Die Probleme, mit denen ein Netzwerkadministrator täglich zu kämpfen und die er in der Regel unter hohem Zeitdruck zu beseitigen hat, sind mannigfaltig. Fast genau so zahlreich ist die Anzahl an Open-Source-Tools, welche die Admins bei ihrer Arbeit unterstützen.

Dig: DNS im Griff

DNS-Probleme werden des öftern übersehen, sind aber oft der Grund für Fehler im Netzwerk. Umso wichtiger ist es, ein zuverlässiges Werkzeug zur Hand zu haben, das einem detailliert aufzeigt, wie die DNS-Anfragen der Anwender aufgelöst werden. Zum Glück liefert das Internet Systems Consortium (ISC) ein solches Tool. Das ISC ist der Urheber der Server-Software BIND DNS, die die Mehrheit der DNS-Server antreibt.

Dig, so der Name des Werkzeugs, ist ein Kommandozeilenhilfprogramm, das DNS-Abfragen ausführt. Das an sich ist bereits hilfreich. Dig kann aber mehr. Es liefert zudem eine Menge Infos zu den Antworten des DNS-Servers.

Dig ist Teil der Client-Utilities des BIND-Projekts, wird aber nicht standardmässig installiert. Das Tool läuft unter allen Unix-, Linux- und BSD-Varianten, einschliesslich Mac OS X, sowie unter Windows.

Auf der nächsten Seite: Nmap

Nmap: Das Tool für Hacker und Netadmins

Nmap darf in der Werkzeugkiste eines Netzwerkadministrators nicht fehlen. Es kann einerseits einfache Aufgaben ausführen, etwa eine Ping-Abfrage, um herauszufinden, welche Ports eines Systems offen sind. Andererseits kann es komplexe Scripts ausführen und so ein ganzes Firmennetz nach Schwachstellen abklopfen.

Eine gute Ergänzung zu Nmap ist Zenmap. Dieses Tool bereitet die Informationen, die Nmap sammelt grafisch auf und erstellt eine Karte der Netzwerkumgebung.

KeePass: Der Passwort-Sammler

Passwörter, nichts als Passwörter. Was bei normalen Usern schon die Köpfe rauchen lässt, ist bei Administratoren noch virulenter. Alle Netzwerk-Komponenten haben ihre Passwörter, ob Server, Switch oder Router, die nicht nur memorisiert, sondern auch gemanagt werden wollen.

Hier kommt KeePass ins Spiel, eine Datenbank, die Usernamen, Passwörter und Zugangs-URLs verschlüsselt und ablegt. Der Zugriff auf KeePass lässt sich einschränken - unter anderem mit einem Passwort, versteht sich. KeePass verwendet den AES- oder Twofish-Verschlüsselungsalgorithmus und wendet diese nicht am ganzen File an, sondern chiffriert jeweils 256-Bit-Stücke. Somit haben Hacker kaum eine Chance, die Originalinfos auszulesen.

Hier können Sie KeePass downloaden.

IPplan: Licht ins IP-Dunkel

Netzwerkadministratoren müssen ihre IP-Adressen im Griff haben: Welche Anschriften stehen überhaupt zur Verfügung, welche sind bereits vergeben und welche können noch vergeben werden. Wer diese Verwaltung mit Excel bestreitet, sollte sich einmal IPplan anschauen.

Da IPplan ursprünglich für Internet-Provider geschrieben wurde, können sich damit nicht nur einzelne IP-Adressen verwalten, sondern ganze CIDR-Blöcke oder Supernets. Die Infos lassen sich aus verschiedenen Quellen beziehen. Für die Excel-Fraktion versteht IPplan CSV. Aber auch Nmap-Anwender können ihre XML-Files dem Tool verfüttern. Schliesslich lassen sich die Adressen vom DNS-Server direkt importieren. Umgekehrt lassen sich die DNS-Einträge mit IPplan verwalten.

Tcpdump: Latenzen und andere Netzwerkprobleme aufzeigen

Wenn das Netzwerk wieder einmal völlig verrückt spielt und man als Admin keinen blassen hat, was jetzt los ist, ist es an der Zeit Tcpdump zu starten. Mit dem Tool lässt sich der Network-Verkehr auf einer Netzwerkkarte abgreifen und darauf die Pakete und Frames in Echtzeit betrachten.

Besonders nützlich ist Tcpdump allerdings in Zusammenarbeit mit Wireshark. Beim «Drahthai» handelt es sich um ein Tool, das die Captures von Tcpdump analysiert und vor allem auch visualisiert. Wireshark bietet also ein GUI, mit dem etwa Zeitstempel von einzelnen Paketen untersucht werden können, um zu ermitteln, wie gross die Antwortzeiten auf Anfragen sind.

Tcpdump läuft unter Unix und Linux. Eine Windows-Version finden Sie unter dem Namen Windump. Hier können Sie das Tool downloaden.

Rancid: Konfigurationen leicht gemacht

Config-Files sind eine der Quellen für Routing-Probleme. Mit Rancid (Really Awesome New Cisco Config Differ) lassen sich diese vermeiden. Denn das Tool bietet eine Versionenkontrolle für die Konfigurationsdateien der verschiedenen Switches und Router an. Dabei werden einerseits die Config-Files registriert und abgelegt, andererseits lassen sich Differenzen zu vorherigen Versionen der Files sichtbar machen. Wird eine Änderung vorgenommen, kann Rancid sogar eine E-Mail verschicken und so den Administrator warnen.

Rancid unterstützt Netzwerkgeräte der meisten Hersteller, so von Cisco, Hewlett-Packard (HP), Juniper und Foundry. Es läuft unter Linux, BSD, Mac OS X und Solaris.

OpenNMS und Cacti: Alles unter Kontrolle

OpenNMS sollte in jedem Unternehmensnetz eingesetzt werden. Denn es offeriert ein sehr skalierbares Netzwerk-Monitoring-System, das vollständig quelloffen ist. Ein einziger Server kann hunderte tausend Netzwerkschnittstellen überwachen. Und nicht nur das: OpenNMS bereitet das, was es beobachtet auch noch grafisch ansprechend auf. So spuckt es Kurven zur Bandbreite-, CPU- und Speichernutzung aus.

Zudem lassen sich Schwellenwerte definieren, bei denen das System Alarm schlagen soll.

Wem die Grafikmöglichkeiten in OpenNMS nicht reichen oder deren Bedienung nicht intuitiv genug sind, sollte sich Cacti ansehen. Dieses verwertet die OpenNMS-Daten und zeichnet entsprechende Charts.

My TraceRoute: Hier gehts lang

Zugegeben My TraceRoute (MTR) war früher nützlicher als heutzutage. Es ermittelt mit Hilfe von ICMP-Paketen die Latenzzeiten eines Netzes. Da ICMP-Pakete von modernen Routern als erstes fallengelassen werden, wenn wichtigerer Datenverkehr priorisiert werden muss, ist das Analyse-Ergebnis nicht immer allzu aussagekräftig. Trotzdem zeigt MTR in vielen Fällen auf, welche Router ein Datenpaket auf dem Weg zum Ziel passiert und wo es Engpässe geben könnte.

PHP Weathermap: Das grosse Bild

Manchmal ist es angebracht, die eigene Netzwerkwelt von ganz oben zu betrachten, genauso wie Meteorologen Wolkenwirbel mit Hilfe eines Satelliten aus dem Weltall anschauen. Genau dies leistet PHP Weathermap: Es zeichnet eine logische Karte aller Router und Switches eines Netzwerks und zeigt die Verbindungen unter ihnen. Mit Hilfe verschiedener Farben lässt sich sodann erkennen, wo der Network-Verkehr gerade flutscht und wo es harzt.

PHP Weathermap sammelt nicht selbst Datenmaterial. Es greift vielmehr auf den Output zu, den ihm von Tools wie OpenNMS, Cacti, MRTG und RRDtool angeliefert wird.

Ntop: Datenströme sichtbar machen

Ntop schnappt sich die sFlow- und NetFlow-Daten gängiger Router und Switches und bereitet sie mit Hilfe eines Web-GUI grafisch auf. Durch Clicks können so Details zu einzelnen Hosts, Protokollen und Konversationen abgerufen werden.

So präsentiert das Tool eine Liste von IP-Protokollen, sortierbar nach Protokolltypus, sowie weitere Angaben zu Verkehrsquellen und -zielen. Ntop erstellt eine Tabelle des IP-Verkehrs und lässt den Netzwerkadministratoren wissen, wer mit wem redet und wie viele Datenpakete dabei ausgetauscht werden.

Ntop läuft unter Windows und den verbreitesten Unix-Derivaten, darunter Linux, BSD, Solaris und Mac OS X. Auf der Netzwerkseite werden folgende Protokolle unterstützt: IP-Protokolltypen und Netzwerkmedienprotokolle. Zudem kennt es sich bei VoIP-Protokollen aus wie bei Ciscos SCCP, Asterisks IAX-Protokoll und SIP.