Nahlédněte do své bezdrátové sítě

Od našeho posledního článku (CW 14/2003) věnovaného této problematice prodělaly analyzátory bezdrátových sítí (Wi...


Od našeho posledního článku (CW 14/2003) věnovaného této problematice prodělaly
analyzátory bezdrátových sítí (Wireless LAN, dále jen WLAN) prudký vývoj. Jsou
nyní kompatibilnější se síťovými kartami a prostřednictvím zařízení pro
vzdálené sondování získávají nové možnosti. Testovali jsme poslední verzi
analyzátoru AiroPeek NX a jeho pasivní sondu RFGrabber firmy WildPacket.
AiroPeek NX boduje díky dlouhému seznamu obsahujícímu výčet kompatibilních
síťových karet. Jedná se o nejdelší seznam, jak jsme dosud viděli. Jsou zde
podporovány nejen karty standardu 802.11b, ale i 802.11a, 802.11g a kombinované
karty. Zejména nás těší podpora kombinovaných karet (jsou označené buď
802.a/b/g anebo 802.a/g), které většina organizací pořizuje k vyhledávání
pirátských přístupových bodů nebo peer sítí, které používají komponenty 802.11a
nebo 802.11g.
AiroPeekNX pracuje nejlépe na notebooku s Windows 2000 nebo XP starší verze
Windows nejsou kompatibilní se současnými bezdrátovými síťovými kartami.
Instalace do jiných operačních systémů není podporována.

Nahlížíme do paketů
AiroPeek NX může být používán samostatně na klasickém notebooku nebo platformě
Tablet PC volitelně lze dokoupit RFGrabber, což je sonda pro vzdálené
monitorování přístupových bodů, která slouží pro monitorování provozu. Ovladač
RFGrabberu se přitom v programu jeví, jako by se jednalo o lokálně připojenou
bezdrátovou síťovou kartu.
Ačkoli AiroPeek NX v něčem připomíná EtherPeek NX (produkt pro analýzu
protokolů sítí typu Ethernet od téže společnosti), jdou rozšíření v rámci
analýzy bezdrátové sítě mnohem dále, nežli je tomu u jiných protokolových
analyzátorů, které jsme doposud testovali. Tyto dodatečné prvky zahrnují
například extenzivní filtrování paketů 802.11 a možnost zobrazení expertní
analýzy zachyceného provozu, která je velmi užitečná a snadno pochopitelná.
Expertní režim analyzuje konverzaci a provádí kontrolu výskytu mnoha prvků
charakteristických pro poruchy činnosti bezdrátové sítě. Stejně jako u
konkurenčních analyzátorů jsou všechny takto zachycené údaje považovány za
neoprávněné, dokud nejsou přidány do seznamu důvěryhodných zařízení. I když je
však zařízení považováno za důvěryhodné, AiroPeek NX nadále porovnává tyto
údaje až do té doby, dokud není zařízení záměrně vyřazeno z monitorování nebo
zachycování paketů.
Příklad: Je-li zařízení v kategorii důvěryhodných a pokud náhle přestane
používat Wired Equivalent Privacy (tam, kde je WEP vyžadováno), spustí Expertní
analýza alarm. Totéž platí i pro další podmínky, jako je pokus o bezdrátové ad
hoc připojení (vytvoření připojení peer-to-peer namísto použití přístupového
bodu). Alarm spustí také bezdrátový klient pokoušející se podsunout IP adresu
důvěryhodného přístupového bodu.
Jakmile jsou pomocí filtrů a spouštěčů nastaveny podmínky pro spouštění alarmů,
lze alarmy nastavit tak, aby zůstávaly záznamy jak po nich, tak po způsobu
jejich vyřešení. Protože jeden typ alarmu (například alarm indikující objevení
nedůvěryhodné IP adresy) nemusí být pro jednu organizaci tak důležitý jako pro
jinou, WildPackets dodává dva předdefinované soubory typů alarmů, kterým mohou
být přiřazeny stupně závažnosti.
Dvěma silnými stránkami programu AiroPeek NX je dekódování paketů a párování
konverzace. Prováděné transakce bylo snadné filtrovat a dávat je do
souvislosti, aby mohly být analyzovány od uživatele ke zdroji a zpět. Užitečný
náklad WEP paketu (data) musí být dekódován mimo program. WildPackets NX dodává
aplikaci, která umí dešifrovat konverzaci a lze ji jednoduše skriptovat pro
použití s různými WEP klíči. Z paketů jsou k dispozici další dekódované
informace, jako například obvyklé informace o zdroji, cíli a typu paketu.
AiroPeek NX prošel všemi našimi testy beze ztráty kytičky s jednou výjimkou:
nebyl schopen rozpoznat, že máme dva identické přístupové body 802.11g, na
nichž byly nastaveny stejné IP a MAC adresy ovšem připouštíme, že je tento
problém těžké odhalit. AiroPeek také neumí sondovat přístupový bod; umí jen
sledovat konverzaci, v nichž přístupový bod figuruje. To znamená, že služby
jako Dynamic Host Configuration Protocol, které jsou poskytovány přístupovým
bodem, nemohou být testovány nebo ověřovány v rámci kontextu klienta
přístupového bodu.
Z výše uvedeného důvodu se na distribučním CD programu AiroPeek NX nachází sada
nástrojů nazvaná Net Tools, která se v případě potřeby automaticky nainstaluje.
Tyto nástroje se spouštějí mimo AiroPeek a poskytují základní funkce, které ve
Windows často nejsou k dispozici, jako ping, traceroute, vyhledání DNS a
skenování portů. Žádný z nich bohužel nelze spustit zároveň vícekrát, pokud
máme v systému jen jednu síťovou kartu.

Chytání RF
Sonda RFGrabber vypadá jako přístupový bod a také se podobně instaluje
(připojuje se k ethernetovému portu). Jedná se však o bod pasivní, který nelze
najít bezdrátovým skenerem. RFGrabber pasivně "naslouchá do éteru", aby odhalil
informace pohybující se v rámci jeho dosahu, a rádiový signál ani nevysílá, ani
na něj aktivně neodpovídá.
Bohužel neexistuje žádné webové rozhraní k přeprogramování IP adresy ani jiných
vlastností RFGrabberu změny je nutné provést prostřednictvím programu AiroPeek
NX. Někdy se nám po provedení změn RFGrabber ztratil. Naštěstí byl po
proskenování příslušného segmentu opět nalezen a bylo ho možné znovu použít k
monitorování.
Po nainstalování lze adaptér RFGrabberu navolit jako sondu (v rámci analyzéru
fungují všechny síťové karty jako sondy) pro monitorování programem AiroPeek
NX. Monitorovat můžete za použití více sond, a to až do vyčerpání dostupné
přenosové kapacity připojení. V našich testech špičkový trvalý výstup ze sondy
při přenášení dat nikdy nepřekročil 400 KB/s.
Pro nasazení kombinace AiroPeek NX/RFGrabber existuje obzvlášť několik vhodných
scénářů, například rozčleňování firemních poboček pro účely vzdáleného
monitorování/auditování, monitorování univerzitních prostor a místa, kde je
nutné provádět sběr dat ze vzdálené bezdrátové sítě. Testovali jsme tuto
kombinaci v laboratoři a v simulované zabezpečené VPN síti. V obou prostředích
byl RFGrabber schopen monitorovat provoz stejnými datovými rychlostmi a
stejnými vlastnostmi jako bezdrátové síťové karty standardu 802.11b, s nimiž
jsme prováděli testy.
RFGrabber má několik omezení, která poněkud snižují jeho použitelnost, což však
neovlivnilo náš názor na produkt AiroPeek NX. RFGrabber pracuje pouze v sítích
802.11b a to ho vyřazuje z použití v sítích 802.11 a/b/g.

Závěrem
Četné vynikající analytické vlastnosti programu AiroPeek NX nemohou být
zastíněny jeho menšími provozními omezeními. AiroPeek NX disponuje silnými
funkcemi pro monitorování bezdrátových sítí a ční nad jinými analyzátory s
naroubovanými nástroji pro podporu WLAN. Co se týká pasivní sondy, i když se
nám princip RFGrabberu líbil, jeho omezení na 802.11b z něj činí drahý vzdálený
"monitor", nicméně je schopen těm, kteří ho potřebují, nabídnout svou
neviditelnost pro ostatní bezdrátová zařízení.

Jak jsme testovali
Analyzátor bezdrátových sítí AiroPeek NX jsme testovali jak samostatně, tak i v
kombinaci s produktem RFGrabber. RFGrabber jsme také testovali v simulované
zabezpečené IP síti VPN (prostřednictvím serverů SuSE Linux Enterprise 8.1).
Bezdrátová síťová infrastruktura sestávala z pěti přístupových bodů standardu
802.11b, dvou přístupových bodů 802.11a, dvou hybridních přístupových bodů
802.11a/b/g a dvou přístupových bodů 802.11b+ sdružených do třech logických
segmentů vzájemně propojených pomocí ethernetového přepínače. Přístupové body
802.11b+ přitom nebyly nakonfigurovány do režimu "plus", protože všechny námi
dosud testované analyzéry v tomto režimu detekovaly rychlostní chybu a nebyly
schopné se k nim připojit. Použili jsme přístupové body firem Proxim/Orinoco,
D-Link (802.11b, 802.11a/b/g), NetGear (802.11a/b/g), Linksys (802.11b,
802.11a, 802.11a/b), Intel (802.11b) a Buffalo Technologies (802.11b). Jako
síťové bezdrátové karty byly použity Orinoco Gold a/g, D-Link a/b/g a Linksys
a/b/g, přičemž nejčastěji jsme využívali služeb karty NetGear WAP511 a/b/g.
Přesvědčili jsme se, že AiroPeek NX je schopen identifikovat všechny přístupové
body, identifikovat přístupové body se stejnými MAC adresami (včetně 802.11 a/b
a 802.11g), identifikovat, asociovat a v rámci přístupových bodů použít Dynamic
Host Configuration Protocol (DHCP), získat adresu z DHCP serveru v síti a
detekovat na přístupovém bodu Simple Mail Transfer Protocol (SMTP). Přesvědčili
jsme se také, zda je analyzátor AiroPeek NX schopen detekovat Wired Equivalent
Privacy (také její úroveň a správnou implementaci), identifikovat ad hoc
(přemostěné přístupové body) další režimy zabezpečení WLAN (802.1x). Analyzátor
všem výše popsaným testům vyhověl. Prověřili jsme také schopnost analyzátoru
odhalit tři typy problematických konfigurací: duplicitní MAC adresy klienta,
duplicitní IP adresy a problémy se směrováním. AiroPeek NX zde opět uspěl.

WildPackets AiroPeek NX Version 2.0
+silné analytické a monitorovací schopnosti; vysoká kompatibilita se síťovými
kartami
-pro flexibilní použití vyžaduje dedikovaný notebook s drátovým připojením
Prodejce: Category, www.category.cz
Cena (bez DPH): 3 500 dolarů

RFGrabber 1.0
+výkonná pasivní sonda pro vzdálený monitoring
-někdy obtížné nasazení; momentálně omezená na 802.11b
Prodejce: Category, www.category.cz
Cena (bez DPH): 400 dolarů za samostatný RFGrabber, 3 700 dolarů spolu s
programem AiroPeek NX









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.