Netzanalyse mit Wireshark: Gesetzliche Vorgaben, Vorbereitung und Installation unter Windows
Wireshark ist ein professioneller Netzwerk-Sniffer, den Administratoren, Sicherheitsberater und Hacker gleichermaßen schätzen. Damit kann man auf der Ebene von Frames, Paketen oder Segmenten veranschaulichen, was sich auf den Schichten des OSI-/ISO- bzw. DOD-Modells und auf der physikalischen Leitung bewegt.
Zwar gibt unzählige freie und quelloffene Netzwerk-Sniffer, das Open-Source-Werkzeug Wireshark ist aber neben nmap unbestritten das wichtigste Tool für Netzwerkadministratoren, Hacker oder Penetration-Tester.
Man kann mit Wireshark
- Netzwerkwerke analysieren
- Kommunikationsprobleme identifizieren
- Schwachstellen aufdecken
Strafrechtliche Implikationen
Bevor wir uns um die Installation kümmern, kommen wir aufgrund der Mächtigkeit und Leistungsfähigkeit des Tools schon aus rechtlichen Gründen nicht umhin, auf den Hacker-Paragraphen "Vorbereiten des Ausspähens und Abfangens von Daten" (§202c des deutschen StGB) aus dem Jahr 2007 hinzuweisen.
Er stellt die Beschaffung und Verbreitung von Zugangscodes zu geschützten Daten sowie auch die Herstellung und den Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal zwei Jahre). Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass konstruktive Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.
Ethical Hacking
Wer Wireshark im Sinne des White- bzw. Ethical-Hackings beispielsweise zur Analyse und Absicherung der eigenen IT-Infrastruktur oder zu Lehr- und Demonstrationszwecken einsetzt, bewegt sich zumindest in einer Common-Sense-Grauzone.
Möchten Sie zu hundert Prozent auf der sicheren Seite sein, dann dürfen Sie Wirshark ausschließlich zur Analyse eigener Rechner und Netze einsetzen, und zwar so, dass andere Netzwerkressourcen davon nicht tangiert sind.
Werden Sie etwa als IT-Consultant oder als Arbeitnehmer offiziell mit Netzwerkanalysen und/oder Pentests beauftragt, sichern Sie sich vorher rechtlich ab (möglichst schriftlich) und dokumentieren Sie akribisch, was Sie tun.
Promiscous Mode erforderlich
Wireshark überwacht Netzwerkschnittstellen und schneidet den Datenverkehr auf den angegeben Interfaces mit. Da stellt sich bereits die Frage, wie das in einem "ge-switch-ten" Netzwerk funktioniert?
Bekanntlich ist Ethernet von seiner Logik her ein Bus-System, auch wenn wir es bei iEEE 802.3u, 802.3ab oder 802.3an physikalisch mit Stern-Verkabelungen zu tun haben. Das alte Bus-System ist quasi nur ins Innere des Hubs oder Switches gewandert.
Vergegenwärtigt man sich, dass ein Hub rein funktional nichts anderes ist als ein Multiport-Repeater und ein Switch eine Multiport-Bridge, dann kann man auf einer Arbeitsstation den gesamten Backbone-Datenverkehr über das verwendete Interface nur beobachten, wenn sie an einen Hub angeschlossen ist, da nur ein solcher sämtliche Frames immer an jeden Port weiterleitet.
Gottlob gib es heute keine Hubs mehr. In ge-switch-ten Netzwerken gelangt mit Ausnahme von Broadcasts immer nur derjenige Traffic an eine bestimmte Schnittstelle, der auch für diese bestimmt ist.
Ein Switch schaltet aufgrund seiner Eigenintelligenz (sie basiert auf der vom ihm geführten und stetig aktualisierten MAC Address Table) intern immer nur die gerade erforderlichen Routen, was Kollisionsdomänen im Unterschied zum Hub auf den jeweiligen Port beschränkt.
Und was hat das nun mit Wireshark zu tun? Um in einen ge-switch-ten Netzwerk auf einem ausgewählten Netzwerk-Interface auch Ethernet-Frames bzw. IP-Pakete oder TCP-Segmente zu beobachten, die nicht für dieses selbst, sondern eine andere Station im Layer-2-Segment bestimmt sind, benötigen wir den Promiscous Mode.
Wireshark unter Windows
Unter Windows bedarf es dazu einer speziellen Bibliothek, um das betreffende Interface durch einen passenden Capture-Treiber zu modifizieren. Auch wenn die Wireshark-Installation unter Windows und Mac gewohnt simpel verläuft, sollte man deshalb den Setup-Assistenten nicht einfach durchwinken. Bis zu Select Additional Tasks können wie allerdings die Vorgaben übernehmen.
Interessant wird es dann auf der Seite Packet Capture. Hier schlägt der Installer vor, die Bibliothek WinPcap 4.1.3 zu installieren, welche auch gleich mitgeliefert wird.
Aktiviert man diese Option, dann wird das WinPcap-Setup automatisch angestoßen. Sie läuft dann parallel zur Wireshark-Installation ab. Letztere wartet, bis der Capture-Treiber installiert ist.
Hier kommt es dann besonders darauf an, dass Windows den Capture-Treiber beim Systemstart automatisch startet, was aber die Default-Einstellung ist. Sofern auf dem System noch kein Capture-Treiber installiert war, wird dies auch so funktionieren.
Leistungsfähiger und stabiler als der WinPcap-Treiber ist indes der Capture-Treiber des nmap-Projektes namens Npcap. Hat man nmap bereits installiert, ist auch der Npcap-Treiber vorhanden und die Installation des WinPcap-Treiber sollte übergangen werden.
Ich hatte übrigens im Test einige Probleme damit, einen älteren WinPcap-Treiber zugunsten eines neueren Npcap rückstandsfrei loszuwerden, um Wireshark einwandfrei installieren zu können. Die Deinstallation von WinPcap funktioniert nur dann vollständig, wenn man den Rechner danach neu startet.
Optional kann man über den Wireshark-Installer dann auch noch USBPcap installieren, was wir hier aber auslassen.
Wurde der jeweilige Capture-Treiber erfolgreich installiert, setzt auch der Wirshark-Installer seine Arbeit fort.
Zum Abschluss hat man die Wahl, Wireshark direkt zu starten. Ein weiterer Reboot ist nicht erforderlich.
Der Installer verrät allerdings nicht, dass man Wireshark als Administrator starten muss, um den Promiscous-Mode tatsächlich nutzen zu können.
Wenn man das Tool auf eine deutsche Bedienerführung umstellen möchte, kann man das unter Edit => Preferences => Appearance => Language tun. Die Übersetzung ist jedoch nicht allzu gut gelungen. Allerdings sind die bei einem Netzwerk-Sniffer obligatorischen Begrifflichkeiten aus den TCP/IP-Kontext in Englisch meist ohnehin eingängiger.
Verfügbarkeit
Wireshark ist quelloffene Software und kann daher in der momentan aktuellen Version 2.6.6 auch im Source Code sowie als Installationspaket für Windows (64- und 32-bit), MacOS 10.6 oder als 32-Bit portable App heruntergeladen werden. Hier stehen optional auch das aktuelle Development-Release 2.9, die stabilen Vorgängerversionen sowie die Dokumentation bereit.
Wireshark verfügt über ein Update-Tool, das die Software anschließend auf dem neuesten Stand hält. Eine neue Version erhält man dann, sofern verfügbar, mit einem Klick auf Help => Check for Updates.
Bei den gängigen Linux-Distributionen ist Wireshark in der Regel in den Paketquellen der gängigen Distributionen enthalten und kann über den jeweiligen Paketmanager installiert werden.
Da man Wireshark ohnehin meist in isolierten Umgebungen bzw. am besten aus einer virtuellen Maschine heraus verwendet, empfiehlt sie für den problemlosesten Einsatz von Wireshark eine auf Pentests, Forensik und Sicherheitsanalysen spezialisierten Linux-Live-Distribution wie zum Beispiel Kali-Linux. Aus eine Kali-Live-Umgebung heraus lässt sich Wireshark out of the Box nutzen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Netzwerk-Analyse mit Wireshark: Datenströme verfolgen mit Verbindungsfiltern
- Netzwerk-Analyse mit Wireshark: TCP-Handshake beim Aufbau einer Sitzung untersuchen
- Netzwerk-Analyse mit Wireshark am Beispiel von Ping
- Mit G DATA Network Monitoring die IT-Infrastruktur überwachen
- Network-Monitoring: LogRhythm mit Freemium-Version seiner Software
1 Kommentar
seit 28.02. gibt es Wireshark in Version 3.0. Dort wird standardmäßig Npcap anstatt WinPcap mitgeliefert und installiert.