IT-Forensik. Inhaltsverzeichnis. Einleitung Aufgabenstellung

Transkript

1 IT-Forensik von: Lenz / Püschel / Diebel Inhaltsverzeichnis Einleitung Aufgabenstellung Technische Grundlagen verwendete Dienste Einführung in Wireshark / Etherreal Einführung in Nmap Einführung in Ntop Installation der Dienste Anleitung Einsatz der Dienste Funktionsweise von Wireshark Funktionsweise von Nmap Funktionsweise von Etherape

2 Aufgabenstellung Uns wurde die Aufgabe gestellt die Netzüberwachung für ein kleines Netzwerk bereitzustellen. Unsere Aufgabe war den Datenverkehr des Netzes zu überwachen und zu protokollieren. Für diesen Zweck haben wir uns für die Programme Nmap, Etherape und Wireshark entschieden. Als Betriebssystem verwendeten wir Ubuntu v7.04 Feisty Fawn. Verwendete Dienste Als Dienste benutzen wir das Netzwerküberwachungsprogramm Wireshark, welches auf Linux und Microsoft Windows eingesetzt werden kann, für unseren Zweck verwenden wir jedoch die Linux Variante. Neben Wireshark verwendeten wir noch die Vorgängerversion Ethereal von Wireshark. Für die Überwachung der Ports haben wir das Programm Nmap verwendet, welches größtenteils für Linux verwendet wird. Einführung in Wireshark / Ethereal Wireshark, ehemals Ethereal genannt, ist ein Programm zur Analyse von Netzwerk-Kommunikationsverbindungen. Das Programm Wireshark stellt nach der Aufzeichnung des Datenverkehrs einer Netzwerkschnittstelle, wobei es sich meistens um eine Ethernet-Netzwerkkarte mit TCP/IP handelt, die Daten in From einzelner Pakete dar. Hierbei werden die Daten übersichtlich, für den Benutzer nachvollziehbar analysiert. So kann der Inhalt der mitgeschnittenen Pakete betrachtet oder nach bestimmten Inhalten gefiltert werden. Unter Windows wird der Datenverkehr von Wireshart transparent mit Hilfe von WinPcap aufgezeichnet. Für Windows gibt es eine alternative Benutzeroberfläche namens Packetyzer.

3 Das Aufzeichnungsformat der Messdaten wurde von tcpdump entlehnt beziehungsweise übernommen. Desweiteren kann Wireshark zusätzlich die Formate anderer LAN-Analyzer einlesen. Wireshark wurde ursprünglich als Ethereal von einem Team um Gerald Combs unter der GNU General Public License als Open- Source-Software (freie Software) entwickelt. Als Gerald Combs von Ethereal Software Inc. Zu CACE Technologies wechselte, startete er ein eigenes Folgeprojekt und nannte es Wireshark. Die erste Version wurde am 7. Juni 2006 veröffentlicht. Das Originalprogram Etherreal ist weiterhin in der Version erhältlich, wird aber vorraussichtlich nicht mehr weiterentwickelt. Einführung in Nmap Nmap ist ein Werkzeug zum Scannen und Auswerten von Hosts und kann somit der Kategorie der Portscanner zugeordnet werden. Der Name steht für Network Mapper. Nmap wurde von einem unter dem Nichname Fyodor bekannten Hacker ursprünglich für das Betriebssystem Linux entwickelt. Das Programm was rein textbasiert ist unterliegt der General Public License und ist somit freie Software, kann aber auch kostenpflichtig unter einer alternativen Lizenz erworben werden, um es innerhalb von Software zu verwenden welche nicht an die GPL gebunden ist. Neben der textbasierten Variante gibt es noch die grafische Benutzeroberfläche NmapFE zur komfortablen Einstellung von Nmap. Die Portierung (Porteinstellung) für Windows Betriebssysteme bietet den vollen Funktionsumfang. Nmap- Versionen vor der Version 4.0 sind jedoch unter Windows XP mit Servicepack 2 nur noch begrenzt verwendbar. Nmap wird in erster Linie zum scannen von Ports d.h. Untersuchen der Ports eines Hosts eingesetezt. Nmap wurde ständig erweitert und konnte sich vor allem durch die aktiven Techniken für OS- Fingerprinting (dem Erkennen des eingesetzten Betriebssystems auf dem Zielhost) einen Namen machen. Auch das Mapping von Umgebungen (Erkennen aktiver Hosts) ist möglich.

4 Nmap ist bei Hackern sowie Administratoren sehr beliebt, da es sehr effizient und zuverlässig arbeitet. Es ist ein wichtiger Bestandteil bei Netzwerkdiagnosen und der Auswertung von netzwerkfähigen Systemen. Unter anderem wird es auch vom Vulnerability Scanner Nessus zur Erfassung offener Ports eingesetzt. Einführung in Ntop ntop (network top) ist eine Open-Source-Software, mit der Netzwerkverbindungen mitgeschnitten und analysiert werden können. Der Name ist an das Unixprogramm top angelehnt, weil es alle gerade etablierten Verbindungen anzeigt. ntop hat sich allerdings etwas von seinen Wurzeln getrennt und kann darüber hinaus auch den bereits getätigten Netzwerkverkehr grafisch auswerten. Das Programm wurde von Luca Deri, einem italienischen Wissenschaftler an der Universität von Pisa im Juni 1998 initiiert, wird aber inzwischen von vielen anderen weiterentwickelt. Netzwerktechnisch ist ntop zwischen OSI-Schicht 2 (MAC) und 3 (TCP/IP) anzusiedeln. Standardmäßig fungiert ntop als Webserver (dessen Verbindung optional mittels OpenSSL verschlüsselt werden kann) und benötigt einen Webbrowser um die Ausgabe anzusehen. Die Ausgabe ist aufwändig gestaltet, u.a. mit JavaScript und grafischen Elementen. Es besteht aber auch die Möglichkeit, die Ausgabe ähnlich wie tcpdump in eine Textdatei umzuleiten. sflow und netflow werden ebenso unterstützt wie RRD und eine Vielzahl weiterer Protokolle, darunter TCP/UDP/ICMP, (R)ARP, IPX, NetBIOS, AppleTalk, SMTP/POP/IMAP, SNMP; als Übertragungsmedium wird auch Fibre Channel unterstützt. Ein Nachteil von ntop ist die fehlende Speichermöglichkeit der

5 gesammelten Netzwerkdaten, d.h. bei jedem Neustart des Programms müssen neue Daten gesammelt werden. Dadurch verbraucht es zum einen recht viel Speicher, zum anderen kann man ntop nicht dauerhaft als grafischen Trafficauswerter (wie beispielsweise MRTG) benutzen. Installation von Wireshark / Ethereal / Nmap / Ntop /Etherape Um ein Programm auf Ubuntu zu installieren muss man zunächst über den Menüpunkt Administration in die Synaptic- Systemverwaltung wechseln. Anschließend wird man aufgefordert das root Passwort einzugeben, dies dient dazu das System vor ungewollten Veränderungen durch unauthorisierte Benutzer zu schützen. Nachdem man sich authentifiziert hat gelangt man in die Paketverwaltung von Synaptic. Hier sucht man nach dem Eintrag für das gewünschte Programm, beispielsweise Wireshark, und wählt diesen zu Installation aus. Sollte für das gewünschte Programm noch kein Eintrag in der Liste verfügbar sein, ist es gegebenenfalls notwendig die Liste zu aktualisieren, was über den Menüpunkt Neu laden getan werden kann. Wenn man fertig ist klickt man auf die Schaltfläche Anwenden um die benötigten Resourcen zur Installation hernuterzuladen. Nach dem Download startet Ubuntu eigenständig die Installation des Programms. Funktionen: Funktionsweise von Wireshark Mitschneiden von Live Aufnahmepacketen Anzeigen der Pakete mit vielen detailierten Informationen Öffnen und Speichern von Aufnahmepacketen Importieren und Exportieren Sie Aufnahmepackete

6 Filtern Sie die Packete nach vielen Kriterien Suchen Sie nach bestimmten Packeten mit bestimmten Kriterien Heben Sie Packete eines bestimmten Filterkriteriums farblich hervor Erstellen Sie Statistiken Bevor weiter auf Wireshark eingegangen wird hier erstmal eine Erläuterung der verschiedenen Optionen: Das Wireshark Hauptfenster

7 Die Wireshark Hauptsymbolleiste Schnittstellen: Diese Schaltfläche listet die verfügbaren Ethernet Schnittstellen auf. Optionen: Öffnet das Optionsmenü und ermöglicht eine Aufnahme zu starten. Start: Startet eine Aufnahme. Stop: Stopt eine Aufnahme. Neustart: Startet eine Aufnahme neu. Öffnen: Öffnet eine zuvor gespeicherte Aufnahme. Speichern als: Speichert eine Aufnahme in eines der möglichen Capture-Formate die Wireshark unterstützt. X Schließen: Schließt die jeweilige Aufnahme. Neuladen: Läd die jeweilige Aufnahmedatei neu. Drucken: Druckt die Pakete im Hauptfenster.

8 Filter erstellen: Ermöglicht es Filter zu erstellen, zu benennen und für die Zukunft zu speichern Filter anzeigen: Listet die selbsterstellten Filter auf. Wie oben in der Einführung bereits beschrieben wurde, dient Wireshark dazu Aktivitäten im Netzwerk zu überwachen und zu protokollieren. Bevor man eine Aufzeichnung startet kann man wählen aus: Um Wireshark etwas besser zu veranschaulichen hier einmal ein Beispiel: Wir starten einen beliebigen Internet Browser, in unserem den Mozilla Firefox v , und stellen eine Verbindung zu her. Nachdem die Seite geladen wurde stoppen wir die Aufzeichnung mit Wireshark und haben nun folgendes Bild vorliegen:

9 Man kann auf der Grafik erkennen das Wireshark die IP Adresse des PCs auflistet, welcher sich gerade mit Google verbunden hat. Zudem wird noch das verwendete Protokoll aufgelistet. Unsere Aktion beginnt jedoch erst ab Zeile 4, dem türkisen Feld. Hier sendet unser Computer per DNS eine Anfrage an den Router, welche IP die Domäne besitzt, anschließend teilt er diese unerem PC mit. In Zeile 6 verbindet sich unser PC jetzt mit der IP welche per DNS vom Router aufgelöst wurde. Alle grünen Felder beinhalten TCP und HTTP Anfragen an den Google Server, was man an der Protokollspalte sehr schön erkennen kann. Bei HTTP erhält unser PC per GET alle nötigen Informationen vom Server, die er benötigt um die Internetseite zu laden. In diesem Feld werden alle Protokolle aufgelistet die in einem ausgewählten Paket verwedet wurden

10 Als letztes Fenster wird noch das Paket-Byte Fenster angezeigt: Die linke Seite zeigt den Adressabstand im Hexadezimal Feld, in der Mitte wird die Hexdezimalcodierung angezeigt und auf der rechten Seite werden die Codierungen in ASCII angezeigt. Abhängig von den Paketdaten ist mehr als eine Seite verfügbar, zb wenn Wireshark Datenblöcke neu zusammenstellt. Wenn dies der Fall ist werden die Tabs der jeweiligen Fenster unter dem Paket- Byte Fenster angezeigt. In diesem Fenster kann man ausserdem verschiedene Sequenzen der Übertragung in Klarschrift lesen. Hier von markiert beispielsweise im türkisen Rahmen die HTTP Version 1.1 und der aufgerufene Host Im roten Rahmen, die verwendete Windows NT Version unseres PCs. Und im purpurnen Rahmen die verwendete Firefox Version. Filterung

11 Mit Wireshark ist es möglich sich nur bestimmte Einträge im Sniffer- Fenster anzeigen zu lassen. Man kann die Protokolle, welche man herausfiltern möchte in direkt in das Suchfenster eintippen. Ist das zu filternde Protokoll vorhanden, färbt sich das Eingabefenster grün wie hier im Beispiel: Hier noch ein Beispiel für eine falsche Eingabe: Expression: Es ist jedoch nicht zwingend erforderlich das gesuchte Protokoll per Hand einzutippen. Indem man auf die Schaltfläche Expression... klickt öffnet sich eine umfangreiche Liste mit allen Protokollabkürzungen und Funktionen die zur Zeit existieren. Apply: Mit Apply wird die gewünschte Filterung auf das Sniffer- Fenster angewandt und es werden nur die herausgefilterten Protokolle angezeigt. Clear: Mit der Schaltfläche Clear stellt man den ursprünglichen Sniffer-Bildschirm wieder her, das heisst es werden alle aufgezeichneten Vorgänge angezeigt, und nicht nur jene die man herausgefiltert hat. Funktionsweise von Nmap Nutzer: Nmap ist bei Hackern sowie Administratoren sehr beliebt, da es sehr effizient und zuverlässig arbeitet. Es ist ein wichtiger Bestandteil bei Netzwerkdiagnosen und der Auswertung von netzwerkfähigen Systemen. Unter anderem wird es auch vom

12 Vulnerability Scanner Nessus zur Erfassung offener Ports eingesetzt. Verwendung: Nmap wird in erster Linie zum scannen von Ports d.h. Untersuchen der Ports eines Hosts eingesetezt. Nmap wurde ständig erweitert und konnte sich vor allem durch die aktiven Techniken für OS-Fingerprinting (dem Erkennen des eingesetzten Betriebssystems auf dem Zielhost) einen Namen machen. Auch das Mapping von Umgebungen (Erkennen aktiver Hosts) ist möglich. Wir benutzen zur besseren Übersicht das grafische Tool NmapFE Grundlagen der Funktionen Nmap bietet zahlreiche Befehle um das Scannen vielsteitig zu gestalten. Hier sind einige Grundbefehle aufgeführt die Um nmap zu starten, öffnet man einen Terminal [3] und führt den folgenden Befehl aus: sudo nmap [Art des Scans] <Optionen> Ziel Als Ziel sollte eine IP-Adresse (oder ein Adressbereich) angegeben werden. Wird nmap ohne Angabe eines Ziels aufgerufen, so erhält man als Ausgabe eine kurze Übersicht über die verschiedenen Scan-Techniken und Optionen. Hinweis: nmap kann auch ohne Root-Rechte gestartet werden, allerdings ist der Funktionsumfang (also die Art der möglichen Scans) dann stark eingeschränkt. Ein Beispiel Sehen wir uns ein erstes Beispiel an. [root] ~ $ nmap -st m0n0 Starting nmap 3.20 ( ) at

13 11:17 CEST Interesting ports on m0n0 ( ): (The 1610 ports scanned but not shown below are in state: closed) Port State Service 80/tcp open http Nmap run completed -- 1 IP address (1 host up) scanned in seconds Mit dem Kommando nmap -st m0n0 untersucht nmap den Host m0n0 auf offene TCP-Ports. Dabei überprüft nmap nicht alle TCP-Ports. Per Default werden nur 1611 "wichtige" Portnummern gescannt. Auf dem Host m0n0 wird ein offener Port entdeckt (HTTP). Der Scan dauert etwa 11 Sekunden. Grundsätzlich sollten auf einem System nur die Ports offen sein, die wirklich benötigt werden. Nachfolgend sind diverse Scantechniken aufgeführt - Alle Befehle die persönlich von uns getestet wurden. Nmap bietet weitere Befehle zur Erweiterung der Scans an. TCP connect-scan -st Einfacher Connect Scan. Hierbei wird pro zu scannendem Port eine volle TCP-Verbindung auf- und wieder abgebaut. Dieser Scan steht als einziger zur Verfügung, wenn nmap ohne Root-Recht aufgerufen wird. TCP SYN-Scan -ss Einfacher Connect Scan. Hierbei wird pro zu scannendem Port eine volle TCP-Verbindung auf- und wieder abgebaut. Dieser Scan steht als einziger zur Verfügung, wenn nmap ohne Root-Recht aufgerufen wird.

14 UDP Portscans -su Scannt UDP-Ports statt TCP. Fingerprint -O Jede Implementierung von TCP/IP hat ihre Eigenheiten. Mit der Option -O versucht Nmap diese Eigenheiten zu erkennen und das Betriebssystem des Targets zu identifizieren. [root] ~ $ nmap -st -O m0n0 Starting nmap 3.20 ( ) at :59 CEST Interesting ports on m0n0 ( ): (The 1610 ports scanned but not shown below are in state: closed) Port State Service 80/tcp open http Remote operating system guess: FreeBSD 4.7-RELEASE Uptime days (since Fri Apr 1 15:41: ) Nmap run completed -- 1 IP address (1 host up) scanned in seconds Im gezeigten Beispiel erkennt Nmap auf dem Zielsystem ein FreeBSD 4.7. Port-Bereiche -p -p X Scannt nur Port X -p X-Y Scannt nur Port X bis Y -p X,Y,Z Scannt die Ports X, Y und Z -p- Alle Ports scannen -F Schneller Scan, scannt nur die bekannten Ports, welche in der Datei nmap-services aufgeführt sind. -r Scannt alle Ports in numerischer Reihenfolge, was zu besserer Übersichtlichkeit mit der Option -v führen kann. Standardmäßig wählt nmap eine zufällige

15 Reihenfolge. Sonstige Optionen -P0 Normalerweise überprüft nmap vor einem vollen Portscan über Ping und TCP-Port 80, ob der Rechner überhaupt existiert und online ist. Diese Option schaltet das ab und wird benötigt um Hosts zu scannen, die keinen Webserver laufen haben und Ping blocken. -e eth0 Weißt nmap explizit an, die Netzwerkschnittstelle eth0 zu nutzen. Normalerweise wählt nmap die Schnittstelle selber aus. -on DATEI Protokolliert den Scan in DATEI -v Gibt zusätzliche Informationen während des Scans aus. Funktionsweise von Etherape Etherape ist ein Tool zur Grafischendarstellung der Netzwerkaktivitäten ihres Computers. Dieses Tool sorgt dafür das die Netzaktivitäten etwas anschaulicher dargestellt nwerden können Das Programm finden Sie nach der Installation über sudo apt-get install etherape im Internetmenü. Sie können EtherApe als Root mittels sudo etherape oder aus dem GNOME-Menü über Anwendungen Internet EtherApe as root starten. Führen Sie anschließend einmal ein ping auf einen bekannten Internetrechner durch und verfolgen Sie den Weg der Graphikpakete in der graphischen Darstellung.

16