 "Aufmacher")
Aufgedeckt
Wireshark
Der ans Netzwerk angeschlossene Rechner ist ein geschwätziger Geselle: Kontinuierlich beantwortet er Statusabfragen oder stellt selbst Anfragen an andere Rechner. Diese Aktivitäten bleiben dem Anwender in aller Regel verbogen. Selbst der Besuch einer Webseite führt unter Umständen zum Transfer von Daten, von denen der Anwender nichts weiß: Site-Tracker oder Webbugs bis hin zu bösartigem, in Webseiten eingebetteten Schadcode, der im Hintergrund abläuft. Auch Spywareprogramme wie Keylogger, Rootkits und Trojaner nutzen die Möglichkeiten der verborgenen Kommunikation. Abgesehen von rudimentären Analyseprogrammen wie Netstat hat der Anwender kaum Werkzeuge zur Hand, um nachzuvollziehen, welche Daten über seinen Rechner laufen.
Abhilfe schaffen hier so genannte Sniffer. Sie ermöglichen nicht nur die detaillierte Analyse des eigenen Netzwerkverkehrs, sondern auch den der anderen ans Netzwerk angeschlossenen Rechner, sofern sich diese in derselben Kollisionsdomäne (siehe Kasten "Abgehört") befinden. Beinahe jede Distribution bringt den bekannten kommandozeilenbasierten Sniffer Tcpdump mit, den aufgrund seiner komplizierten Bedienung aber nur wenige Anwender wirklich nutzen.
Abgehört
In älteren Netzwerken dient oft noch der Hub zum Anschluss der Rechner ans Netzwerk. Dieser arbeitet ähnlich wie eine Mehrfachsteckdose. Der Datenstrom eines Rechners erreicht automatisch auch die anderen angeschlossenen Hosts (Abbildung 1), die sich alle innerhalb der selben so genannten Kollisionsdomäne befinden. Neben dem eklatanten Sicherheitsrisiko gilt als zweites Manko der geringe Datendurchsatz durch die Kollision von Paketen, die der Absender dann erneut versenden muss. Befindet sich eine der Netzwerkkarten im Promiscuous Mode, empfängt der Rechner alle Informationen, beispielsweise Login-Daten für FTP, SMTP oder Telnet. Spezielle Sniffer wie Phoss [1] verfeinern diese Technik und liefern nach dem Start ausschließlich die über das Netzwerk versendeten Login-Daten.
Abbildung 1: Rechner in derselben Kollisionsdomäne versenden ihre Daten stets an alle daran angeschlossenen Rechner. Mit Netzwerksniffern wie Wireshark ist es dann ein leichtes, Passwörter unverschlüsselter Verbindungen auszulesen.
Abhilfe schaffen die heute gängigen Switches. Sie leiten den Datenstrom direkt vom Absender zum Empfänger. Über Methoden wie ARP-Poisoning kann ein Angreifer sich dennoch auch in geswitchten Netzen in den Datenstrom einschalten. Per MAC-Flooding lassen sich zudem Switches relativ leicht in den Repeat-Modus versetzen, der die Daten quasi wie ein Hub über das ganze Netz verteilt. Entsprechende Manipulationen fallen dem aufmerksamen Admin, beispielsweise mit Hilfe von Arpwatch [2], allerdings auf. Den besten Schutz gegen das Abhören sensibler Daten bietet jedoch nach wie vor das Verwenden verschlüsselter Dienste – etwa via SSH, HTTPS, SFTP, IMAPS und dergleichen.
Einen benutzerfreundlicheren Weg geht das Programm Wireshark [3], besser bekannt unter seinem früheren Namen Ethereal. Da die Namensrechte für "Ethereal" [4] beim ehemaligen Arbeitgeber des Maintainers verblieben, führt dieser das Projekt als Fork unter anderem Namen fort. Wireshark gilt einer der leistungsfähigsten freien Sniffer. Es entpuppt sich bei beim Beheben von Netzwerkproblemen nicht selten als unentbehrliches Hilfsmittel zur Fehlersuche.
Da Sniffer den internen Aufbau des Übertragungsprotokolls offen legen, gehören grundlegende Kenntnisse über TCP/IP zum Pflichtprogramm des Wireshark-Benutzers, um die gewonnenen Daten sinnvoll interpretieren zu können. Eine gute Einführung in die TCP/IP-Protokollfamilie bietet Heiko Holtkamp auf seinen Webseiten bei der Uni Bielefeld [5].
Installation
Auf der Downloadseite des Projekts steht für Linux lediglich der Quellcode von Wireshark zum Download bereit, nur wenige Distributionen bringen bereits ein fertiges Wirkeshark-Paket mit. Wer auf das manuelle Übersetzen des Programms verzichten möchte, installiert stattdessen das in den meisten Distributionen enthaltene Ethereal, das weitgehend die selben Funktionen bietet wie Wireshark.
Zum Kompilieren von Wireshark aus den Sourcen genügt der Dreisatz configure && make && make install, den Sie mit administrativen Rechten ausführen müssen. Der Übersetzungsvorgang dauert abhängig von der Leistung Ihres Rechners etwa 20 Minuten. Benutzer von Suse Linux müssen anschließend noch den Inhalt des Verzeichnisses /usr/local/lib/libwireshark nach /lib kopieren. Vor dem ersten Start gilt es dann noch das Paket libnet (Suse) oder libnet1 nachzuinstallieren, das zum Paketumfang aller größeren Distributionen zählt.
First Steps
Nach der Installation starten Sie das Programm über den Aufruf sudo wireshark mit administrativen Rechten in der Konsole. Als erstes gilt es, die Netzwerkkarte auszuwählen, deren Datenverkehr das Programm aufzeichnen soll. Klicken Sie dazu auf das erste Icon in der Schalterleiste (List the available capture interfaces...). Im neuen Fenster beginnen Sie die Aufzeichnung mit einem Mausklick auf das Icon Start. Über Options erreichen Sie ein erweitertes Konfigurationsfenster, in dem Sie unter anderem Filter setzen, die Paketgröße der Aufzeichnung beschränken oder einen definierten Endpunkt des Dumps festlegen (etwa Stop Capture after x Packets/Minutes). Ist die Checkbox Capture Packets in promiscuous Mode aktiviert, zeichnet Wireshark nicht nur den Netzwerkverkehr vom und zum eigenen Rechner auf, sondern – je nach Netzwerkanbindung des Rechners – unter Umständen auch fremde Datenverbindungen.
Wireshark verfügt über einen Live-Capture-Modus, der schon während der Aufzeichnung den Netzwerkverkehr anzeigt. Während das Hauptfenster (Abbildung 2) alle ein- und ausgehenden Pakete auflistet, finden Sie im Fenster darunter die Analyse der Paketheader. Das unterste Fenster zeigt den Inhalt des gewählten Paketes. Um die Aufzeichnung zu stoppen, klicken Sie in der Schalterleiste des Hauptfensters auf das Netzwerkkarten-Symbol mit dem roten Kreuz. Möchten Sie den Datenstrom speichern, wählen Sie danach das Diskettensymbol an. Über File | Open... stellen Sie später den gespeicherten Dump wieder her.
Abbildung 2: Wireshark zeigt bereits während der Aufzeichnung des Netzwerkverkehrs die Pakete im Analysefenster an.
Einem Freund empfehlen
