Künstliche Intelligenz
Wiresharks kleiner Bruder: Die Zukunft des Cloud-Analysetools Stratoshark
Wie Wireshark für Netzwerke soll Stratoshark Transparenz für Betriebssysteme und Apps schaffen durch die Analyse von Systemcalls und Logs. Das Open-Source-Tool baut in großen Teilen auf dem Quellcode von Wireshark auf. Dahinter steht Wireshark-Erfinder Gerald Combs, dessen Arbeitgeber Sysdig auch die zugehörigen Tools Falco und Sysdig zur Erfassung der Aktivitäten und Logs liefert.
Mitte Mai hat sich Sysdig entschieden, Stratoshark in die Hände der gemeinnützigen Wireshark Foundation zu legen. Über die Hintergründe sprach die iX-Redaktion mit dem Wireshark-Erfinder Gerald Combs und Alexander Lawrence, Director of Cloud Security Strategy bei Sysdig.
iX: Gerald, was hat es mit der Spende von Stratoshark an die Wireshark Foundation auf sich?
Gerald Combs: Die Wireshark Foundation ist eine gemeinnützige Organisation in den USA, die es sich zum Ziel gesetzt hat, Menschen im Umgang mit Netzwerkanalyse auszubilden. Mit der Spende von Stratoshark erweitern wir unsere Mission: Bisher liegt unser Fokus auf der Paket-Analyse, künftig wollen wir aber auch tief in Betriebssystem-Ereignisse blicken können.
iX: Was war die Motivation hinter der Entwicklung von Stratoshark und worin unterscheidet es sich konzeptionell von Wireshark?
Combs: Wireshark zerlegt Pakete mit seiner Dissektions-Engine in alle Protokollbestandteile, ermöglicht Filterung, Drill-Down und ausführliche Analysen. Stratoshark dagegen arbeitet nicht auf Basis von Netzwerk-Paketen, sondern auf Basis von Systemaufrufen und Protokollnachrichten. Es erlaubt ähnliche Filter- und Analysemöglichkeiten – nur eben in der Systemaufruf- und Cloud-Welt. Das User-Interface gleicht stark dem von Wireshark, damit Nutzer sofort zurechtkommen. Unter der Haube nutzen wir viele gemeinsame Bibliotheken, haben sie aber so erweitert, dass sie Systemaufrufe und Cloud-Logs interpretieren können. Wir konzentrieren uns hauptsächlich auf die Cloud-Systeme, aber Sie könnten dies auch nutzen, um jedes Linux-System wirklich in Ordnung zu bringen.
In diesem Praxis-Workshop vertiefen Admins ihre Wireshark-Kenntnisse, indem Sie reale Netzwerkprobleme und Sicherheitsbedrohungen in anonymisierten Fallstudien analysieren. Der Schwerpunkt liegt auf der praxisorientierten Fehlersuche in Netzwerkprotokollen wie IP, Ethernet, ICMP, HTTP und UDP. Dazu gehört die Analyse des TCP-Handshakes ebenso wie die Untersuchung von Performance-Problemen bei TCP-Verbindungen. Darüber hinaus lernen die Teilnehmenden, Nutzdaten mit selbst entwickelten Skripten zu extrahieren und spezifische Pakete mit erweiterten Capture-Filtern langfristig aufzuzeichnen.
Anmeldung und Termine unter heise.de/s/m1eL0
iX: Wo liegt der Haupteinsatz von Stratoshark? Mehr als Debugging-Werkzeug oder als Sicherheits-Analysetool?
Combs: Im Moment liegt der Fokus auf der Sicherheitsanalyse. Ursprünglich haben wir Stratoshark als Ergänzung zu Falco entwickelt – einem hostbasierten IDS (Intrusion Detection System, Anmerkung der Redaktion) für Systemaufrufe. Falco erkennt und meldet verdächtige Ereignisse; Stratoshark erlaubt es, diese Events detailliert nachzuverfolgen. Wie in der Networking-Welt möchte man oft einen tieferen Einblick in das bekommen, was auf dem System vor sich geht.
iX: Wie viel Prozent des Codes teilt Stratoshark mit Wireshark? Wir haben Dissektions-Engines, Baumstrukturen zur Analyse, wie in Wireshark. Aber wie viel Prozent Code teilen sich die beiden Tools?
Combs: Ich habe keinen konkreten Prozentsatz, aber es gibt eine Menge Code, der geteilt genutzt wird. Das ist auch beabsichtigt. Wir haben diese wirklich leistungsstarke Analyse-Engine, die quasi nur darauf wartete, verwendet zu werden. So haben wir sie angepasst, um sie auch für Systemaufrufe zu verwenden. Der UI-Code sieht wieder sehr vertraut aus. Das ist beabsichtigt. Wir möchten diesen vertrauten Workflow haben, den man bereits aus Wireshark kennt. Wer die Arbeit mit Wireshark gewohnt ist, kann mit Stratoshark schnell loslegen und umgekehrt. Bei einigen der UI-Widgets gibt es ein paar Unterschiede in den Elementen.
Der andere große Unterschied ist die Art und Weise, wie wir die Ereignisse analysieren, die hereinkommen. Wir haben anderen Code für eingehende Ereignisse: Es ist ein Plug-in namens Falco, genauer Falco Bridge. Den Namen werden wir wohl noch in Falco Events ändern.
iX: Für welche Betriebssysteme ist Stratoshark verfügbar?
Combs: Offiziell bieten wir auf den Wireshark-Seiten Pakete für Windows und macOS an. Für Linux-Distributionen ist die Geschichte etwas komplexer. Die verschiedenen Linux-Distributionen haben traditionell ihre eigenen Wireshark-Pakete angeboten. Meine Hoffnung ist, dass sie das auch mit Stratoshark machen. Ich weiß, dass das für Debian und Ubuntu in Arbeit ist. Ich müsste aber prüfen, ob dies auch für Fedora der Fall ist. Die Erfassung von Systemaufrufen funktioniert derzeit nur unter Linux.
iX: Wie bekommt Stratoshark die relevanten Daten?
Combs: Wir nutzen die Bibliotheken libsinsp and libscap, die von Falco und dem CLI-Tool Sysdig verwendet werden, um Systemaufrufe zu erfassen. Sysdig war, glaube ich, das erste Tool, das diese beiden Bibliotheken verwendete. Die Erfassung erfolgt wahlweise über ein Kernel-Modul oder eBPF als eine Art neuere Standardtechnologie. Ich denke, wir werden uns in Zukunft auf eBPF konzentrieren. Zusätzlich existiert eine Plug-in-Schnittstelle, mit der man etwa Daten aus GCP- oder Kubernetes-Überwachungsprotokollen sowie aus AWS Cloud Trail einspeisen kann.
iX: Was steht als Nächstes auf der Stratoshark-Roadmap?
Combs: Die aktuelle öffentliche Version ist 0.9 und wir müssen zunächst alles in Form bringen. Wir arbeiten gerade an der Version 1.0, besonders an erweiterten Protokollanalyse-Funktionen. Danach folgt wahrscheinlich die finale Veröffentlichung im Spätsommer.