Wireshark installieren und zu nutzen ist eine der Grundhandwerkszeuge zur Analyse von Datenpaketen und Datenverkehr. Falls Sie die Vorteile von Wireshark nutzen möchten ist Ihnen der technische Support von Reiser & Partner gern behilflich.
1. Installation von Wireshark
Unter Linux Ubuntu
- Öffnen Sie das Terminal.
- Aktualisieren Sie die Paketquellen:
sudo apt update
- Installieren Sie Wireshark:
sudo apt install wireshark -y
- Fügen Sie Ihren Benutzer zur Wireshark-Gruppe hinzu (um als Nicht-Root-Paketmitschnitte zu erstellen):
sudo usermod -aG wireshark $USER
- Starten Sie Ihr System neu oder melden Sie sich ab und wieder an.
Unter Windows
- Laden Sie die aktuellste Version von Wireshark von https://www.wireshark.org/download.html herunter.
- Führen Sie die Installationsdatei aus und folgen Sie den Anweisungen. Akzeptieren Sie alle Standardoptionen.
- Installieren Sie zusätzlich die Option „Npcap“, die für das Abfangen von Netzwerkverkehr erforderlich ist.
Unter macOS
- Installieren Sie Homebrew (falls nicht vorhanden):
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
- Installieren Sie Wireshark:
brew install --cask wireshark
- Starten Sie Wireshark aus dem Anwendungsordner.
2. Nutzung von Wireshark
Wireshark starten:
- Öffnen Sie Wireshark und wählen Sie ein Netzwerkinterface (z. B. Ethernet oder WLAN) aus.
- Drücken Sie auf den grünen Start-Button, um den Netzwerkverkehr mitzuschneiden.
2. Filtern des Netzwerkverkehrs:
- Nutzen Sie den Filter oben im Fenster, um die Daten einzugrenzen.
- Beispiel:
tcp.port == 443
filtert alle TCP-Pakete über Port 443 (HTTPS).
2. Spezifische Pakete untersuchen:
- Klicken Sie auf ein Paket, um Details im unteren Bereich des Fensters zu sehen.
- Hier können Sie Header-Informationen und Nutzdaten analysieren.
- Speichern der Mitschnitte:
- Gehen Sie zu File → Save As, um Mitschnitte in der Datei „.pcap“ zu speichern.
3. Erklärung der wichtigsten Wireshark-Operatoren
Operator | Beschreibung | Beispiel |
---|---|---|
== | Vergleich: Gleicht die Werte der Pakete ab. | ip.src == 192.168.1.1 |
!= | Negation: Wählt alle Pakete, die nicht mit dem Wert übereinstimmen. | ip.dst != 8.8.8.8 |
and | Logisches UND: Filtert Pakete, die beiden Bedingungen entsprechen. | tcp and ip.src == 192.168.1.1 |
or | Logisches ODER: Filtert Pakete, die mindestens einer Bedingung entsprechen. | tcp or udp |
contains | Sucht nach Paketen, die einen bestimmten String enthalten. | http contains "password" |
> / < / >= / <= | Vergleiche von numerischen Werten. | tcp.port > 1024 |
matches | Regex-Muster für komplexe Filtrationen. | frame matches "GET.*HTTP" |
ip.src | Filtert Pakete basierend auf der Quell-IP-Adresse. | ip.src == 10.0.0.1 |
ip.dst | Filtert Pakete basierend auf der Ziel-IP-Adresse. | ip.dst == 8.8.8.8 |
tcp.port / udp.port | Filtert Pakete basierend auf Portnummern. | tcp.port == 443 |
dns | Spezielle Protokollfilter. | dns and ip.src == 192.168.1.1 |
4. Sinnvolle Sicherheitsüberprüfung nach ISO 27001
Wireshark kann zur Analyse der Netzwerkkommunikation und Identifikation potenzieller Sicherheitsrisiken genutzt werden. Eine typische Sicherheitsüberprüfung umfasst folgende Schritte:
1. Vorbereitung
- Stellen Sie sicher, dass die Verwendung von Wireshark im Unternehmensnetzwerk autorisiert ist.
- Planen Sie die Analysezeitpunkte, um die regulären Betriebsabläufe nicht zu stören.
2. Durchführung der Analyse
Mitschnitt kritischer Bereiche:
- Wählen Sie spezifische Netzwerksegmente (z. B. Datenbank-Server oder kritische Applikationen).
- Starten Sie die Aufzeichnung während kritischer Prozesse.
- Filterung sensitiver Daten:
- Filtern Sie z. B. alle unverschlüsselten Passwörter:
bash http contains "password"
- Identifizieren Sie Protokolle ohne TLS-Verschlüsselung (
tcp.port == 80
).
Erkennung ungewöhnlicher Verbindungen:
- Suchen Sie nach Paketen, die ungewöhnliche IP-Adressen oder Ports verwenden:
bash ip.dst == 192.0.2.1
Überwachung von Protokollen:
- Verifizieren Sie die ordnungsgemäße Nutzung von SSL/TLS durch Filterung von
tcp.port == 443
.
3. Dokumentation
- Speichern Sie die Ergebnisse und dokumentieren Sie folgende Punkte:
- Detektierte Schwachstellen (z. B. unverschlüsselte Verbindungen).
- Zu analysierende Bereiche (z. B. Webserver, interne Datenbank).
- Maßnahmen zur Behebung.
4. Maßnahmenplanung
Leiten Sie Verbesserungsmaßnahmen ab, wie:
- Umstellung auf verschlüsselte Protokolle.
- Implementierung von Firewalls oder Netzwerksegmentierung.
Integration mit ISO 27001
Die Ergebnisse der Wireshark-Analyse können in den ISO-27001-Prozess eingebunden werden:
- Risikoanalyse: Dokumentieren Sie gefundene Sicherheitsrisiken in der Risikoanalyse.
- Maßnahmenplanung: Definieren Sie technische und organisatorische Maßnahmen (z. B. Netzwerküberwachung, Verschlüsselung).
- Überwachung: Führen Sie regelmäßige Netzwerküberprüfungen durch und integrieren Sie die Ergebnisse in das ISMS.
Für weiterführende Analysen können Sie auch Skripte (z. B. mit tshark, der Kommandozeilenversion von Wireshark) verwenden, um Prozesse zu automatisieren.
Gerne hilft Ihnen unserer SOC von Reiser & Partner weiter, wenn Sie automatisierte Anforderungen mit tshark oder wireshark umsetzen möchten.