Schon mit der ct-Ausgabe 17/2017 und hier der Vorschau auf das nächste Hegt 18/2017 habe ich auf die nächste Ausgabe der ct gefreut, da hier die ct endlich mal günstige Hacking-Gadgets getestet hat. Ich bin da ja ein großer Fan von solchen Teilen, nicht natürlich um meine Mitpersonen hier zu überwachen oder zu drangsalieren oder Schlimmeres - nein einfach Spaß an der Freund, dem "know your enemies" und natürlich zu sehen wie einfach, simpel und irgendwie auch genial es sein kann hier etwas zu installieren was nicht einmal dem Sysadmin sagen wir mal so auf den ersten Blick auffällt. Eigentlich hätte ich mir hier das ein oder andere Gadget schon in der Vergangenheit selt gekauft auch ohne ct-Artikel, aber ich war mir nie sicher ob das Teil etwas taugt, und da kam der Artikel aus der ct natürlich genau richtig, denn wenn die ct das testet und für gut befindet, kann man es auch bedenkenlos kaufen. Also ab in die Details:
Etwas über ein Dutzend Gadgets wurden im Detail getestet/angesprochen, dazu Hintergrundinfos und vorallem rechtliche Aspekte. Mir war etwas mulmig als ich diverse Gadgets gekauft hatte (meist auf Kreditkarte mit Lieferadresse an meine Privatadresse) als ich zwei Seiten weiter blätterte und auf den Artikel mit den rechtlichen Aspekten kam. Aber meine Buys bewegen sich im rechtlichen Rahmen was in Dland erlaubt ist, ich bin mir aber z.B. bei dem "Wifi Pineapple Nano" von Hak5 oder dem "HackRF One" vom Hersteller Great Scott Gadgets, nicht sicher ob das hierzulande erlaubt ist. Das sind Wlan Router bzw. gibt es schon mit dem Einschalten Funksignale die vielleicht (ich weiß es nicht) bei uns einfach nicht erlaubt sind. D.h. soetwas kauft man vielleicht einfach beim nächsten Besuch in einem osteuropäischen Land wie Polen per cash in anonymerer Form. Höchstinteressant sind die Teile schon, rein aus Demogründen bzw. zu Verstehen was möglich ist, aber als Deutscher steht man ja schon mit einem Bein im Gefängnis wenn man sich den "Hackerparagrafen" ansieht, selbst wenn man nur Pentester ist.
Aber ok, was habe ich also an einem Spätsonntagnachmittag gekauft was ich hier kurz vorstellen möchte:
Das Beste Gadget ist ganz eindeutig mein TAP-Device
Sehr klein wie man sieht und ganz wichtig, es kommt ohne externe Stromverbindung. Webseite findet Ihr unter: https://greatscottgadgets.com/throwingstar/
Gekauft habe ich das in Schweden unter: http://www.store4geeks.com/index.php/throwing-star-lan.html für 498 SEK mit Porto in zusammengebauten Zustand wenn ich meine Kreditkartenabrechnung ansehe, sind das 52,35 Euro - und dafür ist das Device genial. Hätte nicht gedacht dass ich ein so gutes TAP-Device für um die 50 Euro finde.
Also, wozu soll das "Throwing Star LAN Tap Pro" gut sein, und warum hat es 4 Netzwerk-Anschlüsse. Ihr könnt damit den Netzwerk-Traffic monitoren der durch das Kabel läuft, ob das nun ein einzelner PC ist oder ein ganzes Netz ist erstmal egal. Als Minimum braucht Ihr zuerst 2 Rechner, einen dessen Netzwerk-Traffic Ihr monitoren wollt und einen Rechner auf dem da Monitoring läuft. Waagrecht wird das Lan Tap zwischen den zu überwachenden Rechner gesetzt. Damit läuft der gesamte Netzwerk-Traffic für diesen Rechner oder das Netz durch das Tap Device. Auf dem oberen und unteren Port wird der Traffic entsprechend "gespiegelt aber nur read-only. D.h. auf einem Port seht Ihr was von dem Rechner/PC/Netz das überwacht wird für Anfragen rausgehen, und auf dem anderen Port was für Content reinkommt. Somit könnt Ihr entscheiden ob Ihr z.B. nur eine Richtung sehen wollt oder die andere, bzw. Beide. Bei der Menge an TCP-Paketen die da schon nur von einem PC laufen ist das immens, und eher die Stecknadel im Heuhaufen suchen, sodaß es gut, dass die beiden Ports getrennt sind.
Was ich perfekt finde ist, dass man über den Netzwerk-Traffic wirklich alles sieht. D.h. selbst wenn Ihr sagen wir mal unter Windows einen Trojaner eingefangen hat der für das Windows völlig unsichtbar ist und selbst die Anti-Viren/Trojaner-Software nicht findet - seht Ihr im Prinzip über das Tap Device den Traffic der von so einem Programm ausgeht!
Ok, wenn Ihr den zu überwachenden PC waagrecht angeschlossen habt, hängt Ihr an den Spiegel-Port ein weiteres Lan-Kabel und ab damit an den PC der überwacht. Damit Ihr den Traffic sieht holt Euch z.B. den Wireshark unter: https://www.wireshark.org/ und sagt beim Start welches LAN Ihr mitschneiden wollt (hier natürlich das LAN das vom TAP kommt). Anschließend Record drücken und auf dem überwachenden PC das Programm Eurer Wahl starten, z.B. mit dem Browser eine Webseite aufrufen. Nun Stop auf dem PC mit dem Wireshark drücken und Ihr habt den Traffic mitgeschnitten, seht die Anfragen bzw. wenn Ihr an dem Port hängt der den reingehenden Traffic mitschneidet könnt Ihr Euch sogar aus dem Wireshark Dinge abspeichern, z.B. Bilder die von der Webseite sind die aufgerufen wurden, oder die entsprechenden eingebetteten Scripte, den Quellcode usw. Daneben seht Ihr von welcher IP-Adresse das reinkommt, den TCP-Header usw. Wireshark ist hier mit die beste Wahl für Windows-Geräte und es gibt etliche Anleitungen im Netz für den Wireshark, die sollte man das Programm nicht kennen oder die Materie dann vorher ansehen, sonst findet man sich evtl. darin nicht zurecht. Das Zauberwort sind hier Filter damit Ihr in der Menge an TCP-Paketen auch die richtigen Inhalte findet. Empfehlen kann ich wer Bücher mag das Standardwerk dazu "Wireshark® 101: Einführung in die Protokollanalyse".
Ihr erfahrt mit dem TAP-Device sehr viel über TCP-Pakete und könnt Programme überwachen, das die so im Netzwerk machen, welche Daten darüber laufen usw. Für einen Admin der etwas mehr in die Tiefe von Netzwerken/Paketen schauen will ein "must-have" in meinen Augen für kleines Geld, und die Profis haben diese Funktion eines TAP-Device sowieso schon in Ihren Netzwerkswitchen enthalten.
Kommentare
Kommentar veröffentlichen