Schnüffel-Interface LAN Turtle Die LAN Turtle hat es aufs Netzwerk abgesehen: Pentester demonstrieren mit ihr Angriffe auf das lokale Netz und installieren etwa im Vorbeigehen eine aus dem Internet erreichbare Backdoor ins Firmennetz. Aber auch als smarte Netzwerkkarte kann das vielseitige Gerät dienen. Von Ronald Eikenberg

Von außen betrachtet ist die LAN Turtle eine schnöde USB-Netzwerkkarte: Auf der einen Seite hat sie einen USB-Anschluss, auf der anderen eine RJ45-Netzwerkbuchse. In dem unspektakulären Gehäuse steckt ein Embedded-Rechner, der die volle Kontrolle über den durchgeleiteten Datenverkehr hat. Auf der LAN Turtle läuft die aus der Router-Welt bekannte Linux-Distribution OpenWRT, welche mit einem Arsenal an Angriffswerkzeugen vorbestückt ist. Damit kann man der Sicherheit von Netzwerken und Clients auf den Zahn fühlen.

Die LAN Turtle arbeitet unkonfiguriert wie eine USB-Netzwerkkarte und schleift den Datenverkehr unverändert an den angeschlossenen Rechner. Alternativ kann man das Gerät auch autark betreiben, dann wird sie über USB lediglich mit Strom versorgt und auf der anderen Seite mit dem Zielnetzwerk verbunden. Auf diese Weise hat ein Pentester einen optisch unauffälligen Client im Netz seiner Wahl, der unter seiner Kontrolle steht.

Um die LAN Turtle scharfzuschalten, verbindet man sich über USB mit ihr, woraufhin das Betriebssystem die Standardtreiber für USB-Netzwerk-Interfaces installiert. Auf der Turtle läuft ein DHCP-Server, welcher dem Rechner eine Netzwerkkonfiguration zuweist. Fortan ist man mit dem internen Netz des Hacking-Gadgets verbunden und kann via SSH als root zugreifen. Auf der Shell präsentiert sich ein Menü, mit dessen Hilfe die Einrichtung der Pentesting-Tools leicht von der Hand geht.

Zu den Tools zählt AutoSSH, das man dazu nutzen kann, um eine aus dem Internet erreichbare Backdoor ins Netzwerk einzurichten. Es baut einen sogenannten Reverse SSH Tunnel auf (siehe S. 77). Dabei wird eine ausgehende Verbindung zu einem System im Internet hergestellt. Der Pentester verbindet sich ebenfalls mit diesem System und kann darüber anschließend via SSH auf die LAN Turtle zugreifen. Das hat den Vorteil, dass der SSH-Server des Geräts nicht direkt aus dem Internet erreichbar sein muss. Wir konnten mit der Turtle erfolgreich einen solchen Tunnel bauen. Als Zwischenstation diente eine virtuelle Linux-Maschine in Microsofts Azure-Cloud. Durch den Tunnel hatten wir aus der Ferne vollen Zugriff auf das Netz, das mit dem LAN-Port der Turtle verbunden war.

Weiterhin ist unter anderem der Netzwerk-Scanner nmap vorinstalliert, der detaillierte Informationen über die Clients und Server im Netz liefert und deren Schwachstellen auskundschaftet. Möchte der Pentester das Abgreifen von Zugangsdaten demonstrieren (siehe Seite 75), nutzt er das QuickCreds-Modul der LAN Turtle. Dieses extrahiert Klartext-Passwörter und NTLM-Hashes aus dem durchgeleiteten Datenverkehr. In dieser Position des Man-in-the-Middle kann die Turtle zudem mit dsniff die aufgerufenen HTTP-Seiten protokollieren oder die Anfragen umleiten.

Auch als Admin hat man an den portablen Mini-Rechnern wahrscheinlich seine Freude. Wer gerne Herr über seine Daten ist, erhält einen smarten Netzwerkadapter, der den durchgeleiteten Traffic frei verändern kann – oder durch das Tor-Netz schleust. Limitiert ist das Gerät lediglich durch seine Hardware-Ausstattung: Es wird von einer 400 MHz schnellen MIPS-CPU angetrieben, der 64 MByte Arbeitsspeicher sowie 16 MByte persistentes Flash zur Seite stehen. (rei@ct.de)