Titelbild

Alles, was Sie über die Analyse des Netzwerkverkehrs wissen müssen

Wir besprechen alles, was Sie über die Analyse des Netzwerkverkehrs wissen müssen

Die Analyse des Netzwerkverkehrs spielt eine entscheidende Rolle für die Gewährleistung der Netzwerksicherheit und der Verfügbarkeit. Daher ist es unerlässlich, dass die Verantwortlichen etwaige Probleme oder Unregelmäßigkeiten erkennen können, die später zu Schwierigkeiten führen könnten. Hier erläutern wir Ihnen alles, was Sie über die Analyse des Netzwerkverkehrs wissen müssen, um Ihr Netzwerk so sicher wie möglich zu halten.

Was ist Netzwerkverkehrsanalyse?

Die Netzwerkanalyse bezeichnet die Untersuchung der Aktivität und Verfügbarkeit eines Netzwerks während seines Betriebs. Dazu gehört die Erfassung, welche Daten im Netzwerk verarbeitet werden, wann dies geschieht und wohin sie gesendet werden bzw. von wo sie stammen. Es ist zwar nützlich, einen Überblick über den Datenverkehr im Netzwerk zu haben, doch die Überwachung dieser Aktivitäten gilt als entscheidend für die Sicherheit – damit Bedrohungen oder Probleme frühzeitig erkannt werden können.

Die Grundlage der Netzwerkverkehrsanalyse besteht darin, dass das Unternehmen ein Verständnis dafür entwickelt, wie sein normaler Basisverkehr aussieht, damit etwaige Unregelmäßigkeiten leicht erkannt werden können. Der Einblick in die Datenflüsse innerhalb eines Netzwerks kann äußerst hilfreich sein, um die Leistung und Funktionalität des Netzwerks optimal zu steigern.

Wie funktioniert der Netzwerkverkehr?

Jeder Download einer Datei, jeder Klick auf einer Website und jeder Videoanruf erzeugt Datenverkehr, der über ein Netzwerk geleitet wird. Der Datenverkehr folgt beim Durchlaufen festgelegten Protokollen.

Das OSI-Modell

Das OSI-Modell (Open Systems Interconnection) ist ein konzeptionelles Rahmenwerk, das beschreibt, wie Daten über ein Netzwerk von einem Gerät zum anderen übertragen werden. Nicht alle Konzepte sind für die Analyse des Netzwerkverkehrs gleichermaßen relevant, doch die folgenden sind besonders geeignet:

  • Schicht 3 – die Netzwerkschicht – ist für die Adressierung und das Routing zuständig und stellt sicher, dass die Datenpakete die richtige IP-Adresse erreichen
  • Schicht 4 – Transportschicht – verwaltet das Senden und Empfangen von Daten und gewährleistet dabei Zuverlässigkeit und Geschwindigkeit (abhängig vom jeweiligen Protokoll, TCP oder UDP)
  • Schicht 7 – Anwendungsschicht – umfasst benutzerseitige Anwendungen wie Webbrowser sowie Protokolle wie HTTP, DNS und SMTP.

Im Wesentlichen funktioniert das OSI-Modell wie ein Zustellungssystem. Die Netzwerkschicht ist die Adresse, die Transportschicht ist die eigentliche Zustellung und die Anwendungsschicht ist die Art der zu übermittelnden Daten.

Protokolle der Transportschicht

Auf der Transportschicht (Schicht 4) gibt es zwei Hauptprotokolle, die festlegen, wie die Kommunikation zwischen Geräten abläuft: TCP und UDP.

Das Transmission Control Protocol (TCP) ist ein zuverlässiges und verbindungsorientiertes Protokoll, das Daten so organisiert, dass sie korrekt und in der richtigen Reihenfolge ankommen. Webanwendungen wie HTTP/HTTPS und SMTP/IMPA nutzen TCP; wenn Sie also eine Webseite laden, wird TCP als Protokoll verwendet.

Das User Datagram Protocol (UDP) ist ein schnelles und verbindungsloses Protokoll, das jedoch keine Zustellung garantiert. Es wird für die Echtzeitkommunikation genutzt, beispielsweise für Videostreaming, DNS-Abfragen, Spiele und VoIP. Wenn beispielsweise während eines Telefonats ein Sprachpaket bei der Übertragung verloren geht, wird dieses übersprungen, anstatt das Gespräch zu verzögern, um auf das Laden des Pakets zu warten.

Die Rolle des geistigen Eigentums

Das Internetprotokoll (IP) arbeitet auf der Netzwerkschicht (Schicht 3) und ist zuständig für:

  • Zuweisung von IP-Adressen an verschiedene Geräte
  • Weiterleitung von Paketen vom Absender zum Empfänger über verschiedene Netzwerke hinweg
  • Behandlung der Fragmentierung eines Datenpakets und dessen anschließende Wiederzusammensetzung.

Jedes Datenpaket enthält einen IP-Header, der Folgendes umfasst:

  • Quell-IP-Adresse – woher die Daten stammen
  • Ziel-IP-Adresse – wohin die Daten gesendet werden
  • Time-To-Live (TTL) und Protokolltyp (z. B. TCP, UDP, ICMP).

Weitere gängige Netzwerkprotokolle

Die häufigsten Protokolle, auf die man bei der Analyse des Netzwerkverkehrs stößt, sind:

  • HTTP/HTTPS – Anwendungsschicht – wird zum Surfen im Internet verwendet
  • DNS – Anwendungsschicht – wandelt Domainnamen in IP-Adressen um
  • SMTP/IMAP/POP3 – Anwendungsschicht – wird zum Senden und Empfangen von E-Mails verwendet
  • VoIP (SIP, RTP) – Anwendungsschicht – wird für Sprach- und Videoanrufe über IP-Netzwerke verwendet
  • ICMP – Netzwerkschicht – dient zur Netzwerkdiagnose
  • ARP – ordnet die IP-Adressen den physikalischen MAC-Adressen in einem lokalen Netzwerk zu.

Die verschiedenen Arten von Netzwerkverkehr

Verschiedene Anwendungen erzeugen unterschiedliche Arten von Datenverkehr im Netzwerk. Dazu gehören in der Regel:

  • Web-Traffic – HTTP/HTTPS-Anfragen beim Surfen auf Websites
  • DNS-Datenverkehr – die Abfragen von und Antworten auf Domainnamen
  • E-Mail-Verkehr – das Senden und Empfangen von Nachrichten über SMTP/IMAP
  • Streaming/VoIP – kontinuierlicher Audio- und Videodatenstrom
  • Dateiübertragungen – Übertragung von Dateien mithilfe von Protokollen wie FTP oder SFTP.

Jede Verkehrsart weist spezifische Muster auf, und das Verständnis dieser Muster hilft Analysten dabei, normales von verdächtigem Verhalten zu unterscheiden, sobald dieses im Netzwerk auftritt. Dies ist wichtig, da es dabei helfen kann, Folgendes zu erkennen:

  • Welche Art von Daten wird übertragen (Web, DNS usw.)?
  • Ermitteln, welche Protokolle verwendet werden.
  • Erkennen Sie ungewöhnliche oder böswillige Muster – z. B. seltsame DNS-Anfragen, UDP-Verkehr mit hohem Datenaufkommen (möglicherweise DDoS) oder verdächtige IP-Adressen.

So analysieren Sie den Netzwerkverkehr

In den meisten Fällen nutzen Betreiber ein speziell entwickeltes Analyse-Tool, um den Netzwerkverkehr zu überwachen. Auf dem Markt gibt es eine Vielzahl unterschiedlicher Lösungen, und je nach Netzwerkkonfiguration eignen sich unterschiedliche Programme. Um das für Ihr Unternehmen am besten geeignete Tool auszuwählen, sollten Sie folgende Punkte berücksichtigen:

Datenquellen festlegen

Sie müssen ermitteln, welche Datenquellen genutzt werden sollen – dabei kann es sich um jedes beliebige Gerät handeln, das an das Netzwerk angeschlossen ist (einschließlich Router, Firewalls, Server, Switches und Desktop-Computer oder sogar Anwendungen). Im Idealfall führt das Unternehmen eine vollständige Bestandsaufnahme seines Netzwerks durch (oder hat diese bereits durchgeführt), um sich einen optimalen Überblick zu verschaffen.

Erhebungsart festlegen: agentenbasiert oder agentenlos?

Sobald die Datenquellen ermittelt wurden, muss festgelegt werden, wie die Daten aus diesen Quellen erhoben werden sollen.

Bei der agentenbasierten Datenerfassung muss auf den Datenquellen Software installiert werden, die Informationen zur Ressourcenleistung, zur Netzwerkkommunikation und zur Systemfunktionalität erfasst. Dadurch werden die Daten äußerst detailliert bereitgestellt; angesichts des enormen Datenvolumens muss das Unternehmen jedoch über ausreichende Speicherkapazitäten sowie die erforderlichen Funktionen zur tatsächlichen Verarbeitung dieser Daten verfügen.

Die agentenlose Datenerfassung stützt sich auf APIs und das vorhandene Netzwerkmanagementprotokoll. Dazu gehören Syslog auf Firewalls sowie SNMP oder Netflow. APIs liefern insgesamt deutlich weniger Informationen, dafür ist jedoch auch der Aufwand für die Datenverarbeitung und -speicherung geringer.

Legen Sie das Datenziel fest

Sobald die Daten zur Verkehrsanalyse erfasst wurden, muss entschieden werden, wo diese Informationen gespeichert werden sollen. Dies hängt von den vorhandenen Kapazitäten des Unternehmens ab – je nach Umfang der zu erfassenden Daten kann jedoch eine umfangreiche und komplexe Speicherlösung erforderlich sein, was möglicherweise eine Aufrüstung notwendig macht.

Die Daten können auf virtuellen Maschinen oder auf speziell dafür entwickelter Hardware gespeichert werden. Außerdem sollten die Analyseinformationen so dargestellt werden, dass sie intern verstanden und verarbeitet werden können.

Einschränkungen und Grenzen verstehen

Es liegt in der Natur von Netzwerkkonfigurationen, dass Datenerfassungssysteme in der Regel nicht einfach ohne entsprechende Berechtigungen installiert und betrieben werden können. Es ist von entscheidender Bedeutung, dass die Betreiber solche Einschränkungen kennen, damit sie entsprechend umgangen werden können. Dazu können gehören:

  • Bestimmte Ports öffnen
  • Konfigurieren von Zugriffskontrolllisten für SNMP
  • Einholung von Genehmigungen für SD-WAN-Technologie
  • Einholung der Genehmigung durch interne Stellen zur Erhebung von Daten
  • Abbau interner Informationssilos
  • Kenntnis aller branchenbezogenen, rechtlichen oder behördlichen Vorgaben, die sich auf die Erhebung und Speicherung von Daten auswirken.

Admin-Bereiche verstehen

Natürlich ist es großartig, über Informationen zu verfügen – doch sie nützen nicht viel, wenn sie nicht richtig verstanden werden. Die vom Unternehmen gewählte Lösung sollte ein Dashboard bieten, das einen konfigurierbaren Zugriff auf Daten in einer Vielzahl unterschiedlicher Formate für Berichtszwecke ermöglicht, sowie die Möglichkeit, diese nach Bedarf anzuzeigen, zu analysieren und weiter zu bearbeiten.

Benachrichtigungen einrichten

Eine kontinuierliche Überwachung funktioniert nur, wenn sie erkennt, wann eine Unregelmäßigkeit auftritt. Durch die Implementierung und Konfiguration von Warnmeldungen im System können die zuständigen Personen über Probleme (oder potenzielle Probleme) informiert werden und bei Bedarf Maßnahmen ergreifen, um die sich entwickelnde Situation zu beheben. Solche Warnmeldungen können auch in bestehende Tools wie Netzwerfstörungsüberwachungssysteme integriert werden.

Die Bedeutung der Netzwerkverkehrsanalyse

Wenn ein Unternehmen von seiner Sicherheit überzeugt ist, warum muss es dann weiterhin eine Netzwerkverkehrsanalyse durchführen? In der Realität kann ein Unternehmen zwar so gut geschützt sein, wie es möchte, doch die Informationen, die eine Netzwerkverkehrsanalyse liefert, sind einfach nirgendwo sonst zu finden. Eine Netzwerkverkehrsanalyse bietet:

  • Schutz der Datenquellen
  • Warnmeldungen, die noch vor der Erkennung durch Einbruchmeldesysteme und Präventionsmaßnahmen erfolgen, um auf potenzielle Probleme hinzuweisen
  • Einblicke in den Netzwerkbetrieb auf Basis von Echtzeitdaten
  • Erfassung aller an das Netzwerk angeschlossenen Geräte
  • Die Erfassung der Beziehungen zwischen Geräten, Benutzern und Aktionen im Netzwerk.

Da Big Data die Technologielandschaft weiterhin dominiert, ist davon auszugehen, dass die Abhängigkeit von den oben genannten Faktoren weiter zunehmen wird.

All diese Faktoren tragen dazu bei, Anomalien automatisch zu erkennen, die allgemeine Netzwerkverfügbarkeit zu verbessern und die Netzwerkleistung zu steigern.

Arbeiten Sie mit den Experten zusammen

Wenn Sie Zugang zu einem Team aus spezialisierten Ingenieuren und Technikern benötigen, die selbst die technisch anspruchsvollsten und komplexesten Netzwerkkonfigurationen verstehen, wenden Sie sich noch heute an Procurri. Wir bieten rund um die Uhr kompetenten Support und können auf eine unübertroffene Erfolgsbilanz im Bereich Channel-Support zurückblicken!