Musterlösung für Schulen in Baden-Württemberg Windows 2003 Netzwerkanalyse mit Wireshark Stand: 10.02.2011 / 1. Fassung
Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg Autoren Adrian Koch Felix Kehl Alexander Beer Endredaktion Adrian Koch Weitere Informationen http://www.lehrerfortbildung-bw.de/netz/ Veröffentlicht: Februar 2011 Zentrale Planungsgruppe Netze (ZPN)
Inhaltsverzeichnis 1. Einführung...4 2. Arbeiten mit Wireshark...5 2.1. Installation...5 2.2. Aufzeichnung beginnen...5 2.3. Fehlersuche im Netzwerk...7 2.4. Datenverkehr auslesen...8
Einführung 1. Einführung Diese Anleitung beschreibt die Fehlersuche im Netzwerk mit Hilfe des Open-Source Netzwerk-Sniffers Wireshark. Ein Netzwerk-Sniffer ist eine Software, die den Datenverkehr im Netzwerk aufzeichnet, dekodiert und diesen dann lesbar darstellt. Für die Fehlersuche muss der Rechner mit der Software Wireshark in dem Netzwerksegment betrieben werden, in dem auch der Fehler auftritt. Es genügt aber nicht, dass diese Station an den entsprechenden Switch angehängt wird, da dieser nur Datenpakete weiterleitet, die für den angeschlossenen Rechner bestimmt sind. Manche Switches haben deshalb einen speziellen Monitoring-Port, der den gesamten Datenverkehr spiegelt. Falls der Switch keinen Monitoring-Port bietet, dann können Sie diesen auch mit einem einfachen Hub ersetzten, der ebenfalls den Datenverkehr aller Ports erfasst. Für diese Fälle könnte Wireshark für Sie von Nutzen sein: Ihr Netzwerk funktioniert nicht oder ist langsam fehlerhaft konfigurierte Clients (DNS, Subnetzmask, IP Adressen) Außerdem kann mit Wireshark deutlich gemacht werden, wie leicht Passwörter in verschiedenen Zusammenhängen über das Netzwerk ausgelesen werden können. 4
Kapitel 2 2. Arbeiten mit Wireshark Die nachfolgenden Übungen können Sie in der Vmware-Umgebung durchführen. Hierzu benötigen Sie die virtuellen Maschinen S1, PC1 und PC2. 2.1. Installation 1. Melden Sie sich als Administrator am PC1 an. 2. Laden Sie Wireshark für Windows 32-bit von der Internet-Seite http://www.wireshark.org/ herunter. 3. Installieren Sie Wireshark mit den Standardeinstellungen. 2.2. Aufzeichnung beginnen So zeichnen Sie Netzwerkaktivitäten auf: 4. Starten Sie Wireshark am PC1 über Start Programme Wireshark. 5. Klicken Sie im Menü Capture auf Interfaces... 6. Wählen Sie den Netzwerkadapter für die Aufzeichnung aus und klicken Sie auf Start. 7. Starten Sie den Internet-Explorer und rufen Sie eine Internet-Seite auf. Anschließend sehen Sie den Datenverkehr im Fenster. 5
Den Datenverkehr können Sie nach verschiedenen Gesichtspunkten filtern. Sie können sich z.b. den Datenverkehr mit dem Protokoll HTTP anzeigen lassen. 1. Geben Sie im Textfeld Filter den Text http ein und klicken Sie auf Apply. 2. Beenden Sie die Aufzeichnung mit Capture Stop. 6
Kapitel 2 In den folgenden Beispielen lernen Sie, wie Sie die angezeigten Angaben auswerten können. Wenn Sie, ohne das Programm zu beenden, eine erneute Aufzeichnung beginnen wollen, wählen Sie die Schaltfläche Continue without Saving. 2.3. Fehlersuche im Netzwerk Übung 1: Tragen Sie am PC2 einen falschen DNS-Server ein und überprüfen Sie, ob Sie mit Wireshark am PC1 diesen Fehler erkennen können. Melden Sie sich als Administrator an und markieren Sie mit der rechten Maustaste die Netzwerkumgebung. Über Eigenschaften gelangen Sie zur LAN-Verbindung. Markieren Sie nun in den Eigenschaften der LAN-Verbindung das TCP/IP Protokoll. Über die Schaltfläche Eigenschaften gelangen Sie zu einem Eingabefeld, in dem Sie nun eine falsche DNS Server Adresse eintragen (in VMWare z. B. 10.1.1.5). Beginnen Sie nun die Aufzeichnung des Netzverkehrs am PC1 wie oben beschrieben. Um den Vorgang zu beobachten, wie die IP Adresse vom DNS Server aufgelöst wird, starten Sie am PC2 kurz den Browser. Am PC1 können Sie nun über Capture / Interfaces / Stop den Aufzeichnungsvorgang beenden. 7
In dem rot markierten Bereich im Bild oben wird das DNS Netzwerkproblem erkennbar: Dem PC mit der IP Adresse 10.1.10.11 kann kein DNS Server zugeordnet werden. Übung 2: Stellen Sie nun am PC2 den DNS Server wieder auf 10.1.1.1, tragen Sie eine falsche Subnetzmaske ein und werten Sie die Ergebnisse im Anzeigefenster von Wireshark aus. Übung 3: Experimentieren Sie nun mit einer falschen IP, z. B. 192.168.1.1 Lesen Sie im Wireshark Wiki (http://wiki.wireshark.org/displayfilters), wie Sie mit DisplayFilters die Filterung verfeinern können. 2.4. Datenverkehr auslesen Im Internet gibt es viele Dienste, bei denen der Datenverkehr unverschlüsselt abläuft und somit Benutzerdaten in fremde Hände (Schüler) kommen können. Hier einige Beispiele: E-Mail-Abruf über POP3 Webformulare auf Internet-Seiten FTP-Zugang zur Homepage Deshalb sollten für kritische Daten nur verschlüsselte Protokolle z.b. HTTPS, SFTP usw. verwendet werden. Auch ein Switch bietet hier keinen ausreichenden Schutz, da diese mit Switch Jamming -Tools überlistet werden können. Übung 4: E-Mail-Benutzerdaten auslesen 1. Fügen Sie am Server S1 zunächst der Firewallrichtlinie Freigegebene Rechner das Protokoll POP3 hinzu, damit später das POP3-Protokoll an den Clients verwendet werden kann. 8
Kapitel 2 2. Melden Sie sich als Administrator am PC1 an und deaktivieren Sie an diesem Rechner den Firewall-Client. Hierzu müssen Sie im Ordner C:\Programme\Microsoft Firewall Client 2004\ die Datei FwcMgmt.exe aufrufen. Anschließend klicken Sie mit der rechten Maustaste auf das Firewall-Client Symbol neben der Uhr und wählen Deaktivieren. 3. Rufen Sie Outlook-Express im Ordner C:\Programme\Outlook Express auf, indem Sie die Datei msimn.exe doppelklicken und geben Sie dann über den Assistent für den Internetzugang Ihre E-Mail-Kontodaten ein. 4. Starten Sie Wireshark und starten Sie einen Aufzeichnungsvorgang. 5. Rufen Sie mit Outlook-Express Ihr Postfach ab. Anschließend wird der Datenverkehr im Wireshark angezeigt. Bereits jetzt ist das Passwort sichtbar. Hinweis: Sie können auch hier wieder im Filter den Text pop eingeben, damit nur der Datenverkehr des POP3-Protokolls angezeigt wird. 9
6. Besser sichtbar werden die Benutzerdaten, wenn Sie in eine beliebige Zeile mit dem POP-Protokoll klicken und anschließend im Menü Analyze den Befehl Follow TCP Stream aufrufen. Übung 5: Webformulare auf einer Internetseite Melden Sie sich auf dem PC2 auf der unverschlüsselten Internetseite http://www.httprecipes.com/1/2/forms.php an und geben Sie anschließend den Benutzernamen guest und das Kennwort guest123 ein. Auf dem PC1 beobachten Sie erneut den Netzwerkverkehr. Die Auswertung erfolgt wie in der Übung oben. Übung 6: Zugangsdaten eines FTP-Servers auslesen 1. Melden Sie sich an einem FTP-Server an und versuchen Sie ebenfalls die Benutzerdaten auszulesen. Als Beispiel können Sie den Belwue FTP-Server ftp.belwue.de verwenden. Sie können für eine Anmeldung, die natürlich fehlschlagen wird, ohne weiteres einen falschen Namen und ein beliebiges Passwort eingeben. 10
Kapitel 2 2. Beenden Sie nach dem missglückten Einwahlversuch den Aufzeichnungsvorgang von Wireshark und lesen sie die Daten aus. Übung 7: Wenn Sie sich weiter für Wireshark interessieren, schauen Sie sich die You- Tube-Videos Introduction to Wireshark (Part 1 of 3) an. 11