[sage] Netzwerk-Qualitaet analysieren ?

A. Dreyer (SAGE) ml10138 at adreyer.com
Mon May 31 18:44:06 CEST 2010 

On 31/05/10 15:11, Joerg Mertin wrote:
> Moin Leuts,
> 
> ich habe gerade ein recht heikles Problem.
> Ein Monitoring System, das unter anderem auch ein sog. "Man in the Middle
> Sniffing" durchfuehrt (Wird nur auf wunsch eingesetzt), schmiert immer ab.
> 
> Es hat sich heraus gestellt, dass die ssldump Bibliothek hier schuld am
> Ausstieg ist. Wenn ich den Code richtig deute, steigt ssldump da aus, wo
> tatsaechlich ein SSL-Paket ankommt (aus IP sicht ganz/korrekt), aber beim
> entschluesseln stellt sich heraus, dass die Payload korrupt ist, division
> durch null und bumps ...

Seltsam.. ich kann keine ssldump Bibliothek finden, lediglich das
Programm ssldump (http://www.rtfm.com/ssldump/), welches von libpcap und
libssl (openssl) abhängig ist.
Da es sich so anhört das beim Dekodieren das Problem auftritt, würde ich
erst mal schauen ob denn die aktuellste OpenSSL Version genutzt wird.
Ansonsten wären die OpenSSL Entwickler sicher an einer ausführlichen
Fehleranalyse interessiert.



> Kennt hier jemand so ein Tool mit dem man sich die Netzwerk Qualitaet
> anschauen kann ?

Mit Qualität meinst du jetzt was genau?
a) Die Qualität der gesammelten Daten - verfälscht oder unvollständig da
in deinem Fall nicht alle Daten gesammelt wurden?
oder
b) Die Qualität des Netzwerk-Traffics - also: Fragmentation, missing
Fragments, Jitter, etc. ?

Zu a) Bessere Daten:
Es gibt extrem schnell Hardware-Logger die kurze Traffic-Mitschnitte mit
großem RAM Speicher puffern um möglichst viele Daten zu sammeln - sehr
teuer aber je nach Environment hilft es ja auch, speziell wenn man an
spezifischen Traffic interessiert ist.

Zu b) Qualität des Traffic:
Fast alle intelligenten Netzwerk-Komponenten haben Counter für die
verschiedenen Layer-1 und -2 Probleme und sollten per SNMP(v3) auslesbar
sein. Damit ist schon eine sehr gute L1/2-Kontrolle möglich. Layer-3
kann durch Firewalls oder IDS/IDP überwacht werden.


Dein Problem ist aber scheinbar ein selbst-geschmiedetes IDS System für
SSL.. da würde ich entweder auf ein spezielles IDS/IDP System von einem
der großen Hersteller gehen (wenig Arbeit) oder aber den ssldump/OpenSSL
Entwicklern helfen deren Code zu verbessern (mehr Arbeit, liefert aber
auch mehr Wissen).



Ciao,
Achim

--
Achim Dreyer
Network Security Consultant

More information about the SAGE mailing list