c't-Raspion Projektseite

IoT- und Smart-Home-Geräte sind ständig online und stehen nicht grundlos unter Generalverdacht. Wir zeigen, wie Sie solchen Geräten mit dem c't-Raspion auf den Zahn fühlen.

In Pocket speichern vorlesen Druckansicht 236 Kommentare lesen
c't-Raspion
Lesezeit: 7 Min.
Von
  • Peter Siering
Inhaltsverzeichnis

Das in c't 1/2020 vorgestellte Projekt c't-Raspion verwandelt einen Raspberry Pi 3 oder 4 in eine Schnüffelstation. Weil das Einrichten ein Shell-Skript besorgt, sind dazu keine umfassenden Erfahrungen mit Linux nötig. Die Bedienung des Raspion erfolgt per Web-Browser von einem PC aus, der im selben Netzwerk hängt wie die Schnüffelstation.

Der c't-Raspion spannt ein eigenes WLAN auf, in das Sie die zu beobachteten Geräte "einbuchen" müssen. Mit einem zusätzlichen USB-Ethernet-Adapter lassen sich auch kabelgebundene Geräte in Augenschein nehmen. Damit der c't-Raspion diesen Adapter erkennen und korrekt einbinden kann, muss er beim Einschalten des Raspberry Pi bereits angeschlossen und aktiv sein.

Weitere Hinweise zur Funktionsweise und Anwendungsbeispiele finden Sie in den Artikeln aus c't 1/2020:

  • So schnüffeln Sie zurück!, c’t-Raspion: Datenpetzen finden und bändigen
  • Gegenspionage, Rundgang durch die Funktionen des c’t-Raspion,
  • c’t-Raspion herrichten, Raspberry Pi für Netzwerkanalyse
  • Kameras überwacht, Billige IP-Kameras mit Tücken,
  • Erwischt!, Passwort-petzende WLAN-Schaltsteckdose mit Wireshark überführen
  • Plappernde Fernseher, Smart-TVs aufs Maul geschaut
  • Innenleben, Hinter den Kulissen des c’t-Raspion

Damit sich die Diskussionen über den c't-Raspion nicht verlieren, benutzen Sie bitte die folgenden Foren:

Wir haben nach Redaktionsschluss noch einige Details umgestellt, die eine langfristige Pflege des Projekts erleichtern: Das Skript bindet während der Installation ein eigenes Paketrepository ein, aus dem es die modifzierten Pakete für GTK/Broadway und Wireshark-GTK bezieht. Außerdem liegt dort ein Paket, das die Bedienoberfläche bereitstellt. So können wir einfacher Updates für diese Elemente anbieten.

Die geänderte Strategie hat auch zur Folge, dass es nicht nötig ist, die modifizierten Pakete auf "hold" zu setzen, damit sie bei Upgrades nicht durch neuere Versionen überschrieben werden. Allerdings kommt es nun zu einem anderen Effekt: Bei Upgrades bemerkt apt, dass es ein Downgrade dieser Pakete vornehmen wird und warnt davor. Es installiert aber letztlich immer wieder die von uns modifizierten Pakete. Mit der Version 101 des Installationsskripts haben wir die Strategie erneut geändert: Wir stellen jetzt die modifzierten Pakete mit künstlich erhöhter Versionsnummer bereit, sodass auch die vorgenannte Warnung nicht mehr auftritt. Das war nötig, damit auch auf Desktop-Editionen von Raspbian die Pakete ersetzt werden.

Unterdessen hat auch ntop seine Software in einer neuen Version veröffentlicht: Die Optik unterscheidet sich gegenüber der in c't 1/2020 gezeigten nur geringfügig. Die Bedienung hat sich nicht grundlegend geändert, aber einzelne Knöpfe finden sich an anderer Stelle wieder. Uns ist jedoch aufgefallen, dass in der derzeit verfügbaren Version (3.9.191209-8291) das Traffic-Dashboard nicht funktioniert.

Mit folgenden Schritten (als Nutzer "pi") können Sie die ältere Version (3.9.191118-8139), die Basis für die Artikel in c't 1/2020 war, im c't-Raspion einrichten:

cd /tmp
wget http://packages.ntop.org/RaspberryPI/buster_pi/armhf/ntopng/ntopng_3.9.191118-8139_armhf.deb
sudo dpkg -i ntopng_3.9.191118-8139_armhf.deb

Solange Sie den Paketbestand Ihres c't-Raspion nicht mit den üblichen Mechanismen aktualisieren, bleibt Ihnen diese ältere Version erhalten.

Die Folgeversion 3.9.191220-8430 behebt diesen Fehler, sodass sich die durchgestrichenen Hinweise erübrigt haben.

Anders als im gedruckten Artikel erwähnt, heißt die bei der Installation angelegte Log-Datei nicht install.log oder ctraspioninstall.log, sondern raspion.log (sie liegt aber in /var/log/). Außerdem ist das initial heruntergeladene Zip-Archiv durch die o.g. Änderungen deutlich kleiner, nicht 15 MByte, sondern nur 432 KByte groß.

Mit Version 101 des Installationsskripts ist es auch möglich, vor der Installation die verwendeten IP-Adressen und den Namen des vom c't-Raspion aufgespannten WLANs zu ändern. Bearbeiten Sie dazu nach dem Entpacken des ZIP-Archivs und vor dem Starten des Skripts die Datei .defaults im raspion-Verzeichnis. Die Netzmasken lassen sich nicht bearbeiten; Sie sind im Skript/den Konfigurationsdateien fest vorgegeben.

Version 102 und 103 beheben Probleme bei der Parametrisierung des Installationsskripts: IPv4- statt IPv6-Adresse in /etc/network/interfaces mit 102 behoben und bei Wiederholungsaufrufen stets fehlschlagende Einrichtung von Pi-Hole mit 103.

Version 104 macht die Installation mit aktuellen Raspbian-Updates verträglich. Sie stieg in Zeile 86 beim Setzen von iptables-Regeln wegen nicht ladbarer Module aus.

Version 105 geht besser mit bereits konfigurierten Spracheinstellungen in Raspbian um und das Installationsskript scheitert nicht, wenn die .version-Datei nach einem git clone noch fehlt.

Version 106 repariert die in 105 geänderte, aber leider fehlerhafte Sprachanpassung.

Version 107 funktioniert nun auch ohne Handarbeit mit dem aktuellen Raspbian-Release (2020-02-13), das neuerdings standardmäßig Wifi deakiviert.

Version 111 (und 110) gleichen Probleme aus, die sich aus neuen Pi-OS-Versionen ergeben haben und die durch Umstellungen im ntop-Umfeld entstanden sind. Eine Installation ist zur Zeit nur mit Pi OS Legacy (Debian Buster) möglich.

Details zum Projekt gibt es in einem eigenen GitHub-Repository.

Durch einen Trick, bringt der c't-Raspion Wireshark in ein Browser-Fenster. Die Bedienung ist etwas gewöhnungsbedürftig, unter anderem weil die Rückmeldung durch spezielle Cursor-Symbole fehlt: Um etwa das obere Fensterdrittel mit der Paketübersicht zu vergrößern, müssen Sie sehr genau auf die graue Linie zwischen Paketübersicht und dem Fensterbereich darunter klicken – haarscharf unterhalb des horizontalen Scrollbalkens. Mit gedrückter linker Maustaste können Sie dann die Paketübersicht vergrößern.

Das gleiche gilt, wenn Sie die einzelnen Spalten in der Paketübersicht verbreitern oder das untere Drittel mit dem Hex-Dump der Pakete vergrößern wollen; klicken Sie jeweils auf die dünne graue Linie zwischen den Feldern oder Bereichen und verschieben Sie sie bei gehaltener linker Maustaste. Insgesamt reagiert Wireshark im Browser träger. Das kann dazu führen, dass ein schnelles Enter am Ende einer Eingabe nicht erkannt wird, etwa weil im Hintergrund noch eine automatische Vervollständigung der Eingabe arbeitet.

Apropos Vervollständigung: In Eingabefeldern wie etwa dem Display-Filter macht Wireshark Vorschläge für die Vervollständigung der Eingabe. Normalerweise könnten Sie die angebotenen Begriffe mit der Maus auswählen, im Browser-Frontend klappt das jedoch nicht – hier müssen Sie mit den Cursortasten durch die Liste der Vorschläge scrollen und den gewünschten dann per Enter auswählen, andernfalls wird der Begriff nicht komplettiert.

(ps)