topic - Kurzbeschreibung

Beschreibung

Warum Mirroring?

Port Mirroring

• Verhalten von Endgeräte im Netzwerk untersuchen
• Port Mirroring am Switch
• Andere günstige Lösung

Der Einsatz von NetMon 3 und WireShark erfordert, dass man die Pakete auch geliefert bekommt, die man anschauen will.

• Das funktioniert auf einem "shared Medium" wie dem alten BNC-Kabel (10MBit) oder einem Hub recht einfach.
• Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann.

Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten die auf einem Port raus und rein gehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.

• So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.

Einsatzbereich

• Analyse von Endgeräten
  • Ich schaue schon mal gerne einem VoIP-Telefon auf die Finger, in welcher Reihenfolge es versucht Namen aufzulösen und Hosts zu erreichen.
• Auch "Smart-TVs" sind durchaus für eine weitere Untersuchung interessant.
• VerkehrsdatenerfassungWenn ihr Router/Switch kein SFLOW, NetFlow o.ä.
• Unterstützt, dann ist es durchaus eine Option die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z.B. mit NTOP o.ä. FehlersucheGanz generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen.
• Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht aber nicht, was letztlich auf dem Kabel landet.
• Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden.
• Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat.
• Das war in NETMON auf dem absendenden Server nicht zu sehen.

Das Problem der großen Switches ist aber, dass Sie ein groß sind und damit eher stationär eingesetzt werden

• Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen.
• Zudem sind solche Switches in der Regel etwas teurer.

Port mirroring

Port mirroring is used on a network switch to send a copy of network packets seen on one switch port (or an entire VLAN) to a network monitoring connection on another switch port.

• This is commonly used for network appliances that require monitoring of network traffic such as an intrusion detection system, passive probe or real user monitoring (RUM) technology that is used to support application performance management (APM).
• Port mirroring on a Cisco Systems switch is generally referred to as Switched Port Analyzer (SPAN) or Remote Switched Port Analyzer (RSPAN).
• Other vendors have different names for it, such as Roving Analysis Port (RAP) on 3Com switches.

Network engineers or administrators use port mirroring to analyze and debug data or diagnose errors on a network.

• It helps administrators keep a close eye on network performance and alerts them when problems occur.
• It can be used to mirror either inbound or outbound traffic (or both) on single or multiple interfaces.

External links

• Cisco Systems - Catalyst Switched Port Analyzer (SPAN) Configuration Example
• Port mirroring (roving analysis port) - TechTarget, 2014
• Port Mirroring - Technopedia

https://en.wikipedia.org/wiki/Port_mirroring

Port-Mirroring

Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port).

• So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie in Abbildung 2-8 dargestellt.

"Bild :Datenverkehr auslesen mittels Port-Mirroring"

Bild

Datenverkehr auslesen mittels Port-Mirroring

Der verwendete Switch muss hierzu Port-Mirroring unterstützen.

• Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen.
• Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
• Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen.

• Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen.
• Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen.
• Es können nur Daten erfasst werden, die den Switch durchlaufen.
• Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können.
• Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden.

https://www.profinet.felser.ch/port-mirroring.html

Anwendungen

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Siehe auch

1. VLAN access control list (VACL)

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

• https://www.juniper.net/documentation/us/en/software/junos/network-mgmt/topics/topic-map/port-mirroring-and-analyzers.html
• https://www.msxfaq.de/tools/3rdparty/portmirroring.htm
• NTOP
• NetMon 3
• WireShark
• Network taphttp://en.wikipedia.org/wiki/Network_tap
• Passiver Ethernet Tap im Praxistexthttp://www.nwlab.net/art/taps/passiver-tap.html
• Netgear GS-105Ehttp://www.netgear.de/products/business/switches/prosafe-plus-switches/gs105e.aspx
• Vulnerability Note VU#143740https://www.kb.cert.org/vuls/id/143740Laut Webseite wurde die VU gerade mal 2 Tage früher erstellt, als diese Seite per RSS-Feed publiziert wurde.
• Netter Zufall.
• Es schauen also auch noch andere ab und an in ein BIOS-update
• Deploying Deskphones für Lync? You Want This Switch!http://insideactiveroles.com/2014/09/09/deploying-deskphones-for-lync-you-want-this-switch/comment-page-1
• http://wiki.wireshark.org/TapReference
• http://ask.wireshark.org/questions/3413/network-tap
• https://ask.wireshark.org/questions/13814/where-can-i-find-a-good-tap
• http://www.lovemytool.com/blog/2011/07/cheap-and-cheerful-tap-alternative-by-tony-fortunato.html
• http://www.dual-comm.com/gigabit_port-mirroring-LAN_switch.htm
• http://www.netscout.com/products/service_provider/nSAS/ngenius_switches/ngenius_1500_series/Pages/default.aspx
• https://www.securityforrealpeople.com/2014/09/how-to-build-10-network-tap.html

https://www.msxfaq.de/tools/3rdparty/portmirroring.htm

Testfragen

TMP

Ein Switch

• z.B. NetGear GS105Ev2, DLink DGS-1100-05

Da es für 100/1000 Megabit nur Switche gibt und keine Hubs mehr möglich sind, muss also ein Switch ins Haus, der einen Mirror-Port hat, klein und mobil ist und idealerweise nicht viel Geld kostet.

• Natürlich gibt es sehr leistungsfähige Switches wie z.B. einen "CISCO SG 200-08P 8-port Gigabit PoE Smart Switch", der 8 Ports, SNMP, PoE für ca. 160€ oder unter 100€ ohne PoE mitbringt.
• Aber er kann schon wieder "zu viel" und ist mit dem Netzteil auch nicht gerade mobil.

Für weniger als 25€ gibt es einen interessanteren Switch für den Zweck von NetGear.

• Auf der Homepage ( http://www.netgear.de/products/business/switches/prosafe-plus-switches/gs105e.aspx ) steht schon direkt neben dem Bild, dass "Netzwerk Monitoring" möglich ist.
• Das müsste natürlich "Mirroring" heißen.

Datei:Bild5.png

Wem die 5 Ports nicht reichen, dann den GS108E mit 8 Ports kaufen, der kaum teurer aber eben größer ist.

• Es gibt noch Varianten mit PoE-Port, die dann aber noch größer., schwerer und teurer sind.
• ich beschränke mich daher auf den kleinsten GS-105E.

Auch andere Hersteller haben entsprechende Switche, z.B. DLink DSG-1100-05.

• der auch Mirroring und sogar SNMP anbietet.* ProSafeNetgear  Plus Switcheshttp://www.netgear.de/products/business/switches/prosafe-plus-switches/
• DLink DGS-1100 Seriehttp://www.dlink.com/de/de/products/dgs-1100-series-gigabit-smart-switches

Er unterstützt zwar kein Monitoring per Webbrowser oder SNMP, sondern nur über eine proprietäre Software, die anscheinend recht unkonventionell per UDP Broadcasts auf Port 63321/63322 kommuniziert, aber bezüglich Spiegelung auch ohne Handbuch konfiguriert werden kann.

Datei:Bild6.png

So einfach kann der Verkehr von Port 4 auf Port 5 spiegeln.

• Man kann sogar mehrere Ports auswählen.

Hinweis

Ein Computer am Zielport kann dennoch selbst auch noch weiter arbeiten.

• Wenn er aber ein Paket versendet, welches dann über einen der Quellport weitergeleitet wird, dann bekommt er das Paket zusätzlich auch noch mal zu sehen.
• Auch eingehende Pakete an einem Quellport, die ohnehin beim Zielport landen, werden dupliziert.
• Dies müssen Sie beim Mitschneiden berücksichtigen.

Über die Funktion "Kabeltester" soll man sogar ermitteln können, wie weit ein Fehler vom Switch entfernt ist

• Die Stromversorgung übernimmt ein kleines Steckernetzteil mit 12V/1A.
• Soweit ist alles perfekt.
• Der Zugang zum Switch ist mit einem Passwort gesichert (Default = password) und der Switch bezieht per DHCP eine eigene IP-Adresse.

Kleiner Hinweis

Die Software verbindet sich per HTTP mit Adobe, um die aktuelle Version der AIR-Software zu prüfen und weiterhin per HTTPS zu "my.netgear.com".

• Vermutlich, um den Registrierungsstatus des Switches zu erhalten.
• Interessanterweise kann man den Switch entgegen den Aussagen in Formen schon per HTTP ansprechen und es erscheint eine Kennwortabfrage.
• Aber in keiner Beschreibung gibt es einen Hinweis auf diese Zugangsdaten und was dann damit möglich ist.

Netgear stellt aber auch eine Firmware zum Download bereit und da kann man schon mal allein mit einem Texteditor reinschauen und wird fündig

Datei:Bild7.pngBlick mit Texteditor in GS105Ev2_V1.2.0.5.bin

Seit Juni 2014 gibt es eine neue Firmware "GS105Ev2_V1.3.0.1 ", in der die Kennworte zumindest nicht mehr so einfach ersichtlich sind.

Mit dem Benutzernamen "ntgrUser" und dem Kennwort "debugpassword" ist eine Anmeldung möglich.

Datei:Bild8.png

Mehr als einer leeren Webseite mit einer Bestätigung habe ich noch nicht erhalten.

• Weiterhin habe noch die Paarung "dniUser" und "password" gefunden, die aber nicht für die Webanmeldung taugt.
• Schaut man weiter im Code, dann finden sich durchaus Menüs, die man aber vermutlich eher per SSH oder Telnet erreichen könnte.
• Ein Portscan per NMAP hat aber nicht

Datei:Bild9.png

Ein Portscan mit NMAP hat aber keinen weiteren TCP-Port angezeigt, was aber nicht heißt, dass die Box nicht auf UDP-Pakete reagiert.

C

\>nmap -p1-65535 192.168.178.47

Starting Nmap 6.01 ( http://nmap.org ) at 2014-07-05 18

12 Mitteleuropäische Sommerzeit

Nmap scan report für 192.168.178.47

Host is up (0.094s latency).

Not shown

65534 filtered ports

PORT STATE SERVICE

80/tcp open http

MAC Address

xx:xx:xx:xx:xx:xx (Unknown)

Vielleicht muss man diese Zugänge erst "aufschließen", denn es finden sich noch weitere HTML-Fragmente mit "Form POST"-Anweisungen, die anscheinend die MAC-Adresse setzen, Firmware aktualisieren oder einen "ProdUCE Burn-In" aktivieren.

/style.css /prodUCE_burn.cgi /register_debug.cgi /bootcode_update.cgi)

Das bekommt man schon heraus, ohne die CPU-Plattform zu können oder den Code zu dekompilieren.

Aufgrund der "bekannten" Default Kennworte würde ich den Switch nicht in kritischen Umgebungen einsetzen, wenn jemand mit dem DebugUser" z.B. das Hauptkennwort ändern könnte und damit heimlich ein Mirroring aufsetzen könne.

• für ein Testfeld oder im SOHO-Bereich sind diese Risiken eher vernachlässigbar.
• Zumal Netgear schon früher anscheinend absichtlich Hintertüren in Router verbaut hat. (Siehe auhc https://de.wikipedia.org/wiki/Netgear#Spionage-Vorwürfe)

Interessanter ist da eher die Abwärme, die einen Hinweis auf den Strombedarf sein kann.

• Weder Netzteil noch Switch wurden nennenswert warm.
• Wer mag, dann den Switch sogar aufschrauben.
• Viel ist aber wirklich nicht mehr drin.
• Anscheinend ist die gesamte "Elektrik" in ein paar Chips verschwunden.
• Auf der Rückseite ist auch ein Schalter für "Factory Default"

Datei:Bild10.png

Interessant ist natürlich schon, dass so eine Box samt Netzteil weniger kostet als ein Arduino Ethernet oder RasPi ohne Gehäuse und Netzteil.

• Wenn man von den 20€ netto noch den Vertrieb und Logistik abzieht, dann sprechen wir hier wirklich nur noch von minimalen Herstellungskosten.

Da kann man dann doch mal drüber weg schauen, dass der Switch kein SNMP oder HTTP spricht und die Bandbreitensteuerung recht rudimentär ist.

Datei:Bild11.png

Auch QoS ist wohl eher ein Feigenblatt

Datei:Bild12.png

Beides könnte aber reichen, um im Heimbereich z.B. eine DSL-Leitung etwas "fairer" den Teilnehmern zuzuweisen.

19,90€ netto zzgl. MwSt. Und Versand ist immer noch ganz wenig Geld für die gebotene Leistung, auch wenn die Sicherheit durch die Default Kennworte nicht ganz klar ist.

• für ein Test und Demo-Feld ist die gebotene Leistung mehr als ausreichend und Insbesondere die Mirror-Funktion ist für mich das Kaufkriterium gewesen, um mal schnell und unkompliziert einem VoIP-Endgerät auf die Finger zu schauen, wenn ich auf dem Gerät selbst nicht mit Debugtools arbeiten kann.

Datei:Bild13.png

• Eine Info über eine neue Firmware habe ich aber nicht bekommen.