Auditor Security Collection
WLAN-Tools frei von CD starten
Viele interessante Analyse-Tools für den Sicherheits-Check von Wireless LANs stehen im Internet als Freeware zur Verfügung. Eine Tool-Sammlung könnte also für viele Administratoren hilfreich sein. Die Auditor Security Collection versammelt alle wichtigen freien Programme auf einer einzigen Linux-Live-CD. Somit lässt sie sich auch von einem Windows-Rechner aus booten.
Wer Linux noch nicht zu seinen alltäglichen Brot-und-Butter-Plattformen zählt, scheut meist den
Aufwand, sich mit den aktuellen Netzwerk- und Sicherheitsüberprüfungsprogrammen auf
Nicht-Windows-Basis auseinander zu setzen. Allerdings stellt die von Max Moser gegründete Gruppe "
remote-ex ploit.org" Interessierten mit der "Auditor Security Collection" (ASC) eine gelungene
Werkzeugsammlung zur Verfügung, die sogar Mitarbeiter des FBI gerne zur Demonstration von Schwächen
der WEP-basierenden Absicherung von WLANs verwenden. ASC bootet Linux auf der Basis von Klaus
Knoppers Live-CD-Distribution Knoppix (www.knopper.net) beziehungsweise dessen Entwicklungspfad
Kanotix von Jörg Schirottke (www.kano tix.org) direkt von CD. Beim Start benötigt das System in den
meisten Fällen lediglich eine Angabe über die gewünschte Bildschirmauflösung und das zu verwendende
Tastatur-Layout. Weitere Installationsschritte sind nicht erforderlich, bevor der KDE-Desktop auf
dem Monitor erscheint und auch primär Windows-Schaffenden den ersten Einstieg erleichtert.
Für den WLAN-Einsatz wählten wir im LANline-Lab sowohl ein älteres Dell-Latitude-C800-Notebook
(Pentium-III/850 MHz, 512 MByte RAM) als auch ein neueres Latitude-D600-Modell (Pentium M/1,6 GHz,
1 GByte RAM), die sich beide problemlos mit ASC verstanden. Lediglich der integrierte
802.11g-Adapter des D600 auf Broadcom-Chipsatzbasis (Dell Truemobile 1300) eignet sich für diesen
Einsatzbereich nicht, da keine passenden Linux-Treiber für den erforderlichen "Monitor Mode"
verfügbar sind. Auch USB-basierende WLAN-Adapter bleiben derzeit noch weitgehend unberücksichtigt.
Dagegen bieten sich für den Analyseeinsatz beispielsweise externe Cardbus-Adapter mit
Atheros-Chipsätzen an (zum Beispiel Netgear WAG511 und Lancom MC-54ag, jeweils 802.11a/b/g). Aber
auch gute alte 802.11b-Veteranen mit Hermes- (zum Beispiel Proxim Goldcard Classic mit
Anschlussbuchse für externe Antennen) oder Prism2-Chipsatz (zum Beispiel Cisco Aironet 350 Series)
lassen sich verwenden. Nach dem Einstecken sind all diese Karten ohne manuelle Treiberinstallation
unmittelbar für ASC verfügbar.
Der KDE-Startmenüeintrag "Auditor" führt zur reichhaltigen Programmauswahl – ein "Schweizer
Messer" für nahezu alle Sicherheitsfragestellungen im Netz. Neben einem vielfältigen Angebot von
Passwortüberprüfungsprogrammen ist der umfangreiche Sicherheits-Scanner "Nessus" vertreten, und
auch Spezialgebiete wie "Bluetooth-Scanning" oder Paketgeneratoren ("Spoofing") werden abgedeckt.
Der Menüordner "Wireless" fasst alle derzeit wichtigen Tools zusammen, um sich einen
administrativen Überblick über das aktive Funkgeschehen zu verschaffen.
Reichhaltige Programmauswahl
Zudem kann sich der Administrator mit der Funktionsweise von Crack-Tools für die LEAP/PPTP-,
WEP- und WPA-Verschlüsselung sowie Techniken zum Client-Kidnapping über "falsche" Access Points ("
Fake AP") vertraut machen, bevor sie das eigene Netz bedrohen.
Hinter den Menüeinträgen verbergen sich teilweise Skripts des ASC-Teams, die dem Anwender
erforderliche Voreinstellungen für das jeweilige Tool abnehmen. Ein schnelles Erfolgserlebnis
liefern die WLAN-Analysatoren "Wellenreiter" und "Kismet". Im Gegensatz zu den typischen
WLAN-Client-Utilities oder dem beliebten "Netstumbler" in der Windows-Welt lauschen sie völlig
passiv dem Funkverkehr und greifen nicht aktiv ein, um Access Points in der Umgebung ausfindig zu
machen. Auf diese Weise bleibt auch das beliebte Feature "Unterdrückung von SSID-Broadcasts", um
Access Points scheinbar "unsichtbar" zu machen, ohne Wirkung.
Der bekannte "Sniffer"-Klassiker "Ethereal" dekodiert zur Protokollanalyse unter anderem die
WLAN-Protokollfamilie 802.11. Allerdings wird spätestens an diesem Arbeitspunkt auch in der Praxis
deutlich, dass neben einem Verständnis für die Arbeitsweise von Funknetzen ein wenig Grundwissen
für die Shell-Kommandoebene von Linux unumgänglich ist. ASC lässt sich eben nicht mit einer
kommerzielle Anwendung vergleichen, die aus einer einzelnen Entwicklungsschmiede kommt und im
Idealfall mit einer umfangreichen Dokumentation versehen ist. So lassen sich mithilfe von "Iwpriv"
zunächst treiberspezifische Einstellungen wie beispielsweise eine Fokussierung auf 802.11a
vornehmen. "Iwconfig" (beziehungsweise bei Prism-basierenden Adaptern alternativ das darauf
aufbauende ASC-Skript "Monitor.wlan") setzt anschließend den jeweils eingesetzten WLAN-Treiber in
den "Monitor Mode", um alle 802.11-Funkpakete im gewünschten Funkkanal an die Anwendungsebene zur
Auswertung weiterreichen zu können. "Ifconfig" aktiviert schließlich den Adapter. Die dazu
erforderlichen Detailinformationen für den Neueinsteiger sind auf Man-Pages, Readme-Dateien, FAQs
im Internet und Forenbeiträgen verteilt. ASC selbst besaß zuletzt in Version 081004-01 den Ansatz
einer Dokumentation in Form eines zentralen Dokumentationsmenüs für die in der Distribution
verteilten Readme-Dokumente. Das Entwicklungsteam will diesen löblichen Ansatz für die künftigen
Fassungen der Tool-Sammlung (getestet: 250405-01) wieder einführen.
Weitergehendes Know-how erfordert ein erfolgreiches Auslesen von unbekannten WEP-Schlüsseln aus
dem laufenden Datenstrom. Dazu eignen sich Klassiker wie "Airsnort" und "Wepcrack" oder die neuere "
Aircrack Suite", die von ihren Entwicklern auch für Windows 2000/XP verfügbar ist. Aktuelle
Angriffstechniken bedienen sich künstlich erzeugten Datenverkehrs ("Packet Injection", zum Beispiel
mit "Aireplay"), um schneller an die erforderliche Menge von Initialisierungsvektoren ("IV") zu
kommen, die schließlich zur Dechiffrierung eines statisch verwendeten WEP-Schlüssels führen. Die
Tools hierzu bietet einsatzbereit ASC, die notwendigen Detailinformationen liefert das Internet.
Wer noch tiefer in die Sicherheitsthematik eintauchen will, findet mit dem "Metasploit Framework"
eine umfangreiche Spielwiese zum Testen von Systemschwachstellen.
Arbeitsumgebung
Neben den "Sicherheitsspezialisten" sind aber auch unterstützende Standardanwendungen wie der
Webbrowser Firefox, der Grafikeditor Gimp sowie eine Sammlung von Fernwartungs-Clients, die auch
vor Microsofts Remote Desktop Protocol nicht kapitulieren, Bestandteil der Distribution. Eine
Brücke zur Windows-Welt schlagen ein Samba-Client für den Zugriff auf Windows-Freigaben und
Captive-Treiber für den Lese- und Schreibzugriff auf lokale NTFS-Partitionen. Nicht missverstanden
werden sollte ASC allerdings als Rettungssystem für nicht mehr startende Windows-Installati-onen.
Für diese Aufgabe empfiehlt sich eher die vollständige Linux-Distribution Kanotix, auf der auch ASC
basiert, oder "Bart’s Preinstalles Environment" (BartPE, www.nu2.nu/pebuilder/), das Windows
selbst in eine Boot-CD mit entsprechenden Wiederherstellungs-Utilities verwandelt.
Standardmäßig legt ASC individuelle Konfigurationseinstellungen und gesammelte Netzdaten auf
einer automatisch im Arbeitsspeicher angelegten RAM-Disk ab. Wer diese dauerhaft zwischen
Auditor-Sitzungen konservieren will, kann dazu entweder einen USB-Memory-Stick verwenden oder die
Debian-basierende Linux-Distribution direkt auf eine freie Festplattenpartition des Rechners
installieren. Letzteres gelang im LANline-Lab über das mitgelieferte Skript "Auditor HD Installer"
auf Anhieb. Negative Konsequenzen für die parallele Windows-Installation waren nicht zu beklagen.
Allerdings sind hierbei keine ausgefeilten Installationsvarianten, die kommerzielle Distributionen
wie Novells Suse Linux bieten, zu erwarten. Dies ist aber auch nicht der Anspruch des Spezialisten
ASC.
Unter new.remote-exploit.org/index.php/Auditor_mirrors sind alle Quellen verzeichnet, die
den freien Download des aktuell zirka 650 MByte großen ISO-Images (Version 250405-01) anbieten.
Brennprogramme wie Nero verwandeln die Datei in eine handliche, boot-fähige CD, die in keiner
Administratorsammlung fehlen sollte.
Lesen Sie mehr zum Thema
