Make your own free website on Tripod.com


vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


13

Sniffer

Sniffer sind Geräte oder Programme, die Netzwerk-Datenpakete abfangen. Ihr legitimer Zweck ist die Analyse von Netzwerkverkehr und die Identifizierung von potentiellen Gefahrenbereichen. Nehmen Sie beispielsweise an, daß ein Segment Ihres Netzwerks schlecht funktioniert: die Paketübertragung scheint unglaublich langsam oder Rechner blockieren plötzlich beim Booten des Netzwerks. Sie benutzen einen Sniffer, um die genaue Ursache zu bestimmen.

Sniffer unterscheiden sich erheblich in Funktionalität und Design. Einige analysieren nur ein Protokoll, während andere Hunderte analysieren können. Generell können die meisten modernen Sniffer mindestens eines der folgenden Protokolle analysieren:

Sniffer bestehen immer aus einer Kombination von Hardware und Software. Proprietäre Sniffer sind teuer (Anbieter packen sie in der Regel in spezielle Computer, die für den Sniffer-Prozeß »optimiert« sind). Freeware-Sniffer dagegen sind billig, beinhalten aber keine Supportleistungen.

In diesem Kapitel werden Sniffer sowohl als Sicherheitsrisiken als auch als Netzwerk-Administrationstools betrachtet.

13.1 Sniffer als Sicherheitsrisiken

Sniffer unterscheiden sich erheblich von Tastaturanschlag-Recordern. Tastaturanschlag- Recorder fangen Tastaturanschläge ab, die an einem Terminal eingegeben werden. Sniffer dagegen fangen ganze Netzwerk-Pakete ab. Sniffer tun dies, indem sie das Netzwerk-Interface - also etwa den Ethernet-Adapter - in Promiscuous Mode (ein Modus, bei dem alle Pakete zur Weiterverarbeitung empfangen und erst nach Auswertung der Kontrollinformationen entweder geroutet oder gebridged werden) versetzen.

Um den Begriff Promiscuous Mode zu verstehen, brauchen Sie einen kurzen Einblick in die Funktionsweise eines kleinen lokalen Netzwerks.

13.1.1 LANs und Datenverkehr

Lokale Netze (LANs) sind kleine Netzwerke, die (in der Regel) über Ethernet verbunden sind. Daten werden über Kabel von einem Rechner zum anderen übertragen. Es gibt verschiedene Kabeltypen und diese Typen übermitteln Daten mit unterschiedlicher Geschwindigkeit. Die fünf üblichsten Netzwerkkabeltypen sind die folgenden:

10Base2. Koaxial-Ethernet (dünnes Kabel), das Daten standardmäßig über Entfernungen bis zu 185 Meter überträgt.

10Base5. Koaxial-Ethernet (dickes Kabel), das Daten standardmäßig über Entfernungen bis zu 500 Meter überträgt.

10BaseFL. Glasfaser-Ethernet.

10BaseT. Twisted-Pair-Ethernet, das Daten standardmäßig über Entfernungen bis zu 185 Meter überträgt.

100BaseT. Fast Ethernet (100Mbps), das Daten standardmäßig über Entfernungen bis zu 100 Meter überträgt.

Daten reisen in kleinen Einheiten namens Frames durch das Kabel. Diese Frames sind in Abschnitten aufgebaut und jeder Abschnitt trägt spezialisierte Informationen. (Zum Beispiel beinhalten die ersten 12 Byte eines Ethernet-Frames sowohl die Empfänger- als auch die Absenderadresse. Diese Werte sagen dem Netzwerk, woher die Daten kommen und wohin sie gehen. Andere Teile des Ethernet-Frames beinhalten die eigentlichen Benutzerdaten, TCP/IP-Header, IPX-Header usw.)

Frames werden mit Hilfe spezieller Software für den Transport fertiggestellt, die Netzwerk- Treiber genannt wird. Die Frames werden dann über Ihre Ethernet-Karte von Ihrem Rechner in das Kabel geleitet. Von da reisen sie an ihr Ziel. An diesem Punkt wird der Prozeß umgekehrt durchgeführt: Die Ethernet-Karte des Empfängerrechners teilt dem Betriebssystem mit, daß die Frames angekommen sind, und leitet diese Frames zur Speicherung weiter.

Sniffer stellen ein Sicherheitsrisiko dar aufgrund der Art und Weise, wie Frames übertragen und ausgeliefert werden. Lassen Sie uns diesen Prozeß kurz ansehen.

13.1.2 Pakettransport und -auslieferung

Jedes Netzwerkinterface eines Rechners in einem LAN hat seine eigene Hardwareadresse. Diese einzigartige Adresse unterscheidet den Rechner von allen anderen im Netzwerk (ähnlich wie das Internet-Adreßsystem). Wenn Sie eine Nachricht über das LAN versenden, werden Ihre Pakete an alle verfügbaren Rechner gesandt.

Unter normalen Umständen können alle Rechner des Netzwerks den vorbeigehenden Datenverkehr »hören«, aber sie werden nur auf die Daten reagieren, die ausdrücklich an sie adressiert sind. (Anders gesagt, Workstation A wird nicht die Daten abfangen, die für Workstation B bestimmt sind. Stattdessen wird Workstation A diese Daten ganz einfach ignorieren.)

Wenn das Netzwerk-Interface einer Workstation jedoch in Promiscuous Mode versetzt ist, kann es alle Pakete und Frames des Netzwerks abfangen. Eine derart konfigurierte Workstation (und die Software, die auf ihr läuft) ist ein Sniffer.

13.2 Wie hoch ist das Risiko, das Sniffer darstellen?

Sniffer stellen aus folgenden Gründen ein hohes Risiko dar:

Die pure Existenz eines unautorisierten Sniffers in Ihrem Netzwerk zeigt möglicherweise, daß Ihr System bereits kompromittiert wurde.

13.3 Gab es schon tatsächliche Angriffe durch Sniffer?

Sniffer-Angriffe sind verbreitet, insbesondere im Internet. Ein gutplazierter Sniffer kann nicht nur ein paar Paßwörter abfangen, sondern Tausende. 1994 beispielsweise wurde ein massiver Sniffer-Angriff entdeckt, der ein Marine-Forschungsinstitut veranlaßte, folgenden Hinweis ins Internet zu setzen:

Im Februar 1994 installierte ein Unbekannter einen Netzwerk-Sniffer auf zahlreiche Hosts und Backbone-Elemente und sammelte über das Internet und Milnet mehr als 100.000 gültige Benutzernamen und Paßwörter. Jeder Rechner, der Zugang über FTP, Telnet oder entferntes Login bietet, ist in Gefahr. Alle vernetzten Hosts, auf denen ein Unix-Derivat läuft, sollten auf den besonderen Promiscuous-Gerätetreiber untersucht werden, der es ermöglicht, daß ein Sniffer installiert werden kann.1

Wegweiser:

Sie können sich den Naval Computer and Telecommunications Area Master Station LANT-Hinweis ansehen unter http://www.chips.navy.mil/ chips/archives/94_jul/file14.html.

Der Angriff auf Milnet war so ernst, daß die Angelegenheit vor das Subcommittee on Science, Space, and Technology im amerikanischen Repräsentantenhaus gebracht wurde. F. Lynn McNulty, Associate Director für Computersicherheit im National Institute of Standards and Technology, führte in seiner Zeugenaussage auf:

Der jüngste Zwischenfall betraf die Entdeckung von »Paßwort-Sniffer«-Programmen auf Hunderten von Systemen im Internet. Die ernste Auswirkung dieses Zwischenfalls sollte erkannt werden: Login-Informationen (z.B. Account-Nummern und Paßwörter) für potentiell Tausende von Benutzer-Accounts von Systemhosts wurden wohl gefährdet. Es ist klar, daß dieser Zwischenfall eine negative Wirkung auf die Arbeitsmissionen einiger Regierungsbehörden hatte. Außerdem sollte dies als ein andauernder Zwischenfall angesehen werden und nicht als ein Fall, der passiert und erledigt ist. Tatsächlich wurden Systemadministratoren im ganzen Internet aufgerufen, ihre Benutzer aufzufordern, ihre Paßwörter zu ändern. Der ganze Vorfall ist tatsächlich von großer Bedeutung und wir werden seine Auswirkungen noch für einige Zeit spüren. Es ist nicht nur schwierig, wenn nicht unmöglich, jeden Benutzer zu identifizieren und zu benachrichtigen, dessen Login-Informationen beschädigt sein mögen, sondern es ist auch unwahrscheinlich, daß jeder, selbst wenn er benachrichtigt wurde, sein Paßwort ändern wird.

Wegweiser:

Die vollständige Zeugenaussage von McNulty finden Sie unter http:// www.swiss.ai.mit.edu/6.805/articles/mcnulty-internet-security.txt.

Dieser Angriff ist weltweit als der schlimmste jemals aufgezeichnete (bekanntgewordene) Fall anerkannt, aber nur einige Monate später erfolgte der nächste Angriff. In diesem Fall (der Angriff erfolgte auf Rahul.net) lief ein Sniffer nur 18 Stunden lang und beeinträchtigte die Sicherheit von Hunderten von Hosts. In ihrem Artikel »Sniffing in the Sun: History of a Disaster« berichten Sarah Gordon und I. Nedelchev:

Die Liste enthielt 268 Sites, darunter Hosts des MIT, der amerikanischen Marine und Luftwaffe, von Sun Microsystems, IBM, der NASA, CERFNet und von Universitäten in Kanada, Israel, den Niederlanden, Taiwan und Belgien.

Wegweiser:

Sie finden die Liste der betroffenen Server unter http:// idea.sec.dsi.unimi.it/cert-it/firewall-L/9407/0145.html.

Institutionen und Privatunternehmen sind natürlich nicht bereit zuzugeben, daß ihre Netzwerke beeinträchtigt wurden, daher werden Sniffer-Angriffe in der Regel nicht öffentlich bekannt. Aber es gibt einige Fallstudien im Internet. Hier sind ein paar bekannte Opfer:

Wegweiser:

Weitere Informationen über den Stanislaus-Vorfall finden Sie unter http:// yahi.csustan.edu/studnote.html.

Für weitere Informationen über die anderen beiden Vorfälle schauen Sie sich den GAO-Bericht an unter http://www.securitymanagement.com/ library/000215.html.

13.4 Welche Informationen fangen Sniffer ab?

Sniffer können alle Datenpakete eines Netzwerks abfangen, aber in der Praxis muß ein Angreifer wählerischer sein. Ein Sniffer-Angriff ist nicht so einfach, wie er sich anhört. Er erfordert einiges an Wissen über Netzwerke. Einfach einen Sniffer einzurichten und ihn dann sich selbst zu überlassen, wird zu Problemen führen, da selbst ein Netzwerk mit nur fünf Stationen Tausende von Paketen pro Stunde überträgt. Innerhalb kurzer Zeit könnte die Ausgabedatei eines Sniffers eine Festplatte komplett füllen (wenn Sie jedes Paket protokollieren würden).

Um dieses Problem zu umgehen, wenden Cracker einen Sniffer im allgemeinen nur für die ersten 200 bis 300 Byte eines jeden Datenpakets an. Der Benutzername und das Paßwort sind in diesem Teil enthalten und das ist alles, was die meisten Cracker wollen. Es ist jedoch richtig, daß man einen Sniffer für alle Pakete eines bestimmten Interfaces benutzen kann. Wenn man entsprechende Speichermedien zur Verfügung hat, würde man sicher noch einige weitere interessante Informationen finden.

13.5 Wo kann man einen Sniffer finden?

Sie können fast überall einen Sniffer finden. Es gibt jedoch einige strategische Punkte, die ein Cracker bevorzugen mag. Einer davon liegt in der Nähe eines Rechners oder Netzwerks, der bzw. das viele Paßwörter empfängt. Dies gilt insbesondere dann, wenn der anvisierte Rechner ein Gateway zur Außenwelt ist. Wenn das so ist, wird der Cracker Authentifizierungsprozeduren zwischen Ihrem und anderen Netzwerken abfangen wollen. Dies kann den Aktivitätsradius des Crackers exponential erweitern.

Hinweis:

Ich glaube nicht, daß irgendein Sniffer in der Praxis absolut jeden Verkehr in einem Netzwerk abfangen kann. Das liegt daran, daß die Chance, daß Pakete verloren gehen, größer wird, je größer die Anzahl der versendeten Pakete ist. Wenn Sie sich technische Berichte über Sniffer ansehen, werden Sie feststellen, daß bei hohen Geschwindigkeiten und in Netzwerken mit viel Datenverkehr eine mehr als unbedeutende Datenmenge verloren geht. (Kommerzielle Sniffer, die meist besser gemacht sind, sind für Paketverluste weniger anfällig.) Dies läßt annehmen, daß Sniffer möglicherweise selber anfällig für Attacken sind. Anders gesagt, genau wieviele Pakete kann ein Sniffer annehmen, bevor er in seiner fundamentalen Mission versagt? Das ist ein Thema, das Untersuchungen wert wäre.

Sicherheitstechnologien haben sich erheblich weiterentwickelt. Einige Betriebssysteme benutzen jetzt Verschlüsselung auf Paketebene und daher mag ein Sniffer zwar wichtige Daten abfangen, aber diese Daten sind verschlüsselt. Dies ist eine zusätzliche Hürde, die wahrscheinlich nur von denjenigen überwunden werden kann, die ein tiefergehendes Wissen über Sicherheit, Verschlüsselung und Netzwerke haben.

13.6 Wo kann ich einen Sniffer bekommen?

Sniffer kommen grundsätzlich in zwei Versionen: kommerziell und Freeware. Wenn Sie neu auf dem Gebiet der Netzwerksicherheit sind, empfehle ich Ihnen, sich einen Freeware-Sniffer zu besorgen. Wenn Sie dagegen ein großes Netzwerk verwalten, sollte Ihr Unternehmen mindestens einen kommerziellen Sniffer erwerben. Sie sind unbezahlbar, wenn Sie ein Netzwerkproblem diagnostizieren wollen.

13.6.1 Kommerzielle Sniffer

Die Sniffer in diesem Abschnitt sind kommerziell, aber viele der Unternehmen bieten Demoversionen an.

ATM Sniffer Network Analyzer von Network Associates

ATM Sniffer Internetwork Analyzer entschlüsselt mehr als 250 LAN/WAN-Protokolle, darunter u.a. AppleTalk, Banyan VINES, DECnet, IBM LAN Server, IBM SNA, NetBIOS, Novell NetWare, OSI, Sun NFS, TCP/IP, 3Com 3+Open, X-Window und XNS/MS-net.

Network Associates, Inc.

Tel.: +1-408-988-3832

URL: http://www.networkassociates.com/

Shomiti System Century LAN Analyzer

Der Shomiti System Century LAN Analyzer ist eine strapazierfähige Hardware-/Software- Lösung, die 10/100-Mbps-Ethernet unterstützt. Das System beinhaltet einen 64-Mbyte-Puffer und bietet Echtzeit-Berichterstellung. Diese Lösung ist am besten für große Netzwerke geeignet und läuft auf Windows 95 oder Windows NT.

Shomiti-Systeme, Inc.

Tel.: +1-408-437-3940

E-Mail: mailto:info@shomiti.com

URL: http://www.shomiti.com/

PacketView von Klos Technologies

PacketView ist ein DOS-basierter Paket-Sniffer, der sich ideal für die Benutzung in Ethernet-, Token Ring-, ARCNET- und FDDI-Umgebungen eignet. PacketView ist ein kommerzielles Produkt, das Sie aber vor dem Kauf ausprobieren können. Die Demoversion finden Sie unter ftp://ftp.klos.com/demo/pvdemo.zip.

Klos Technologies, Inc.

Tel.: +1-603-424-8300

Fax: +1-603-424-9300

E-Mail: sales@klos.com

URL: http://www.klos.com/

Network Probe 8000

Network Probe 8000 ist eine proprietäre Hardware-/Softwarelösung für die Protokollanalyse in WANs. Es kann Datenpakete von den folgenden Protokollen abfangen und analysieren: AppleTalk, Banyan, DEC Net, Microsoft, IBM, NFS, Novell, SMB, Sun NFS, TCP/IP, Token Ring/LLC, X-WINDOWS und XNS.

Network Communications

Tel.: +1-800-228-9202

Fax: +1-612-844-0487

E-Mail: dianneb@netcommcorp.com

URL: http://www.netcommcorp.com/

LANWatch

LANWatch ist eine Software-basierte Snifferlösung für DOS, Windows 95 und Windows NT. Es überwacht Pakete von den folgenden Protokollen: TCP, UDP, IP, IPv6, NFS, NetWare, SNA, AppleTalk, VINES, ARP, NetBIOS und etwa 50 weiteren. LANWatch ermöglicht Momentaufnahmen des Netzwerks, wenn auch nicht in Echtzeit. Eine Demoversion finden Sie unter ftp://209.218.15.100/pub/lw32demo.exe.

Precision Guesswork

Tel.: +1-978-887-6570

E-Mail: info@precision.guesswork.com

URL: http://www.guesswork.com/

EtherPeek

EtherPeek (3.5 ist zur Zeit die aktuelle Version) ist sowohl für Windows- als auch für Macintosh-Plattformen verfügbar. Dieses Produkt hat in einer Besprechung in Macworld hervorragend abgeschnitten und ist weitgehend als führender Protokollanalysator für den Macintosh anerkannt. Der einzige Nachteil ist der recht hohe Preis.

The AG Group, Inc.

Tel.: +1-510-937-7900

E-Mail: ricki@aggroup.com

NetMinder Ethernet

NetMinder Ethernet ist ein Macintosh-basierter Protokollanalysator, der einige sehr interessante Funktionen bietet, darunter automatisierte HTML-Ausgabeberichte. Diese Berichte werden in Echtzeit aktualisiert und ermöglichen damit dem Systemadministrator den Zugang zu seinen aktuellen Netzwerkanalysestatistiken von überall in der Welt. (Natürlich bietet die Applikation auch eine Funktion zur Echtzeitanalyse in der Standard-GUI-Umgebung.) Eine Demoversion finden Sie unter http://www.neon.com/demos_goodies.html.

Neon Software

Tel.: +1-800-334-NEON

E-Mail: info@neon.com

URL: http://www.neon.com

DatagLANce Network Analyzer von IBM

DatagLANce ist sowohl für Ethernet- als auch für Token-Ring-Netzwerke und wurde speziell für OS/2 entwickelt. (Meines Wissens nach ist er der einzige Sniffer, der ausdrücklich für OS/2 geschrieben wurde.) DatagLANce kann eine ganze Reihe von Protokollen analysieren, darunter u.a. NetBIOS, IBM LAN Manager, TCP/IP, NFS, IPX/SPX, DECnet, AppleTalk und Banyan VINES. Außerdem verfügt DatagLANce über Funktionen zur Ausgabe von Analysedaten in vielen verschiedenen Formaten.

IBM

Produkt-Nr.: 5622-441, 5622-442, 5622-443

Network Analyzer Development

URL: http://www.redbooks.ibm.com/GX288002/x800206.htm

LinkView Internet Monitor

Der LinkView Internet Monitor unterstützt Token Ring, Ethernet und Fast Ethernet (und 100 Protokolle), ist aber hauptsächlich für die Analyse von Netzwerken im Internet entwickelt. Daher trennt es automatisch IP-Berichtsstatistiken von anderen Protokollstatistiken. LinkView Internet Monitor läuft auf Windows, Windows 3.11, Windows 95 und Windows NT. Eine Demoversion finden Sie unter http://www.wg.com/presentations/linkview/ download_forms/internet_monitor32_form.html.

Wandel & Goltermann, Inc.

URL: http://www.wg.com/

ProConvert

ProConvert ist kein Sniffer, sondern ein wunderbares Tool, um Daten von verschiedenen Sniffern zu integrieren. ProConvert entschlüsselt die Formate von (und bietet universelles Übersetzen zwischen den Formaten von) DatagLANce, Fireberd500, Internet Advisor LAN, LAN900, LANalyzer for Windows, LANdecoder, LANWatch, Precision Guesswork, NetLens, Network Monitor, NetSight, LANDesk und Network General. Er kann ihnen viele, viele Stunden Arbeit ersparen.

Net3 Group, Inc.

Tel.: +1-612-454-5346

E-Mail: sales@net3group.com

URL: http://www.net3group.com/

LANdecoder32

LANdecoder32 ist ein sehr populärer Sniffer, der unter Windows 95 oder Windows NT zum Einsatz kommt. Er bietet fortschrittliche Berichtsmöglichkeiten und kann benutzt werden, um Frame-Inhalte zu analysieren. Andere Funktionen bieten entfernte Überwachung (RMON auf dem entfernten System erforderlich), ASCII-Filtering (Filtern nach Textstrings) und Echtzeitberichterstellung.

Triticom

Tel.: +1-612-937-0772

E-Mail: info@triticom.com

URL: http://www.triticom.com/

NetXRay Analyzer

NetXRay Analyzer ist ein mächtiger Protokollanalysator (Sniffer) und ein Netzwerk-Überwachungstool für Windows NT. Er ist einer der umfassendsten Windows-NT-Sniffer auf dem Markt.

Cinco Networks, Inc.

Tel.: +1-510-426-1770

E-Mail: marketing@ngc.com

URL: http://www.cinco.com/

NetAnt Protocol Analyzer

NetAnt Protocol Analyzer entschlüsselt alle beliebten Protokolle, darunter TCP/IP, IPX/ SPX, NetBIOS, AppleTalk, SNMP, SNA, ISO, BPDU, XNS, IBMNM, RPL, HTTP, FTP, TELNET, DEC, SunRPC und Vines IP. Er läuft auf Windows 95 und exportiert zu populären Tabellenkalkulationsformaten, was sehr bequem für die Analyse ist.

People Network, Inc.

E-Mail: sweston@people-network.com

URL: http://www.people-network.com/

13.6.2 Kostenlose Sniffer

Es gibt auch viele Freeware- und Shareware-Sniffer. Diese sind perfekt, wenn Sie etwas über Netzwerk-Datenverkehr lernen wollen, ohne gleich viel Geld auszugeben. Leider sind manche dieser Sniffer architekturspezifisch, und die meisten von ihnen für Unix entwickelt worden.

sniffit

Mit dem ncurses-orientierten Benutzer-Interface (ncurses erlaubt eine grafische Aufmachung im Textmodus) zählt sniffit wohl zu den komfortabelsten Sniffern in der Unix-Welt. Es hat zudem Konfigurationsmöglichkeiten, die einen Lauf im Hintergrund möglich machen. Sniffit taugt zum Untersuchen von TCP-Verbindungen und auch zur Untersuchung des Inhalts der Verbindung: Sie können etwa den Datenverkehr einer telnet-Sitzung auf einem Ihrer Terminals (etwa ein xterm) betrachten, während auf der belauschten Verbindung gerade jemand seine E-Mail liest. Sniffit läuft auf Linux, Solaris 1 und 2, FreeBSD und IRIX und findet sich unter http://sniffit.rug.ac.be/sniffit/sniffit.html.

Ethereal

Ethereal ist noch sehr neu und hat auch noch eine 0 als Releasenummer. Es hat ein grafisches Benutzer-Interface (gtk+) und bietet eine Reihe nützlicher Funktionen. Einer der Vorzüge: Pakete werden zur späteren Analyse aufgezeichnet. Es ist zu erwarten, daß der Autor in naher Zukunft noch weitere praktische Funktionen in das Programm einbaut. Sie finden es unter http://ethereal.zing.org/.

Esniff

Esniff ist ein Standard-Unix-basierter Auswahlsniffer. Er wurde erstmals im Phrack Magazine (einem Online-Hacker-Zine) freigegeben und ist weit verbreitet. Sie brauchen einen C- Compiler und IP-Include-Dateien, um ihn benutzen zu können. Esniff finden Sie unter

http://www.asmodeus.com/archive/IP_toolz/ESNIFF.C

http://www.rootshell.com/archive-ld8dkslxlxja/199707/Esniff.c

http://www.chaostic.com/filez/exploites/Esniff.c

Gobbler (Tirza van Rijn)

Gobbler ist ein hervorragendes Tool, wenn Sie etwas über Sniffer lernen wollen. Er wurde für die MS-DOS-Plattform entwickelt, läuft aber auch unter Windows 95.

Die Arbeitsweise von Gobbler mag zunächst etwas verwirrend erscheinen. Menüs erscheinen nicht sofort, wenn Sie die Applikation starten, sondern Sie sehen zunächst nur den Eröffnungsbildschirm (siehe Abbildung 13.1). Menüs sind vorhanden, nur ist Gobbler nicht gerade die benutzerfreundlichste Applikation. Drücken Sie die Leertaste und die Menüs tauchen auf.


Abbildung 13.1: Der Eröffnungsbildschirm von Gobbler.

Drücken Sie nach Booten der Applikation die F1-Taste, dann sehen Sie eine Legende, die Informationen über die Funktionen des Programms enthält (s. Abbildung 13.2).

Gobbler kann entweder auf einer einzelnen Workstation zur Analyse von lokalen Paketen oder entfernt über ein Netzwerk eingesetzt werden. Das Programm bietet komplexe Paketfilter-Funktionen und Sie können Warnmeldungen spezifizieren, die auf dem jeweils angetroffenen Pakettypen basieren. Sie können Gobbler auf diese Art und Weise sogar starten und beenden: Er wartet auf einen spezifizierten Pakettypen, bevor er mit der Protokollierung beginnt.

Außerdem bietet Gobbler Echtzeit-Überwachung von Netzwerkverkehr. Er ist ein hervorragendes Tool für die Diagnose von Netzwerkstauungen und die Dokumentation beinhaltet sogar eine Fallstudie. Hier ist ein Auszug aus diesem Papier:

Eine Bridge hatte Probleme, ihre Startup-Sequenz über das bootp-Protokoll zu beenden. Der Gobbler-Paketfänger wurde benutzt, um die Pakete zu und von der Bridge abzufangen. Der Ausgabedatei-Viewer und der Protokollanalysator machten es möglich, die gesamte Startup-Sequenz nachzuvollziehen und der Ursache des Problems auf den Grund zu gehen.2


Abbildung 13.2: Der Hilfebildschirm von Gobbler »Funktionen und Navigation«

Alles in allem ist Gobbler ein großartiges Tool, um etwas über Protokollanalyse zu lernen. Es ist klein, effektiv und, vielleicht das beste von allem, es ist kostenlos. Allerdings ist es möglich, daß Sie keine Dokumentation erhalten, je nachdem wo Sie sich Gobbler besorgen. Die Dokumentation ist eine Postscript-Datei namens Paper.gs. Von den unten angegebenen URLs, unter denen Sie Gobbler finden, liefert nur die erste die Dokumentation.

Wegweiser:

Gobbler ist nicht mehr weit verbreitet und diese Links sind ziemlich weit entfernt, das Herunterladen könnte also etwas länger dauern. Sie finden Gobbler unter

http://www.cse.rmit.edu.au/~rdssc/courses/ds738/watt/other/ gobbler.zip

http://cosmos.ipc.chiba-u.ac.jp/~simizu/ftp.ipc.chiba- u.ac.jp/.0/network/noctools/sniffer/gobbler.zip

ftp://ftp.tordata.se/www/hokum/gobbler.zip

ETHLOAD
(Vyncke, Blondiau, Ghys, Timmermans, Hotterbeex, Khronis und Keunen)

ETHLOAD ist ein Freeware-Paketsniffer, der für Ethernet- und Token-Ring-Netzwerke in C geschrieben wurde. Er läuft gut auf den folgenden Plattformen:

Er analysiert die folgenden Protokolle:

Leider ist der Source-Code nicht mehr öffentlich verfügbar. Dazu der Autor:

Nachdem ich in einigen Mailing-Listen nach Veröffentlichung des Source-Codes auf erheblichen Zorn gestoßen bin und ich die Ängste der Leute auch verstehen kann (auch wenn es überall andere Sniffer gibt), habe ich beschlossen, den Source-Code nicht länger zur Verfügung zu stellen.

ETHLOAD hatte einmal eine Funktion zum Sniffen von rlogin und Telnet-Sessions, allerdings nur über einen speziellen Schlüssel. Mittlerweile verteilt der Autor diesen Schlüssel nur noch, wenn Sie irgendeine Form einer offiziellen Bestätigung zur Verfügung stellen können. Damit hat der Autor also Maßnahmen ergriffen, damit diese Funktion nicht in die falschen Hände gelangen kann.

Für einen kostenlosen Sniffer für eine DOS/Novell-Plattform ist ETHLOAD hervorragend.

Wegweiser:

Hier einige Sites, die ETHLOAD anbieten:

http://www.med.ucalgary.ca:70/5/ftp/dos/dos/ethld104.zip

http://www.computercraft.com/noprogs/ethld104.zip

http://www.apricot.co.uk/ftp/bbs/atsbbs/allfiles.htm

Netman (Schulze, Benko und Farrell)

Netman unterscheidet sich insofern von ETHLOAD, als daß Sie den Source-Code bekommen können, allerdings ist das recht kompliziert. Sie müssen dafür bezahlen, und das Entwicklungsteam besteht darauf, daß der Source-Code nicht für kommerzielle Zwecke benutzt werden darf.

Das Team der Curtin University hat im Rahmen des Netman-Projekts eine ganze Familie von Applikationen entwickelt:

Etherman verfolgt Ethernet-Aktivitäten, ist aber kein gewöhnlicher ASCII-to-Outfile- Paketsniffer. Etherman verfolgt einen völlig neuen Ansatz, der sich komplett von dem seiner Gegenstücke unterscheidet. In der Dokumentation heißt es:

Für dieses Projekt versuchten wir, die Ziele zu erweitern, indem wir Netzwerk-Daten visualisieren. Dies haben wir durch den Einsatz eines grafischen Modells für eine Sammlung von kontinuierlich aktualisierten Netzwerkstatistiken erreicht.

Ihren Ansprüchen gerecht werdend haben die Autoren ein außergewöhnliches Tool entwikkelt. Das Programm präsentiert einen schwarzen Bildschirm, auf dem Adressen, Datenverkehr und Interfaces als Punkte innerhalb des Netzwerks gekennzeichnet sind - Verbindungspunkte oder Datenfluß zwischen diesen Punkten sind rot dargestellt. Dieses genaue grafische Modell wird in Echtzeit aktualisiert. Die NetMan-Programmfamilie ist sehr mächtig und ist jetzt auch auf Windows portiert worden. Ich kann sie sehr empfehlen.

Wegweiser:

Das Netman-Projekt hatte großen Erfolg und die Autoren leiten jetzt ein kommerzielles Unternehmen, das Sie unter der folgenden Adresse finden: http://www.ndg.com.au/

LinSniff

LinSniff ist ein Paßwort-Sniffer. Um ihn zu kompilieren, brauchen Sie alle notwendigen Netzwerk-Include-Dateien (tcp.h, ip.h, inet.h, if-ther.h usw.) auf einem Linux- System. LinSniff finden Sie unter

http://www.rootshell.com/archive-ld8dkslxlxja/199804/linsniff.c.

Sunsniff

Sunsniff ist ebenfalls speziell für die SunOS-Plattform entwickelt worden. Es besteht aus 513 Zeilen C-Source-Code, die von Crackern geschrieben wurden, die anonym bleiben wollen. Es funktioniert einigermaßen gut auf Sun und ist wahrscheinlich nicht leicht auf andere Plattformen portierbar. Dieses Programm eignet sich gut zum Experimentieren.

Wegweiser:

Sunsniff finden Sie unter:

http://www.7thsphere.com/hpvac/files/hacking/sunsniff.c

http://www.zerawarez.com/main/files/csource/sunsniff.c

http://www.jabukie.com/Unix_Sourcez/sunsniff.c

linux_sniffer.c

Der Name dieses Programms sagt schon fast alles. Es besteht aus 175 Zeilen C-Code und wird hauptsächlich über Cracker-Sites im Internet verteilt. Dieses Programm ist Linux-spezifisch. Es ist ein weiteres Utility, das sich gut für Experimente an einem verregneten Sonntagnachmittag eignet. Es stellt einen kostenlosen und einfachen Weg dar, etwas über Netzwerkverkehr zu lernen.

Wegweiser:

Linux_sniffer.c finden Sie unter:

http://www.rootshell.com/archive-ld8dkslxlxja/199707/ linux_sniffer.c

http://www.society-of-shadows.com/security/linux_sniffer.c

http://www.asmodeus.com/archive/linux/linsniffer.c

13.7 Abwehren von Sniffer-Angriffen

Da Sie jetzt wissen, wie Sniffer arbeiten, und verstehen, daß sie eine Gefahr darstellen, fragen Sie sich bestimmt, wie man sich gegen Sniffer-Angriffe wehren kann. Leider gibt es nun eine schlechte Nachricht: Die Abwehr von Sniffer-Angriffen ist nicht leicht. Sie können zwei Methoden benutzen:

Lassen Sie uns kurz die Vor- und Nachteile beider Methoden ansehen.

13.7.1 Sniffer aufdecken und beseitigen

Sniffer sind extrem schwer zu entdecken, weil sie passive Programme sind. Sie hinterlassen keine Auditing-Spuren und, wenn ihre Autoren nicht gerade sehr dumm sind (und den kompletten Datenverkehr »sniffen« statt nur der ersten x-Anzahl von Bytes pro Verbindung), belegen sie nur wenige Netzwerkressourcen.

Auf einem einzelnen Rechner ist es theoretisch machbar, einen Sniffer zu finden. Zum Beispiel könnten Sie hierfür MD5 einsetzen, vorausgesetzt, Sie haben eine gute Datenbank der Original-Installationsdateien (oder eine laufende Datenbank von installierten Dateien). Wenn Sie MD5 benutzen und nach Prüfsummen suchen wollen, sollten Sie sich md5check besorgen, ein AWK-Script, das den Prozeß automatisiert. md5check wurde ursprünglich vom CERT verteilt und arbeitet gut unter SunOS. md5check finden Sie unter:

http://bbs-koi.uniinc.msk.ru/ftp/pub/networking/security/CERT/tools/ md5check/

Sicher ist das Suchen über Prüfsummen auf einem einzelnen Rechner effektiv genug. In einem großen Netzwerk jedoch ist das Aufspüren eines Sniffers sehr schwer. Es gibt jedoch mindestens vier Tools, die helfen können - wenn Sie die richtige Netzwerkarchitektur haben.

Das Problem ist, daß diese Tools nur auf SunOs oder Solaris funktionieren. Einen Sniffer in heterogenen Netzwerken zu entdecken, ist noch schwieriger - d.h. schwieriger, wenn Sie nicht jeden Rechner einzeln manuell überprüfen wollen. Nehmen wir z.B. an, Ihr Netzwerk besteht nur aus AIX-Systemen. Nehmen wir weiterhin an, daß jemand in ein leeres Büro geht, einen RS/6000 abtrennt und einen PC-Laptop anschließt. Dieser wird als Sniffer eingesetzt. Dies ist schwer aufzudecken, außer wenn Sie Netzwerktopologiekarten (Tools, die jede Änderung in der Netzwerktopologie anzeigen) benutzen und sie täglich überprüfen. Ansonsten erscheint das Netzwerk wie immer, es gibt keinerlei Hinweise, daß etwas nicht stimmt. Schließlich hat der PC die gleiche IP-Adresse wie der RS/6000 sie hatte. Außer wenn Sie täglich Überprüfungen durchführen, würden Sie den PC wahrscheinlich niemals entdecken.

Noch schlimmer, Eindringlinge können physische Einrichtungen als Sniffer anbinden, z.B. über eine Spleißung an für das bloße Auge nicht erkennbaren Punkten. Ich habe Büros gesehen, in denen die Koaxialkabel an der Decke entlang verlegt sind. Dies würde jedem in einem benachbarten Büro ermöglichen, das Kabel anzuzapfen und sich selbst anzuschließen. Es gibt keinen einfachen Weg, eine solche Manipulation an einem Kabel zu entdecken, außer man überprüft physisch jedes einzelne Kabel des gesamten Netzwerks. Obwohl auch hier Netzwerktopologiekarten wieder warnen würden, daß eine zusätzliche IP-Adresse an das Netzwerk angeschlossen wurde. Leider können sich die meisten kleinen Unternehmen aber solche Tools nicht leisten.

Hinweis:

Wenn Sie wirklich glauben, daß sich jemand seinen Weg in Ihr Netzwerk über die Kabel erschlichen hat, können Sie sich Tools besorgen, die das überprüfen. Eines dieser Tools ist der Time Domain Reflector (TDR), der die Ausbreitung oder Fluktuation von elektromagnetischen Wellen mißt. Ein an Ihr LAN angeschlossener TDR wird unautorisierte Parteien aufdecken, die Daten aus Ihrem Netzwerk saugen. Hewlett Packard stellt einen TDR her, Sie finden ihn unter http://www.tmo.hp.com/tmo/pia/infinium/PIATop/datasheets/English/HP8147.html .

Alles in allem sind diese proaktiven Lösungen schwierig und teuer. Stattdessen sollten Sie lieber defensive Maßnahmen ergreifen. Es gibt hauptsächlich zwei Abwehrmaßnahmen für Sniffer:

13.7.2 Sichere Netzwerktopologie

Sniffer können Daten nur auf dem augenblicklichen Netzwerksegment abfangen. Das heißt, je straffer die Bereiche in Ihrem Netzwerk gefaßt sind, um so weniger Informationen kann ein Sniffer abfangen. Leider kann diese Lösung recht teuer werden. Bereichsbildung erfordert teure Hardware. Es gibt drei Netzwerk-Interfaces, die ein Sniffer nicht überqueren kann:

Sie können straffere Netzwerksegmente schaffen, wenn Sie diese Geräte strategisch stellen. Vielleicht können Sie einen Bereich mit 20 Workstations bilden, dies scheint eine sinnvolle Anzahl zu sein. Einmal monatlich können Sie dann jedes Segment überprüfen (und vielleicht können Sie auch einmal monatlich MD5-Überprüfungen auf zufällig gewählten Segmenten ausführen).

Hinweis:

Es gibt auch einige »intelligente Hub-Systeme« auf dem Markt, die weniger kosten als die meisten Router. Einige dieser Geräte führen Netzwerksegmentierungen aus. Ich würde Ihnen jedoch empfehlen, den entsprechenden Hersteller eingehend nach Sniffer-Angriffen zu befragen. Einige intelligente Hubsysteme führen keine traditionelle Segmentierung durch und ermöglichen damit vielleicht Angriffe auf andere Segmente. Andere Hubs bemerken sogar anhand der veränderten Hardwareadresse eines Anschlusses, daß sich jemand auf dem Netz eingeklinkt hat, und sperren daraufhin den betreffenden Anschluß. Sniffen ist dank switching oder scrambling der Datenpakete für Anschlüsse, an denen Rechner sitzen, für deren Interfaces die Pakete nicht bestimmt sind, nicht möglich. Diese Netzwerkkomponenten werden oft »Security-Hubs« genannt.

Netzwerksegmentierung ist nur für kleinere Netzwerke praktisch. Wenn Sie mehr als 500 Workstations in mehr als 50 Abteilungen haben, wird eine vollständige Segmentierung wahrscheinlich unerschwinglich. (Auch wenn es ein Budget für Sicherheitsmaßnahmen gibt, werden Sie Verwaltungsangestellte wohl kaum überzeugen können, daß Sie 50 Hardware- Geräte brauchen, nur um einen Sniffer abzuwehren.) Im diesem Fall sind verschlüsselte Arbeitssitzungen die bessere Lösung.

13.7.3 Verschlüsselte Arbeitssitzungen

Verschlüsselte Arbeitssitzungen stellen eine weitere Lösung dar. Statt sich darüber Sorgen zu machen, daß Daten abgefangen werden, verschlüsseln Sie sie einfach bis zur Unkenntlichkeit. Die Vorteile dieser Methode liegen auf der Hand: Selbst wenn es einem Angreifer gelingt, Daten abzufangen, wird er mit ihnen nichts anfangen können. Die Nachteile sind jedoch schwerwiegend.

Es gibt zwei hauptsächliche Probleme in punkto Verschlüsselung; eines ist ein technisches, das andere ein menschliches Problem.

Die technischen Fragen sind, ob die Verschlüsselung stark genug ist und ob sie unterstützt wird. Zum Beispiel ist eine 40-Bit-Verschlüsselung möglicherweise nicht ausreichend und nicht alle Applikationen bieten integrierte Verschlüsselungsunterstützung. Außerdem sind Plattform-übergreifende Verschlüsselungslösungen selten und in der Regel nur in spezialisierten Applikationen verfügbar.

Das menschliche Problem liegt darin, daß Benutzer sich möglicherweise gegen die Anwendung von Verschlüsselung wehren. Sie finden sie vielleicht lästig. (Können Sie sich beispielsweise vorstellen, daß Macintosh-Anwender jedesmal S/Key benutzen, wenn sie sich in einen Server einloggen? Diese Leute sind Benutzerfreundlichkeit gewöhnt und wollen nicht für jede neue Arbeitssitzung erst ein Einmal-Paßwort generieren müssen.) Benutzer mögen anfänglich derartigen Richtlinien zustimmen, halten sich dann aber nur selten daran.

Kurz, Sie müssen ein freundliches Medium finden - Applikationen, die starke, bidirektionale Verschlüsselung und auch wenigstens etwas Benutzerfreundlichkeit bieten. Deshalb mag ich Secure Shell.

Secure Shell (SSH) bietet sichere Kommunikation für Applikationsumgebungen wie Telnet. SSH ist an Port 22 angebunden und Verbindungen werden über RSA hergestellt. Jeglicher Datenverkehr wird nach erfolgter Authentifizierung mit IDEA verschlüsselt. Dies ist eine starke Verschlüsselung, die sich für jede nicht geheime, nicht klassifizierte Art von Kommunikation eignet.

Secure Shell ist ein Paradebeispiel für eine Applikation, die sowohl Benutzer- als auch administrative Standards vereint.

Es gibt sowohl kostenlose als auch kommerzielle Versionen von SSH und F-SSH. Die kostenlose Version ist ein Unix-Utility, kommerzielle Versionen sind für Windows 3.11, Windows 95 und Windows NT erhältlich. Schauen Sie sich Secure Shell an unter:

http://www.cs.hut.fi/ssh/

13.8 Zusammenfassung

Sniffer stellen ein bedeutendes Sicherheitsrisiko dar, hauptsächlich, weil sie nicht leicht zu entdecken sind. Sie können enorm davon profitieren, wenn Sie lernen, wie man einen Sniffer benutzt, und wenn Sie verstehen, wie andere einen Sniffer gegen Sie einsetzen können. Und schließlich sei noch gesagt, daß die besten Abwehrmaßnahmen gegen Sniffer eine sichere Netzwerktopologie und starke Verschlüsselung sind.

13.9 Weitere Informationen über Sniffer

Die folgenden Dokumente (viele von ihnen finden Sie online) bieten weitere Informationen über Sniffer und die Bedrohung, die sie darstellen:

The Sniffer FAQ. (Christopher Klaus) http://www.netsys.com/firewalls/firewalls- 9502/0320.html

Tik-76.115 Functional Specification. (Spezifizierung für eine Sniffer-Applikation, die für die Visualisierung von TCP/IP-Datenverkehr benutzt wird) http://www.niksula.cs.hut.fi/ projects/ohtsniff/LT/FM_4.0.html

Sniffers and Spoofers. (Artikel aus Internet World.) http://www.internetworld.com/ print/monthly/1995/12/webwatch.html

Network Protocol Analyzers: A Window To The WAN. (Artikel von Wayne C. Baird) http:/ /128.230.92.5/720/rev1.html

SNOOP: The Executable. (Paketsniffer-Forschungsprojekt von Brendan D. Donahe und Jerome C. Parks) http://rever.nmsu.edu/~jerparks/EE/ee464/snoop/

Computer Hacker Charged With Credit Card Theft. (Fall, in dem ein Cracker einen Sniffer benutzte, um Kreditkartennummern abzufangen. ZDNET) http://www5.zdnet.com/ zdnn/content/zdnn/0523/zdnn0012.html

Privacy and Security on the Internet. (Lawrence E. Widman, M. D., Ph. D., University of Texas Health Science Center) http://www.med-edu.com/internet-security.html



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel


1

Naval Computer and Telecommunications Area Master Station LANTadvisern

2

T.v. Rijn und J.V. Oorschot, The Gobbler, An Ethernet Troubleshooter/Protocol Analyzer. 29. November 1991. Technische Universtität Delft, Fachbereich Electrical Engineering, Niederlande.

Markt+Technik, ein Imprint der Pearson Education Deutschland GmbH.

Elektronische Fassung des Titels: hacker's guide, ISBN: 3-8272-5460-4