Staunend stehen Administratoren immer wieder vor ihren Switches und beobachten blinkende Aktivitätslichter in Netzwerksegmenten, die gerade eigentlich untätig seien sollten. Immer wieder schleichen sich Fehler in LAN-Konfigurationen ein, die zu erhöhtem Traffic und damit zu Bandbreiten-Engpässen in der Infrastruktur führen. Die Ursachen können überall liegen. Netz-Dienste oder fehlerhaft konfigurierte Anwendungen fangen urplötzlich an, Broadcasts zu senden und alle Switches zu überfluten. Unerwünschte Anwendungen wie LAN-Spiele oder schlimmer noch Trojaner überladen das Netz mit Datenmüll – oder eine Reihe von Macintosh-Computern unter Mac-OS 9 oder früher senden Tausende von Paketen an alle, nur um dem Rest der Welt die eigene Photoshop-Seriennummer mitzuteilen. Um nach den Ursachen möglicher Fehler zu fahnden, muss der Administrator in sein Netzwerk hineinhorchen und lauschen, was dort tatsächlich passiert. Früher genügte ein simpler Packet-Grabber, der alle Pakete protokollierte, die eine Netzwerkkarte passierten. In Shared Networks kam jedes LAN-Paket an jeder Station vorbei, und damit konnte jede Station als LAN-Monitor dienen. Doch die meisten Hubs haben ausgedient. Switches stellen Pakete nur noch an den dafür zuständigen Port zu. Heute müssen Administratoren folglich die Pakete an verschiedenen Stellen im LAN abgreifen, um das LAN überwachen zu können.

Steckbrief

Commview 4.1

Hersteller: Tamo Soft

Charakteristik: Tool zur LAN-Überwachung und Paketanalyse

Kurzbeschreibung: Commview 4.1 fängt Netzwerkpakete des LANs ein und entschlüsselt deren Inhalt zur Analyse. Über einen Remote-Agent lässt sich der Verkehr an verschiedenen Stellen im geswitchten LAN untersuchen.

Web: www.tamos.com

Preis: zwischen 250 (Einzelplatzlizenz) und 17000 Dollar (unlimitierte Enterprise-Lizenz) für Commview; 140 (1 PC ) bis 800 Dollar (10 PCs) für den Remote Agent

Über die Tool-Schmiede Tamosoft hat Network Computing in der Vergangenheit bereits berichtet. Das US-Unternehmen stellt eine Vielzahl nützlicher Netzwerk-Utilities her, darunter auch das Paket-Analyse-Tool »CommView« in der neuen Version 4.1. Dieses Programm überwacht den Verkehr eines LAN-Adapters und fängt rohe Ethernet-Pakete ein. Commview setzt dabei auf reguläre LAN-Adapter eines Rechners auf oder kann mit einem besonderen Treiber auch RAS- und VPN-Schnittstellen überwachen. In Echtzeit stellt Commview die Pakete dar und kommentiert diese, so weit die Pakete einem der genormten und von Commview unterstützten Protokolle entsprechen. Der Verwalter sieht auf einem Blick, von welcher Station an welche Station die Daten fließen und was die Pakete enthalten. Commview stellt die MAC-Adressen der beteiligten Karten dar. Um das Ergebnis übersichtlicher zu gestalten, kann der Administrator eine Adressdatenbank anlegen, in der er zu den MAC-Nummern aussagekräftige Namen ablegt, wie SRV01-LAN02.

Welche Pakete Commview sichert, lässt sich mit einem detaillierten Regelwerk vorgeben. Das Programm fängt dann Pakete von oder an bestimmte MAC- oder IP-Adressen, überwacht besondere Protokolle, Ports, oder sichtet gar nach bestimmten Byte-Sequenzen in Paketen. Zudem gibt es eine Alarm-Funktion. Erfüllt ein aufgefangenes Paket dabei eine bestimmte Regel, kann Commview Applikationen starten, akustische Signale ausgeben, den Admin per Mail benachrichten oder die Paketaufzeichung aktivieren. Commview führt während der Paketaufzeichnung eine Statistik. Dort verzeichnet das Programm die Pakettypen und -Größen sowie die aktiven MAC-Adressen.

Die Version 4.1 präsentiert einige wesentliche Neuerungen gegenüber 4.0. Commview kann jetzt auch Token-Ring-Netzwerke abhören. Wer wissen will, was zwischen den einzelnen Tasks eines Rechners passiert, kann einen Treiber installieren, der das Loopback-Interface überwacht. Zudem beherrscht Commview nun auch große Frames und kann damit in Gigabit-Netzwerken mit Jumbo-Frames arbeiten.

In den Real-World Labs setzt Network Computing Commview des öfteren ein, um den Internet-Verkehr außerhalb der Firewall zu überwachen. Zwischen Router und Firewall arbeitet dazu ein regulärer Hub. In einem Analyse-PC steckt eine zweite Netzwerkkarte, die keine Windows-Protokolle oder Dienste bindet, nur den Commview-Paketfilter-Treiber. Mit dieser Konfiguration lässt sich in aller Ruhe der Verkehr zwischen Firewall und Internet mithören. Treffen verdächtige Pakete von Außerhalb ein, kann der Verwalter die IP-Adresse an »SmartWhois« – ein weiteres Tool von Tamosoft – übergeben. Smartwhois liefert nicht nur den DNS-Namen des Systems, sondern findet gleich heraus, zu welchem Segment die IP-Adresse gehört und welcher Provider dieses Segment besitzt. Smartwhois listet dazu passend die technischen Ansprechpartner des Providers und deren Mail-Adressen auf.

Ähnliche Dienste leistet neben Commview natürlich auch eine vollkommen freie Software namens Etherreal. Aber dieses Open-Source-Programm lässt sich bei der Analyse der eingefangenen Pakete sehr viel Zeit. So kann der Verwalter mit Etherreal erst nach der Aufzeichnung den genauen Inhalt der Pakete analysieren – Commview ermöglicht das in Echtzeit.

In seiner Grundkonfiguration kann Commview aber auch nur die Pakete eines Adapters abhören. Damit entgehen viele geswitchte Pakete der Analyse. Als Add-On zu Commview offeriert Tamosoft einen Remote-Agent. Dieses Tool lässt sich als Dienst auf Windows-Maschinen einrichten. Commview selbst kann dann per Remote auf einen anderen Rechner zugreifen und dessen Paketverkehr protokollieren. Der Remote-Agent nutzt dazu einen einstellbaren IP-Port, per Default 5050, und verlangt zur Sicherheit ein Passwort der Überwachungsstation. Um weite Teile des LANs überwachen zu können, muss der Administrator somit nur auf Schlüsselsystemen den Remote Agent einrichten und kann dann den Paket-Verkehr an bestimmten Stellen des LAN überwachen. Für Tests der lokalen LAN-Struktur kann der Verwalter mit Commview auch eigene Pakete bauen und versenden. Ferner lassen sich aufgezeichnete Pakete einzeln oder als ganze Sequenzen versenden.

Wer viel mit Funknetzwerken arbeitet, sollte sich die WiFi-Version des Paketgrabbers ansehen. Diese Version setzt direkt auf einen der unterstützten PCMCIA-WLAN-Kartentreiber auf und liefert detaillierte Informationen über den Verkehr im Funk-LAN. Bislang beherrscht die WiFi-Version jedoch nur 802.11b-Karten.

Commview und der Remote Agent gehören in die Tool-Sammlung eines jeden Administrators, der mittlere und große Netzwerke zu überwachen hat. Das Tool beschleunigt die Fehlersuche, indem es Paketsünder im LAN schnell identifiziert und deren Fehlverhalten detailliert auflistet. [ ast ]