Open-Source-Tool Ethereal im Test
Kostenlose WLAN-Analyse
Anders als der Name suggeriert, unterstützt der freie Protokollanalysator Ethereal auch WLANs nach IEEE 802.11. Können es Open-Source-Tools mit den kommerziellen WLAN-Analysatoren bereits aufnehmen? Das LANline-Lab unternahm eine Entdeckungsreise auf der Basis von Linux-Live-CDs.
Wer erste Gehversuche in der WLAN-Analyse zur Fehlersuche oder Fortbildung plant oder nur
gelegentlich den Funkpaketen auf den Fersen ist, verspürt meist nur wenig Bereitschaft, die Kosten
eines kommerziellen WLAN-Analysators ins Budget aufzunehmen. Umso attraktiver erscheinen die
kostenlosen Angebote aus dem Open-Source-Lager: "Ethereal" verkörpert als Gegenpart zum
hochpreisigen "Sniffer" derzeit quasi den Standard, wenn es um kostenlose Tools zur
Protokollanalyse geht.
Zum Entstehungszeitpunkt dieses Beitrags war die Version 0.10.12 von Ethereal aktuell. Mit der
seit Jahren führenden Null in der Versionsnummer signalisieren die Entwickler zwar ausdrücklich den
Betastatus der Software, doch sollte der Anwender sich davon nicht abschrecken lassen: Die Software
gibt sich in Bezug auf die Stabilität kaum mehr Blößen als ihre kommerziellen Alternativen. Der
jeweils aktuelle Entwicklungsstand sowie Dokumentation und Diskussionsforen finden sich unter "
www.ethereal.com". Grundsätzlich ist Ethereal für eine Vielzahl von Betriebssystemen – darunter
Windows, Linux und MacOS X – verfügbar. Allerdings unterstützen nicht alle Plattformen die direkte
Aufzeichnung von WLAN-Paketen. Als Voraussetzung dazu muss der zugrunde liegende Adaptertreiber den
so genannten "Monitor Mode" beziehungsweise "RFMon" unterstützen.
Ethereal für Windows basiert auf dem Protokolltreiber "WinPCap" (www.winpcap. org), der derzeit
keine Unterstützung für RFMon bietet. Der Weg zur WLAN-Analyse mit Ethereal führt daher über Linux.
Wer nicht gleich Linux auf einem Notebook ins-tallieren will, nur um erste Erfahrungen mit Ethereal
zu sammeln, greift am besten zu einer geeigneten Linux-Live-CD wie Knoppix 4.02 (www.knoppix.de),
BSI OSS Security Suite 1.12 (www.bsi.bund.de/produkte/boss/index.htm) oder der Auditor Security
Collection 200605-02 (new.remote-exploit.org/index.php/Auditor_main). Aber auch kommerzielle
Distributionen wie Novells Suse zählen Ethereal zum Standardlieferumfang. Für unseren Test wählten
wir die Live-CD-Distribution "Auditor", die – speziell für die WLAN-Analyse – hilfreiche
zusätzliche Tools wie "Wellenreiter" und "Gkismet" bietet.
Auch unter Linux bleibt der Einsatz des richtigen WLAN-Adaptertreibers kritisch. Laut vielen
Quellen unterstützen die aktuellen Linux-Distributionen gängige Dual-Band-WLAN-Adapter auf der
Basis von Atheros-Chipsätzen (wie Netgear WAG- 511 oder Proxim 8480-WD) über den so genannten "
Madwifi"-Treiber. Wirklich zufrieden stellend glückten unsere Ethe-real-Tests im LANline-Lab
allerdings nur mit einem Netgear WG511(v1), der auf einem Prism-GT-Chipsatz basiert und sich auf
802.11b/g beschränkt. Im Übrigen arbeitete "Auditor" mit unserem Test-Notebook Dell Latitude 600
(Pentium/M, 1,4 GHz, 512 MByte RAM) problemlos zusammen.
Vorbereitungen
Damit eine Paketaufzeichnung für eine anschließende Analyse mit Ethereal beginnen kann, muss der
Anwender den WLAN-Adapter zunächst in den Monitormodus versetzen und auf den gewünschten Funkkanal
fokussieren. Linux-typisch sind hierzu einige Kommandozeilenbefehle erforderlich, die zum Beispiel
für den verwendeten Netgear WH511 nach dem Linux-Start wie folgt lauten:
iwconfig eth0 mode monitor channel 1
um den Monitor-Modus sowie Funkkanal 1 zu aktivieren, sowie
ifconfig eth0 up
zur Aktivierung des Interfaces, damit es für Ethereal verfügbar ist.
Die aktive WLAN-Einstellung lässt sich mit "iwconfig", und die Interface-Konfiguration mit "
ifconfig" jederzeit im Detail prüfen. Einige Linux-Live-Distributionen wie zum Beispiel Knoppix
unterstützen diese Befehle nur unter dem Benutzer "root". In diesem Fall sind vor Eingabe der
Konfigurationsbefehle die Benutzerprivilegien zunächst mit dem Befehl "sudo su" auf das
erforderliche Niveau anzuheben und mit "passwd" ein Root-Passwort zu vergeben.
Ethereals Protokollanalyse setzt ausschließlich auf aufgezeichnetem Funkverkehr auf. Ein
WLAN-Monitoring, das beispielsweise einen raschen Überblick über die Aktivitäten auf den
unterschiedlichen Funkkanälen bietet, existiert nicht. Einen solchen Überblick bieten jedoch die
genannten Wireless-Scanner Wellenreiter und Gkismet. Wellenreiter führt ESSIDs und MAC-Adressen
aktiver Access Points, genutzte Kanäle und Datenverschlüsselungen auf. Wie etwa auch beim
kommerziellen Produkt Sniffer findet bei der Datenverschlüsselung leider keine Unterscheidung
zwischen WEP, TKIP und AES statt. Wellenreiter ist zudem auf 802.11b/g-Kanäle beschränkt. Das
zweite Tool, Gkismet, arbeitet ähnlich, filtert aber aus dem Funkverkehr zusätzliche Informationen
über assoziierte Stationen und vorgefundene Signalstärken heraus.
Um einen "Channel Scan" zu realisieren, bei dem der WLAN-Adapter regelmäßig zwischen
vordefinierten Funkkanälen wechselt, muss der Anwender entweder ein eigenes Shell-Skript entwerfen,
oder aber Tools wie Wellenreiter oder Gkismet zur Hilfe nehmen. Wellenreiter zeichnet bei seinem "
Kanalritt" beispielsweise automatisch sämtliche Pakete in einer Dump-Datei auf, die sich
anschließend zur weiteren Analyse in Ethereal laden lässt. Ein gezielter Kanalwechsel lässt sich
mit "iwconfig" erzwingen.
Protokollanalyse mit Ethereal
Ethereal dekodiert in der aktuellen Fassung beeindruckende 706 Protokolle und diese auf Wunsch
auch in Echtzeit während der Paketaufzeichnung. Leider fällt die Unterstützung gerade für 802.11 –
in Abhängigkeit vom verwendeten Adapter – recht unterschiedlich aus. Unser Netgear WG511 konnte
zwar sehr wohl 802.11-Management und -Kontrollpakete an Ethereal weiterreichen, interessante
Informationen wie beispielsweise die Übertragungsgeschwindigkeit einzelner Datenpakete, aus der
sich Aussagen über die optimale Positionierung von Access Points ableiten lassen, liegen aber
leider nicht vor. Die WLAN-spezifischen Auswertungsmöglichkeiten von Ethereal 0.10.12 beschränken
sich auf WLAN-Knoten und -Konversationspaare (übertragene Bytes und Pakete) sowie den relativen
Anteil der verschiedenen Protokollebenen am Datenverkehr.
Deutlich stärker fällt das Angebot von Ethereal bei der Protokollanalyse auf den höheren Ebenen
aus. Mithilfe der mächtigen Filterausdrücke, die sich per Auswahlliste zusammenstellen lassen,
schränkt sich der Blick zunächst auf 802.11-Datenpakete ein (Filterformel: "wlan.fc.type==2").
Liegt WEP-Verschlüsselung vor, sorgt der hinterlegte Schlüssel in den etwas versteckten
Protokollvorgaben zu "IEEE 802.11" für den erforderlichen Klartext, den jede höhere
Protokollanalyse voraussetzt. WPA-PSK und WPA2-PSK kann Ethereal nicht dechiffrieren.
Die Funktion "Statistics" filtert beispielsweise alle HTTP-Request in Windeseile aus dem
Datenmeer heraus, und "Follow TCP Stream" bereitet den zu einem markierten Paket gehörigen
HTTP-Client-/Server-Klartextdialog übersichtlich in einem eigenen Fenster auf. Diese nützliche
Funktion diente inzwischen offenbar sogar der kommerziellen Konkurrenz als Anregung und findet sich
beispielsweise auch in der jüngsten Version von Wildpackets Airopeek.
Die speziellen Dekodierungsfähigkeiten von Ethereal enden jedoch nicht bei HTTP. So findet etwa
auch Voice over IP beachtliche Unterstützung in der Open-Source-Entwicklung: Es lassen sich nicht
nur einzelne SIP-Calls im Datenstrom übersichtlich aufführen, sondern auch der zugrunde liegende
Client-/Server-Dialog grafisch darstellen. Wählt der Anwender einen Dialogschritt aus, so springt
das Dekodierungsfenster parallel zum jeweiligen Paket. Aufgezeichnete Gespräche (RTP-Streams)
lassen sich für die akustische Kontrolle als Audiodatei ("AU"-Format) abspeichern. Zur Beurteilung
der Sprachqualität ("Jitters") wandelt Ethereal die Zahlenkolonnen des Audio-Streams auch grafisch
um.
Fazit
Mit Ethereal hat die Open-Source-Gemeinde über die letzten Jahre hinweg einen beachtlichen
Protokollanalysator auf die Beine gestellt, der sich mittlerweile auch in WLAN-Netzen
zurechtfindet. Durch die kostenlose Verfügbarkeit, ist der Einstieg in die WLAN-Analyse attraktiv,
allerdings auch nicht ganz ohne Hürden. Linux-Live-CDs erleichtern den ersten Ethereal-Einsatz
erheblich. Für den längerfristigen Einsatz und umfangreiche Aufzeichnungssitzungen empfiehlt sich
jedoch eine von Festplatte gestartete Linux-Distribution. Kommerzielle WLAN-Analysatoren (siehe
separater Beitrag) punkten heute noch eindeutig in den Bereichen Bedienungskomfort, umfassende und
funktionell integrierte WLAN-Unterstützung sowie Dokumentation und Support. Eine auf "
Expertenwissen" gestützte Analyse der WLAN-Situation einschließlich Maßnahmenempfehlungen hat
derzeit nur das kommerzielle Lager zu seinem Preis zu bieten. Wer für die Bereiche Fehlersuche,
Protokoll- und Netzwerkanwendungsentwicklung aber auch Fortbildung Lösungen sucht, für den lohnt es
sich, zumindest zu prüfen, ob nicht Ethereal und Co. bereits den individuellen Anforderungen
genügen.
Lesen Sie mehr zum Thema
