[sage] Netzwerk-Qualitaet analysieren ?

[Joerg Mertin]

Halloechen ...


On 31.05.2010, at 18:44, A. Dreyer (SAGE) wrote:

> On 31/05/10 15:11, Joerg Mertin wrote:
>> Moin Leuts,
>> 
>> ich habe gerade ein recht heikles Problem.
>> Ein Monitoring System, das unter anderem auch ein sog. "Man in the Middle
>> Sniffing" durchfuehrt (Wird nur auf wunsch eingesetzt), schmiert immer ab.
>> 
>> Es hat sich heraus gestellt, dass die ssldump Bibliothek hier schuld am
>> Ausstieg ist. Wenn ich den Code richtig deute, steigt ssldump da aus, wo
>> tatsaechlich ein SSL-Paket ankommt (aus IP sicht ganz/korrekt), aber beim
>> entschluesseln stellt sich heraus, dass die Payload korrupt ist, division
>> durch null und bumps ...
> 
> Seltsam.. ich kann keine ssldump Bibliothek finden, lediglich das
> Programm ssldump (http://www.rtfm.com/ssldump/), welches von libpcap und
> libssl (openssl) abhängig ist.
> Da es sich so anhört das beim Dekodieren das Problem auftritt, würde ich
> erst mal schauen ob denn die aktuellste OpenSSL Version genutzt wird.
> Ansonsten wären die OpenSSL Entwickler sicher an einer ausführlichen
> Fehleranalyse interessiert.
> 
Die Jungs haben den Quellcode aus ssldump "dupliziert" und die ssl-libraries statisch hinzugelinkt (um sicher zu stellen dass die richtige Version dabei ist).
Darum rede ich hier von ssldump - sorry. mea culpa das ich so ungenau war.
Ich habe versucht ueber die ssl-foundation jemanden zu kontaktieren. Bisher keine Antwort.

> 
> 
>> Kennt hier jemand so ein Tool mit dem man sich die Netzwerk Qualitaet
>> anschauen kann ?
> 
> Mit Qualität meinst du jetzt was genau?
> a) Die Qualität der gesammelten Daten - verfälscht oder unvollständig da
> in deinem Fall nicht alle Daten gesammelt wurden?
> oder
> b) Die Qualität des Netzwerk-Traffics - also: Fragmentation, missing
> Fragments, Jitter, etc. ?
> 

Beides im Grunde.


> Zu a) Bessere Daten:
> Es gibt extrem schnell Hardware-Logger die kurze Traffic-Mitschnitte mit
> großem RAM Speicher puffern um möglichst viele Daten zu sammeln - sehr
> teuer aber je nach Environment hilft es ja auch, speziell wenn man an
> spezifischen Traffic interessiert ist.
> 

Diese sammeln aber nur Daten, und sind nicht in der Lage eine reale Auswertung ueber die Qualitaet Dieser Daten zu liefern.
Wir haben 2 solche Geraete bereits im Einsatz (Verschiedene Hersteller). Bringt aber nichts wenn die Daten korrupt sind.
Ist wie mit md5 Summen rumspielen. Man kann fuer 2 Inhalte die selbe MD5 Summe haben, nur das der eine Inhalt Der ist - der ssldump/ssllib aus dem Tritt bringt.
Das spiegelt sich hauptsaechlich bei Verschluesselten Verkehr wieder.

> Zu b) Qualität des Traffic:
> Fast alle intelligenten Netzwerk-Komponenten haben Counter für die
> verschiedenen Layer-1 und -2 Probleme und sollten per SNMP(v3) auslesbar
> sein. Damit ist schon eine sehr gute L1/2-Kontrolle möglich. Layer-3
> kann durch Firewalls oder IDS/IDP überwacht werden.
> 
> 
> Dein Problem ist aber scheinbar ein selbst-geschmiedetes IDS System für
> SSL.. da würde ich entweder auf ein spezielles IDS/IDP System von einem
> der großen Hersteller gehen (wenig Arbeit) oder aber den ssldump/OpenSSL
> Entwicklern helfen deren Code zu verbessern (mehr Arbeit, liefert aber
> auch mehr Wissen).

Ja - soweit war ich auch schon. Ich bin hier eher fuer alternative 2 (ssldump Code verbessern).
Ich versuche es grad in der Firma durch zu kriegen. Wie die Amis aber reagieren werden, ist noch ungewiss.
Vielleicht hilft ja der jetzige Kunde etwas Druck aus zu ueben ;)