Die Netzwerkanalyse

Ein « Netzwerkanalysator » (auf Englisch sniffer, übersetzt « schnüffler ») ist eine Anwendung, mit der man Netzwerk-Traffic d'« abhören » kann, also auf die Informationen zugreifen kann, die darauf zirkulieren.

In einem nicht geschaltetem Netzwerk werden die Daten an alle Rechner im Netzwerk versendet. Bei normaler Verwendung hingegen werden von den Rechnern die Pakete ignoriert, die nicht für sie bestimmt sind. Verwendet man also das Netzwerk-Interface in einem bestimmten Modus (man nennt in meist promiskuitiven Modus) kann man den gesamten Traffic verfolgen, der über einen Netzwerkadapter läuft (eine Ethernet Netzwerkkarte, eine Karte für drahtlose Netzwerke, etc.).

Verwendung eines Sniffers

Ein Sniffer ist ein tolles Tool, um den Traffic eines Netzwerks zu verfolgen. Er wird meist von Administratoren verwendet, um Probleme am Netzwerk festzustellen und um den Traffic zu kennen, der darauf zirkuliert. Intrusions-Detektoren (IDS, fürintrusion detection system) sind auf einem Sniffer aufgebaut, um Frames zu empfangen, und verwenden eine Datenbasis mit Regeln (rules) um verdächtige Frames zu entdecken.

Leider kann der Sniffer, wie alle Administrations-Tools auch von Personen mit schlechten Absichten genutzt werden, die physischen Zugang zum Netzwerk haben, um Informationen zu sammeln. Dieses Risiko ist bei Drahtlosnetzwerken noch um einiges höher, da es schwer ist, die Hertz-Wellen auf einen klar abgegrenzten bereich zu beschränken, was dazu führt, dass böswillige Personen den Traffic verfolgen können, wenn sie einfach nur in der Nähe sind.

Der Großteil der Internetprotokolle übertragen Informationen in klarer Form, also nichtchiffriert. Wenn also ein User des Netzwerks seine E-Mails über das ProtokollPOP oder IMAPaufruft, oder im Internet auf Seiten surft, deren Adressen nicht mit HTTPS beginnen, können alle versendeten Informationen abgefangen werden. So wurden von Hackern spezielle Sniffer entwickelt, um an Passwörter zu gelangen, die im Netzwerk in Umlauf sind.

Gegenmaßnahmen

Es gibt mehrere Möglichkeiten, sich vor den Unannehmlichkeiten zu schützen, die durch die Verwendung eines Sniffers auf Ihrem Netzwerk entstehen könnten :

• Verwendung von chiffrierten Protokollen für alle Kommunikationen, deren Inhalt höhere Vertraulichkeit verlangt.
• Das Netzwerk segmentieren, um die Verteilung der Informationen einzuschränken. Vor allem ist die besser, switchs zu verwenden (Schalter) als hubs (Knotenpunkte) da sie die Kommunikationen schalten, also Informationen nur an die Empfangsrechner senden.
• Einen Sniffer-Detektor verwenden. Das ist ein Tool, welches das Netzwerk durchforscht und dabei nach Hardware sucht, die denpromiscuous Modus verwendet.
• Für Drahtlosnetzwerke ist es empfehlenswert, die Stärke der Hardware so stark zurückzuschrauben, bis wirklich nur die benötigte Oberfläche abgedeckt ist. Dies hindert potentielle Hacker nicht daran, das Netzwerk abzuhören, daber es reduziert den geographischen Umkreis, in dem es möglich ist.

Weitere Informationen

• Ethereal, der bekannte Netzwerkanalysator
• TCP dump
• WinDump, die Windows-Version von TCP dump