Netzwerkverkehrsanalyse eines Smartphones · 2017-02-14 · 120511 V.Massmann...

Cisco Akademietag 2012 in Lingen

Netzwerkverkehrsanalyse eines Smartphones mit Wireshark120511 V.Massmann

Netzwerkverkehrsanalyse eines Smartphones

mit Wireshark

Volker MassmannBBS Osnabrück Brinkstraße

„websurfen“

„chatten“

„e-mailen“

shopping

120511 V.Massmann Netzwerkverkehrsanalyse eines Smartphones mit Wireshark


InhaltInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



ZieleInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Zielsetzungen für diesen Workshop• Netzwerkverkehrsanalyse von Smartphone-Kommunikation

• Aspekte der Smartphone-Kommunikation• Sicherheitsaspekte & Verhaltensregeln im WLAN (s.Anhang)• Vorschlag für eine Netzwerklaborumgebung

• Vorstellung eines unterrichtstauglichen Konzeptes• mit Cisco Netzwerkkomponenten• im Mehrbenutzerbetrieb

• Demo: statistische Auswertung mit ntop

• Analyse mit Wireshark• Theorie I: Aufbau & grundsätzliche Handhabung• Praxis I: Analyse der eigenen Smartphone-Kommunikation

• Sicherheitsüberprüfung• Protokollverwendung/ Portnutzung• Suche nach Klartext-Passwörtern

• Theorie II: erweiterte Analyse-Möglichkeiten & Anregungen• Praxis II: eigenständige Umsetzung

• Aufzeigen von Möglichkeiten mit tcpdump & Co auf CLI-Ebene• siehe Anhang

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



MotivationInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Motivation: Content & Access

Device Access Transport Contentwireless & mobile

IEEE 802.15.1

LAN/MAN: Wireless LAN

[ PAN: Bluetooth ]

InternetInternet

2G: GSM/GPRS2,5G: EDGE3G/ 3.5G: UMTS/ HSDPA4G: LTE

IEEE 802.11 a/b/g/n

WAN: PLMN

z.B.

Server• Webserver• eMail

Cloud Storage• Adressen• Kalender• eMail• Daten

BackupBackup

Smartphone

• ab Schicht 3: TCP/IP

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Motivation: neues Smartphone – 2 Erlebnisse

1. Akku über Nacht leer! - Warum???

Smartphone

• Frage: Was kommuniziert ohne Zutun von selbst?

• welches App?• wann & wie oft?• durch welche Konfiguration getriggert?

2. c‘t-Artikel 1/2012, S.78„Die Hotspot-Falle - Gefahren in öffentlichen Funknetzen“

• Wie kommuniziert mein Smartphone? (Protokolle?)

• Ist meine Kommunikation sicher? (Verschlüsselung?)

2011/10

2011/12

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Motivation: Akkulaufzeit & Sicherheit

Kommunikation

Smartphone

• Telefonie

• SMS

• websurfing

• eMail

• location basedservices

• social networks

• Chat

• Cloud Storage

• online shopping

• online banking

PLMN - CS

PLMN – SS#7

PLMN - PS/ WLAN

Nw-Verkehr Protokoll

HTTP

SMTPPOP3/IMAPHTTP

HTTP

IRC

HTTP

HTTP

HTTP

akkuschonendeVerwendung& SicherheitStandby okBetrieb bei Bedarfok, selten

ok, bei Bedarf

ok, bei Bedarfok, alle 30minok, bei Bedarf(GPS off)Nein

Nein

ok, bei Bedarf

Nein, nur schauen!

Niemals!

• Verkehr verringern – Akkulaufzeit erhöhen!

• Sichere, verschlüsselnde Protokolle verwenden!

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Motivation: Kommunikationswege für Datendienste

Smartphone

GPRSEDGEUMTS/ HSDPA

MobilfunkPLMN – packet switched

Wireless LAN 802.11

• AP unter „eigener Kontrolle“ (Home)• WPA2-PSK, VPN, Zertifikate

• AP unter „fremder Kontrolle“ (BBS)• Nutzung mit unbekannten Personen?

• „Hotspot“, freies WLAN• Innenstadt, Flughafen, Internet Café• VPN ist keine Lösung!

• „fake Hotspot“ - Vorsicht Falle!

• freies WLAN• privat, ungesichert, offen

• Sicherheitsfaktoren:

• Verschlüsselung

• Fremdnutzung

• Vertrauenswürdigkeit

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Motivation: Ansatzpunkte zur Analyse

Wireless LAN LAN

BackupBackup

Smartphone

? InternetInternet

WAN

• login name• password• session data• BLZ/ Konto-Nr.• credit card data

sicherheitsrelevante Fragestellungen:• Welche sicherheitskritischen Daten sind im Klartext

in meiner TCP/IP-Kommunikation enthalten?• Ist meine eMail-Kommunikation sicher?• Sind meine Zugriffe auf den Software Market sicher?• ...

Verschlüsselung ?Fremdnutzung?

Vertrauenswürdigkeit ?

Provider

einfachster Ansatzpunkt für ein Netzwerklabor

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



KonzeptInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Konzept: „Netzwerklabor-Lösung“

• Bereitstellung einer Wireless LAN-Umgebung• mit Internetanbindung• Verwendung von Cisco Nw-Komponenten • Anwendung von CCNA KnowHow• feste IP-Adressvergabe per DHCP (Benutzerregistrierung)

• Mitschnitt des gesamten WLAN-Netzwerkverkehrs im LAN• pro Zeitintervall (2 min) im pcap-Format

• Filterung der Daten nach IP-Adressen (pro Benutzer)

• Bereitstellung der benutzerspezifischen Daten• über Dateiserver (mit Passwortschutz)• Benutzer können eigene Daten kopieren und löschen• Analyse des eigenen Netzwerkverkehrs mit Wireshark

• Datenlöschung der verbleibenden Daten am Ende

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Netzwerkplan: „Netzwerklabor-Lösung“

ptbtime1.ptb.de

ServerServer DNSDNS

AP

InternetInternet

WLANWLAN10.0.20.0/24

(Web-)

Smartphones

Inhalte Infrastruktur

MACIP

MAC1IP1user1

MAC2IP2user2

SSID: „WLAN_traffic_capturing“PSK: „Ich bin einverstanden!“

DHCP

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang




ptbtime1.ptb.de

ServerServer DNSDNS

Gw-Router

AP

InternetInternet


(Web-)

Smartphones

Cisco 2621


MACIP

MAC1IP1user1

MAC2IP2user2


DHCP

NAT overloadDHCPDNS-RelayNTP-RelayInter-VLAN RoutingACL

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang




ptbtime1.ptb.de

ServerServer DNSDNS

Gw-Router

Switch

AP

802.1Q trunk

InternetInternet


VLAN 20

Port Mirroring

(SPAN)

Network Monitoring Server-tcpdump/ libpcap

24

1

21 -23


(Web-)

Smartphones

Catalyst 2950

Cisco 2621


MACIP

MAC1IP1user1

MAC2IP2user2


DHCP

Switched Port Analyzer

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



AP2


ptbtime1.ptb.de

ServerServer DNSDNS

Gw-Router

Switch

AP1

802.1Q trunk

InternetInternet

WLANWLANPC

LANLAN10.0.10.0/24 10.0.20.0/24- Wireshark

- Analysepcap-files

VLAN 20VLAN 10

Port Mirroring

(SPAN)

Network Monitoring Server-tcpdump/ libpcap-ntopDateiserver- pcap-files

24

1

21 -232 -20


(Web-)

Smartphones

Catalyst 2950

Cisco 2621


MACIP

MAC1IP1user1

MAC2IP2user2

user1user2

user1


DHCP

Switched Port Analyzer

.254 .254

.253

.252

.251.250

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



DemoInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Demo: statistische Analyse - Vorbereitung

MAC XIP X

AP1

WLANWLAN

InternetInternet

1

2

10.0.20.0/24

Smartphoneuser X

DHCP

1 feste IP-Zuordnungfür MAC X per DHCP

2 Passwort an user X

SSID: WLAN_traffic_capturing“PSK: „Ich bin einverstanden!“

Smartphone am WLAN-AP anmelden:

MAC-Adresse der WLAN-Schnittstelle notieren!

Nix tun & warten!

1

2

AdministratorBenutzer

Hinweis zum Datenschutz: Die einzelnen Paketdaten werden• nicht gespeichert• und nur statistisch ausgewertet!

Hinweis zum Datenschutz: Die einzelnen Paketdaten werden• nicht gespeichert• und nur statistisch ausgewertet!

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Demo: Statistische Analyse - SichtenSummary• Global Traffic Statistics• Hosts

• IP/ MAC• first / last seen• traffic total / statistics• last contacted Peers• TCP/UDP Ports

• Traffic Maps• Host Map (GeoIP Database/ GoogleMaps API)

• Network Load• Grafiken (RRDtool)

IP• local

• Ports used

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



libpcap & CoInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



libpcap & Co: Packet Capturing Software I

A Little History ...A Little History ...

tcpdump

libpcap

BPF winpcap

etherealCACE

CACE/riverbed

´90 ´95 ´00 ´05 ´10

project renaming

Berkeley Packet Filter Unternehmen• Packet Capturing HW & SW• Project SponsoringLinux

BibliothekWindowsBibliothek

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



libpcap & Co: Packet Capturing Software II

Wireshark (GUI)tcpdump (CLI)

WinPcap

tcpdump.org

tshark (CLI)

alle „capture files“ im libpcap-Format!

weitere Tools (CLI):• dumpcap• editcap• mergecap• test2pcap

wireshark.org

Bibliothek:

Ausgabe:

libpcapGNU/Linux Windows

• capture ring buffer

SW:

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



Wireshark IInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: ... ein paar Vorworte• Wireshark provides you with a microscope to examine the detailed behaviour

on the network.• Wireshark stellt Dir ein „Mikroskop“ bereit, um das Verhalten

im Netzwerk ausführlich untersuchen zu können.

• The behaviour you observe makes sense only in the context of the applicable networking standards

• Das beobachtete Verhalten ist nur sinnvoll im Zusammenhang mit den anwendbaren Netzwerkstandards.

• First you must know what is supposed to be happening - then you analyze what is actually happening - then you discern the differences.

• Zuerst musst Du wissen, was vermutlich stattfindet- dann analysiere was aktuell passiert- danach wirst Du die Unterschiede wahrnehmen.

Werkzeug

Einsatzmöglichkeit

Hinweis zur Vorgehensweise

Quelle: Joe Bardwell (www.Connect802.com) Sharkfest ´11 Stanford University

1. Normalfall

2. Fehlerfall

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Voraussetzungen

• die "gute" Absicht, s.a. Hackerparagraf

• die PCAP-Bibliothek (libpcap/ winpcap) muss installiert sein

• Wireshark muss mit Administrator-Rechten ausgeführt werden, • um die Netzwerkpakete vom Protokollstapel

mitschneiden zu können

• die Netzwerkkarte kann in den promiscuous modegeschaltet werden,

• um auch Pakete mit zu schneiden, die nicht für die eigene IP bestimmt sind!

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: AufbauInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Aufbau: Menü

Menü/ Symbolleiste• Auswahl der Netzwerk-Schnittstelle• Start/ Stopp des Paketmitschnitts (Packet Capturing)• speichern• reload (Neueinlesen der mitgeschnittenen Daten)• u.v.m.

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Aufbau: Filter

Filter (optional) - Sicht• Filterung der im nächsten Fensterbereich angezeigten Pakete.

• Filter: Eingabefeld für Filterregeln

• Expression: Assistent zur Entwicklung von Filterregeln

• Clear: aktive Filterregel deaktivieren

• Apply: neue Filterregel aktivieren

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Aufbau: Packet List

Packet List - Pakete• laufende Nr• Zeit (t=0 entspricht Startzeitpunkt des Capturing)• Source (IP oder MAC) / Destination (IP oder MAC)• Protokoll• Info (Name der Protokollnachricht)

Die Auswahl eines einzelnen Paketes ist möglich, die weitere Analyse erfolgt im nächsten Fensterbereich!

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Aufbau: Packet Details

Packet Details – Protokollstack eines Paketes

• Darstellung des kompletten Protokollstacks des oben ausgewählten Paketes von L1 bis ggf. L7

• die einzelnen Protokolle können aufgeschlüsselt werden. • markierte Daten werden im nächsten Fensterbereich

farblich hervorgehoben.

Layer 1Layer 2

Layer 3Layer 4

Layer 5-7

Layer 1Layer 2Layer 3Layer 4

Layer 5-7

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Aufbau: Packet Bytes

Packet Bytes – Daten einer Protokollschicht eines Paketes• Darstellung der Daten (Bits & Bytes)

der oben ausgewählten Protokollschicht.• Export von Rohdaten

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Capturing Live Network DataInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: einfache Filter

Und wenn es in der Packet List mal zu voll wird ...

eigene IP-Adresse (Source oder Destination) ip.addr==10.0.10.1(Source) ip.src==10.0.10.1(Destination) ip.dst==10.0.10.1

bestimmte MAC-Adresse eth.addreth.dsteth.src

TCP tcpUDP udp

HTTP-Protokoll http DNS-Protokoll dnsIMAP-Protokoll imapPOP3-Protokoll popMySQL-Nachricht mysql.message

Relation (comparing values)is present == != > >= < <= contains matches

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Wireshark I: Tipp: Namensauflösung

Zur besseren Sichtbarkeit der „richtigen“ Capturing Daten

kann es hilfreich sein, die Namensauflösung für

• MAC-Adressen nach Herstellernameper Liste

• IP-Adressen nach FQDNvia reverse DNS lookup

• und TCP-/UDP-Portnummern nach Protokollnameper Liste

auszuschalten. Anschließend ein „Reload“ durchführen!

ViewName Resolution

„Haken“ entfernen!

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark I

Praxis

Fazit

Anhang



Praxis IInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis I

Fazit

Anhang



Praxis I: LAN-Anbindung – Zugang zum Dateiserver

MAC XIP X


SSID: „WLAN_traffic_analysis“PSK: „Wireshark-Workshop“

Dateiserver- 10.0.10.250- pcap-files

user 1user 2user X

AP1 AP2

WLANWLAN

InternetInternet

LANLAN

1

2

3a

4

10.0.10.0/2410.0.20.0/24

Smartphoneuser X

Notebookuser X

DHCP DHCP

3b

Ethernet

Passwort X

1feste IP-Zuordnungfür MAC X per DHCP

2Passwort an user X

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis I

Fazit

Anhang



Praxis Ia

1. LAN-Anbindung – Notebook (Wireshark-Analyse)• per Patchkabel am LAN-Switch• oder per Wireless LAN (Access Point #2)

• SSID „WLAN_traffic_analysis“• PSK: „Wireshark-Workshop“

• personifizierten Zugriff auf den Dateiserver herstellen• \\10.0.10.250\classroom• Login/ PSW vom (Papierabschnitt)

2. optional: Wireshark Installation• Dateiserver \\10.0.10.250\classroom\exchange\software\

• aktuelle Wireshark Version 1.6.7

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis I

Fazit

Anhang



Praxis Ib

3. Wireshark mit Administratorrechten starten• Mitschnitt von beliebiger (aktiver) Nw-Schnittstelle durchführen

• GUI-Aufbau studieren, Auswahlfunktion ausprobieren

• einfachen Filter ip.addr==W.X.Y.Z ausprobieren

• Namensauflösung nach Wunsch einstellen • und anschließend „Reload“ der „Capture“-Daten durchführen

4. anderen Teilnehmern helfen

1 Router# hardware mac

2 Router# clear ip dhcp *Administrator

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis I

Fazit

Anhang



Praxis Ic

5. IP-spezifische Mitschnitte vom Dateiserver herunterladen• \\10.0.10.250\classroom\capture\results\<IP>\

• letzten Mitschnitt in ein lokales Verzeichnis umkopieren• Datei in Wireshark öffnen

6. Analyse mit Wireshark• Welche Kommunikationspartner treten auf?• Welche Protokolle werden verwendet?• Fand die Kommunikation automatisch oder selbst-initiiert statt?


Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis I

Fazit

Anhang



Exkurs zu Praxis IdNetzwerklabor-Lösung – Multi-User Packet Capturing Tool

t

Packet Capturing& Filtering Process

Zeitintervall 120sTrigger (exakt jede gerade Minute!)

09:59 10:00 10:01 10:02 10:03

pcap-file

traffic_1205111000_10.0.20.X.pcap

Smartphone-Kommunikation Möglichkeit zur Netzwerkverkehrsanalyse

timestamp ip-address

Dateiserver

network trafficon

capturinginterface

Wireshark-Limit:65535 Pakete!

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis I

Fazit

Anhang



Praxis Id

8. Smartphone-Kommunikation bewusst initiieren• z.B. eMail senden/ abholen

• (o.a. SW-Market „Google Play“, social network)• innerhalb des Mitschnitt-Intervalls von 120 s• anschließend pcap-File vom Dateiserver herunterladen

9. Analyse mit Wireshark• Protokollverwendung/ Port-Nutzung• Suche nach Klartextpasswörtern/ unverschlüsselter Kommunikation

• [App-Nutzung: Welche Advertising-Server wurden kontaktiert?]• Bewertung: Sicherheit der Kommunikation?


Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis I

Fazit

Anhang



Wireshark II: Features & AnregungenInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Wireshark II: a) Capture Filters• „Filter Expression“ dialog box (Filterleiste: -> Expression)• defining & saving (Menü: Analyze -> Display Filters)

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Wireshark II: a) Capture FiltersRelation (comparing values)

is present== eq!= ne> gt>= ge< lt<= lecontains matches

Logic (combining expressions)and or && Logical ANDor or || Logical ORxor or ^^ Logical XORnot or ! Logical NOT[n] [...] Substring operator

s.a. packetlife.net



Wireshark II: a) Capture FiltersProtokolle & AttributeL2:eth .addr .src .dst .ig eq 1 (multicast or broadcast)vlan .id .priorityarp .src.hw_mac .dst.hw_mac (ARP/RARP)

L3:ip .addr .src .dstipv6 .addr .src .dsticmp/icmpv6

L4:tcp .port .srcport .dstport .ack .checksum_badudp .port .srcport .dstport .checksum_bad

L5-7:diverse! mit Bezug zu Cisco CCNA: RIP, RIPng, EIGRP, OSPF, PPP, VTP, STP



Wireshark II: b) Zeit-AnsichtMenü: -> View -> Time Display Format

• „Seconds Since Beginning of Capture“• „Seconds Since Previous Packet“

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang

ICMP Ping-Zeiten Ermittelbar,

wenn ein ping-Test mitgeschnitten wurde



Wireshark II: c) Finding Packets

Auffinden von Paketen:

• TCP-Verbindungsaufbau

ip.src==10.0.20.1 and tcp.flags.syn==1

• TCP-Verbindungsabbau

ip.src==10.0.20.1 and tcp.flags.fin==1

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Wireshark II: c) Finding PacketsInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Wireshark II: d) Follow TCP StreamMenü: -> Analyze -> Follow TCP Stream

entweder tcp.stream eq 1 oder ! tcp.stream eq 1

sukzessives Filtern möglich:• „importieren – filtern – exportieren“, uswusf.

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Wireshark II: e) Flow GraphMenü: -> Statistics -> Flow Graph ...Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Wireshark II: f) Statistics• Summary• Protocol Hierarchy• Conversations• Endpoints• IO Graphs

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Wireshark II: zzzzz) Wireshark User‘s Guide

noch mehr Anregungen:

• im Wireshark User‘s Guide• auf dem Dateiserver unter: \exchange\info\wireshark\

• im Anhang dieser Präsentation• auf dem Dateiserver unter: \exchange\info\

• Präsentationen zum Sharkfest `11• auf dem Dateiserver unter: \exchange\info\wireshark\

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark II

Praxis

Fazit

Anhang



Praxis IIInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis II

Fazit

Anhang



Praxis IIInhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis II

Fazit

Anhang

Auf Entdeckungsreise gehen!



Fazit• Smartphones

• sind kommunikationsfreudig • und bedürfen der Konfigurationspflege• nicht jede App installieren!

• der Internetzugang über WLAN ist meist sicherheitskritisch• vertrauliche Kommunikation sollte verschlüsselt stattfinden

und überprüft werden!

• Wireshark als Tool zur Analyse von Netzwerkverkehr • strukturierten Einstieg erhalten ?• sehr vielseitig !

• und damit unverzichtbar für den Netzwerk Administrator

• libpcap & Co ist eine große Familie an Network-Tools• Hoffentlich:

• Neugierde geweckt & Möglichkeiten aufgezeigt • Ideen & Anregungen für eigene Projekte gegeben

Inhalt

Ziele

Motivation

Konzept

Demo: ntop

libpcap & Co

Wireshark

Praxis

Fazit

Anhang



noch Fragen offen ?

Fragen?



AnhangAnhang

Anhang

Weblinks

Hacker-Paragraf

Werkzeuge zur Nw-Verkehrs-Analyse

Netzwerklabor-Lösung

libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr

Konfiguration- Switch- Router- Dateiserver



Weblinks

tcpdump.org tcpdump & libpcap

wireshark.org Wireshark• User Guide• Wiki• Command-line Manual Pages• Display Filter Reference (http://www.wireshark.org/docs/dfref/)• Sharkfest: Videos & Presentations• FAQ, Q&A• IPv4/IPv6 Connectivity Test (http://www.wireshark.org/tools/v46status.html)

cacetech.com Riverbed Technology• products for high performance traffic recording & analysis• sponsor of wireshark project

ntop.org• ntop, nDPI

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Hackerparagraf

Hackerparagraf (oder auch Hackertoolparagraf) ist eine umgangssprachliche Bezeichnung für den Ende Mai 2007 mit großer Mehrheit im Bundestag in Deutschland verabschiedeten § 202c des deutschen Strafgesetzbuches (StGB) mit dem offiziellen Titel Vorbereiten des Ausspähens und Abfangens von Daten. Der Paragraph stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal ein Jahr Freiheitsstrafe). Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.

Quelle: de.wikipedia.org

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Netzwerkverkehrsanalyse im LAN: Werkzeuge

Passive Werkzeuge• Network Sniffer (Live-Mitschnitte)

• Wireshark (GUI)• tcpdump (CLI)

• Ausgabe auf Konsole• Ausgabe in Datei

• tshark (wie tcpdump) (CLI)• capture ring buffer

• Monitoring• ntop (statistische Auswertung) (GUI)

• Live-Sicht• RRD-Grafiken• MySQL-DB

Aktive Werkzeuge• Port Scanner

• nmap • ICMP-ping-Scan• Service-Scan

ferner:• Verkehrsfluss

• netFlow, sFlow• Monitoring

• ICMP-Ping (Verfügbarkeit)• SNMP (Ereignisse, traps)

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Netzwerklabor-Lösung: Features

• zentraler und einfacher Ansatzpunkt zur Verkehrsanalyse im Netzwerk• per Port Mirroring im LAN-Switch

• zentrale Statistik über WLAN-Nutzung mit ntop• Protokoll-Nutzung (u.a. Transport-/ Application-Layer)• traffic (sent/receive) pro Host, pro Target• Datenaggregation per round-robin-database• grafische Darstellung auf Web-GUI

• zentrales Packet Capturing• Mehrbenutzer-Capturing• Vertraulichkeit der mitgeschnittenen Daten gegenüber anderen Benutzern• autostop capturing für 120s per cronjob• anschließende Filterung pro fester IP (per DHCP) mit tcpdump

• Bereitstellung der personenspezifischen capture files auf Dateiserver

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




libpcap & Co: tcpdump

# tcpdump –i eth0 [-G 30] –n –vv –w tcpdump.logalle 30s überschreibentime format: s. strftime(3), pcap-savefile(5)

-U unbuffered

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




libpcap & Co: tshark I

# tshark -a duration:300 autostop-b duration:300 [-b files:6] capture ring buffer option (6 files á 5min)[-B] capture buffer size (default 1MB)

-C <config profile>-D capturing devices-L link type {Ethernet|DOCSIS}-f <capt. Filter> capture filter-E / -e output on stdout-i <interface>-l pipes! flush stdout after the info for each

packet is printed-n disable network object name resolution-p disable promiscuous mode-q quiet / no statistics-r <infile> read packet datsa from file

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




libpcap & Co: tshark II

# tshark -S decode and display packets even while

writing raw packet data using –w option

-t ad | a | r | d | dd | e timestamp in summary lines(default: r relative)

-T pdml |psml |ps |text |fields set format of the output when viewingdecoded packet data

-T fields –E separator=, -E quote=d -> csv-Format

-v version-w <outfile> write raw packet data to outfile or to the

standard output-y <capture link type> set capture link type, s. –L-z statistics

s. a. # man tshark

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




libpcap & Co: Multi-User Packet Capturing Tool – mucato.sh

Shellscript• eigene (nicht perfekte, aber funktionierende) Lösung

• mit autostop-Funktion von tshark über crontab• Funktionen

• Initialisierung der Verzeichnisstruktur mit Rechtevergabe• Datenlöschung• Start/ Stop als cronjob oder single run• Status

Voraussetzungen• PC-System mit mind. 2 NIC (+1 NIC für ntop)• GNU/Linux OS (Debian 6)• Freigabe auf Dateiserver samba konfiguriert• alle Tool-Benutzer sind im System & Dateiserver vorkonfiguriert

s.a. Dateiserver

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Installation: ntop unter DebianVoraussetzung: Linux-Kenntnisse!

• Debian GNU/Linux 6 Squeeze installieren• Standard-Installation von netinst-CD• Netzwerk einrichten• SW-Paketquellen einrichten• SW-Pakete build-essential und gcc (& diverse andere) nachinstallieren

• ntop aus dem SW-Quellcode kompilieren!• Quellcode von ntop.org herunterladen• nach Anleitung auspacken und installieren• „Dreisprung“

• ./autogen.sh• make• make install

• ntop-Konfiguration• ntop einmalig starten: ntop -u ntop -P /usr/local/share/ntop -A• und über das Web-GUI weiter konfigurieren

• rrdtool ohne rrdcached verwenden!

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Android AppsListe nützlicher Android-Apps für Netzwerk Administratoren:

• Wifi Analyzer• Übersicht WLAN Access Points• SSID, Verschlüsselung, Kanal, Feldstärke

• Network Info II• external IP/ ext. Hostname (Provider/ DSL-Zugang)

• Fing• eine Art „nmap“ – Geräte im WLAN ausfindig machen

• Shark – Netzwerk Sniffer

• DroidSheep Guard• Detektierung ARP-Spoofing • disable Wifi on alert

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




eMail-Kommunikation: sicher durch Verschlüsselung

Verschlüsselnde Protokolle vom MUA bis zum MTA/MDA (eMail-Server) einsetzen!Ggf. PGP verwenden, um die eMail selbst und nicht den Weg abzusichern!

eMail senden:• SMTPS über TCP/465 - Verschlüsselung überprüfen!• SMTPS über TCP/587 - Verschlüsselung überprüfen!• SMTP über TCP/25 unsicher

eMail abholen:• IMAPSv4 über TCP/993 mit TLS• IMAP über TCP/143 unsicher

• POP3S über TCP/995• über TCP/110 unsicher, da mit oder ohne TLS möglich)

• POP3 über TCP/110 unsicher

s.a. wikipedia: StartTLS

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Switch: Port Mirroring: SPAN Session

Switch Port ANalyzer - Konfiguration auf Cisco Switch

conf t

no monitor session all

monitor session 1 source interface Fa0/21 – 23 bothmonitor session 1 destination interface Fa0/24 [encapsulation dot1q]

end

show monitor session 1

s.a. http://www.cisco.com/en/US/docs/switches/lan/catalyst2940/software/release/12.1_19_ea1/configuration/guide/swspan.html

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Switch: „Stille“ auf den Ports!

conf t

no cdp run

no spanning-tree vlan X

no keepalive

s.a. http://www.cisco.com/en/US/docs/switches/lan/catalyst2940/software/release/12.1_19_ea1/configuration/guide/swspan.html

Ethernet Frame 0x9000CTP - Configuration Test Protocol (Loop)(vergleichbar mit einem ping auf L2)

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Router: DHCP: dynamic & fixed IP addresses

DHCP - Konfiguration auf Cisco Router

ip dhcp excluded-address 10.0.20.101 10.0.20.254ip dhcp excluded-address 10.0.20.1 10.0.20.25

ip dhcp pool WLAN-POOLnetwork 10.0.20.0 255.255.255.0domain-name it.localdns-server 10.0.20.254 default-router 10.0.20.254 lease 0 4

ip dhcp pool WLAN-FIX-01host 10.0.20.1 255.255.255.0hardware-address 008A.0102.2768client-name user1

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr




Dateiserver

\\10.0.10.250\

im Verzeichnis „exchange“ befinden sich

• alle Dokumente & Unterlagen zum Workshop

Anhang

Weblinks

Hacker-Paragraf



libpcap & Co

ntop-Installation

Android-Apps

E-Mail-Verkehr


Netzwerkverkehrsanalyse eines Smartphones · 2017-02-14 · 120511 V.Massmann...

Documents

Transcript of Netzwerkverkehrsanalyse eines Smartphones · 2017-02-14 · 120511 V.Massmann...