Navigation

6.2 Analysewerkzeuge

Wie bei drahtgebundenen Netzen sind auch bei WLANs Analysegeräte nützlich, beispielsweise für folgende Aufgaben:

Wichtig!

Es sei aber darauf hingewiesen, daß von derlei Techniken auch immer ein Mißbrauchspotential ausgeht!

Neben den recht kostenaufwendigen "Fertiglösungen" gibt es eine Reihe von Open-Source-Projekten mit teilweise erstaunlichem Funktionsumfang.
Wir gehen von einer Analysesoftware aus, die auch für drahtgebundene Netze und alle Protokollschichten recht brauchbar ist:

Wir benötigen eine möglichst aktuelle Version, erprobt wurde ethereal 0.9.4.
Weiterhin wird eine aktuelle Version der Packet-Capture-Bibliothek gebraucht. Wir haben diese Version verwendet: Das Herstellen einer dynamisch ladbaren Bibliothek daraus ist nur mit einigem Aufwand möglich. Einfacher ist es, aus dem libpcap-Quelltext die Bibliothek libpcap.a zu erzeugen.
Im libpcap-Quelltextverzeichnis:

$ ./configure; make

Eine Installation (als root: make install) ist sinnvoll, dann werden Bibliothek und Include-Files bei der Übersetzung von Ethereal ohne "Verrenkungen" gefunden.

Nun kann Ethereal übersetzt und dabei statisch mit libpcap.a gelinkt werden.
Im ethereal-Quelltextverzeichnis:

$ ./configure --with-pcap; make

Der Treiber der WLAN-Karte muß nun noch modifiziert werden, um die Karte (auch ohne Assoziation mit einem AP) zu einem Durchreichen der empfangenen Daten zu veranlassen. Das folgende Rezept wurde für den Kartentyp "Lucent Orinoco Gold" erprobt.
Die von uns verwendete Treiber-Modifikation basiert auf Version 0.09b des Orinoco-Treibers aus dem Paket pcmcia-cs-3.1.33 (nicht verwechseln mit den gleichnamigen Orinoco-Quellen im Kern!):

Diese Paket wird ausgepackt z.B. nach /usr/src, anschließend wird dieser Patch darauf angewandt: Die Verfahrensweise ist beschrieben unter Jetzt kann ein neuer Treiber übersetzt werden. Im Verzeichnis von pcmcia-cs-3.1.33 wird zunächst mit make config die Konfigurierung des Pakets durchgeführt. Eventuelle Unklarheiten werden erklärt im Das dort empfohlene anschließende make all;make install hat allerdings den Effekt, daß nicht nur der Orinoco-Treiber, sonder alle "aktualisiert" werden, bei RedHat wird zusätzlich die Art und Weise der PCMCIA-Konfigurierung umgestellt.
Ein nicht ganz so "sauberer" Weg, der nur die Bestandteile des Orinoco-Treibers aktualisiert an die erwartete Stelle bringt, ist dieser:

# cd wireless; make hermes.o orinoco.o orinoco_cs.o
# cp hermes.o orinoco.o orinoco_cs.o \
 /lib/modules/Kernelversion/kernel/drivers/net/wireless

Nach dem Entladen und Neuladen der betreffenden Kernmoduln (z.B. durch kurzzeitiges Entfernen der WLAN-Karte) sollten die neuen Treiber Verwendung finden. Jetzt kann der Monitor-Modus aktiviert werden:

# iwpriv Interface monitor Mode Kanal

z.B. konkret

# iwpriv eth1 monitor 2 13

Jetzt kann mit ethereal das WLAN-Protokoll verfolgt werden.

Bei "Capture" ist die Einstellung "promiscous mode" nicht erforderlich.
Die Anzeige wird wahrscheinlich von den zyklisch vom AP gesendeten Beacon frames dominiert. Das kann man z.B. mit einem "Display Filter" (unter "Edit") unterdrücken. Der Filterausdruck dafür ist wlan.fc.subtype != 8.

Bei Demonstrationen wäre mitunter ein größerer Font für die Ergebnisanzeige von ethereal wünschenswert. Mangels einfacherer Verstellmöglichkeit kann man beispielsweise in dem von Ethereal hinterlassenen Konfigurationsfile (z.B. /root/.ethereal/preferences) die Fontauswahl mit einem Editor verändern, z.B. zu

gui.font_name: -adobe-courier-medium-r-normal-*-*-200-*-*-m-*-iso8859-3

Ein kritischer Punkt der Analysatoren ist die Handhabung einer eventuellen WEP-Verschlüsselung. Die "brute force"-Methoden zielen die auf WEP-Schwachstellen ab, liefen allerdings typischerweise erst nach einigen Stunden Resultate. Oft wird der Netzverwalter allerdings legal den WEP-Schlüssel kennen und ihn der Analysesoftware mitteilen können.

Eine Reihe weiterer Projekte sind speziell für WLAN-Untersuchungen gedacht (sie implementieren z.B. die Verfahren zu Ermittlung der WEP-Schlüssel oder "unsicherer" SSIDs):

Hier noch einige Produktbeispiele:

Artikel und Übersichten zu WLAN-Analyse (und Sicherheits-Auditing):


© Uwe Hübner, 18.04.2003
Navigation