Besuchen Sie jetzt unseren Online Shop www.tos.mynetcologne.de ..::..::..::..::..Schauen Sie mal unsere Service Produkte und unsere Service Angebote an es LOHNT sich.... ..::..::..::..::..

Sniffer

Sniffer sind Geräte oder Programme, die Netzwerk-Datenpakete abfangen. Ihr legitimer Zweck ist die Analyse von Netzwerkverkehr und die Identifizierung von potentiellen Gefahrenbereichen. Nehmen Sie beispielsweise an, dass ein Segment Ihres Netzwerks schlecht funktioniert: die Paketübertragung scheint unglaublich langsam oder Rechner blockieren plötzlich beim Booten des Netzwerks. Sie benutzen einen Sniffer, um die genaue Ursache zu bestimmen.

Sniffer unterscheiden sich erheblich in Funktionalität und Design. Einige analysieren nur ein Protokoll, während andere Hunderte analysieren können. Generell können die meisten modernen Sniffer mindestens eines der folgenden Protokolle analysieren:

• Standard Ethernet 
• TCP/IP 
• IPX 
• DECNet

Sniffer bestehen immer aus einer Kombination von Hardware und Software. Proprietäre Sniffer sind teuer (Anbieter packen sie in der Regel in spezielle Computer, die für den Sniffer- Prozess »optimiert« sind). Freeware- Sniffer dagegen sind billig, beinhalten aber keine Supportleistungen.

In diesem Kapitel werden Sniffer sowohl als Sicherheitsrisiken als auch als Netzwerk-Administrationstools betrachtet.

Sniffer= Sicherheitsrisiko

Sniffer unterscheiden sich erheblich von Tastaturanschlag-Recordern. Tastaturanschlag- Recorder fangen Tastaturanschläge ab, die an einem Terminal eingegeben werden. Sniffer dagegen fangen ganze Netzwerk-Pakete ab. Sniffer tun dies, indem sie das Netzwerk-Interface - also etwa den Ethernet-Adapter - in Promiscuous Mode (ein Modus, bei dem alle Pakete zur Weiterverarbeitung empfangen und erst nach Auswertung der Kontrollinformationen entweder geroutet oder gebridged werden) versetzen.

Um den Begriff Promiscuous Mode zu verstehen, brauchen Sie einen kurzen Einblick in die Funktionsweise eines kleinen lokalen Netzwerks.

LANs und Datenverkehr

Lokale Netze (LANs) sind kleine Netzwerke, die (in der Regel) über Ethernet verbunden sind. Daten werden über Kabel von einem Rechner zum anderen übertragen. Es gibt verschiedene Kabeltypen und diese Typen übermitteln Daten mit unterschiedlicher Geschwindigkeit. Die fünf üblichsten Netzwerkkabeltypen sind die folgenden:

10Base2. Koaxial-Ethernet (dünnes Kabel), das Daten standardmäßig über Entfernungen bis zu 185 Meter überträgt.

10Base5. Koaxial-Ethernet (dickes Kabel), das Daten standardmäßig über Entfernungen bis zu 500 Meter überträgt.

10BaseFL. Glasfaser-Ethernet.

10BaseT. Twisted-Pair- Ethernet, das Daten standardmäßig über Entfernungen bis zu 185 Meter überträgt.

100BaseT. Fast Ethernet (100Mbps), das Daten standardmäßig über Entfernungen bis zu 100 Meter überträgt.

Daten reisen in kleinen Einheiten namens Frames durch das Kabel. Diese Frames sind in Abschnitten aufgebaut und jeder Abschnitt trägt spezialisierte Informationen. (Zum Beispiel beinhalten die ersten 12 Byte eines Ethernet- Frames sowohl die Empfänger- als auch die Absenderadresse. Diese Werte sagen dem Netzwerk, woher die Daten kommen und wohin sie gehen. Andere Teile des Ethernet- Frames beinhalten die eigentlichen Benutzerdaten, TCP/ IP- Header, IPX- Header usw.)

Frames werden mit Hilfe spezieller Software für den Transport fertiggestellt, die Netzwerk- Treiber genannt wird. Die Frames werden dann über Ihre Ethernet-Karte von Ihrem Rechner in das Kabel geleitet. Von da reisen sie an ihr Ziel. An diesem Punkt wird der Prozess umgekehrt durchgeführt: Die Ethernet-Karte des Empfängerrechners teilt dem Betriebssystem mit, dass die Frames angekommen sind, und leitet diese Frames zur Speicherung weiter.

Sniffer stellen ein Sicherheitsrisiko dar aufgrund der Art und Weise, wie Frames übertragen und ausgeliefert werden. Lassen Sie uns diesen Prozess kurz ansehen.

Pakettransport und -auslieferung

Jedes Netzwerkinterface eines Rechners in einem LAN hat seine eigene Hardwareadresse. Diese einzigartige Adresse unterscheidet den Rechner von allen anderen im Netzwerk (ähnlich wie das Internet- Adresssystem). Wenn Sie eine Nachricht über das LAN versenden, werden Ihre Pakete an alle verfügbaren Rechner gesandt.

Unter normalen Umständen können alle Rechner des Netzwerks den vorbeigehenden Datenverkehr »hören«, aber sie werden nur auf die Daten reagieren, die ausdrücklich an sie adressiert sind. (Anders gesagt, Workstation A wird nicht die Daten abfangen, die für Workstation B bestimmt sind. Stattdessen wird Workstation A diese Daten ganz einfach ignorieren.)

Wenn das Netzwerk-Interface einer Workstation jedoch in Promiscuous Mode versetzt ist, kann es alle Pakete und Frames des Netzwerks abfangen. Eine derart konfigurierte Workstation (und die Software, die auf ihr läuft) ist ein Sniffer.

Wie hoch ist das Risiko, von Sniffern?

Sniffer stellen aus folgenden Gründen ein hohes Risiko dar:

• Sniffer können Passwörter abfangen. 
• Sniffer können vertrauliche oder proprietäre Informationen abfangen. 
• Sniffer können dazu benutzt werden, Sicherheitsmaßnahmen angrenzender Netzwerke zu durchbrechen oder einflussnehmenden Zugang zu erhalten.

Die pure Existenz eines unautorisierten Sniffers in Ihrem Netzwerk zeigt möglicherweise, dass Ihr System bereits kompromittiert wurde.

Gibt es Angriffe durch Sniffer?

Sniffer- Angriffe sind verbreitet, insbesondere im Internet. Ein gut plazierter Sniffer kann nicht nur ein paar Passwörter abfangen, sondern Tausende. 1994 beispielsweise wurde ein massiver Sniffer- Angriff entdeckt, der ein Marine-Forschungsinstitut veranlasste, folgenden Hinweis ins Internet zu setzen:

Im Februar 1994 installierte ein Unbekannter einen Netzwerk- Sniffer auf zahlreiche Hosts und Backbone- Elemente und sammelte über das Internet und Milnet mehr als 100.000 gültige Benutzernamen und Passwörter. Jeder Rechner, der Zugang über FTP, Telnet oder entferntes Login bietet, ist in Gefahr. Alle vernetzten Hosts, auf denen ein Unix-Derivat läuft, sollten auf den besonderen Promiscuous- Gerätetreiber untersucht werden, der es ermöglicht, dass ein Sniffer installiert werden kann.

Der Angriff auf Milnet war so ernst, dass die Angelegenheit vor das Subcommittee on Science, Space, and Technology im amerikanischen Repräsentantenhaus gebracht wurde. F. Lynn McNulty, Associate Director für Computersicherheit im National Institute of Standards and Technology, führte in seiner Zeugenaussage auf:

Der jüngste Zwischenfall betraf die Entdeckung von »Passwort- Sniffer«- Programmen auf Hunderten von Systemen im Internet. Die ernste Auswirkung dieses Zwischenfalls sollte erkannt werden: Login- Informationen (z.B. Account- Nummern und Passwörter) für potentiell Tausende von Benutzer- Accounts von Systemhosts wurden wohl gefährdet. Es ist klar, dass dieser Zwischenfall eine negative Wirkung auf die Arbeitsmissionen einiger Regierungsbehörden hatte. Außerdem sollte dies als ein andauernder Zwischenfall angesehen werden und nicht als ein Fall, der passiert und erledigt ist. Tatsächlich wurden Systemadministratoren im ganzen Internet aufgerufen, ihre Benutzer aufzufordern, ihre Passwörter zu ändern. Der ganze Vorfall ist tatsächlich von großer Bedeutung und wir werden seine Auswirkungen noch für einige Zeit spüren. Es ist nicht nur schwierig, wenn nicht unmöglich, jeden Benutzer zu identifizieren und zu benachrichtigen, dessen Login- Informationen beschädigt sein mögen, sondern es ist auch unwahrscheinlich, dass jeder, selbst wenn er benachrichtigt wurde, sein Passwort ändern wird.

Dieser Angriff ist weltweit als der schlimmste jemals aufgezeichnete Fall anerkannt, aber nur einige Monate später erfolgte der nächste Angriff. In diesem Fall (der Angriff erfolgte auf Rahul.net) lief ein Sniffer nur 18 Stunden lang und beeinträchtigte die Sicherheit von Hunderten von Hosts. In ihrem Artikel »Sniffing in the Sun: History of a Disaster« berichten Sarah Gordon und I. Nedelchev:

Die Liste enthielt 268 Sites, darunter Hosts des MIT, der amerikanischen Marine und Luftwaffe, von Sun Microsystems, IBM, der NASA, CERFNet und von Universitäten in Kanada, Israel, den Niederlanden, Taiwan und Belgien.

Institutionen und Privatunternehmen sind natürlich nicht bereit zuzugeben, dass ihre Netzwerke beeinträchtigt wurden, daher werden Sniffer- Angriffe in der Regel nicht öffentlich bekannt. Aber es gibt einige Fallstudien im Internet. Hier sind ein paar bekannte Opfer:

• California State University in Stanislaus 
• Ein Waffenforschungslabor der amerikanischen Armee 
• White Sands Missile Range

Was fangen Sniffer ab?

Sniffer können alle Datenpakete eines Netzwerks abfangen, aber in der Praxis muss ein Angreifer wählerischer sein. Ein Sniffer- Angriff ist nicht so einfach, wie er sich anhört. Er erfordert einiges an Wissen über Netzwerke. Einfach einen Sniffer einzurichten und ihn dann sich selbst zu überlassen, wird zu Problemen führen, da selbst ein Netzwerk mit nur fünf Stationen Tausende von Paketen pro Stunde überträgt. Innerhalb kurzer Zeit könnte die Ausgabedatei eines Sniffers eine Festplatte komplett füllen (wenn Sie jedes Paket protokollieren würden).

Um dieses Problem zu umgehen, wenden Cracker einen Sniffer im allgemeinen nur für die ersten 200 bis 300 Byte eines jeden Datenpakets an. Der Benutzername und das Passwort sind in diesem Teil enthalten und das ist alles, was die meisten Cracker wollen. Es ist jedoch richtig, dass man einen Sniffer für alle Pakete eines bestimmten Interfaces benutzen kann. Wenn man entsprechende Speichermedien zur Verfügung hat, würde man sicher noch einige weitere interessante Informationen finden.

Wo findet man Sniffer?

Sie können fast überall einen Sniffer finden. Es gibt jedoch einige strategische Punkte, die ein Cracker bevorzugen mag. Einer davon liegt in der Nähe eines Rechners oder Netzwerks, der bzw. das viele Passwörter empfängt. Dies gilt insbesondere dann, wenn der anvisierte Rechner ein Gateway zur Außenwelt ist. Wenn das so ist, wird der Cracker Authentifizierungsprozeduren zwischen Ihrem und anderen Netzwerken abfangen wollen. Dies kann den Aktivitätsradius des Crackers exponential erweitern.

Tipp:

Sicherheitstechnologien haben sich erheblich weiterentwickelt. Einige Betriebssysteme benutzen jetzt Verschlüsselung auf Paketebene und daher mag ein Sniffer zwar wichtige Daten abfangen, aber diese Daten sind verschlüsselt. Dies ist eine zusätzliche Hürde, die wahrscheinlich nur von denjenigen überwunden werden kann, die ein Tiefergehendes Wissen über Sicherheit, Verschlüsselung und Netzwerke haben.

Woher bekomme ich einen Sniffer?

Sniffer kommen grundsätzlich in zwei Versionen: kommerziell und Freeware. Wenn Sie neu auf dem Gebiet der Netzwerksicherheit sind, empfehle ich Ihnen, sich einen Freeware- Sniffer zu besorgen. Wenn Sie dagegen ein großes Netzwerk verwalten, sollte Ihr Unternehmen mindestens einen kommerziellen Sniffer erwerben. Sie sind unbezahlbar, wenn Sie ein Netzwerkproblem diagnostizieren wollen.

Kommerzielle Sniffer

Die Sniffer in diesem Abschnitt sind kommerziell, aber viele der Unternehmen bieten Demoversionen an.

ATM Sniffer Network Analyzer von Network Associates

ATM Sniffer Internetwork Analyzer entschlüsselt mehr als 250 LAN/ WAN- Protokolle, darunter u.a. AppleTalk, Banyan VINES, DECnet, IBM LAN Server, IBM SNA, NetBIOS, Novell NetWare, OSI, Sun NFS, TCP/IP, 3Com 3+Open, X-Window und XNS/MS-net.

Network Associates, Inc.

Shomiti System Century LAN Analyzer

Der Shomiti System Century LAN Analyzer ist eine strapazierfähige Hardware-/Software- Lösung, die 10/100-Mbps-Ethernet unterstützt. Das System beinhaltet einen 64-Mbyte-Puffer und bietet Echtzeit-Berichterstellung. Diese Lösung ist am besten für große Netzwerke geeignet und läuft auf Windows 95 oder Windows NT.

Shomiti- Systeme, Inc.

PacketView von Klos Technologies

PacketView ist ein DOS-basierter Paket- Sniffer, der sich ideal für die Benutzung in Ethernet-, Token Ring-, ARCNET- und FDDI- Umgebungen eignet. PacketView ist ein kommerzielles Produkt, das Sie aber vor dem Kauf ausprobieren können.

Klos Technologies, Inc.
Tel.: +1-603-424-8300
Fax: +1-603-424-9300
E-Mail: sales@klos.com 
Network Probe 8000

Network Probe 8000 ist eine Proprietäre Hardware-/Softwarelösung für die Protokollanalyse in WANs. Es kann Datenpakete von den folgenden Protokollen abfangen und analysieren: AppleTalk, Banyan, DEC Net, Microsoft, IBM, NFS, Novell, SMB, Sun NFS, TCP/IP, Token Ring/LLC, X-WINDOWS und XNS.

Network Communications

LANWatch

LANWatch ist eine Software-basierte Snifferlösung für DOS, Windows 95 und Windows NT. Es überwacht Pakete von den folgenden Protokollen: TCP, UDP, IP, IPv6, NFS, NetWare, SNA, AppleTalk, VINES, ARP, NetBIOS und etwa 50 weiteren. LANWatch ermöglicht Momentaufnahmen des Netzwerks, wenn auch nicht in Echtzeit. Eine Demoversion finden Sie unter ftp://209.218.15.100/pub/lw32demo.exe.

Precision Guesswork

EtherPeek

EtherPeek (3.5 ist zur Zeit die aktuelle Version) ist sowohl für Windows- als auch für Macintosh-Plattformen verfügbar. Dieses Produkt hat in einer Besprechung in Macworld hervorragend abgeschnitten und ist weitgehend als führender Protokollanalysator für den Macintosh anerkannt. Der einzige Nachteil ist der recht hohe Preis.

The AG Group, Inc.

NetMinder Ethernet

NetMinder Ethernet ist ein Macintosh- basierter Protokollanalysator, der einige sehr interessante Funktionen bietet, darunter automatisierte HTML-Ausgabeberichte. Diese Berichte werden in Echtzeit aktualisiert und ermöglichen damit dem Systemadministrator den Zugang zu seinen aktuellen Netzwerkanalysestatistiken von überall in der Welt. (Natürlich bietet die Applikation auch eine Funktion zur Echtzeitanalyse in der Standard-GUI- Umgebung.)

Neon Software

DatagLANce Network Analyzer von IBM

DatagLANce ist sowohl für Ethernet- als auch für Token-Ring- Netzwerke und wurde speziell für OS/2 entwickelt. (Meines Wissens nach ist er der einzige Sniffer, der ausdrücklich für OS/2 geschrieben wurde.) DatagLANce kann eine ganze Reihe von Protokollen analysieren, darunter u.a. NetBIOS, IBM LAN Manager, TCP/IP, NFS, IPX/SPX, DECnet, AppleTalk und Banyan VINES. Außerdem verfügt DatagLANce über Funktionen zur Ausgabe von Analysedaten in vielen verschiedenen Formaten.

IBM

Produkt-Nr.: 5622-441, 5622-442, 5622-443

Network Analyzer Development

LinkView Internet Monitor

Der LinkView Internet Monitor unterstützt Token Ring, Ethernet und Fast Ethernet (und 100 Protokolle), ist aber hauptsächlich für die Analyse von Netzwerken im Internet entwickelt. Daher trennt es automatisch IP- Berichtsstatistiken von anderen Protokollstatistiken. LinkView Internet Monitor läuft auf Windows, Windows 3.11, Windows 95 und Windows NT.

Wandel & Goltermann, Inc.

ProConvert

ProConvert ist kein Sniffer, sondern ein wunderbares Tool, um Daten von verschiedenen Sniffern zu integrieren. ProConvert entschlüsselt die Formate von (und bietet universelles Übersetzen zwischen den Formaten von) DatagLANce, Fireberd500, Internet Advisor LAN, LAN900, LANalyzer for Windows, LANdecoder, LANWatch, Precision Guesswork, NetLens, Network Monitor, NetSight, LANDesk und Network General. Er kann ihnen viele, viele Stunden Arbeit ersparen.

Net3 Group, Inc.

LANdecoder32

LANdecoder32 ist ein sehr populärer Sniffer, der unter Windows 95 oder Windows NT zum Einsatz kommt. Er bietet fortschrittliche Berichtsmöglichkeiten und kann benutzt werden, um Frame- Inhalte zu analysieren. Andere Funktionen bieten entfernte Überwachung (RMON auf dem entfernten System erforderlich), ASCII- Filtering (Filtern nach Textstrings) und Echtzeitberichterstellung.

Triticom

NetXRay Analyzer

NetXRay Analyzer ist ein mächtiger Protokollanalysator (Sniffer) und ein Netzwerk-Überwachungstool für Windows NT. Er ist einer der umfassendsten Windows-NT- Sniffer auf dem Markt.

Cinco Networks, Inc.

NetAnt Protocol Analyzer

NetAnt Protocol Analyzer entschlüsselt alle beliebten Protokolle, darunter TCP/IP, IPX/ SPX, NetBIOS, AppleTalk, SNMP, SNA, ISO, BPDU, XNS, IBMNM, RPL, HTTP, FTP, TELNET, DEC, SunRPC und Vines IP. Er läuft auf Windows 95 und exportiert zu populären Tabellenkalkulationsformaten, was sehr bequem für die Analyse ist.

People Network, Inc.

Kostenlose Sniffer

Es gibt auch viele Freeware- und Shareware- Sniffer. Diese sind perfekt, wenn Sie etwas über Netzwerk-Datenverkehr lernen wollen, ohne gleich viel Geld auszugeben. Leider sind manche dieser Sniffer architekturspezifisch, und die meisten von ihnen für Unix entwickelt worden.

sniffit

Mit dem ncurses- orientierten Benutzer-Interface (ncurses erlaubt eine grafische Aufmachung im Textmodus) zählt sniffit wohl zu den komfortabelsten Sniffern in der Unix-Welt. Es hat zudem Konfigurationsmöglichkeiten, die einen Lauf im Hintergrund möglich machen. Sniffit taugt zum Untersuchen von TCP-Verbindungen und auch zur Untersuchung des Inhalts der Verbindung: Sie können etwa den Datenverkehr einer telnet- Sitzung auf einem Ihrer Terminals (etwa ein xterm) betrachten, während auf der belauschten Verbindung gerade jemand seine E-Mail liest. Sniffit läuft auf Linux, Solaris 1 und 2, FreeBSD und IRIX und findet sich unter http://sniffit.rug.ac.be/sniffit/sniffit.html

Ethereal

Ethereal ist noch sehr neu und hat auch noch eine 0 als Releasenummer. Es hat ein grafisches Benutzer-Interface (gtk+) und bietet eine Reihe nützlicher Funktionen. Einer der Vorzüge: Pakete werden zur späteren Analyse aufgezeichnet. Es ist zu erwarten, dass der Autor in naher Zukunft noch weitere praktische Funktionen in das Programm einbaut. Sie finden es unter http://ethereal.zing.org/.

Esniff

Esniff ist ein Standard-Unix-basierter Auswahlsniffer. Er wurde erstmals im Phrack Magazine (einem Online-Hacker-Zine) freigegeben und ist weit verbreitet. Sie brauchen einen C- Compiler und IP-Include-Dateien, um ihn benutzen zu können. Esniff finden Sie unter

http://www.asmodeus.com/archive/IP_toolz/ESNIFF.C

Gobbler (Tirza van Rijn)

Gobbler ist ein hervorragendes Tool, wenn Sie etwas über Sniffer lernen wollen. Er wurde für die MS-DOS-Plattform entwickelt, läuft aber auch unter Windows 95.

Die Arbeitsweise von Gobbler mag zunächst etwas verwirrend erscheinen. Menüs erscheinen nicht sofort, wenn Sie die Applikation starten, sondern Sie sehen zunächst nur den Eröffnungsbildschirm (siehe Abbildung 1.1). Menüs sind vorhanden, nur ist Gobbler nicht gerade die benutzerfreundlichste Applikation. Drücken Sie die Leertaste und die Menüs tauchen auf.

Abbildung 1.1: Der Eröffnungsbildschirm von Gobbler.

Drücken Sie nach Booten der Applikation die F1-Taste, dann sehen Sie eine Legende, die Informationen über die Funktionen des Programms enthält (s. Abbildung 12.2).

Gobbler kann entweder auf einer einzelnen Workstation zur Analyse von lokalen Paketen oder entfernt über ein Netzwerk eingesetzt werden. Das Programm bietet komplexe Paketfilter-Funktionen und Sie können Warnmeldungen spezifizieren, die auf dem jeweils angetroffenen Pakettypen basieren. Sie können Gobbler auf diese Art und Weise sogar starten und beenden: Er wartet auf einen spezifizierten Pakettypen, bevor er mit der Protokollierung beginnt.

Außerdem bietet Gobbler Echtzeit-Überwachung von Netzwerkverkehr. Er ist ein hervorragendes Tool für die Diagnose von Netzwerkstauungen und die Dokumentation beinhaltet sogar eine Fallstudie. Hier ist ein Auszug aus diesem Papier:

Eine Bridge hatte Probleme, ihre Startup- Sequenz über das bootp- Protokoll zu beenden. Der Gobbler- Paketfänger wurde benutzt, um die Pakete zu und von der Bridge abzufangen. Der Ausgabedatei- Viewer und der Protokollanalysator machten es möglich, die gesamte Startup- Sequenz nachzuvollziehen und der Ursache des Problems auf den Grund zu gehen.

Abbildung 12.2: Der Hilfebildschirm von Gobbler »Funktionen und Navigation«

Alles in allem ist Gobbler ein großartiges Tool, um etwas über Protokollanalyse zu lernen. Es ist klein, effektiv und, vielleicht das beste von allem, es ist kostenlos. Allerdings ist es möglich, daß Sie keine Dokumentation erhalten, je nachdem wo Sie sich Gobbler besorgen. Die Dokumentation ist eine Postscript-Datei namens Paper.gs. Von den unten angegebenen URLs, unter denen Sie Gobbler finden, liefert nur die erste die Dokumentation.

Tipp:

ETHLOAD
(Vyncke, Blondiau, Ghys, Timmermans, Hotterbeex, Khronis und Keunen)

ETHLOAD ist ein Freeware- Paketsniffer, der für Ethernet- und Token-Ring- Netzwerke in C geschrieben wurde. Er läuft gut auf den folgenden Plattformen:

• Novell ODI 
• 3Com/Microsoft Protocol Manager 
• PC/TCP/Clarkson/ Crynwr

Er analysiert die folgenden Protokolle:

• TCP/IP 
• DECnet 
• OSI 
• XNS 
• NetWare 
• Netbeui

Leider ist der Source- Code nicht mehr öffentlich verfügbar. Dazu der Autor:

Nachdem ich in einigen Mailing- Listen nach Veröffentlichung des Source- Codes auf erheblichen Zorn gestoßen bin und ich die Ängste der Leute auch verstehen kann (auch wenn es überall andere Sniffer gibt), habe ich beschlossen, den Source- Code nicht länger zur Verfügung zu stellen.

ETHLOAD hatte einmal eine Funktion zum Sniffen von rlogin und Telnet- Sessions, allerdings nur über einen speziellen Schlüssel. Mittlerweile verteilt der Autor diesen Schlüssel nur noch, wenn Sie irgendeine Form einer offiziellen Bestätigung zur Verfügung stellen können. Damit hat der Autor also Maßnahmen ergriffen, damit diese Funktion nicht in die falschen Hände gelangen kann.

Für einen kostenlosen Sniffer für eine DOS/Novell- Plattform ist ETHLOAD hervorragend.

Tipp:

Netman (Schulze, Benko und Farrell)

Netman unterscheidet sich insofern von ETHLOAD, als daß Sie den Source- Code bekommen können, allerdings ist das recht kompliziert. Sie müssen dafür bezahlen, und das Entwicklungsteam besteht darauf, dass der Source- Code nicht für kommerzielle Zwecke benutzt werden darf.

Das Team der Curtin University hat im Rahmen des Netman- Projekts eine ganze Familie von Applikationen entwickelt:

• Interman 
• Etherman 
• Packetman 
• Geotraceman 
• Loadman 
• Analyser

Etherman verfolgt Ethernet-Aktivitäten, ist aber kein gewöhnlicher ASCII-to-Outfile- Paketsniffer. Etherman verfolgt einen völlig neuen Ansatz, der sich komplett von dem seiner Gegenstücke unterscheidet. In der Dokumentation heißt es:

Für dieses Projekt versuchten wir, die Ziele zu erweitern, indem wir Netzwerk-Daten visualisieren. Dies haben wir durch den Einsatz eines grafischen Modells für eine Sammlung von kontinuierlich aktualisierten Netzwerkstatistiken erreicht.

Ihren Ansprüchen gerecht werdend haben die Autoren ein außergewöhnliches Tool entwickelt. Das Programm präsentiert einen schwarzen Bildschirm, auf dem Adressen, Datenverkehr und Interfaces als Punkte innerhalb des Netzwerks gekennzeichnet sind - Verbindungspunkte oder Datenfluss zwischen diesen Punkten sind rot dargestellt. Dieses genaue grafische Modell wird in Echtzeit aktualisiert. Die NetMan- Programmfamilie ist sehr mächtig und ist jetzt auch auf Windows portiert worden. Ich kann sie sehr empfehlen.

Tipp:

LinSniff

LinSniff ist ein Paßwort- Sniffer. Um ihn zu kompilieren, brauchen Sie alle notwendigen Netzwerk-Include- Dateien (tcp.h, ip.h, inet.h, if-ther.h usw.) auf einem Linux- System. LinSniff finden Sie unter

http://www.rootshell.com/archive-ld8dkslxlxja/199804/linsniff.c

Sunsniff

Sunsniff ist ebenfalls speziell für die SunOS- Plattform entwickelt worden. Es besteht aus 513 Zeilen C-Source- Code, die von Crackern geschrieben wurden, die anonym bleiben wollen. Es funktioniert einigermaßen gut auf Sun und ist wahrscheinlich nicht leicht auf andere Plattformen portierbar. Dieses Programm eignet sich gut zum Experimentieren.

Tipp:

linux_sniffer.c

Der Name dieses Programms sagt schon fast alles. Es besteht aus 175 Zeilen C-Code und wird hauptsächlich über Cracker-Sites im Internet verteilt. Dieses Programm ist Linux- spezifisch. Es ist ein weiteres Utility, das sich gut für Experimente an einem verregneten Sonntagnachmittag eignet. Es stellt einen kostenlosen und einfachen Weg dar, etwas über Netzwerkverkehr zu lernen.

Tipp:

Abwehr von Sniffer- Attacken

Da Sie jetzt wissen, wie Sniffer arbeiten, und verstehen, daß sie eine Gefahr darstellen, fragen Sie sich bestimmt, wie man sich gegen Sniffer- Angriffe wehren kann. Leider gibt es nun eine schlechte Nachricht: Die Abwehr von Sniffer- Angriffen ist nicht leicht. Sie können zwei Methoden benutzen:

• Sniffer aufdecken und beseitigen 
• Ihre Daten gegen Sniffer schützen

Lassen Sie uns kurz die Vor- und Nachteile beider Methoden ansehen.

Sniffer aufdecken und beseitigen

Sniffer sind extrem schwer zu entdecken, weil sie passive Programme sind. Sie hinterlassen keine Auditing- Spuren und, wenn ihre Autoren nicht gerade sehr dumm sind (und den kompletten Datenverkehr »sniffen« statt nur der ersten x-Anzahl von Bytes pro Verbindung), belegen sie nur wenige Netzwerkressourcen.

Auf einem einzelnen Rechner ist es theoretisch machbar, einen Sniffer zu finden. Zum Beispiel könnten Sie hierfür MD5 einsetzen, vorausgesetzt, Sie haben eine gute Datenbank der Original-Installationsdateien (oder eine laufende Datenbank von installierten Dateien). Wenn Sie MD5 benutzen und nach Prüfsummen suchen wollen, sollten Sie sich md5check besorgen, ein AWK-Script, das den Prozess automatisiert. md5check wurde ursprünglich vom CERT verteilt und arbeitet gut unter SunOS.

Sicher ist das Suchen über Prüfsummen auf einem einzelnen Rechner effektiv genug. In einem großen Netzwerk jedoch ist das Aufspüren eines Sniffers sehr schwer. Es gibt jedoch mindestens vier Tools, die helfen können - wenn Sie die richtige Netzwerkarchitektur haben.

• Snifftest. Geschrieben von »Beavis und Butthead« kann Snifftest Sniffer auf SunOS und Solaris entdecken. Es ist besonders nützlich, weil es auch dann einen Sniffer aufdecken kann, wenn sich das Netzwerk-Interface nicht in Promiscuous Mode befindet. Es arbeitet nur für SunOS und benötigt einen C-Compiler sowie alle TCP/IP-Header-Dateien.
• Nitwit. Nitwit läuft als ein NIT (Network Interface Tap) und kann Sniffer aufdecken, auch wenn sich das Netzwerk-Interface nicht in Promiscuous Mode befindet. In dieser Hinsicht ähnelt es Snifftest.
• Promisc. Geschrieben von blind@xmission.com entdeckt Promisc Sniffer unter Linux. (Es gibt einige Berichte darüber, daß dieses Programm auch auf SunOS läuft, aber sie sind nicht bestätigt worden.)
• cpm. cpm ist ein alter Favorit, der Promiscuous Mode auf SunOS 4.x entdecken kann. (Sie brauchen auch hier wieder einen C-Compiler und die notwendigen Include- Dateien.)

Das Problem ist, dass diese Tools nur auf SunOs oder Solaris funktionieren. Einen Sniffer in heterogenen Netzwerken zu entdecken, ist noch schwieriger - d.h. schwieriger, wenn Sie nicht jeden Rechner einzeln manuell überprüfen wollen. Nehmen wir z.B. an, Ihr Netzwerk besteht nur aus AIX-Systemen. Nehmen wir weiterhin an, dass jemand in ein leeres Büro geht, einen RS/6000 abtrennt und einen PC-Laptop anschließt. Dieser wird als Sniffer eingesetzt. Dies ist schwer aufzudecken, außer wenn Sie Netzwerktopologiekarten (Tools, die jede Änderung in der Netzwerktopologie anzeigen) benutzen und sie täglich überprüfen. Ansonsten erscheint das Netzwerk wie immer, es gibt keinerlei Hinweise, dass etwas nicht stimmt. Schließlich hat der PC die gleiche IP- Adresse wie der RS/6000 sie hatte. Außer wenn Sie täglich Überprüfungen durchführen, würden Sie den PC wahrscheinlich niemals entdecken.

Noch schlimmer, Eindringlinge können physische Einrichtungen als Sniffer anbinden, z.B. über eine Spleißung an für das bloße Auge nicht erkennbaren Punkten. Ich habe Büros gesehen, in denen die Koaxialkabel an der Decke entlang verlegt sind. Dies würde jedem in einem benachbarten Büro ermöglichen, das Kabel anzuzapfen und sich selbst anzuschließen. Es gibt keinen einfachen Weg, eine solche Manipulation an einem Kabel zu entdecken, außer man überprüft physisch jedes einzelne Kabel des gesamten Netzwerks. Obwohl auch hier Netzwerktopologiekarten wieder warnen würden, daß eine zusätzliche IP- Adresse an das Netzwerk angeschlossen wurde. Leider können sich die meisten kleinen Unternehmen aber solche Tools nicht leisten.

Tipp:

Alles in allem sind diese proaktiven Lösungen schwierig und teuer. Stattdessen sollten Sie lieber defensive Maßnahmen ergreifen. Es gibt hauptsächlich zwei Abwehrmaßnahmen für Sniffer:

• Eine sichere Netzwerktopologie 
• Verschlüsselte Arbeitssitzungen

Sichere Netzwerktopologie

Sniffer können Daten nur auf dem augenblicklichen Netzwerksegment abfangen. Das heißt, je straffer die Bereiche in Ihrem Netzwerk gefasst sind, um so weniger Informationen kann ein Sniffer abfangen. Leider kann diese Lösung recht teuer werden. Bereichsbildung erfordert teure Hardware. Es gibt drei Netzwerk-Interfaces, die ein Sniffer nicht überqueren kann:

• Switches 
• Router 
• Bridges

Sie können straffere Netzwerksegmente schaffen, wenn Sie diese Geräte strategisch stellen. Vielleicht können Sie einen Bereich mit 20 Workstations bilden, dies scheint eine sinnvolle Anzahl zu sein. Einmal monatlich können Sie dann jedes Segment überprüfen (und vielleicht können Sie auch einmal monatlich MD5-Überprüfungen auf zufällig gewählten Segmenten ausführen).

Tipp:

Netzwerksegmentierung ist nur für kleinere Netzwerke praktisch. Wenn Sie mehr als 500 Workstations in mehr als 50 Abteilungen haben, wird eine vollständige Segmentierung wahrscheinlich unerschwinglich. (Auch wenn es ein Budget für Sicherheitsmaßnahmen gibt, werden Sie Verwaltungsangestellte wohl kaum überzeugen können, daß Sie 50 Hardware- Geräte brauchen, nur um einen Sniffer abzuwehren.) Im diesem Fall sind verschlüsselte Arbeitssitzungen die bessere Lösung.

Verschlüsselte Arbeitssitzungen

Verschlüsselte Arbeitssitzungen stellen eine weitere Lösung dar. Statt sich darüber Sorgen zu machen, dass Daten abgefangen werden, verschlüsseln Sie sie einfach bis zur Unkenntlichkeit. Die Vorteile dieser Methode liegen auf der Hand: Selbst wenn es einem Angreifer gelingt, Daten abzufangen, wird er mit ihnen nichts anfangen können. Die Nachteile sind jedoch schwerwiegend.

Es gibt zwei hauptsächliche Probleme in punkto Verschlüsselung; eines ist ein technisches, das andere ein menschliches Problem.

Die technischen Fragen sind, ob die Verschlüsselung stark genug ist und ob sie unterstützt wird. Zum Beispiel ist eine 40-Bit-Verschlüsselung möglicherweise nicht ausreichend und nicht alle Applikationen bieten integrierte Verschlüsselungsunterstützung. Außerdem sind Plattform- übergreifende Verschlüsselungslösungen selten und in der Regel nur in spezialisierten Applikationen verfügbar.

Das menschliche Problem liegt darin, dass Benutzer sich möglicherweise gegen die Anwendung von Verschlüsselung wehren. Sie finden sie vielleicht lästig. (Können Sie sich beispielsweise vorstellen, dass Macintosh-Anwender jedes mal S/Key benutzen, wenn sie sich in einen Server einloggen? Diese Leute sind Benutzerfreundlichkeit gewöhnt und wollen nicht für jede neue Arbeitssitzung erst ein Einmal- Passwort generieren müssen.) Benutzer mögen anfänglich derartigen Richtlinien zustimmen, halten sich dann aber nur selten daran.

Kurz, Sie müssen ein freundliches Medium finden - Applikationen, die starke, bidirektionale Verschlüsselung und auch wenigstens etwas Benutzerfreundlichkeit bieten. Deshalb mag ich Secure Shell.

Secure Shell (SSH) bietet sichere Kommunikation für Applikationsumgebungen wie Telnet. SSH ist an Port 22 angebunden und Verbindungen werden über RSA hergestellt. Jeglicher Datenverkehr wird nach erfolgter Authentifizierung mit IDEA verschlüsselt. Dies ist eine starke Verschlüsselung, die sich für jede nicht geheime, nicht klassifizierte Art von Kommunikation eignet.

Secure Shell ist ein Paradebeispiel für eine Applikation, die sowohl Benutzer- als auch administrative Standards vereint.

Es gibt sowohl kostenlose als auch kommerzielle Versionen von SSH und F-SSH. Die kostenlose Version ist ein Unix-Utility, kommerzielle Versionen sind für Windows 3.11, Windows 95 und Windows NT erhältlich.

Zusammenfassung

Sniffer stellen ein bedeutendes Sicherheitsrisiko dar, hauptsächlich, weil sie nicht leicht zu entdecken sind. Sie können enorm davon profitieren, wenn Sie lernen, wie man einen Sniffer benutzt, und wenn Sie verstehen, wie andere einen Sniffer gegen Sie einsetzen können. Und schließlich sei noch gesagt, dass die besten Abwehrmaßnahmen gegen Sniffer eine sichere Netzwerktopologie und starke Verschlüsselung sind.

[ Home ] [ Nach oben ]

Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an: tos.computer@gmx.de 
Copyright © 2003 TOS Computer Systeme
Stand: 14. November 2004