Netzwerk/Analyse
Netzwerk-Analyse - Untersuchung des Datenverkehrs zwischen Computern
Beschreibung
- Sämtliche Vorgänge zur Untersuchung der Daten, die über die Medien eines lokalen Datennetzes gesendet bzw. empfangen werden
- Damit ist weniger die Ausspähung privater Daten gemeint
- als die technische Überwachung bzw. die Diagnose technischer Fehler
- welche die Verfügbarkeit und/oder Sicherheit der Daten und Dienste beeinträchtigen
- LAN-Analyse wird wegen des beträchtlichen Aufwands und erheblichen Bedarfs an Spezialisten-Wissen
- Eher re-aktiv (im Schadensfall)
- Selten nur pro-aktiv (zur Vorbeugung)
Werkzeuge
- Klassische LAN-Analyzer untersuchen den Datenverkehr in Echtzeit
- während der Kontakt zum Übertragungs-Medium gegeben ist
- Bekannte Produkte
- Wireshark (Open Source/GPL)
- Sniffer (Network General)
- EtherPeek (WildPackets)
- Observer (Networks Instruments)
- Offline-Analyse aufgezeichneter Daten
- TraceMagic (Synapse Networks)
- Der Begriff „Sniffer“ steht inzwischen für die gesamte Gattung der LAN-Analyzer
- Technische Werkzeuge sind
- Kabeltester (cable scanner)
- Monitoring-Software (beispielsweise Nagios, NTop, Zabbix etc.)
- LAN-Analysatoren → Sniffer
- Dokumentations-Software (z. B. Visio)
- Software zur Systemanalyse (Registry-Checks, DLL-Tests etc.)
Zweck/Perspektive
Der Zwang, die Verfügbarkeit der Daten und Dienste bei ständig 100 % zu halten, führt zu immer höherem Aufwand, Fehlern entweder sofort nach ihrem Auftreten zu begegnen, oder durch vorbeugende Maßnahmen das Auftreten von Fehlern schon praktisch unmöglich zu machen.
- Wie weit dieses Ideal je erreicht werden könnte, ist ebenso ungewiss wie die Antwort auf die Frage, welcher Aufwand für das Ziel angemessen bzw. gerechtfertigt erscheinen mag.
Aus technischer Sicht mag es sinnvoll erscheinen, eher mehr als zu wenig Analyse (sprich Kontrolle) zu betreiben (um nicht später den „Schwarzen Peter“ im Schadensfall zugeschoben zu bekommen).
- Aus kaufmännischer Sicht jedoch sprechen die erhöhten Kosten dagegen – mit dem Risiko lebend, langfristig Störungen oder sogar den Total-Ausfall zu riskieren.
Sicherheit
Daten-Sicherheit vs. Daten-Vertraulichkeit
- Um Angriffen mit Viren, Trojanern usw. zu begegnen, ist fortlaufende Analyse/Beobachtung des Datennetzes Pflicht.
- Andererseits ist die Daten-Vertraulichkeit nach Datenschutzgesetz sowie Betriebsverfassungs- und Betriebsmitbestimmungsgesetz ebenso zu beachten
- so darf zum Beispiel keine heimliche automatisierte Leistungskontrolle der Mitarbeiter betrieben werden, und die Messdaten dürfen nicht auf unbestimmte Zeit zu unbestimmtem Zweck gespeichert werden.
Hier allen Belangen gerecht zu werden und „LAN-Analyse“ in ebenso maßvollem wie wirkungsvollem Umfang zu betreiben, ist zwar meistens möglich, aber im Einzelfall schwierig.
Zwielichtige Anwendungen
- Die Grenzen zwischen Werkzeugen der LAN-Analyse (einerseits) und Hacker-Tools (andererseits) sind fließend.
- In dieser Grauzone gibt es Software, die abhängig vom Blickwinkel unterschiedlich bewertet werden kann.
- Im weitesten Sinne fällt unter den Begriff der Netzwerk-Analyse auch das gezielte Ausspionieren von Daten und von Benutzer-Verhalten.
- So sind die Geheimdienste dieser Welt sehr daran interessiert, die E-Mails ihrer Bürger online und in Echtzeit zu scannen.
- Auch hier sind die Grenzen zwischen Legalität und Illegalität sehr verschwommen.
- Auch seriöse Werkzeuge der LAN-Analyse können sehr wohl für diese Zwecke missbraucht werden.
Siehe auch
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
- https://de.wikipedia.org/wiki/LAN-Analyse
- https://de.wikipedia.org/wiki/Netzwerkanalyse_(Informatik)
- https://www.lanpedia.de/LAN-WAN-Analysis/htm/ger/_0/LAN-Analyse.htm
- Network Event Detection With Entropy Measures, Dr. Raimund Eimann, University of Auckland, PDF-Datei; 5993 kB (englisch)
- Netzwerk-Analyse mit Sniffern und Scannern, TU-Berlin, PDF
- Remote Network Analysis, TU Chemnitz, PDF-Datei; 712 kB (englisch)
- BSI Analyse der aktuellen Netzsituation, Bundesamt für Sicherheit in der Informationstechnik
- BSI Regelmäßiger Sicherheitscheck des Netzes, Bundesamt für Sicherheit in der Informationstechnik
- Identifying Web Applications von Fabian Mihailowitsch, PDF-Datei; 649 kB (englisch)
Testfragen
Testfrage 1
Testfrage 2
Testfrage 3
Testfrage 4
Testfrage 5
TMP
Einordnung und Abgrenzung
- Elemente der Netzwerk-Analyse
- Aufzeichnung und Auswertung des Datenverkehrs
- Statistiken über Verkehrsmengen und -richtungen
- Verkehrs-Matrix: wer mit wem, wann, wie viel?
- Untersuchung des Applikationsverhaltens
- Abgleich mit Dokumentationen (Soll-ist-Abgleich)
- Nachvollziehen der „Krankheitsgeschichte“: Migrationen, Upgrades etc.
Netzwerk-Analyse ist nicht identisch mit LAN-Analyse. Tatsächlich ist die Analyse des gesamten Kommunikationsnetzes umfassender, da nicht nur die Kommunikation der Netzwerk-Komponenten untereinander berücksichtigt wird, sondern auch die internen Geschehnisse der Clients, Server, Drucker, Router etc.
Analyse und Dokumentation
Netzwerk-Analyse ist gekoppelt an das Aufarbeiten und Ergänzen vorhandener und oft lückenhafter Dokumentation als Folge zu starker Arbeitsteilung in den Unternehmen.
Im Fehlerfall zeigt sich oft:
- Im Pilot-Projekt war etwas „gut“ getestet, im „Live“-Netz gibt es Störungen (Mengengerüst).
- Was eine Abteilung ohne enge Abstimmung mit anderen in Betrieb nimmt, kann scheitern.
Das Wissen um Fehlerbedingungen und Lösungsmöglichkeiten ist meistens in der Summe aller Beteiligten vorhanden, nur müssen diese auch untereinander kommunizieren, Dokumentationen austauschen usw.
Der praktische Teil der Netzwerk-Analyse, die LAN-Analyse, findet nicht nur Fehler, sondern beschafft in weitem Umfang auch die dokumentarische Basis für zukünftig besseres Vorgehen im Falle von Migrationen, Roll-Outs usw.
Der Wert von Dokumentation ist zwar allgemein anerkannt, nimmt aber im Tagesablauf meistens nicht genügend Raum ein.
Methodisches Vorgehen
Das sogenannte OSI-Modell der Datenkommunikation ist in vielen Fällen ein hilfreicher Ansatz, die Netzwerkanalyse zu gliedern bzw. zu einem geordneten Vorgehen zu bringen.
Ein verbreitetes Verfahren ist, erst die Physik zu testen, dann die Datenvermittlung (Routing) zu prüfen, dann das Dialogverhalten zu sichten (Transport) und am Ende das Applikationsverhalten zu untersuchen.
Zu jedem dieser Schritte erfolgt parallel die notwendige dokumentarische Arbeit.
Network Monitoring und Network Management
Unter Netzwerk-Analyse wird allgemein die reaktive Betrachtung von Datenverkehr verstanden. Tatsächlich aber sind Echtzeitmethoden ebenfalls Bestandteil jeder Analyse.
- Network Monitoring: passive Beobachtung der Kommunikation, Erzeugen von Statistiken
- Network Management: aktives Steuern der Komponenten samt Fehlerkontrolle
Sicherheitsanalyse
Netzwerkanalyse ist auch Sicherheitsanalyse. Möglichen Angriffen von innen und außen mit wirksamen Mitteln zum frühest möglichen Zeitpunkt zu begegnen, ist in der Praxis eine tägliche Anforderung, da die Angriffstechniken immer weiter vorangetrieben werden.
Fragestellungen dabei sind: Blockieren die Firewall-Systeme unerwünschte Besucher und/oder Dienste? Sind die Sicherheitsrichtlinien der Server ausreichend? Ist die Anti-Virus-Software auf den Client-PCs immer ausreichend aktuell? Wie werden externe Techniker mit ihren Laptops behandelt, sofern diese Kontakt mit dem Datennetz haben? Ist das Funknetz (WLAN) ausreichend gesichert (verschlüsselt)?
Eine Ist-Aufnahme in diesem Umfeld ist sehr aufwendig, aber ein- bis zweimal pro Jahr unerlässlich. So genannte Audits sollten regelmäßig durchgeführt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Hinweise zu diesem Thema.