Netzwerk/Analyse: Unterschied zwischen den Versionen
K Textersetzung - „Man-Pages“ durch „Man-Page“ |
|||
(40 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
''' | '''Netzwerk-Analyse''' - Untersuchung des [[Datenverkehr]]s zwischen [[Computer]]n | ||
== Beschreibung == | == Beschreibung == | ||
; Sämtliche Vorgänge zur Untersuchung der Daten, die über die Medien eines lokalen [[Datennetz]]es gesendet bzw. empfangen werden | |||
* Damit ist weniger die Ausspähung privater Daten gemeint | |||
=== | * als die technische Überwachung bzw. die Diagnose technischer Fehler | ||
== | * welche die Verfügbarkeit und/oder Sicherheit der Daten und Dienste beeinträchtigen | ||
= | |||
== | ; LAN-Analyse wird wegen des beträchtlichen Aufwands und erheblichen Bedarfs an Spezialisten-Wissen | ||
=== | * Eher re-aktiv (im Schadensfall) | ||
* Selten nur pro-aktiv (zur Vorbeugung) | |||
=== | === Einordnung und Abgrenzung === | ||
==== Elemente der Netzwerk-Analyse ==== | |||
* Aufzeichnung und Auswertung des Datenverkehrs | |||
* Statistiken über Verkehrsmengen und -richtungen | |||
* Verkehrs-Matrix: wer mit wem, wann, wie viel? | |||
* Untersuchung des Applikationsverhaltens | |||
* Abgleich mit Dokumentationen (Soll-ist-Abgleich) | |||
* Nachvollziehen der „Krankheitsgeschichte“: Migrationen, Upgrades etc. | |||
; Netzwerk-Analyse ist nicht identisch mit LAN-Analyse | |||
Analyse des gesamten Kommunikationsnetzes ist umfassender | |||
* da nicht nur die Kommunikation der Netzwerk-Komponenten untereinander berücksichtigt wird | |||
* Sondern auch die internen Geschehnisse der Clients, Server, Drucker, Router etc. | |||
==== Network Monitoring und Network Management ==== | |||
Unter Netzwerk-Analyse wird allgemein die reaktive Betrachtung von Datenverkehr verstanden. Tatsächlich aber sind Echtzeitmethoden ebenfalls Bestandteil jeder Analyse. | |||
* Network Monitoring: passive Beobachtung der Kommunikation, Erzeugen von Statistiken | |||
* Network Management: aktives Steuern der Komponenten samt Fehlerkontrolle | |||
=== Zweck/Perspektive === | |||
Der Zwang, die Verfügbarkeit der Daten und Dienste bei ständig 100 % zu halten, führt zu immer höherem Aufwand, Fehlern entweder sofort nach ihrem Auftreten zu begegnen, oder durch vorbeugende Maßnahmen das Auftreten von Fehlern schon praktisch unmöglich zu machen. | |||
* Wie weit dieses Ideal je erreicht werden könnte, ist ebenso ungewiss wie die Antwort auf die Frage, welcher Aufwand für das Ziel angemessen bzw. gerechtfertigt erscheinen mag. | |||
Aus technischer Sicht mag es sinnvoll erscheinen, eher mehr als zu wenig Analyse (sprich Kontrolle) zu betreiben (um nicht später den „Schwarzen Peter“ im Schadensfall zugeschoben zu bekommen). | |||
* Aus kaufmännischer Sicht jedoch sprechen die erhöhten Kosten dagegen – mit dem Risiko lebend, langfristig Störungen oder sogar den Total-Ausfall zu riskieren. | |||
=== Dokumentation === | === Analyse und Dokumentation === | ||
; Netzwerk-Analyse ist gekoppelt an das Aufarbeiten und Ergänzen vorhandener und oft lückenhafter Dokumentation als Folge zu starker Arbeitsteilung in den Unternehmen. | |||
; Im Fehlerfall zeigt sich oft | |||
* Im Pilot-Projekt war etwas „gut“ getestet, im „Live“-Netz gibt es Störungen (Mengengerüst). | |||
* Was eine Abteilung ohne enge Abstimmung mit anderen in Betrieb nimmt, kann scheitern. | |||
Das Wissen um Fehlerbedingungen und Lösungsmöglichkeiten ist meistens in der Summe aller Beteiligten vorhanden, nur müssen diese auch untereinander kommunizieren, Dokumentationen austauschen usw. | |||
Der praktische Teil der Netzwerk-Analyse, die LAN-Analyse, findet nicht nur Fehler, sondern beschafft in weitem Umfang auch die dokumentarische Basis für zukünftig besseres Vorgehen im Falle von Migrationen, Roll-Outs usw. | |||
Der Wert von Dokumentation ist zwar allgemein anerkannt, nimmt aber im Tagesablauf meistens nicht genügend Raum ein. | |||
== Methodisches Vorgehen == | |||
; Das [[OSI-Modell]] der Datenkommunikation ist in vielen Fällen ein hilfreicher Ansatz | |||
* Netzwerkanalyse gliedern | |||
* geordnetes Vorgehen | |||
; Verbreitetes Verfahren | |||
* erst die Physik zu testen | |||
* dann die Datenvermittlung (Routing) zu prüfen | |||
* dann das Dialogverhalten zu sichten (Transport) | |||
* am Ende das Applikationsverhalten zu untersuchen | |||
; Zu jedem dieser Schritte erfolgt parallel die notwendige dokumentarische Arbeit | |||
== Werkzeuge == | == Werkzeuge == | ||
; Klassische LAN-Analyzer untersuchen den Datenverkehr in [[Echtzeit]] | |||
* während der Kontakt zum Übertragungs-Medium gegeben ist | |||
; Bekannte Produkte | |||
* [[Wireshark]] (Open Source/GPL) | |||
* Sniffer (Network General) | |||
* EtherPeek (WildPackets) | |||
* Observer (Networks Instruments) | |||
; Offline-Analyse aufgezeichneter Daten | |||
* TraceMagic (Synapse Networks) | |||
Der | ; Der Begriff „[[Sniffer]]“ steht inzwischen für die gesamte Gattung der LAN-Analyzer | ||
; Technische Werkzeuge sind | |||
* Kabeltester (cable scanner) | |||
* Monitoring-Software (beispielsweise [[Nagios]], NTop, [[Zabbix]] etc.) | |||
* LAN-Analysatoren → [[Sniffer]] | |||
* Dokumentations-Software (z. B. Visio) | |||
* Software zur Systemanalyse (Registry-Checks, DLL-Tests etc.) | |||
== | == Sicherheit == | ||
=== Sicherheitsanalyse === | |||
Netzwerkanalyse ist auch Sicherheitsanalyse. Möglichen Angriffen von innen und außen mit wirksamen Mitteln zum frühest möglichen Zeitpunkt zu begegnen, ist in der Praxis eine tägliche Anforderung, da die Angriffstechniken immer weiter vorangetrieben werden. | |||
Fragestellungen dabei sind: Blockieren die Firewall-Systeme unerwünschte Besucher und/oder Dienste? Sind die Sicherheitsrichtlinien der Server ausreichend? Ist die Anti-Virus-Software auf den Client-PCs immer ausreichend aktuell? Wie werden externe Techniker mit ihren Laptops behandelt, sofern diese Kontakt mit dem Datennetz haben? Ist das Funknetz (WLAN) ausreichend gesichert (verschlüsselt)? | |||
Eine Ist-Aufnahme in diesem Umfeld ist sehr aufwendig, aber ein- bis zweimal pro Jahr unerlässlich. So genannte Audits sollten regelmäßig durchgeführt werden. | |||
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Hinweise zu diesem Thema. | |||
=== Daten-Sicherheit vs. Daten-Vertraulichkeit === | |||
* Um Angriffen mit Viren, Trojanern usw. zu begegnen, ist fortlaufende Analyse/Beobachtung des Datennetzes Pflicht. | |||
* Andererseits ist die Daten-Vertraulichkeit nach Datenschutzgesetz sowie Betriebsverfassungs- und Betriebsmitbestimmungsgesetz ebenso zu beachten | |||
** so darf zum Beispiel keine heimliche automatisierte Leistungskontrolle der Mitarbeiter betrieben werden, und die Messdaten dürfen nicht auf unbestimmte Zeit zu unbestimmtem Zweck gespeichert werden. | |||
Auch seriöse Werkzeuge der LAN-Analyse können sehr wohl für diese Zwecke missbraucht werden. | Hier allen Belangen gerecht zu werden und „LAN-Analyse“ in ebenso maßvollem wie wirkungsvollem Umfang zu betreiben, ist zwar meistens möglich, aber im Einzelfall schwierig. | ||
=== Zwielichtige Anwendungen === | |||
; Die Grenzen zwischen Werkzeugen der LAN-Analyse (einerseits) und Hacker-Tools (andererseits) sind fließend. | |||
* In dieser Grauzone gibt es Software, die abhängig vom Blickwinkel unterschiedlich bewertet werden kann. | |||
;: Im weitesten Sinne fällt unter den Begriff der '''Netzwerk-Analyse''' auch das gezielte Ausspionieren von Daten und von Benutzer-Verhalten. | |||
* So sind die Geheimdienste dieser Welt sehr daran interessiert, die E-Mails ihrer Bürger online und in Echtzeit zu scannen. | |||
* Auch hier sind die Grenzen zwischen Legalität und Illegalität sehr verschwommen. | |||
; Auch seriöse Werkzeuge der LAN-Analyse können sehr wohl für diese Zwecke missbraucht werden. | |||
== Siehe auch == | |||
# [[Wireshark]] | |||
# [[WLAN-Sniffer]] | |||
=== Dokumentation === | |||
==== RFC ==== | |||
==== Man-Page ==== | |||
==== Info-Pages ==== | |||
=== Links === | |||
==== Projekt ==== | |||
==== Weblinks ==== | |||
# https://de.wikipedia.org/wiki/LAN-Analyse | |||
# https://de.wikipedia.org/wiki/Netzwerkanalyse_(Informatik) | |||
# https://www.lanpedia.de/LAN-WAN-Analysis/htm/ger/_0/LAN-Analyse.htm | |||
# [https://researchspace.auckland.ac.nz/handle/2292/3427 Network Event Detection With Entropy Measures], Dr. Raimund Eimann, University of Auckland, PDF-Datei; 5993 kB (englisch) | |||
# [http://kbs.cs.tu-berlin.de/teaching/sose2005/sir/Vortraege/B6-Netzwerkanalyse.pdf Netzwerk-Analyse mit Sniffern und Scannern], TU-Berlin, PDF | |||
# [http://www.ccc.de/congress/2004/fahrplan/files/55-verdeckte-netzwerkanalyse-slides.pdf Remote Network Analysis], TU Chemnitz, PDF-Datei; 712 kB (englisch) | |||
# [https://www.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/m/m02/m02140.html BSI Analyse der aktuellen Netzsituation], Bundesamt für Sicherheit in der Informationstechnik | |||
# [http://www.bsi.bund.de/gshb/deutsch/m/m05008.htm BSI Regelmäßiger Sicherheitscheck des Netzes], Bundesamt für Sicherheit in der Informationstechnik | |||
# [http://events.ccc.de/congress/2011/Fahrplan/attachments/2024_Dont_scan_just_ask_Fabian_Mihailowitsch.pdf Identifying Web Applications] von Fabian Mihailowitsch, PDF-Datei; 649 kB (englisch) | |||
[[Kategorie:Netzwerk/Analyse]] |
Aktuelle Version vom 6. November 2024, 12:54 Uhr
Netzwerk-Analyse - Untersuchung des Datenverkehrs zwischen Computern
Beschreibung
- Sämtliche Vorgänge zur Untersuchung der Daten, die über die Medien eines lokalen Datennetzes gesendet bzw. empfangen werden
- Damit ist weniger die Ausspähung privater Daten gemeint
- als die technische Überwachung bzw. die Diagnose technischer Fehler
- welche die Verfügbarkeit und/oder Sicherheit der Daten und Dienste beeinträchtigen
- LAN-Analyse wird wegen des beträchtlichen Aufwands und erheblichen Bedarfs an Spezialisten-Wissen
- Eher re-aktiv (im Schadensfall)
- Selten nur pro-aktiv (zur Vorbeugung)
Einordnung und Abgrenzung
Elemente der Netzwerk-Analyse
- Aufzeichnung und Auswertung des Datenverkehrs
- Statistiken über Verkehrsmengen und -richtungen
- Verkehrs-Matrix: wer mit wem, wann, wie viel?
- Untersuchung des Applikationsverhaltens
- Abgleich mit Dokumentationen (Soll-ist-Abgleich)
- Nachvollziehen der „Krankheitsgeschichte“: Migrationen, Upgrades etc.
- Netzwerk-Analyse ist nicht identisch mit LAN-Analyse
Analyse des gesamten Kommunikationsnetzes ist umfassender
- da nicht nur die Kommunikation der Netzwerk-Komponenten untereinander berücksichtigt wird
- Sondern auch die internen Geschehnisse der Clients, Server, Drucker, Router etc.
Network Monitoring und Network Management
Unter Netzwerk-Analyse wird allgemein die reaktive Betrachtung von Datenverkehr verstanden. Tatsächlich aber sind Echtzeitmethoden ebenfalls Bestandteil jeder Analyse.
- Network Monitoring: passive Beobachtung der Kommunikation, Erzeugen von Statistiken
- Network Management: aktives Steuern der Komponenten samt Fehlerkontrolle
Zweck/Perspektive
Der Zwang, die Verfügbarkeit der Daten und Dienste bei ständig 100 % zu halten, führt zu immer höherem Aufwand, Fehlern entweder sofort nach ihrem Auftreten zu begegnen, oder durch vorbeugende Maßnahmen das Auftreten von Fehlern schon praktisch unmöglich zu machen.
- Wie weit dieses Ideal je erreicht werden könnte, ist ebenso ungewiss wie die Antwort auf die Frage, welcher Aufwand für das Ziel angemessen bzw. gerechtfertigt erscheinen mag.
Aus technischer Sicht mag es sinnvoll erscheinen, eher mehr als zu wenig Analyse (sprich Kontrolle) zu betreiben (um nicht später den „Schwarzen Peter“ im Schadensfall zugeschoben zu bekommen).
- Aus kaufmännischer Sicht jedoch sprechen die erhöhten Kosten dagegen – mit dem Risiko lebend, langfristig Störungen oder sogar den Total-Ausfall zu riskieren.
Analyse und Dokumentation
- Netzwerk-Analyse ist gekoppelt an das Aufarbeiten und Ergänzen vorhandener und oft lückenhafter Dokumentation als Folge zu starker Arbeitsteilung in den Unternehmen.
- Im Fehlerfall zeigt sich oft
- Im Pilot-Projekt war etwas „gut“ getestet, im „Live“-Netz gibt es Störungen (Mengengerüst).
- Was eine Abteilung ohne enge Abstimmung mit anderen in Betrieb nimmt, kann scheitern.
Das Wissen um Fehlerbedingungen und Lösungsmöglichkeiten ist meistens in der Summe aller Beteiligten vorhanden, nur müssen diese auch untereinander kommunizieren, Dokumentationen austauschen usw.
Der praktische Teil der Netzwerk-Analyse, die LAN-Analyse, findet nicht nur Fehler, sondern beschafft in weitem Umfang auch die dokumentarische Basis für zukünftig besseres Vorgehen im Falle von Migrationen, Roll-Outs usw.
Der Wert von Dokumentation ist zwar allgemein anerkannt, nimmt aber im Tagesablauf meistens nicht genügend Raum ein.
Methodisches Vorgehen
- Das OSI-Modell der Datenkommunikation ist in vielen Fällen ein hilfreicher Ansatz
- Netzwerkanalyse gliedern
- geordnetes Vorgehen
- Verbreitetes Verfahren
- erst die Physik zu testen
- dann die Datenvermittlung (Routing) zu prüfen
- dann das Dialogverhalten zu sichten (Transport)
- am Ende das Applikationsverhalten zu untersuchen
- Zu jedem dieser Schritte erfolgt parallel die notwendige dokumentarische Arbeit
Werkzeuge
- Klassische LAN-Analyzer untersuchen den Datenverkehr in Echtzeit
- während der Kontakt zum Übertragungs-Medium gegeben ist
- Bekannte Produkte
- Wireshark (Open Source/GPL)
- Sniffer (Network General)
- EtherPeek (WildPackets)
- Observer (Networks Instruments)
- Offline-Analyse aufgezeichneter Daten
- TraceMagic (Synapse Networks)
- Der Begriff „Sniffer“ steht inzwischen für die gesamte Gattung der LAN-Analyzer
- Technische Werkzeuge sind
- Kabeltester (cable scanner)
- Monitoring-Software (beispielsweise Nagios, NTop, Zabbix etc.)
- LAN-Analysatoren → Sniffer
- Dokumentations-Software (z. B. Visio)
- Software zur Systemanalyse (Registry-Checks, DLL-Tests etc.)
Sicherheit
Sicherheitsanalyse
Netzwerkanalyse ist auch Sicherheitsanalyse. Möglichen Angriffen von innen und außen mit wirksamen Mitteln zum frühest möglichen Zeitpunkt zu begegnen, ist in der Praxis eine tägliche Anforderung, da die Angriffstechniken immer weiter vorangetrieben werden.
Fragestellungen dabei sind: Blockieren die Firewall-Systeme unerwünschte Besucher und/oder Dienste? Sind die Sicherheitsrichtlinien der Server ausreichend? Ist die Anti-Virus-Software auf den Client-PCs immer ausreichend aktuell? Wie werden externe Techniker mit ihren Laptops behandelt, sofern diese Kontakt mit dem Datennetz haben? Ist das Funknetz (WLAN) ausreichend gesichert (verschlüsselt)?
Eine Ist-Aufnahme in diesem Umfeld ist sehr aufwendig, aber ein- bis zweimal pro Jahr unerlässlich. So genannte Audits sollten regelmäßig durchgeführt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Hinweise zu diesem Thema.
Daten-Sicherheit vs. Daten-Vertraulichkeit
- Um Angriffen mit Viren, Trojanern usw. zu begegnen, ist fortlaufende Analyse/Beobachtung des Datennetzes Pflicht.
- Andererseits ist die Daten-Vertraulichkeit nach Datenschutzgesetz sowie Betriebsverfassungs- und Betriebsmitbestimmungsgesetz ebenso zu beachten
- so darf zum Beispiel keine heimliche automatisierte Leistungskontrolle der Mitarbeiter betrieben werden, und die Messdaten dürfen nicht auf unbestimmte Zeit zu unbestimmtem Zweck gespeichert werden.
Hier allen Belangen gerecht zu werden und „LAN-Analyse“ in ebenso maßvollem wie wirkungsvollem Umfang zu betreiben, ist zwar meistens möglich, aber im Einzelfall schwierig.
Zwielichtige Anwendungen
- Die Grenzen zwischen Werkzeugen der LAN-Analyse (einerseits) und Hacker-Tools (andererseits) sind fließend.
- In dieser Grauzone gibt es Software, die abhängig vom Blickwinkel unterschiedlich bewertet werden kann.
- Im weitesten Sinne fällt unter den Begriff der Netzwerk-Analyse auch das gezielte Ausspionieren von Daten und von Benutzer-Verhalten.
- So sind die Geheimdienste dieser Welt sehr daran interessiert, die E-Mails ihrer Bürger online und in Echtzeit zu scannen.
- Auch hier sind die Grenzen zwischen Legalität und Illegalität sehr verschwommen.
- Auch seriöse Werkzeuge der LAN-Analyse können sehr wohl für diese Zwecke missbraucht werden.
Siehe auch
Dokumentation
RFC
Man-Page
Info-Pages
Links
Projekt
Weblinks
- https://de.wikipedia.org/wiki/LAN-Analyse
- https://de.wikipedia.org/wiki/Netzwerkanalyse_(Informatik)
- https://www.lanpedia.de/LAN-WAN-Analysis/htm/ger/_0/LAN-Analyse.htm
- Network Event Detection With Entropy Measures, Dr. Raimund Eimann, University of Auckland, PDF-Datei; 5993 kB (englisch)
- Netzwerk-Analyse mit Sniffern und Scannern, TU-Berlin, PDF
- Remote Network Analysis, TU Chemnitz, PDF-Datei; 712 kB (englisch)
- BSI Analyse der aktuellen Netzsituation, Bundesamt für Sicherheit in der Informationstechnik
- BSI Regelmäßiger Sicherheitscheck des Netzes, Bundesamt für Sicherheit in der Informationstechnik
- Identifying Web Applications von Fabian Mihailowitsch, PDF-Datei; 649 kB (englisch)