Im WLAN lässt es sich bequem arbeiten. Egal in welchem Raum man sich aufhält, sobald der Laptop eine Verbindung hat, kann man bequem im Netzwerk arbeiten. Die notwendige Infrastruktur wie Access Points sind billig und in den Standardeinstellungen schnell eingerichtet. Grundsätzlich bieten die Access Points mit WPA auch eine sichere Verschlüsselung des Datenverkehrs. Sind die WLAN-Zugangspunkte in die Infrastruktur der IT integriert und den Administratoren bekannt, ist die Gefahr einer Kompromittierung relativ gering.
Probleme tun sich dann auf, wenn Angestellte eigenmächtig versuchen, ein WLAN-Netz aufzuziehen und sich nicht mit dem Administratoren absprechen. Schnell kommt dann gefährliches Halbwissen zum Einsatz. Da wird beispielsweise der Datenverkehr nicht oder nur unzureichend verschlüsselt oder Passwörter werden auf den Standardeinstellungen belassen.
Diese „wilden“ Zugangspunkte hängen oft ebenfalls am Firmen-LAN und erlauben neben einem Zugriff auf das Internet auch Einsicht in freigegebene Daten. Das Problem ist, dass sich Funknetzwerke nicht an die Grenzen der Firma halten. Aktuelle WLAN-Produkte schaffen locker eine Reichweite bis zu 100 Metern, Mauern können diese natürlich einschränken. Genug Reichweite also, um Wardrivern ein ausreichend starkes Signal zu liefern.
Schützen können Sie Ihr Netz, indem Sie die Zugangspunkte entweder deaktivieren oder in die Sicherheitsstruktur des Netzwerks einbinden. Doch zuvor müssen die Access Points erst einmal gefunden werden. Hier helfen Ihnen teilweise die gleichen Tools, die auch Wardriver einsetzen.
Netstumbler
Netstumbler ist einer der bekanntesten WLAN-Scanner für Windows. Der Scanner ist inzwischen in Version 0.40 angekommen. Er läuft mit Windows XP und 2000 und unterstützt eine große Anzahl von WLAN-Karten, darunter auch die meisten in Laptops integrierten Modelle. Eine umfangreiche Liste der kompatiblen Karten finden Sie hier. Nach dem Download der etwa 1,3 MByte großen Datei starten Sie die Installation mit einem Doppelklick.
Netstumbler setzt lediglich eine funktionierende, kompatible WLAN-Karte voraus, ist diese vorhanden, muss theoretisch keine weitere Konfiguration vorgenommen werden. Beim ersten Start sucht Netstumbler bereits nach der vorhandenen WLAN-Karte und beginnt den Scanvorgang. Sobald ein Access Point entdeckt wurde, ertönt ein gleichmäßiger Ton.
Der aktive Zugangspunkt erhält einen grünen Kreis. Gleich daneben findet sich die MAC-Addresse und die SSID. Im Anschluss folgen der genutzte Kanal, die maximale Geschwindigkeit und der Hersteller, falls er sich auslesen lässt.
Interessant ist das Feld „Type“, hier lässt sich ablesen, ob es sich um ein Peer-to-Peer-Netz oder einen Access Point handelt. Peer-to-Peer kann auch auf eine versehentlich aktivierte WLAN-Netzwerkkarte hindeuten. Versuchen Sie dennoch den Urheber zu finden, auch hier öffnet sich ein Tor in ihr Netzwerk.
Wurde der Zugangspunkt verschlüsselt, erhalten Sie dies ebenfalls angezeigt. Die anderen Felder enthalten Daten zur allgemeinen Signalstärke, wann der WLAN-Zugang erstmalig und wann zuletzt gesehen wurde.
Scripts und GPS
Netstumbler bietet zusätzlich eine grundlegende Konfiguration an. Hier lässt sich etwa die Scan-Geschwindigkeit ändern. Interessant sind die Punkte für Scripting und GPS. Netstumbler unterstützt mehrere Protokolle und damit verschiedene Hersteller von Positionsgeräten. Die Postitionsdaten der gefundenen Zugangspunkte lassen sich in verschiedene Karten-Programme importieren und grafisch darstellen.
Programmierer können den Scanner durch eigene Scripte erweitern. Die Netstumbler-Community hat bereits einige interessante Scripte veröffentlicht. Im entsprechenden Forum erhalten Sie Informationen und Beispiele.
Ministumbler
Der kleinere Bruder von Netstumbler steht dem Original in nichts nach. Die Software wurde für mobile Geräte wie PDAs geschrieben. Wird die interne Karte unterstützt, bietet Ministumbler die gleichen Funktionen. Welche Produkte unterstützt werden, finden Sie im Forum des Scanners.
In Verbingung mit Bluetooth unterstützt Ministumbler auch GPS-Empfänger, auch hier ist also ein Export in eine Karten-Software möglich. Ebenso lassen sich die Scripts der „großen“ Version einsetzen.
Airsnare
Airsnare ist ähnlich aufgebaut wie Netstumbler, bringt aber ein ganzes Paket an Tools zur Überwachung des WLAN-Netzwerkes mit. In dem Paket ist beispielsweise gleich Ethereal enthalten. Mit dem Programm lässt sich der gesamte Netzwerk-Traffic mitloggen und auswerten. Mehr Informationen zu Ethereal finden Sie in einem späteren Kapitel.
Nach dem ersten Start zeigt das Programm sämtliche im PC gefundenen WLAN-Adapter an. Diese lassen sich dann in einen Scan-Modus setzen. Entdeckt das Programm ein WLAN-Signal versucht es, die MAC-Adresse auszulesen. Diese wird dann mit bereits bekannten Adressen verglichen. Ist die Adresse bekannt, listet sie Airsnare im Bereich „Friendly MAC Addresses“ auf. Eine unbekannte Adresse wird als potentieller Eindringling betrachtet und landet in „Unfriendly MAC Addresses“.
Ist im Menü „Tracking“ die Option „Track with Ethereal“ angewählt, startet Airsnare sofort den Netzwerklogger Ethereal, sobald eine neue MAC entdeckt wurde. Für jede neue unbekannte MAC-Adresse wird eine neue Instanz von Ethereal aufgerufen, die wiederum sofort den Netzwerk-Traffic aufzeichnet. Dieser wird in Log-Dateien gespeichert und kann später ausgewertet werden.
AirMail und AirHorn
Airsnaire warnt auch entfernte Administratoren wenn eine neue MAC im Netzwerk auftaucht. Das erledigt das enthaltene Programm AirMail. Im Optionsmenü lässt sich ein SMTP-Server eintragen und beliebig viele Empfänger festlegen. Ebenso anpassen können Sie den Absender, den Betreff und die Nachricht selbst. Die Option „Server Wait“ sagt dem Programm, wie viele Sekunden es zwischen dem versenden der einzelnen Mails waren soll.
Eine nützliche Idee ist auch die Option „AirHorn“. Diese versendet auf Wunsch an jede gefundene neue Adresse eine kurze Nachricht, die beliebig gestaltet werden kann. Es macht beispielsweise Sinn, die Regeln des Netzwerkes zu erläutern und einen Hinweis zu geben, dass sämtliche Verbindungen überwacht werden.
Die letzten beiden Punkte im Optionsmenü sind selbsterklärend. Im Bereich „Tracking“ wählen Sie die jeweilige Tracking-Art aus. Im Fall von Ethereal müssen Sie gegebenenfalls den Pfad anpassen. Außerdem lässt sich festlegen, wie die Log-Dateien heißen sollen.
Der Punkt „Startup“ passt Airsnare an den Autostart an. Hier lässt sich ein Netzwerk-Adapter festlegen, auf dem beim Start des Programms das Monitoring beginnt. Die Option sorgt dafür, dass das Programm ständig im Hintergrund die Verbindungen überwacht und nur auftaucht, wenn etwas Ungewöhnliches gefunden wurde.
Fazit
Netstumbler ist das perfekte Tool um so genannte „rogue Access Points“ aufzudecken. Die Bedienung ist einfach und enthält alle wichtigen Funktionen. Zumindest auf Laptops arbeitet das Programm inzwischen mit den meisten WLAN-Karten zusammen. Die Unterstützung von PDAs ist leider noch nicht so weit fortgeschritten, die großen Marken werden dennoch unterstützt. Einer der großen Vorteile ist, dass das Programm auch Peer-to-Peer-Verbindungen sehen und überwachen kann.
Die Community von Netstumbler ist stark und aktiv. In den Foren finden sich nicht nur Hilfe zu Net- und Ministumbler, sondern auch Informationen zum Thema Scripting, Wardriving oder WiFi allgemein.
Airsnare dagegen liefert eine wahre Informationsflut, besonders im Zusammenhang mit Ethereal. Allerdings sollten Sie das Programm an Ihr System anpassen und zunächst die vertrauenswürdigen MAC-Adressen festlegen. Sonst überschwemmt Sie das Programm mit unzähligen Ethereal-Fenstern, sobald Sie das erste Mal das LAN überwachen.
Beide Programme ergänzen sich wunderbar. Mit Netstumbler lassen sich die Zugangspunkte einfach aufspüren, Airsnare liefert Informationen, falls eine neue MAC im Netz auftaucht. Zusammen ergibt sich so eine solide Überwachung des Netzwerkes. Beide Programme sind Freeware und umsonst im Internet zu beziehen.