Netzwerk-Forensik: Drei Anwendungsfälle für Wireshark in VoIP- und UC-Netzen

Mithilfe des Security-Tools Wireshark können VoIP- und UC-Administratoren zum Beispiel überprüfen, ob die Verschlüsselung im Netzwerk funktioniert.

Dieser Artikel behandelt

Netzwerk-Sicherheitsanalyse

In erster Linie ist Wireshark ein IT-Forensik-Tool und Voice over IP (VoIP) ein Netzwerk-Protokoll. Einem VoIP-Administrator...

ist bei der Arbeit mit Wireshark Capture nicht unbedingt bewusst, dass es sich hierbei um Netzwerk-Forensik handelt. Lassen wir die Gründe außen vor, warum Sie sich für Wireshark entschieden haben. Die Frage im Hinblick auf die Forensik ihres Netzwerk lautet aber: Was passiert in meinem Netzwerk?

Sehen wir uns die Sache aus dieser Perspektive an, liefert Wireshark VoIP und Unified Communications (UC) wesentliche Informationen für VoIP-Administratoren in einer UC-Umgebung.

Wireshark für die Überprüfung der VoIP-Verschlüsselung einsetzen

Häufig behaupten Anbieter, dass Ihr Produkt bestimmte Funktionen hat, doch in der Realität liefert es nicht die beworbende Leistung. Nehmen wir als Beispiel eine typische Security-Technik in einer UC-Umgebung. In der Regel verschlüsselt man den Kontroll-Kanal für das Session Initiation Protocol (SIP), wenn ein IP-Telefon den Dienst eines SIP-Servers anfordert. Der Verschlüsselungs-Mechanismus hierfür ist Transport Layer Security (TLS) und wird über TCP-Port 5061 ausgeführt, welches mit SIP assoziiert wird. Lassen Sie ein Wireshark Capture in Verbindung mit einem SIP-Server laufen, kann ein VoIP-Administrator folgenden Filter verwenden:

ssl.record.version == 0x0301 && tcp.port == 5061

Dieser Befehl weist Wireshark an, jeglichen Traffic aus TLSv1 auf TCP-Port 5061 zu filtern. Nachdem ein scheinbar sicherer Anruf von einem IP-Telefon über den SIP-Server gelaufen ist, sollten VoIP-Administratoren den Traffic sehen. Ist das nicht der Fall, sollten Sie die technischen Spezifizierungen überprüfen. Möglicherweise verwendet das Produkt einen anderen TCP-Port für TLS-Traffic. Ebenso schadet ein Blick in die Dokumentation nicht, ob ein anderer Verschlüsselungs-Mechanismus für VoIP-Anrufe zum Einsatz kommt. Das könnte die fehlenden Pakete erklären. Andernfalls sollten Sie den Anbieter kontaktieren.

Security-Überprüfung: Nullwerte in den SIP-Headern suchen

Die Security-Features von Wireshark wurden bereits erörtert. Allerdings möchte ich meiner Pflicht nachkommen und zumindest auf eines der weniger bekannten Anwendungsfälle von Wireshark in einer UC-Umgebung hinweisen. Die meisten UC-Umgebungen mit SIP verfügen über einen Regeltyp, der Nullwerte in bestimmten SIP-Headern unterbindet. Eine  Regel könnte eine INVITE-Nachricht mit einem Nullwert sein. Ein VoIP-Administrator kann hierfür folgenden Filter verwenden:

sip.Request-Line == "INVITE null"

Dieser Filter zeigt alle INVITE-Nachrichten an, die einen Nullwert enthalten. Administratoren können mit diesem Filter auch experimentieren und einen anderen Bereich auswählen, in dem Nullwerte möglich sind. Jedes Unternehmen wird verschiedenen Bereiche mit Nullwerten erlauben. Wachsame Administratoren sollten dabei bedenken, dass sich fehlerhafte Pakete, wie zum Beispiel einem Nullwert bei INVITE, nachteilig auf die UC-Umgebung auswirken.

VoIP-Administratoren schulen, um Wireshark Captures auszuführen

Schulungen werden oft in diesem Zusammenhang thematisiert, doch in der IT wird das Konzept häufig missverstanden. Dabei denken viele an einen Konferenzraum, in dem sie eine PowerPoint-Präsentation ertragen müssen. Viele erfahrene Administratoren erklären Ihnen dabei, dass IT einfach funktionieren muss. VoIP-Administration ist keine Ausnahme. Sobald ein neuer Admin an einem operativen Netzwerk arbeitet, müssen die leitenden Administratoren eine Entscheidung treffen: Wie viel Verantwortung erhält der neue Admin? Zu wenig Verantwortung führt eventuell zu Langeweile und er wird desillusioniert. Zu viel Verantwortung könnte ein Desaster für das operative Netzwerk bedeuten. Als Neuling kennt man die ganzen Nuancen eines Netzwerks nicht. Um das Dilemma zu lösen, könnten Sie den neuen Mitarbeiter Wireshark Captures für das operative Netzwerk ausführen lassen.

Zunächst ist Wireshark komplett passiv. Die Sorge, dass die Einstellungen des Netzwerks verändert werden und Schäden auftreten, ist unbegründet. Können Sie sich zudem eine bessere Methode vorstellen, wie man das komplette Netzwerk kennenlernt? Sollte es zu Netzwerk-Ereignissen kommen, wie zum Beispiel ein einfacher Telefon-Anruf, lassen Sie die neuen Mitarbeiter das Capture anschließend analysieren. Danach sollen sie den unterschiedlichen UDP- (User Datagram Protocol) und TCP-Streams folgen. Dies lässt sich mit einem Rechtsklick auf Follow UDP Stream realisieren. Außerdem können die neuen Admins mit anderen Ereignissen spielen, wie zum Beispiel einem Einbruch (Intrusion Detection). Geben Sie den Mitarbeitern die Möglichkeit, eine genaue Diagnose zu machen. VoIP-Administratoren werden überrascht sein, wie viele Informationen sie aus der Überprüfung der Netzwerk-Ereignisse holen können.

Die Fähigkeiten von VoIP- und Netzwerk-Admins müssen gleich sein

Mittlerweile ist es notwendig, dass die Fähigkeiten eines VoIP-Administrators und eines Admins für IP-Netzwerke auf dem gleichen Niveau sind. Einige vertreten sogar die Meinung, dass die Unterschiede zwischen einem VoIP- und einem normalen IP-Netzwerk-Administrator nur noch marginal sind. Aus diesem Grund müssen VoIP-Admins auch Aufgaben übernehmen, die vorher von anderen verwaltet wurden. Eine dieser Kompetenzen ist, Wireshark zu verstehen, es bedienen und effizient in einer großen UC-Umgebung einsetzen zu können.

Artikel wurde zuletzt im März 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Sicherheitsanalyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close