Personal Computing

Pi-Hole: Brücken bauen

Unsere eigene Sicherheitsbox soll auch Netzwerkverkehr analysieren können. Der beste Weg hierfür ist eine Netzwerkbrücke, beispielsweise zwischen einem WLAN-Interface im Accesspoint-Modus und einer Ethernetschnittsttelle. Installieren Sie hierfür den hostapd. Verbindet man nun das Gerät, dessen Datenverkehr mitgeschnitten werden soll, mit diesem Accesspoint, so können Sie mit dem Programm tcpdump den gesamten Netzwerkverkehr mitschneiden. Diese Vorgehensweise ist zuverlässiger als der Mitschnitt an einer passiv lauschenden Schnittstelle. Mit Hardware wie dem Banana Pi Router ist es darüber hinaus auch möglich, eine Ethernet-nach-Ethernet-Bridge zu definieren und so den Verkehr reiner Ethernetgeräte mitzuschneiden. 

Damit die folgende Konfiguration funktioniert, sollten Sie das möglicherweise von Pi-Hole installierte Paket dhcpcd5 deinstallieren und das Paket bridge-utils installieren. Zunächst definieren wir in der /etc/network/interfaces eine Brücke zwischen WLAN- und Ethernetschnittstelle:​

  • auto eth0 
  • iface eth0 inet manual 
  • auto wlan0 
  • iface wlan0 inet manual 
  • auto br0 
  • iface br0 inet static 
  • address 192.168.1.2 
  • netmask 255.255.255.0 
  • gateway 192.168.1.1 
  • dns-nameservers 192.168.1.1 
  • bridge_ports eth0 wlan0 
  • bridge_stp on​
OpenWrt

© Weka/Archiv

Einen sperrenden DNS-Server machen Sie bequem per DHCP-Server-Einstellung auf dem DSL-Router im ganzen Netz bekannt – unser Screenshot zeigt die Konfiguration bei OpenWRT.

Starten Sie nach der Konfigurationsänderung neu und prüfen Sie, ob der SBC noch im Netzwerk erreichbar ist. Im nächsten Schritt folgt dann die Konfiguration des eigentlichen Accesspoints in der Konfigurationsdatei /etc/hostapd/hostapd.conf

  • interface=wlan0 
  • bridge=br0 
  • driver=nl80211 
  • ssid=SecurityBox 
  • channel=9 
  • hw_mode=g 
  • auth_algs=1 
  • wpa=2 
  • wpa_key_mgmt=WPA-PSK 
  • wpa_passphrase=geheim123 
  • country_code=DE 
  • ieee80211d=1

Starten Sie nun in der Konsole den hostapd: hostapd /etc/hostapd/hostapd.conf und versuchen Sie mit Smartphone oder Tablet über diesen Accesspoint eine Internetverbindung herzustellen. In der Konsole können Sie mitlesen, ob die Authentifizierung gelingt etc. Klappt alles, so tragen Sie den Pfad zur Konfigurationsdatei in /etc/default/hostapd ein: 

  • DAEMON_CONF="/etc/hostapd/hostapd.conf" 

Nach dem Neustart des SBCs ist der Accesspoint dauerhaft aktiv. Sie können nun mit tcpdump den gesamten Netzwerkverkehr beispielsweise der WLAN-Schnittstelle mitschneiden: 

tcpdump -p -w /tmp/wlan0.pcap -i wlan0

Um längere Mitschnitte beim Logout nicht abzubrechen, ist es praktisch, mit screen (ohne weitere Parameter) eine Shell zu starten, die in den Hintergrund geschickt werden kann. In der Screen-Sitzung starten Sie dann tcpdump. Schließlich können Sie mit Strg+A gefolgt von Strg+D die Screen-Sitzung verlassen und sich abmelden. Nach erneutem Anmelden zeigt 

  • screen -list 

die aktiven Screen-Sitzungen, und mit 

  • screen -r 123 

übernehmen Sie erneut die Screen-Sitzung mit der Prozessnummer 123. Laufende Dumps können Sie hier mit Strg+C beenden und die *.pcap-Datei nun auf einen beliebigen anderen Rechner transferieren. Dort hilft Ihnen das Werkzeug Wireshark bei der Sortierung und der inhaltlichen Auswertung der gewonnenen Daten. Im Falle eines Smart TVs kann das einiges sein: Per HTTP nachgeladene Programminformationen, App-Updates, aber eben auch die ungefragte Übertragung von Nutzungsdaten an Werbedienstleister. 

Falls Sie den Accesspoint mit mehreren Clients betreiben, können Sie entweder in Wireshark nach Ursprung und Ziel von Kommunikation filtern oder gleich in tcp-dump Kommunikation unter Angabe der Mac-Adresse des zu überwachenden Systems aufrufen: 

  • tcpdump -p -w /tmp/wlan0.pcap -i wlan0 ether host aa:bb:cc:11:22:33​

Mehr zum Thema

Der Passwort-Diebstahl der CyberVor-Hacker macht sich bemerkbar.
Wikileaks-Enthüllung

Wikileaks veröffentlicht Details zum Spionage-Tool "Cherry Blossom" der CIA. Damit hackte der US-amerikanische Geheimdienst gezielt WLAN-Router.
Fritzbox 7560: Release & Preis
WLAN-Router Update

Das Fritz OS 6.90 Update für die Fritzbox 7560 und 7580 bereit. AVM-Updates für Fritzbox 7590 und 7490 folgen später im September. Das bringt's!
KRACK WPA2 Attacke WLAN Unsicher
Verschlüsselung geknackt

Forscher haben eine Schwachstelle in der WLAN-Verschlüsselung WPA2 entdeckt. Die KRACK getaufte Sicherheitslücke betrifft alle WLAN-Geräte.
KRACK Attacke WPA2
WLAN-Verschlüsselung geknackt

Microsoft hat WPA2 in Windows bereits gepatcht, andere ziehen nach: Wir beantworten die wichtigsten Fragen zur WLAN-Sicherheitslücke KRACK.
KRACK Update AVM FRITZPowerline 1260E FRITZWLANRepeater1750E
Neue Firmware

AVM rollt für für WLAN-Repeater und Powerline-WLAN-Produkte weitere Firmware-Updates gegen die WPA2-Schwachstelle KRACK aus. Hier alle Infos.
News
Minecraft-Server waren das ursprüngliche Ziel
Alternative zu MacBook Pro und Surface Book