|
|
SnifferSniffer sind Geräte oder Programme, die Netzwerk-Datenpakete abfangen. Ihr legitimer Zweck ist die Analyse von Netzwerkverkehr und die Identifizierung von potentiellen Gefahrenbereichen. Nehmen Sie beispielsweise an, dass ein Segment Ihres Netzwerks schlecht funktioniert: die Paketübertragung scheint unglaublich langsam oder Rechner blockieren plötzlich beim Booten des Netzwerks. Sie benutzen einen Sniffer, um die genaue Ursache zu bestimmen. Sniffer unterscheiden sich erheblich in Funktionalität und Design. Einige analysieren nur ein Protokoll, während andere Hunderte analysieren können. Generell können die meisten modernen Sniffer mindestens eines der folgenden Protokolle analysieren:
Sniffer bestehen immer aus einer Kombination von Hardware und Software. Proprietäre Sniffer sind teuer (Anbieter packen sie in der Regel in spezielle Computer, die für den Sniffer- Prozess »optimiert« sind). Freeware- Sniffer dagegen sind billig, beinhalten aber keine Supportleistungen. In diesem Kapitel werden Sniffer sowohl als Sicherheitsrisiken als auch als Netzwerk-Administrationstools betrachtet.
Sniffer= SicherheitsrisikoSniffer unterscheiden sich erheblich von Tastaturanschlag-Recordern. Tastaturanschlag- Recorder fangen Tastaturanschläge ab, die an einem Terminal eingegeben werden. Sniffer dagegen fangen ganze Netzwerk-Pakete ab. Sniffer tun dies, indem sie das Netzwerk-Interface - also etwa den Ethernet-Adapter - in Promiscuous Mode (ein Modus, bei dem alle Pakete zur Weiterverarbeitung empfangen und erst nach Auswertung der Kontrollinformationen entweder geroutet oder gebridged werden) versetzen. Um den Begriff Promiscuous Mode zu verstehen, brauchen Sie einen kurzen Einblick in die Funktionsweise eines kleinen lokalen Netzwerks.
LANs und DatenverkehrLokale Netze (LANs) sind kleine Netzwerke, die (in der Regel) über Ethernet verbunden sind. Daten werden über Kabel von einem Rechner zum anderen übertragen. Es gibt verschiedene Kabeltypen und diese Typen übermitteln Daten mit unterschiedlicher Geschwindigkeit. Die fünf üblichsten Netzwerkkabeltypen sind die folgenden: 10Base2. Koaxial-Ethernet (dünnes Kabel), das Daten standardmäßig über Entfernungen bis zu 185 Meter überträgt. 10Base5. Koaxial-Ethernet (dickes Kabel), das Daten standardmäßig über Entfernungen bis zu 500 Meter überträgt. 10BaseFL. Glasfaser-Ethernet. 10BaseT. Twisted-Pair- Ethernet, das Daten standardmäßig über Entfernungen bis zu 185 Meter überträgt. 100BaseT. Fast Ethernet (100Mbps), das Daten standardmäßig über Entfernungen bis zu 100 Meter überträgt. Daten reisen in kleinen Einheiten namens Frames durch das Kabel. Diese Frames sind in Abschnitten aufgebaut und jeder Abschnitt trägt spezialisierte Informationen. (Zum Beispiel beinhalten die ersten 12 Byte eines Ethernet- Frames sowohl die Empfänger- als auch die Absenderadresse. Diese Werte sagen dem Netzwerk, woher die Daten kommen und wohin sie gehen. Andere Teile des Ethernet- Frames beinhalten die eigentlichen Benutzerdaten, TCP/ IP- Header, IPX- Header usw.) Frames werden mit Hilfe spezieller Software für den Transport fertiggestellt, die Netzwerk- Treiber genannt wird. Die Frames werden dann über Ihre Ethernet-Karte von Ihrem Rechner in das Kabel geleitet. Von da reisen sie an ihr Ziel. An diesem Punkt wird der Prozess umgekehrt durchgeführt: Die Ethernet-Karte des Empfängerrechners teilt dem Betriebssystem mit, dass die Frames angekommen sind, und leitet diese Frames zur Speicherung weiter. Sniffer stellen ein Sicherheitsrisiko dar aufgrund der Art und Weise, wie Frames übertragen und ausgeliefert werden. Lassen Sie uns diesen Prozess kurz ansehen.
Pakettransport und -auslieferungJedes Netzwerkinterface eines Rechners in einem LAN hat seine eigene Hardwareadresse. Diese einzigartige Adresse unterscheidet den Rechner von allen anderen im Netzwerk (ähnlich wie das Internet- Adresssystem). Wenn Sie eine Nachricht über das LAN versenden, werden Ihre Pakete an alle verfügbaren Rechner gesandt. Unter normalen Umständen können alle Rechner des Netzwerks den vorbeigehenden Datenverkehr »hören«, aber sie werden nur auf die Daten reagieren, die ausdrücklich an sie adressiert sind. (Anders gesagt, Workstation A wird nicht die Daten abfangen, die für Workstation B bestimmt sind. Stattdessen wird Workstation A diese Daten ganz einfach ignorieren.) Wenn das Netzwerk-Interface einer Workstation jedoch in Promiscuous Mode versetzt ist, kann es alle Pakete und Frames des Netzwerks abfangen. Eine derart konfigurierte Workstation (und die Software, die auf ihr läuft) ist ein Sniffer.
Wie hoch ist das Risiko, von Sniffern?Sniffer stellen aus folgenden Gründen ein hohes Risiko dar:
Die pure Existenz eines unautorisierten Sniffers in Ihrem Netzwerk zeigt möglicherweise, dass Ihr System bereits kompromittiert wurde.
Gibt es Angriffe durch Sniffer?Sniffer- Angriffe sind verbreitet, insbesondere im Internet. Ein gut plazierter Sniffer kann nicht nur ein paar Passwörter abfangen, sondern Tausende. 1994 beispielsweise wurde ein massiver Sniffer- Angriff entdeckt, der ein Marine-Forschungsinstitut veranlasste, folgenden Hinweis ins Internet zu setzen:
Der Angriff auf Milnet war so ernst, dass die Angelegenheit vor das Subcommittee on Science, Space, and Technology im amerikanischen Repräsentantenhaus gebracht wurde. F. Lynn McNulty, Associate Director für Computersicherheit im National Institute of Standards and Technology, führte in seiner Zeugenaussage auf:
Dieser Angriff ist weltweit als der schlimmste jemals
aufgezeichnete Fall anerkannt, aber nur einige Monate später erfolgte der
nächste Angriff. In diesem Fall (der Angriff erfolgte auf
Institutionen und Privatunternehmen sind natürlich nicht bereit zuzugeben, dass ihre Netzwerke beeinträchtigt wurden, daher werden Sniffer- Angriffe in der Regel nicht öffentlich bekannt. Aber es gibt einige Fallstudien im Internet. Hier sind ein paar bekannte Opfer:
Was fangen Sniffer ab?Sniffer können alle Datenpakete eines Netzwerks abfangen, aber in der Praxis muss ein Angreifer wählerischer sein. Ein Sniffer- Angriff ist nicht so einfach, wie er sich anhört. Er erfordert einiges an Wissen über Netzwerke. Einfach einen Sniffer einzurichten und ihn dann sich selbst zu überlassen, wird zu Problemen führen, da selbst ein Netzwerk mit nur fünf Stationen Tausende von Paketen pro Stunde überträgt. Innerhalb kurzer Zeit könnte die Ausgabedatei eines Sniffers eine Festplatte komplett füllen (wenn Sie jedes Paket protokollieren würden). Um dieses Problem zu umgehen, wenden Cracker einen Sniffer im allgemeinen nur für die ersten 200 bis 300 Byte eines jeden Datenpakets an. Der Benutzername und das Passwort sind in diesem Teil enthalten und das ist alles, was die meisten Cracker wollen. Es ist jedoch richtig, dass man einen Sniffer für alle Pakete eines bestimmten Interfaces benutzen kann. Wenn man entsprechende Speichermedien zur Verfügung hat, würde man sicher noch einige weitere interessante Informationen finden.
Wo findet man Sniffer?Sie können fast überall einen Sniffer finden. Es gibt jedoch einige strategische Punkte, die ein Cracker bevorzugen mag. Einer davon liegt in der Nähe eines Rechners oder Netzwerks, der bzw. das viele Passwörter empfängt. Dies gilt insbesondere dann, wenn der anvisierte Rechner ein Gateway zur Außenwelt ist. Wenn das so ist, wird der Cracker Authentifizierungsprozeduren zwischen Ihrem und anderen Netzwerken abfangen wollen. Dies kann den Aktivitätsradius des Crackers exponential erweitern. Tipp:
Sicherheitstechnologien haben sich erheblich weiterentwickelt. Einige Betriebssysteme benutzen jetzt Verschlüsselung auf Paketebene und daher mag ein Sniffer zwar wichtige Daten abfangen, aber diese Daten sind verschlüsselt. Dies ist eine zusätzliche Hürde, die wahrscheinlich nur von denjenigen überwunden werden kann, die ein Tiefergehendes Wissen über Sicherheit, Verschlüsselung und Netzwerke haben.
Woher bekomme ich einen Sniffer?Sniffer kommen grundsätzlich in zwei Versionen: kommerziell und Freeware. Wenn Sie neu auf dem Gebiet der Netzwerksicherheit sind, empfehle ich Ihnen, sich einen Freeware- Sniffer zu besorgen. Wenn Sie dagegen ein großes Netzwerk verwalten, sollte Ihr Unternehmen mindestens einen kommerziellen Sniffer erwerben. Sie sind unbezahlbar, wenn Sie ein Netzwerkproblem diagnostizieren wollen.
Kommerzielle SnifferDie Sniffer in diesem Abschnitt sind kommerziell, aber viele der Unternehmen bieten Demoversionen an. ATM Sniffer Network Analyzer von Network AssociatesATM Sniffer Internetwork Analyzer entschlüsselt mehr als 250 LAN/ WAN- Protokolle, darunter u.a. AppleTalk, Banyan VINES, DECnet, IBM LAN Server, IBM SNA, NetBIOS, Novell NetWare, OSI, Sun NFS, TCP/IP, 3Com 3+Open, X-Window und XNS/MS-net. Network Associates, Inc. Shomiti System Century LAN AnalyzerDer Shomiti System Century LAN Analyzer ist eine strapazierfähige Hardware-/Software- Lösung, die 10/100-Mbps-Ethernet unterstützt. Das System beinhaltet einen 64-Mbyte-Puffer und bietet Echtzeit-Berichterstellung. Diese Lösung ist am besten für große Netzwerke geeignet und läuft auf Windows 95 oder Windows NT. Shomiti- Systeme, Inc. PacketView von Klos TechnologiesPacketView ist ein DOS-basierter Paket- Sniffer, der sich ideal für die Benutzung in Ethernet-, Token Ring-, ARCNET- und FDDI- Umgebungen eignet. PacketView ist ein kommerzielles Produkt, das Sie aber vor dem Kauf ausprobieren können. Klos Technologies, Inc. Network Probe 8000 ist eine Proprietäre Hardware-/Softwarelösung für die Protokollanalyse in WANs. Es kann Datenpakete von den folgenden Protokollen abfangen und analysieren: AppleTalk, Banyan, DEC Net, Microsoft, IBM, NFS, Novell, SMB, Sun NFS, TCP/IP, Token Ring/LLC, X-WINDOWS und XNS. Network Communications LANWatchLANWatch ist eine Software-basierte Snifferlösung für DOS, Windows 95 und Windows NT. Es überwacht Pakete von den folgenden Protokollen: TCP, UDP, IP, IPv6, NFS, NetWare, SNA, AppleTalk, VINES, ARP, NetBIOS und etwa 50 weiteren. LANWatch ermöglicht Momentaufnahmen des Netzwerks, wenn auch nicht in Echtzeit. Eine Demoversion finden Sie unter ftp://209.218.15.100/pub/lw32demo.exe. Precision Guesswork EtherPeekEtherPeek (3.5 ist zur Zeit die aktuelle Version) ist sowohl für Windows- als auch für Macintosh-Plattformen verfügbar. Dieses Produkt hat in einer Besprechung in Macworld hervorragend abgeschnitten und ist weitgehend als führender Protokollanalysator für den Macintosh anerkannt. Der einzige Nachteil ist der recht hohe Preis. The AG Group, Inc. NetMinder EthernetNetMinder Ethernet ist ein Macintosh- basierter Protokollanalysator, der einige sehr interessante Funktionen bietet, darunter automatisierte HTML-Ausgabeberichte. Diese Berichte werden in Echtzeit aktualisiert und ermöglichen damit dem Systemadministrator den Zugang zu seinen aktuellen Netzwerkanalysestatistiken von überall in der Welt. (Natürlich bietet die Applikation auch eine Funktion zur Echtzeitanalyse in der Standard-GUI- Umgebung.) Neon Software DatagLANce Network Analyzer von IBMDatagLANce ist sowohl für Ethernet- als auch für Token-Ring- Netzwerke und wurde speziell für OS/2 entwickelt. (Meines Wissens nach ist er der einzige Sniffer, der ausdrücklich für OS/2 geschrieben wurde.) DatagLANce kann eine ganze Reihe von Protokollen analysieren, darunter u.a. NetBIOS, IBM LAN Manager, TCP/IP, NFS, IPX/SPX, DECnet, AppleTalk und Banyan VINES. Außerdem verfügt DatagLANce über Funktionen zur Ausgabe von Analysedaten in vielen verschiedenen Formaten. IBM Produkt-Nr.: 5622-441, 5622-442, 5622-443 Network Analyzer Development LinkView Internet MonitorDer LinkView Internet Monitor unterstützt Token Ring, Ethernet und Fast Ethernet (und 100 Protokolle), ist aber hauptsächlich für die Analyse von Netzwerken im Internet entwickelt. Daher trennt es automatisch IP- Berichtsstatistiken von anderen Protokollstatistiken. LinkView Internet Monitor läuft auf Windows, Windows 3.11, Windows 95 und Windows NT. Wandel & Goltermann, Inc.
ProConvertProConvert ist kein Sniffer, sondern ein wunderbares Tool, um Daten von verschiedenen Sniffern zu integrieren. ProConvert entschlüsselt die Formate von (und bietet universelles Übersetzen zwischen den Formaten von) DatagLANce, Fireberd500, Internet Advisor LAN, LAN900, LANalyzer for Windows, LANdecoder, LANWatch, Precision Guesswork, NetLens, Network Monitor, NetSight, LANDesk und Network General. Er kann ihnen viele, viele Stunden Arbeit ersparen. Net3 Group, Inc. LANdecoder32LANdecoder32 ist ein sehr populärer Sniffer, der unter Windows 95 oder Windows NT zum Einsatz kommt. Er bietet fortschrittliche Berichtsmöglichkeiten und kann benutzt werden, um Frame- Inhalte zu analysieren. Andere Funktionen bieten entfernte Überwachung (RMON auf dem entfernten System erforderlich), ASCII- Filtering (Filtern nach Textstrings) und Echtzeitberichterstellung. Triticom NetXRay AnalyzerNetXRay Analyzer ist ein mächtiger Protokollanalysator (Sniffer) und ein Netzwerk-Überwachungstool für Windows NT. Er ist einer der umfassendsten Windows-NT- Sniffer auf dem Markt. Cinco Networks, Inc. NetAnt Protocol AnalyzerNetAnt Protocol Analyzer entschlüsselt alle beliebten Protokolle, darunter TCP/IP, IPX/ SPX, NetBIOS, AppleTalk, SNMP, SNA, ISO, BPDU, XNS, IBMNM, RPL, HTTP, FTP, TELNET, DEC, SunRPC und Vines IP. Er läuft auf Windows 95 und exportiert zu populären Tabellenkalkulationsformaten, was sehr bequem für die Analyse ist. People Network, Inc.
Kostenlose SnifferEs gibt auch viele Freeware- und Shareware- Sniffer. Diese sind perfekt, wenn Sie etwas über Netzwerk-Datenverkehr lernen wollen, ohne gleich viel Geld auszugeben. Leider sind manche dieser Sniffer architekturspezifisch, und die meisten von ihnen für Unix entwickelt worden. sniffitMit dem ncurses- orientierten Benutzer-Interface (ncurses erlaubt eine grafische Aufmachung im Textmodus) zählt sniffit wohl zu den komfortabelsten Sniffern in der Unix-Welt. Es hat zudem Konfigurationsmöglichkeiten, die einen Lauf im Hintergrund möglich machen. Sniffit taugt zum Untersuchen von TCP-Verbindungen und auch zur Untersuchung des Inhalts der Verbindung: Sie können etwa den Datenverkehr einer telnet- Sitzung auf einem Ihrer Terminals (etwa ein xterm) betrachten, während auf der belauschten Verbindung gerade jemand seine E-Mail liest. Sniffit läuft auf Linux, Solaris 1 und 2, FreeBSD und IRIX und findet sich unter http://sniffit.rug.ac.be/sniffit/sniffit.html EtherealEthereal ist noch sehr neu und hat auch noch eine 0 als Releasenummer. Es hat ein grafisches Benutzer-Interface (gtk+) und bietet eine Reihe nützlicher Funktionen. Einer der Vorzüge: Pakete werden zur späteren Analyse aufgezeichnet. Es ist zu erwarten, dass der Autor in naher Zukunft noch weitere praktische Funktionen in das Programm einbaut. Sie finden es unter http://ethereal.zing.org/. EsniffEsniff ist ein Standard-Unix-basierter Auswahlsniffer. Er wurde erstmals im Phrack Magazine (einem Online-Hacker-Zine) freigegeben und ist weit verbreitet. Sie brauchen einen C- Compiler und IP-Include-Dateien, um ihn benutzen zu können. Esniff finden Sie unter http://www.asmodeus.com/archive/IP_toolz/ESNIFF.C Gobbler (Tirza van Rijn)Gobbler ist ein hervorragendes Tool, wenn Sie etwas über Sniffer lernen wollen. Er wurde für die MS-DOS-Plattform entwickelt, läuft aber auch unter Windows 95. Die Arbeitsweise von Gobbler mag zunächst etwas verwirrend erscheinen. Menüs erscheinen nicht sofort, wenn Sie die Applikation starten, sondern Sie sehen zunächst nur den Eröffnungsbildschirm (siehe Abbildung 1.1). Menüs sind vorhanden, nur ist Gobbler nicht gerade die benutzerfreundlichste Applikation. Drücken Sie die Leertaste und die Menüs tauchen auf.
Abbildung 1.1: Der Eröffnungsbildschirm von Gobbler. Drücken Sie nach Booten der Applikation die F1-Taste, dann sehen Sie eine Legende, die Informationen über die Funktionen des Programms enthält (s. Abbildung 12.2). Gobbler kann entweder auf einer einzelnen Workstation zur Analyse von lokalen Paketen oder entfernt über ein Netzwerk eingesetzt werden. Das Programm bietet komplexe Paketfilter-Funktionen und Sie können Warnmeldungen spezifizieren, die auf dem jeweils angetroffenen Pakettypen basieren. Sie können Gobbler auf diese Art und Weise sogar starten und beenden: Er wartet auf einen spezifizierten Pakettypen, bevor er mit der Protokollierung beginnt. Außerdem bietet Gobbler Echtzeit-Überwachung von Netzwerkverkehr. Er ist ein hervorragendes Tool für die Diagnose von Netzwerkstauungen und die Dokumentation beinhaltet sogar eine Fallstudie. Hier ist ein Auszug aus diesem Papier:
Abbildung 12.2: Der Hilfebildschirm von Gobbler »Funktionen und Navigation« Alles in allem ist Gobbler ein großartiges Tool, um etwas über
Protokollanalyse zu lernen. Es ist klein, effektiv und, vielleicht das beste von
allem, es ist kostenlos. Allerdings ist es möglich, daß Sie keine Dokumentation
erhalten, je nachdem wo Sie sich Gobbler besorgen. Die Dokumentation ist eine
Postscript-Datei namens
Tipp:
ETHLOAD
|
Hier einige Sites, die ETHLOAD anbieten: |
Netman unterscheidet sich insofern von ETHLOAD, als daß Sie den Source- Code bekommen können, allerdings ist das recht kompliziert. Sie müssen dafür bezahlen, und das Entwicklungsteam besteht darauf, dass der Source- Code nicht für kommerzielle Zwecke benutzt werden darf.
Das Team der Curtin University hat im Rahmen des Netman- Projekts eine ganze Familie von Applikationen entwickelt:
Etherman verfolgt Ethernet-Aktivitäten, ist aber kein gewöhnlicher ASCII-to-Outfile- Paketsniffer. Etherman verfolgt einen völlig neuen Ansatz, der sich komplett von dem seiner Gegenstücke unterscheidet. In der Dokumentation heißt es:
Für dieses Projekt versuchten wir, die Ziele zu erweitern, indem wir Netzwerk-Daten visualisieren. Dies haben wir durch den Einsatz eines grafischen Modells für eine Sammlung von kontinuierlich aktualisierten Netzwerkstatistiken erreicht.
Ihren Ansprüchen gerecht werdend haben die Autoren ein außergewöhnliches Tool entwickelt. Das Programm präsentiert einen schwarzen Bildschirm, auf dem Adressen, Datenverkehr und Interfaces als Punkte innerhalb des Netzwerks gekennzeichnet sind - Verbindungspunkte oder Datenfluss zwischen diesen Punkten sind rot dargestellt. Dieses genaue grafische Modell wird in Echtzeit aktualisiert. Die NetMan- Programmfamilie ist sehr mächtig und ist jetzt auch auf Windows portiert worden. Ich kann sie sehr empfehlen.
Tipp:
Das Netman-Projekt hatte großen Erfolg und die Autoren leiten jetzt ein kommerzielles Unternehmen, das Sie unter der folgenden Adresse finden: http://www.ndg.com.au/ |
LinSniff ist ein Paßwort- Sniffer. Um ihn zu kompilieren,
brauchen Sie alle notwendigen Netzwerk-Include- Dateien (tcp.h
,
ip.h
,
inet.h
,
if-ther.h
usw.) auf einem Linux- System. LinSniff finden Sie unter
http://www.rootshell.com/archive-ld8dkslxlxja/199804/linsniff.c
Sunsniff ist ebenfalls speziell für die SunOS- Plattform entwickelt worden. Es besteht aus 513 Zeilen C-Source- Code, die von Crackern geschrieben wurden, die anonym bleiben wollen. Es funktioniert einigermaßen gut auf Sun und ist wahrscheinlich nicht leicht auf andere Plattformen portierbar. Dieses Programm eignet sich gut zum Experimentieren.
Tipp:
Sunsniff finden Sie unter: http://www.7thsphere.com/hpvac/files/hacking/sunsniff.c http://www.zerawarez.com/main/files/csource/sunsniff.c
|
Der Name dieses Programms sagt schon fast alles. Es besteht aus 175 Zeilen C-Code und wird hauptsächlich über Cracker-Sites im Internet verteilt. Dieses Programm ist Linux- spezifisch. Es ist ein weiteres Utility, das sich gut für Experimente an einem verregneten Sonntagnachmittag eignet. Es stellt einen kostenlosen und einfachen Weg dar, etwas über Netzwerkverkehr zu lernen.
Tipp:
Linux_sniffer.c finden Sie unter: http://www.rootshell.com/archive-ld8dkslxlxja/199707/linux_sniffer.c |
Da Sie jetzt wissen, wie Sniffer arbeiten, und verstehen, daß sie eine Gefahr darstellen, fragen Sie sich bestimmt, wie man sich gegen Sniffer- Angriffe wehren kann. Leider gibt es nun eine schlechte Nachricht: Die Abwehr von Sniffer- Angriffen ist nicht leicht. Sie können zwei Methoden benutzen:
Lassen Sie uns kurz die Vor- und Nachteile beider Methoden ansehen.
Sniffer sind extrem schwer zu entdecken, weil sie passive Programme sind. Sie hinterlassen keine Auditing- Spuren und, wenn ihre Autoren nicht gerade sehr dumm sind (und den kompletten Datenverkehr »sniffen« statt nur der ersten x-Anzahl von Bytes pro Verbindung), belegen sie nur wenige Netzwerkressourcen.
Auf einem einzelnen Rechner ist es theoretisch machbar, einen Sniffer zu finden. Zum Beispiel könnten Sie hierfür MD5 einsetzen, vorausgesetzt, Sie haben eine gute Datenbank der Original-Installationsdateien (oder eine laufende Datenbank von installierten Dateien). Wenn Sie MD5 benutzen und nach Prüfsummen suchen wollen, sollten Sie sich md5check besorgen, ein AWK-Script, das den Prozess automatisiert. md5check wurde ursprünglich vom CERT verteilt und arbeitet gut unter SunOS.
Sicher ist das Suchen über Prüfsummen auf einem einzelnen Rechner effektiv genug. In einem großen Netzwerk jedoch ist das Aufspüren eines Sniffers sehr schwer. Es gibt jedoch mindestens vier Tools, die helfen können - wenn Sie die richtige Netzwerkarchitektur haben.
Das Problem ist, dass diese Tools nur auf SunOs oder Solaris funktionieren. Einen Sniffer in heterogenen Netzwerken zu entdecken, ist noch schwieriger - d.h. schwieriger, wenn Sie nicht jeden Rechner einzeln manuell überprüfen wollen. Nehmen wir z.B. an, Ihr Netzwerk besteht nur aus AIX-Systemen. Nehmen wir weiterhin an, dass jemand in ein leeres Büro geht, einen RS/6000 abtrennt und einen PC-Laptop anschließt. Dieser wird als Sniffer eingesetzt. Dies ist schwer aufzudecken, außer wenn Sie Netzwerktopologiekarten (Tools, die jede Änderung in der Netzwerktopologie anzeigen) benutzen und sie täglich überprüfen. Ansonsten erscheint das Netzwerk wie immer, es gibt keinerlei Hinweise, dass etwas nicht stimmt. Schließlich hat der PC die gleiche IP- Adresse wie der RS/6000 sie hatte. Außer wenn Sie täglich Überprüfungen durchführen, würden Sie den PC wahrscheinlich niemals entdecken.
Noch schlimmer, Eindringlinge können physische Einrichtungen als Sniffer anbinden, z.B. über eine Spleißung an für das bloße Auge nicht erkennbaren Punkten. Ich habe Büros gesehen, in denen die Koaxialkabel an der Decke entlang verlegt sind. Dies würde jedem in einem benachbarten Büro ermöglichen, das Kabel anzuzapfen und sich selbst anzuschließen. Es gibt keinen einfachen Weg, eine solche Manipulation an einem Kabel zu entdecken, außer man überprüft physisch jedes einzelne Kabel des gesamten Netzwerks. Obwohl auch hier Netzwerktopologiekarten wieder warnen würden, daß eine zusätzliche IP- Adresse an das Netzwerk angeschlossen wurde. Leider können sich die meisten kleinen Unternehmen aber solche Tools nicht leisten.
Tipp:
Wenn Sie wirklich glauben, dass sich jemand seinen Weg in Ihr Netzwerk über die Kabel erschlichen hat, können Sie sich Tools besorgen, die das überprüfen. Eines dieser Tools ist der Time Domain Reflector (TDR), der die Ausbreitung oder Fluktuation von elektromagnetischen Wellen misst. Ein an Ihr LAN angeschlossener TDR wird unautorisierte Parteien aufdecken, die Daten aus Ihrem Netzwerk saugen. Hewlett Packard stellt einen TDR her, |
Alles in allem sind diese proaktiven Lösungen schwierig und teuer. Stattdessen sollten Sie lieber defensive Maßnahmen ergreifen. Es gibt hauptsächlich zwei Abwehrmaßnahmen für Sniffer:
Sniffer können Daten nur auf dem augenblicklichen Netzwerksegment abfangen. Das heißt, je straffer die Bereiche in Ihrem Netzwerk gefasst sind, um so weniger Informationen kann ein Sniffer abfangen. Leider kann diese Lösung recht teuer werden. Bereichsbildung erfordert teure Hardware. Es gibt drei Netzwerk-Interfaces, die ein Sniffer nicht überqueren kann:
Sie können straffere Netzwerksegmente schaffen, wenn Sie diese Geräte strategisch stellen. Vielleicht können Sie einen Bereich mit 20 Workstations bilden, dies scheint eine sinnvolle Anzahl zu sein. Einmal monatlich können Sie dann jedes Segment überprüfen (und vielleicht können Sie auch einmal monatlich MD5-Überprüfungen auf zufällig gewählten Segmenten ausführen).
Tipp:
Es gibt auch einige »intelligente Hub-Systeme« auf dem Markt, die weniger kosten als die meisten Router. Einige dieser Geräte führen Netzwerksegmentierungen aus. Ich würde Ihnen jedoch empfehlen, den entsprechenden Hersteller eingehend nach Sniffer- Angriffen zu befragen. Einige intelligente Hubsysteme führen keine traditionelle Segmentierung durch und ermöglichen damit vielleicht Angriffe auf andere Segmente. Andere Hubs bemerken sogar anhand der veränderten Hardwareadresse eines Anschlusses, dass sich jemand auf dem Netz eingeklinkt hat, und sperren daraufhin den betreffenden Anschluss. Sniffen ist dank switching oder scrambling der Datenpakete für Anschlüsse, an denen Rechner sitzen, für deren Interfaces die Pakete nicht bestimmt sind, nicht möglich. Diese Netzwerkkomponenten werden oft »Security- Hubs« genannt. |
Netzwerksegmentierung ist nur für kleinere Netzwerke praktisch. Wenn Sie mehr als 500 Workstations in mehr als 50 Abteilungen haben, wird eine vollständige Segmentierung wahrscheinlich unerschwinglich. (Auch wenn es ein Budget für Sicherheitsmaßnahmen gibt, werden Sie Verwaltungsangestellte wohl kaum überzeugen können, daß Sie 50 Hardware- Geräte brauchen, nur um einen Sniffer abzuwehren.) Im diesem Fall sind verschlüsselte Arbeitssitzungen die bessere Lösung.
Verschlüsselte Arbeitssitzungen stellen eine weitere Lösung dar. Statt sich darüber Sorgen zu machen, dass Daten abgefangen werden, verschlüsseln Sie sie einfach bis zur Unkenntlichkeit. Die Vorteile dieser Methode liegen auf der Hand: Selbst wenn es einem Angreifer gelingt, Daten abzufangen, wird er mit ihnen nichts anfangen können. Die Nachteile sind jedoch schwerwiegend.
Es gibt zwei hauptsächliche Probleme in punkto Verschlüsselung; eines ist ein technisches, das andere ein menschliches Problem.
Die technischen Fragen sind, ob die Verschlüsselung stark genug ist und ob sie unterstützt wird. Zum Beispiel ist eine 40-Bit-Verschlüsselung möglicherweise nicht ausreichend und nicht alle Applikationen bieten integrierte Verschlüsselungsunterstützung. Außerdem sind Plattform- übergreifende Verschlüsselungslösungen selten und in der Regel nur in spezialisierten Applikationen verfügbar.
Das menschliche Problem liegt darin, dass Benutzer sich möglicherweise gegen die Anwendung von Verschlüsselung wehren. Sie finden sie vielleicht lästig. (Können Sie sich beispielsweise vorstellen, dass Macintosh-Anwender jedes mal S/Key benutzen, wenn sie sich in einen Server einloggen? Diese Leute sind Benutzerfreundlichkeit gewöhnt und wollen nicht für jede neue Arbeitssitzung erst ein Einmal- Passwort generieren müssen.) Benutzer mögen anfänglich derartigen Richtlinien zustimmen, halten sich dann aber nur selten daran.
Kurz, Sie müssen ein freundliches Medium finden - Applikationen, die starke, bidirektionale Verschlüsselung und auch wenigstens etwas Benutzerfreundlichkeit bieten. Deshalb mag ich Secure Shell.
Secure Shell (SSH) bietet sichere Kommunikation für Applikationsumgebungen wie Telnet. SSH ist an Port 22 angebunden und Verbindungen werden über RSA hergestellt. Jeglicher Datenverkehr wird nach erfolgter Authentifizierung mit IDEA verschlüsselt. Dies ist eine starke Verschlüsselung, die sich für jede nicht geheime, nicht klassifizierte Art von Kommunikation eignet.
Secure Shell ist ein Paradebeispiel für eine Applikation, die sowohl Benutzer- als auch administrative Standards vereint.
Es gibt sowohl kostenlose als auch kommerzielle Versionen von SSH und F-SSH. Die kostenlose Version ist ein Unix-Utility, kommerzielle Versionen sind für Windows 3.11, Windows 95 und Windows NT erhältlich.
Sniffer stellen ein bedeutendes Sicherheitsrisiko dar, hauptsächlich, weil sie nicht leicht zu entdecken sind. Sie können enorm davon profitieren, wenn Sie lernen, wie man einen Sniffer benutzt, und wenn Sie verstehen, wie andere einen Sniffer gegen Sie einsetzen können. Und schließlich sei noch gesagt, dass die besten Abwehrmaßnahmen gegen Sniffer eine sichere Netzwerktopologie und starke Verschlüsselung sind.
Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an:
tos.computer@gmx.de
|