8
Mitschneiden von Netzwerk Traffic
Guten Tag miteinander,
ich bin seit kurzer Zeit für ein Unternehmen Tätig welches eine Sehr gewachsene IT-Infrastruktur hat. Zudem Arbeitet dieses Unternehmen mit vielen verschiedenen Partner zusammen. In der Vergangenheit wurde leider ein entscheidender Fehler gemacht dass das Server Lan freien zugriff ins Internet hat und nur Zugriffe aus dem Internet eingeschränkt wurde. Seid einiger Zeit bin ich dabei die IP's explizit freizugeben, um diesen Missstand auf zu lösen. Jedoch gestaltet sich dieses das öfteren als Schwierig da ich nur sehe das z.B Interne IP A zu Externer IP B eine Verbindung aufbaut . Zwar lässt sich mit einem whois nach vollziehen wen die IP gehört, was auch in manchen fehlen ausreicht, jedoch gibt es manchmal auch die Situation das der whois Eintrag nur sagt das es z.B eine Amazon Cloud IP ist. Zwar hab ich solche IP Adressen dann pauschal gesperrt, leider kamm das ein oder andere mal vor das ich damit eine legitime Verbindung geblockt habe. Was nun mich zur meiner eigentlichen frage führt.
Kennt jemand eine Möglichkeit unter Linux wie man einen genaueren Blick in das Netzwehrpaket erhält aller Deep Packet inspection? Aktuell hab ich es mit tcpdump versucht, jedoch war der Informationsgehalt nicht ausreichend genug um denn Netzwerk Traffic jemanden zuzuordnen. Für eure Tipps und Erfahrungen zu diesem Thema wer ich euch sehr dankbar.
LG,
tux1996
ich bin seit kurzer Zeit für ein Unternehmen Tätig welches eine Sehr gewachsene IT-Infrastruktur hat. Zudem Arbeitet dieses Unternehmen mit vielen verschiedenen Partner zusammen. In der Vergangenheit wurde leider ein entscheidender Fehler gemacht dass das Server Lan freien zugriff ins Internet hat und nur Zugriffe aus dem Internet eingeschränkt wurde. Seid einiger Zeit bin ich dabei die IP's explizit freizugeben, um diesen Missstand auf zu lösen. Jedoch gestaltet sich dieses das öfteren als Schwierig da ich nur sehe das z.B Interne IP A zu Externer IP B eine Verbindung aufbaut . Zwar lässt sich mit einem whois nach vollziehen wen die IP gehört, was auch in manchen fehlen ausreicht, jedoch gibt es manchmal auch die Situation das der whois Eintrag nur sagt das es z.B eine Amazon Cloud IP ist. Zwar hab ich solche IP Adressen dann pauschal gesperrt, leider kamm das ein oder andere mal vor das ich damit eine legitime Verbindung geblockt habe. Was nun mich zur meiner eigentlichen frage führt.
Kennt jemand eine Möglichkeit unter Linux wie man einen genaueren Blick in das Netzwehrpaket erhält aller Deep Packet inspection? Aktuell hab ich es mit tcpdump versucht, jedoch war der Informationsgehalt nicht ausreichend genug um denn Netzwerk Traffic jemanden zuzuordnen. Für eure Tipps und Erfahrungen zu diesem Thema wer ich euch sehr dankbar.
LG,
tux1996
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279804
Url: https://administrator.de/contentid/279804
Printed on: April 26, 2024 at 23:04 o'clock
8 Comments
Latest comment
Hallo,
meines Wissens gibt es "Wireshark" auch für Linux.
https://www.wireshark.org/download.html
Jürgen
PS Deutsche Sprache, schwere Sprache
meines Wissens gibt es "Wireshark" auch für Linux.
https://www.wireshark.org/download.html
Jürgen
PS Deutsche Sprache, schwere Sprache
Hallo Jürgen,
danke für deinen Schnelle Antwort. Das Tool Wireshark ist mir bekannt da ich damit die tcpdumps aktuell auswerte. Ich bin aber auf der such nach einem Kommando Zeilen Programm welches recht schlank ist. Ich sollte vielleicht noch dazu sagen das Büro und Rechenzentrum lokal getrennt sind. Das heißt das man sich auch nicht einfach mal, mit seinem Laptop ohne weiteres in das Netzhängen könnte. Deswegen brauch ich was was Schlankes ohne GUI in der Art wie tcpdump was ich einfach mit auf dem Server installieren kann.
LG,
tux1996
danke für deinen Schnelle Antwort. Das Tool Wireshark ist mir bekannt da ich damit die tcpdumps aktuell auswerte. Ich bin aber auf der such nach einem Kommando Zeilen Programm welches recht schlank ist. Ich sollte vielleicht noch dazu sagen das Büro und Rechenzentrum lokal getrennt sind. Das heißt das man sich auch nicht einfach mal, mit seinem Laptop ohne weiteres in das Netzhängen könnte. Deswegen brauch ich was was Schlankes ohne GUI in der Art wie tcpdump was ich einfach mit auf dem Server installieren kann.
LG,
tux1996
Ich bin aber auf der such nach einem Kommando Zeilen Programm welches recht schlank ist.
Wie jeder Netzwerker weiss ist dann Tshark dein Freund unter Linux !https://www.wireshark.org/docs/wsug_html_chunked/AppToolstshark.html
1
Tshark ist Dein Freund.
lks
uPS: Aqui war schneller.
lks
uPS: Aqui war schneller.
Hallo,
wenn Du mit tcpdump den Traffic mitschneidest und dann offline mit Wireshark auswertest, was brauchst Du denn dann noch?
Also, ich versuche jetzt mal Deine Fragestellung zu interpretieren:
Du hast ein Netzwerk zur Administration übernommen, bei dem der gesamte Internet-Verkehr keiner Beschränkung unterlag. Aus Sicherheitsgründen willst Du das ändern (löblich ).
Du hast eine Firewall (Hardware - Software?; Typ?)? Nun möchtest Du die Firewall-Regeln erstellen. Du gehst nach dem Prinzip "alles verboten, was nicht explizit erlaubt ist" vor. Dazu mußt Du wissen, welche Verbindungen von Innen nach Außen aufgebaut werden.
Ist das so korrekt?
Wenn Du eine Firewall hast, bietet die keine Analyse-Möglichkeiten? Meine (Sonicwall) macht das.
Stell doch erst einmal alle Programme, die in der Firma genutzt werden zusammen und schaue in den Handbüchern nach, welche Ports bzw. Protokolle genutzt werden. Dafür kannst Du dann Regeln erstellen. Dann mache die Firewall "dicht" und warte auf die "Beschwerden". Dann kannst Du konkret den Verkehr mitschneiden und analysieren, um dann eine Regel zu aktivieren. So habe ich das jedenfalls gemacht.
Jürgen
wenn Du mit tcpdump den Traffic mitschneidest und dann offline mit Wireshark auswertest, was brauchst Du denn dann noch?
Also, ich versuche jetzt mal Deine Fragestellung zu interpretieren:
Du hast ein Netzwerk zur Administration übernommen, bei dem der gesamte Internet-Verkehr keiner Beschränkung unterlag. Aus Sicherheitsgründen willst Du das ändern (löblich
).Du hast eine Firewall (Hardware - Software?; Typ?)? Nun möchtest Du die Firewall-Regeln erstellen. Du gehst nach dem Prinzip "alles verboten, was nicht explizit erlaubt ist" vor. Dazu mußt Du wissen, welche Verbindungen von Innen nach Außen aufgebaut werden.
Ist das so korrekt?
Wenn Du eine Firewall hast, bietet die keine Analyse-Möglichkeiten? Meine (Sonicwall) macht das.
Stell doch erst einmal alle Programme, die in der Firma genutzt werden zusammen und schaue in den Handbüchern nach, welche Ports bzw. Protokolle genutzt werden. Dafür kannst Du dann Regeln erstellen. Dann mache die Firewall "dicht" und warte auf die "Beschwerden". Dann kannst Du konkret den Verkehr mitschneiden und analysieren, um dann eine Regel zu aktivieren. So habe ich das jedenfalls gemacht.
Jürgen
Hey aqui,
danke für denn Tipp. Das ist genau was ich gesucht habe. Werde ich mir morgen mal anschauen.
LG,
tux1996
danke für denn Tipp. Das ist genau was ich gesucht habe. Werde ich mir morgen mal anschauen.
LG,
tux1996
@ Jürgen
Das Problem ist, wie oben beschrieben das ich in der Firewall nur sehe das eine Verbindung zu Stande kommt. Mein Beispiel von vorhin "Interne IP A zu Externer IP B baut eine Verbindung zu Port xy auf." Was aber nichts über die Verbindung an sich aussagt. Mein Ziel ist es z.B an die "SNI" Daten ran zu kommen, da dies mir Ausschluss über die Ziel Quelle geben würde. Im tcpdump konnte ich diese Information leider nicht finden. Deswegen die frage nach einem Tool welches es könnte.
Das Problem ist, wie oben beschrieben das ich in der Firewall nur sehe das eine Verbindung zu Stande kommt. Mein Beispiel von vorhin "Interne IP A zu Externer IP B baut eine Verbindung zu Port xy auf." Was aber nichts über die Verbindung an sich aussagt. Mein Ziel ist es z.B an die "SNI" Daten ran zu kommen, da dies mir Ausschluss über die Ziel Quelle geben würde. Im tcpdump konnte ich diese Information leider nicht finden. Deswegen die frage nach einem Tool welches es könnte.
Hallo,
Dann hast du aber eine Firewall die den Namen "Firewall" wohl nur aufm Gehäuse geklebt hat, oder? Die kann dir nicht sagen von wem und wohin? Aber Rechenzentrum und Betrieb/Büro über WAN verbunden...... Darfst du denn deine Firewall überhaupt beim Namen nennen und uns das mitteilen?
Gruß,
Peter
Dann hast du aber eine Firewall die den Namen "Firewall" wohl nur aufm Gehäuse geklebt hat, oder? Die kann dir nicht sagen von wem und wohin? Aber Rechenzentrum und Betrieb/Büro über WAN verbunden...... Darfst du denn deine Firewall überhaupt beim Namen nennen und uns das mitteilen?
Gruß,
Peter