Admin-Parcours: Was geht ab im LAN?

Hier geht es ausnahmsweise mal um keinen üblichen c't-Artikel, sondern um ein Quiz. Und das hat es in sich: Es geht um rund 40 teils knifflige Fragen aus dem Netzwerkbereich. Nebenbei lernt man so auch den einen oder anderen Protokoll-Exoten kennen.

Die Auflösung mitsamt etlichen lesenswerten Ergänzungen, Seitenaspekten und Handreichungen für die Wireshark-Bedienung finden Sie in der kommenden c't 11/2017, die am 12.5. in der App und am13.5.2017 am Kiosk erscheint. Falls Sie lediglich Ihre Ergebnisse vergleichen wollen: Wir veröffentlichen die richtigen Antworten am 13.5 online auf ct – ohne erläuternde Kommentare.

Labor-Netzwerk für die Switch-Prüfung

Das Quiz gründet auf einem englischsprachigen Blog-Beitrag des Netzwerk- und Security-Consultants Johannes Weber. Hier stellen wir eine deutschsprachige, gekürzte und adaptierte Fassung vor.

Johannes hat ein Labor-Netzwerk anlässlich seiner Vorbereitungen zur Switch-Prüfung aufgebaut, das aus vier Switches und drei Routern von Cisco sowie zwei Workstations besteht. Damit hat er ein Testszenario aufgebaut, um den Verkehr von Layer-2- und Layer-3-Protokollen zu erfassen, die für das Netzwerk-Management bedeutsam sind. Alle Netzwerk-Elemente kommunizieren sowohl per IPv6 als auch per veraltetem IPv4 (legacy IP).

Die Daten stecken, wie sollte es anders sein, in einem PCAP-File: 72 KByte, 3893 Pakete . Füttert man das PCAP-File Wirekshark zu, der Allzweck-Analysewaffe der Netzwerker, kann man seine Protokoll- und Wireshark-Kenntnisse auf die Probe stellen. Der Trace enthält insgesamt 22 Protokolle und zu jedem sind Fragen zu beantworten, die das Verständnis und den Umgang mit Wireshark checken.

Die Fragen im Überblick

Die meisten Fragen beziehen sich auf die Protokolle, einige lassen sich aber nur unter Wireshark-Einsatz beantworten. Jeder Frage ist das Protokoll und eine kurze Erklärung vorangestellt, warum es im Trace auftaucht.

DNS (Domain Name System)

(die DNS-Pakete wurden durch Ping-Befehle ausgelöst.)

Frage 1: Wie lautet die IPv6-Addresse des DNS-Servers?

Frage 2: Zu welcher Domain suchte der Client die IP-Adresse?

Frage 3: Wieviele Hops ist der DNS-Server entfernt?

Frage 4: Wurde die DNS-Antwort per DNSSEC validiert?

DHCP (Dynamic Host Configuration Protocol)

(da mehrere VLANs per DHCP-Server konfiguriert sind):

Frage 1: Wie lautet die MAC-Addresse des Clients, der eine IPv4-Addresse anfragt?

Frage 2: Wie lautet sein Hostname?

Frage 3: Welche IPv4-Addresse wünschte er sich?

Frage 4: Welche bekam er?

STP (Spanning Tree Protocol)

(arbeitet im Modus rapid-pvst, taucht alle zwei Sekunden an allen Switch-Ports auf. Johannes nutzt außerdem auch spanning-tree loopguard default, spanning-tree portfast default, und spanning-tree portfast bpduguard default. )

Frage 1: Wie lautet der Root-Bridge-Identifier des VLANs 121?

Frage 2: Wann fand, bezogen auf den Trace-Startzeitpunkt, die erste Änderung der Topologie statt?

Frage 3 (nicht ganz einfach): Zum VLAN 30: Wie lautet der Port-Identifier der Bridge 00:21:1b:ae:31:80? Genauer: Wie lautet die korrekte ID, die aus der Port-Priorität und der Port-Nummer besteht? Oder anders gefragt: Welche Antwort liefert ein Cisco-Gerät, wenn man es mit dem Kommando show spanning-tree befragt? (Tipp: Hier handelt es sich um die Version 802.1D von 1998, nicht um die von 2004.)

CDP (Cisco Discovery Protocol):

(CDP-Pakete sind in der Grundeinstellung alle Paar Sekunden zu sehen)

Frage 1: Welche IOS Software-Version läuft auf dem Cisco-Switch CCNP-LAB-S1?

Frage 2: Wie lautet das native VLAN des Geräts?

VTP (VLAN Trunking Protocol)

(manuell ein neues VLAN auf dem VTP-Server hinzugefügt, während der Trace lief)

Frage 1: Wie lautet die VTP-Management-Domain?

Frage 2: Wie lautet der Name des VLAN 30? (Tipp: Die VLAN-ID im Feld "ISL VLAN ID" ist keine dezimale, sondern eine hexadezimale Angabe.)

Frage 3: Wie lautet die aktuelle Configuration Revision Number?

LACP (Link Aggregation Control Protocol):

(LACP-Pakete senden die aktiven oder passiven Ports einer Channel-Group)

Frage 1: Wie lauten der Actor- und der Partner-Port aus Sicht des Actors 00:0a:8a:a1:5a:80?

Frage 2: Nennen Sie die Partner System Priority.

LLDP (Link Layer Discovery Protocol):

(Die LLDP-Pakete tauchen auf, weil das Protokoll mittels lldp run aktiviert worden ist).

Frage: Wie lautet die IPv6-Management-Addresse des Switches CCNP-LAB-S1?

UDLD (Unidirectional Link Detection; hey, wo ist das P für Protokoll?):

(UDLD ist global aktiviert, mit der Option udld aggressive - in der Grundeinstellung erscheint der Verkehr nur auf Glasfaser-Ports).

Frage: Wie heißt das Glasfaser-Interface, welches das Gerät FOC0630Z3KZ verwendet?

HSRP (Hot Standby Routing Protocol)

(hier handelt es sich um die Version 2 für IPv6 und legacy IP (IPv4), beide mit MD5-Authentifizierung).

Frage: Wie lautet die virtuelle IPv6-Addresse der HSRP-Gruppe 127?

SNMPv2c (Simple Network Management Protocol)

(Johannes nutzt MRTG/Routers2 um drei Router seines Labor-Netzes abzufragen. Jau, der SNMP-Community-String fliegt wirklich im Klartext vorbei!)

Frage: Wie lautet der Community-String?

Syslog:

(Taucht hier ebenfalls auf, obwohl das Protokoll (hüstel - bisher?) nicht zum CCNP-Fragenkatalog gehört).

Frage: Welche Information hat der Client mit der IP-Adresse 192.168.121.2 gesendet?

NTP (Network Time Protocol):

(NTP-Pakete erscheinen periodisch im Netz, nutzen das IPv6-Protokoll, wo möglich).

Frage: Um was für eine Art von NTP-Server handelt es sich? Oder genauer: Welche Art Uhr setzt der Server ein?

TFTP (Trivial File Transfer Protocol):

(TFTP-Pakete erscheinen automatisch nach jedem copy run start, um die Router-Konfiguration per archive-Befehl zu sichern. Hoppla, man kann dem Trace die komplette Router-Konfiguration entnehmen! Knacken Sie doch einfach mal die trivialen Passwörter. Tipp: Nutzen Sie den NetworkMiner, um die Datei aus dem Trace zu extrahieren).

Frage 1: Wie lautet das Passwort des Users "weberjoh"?

Frage 2: Wie lautet das enable-secret-Passwort?

Fragen 3 und 4: Wie lauten die Passwörter im Klartext?? Tipp: Mit hashcat gehts einfacher als auf Händen und Knien.

ARP (Address Resolution Protocol):

(ARP-Pakete gehören zum üblichen IPv4-Netzwerk-Verkehr).

Frage: Unter welcher MAC-Adresse ist der Client mit der IP 192.168.121.2 zu erreichen?

LOOP (Ethernet Configuration Testing Protocol)

(wasndas?? Kommt zwar in jedem LAN vor, kümmert aber anscheinend niemanden).

Frage: Wieviele Ethernet-Quellen von LOOP sind im Trace enthalten?

Die nun folgenden Protokolle kommen im CCNP-SWITCH-Kurs nicht vor, stecken aber durchaus in diesem Trace:

RIPv2 (Routing Information Protocol):

(Hier unterhalten sich testweise zwei Router ausnahmsweise mal mittels RIP, nicht wie üblich mittels OSPF. (Hier steht übrigens mehr zu OSPFv2 auf IPv4)).

Frage: Welche zwei Router annoncieren Default-Routen mit einer metric von 1? Nennen Sie die IPv4-Quell-Addressen.

RIPng:

(Auch RIPng läuft in diesem Labor-Netz nur testweise. Ja, man kann die globalen Unicast-Präfixe sehen - aber egal, es ist nur ein Labor-Netz. Und das /48-Präfix, das Johannes nutzt, kann man ohnehin leicht ermitteln. Er hat außerdem ein wenig an den Timern gedreht, um die convergence time zu verkürzen (timers 10 30 10 20 -- hier steht mehr zu OSPFv3 für IPv6)).

Frage: Welche zwei Router annoncieren die IPv6-Default-Route? Gefragt sind die link-lokalen Adressen.

ICMPv6 RS/RA (Internet Control Message Protocol):

(Dabei handelt es sich um Router-Solicitations und Advertisements, auf wiresharkisch: icmpv6.type == 133 || icmpv6.type == 134. Sie sind vorhanden, weil mindestens ein VLAN mit IPv6 läuft).

Frage 1: Wie lauten die annoncierten IPv6-Präfixe?

Frage 2: Wieviele Solicitations erhalten Router-Advertisements zurück?

ICMPv6 NS/NA (Internet Control Message Protocol):

(Neighbor Solicitation/Advertisement, icmpv6.type == 135 || icmpv6.type == 136 - das ist üblicher IPv6-Verkehr).

Frage: Um welche globale Unicast-IPv6-Addresse geht es bei der Duplicate Address Detection (DAD)?

ICMPv6 Ping:

icmpv6.type == 128 || icmpv6.type == 129 - diese Pakete tauchen alle 60 Sekunden nach einer IP-SLA-Konfiguration auf. Und außerdem noch einige Male ausgelöst per Ping aus einem Command Line Interface).

Frage: Welchen Wert hat das Data-Feld des Ping-Pakets an das Ziel 2a01:488:42:1000:50ed:8588:8a:c570?

SSH (Secure Shell):

(Diese Pakete sind per IPv6 an ccnp-lab-r2 gerichtet. Fun fact: Das ist, man mag es kaum glauben, der einzige TCP-Stream im gesamten Trace. UDP siegt).

Frage: Welche Protokoll-Version verwendet der Client in der SSH-Session?

Zusatzfrage 1: Falls Sie mitgezählt haben, werden Sie vielleicht sagen: "Hm, da sind doch noch Protokolle im Trace, die bisher nicht genannt wurden!?" Genau – um welche handelt es sich?

Zusatzfrage 2: Außerdem sind da noch einige obskure UDP-Übertragungen von oder zu High-Ports. Kommen Sie darauf, woher sie stammen? (Ist nicht leicht. Wirklich nicht).

Zusatzfrage 3: Wieviele IPv6-, IPv4-, TCP- und UDP-Konversationen stecken im Trace? (Tipp: Wireshark weiß das).

Viel Spaß beim Knobeln! (dz)