Systeme: Paketanalyse in virtuellen Umgebungen

Verborgene Informationen

Die im Bereich der Virtualisierung bereitgestellten Werkzeuge richten sich in erster Linie an Serverexperten. Die zugrundeliegende Vernetzung der virtuellen Ressourcen wird dagegen nur als notwendiges Übel für das Verschieben von Daten zwischen den Servern wahrgenommen. Daher fällt es nicht leicht, an die Netzinformationen in virtualisierten Rechnerwelten heranzukommen. Welche Wege sich hierfür anbieten, zeigt dieser Beitrag.
In der April-Ausgabe hat sich IT-Administrator die Netzwerksicherheit zum Schwerpunkt gesetzt. Wir zeigen, wie Sie mit Honeypots auf Hacker-Jagd im Netzwerk ... (mehr)

Das einfachste virtuelle Szenario basiert auf einem einzigen physikalischen Server, der mehrere virtuelle Maschinen (VMs) beherbergt. Doch innerhalb eines physischen Rechners lässt sich der Datenverkehr nur schwer aufzeichnen. Die Pakete, die zwischen VMs im gleichen Server ausgetauscht werden, verlassen den Hardware-Server nämlich nicht. Aus diesem Grund taugt auch ein physischer Span-Port am Switch zur Aufzeichnung der Datenströme nichts.

Inzwischen gibt es jedoch eine Lösung für dieses Analyseproblem: Ein virtueller Switch mit einem integrierten Span-Port. Dieser ermöglicht es, eine NIC auf dem virtuellen Switch als Ziel für den aufzuzeichnenden Verkehr zu definieren.

Entweder Sie nutzen dabei eine vNIC auf einer VM auf dem Server oder Sie verwenden eine pNIC, um die Pakete zu einem externen Sniffer zu übermitteln.

Überwachung auf zwei Wegen

Der Vorteil einer VM als Paketsammler auf dem Server: Sie benötigen keine zusätzliche Hardware. Der Nachteil besteht jedoch darin, dass ein zusätzlicher Datenverkehr auf den virtuellen Switches erzeugt und möglicherweise zusätzlicher Speicher zum Ablegen der aufgezeichneten Pakete auf der Festplatte benötigt wird. Normalerweise ist die Netzanalyse ein passiver Prozess. Da der Sniffer auf dem physischen Server läuft, findet die Speicherung der Daten auf der lokalen Festplatte statt. Dies hat eventuell Auswirkungen auf den gesamten VM-Server.

Alternativ können Sie die Daten im Nonpromiscuous-Modus innerhalb der VM selbst aufzeichnen. Hierbei legen Sie einen Capture-Filter auf der betreffenden VM an, für die Sie eine Paketaufzeichnung ausführen möchten. Mit dem Programm "tcpdump" funktioniert das Sniffing auf einer Linux-basierten VM relativ einfach. Es empfiehlt sich, die Option "-w" zu nutzen. Dadurch schreibt die Software die aufgezeichneten Pakete in ein pcap-File. Anschließend können Sie das

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite