Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Einleitung
TEIL I: Einstieg in Linux
2 Die Installation
3 Erste Schritte
4 Linux als Workstation für Einsteiger
TEIL II: Grundlagen
5 Kernel
6 Grundlagen aus Anwendersicht
TEIL III: Die Shell
7 Die Shell
8 Reguläre Ausdrücke
9 Konsolentools
10 Die Editoren
11 Shellskriptprogrammierung mit der bash
12 Die C-Shell
TEIL IV: System- & Netzwerkadministration
13 Benutzerverwaltung
14 Grundlegende Verwaltungsaufgaben
15 Netzwerkgrundlagen
16 Anwendersoftware für das Netzwerk
17 Netzwerkdienste
18 Mailserver unter Linux
19 LAMP & Co.
20 DNS-Server
21 Secure Shell
TEIL V: Die grafische Oberfläche
22 Die grafische Oberfläche
23 Window-Manager und Desktops
24 X11-Programme
25 Multimedia und Spiele
TEIL VI: Systeminterna
26 Prozesse und IPC
27 Bootstrap und Shutdown
28 Dateisysteme
29 Virtualisierung und Emulatoren
TEIL VII: Programmierung und Sicherheit
30 Softwareentwicklung
31 Crashkurs in C und Perl
32 Einführung in Computersicherheit
33 Netzwerksicherheit überwachen
TEIL VIII: Anhang
A Lösungen zu den einzelnen Aufgaben
B Kommandoreferenz
C X11-InputDevices
D MBR
E Buch-DVDs
F Glossar
G Literatur
Stichwort

Buch bestellen
Ihre Meinung?

Spacer
Linux von Johannes Plötner, Steffen Wendzel
Das umfassende Handbuch
Buch: Linux

Linux
Rheinwerk Computing
1282 S., 5., aktualisierte Auflage 2012, geb., mit 2 DVDs
49,90 Euro, ISBN 978-3-8362-1822-1
Pfeil 33 Netzwerksicherheit überwachen
Pfeil 33.1 Snort
Pfeil 33.1.1 Aufbau der Intrusion Detection
Pfeil 33.1.2 snort.conf
Pfeil 33.2 Netzwerkmonitoring mit Nagios
Pfeil 33.2.1 Installation
Pfeil 33.2.2 Konfiguration
Pfeil 33.2.3 Plugins
Pfeil 33.3 Nmap: Der wichtigste Portscanner
Pfeil 33.3.1 Prinzip eines Portscanners
Pfeil 33.3.2 Techniken des Scannens
Pfeil 33.3.3 Weiterer Informationsgewinn
Pfeil 33.3.4 Nmap in der Praxis
Pfeil 33.3.5 Angabe der Scanziele
Pfeil 33.4 Sniffer
Pfeil 33.4.1 tcpdump
Pfeil 33.4.2 Wireshark (ehemals Ethereal)
Pfeil 33.4.3 dsniff
Pfeil 33.5 Zusammenfassung

Rheinwerk Computing - Zum Seitenanfang

33.4 SnifferZur nächsten Überschrift

Auch mit Sniffern kann man die eigene Netzwerksicherheit testen. Bei Sniffern handelt es sich nämlich um Programme, die allen Traffic auf den angeschlossenen Netzwerkschnittstellen filtern und abhören können.

Netzwerktraffic mitlesen

Nun nutzt einem natürlich der eigene Netzwerktraffic reichlich wenig, ein Angreifer allerdings würde sich freuen. Wozu also der Einsatz so komplizierter Software, wenn sie uns keine neuen Informationen liefert?

Nun ja, die Software mag uns keine Informationen liefern, aber sie wird Ihnen zeigen, wie wichtig es ist, dass Sie Verschlüsselungsalgorithmen einsetzen. Schließlich bietet selbst ein geswitchtes Netzwerk keinen prinzipiellen Schutz vor dem Sniffen von Daten, und nur Daten, die ein Angreifer nicht lesen kann, sind sichere Daten.


Rheinwerk Computing - Zum Seitenanfang

33.4.1 tcpdumpZur nächsten ÜberschriftZur vorigen Überschrift

Es gibt die unterschiedlichsten Programme mit Sniffingfunktionalität. Das Tool tcpdump ist dabei der Klassiker auf der Kommandozeile. Man kann das Programm mit sehr vielen interessanten Optionen starten, die alle auf der Manpage erläutert werden. Im Folgenden soll nur ein kurzes Beispiel für die Arbeitsweise des Tools gezeigt werden:

Listing 33.43 tcpdump in Aktion

# tcpdump -i ppp0 -X -n port 21
tcpdump: listening on ppp0
[..]
14:49:21.234124 208.185.25.35.21 > 84.128.103.33. \
33074:S 4021009076:4021009076(0) ack 2787216476 \
win 5792 <mss 1452,sackOK,timestamp 450101057 \
1603198,nop, wscale 0> (DF)
0x0000 4500 [..] 9d3e d0b9 1923 E..<..@.8..>...#
0x0010 5480 [..] bab4 a621 8c5c T.g!...2.....!.\
0x0020 a012 [..] 05ac 0402 080a ................
0x0030 1ad3 [..] 0300 ...A..v~....
14:49:21.234310 84.128.103.33.33074 >
208.185.25.35.21: . ack 1 win 5808 <nop,nop,
timestamp 1603211 450101057 > (DF)
0x0000 4500 [..] 9b1f 5480 6721 E..4.&@.@...T.g!
0x0010 d0b9 [..] 8c5c efab bab5 ...#.2...!.\....
0x0020 8010 [..] 080a 0018 768b ..............v.
0x0030 1ad3 [..] ...A
14:49:21.382351 208.185.25.35.21 > 84.128.103.33. \
33074:1:43(42) ack 1 win 5792 <nop,nop,timestamp \
450101072 1603211> (DF)
0x0000 4510 [..] 5128 5480 6721 E..F\.@.@.Q(T.g!
0x0010 8065 [..] 5800 68de e1a5 .eP.....).X.h...
0x0020 8018 [..] 080a 0022 15c4 ............."..
0x0030 1ad8 [..] 6569 6e65 6168 ...KPASS.keineah
0x0040 6e75 6e67 0d0a nung..

Passwort auslesen

Neben viel Schrott – das Paket wird schließlich binär ausgegeben, in diesem Fall also mit dem PPP-, dem IP- und dem TCP-Header – können wir auch nützliche Informationen erkennen, wie in diesem Fall die Zeichenkette »PASS keineahnung«.

Da das FTP-Protokoll textbasiert ist, können solche Informationen »mitgelesen« werden, wenn der Traffic über den Rechner des Angreifers läuft. Dies kann ein Angreifer durch die Übernahme eines Routers, eines Gateways oder im lokalen Netz mittels ARP-Spoofing erreichen.

Mit anderen Worten: Es ist möglich, mit einem Sniffer im lokalen Netz die Zugangsdaten für FTP-Dienste mitzulesen – auch wenn man dafür Administratorrechte auf dem betreffenden Client braucht. Wenn also das Netz unsicher ist, wie in einem Internetcafé oder einem Rechenzentrum mit vielen Nutzern, oder wenn man sehr sensible Daten übertragen möchte, sollte man auf andere Protokolle ausweichen. Ein Kandidat wäre SFTP, also FTP über eine gesicherte SSH-Verbindung.


Rheinwerk Computing - Zum Seitenanfang

33.4.2 Wireshark (ehemals Ethereal)Zur nächsten ÜberschriftZur vorigen Überschrift

Mehr Erklärungen

Eine Abstraktionsschicht darüber ist das Programm Wireshark, das uns zwar auch alle Informationen über die gesendeten Pakete gibt, aber den kryptischen Inhalt bereits hervorragend aufschlüsselt und erklärt.


Rheinwerk Computing - Zum Seitenanfang

33.4.3 dsniffZur vorigen Überschrift

Wie gefährlich Sniffer aber wirklich sein können, zeigt vor allem ein weiteres Programm: dsniff. Dieser Sniffer wurde nämlich eigens darauf ausgelegt, übertragene Passwörter mitzulesen und auszugeben. Alles andere wird ignoriert, sodass ein Angreifer die für ihn interessanten Daten nicht einmal aus dem ganzen Rest herausfiltern muss:

Abbildung

Abbildung 33.2 Sniffen mit wireshark

Listing 33.44 dsniff: Der Passwortsniffer

# dsniff -i ppp0
dsniff: listening on ppp0
-----------------
09/25/04 7:41:49 tcp p54806721.dip.t-dialin.net.3381 \
-> debian-mirror.cs.umn.edu.21 (ftp)
USER anonymous
PASS lftp@

Dieses Beispiel sollte noch einmal die Relevanz und die potenzielle Gefahr verdeutlichen, die von Sniffern ausgeht. Heutzutage hat es niemand mehr nötig, sich durch kryptische Ausgaben von tcpdump zu wühlen; man nutzt frei verfügbare Programme oder schreibt sich gar selbst das für den eigenen Anspruch »perfekte« Tool.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.

>> Zum Feedback-Formular
<< zurück
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux Handbuch






 Linux Handbuch


Zum Katalog: Linux Server






 Linux Server


Zum Katalog: Raspberry Pi






 Raspberry Pi


Zum Katalog: Ubuntu 14.04 LTS






 Ubuntu 14.04 LTS


Zum Katalog: Roboter bauen mit Arduino






 Roboter bauen
 mit Arduino


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Rheinwerk Verlag GmbH 2012
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de