Hálózatok monitorozása

Az előadások a következő témára: "Hálózatok monitorozása"— Előadás másolata:

1 Hálózatok monitorozása
Mobil és vezetéknélküli hálózatkezelés Linux és * BSD operációs rendszerek alatt Bokor László BME-HT

2 Áttekintés A hálózati protokoll-analizátorokról röviden
Mi az a Wireshark? Wireshark alapok lipPcap, WinPcap Capture opciók Capture szűrők Display szűrők Adatok elemzése GUI vs. CLI Wireshark CLI eszközei Capture vezeték nélküli környezetben Amire a Wireshark sem képes Összefoglalás Hálózatok monitorozása

3 Hálózati protokoll-analizátor
Számítógép hw/sw, ami lehallgatja és tárolja a hálózat forgalmát Elfogja a csomagokat (capture) és analizálja a tartalmukat A hálózati protokoll-analizátor feladatai: Hibakeresés Hálózati szűk keresztmetszetek felderítése Behatolás-észlelés (intrusion detection) Alkalmazások és szolgáltatások működésének elemzése Hálózatok monitorozása

4 A hálózat-analízis öt lépése
A nyers adatok gyűjtése (capture) A nyers adatok szűrése (filter) Adatból információ Az információ megjelenítése Az információ validálása Kérdések, melyeket tegyünk fel a hálózat-analízis előtt: Milyen információra van szükségem? A kimenet vizualizációja Milyen adatforrásaim vannak a nyers adatok gyűjtéséhez? Az adatforrások kimeneti formátumával legyünk tisztában Milyen eszközök állnak rendelkezésemre? Mire képesek, mik az opciók: manual! Gyakorlat + Tapasztalat + kreativitás! Hálózatok monitorozása

5 Mi az a Wireshark? A wireshark egy hálózati protokoll- és csomag-analizátor Megpróbálja elfogni a hálózaton közlekedő csomagokat és a lehető legtöbb információt tartalmazva megpróbálja megjeleníteni a csomag adatait UNIX és Windows környezet Sniffer, vagyis lehallgató számítógépes program Hasonlít a tcpdump-hoz Fejlett GUI rengeteg szűrési és osztályozó opcióval eWeek” Labs szerint a Wireshark "The Most Important Open-Source Apps of All Time" as of May 2, 2007“ Eredeti szerő: Gerald Combs, Ethereal néven, 1998-ban A Wireshark nevet 2006 júniusában kapta Hálózatok monitorozása

6 Mire jó a Wireshark? Hálózati adminisztrátorok: hibakeresés, problémaelhárítás Biztonsági szakemberek: biztonsági problémák és rések felderítése Fejlesztők: protokoll-implementációk debugja Bárki: hálózat elemzése, protokollok működésének elsajátítása Fontos: A Wireshark nem behatolás-jelző A Wireshark nem képes a hálózaton beavatkozásra, csak mérni és adatot gyűjteni tud róla Hálózatok monitorozása

7 Legfontosabb Wireshark szolgáltatások
„Megérti” a különböző hálózati protokollok felépítését Megjeleníti a beágyazásokat és a protokoll-fejléc szerkezeteket, megmagyarázza szerepüket Csak a pcap könytár által támogatott hálózatokon működőképes Cross-platfrom szoftver: Linux, Mac OS X, Microsoft windows Hálózatok monitorozása

8 libPcap, WinPcap libPcap WinPcap: A Pcap megfelelője
Rendszerfüggetlen interfész csomagok felhasználói szintű elfogására Hordozható keretrendszer alacsonyszintű hálózatmonitorozási célokra Támogatja a hálózati statisztikák gyűjtését, biztonsági monitorozást, hálzat debuggolását, stb. WinPcap: A Pcap megfelelője Szabványos eszköz Windows rendszereken történő link-szintű hozzáférés biztosításához Lehetővé teszi a csomagok elfogását és küldését is Egy speciális illesztőprogram is a része, mely kiegészíti az operációs rendszert és biztosítja az alacsony szintű hálózati hozzáférést Függvénykönyvtár A lipPcap UNIX API windows változatát is tartalmazza Hálózatok monitorozása

9 Wireshark telepítés: Windows
letöltés next, klikk, next, klikk, finish Hálózatok monitorozása

10 Wireshark telepítés: Linux (Ubuntu)
# apt-get install wireshark Hálózatok monitorozása

11 Hogyan szerzek adatot? Capture lehetőségek Capture kikötések Vezetékes
Vezeték nélküli Capture kikötések Hubs Mirrors/Monitors/SPANs Promiscuous mód („válogatás nélkül”) AirPcap ( adat, menedzsment és vezérlő keretek) Hálózatok monitorozása

12 Capture opciók Hálózatok monitorozása

13 Capture szűrők Szintaxis: Pl.:
protokoll, irány, host(s), érték, logikai operátorok, egyéb kifejezések Protokoll ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. irány src, dst, src and dst, src or dst Logikai operátorok not, and, or Pl.: tcp dst and tcp dst Hálózatok monitorozása

14 Display szűrők Ha nem vagy biztos a dolgodban: jobb klikk Filter Bar
Találd meg a számodra érdekes mezőt, majd építsd fel a szűrőt egy jobb egérkattintással! Filter Bar A Filter bar színekkel jelzi, hogy a megadott kifejezés szintaxisa helyes-e. Zöld: helyes Vörös: helytelen Sárga: kérdéses A legördülő menü a 10 legkorábban megadott szűrési feltételt is felkínálja Hálózatok monitorozása

15 Display szűrő operátorok
display.field.name operator érték eq, == egyenlő ne, != nem egyenlő gt, > nagyobb lt, < kisebb ge, >= nagyobb vagy egyenlő le, <= kisebb vagy egyenlő contains, speciális adatot tartalmaz Kombinálás az and/or segítségével, negálás a NOT-tal Zárójelek használhatók a nagyobb kifejezéseknél

16 Display szűrő példa Don't show me beacons or control frames: "wlan.fc.type_subtype ne 8 and wlan.fc.type ne 1"

17 Display személyre szabása: Oszlopok
A Libpcap PrismAVS vagy Radiotap fejlécekkel látja el a csomagokat, így téve értelmezhetővé az RSSI értéket és a rate információkat WinPcap az AiroPeek NX-et használja: RSSI százalék, rate Mindezt meg is jeleníthetjük az oszlopokban, személyre szabással! Edit  Preferences  Columns New, name column, select format "IEEE TX Rate" Ugyanezt "IEEE RSSI„-re is Wireshark >= esetében újra se kell indítani a programot és már meg is jelenik az új oszlop az újonnan felvett információkkal!

18 Wireshark Column Preferences menü

19 Display színezése I. A kereteknek sajátságainak megfelelően színeket rendelhetünk a csomagokhoz a csomaglitában Egyszerűén értelmezhető csomaglista, display szűrők működésének gyors elemzése Néhány színezett sor is nagyban segít a nagy capture fájlok elemzésekor! Click View  Coloring Rules Nevezd meg a view-t, add meg a display szűrőt, állítsd be az elő- és háttér színeket Az egyedi szabályok elmenthetők

20 Display színezése II. A hibák gyorsan kiszúrhatók, és segítenek a kérdéses csomagokra fókuszálni! Hogyan érdemes? A színezési szabályok ACL-szerűen kerülnek felhasználásra: az első illeszkedő szabály nyer! A szabályok megoszthatók (Import/Export) Ha nincs szükség a színezésre, akkor üres szabályrendszert használj: a fájlok hamarabb betöltődnek így! Hálózatok monitorozása

21 Display makrók WiFi címekhez
A makrók egyszerűsítik a komplex display szűrők használatát többféle címmezőt használ: Source, Destination, Transmitter, Receiver, BSSID "wlan.addr" csak a Source, Destination mezőket tartalmazza Makró: wlanalladdr "(wlan.addr eq $1 or wlan.bssid eq $1 or wlan.ta eq $1 or wlan.ra eq $1)"

22 Adatok elemzése: Statistics>Summary
A statisztikák segítségével egyszerűen felmérhető a mérési környezet Használd a statisztikákat, hogy meghatározd a mérésed fókuszpontjait! Használd a grafikonokat, hogy ellenőrizd a hipotéziseidet! Hálózatok monitorozása

23 Adatok elemzése : Statistics>Protocol Hierarchy
Hálózatok monitorozása

24 Adatok elemzése : Statistics>Conversations
Hálózatok monitorozása

25 Adatok elemzése : Statistics>End Points
Hálózatok monitorozása

26 Adatok elemzése : I/O grafikon
Hálózatok monitorozása

27 Grafikus interpretáció I.
Hálózatok monitorozása

28 Grafikus interpretáció II.
Folyamatok és folyamok (strams) követése – Kiváló szolgáltatás! Hálózatok monitorozása

29 GUI vs. CLI Graphical USER Interface vs. COMMAND Line Interface
GUI -> szolgáltatásgazdag, de “rögzített” funkcionalitás CLI egyéb eszközökkel -> flexibilitás! CLI -> automatikusan ismétlődő feladatokra! CLI-t nem csak akkor használunk, mikor a GUI nem elérhető! Hálózatok monitorozása

30 A Wireshark CLI eszközei
Wireshark CLI eszközök tshark dumpcap editcap mergecap capinfos Egyéb CLI eszközök |, >, for … do … done, `<command>` cut, sort, uniq, tr sed, awk szkriptnyelvek (sh/perl/python/…) Hálózatok monitorozása

31 tshark A Wireshark CLI verziója Hasonló a tcpdump-hoz, de
Állapottartó Bővebb kimeneti opciók Display szűrők dumpcap a capture motor standard opciók: -D, -i, -c, -n, -l, -f, -R, -s, -w, -r névfeloldás (-n) Időbélyegek formátuma (-t<format>) „decode as” (-d tcp.port==8080,http) alapértékek felülírása (-o <pref>:<value>) kimeneti formátumok (-V -T <format>) summary, use of column prefs Verbose (-V), hex dump (-x) dekódolt csomagok formátumának meghatározása: Packet Details Markup Language (-T pdml) mezők (-T fields -E <sep> -e <field1> -e <field2> …) statisztikagyűjtés (-z …) protokoll hierarchia (-qz io,phs) Folyamatok (conversations) (-qz conv,eth , -qz conv,tcp) i/o statisztikák (-qz io,stat,10,ip,icmp,udp,tcp) Hálózatok monitorozása

32 dumpcap (wire|t)shark használja külön is használható
tshark-hoz hasonló opciók, de állapotmentes! (örökké futhat ) gyors! „ring buffer” dumpcap -i 5 -s0 -b filesize: files:1024 -w ring.cap Hálózatok monitorozása

33 capinfos tracefile-ból összegző jelentés készítése
minden információ vs. specifikus információ $ capinfos valami.cap File name: valami.cap File type: Wireshark/tcpdump/... - libpcap File encapsulation: Ethernet Number of packets: 3973 File size: bytes Data size: bytes Capture duration: seconds Start time: Thu Jan 17 11:37: End time: Thu Jan 17 11:58: Data rate: bytes/s Data rate: bits/s Average packet size: bytes Hálózatok monitorozása

34 editcap A capture fájlok manipulálására szolgál
„editcap –h” a barátunk Működés: keret- vagy időtartományok megadása editcap -r valami.cap tmp.cap editcap -A " :40:00" -B " :49:59" valami.cap tmp.cap Fájl darabolása editcap -c valami.cap tmp.cap Hálózatok monitorozása

35 mergecap A capture fájlok összefésülésére szolgál
„mergecap –h” is barátunk Időbélyeg alapú összefésülés mergecap -w out.cap in-1.cap in-2.cap Egyszerű append mergecap -a -w out.cap in-1.cap in-2.cap Hálózatok monitorozása

36 Egyéb CLI eszközök: bash
Parancs csővezeték | ls -1t | head Kimenet átirányítása > ls -1t | head > newfiles.txt Ciklusok for … do … done for word in ‘one’ ‘two’ ‘three’; do echo $word; done parancskiértékelés (``) jelek között for file in `ls -1t | head`; do echo $file; head -1 $file;echo "";done > firstlines.txt Változók értékadása newfile=`echo ${file}.bak` Hálózatok monitorozása

37 Egyéb CLI eszközök: cut, sort, uniq, tr
cut (szövegfájl minden sorából részek eltávolítása) -c (by position) cut -c1-10 /etc/passwd -f [-d ‘<delimiter>’] (by field) cut -d ':‘ -f1 /etc/passwd sort (szövegfájl sorainak rendezése) with no option sort names.txt -r (reverse sorting) sort -r names.txt -n (numerical sort) du -ks * | sort -rn | head uniq (sorismétlések jelentése vagy megszüntetése) with no option sort names.txt | uniq -d (only ‘doubles’) sort names.txt | uniq -d -c (show count) sort names.txt | uniq -c tr (karakterek törlése vagy ) “ ” “_” echo “one two” | tr “ “ “_” -d “\015” cat dosfile.txt | tr –d “\015” > unixfile.txt Hálózatok monitorozása

38 Egyéb CLI eszközök: sed, awk
szkriptnyelv erejű alkalmazások! sed – adatfolyam feldolgozása szűrési és átalakítási célokból awk – mintafelismerő és feldolgozó nyelv Hálózatok monitorozása

39 Sniffing és Capture vezeték nélküli környezetben
A vezeték nélküli környezet komplikált A fizikai réteg kiszámíthatatlansága nehézzé teszi a hibakeresést és felismerést Ezért van szükség a vezeték nélküli forgalom lehallgatására és a csomagok elfogására/elemzésére Nincs szükség authentikációra és hozzáférési privilégiumokra a lehallgatáshoz (osztott közeg!) Hasznos a biztonsági elemzésekhez, audithoz A vezeték nélküli interfészek különböző működési módokat ismernek Master, Managed, Ad-Hoc, Monitor A monitor mód: keretinformációk A managed mód: Ethernet információk Hálózatok monitorozása

40 Managed mód vs. Monitor mód
> tshark -np -i 4 Capturing on Intel(R) PRO/Wireless 2915ABG Network Connection > Oncoming Buddy: thenickde > prelude > aol [ACK] Seq=1 Ack=133 Win=65083 Len=0 > AIM SST, Download Buddy Icon Request :0b:86:01:87:00 -> ff:ff:ff:ff:ff:ff Who has ? Tell Monitor mód (RFMON) > tshark -n -i 2 Capturing on AirPcap N Wireless Capture Device :0b:86:d5:e4:02 -> ff:ff:ff:ff:ff:ff Beacon frame, SN=1297, FN=0, Flags= , BI=100, SSID="ethersphere-voip" :19:7e:b4:fb:47 -> ff:ff:ff:ff:ff:ff Data, SN=1321, FN=0, Flags=.p....F. :13:ce:55:98:ef -> ff:ff:ff:ff:ff:ff Probe Request, SN=350, FN=0, Flags= , SSID=Broadcast[Malformed Packet] > 00:14:bf:0f:03:32 (RA) Acknowledgement, Flags= Hálózatok monitorozása

41 RFMON implementáció A módot az illesztőprogramok határozzák meg
Linux: RFMON támogatott nyílt forráskód! Windows: RFMON nem támogatott nehogy olyasmire használjuk már az eszközt, amit a gyártó nem akar…" Megoldás: Airpcap (CACE Technologies) Egyszerre csak egy csatornán tud hallgatózni Az áthallások a közeli csatornákon utazó adatokat is „belerakhatják” Hálózatok monitorozása

42 Linux – RFMON mód beállítása I.‏
iwconfig – vezeték nélküli paraméterek konfigurálása ifconfig - IP cím, up/down, stb. Használhatjuk Centrino, HostAP, RealTek, RTL, Prism54, new Mac80211, és MADWIFI-old illesztők esetében iwconfig wlan0 mode monitor channel 1 iwconfig wlan0 | grep Mode Mode:Monitor Frequency:2.412GHz Access Point: 00:00:00:00:00:00 ifconfig wlan0 | grep HWaddr wlan0 Link encap:UNSPEC HWaddr F1-0E-51-1F

43 Linux – RFMON mód beállítása II.‏
MADWIFI-NG kártyákhoz a “wlanconfig” szükséges (create/destroy) Szülő/gyermek referenciákat használ a wifi0 (szülő) és a tetszőlegesen létrehozott gyermek eszközök (pl. ath0) kezeléséhez Monitor mód csak akkor használható, ha nincs más internfész Az összes gyermek interfészre ki kell adni a "destroy" parancsot wlanconfig ath0 destroy wlanconfig ath0 create wlandev wifi0 wlanmode monitor ath0 ifconfig ath0 up iwconfig ath0 | grep Mode Mode:monitor Frequency:2.412 GHz Access Point: 00:00:00:00:00:00

44 Linux – RFMON mód beállítása III.
Madwifi-NG eléggé “válogatós” ha monitor módról van szó Elvileg lehetésges a managed + monitor vagy a master + monitor kombináció, de a gyakorlat mást mutat Monitor módban nem kedveli a csatornák között váltást A “nem kedveli” azt jelenti, hogy megáll az adatok közlése pár percre, mindenféle ésszerű ok nélkül Illesztőprogram újratöltése, mint csodamódszer “autocreate=none” rmmod ath_pci modprobe ath_pci autocreate=none

45 AP hiba- Authentikációs algoritmus nem támogatott

46 Amire a Wireshark sem képes
Nem tud térképet készíteni a hálózatról Nem képes csomagok injektálására, generálására: Passzív eszköz! Csak azokat a protokollokat képes részletezni, melyekre fel van készítve! Csak olyan adatot képes elfogni, amit az OS\Interface\Interface driver támogat Pl. vezetéknélküli környezetben! Hálózatok monitorozása

47 Összefoglalás A Wireshark valóban nélkülözhetetlen mindenki számára, aki a hálózatok működésével foglalkozik, bármilyen szinten! Hibakeresés és elemzés A Display és Capture szűrők nagy potenciállal bíró eszközök! A hatékony alkalmazás gyakorlatot igényel, de kifizetődik! Hálózatok monitorozása

48 Felhasznált források, irodalom
Wireless Sniffing with Wireshark Wireshark irodalomgyűjtemény: Sharkfest előadások:

49 Bokor László BME-HT goodzi@mcl.hu
Köszönöm a figyelmet! Bokor László BME-HT