Arbeitet das Netzwerk nicht wie gewünscht, ist eine Analyse ohne genaue Daten schwer. Wer die Netzflüsse überwacht, erkennt Trends im Netzwerk, spürt Würmer und Viren auf und kann Aussagen über die Nutzung der Bandbreite treffen, die einen künftigen Ausbau des Netzwerks erleichtern.
Viele Administratoren interessieren sich nicht für den Verkehr in ihrem Netzwerk - solange alles funktioniert. Erst wenn\'s klemmt, suchen sie händeringend nach Möglichkeiten, die Verbindungen zu analysieren. Meist scheitert das Ansinnen dann an fehlenden Vergleichsdaten. Welche Verbindungen sind normal, welcher Verkehr ist ungewöhnlich? Diese Fragen kann der Systemverwalter nur beantworten, wenn er Aufzeichnungen besitzt, die das Netzwerk im Normalzustand beschreiben.
Doch nicht nur im offensichtlichen Fehlerfall sind detaillierte Protokolle des Netzwerkverkehrs interessant: Sie helfen auch dabei, falsch konfigurierte Rechner zu finden, den Ausbruch von Würmern oder Viren frühzeitig zu erkennen und zu lokalisieren und nach einem Einbruch die Ereignisse zu analysieren.
Darum ist es sinnvoll, über Aufzeichnungen sämtlicher Verbindungen im Netzwerk zu verfügen. Einfaches Mitschreiben der Netzwerk-Rohdaten ist nicht vernünftig: Einerseits benötigen diese Informationen zu viel Speicherplatz, andererseits ist dieser hohe Detailgrad unnötig. In den meisten Fällen reicht es aus, die Netzflüsse aufzuzeichnen.
Ein Netzfluss ist ein IP-Datenstrom, jede TCP-Verbindung ist zum Beispiel ein solcher Fluss. Bei der Überwachung der Flüsse schreiben die meisten Systeme die IP-Adressen, das Protokoll, Ports und die ausgetauschte Datenmenge ins Log. Vorreiter dieser Technik ist der Netzwerkgeräte-Hersteller Cisco: Er hat bereits vor Jahren solche Funktionen in seine Hardware eingebaut. Cisco-Router exportieren die beobachteten Verbindungen per UDP als so genannte Netflows, die eine Vielzahl von Softwareprodukten, zum Beispiel Ntop ([1], [6]), importieren und analysieren können.
Weitere Router-Hersteller haben ihre Geräte mit kompatiblen Funktionen ausgestattet. Zusätzlich gibt es auch eine Reihe von Netflow-Probe-Programmen, die an Stelle von Cisco-Routern laufen, zum Beispiel auf einem Linux-Router. Sie erzeugen Cisco-kompatible Netflow-Aufzeichnungen, die der Administrator anschließend wiederum mit Ntop & Co. verarbeitet. Ntop analysiert dabei ausführlicher als zum Beispiel MRTG [7], das nicht einzelne Flüsse untersucht, sondern lediglich über SNMP den gesamten Datendurchsatz anzeigt. Um Trends zu erkennen, ist MRTG meist ausreichend. Um sie auszuwerten, sind Programme nötig, die die Flüsse anzeigen und analysieren.
Eine Alternative zu diesen Programmen ist Argus [2]. Es besteht aus zwei Komponenten: Ein Daemon ermittelt die Flüsse und schreibt sie in eine Datei. Mehrere Clients helfen dem Administrator dann, die Flüsse zu analysieren. Das von Argus eingesetzte Format ist zwar nicht kompatibel zu Ciscos Netflow, bietet dafür aber mehr Funktionen. Während Netflow für jede Verbindung zwei Flüsse (für jede Richtung) protokolliert, fasst Argus diese Informationen in einem Fluss zusammen.
Leider hat sich auch das Argus-Format in den letzten Jahren geändert. Für ältere Versionen (bis 2.0.5) gibt es den Converter Canine [3], der mehrere Formate beherrscht, aber leider noch nicht das Format der hier vorgestellten Argus-Version 3.0, die sich derzeit noch in der Entwicklung befindet. Das dürfte sich aber ändern, wenn die Final-Version von Argus 3 erscheint.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
