Lauritzl am 6. März 2024 um 06:38 Uhr

2024-03-06T06:38:16Z

Lauritzl: Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | UTM Fehleranalyse tcpdump | }} {{var | head | Securepoint UTM Fehleranalyse mit tcpdump | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Falls eine TCP/IP-Verbindung mal nicht funktioniert, bietet die Firewall einige Möglichkeiten den Fehlern auf die Spur zu kommen. Konkret gibt es drei Level der Analyse, die immer tiefer in das System hinabsteigen. Da…“

2024-02-20T15:27:37Z

Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | UTM Fehleranalyse tcpdump | }} {{var | head | Securepoint UTM Fehleranalyse mit tcpdump | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Falls eine TCP/IP-Verbindung mal nicht funktioniert, bietet die Firewall einige Möglichkeiten den Fehlern auf die Spur zu kommen. Konkret gibt es drei Level der Analyse, die immer tiefer in das System hinabsteigen. Da…“

Neue Seite

{{Lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| UTM Fehleranalyse tcpdump
| }}
{{var | head
| Securepoint UTM Fehleranalyse mit tcpdump
| }}

{{var | Einleitung
| Einleitung
| }}
{{var | Einleitung--desc
| Falls eine TCP/IP-Verbindung mal nicht funktioniert, bietet die Firewall einige Möglichkeiten den Fehlern auf die Spur zu kommen. Konkret gibt es drei Level der Analyse, die immer tiefer in das System hinabsteigen. Das oberste Level ist über das Webinterface erreichbar, die unteren Level benötigen eine Textkonsole, entweder über SSH oder lokal am Gerät.
| }}

{{var | Die Level der Fehleranalyse
| Die Level der Fehleranalyse
| }}
{{var | Level 1: Livelog
| Level 1: Livelog
| }}
{{var | Livelog--desc
| Unter {{Menu-UTM||Log}} ist das Livelog zu finden.

Das Livelog zeigt neben Applikationsmeldungen auch Meldungen des Paketfilters an. Standardmäßig ist allerdings nur zu sehen, wenn die Default Policy Pakete verwirft, für die es keine passende Firewallregel gibt. Es lässt sich aber für jede Firewall-Regel das Logging konfigurieren, so dass auch ein Eintrag erscheint, wenn diese Regel greift. 

Dadurch ergeben sich in der Fehlersuche drei Möglichkeiten: 
#Das gesuchte Paket taucht auf und es wird verworfen (DROP)
#Das gesuchte Paket taucht auf und es wird akzeptiert (ACCEPT)
#Das gesuchte Paket taucht nicht auf

 Dadurch kann die Fehlerursache lokalisiert werden: 
#Wenn ein Paket verworfen wird, fehlt die passende FW-Regel, sie ist nicht korrekt erstellt oder noch nicht wirksam (Regelwerk noch nicht aktualisiert)
#Wenn ein Paket angenommen wird, dann liegt der Fehler vermutlich in Richtung Zielhost.
#Ist kein Paket im Livelog sichtbar, dann kommt vermutlich auch keins an der Firewall an. Der Fehler ist hier vermutlich in Richtung Quellhost zu suchen.
| }}
{{var | Level 2: CLI
| Level 2: CLI
| }}
{{var | CLI--desc
| Das CLI (Command Line Interface) stellt die Schnittstelle zum Firewall-Server dar, welche zum einen vom Webinterface genutzt wird, zum anderen auch auf der Konsole zur manuellen Konfiguration der Firewall genutzt werden kann. Für die Fehlersuche bei Verbindungsproblemen ist das CLI allerdings nur von begrenztem Nutzen.

Das CLI kann über das Webinterface oder über eine Textkonsole erreicht werden. Dazu ist ein Benutzer mit Administrationsrechten notwendig.
| }}
{{var | Level 3: Linux-Shell
| Level 3: Linux-Shell
| }}
{{var | Linux-Shell--desc
| Die Linux-Shell greift auf das zugrundeliegende Betriebssystem zurück. Man erhält Zugriff auf viele Systemparameter, die über das Webinterface oder das CLI nicht zugänglich sind - wenn auch zumeist nur lesend. Mit dem Paketsniffer tcpdump steht auf der linux-Shell ein sehr leistungsfähiges Werkzeug zur Trafficanalyse zur Verfügung.

Die Linux-Shell erreicht man ausschließlich mithilfe eines Benutzers der root-Berechtigungen hat.
| }}

{{var | Tcpdump auf der root-Konsole
| Tcpdump auf der root-Konsole
| }}
{{var | Voraussetzungen
| Voraussetzungen
| }}
{{var | Voraussetzungen--desc
| Die Voraussetzungen zur Verwendung von tcpdump sind Folgende:
*Ein User „root“ in der Gruppe Administrator
*Ein SSH-Client (z. B. PuTTY) oder eine lokale Konsole auf der Firewall
| }}
{{var | Parameter zur Steuerung und Filterung
| Parameter zur Steuerung und Filterung
| }}
{{var | Parameter zur Steuerung und Filterung--desc
| Die Verwendung von tcpdump ohne Parameter würde einfach JEDES tcp/ip-Paket auf der Konsole
anzeigen. Es ist also notwendig, durch entsprechende Filterparameter ein Suchmuster vorzugeben.

'''''-i''''' definiert das Interface, an dem ein- oder ausgehende Pakete angezeigt werden sollen. Beispiel:
| }}
{{var | proto--desc
| '''''proto''''' definiert die Protokollnummer auf Transportebene. Beispiele:
| }}
{{var | zeigt
| zeigt
| }}
{{var | Pakete
| Pakete
| }}
{{var | port--desc
| '''''port''''' definiert tcp- oder udp-ports. Beispiel:
| }}
{{var | host--desc
| '''''host''''' definiert einen bestimmten Host mit seiner IP als Quelle oder Ziel. Beispiel:
| }}
{{var | net--desc
| '''''net''''' definiert ein Netzwerk (Quelle oder Ziel) Beispiel:
| }}
{{var | Verknüpfung--desc
| Darüber hinaus lassen sich Filterparameter mit logischen Operatoren verknüpfen. So können folgendermaßen alle ICMP-Pakete für Host 10.0.0.10 angezeigt werden:
| }}
{{var | Weitere Steuerungsparameter--desc
| Weitere Steuerungsparameter sind beispielsweise:
'''''-n''''' verhindert, dass tcpdump versucht, einen reverse lookup auf IP-Adressen zu machen, um Hostnamen anzuzeigen.

'''''-s''''' legt fest, bis zu welcher Länge ein Paket mitgeschnitten wird. Mit dem Wert 0 wird das komplette Paket mitgeschnitten.

'''''-w''''' leitet die Ausgabe in eine Textdatei um. Diese kann dann mit einem Analysetool, z.B. wireshark, weiter untersucht werden. Als Wert wird der Pfad der Textdatei angegeben, z.B. /var/tcpdump.txt
| }}
{{var | Die Trafficanalyse
| Die Trafficanalyse
| }}
{{var | Trafficanalyse--desc
| In unserem Beispiel haben wir zwei Netzwerke der Zentrale und eines Filialstandortes einer Firma, deren Gateways diese Netze mittels eines IPSec-Tunnels miteinander verbinden. Die Zentrale hat das interne Netzwerk 10.0.0.0/24 und die externe Adresse 198.51.100.75. Die Filiale hat das interne Netzwerk 10.4.0.0/24 und die externe Adresse 198.51.100.4. Der Host 10.0.0.10 versucht, den Host 10.4.0.10 zu erreichen, was aber misslingt.
| }}
{{var | Initiator-Seite: Intern
| Initiator-Seite: Intern
| }}
{{var | Initiator-Seite: Intern proto--desc
| Wir beginnen unsere Analyse am internen Interface des Gateways der Zentrale. Dazu melden wir uns per ssh als User „root“ dort an und führen folgendes Kommando aus:
| }}
{{var | Initiator-Seite: Intern net--desc
| Der Parameter ''proto 1'' bezieht sich auf die Protokollnummer 1 des ICMP-Protokolls auf Transportebene. Alternativ können wir auch nach Paketen suchen, die für das entfernte Subnetz bestimmt sind:
| }}
{{var | Initiator-Seite: Intern ping--desc
| Versuchen wir jetzt zu ''pingen'', zeigt sich folgendes Ergebnis:
| }}
{{var | Initiator-Seite: Intern ergebnis--desc
| Wir sehen das die Anfragen am internen Interface der zentralen Firewall ankommen. Eine Antwort bleibt allerdings aus.
| }}

{{var | Initiator-Seite: Extern
| Initiator-Seite: Extern
| }}
{{var | Initiator-Seite: Extern proto--desc
| Zur weiteren Verfolgung muss das ausgehende Interface der zentralen Firewall betrachtet werden. Allerdings ergibt sich hier ein Problem: Da wir an dieser Stelle den Transport der übertragenen Daten nur in verschlüsselter Form betrachten können, bleibt uns das ICMP-Paket im Klartext verborgen - und das sollte auch so sein. Wir können allerdings versuchen, eingehendes Klartext- und ausgehendes verschlüsseltes Paket miteinander in Beziehung zu setzen. Wir starten dazu tcpdump mit folgenden Parametern:
| }}
{{var | Initiator-Seite: Extern net--desc
| Wir suchen an einer beliebigen Schnittstelle nach ICMP-Paketen oder nach verschlüsselten Paketen. Das hierzu von IPSec verwendete Protokoll ESP hat auf der Transportebene die Protokollnummer 50. Gibt es mehrere IPSec-Verbindungen auf dem Gateway, kann alternativ auch nach Paketen für das entfernte Subnetz oder das entfernte Gateway gesucht werden:
| }}
{{var | Wir erhalten folgendes Ergebnis:
| Wir erhalten folgendes Ergebnis:
| }}
{{var | Alternativ Ergebnis--desc
| Wir sehen vier ICMP Echo Request-Pakete mit aufeinanderfolgenden Sequenznummern, denen jeweils direkt ein ESP-Paket folgt. Diese ESP-Pakete haben ebenfalls aufeinanderfolgende Sequenznummern. Daraus folgt, dass auf Seiten der zentralen Firewall alle Datenpakete für das entfernte Subnetz verschlüsselt und an das entfernte Gateway geschickt werden.

Möglicherweise bekommen wir allerdings folgendes Ergebnis:
| }}
{{var | Initiator-Seite: Extern Fazit--desc
| Wir sehen jedes Paket zwei Mal, erkennbar an der gleichen Sequenznummer. Die zweite Version des Pakets hat allerdings die IP des externen Interfaces als Quelle. Es erfolgte also ein HideNAT über die externe Schnittstelle. In diesem Falle haben wir wahrscheinlich vergessen, innerhalb der Portfilterregel vom eigenen in das entfernte Subnetz die HideNAT-Ausnahme zu setzen oder die Option „Kein NAT für IPSec-Verbindungen“ in den impliziten Regeln zu aktivieren. Infolgedessen wird das Paket, anstatt verschlüsselt in den IPSec-Tunnel zu gehen, geNATtet und in Richtung Default Gateway geschickt.
| }}

{{var | Responder-Seite: Extern
| Responder-Seite: Extern
| }}
{{var | Responder-Seite: Extern--desc
| Gehen wir davon aus, dass auf dem Gateway der Zentrale alles funktioniert, müssen wir weiter auf dem Gateway der Filiale suchen. Zunächst vergewissern wir uns, dass die verschlüsselten Daten auch an der Gegenstelle ankommen. Das diese von der Zentrale aus abgeschickt werden, heißt noch lange nicht, dass sie auch ankommen! Deshalb führen wir auf der SSH-Konsole auf der Filiale folgendes Kommando aus:
| }}
{{var | Das Ergebnis ist folgende Ausgabe:
| Das Ergebnis ist folgende Ausgabe:
| }}
{{var | Responder-Seite: Intern
| Responder-Seite: Intern
| }}
{{var | Responder-Seite: Intern proto cmd--desc
| Wir können also sicher sein, dass die verschlüsselten Pakete auch am Gateway der Filiale ankommen! Die letzte Etappe ist nun die interne Schnittstelle des Filial-Gateways. Hier schauen wir, ob das ICMP-Paket auch ins interne Netz Richtung Zielhost geschickt wird:
| }}
{{var | Responder-Seite: Intern proto Ausgabe--desc
| Ist auch auf dem Gateway der Filiale in Bezug auf Portfilter-Regeln alles korrekt konfiguriert, sollte sich folgende Ausgabe ergeben:
| }}
{{var | Responder-Seite: Intern Zwischenfazit--desc
| Daraus können wir eindeutig ersehen, dass der Zielhost zumindestens online und physikalisch erreichbar ist. Warum können wir uns da so sicher sein? Das wird deutlich, wenn wir uns die Ausgabe anschauen, die wir erhalten, wenn wir anstatt des Protokolls ICMP einmal nach Paketen des Zielhosts suchen:
{{var | Responder-Seite: Intern Fazit interner Ping--desc
| Wir sehen hier, dass vor unseren Pings vom Gateway ein ARP Request ins interne Netz gesendet wird, mit dem die MAC-Adresse des Zielhosts ermittelt werden soll. Darauf erfolgt eine Antwort des Zielhosts, in der er diese mitteilt. Erst dann können IP-Pakete an den Zielhost übermittelt werden. Die Ergebnisse von ARP Requests werden in der Neighbour table, auch ARP-Cache genannt, zwischengespeichert, so dass nicht für jedes IP-Paket ein neuer ARP Request durchgeführt werden muss. Diesen können wir uns mit folgendem Kommando anschauen:
| }}
| }}
{{var | Ausgabe Eintrag zu Zielhost--desc
| Wir finden in der Ausgabe unter anderem einen Eintrag, der zu unserem Zielhost gehört:
| }}
{{var | Zielhost online und physikalisch erreichbar--desc
| Das beweist eindeutig, dass der Zielhost online und physikalisch erreichbar ist. Wäre er das nicht, würde in der Neighbour table folgender Eintrag stehen:
| }}
{{var | Responder-Seite: Intern Fazit--desc
| Sofern das Gateway zu mindestens versucht, ein Paket an den Zielhost zuzustellen, liegt der Fehler nicht mehr innerhalb der Tunnel- oder Firewall-Konfiguration, sondern eindeutig am Zielhost. Entweder sehen wir keine IP-Pakete, aber einen Eintrag in die Neighbour table, der uns anzeigt, dass der Zielhost physikalisch nicht erreichbar ist. Oder wir sehen ein IP-Paket und können daraus schließen, dass der Zielhost zwar physikalisch erreichbar ist, aber auf die Verbindungsanfrage aus irgendwelchen Gründen nicht antwortet.
| }}
{{var | Mögliche Fehlerquellen auf dem Zielhost
| Mögliche Fehlerquellen auf dem Zielhost
| }}
{{var | Mögliche Fehlerquellen auf dem Zielhost--desc
| Nachdem feststeht, dass der Fehler nur auf dem Zielhost liegen kann, müsste dieser auch dort gefunden werden. Wir können den Fehler aber auch bereits auf dem Gateway auf Responder-Seite weiter eingrenzen, wenn wir betrachten, ob und welche Pakete vom Zielhost zurückkommen:
| }}
{{var | Nurnoch NextGen UTM--desc
| Sind nun ausschließlich die von der NextGen UTM ausgehenden Ping sichtbar, dann ist anzunehmen, dass der Zielhost aufgrund einer aktiven lokalen Firewall nicht antwortet:
| }}
{{var | falsch gesetzte Subnetzmaske--desc
| Bei folgendem Fehlerbild kann von einer falsch gesetzten Subnetzmaske in der Netzwerkkonfiguration des Zielhosts ausgegangen werden:
| }}
{{var | Bestätigung und falsch gesetztes Default Gateway--desc
| Der Zielhost versucht, mit einer ARP-Anfrage die MAC-Adresse des Quellhosts zu ermitteln, als wäre dieser im gleichen Subnetz. Das weist eindeutig auf eine fehlerhafte Subnetzmaske hin. Selbst ein falsch gesetztes Default Gateway lässt sich so herausfinden:
| }}
{{var | Mögliche Fehlerquellen auf dem Zielhost-Fazit--desc
| Hier versucht der Zielhost, die MAC-Adresse eines anderen Hosts im gleichen Subnetz zu finden. Da diese Versuche reproduzierbar immer jeweils nach einem ICMP Echo Request-Paket zu sehen sind, ist anzunehmen, dass er versucht, an diesen Host die Antwort zu schicken.
| }}
{{var | Weitere Diagnosemöglichkeiten bei tcp-Verbindungen
| Weitere Diagnosemöglichkeiten bei tcp-Verbindungen
| }}
{{var | Weitere Diagnosemöglichkeiten bei tcp-Verbindungen--desc
| Über die reine Erreichbarkeit eines Hosts hinaus lassen sich noch weitere Aspekte einer Verbindung untersuchen, wie zum Beispiel der korrekte Aufbau des TCP 3-Wege-Handshakes. Ist in der Antwort auf das initiale Paket (SYN-Flag) das RST-Flag gesetzt, dann wird der Zielhost zwar erreicht, der entsprechende Dienst ist aber nicht erreichbar:
| }}
{{var | tiefergehende Analysen--desc
| Noch viel tiefergehende Analysen des Datenstroms können erfolgen, wenn dieser komplett mitgeschnitten und in einem Analysetool wie Wireshark untersucht wird:
| }}

----
{{var |
|
| }}

</div>

UTM/Extras/ipsec fehleranalyse.lang - Versionsgeschichte

Lauritzl am 6. März 2024 um 06:38 Uhr