:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Einstieg in WireShark Netzwerk-Monitoring und -Analyse in der Praxis
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
WireShark gehört zu den bekanntesten Tools, wenn es darum geht, den Netzwerkverkehr zu messen, zu protokolieren und Probleme zu identifizieren. Wir geben in diesem Beitrag einige Tipps zum Einstieg in die Lösung.
Wir haben im Beitrag „Erste Schritte mit WireShark“ bereits gezeigt, wie das bekannteste Open-Source-Werkzeug im Bereich der Netzwerkanalyse installiert wird und die ersten Messungen beginnen können. In diesem Beitrag vertiefen wir die Möglichkeiten zur Messung.
Npcap in Windows mit WireShark installieren
Die Installation von WireShark ist in kurzer Zeit abgeschlossen. Generell ist es sinnvoll alle Optionen bei der Installation aktiv zu lassen. Im Rahmen der Installation kann WireShark auch die aktuelle Version von Npcap installieren. Npcap und WinPcap sind Windows-Versionen der libpcap-Bibliothek. Auf dem PC muss entweder Npcap oder WinPcap installiert sein, um Live-Netzwerkverkehr unter Windows zu erfassen. WireShark enthält ab Version 3.x Npcap, die alten Versionen haben noch WinPcap genutzt. In Windows 10 und Windows Server 2016/2019 ist Npcap besser geeignet, um mit WireShark Daten im Netzwerk zu analysieren.
:quality(80)/p7i.vogel.de/wcms/71/ed/71ed5446cec42ce49d01c9123722d189/97252852.jpeg "WireShark installieren, inklusive Npcap.")
:quality(80)/p7i.vogel.de/wcms/62/53/62533e51fb26715f63be4e748a775688/97252853.jpeg "Konfigurieren der Schnittstellen in WireShark.")
:quality(80)/p7i.vogel.de/wcms/c5/b1/c5b1201beff094822dc0e232754da0b1/97252851.jpeg "Anpassen der wichtigsten Optionen für das Scannen mit WireShark.")
:quality(80)/p7i.vogel.de/wcms/b3/10/b310745468eee9c93f2163f0b54f7db2/97252841.jpeg "Festlegen der Speicheroptionen in WireShark.")
Selbst bei den älteren WireShark-Versionen könnte Npcap besser funktionieren, wenn Windows 10 zum Einsatz kommt. Npcap wird aktiv weiterentwickelt und ist daher für moderne Betriebssysteme besser geeignet. Auf der Webseite von Nmap ist ein ausführlicher Vergleich zu finden. Die Erweiterung USBPcap kann auch den Datenverkehr von USB-Sticks sniffen, was allerdings selten notwendig ist.
WireShark einrichten
Nach der Installation und dem Start von WireShark, besteht der erste Schritt darin das Programm für die Messung vorzubereiten. Die wichtigsten Optionen dazu sind bei „Aufzeichnen\Optionen“ zu finden. Über „Schnittstellen verwalten“ stehen die lokalen Schnittstellen zur Verfügung, auf denen WireShark Aufzeichnungen durchführen kann. Auf der Registerkarte „Eingabe“ sind anschließend die Netzwerkschnittstellen zu finden, die WireShark zur Aufzeichnung nutzt.
Ebenso wichtig ist der Menüpunkt „Bearbeiten\Einstellungen\Mitschnitt“. Hier wird das Standard-Netzwerkinterface ausgewählt, das WireShark überwachen soll. Die Option „Paketliste in Echtzeit aktualisieren“ stellt, zusammen mit „Automatisches Scrollen während des Mitschnitts“ sicher, dass im Fenster immer die aktuell mitgeschnittenen Pakete erscheinen.
Ebenfalls sinnvoll ist bei „„Bearbeiten\Einstellungen“ der Menüpunkt „Name Resolution“. Hier sollte die Option „Resolve network (IP) addresses“ aktiviert sein. Dadurch versucht WireShark bei den angezeigten IP-Adressen auch den Namen der Geräte anzuzeigen.
Wichtig ist die Aktivierung des Promiscous Mode, auf deutschen Systemen „Pakete im promuskutiven Modus mitschneiden“. Dadurch ist sichergestellt, dass WireShark alle Pakete mitschneidet, nicht nur die Pakete die zum eigenen System geschickt werden. Die entsprechenden Optionen stehen auch bei „Aufzeichnen\Optionen“ über „Promiskutiven Modus für alle Schnittstellen aktivieren“ zur Verfügung.
Auf der Registerkarte „Ausgabe“ lässt sich festlegen, in welche Datei der Mitschnitt gespeichert werden soll. Um sicherzustellen, dass die Scandateien nicht die ganzen Datenträger belegen, kann mit „Einen Ringpuffer verwenden mit x Dateien“ eine automatische Überschreibung von älteren Dateien genutzt werden.
Die Registerkarte „Optionen“ spielt ebenfalls eine wichtige Rolle. Hier sollten die beiden bereits erwähnten Optionen „Paketliste in Echtzeit aktualisieren“ und „Automatisches Scrollen während des Mitschnitts“ aktiviert werden. Auch „Mac-Adressen auflösen“ und „Netzwerknamen auflösen“ sollte hier aktiviert werden.
Scans mit WireShark starten
Um Scans zu starten, reicht ein Klick auf das Haiflossen-Symbol aus. Mit dem Stop-Symbol wird der Vorgang beendet. Über den Menüpunkt „Datei“ lässt sich der aktuelle Vorgang speichern. Soll WireShark automatisch speichern, stehen auf der Registerkarte „Ausgabe“ bei „Aufzeichnen\Optionen“ die entsprechenden Informationen zur Verfügung. Im oberen Fenster zeigt WireShark die eingehenden Pakete an. Durch das Markieren eines Paketes zeigt WireShark den Inhalt des Paketes unten im Fenster an.
DHCP-Verkehr mit WireShark überprüfen
WireShark kann zum Beispiel auch dazu genutzt werden, um zu überprüfen, ob DHCP-Server ordnungsgemäß funktionieren. Im Rahmen des Abrufens einer IP-Adresse von einem DHCP-Server, schicken Clients DHCP-Discover-Pakete in das Netzwerk, um zu überprüfen, ob es DHCP-Server gibt. Die DHCP-Server antworten mit DHCP-Offer-Paketen und dem Vorschlag einer IP-Adresse. Diese lässt sich sehr leicht mit WireShark überprüfen.
Danach senden Clients einen DHCP-Request, um eine IP-Adresse zu erhalten und DHCP-Server senden eine DHCP-Acknowledge-Nachricht, um die Adresse zuzuweisen und zu bestätigen. Wenn ein Client seine IP-Adresse aufgibt, sendet er eine DHCP-Release-Nachricht an den DHCP-Server, von dem er eine Adresse erhalten hat. Funktioniert das Zuweisen einer IP-Adresse zu einem Client nicht, kann das mit WireShark überprüft werden. Die einfachste Vorgehensweise dazu ist folgende:
Die Aufzeichnung des Datenverkehrs in WireShark wird über das Start-Icon begonnen. Danach startet man den Computer, der eine IP-Adresse benötigt, oder stößt das erneute Abfragen einer IP-Adresse im laufenden Betrieb an – in Windows zum Beispiel mit „ipconfig /release“ und „ipconfig /renew“. Die Netzwerkdaten kann WireShark aufzeichnen. Hat der Client seine IP-Adresse erhalten, oder funktioniert der Vorgang nicht, weil der DHCP-Server nicht mit dem Client kommunizieren kann, wird die Messung mit WireShark beendet.
Über einen Klick auf die Spalte „Protocol“ ist es möglich eine Sortierung durchzuführen, auch ohne Dateien zu speichern oder Filter zu setzen. Über das Protokoll „DHCP“ sind die einzelnen Nachrichten zwischen Client und DHCP-Server zu finden. Anhand der transferierten Pakete wird dann schnell klar, wo das DHCP-Problem herkommt, zum Beispiel weil ein DHCP-Server nicht antwortet.
Durch einen Klick auf ein Paket, ist im unteren Bereich der Inhalt des Pakets zu sehen. Hier sind auch die IP-Adressen und Namen der beteiligten Computer erkennbar.
:quality(80)/images.vogel.de/vogelonline/bdb/1266500/1266563/original.jpg "Die Opensource Monitoring- und Analyse-Lösung Wireshark steht kostenfrei zur Verfügung. (Joos / Wireshark.org)")
So funktioniert die Opensource-Netzwerkanalyse
Erste Schritte mit Wireshark
(ID:49685420)
:quality(80)/p7i.vogel.de/wcms/23/56/235682a742ab92278afd8517646696af/0108131029.jpeg "Oft ist das umfassende Analyse-Werkzeug WireShark überdimensioniert, wenn es um die Erfassung von Netzwerkdaten geht. Besser geeignet ist hier oft tcpdumb. (Bild: The Tcpdump Group. Designed by Luis MartinGarcia)")
:quality(80)/p7i.vogel.de/wcms/dd/a9/dda9ad34fe9be0ea4c66cbf7cbbb5840/0101683214.jpeg "Es müssen nicht immer kommerzielle Tools sein, wenn es um die Netzwerk-Überwachung geht. (Bild: © bofotolux - stock.adobe.com)")