In den letzten Jahren macht so genannte \u201ePhone Home Software\u201c immer mehr von sich reden. Dabei sammelt die Software Daten des Nutzers und versendet diese unbemerkt \u00fcber das Internet an den Hersteller. Schlimmer als diese Software aber sind Schadprogramme, die \u201eHintert\u00fcren\u201c, \u201eSpambots\u201c oder \u201eDDoS-Tools\u201c installieren und Kriminellen so Zugang zu Ihrem PC erm\u00f6glichen.<\/p>\n
Viele Anwender sind dazu \u00fcbergegangen, Personal Firewalls auf ihrem Rechner zu installieren, und f\u00fchlen sich nun f\u00e4lschlicherweise sicher. Zwar kann eine solche Firewall anzeigen, ob ein unberechtigter Zugriff von au\u00dfen stattfindet, jedoch ist es nicht m\u00f6glich zu sehen, welche Daten \u00fcber das Netz flie\u00dfen. Eine solche Firewall versagt auch, wenn es sich um Schadsoftware handelt, die Daten sammelt und dann \u00fcber andere Programme wie Webbrowser oder Instant Messenger versendet. Diese Programme dienen ohnehin dazu, Daten zu \u00fcbertragen und sind somit auch in der Personal Firewall freigegeben.<\/p>\n
Um derartige Schadsoftware zu \u00fcberf\u00fchren, bedarf es anderer Mittel und auch etwas mehr Aufwand und Wissen.<\/p>\n
Mithilfe von so genannten Sniffern (z.B. Wireshark) ist es m\u00f6glich, die Datenstr\u00f6me im Netz zu analysieren und die Daten zu protokollieren. Die einzelnen Datenpakete k\u00f6nnen anschlie\u00dfend mithilfe von Analyse-Tools genau untersucht werden.<\/p>\n
Wireshark ist eine Sniffersoftware, die wichtigste Komponente hierbei ist der Capture Driver: Dieser greift in den Treiber der Netzwerkkarte ein und sorgt daf\u00fcr, dass alle gesendeten und empfangenen Pakete zwischengespeichert werden. Wireshark bietet au\u00dferdem die M\u00f6glichkeit, Filter (Netzwerkprotokoll, Quell- und Zieladresse oder TCP-Port) zu setzen, damit die Datensammlung, die sp\u00e4ter ausgewertet werden muss, \u00fcberschaubar bleibt.<\/p>\n
Die Forward Rate bei einem 100 MBit-Netz liegt pro Port bei bis zu 148.000 Paketen pro Sekunde, bei modernen 1 GigabitNetzwerken verzehnfacht sich die Anzahl der Pakete. Daher sollte der eingesetzte Rechner unbedingt \u00fcber gen\u00fcgend Rechenleistung verf\u00fcgen.<\/p>\n
Eine Analyse-Komponente findet fehlerhafte Pakete oder Muster, die auf den Einsatz von Hackertools, wie z.B. Portscannern hinweisen. Komfortable Sniffer bringen sogar eine Komponente mit, die das automatische Dekodieren der Pakete \u00fcbernimmt. Hierbei werden die einzelnen IP-Pakete dem entsprechenden Datenstrom zugeordnet. Es erspart das h\u00e4ndische Zusammensuchen der Pakete anhand ihrer Sequenznummern.<\/p>\n
Da professionelle Sniffer neben ihren vielf\u00e4ltigen Features und Verwaltungsm\u00f6glichkeiten eher f\u00fcr gro\u00dfe Netzwerkarchitekturen konzipiert sind, sind sie meist zu teuer f\u00fcr kleine Unternehmen oder Privatanwender. Eine gute Alternative zu kommerzieller Sniffer-Software ist das Freeware-Tool Wireshark (ehemals Ethereal). Es ist f\u00fcr Windows sowie f\u00fcr Unix\/Linux verf\u00fcgbar und unterst\u00fctzt alle g\u00e4ngigen Protokolle.<\/p>\n
Bei der Windows-Variante greift Wireshark auf WinPcap, in der Linuxariante auf libpcap zur\u00fcck. Bei der Analyse \u00fcber Wi-L, empfiehlt sich grunds\u00e4tzlich der Einsatz der Linuxariante da es unter Windows in den meisten F\u00e4llen nicht m\u00f6glich ist, den Promiscuous Mode der WLAN-Karten zu nutzen.<\/p>\n
Am Beispiel von Wireshark m\u00f6chte ich zeigen, wie man den lokalen Netzwerkverkehr \u00fcberwachtund wie man IP-Kommunikation untersucht, deren Ursache unklar scheint.<\/p>\n
Zu Beginn empfiehlt es sich, Filter zu definieren, um den durch die folgende \u00dcberwachung entstehenden Datenwust m\u00f6glichst gering zu halten.<\/p>\n
Wireshark kennt grunds\u00e4tzlich zwei Arten von Filtern. Die Capture-Filter definieren, welche Pakete \u00fcberhaupt mitprotokolliert werden. Die Display-Filter bestimmen, welche der erfassten Pakete in der aktuellen Analyse ber\u00fccksichtigt werden.<\/p>\n
Etwas unsch\u00f6n ist, dass sich die beiden Filter in ihrer Syntax unterscheiden.<\/p>\n
Beim Capture-Filter filtern Sie mit folgender Zeile nach einer MAC-Adresse:
\nether host 08:00:08:15:ca:fe<\/p>\n
Wollen Sie erst bei der Anzeige nach dieser MAC-Adresse selektieren, filtern Sie mit folgender Zeile:
\neth.addr==08.00.08.15.ca.fe<\/p>\n
In Wireshark sind bereits einige Filter vordefiniert, so ist es nicht schwer, diese auf die eigenen Bed\u00fcrfnisse anzupassen.<\/p>\n
Vor- und Nachteile der Filter:<\/p>\n
Capture-Filter
\n+ Je mehr Pakete gespeichert sind, desto mehr muss der Display-Filter leisten, um die Analyse des Datenstroms zu erm\u00f6glichen.
\n– Ein einmal ausgefiltertes, also nicht mitprotokolliertes Paket ist weg und kann nicht mehr ber\u00fccksichtigt werden.<\/p>\n
Display-Filter
\n+ Alle mitprotokollierten Pakete sind nach dem Filtern durch den Display-Filter noch vorhanden und k\u00f6nnen je nach Bedarf f\u00fcr weitere Auswertungen ein- oder ausgeblendet werden.
\n– Bei jeder \u00c4nderung des Display-Filters muss Wireshark die Pakete des Datenstroms erneut pr\u00fcfen.<\/p>\n
Erste Schritte mit Wireshark<\/p>\n
Zu Beginn verschaffen wir uns einen Einblick in die Datenstr\u00f6me, die an unserer lokalen Netzwerkkarte ankommen. Hierzu sollten alle Programme wie Browser, Mailclient und Messenger abgeschaltet werden.<\/p>\n
Starten Sie Wireshark \u00f6ffnen Sie das Men\u00fc \u201eCapture\u201c und w\u00e4hlen Sie \u201eOptions\u2026\u201c. Hier w\u00e4hlen Sie die Netzwerkkarte, die die Daten sammeln soll. An dieser Stelle kann man auch die Puffergr\u00f6\u00dfe erh\u00f6hen, bei Netzen mit hohem Datenaufkommen ist dies empfehlenswert.
\nDa wir die komplette Kommunikation protokollieren wollen, wird der Haken \u201eLimit each Packet to\u201c nicht gesetzt und wir verzichten auf die Auswahl eines Capture-Filters. Der Haken \u201eUpdate list of packets in real time\u201c kann gesetzt werden, muss aber nicht, denn die Option verbraucht unn\u00f6tig Rechenleistung.<\/p>\n
Sind alle Einstellungen gemacht, starten wir die Protokollierung durch Dr\u00fccken der Starbuttons.
\nDa wir uns zun\u00e4chst nur f\u00fcr den allgemeinen Datenverkehr interessieren, lassen wir Wireshark einige Zeit laufen und stoppen das Live-Capture dann.<\/p>\n
Im Wiresharkenster sehen wir nun die protokollierten Pakete und die zugeh\u00f6rigen Protokolle. Je nach Netzwerk und verwendeten Ger\u00e4ten erkennen wir eine Reihe von immer wiederkehrenden Paketen. In der Regel sind das ARP-Anfragen \u00fcber Rechner, die die zu einer IP geh\u00f6rende MAC-Adresse ermitteln, oder Router, die Pakete versenden, welche zum Austausch von Routing-Informationen dienen.<\/p>\n
In meinem Fall erkenne ich, dass eine Netzwerkkomponente NetBIOS-over-IPX-Pakete versendet, was nicht sein sollte, da es sich bei IPX um ein veraltetes und nicht ben\u00f6tigtes Protokoll handelt. Wenn man dieses Paket in Wireshark mit einem Linksklick markiert, so werden im mittleren Fenster weitere Informationen zu diesem Paket angezeigt. Besonderes interessant ist der Teil \u201eEthernet\u201c. Durch einen Klick auf das Pluszeichen des Eintrags k\u00f6nnen wir die MAC-Adresse des Rechners erkennen.
\nDurch einen Rechtsklick auf den Eintrag \u201eSource (MAC-Adresse)\u201c \u00f6ffnet sich ein Kontextmen\u00fc, \u00fcber welches sich ein Display-Filter erstellen l\u00e4sst. Da alle Pakete von dieser oder an diese Station interessant sein k\u00f6nnten, ist hierzu die Option \u201eApply as Filter \/ Selected\u201c zu w\u00e4hlen. Wireshark zeigt nun alle Pakete von dieser oder an diese Station an.<\/p>\n
Bei Durchsicht dieser Pakete finden sich gl\u00fccklicherweise noch zwei BROWSE-Pakete in der Liste, \u00fcber die es nun m\u00f6glich ist, n\u00e4here Informationen zur versendenden Netzwerkkomponente zu erhalten. Unter anderem findet sich auch der NT-Name des Rechners, in diesem Fall PC1, der zur Domain tec4net geh\u00f6rt. Mit diesem Wissen l\u00e4sst sich der Rechner nun leicht auffinden und entsprechend neu konfigurieren.<\/p>\n
Filtern nach Kriterien<\/p>\n
Werden keine Filter gesetzt, liefert Wireshark auch alle Management-Pakete wie ARP-Requests, STP-Nachrichten oder \u00c4hnliches. Diese Informationen sind aber eigentlich nur n\u00fctzlich, wenn Sie ARP-Poisoning oder einen Fehler beim Spanning Tree Protocol suchen. Um diese Pakete und IP-Broadcasts auszufiltern, ist es m\u00f6glich, einen Capture-Filter zu definieren, der als Quell- oder als Ziel-IP nur die eigene IP-Adresse erlaubt. Hierzu \u00f6ffnen Sie den Dialog \u201eCapture \/ Options\u201c und tragen im Feld neben dem Button Capture-Filter Folgendes ein:<\/p>\n
host <IP-Adresse><\/p>\n
Die <IP-Adresse> ist hierbei die IP der Netzwerkkarte, welche den Datenverkehr protokolliert. Bei bestimmten Verdachtsmomenten hinsichtlich verwendeter Ports ist es m\u00f6glich, die Filter weiter einzugrenzen, um das Datenaufkommen zu begrenzen. Die folgende Zeile selektiert nur Pakete von der eigenen oder an die eigene Station, die http-Traffic enthalten:<\/p>\n
host <IP-Adresse> and tcp port 80<\/p>\n
Wie bereits erw\u00e4hnt, lassen sich entsprechende Pakete aber auch noch sp\u00e4ter \u00fcber die Display-Filter f\u00fcr die Anzeige selektieren.<\/p>\n
Als Datenschutzexperte m\u00fcsste ich angesichts der Analyse-M\u00f6glichkeiten des Sniffings nun die H\u00e4nde \u00fcber dem Kopf zusammenschlagen. Dennoch ist Sniffing sinnvoll und f\u00fcr den st\u00f6rungsfreien Betrieb eines komplexen Netzwerks auch notwendig. Zum einen, um Fehler im LAN zu erkennen und andererseits, um Hacker oder „Phone Home“-Software aufzusp\u00fcren.<\/p>\n
Werden die beschriebenen Techniken nur zur Fehlerbeseitigung genutzt und anschlie\u00dfend alle Protokolldateien r\u00fcckstandslos gel\u00f6scht, so ist die Balance zwischen technischer Notwendigkeit und den Vorgaben des BDSG eingehalten.<\/p>\n