# **Netzwerksicherheit**

# Netzwerkmonitoring

## Ziele und Motivation

- Überwachung und regelmäßige Kontrolle von Netzwerken, deren Hardware (z. B. Server, Router, Switches), Diensten (z. B. Webserver, E-Mail-Dienste) und Ereignissen
- Bestimmung der Netzelemente, deren Services, deren Status und Interaktionen, der Netztopologie sowie des Routings
- Aufspüren fehlerhafter Hardware- und Software-Komponenten, Überlastungen, Verbindungsunterbrechungen und andere Störungen der Datenübertragung
- Ausgangspunkt für die Risikoabschätzung und die Planung von Schutzmaßnahmen

## Packet Capture

- Packet Capture = Sammeln von Datenpaketen aus dem Netzwerkverkehr
- Unabhängig von der Adressierung der Datenpakete
- Werkzeug: Packet Sniffer bzw. Packet Analyzer
- Ausführung als Software oder Hardware möglich

![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/PacketCapture.png?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

## Wireshark
- Sniffer: Mitschneiden, Darstellung und Analyse des Netzwerkverkehrs
- Einsatz als Netzwerk-Analyse-Tool
- Paketorientierte Arbeitsweise
- Arbeitet auf Live-Daten oder aufgezeichnet Daten

![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/WS-Base.png?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

### Analyse der ISO/OSI-Schichten
![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/ISO-Schichten.PNG?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

### Analyse der ISO/OSI-Schichten
![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/TCP-Schichten.png?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

### Paketdetails-Fenster
- IP-Adressen: 
    - Sender: **192.168.1.39**
    - Empfänger: **192.168.1.2**
- Verwendendes Protokoll: **HTTP**
- Paketlänge: **365 Bytes**

![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/Wireshark.png?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

- Port-Nummer des Dell-Gerätes (Webbrowser): **45738**

![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/Wireshark-TCP.png?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

- HTTP-Packet beinhaltet HTML-Code für die Darstellung der Informationen auf Webseite

![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/Wireshark-HTML.png?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

## Netzwerkmonitoring mit Python
- Manuelle Analyse der Paketen mit eigenem Quellcode:
    - Übersetzung und Auswertung einzelner Bytes im Netzwerkpaket
    - Spezifische Kenntnisse über die Struktur der Internetprotokolle notwendig

In [46]:
# Unpacks TCP segment
def tcp_segment(data):
   (src_port, dest_port, sequence, acknowledgment, offset_reserved_flags) = struct.unpack('! H H L L H', data[:14])
   offset = (offset_reserved_flags >> 12) * 4
   flag_urg = (offset_reserved_flags & 32) >> 5
   flag_ack = (offset_reserved_flags & 16) >> 4
   flag_psh = (offset_reserved_flags & 8) >> 3
   flag_rst = (offset_reserved_flags & 4) >> 2
   flag_syn = (offset_reserved_flags & 2) >> 1
   flag_fin = offset_reserved_flags & 1
   return src_port, dest_port, sequence, acknowledgment, flag_urg, flag_ack, flag_psh, flag_rst, flag_syn, flag_fin, data[offset:]

- **Verwendung von Python-Bibliotheken**

### Scapy

- Python-Programm und -Bibliothek zur Bearbeitung von Netzwerkpaketen:
    - Senden, Lesen, Zerlegen, Fälschen
- Ermöglicht den Bau von Tools, die Netzwerke untersuchen, scannen oder angreifen können
- [https://scapy.net/](https://scapy.net/)

![](https://schulen-jupyter.inf.hszg.de/user/adam/files/lehrerweiterbildung-2021/IT-Sicherheit/Dateien/Scapy_logo.png?_xsrf=2%7Cda61d6af%7Cebfcad7819cf6a839f28d7c026d770aa%7C1631863282)

### Scapy Cheatsheet

Bezeichnung von Schichten (layers) in Scapy:
- 1: Netzzugang (Ethernet): **Ether**
- 2: Internet: z. B. **IP**
- 3: Transport: z. B. **TCP**
- 4: Anwendung: z. B. **HTTP**

Prüfung, on ein packet die gesuchte Schicht beinhaltet:
- ```packet.haslayer(SCHICHT_NAME)```

Zugriff auf die gesuchte Schicht (Header und Payload):
- ```packet.getlayer(SCHICHT_NAME)```

Attributen pro Schicht:
- Payload-Daten: ```.payload``` 
- Quelladresse: ```.src``` 
- Zieladresse: ```.dst``` 
- Quellport: ```.sport``` 
- Zielport: ```.dport``` 

## Aufgabe 1 

Geben Sie die alle Daten in der IP-Schicht vom ersten Packet.

*Hinweis:* Überprüfen Sie dabei, ob das Packet die IP-Schicht überhaupt beinhaltet

In [None]:
from scapy.all import *
from scapy.layers import *

# Loading packets from a file
packets = rdpcap('Dateien/Demonstrator_Traffic.pcapng')

firstPacket = packets[0]
if firstPacket.haslayer(IP):
    print(firstPacket.getlayer(IP).payload)

## Aufgabe 2

Schreiben Sie eine Python-Funktion um die folgenden Informationen von allen aufgezeichneten Paketen mithilfe von Scapy auszugeben:
- MAC-Adressen von Sender und Empfänger
- IP-Adressen von Sender und Empfänger

In [None]:
from scapy.all import *

from scapy.layers import *
from scapy.layers.inet import *

packets = rdpcap('Dateien/Demonstrator_Traffic.pcapng')

# Let's iterate through every packet
for packet in packets:
    
    if packet.haslayer(Ether):
        print("Quell MAC-Adresse: ", packet.getlayer(Ether).src)
        print("Ziel MAC-Adresse: ", packet.getlayer(Ether).dst)
        
    if packet.haslayer(IP):
        print("Quell IP-Adresse: ", packet.getlayer(IP).src)
        print("Ziel IP-Adresse: ", packet.getlayer(IP).dst)


## Aufgabe 3

Ergänzend zur Aufgabe 2, geben Sie die Datenlänge des Payloads von HTTP-Paketen aus

*Hinweis:* Protokol HTTP verwendet standardmäßig den TCP-Port **80** als Zielportnummer

In [None]:
from scapy.all import *

from scapy.layers import *
from scapy.layers.inet import *

packets = rdpcap('Dateien/Demonstrator_Traffic.pcapng')

# Let's iterate through every packet
for packet in packets:
    
    #if packet.haslayer(Ether):
    #    print("Quell MAC-Adresse: ", packet.getlayer(Ether).src)
    #    print("Ziel MAC-Adresse: ", packet.getlayer(Ether).dst)
        
    #if packet.haslayer(IP):
    #    print("Quell IP-Adresse: ", packet.getlayer(IP).src)
    #    print("Ziel IP-Adresse: ", packet.getlayer(IP).dst)
        
    if packet.haslayer(TCP):
        if packet.getlayer(TCP).dport == 80:
            print("Option 1 - HTTP-Paketlänge: ", len(packet.getlayer(TCP).payload))
        if packet.haslayer(HTTP):    
            print("Option 2 - HTTP-Paketlänge: ", len(packet.getlayer(HTTP)))


## Aufgabe 4 - Optional

Geben Sie den Inhalt aller HTML-Antworten mit ```show()``` Funktion aus! 

*Hinweis:* Scapy speichert die HTML-Anworten im Feld ```HTTPResponse```, welches man wie folgend zugreifft: ```http_layer[HTTPResponse]```

In [None]:
from scapy.all import *

# rdpcap comes from scapy and loads in our pcap file
from scapy.layers import *
from scapy.layers.inet import *

packets = rdpcap('Dateien/Demonstrator_Traffic.pcapng')

# Let's iterate through every packet
for packet in packets:
    
    #if packet.haslayer(Ether):
    #    print("Quell MAC-Adresse: ", packet.getlayer(Ether).src)
    #    print("Ziel MAC-Adresse: ", packet.getlayer(Ether).dst)
        
    #if packet.haslayer(IP):
    #    print("Quell IP-Adresse: ", packet.getlayer(IP).src)
    #    print("Ziel IP-Adresse: ", packet.getlayer(IP).dst)
        
    if packet.haslayer(HTTP):
        http_layer = packet.getlayer(HTTP)
        if HTTPResponse in http_layer:
            httpresp = http_layer[HTTPResponse]
            httpresp.show()