An Software, die sich um die Sicherheit im Netzwerk kümmert, herrscht in der Welt von Linux kein Mangel. Viele erfordern aber tiefergehende Kenntnisse über IP-Traffic, Netzwerkarchitektur und die Inspektion von Paketen. Die beiden Werkzeuge dieses Artikels kümmern sich um die grundlegende Überprüfung des Heimnetzwerks. Mit ihnen behalten Sie Anmeldungen im Netz und die eingewählten Geräte im Blick – eine der vordringlichen Aufgaben, wenn es um mehr Sicherheit im Netzwerk gehen soll. Denn bevor Angreifer Daten abgreifen können, müssen sie sich zunächst Zugang zum Netzwerk verschaffen.

Netpeek: Netzwerkmonitor für den Desktop

Netpeek ist eine Open-Source-Anwendung, die einen schnellen Überblick über alle Geräte in Ihrem Heimnetzwerk verschafft. Der Fokus liegt dabei auf Benutzerfreundlichkeit und einfacher Bedienung. Die Hauptfunktionen von Netpeek umfassen die Geräteerkennung, wobei das Programm Ihr lokales Netzwerk scannt und alle verbundenen Geräte übersichtlich anzeigt. Zudem erfasst es die MAC-Adressen aller Geräte und versucht, deren Hersteller zu bestimmen. Außerdem stellt die Software die IP-Adressen aller Geräte dar.

Netpeek installieren und einrichten: Netpeek gibt es für alle Plattformen. Unter Linux ist es als Flatpak-Container verfügbar, was die Installation besonders einfach macht. Falls noch nicht eingerichtet, brauchen Sie zuerst die Flatpak-Umgebung, die sich mit 

sudo apt install flatpak

nachrüsten lässt. 

Danach hinterlegen Sie das Flathub-Repository und installieren das Werkzeug: 

sudo flatpak remote-add –if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo

flatpak install flathub com.github.netpeek

Das Programm finden Sie anschließend im Startmenü oder starten es mit diesem Kommando:

flatpak run com.github.netpeek

im Terminal.

Arbeiten mit Netpeek

Nach dem Start präsentiert Netpeek eine übersichtliche Benutzeroberfläche. Im ersten Schritt müssen Sie den Adressraum eintragen, der geprüft werden soll. Um etwa den Standardraum einer Fritzbox zu untersuchen, nutzen Sie die Eingabe „192.168.178.0/24“. Sie können aber auch bestimmte Segmente eintragen wie etwa „192.168.178.1-100“. Klicken Sie anschließend auf „Scan my Network“. Der Scanvorgang kann je nach Größe Ihres Netzwerks einige Sekunden bis Minuten dauern. Nach Abschluss des Scans zeigt Netpeek die Liste aller gefundenen Geräte. Für jedes Gerät werden in der Regel Informationen wie die IP-Adresse (etwa „192.168.1.25“), Hardware-MAC-Adresse (etwa „00:1A:2B:3C:4D:5E“), der Gerätehersteller (basierend auf der MAC-Adresse), der Hostname (falls verfügbar) sowie der Status (aktiv/inaktiv) angezeigt. Sie können diese Liste jetzt aufmerksam durchgehen, um zu kontrollieren, ob hier unbekannte Geräte dabei sind. 

Um das Netzwerk effektiv zu überwachen, empfiehlt es sich, Netpeek regelmäßig zu starten und diesen Scan durchzuführen. Sie erhalten dabei auch Informationen darüber, welche Ports und Protokolle von den einzelnen Geräten verwendet werden.

Netalertx: Umfassende Netzwerküberwachung

Während Netpeek einen einfachen Desktop-Ansatz für die Netzwerküberwachung bietet, geht Netalertx einen ganzen Schritt weiter. Dieses Programm liefert eine umfassendere und dauerhafte Überwachung auf der Basis von Docker. Netalertx läuft als Service im Hintergrund und überwacht Ihr Netzwerk permanent. Die Software bietet ein detailliertes Protokoll aller Geräte, die sich mit Ihrem Netzwerk verbinden oder verbunden haben.

Installation von Netalertx mit Docker: Dieser Beitrag geht davon aus, dass Sie Docker bereits auf Ihrem System installiert haben. Sofern Sie Docker-Compose installiert haben, nutzen Sie den Funktionsaufruf für Ihre YML-Datei (docker-compose.yml). Sie benötigen auf Ihrem System zwei Ordner, in denen das Programm seine Ergebnisse speichert. Was auf der Hand liegen sollte: Diese Verzeichnisse müssen außerhalb des Containers liegen. Auf dem Beispielsystem liegen alle Benutzerdaten von installierten Anwendungen im Verzeichnis „apps“. Für Netalertx werden dort in einem ersten Schritt zwei Unterverzeichnisse mit „mkdir“ angelegt, wobei der Schalter „-p“ dafür sorgt, dass die Ordner nur angelegt werden, sofern sie bislang nicht vorhanden sind: 

mkdir -p /apps/netalertx/config /apps/netalertx/db

Ein Aufruf der Anwendung in der Minimalkonfiguration sieht dann so aus:

sudo docker run -d

--restart always

--network=host 

-v /apps/netalertx/config:/app/config 

-v /apps/netalertx/db:/app/db 

-e TZ=Europe/Berlin 

-e PORT=20211 jokobsk/netalertx:latest

In der Dokumentation auf der Projektseite (https://github.com/jokob-sk/NetAlertX) werden Sie noch eine Reihe von zusätzlichen Parametern vorfinden. Außerdem ist dort eine Vorlage für eine Compose-Datei zu finden. 

Der Funktionsaufruf von Docker ist rasch erklärt: In diesem Fall wird mit „restart“ festgelegt, dass der Container nach einem Neustart des Systems erneut aufgerufen wird. Wichtig ist die Option „–network“. Mittels „host“ teilen Sie Docker mit, dass das Netzwerk des Hostsystems zu verwenden ist. Das ist notwendig, damit die App überhaupt die anderen Geräte im gleichen Netzwerk erreichen kann. Die nächsten beiden Zeilen sind vermutlich selbsterklärend. Sie weisen die zuvor angelegten Ordner die jeweiligen Pendants im Docker-Container zu. So kann die App dann persistent Informationen auf dem Hostsystem hinterlegen. Danach folgt die Definition der aktuellen Zeitzone, und schließlich weisen Sie der Weboberfläche noch einen Port zu, in diesem Fall „20211“, bevor Sie abschließend das Image spezifizieren. 

Führen Sie das Kommando aus, sollte Docker zurückmelden, dass es das gewünschte Image lokal nicht finden kann, und wird mit dem Download beginnen. Ist dieser erfolgreich verlaufen, brauchen Sie sich um das Terminal nicht mehr zu kümmern. Die eigentliche Arbeit mit der Software erledigen Sie über die Weboberfläche. Diese ist über die IP-Adresse des Hostsystems und dem spezifizierten Port zu erreichen – also etwa „http://192.178.168.102:20211“. Sitzen Sie direkt am Hostsystem, können Sie auch „http://localhost:20211“ nutzen.

Arbeiten mit Netalertx

Das System ist so eingestellt, dass es direkt nach dem Start bereits mit dem Scannen des Netzwerks beginnt. Dies kann auch bei kleineren Netzen bereits einige Minuten dauern. Sollte nach einigen Minuten noch kein Ergebnis zu sehen sein, stimmt möglicherweise der Adressraum nicht, in dem Netalertx sucht. Wählen Sie dann in der Hauptnavigation „Settings“ und anschließend „Core“ aus. Sie finden dort einen Bereich „Networks to scan“. Möglicherweise stimmen sowohl die IP-Adressen als auch der Adapter nicht. Nutzen Sie beispielsweise eine Fritzbox, dann gilt meist der Adressraum „192.168.178.0/24“, was eine Besonderheit gegenüber anderen Routern ist. 

Beim Interface kommt es darauf an, wie das System ans Netz angebunden ist. Im Falle des WLAN ist „-interface=wlo1“ korrekt, bei einer Kabelverbindung meist „eth1“. Ändern Sie mit einem Klick auf „Add“ dann etwa auf „192.168.178.0/24 -interface=wlo1“ für eine WLAN-Verbindung. Wechseln Sie dann zur Startseite zurück. Dort sollten jetzt die ersten Elemente auftauchen. 

Unter „Devices“ finden Sie eine Liste aller erkannten Netzwerkgeräte. Für jedes Gerät zeigt die Software detaillierte Informationen wie IP- und MAC-Adresse, Hersteller, Hostname sowie den Verbindungsstatus. Jeden dieser Einträge können Sie bearbeiten. Benennen Sie etwa erkannte Geräte um, sie leichter zu identifizieren. Das ist die eigentliche Fleißarbeit beim Umgang mit der Software. Unter den Eigenschaften finden Sie eine Option „New Device“. Haben Sie alle Werte nach Ihren Vorstellungen verändert, deaktivieren Sie diese Option, wodurch es als bekannt eingestuft wird. Das verringert dann Benachrichtigungen über fremde Anmeldungen. 

In den verschiedenen Registern zu einem Gerät können Sie sehen, wie lange ein Gerät online war und zu welchen Zeiten. Das kann unter dem Aspekt der Sicherheit interessant sein, wenn sich das Gerät offenbar zu einer Zeit aktiv gezeigt hat, in der Sie es gar nicht benutzt haben. 

Benachrichtigungen einrichten

Netalertx kann noch mehr, als im Rahmen dieses Beitrags angerissen werden kann. An dieser Stelle soll nur noch gezeigt werden, wie Sie die Benachrichtigungen über besondere Vorkommnisse aktivieren. Zunächst legen Sie fest, in welchen Fällen Sie überhaupt benachrichtigt werden wollen. Dazu rufen Sie „Settings“ und anschließend „Core“ auf. Hier finden Sie den Container „Notification Processing“. Klicken Sie in das Feld „Notify on“ und aktivieren Sie mit der Maus die Ereignisse, die Sie wünschen. Empfehlenswert sind „new devices“, um unbekannte Geräte zu entdecken, sowie „down_devices“, um unterbrochene Verbindungen zu bemerken. Beachten Sie das kleine Control mit dem Schalter „Save“, um die Änderungen zu speichern. 

Damit Sie nicht nur beim Aufruf der Web­oberfläche über das kleine Icon auf der Startseite informiert werden, wechseln Sie unter „Settings –› Publishers“. Dort ist bereits der Versand via E-Mail vorgesehen. Klicken Sie einmal auf den Eintrag, um die Einstellungen zu öffnen. Sie benötigen die Angaben für einen SMTP-Server, den Sie verwenden, sowie die Anmeldedaten. Tragen Sie diese in die entsprechenden Felder ein. Vergessen Sie nicht, unter „When to run“ den Versand generell zu aktivieren. Es besteht auch die Option, sich via Telegram informieren zu lassen. Dazu müssen Sie dann aber zunächst in den Abschnitt „Core“ und „General“ wechseln. Klicken Sie dort das Feld „Loaded Plugins“ an. Hier finden Sie „Telegram“ in der aufgeklappten Liste. Sie benötigen dann noch eine URL, an die der Server seine Daten zur Information senden kann.