Nexmon: WLAN-Analyse ohne speziellen USB-Adapter

Voraussetzungen und Systemstand

Der Einsatz von Nexmon setzt einen konsistenten Systemstand voraus. Kali Linux arbeitet als Rolling-Distribution, wodurch Kernel, Firmware und Werkzeuge kontinuierlich weiterentwickelt werden. Nexmon ist eng an diesen Entwicklungsstand gekoppelt, da Firmware-Patches und Treiberanpassungen exakt zur Kernelversion passen müssen. Bestehende Installationen benötigen daher eine vollständige Aktualisierung, bevor Nexmon produktiv genutzt wird. Die Paketquelle bildet die Grundlage jeder Aktualisierung:

cat /etc/apt/sources.list

Die Datei enthält den Rolling-Zweig inklusive Firmware-Paketen. Auf dieser Basis aktualisiert Kali zunächst die Paketinformationen:

sudo apt update

Die eigentliche Systemaktualisierung erfolgt über den regulären Upgrade-Pfad, der Abhängigkeiten und Kernelwechsel kontrolliert abbildet:

sudo apt dist-upgrade -y

Nach Abschluss des Vorgangs lädt ein Neustart Kernel, Treiber und Firmware in den aktiven Zustand.

sudo reboot

Erst nach diesem Schritt steht eine stabile Basis für Nexmon zur Verfügung.

Installation der Nexmon-Pakete im laufenden System

Kali Linux stellt Nexmon über zwei Pakete bereit, die getrennte Aufgaben erfüllen. Das Treibermodul integriert sich über DKMS in den Kernel und sorgt dafür, dass bei Kernel-Updates automatisch ein passendes Modul erzeugt wird. Die Firmwarekomponente ersetzt die Standard-Firmware der unterstützten WLAN-Chips durch gepatchte Varianten, die Monitor-Betrieb und Injection ermöglichen:

sudo apt install brcmfmac-nexmon-dkms firmware-nexmon

Nach der Installation ist ein Neustart erforderlich, um die neue Firmware zu laden. Im laufenden System unterscheidet sich die WLAN-Schnittstelle äußerlich nicht von einer regulären Schnittstelle. Der Unterschied liegt ausschließlich in den nun verfügbaren Betriebsarten, die sich erst bei der Umschaltung zeigen:

iw dev

WLAN-Anbindung als Voraussetzung für Nexmon-gestützte Analyse

Vor der Nutzung von Nexmon ist eine funktionierende WLAN-Anbindung im Managed-Betrieb nötig, da Updates und die Installation der Nexmon-Pakete über die Paketquellen laufen. Das Interface wlan0 ist vorhanden, aktiv und nicht blockiert.

Der Status DORMANT gibt lediglich an, dass noch keine Verbindung besteht. Als erster Schritt zeigt die Abfrage, ob der Funkbetrieb gesperrt ist.

rfkill list

Wenn eine Blockade aktiv ist, hebt der folgende Befehl die Sperre für WLAN auf:

sudo rfkill unblock wifi

Die Verbindung über nmcli setzt einen laufenden NetworkManager voraus. Der Dienststatus lässt sich so prüfen.

systemctl status NetworkManager

Wenn der Dienst nicht aktiv ist, startet dieser Befehl ihn:

sudo systemctl start NetworkManager

Danach lässt sich die Funkumgebung scannen, um zu prüfen, ob die SSID sichtbar ist, in diesem Beispiel TV:

nmcli dev wifi list

Wenn das gewünschte WLAN nicht erscheint, also in unserem Beispiel TV, stößt ein erneuter Scan eine Aktualisierung der Ergebnisse an:

sudo nmcli dev wifi rescan

Die Verbindung zum offenen WLAN TV erfolgt in diesem Beispiel explizit über wlan0:

sudo nmcli dev wifi connect "TV" ifname wlan0

Ob die Verbindung tatsächlich aktiv ist, entscheidet die Adressvergabe. Eine zugewiesene IPv4-Adresse auf wlan0 bestätigt die erfolgreiche DHCP-Konfiguration.

ip addr show wlan0

Für den Internetzugang muss außerdem eine Default-Route über wlan0 gesetzt sein:

ip route

Falls die Verbindung fehlschlägt, zeigen die folgenden Abfragen, ob NetworkManager die Schnittstelle als verbunden führt und welche Fehlermeldungen im Log auftauchen.

nmcli dev status

journalctl -u NetworkManager --no-pager | tail

Übergang vom Managed-Betrieb in den Monitor-Betrieb

Im Normalzustand arbeitet die WLAN-Schnittstelle im Managed-Betrieb und ist an den Netzwerkdienst gebunden. Analysearbeiten erfordern die vollständige Trennung vom regulären Netzwerkstack, da Monitor-Betrieb und Internetanbindung sich gegenseitig ausschließen. In der Praxis stoppt das System daher zunächst den Netzwerkdienst mit:

sudo systemctl stop NetworkManager

Die Umschaltung in den Monitor-Betrieb erfolgt anschließend über die bekannten Werkzeuge, ohne Nexmon-spezifische Sonderbefehle.

sudo airmon-ng start wlan0

Das System erzeugt ein dediziertes Monitor Interface. Ab diesem Moment erfasst die WLAN-Hardware sämtliche Frames des gewählten Kanals, unabhängig von Zieladresse oder Assoziationsstatus. Diese Fähigkeit bildet die Grundlage für jede drahtlose Analyse, da sie einen vollständigen Blick auf das Funkumfeld ermöglicht:

airodump-ng wlan0mon

In diesem Zustand erscheinen Beacons, Management-Frames, Kontroll-Frames und Nutzdaten. Admins analysieren Kanalbelegung, Verschlüsselungsparameter, Clientverhalten und Roaming-Eigenschaften, ohne selbst Teil des Netzes zu sein. Der praktische Vorteil von Nexmon zeigt sich hier unmittelbar, da die integrierte Hardware dieselbe Sicht liefert wie externe Analyseadapter.

Aktive Interaktion durch Frame Injection

Nexmon beschränkt sich nicht auf passives Mitschneiden. Die gepatchte Firmware erlaubt das Senden gezielt konstruierter Frames, die reguläre Stacks nicht erzeugen. Diese Fähigkeit ermöglicht aktive Testszenarien, die reale Angriffsmuster nachbilden. Vor jedem aktiven Eingriff prüft das System die Injektionsfähigkeit der Schnittstelle.

aireplay-ng --test wlan0mon

Bei erfolgreicher Rückmeldung lassen sich gezielte Interaktionen auslösen. In der Praxis dienen kurze Deauthentifizierungssequenzen dazu, Reaktionen von Clients und Access Points zu beobachten.

aireplay-ng --deauth 5 -a <BSSID> wlan0mon

Parallel laufende Mitschnitte erfassen, wie Endgeräte reagieren, ob Schutzmechanismen greifen oder ob Wiederverbindungen automatisiert erfolgen. Diese Kombination aus passiver Erfassung und aktiver Interaktion bildet reale Szenarien ab, ohne zusätzliche Hardware einzusetzen.

Kanalsteuerung und fokussierte Analyse

Der Monitor-Betrieb arbeitet kanalgebunden. Für gezielte Analysen setzt das System den Kanal explizit, um Störverkehr zu vermeiden und den Fokus auf einzelne Netze zu legen:

iwconfig wlan0mon channel 11

Alternativ übernimmt das Analysewerkzeug die Kanalwahl selbst. Für spätere Auswertung speichert das System den Funkverkehr direkt in Dateien:

airodump-ng -w capture --output-format pcap wlan0mon

Diese Mitschnitte lassen sich unabhängig vom ursprünglichen System weiterverarbeiten, wodurch Analysen reproduzierbar bleiben.

Rückkehr in den regulären Netzwerkbetrieb

Nach Abschluss der Analyse bringt das System die WLAN-Schnittstelle wieder in den Managed-Betrieb zurück. Der Monitor-Betrieb wird beendet:

airmon-ng stop wlan0mon

Der Netzwerkdienst übernimmt erneut die Kontrolle über das Interface:

sudo systemctl start NetworkManager

Die integrierte WLAN-Hardware steht damit wieder für reguläre Verbindungen zur Verfügung. Der eigentliche Mehrwert dieser Aktion liegt nicht in einzelnen Befehlen, sondern im durchgängigen Arbeitsfluss.

Nexmon erweitert den Nutzen von Kali

Nexmon erweitert Kali Linux um eine Firmware-Ebene, die drahtlosen Analysen näher an reale Einsatzbedingungen heranführt und sie in den administrativen Alltag integriert. Der Unterschied zwischen der Nutzung mit und ohne Nexmon liegt nicht im Werkzeug, sondern auf welcher Ebene der WLAN-Stack kontrolliert wird und welche Hardwarepfade dafür genutzt werden.

Ohne Nexmon arbeiten die Werkzeuge ausschließlich über den mac80211-Stack des Linux-Kernels. Der WLAN-Treiber kapselt die Funkhardware und stellt nur die vom Treiber vorgesehenen Betriebsarten bereit. Monitor-Betrieb und Injection funktionieren hier nur, wenn der jeweilige Chipsatz und Treiber diese Funktionen explizit unterstützen. In der Praxis bedeutet das fast immer den Einsatz externer USB-Adapter mit bekannten, injektionsfähigen Chipsätzen. Der praktische Effekt zeigt sich bei Tests. Injection funktioniert, aber nicht in jeder Situation zuverlässig. Kanalwechsel, Sendeleistung und Frame-Timing lassen sich nur innerhalb der Grenzen des Treibers steuern. Für viele Standardtests reicht das aus, für tiefergehende Analysen stößt dieser Ansatz jedoch an Grenzen.

Mit Nexmon verschiebt sich die Kontrolle unterhalb des Treibers direkt in die Firmware des WLAN-Chips. Die Firmware entscheidet, wie Frames verarbeitet, gesendet und empfangen werden. Nexmon patcht genau diese Ebene. Der Linux-Treiber fungiert anschließend nur noch als Transportmechanismus, nicht mehr als Kontrollinstanz für das Funkverhalten. In der Praxis bedeutet das, dass die integrierte WLAN-Hardware sich wie ein vollwertiger Analyseadapter verhält. Monitor-Betrieb erfolgt nicht über virtuelle mac80211-Interfaces, sondern nativ im Funkchip. Frame Injection passiert direkt in der Firmware, ohne dass der Treiber die Frames filtert oder umformt. Dadurch lassen sich Frame-Typen senden, die über normale Treiberpfade blockiert bleiben. Auch Timing-Eigenschaften und Sendeabfolgen sind wesentlich näher an der realen Hardware.

Der Unterschied zeigt sich besonders bei integrierten Chips. Ohne Nexmon lassen sich diese Chips gar nicht oder nur eingeschränkt für Analysezwecke nutzen. Mit Nexmon stehen Monitor-Betrieb und Injection direkt über die interne Schnittstelle zur Verfügung. Externe Adapter sind nicht mehr zwingend erforderlich. Das reduziert Komplexität und eliminiert eine ganze Klasse von Treiber- und USB-Problemen.

Praktischer Vergleich im Alltag

Ohne Nexmon wird die gesamte Analysefähigkeit vom verwendeten USB-Adapter bestimmt. Mit Nexmon hängt sie vom unterstützten internen Chipsatz ab. In beiden Fällen bleiben die Werkzeuge identisch, der Unterschied liegt im Kontrollpfad. Ohne Nexmon kontrolliert der Treiber die Funkhardware. Mit Nexmon kontrolliert die Firmware selbst den Funkpfad.

Für einfache Mitschnitte und klassische Deauth-Tests liefern beide Ansätze ähnliche Ergebnisse. Für reproduzierbare Tests, stabile Injection über längere Zeiträume und tiefer gehende Funkanalysen bietet Nexmon einen deutlich direkteren Zugriff auf die Hardware. Dieser Zugriff ist der eigentliche Mehrwert, nicht ein zusätzlicher Befehl oder ein anderes Tool.