Heimnetz im Griff
So geht's: Datenverkehr auswerten, WLAN absichern, Angreifer entdecken!
IN EINEM HEIMNETZ läuft in der Regel der gesamte Datenverkehr über den DSL-Router. Wenn Sie also herausfinden möchten, was in Ihrem Netzwerk passiert, welche Daten ins Internet und aus dem Internet zu allen Ihren Geräten fließen, dann ist Ihr Router der richtige Ansatzpunkt für eine umfassende Analyse. Wir zeigen, wie Sie bei diesem Gerät das Protokoll für den Datenverkehr einschalten und es anschließend mit der neuesten Version von Wireshark (auf Plus-DVD 2) auswerten. Denn wenn es um die Analyse des Netzwerkverkehrs geht, ist das Mittel der Wahl Wireshark – eine extrem leistungsfähige Open-Source-Software, die selbst bei IT-Profis sehr beliebt ist. Sie ist nicht nur für Windows, sondern auch für Linux erhältlich. Ende 2015 bekam Wireshark sein erstes großes Update auf die Version 2.0. Hier erfahren Sie, wie Wireshark funktioniert, was es Neues bei Version 2 gibt und wie Sie mit dem Tool den Datenverkehr Ihres gesamten Heimnetzwerks analysieren. Wichtig: Sie dürfen aus rechtlichen Gründen mit Wireshark oder auch mit anderen Netzwerk-Analyse-Tools nur Ihr eigenes Netzwerk scannen. Wenden Sie die hier beschriebenen Methoden nicht bei fremden Netzwerken und anderen Personen an.
Das ist neu in der Version 2 von Wireshark
Wireshark ist in der Lage, eine Vielzahl von Netzwerkprotokollen zu erkennen und mitzuschneiden. Mit dabei sind etwa IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, WPA/WPA2 und viele weitere. Wireshark ist die Fortentwicklung des Tools Ethereal, das es bereits seit 1998 gibt. Unter dem Namen Wireshark tauchte die Software im Jahr 2006 auf, damals zunächst in der Version 0.99, später dann als 1.x. Im Dezember 2015 machte die Version nach langer Pause den Sprung auf die Version 2. Sie enthält einige neue Funktionen und viele klei- ne Verbesserungen. Die Neuerungen betreffen vor allem die Bedienerführung und die grafischen Tools zum Auswerten des aufgezeichneten Netzwerkverkehrs. Nun dürfen Fenster mit Messwertdarstellungen, etwa zu TCP-Streams oder Durchlaufzeiten, gleichzeitig geöffnet bleiben, was bei der Analyse eines Datenstroms sehr hilfreich sein kann. Eine komplette Liste aller Neuerungen und Verbesserungen finden Sie über www.pcwelt.de/QkEY1b.
Wireshark installieren und einen PC überwachen
Für Wireshark ist es kein Problem, den Datenverkehr des Windows-PCs aufzuzeichnen, auf dem es installiert ist. Und was dabei herauskommt, ist sogar deutlich interessanter, als man meinen mag. Denn auf einem aktuellen Windows 7, 8 oder gar 10 passiert bereits ohne, dass Sie ein typisches Online-Programme geöffnet haben, etwa Browser, Outlook oder Skype, eine ganze Menge: Windows fragt einen Microsoft-Server an, um zu testen, ob die Internetverbindung noch steht. Das Antivirenprogramm sucht bei seinem Hersteller im Web nach neuen Versionen, und der Dropbox-Client
„Mit einem versteckten Befehl überwachen Sie per DSL-Router den kompletten Datenverkehr ins Web.“
für Windows sucht nach neuen Dateien in der Cloud. Sollten Sie fürchten, dass sich auf Ihrem PC ein Spionageprogramm befindet, ist Wireshark ebenfalls das Mittel der Wahl, um die Verbindungen der Schadsoftware aufzudecken. Wireshark installieren: Installieren Sie Wireshark auf dem PC, dessen Datenverkehr Sie aufzeichnen möchten. Bei der Installation wird Ihnen angeboten, die Tools Winpcap und Usbpcap mit zu installieren. Winpcap müssen Sie für die Aufzeichnung des Datenverkehrs über die Netzwerkkarten installieren. Wenn Sie auch Usbpcap aufspielen, können Sie zudem Daten von einigen USB-Geräten mitschneiden, etwa die Bewegungen der USB-Maus. Netzwerkadapter wählen: Nach einem PCNeustart lässt sich Wireshark aufrufen und präsentiert Ihnen als Erstes eine Liste mit den erkannten Netzwerkadaptern. Je nachdem, ob Ihr PC per Netzwerkkabel oder per WLAN mit Ihrem Router verbunden ist, wählen Sie den entsprechenden Adapter („Ethernet“oder „WLAN“) per Doppelklick. Wireshark startet darauf hin die Aufzeichnung von allen Daten, die über diese Netzwerkkarte laufen. Domain-Namen anzeigen: Wer zum ersten mal Wireshark startet, wird unter Umständen von den vielen Meldungen abgeschreckt. Die folgenden zwei Optionen erleichtern den Einstieg in die Analyse des Datenverkehrs. Lassen Sie als erstes Wireshark die Domain-Namen zu einer IP-Adresse heraussuchen. Das klappt natürlich überhaupt nur für jene IP-Adressen, zu denen es einen namentlichen Eintrag gibt, und auch dann nicht in allen Fällen. Trotzdem schafft der Austausch von einigen IP-Adressen durch Ihre Domain-Namen bereits eine viel bessere Übersicht. Läuft etwa gerade der Musik-Streamingdienst Spotify, so wird bei etlichen Verbindungen zum Spotify-Server dieser Name angezeigt. Sie Ändern die Anzeigeeinstellung über „Bearbeiten -> Einstellungen -> Name Resolution -> Resolve Network (IP) addresses“. Bei diesem Befehl zeigt sich übrigens, dass auch in der aktuellen Version die Bedienerführung noch nicht komplett ins Deutsche übertragen wurde. Scrollen ausschalten: Standardmäßig springt die Anzeige des Datenverkehrs stets zum neuesten Eintrag. Wenn Sie sich mit dem Protokoll bereits während der Aufzeichnung beschäftigen möchten, ist diese Einstellung unpraktisch. Sie beenden das Scrollen über „Navigation -> Während der Aufzeichnung automatisch scrollen“.
WLAN- Überwachung mit Wireshark nur per Linux
Mit Wireshark den Datenverkehr eines PCs aufzuzeichnen, auf dem Sie das Tool installiert haben, ist wie oben gesehen recht einfach. Möchten Sie den Datenverkehr weiterer WLANGeräte aufzeichnen, geht das zumindest theoretisch ebenfalls mit Wireshark. Alldings klappt das nicht mit einem Windows-PC. Denn die Windows-Treiber für Netzwerkadapter erlauben den nötigen Lauschmodus („Monitoring-Mode“) nicht. Dieser ist nötig, um die Datenströme
anderer Geräte über diesen PC zu leiten. Entsprechend taucht diese Option in Wireshark für Windows auch gar nicht auf. Wenn Sie mit Wireshark für Linux Ihr Glück versuchen möchten, finden Sie auf Plus-DVD 2 das ISO-Image Kali Linux (gratis, Download über www.kali.org), auf dem Wireshark bereits installiert ist. In Wireshark für Linux können Sie unter „Aufzeichnungen -> Optionen -> WLAN“den „MonitoringMode“aktivieren. Allerdings unterstützen auch unter Linux nicht alle Treiber beziehungsweise Netzwerkchips diesen Lauschmodus. Eine WLAN-Abhöraktion mit dieser Methode ist somit nicht sicher möglich. Zuverlässig klappt das Anzapfen der Datenströme aber am Router.
So zeichnen Sie den Datenverkehr am Router auf
Viele der aktuellen DSL-Router bieten eine Option, mit der sich der Datenverkehr am Router aufzeichnen lässt. An dieser Stelle fangen Sie wirklich alle Daten ab. Denn über den Router laufen alle Daten zum und vom Internet, aber auch alle Daten, die im Heimnetz kursieren. Allerdings bietet nicht jeder Router eine Protokollfunktion. So fehlt diese Möglichkeit bei etlichen Zwangsroutern, etwa einigen Kabelmodem-Modellen von Kabeldeutschland/Vodafone. Doch das bedeutet nicht automatisch das Aus für Ihr Aufzeichnungsprojekt. In einem solchen Fall können Sie etwa einen zweiten Router zusätzlich zum Kabelmodem oder Zwangs-DSL-Router nutzen. Den zusätzlichen Router konfigurieren Sie als Access Point für Ihre WLAN-Geräte. Der Zusatzrouter nutzt dann den Internetzugang des vorhanden DSL- oder Kabelmodems. Er bietet sich aber vorrangig Ihren IT-Geräten, etwa PCs und Smartphones, als Verbindungspunkt an. So läuft der Datenverkehr zunächst über den Zusatzrouter – und dort können Sie ihn aufzeichnen. Wenn Sie als Zusatzgerät eine Fritzbox einsetzen, finden Sie über www.pcwelt.de/6t5zUs eine detaillierte Schritt-für-Schritt-Anleitung, wie Sie Ihre Fritzbox als WLAN-Repeater konfigurieren. Die Beschreibung sieht vor, dass sowohl der Router am Internetanschluss als auch das Gerät, das als WLAN-Reapeter dient, dieselbe SSID und denselben WLAN-Schlüssel nutzen. So können Ihre WLAN-Geräte, etwa das Tablet, jeweils den Zugangspunkt wählen, der das stärkere Signal aussendet. In unserem Fall geht es aber darum, dass alle Geräte sich über das Zusatzgerät (WLAN-Repeater) anmelden, damit Sie Ihren Datenverkehr mitschneiden können. Das lässt sich recht einfach dadurch erreichen, indem Sie dem neuen Gerät die alte SSID (WLAN-Kennung) und das alte WLAN-Passwort verpassen. Somit müssen Sie bei Ihren WLAN- Geräten keine Änderungen vornehmen. Bei Ihrem DSL-Router hingegen ändern Sie die SSID und das Passwort. Diese neuen Daten geben Sie noch in das Zusatzgerät (WLAN-Repeater) ein, damit sich dieses mit dem DSL-Router und damit mit dem Internet verbinden kann. Bei der Fritzbox geben Sie die Daten wie in der Anleitung unter www.pcwelt.de/6t5zUs in Punkt „2 Repeater einrichten“beschrieben ein. Übrigens: Einige, aber nicht alle Fritzbox-Modelle bieten diese Repeaterfunktion. Ob Ihr Modell diese Option unterstützt, sehen Sie auf der Liste unter www.pcwelt.de/VDS3LE.
Protokollfunktion im Router finden und einschalten
Zunächst müssen Sie herausfinden, ob Ihr Router die Funktion bietet, den Netzwerkverkehr mitzuschneiden. Meistens verstecken die Hersteller den entsprechenden Menüpunkt in der Konfiguration, um weniger routinierte Anwender nicht zu verwirren beziehungsweise zu überfordern. Zu dem Menü „Paketmitschnitt“in den Fritzboxen gelangen Sie per Browser über die undokumentierten Adresse fritz.box/html/capture. Haben Sie die Fritzbox als WLAN-Repeater konfiguriert (siehe oben), dann erreichen Sie sie nicht über fritz.box, sondern über Ihre IPAdresse, die Sie im Internetrouter erfahren. Ist das etwa 192.186.0.20, dann lautet die Adresse zum „Paketmitschnitt“92.186.0.20/ html/ capture. Bei einigen Speedport-Routern der Telekom ist das Vorgehen ähnlich. Allerdings müssen Sie sich hier erst ganz normal über speedport.ip anmelden und dann die Adresse http:// speedport.ip/html/capture.html oder die Adresse http://speedport.ip/cgi-bin/webcm? getpa ge=../html/capture.html aufrufen. Bei Routern von Alice/O2 klappt es meist mit der Adresse http://192.168.1.1/web.cgi?cont roller= System& action= IndexDiagnostic und Auswahl der Netzwerkschnittstelle „NAS1“. Eventuell müssen Sie sich auch hier erst über http://192.168.1.1 regulär mit dem Routerpasswort anmelden. Bei vielen EasyboxRoutern von Vodafone findet sich unter „Ex- tras -> Diagnoseprogramm -> Aufzeichnen von WAN-Datenpaketen -> VC1“eine Option für das Mitschneiden des Datenverkehrs. Beachten Sie aber, dass Sie rechtlich gesehen nur Ihren eigenen Datenverkehr und den Ihrer minderjährigen Kinder mitschneiden und auswerten dürfen.
Vorbereitungen für den Datenmitschnitt
Um den Netzwerkmitschnitt später gerätespezifisch filtern zu können, müssen Sie herausfinden, welches Gerät vom Router welche interne Netzwerkkennung (IP-Adresse) zugewiesen bekommen hat. Auf einem Windows-PC öffnen Sie dazu die Kommandozeile und tippen ipconfig ein. Interne Netzwerkadressen haben in der Regel den Aufbau 192.168.x.x. Auf einem Android-Gerät öffnen Sie die WLAN-Einstellungen, tippen auf die Menütaste und wählen „Erweitert“. Sie gelangen auf eine Statusseite, auf der Sie die interne IP-Adresse ablesen können.
Datenmitschnitt des Routers starten
Wir beschreiben im Folgenden am Beispiel der Fritzbox 7290, Firmware-Version Fritz OS 5.50, wie Sie einen Paketmitschnitt anlegen: Als Erstes rufen Sie die oben schon erwähnte Adresse fritz.box/html/capture.html auf. Klicken Sie dann in der Zeile „Routing-Schnittstelle“auf „Start“. Nach kurzer Zeit sollte ein Downloaddialog erscheinen. Falls nicht, rufen Sie in einem zweiten Browserfenster eine beliebige Webseite auf, um etwas Netzwerkverkehr zu erzeugen. Spätestens jetzt können Sie den Download des Mitschnitts starten. Es handelt sich dabei um einen gestreamten Download: Wenn (Internet-)Pakete von der Fritzbox oder an sie gesendet werden, werden sie gleichzeitig auch in die offene Downloaddatei hineingeschrieben. Findet gerade keine Übertragung statt, pausiert also auch der Download. Wenn Sie nach einigen Minuten, Stunden oder Tagen für Ihre Zwecke genügend Daten gesammelt haben, klicken Sie auf der „Fritz!Box Paketmitschnitt“-Seite auf den Button „Stop“. Was Sie keinesfalls tun sollten: den
Download über das Dialogfeld des Browsers beenden. Denn dann wird er abgebrochen, und die bis dahin erhaltenen Daten sind futsch.
Datenmitschnitt mit Wireshark auswerten
Den Paketmitschnitt analysieren Sie mit Wireshark ein. Starten Sie die Software, und klicken Sie auf „Datei, Öffnen“, um die vom Router erstellte Datei zu öffnen. Sie erhalten nun eine tabellarische Ansicht aller Datenpakete, die während des Mitschnitts über die Fritzbox gelaufen sind. Im oberen Drittel sehen Sie die Paketliste, im mittleren Drittel Detailinfos zum ausgewählten Paket und im unteren Drittel dessen (binären) Inhalt. Die Spalte „No.“gibt die laufende Nummer des Pakets an, die Spalte „Time“die Sekunden seit dem Start des Paketmitschnitts. Über „Ansicht -> Format der Zeitanzeige“können Sie „Datum und Uhrzeit“auswählen und so einen genauen Datums- und Uhrzeitstempel jedes Eintrags erhalten. In der Spalte „Source“steht, woher das Datenpaket kam, und unter „Destination“, wohin es ging. Das verwendete Übertragungsprotokoll entnehmen Sie der Spalte „Protocol“. Die Größe des Datenpakets steht unter „Length“. Und einen Auszug aus dem Inhalt fördert die Spalte „Info“zutage. Zu einigen Einträgen liefert Ihnen Wireshark auch bei diesem aufgezeichneten Protokoll statt der IP-Adresse den Domain-Namen. Wo das nicht klappt, können Sie noch selber Infos zur IP-Adresse einholen. Starten Sie dazu einen Browser und öffnen Sie die Site www. network-tools.com.
Mitschnitt auf ein Gerät beschränken
Möchten Sie die Paketanalyse auf ein Netzwerkgerät einschränken, müssen Sie zunächst alle anderen Pakete herausfiltern. Geben Sie dazu in Wireshark in das Eingabefeld „Anzeigefilter anwenden“Folgendes ein: „! ip.addr==“, gefolgt von der IP-Adresse, auf die Sie die Analyse eingrenzen wollen. Beispiel: ! ip. addr==192.168.0.13. Bestätigen Sie mit der Eingabetaste. Nun werden alle Pakete angezeigt, in denen diese IP nicht auftaucht. Über „Bearbeiten -> Alle angezeigten Geräte ignorieren“blenden Sie diese aus. Löschen Sie den Filter von oben mit einem Klick auf das X am Ende der Zeile. Nun tauchen alle Pakete der gewählten IP auf – in unserem Beispiel 192.168.0.13. Diese könnten Sie jetzt einzeln anklicken und den Inhalt analysieren. Eine leichter überschaubare Darstellung, die alle kontaktierten Server zusammenfasst, erhalten Sie über „Statistiken Endpunkte -> IPv4“in einem separaten Fenster. Unter „Statistiken“hat sich übrigens in der Version 2 von Wireshark sehr viel verbessert. Die Auswertungstools in diesem Menü bieten nun teils deutlich mehr Übersichtlichkeit und auch die Möglichkeit zum Feintuning der Ausgabe.
So analysieren Sie den Datenverkehr mit Wireshark
Möchten Sie die Kommunikation mit einem speziellen Server genauer unter die Lupe nehmen, klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen „Als Filter anwenden -> das Ausgewählte“. Nun zeigt das Hauptfenster von Wireshark nur noch die betreffenden Pakete an. Klicken Sie das erste davon mit der rechten Maustaste an und wählen Sie „Folgen -> TCP Stream“, um den Inhalt des Pakets in einer besser lesbaren Form und zusammen mit dem Inhalt der dazugehörigen anderen Pakete zu sehen. In der Regel handelt es sich um ein Anfrage-Antwort-Pärchen: Am Anfang steht die Anfrage, die Ihr Rechner an einen Server gesendet hat, darauf folgt dessen Antwort. Die gesendeten Daten sind dabei in Rot eingefärbt, die empfangenen in Blau. Beachten Sie, dass Sie viele Paketinhalte nicht entziffern können werden. Nämlich einerseits, wenn es sich um Binärinhalte wie Bilder handelt – und zum anderen, wenn die Daten verschlüsselt übertragen wurden, zum Beispiel per Https oder VPN. Auch im Hauptfenster zeigt Wireshark jetzt nur noch die Pakete an, die zu dem im Extra-Fenster dargestellten Datenaustausch gehören. Zum nächsten Anfrage-Antwort-Pärchen der zuvor ausgewählten Serververbindung zu gelangen, ist etwas umständlich: Klicken Sie das letzte Datenpaket in der Liste an, und wechseln Sie dann ins noch geöffnete Fenster „IPv4 Endpoints“. Klicken Sie mit der rechten Maustaste auf den gleichen Servernamen wie vorhin, und wählen Sie erneut „Als Filter anwenden -> das Ausgewählte“. Wenn es weitere Verbindungen zu dem Server gab, werden diese im Hauptfenster unter dem zuvor von Ihnen markierten Datenpaket angezeigt. Klicken Sie den darauf folgenden Eintrag mit der rechten Maustaste an, und wählen Sie wiederum „Folgen -> TCP Stream“. Wiederholen Sie dieses Vorgehen so lange, bis für den ausgewählten Servernamen im Hauptfenster von Wireshark keine weiteren Pakete angezeigt werden. Im Anschluss können Sie sich im Fenster „IPv4 Endpoints“dem nächsten Servernamen zuwenden, der Ihr detektivisches Gespür weckt.