Netzwerkverkehrsanalyse

Eine Netzwerkverkehrsanalyse ist die Untersuchung des Datenverkehrs, der in einem Rechnernetz zwischen den teilnehmenden Computern ausgetauscht wird. Die Verkehrsanalyse wird verwendet zur Fehlerdiagnose in Rechnernetzen, zur Detektion und Abwehr von IT-Sicherheitsangriffen, sowie zur Ausspähung von Personen.

Die Verkehrsanalyse von Netzwerkverkehr kann für verschiedene Zwecke eingesetzt werden:

• Zur Fehlerdiagnose oder Überwachung des Betriebszustands eines Kommunikationssystems
• Zur Suche nach Schadprogrammen und anderen IT-Sicherheitsangriffen
• Zur Telekommunikationsüberwachung und Auspähung von Personen

Findet die Verkehrsanalyse zum Zwecke der Fehlerdiagnose statt, so wird sie typischerweise anlassbezogen und reaktiv eingesetzt. Eine proaktive Verkehrsaufzeichnung wäre für diesen Anwendungsfall zu aufwendig und verstößt gegen den datenschutzrechtlichen Grundsatz der Datenvermeidung. Für den Einsatzzweck der Angriffserkennung ist eine kontinuierliche Auswertung des Datenverkehrs erforderlich. Die Aufzeichnung kann hingegen auf erkannte Angriffe beschränkt werden oder gänzlich unterbleiben. Bei der Telekommunikationsüberwachung dient die kontinuierliche Aufzeichnung dem Zweck der späteren Auswertbarkeit, auch von personenbezogenen Daten.

Die Netzwerkverkehrsanalyse kann je nach Einsatzzweck auf verschiedene Arten erfolgen. Eine Möglichkeit ist die Auswertung einer Kopie des Datenverkehrs. Dies erfolgt durch Einsatz eines Sniffers. Der Sniffer befindet sich entweder direkt an dem analysierten Übertragungsmedium oder erhält den Datenverkehr von einem Sensor zugeführt. Als Sensor kann ein Network-TAP als dediziertes Gerät verwendet werden oder die Portspiegelungsfunktion eines Switches (SPAN Port oder Mirror Port).^[1][2] Einige Switch-Hersteller unterstützen Portspiegelung auch über Gerätegrenzen hinweg, sodass sich der gespiegelte Netzwerkport und die Datensenke an unterschiedlichen Switches befinden können.

Der Standort des Sniffers bzw. Sensors beeinflusst, welche Daten sichtbar sind und ausgewertet werden können. Bei einem geteilten Übertragungsmedium wie beispielsweise einem Bussystem oder WLAN (siehe WLAN-Sniffer) kann ein Kommunikationsteilnehmer prinzipiell alle über das Medium übertragenen Daten sehen. In einem Netzwerk mit Switches sieht ein Teilnehmer neben Broadcasts lediglich die an ihn adressierten Datenpakete. Neben der oben erwähnten Portspiegelung am Switch besteht eine andere Möglichkeit darin, als Teilnehmer Verkehr mittels ARP-Spoofing oder Rogue DHCP umzuleiten.^[3]

Wird der Verkehr in Gänze kopiert und ausgewertet, müssen große Datenmengen verarbeitet werden, was viel Rechenleistung kostet. Werden die Daten aufgezeichnet, stellt die Speicherung großer Datenmengen eine technische Hürde dar. Durch eine Vorfilterung nach bestimmten Netzwerkadressen oder Netzwerkprotokollen kann die zu verarbeitende und speichernde Datenmenge reduziert werden. Die Filterung kann beispielsweise durch den Berkeley Packet Filter oder durch speziell für diesen Einsatzzweck entworfene Hardware performant erfolgen.

Eine weitere Möglichkeit zur Reduktion des Datenverkehrs ist es, die Analyse auf die Verarbeitung von Metadaten zu beschränken. Dies eignet sich beispielsweise zur Überwachung des Auslastungs- und Betriebszustands eines Rechnernetzes. Auch für die Telekommunikationsüberwachung reichen Metadaten aus, um festzustellen, auf welche Netzwerkdienste und Server eine Person zugreift, oder mit wem sie kommuniziert.

Eine einfache Möglichkeit zur Erfassung der Metadaten ist es, jedes aufgezeichnete Datenpaket nach beispielsweise 64 Bytes abzuschneiden. Dadurch sind der IP-Header und ggf. weitere Header enthalten, aus denen die IP-Adressen von Quelle und Ziel hervorgehen. Die weiter hinten im Paket befindlichen Nutzdaten werden abgeschnitten.

Eine Alternative stellt die Ausleitung von Metadaten per Netflow oder IPFIX dar. Diese fassen die Quell- und Zieladressen sowie statistische Werte eines gesamten Datenstroms in einem aggregierten Datensatz zusammen, der in ein einzelnes Datenpaket passt. Netflow-Datensätze können durch Router erzeugt und an einen Kollektor im Netz versandt werden, wodurch nicht zwingend ein dedizierter Aufzeichnungssensor notwendig ist. Ein weiterer Vorteil von Netflow ist es, dass keine Nutzdaten aufgezeichnet werden, mit denen somit auch kein Missbrauch möglich ist.

Pcap ist eine weit verbreitete Programmierschnittstelle und ein Datenformat zur Speicherung von aufgezeichnetem Datenverkehr.^[4] Pcap wird von einer Vielzahl von Open-Source-Tools unterstützt, beispielsweise tcpdump und Wireshark, sowie von kommerziellen Produkten, beispielsweise von den Herstellern Riverbed und Solarwinds.

Personenbezogene Daten unterliegen dem Datenschutz. Da Netzwerkverkehrsanalyse auch personenbezogene Daten betreffen kann, greifen entsprechende datenschutzrechtliche Vorgaben wie beispielsweise die Datenschutz-Grundverordnung in der Europäischen Union. Die Verkehrsanalyse kann einen Eingriff in das Fernmeldegeheimnis darstellen und unterliegt den entsprechenden gesetzlichen Regelungen, in Deutschland beispielsweise dem Telekommunikationsgesetz. Für den Zweck der staatlichen Telekommunikationsüberwachung gibt es entsprechenden Rechtsgrundlagen, in Deutschland beispielsweise die Strafprozessordnung.

Setzt ein Arbeitgeber Netzwerkverkehrsanalyse zur Leistungs- und Verhaltenskontrolle von Mitarbeitern ein, so unterliegt diese Maßnahme der Mitbestimmung durch den Betriebsrat.

Sind die Werkzeuge der Netzwerkverkehrsanalyse zum Ausspähen von Daten geeignet, unterliegt deren Beschaffung und Verbreitung dem Hackertoolparagraphen.

• Michael Gregg: The Network Security Test Lab: A Step-by-Step Guide. Wiley, 2015, ISBN 978-1-118-98713-1 (englisch). 
• Chris Sanders: Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems. 3. Auflage. No Starch Press, 2017, ISBN 978-1-59327-829-8 (englisch). 

1. ↑ Sanders, 2017, S. 21 ff.
2. ↑ Gregg, 2015, Seite 84.
3. ↑ Gregg, 2015, S. 85 ff.
4. ↑ Gregg, 2015, Seite 78f.