Taggat med: tshark

Analys av krypterad datatrafik

Analys av krypterad datatrafik

I takt med att allt mer datatrafik på våra nätverk blir krypterad så ställs större krav på möjlighet att inspektera den krypterade nätverkstrafiken antingen via TLS-inspektion (TLSI) eller på ändpunkterna. Men det går fortfarande att utläsa en hel del från att granska krypterad nätverkstrafik.

Google uppger att 93% av all inkommande E-post är krypterad med STARTTLS för att ge en siffra på hur mycket som är krypterad E-post. Hittar tyvärr ingen statistik hur förhållandet mellan https och http ser ut.

👉Stöd mitt bloggande via Patreon!

När det gäller analys av krypterad datatrafik så finns det flertalet saker man kan titta på, främst följande punkter:

Protokollinformation – Varje krypterat protokoll har som oftast någon form av handskakning som avslöjar information om både klient och server. Det kan röra sig om vilka algoritmer som supportas eller publika nycklar.

Om du inte vet vilket protokoll det rör sig om kan du även titta på sekvenser som förekommer i den session du kollar på och sedan jämföra den med andra (om du har tillgång till andra).

Informationsmängd – Hur mycket datatrafik skickas och åt vilket håll skickas detta. Kan det röra sig om en större filöverföring, och hur stor är dessa filer? Kan det röra sig om överföring av tangentbordsinmatningar, tal eller skärmuppdateringar? Entropi kan också avslöja information om innehållet.

Tidpunkt – Kommunicerar detta krypterade protokoll enbart vissa tider eller veckodagar. Eller är det vid speciella händelser som inträffar som data skickas.

Ändpunkter – Vem kommunicerar med vem? Vilka är källorna och vilka är destinationerna. Om det är en publik VPN-tjänst så kanske det räcker med enkel OSINT för att identifiera vilken typ av VPN-tjänst det är. Det kan även vara så att DNS har nyttjats för att göra en uppslagning innan sessionen etableras.

Omförhandlingar – Sker det någon form av byte av nycklar eller liknande efter en viss tidpunkt eller informationsmängd? Hur långa är sessionerna?

TCP/UDP och portnummer – Har ett nytt portnummer slumpats fram eller är det en välkänd port med tillhörande protokoll, används TCP eller UDP.

Fel(injektioner) – Hur reagerar anslutningen om olika typer av fel introduceras. Passiva eller aktiva där data skickas direkt till ändpunkterna eller om paket tappas.

Övrig kommunikation – Går det kommunikation till och från enheten som kan avslöja information om vilken typ av krypterad anslutning som förekommer. Det kanske är så att vissa anrop går över http och vissa över https. Då kan exempelvis en User-Agent http-header avslöja något om källan.

Antalet paket och paketstorlekar kan också vara relevant att titta på.

Verktyg för analys av krypterad kommunikation

Det viktiga här är att poängtera att det inte finns ett verktyg som löser alla frågor som jag listat ovan. Oftast får du kombinera flertalet verktyg för att ta reda på svaret. Men följande produkter/verktyg hjälper dig en lång väg på traven:

Zeek (bro) – Har ett stort ekosystem samt inbyggt stöd för flertalet intressanta analyser. Kan exempelvis kontrollera revokering av certifikat, algoritmer och mycket mer.

Wireshark/tshark – Förstår flertalet protokoll och underlättar analyser av specifik metadata. Men tyvärr så fort ett standardprotokoll går på en avvikande port så blir det problem för Wireshark. Men detta är något som bl.a. Network Miners Port Independent Protocol Identification (PIPI) fixar.

Tcpdump – Snabbt verktyg och gör mycket av grovjobbet. Gör att du enklare kan göra en första filtrering på källa/destination eller port.

Viktigt också och nämna följande verktyg:

  • HASSH – Gör fingerprints på ssh-klienter och servrar
  • JA3/JA3S och JA3ER – Gör fingerprints på SSL/TLS klienter och servrar. Och JA3ER är en databas för dessa fingeravtryck
  • Argus – För att identifiera långa sessioner etc
  • packetStrider – Analyserar SSH-trafik för att dra slutsatser

Tips på fler verktyg mottages gärna, kommentera gärna nedan.

Test av nya Wireshark 2.0

Wireshark 2.0

Wireshark är ett analysverktyg för nätverkstrafik som nu har 17 år på nacken. Från början gick Wireshark under namnet Ethreal och projektet startades av Gerald Combs.

Denna nya version, 2.0 använder Qt som fönsterramverk istället för Gtk som tidigare användes. Även så är allt mer genomarbetat i gränssnittet så att många dubbla dialogrutor och frågor är borttagna.

Detta är uppenbart när man först startar upp nya versionen:

Wireshark start

Även så stödjer denna nya version stöd för en mängd nya protokoll och filtyper.

Ett urval av de nya protokollen som nu stödjs är följande:

Aeron, AllJoyn Reliable Datagram Protocol, Android Debug Bridge, Android Debug Bridge Service, Android Logcat text, Apache Tribes Heartbeat, APT-X Codec, B.A.T.M.A.N. GW, B.A.T.M.A.N. Vis, BGP Monitoring Prototol (BMP), Bluetooth Broadcom HCI, Bluetooth GATT Attributes, Bluetooth OBEX Applications, Zigbee ZCL, Minecraft Pocket Edition, MQ Telemetry Transport Protocol for Sensor Networks.

Och så klart så stödjer även Wireshark plattformar såsom Windows, Linux och Mac OS X. När vi installerar under Windows så får vi frågan om vi vill installera Winpcap som är drivrutinen för att lyssna på nätverkstrafik i realtid samt så får vi frågan om vi vill installera USBcap som kan lyssna på USB-datatrafik.

Och de nya filformaten som kan användas för att läsa in datatrafik är: O3GPP TS 32.423 Trace, Android Logcat text files, Colasoft Capsa files, Netscaler 3.5, och Symbian OS BTSNOOP File Format. Totalt stödjer Wireshark 1926 protokoll och 142529 fält från dessa protokoll.

Och förutom själva grafiska Wireshark så installeras även dessa verktyg:

  • capinfos – visar information om pcap-filer.

  • dumpcap – Verktyg för att spara mängder med information utan någon vidare bearbetning.

  • editcap – Ändra och konvertera pcap-filer.

  • mergecap – Lägg ihop flertalet pcap-filer till en.

  • randpkt – Skapa slumpmässig nätverkstrafik.

  • rawshark – Dumpa och analysera rå nätverkstrafik.

  • reordercap – Ändra ordningen i en fil så den följer tidsstämplar och skriv till ny fil.

  • text2pcap – Skapa en pcap-fil av text.

  • tshark – Verktyget för dig som vill ha Wiresharks kraftfulla protokollanalys men inte gillar grafiska gränssnitt.

Skärmdumpar

S7comm Siemens PLC-skrivning (SCADA/ICS protokoll).

Wireshark Siemens S7comm

HTTP Host som en extra kolumn, ny feature som gör att valfritt fält kan bli en ny kolumn.

Wireshark host som kolumn

Sammanfattningsvis

Nya gränssnittet är snabbt och går att arbeta med utan längre fördröjningar, även med större mängder data. Filter-rutan för display-filter får en ny central roll i Wireshark och fungerar riktigt smidigt, nästan som Google.

Wireshark är helt klart mer genomtänkt och lättare att arbeta med i version 2.0. Och upplever du att nya gränssnittet är buggigt så finnes det gamla kvar under namnet Wireshark Legacy, åtminstone i Windows.