Alle digitalen Geschäftsprozesse sind von einem funktionierenden Netzwerk abhängig. Im Fehlerfall geht es darum, möglichst effizient und effektiv die Ursachen des Fehlers zu identifizieren. Dies sollte an der vermuteten Quelle geschehen, doch dazu bedarf es oft eines portablen Netzanalysators. Die Geräte der ProfiShark-Reihe von Profitap passen in eine Hosentasche und bieten doch überzeugende Mittschnitte und Analysen des Datenverkehrs.
Klassische Netzwerkanalyse-Appliances sind groß, schwer und komplex in der Bedienung. Doch ist es Best Practice, beim Netzwerk-Troubleshooting dort anzusetzen, wo der Fehler auftritt – und dies ist zumeist der Client. Zwar bieten viele Windows- und Linux-Clients mit pktmon und tcpdump oder mit Open-Source-Tools wie Wireshark oder tshark integrierte Möglichkeiten zur Aufzeichnung, doch diese sind auch von der Performance der Rechner abhängig oder verfälschen die Messergebnisse.
So kann es sein, dass Pakete durch Off-loading-Maßnahmen auf der Netzwerkkarte nochmals bearbeitet werden und folglich die Daten bei Mittschnitten auf dem Betriebssystem nicht denen im realen Netzwerk gleichen. Um an diesen dezentralen Stellen möglichst nah am Client die fließenden Daten aufzeichnen zu können, braucht es portable Geräte, die performant, akkurat und ohne Verluste arbeiten. Hierzu kommt Profitap ProfiShark ins Spiel.
Klassische Test Access Points (TAP) setzen mehrere Netzwerkkarten auf dem Gerät (PC/Notebook) voraus, das den Datenverkehr aufzeichnet. Die meisten Systemadministratoren haben allerdings Notebooks mit einer begrenzten Anzahl an Schnittstellen – insbesondere für Ethernet. Der niederländische Hersteller Profitap möchte diesen Herausforderungen begegnen und bietet hierzu den portablen TAP namens ProfiShark an. Der Name stellt direkt die Integration mit Wireshark dar.
Klassische Netzwerkanalyse-Appliances sind groß, schwer und komplex in der Bedienung. Doch ist es Best Practice, beim Netzwerk-Troubleshooting dort anzusetzen, wo der Fehler auftritt – und dies ist zumeist der Client. Zwar bieten viele Windows- und Linux-Clients mit pktmon und tcpdump oder mit Open-Source-Tools wie Wireshark oder tshark integrierte Möglichkeiten zur Aufzeichnung, doch diese sind auch von der Performance der Rechner abhängig oder verfälschen die Messergebnisse.
So kann es sein, dass Pakete durch Off-loading-Maßnahmen auf der Netzwerkkarte nochmals bearbeitet werden und folglich die Daten bei Mittschnitten auf dem Betriebssystem nicht denen im realen Netzwerk gleichen. Um an diesen dezentralen Stellen möglichst nah am Client die fließenden Daten aufzeichnen zu können, braucht es portable Geräte, die performant, akkurat und ohne Verluste arbeiten. Hierzu kommt Profitap ProfiShark ins Spiel.
Klassische Test Access Points (TAP) setzen mehrere Netzwerkkarten auf dem Gerät (PC/Notebook) voraus, das den Datenverkehr aufzeichnet. Die meisten Systemadministratoren haben allerdings Notebooks mit einer begrenzten Anzahl an Schnittstellen – insbesondere für Ethernet. Der niederländische Hersteller Profitap möchte diesen Herausforderungen begegnen und bietet hierzu den portablen TAP namens ProfiShark an. Der Name stellt direkt die Integration mit Wireshark dar.
Ein TAP dient klassischerweise dazu, Daten aus einem Netzwerk auszuleiten, um diese für Troubleshootings oder Sicherheitsanalysen auf Paketebene verfügbar zu machen. Hierzu wird er inline in den Datenpfad eingeschliffen, also beispielsweise zwischen zwei Switchen oder Routern, aber auch der Einsatz zwischen Switch und Endgerät ist möglich. Die Daten nimmt dann ein Analyseendgerät entgegen und zeichnet sie auf. Je Kommunikationsrichtung braucht das Analysegerät jedoch klassisch zwei Netzwerkkarten, um sowohl die Sende- als auch die Empfangsrichtung verlustfrei zu empfangen.
Das getestete ProfiShark-Gerät geht hier einen anderen Weg. Es übertrug in unserem Test die aufgezeichneten Daten über eine USB-3.0-Verbindung zum Analyse-PC/Notebook. Diese diente auch gleichzeitig der Spannungsversorgung, was den Einsatz sehr flexibel macht. Zudem bietet sie eine Bandbreite von 5 GBit/s, brachte also keine Einschränkungen mit, wenn beispielsweise zweimal 1 GBit/s zu übertragen sind. Zudem verfügt das Device auch über eine 5V-DC-Option zur unabhängigen Stromversorgung.
Für den aufzuzeichnenden Datenverkehr stehen jeweils zwei Netzwerkports bereit, je nach Modell mit unterschiedlichen Schnittstellenausprägungen und Geschwindigkeiten: 1 GBits/s auf Kupferbasis mit RJ45-Buchsen als "ProfiShark 1G" oder 10 GBit/s mit SFP+-Einschüben fürichtwellenleitermodule als "ProfiShark 10G". Zudem standen noch Varianten zur Zeitsynchronisation mit mehreren Geräten mit einer I/O-Schnittstelle für das "Pulse per Second Time Synchronization Protocol", sowie einem GPS-Modul für Hardware-Zeitstempel bereit. Die Produktbezeichnung endet in diesem Fall mit einem Plus-Zeichen, also 1G+ oder 10G+.
Die 10G-Variante wiegt 280 Gramm, wohingegen das 1G-Modell nur 176 auf die Waage brachte. Die Maße von 10,5 x 12,4 x 2,6 Zentimeter von 10G und 6,9 x 12,4 x 2,4 Zentimeter bei 1G machen das Gerät sehr portabel. So passte es in unseren Tests problemfrei in eine kleinere Notebooktasche.
Flexible Messungen im Netzwerk
Bei der Integration in das Netzwerk zeigte sich der kleine Hai sehr flexibel. Wir konnten ihn ohne Unterbrechung einer bestehenden Netzwerkverbindung im SPAN-Modus (Switched Port Analyzer) oder alternativ im Inline-Modus einbinden. Die Umschaltung zwischen den unterschiedlichen Modi erfolgte problemfrei in der Managementapplikation ProfiShark Manager.
Beim sogenannten Inline-Modus befand sich das Gerät zwischen den beiden Komponenten, deren Datenverkehr es aufzeichnete, und leitete die Daten zwischen den beiden Ports ohne bemerkbare Verzögerung weiter. Dies erklärt sich durch die geringen Latenzen, die der Hersteller mit 370 Nanosekunden bei der 1G-Variante und 328 Nanosekunden bei 10G angibt. Dies war in unserem Labor nicht einmal messbar.
In unserem Beispiel nutzten wir den Inline-Modus, um ProfiShark zwischen Switch und IP-Telefon oder auch zwischen Switch und Notebook einzuklinken. Dabei fiel die PoE-Passthrough-Funktion erfreulich auf: Diese dient der Durchleitung der Spannungsversorgung für PoE-Endgeräte – in unserem Fall von einem PoE-fähigen Switch zu einem IP-Telefon. Dies empfinden wir als echten Mehrwert, da bei anderen Aufzeichnungstools ohne diese Funktionalität separate PoE-Injektoren zwischen Switch und Endgerät notwendig sind, was auch mehr Verkabelungsaufwand erzeugt und separate 230V- Steckdosen voraussetzt.
Auch beim Abziehen des USB-Ports blieb die PoE-Spannungsversorgung und der Link zwischen Switch und IP-Telefon gegeben. Dies erscheint uns sehr sinnvoll, da dergestalt kein Paketverlust durch das Ausschalten des Notebooks entsteht und sich ProfiShark im Wartungsfenster abziehen lässt. Dieses Feature bietet sich insbesondere bei Aufzeichnungen des Datenverkehrs von kritischen Komponenten an. Damit das jedoch funktioniert, mussten beide Netzwerkports bereits vor der Verbindung des USB-Kabels angeschlossen sein.
Der SPAN-Modus dient dem Anbinden an einem Spiegelport eines Switches. Beide Ports sind unabhängig und empfangen jeweils nur Daten, leiten also untereinander nicht weiter. Somit konnten wir zwei Spiegelports an ProfiShark übergeben. Dabei stellten wir fest, dass es sinnvoller ist, nur eine Richtung (senden oder empfangen) des Quellports an jeden einzelnen Port des Geräts zu spiegeln.
Dies hatte den Hintergrund, dass wir den ProfiShark-Port nicht überlasten wollten, also beispielsweise von einem bidirektionalen 1-GBit/s-Port des Switches (maximal 2 GBit/s Nutzlast) auf einen 1-GBit/s-Port seitens ProfiShark zu spiegeln.
In unserem Test bemerkten wir jedoch auch eine Einschränkung gegenüber klassischen Netzwerk-TAPs: Durch den USB-3.0-Port war es nicht möglich, Daten zur Weiterverarbeitung an Drittsysteme, wie IDS/IPS oder Analyse-Appliances, auszuleiten, da diese nur über Ethernet-basierende Netzwerkschnittstellen verfügen.
Problemlos unter Windows und macOS nutzbar
Die ersten Tests führten wir auf einem Windows-11-Notebook, gefolgt von einem MacBook unter macOS 14.4 mit jeweils Wireshark 4.2.3 durch. Der Hersteller lieferte einen USB-Stick mit der benötigten Software und Treibern. Eine Prüfung auf Download-Webseiten des Herstellers ergab allerdings, dass diese nicht aktuell waren. Wir luden folglich die aktuellen Versionen herunter und entpackten das ZIP-Archiv. Derartige Downloads sind kostenlos nach einer kurzen Registrierung auf der Website möglich.
Unter Windows 11 installierten wir die Software und den Treiber in Version 1.7.10.1. Der ProfiShark Manager stand nach Start in Version 3.2.6 bereit, was uns auf Basis der Versionsangabe vor der Installation etwas erstaunte, aber gemäß Hersteller gewünscht war. Die Software spielte neben dem Manager auch eine neue virtuelle Netzwerkkarte zur Aufzeichnung über ProfiShark ein.
Auf ihr war erfreulicherweise lediglich das NPCAP-Protokoll zur Aufzeichnung aktiviert. Somit erschienen in Mittschnitten dieser Netzwerkkarte auch keine vom Notebook generierten Pakete, wie etwa DHCP Discovers auf. Für Wireshark Version 4.2 stand zum Zeitpunkt des Tests leider noch keine kompatible Version des Dissectors zum Download bereit. Der Hersteller stellte uns diesen jedoch unkompliziert auf Nachfrage bereit. Somit konnten wir auch in dieser Version Hardware-Zeitstempel im Mittschnitt erfolgreich erzeugen. Diese Zeitstempel konnten wir bei Mehrpunktmessungen nutzen und vor und hinter Firewalls deren Latenz prüfen.
Beim Test unter macOS kopierten wir die entpackte Applikation in den Applications-Ordner und starteten sie. Beim ersten Aufruf mussten wir noch eine System-Extension installieren, damit macOS das Gerät korrekt erkannte. Ansonsten verhielt sich die Applikation genauso wie unter Windows. In Folge stellen wir deren getestete Funktionen näher dar.
Hilfreiche Management-App
Der ProfiShark Manager stand zum Zeitpunkt unseres Tests unter macOS in Version 3.2.13 und unter Windows 11 in Version 3.2.6 bereit. Die Managementsoftware bietet Statistiken, Konfigurationen der Schnittstellen und Betriebsmodi, Updatefunktionalitäten und Einstellungen sowie Uploadfunktionen für die Datenmittschnitte. Die Applikation erkannte die Testgeräte problemfrei und stellte diese jeweils mit MAC-Adresse im oberen Menübaum dar.
Nach Auswahl des entsprechenden ProfiSharks erhielten wir die zugehörigen Untermenüs Counters, Charts, Traffic Logs, Network Ports, Features und Captures. Der Counters-Tab lieferte hilfreiche Daten zur Verteilung der Paketlängen je Port in tabellarischer Form. Dies erachteten wir als sehr hilfreich, um beispielsweise bei der Dimensionierung von Firewalls oder anderen Netzwerkkomponenten beziehungsweise von WAN-Links zu unterstützen. Auch den Durchsatz und fehlerhafte Pakete konnten wir erkennen. Wie der Name bereits vermuten ließ, erhielten wir unter "Charts" entsprechende grafische Auswertungen.
Über "Traffic Logs" konnten wir Link-Fehler mit entsprechendem Zeitstempel erkennen. Dies ist besonders hilfreich bei der Suche nach zeitweisen Fehlern. Zudem bot sich uns dort auch die Möglichkeit, Schwellenwerte von Bandbreiten und CRC-Fehlern zu hinterlegen. Falls das Netzwerk diese Angaben überschritt, erzeugte der ProfiShark Manager Logdateien mit entsprechendem Zeitstempel. Um die Auto-Negotiation-Einstellungen, also Geschwindigkeit und Duplex oder aber auch statische Einstellungen der Netzwerkschnittstellen zu parametrisieren, wechselten wir nach "Network Ports". Zudem konnten wir hier auch den Modus zwischen SPAN und TAP wechseln. All dies gelang jeweils problemlos.
Profitap-Dissektor nutzen
Im Features-Tab finden sich besondere Einstellungen, wie das Aktivieren von Zeitstempeln, die den entsprechenden proprietären Dissektor von Profitap für die jeweilige Version in Wireshark verlangen. Wir vergaßen beim ersten Versuch, den Profitap-Dissektor in Wireshark zu aktivieren, was zur Folge hatte, dass bei Mittschnitten die ProfiShark-Schnittstelle in Wireshark keine Header und Protokolle mehr darstellte. Es waren nur noch Rohdaten sichtbar. Neben den Zeitstempeln war nach dem Einschalten des Dissektors auch der Empfangsport von ProfiShark sichtbar.
Im Features-Tab ließ sich aber auch die Aktivierung beziehungsweise Deaktivierung einzelner Ports anstoßen und zur Handhabung von CRC-Fehlern parametrisieren. Auch lässt sich hier das Gerät neu starten, was erfreulicherweise nur ein bis zwei Sekunden dauerte. In diesem Tab erfolgt auch ein Firmware-Update, falls dieses bereitsteht. In diesem Fall erhielten wir eine Benachrichtigung beim Start des ProfiShark Managers. Beim Aktivieren des "Packet Slicing" schnitt ProfiShark alle Pakete nach einer Länge von 128 Byte ab, um nur relevante Header-Daten zu sehen.
Leider gibt es bei der 1G-Version keine Hardwarefilter, um bestimmte Pakete nach IP-Adressen oder Ports zu sortieren. Diese stehen nur in der 10G-Variante bereit und liefern einen erheblichen Vorteil, um die erzeugten Datenmengen und folglich die Analyse zu vereinfachen und zu beschleunigen, aber auch um die Last zur Aufzeichnung auf dem Zieldatenträger zu reduzieren.
Noch besser ohne Wireshark
Im Tab Capture fanden wir einen echten Mehrwert: Über diesen Tab schneidet ProfiShark selbst Daten mit, also ohne eine separate Applikation wie Wireshark, tcpdump oder tshark zu benötigen. Wir waren also auch nicht mehr von der Performance der Wireshark-GUI abhängig. Das Testgerät legte die entsprechenden Mittschnitte direkt über die USB 3.0 Schnittstelle in ein Verzeichnis auf dem verbundenen Notebook ab, dass sich auch in diesem Tab konfigurieren ließ. Auch das Muster der Dateinamen ließ sich anlegen.
Zudem waren wir in der Lage, einen Paketringspeicher zu definieren, der nach einer zu definierenden Anzahl an Dateien die ältesten überschreibt. So konnten wir bei längeren Mittschnitten vermeiden, dass uns der Speicher auf der SSD unseres Analysenotebooks ausging. Zudem ließ sich noch ein Schreibpuffer anlegen, der Daten im RAM des Notebooks vorhielt, bevor diese auf die SSD wanderten. Dies kann bei langsamen Schreibzugriffen hilfreich sein, was aber in unserem Test nicht nötig war. Insbesondere für Analyse-Rechner mit HDD ist dies jedoch sehr wertvoll.
Auch ein automatisches Stoppen nach einer konfigurierbaren Anzahl an Dateien, sowie zeitliches und größentechnisches Anlegen neuer Dateien war problemfrei möglich. Anpassungen an den Einstellungen bedeuteten, dass wir bestehende Aufzeichnungen stoppen und wieder starten mussten. Für kollaborative Trouble-shootings bot sich uns zudem die Funktion zum Upload in den Public-Cloud-Dienst Cloudshark.
Langzeit-Captures nur mit Synology-NAS
Die bislang von uns getesteten Varianten dienen jedoch nur der kurzfristigen Aufzeichnung im Bedarfsfall. Einige Fehler oder Anomalien treten jedoch nur zeitweise auf. Auch hierzu bot ProfiShark in unserem Test eine Option in Verbindung mit einem Synology-NAS, wie wir es auch in unserem Labor einsetzen. Diese diente dazu, Langzeit-Captures zu erstellen. Dazu verbanden wir ihn per USB 3.0 mit dem NAS und starteten darauf die ProfiShark-App.
Bevor wir die Langzeitaufzeichnung starteten, legten wir das Zielverzeichnis, die maximale Dateigröße und Anzahl der Dateien fest, sowie die Einstellung, ob wir einen Ringspeicher erstellen möchten. Nach einem Klick auf "Start Capture" begann das Gerät damit, seine Aufzeichnungen als PCAPNG-Dateien abzulegen. Zudem standen uns auch Statistiken zur Anzahl an Bytes, validen Paketen, Paketlängen, Kollisionen und CRC-Fehlern bereit. Es sollte bei dieser Aufzeichnung jedoch Beachtung finden, dass dies nur bei Synology-NAS-Systemen mit Intel-CPU zum Einsatz kommen kann.
Fazit
ProfiShark überzeugte für den mobilen Einsatz durch die geringen Maße und geringes Gewicht. Zudem reicht durch die Kombination von Stromversorgung und Datenanbindung zur Ausleitung über USB 3.0 eine Schnittstelle aus, was auch die Implementierung vereinfacht. Es ist also ein optimaler Begleiter für die mobile Netzwerkanalyse. Auch die PoE-Passthrough-Funktion sowie der Failover-Modus überzeugten vollends.
Als TAP für den dauerhaften Einsatz taugt das Gerät mangels Ethernet-Ausgangsport jedoch nicht. Somit sollten in RZ-Netzwerken (aufgrund der maximalen Schnittstellengeschwindigkeiten) sowie für permanente Mittschnitte andere Devices zum Einsatz kommen. Hingegen überzeugten die vielfältigen Mittschnittoptionen über Wireshark, die direkte Dateiablage über ProfiShark sowie die Langzeit-Captures.