interessant

So tippen Sie auf Ihr Netzwerk und sehen alles, was darauf geschieht

Ihr Heimnetzwerk ist Ihre Festung. Darin stecken Unmengen wertvoller Informationen - unverschlüsselte Dateien, persönliche, private Daten und vor allem Computer, die entführt und für jeden Zweck verwendet werden können. Lassen Sie uns darüber sprechen, wie Sie mit der Macht des Bösen in Ihrem Heimnetzwerk herumschnüffeln können, um sicherzustellen, dass Sie keine ungebetenen Gäste haben.

In diesem Beitrag zeigen wir Ihnen, wie Sie Ihr Netzwerk zuordnen, einen Blick unter die Decke werfen, um zu sehen, wer mit was spricht, und wie Sie Geräte oder Prozesse aufdecken, die möglicherweise Bandbreite beanspruchen. Kurz gesagt: Sie können die Anzeichen erkennen, dass in Ihrem Netzwerk ein Fehler aufgetreten ist. Wir gehen davon aus, dass Sie mit einigen Netzwerkgrundlagen vertraut sind, z. B. dem Auffinden der Geräteliste Ihres Routers und der MAC-Adresse. Wenn nicht, gehen Sie zu unserer Know Your Network-Nachtschule, um sich zuerst zu stärken.

Bevor wir jedoch weitermachen, sollten wir eine Warnung ausgeben: Verwenden Sie diese Befugnisse für immer und führen Sie diese Tools und Befehle nur auf Hardware oder Netzwerken aus, die Sie besitzen oder verwalten. Ihre freundliche IT-Abteilung in der Nachbarschaft möchte nicht, dass Sie Scannen oder Schnüffeln von Paketen im Unternehmensnetzwerk durchführen, und auch nicht alle Personen in Ihrem örtlichen Café. Wie in jeder Woche nach dem Bösen geht es darum, Ihnen beizubringen, wie es gemacht wird, damit Sie es selbst tun und sich selbst schützen können - und andere nicht ausbeuten.

Erster Schritt: Erstellen Sie eine Netzwerkkarte

Notieren Sie sich, was Sie zu wissen glauben, bevor Sie sich überhaupt an Ihrem Computer anmelden. Beginnen Sie mit einem Blatt Papier und notieren Sie alle angeschlossenen Geräte. Dazu gehören beispielsweise Smart-TVs, Set-Top-Boxen, Laptops und Computer, Tablets und Telefone oder andere Geräte, die möglicherweise mit Ihrem Netzwerk verbunden sind. Wenn es hilft, zeichnen Sie eine Karte Ihres Hauses mit den Zimmern. Dann notieren Sie sich jedes Gerät und wo es lebt. Sie werden möglicherweise überrascht sein, wie viele Geräte Sie gleichzeitig mit dem Internet verbunden haben.

Netzwerkadministratoren und Techniker werden diesen Schritt erkennen. Dies ist der erste Schritt, um ein Netzwerk zu erkunden, mit dem Sie nicht vertraut sind. Machen Sie eine Bestandsaufnahme der Geräte, identifizieren Sie sie und prüfen Sie, ob die Realität Ihren Erwartungen entspricht. Wenn dies nicht der Fall ist (oder wenn dies nicht der Fall ist), können Sie das, was Sie wissen, schnell von dem trennen, was Sie nicht wissen. Sie könnten versucht sein, sich einfach bei Ihrem Router anzumelden und auf dessen Statusseite nachzusehen, was verbunden ist. Tun Sie dies jedoch noch nicht. Sofern Sie nicht alles in Ihrem Netzwerk anhand der IP- und MAC-Adresse identifizieren können, erhalten Sie nur eine umfangreiche Liste mit Informationen, einschließlich Eindringlingen und Freeloadern. Führen Sie zuerst eine Inventur durch, und wechseln Sie dann zur digitalen Inventur.

Schritt 2: Testen Sie Ihr Netzwerk, um zu sehen, wer darauf ist

Sobald Sie eine physische Karte Ihres Netzwerks und eine Liste aller Ihrer vertrauenswürdigen Geräte haben, ist es Zeit zu graben. Melden Sie sich bei Ihrem Router an und überprüfen Sie die Liste der angeschlossenen Geräte. Dadurch erhalten Sie eine grundlegende Liste mit Namen, IP-Adressen und MAC-Adressen. Denken Sie jedoch daran, dass die Geräteliste Ihres Routers möglicherweise nicht alle Informationen anzeigt. Einige Router zeigen Ihnen jedoch nur Geräte an, die den Router für seine IP-Adresse verwenden. Behalten Sie diese Liste auf jeden Fall auf der Seite - es ist gut, aber wir möchten mehr Informationen.

Als nächstes wenden wir uns unserem alten Freund nmap zu. Für Unbekannte ist nmap ein plattformübergreifendes Open-Source-Netzwerk-Scan-Tool, mit dem Geräte in Ihrem Netzwerk sowie jede Menge Details zu diesen Geräten gefunden werden können. Sie können offene Ports, das verwendete Betriebssystem, IP- und MAC-Adressen sowie offene Ports und Dienste anzeigen. Laden Sie nmap hier herunter, lesen Sie diese Installationsanleitungen, um es einzurichten, und befolgen Sie diese Anweisungen, um Hosts in Ihrem Heimnetzwerk zu ermitteln.

In meinem Fall habe ich es über die Befehlszeile installiert und ausgeführt (wenn Sie eine grafische Benutzeroberfläche wünschen, wird Zenmap normalerweise mit dem Installationsprogramm geliefert) und dann nmap angewiesen, den IP-Bereich zu scannen, den ich für mein Heimnetzwerk verwende. Es wurden die meisten aktiven Geräte in meinem Heimnetzwerk gefunden, mit Ausnahme einiger Geräte, für die ich eine erhöhte Sicherheit eingerichtet habe (obwohl diese auch mit einigen der Befehle von nmap gefunden werden konnten, die Sie im obigen Link finden.)

Vergleichen Sie die Liste von nmap mit der Liste Ihres Routers. Sie sollten die gleichen Dinge sehen (es sei denn, etwas, das Sie zuvor aufgeschrieben haben, ist jetzt ausgeschaltet.) Wenn Sie auf Ihrem Router etwas sehen, das nmap nicht angezeigt hat, versuchen Sie, nmap direkt für diese IP-Adresse zu verwenden. Schauen Sie sich dann, basierend auf Ihren Kenntnissen, die Informationen zu dem Gerät an. Wenn es behauptet, ein Apple TV zu sein, sollten wahrscheinlich keine Dienste wie http ausgeführt werden. Wenn es seltsam aussieht, prüfen Sie es speziell auf weitere Informationen, wie ich es im obigen Screenshot getan habe. Ich bemerkte, dass einer meiner Rechner Ping-Anfragen ablehnte, was dazu führte, dass nmap darüber hinwegfuhr. Ich sagte nmap, es trotzdem zu untersuchen und sicher zu sein, dass es reagiert.

Nmap ist ein extrem leistungsfähiges Tool, aber nicht das am einfachsten zu verwendende. Wenn Sie ein bisschen waffenscheu sind, haben Sie einige andere Möglichkeiten. Angry IP Scanner ist ein weiteres plattformübergreifendes Dienstprogramm mit einer gut aussehenden und benutzerfreundlichen Oberfläche, über die Sie viele der gleichen Informationen erhalten. Zuvor erwähnt Wer ist in meinem WLAN? Ist ein Windows-Dienstprogramm, das ähnliche Funktionen bietet und so eingestellt werden kann, dass im Hintergrund gescannt wird, falls jemand online geht, wenn Sie nicht zuschauen. Wireless Network Watcher, ebenfalls für Windows, ist ein weiteres Dienstprogramm, das wir bereits erwähnt haben. Es verfügt über eine nette Benutzeroberfläche, die sich trotz ihres Namens nicht nur auf drahtlose Netzwerke beschränkt.

Schritt drei: Schnüffeln Sie herum und sehen Sie, mit wem jeder spricht

Inzwischen sollten Sie eine Liste der Geräte haben, die Sie kennen und denen Sie vertrauen, sowie eine Liste der Geräte, von denen Sie festgestellt haben, dass sie mit Ihrem Netzwerk verbunden sind. Mit etwas Glück sind Sie hier fertig und alles stimmt überein oder ist selbsterklärend (wie zum Beispiel ein Fernseher, der derzeit ausgeschaltet ist). Wenn Sie jedoch Akteure sehen, die Sie nicht kennen, Dienste, die nicht dem Gerät entsprechen (Warum wird in meinem Roku postgresql ausgeführt?), Oder etwas anderes, das sich nicht gut anfühlt, ist es an der Zeit, ein wenig zu schnüffeln. Packet Sniffing, das ist.

Wenn zwei Computer in Ihrem Netzwerk oder über das Internet miteinander kommunizieren, senden sie Informationen, die als "Pakete" bezeichnet werden, aneinander. Zusammen bilden diese Pakete komplexe Datenströme, aus denen die von uns angesehenen Videos oder heruntergeladenen Dokumente bestehen. Beim Packet Sniffing werden diese Informationen erfasst und untersucht, um festzustellen, wohin sie führen und was sie enthalten. Dazu brauchen wir Wireshark. Es handelt sich um ein plattformübergreifendes Netzwerküberwachungstool, mit dem wir in unserem Leitfaden zum Ermitteln von Kennwörtern und Cookies ein wenig nach Paketen gesucht haben. In diesem Fall verwenden wir es auf ähnliche Weise, aber unser Ziel ist es nicht, etwas Bestimmtes zu erfassen, sondern nur zu überwachen, welche Arten von Verkehr im Netzwerk laufen. Dazu müssen Sie Wireshark über WLAN im Promiscuous-Modus ausführen. Das heißt, es wird nicht nur nach Paketen gesucht, die von oder zu Ihrem Computer gesendet werden, sondern es werden auch alle Pakete gesammelt, die in Ihrem Netzwerk angezeigt werden.

Öffnen Sie nach der Installation WireShark und wählen Sie Ihren WLAN-Adapter aus. Klicken Sie daneben auf "Optionen". Wie Sie im obigen Video sehen (mit freundlicher Genehmigung von Hak5), können Sie für diesen Adapter den "Promiscuous-Modus" auswählen. Sobald Sie dies getan haben, können Sie mit der Erfassung von Paketen beginnen. Wenn Sie mit der Erfassung beginnen, erhalten Sie viele Informationen. Glücklicherweise nimmt Wireshark dies vorweg und erleichtert das Filtern.

Stellen Sie sicher, dass das betreffende System online ist, da wir nur nach den verdächtigen Akteuren in Ihrem Netzwerk suchen. Fahren Sie fort und erfassen Sie für den Anfang ein paar Minuten Verkehr. Anschließend können Sie diesen Datenverkehr anhand der IP-Adresse dieses Geräts filtern, indem Sie die integrierten Filter von Wireshark verwenden. Auf diese Weise erhalten Sie einen schnellen Überblick darüber, mit wem diese IP-Adresse kommuniziert und welche Informationen sie hin und her senden. Sie können mit der rechten Maustaste auf eines dieser Pakete klicken, um es zu überprüfen, die Konversation zwischen beiden Seiten zu verfolgen und die gesamte Erfassung nach IP oder Konversation zu filtern. Für weitere Informationen bietet How-To Geek eine detaillierte Anleitung zur Wireshark-Filterung. Sie wissen vielleicht nicht, was Sie sehen, aber hier kommt ein bisschen Ärger ins Spiel.

Wenn Sie feststellen, dass dieser verdächtige Computer mit einer fremden IP-Adresse kommuniziert, verwenden Sie den Befehl nslookup (in der Eingabeaufforderung unter Windows oder in einem Terminal unter OS X oder Linux), um den Hostnamen abzurufen. Das kann Ihnen viel über den Standort oder die Art des Netzwerks sagen, mit dem sich Ihr Computer verbindet. Wireshark teilt Ihnen auch die verwendeten Ports mit. Geben Sie daher bei Google die Portnummer ein und überprüfen Sie, welche Anwendungen diese verwenden. Wenn Sie beispielsweise einen Computer haben, der über Ports, die häufig für die IRC- oder Dateiübertragung verwendet werden, eine Verbindung zu einem fremden Hostnamen herstellt, liegt möglicherweise ein Eindringling vor. Wenn Sie feststellen, dass das Gerät über häufig verwendete Ports eine Verbindung zu seriösen Diensten herstellt, z. B. für E-Mail oder HTTP / HTTPS, sind Sie möglicherweise auf ein Tablet gestoßen, dessen Eigentümer Ihr Mitbewohner Ihnen nie gesagt hat, oder auf jemanden von nebenan, der Ihr WLAN stiehlt. Fi. In jedem Fall verfügen Sie über die erforderlichen Daten, um dies selbst herauszufinden.

Vierter Schritt: Spielen Sie das lange Spiel und protokollieren Sie Ihre Aufnahmen

Natürlich ist nicht jeder schlechte Schauspieler in Ihrem Netzwerk online und schleicht davon, während Sie nach ihnen suchen. Bis zu diesem Punkt haben wir Ihnen beigebracht, wie Sie nach angeschlossenen Geräten suchen, diese scannen, um festzustellen, wer sie sind, und dann ein wenig an ihrem Datenverkehr riechen, um sicherzustellen, dass alles über Bord ist. Was tun Sie jedoch, wenn der verdächtige Computer nachts schmutzige Arbeit leistet, während Sie schlafen, oder wenn jemand Ihr WLAN verliert, wenn Sie den ganzen Tag auf der Arbeit sind und nicht zur Kontrolle da sind?

Es gibt verschiedene Möglichkeiten, dies zu beheben. Zum einen kann die oben erwähnte Who's On My Wi-Fi-Anwendung im Hintergrund auf Ihrem Windows-Computer ausgeführt werden und überwacht, wer wann eine Verbindung herstellt. Es kann Sie anpingen, wenn Sie es nicht sehen, und Sie wissen lassen, wenn jemand mit Ihrem Netzwerk verbunden ist, was eine nette Geste ist. Sie können es auf einem Computer zu Hause laufen lassen und dann, wenn Sie aufwachen oder von der Arbeit nach Hause kommen, nachsehen, was passiert ist, während Sie nicht hinschauten.

Als nächstes können Sie die Protokollierungsfunktionen Ihres Routers überprüfen. Tief in der Problembehandlung oder den Sicherheitsoptionen Ihres Routers steckt normalerweise eine Registerkarte, die der Protokollierung gewidmet ist. Wie viel Sie protokollieren können und welche Art von Informationen von Router zu Router variieren, können Sie im obigen Screenshot sehen. Ich kann eingehende IP, Zielportnummer, ausgehende IP oder URL protokollieren, die vom Gerät in meinem Netzwerk, der internen IP-Adresse und deren MAC gefiltert werden Adresse und welche Geräte in meinem Netzwerk über DHCP nach ihrer IP-Adresse beim Router eingecheckt haben (und welche nicht). Es ist ziemlich robust und je länger Sie die Protokolle aktiv lassen, desto mehr Informationen können Sie erfassen .

Mit benutzerdefinierten Firmwares wie DD-WRT und Tomato (beide haben wir Ihnen die Installation gezeigt) können Sie die Bandbreite und die angeschlossenen Geräte so lange überwachen und protokollieren, wie Sie möchten, und diese Informationen sogar in eine von Ihnen erstellte Textdatei speichern kann später durchsehen. Je nachdem, wie Sie Ihren Router eingerichtet haben, kann er Ihnen diese Datei sogar regelmäßig per E-Mail senden oder auf einer externen Festplatte oder einem NAS ablegen. In beiden Fällen können Sie mit den häufig ignorierten Protokollfunktionen Ihres Routers feststellen, ob beispielsweise nach Mitternacht und wenn alle schlafen gehen, Ihr Gaming-PC plötzlich anfängt, viele ausgehende Daten zu knirschen und zu übertragen, oder ob Sie einen normalen Datenverlust haben Wer mag auf Ihrem Wi-Fi zu hüpfen und zu ungeraden Stunden Torrents herunterladen.

Ihre letzte Option und damit auch die Nuklearoption besteht darin, Wireshark stunden- oder tagelang einfangen zu lassen. Es ist nicht ungewöhnlich und viele Netzwerkadministratoren tun es, wenn sie wirklich seltsames Netzwerkverhalten analysieren. Es ist eine großartige Möglichkeit, schlechte Schauspieler oder gesprächige Geräte ausfindig zu machen. Es ist jedoch erforderlich, einen Computer für Ewigkeiten eingeschaltet zu lassen, ständig Pakete in Ihrem Netzwerk zu schnüffeln, alles zu erfassen, was darüber läuft, und diese Protokolle können ein gutes Stück Platz in Anspruch nehmen. Sie können das Filtern von Captures nach IP-Adresse oder Art des Datenverkehrs vereinfachen. Wenn Sie sich jedoch nicht sicher sind, wonach Sie suchen, können Sie Daten durchsuchen, wenn Sie ein Capture über mehrere hinweg betrachten Std. Dennoch wird es Ihnen auf jeden Fall alles sagen, was Sie wissen müssen.

In all diesen Fällen können Sie herausfinden, wer Ihr Netzwerk wann nutzt und ob sein Gerät mit der zuvor erstellten Netzwerkzuordnung übereinstimmt, wenn Sie über genügend Daten verfügen.

Fünfter Schritt: Sperren Sie Ihr Netzwerk

Wenn Sie hierher gefolgt sind, haben Sie die Geräte identifiziert, die in der Lage sein sollten, eine Verbindung zu Ihrem Heimnetzwerk herzustellen, diejenigen, die tatsächlich eine Verbindung herstellen, die Unterschiede identifiziert und hoffentlich herausgefunden, ob es schlechte Akteure oder unerwartete Geräte gibt. oder Blutegel herumhängen. Jetzt müssen Sie sich nur noch mit ihnen befassen, und das ist überraschenderweise der einfache Teil.

Wi-Fi-Leeches erhalten den Start, sobald Sie Ihren Router sperren. Bevor Sie etwas anderes tun, ändern Sie das Passwort Ihres Routers und deaktivieren Sie WPS, falls es aktiviert ist. Wenn es jemandem gelungen ist, sich direkt bei Ihrem Router anzumelden, möchten Sie andere Dinge nicht nur ändern, damit er sich anmeldet und wieder Zugriff erhält. Stellen Sie sicher, dass Sie ein gutes, sicheres Passwort verwenden, das nur schwer zu erzwingen ist. Suchen Sie dann nach Firmware-Updates. Wenn Ihr Blutegel einen Exploit oder eine Sicherheitslücke in der Firmware Ihres Routers ausgenutzt hat, wird dies diese verhindern - vorausgesetzt natürlich, dass der Exploit gepatcht wurde. Stellen Sie schließlich sicher, dass der WLAN-Sicherheitsmodus auf WPA2 eingestellt ist (da WPA und WEP sehr einfach zu knacken sind), und ändern Sie Ihr WLAN-Kennwort in ein anderes gutes, langes Kennwort, das nicht brachial erzwungen werden kann. Die einzigen Geräte, die eine erneute Verbindung herstellen können sollten, sind diejenigen, denen Sie das neue Passwort geben.

Das sollte sich darum kümmern, dass alle, die Ihr WLAN auslaugen und alle ihre Downloads in Ihrem Netzwerk durchführen, anstatt in Ihrem. Dies hilft auch bei der kabelgebundenen Sicherheit. Wenn Sie können, sollten Sie auch einige zusätzliche Sicherheitsmaßnahmen für drahtlose Netzwerke ergreifen, z. B. das Deaktivieren der Remoteverwaltung, das Deaktivieren von UPnP und natürlich die Überprüfung, ob Ihr Router Tomato oder DD-WRT unterstützt.

Bei schlechten Schauspielern auf Ihren verdrahteten Computern müssen Sie noch etwas suchen. Wenn es sich tatsächlich um ein physisches Gerät handelt, sollte es eine direkte Verbindung zu Ihrem Router haben. Verfolgen Sie Kabel und sprechen Sie mit Ihren Mitbewohnern oder Familienmitgliedern, um zu sehen, was los ist. Im schlimmsten Fall können Sie sich jederzeit wieder bei Ihrem Router anmelden und diese verdächtige IP-Adresse vollständig blockieren. Der Besitzer dieser Set-Top-Box oder des leise angeschlossenen Computers wird ziemlich schnell zum Laufen kommen, wenn er nicht mehr funktioniert.

Die größere Sorge hier ist jedoch, dass Computer kompromittiert werden. Ein Desktop, der über Nacht für das Bitcoin-Mining entführt und mit einem Botnetz verbunden wurde, oder ein Computer, der mit Malware infiziert ist, die Ihre persönlichen Informationen an who-knows-where sendet, kann schlecht sein. Sobald Sie Ihre Suche auf bestimmte Computer beschränkt haben, ist es Zeit, herauszufinden, wo das Problem auf jedem Computer liegt. Wenn Sie sich wirklich Sorgen machen, wenden Sie sich an den Sicherheitsingenieur: Sobald Ihre Maschinen im Besitz sind, sind sie nicht mehr vertrauenswürdig. Blasen Sie sie weg, installieren Sie neu und stellen Sie von Ihren Unterstützungen wieder her. (Sie haben Backups Ihrer Daten, nicht wahr?) Achten Sie darauf, dass Sie danach den PC im Auge behalten - Sie möchten nicht von einem infizierten Backup wiederherstellen und den Vorgang von vorne beginnen.

Wenn Sie bereit sind, die Ärmel hochzukrempeln, können Sie sich ein solides Antivirenprogramm und einen On-Demand-Scanner für Malware zulegen (ja, Sie benötigen beides) und versuchen, den betreffenden Computer zu reinigen. Wenn Sie Datenverkehr für einen bestimmten Anwendungstyp festgestellt haben, überprüfen Sie, ob es sich nicht um Malware oder nur um etwas handelt, das von jemandem installiert wurde, der sich schlecht verhält. Scannen Sie weiter, bis alles sauber ist, und überprüfen Sie den Datenverkehr von diesem Computer, um sicherzustellen, dass alles in Ordnung ist.

Wir haben hier nur wirklich die Oberfläche zerkratzt, wenn es um Netzwerküberwachung und -sicherheit geht. Es gibt Unmengen spezifischer Tools und Methoden, mit denen Experten ihre Netzwerke sichern. Diese Schritte können Sie jedoch ausführen, wenn Sie der Netzwerkadministrator für Ihr Zuhause und Ihre Familie sind.

Verdächtige Geräte oder Blutegel in Ihrem Netzwerk auszulöschen, kann ein langer Prozess sein, der Ermittlungen und Wachsamkeit erfordert. Trotzdem versuchen wir nicht, Paranoia aufzutreiben. Vermutlich werden Sie nichts Außergewöhnliches finden, und diese langsamen Downloads oder beschissenen Wi-Fi-Geschwindigkeiten sind etwas ganz anderes. Trotzdem ist es gut zu wissen, wie man ein Netzwerk überprüft und was zu tun ist, wenn man etwas Unbekanntes findet. Denken Sie daran, Ihre Kräfte für immer zu nutzen.