2. Sniffer Tools: Wireshark Einstieg in die Online Testumgebung

# 2.Praktikum Sniffer Tools und Einstieg in die Online Testumgebung **[Murats Steintafeln](https://drive.proton.me/urls/K6PAXWBT6R#mkejMEYqe7HO)** - Jumphost C1: 10.20.175.154 ## Definitionen ### Sniffer >Ein Sniffer (von englisch sniff für „schnüffeln“) ist eine Software, die den Datenverkehr eines Rechnernetzes analysieren kann. Es handelt sich um ein Werkzeug (Tool) der Netzwerkverkehrsanalyse. ### Wireshark >Wireshark ist eine freie Software zur Analyse und grafischen Aufbereitung von Datenprotokollen. Es zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch die übertragenen Nutzdaten an. Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie pcap oder usbpcap, um den Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium mitzuschneiden. ## P1. Wireshark Einstieg 1. Wireshark starten $\to$ Nic "any" 1.1 Welche Protokolle kann man im Laborbetriebt sehen. 2.1 Einen Ping zu einen Team PC aufzeichnen (ip -br a) ## P2. Wireshark Filter (Gruppe) > Filteraugaben aufteilen in der Gruppe 1. Test des Displayfilters 1.1 Neuen Capture starten 1.2 Browser öffnen und einloggen >[!Important] Login > http://mailserver/squirrelmail > kürzel@isprak.de $\to$ Passwd: projekt 2. Test des Capturefilters 2.1 Capture Config (Zahnrad) nur Pakete mit http 2.2 Browser öffnen und einloggen >[!Important] Login > http://mailserver/squirrelmail > kürzel@isprak.de $\to$ Passwd: projekt 3. Vergleichen der Aufgezeichneten Daten innerhalb der Gruppe 5. Wann wählen wir welche Filtermethode in der Praxis? 6. Nach Passwd und User eingabe im Mitschnitt Suchen >[!Note] Hinweis >Nutzen Sie Displayfilter und die Funktionalität „Follow HTTP Stream“ von Wireshark. Um alle Teile der Webseite erneut zu erhalten kann ein Neustart des Browsers oder Löschen des Caches im Browser erforderlich sein. ## Einstieg in die Onlinetestumgebung >[!Note]Hinweis >Jumphost Team C1: 10.20.175.154 Aufgabe findet im Cloudumfeld statt Infra H-BRS FB02 - VNC-Client $\to$ vncviewer $\to$ jumphost - Aufruf $\boxed{vncviewer\space10.20.175.154}$ | User | Passwd | | -------- | -------- | | user1 | !!user1! | | user2 | !!user2! | | user3 | !!user3! | | user4 | !!user4! | | user5 | !!user5! | | root | !!root! | > [!Note] Hinweis > Die drei Rechner im IT-Sicherheitsnetzwerk Ihres Teams lassen sich >über „ssh - X <user>@<ip-addr>“ vom Jumphost erreichen. >Der Webzugriff auf die Rechner erfolgt durch folgenden Weblink: > http://10.20.175.155/ ![image](https://hackmd.io/_uploads/B1cnPfCbJl.png) ### Beschreibung Umfeld - 3 Vm´s - Ausschnitt Unternehmensumfeld - Arbeitsplatzrechner (AP1) - Webserver (SRV) - Firewall-Rechner (FW) - 3 Interfaces ![image](https://hackmd.io/_uploads/S1zLKfCZ1g.png) ## P3. Web-Datenverkehr analysieren mit Wireshark (Gruppenaufgabe) 1. Wireshark starten 1.1 Im Browser "www.heise.de" eingeben 1.2 Nach Seitenaufbau mitschnitt beenden 2. Von wie vielen IP-Adressen sind Daten geladen worden 2.1 Edit/Preferences/Name Resolution $\to$ Resolve Network(IP)- Adresses 2.2 statistics $\to$ Option Endpoints Mit "Name Resolution" Adressauflösungen der Endpoints anzeigen 3. Mit welchen endpunkten hat eine Kommunikation stattgefunden? | Nr| Endpoint | Art der Kommunikation | | -------- | -------- | -------- | | | | | | | | | | | | | | | | | >[!Note] Hinweis Wenn Sie keine http Kommunikation aufzeichnen, beenden Sie Firefox, starten Sie eine neue Instanz des Firefox-Browsers mir einem neuen Profil: firefox -P –newinstance dann Auswahl „Create Profile“, „Next“, Profilname setzen, mit „Finish“ weiter und „Start Firefox“. Dies kann für weitere Aufzeichnungsversuche erneut notwendig sein. >[!Note] Hinweis >Nutzen Sie Displayfilter und die Funktionalität „Follow TCP Stream“ bzw „Follow HTTP Stream“von Wireshark. 4. Einen Endpoint mit **https** wählen, Welche Nachrichten werden ausgetauscht? --- | Ziel | IP | | -------- | -------- | |Externes Netz| | |IP-Adresse AP1 |172.16.56.101 | |IP-Adresse FW |172.16.56.100 | | |172.16.57.100 | | |192.168.66.y (Externes Netz) | |IP-Adresse SRV |172.16.57.102 | |IP-Adresse Jumphost | | | eth0 |10.20.175.155 | | eth1 |172.16.57.10 | | eth2 |172.16.56.10 | | eth3 |192.168.66.10 | ### Filetransfer Anwendungsbeispiel SCP >[!Tip] Befehl SCP > **ZU Zielrechner** > scp *file* user@ip > scp regeln.nft user@10.20.175.155 > Mit cd in filedirectory gehen oder absoluten Pfad in scp angeben! >**VON Zielrechner** >scp user@*IP* :/*pfad*/**dateiname** >scp user@10.20.175.155:/tmp/versuch1.pcap >[!Warning] Aufzeichnungen > Sichern Sie die Aufzeichnungen aus Wireshark zu jeder Teilaufgabe in einer „.pcapng“ Datei mit Aufgabenteil als Name und übertragen Sie diese Dateien zu Ihrem persönlichen Rechner (nicht Cloud). > **DATEN FÜR DIE ABNAHME BEREIT HALTEN !!eins!1!elf!** ## P4 Wireshark in der Cloud-Umgebung (Gruppenaufgabe 40 Minuten) 1. Mit VNC Client auf Jumphost einwählen >[!Tip] Einwahl > vncviewer 10.20.175.155 > Im Team unterschiedliche User wählen 2. CLI $\to$ ip -br a Ausgabe mit Abbildung vergleichen 3.Wireshark auf Jumphost starten 3.1 Neue Aufzeichnung starten 3.2 Browser auf dem Jumphost starten "srv.virt.csp.inf.h- brs.de" Beliebiger User und beliebiges Passwort 3.3 Eingebenen Daten im WS-Mitschnitt finden! Screenshot! pcap. Speichern. 3.3 Wie kann Menge des Traffics durch Wahl von - Interface - andere Filter auf http Pakete reduzieren? 3.4 Können User und Passwd auf von anderem Gruppenmitglied (nicht angemeldet) gefunden werden? 4. Mitschnitte auf Lokalen Rechner laden "SCP"