SMTP, SFTP SPX oder UDP

Ratgeber: Was ist was bei den Netzwerkprotokollen

22.05.2014 von Thomas Hümmler
Es gibt einige hundert verschiedene Netzwerkprotokolle für die Kommunikation und den Austausch von Anwendungen. Wichtig sind aber nur einige wenige wie IP, SMTP oder DHCP. Unser Beitrag erläutert, welche Protokolle für die Datenübertragung im Netzwerk die größte Rolle spielen.

Wenn von Netzwerkprotokollen die Rede ist, fällt rasch der Begriff OSI-Schichtenmodell oder OSI-Referenzmodell. OSI steht für Open Systems Interconnection, und das Referenzmodell ist die Designgrundlage von Kommunikationsprotokollen in Netzwerken. Das Modell kennt sieben unterschiedliche Schichten. Empfänger und Absender müssen nach bestimmten Regeln arbeiten, die in Protokollen festgeschrieben sind. Nur so können sie sich einigen, wie Daten weiterverarbeitet werden sollen.

Die Schichten des OSI-Modells kann man grob in Transport- und Anwendungsschichten unterteilen. Zu den transportorientierten Schichten gehören die ersten vier: Hier finden sich Protokolle wie IP, IPsec, IPX, SPX, TCP und UDP. In den sind andere Protokolle zu Hause, beispielsweise FTP, HTTP, HTTPS, SMTP. Die folgende Übersicht bringt Ihnen kurz und prägnant die wichtigsten Netzwerkprotokolle näher.

Appletalk und Ethertalk

Auf Macintosh-Rechnern ist Appletalk standardmäßig vorhanden. Es handelt sich dabei nicht um ein einzelnes Netzwerkprotokoll, sondern um eine Gruppe von ihnen - etwa für den Zugriff auf Dateien oder auf Drucker. Per Appletalk kann man notfalls sogar ohne Ethernet-Kabel eine Verbindung zwischen zwei Computern aufbauen: über die serielle Schnittstelle. Die Verbindung erfolgt dann über Druckerkabel, die auf Macintosh-Rechnern ebenfalls seriell angeschlossen werden. Mehrere Rechner kann man über ein Gerät verbinden, das die Netzverbindung durchschleift. Werden Mac-Rechner über Ethernet verbunden, spricht man von Ethertalk.

Appletalk wurde mit der Betriebssystemversion Mac OS X 10.6 zugunsten IP-basierter Netzwerke aufgegeben. Das Finden von Geräten und Servern im Netzwerk übernimmt beispielsweise Bonjour.

Nützliche Werkzeuge für Netzwerke -
Übersicht: Netzwerk-Tools
Es existieren bereits eine ganze Reihe von Netzwerk-Werkzeugen, die auch unter der neuen Oberfläche beispielsweise auf einem System mit Windows RT arbeiten.
Zuordnung der IP-Adressen
Die freie App „What’s IP“ bringt diese Daten auf den Bildschirm, konnte aber nicht auf allen unseren Testsystemen die DNS- oder Gateway-Adressen auslesen.
Die erweiterte Version „What’s IP Pro“
Hier steht nun eine ganze Reihe weiteren Netzwerk-Tools bereit, die von der freien Version der Software nicht geboten werden.
Bringt Übersicht
Mit der Pro-Version von „What’s IP“ können Nutzer auch unterschiedliche Informationen in den Live-Kacheln auf dem Startbildschirm von Windows 8 anzeigen lassen.
Spartanische Oberfläche, die durch Werbung unterbrochen wird
Bevor sich der Nutzer mit „mFTP“ nicht an einem Server angemeldet hat, bekommt er nicht allzu viel zu sehen.
Dateien in der Übersicht und die Liste der ausgeführten Unix-Kommandos
Die App „mFTP“ bietet dem Nutzer die Möglichkeiten und Fähigkeiten, die er von einem FTP-Client fordert.
Netzwerk-Werkzeugkasten auf dem Android-Gerät
Mit der freien App „Fing“ können Anwender direkt vom Smartphone oder Tablet aus ihr Netzwerk überwachen.
Welche Dienste sind auf einem System aktiv und können übers Netz erreicht werden?
Auch das kann ein Systembetreuer mit der „Fing“-App feststellen.
WLAN im Griff
Die App „Fing“ zeigt schnell verfügbare Informationen zu den Geräten, die Teil eines drahtlosen Netzwerks sind.
Was auf dem System los ist
Schon nach kurzer Laufzeit zeigt der Einsatz der Freeware TcpLogView, wie viele Netzwerkverbindungen ständig geöffnet und auch wieder geschlossen werden.
Verbindungen des Windows-Systems
Mit Hilfe von TcpLogView können Nutzer schnell feststellen, wohin eine Verbindung genau geht und welcher Prozess involviert ist.
Verbindungen lassen sich auch später noch nachverfolgen
Die Software TcpLogView erlaubt es, die Ergebnisse direkt in eine HTML-Datei zu exportieren.
Lokalisierung noch nicht ganz vollständig
Obwohl der Network Inventory Advisor den Anwender gut unterstützt, finden sich in der Software immer wieder Bereiche, in denen die Einträge nur in englischer Sprache vorhanden sind.
Automatischer Scan läuft
Die Software Network Inventory Advisor durchsucht das vorhandene Netzwerk und findet dabei in der Regel die meisten Geräte, so auch Drucker und NAS-Speicher.
Umfangreiche Informationen
Konnte die Inventarisierungssoftware einen Agenten wie hier auf einem Windows 7 System ausrollen, so stehen dem Anwender sehr umfangreiche und detaillierte Informationen zu diesem Rechner und der Software zur Verfügung.
Der Konfigurations-Guru hilft
Obwohl der Netzwerk-Monitor PRTG sehr umfangreiche Kontroll- und Überwachungsoptionen anzubieten hat, lässt sich die Lösung schnell und einfach installieren und einsetzen.
Viele Sensoren schon im einfachen Test-Netzwerk
Da PRTG für jeden Messwert einen der Sensoren benötigt, wird die Freeware-Version mit nur zehn Sensoren auch in kleinen Netzwerken schnell an ihre Grenzen stoßen.
AJAX-Oberfläche erleichtert die Bedienung
Die recht übersichtliche Oberfläche des Netzwerk-Monitors PRTG erlaubt es dem Anwender recht schnell, einen Überblick auch über die Geräte in seinem Netzwerk (hier am Beispiel einer Netzwerkkarte via WMI) zu bekommen.

DHCP

DHCP (Dynamic Host Configuration Protocol) vereinfacht die Vergabe von IP-Adressen in einem Netzwerk. Benötigt wird dazu mindestens ein DHCP-Server. Der verteilt IP-Adressen an die verschiedenen Clients. Auf Serverseite wird ein Adressraum festgelegt. IP-Adressen aus diesem Pool werden an die Clients vergeben, sobald sie den DHCP-Server darum bitten. Damit das geschieht, muss die Netzwerkkonfiguration der Clients entsprechend eingestellt sein. Das ist heutzutage standardmäßig bei Betriebssystemen wie Linux und Windows der Fall, sodass sich ein Administrator nicht um die Einstellungen der Clients kümmern muss.

Ein DHCP-Server weist IP-Adressen automatisch, dynamisch oder manuell zu. Automatisch können Adressen nur einmal zugewiesen werden. Dabei erhält ein Client, der anhand der MAC-Adresse seiner Netzwerkschnittstelle identifiziert wird, bei der ersten Anmeldung im Netzwerk eine freie IP-Adresse. Die wird an die MAC-Adresse gebunden, und der Client bekommt sie auch künftig bei jeder Anmeldung. Im Gegensatz dazu werden dynamisch verteilte IP-Adressen vom Server nach einer bestimmten Zeit wieder einkassiert.

Netzwerk-Tools -
Wireshark
Wireshark ist wohl einer der bekanntesten Netzwerk-Sniffer. Das Tool arbeitet unter Linux, Windows und Mac OS und sollte in keinem Netzwerk-Admin-Werkzeugkasten fehlen. Allerdings gab es in den letzen Jahren zahlreiche Attacken, die sich explizit gegen Wireshark richten.
Metasploit
Metasploit ist ein Framwork, mit dem sich Exploits und Payloads nahezu automatisch erstellen lassen. Die Software wird häufig von Penetration Testern genutzt, um verwundbare Systeme zu attackieren.
Nessus
Ursprünglich als Open-Source-Schwachstellen-Scanner ist Nessus inzwischen ein kommerzielles Produkt, für Privatnutzer ist aber weiterhin ein kostenloser Einsatz möglich. Der Scanner lässt sich mit mehr als 46 000 Pluings erweitern und deckt eine große Bandbreite von Sicherheits-Checks ab.
Aircrack
Aircrack ist eine Sammlung von Tools, mit der sich die WEP- und WPA-Verschlüsselung in kabellosen Netzwerken knacken lässt. Insgesamt umfasst die Sammlung knapp ein Dutzend verschiedener Programme.
Snort
Snort ist ein IDS/IPS-System auf Open-Source-Basis. Die Software prüft den Netzwerk-Traffic und kann Attacken, Würmer oder Port Scans aufspüren, kategorisieren und melden. Die Macher betreiben außerdem die Firma Sourcefire, welche die Snort-Technik in kommerziellen Produkten vermarktet.
Cain and Abel
Cain und Abel ist eine Rundum-Windows-Lösung zum Einsammeln, Entschlüsseln und Knacken von Passwörtern.
BackTrack
BackTrack ist eine Linux-Distribution, die sich komplett der IT-Sicherheit verschrieben hat. BackTrack bietet eine Vielzahl von Tools für IT-Sicherheitspersonal oder Penetration Tester unter einer Oberfläche.
Netcat
Die aktuelle Version von Netcat wurde am 20. März 1996 veröffentlicht. Auch wenn das Tool inzwischen über 15 Jahre alt ist, ist es noch immer das bekannteste Tool um TCP oder UDP-Verbindungen über Netzwerke zu etablieren. Mittlerweile gibt es zahlreiche Abwandlungen, welche die Daten etwa verschlüsselt übertragen (Cryptcat) oder mit IPv6 arbeiten (Netcat6).
tcpdump
Die GUI-lose Alternative zu Wireshark. Tcpdump kann Netzwerk-Traffic ebenfalls aufzeichnen und in Log-Dateien speichern. Zudem ist tcpdump die Grundlage für andere Capture-Programme.
John the Ripper
John the Ripper ist ein bekannter Passwort-Knacker für UNIX/Linux sowie Mac OS. Die Hauptaufgabe ist das Aufdecken von schwachen Unix-Passwörtern.
Kismet
Kisment ist ein passiver Netzwerk-Scanner, der auf dem zweiten Layer des Netzwerkprotokols arbeitet. Neben WLAN-Signalen kann das Programm mit dem richtigen Empfänger beispielsweise auch Bluetooth-Funksignale aufspüren und speichern.
OpenSSH/PuTTY/SSH
SSH ermöglicht den sicheren, verschlüsselten Zugriff auf entferne Systeme und ist mittlerweile in den meisten Netzwerken ein fester Bestandteil der Administration.
Burp Suite
Burp ist eine Plattform, die gezielt für Attacken und Penetration-Tests von Web-Anwendungen entwickelt wurde. Es gibt eine eingschränkte kostenlose Version, die Burp Suite Professionall kostet Pro Nutzer und Jahr 299 US-Dollar.
Nikto
Nikto ist ein Open-Source-basierter Scanner für Webserver. Unter anderem kann die Software nach potentiell gefährlichen Dateien oder CGIs sowie veralteten Versionen suchen.
hping
Admins können mit Hilfe von hping ICMP-, UDP oder TCP-Pakete ändern oder anpassen und an Zielsysteme schicken. Die Software eignet sich etwa, um Firewall-Regeln zu überprüfen.
Ettercap
Ettercap ist eine Toolsammlung für Man-in-the-middle-Attacken im lokalen Netzwerk. Das Tool kann Verbindungen aktiv oder passiv untersuchen und behinhaltet zahlreiche Funktionen zur Analyse von Hosts oder dem Netzwerk.
Sysinternals
Die Firma Sysinterals ist inzwischen seit Jahren ein Teil von Microsoft und liefert noch immer zahlreiche kleine Spezial-Tools, mit denen man Windows-Installationen auf den Zahl fühlen kann. Zu den populären Tools gehören etwa der ProcessExplorer oder Autoruns.
w3af
w3af ist ein Framework, mit dem sich Web-Anwendungen auf Schwachstellen untersuchen lassen. Ähnlich wie Metasploit lässt es sich mit Plugins erweitern.
OpenVAS
OpenVAS ist ein Schwachstellen-Scanner, der aus der letzten Open-Source-Version von Nessus hervorgegangen ist. Praktisch: Die Plugin-Struktur unterstützt die NASL-Sprache von Nessus.
Scapy
Scapy umfasst ein Tool zum manipulieren von Netzwerkpaketen, einen Paket-Generator, einen Netzwerk-Scanner, ein Netzwerk Discovery Tool sowie einen Paket-Sniffer. Gesteuert wird die Software mit Hilfe von Python.
Ping/telnet/traceroure/whois/netstat
Diese Tools sind (wahrscheinlich) fester Bestandteil aller Betriebssysteme und meist die erste Anlaufstelle, bevor Admins Spezialprogramme auspacken.
THC Hydra
THC Hydra ist ein bekannter Passwort-Knacker, der auf Brute-Forcing setzt. Die Software unterstützt mehr als 30 verschiedene Protokolle, darunter etwa telnet, smb oder ftp.
Perl/Python/Ruby
Ohne Scripting-Sprachen wären Admins dazu verdammt, sich ständig wiederholende Aufgaben per Hand auszuführen. Stattdessen kann man die Aufgaben von Scripts in der Sprache seiner Wahl erledigen lassen.
Paros Proxy
Ein Java-basierter Proxy-Server, der in erster Linie genutzt wird, um Schwachstellen Web-Anwendungen aufzuspüren. Dazu bietet das System beispielsweise einen Traffic-Recorder oder Tests für gängige SQL-Injection-Attacken.
Netstumbler
Netstumbler ist wohl eines der bekanntesten Windows-WLAN-Tools: Die Software kann nach WLAN-Zugangspunkten in der Umgebung suchen und findet auch Zugangspunkte, die keine SSID ausstrahlen. Probleme gibt es allerdings auf 64-Bit-Systemen.
Google
Google mag als Suchmaschine auf den ersten Blick fehl am Platz wirken, spätestens seit Johnny Long aber die Google Hacking Database ins Leben gerufen hat, gehört das Know-How rund um Suchparameter ins Portfolio von IT-Sicherheits-Spezialisten.
OSSEC HIDS
Das Intrusion-Detection-System spürt Rootkits und ähnliche Schädlinge sowie Angriffe auf. Vor allem besticht es durch umfangreiche Log-Funktionen.
WebScarab
WebScarab kann HTTP und HTTPS-Traffic mitschneiden und wiedergeben. Das Tool lässt sich beispielsweise zu Debugging-Zwecken nutzen oder um möglichen Schwachstellen auf die Schliche zu kommen.
Core Impact
Core Impact ist zwar teuer, gilt aber als eine der besten Lösungen wenn es um das Erstellen von Exploits geht. Die Lösung war eins der Vorbilder für das ursprüngliche Metasploit-Projekt.
sqlmap
Wie der Name andeutet ist sqlmap ein Tool, mit dem man SQL-Schwächen aufspüren kann. Die Software steht unter einer Open-Source-Lizenz und bietet zahlreiche Features
TrueCrypt
Geht es um Verschlüsslung von Dateien kommt man kaum an der Open-Source-Lösugn TrueCrypt vorbei. Die Software erstellt verschlüsselbare Container, in denen sich Dateien sicher ablegen lassen und unterstützt nahezu alle Betriebssysteme.
dsniff
dsniff umfasst zahlreiche Tools, mit denen sich auch eher ungewöhnlicher Netzwerk-Traffic mitschneiden lässt um Passwörtern auf die Spur zu kommen. Das letzte Update liegt allerdings mehr als zehn Jahre zurück, ähnlich wie Netcat arbeitet das Tool aber auch heute noch einwandfrei.
IDA Pro
IDA Pro ist der De-Facto-Standard, wenn es um das Debuggen von möglicherweise böswilligem Code geht.
Maltego
Maltego dient in erster Linie zur Forensik und zum Data Mining. Die Software vereinfacht es enorm, Zusammenhänge zwischen Personen, Daten und Diensten aufzudecken und zu visualisieren.
ophcrack
ophcrack ist ein Rainbow-Table-basierter Passwortknacker für Windows-Systeme, die Software selbst läuft aber unter Windows, Linux und Mac OS.
NeXpose
NeXpose ist ein Schwachstellen-Scanner, der auch in Metasploit integriert ist (kein Wunder, stammt er doch auch vom Entwickler Rapid 7). Das Browser-basierte Tool wird wahlweise als Appliance oder als Software verkauft.
Netfilter
Netfilter dürfte vielen Linux-Nutzern ein Begriff sein, ist es soch ein Packetfilter, der normalerweise im Linux-Kernel integriert ist. Dort liefert er die Grundlagen für Firewall-Funktionen in Linux.
GnuGP/PGP
PGP ist der Quasi-Standard wenn es um die Verschlüsselun von Kommunikation geht. GnuGP ist das Open-Source-Pendant zur kommerziellen Lösung.
skipfish
skipfish hilft beim Scannen einen Website. Die Software versucht eine komplette Übersicht der jeweiligen Webseite zu erstellen und kann zudem Sicherheitstests durchführen.
GFI LanGuard
LANGuard von GFI kann Netzwerke auf Sicherheitsprobleme und Schwachstellen hin überprüfen. Eine kostenlose Trial-Version erlaubt das Scannen von bis zu fünf IP-Adressen.
Acunetix WVS
Das WVS steht für Web Vulnerability Scanner. Die Software kann Dienste automatisch auf bekannte Schwachstellen abklopfen, diese umfassen beispielsweise SQL-Injection, Cross-Site-Scripting oder Tests um schwache Passwörter zu entdecken.
QualysGuard
Guard von Qualys ist ein Software-As-A-Service-Angebot für Vulnerability-Management. Die Software kann das Netzwerk mappen, Schwachstellen aufspüren und enstprechende Reports erstellen.
VMware
Kaum ein Sicherheitsforscher kommt ohne virtuelle Systeme aus, auf denen man verdächtigen Code ausführen oder neue Tools gefahrlos ausprobieren kann. Auch Test- oder Entwicklerumgebungen lassen sich mit den Virtualisierungslösungen schnell und relativ kostengünstig erstellen.
OllyDbg
OllyDbg hilft beim Debuggen von Windows-Dateien. Das hilft etwa bei der Analyse von Dateien, wenn kein Sourcecode zur Verfügung steht.
Ntop
Ntop kann die aktuelle Auslastung des Netzwerkes aufbereiten im Terminal darstellen.
MBSA
Der Microsoft Baseline Security Analyzer soll kleineren und mittleren Unternehmen dabei helfen, ihren Sicherheitstatus festzustellen und liefert mögliche Tipps, wie sich die Sicherheit erhöhen lässt.
AppScan
AppScan wurde entwickelt, um Angriffsflächen bei neu entwickelten Anwendungen zu minimieren. AppScan überwacht Programme über ihren kompletten Lebenszyklus und kann sie auf bekannte Schwachstellen überprüfen.
OSSIM
Das Ziel von Open Source Security Information Management ist es, eine umfassende Sammlung an Tools zu erstellen, die zusammenarbeiten und Administratoren umfassende Einblicke in die ihm unterstellte IT geben. OSSIM umfasst etwa Tools wie Nagios oder OSSEC HIDS.
Medusa
Medusa ist ein Brute-Force-Passwortknacker, bei dem die Entwickler vor allem Wert auf Geschwindigkeit legen. Ähnlich wie THC Hydra unterstützt das Tool zahlreiche Protokolle, etwa FTP, IMAP, SSH oder VNC.
OpenSSL
OpenSSL will eine robuste Lösung für die Implementierung der Secure Socket Layer Technologie liefern, die sich mit kommerziellen Angeboten messen kann. Die Lösung ist, ungewöhnlich für ein Open-Source-Projekt gemäß FIPS-140-2 zertifiziert.
Canvas
Canvas bietet ein Framework zum Erstellen von Exploits, ist allerdings günstiger als die kommerziellen Versionen von Metasploit oder Core Impact.
fgdump
fgdump ist ein Tool, mit dem sich NTLM- und LanMan-Hashwerte von Windows-Passwörter kopieren lassen.
Tor
Tor verschleiert die Herkunft eines Nutzers im Internet indem die Verbindung über zahlreiche Zwischenschritte geleitet wird. Größere Aufmerksamkeit erhielt das Tool im Rahmen des arabischen Frühlings, konnten Aktivisten dadurch doch staatliche Zensur umgehen und auf gesperrte Webseiten zugreifen.
Retina
Retina ist ein kommerzieller Schwachstellen-Scanner der Firma eEye.
Firefox
Der Open-Source-Browser Firefox ist vor allem aufgrund seiner Erweiterbarkeit bei IT-Sicherheitspersonal beliebt. Anders als IE oder Chrome lässt er sich über Add-Ons ein ein vielseitiges Tool für Penetration Tester verwandeln.
OpenVPN
OpenVPN ist eine bekannte SSL VPN Implementierung, die einen sicheren Zugriff auf interne Netzwerkressourcen ermöglicht.
L0phtcrack
L0phtCrack ist ein Passwortknacker für Windows-Passwörter.
Social Engineer Toolkit
Das Social Engineering Toolkit ist nicht unumstritten, liefert es doch die Grundlage für zahlreiche Attacken wie etwa Webseiten, die automatisch den Browser des Besuchers attackieren, Schwachstellen ausnutzen und Payloads installieren. Es ist allerdings auch eine wertvolle Ressource, wenn man die Funktionsweise von Browser-Attacken oder Phishing-Angriffen nachvollziehen möchte.
Yersinia
Mit Hilfe von Yersina können Penetration Tester die unteren Protokollen im Netzwerk ins Visier nehmen. Unter anderem kann die Software DHCP-Antworten fälschen.
Fiddler
Fiddler ist ein Web Debugging Proxy, mit dem man sämtliche Daten einsehen und während der Übertragung manipulieren kann.
sslstrip
sslstrip dient, wie der Name andeutet, dazu, eine SSL-Verbindung aufzubrechen ohne dass der Nutzer etwas davon mitbekommt.
SolarWinds
SolarWinds steht ähnlich wie Sysinternals stellvertretend für eine Reihe von nützlichen Tools auf der Liste. Das Unternehmen bietet etwa kostenlose IP-Adressen-Tracker oder liefern Lösungen für Bandbreiten-Monitoring.
Ngrep
ngrep will die Funktionsweise des Unix/Linux-Kommandos grep auf das Netzwerk ausweiten. Mit Hilfe des Tools kann man beispielsweise definierte Zeichenketten in übertragenen Paketen aufspüren.
EtherApe
EtherApe bereitet Netzwerk-Kommunikation grafisch auf und liefert so einen neuen Blickwinkel auf das Netzwerk.
Splunk
Splunk ist ein Tool, mit dem sich Daten überwachen, sammeln und neu aufbereiten lassen. Die Software kann Informationen von verschiedenen Diensten sammeln und in einem einheitlichen Interface darstellen.
Angry IP Scanner
Angry IP Scanner ist ein klassischer Scanner, mit dem sich Hosts im Netzwerk aufspüren lassen.
NetWitness NextGen
NetWitness NextGen ist ein Sicherheits-Monitor für den Einsatz im Netzwerk. Die Software enthält dazu auch eine Komponente, mit der sich aufgezeichneter Traffic analysieren lässt.
Secunia PSI
Der Personal Software Inspector von Secunia kann alle auf einem System installierten Programme analysieren und veraltete Komponenten aufspüren.
Nagios
Nagios ist ein Überwachungsystem für das Netzwerk und einzelne Hosts.
Immunity Debugger
Immunity Debugger hilft beim Analysieren von Binärdateien und lässt sich mit Hilfe einer Python-API erweitern.
Superscan
Superscan ist ein TCP/UDP-Scanner für Windows.
sqlninja
sqlninja kann Web-Applikationen auf Basis von MS SQL unter die Lupe nehmen und Schwachstellen aufspüren.
Helix
Helix ist eine Ubuntu-basierte Live-CD, die vor allem für Computerforensiker optimiert wurde. Die Live-CD wurde so entwickelt, dass sie keinerlei Änderungen am Host-System vornimmt, also beispielsweise auch keine Laufwerke oder Swap-Space einbindet.
Malwarebytes Anti-Malware
Malwarebytes' Anti-Malware ist ein Sicherheitsscanner für Windows, der laut dem Entwickler auch bösartige Programme aufspürt, die andere Scanner möglicherweise übersehen.
Netsparker
Netsparker ist ein Schwachstellenscanner für Web-Anwendungen. Die Software kann gefundene Sicherheitslücken sowohl aufzeigen wie auch ausnutzen. Dadurch will das Programm False-Positive-Meldungen vermeiden.
HP WebInspect
WebInspect ist ebenfalls ein Tool, mit dem sich Web-Anwendungen auf Schwachstellen überprüfen lassen.
BeEF
BeEF ist ein Framework, mit dem sich Browser attackieren und übernehmen lassen. Enthalten ist auch ein Kontrollzentrum, mit dem sich übernommene Zombie-Browser steuern lassen.
Argus
Argus ist ein Real Time Flow Monitor, der den Status und die Leistung der Übertragungen im Netzwerk überwachen und darstellen kann.
OpenBSD PF
PF liefert die Firewall-Funktionen für OpenBSD-basierte Betriebssysteme.
ClamAV
ClamAV ist ein kostenloser Virenscanner, der vor allem auf Servern zum Einsatz kommt.
Nipper
Nipper, kurz für Network Infrastructure Parser, hilft beim Audit von Netzwerkkomponenten wie Switches oder Router. Die Software untersucht dabei die Konfigurationsdateien der jeweiligen Netzwerkkomponenten.
NetworkMiner
Network Miner ist ein Forensik-Tool für Windows. Die Software kann Netzwerk-Traffic passiv mitschneiden, ohne selbst über das Netzwerk zu kommunizieren.
Wikto
Wikto kann Webserver auf Fehler und Sicherheitslücken überprüfen. Das Tool setzt auf das .NET-Framework von Microsoft.
P0f
P0f ist ein Analyse-Tool, mit dem sich das Betriebssystem eines Zielsystems duch Analyse von gesammelten Paketen herausfinden lässt.
NoScript
Das AddOn für Firefox kann die Ausführung von Skripten (etwa JavaScript oder Flash) unterbinden.
Sguil
Sguil ist eine Sammlung von Komponenten zur Netzwerküberwachung und Analyse von IDS-Alarmen.
Samurai Web Testing Framework
Das Samurai Web Testing Framework ist eine Live-Umgebung, die sich auf Penetration Test gegen Web-Applikationen spezialisiert hat.
Tamper Data
Tamper Data ist ein Add-On für Firefox, mit dem sich HTTP-Header vor dem Versenden manipulieren lassen.
Firebug
Firebug ist ebenfalls ein Add-On für Firefox. Das Tool liefert umfangreiche Informationen zu Webseiten und bietet beispielsweise auch einen Debugger für JavaScript.
inSSIDer
inSSIDer ist eine Alternative zu Netstumbler und funktioniert auch auf neueren Windows-Systemen.
Nemesis
Nemesis ist ein Kommandozeilen-Tool, mit dem sich Netzwerkpakete erstellen oder einspeisen lassen.
KeePass
KeePass ist ein Passwort-Manager auf Open-Source-Basis.
GDB
GDB ist ein Debugger für nahezu beliebige Binärdateien.
VirusTotal
VirusTotal ist ein Dienst, der unbekannte Dateien mit zahlreichen Anti-Malware-Engines überprüfen kann.
Tripwire
Tripwire kann einzelne Dateien oder ganze Verzeichnisse auf ihre Integrität überprüfen. Waren ältere Versionen noch unter der Open-Source-Lizenz ist Tripwire inzwischen ein kommerzielles Projekt.
ratproxy
ratproxy ist ein passives Tool zum Audit von Web-Applikationen.
KisMAC
KisMAC ist die Kismet-Implementierung für Mac OS. Dabei ist anzumerken, dass es dieses Programm bereits vor der offiziellen Version von Kismet für den Mac gab und auf eine komplett andere Code-Basis setzt.
ike-scan
ike-scan ist ein Kommandozeilentool, mit dem sich IPSec-VPN-Server finden, fingerprinten und testen lassen.
NetScan Tools
NetScan Tools ist eine Sammlung von Netzwerk-Programmen für Windows. Das Paket umfasst bis zu 40 Tools unter einer einheitlichen Oberfläche.
cURL
cURL ist ein Kommandozeilen-Tool, mit dem sich Daten über die URL-Syntax übertragen lassen.
The Sleuth Kit
The Sleuth Kit ist eine Sammlung von Kommandozeilen-Tools zur Datei- oder Laufwerksforensik und auf Unix-basierte Betriebssysteme zugeschnitten.
Websecurify
Websecurify ist eine Test-Plattform für Web-Applikationen, die laut den Entwicklern großen Wert auf Einfachheit und Benutzerfreundlichkeit legt. Zudem gibt es iPhone-Version.
Knoppix
Knoppix dürfte wohl eine der bekanntesten Linux-Live-CDs darstellen. Anders als etwa BackTrack oder Helix ist sie nicht speziell auf Sicherheits-Tools optimiert, sondern will die Nutzer an Linux heranführen.
THC Amap
THC Amap ist eine Alternative zum Netzwerk-Scanner Nmap. Das Tool kann herausfinden, welche Applikation auf welchem Port ansprechbar ist.
Rainbow Crack
RainbowCrack ist ein Passwort-Knacker der, der Name deutet es an, stark auf Rainbow Tables setzt.
Grendel-Scan
Grendel ist ein Open-Source-Tool, mit dem sich Web-Applikationen im Hinblick auf Sicherheitslücken testen lassen können.
dradis
dradis ist ein Framework, mit dem mehrere Teilnehmer eines Penetration Tests ihre Daten in einem einheintlichen Format miteinander teilen können. Das Tool kann außerdem die Ausgaben von Tools wie Nmap, Burp oder Nikto auslesen und anderen Nutzern zur Verfügung stellen.
Socat
Socat ähnelt Netcat, unterstützt aber beispielsweise auch Sockets.
DumpSec
DumpSec ist ein Auditing-Tool, das auf Windows NT/XP/200x zugeschnitten ist.
SAINT
SAINT ist ein kommerzieller Schwachstellenscanner.
NBTScan
NBTScan ist ein Tool, mit dem sich Netzwerke nach NetBIOS-Informationen durchsuchen lassen.
DirBuster
DirBuster kann versteckte oder vergessende Webseiten und Verzeichnisse auf Webservern aufspüren.
WinDBG
WinDbg von Microsoft ist ein Debugger mit grafischer Oberfläche.
Wfuzz
Wfuzz ist ein Tool, mit dem sich Web-Applikationen einer Brute-Force-Attacke unterziehen lassen.
ArcSight SIEM Plattform
ArcSight SIEM ist eine Plattform, die zahlreiche Tools umfasst. Die Lösung kann etwa Logs analysieren und Korrelationen erfassen und so nur bei wirklich wichtigen Netzwerk-Zwischenfällen Alarm schlagen.
Unicornscan
Unicornscan ist eine Lösung, die zahlreiche Funktionen rund um das manipulieren und erforschen von TCP/IP-Stacks liefert.
Stunnel
Stunnel ist eine Lösung, mit der sich nahezu beliebige Verbindungen verschlüsseln lassen. So kann man beispielswiese auch Protokolle wie POP3 relativ einfach gegen Spionage absichern.
SELinux
SELinux beschreibt zahlreiche Erweiterungen, die Linux sicherer machen sollen.
Brutus
Brutus ist ein Passwort-Knacker auf Windows-Basis, der sich vor allem auf Dienste im Netzwerk spezialisiert hat. Die Software setzt auf Wörterbuch-Attacken.
EnCase
EnCase ist eine kommerzielle Software-Lösung für IT-Forensik, die unter anderem von Strafverfolgungsbehören genutzt wird.
Wapiti
Wapiti ist eine Audit-Lösung, mit der sich Web-Applikationen überprüfen lassen. Die Software nutzt dabei nicht den Sourcecode der Anwendung , sondern versucht Schwachstellen in den verfügbaren Webseiten der jeweiligen Applikationen zu finden.
WebGoat
WebGoat ist eine absichtlich fehlerhaft entwickelte J2EE-Web-Applikation. Die Software dient für Lehrzwecke, sie soll Nutzern und Entwicklern gängige Schwachstellen und Fehler aufzeigen.
Hijack This
Hijack This erstellt ein komplettes Log des aktuellen Zustandes eines Computers. Dadurch kann man Malware auf die Schliche kommen oder unsichere Dienste aufspüren.
Honeyd
Honeyd kann virtuelle Hosts im Netzwerk erstellen. Diese lassen sich mit beliebigen Diensten ausstatten, um Angreifer zu verwirren oder in die Irre zu leiten. Zudem können die Systeme als Honeypot arbeiten und so Aufschluss über Angriffe liefern.
AIDE
AIDE steht für Advanced Intrusion Detection Environment und kann Rootkits aufspüren. Die Entwickler sehen das Tool als Alternative zum mittlerweile kommerziellen Tripwire.

Die Methode sollte unbedingt im größeren Netzwerk genutzt werden, da dort sonst die IP-Adressen knapp werden könnten. Vorsicht: Das kann sogar in kleineren Netzwerken geschehen, falls man öfter mal virtuelle Umgebungen wie VMware Workstation, Parallels Desktop oder Citrix XenServer einsetzt. Diese erzeugen je nach Konfiguration mehrere virtuelle Netzwerkschnittstellen. Die umständlichste Methode, die aber durchaus zum Einsatz kommt, ist die manuelle Zuweisung von IP-Adressen. Hier kann ein Administrator einem oder mehreren Clients eine ganz bestimmte Adresse zuweisen - etwa einem Router oder einem Netzwerkdrucker.

Die Anfrage seitens der Clients erfolgt mittels Broadcast. Damit wird getestet, wie viele DHCP-Server im Netzwerk vorhanden sind. Der Angesprochene verschickt als Antwort einen Konfigurationsvorschlag. Akzeptiert der Client diesen, sendet er eine DHCP-Anforderung (DHCP Request). Der Server wiederum schickt im Gegenzug die IP-Adresse und die erforderlichen Parameter. Am Ende der Sitzung schickt der Client eine Freigabe zurück an den Server und meldet so, dass die IP-Adresse nicht mehr benötigt wird (DHCP Release).

FTP, FTPS und SFTP

FTP (File Transfer Protocol) ist das Standardformat für den Dateiaustausch über das Internet. Eine FTP-Sitzung erfolgt standardmäßig über den Port 21. Das Protokoll wird meist für den Zugriff auf Dateiarchive genutzt. Dabei können in der Regel auch Nutzer ohne Konto auf den Internetserver zugreifen (anonymous FTP). In anderen Fällen erfolgt die Authentifizierung mittels Benutzername und Kennwort. FTP kennt fast 80 Befehle. Der Zugriff auf die Server erfolgt über grafisch orientierte Programme, über einen Internet-Browser oder direkt über eine Shell. Dazu gibt der Benutzer auf der Konsole einfach "ftp IP-ADRESSE" oder "ftp HOST" ein. Als Eingabeprompt erscheint meist "ftp>". Eine Liste aller Befehle erhalten Sie dann mit "?" oder "help". Eine kurze Erklärung zu den einzelnen Befehlen gibt es mit "? BEFEHL" oder "help BEFEHL". Wichtige Kommandos sind:

cd: wechselt das Verzeichnis

close: kappt die Verbindung zum FTP-Server

del: löscht eine Datei auf dem FTP-Server

dir: listet den Verzeichnisinhalt

exit: beendet die FTP-Sitzung

get: Datei herunterladen

ls: listet wie dir Verzeichnisse

mdel: löscht mehrere Dateien auf dem FTP-Server

mget: mehrere Dateien herunterladen

mput: sendet mehrere Dateien zum FTP-Server

open: stellt eine Verbindung zu einem FTP-Server her

put: sendet eine Datei zum FTP-Server

pwd: zeigt das aktuelle Verzeichnis auf dem FTP-Server an

quit: beendet wie exit die FTP-Sitzung

user: sendet Benutzeridentifikation

Daten, die per FTP übertragen werden, sind nicht verschlüsselt. Wer eine sichere Methode mit FTP nutzen will, hat zwei Möglichkeiten: Er kann FTP über SSL (FTPS) nutzen; hierbei wird die FTP-Verbindung verschlüsselt. Oder man überträgt Daten per Secure FTP (SFTP); dann wird die FTP-Verbindung über SSH getunnelt. Man kann diese Möglichkeiten einzeln nutzen, oder wechselt gleich zu SSH als Übertragungsprotokoll. Denn dort ist SFTP als Subsystem seit der Version 2 enthalten, und man spart sich auf dem Host einen Server.

HTTP und HTTPS

HTTP (Hypertext Tranfer Protocol) ist das zugrunde liegende Protokoll für das World Wide Web. Es läuft über den Port 80 und übermittelt Daten von einem Webserver zum Web-Browser und umgekehrt; als Transportprotokoll wird - wie bei FTP - TCP/IP verwendet. Dabei werden HTML-Dokumente übertragen, aber ebenso auch Bilder, Audio- und Videodaten. Wie und womit diese zusätzlichen Daten dargestellt werden, wird über die MIME-Typen auf dem Client ermittelt. HTTP gibt es in den Versionen 1.0 und 1.1. Diese unterscheiden sich in einigen Funktionen. So wird etwa in Version 1.0 die Verbindung beendet, sobald die Daten übertragen wurden. In Version 1.1 kann man mit dem Header-Eintrag keep-alive die Verbindung aufrechterhalten. Version 1.1 kann darüber hinaus abgebrochene Übertragungen wieder aufnehmen.

Für verschlüsselte Übertragungen steht HTTPS zur Verfügung - standardmäßig läuft die Kommunikation über den Port 443. Das von Netscape entwickelte Protokoll schiebt eine Schicht zwischen HTTP und TCP. HTTPS ist identisch mit HTTP; die Verschlüsselung erfolgt mittels TLS (Trasnport Layer Security), bis dato als SSL (Secure Socket Layer) bekannt. In HTTPS findet zunächst eine gesicherte Authentifizierung von Server und Client statt. Dann wird ein Sitzungsschlüssel erzeugt und ausgetauscht, der zum Verschlüsseln der übertragenen Daten dient. Wer einen HTTPS-Server einsetzen will, benötigt SSL-Routinen. Diese werden beispielsweise im Apache-Webserver als Modul geladen. Weiterhin benötigt man ein digitales Zertifikat, das üblicherweise von einer Zertifizierungsstelle ausgestellt wird. Die Kosten dafür betragen zwischen rund 40 US-Dollar bis über 1000 US-Dollar pro Jahr. Einige Organisationen wie Startcom und Cacert stellen auch kostenlos Zertifikate aus.

IP, IPv4 und IPv6

IP (Internet Protocol) ist die Grundlage des Internets. Dieses selbst besteht aus Backbone-Routern und weiteren Netzen in Universitäten und bei Providern. Sie können weitere Subnetze bilden und in Form von IP-Adressen an Kunden vergeben. Über IP werden die Daten zwischen den Routern gesteuert. Hauptaufgabe des IP ist es, aus den Informationseinheiten kleine Pakete zu schnüren und diese über verschiedene Wege ans Ziel zu liefern - also von einer IP-Adresse zu einer anderen. Dort angekommen, werden sie vom IP-Protokoll wieder in der richtigen Reihenfolge zusammengesetzt.

Die IP-Adressen der Version 4 (IPv4) werden aus vier Oktetten zusammengesetzt. Die vierte Version des Internetprotokolls war die erste, die weltweit eingesetzt wurde. Seither werden die Adressräume knapp. Die beiden letzten freien Adressblöcke wurden im Februar dieses Jahres vergeben. Damit können aus dem IPv4-Adress-Pool mit über vier Milliarden eindeutigen IP-Adressen keine weiteren verteilt werden.

Der direkte IPv4-Nachfolger ist die Version 6, kurz: IPv6. Adressen haben in dieser IP-Version eine Länge von 128 Bit statt wie bisher 32 Bit. Die aktuellen Betriebssysteme beherrschen diese Form der Adressierung bereits. Das wundert weiter nicht, da IPv6 bereits seit 1998 als Standard gilt. Nach und nach wird diese neue 6er-Version die alte 4er ablösen, da sie wesentlich mehr Adressen ermöglicht: statt zirka 4,3 Milliarden (2 hoch 32) beherrscht IPv6 ungefähr 340 Sextillionen (2 hoch 128). Der weiche Übergang wird außerdem dadurch erreicht, dass IPv6 zum bestehenden IPv4 hinzugeschaltet wird.

Darüber hinaus bietet IPv6 weitere Vorteile: Das Verschlüsselungsverfahren IPsec ist integriert, und die Adressen können automatisch so konfiguriert werden, dass Verfahren wie DHCP überflüssig werden (der Fachmann spricht von zustandsloser Konfiguration). Überflüssig wird auch die Network Adress Translation (NAT): Mit IPv6 erhalten Anwender global eindeutige IP-Adressen, sodass jedes Gerät vom Server bis zum NAS, vom Tablet bis zum Smartphone weltweit seine eigene IP-Adresse erhalten kann - eine Adressumschreibung für das eigene Netzwerk ist damit überflüssig.

IPv6-Adressen werden hexadezimal notiert. Die Zahl ist in acht Blöcke à 16 Bit unterteilt. Die Blöcke werden durch Doppelpunkte getrennt, führende Nullen und Nullen-Blöcke können weggelassen werden. Damit es keine Verwechslungen mit Port-Nummern gibt, werden IPv6-Adressen im Browser in eckige Klammern gesetzt: http://[1020:de2:74a1:::9088:7890:abcd]:631/.

IPX und SPX

IPX (Internet Protocol Exchange) und SPX (Sequenced Packed Protocol Exchange) wird von NetBIOS zur Datenübertragung genutzt. Die Protokolle spalten ähnlich wie IP die Daten in Pakete auf und fügen sie am Ziel wieder zusammen. SPX ist eine Erweiterung zu IPX, die auch auf Fehler prüft. Beide benötigen das Netware-Betriebssystem der Firma Novell.

NetBIOS und NetBEUI

NetBIOS (Network Basic Input/Output System) regelt als Standardschnittstelle auf der Transportschicht den Zugriff auf im Netzwerk verfügbare Geräte wie Drucker, Scanner und Streamer. Es wurde 1983 für IBM entwickelt und enthält unter anderem Funktionen zur Namensauflösung. NetBIOS ist auf Netzwerkkarten implementiert und leitet Anfragen vom Benutzer ins Netzwerk weiter.

Das auf NetBIOS aufbauende Transportprotokoll heißt NetBEUI (NetBIOS Extended User Interface). Es ist eine Microsoft-Erweiterung von NetBIOS. NetBEUI wurde für DOS-PCs entwickelt und war unter Windows bis zu Version 2000 und ME der Standard. Das Protokoll ist klein und schnell. Da es auf MAC-Adressen aufsetzt, kommt es ohne IP-Adressen aus; Quell- und Zielcomputer werden über den Host-Namen identifiziert, der maximal 15 Zeichen lang sein darf. Allerdings ist es nicht Routing-fähig, in größeren Netzwerken nicht mehr zeitgemäß und seit Windows Vista nicht mehr in den Microsoft-Produkten verfügbar.

SMB

SMB (Server Message Block) oder auch LAN Manager ist hauptsächlich ein Protokoll für Datei und Druckdienste. Es läuft über NetBIOS, NetBIOS over TCP/IP und direkt im TCP/IP-Protokollstapel. SMB implementiert ein NFS-ähnliches Dateisystem und ist so unabhängig vom Dateisystem des Servers. Das macht sich zum Beispiel das Samba-Projekt zunutze, eine freie Implementierung des SMB-Protokolls unter Unix und unixoiden Systemen wie Linux. Mit Samba können damit in heterogenen Umgebungen Windows-Server durch preiswertere Linux-Systeme ersetzt werden.

SMB wurde 1983 bei IBM entwickelt. Anschließend haben Firmen wie Microsoft, SCO und das Samba-Projektteam das Protokoll verbessert. Derzeit aktuell ist die SMB-Version 2, die von Samba ab der Version 3.5 unterstützt wird.

SMTP

SMTP (Simple Mail Transfer Protocol) ist das Protokoll für das Versenden von E-Mail. Das Protokoll aus der Anwendungsschicht ist auf dem Port 25 zu finden. Alternativ geht heute der Mail-Versand auch über den Port 587 vonstatten; dort werden für dem System bekannte Benutzer Mails entgegengenommen und weitergeleitet. Das soll unerwünschten Spam verhindern. Vorrangig wird SMPT zum Absenden von E-Mails genutzt; für den Mail-Empfang dienen Protokolle wie POP3 und IMAP. Ein SMTP-Server steht entweder im lokalen Netzwerk zur Verfügung oder ist über externe Server - bei einem Provider auf einer eigenen Internetpräsenz - erreichbar. Im Internet sorgen dann sogenannte Mail Transfer Agents (MTA) für das weitere Übermitteln der Mails.

SMTP-Server kommunizieren untereinander in Klartext. Da SMTP textbasiert ist, kann man zum Beispiel auch ganz einfach per Telnet eine Mail verschicken. Das ist auch der Grund, warum Mail-Adressen nicht als verlässlich gelten. Denn in Telnet ist, wie in anderen Programmen, der Name des Empfängers ebenso frei wählbar wie der des Absenders.

TCP/IP

TCP/IP (Transmission Control Protocol/Internet Protocol) heißt deshalb so, weil TCP in den meisten Fällen auf dem Internetprotokoll aufbaut. TCP/IP wurde ursprünglich für das US-Verteidigungssystem entwickelt, um Computer in unterschiedlichsten Systemen miteinander zu verbinden. Das erklärt auch einige Eigenschaften wie die, dass Datenverluste erkannt und automatisch behoben werden oder dass eine Überlastung des Netzwerkes verhindert wird. Während IP sich um den Versand der Pakete kümmert, sorgt TCP für den zuverlässigen Datenstrom zwischen zwei Punkten. Es prüft die Integrität der Daten mithilfe einer Prüfsumme im Paketkopf und stellt die Reihenfolge durch sogenannte Sequenznummern sicher. Ankommende Pakete werden beim Empfänger zusammengefügt, doppelt gesendete werden verworfen.

UDP

UDP (User Datagram Protocol) ist ein einfach aufgebautes, verbindungsloses Protokoll. Im Gegensatz zu TCP werden mit UDP Daten übertragen, die nicht unbedingt ankommen müssen. Anders gesagt: Bei UDP gibt es keine Garantie, dass Daten ankommen - bei TCP schon. Die Informationen im Header der Pakete sind aufs Nötigste begrenzt. Das bedeutet auch, dass keine Überlastungskontrolle stattfinden kann. Das Einzige, was mit UDP geprüft werden kann, ist die korrekte Checksumme nach dem Erhalt einer Nachricht. (rb)