Netzanalyse mit Wireshark: Gesetzliche Vorgaben, Vorbereitung und Installation unter Windows

Wireshark ist ein profes­sioneller Netzwerk-Sniffer, den Admini­stra­toren, Sicher­heits­berater und Hacker gleicher­maßen schätzen. Damit kann man auf der Ebene von Frames, Paketen oder Seg­menten ver­anschau­lichen, was sich auf den Schichten des OSI-/ISO- bzw. DOD-Modells und auf der physika­lischen Leitung bewegt.

Zwar gibt unzählige freie und quelloffene Netzwerk-Sniffer, das Open-Source-Werkzeug Wireshark ist aber neben nmap unbestritten das wichtigste Tool für Netz­werk­admini­stratoren, Hacker oder Penetration-Tester.

Man kann mit Wireshark

• Netzwerkwerke analysieren
• Kommunikations­probleme identifizieren
• Schwachstellen aufdecken

Strafrechtliche Implikationen

Bevor wir uns um die Installation kümmern, kommen wir aufgrund der Mächtigkeit und Leistungs­fähigkeit des Tools schon aus rechtlichen Gründen nicht umhin, auf den Hacker-Paragraphen "Vorbereiten des Ausspähens und Abfangens von Daten" (§202c des deutschen StGB) aus dem Jahr 2007 hinzuweisen.

Er stellt die Beschaffung und Verbreitung von Zugangscodes zu geschützten Daten sowie auch die Herstellung und den Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal zwei Jahre). Eine juristische Stellung­nahme der European Expert Group for IT Security (EICAR) geht davon aus, dass konstruktive Tätigkeiten (im Dienste der IT-Sicherheit) bei aus­führlicher Dokumen­tation nach diesem Paragraphen nicht strafbar sind.

Ethical Hacking

Wer Wireshark im Sinne des White- bzw. Ethical-Hackings beispiels­weise zur Analyse und Absicherung der eigenen IT-Infrastruktur oder zu Lehr- und Demonstrations­zwecken einsetzt, bewegt sich zumindest in einer Common-Sense-Grauzone.

Möchten Sie zu hundert Prozent auf der sicheren Seite sein, dann dürfen Sie Wirshark aus­schließlich zur Analyse eigener Rechner und Netze einsetzen, und zwar so, dass andere Netzwerk­ressourcen davon nicht tangiert sind.

Werden Sie etwa als IT-Consultant oder als Arbeit­nehmer offiziell mit Netzwerk­analysen und/oder Pentests beauftragt, sichern Sie sich vorher rechtlich ab (möglichst schriftlich) und doku­mentieren Sie akribisch, was Sie tun.

Promiscous Mode erforderlich

Wireshark überwacht Netzwerk­schnittstellen und schneidet den Datenverkehr auf den angegeben  Interfaces mit. Da stellt sich bereits die Frage, wie das in einem "ge-switch-ten" Netzwerk funktioniert?

Bekanntlich ist Ethernet von seiner Logik her ein Bus-System, auch wenn wir es bei iEEE 802.3u, 802.3ab oder 802.3an physikalisch mit Stern-Verkabelungen zu tun haben. Das alte Bus-System ist quasi nur ins Innere des Hubs oder Switches gewandert.

Vergegen­wärtigt man sich, dass ein Hub rein funktional nichts anderes ist als ein Multiport-Repeater und ein Switch eine Multiport-Bridge, dann kann man auf einer Arbeits­station den gesamten Backbone-Datenverkehr über das verwendete Interface nur beobachten, wenn sie an einen Hub angeschlossen ist, da nur ein solcher sämtliche Frames immer an jeden Port weiterleitet.

Gottlob gib es heute keine Hubs mehr. In ge-switch-ten Netzwerken gelangt mit Ausnahme von Broadcasts immer nur derjenige Traffic an eine bestimmte Schnittstelle, der auch für diese bestimmt ist.

Ein Switch schaltet aufgrund seiner Eigenintelligenz (sie basiert auf der vom ihm geführten und stetig aktualisierten MAC Address Table) intern immer nur die gerade erforderlichen Routen, was Kollisions­domänen im  Unterschied zum Hub auf den jeweiligen Port beschränkt.

Und was hat das nun mit Wireshark zu tun? Um in einen ge-switch-ten Netzwerk auf einem ausge­wählten Netzwerk-Interface auch Ethernet-Frames bzw. IP-Pakete oder TCP-Segmente zu beobachten, die nicht für dieses selbst,  sondern eine andere Station im Layer-2-Segment bestimmt sind, benötigen wir den Promiscous Mode.

Wireshark unter Windows

Unter Windows bedarf es dazu einer speziellen Bibliothek, um das betreffende Interface durch einen passenden Capture-Treiber zu modifizieren. Auch wenn die Wireshark-Installation unter Windows und Mac gewohnt simpel verläuft, sollte man deshalb den Setup-Assistenten nicht einfach durch­winken. Bis zu Select Additional Tasks können wie allerdings die Vorgaben übernehmen.

Interessant wird es dann auf der Seite Packet Capture. Hier schlägt der Installer vor, die Bibliothek  WinPcap 4.1.3 zu installieren, welche auch gleich mitgeliefert wird.

Aktiviert man diese Option, dann wird das WinPcap-Setup automatisch angestoßen. Sie läuft dann parallel zur Wireshark-Installation ab. Letztere wartet, bis der Capture-Treiber installiert ist.

Hier kommt es dann besonders darauf an, dass Windows den Capture-Treiber beim Systemstart automatisch startet, was aber die Default-Einstellung ist. Sofern auf dem System noch kein Capture-Treiber installiert war, wird dies auch so funktionieren.

Leistungs­fähiger und stabiler als der WinPcap-Treiber ist indes der Capture-Treiber des nmap-Projektes namens Npcap. Hat man nmap bereits installiert, ist auch der Npcap-Treiber vorhanden und die Installation des WinPcap-Treiber sollte übergangen werden.

Ich hatte übrigens im Test einige Probleme damit, einen älteren WinPcap-Treiber zugunsten eines neueren Npcap rück­standsfrei loszuwerden, um Wireshark einwandfrei installieren zu können. Die Deinstallation von WinPcap funktioniert nur dann vollständig, wenn man den Rechner danach neu startet.

Optional kann man über den Wireshark-Installer dann auch noch USBPcap installieren, was wir hier aber auslassen.

Wurde der jeweilige Capture-Treiber erfolgreich installiert, setzt auch der Wirshark-Installer seine Arbeit fort.

Zum Abschluss hat man die Wahl, Wireshark direkt zu starten. Ein weiterer Reboot ist nicht erforderlich.

Der Installer verrät allerdings nicht, dass man Wireshark als Administrator starten muss, um den Promiscous-Mode tatsächlich nutzen zu können.

Wenn man das Tool auf eine deutsche Bediener­führung umstellen möchte, kann man das unter Edit => Preferences => Appearance => Language tun. Die Übersetzung ist jedoch nicht allzu gut gelungen. Allerdings sind die bei einem Netzwerk-Sniffer obligatorischen Begriff­lichkeiten aus den TCP/IP-Kontext in Englisch meist ohnehin eingängiger.

Verfügbarkeit

Wireshark ist quelloffene Software und kann daher in der momentan aktuellen Version 2.6.6 auch im Source Code sowie als Installations­paket für Windows (64- und 32-bit), MacOS 10.6 oder als 32-Bit portable App heruntergeladen werden. Hier stehen optional auch das aktuelle Development-Release 2.9, die stabilen Vorgänger­versionen sowie die Dokumentation bereit.

Wireshark verfügt über ein Update-Tool, das die Software anschließend auf dem neuesten Stand hält. Eine neue Version erhält man dann, sofern verfügbar, mit einem Klick auf Help => Check for Updates.

Bei den gängigen Linux-Distributionen ist Wireshark in der Regel in den Paketquellen der gängigen Distributionen enthalten und kann über den jeweiligen Paketmanager installiert werden.

Da man Wireshark ohnehin meist in isolierten Umgebungen bzw. am besten aus einer virtuellen Maschine heraus verwendet, empfiehlt sie für den problem­losesten Einsatz von Wireshark eine auf Pentests, Forensik und  Sicherheits­analysen spezialisierten Linux-Live-Distribution wie zum Beispiel Kali-Linux. Aus eine Kali-Live-Umgebung heraus lässt sich Wireshark out of the Box nutzen.