06.02.2017

Sniffing: Fühlen Sie sich in Ihrem lokalen Netzwerk sicher?

Die Analogie zwischen Einbruchssicherungen Ihres Büros oder Firmengebäudes in Form von Sicherheitsschlössern, Wachdiensten, Alarmanlagen und so fort sowie den Sicherungsmassnahmen, die in einem lokalen Computernetzwerk eingesetzt oder eben nicht eingesetzt werden, veranschaulicht einen Schwachpunkt heute gängiger IT-Kommunikation. Auch in Zeiten von Firewalls, verschlüsselten Webseiten und gehärteten Serversystemen werden weite Bereiche der Datenübertragung nach wie vor nicht verschlüsselt und sind anfällig gegen Sniffing.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Sniffing

Was verbirgt sich hinter dem Begriff Sniffing?

Zuerst denkt man selbstverständlich an das Erschnüffeln von Informationen, die sich durch einfaches Belauschen des Netzwerks ergeben. Ein solches Schnüffelprogramm klinkt sich in den Datenverkehr eines Netzwerks ein und schneidet alle gesendeten und empfangenen Pakete mit. Technisch geschieht dies in der Regel dadurch, dass ein netzwerkfähiges Gerät im – zumeist lokalen – Netzwerk aufgestellt und in den so genannten promiscuous Mode versetzt wird. Wozu das?

Der Adressat eines Frames in einem Ethernet-Netzwerke wird bekanntlich anhand dessen MAC-Adresse festgelegt. Der Hintergrund dabei ist, dass Ethernet ein verteiltes Medium, ein so genanntes Shared Medium ist. Alle Datenpakete werden an alle Stationen im Netz gesendet. Damit nun nicht die einzelnen Rechner ständig damit beschäftigt sind, die für sie bestimmten Pakete herauszusuchen, wird bereits in der Netzwerkkarte dafür gesorgt, dass nur solche Pakete an den Treiber weitergeleitet werden, die an die MAC-Adresse der NIC gerichtet sind (oder bei denen es sich um Broad- oder Multicasts handelt). Eine Netzwerkkarte kann aber so eingerichtet werden, dass der Capture Driver alle Netzwerkpakete empfängt - das nennt man den Promiscuous Mode. Eine Sniffersoftware kann eine Netzwerkkarte in beide Modi versetzen, in den non-promiscuous mode (nach erfolgtem Sniffing) und Promiscuous Mode. Im Promiscuous Mode sammelt der Sniffer also den gesamten Datenverkehr an die in diesem Modus geschaltete Netzwerkschnittstelle. Es werden nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten.

Interface (hier: eth0) unter einem Linuxsystem in den promiscuous Mode versetzen

 root@sniff-server.netz.local:/# ifconfig eth0 promisc

 Anschliessend sieht man den Zustand promisc bei der Statusanzeige der Netzwerkkarte:

root@sniff-server.netz.local:/# ifconfig eth0

eth0      Link encap:Ethernet  Hardware Adresse d5:1f:f5:bf:87:a4

          inet Adresse:172.16.12.17  Bcast:172.16.12.255  Maske:255.255.255.0

(…)

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metrik:1

(…)

Falls Sie als vielleicht doch nicht so Linux-affiner Nutzer dadurch die Netzwerkkonfiguration Ihres Admin-Kollegen, dessen Linuxserver Sie zum Testen des promiscuous Mode missbraucht haben, verhauen haben und nun nicht wissen, wie Sie PROMISC wieder aus der Netzwerkkarte bekommen: Das geht schlicht und einfach mit ifconfig eth0 -promisc

Unter einem Windows-System den promiscuous Mode aktivieren

Dies ist leider nicht ganz so einfach, es gibt aber eine spezielle Software wie WinPCap, die dies bewerkstelligt. Installiert man ein Snifferprogramm wie z.B. Wireshark unter Windows, wird der benötigte Treiber gleich mitgeliefert. In heutigen Netzwerken sorgen zumeist Switche für die Bündelung und Verteilung des Datenverkehrs – denken Sie daran, dass ein Ethernet-Netzwerk (heutzutage der Standard für LANs schlechthin) schaltungstechnisch gesehen ein sternförmiges Netz ist! Der Adressat eines Datenpakets wird in einem solchen Ethernet-Netz anhand der (zumindest in der Theorie) weltweit einmaligen und eindeutigen MAC-Adresse festgelegt. Ein Switch merkt sich nun für jeden Port die Zuordnung der MAC-Adresse zum daran angeschlossenen Gerät und stellt eingehende Pakete fortan lediglich an dem jeweiligen Ziel-Port zu. Einem Angreifer ist es nun nicht mehr ohne weiteres möglich, Pakete mitzulesen, die nicht an das Gerät gerichtet sind, welches ebenfalls an dem Switch angeschlossen ist – aber logischerweise erst einmal über eine andere MAC-Adresse verfügt.

Soweit die gute Nachricht – die Sie vielleicht ein wenig ruhiger schlafen lässt, denn heutzutage stellen geswitchte Netzwerke den Standard dar. Auch einfache Geräte werden oft umgangssprachlich als Hub bezeichnet, agieren in Wahrheit aber als Switch (switching hub).

Trügerische Sicherheit bei geswitchten Netzwerken

Ein geswitchtes Netzwerk sorgt für eine trügerische Sicherheit. So gibt es beispielsweise die Möglichkeit, MAC-Adressen ebenfalls zu sniffen und dann zu fälschen. Hierzu dient beispielsweise das Tool arpspoof aus dem dsniff-Paket, einer Sammlung sehr leistungsfähiger Sniffing-Tools. Arpspoof versendet ununterbrochen manipulierte ARP-Responses und gaukelt einem oder allen Rechnern im LAN eine falsche Zuordnung der MAC- zur IP-Adresse vor, was dazu führt, dass die betroffenen Rechner alle IP-Pakete an den Rechner des Angreifers senden. Dieser analysiert die Pakete und leitet sie an das eigentliche Ziel weiter. Wird dann eine zweite Instanz von arpspoof gestartet, die sich um die rückwärtige Richtung kümmert, kann der Angreifer auch gleich die Antwortpakete mitlesen. Eine weitere Möglichkeit, in einem geswitchten LAN an Fremdpakete zu kommen, besteht im MAC-Flooding oder auch Switch-Jamming, dem gezielten massenhaften Einschleusen von Datenpaketen (die alle unterschiedliche MAC-Adressen enthalten) in einen Switch. Dieser speichert die MAC-Adressen, bis sein interner Speicher überläuft. Der Switch schaltet dann in den Failopen-Modus um – alle Pakete werden fortan wie bei einem Hub an alle angeschlossenen Netzteilnehmer gesendet. Der Angreifer kann nun den Netzwerkverkehr mitschneiden. Ein Switch alleine ist also noch kein Sicherheitsfeature!

Nach Abschluss des Sniffing (bzw. je nach Auslegung des Sniffers auch im Livebetrieb) wird der aufgezeichnete Datenstrom analysiert. In der einfachsten Form geschieht das zum Beispiel bei einem Passwortsniffer laufend, die mitgeschnittenen Daten werden auf Passwörter untersucht und diese quasi online ausgegeben. Für weitergehende Zwecke besitzen übliche Sniffer unterschiedliche Filter, um die zumeist sehr komplexen Daten gezielt auszuwerten. 

Ein Angreifer kann aus dem mitgeschnittenen Datenverkehr nicht nur eher unverfängliche Informationen wie die besuchten Webseiten mitschneiden, sondern auch und vor allem vertrauliche Informationen. Zuvorderst natürlich durch das erwähnte Passwortsniffing, aber auch eine Ausgabe der besuchten Webseiten kann für einen unbefugten Lauscher interessant sein. Leider werden auch heute noch bei vielen Netzwerkdiensten die Informationen im Klartext übertragen, nicht nur die Authentifizierungsinformationen, sondern auch der gesamte Inhalt – und wer hat nicht schon einmal auf die Schnelle eine Benutzername/Passwort-Kombination per Email übertragen? «Es sieht ja schliesslich keiner ...» – was leider ein Irrturm sein kann. Unrühmliche Beispiele für die unverschlüsselte Übertragung von Informationen sind insbesondere die E-Mail-Protokolle POP3, SMTP und IMAP4, und auch das dem beliebten Instant Messenger zugrundeliegende ICQ-Protokoll ist per se unverschlüsselt.

Übrigens: es gibt das Produkt Sniffer sogar zu kaufen, nämlich als Analysetool des Unternehmens Network General. Dieses Unternehmen führt Sniffer als eingetragenes Warenzeichen, deren Netzwerkanalysetool war seinerzeit eines der ersten auf dem Markt. Aufgrund dieser Tatsache und des eingängigen Namens steht Sniffer inzwischen ganz allgemein als Synonym für LAN-Analysetools. Letzterer Begriff klingt nicht gar so hässlich wie der Begriff Passwortsniffer, der in diesem Zusammenhang auch oft benutzt wird. Er trifft aber die Wahrheit auch nicht weit von deren Kern. 

Selbst viele IT-Experten unterschätzen jedenfalls die Gefahren durch Sniffing - andererseits gibt es auch ein gutes respektive gewolltes Sniffing. So kann der gewiefte Admin Sniffingtools benutzen, um sein Netzwerk auf verdächtige Muster zu untersuchen – der Jäger wird so selbst zum Gejagten. Vor allem so genannte Phone Home-Software kann so aus dem Netzwerk herausgefischt werden. Solche Software nimmt unbemerkt und/oder ungewollt Verbindung beispielsweise mit dem Hersteller einer Software auf, um zu überprüfen, ob der User eine gültige Registrierung hat - oder sie übermittelt irgendwelche anderen relevanten Informationen. Da dies üblicherweise ohne Kenntnis des Users geschieht, kann solche Software durchaus als unerwünscht bezeichnet werden.

Sniffing vorbeugen und bekämpfen

  • Unterteilen Sie Ihre Netztopologie mit qualitativ hochwertigen Switchen - beispielsweise von Cisco oder HP.
  • Sichern Sie Ihr Netzwerk durch Intrusion Detection/Intrusion Prevention Systeme (IDS/IDPS) gegen unbefugte Zugriffe ab.

Ein IDS alleine schützt nicht davor, dass ein befugtes System unbefugten Zugriff erlangt. Einmal davon abgesehen, dass IDS-Systeme nicht in allen Szenarien einsetzbar sind. Eine grosse Anzahl der – vor allem erfolgreichen! – Angriffe auf ein Netzwerk kommt aus dem Netzwerk selbst. Der frustrierte Mitarbeiter, der Gelegenheitshacker aus der Buchhaltung – wenn sich jemand bereits im LAN befindet, ist der Zugriff auf die Netzwerksysteme schwer zu kontrollieren. 

Tipps gegen Sniffing

  • Ein Sniffer lässt sich im Netzwerk meist nur schwer entdecken – er verhält sich ja grundsätzlich erst einmal passiv. Kommen Angriffsszenarien wie das aufgezeigte ARP-Spoofing zum Einsatz, lassen sich zu deren Entdeckung darauf spezialisierte Tools wie Arpwatch einsetzen.
  • Da einige Sniffer-Programme IP-Adressen per Reverse DNS-Lookup zu Hostnamen auflösen, lässt sich ein Sniffing möglicherweise durch einen auffällig gestiegenen DNS-Traffic entdecken. Eine gute Idee ist es immer, eine grafische Netzwerküberwachung (wie etwa Ntop) auf einem separaten System laufen zu haben.
  • Verschlüsseln Sie, wo nur irgend möglich, Ihre Anwendungen: HTTPS, StartTLS, IMAPs und POPs stellen heutzutage kein Hexenwerk und keine unüberwindlichen Hürden mehr dar.

Einmal mehr soll an dieser Stelle der Ratschlag gelten: Holen Sie sich externe Hilfe, wenn Sie nicht ganz sicher sind, woher Auffälligkeiten in Ihrem Netzwerk rühren. Aber trauen Sie sich andererseits ruhig auch, Tools wie Tcpdump oder das erwähnte Wireshark (www.wireshark.org) einmal einzusetzen.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 11. Mai 2017

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Datenschutz PRAXIS

    Datenschutz PRAXIS

    Das Fachmagazin für Datenschutzbeauftragte.

    Mehr Infos

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Compliance und Wettbewerbsrecht für Profis mit Prof. Dr. Patrick Krauskopf

    Neuste Entwicklungen und aktuelle Rechtspraxis

    Nächster Termin: 06. April 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internationale Vertragsgestaltung für Profis mit Prof. Dr. Patrick Krauskopf

    Rechtssichere Verhandlungen und Verträge auf internationalem Parkett

    Nächster Termin: 04. Mai 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 11. Mai 2017

    mehr Infos