Netzwerkverkehrsanalyse eines Smartphones mit Wireshark

Transkript

1 Netzwerkverkehrsanalyse eines Smartphones mit Wireshark websurfen chatten Volker Massmann BBS Osnabrück Brinkstraße shopping en V.Massmann Netzwerkverkehrsanalyse eines Smartphones mit Wireshark

2 Wireshark

3 Wireshark

4 Wireshark Zielsetzungen für diesen Workshop Netzwerkverkehrsanalyse von Smartphone-Kommunikation Aspekte der Smartphone-Kommunikation Sicherheitsaspekte & Verhaltensregeln im WLAN (s.) Vorschlag für eine Netzwerklaborumgebung Vorstellung eines unterrichtstauglichen es mit Cisco Netzwerkkomponenten im Mehrbenutzerbetrieb Demo: statistische Auswertung mit ntop Analyse mit Wireshark Theorie I: Aufbau & grundsätzliche Handhabung I: Analyse der eigenen Smartphone-Kommunikation Sicherheitsüberprüfung Protokollverwendung/ Portnutzung Suche nach Klartext-Passwörtern Theorie II: erweiterte Analyse-Möglichkeiten & Anregungen II: eigenständige Umsetzung Aufzeigen von Möglichkeiten mit tcpdump & Co auf CLI-Ebene siehe

5 Wireshark

6 : Content & Access Device Access Transport Content wireless & mobile [ PAN: Bluetooth ] IEEE LAN/MAN: Wireless LAN IEEE a/b/g/n Internet z.b. Server Webserver Wireshark Smartphone Backup WAN: PLMN 2G: GSM/GPRS 2,5G: EDGE 3G/ 3.5G: UMTS/ HSDPA 4G: LTE ab Schicht 3: TCP/IP Cloud Storage Adressen Kalender Daten

7 : neues Smartphone 2 Erlebnisse 1. Akku über Nacht leer! - Warum??? Frage: Was kommuniziert ohne Zutun von selbst? welches App? wann & wie oft? durch welche Konfiguration getriggert? 2011/10 Wireshark Smartphone 2. c t-artikel 1/2012, S /12 Die Hotspot-Falle - Gefahren in öffentlichen Funknetzen Wie kommuniziert mein Smartphone? Ist meine Kommunikation sicher? (Protokolle?) (Verschlüsselung?)

8 : Akkulaufzeit & Sicherheit Kommunikation Nw-Verkehr Protokoll Telefonie PLMN - CS SMS PLMN SS#7 akkuschonende Verwendung & Sicherheit Standby ok Betrieb bei Bedarf ok, selten Wireshark Smartphone websurfing location based services social networks Chat Cloud Storage PLMN - PS / WLAN HTTP SMTP POP3/IMAP HTTP HTTP IRC HTTP ok, bei Bedarf ok, bei Bedarf ok, alle 30min ok, bei Bedarf (GPS off) Nein Verkehr verringern Akkulaufzeit erhöhen! Nein Sichere, verschlüsselnde Protokolle verwenden! ok, bei Bedarf online shopping HTTP Nein, nur schauen! online banking HTTP Niemals!

9 : Kommunikationswege für Datendienste Wireshark Smartphone Mobilfunk PLMN packet switched Wireless LAN GPRS EDGE UMTS/ HSDPA AP unter eigener Kontrolle (Home) WPA2-PSK, VPN, Zertifikate AP unter fremder Kontrolle (BBS) Nutzung mit unbekannten Personen? Hotspot, freies WLAN Innenstadt, Flughafen, Internet Café VPN ist keine Lösung! fake Hotspot - Vorsicht Falle! freies WLAN privat, ungesichert, offen Sicherheitsfaktoren: Verschlüsselung Fremdnutzung Vertrauenswürdigkeit

10 Wireshark : Ansatzpunkte zur Analyse sicherheitsrelevante Fragestellungen: Welche sicherheitskritischen Daten sind im Klartext in meiner TCP/IP-Kommunikation enthalten? Ist meine -kommunikation sicher? Sind meine Zugriffe auf den Software Market sicher?... Wireless LAN LAN WAN Verschlüsselung? Fremdnutzung? Vertrauenswürdigkeit? Provider? Internet Smartphone Backup Backup login name password session data BLZ/ Konto-Nr. credit card data einfachster Ansatzpunkt für ein Netzwerklabor

11 Wireshark

12 Wireshark : Netzwerklabor-Lösung Bereitstellung einer Wireless LAN-Umgebung mit Internetanbindung Verwendung von Cisco Nw-Komponenten Anwendung von CCNA KnowHow feste IP-Adressvergabe per DHCP (Benutzerregistrierung) Mitschnitt des gesamten WLAN-Netzwerkverkehrs im LAN pro Zeitintervall (2 min) im pcap-format Filterung der Daten nach IP-Adressen (pro Benutzer) Bereitstellung der benutzerspezifischen Daten über Dateiserver (mit Passwortschutz) Benutzer können eigene Daten kopieren und löschen Analyse des eigenen Netzwerkverkehrs mit Wireshark Datenlöschung der verbleibenden Daten am Ende

13 Netzwerkplan: Netzwerklabor-Lösung SSID: WLAN_traffic_capturing PSK: Ich bin einverstanden! MAC IP AP DHCP MAC1 IP1 user1 WLAN /24 MAC2 IP2 user2 Smartphones Wireshark e (Web-) Server Server Internet DNS DNS Infrastruktur ptbtime1.ptb.de

14 Netzwerkplan: Netzwerklabor-Lösung SSID: WLAN_traffic_capturing PSK: Ich bin einverstanden! MAC IP AP DHCP MAC1 IP1 user1 WLAN /24 MAC2 IP2 user2 Smartphones Wireshark Gw-Router Cisco 2621 NAT overload DHCP DNS-Relay NTP-Relay Inter-VLAN Routing ACL e (Web-) Server Server Internet DNS DNS Infrastruktur ptbtime1.ptb.de

15 Netzwerkplan: Netzwerklabor-Lösung Network Monitoring Server -tcpdump/ libpcap SSID: WLAN_traffic_capturing PSK: Ich bin einverstanden! MAC IP AP DHCP MAC1 IP1 user1 WLAN /24 MAC2 IP2 user2 Smartphones Port Mirroring Wireshark Switch Catalyst 2950 Gw-Router Cisco Q trunk 24 1 (SPAN) VLAN NAT overload DHCP DNS-Relay NTP-Relay Inter-VLAN Routing ACL Switched Port Analyzer e (Web-) Server Server Internet DNS DNS Infrastruktur ptbtime1.ptb.de

16 Wireshark Netzwerkplan: Netzwerklabor-Lösung PC - Wireshark - Analyse pcap-files user1 e Network Monitoring Server -tcpdump/ libpcap -ntop Dateiserver - pcap-files.250 user1 user2 AP2 Switch Catalyst 2950 Gw-Router Cisco (Web-) Server Server LAN Q trunk Internet AP1 WLAN / / VLAN Port Mirroring (SPAN) VLAN 20 SSID: WLAN_traffic_capturing PSK: Ich bin einverstanden! NAT overload DHCP DNS-Relay NTP-Relay Inter-VLAN Routing ACL DNS DNS DHCP MAC IP Smartphones Switched Port Analyzer Infrastruktur MAC1 IP1 user1 MAC2 IP2 user2 ptbtime1.ptb.de

17 Demo Wireshark

18 Wireshark Demo: statistische Analyse - Vorbereitung DHCP Internet WLAN /24 AP1 1 Hinweis zum Datenschutz: Die einzelnen Paketdaten werden nicht gespeichert und nur statistisch ausgewertet! 1 2 Smartphone am WLAN-AP anmelden: SSID: WLAN_traffic_capturing PSK: Ich bin einverstanden! MAC-Adresse der WLAN- Schnittstelle notieren! Nix tun & warten! Benutzer Smartphone user X MAC X IP X 2 Administrator 1 2 feste IP-Zuordnung für MAC X per DHCP Passwort an user X

19 Wireshark Demo: Statistische Analyse - Sichten Summary Global Traffic Statistics Hosts IP/ MAC first / last seen traffic total / statistics last contacted Peers TCP/UDP Ports Traffic Maps Host Map (GeoIP Database/ GoogleMaps API) Network Load Grafiken (RRDtool) IP local Ports used

20 Wireshark

21 : Packet Capturing Software I A Little History... Wireshark tcpdump ethereal libpcap BPF winpcap CACE project renaming CACE/riverbed Berkeley Packet Filter Linux Bibliothek Windows Bibliothek Unternehmen Packet Capturing HW & SW Project Sponsoring

22 : Packet Capturing Software II GNU/Linux Windows Bibliothek: libpcap WinPcap SW: tcpdump (CLI) Wireshark (GUI) Wireshark tcpdump.org tshark (CLI) capture ring buffer wireshark.org Ausgabe: weitere Tools (CLI): dumpcap editcap mergecap test2pcap alle capture files im libpcap-format!

23 Wireshark I Wireshark I

24 Wireshark I Wireshark I:... ein paar Vorworte Wireshark provides you with a microscope to examine the detailed behaviour on the network. Wireshark stellt Dir ein Mikroskop bereit, um das Verhalten im Netzwerk ausführlich untersuchen zu können. Werkzeug The behaviour you observe makes sense only in the context of the applicable networking standards Das beobachtete Verhalten ist nur sinnvoll im Zusammenhang mit den anwendbaren Netzwerkstandards. Einsatzmöglichkeit First you must know what is supposed to be happening - then you analyze what is actually happening - then you discern the differences. Zuerst musst Du wissen, was vermutlich stattfindet 1. Normalfall - dann analysiere was aktuell passiert 2. Fehlerfall - danach wirst Du die Unterschiede wahrnehmen. Hinweis zur Vorgehensweise Quelle: Joe Bardwell ( Sharkfest 11 Stanford University

25 Wireshark I Wireshark I: Voraussetzungen die "gute" Absicht, s.a. Hackerparagraf die PCAP-Bibliothek (libpcap/ winpcap) muss installiert sein Wireshark muss mit Administrator-Rechten ausgeführt werden, um die Netzwerkpakete vom Protokollstapel mitschneiden zu können die Netzwerkkarte kann in den promiscuous mode geschaltet werden, um auch Pakete mit zu schneiden, die nicht für die eigene IP bestimmt sind!

26 Wireshark I: Aufbau Wireshark I

27 Wireshark I: Aufbau: Menü Wireshark I Menü/ Symbolleiste Auswahl der Netzwerk-Schnittstelle Start/ Stopp des Paketmitschnitts (Packet Capturing) speichern reload (Neueinlesen der mitgeschnittenen Daten) u.v.m.

28 Wireshark I: Aufbau: Filter Wireshark I Filter (optional) - Sicht Filterung der im nächsten Fensterbereich angezeigten Pakete. Filter: Eingabefeld für Filterregeln Expression: Assistent zur Entwicklung von Filterregeln Clear: aktive Filterregel deaktivieren Apply: neue Filterregel aktivieren

29 Wireshark I: Aufbau: Packet List Wireshark I Packet List - Pakete laufende Nr Zeit (t=0 entspricht Startzeitpunkt des Capturing) Source (IP oder MAC) / Destination (IP oder MAC) Protokoll Info (Name der Protokollnachricht) Die Auswahl eines einzelnen Paketes ist möglich, die weitere Analyse erfolgt im nächsten Fensterbereich!

30 Wireshark I: Aufbau: Packet Details Packet Details Protokollstack eines Paketes Darstellung des kompletten Protokollstacks des oben ausgewählten Paketes von L1 bis ggf. L7 die einzelnen Protokolle können aufgeschlüsselt werden. markierte Daten werden im nächsten Fensterbereich farblich hervorgehoben. Layer 5-7 Layer 4 Layer 3 Layer 2 Layer 1 Wireshark I Layer 1 Layer 2 Layer 3 Layer 4 Layer 5-7

31 Wireshark I: Aufbau: Packet Bytes Wireshark I Packet Bytes Daten einer Protokollschicht eines Paketes Darstellung der Daten (Bits & Bytes) der oben ausgewählten Protokollschicht. Export von Rohdaten

32 Wireshark I: Capturing Live Network Data Wireshark I

33 Wireshark I Wireshark I: einfache Filter Und wenn es in der Packet List mal zu voll wird... eigene IP-Adresse (Source oder Destination) ip.addr== (Source) ip.src== (Destination) ip.dst== bestimmte MAC-Adresse TCP UDP HTTP-Protokoll DNS-Protokoll IMAP-Protokoll POP3-Protokoll MySQL-Nachricht eth.addr eth.dst eth.src tcp udp http dns imap pop mysql.message Relation (comparing values) is present ==!= > >= < <= contains matches

34 Wireshark I Wireshark I: Tipp: Namensauflösung Zur besseren Sichtbarkeit der richtigen Capturing Daten kann es hilfreich sein, die Namensauflösung für MAC-Adressen nach Herstellername per Liste IP-Adressen nach FQDN via reverse DNS lookup und TCP-/UDP-Portnummern nach Protokollname per Liste auszuschalten. Anschließend ein Reload durchführen! View Name Resolution Haken entfernen!

35 I Wireshark I

36 Wireshark I I: LAN-Anbindung Zugang zum Dateiserver SSID: WLAN_traffic_capturing PSK: Ich bin einverstanden! Smartphone user X DHCP MAC X IP X Internet WLAN /24 2 AP1 1 1 feste IP-Zuordnung für MAC X per DHCP 2 Passwort an user X 3a Ethernet LAN /24 DHCP Dateiserver pcap-files user 1 user 2 user X AP2 SSID: WLAN_traffic_analysis PSK: Wireshark-Workshop 3b Notebook user X 4 Passwort X

37 Wireshark I Ia 1. LAN-Anbindung Notebook (Wireshark-Analyse) per Patchkabel am LAN-Switch oder per Wireless LAN (Access Point #2) SSID WLAN_traffic_analysis PSK: Wireshark-Workshop personifizierten Zugriff auf den Dateiserver herstellen \\ \classroom Login/ PSW vom (Papierabschnitt) 2. optional: Wireshark Installation Dateiserver \\ \classroom\exchange\software\ aktuelle Wireshark Version 1.6.7

38 Wireshark I Ib 3. Wireshark mit Administratorrechten starten Mitschnitt von beliebiger (aktiver) Nw-Schnittstelle durchführen GUI-Aufbau studieren, Auswahlfunktion ausprobieren einfachen Filter ip.addr==w.x.y.z ausprobieren Namensauflösung nach Wunsch einstellen und anschließend Reload der Capture -Daten durchführen 4. anderen Teilnehmern helfen Administrator 1 2 Router# hardware mac Router# clear ip dhcp *

39 Wireshark I Ic 5. IP-spezifische Mitschnitte vom Dateiserver herunterladen \\ \classroom\capture\results\<IP>\ letzten Mitschnitt in ein lokales Verzeichnis umkopieren Datei in Wireshark öffnen 6. Analyse mit Wireshark Welche Kommunikationspartner treten auf? Welche Protokolle werden verwendet? Fand die Kommunikation automatisch oder selbst-initiiert statt? 7. anderen Teilnehmern helfen

40 Wireshark I Exkurs zu Id Netzwerklabor-Lösung Multi-User Packet Capturing Tool network traffic on capturing interface Smartphone-Kommunikation 09:59 10:00 10:01 10:02 10:03 Zeitintervall 120s Trigger (exakt jede gerade Minute!) Packet Capturing & Filtering Process Möglichkeit zur Netzwerkverkehrsanalyse t pcap-file Dateiserver traffic_ _ x.pcap timestamp ip-address Wireshark-Limit: Pakete!

41 Wireshark I Id 8. Smartphone-Kommunikation bewusst initiieren z.b. senden/ abholen (o.a. SW-Market Google Play, social network) innerhalb des Mitschnitt-Intervalls von 120 s anschließend pcap-file vom Dateiserver herunterladen 9. Analyse mit Wireshark Protokollverwendung/ Port-Nutzung Suche nach Klartextpasswörtern/ unverschlüsselter Kommunikation [App-Nutzung: Welche Advertising-Server wurden kontaktiert?] Bewertung: Sicherheit der Kommunikation? 10. anderen Teilnehmern helfen

42 Wireshark II: Features & Anregungen Wireshark II

43 Wireshark II: a) Capture Filters Filter Expression dialog box (Filterleiste: -> Expression) defining & saving (Menü: Analyze -> Display Filters) Wireshark II

44 Wireshark II: a) Capture Filters Relation (comparing values) is present == eq!= ne > gt >= ge < lt <= le contains matches Logic (combining expressions) and or && Logical AND or or Logical OR xor or ^^ Logical XOR not or! Logical NOT [n] [...] Substring operator s.a. packetlife.net

45 Wireshark II: a) Capture Filters Protokolle & Attribute L2: eth.addr.src.dst.ig eq 1 (multicast or broadcast) vlan.id.priority arp.src.hw_mac.dst.hw_mac (ARP/RARP) L3: ip.addr.src.dst ipv6.addr.src.dst icmp/icmpv6 L4: tcp.port.srcport.dstport.ack.checksum_bad udp.port.srcport.dstport.checksum_bad L5-7: diverse! mit Bezug zu Cisco CCNA: RIP, RIPng, EIGRP, OSPF, PPP, VTP, STP

46 Wireshark II: b) Zeit-Ansicht Menü: -> View -> Time Display Format Seconds Since Beginning of Capture Seconds Since Previous Packet Wireshark II ICMP Ping-Zeiten Ermittelbar, wenn ein ping-test mitgeschnitten wurde

47 Wireshark II: c) Finding Packets Auffinden von Paketen: TCP-Verbindungsaufbau ip.src== and tcp.flags.syn==1 Wireshark II TCP-Verbindungsabbau ip.src== and tcp.flags.fin==1

48 Wireshark II: c) Finding Packets Wireshark II

49 Wireshark II: d) Follow TCP Stream Menü: -> Analyze -> Follow TCP Stream Wireshark II entweder tcp.stream eq 1 oder! tcp.stream eq 1 sukzessives Filtern möglich: importieren filtern exportieren, uswusf.

50 Wireshark II: e) Flow Graph Menü: -> Statistics -> Flow Graph... Wireshark II

51 Wireshark II: f) Statistics Summary Protocol Hierarchy Conversations Endpoints IO Graphs Wireshark II

52 Wireshark II: zzzzz) Wireshark User s Guide Wireshark II noch mehr Anregungen: im Wireshark User s Guide auf dem Dateiserver unter: im dieser Präsentation auf dem Dateiserver unter: Präsentationen zum Sharkfest `11 auf dem Dateiserver unter: \exchange\info\wireshark\ \exchange\info\ \exchange\info\wireshark\

53 II Wireshark II

54 II Auf Entdeckungsreise gehen! Wireshark II

55 Wireshark Smartphones sind kommunikationsfreudig und bedürfen der Konfigurationspflege nicht jede App installieren! der Internetzugang über WLAN ist meist sicherheitskritisch vertrauliche Kommunikation sollte verschlüsselt stattfinden und überprüft werden! Wireshark als Tool zur Analyse von Netzwerkverkehr strukturierten Einstieg erhalten? sehr vielseitig! und damit unverzichtbar für den Netzwerk Administrator ist eine große Familie an Network-Tools Hoffentlich: Neugierde geweckt & Möglichkeiten aufgezeigt Ideen & Anregungen für eigene Projekte gegeben

56 noch Fragen offen? Fragen?

57 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver

58 Weblinks Weblinks tcpdump.org tcpdump & libpcap Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver wireshark.org Wireshark User Guide Wiki Command-line Manual Pages Display Filter Reference ( Sharkfest: Videos & Presentations FAQ, Q&A IPv4/IPv6 Connectivity Test ( cacetech.com Riverbed Technology products for high performance traffic recording & analysis sponsor of wireshark project ntop.org ntop, ndpi

59 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Hackerparagraf Hackerparagraf (oder auch Hackertoolparagraf) ist eine umgangssprachliche Bezeichnung für den Ende Mai 2007 mit großer Mehrheit im Bundestag in Deutschland verabschiedeten 202c des deutschen Strafgesetzbuches (StGB) mit dem offiziellen Titel Vorbereiten des Ausspähens und Abfangens von Daten. Der Paragraph stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal ein Jahr Freiheitsstrafe). Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind. Quelle: de.wikipedia.org Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver

60 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver Netzwerkverkehrsanalyse im LAN: Werkzeuge Passive Werkzeuge Network Sniffer (Live-Mitschnitte) Wireshark (GUI) tcpdump (CLI) Ausgabe auf Konsole Ausgabe in Datei tshark (wie tcpdump) (CLI) capture ring buffer Monitoring ntop (statistische Auswertung) (GUI) Live-Sicht RRD-Grafiken MySQL-DB Aktive Werkzeuge Port Scanner nmap ICMP-ping-Scan Service-Scan ferner: Verkehrsfluss netflow, sflow Monitoring ICMP-Ping (Verfügbarkeit) SNMP (Ereignisse, traps)

61 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Netzwerklabor-Lösung: Features zentraler und einfacher Ansatzpunkt zur Verkehrsanalyse im Netzwerk per Port Mirroring im LAN-Switch zentrale Statistik über WLAN-Nutzung mit ntop Protokoll-Nutzung (u.a. Transport-/ Application-Layer) traffic (sent/receive) pro Host, pro Target Datenaggregation per round-robin-database grafische Darstellung auf Web-GUI zentrales Packet Capturing Mehrbenutzer-Capturing Vertraulichkeit der mitgeschnittenen Daten gegenüber anderen Benutzern autostop capturing für 120s per cronjob anschließende Filterung pro fester IP (per DHCP) mit tcpdump Bereitstellung der personenspezifischen capture files auf Dateiserver Konfiguration - Switch - Router - Dateiserver

62 : tcpdump Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung # tcpdump i eth0 [-G 30] n vv w tcpdump.log alle 30s überschreiben time format: s. strftime(3), pcap-savefile(5) -U unbuffered ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver

63 : tshark I Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver # tshark -a duration:300 autostop -b duration:300 [-b files:6] capture ring buffer option (6 files á 5min) [-B] capture buffer size (default 1MB) -C <config profile> -D capturing devices -L link type {Ethernet DOCSIS} -f <capt. Filter> capture filter -E / -e output on stdout -i <interface> -l pipes! flush stdout after the info for each packet is printed -n disable network object name resolution -p disable promiscuous mode -q quiet / no statistics -r <infile> read packet datsa from file

64 : tshark II Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr # tshark -S decode and display packets even while writing raw packet data using w option -t ad a r d dd e timestamp in summary lines (default: r relative) -T pdml psml ps text fields set format of the output when viewing decoded packet data -T fields E separator=, -E quote=d -> csv-format -v version -w <outfile> write raw packet data to outfile or to the standard output -y <capture link type> set capture link type, s. L -z statistics Konfiguration - Switch - Router - Dateiserver s. a. # man tshark

65 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver : Multi-User Packet Capturing Tool mucato.sh Shellscript eigene (nicht perfekte, aber funktionierende) Lösung mit autostop-funktion von tshark über crontab Funktionen Initialisierung der Verzeichnisstruktur mit Rechtevergabe Datenlöschung Start/ Stop als cronjob oder single run Status Voraussetzungen PC-System mit mind. 2 NIC (+1 NIC für ntop) GNU/Linux OS (Debian 6) Freigabe auf Dateiserver samba konfiguriert alle Tool-Benutzer sind im System & Dateiserver vorkonfiguriert s.a. Dateiserver

66 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver Installation: ntop unter Debian Voraussetzung: Linux-Kenntnisse! Debian GNU/Linux 6 Squeeze installieren Standard-Installation von netinst-cd Netzwerk einrichten SW-Paketquellen einrichten SW-Pakete build-essential und gcc (& diverse andere) nachinstallieren ntop aus dem SW-Quellcode kompilieren! Quellcode von ntop.org herunterladen nach Anleitung auspacken und installieren Dreisprung./autogen.sh make make install ntop-konfiguration ntop einmalig starten: ntop -u ntop -P /usr/local/share/ntop -A und über das Web-GUI weiter konfigurieren rrdtool ohne rrdcached verwenden!

67 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver Android Apps Liste nützlicher Android-Apps für Netzwerk Administratoren: Wifi Analyzer Übersicht WLAN Access Points SSID, Verschlüsselung, Kanal, Feldstärke Network Info II external IP/ ext. Hostname (Provider/ DSL-Zugang) Fing eine Art nmap Geräte im WLAN ausfindig machen Shark Netzwerk Sniffer DroidSheep Guard Detektierung ARP-Spoofing disable Wifi on alert

68 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver -kommunikation: sicher durch Verschlüsselung Verschlüsselnde Protokolle vom MUA bis zum MTA/MDA ( -server) einsetzen! Ggf. PGP verwenden, um die selbst und nicht den Weg abzusichern! senden: SMTPS über TCP/465 - Verschlüsselung überprüfen! SMTPS über TCP/587 - Verschlüsselung überprüfen! SMTP über TCP/25 unsicher abholen: IMAPSv4 über TCP/993 mit TLS IMAP über TCP/143 unsicher POP3S über TCP/995 über TCP/110 unsicher, da mit oder ohne TLS möglich) POP3 über TCP/110 unsicher s.a. wikipedia: StartTLS

69 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Switch: Port Mirroring: SPAN Session Switch Port ANalyzer - Konfiguration auf Cisco Switch conf t no monitor session all monitor session 1 source interface Fa0/21 23 both monitor session 1 destination interface Fa0/24 [encapsulation dot1q] end show monitor session 1 Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver s.a.

70 Switch: Stille auf den Ports! Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr conf t no cdp run no spanning-tree vlan X no keepalive Ethernet Frame 0x9000 CTP - Configuration Test Protocol (Loop) (vergleichbar mit einem ping auf L2) Konfiguration - Switch - Router - Dateiserver s.a.

71 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver Router: DHCP: dynamic & fixed IP addresses DHCP - Konfiguration auf Cisco Router ip dhcp excluded-address ip dhcp excluded-address ip dhcp pool WLAN-POOL network domain-name it.local dns-server default-router lease 0 4 ip dhcp pool WLAN-FIX-01 host hardware-address 008A client-name user1

72 Weblinks Hacker- Paragraf Werkzeuge zur Nw-Verkehrs- Analyse Dateiserver \\ \ im Verzeichnis exchange befinden sich alle Dokumente & Unterlagen zum Workshop Netzwerklabor- Lösung ntop- Installation Android-Apps -Verkehr Konfiguration - Switch - Router - Dateiserver