Nástroje pro analýzu provozu WLAN prověří vaše pakety (2.)

Pokračování včerejšího článku...

Motorola AirDefense Mobile
AirDefense, jedna z předních firem pro zabezpečení Wi-Fi, je nyní součástí společnosti Motorola. Otestovali jsme její kit AirDefense Mobile 4.3, jenž zahrnuje kartu dual-band adaptéru pro 802.11a/b/g a několik antén s vysokým ziskem. Je také možné využít poměrně omezenou sadu dalších adaptérů, restrikce přitom opět vyplývají z potřeby zákaznických ovladačů poskytovaných Motorolou. Instalace byla snadná, i když je po ní vyžadován reboot. Produkt již nějaký čas nebyl aktualizován a v době testování (leden 2009) nepodporoval protokol 802.11n.

Jako kompletní sada pro Wi-Fi assurance – obzvláště vezmeme-li v úvahu její relativně nízkou cenu – je AirDefense Mobile stále docela konkurenceschopná. Pokud bychom se ale zaměřili na zachycování analýzu paketů, jsou její funkce slabší. Je třeba globálně povolit zachycování paketů prostřednictvím nastavení Options; a poté jsou zachycená data pro všechny vybrané (skenované) kanály vypsána s použitím proprietárního souborového formátu. Tyto soubory mohou být konvertovány na formát PCAP, který je možné přečíst pomocí nástrojů Ethereal, Wireshark či tcpdump. Tento proces nicméně zahrnuje příkazy DOSu, pročež je méně pohodlnou alternativou k jiným produktům. Obecně jsou služby pro zachycování a analýzu paketů v AirDefense Mobile obtížně použitelné a nepříliš konkurenceschopné vůči ostatním testovaným produktům, což trochu kazí dojem z jinak velmi dobrého nástroje pro zajištění provozu a správu Wi-Fi.

CACE Technologies AirPcap Ex, Wireshark a Pilot
CACE je na poli síťové analýzy jednou z nejviditelnějších firem, která nabízí několik produktů pro pevné i bezdrátové aplikace. AirPcap je v důsledku toho jedním z nejznámějších nástrojů pro zachytávání a analýzu paketů ve WLAN. Je založen na velmi populárním open source analyzátoru protokolů Wireshark (dříve Ethereal). AirPcap přidává součásti specifické pro bezdrátové sítě a coby součást balení obsahuje také Wi-Fi přijímač – není vyžadován žádný další adaptér, takže nasazení a zprovoznění je rychlé a snadné: nainstalujete ovladač (jak je vždy dobrým zvykem, nepoužívejte přibalené CD – stáhněte si nejnovější verzi), zasunete USB adaptér, nainstalujete Wireshark – a to je vše.

Přibalen je stručný, ale užitečný manuál spolu se stránkami MAN (důvěrně známými pro uživatele z prostředí Unixu) pro Wireshark (a množství dalších informací ohledně něj je na webu), bylo by však spravedlivé říci, že tento produkt je zaměřen na zkušené profesionály se solidními znalostmi sítí – tedy pracovníky, kteří jsou pro úlohy typu zachycování a analýzy paketů skutečně kvalifikováni. K dispozici jsou rovněž vývojové nástroje, což tento produkt činí ideálním pro zákaznické aplikace.

Výrobce pro test poskytnul USB verzi AirPcapu Ex, která podporuje 802.11a/b/g, nikoliv však 802.11n. Varianta pro 802.11n je dostupná také, avšak zatím pouze jako adaptér ve formě PC karty. V balení najdete zároveň i externí anténu, jež může zvýšit citlivost, tu jsme ale během našeho testování nepotřebovali.

AirPcap je plně integrován do Wiresharku a je snadno použitelný. Stačí spustit Wireshark, v něm zvolit adaptér AirPcap a vybrat si kanál; pakety jsou zachycovány a ukládány pro každý směr. Nástrojová lišta pro bezdrátovou síť integrovaná do Wiresharku eliminuje nutnost využívat separátní rozhraní kontrolního panelu AirPcap. Formát dekódovacích informací zobrazovaných ve Wiresharku je v porovnání s obsáhlými rozšířeními WiFi Analyzeru a OmniPeeku trochu primitivní, avšak stále velmi dobře použitelný. Líbilo se nám, že je možné agregovat více adaptérů AirPcap pro zachycování více kanálů současně (a kompletně, neboť by bylo nemožné skenovat kanály s jediným rádiem při zaznamenávání veškerého provozu) do jediného streamu. Jsou-li poskytnuty příslušné klíče, je rovněž možné dešifrovat data. Dekódování rámců je zcela kompletní a snadno použitelné, ačkoliv většina informací je zobrazována, pouze když je zachycování paketů zastaveno a jsou zkoumány jednotlivé rámce.

Seriózní uživatelé by se měli nicméně zajímat také o produkt CACE s označením Pilot, což ve skutečnosti není nástroj pro analýzu paketů, neboť se za tímto účelem jednoduše integruje právě s AirPcapem. Pilot je naproti tomu spíše nástroj specializovaný na WLAN assurance, který poskytuje statistickou analýzu a reporting (například o provozu podle typů rámců). Zobrazuje širokou škálu analýz s využitím rozhraní založeného na pruzích karet (podobně jako třeba u Microsoft Office 2007), jež uživateli dovoluje a přetahovat myší určité „pohledy“ či metody pro analyzování zachycených paketů na zařízení (rádia, která shromažďují pakety) a soubory (pro zaznamenání zachycených dat a následnou analýzy). Obnáší to trochu experimentování, avšak během pěti minut jsme byli schopni vyprodukovat detailní tabulky a grafy. I když Pilot je pro mnoho úloh zachycování a analýzy provozu dostačující, je rovněž možné posílat zachycená data (bezešvým způsobem) do Wiresharku za účelem hlubší analýzy paketů na nižší úrovni. Kombinace AirPcapu, Wiresharku a Pilota poskytuje mnoho možností a vymožeností za velmi přijatelnou cenu celého balíku 1 700 dolarů.

Dokumentace je vynikající – k dispozici je velmi ucelená nápověda v podobě pop-up manuálu a integrovaná knihovna krátkých videozáznamů ukazujících, jak mnohé z možností Pilota používat. Vezmeme-li v potaz širokou škálu dodatečných funkcí zahrnutých v Pilotu, je tato sada produktů velmi příjemným doplňkem dokonce i pro ty, kdo už používají nějaký balík pro WLAN assurance.

TamoSoft CommView for WiFi
Vlajkovou lodí společnosti TamoSoft je produkt CommView a námi testovaná verze CommView for WiFi představuje speciální edici, která poskytuje nezbytné ovladače, jež dovolují, abyste pro úlohy zachycování a analýzy mohli použít celou řadu běžně dostupných Wi-Fi karet.

Produkt se snadno instaluje i konfiguruje (odhlédneme-li od nutnosti najít vyhovující adaptér) a při počátečním spuštění je provedeno skenování kanálů za účelem vyhledání přístupových bodů v dosahu. Kanál, kde bude potom probíhat zachycování, je specifikován uživatelem a jednoduché, na tabulkách založené rozhraní můžete využít, abyste zacílili na položky vašeho zájmu. Podrobné informace jsou poskytovány v tabulkách, jež obsahují detaily o uzlech (SSID spolu se souhrnnými informacemi), kanálech a paketech.

Celý proces je velmi intuitivní a úžasně snadno použitelný. Cítíme se proto až trochu provinile, když chceme TamoSoftu vytýkat, že neposkytuje žádný manuál, k dispozici je nicméně excelentní dokumentace na webu. Díky jednoduchosti použití by nám nevadilo, kdybychom s tímto produktem měli pracovat každý den. Jeho cena je stejná jako v případě CACE AirPcapu, ten ovšem obsahuje i požadovaný hardware.

Závěr
Všechny produkty, jež jsme testovali, jsou schopny filtrovat pakety podle množiny kritérií, zachycovat rámce a přidělovat sekvenční čísla, stejně jako ukládat zachycená data do souboru. Kterýkoliv z nástrojů, jež nabízejí analýzu, by byl vyhovující pro řešení většiny problémů ve Wi-Fi a rozdíly spočívají především v různých vymoženostech a doplňcích (z nichž mnohé jsou užitečné) a v jednoduchosti použití, což je často otázkou vámi preferované funkce pro určitou strategii uživatelského rozhraní.

Jak jsme testovali?
Všechny produkty byly nainstalovány na notebooku Dell Inspiron 710m vybaveném bezdrátovým adaptérem Intel 2915ABG, který byl využíván vždy pouze s jedním z testovaných nástrojů. Cílem bylo používat tyto produkty stejným způsobem, jakým by byly aplikovány v reálném podnikovém prostředí, a porovnat je z funkčního hlediska v několika směrech.

Naše testovací síť sestávala z pěti přístupových bodů pro 802.11a, 802.11g a 802.11n, z nichž každý komunikoval přes jiný kanál. Jelikož zachycování je nedestruktivní a nezpůsobuje interference, nebylo třeba se obávat nasadit nástroje v produkční síti. Testovali jsme všechny zdokumentované funkce a všímali si speciálních možností, stejně jako jednoduchosti použití – obtížně použitelný nástroj totiž nemá místo v prostředí, kde mezi klíčové faktory patří naléhavost řešení problémů, která je ostatně obvykle i důvodem pro pořízení takovýchto nástrojů.

Je třeba poznamenat, že jsme testovali i několik produktů, jež nabízely dosti širokou škálu funkcí, v rámci tohoto testu jsme se ale zaměřili především na zachycování a analýzu paketů. Slabší možnosti v tomto směru přitom nejsou nutně známkou horších funkcionality v jiných oblastech, jež daný produkt pokrývá. Všechny testované nástroje dokáží filtrovat pakety podle definované sady kritérií, zachycovat rámce a přidělovat sekvenční čísla nebo ukládat zachycená data do souborů. Kterýkoliv z nich by byl vyhovující pro řešení většiny vyskytujících se problémů – rozdíly spočívají s extra vlastnostech a vymoženostech (z nichž mnohé jsou pochopitelně užitečné) a v jednoduchosti použití, což je nezřídka otázkou preferencí a způsobu práce v uživatelském rozhraní.

Můžeme jen doporučit, aby byl notebook vybavený pro zajištění provozu a správu WLAN vždy po ruce a pokud možno nebyl využíván pro jiné aktivity, neboť změna konfigurace mezi běžným použitím a režimem umožňujícím zachycování a analýzu provozu může být příliš složitá, pokud je vyžadována rychlá reakce.