:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
So funktioniert die Opensource-Netzwerkanalyse Erste Schritte mit Wireshark
Geht es um die Analyse von Netzwerken, gehört die Opensource-Lösung Wireshark zu den bekanntesten Lösungen dafür. Das Tool steht für Netzwerkanalysen auch als portable Version zur Verfügung.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Wireshark steht für Windows, Linux und macOS X zur Verfügung. Für Windows stellen die Entwickler auch eine portable Version bereit. Nach dem Extrahieren kann Wireshark ohne Installation genutzt werden. Allerdings ist eine Installation meistens besser, da so mehr Funktionen genutzt werden können und Anfänger schneller mit dem Programm zurechtkommen (siehe Abbildung 1).
Im Rahmen der Installation wird zusätzlich die kostenlose Opensource-Erweiterung WinPcap benötigt. Diese wird automatisch mit installiert. Neben der Überwachung von Netzwerken lassen sich mit Wireshark auch Probleme mit USB-Geräten beheben. Dazu wird auf dem Rechner auch noch die Erweiterung USBPcap installiert.
:quality(80)/images.vogel.de/vogelonline/bdb/1286200/1286222/original.jpg "Wireshark lässt sich auch als transportables Tool einsetzen und muss in diesem Fall nicht installiert werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1286200/1286223/original.jpg "Nach dem Start des Vorgangs lassen sich auch Informationen zu den einzelnen Paketen anzeigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1286200/1286224/original.jpg "Über das Startfenster stehen verschiedene Optionen zum Starten von Scanvorgängen zur Verfügung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1286200/1286225/original.jpg "Nach dem Starten eines Scanvorgangs werden die mitgeschnittenen Paketen im Hauptfenster angezeigt.")
Für den Betrieb in Linux werden zahlreiche Distributionen zur Verfügung gestellt. Vor allem Debian, Ubuntu, Arch Linux, Gentoo, openSUSE, Red Hat, Fedora und Slackware gehören zu den unterstützten Systemen. Wireshark steht auch über die Live-DVD „Kali“ https://www.kali.org zur Verfügung. In diesem Fall muss keine Installation erfolgen, sondern der Rechner mit der DVD gestartet werden.
Benutzeroberfläche verstehen
Nach dem Start der grafischen Oberfläche von Wireshark stehen Administratoren zahlreiche Optionen zur Verfügung. In der Titelleiste sind Informationen zu den aktuellen Scanvorgängen und die Version von Wireshark zu sehen. Darunter zeigt das Tool die Menüleiste mit den verschiedenen zur Verfügung stehenden Befehlen an (siehe Abbildung 2). Besonders wichtig sind an dieser Stelle die Menüpunkte Datei, Bearbeiten und Aufzeichnen. Darunter ist die Symbolleiste zu finden, in der die wichtigsten Befehle zur Steuerung der Scanvorgänge zu sehen sind (siehe Abbildung 2).
Unter der Symbolleiste ist die Filterleiste zu sehen. An dieser Stelle können Administratoren nach Scanvorgängen auch nach bestimmten Inhalten suchen. Der obere Teil des Hauptfensters zeigt wiederum die Scanergebnisse in Echtzeit an. Hier sind in verschiedenen Spalten Informationen zu Paketen zu sehen. Unterhalb der mitgeschnittenen Anzeige der Pakete sind die Inhalte eines Paketes zu sehen, wenn Administratoren ein Paket anklicken.
Scannen in der grafischen Oberfläche
Das Scannen des Netzwerks erfolgt in einer grafischen Oberfläche (siehe Abbildung 3). Sobald der Scanvorgang gestartet wurde, zeigt Wireshark im Fenster bereits Informationen an (siehe Abbildung 4). Die Optionen der einzelnen Scanvorgänge werden in der grafischen Oberfläche Über „Aufzeichnen\Optionen“ gesteuert (siehe Abbildung 5).
Nach dem Start von Wireshark kann eine erste Aufnahme recht schnell erfolgen, in dem auf „Aufzeichnung von Paketen starten“ geklickt wird. Anschließend beginnt die Software bereits mit der Aufzeichnung. Beim Starten der Aufzeichnung kann ausgewählt werden, welche Schnittstelle aufgezeichnet werden soll.
Die Aufzeichnung lässt sich über das Menüband beenden. Anschließend können die Daten analysiert werden. Einzelne Pakete lassen sich mit „Bearbeiten\Paket finden“ oder „Edit\Find Packet“ finden. Im Rahmen des Suchfensters kann ausgewählt werden, wo der gesuchte Text in den mitgeschnittenen Daten gesucht werden soll (siehe Abbildung 6). Hier bietet es sich meistens an die Option „Paketdetails“ auszuwählen.
Scanvorgänge im Detail steuern
Über „Aufzeichnung\Optionen“ lassen sich umfangreiche Einstellungen für Scanvorgänge vornehmen. Auf verschiedenen Registerkarten stehen die Optionen zur Steuerung des aktuellen Scanvorgangs zur Verfügung. Auf der Registerkarte „Eingabe“ wird zunächst festgelegt welche Schnittstelle überwacht werden soll (siehe Abbildung 7).
Wichtig ist die Aktivierung der Option „Promiskuitiven Modus für alle Schnittstellen aktivieren“. Mit dieser Option wird festgelegt, dass Wireshark nicht nur die Pakete aufzeichnet, die für den PC bestimmt sind, auf dem die Software installiert ist, sondern alle Pakete, die durch die Netzwerkkarte laufen.
Über „Capture filter“ oder „Mitschnittfilter für die ausgewählte Schnittstelle“ kann festgelegt werden, welche Daten mitgeschnitten werden sollen. Dazu müssen die einzelnen Daten einfach als Liste aufgenommen werden, zum Beispiel „ip host“. Durch einen Klick auf „Schnittstellen verwalten“ können einzelne Schnittstellen von der Auswahl der Schnittstellen ausgenommen werden. Über die Registerkarte „Entferne Schnittstellen“ lassen sich Wireshark-Installationen auf anderen Rechnern im Netzwerk steuern (siehe Abbildung 8).
Auf der Registerkarte „Ausgabe“ kann festgelegt werden, wie die Daten aufgezeichnet werden (siehe Abbildung 9). Hier wird zum Beispiel gesteuert in welchen Abständen eine neue Aufzeichnungsdatei angelegt werden soll, und welches Format dabei eingesetzt wird. Generell sollte hier die Option auf „pcap-ng“ gesetzt werden. Es besteht die Möglichkeit, ab einer bestimmten Größe oder nach einer bestimmten Zeit eine neue Datei zu erstellen. Durch Aktivierung der Option „Ringpuffer“ kann festgelegt werden, dass ältere Dateien automatisch überschrieben werden.
Auf der Registerkarte „Optionen“ kann festgelegt werden, wann der Mitschnitt (Capture) automatisch beendet werden soll. Außerdem kann hier detailliert festgelegt werden, wie Daten mitgeschnitten werden sollen. Durch Aktivierung der Option „Netzwerknamen auflösen“ werden nicht nur IP-Adressen mitgeschnitten, sondern es findet auch eine Auflösung nach Hostnamen statt. Durch die Option „Transportschichtnamen auflösen“ zeigt Wireshark nicht nur die Ports an, sondern auch den Namen des Dienstes, der diesen Port nutzt. Durch die letzteren beiden Optionen wird die Übersicht des Mitschnitts also deutlich erhöht.
(ID:44894509)
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964605/original.jpg "Admins können mit Windows 11 Pro/Enterprise Updates über Gruppenrichtlinien steuern. Dazu ist kein Active Directory notwendig. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896400/1896431/original.jpg "Mit firewalld können Firewall-Einstellungen auf Ubuntu und Debian genauso gesteuert werden, wie in CentOS oder RHEL. (monsitj - stock.adobe.com)")