Mailübertragung im Netzwerk bespitzeln

Internet-Protokolle wie POP3, SIP, SMTP oder FTP laufen unverschlüsselt über das Netzwerk. Und obwohl inzwischen fast alle Mailserver und auch Freemail-Anbieter wie GMX oder Web.de eine verschlüsselte Übertragung bieten, nutzen nur wenige Anwender diese Möglichkeit. So kann es durchaus passieren, dass einem Hacker die Sache leichter gemacht wird, etwa weil ein Anwender gleiche Passwörter für sein Firmen-Mailpostfach und sein privates Mailkonto hat oder weil er Firmeninformationen über das private Mailkonto erhält und verschickt. Um zu ermitteln, ob ein Anwender im Netzwerk unverschlüsselte Mailkommunikation betreibt, reicht ein einfacher Capture-Filter:

Damit zeigt Wireshark sämtlichen Datenverkehr an die drei nicht verschlüsselten Ports für Mailverkehr: POP3, SMTP und IMAP. Um zu testen, ob er auch erwartungsgemäß funktioniert, starten Sie Ihr Mailprogramm und holen Ihre Mails ab.

Bei der ungesicherten Verbindung über den POP3-Port erkennen Sie, dass das Passwort im Klartext übertragen wird: Ein Sicherheitsrisiko, da im Netz jeder Anwender einen Sniffer benutzen und die Passwörter sammeln könnte. Sicherheitsbewusste Netz-Administratoren setzen deshalb einen Sniffer auf POP3-Verbindungen an, damit sie ihre Benutzer vor diesem Risiko warnen können. Ähnlich sensitive Protokolle sind FTP, Telnet oder HTTP.

Mit der zunehmenden Verbreitung von Switches als zentraler Kontenpunkt im Netzwerk wird das Abhören der für andere Stationen bestimmten Daten schwieriger. Switches sorgen dafür, dass Netzwerkpakete nur noch an den tatsächlichen Empfänger gesendet werden. Das erreichen diese Geräte, indem sie sich merken, an welcher Anschlussbuchse welche MAC-Adresse zu finden ist. Demzufolge empfängt auch eine Netzwerkkarte im Promiscuous Mode nur noch Broadcasts und direkt an sie gerichtete Pakete. Das verhindert eine effektive Fehleranalyse des kompletten Netzwerks per Sniffing.

Mit Spiegelung: Teure Switches unterstützen eine Funktion namens Port Mirroring. Dabei wird der Datenverkehr eines Ports auf einen anderen gespiegelt. An diesen Port hängt der Sniffer und überwacht den Datenverkehr. Meist wird der Uplink-Port gespiegelt, weil man dann fast den gesamten Datenstrom bekommt. Will man nur den Traffic vom und zum Internet überwachen, reicht es aus, den Switch-Port zu spiegeln, an dem der Router hängt.

Ohne Spiegelung: Bei Switches ohne Portspiegelung muss man zum „Switch Jamming“ greifen. Dabei schickt man dem Switch eine Vielzahl von Paketen mit verschiedenen MAC-Adressen, bis sein interner Speicher für die Verwaltung überläuft. Die meisten Switches schalten in diesem Fall um und verhalten sich dann wie ein Hub, senden also alle Pakete an alle Ports.