein intuitives User-Interface für das Starten und Beenden des Sniffings. Hier werden zudem verschiedene Daten wie die Anzahl empfangener Pakete insgesamt, die Anzahl empfangener Broad- und Unicasts sowie die Aufzeichnungsdauer und verschiedene Reiter für Alarme und die Beschreibung der Netzwerkkarte dargestellt.

Nach dem Starten der Aufzeichnung über einen stylisierten Play-Button (analog den Tastenbeschriftungen von Stereoanalagen etc.) öffnet sich zudem ein neues Programmfenster, in welchem detailierte Informationen zu Paketgrößen sowie eine direkte Analyse des Netzwerkverkehrs auf den verschiedenen OSI-Schichten dargestellt sind.

Die Aufzeichnung wird durch einen Stop-Button (wiederum analog bekannter Beschriftungen von Musicplayern) beendet. Anschließend öffnet sich ein neues Fenster, welches detailierte Analysefunktionen zur Verfügung stellt. Probleme und Verbindungen werden grafisch aufbereitet dargestellt; eine Betrachtung der aufgezeichneten Pakete im ASCII- und Hexadezimalcode ist ebenfalls möglich. Für die Speicherung der mitgeschnittenen Daten stehen verschiedene Dateiformate zur Verfügung.

5.1.2.2 Bewertung von OptiView Protocol Expert

Die Analyse des Sniffers OptiView Protocol Expert ergibt folgende Bewertung:

Der Sniffer OptiView Protocol Expert wird im Internet für knapp 4.000,00 Euro netto gelistet (zum Beispiel unter http://webshop.dmt-system.de/de/portable-high-end-analyzer/?art=454&cHash=436bd4fd16). Die Oberfläche des Programms präsentiert sich sehr übersichtlich und intuitiv. Ankündigungen über die Verfügbarkeit von Updates erhalten registrierte User per eMail. Eine Analyse des aufgenommenen Netzwerkverkehrs geschieht bereits während der Aufzeichnung und wird - in die verschiedenen OSI-Schichten eingeteilt - grafisch präsentiert. Im Vorfeld existiert die Möglichkeit, den aufzuzeichnenden Datenstrom über Filter einzuschränken. Support erhalten User über den Internet-Auftritt des Herstellers in Form einer technischen Dokumentation sowie einer Knowledgebase, per eMail oder telefonisch. Für die aufzuzeichnende Datenmenge gibt es programmseitig keine Einschränkung. Alle wesentlichen Netzwerkprotokolle sowie eine Vielzahl weiterer Protokolle werden unterstützt. Als Wirtsystem müssen Windows-basierende Betriebssysteme verwendet werden.

Kriterium	Gewichtung	Ausprägung	gewichtete Ausprägung
Preis / Kosten	6	2	12
Benutzerfreundlichkeit	4	8	32
Verfügbarkeit von Updates	7	5	35
Analyse-Funktion	8	8	64
Filter-Funktion	8	6	48
Support	3	7	21
Erfassbare Datenmenge	4	9	36
Anzahl unterstützer Protokolle	5	9	45
Unterstützung unterschiedlicher Betriebssysteme	6	3	18
Summe der gewichteten Ausprägungen:			311

Tabelle 2: Nutzwertanalyse - OptiView Protocol Expert

Die Nutzwertanalyse für OptiView Protocol Expert erreicht damit 311 von 459 möglichen Punkten (entspricht 67,8%).

5.1.3 Wireshark

Die unter der GNU General Public Licences v2 frei verfügbare Software Wireshark stellt die Weiterentwicklung des 1998 begonnenen Projektes Ethereal dar. Das durch Gerald Combs, Absolvent der University of Missouri (Kansas, USA), gestartete Projekt Ethereal wurde 2006 nach Rechtsstreitigkeiten umbenannt und seitdem unter dem Namen Wireshark fortgeführt.^[16]

5.1.3.1 Vorstellung von Wireshark

Da die Vorstellung aller Funktionen des Programms Wireshark bereits Bücher füllen könnte, beschränkt sich die folgende Beschreibung auf die Installation, das Starten des Programms sowie der Aufzeichnung und das Stoppen des Sniffings.

Die Installation von Wireshark unter Windows XP funktioniert über ein grafisches User-Interface. Alle benötigten Komponenten sind standardmäßig in der Installation enthalten, so zum Beispiel das eigenständige Programm Windows Packet Capture (WinPcap). WinPcap stellt eine Treiberbibliothek für Windows-Systeme zur Verfügung, über welche Wireshark Datenverkehr aufnehmen kann.^[17]

Nach der Installation sowie dem Starten von Wireshark stellt sich das Programm wie folgt dar:

Der Startbildschirm ist übersichtlich gestaltet. Alle wesentlichen Einstellungen wurden während der Installation bereits automatisch gesetzt; eine Aufzeichnung des eigenen Netzwerkverkehrs kann sofort gestartet werden. Hierfür muss über die Menüpunkte Capture, Interfaces ein neues Fenster geöffnet werden, in welchem die verfügbaren Netzwerkkarten des Wirtsystems aufgelistet sind. Durch anklicken des Buttons Start neben dem gewünschten Network Interface beginnt die Aufzeichnung des Netzwerkverkehrs.

Sobald die Aufnahme gestartet worden ist, werden die aufgenommenen Datenpakete mit Quell- und Zieladresse sowie verwendetem Protokoll im mittleren Teil des Startbildschirms dargestellt:

Der untere Teil des Fensters ist wiederum zweigeteilt. Zum Einen werden die verschiedenen Protokolle der benutzen OSI-Schichten dargestellt, zum Anderen können die Paketdaten im Hexadezimalformat (inklusive Übersetzung in das ASCII-Format) betrachtet werden.

Die Aufnahme lässt sich über Capture, Stop beenden. Anschließend ist es möglich, die aufgezeichneten Daten einzeln zu analysieren und die gesammelten Daten abzuspeichern.

5.1.3.2 Bewertung von Wireshark

Die Analyse des Sniffers Wireshark ergibt folgende Bewertung:

Durch die freie Verfügbarkeit von Wireshark über die GNU General Public Licences v2 entstehen für den Benutzer keine Anschaffungskosten. Die Benutzerfreundlichkeit ist durchschnittlich; zwar lässt sich ein Netzwerkmitschnitt schnell starten, jedoch sind viele mögliche Schalter nicht selbsterklärend. Updates sind als Produktverbesserungen und Sicherheitsupdates verfügbar; Informationen über Updates werden als RSS-Feed und über Mailing-Listen sowie einschlägige News-Seiten (zum Beispiel www.heise.de) verteilt. Für die Analyse aufgezeichneter Pakete existieren Voreinstellungen für farbliche Hervorhebungen verschiedener Protokolle, welche zudem verändert werden können. Der Filter lässt sich über eine spezielle Syntax zusammenstellen; zudem sind diverse Filter bereits vordefiniert. Support existiert in Form eines Wiki-Systems und Mailing-Listen. Programmseitig herrscht keine Einschränkung für die aufzunehmende Datenmenge; diese wird durch die zur Verfügung stehende Festplattenkapazität begrenzt. Wireshark unterstützt alle wichtigen sowie viele weitere Netzwerkprotokolle. Als Wirtsysteme können Windows, Linux, Solaris, Mac OS und weitere dienen.

Kriterium	Gewichtung	Ausprägung	gewichtete Ausprägung
Preis / Kosten	6	9	54
Benutzerfreundlichkeit	4	5	20
Verfügbarkeit von Updates	7	7	49
Analyse-Funktion	8	4	32
Filter-Funktion	8	5	40
Support	3	6	18
Erfassbare Datenmenge	4	9	36
Anzahl unterstützer Protokolle	5	9	45
Unterstützung unterschiedlicher Betriebssysteme	6	8	48
Summe der gewichteten Ausprägungen:			342

Tabelle 3: Nutzwertanalyse - Wireshark

Die Nutzwertanalyse für Wireshark erreicht damit 342 von 459 möglichen Punkten (entspricht 74,5%).

5.1.4 Fazit / Empfehlung

Beide Produkte erreichen bei der Nutzwertanalyse überdurchschnittliche Ergebnisse und sind somit empfehlenswert.

Um entscheiden zu können, für welches Unternehmen und welche Anforderung der jeweilige Sniffer geeignet ist, müssen jedoch die Ausprägungen näher betrachtet werden. Daher im folgenden die Stärken der beiden Programme in der Übersicht:

• Wireshark:
  • Einsatz auch in unixoiden Netzwerklandschaften
  • Kostengünstiger Einsatz auch auf mehreren Wirtsystemen
  • Ausführliche Dokumentation und Support über Wiki-Systeme
  • Erweiterungen über eigene Programmierungen oder kostenlose Add-Ons möglich

• OptiView Protocol Expert
  • Sniffing mit Windows-basierten, portablen Systemen intuitiv möglich
  • Schnelle Analyse des Netzwerkverkehrs ohne tiefgreifende Kenntnisse jedes verwendeten Protokolls
  • Ausgereifte grafische Oberfläche
  • Telefonischer und internet-basierter Support

Eine auf ein Snifferprodukt festgelegte Empfehlung ist nicht möglich, sondern muss im Einzelfall anhand der jeweiligen Anforderungen der Unternehmen getroffen werden.

5.2 Bewertung und Einsatz von Netzwerk-Hard- und Software

Im vorherigen Kapitel 5.1 wurde der Einsatz von Software-Sniffern anhand zweier klassischer Vertreter beschrieben und bewertet. Damit diese eingesetzt werden können, bedarf es einem Wirt-System, also einer Kombination aus zwingend benötigter Hardware sowie einem geeigneten Betriebssystem.

Da für Netzwerk-Sniffer verschiedene Einsatzgebiete existieren, müssen diese zunächst voneinander abgegrenzt werden. Ebenfalls zu beachten sind unterschiedliche Netzwerkstrukturen in verschiedenen Unternehmen.

Über folgende Aspekte können die Gegebenheiten in Unternehmen klassifiziert werden:

• Unternehmensorganisation:
  • lokal (ein Gebäude / Standort)
  • regional (mehrere Gebäude / Standorte innerhalb derselben Region)
  • überregional (mehrere Standorte im selben Land)
  • international (mehrere Standorte in unterschiedlichen Ländern)

• Netzwerkstruktur:
  • Anzahl der Netzwerkkomponenten
  • Bandbreite
    • zwischen Endgerät und Netzwerkkomponente
    • zwischen zwei Netzwerkkomponenten
    • zwischen Standorten (ab regionaler Organisation)

• Einsatzdauer:
  • kurz
  • mittel
  • dauerhaft

Über die beschriebenen Aspekte können allgemeine Systeme für effiziente Netzwerkanalyse erarbeitet werden. Dies geschieht im nachfolgenden Kapitel.

5.2.1 Vorstellung zweier allgemeiner Systeme für die Netzwerkanalyse

Im Folgenden werden zwei allgemeine Systemanforderungen vorgestellt, mit welchen die verschiedenen Strukturen effizient abgebildet werden können.

• System 1, geeignet für:
  • mobiles Sniffing
  • kurzzeitige Aufzeichnung und Analyse
  • lokale oder regionale Unternehmensstruktur

System 1 entspricht am ehesten einem Notebook der Pentium-3-Generation (Vgl. Kapitel 4.3) und aufwärts. Es verfügt über eine 100Mbit-Netzwerkkarte sowie eine an die Aufzeichnungsdauer angepasste Akkulaufzeit. Große Hauptspeicher- oder Festplattenkapazitäten sind nicht nötig.

Es ist ausgestattet mit dem Betriebssystem Windows XP und - zur schnellen Analyse - dem Netzwerksniffer OptiView Protocol Expert.

• System 2, geeignet für:
  • stationäres Sniffing
  • mittel- bis langfristige Aufzeichnung und Analyse
  • regionale, überregionale und internationale Unternehmensstruktur

System 2 ist ein stromsparender Desktop-PC. Die CPU-Leistung entspricht der Pentium-3-Generation ab 850 MHz aufwärts (Vgl. Kapitel 4.3). Das System ist mit zwei 100MBit-Netzwerkkarten ausgestattet (eine Netzwerkkarte für den Fernzugriff, die zweite Netzwerkkarte für den Mitschnitt des Netzwerkverkehrs, zum Beispiel am Monitor-Port des Switches). Hauptspeicher und Festplattenkapazität sind auf die Aufzeichnungsdauer ausgelegt.

Es ist ausgestattet mit einem Linux-Derivat sowie der Sniffersoftware Wireshark.

5.2.2 Fazit

Die beiden vorgestellten Grundsysteme eignen sich zur Abbildung der unterschiedlichen Unternehmensanforderungen aus Kapitel 5.2.1. System 1 ist ausreichend dimensioniert, um spontane Netzwerkanalysen durchführen zu können. Die Software OptiView Protocol Expert liefert durch die herausragende Analysefunktion schnelle Ergebnisse. System 2 eignet sich hingegen für den dauerhaften Einsatz an entfernten Standorten. Durch das eingesetzte Betriebssystem auf Linux-basis sowie den kostenlos verfügbaren Sniffer Wireshark und die Möglichkeit, ältere Hardware verwenden zu können, entstehen auch bei dauerhaftem Einsatz nur geringe Kosten. Die zweite Netzwerkkarte ermöglicht eine Fernwartung des Systems und damit den Zugriff auf mitgeschnittene Daten.

6 Fazit der Hard- und Softwareanalyse

Netzwerksniffer stellen eine große Hilfe für jeden Netzwerkadministrator dar. Der Vergleich zweier Vertreter aus den Bereichen der OpenSource sowie der proprietären Software hat die Stärken der einzelnen Produkte herausgestellt. Je nach Anforderung eines Unternehmens, abhängig von Unternehmens- und Netzwerkstrukturen, leistet die gewählte Software auf der richtigen Hardware einen wertvollen Beitrag für verschiedene Anwendungsbereiche wie der Performance- oder Fehleranalyse. Die beschriebenen Kombinationen zwischen Hard- und Software stellen die Grundlage für eine effiziente Nutzung von Sniffern in Unternehmen dar.

Eine konkrete, allumfassende und für alle Situationen perfekte Empfehlung für die Bereiche Hard- und Software lässt sich jedoch nicht geben.

7 Fußnoten

1. ↑ Vgl. BSI Logdatenstudie (2007), S. 115
2. ↑ Vgl. Plötner, Wendzel (2007), S. 231
3. ↑ Vgl. Sanders (2007), S. 2
4. ↑ Vgl. Aurand (2005), S. 3
5. ↑ Knapp (2005), S. 17
6. ↑ Frisch et al. (2005), Seite 18
7. ↑ Vgl. Sanders (2007), S. 16
8. ↑ Vgl. Ahlers (2007), S. 132
9. ↑ Vgl. Ahlers (2007), S. 132
10. ↑ Vgl. Sanders (2007), S. 20f
11. ↑ Vgl. Aurand (2005), S. 5
12. ↑ Vgl. Aurand (2005), S. 7
13. ↑ Vgl. http://www.wireshark.org/about.html , Stand: 14.02.2009 20:57 Uhr
14. ↑ Vgl. http://www.flukenetworks.com/ , Stand: 14.02.2009 20:58 Uhr
15. ↑ Vgl. http://www.flukenetworks.com/fnet/de-de/aboutUs/Unternehmensgeschichte.htm , Stand: 14.02.2009 20:59 Uhr
16. ↑ Vgl. Sanders (2007), S. 27
17. ↑ Vgl. http://www.winpcap.org/ , Stand: 14.02.2009 21:00 Uhr

8 Literatur- und Quellenverzeichis

Plötner, Wendzel (2007)	Plötner, Johannes; Wendzel, Steffen: Praxisbuch Netzwerksicherheit, 2. Auflage, Galileo Press, Bonn, 2007
Sanders (2007)	Sanders, Chris: Practical Packet Analysis, 1. Auflage, No Stach Press Inc., San Francisco, 2007
Aurand (2005)	Aurand, Andreas: LAN-Sicherheit, 1. Auflage, dpunkt.verlag GmbH, Heidelberg, 2005
Knapp (2005)	Knapp, Detlef: Der TCP/IP-Administrator, 1. Auflage, WEKA MEDIA GmbH & Co. KG, Kissing, 2005
Frisch et al. (2005)	Frisch, Werner; Hölzel, Hans-Joachim; Lintermann, Franz-Josef; Schaefer, Udo: Basiswissen IT-Berufe - Vernetzte IT-Systeme, 2. Auflage, Bildungsverlag EINS, Troisdorf, 2005
Ahlers (2007)	Ahlers, Ernst: c't special Netzwerke 01/2008, Heise Zeitschriftenverlag GmbH & Co. KG, Hannover, 2007
BSI Logdatenstudie (2007)	Bundesamt für Sicherheit in der Informationstechnik, Studie über die Nutzung von Log- und Monitoringdaten im Rahmen der IT-Frühwarnung und für einen sicheren IT-Betrieb, http://www.bsi.de/literat/studien/logdaten/logdatenstudie.pdf, Bonn, 2007
http://www.wireshark.org/	Weblink: http://www.wireshark.org/
http://www.winpcap.org/	Weblink: http://www.winpcap.org/
http://www.flukenetworks.com/	Weblink: http://www.flukenetworks.com/