kras99 - stock.adobe.com

Wie Wireshark OUI Lookup die Netzwerksicherheit erhöht

Mit Wireshark OUI Lookup können Sie Geräte anhand der eindeutigen Kennung ihrer Netzwerkschnittstelle verfolgen. Das ist besonders für Sicherheitsexperten ein wichtiges Tool.

Wireshark OUI Lookup ist eine der wichtigsten Funktionen des führenden Open-Source-Netzwerkprotokollanalysators – und eine der am wenigsten verstandenen.

Der Schlüssel zur Analyse von Netzwerkprotokollen ist die Identifizierung von Netzwerkendpunkten und deren Abgleich mit anderen Netzwerkendpunkten. Dies gibt Netzwerkverteidigern ein Werkzeug an die Hand, mit dem sie potenziell schädliche Netzwerkaktivitäten zwischen Endpunkten verfolgen können. Das gilt für alle beteiligten Netzwerke:

  • Netzwerke von Prozessen, die auf einem einzigen System laufen, werden anhand der Ports identifiziert, die sie für Anfragen abhören.
  • Physische Netzwerke sind über die Netzwerkkarte (NIC) eines Systems verbunden, um über ihre lokalen Netzwerke zu kommunizieren. Sie werden in diesen physischen Netzwerken durch ihre MAC-Adressen (Media Access Control) identifiziert.
  • Die IP-Adressen, die Systemen für die weltweite Interoperabilität zugewiesen werden, dienen zur Identifizierung vernetzter Geräte im globalen Internet.

Beim Sniffing physischer Netzwerke ist eine der wichtigsten Informationen, auf die zugegriffen werden kann, die MAC-Adresse der angeschlossenen Geräte. Jede Netzwerkkarte lässt sich anhand ihrer MAC-Adresse eindeutig identifizieren, wobei die erste Hälfte der physikalischen Adresse den Gerätehersteller und die zweite Hälfte das Gerät selbst eindeutig kennzeichnet. Die erste Hälfte der MAC-Adresse ist der Organizationally Unique Identifier (OUI), der auf den NIC-Anbieter registriert ist.

Wireshark erfasst den Netzwerkverkehr und ermöglicht es Netzwerktechnikern, Dateneinheiten des Netzwerkprotokolls (Pakete, Segmente, Datagramme und so weiter) zuzuordnen – den Protokollstapel hinauf und hinunter. Das bedeutet, dass Wiresharks Analyse die Ports aufdeckt, an die der Netzwerkverkehr gesendet wird, die IP-Adressen, die der Verkehr durchläuft, und die Identität der Netzwerkkarte, über die die Daten physisch übertragen werden.

Das OUI-Lookup-Tool von Wireshark bietet einen wichtigen Dienst für die Protokollanalyse lokaler Netzwerkschnittstellen. Um zu verstehen, was es ist und wie es funktioniert, muss man jedoch wissen, wie MAC-Adressen erstellt und zugewiesen werden.

Was ist ein Organizationally Unique Identifier (QUI)?

Die meisten modernen NICs werden durch MAC-Adressen identifiziert, die aus sechs Oktetten (48 Bit) bestehen. Diese werden in der Regel als 12 hexadezimale Ziffern in sechs Paaren dargestellt, die durch Doppelpunkte oder Bindestriche getrennt sind, zum Beispiel:

00:00:5E:AB:CD:EF

00-00-5E-12-34-56

Die ersten drei Oktette, oben gelb hervorgehoben, sind die OUI, die dem NIC-Anbieter von der IEEE zugewiesen wurde. Die OUI-Datenbank wurde ursprünglich verwendet, um Ethernet-Netzwerkkarten mit ihren Herstellern zu verknüpfen. Die OUI wurde aber erweitert, um alle Arten von NICs abzudecken, einschließlich WLAN und andere Nicht-Ethernet-Geräte.

Bei mehr als 16 Millionen eindeutigen OUI-Adressen kann jede OUI nicht mehr als so viele eindeutige MAC-Adressen haben: 24 Bits ermöglichen 224 oder 16.777.216 eindeutige Adressen. Angesichts des Umfangs und der Anzahl der vernetzten Geräte bedeutet dies, dass Anbieter, die Dutzende oder Hunderte Millionen von NICs herstellen, mehr als eine OUI-Adresse verwenden müssen.

  • OUI-Datenbanken enthalten die folgenden Informationen über jede OUI:
  • die OUI-Adresse;
  • den Herstellernamen
  • ein optionaler erweiterter Herstellername und/oder Anmerkungen, die mit der Adresse verbunden sind

Während sich viele Tools zum Nachschlagen von MAC-Adressen ausschließlich auf eine einzige Quelle stützen, in der Regel die IEEE-Liste der OUI-Zuweisungen, bezieht die Wireshark-Herstellerdatenbank ihre Daten aus der IEEE-Liste sowie aus anderen Ressourcen, die MAC-Adressen dokumentieren. Das sind zum Beispiel die Listen der Internet Assigned Numbers Authority (IANA) für reservierte Adressen. Die Wireshark OUI-Datenbank stammt ursprünglich von der Ethernet Codes Master Page von Michael Patton und wurde 2016 mit dieser Quelle zusammengeführt.

Die Wireshark Manuf Software Library wird verwendet, um alle Ethernet-Herstellercodes und bekannten MAC-Adressen in den Arbeitsspeicher zu laden, damit das OUI-Lookup-Tool überall verwendet werden kann.

Die MAC-Adressensuche an sich ist nützlich für die Aufzählung von Geräten in einem physischen Netzwerk und die Verfolgung von Gerätebewegungen von einem physischen Netzwerk zu einem anderen.

Wie funktioniert die Wireshark OUI-Suche?

Bei der Verwendung von Wireshark zur Erfassung und Analyse des Netzwerkverkehrs ist die OUI-Suche in die Schnittstelle des Analysators integriert, wie in Abbildung 1 von Wireshark auf einem Linux-System dargestellt. Die OUI-Daten werden zusammen mit allen anderen Protokolldaten in die Anzeige integriert und sind in Abbildung 1 hervorgehoben.

Wireshark zeigt OUI-Daten über die Adresse 00:0b:be:18:9a:41, eine Cisco OUI, wie sie in der Wireshark-GUI-Anwendung unter Linux gelistet wird.
Abbildung 1. Wireshark zeigt OUI-Daten über die Adresse 00:0b:be:18:9a:41, eine Cisco OUI, wie sie in der Wireshark-GUI-Anwendung unter Linux gelistet wird.

Den Wireshark OUI-Dienst können Sie auch interaktiv über die Wireshark-Website unter dieser URL aufrufen:

https://www.wireshark.org/tools/oui-lookup.html

Sicherheits- und Netzwerktechniker können dieses öffentlich zugängliche Tool nutzen, um fragwürdige oder verdächtige Geräte zu markieren oder nach bestimmten Anbietern zu suchen.

Wireshark zeigte in Abbildung 1 OUI-Daten über die Adresse 00:0b:be:18:9a:41. Das ist eine Cisco OUI, wie das webbasierten OUI-Lookup-Tool von Wireshark ermittelt.
Abbildung 2. Wireshark zeigte in Abbildung 1 OUI-Daten über die Adresse 00:0b:be:18:9a:41. Das ist eine Cisco OUI, wie das webbasierten OUI-Lookup-Tool von Wireshark ermittelt.

Die OUI-Suche kann auch Informationen über IAB-Daten (Individual Address Block) zurückgeben. IAB wurde 2014 durch das Register MAC Address Block Small (MA-S) ersetzt, das nach IEEE dieselbe Funktion erfüllt. Sowohl IAB als auch MA-S werden von Organisationen verwendet, die weit weniger als 16 Millionen MAC-Adressen benötigen. Im Gegensatz zu normalen MAC-Adressen sind die unter IAB/MA-S zugewiesenen Adressen mit einer 36-Bit-Anbieter-ID versehen. Damit bleiben nur 12 Bits, 212 oder 4.096 eindeutige Adressen für die Adressierung einzelner NICs mit MA-S übrig.

Warum Wireshark OUI Lookup verwenden?

Da Wireshark OUI Lookup Ergebnisse aus mehreren Datenquellen liefert, kann die Wireshark-Herstellerdatenbank Netzwerk- und Sicherheitstechnikern dabei helfen, Schwachstellen auf der Grundlage bestimmter Hardware oder Hersteller zu identifizieren. Weitere wichtige Gründe für die Verwendung von Wireshark OUI Lookup sind:

  • Benutzer können nach NICs von angeschlossenen Netzwerkgeräten suchen, die von bestimmten Anbietern hergestellt wurden. Dies hilft bei der Identifizierung von WLAN-Endpunkten sowie bei der Ermittlung von IoT-Geräten.
  • Sicherheitsexperten nutzen die OUI-Suche, um scheinbar gültige Link-Layer-Adressen für Penetrationstests zu erstellen. OUI-Lookup kann helfen, gefälschte Link-Layer-Adressen von gültigen zu unterscheiden.
  • Die OUI-Suche hilft bei der Aufzählung von Netzwerkgeräten. Das ist aus vielen Gründen wichtig, etwa zur Verbesserung des IT-Supports und zum Aufspüren potenzieller Schwachstellen.
  • Benutzer können spezielle Netzwerkgeräte wie Router oder Wireless Access Points identifizieren, indem sie die OUI-Anbieterinformationen abrufen.
  • Die OUI-Suche lässt sich nutzen, um ansonsten verborgene Geräte zu identifizieren, zum Beispiel drahtlose Kameras oder andere Überwachungsgeräte, die unsachgemäß oder unwissentlich an einem Standort installiert wurden.

Wireshark-Benutzer können auf OUI-Lookup-Informationen zugreifen, die bei der Erfassung von Paketen gesammelt wurden. Die OUI-Adressen lassen sich verwenden, um den Datenverkehr zu und von bestimmten Adressen zu filtern. Ebenso ermöglicht die Wireshark-Webseite für die OUI-Suche Sicherheitsexperten den Zugriff auf die Datenbank über einen Smartphone-Browser.

Erfahren Sie mehr über Netzwerksoftware