Pi-Hole: Brücken bauen
Unsere eigene Sicherheitsbox soll auch Netzwerkverkehr analysieren können. Der beste Weg hierfür ist eine Netzwerkbrücke, beispielsweise zwischen einem WLAN-Interface im Accesspoint-Modus und einer Ethernetschnittsttelle. Installieren Sie hierfür den hostapd. Verbindet man nun das Gerät, dessen Datenverkehr mitgeschnitten werden soll, mit diesem Accesspoint, so können Sie mit dem Programm tcpdump den gesamten Netzwerkverkehr mitschneiden. Diese Vorgehensweise ist zuverlässiger als der Mitschnitt an einer passiv lauschenden Schnittstelle. Mit Hardware wie dem Banana Pi Router ist es darüber hinaus auch möglich, eine Ethernet-nach-Ethernet-Bridge zu definieren und so den Verkehr reiner Ethernetgeräte mitzuschneiden.
Damit die folgende Konfiguration funktioniert, sollten Sie das möglicherweise von Pi-Hole installierte Paket dhcpcd5 deinstallieren und das Paket bridge-utils installieren. Zunächst definieren wir in der /etc/network/interfaces eine Brücke zwischen WLAN- und Ethernetschnittstelle:
- auto eth0
- iface eth0 inet manual
- auto wlan0
- iface wlan0 inet manual
- auto br0
- iface br0 inet static
- address 192.168.1.2
- netmask 255.255.255.0
- gateway 192.168.1.1
- dns-nameservers 192.168.1.1
- bridge_ports eth0 wlan0
- bridge_stp on
© Weka/Archiv
Starten Sie nach der Konfigurationsänderung neu und prüfen Sie, ob der SBC noch im Netzwerk erreichbar ist. Im nächsten Schritt folgt dann die Konfiguration des eigentlichen Accesspoints in der Konfigurationsdatei /etc/hostapd/hostapd.conf:
- interface=wlan0
- bridge=br0
- driver=nl80211
- ssid=SecurityBox
- channel=9
- hw_mode=g
- auth_algs=1
- wpa=2
- wpa_key_mgmt=WPA-PSK
- wpa_passphrase=geheim123
- country_code=DE
- ieee80211d=1
Starten Sie nun in der Konsole den hostapd: hostapd /etc/hostapd/hostapd.conf und versuchen Sie mit Smartphone oder Tablet über diesen Accesspoint eine Internetverbindung herzustellen. In der Konsole können Sie mitlesen, ob die Authentifizierung gelingt etc. Klappt alles, so tragen Sie den Pfad zur Konfigurationsdatei in /etc/default/hostapd ein:
- DAEMON_CONF="/etc/hostapd/hostapd.conf"
Nach dem Neustart des SBCs ist der Accesspoint dauerhaft aktiv. Sie können nun mit tcpdump den gesamten Netzwerkverkehr beispielsweise der WLAN-Schnittstelle mitschneiden:
tcpdump -p -w /tmp/wlan0.pcap -i wlan0
Um längere Mitschnitte beim Logout nicht abzubrechen, ist es praktisch, mit screen (ohne weitere Parameter) eine Shell zu starten, die in den Hintergrund geschickt werden kann. In der Screen-Sitzung starten Sie dann tcpdump. Schließlich können Sie mit Strg+A gefolgt von Strg+D die Screen-Sitzung verlassen und sich abmelden. Nach erneutem Anmelden zeigt
- screen -list
die aktiven Screen-Sitzungen, und mit
- screen -r 123
übernehmen Sie erneut die Screen-Sitzung mit der Prozessnummer 123. Laufende Dumps können Sie hier mit Strg+C beenden und die *.pcap-Datei nun auf einen beliebigen anderen Rechner transferieren. Dort hilft Ihnen das Werkzeug Wireshark bei der Sortierung und der inhaltlichen Auswertung der gewonnenen Daten. Im Falle eines Smart TVs kann das einiges sein: Per HTTP nachgeladene Programminformationen, App-Updates, aber eben auch die ungefragte Übertragung von Nutzungsdaten an Werbedienstleister.
Falls Sie den Accesspoint mit mehreren Clients betreiben, können Sie entweder in Wireshark nach Ursprung und Ziel von Kommunikation filtern oder gleich in tcp-dump Kommunikation unter Angabe der Mac-Adresse des zu überwachenden Systems aufrufen:
- tcpdump -p -w /tmp/wlan0.pcap -i wlan0 ether host aa:bb:cc:11:22:33
