Wozu brauche ich Packet Capturing
bzw. eine Paketerfassung?

Wozu brauche ich Packet Capturing? Wozu brauche ich eine Paketerfassung?

Aufgrund der stetig wachsenden Anzahl an Sicherheitsbedrohungen
ist es unabdingbar ALLE DATENPAKETE des Netzwerks zu ERFASSEN

Nur so kann eine vollständige Netzwerktransparenz gewährleistet werden, um Bedrohungen frühzeitig zu erkennen, Bewegungsprofile von bereits im Netz befindlichen Angreifern (Lateral Movement) zu ermitteln oder notwendige Sicherheitsanalysen durchführen zu können. Und das sowohl in Echtzeit als auch mit Blick auf historische Daten.

Packet Capture Appliances, auch Netzwerkforensik-Appliances genannt, ermöglichen das verlustfreie Erfassen dieser Netzwerkdatenpakete, um sie für Sicherheitstools wie

  • (NTA) Netzwerkverkehrsanalyse,
  • (NDR) Netzwerk-Erkennung und -Reaktion,
  • (IDS) Intrusion Detection Systeme,
  • oder (SIEM) Security Information and Event Management

zur Weiterverarbeitung zur Verfügung zu stellen.

Beispielsweise die Analyse von Netzwerkpaketen ist eine hervorragende Methode zur Diagnose von Netzwerkproblemen. Die Daten im Netzwerk oder auf den betroffenen Geräten werden aufgezeichnet und mit speziellen Analysegeräten untersucht. Diese Technik gibt Ihnen einen tiefen Einblick in die Datenpakete und ermöglicht es Ihnen, Fehler sehr genau zu erkennen und zu beheben.

Die Netzwerkanalyse mittels „Capturing“-Verfahren ist eine der zuverlässigsten Analysemethoden, da Sie unverfälschte Informationen aus den entsprechenden Netzwerkverbindungen zu Ihrem Netzwerk, Server, Client und Applikation erhalten und diese Daten verlustfrei und ohne Störungen auswerten können. Die zu analysierenden Daten werden unter Wahrung der Datenintegrität vollständig und transparent von so genannten Netzwerk-TAPs an das Analysegerät weitergegeben.

Packet Capture - Cloud - Netzwerk-TAPs
Beispiel – Packet Capturing für Netzwerkanalyse und -Monitoring

Für welche Einsatzszenarien ist Packet Capturing sinnvoll?

Monitoring
Genauere Überwachung des Netzwerkverkehrs auf bösartiges Verhalten und potenzielle Bedrohungen hin
Healthy Network
Grundlage für ein gesundes Netzwerk zur Verbesserung von Effizienz, Sicherheit und Performance
Traffic Behaviour
Erhöhtes Bewusstsein für das Verhalten des Netzwerkverkehrs
Control
Bessere Kontrolle über Netzwerke und bessere Entscheidungen hinsichtlich Datenschutzes und Datenfluss
Threat
Ermöglicht die Hervorhebung von Sicherheitsrisiken, um Prioritäten zu setzen und geeignete Abhilfemaßnahmen zu ergreifen
Sensitive Data
Ermöglicht es Unternehmen, verrauschte Datenumgebungen zu analysieren und sicherzustellen, dass sensible Daten berücksichtigt und ordnungsgemäß gesichert werden
Performance
Optimierung der Performance von Netzwerk und Applikationen

Messpunkte - einzeln oder mehrfach?

Häufig wird ein SPAN-Port als Messpunkt verwendet, da er den geringsten Installationsaufwand erfordert, um auf die relevanten Netzwerkdaten zuzugreifen. Als effektiverer Messpunkt erweist sich hingegen ein Netzwerk-TAP.

Die Vorteile von Netzwerk-TAPs (auch Ethernet-TAPs genannt) haben wir hier näher erläutert

Sicherlich ist es möglich, die Ursache des Problems mittels eines einzigen Messpunktes im Netzwerk zu untersuchen. Aber um den Ort des Problems näher eingrenzen zu können, sind zusätzliche Messpunkte normalerweise von Vorteil.

Je nachdem, wo man die Daten aufzeichnet, erhält man ein anderes Bild der Kommunikation. Insbesondere zur Bestimmung des „One-Way-Delays“ oder des Ortes von Paketverlusten ist es ratsam, mehrere Messpunkte zu berücksichtigen. Darüber hinaus kann die Verwendung mehrerer Analysepunkte die Qualität der Messung und der Problemanalyse deutlich erhöhen.

Auf diese Weise lassen sich die aufgezeichneten Daten bequem miteinander vergleichen und Latenz, One-Way-Delay, Paketverluste und andere wichtige Parameter ermitteln. Sicherlich lassen sich auch mit nur einem Messpunkt Standardfehler eingrenzen oder diagnostizieren, aber aufgrund der immer komplexer werdenden Netzwerkinfrastrukturen bietet die Mehrpunktanalyse deutliche Vorteile. Sie bestimmen die Erfassungspunkte selbst und können so den Transportweg der Pakete einfacher und genauer analysieren und die Identifizierung von Problembereichen schneller diagnostizieren. Das Aufspüren von Anomalien und die Wiederherstellung Ihres Netzwerks wird so deutlich vereinfacht.

Wie funktioniert eine Multisegmentanalyse?

Bei dieser Methode werden die Netzdaten an mehreren Stellen des Netzes untersucht und miteinander verglichen. Allerdings ist gerade bei der Multisegmentanalyse die Zeitsynchronisation immens wichtig, da das Ergebnis durch unsaubere Methoden stark beeinflusst und verfälscht wird. Wenn man Latenz und Verzögerungen präzise und genau messen will, dann brauche es Hardware, mit der man die Pakete nanosekundengenau erfassen und mit einer absoluten Zeit versehen kann.

Mit speziellen Netzwerkerfassungskarten, die einen FPGA zur Aufzeichnung der Daten verwenden, ist es jetzt möglich, Datenpakete mit 8ns Genauigkeit aufzuzeichnen. Diese Methode wird auch als Timestamping (Zeitstempelung) bezeichnet und wird von allen professionellen Analyse- und Messwerkzeugen unterstützt. Aber auch ohne solche FPGA-Karten ist es möglich, Mehrpunkt-Analysen durchzuführen, und zwar durch Korrelation der Daten an einem Analysepunkt, beispielsweise durch Aufzeichnung mit Link-Aggregation-TAPs (link), oder durch Verwendung von OmniPeek Enterprise (Link + aktuell? Bzw Omnipeek weg damit es objektiver wird!?) zur Analyse.

Werden die Daten während der Aufzeichnung aggregiert, ist es wichtig, den Datenverkehr vorher mit einem VLAN-Tag zu kennzeichnen oder die Messpunkte direkt während der Aufzeichnung zu markieren, um bei der Analyse die Herkunft der Daten erkennen zu können. Nicht selten wird aus Zeitgründen der schnelle Weg der Datenerfassung bevorzugt, um die Netzwerkdaten auf den betroffenen Systemen zu sammeln.

Dazu können Tools wie TCPDump oder Wireshark (PCAP) verwendet werden, oder der OmniPeek Remote Assistant kann zur Hilfe herangezogen werden. Liegen nun die Trace-Daten von verschiedenen Systemen (TAP, Client, Server, etc.) vor, ist eine Korrektur der absoluten Zeit erforderlich, da sonst eine Analyse kaum möglich ist. Eine spezielle Funktion in OmniPeek Enterprise erlaubt es Ihnen, die Zeitunterschiede zwischen den verschiedenen Trace-Dateien durch Offset-Anpassungen manuell zu korrigieren. OmniPeek übernimmt diese Aufgabe gerne für Sie und synchronisiert die Zeitintervalle, damit Sie sich auf das Wesentliche konzentrieren können.

Je mehr Messpunkte man im Netz ausrollen möchte, desto mehr Netzwerkschnittstellen werden auf dem Analyserechner benötigt. In unserem Beispiel gehen wir von 4 Messpunkten aus. Bei diesem Aufbau liegen die Daten 4-fach vor und müssen entsprechend weggeschrieben werden. Wenn Sie nur an den Daten einer einzelnen Applikation interessiert sind, können Sie Filter verwenden, um den unerwünschten Datenverkehr vor der Erfassung zu ignorieren und die Belastung des Analysetools zu reduzieren.

Was ist der Vorteil der Multisegmentanalyse?

Jetzt geht es darum, die Qualität der Messung zu erhöhen und wertvolle Informationen aus dem Netz zu gewinnen. Idealerweise sollten die Daten einmal am Client und einmal am Server erfasst werden und die weiteren Messpunkte im Netz, z.B. im Verteil- und Kernbereich, platziert werden.

Dies würde uns technisch in die Lage versetzen, die Datenpakete und Transaktionen von einem bestimmten Client zum Server im Detail zu analysieren und den Ort möglicher Fehler zu lokalisieren. Proxies und viele andere Sicherheitstools können aufgrund von Performance-Problemen Latenzzeiten oder andere kritische Fehler verursachen, die identifiziert werden müssen.

Warum kommt es zu erneuten Übertragungen und was sind die Ursachen dafür? Wo treten Paketverluste auf und was ist die Ursache; sind es passive Komponenten oder sind Netzwerkkomponenten daran schuld? Wenn ich Latenz oder Jitter habe, möchte ich wissen, wo genau dies auftritt. Diese und viele andere Fragen können mit Hilfe einer Multisegmentanalyse beantwortet werden.

Multisegmentanalyse im Einsatz

Heutzutage gibt es Analysetools, die eine automatisierte Multisegmentanalyse ermöglichen und das manuelle Durchsuchen von Paketen überflüssig machen. Glücklicherweise unterstützt das Produkt OmniPeek die Multisegmentanalyse und zeigt Ihnen die Pfade der Pakete grafisch an, was die Analyse dieser Daten vereinfacht. Die Netzwerkdaten werden zusammen mit den Paketpfaden und den einzelnen Hops auf einem Bildschirm korreliert dargestellt.

Sie sehen die verursachten Latenzen und die aufgetretenen Paketverluste auf einen Blick, ohne sie intensiv analysieren zu müssen. Das Wertvolle daran ist, dass Sie sofort sehen können, wo die Latenzen und Paketverluste auftreten und vor allem in welche Richtung. Darüber hinaus können die Routen und Hops von Netzwerkpaketen analysiert und die Laufzeiten bzw. die Qualität oder Konvergenzzeit von HA-Verbindungen gemessen werden.

Gerade bei Echtzeit-Applikationen wie VoIP möchte man oft wissen, wo genau Jitter oder Delay auftreten. Gerade bei VoIP ist es nicht schwer, Qualitätsprobleme zu erkennen, aber sie genau zu lokalisieren, ist für einen Netzwerkadministrator meist eine schwierige Herausforderung. Auch die Latenz oder andere Netzwerkfehler zwischen dem WLAN und dem LAN-Netzwerk können mittels Multisegmentanalyse (von OmniPeek) gemessen und diagnostiziert werden.

Proaktiv, anstatt reaktiv

Daher ist es für Netzwerkanalysen und Troubleshooting von Vorteil, feste Messpunkte im Netzwerk zu haben, über die man bei Bedarf leicht auf die Netzwerkpakete zugreifen kann. Außerdem ist eine proaktive Analyse sehr hilfreich, da es Fehler gibt die zwar oft auftreten, aber bereits kurze Zeit später wieder verschwunden sind.

Gerade bei sporadisch auftretenden Fehlern ist es sehr ratsam, feste Messpunkte zu haben und die Daten über einen gewissen Zeitraum aufzuzeichnen. Das erleichtert die Fehlersuche erheblich und ermöglicht es Ihnen, Fehler, die in der Vergangenheit aufgetreten sind, schnell zu identifizieren. Andernfalls tappen Sie im Dunkeln und können den Fehler möglicherweise nicht eingrenzen, weil er nicht mehr vorhanden ist oder nur unter bestimmten Umständen auftritt.

Fazit

Je verbreiteter und leistungsfähiger Netzwerke werden, umso verbreiteter und leistungsfähiger werden auch die Bedrohungen denen sie ausgesetzt sind – und um so wichtiger wird es für Unternehmen sie gegen potentielle Beeinträchtigungen oder Ausfälle zu schützen.

Deswegen ist in vielen Bereichen ein leistungsfähiges Packet Capturing zwingend notwendig um alle für die Analyse notwendigen Datenpakete zur Verfügung zu haben.

Wie bei einem Arzt. Je mehr Daten er über den Patienten hat, umso leichter fällt es ihm eine Diagnose stellen zu können, und somit eine Heilung in Aussicht stellen zu können.

NEOX & Packet Capturing

PacketGrizzly und PacketFalcon - Packet-Capture & Netzwerkforensik Appliances

Alle unsere PacketFalcon und PacketGrizzly Produkte sind Appliances die speziell für das Packet Capturing konzipiert wurden.

Des Weiteren unterstützen aber auch unsere Next Generation Network Packet Broker aus der PacketTiger Produktfamilie Packet Capturing und sind in der Lage die zu verarbeitenden im PCAP-Format aufzuzeichnen. Von kurzen ad-hoc Messungen bis hin zu permantem Aufzeichnen im Ringbuffer.

Produkte aus unsere PacketRaven Netzwerk-TAPs Sortiment hingegen sind Devices die den zum Packet Capturing notwendigen Netzwerkverkehr abgreifen und aggregiert, regeneriert oder im Break-Out-Modus z.B. einer Packet Capture Appliance zur Verfügung zu stellen können.

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!