Моніторинг мережі та перевірка безпеки, Журнал мережевих рішень

Моніторинг та аналіз бездротових локальних мереж потребують застосування спеціальних методик та робочих інструментів. Пропонований у статті список найважливіших аспектів аналізу бездротових мереж стандартів 802.11a/b/g складено в результаті лабораторних тестів.

Усі завдання моніторингу для адміністраторів бездротових мереж можна розділити на три основні групи: спостереження за активними учасниками обміну (моніторинг мережі), дотримання корпоративних правил безпеки (аудит безпеки) та забезпечення оптимального часу реакції мережі для всіх бездротових вузлів (аналіз продуктивності та помилок). У статті описуються різні інструменти та підходи до їх застосування для забезпечення моніторингу мережі та перевірки безпеки.

КОНТРОЛЬ РАДІОЕФІРУ

Виявити точки доступу в межах безпосередньої досяжності можна за допомогою клієнтських утиліт, що постачаються разом з адаптерами WLAN (див. Рисунок 1). Звичайно, в першу чергу вони призначені для забезпечення готовності адаптера WLAN до роботи, проте нові комбіновані бездротові карти підтримують кілька стандартів, а тому користувач отримує простий допоміжний вбудований засіб, завдяки якому він може визначити активні точки доступу та розпізнати потенційне випромінювання близько один до одного розташованих каналах у діапазоні 2,4 ГГц стандартів 802.11b та ​​g. Карти стандартів a/b/g — Lancom MC-54ag, Linksys WPC54AG, Netgear WAG511 і Proxim Orinoko 11a/b/g Combocard на базі набору мікросхем Atheros — за допомогою утиліт, що поставляються з ними, забезпечують інформацією про застосовані режими WLAN (стандарт 802.11). використовуються частотні канали, а також про статус шифрування WEP і інтенсивність сигналу.

перевірка

Однак, щоботримати навіть приблизне уявлення про просторове розташування найближчих активних осередків WLAN, потрібна набагато докладніша інформація. Остання версія 0.3.30 програмного забезпечення Netstumbler, що вільно розповсюджується, пропонує на базі Windows огляд активних точок доступу стандарту 802.11b з усіма важливими параметрами WLAN. Розпізнавання точок доступу 802.11а зараз підтримується лише у Windows ХР. Точки доступу стандарту 802.11g розпізнаються виключно у режимі сумісності з 802.11b.

Додатково до зібраної клієнтськими утилітами інформації Netstumbler записує час першої та останньої появи розпізнаних точок доступу бездротової мережі. Якщо користувач переміщається кімнатою, цей метод хоч і не дає можливості точного визначення місцезнаходження, але дозволяє визначити з урахуванням моменту часу, які бездротові осередки знаходяться по сусідству. Крім того, приблизне розташування можна визначити згодом шляхом перетину великих просторів. Встановити більш точні координати WLAN можна за допомогою приймача глобальної системи навігації та визначення положення (Global Positioning System, GPS), що підключається через порт COM.

Як апаратну основу для Netstumbler добре зарекомендували себе адаптери WLAN з набором мікросхем від Lucent (Proxim Orinoko Gold 11 Мбіт/с та Lancom Airlancer MC-11). Виконуючи завдання розпізнавання точок доступу, як і клієнтські утиліти, Netstumbler активно втручається в мережевий трафік, по черзі відправляючи по всіх каналах WLAN «кадр запиту зонда» (Probe Request Frame) відповідно до специфікації IEEE 802.11. Кожна з точок доступу відповідає «відповіддю зонду» (Probe Response), де, залежно від конфігурації, міститься ім'ямережі (Extended Service Set Identifier, ESSID).

ДОДАТКОВІ ДАНІ

Якщо активним клієнтам WLAN потрібна додаткова інформація, повний запис та оцінку трафіку мережі можна отримати за допомогою спеціальних інструментів. Протокольные аналізатори WLAN задіяють пасивний режим прийому всіх пакетів адаптерів WLAN з урахуванням PC Card. Вони не втручаються в те, що відбувається в мережі, як Netstumbler. Для Windows 2000/XP на даний момент є кілька комерційних рішень: Airopeek NX 2001 від Wildpacket, Network Instruments Observer 8.3 Expert і Network Associates Wireless Sniffer 4.75. Всі ці продукти походять від класичного аналізу протоколів локальних мереж.

Для першого ознайомлення з пакетами даних на різних частотних каналах WLAN майже повсюдно застосовується "сканування каналів" (Channel Scanning) або, відповідно, "серфінг по каналах" (Channel Surfing): аналізатор перемикається на короткі проміжки часу з каналу на канал для збору статистики трафіку — про кількість пакетів, реальну швидкість передачі, шифрування WEP, помилки та інтенсивність сигналів.

Прийняття до уваги особливостей членів сімейства 802.11 дуже важливо, інакше цей простий підрахунок легко може призвести до помилкової інтерпретації: у всьому діапазоні 2,4 ГГц для 802.11 b і g пакети розподіляються набагато більше каналів, ніж задіяні активними WLAN — максимум 14. криється у перекриванні сигналів сусідніх каналів. Канали в області перекриття сигналу WLAN розпізнаються зазвичай за підвищеною кількістю помилок CRC. 802.11а не має такої специфіки через відсутність перекриття між каналами.

Сучасні аналізатори, WLAN, Observer і Airopeek, помітно досягли успіху в оцінці потоку даних: вони аналізують містятьсявсередині кадру протокольні дані 802.11 та встановлюють взаємовідносини між бездротовими вузлами. Таким чином вдається представити точки доступу та асоційованих з ними клієнтів, вищестоящі ESSID та разом з ними логічні підключення точок до розподільчих систем та реально працюючі радіоканали. За допомогою аналізу протоколів, на відміну від клієнтських утиліт і Netstumbler, можна дізнатися і ESSID закритих мереж - аналізатори просто вилучають його з потоку даних.

Аналізатори розуміють рівень прикладних протоколів HTTP, SMB або Lotus Notes, тому вони можуть швидко скласти профіль використання для клієнта. Інформація рівня програм доступна в бездротовому середовищі лише тоді, коли не використовується шифрування даних WEP або VPN. Статичні ключі WEP — якщо вони відомі — можуть бути повідомлені аналітичній програмі. У разі динамічних ключів, наприклад, при використанні протоколів 802.1х/EAP, аналіз протоколів вище за рівень МАС неможливий. Отримати доступ до такої інформації та проаналізувати її вдасться лише з боку інтерфейсу Ethernet на точці доступу. Повну картину активності в мережі надасть лише паралельне застосування у цих сценаріях бездротових та класичних аналізаторів.

ДОВIР ДО БЕЗПЕКИ — ДОБРЕ, КОНТРОЛЬ — КРАЩЕ

Для пошуку невідомих точок доступу цілком достатньо безкоштовного Netstumbler, оскільки принцип роботи базується на активних мережевих запитах з відомими вимогами. До комерційних протокольних аналізаторів WLAN високі вимоги пред'являє необхідність підтримки трьох останніх стандартів IEEE - 802.11b (2,4 ГГц, максимальна пропускна здатність 11 Мбіт/с), 802.11а (5 ГГц, 54 Мбіт/с), 802.11g (2, 4 ГГц, 54 Мбіт/с) - і таких специфічних для виробниківрежимів, як Turbomodus у мікросхемах Atheros (5 ГГц, 108 Мбіт/с завдяки ущільненню каналів). Observer, Airopeek та Wireless Sniffer хоч і підтримують бездротові мережі крім стандарту 802.11b, але з втратами у функціональності та зручності.

Нещодавно затверджений стандарт 802.11g зараз підтримують лише Airopeek та Observer. На цей випадок можна порадити використовувати комбіновані радіокартки, застосування яких робить необов'язковим постійне "жонглювання" картками. Програми підтримують карти WLAN на базі мікросхем Atheros AR500X для 802.11а/b та AR500X+ для 802.11a/b/g. Однак і для середовищ, де офіційно використовується лише один бездротовий стандарт, має сенс набір аналітичних інструментів для всього спектру WLAN: лише таким чином можна забезпечити знаходження всіх бездротових активних мереж.

При цьому наявність комбінованої бездротової карти в аналізаторі полегшує моніторинг за допомогою сканування каналів: досліджуваний частотний діапазон (2,4 ГГц 802.11b/g і 5 ГГц 802.11а) не повинен обмежуватися заздалегідь. За бажанням всі канали трьох стандартів можуть бути перевірені один за одним за один робочий цикл. При цьому немає необхідності постійного переконфігурування аналізатора або повторного сканування будь-якого діапазону. З трьох рішень такий зручний метод пропонує лише Airopeek (див. рисунок 2).

перевірка

Пошуку бездротових мереж заважає різні політики ліцензування частот національних регулюючих органів. Визначений для трьох сучасних стандартів IEEE на бездротових мережах спектр каналів доступний для використання далеко не у всіх країнах. Тому драйвери бездротових карток підтримують лише якусь частину з технічно можливих каналів. У межах стандартів 802.11b/g та їх діапазону 2,4ГГц США, наприклад, відкриті лише канали 1—11, а Німеччини офіційно доступні канали 1—13. Якщо драйвер карти передає аналізатору WLAN лише інформацію про канали з 1 по 11, то внаслідок перекриття діапазонів точки доступу на 13-му каналі виявляються все ж таки видимими на каналах 10 і 11. Ми натрапили на це обмеження за кількістю каналів при роботі з Airopeek і драйверами під нього від Atheros. Аналізатор WLAN може лише приймати пакети, але не надсилати їх, тому моніторинг каналів не забороняється національним законодавством.

Крім того, не можна забувати, що аналізатори зі своїм пасивним підходом можуть оцінювати лише те, що бачать. Перш ніж потрібні результати з'являються на екрані, проходить деякий час. Особливо це актуально для фрагментарного запису пакетів під час сканування каналів. Цілеспрямований моніторинг якогось частотного діапазону можливий тільки на основі постійного запису. За бажанням адміністратора, аналізатори передають відомості за допомогою електронної пошти, якщо складається тривожна ситуація, заздалегідь визначена за допомогою фільтра (див. малюнок 3) або порогового значення, наприклад, поява невідомого бездротового вузла. Разом із «зондом Rfgrabber» Wildpacket як доповнення до Airopeek NX пропонує віддалений монітор WLAN із можливістю підключення до мережі Ethernet. Це дозволяє здійснювати постійний моніторинг бездротових віддалених осередків без обов'язкової установки ноутбуків з аналізатором.

безпеки

Для більш детальної перевірки дотримання правил безпеки бездротових мереж («аудиту безпеки»), зазвичай, цих обмежених «функцій експертного аналізу» бракує. Потрібні додаткові можливості розпізнавання. У протокольних аналізаторах вони реалізуються у виглядііндивідуально визначених фільтрів протоколів. Таким чином, вдається розпізнавати стандартні ESSID виробників точок доступу або спроби підключення користувачів за допомогою вказівки універсального мережевого імені ANY. Відповідні фільтри здатні виловлювати і актуальні атаки DoS, наприклад SQL Slammer, або «хробаків», таких як MSblaster.

Досвід роботи з Latitude D600 від Dell під час аналізу бездротових мереж

мережевих

При підборі інструментарію для професійного аналізу бездротових локальних мереж, особливу увагу слід звернути на особливості апаратного забезпечення ноутбука. Попрацювавши в лабораторії LANline з Latitude D600 (Pentium-M на 1,6 ГГц) від Dell та більш старим Latitude С800 (Pentium III на 800 МГц), ми набули досвіду, на основі якого можна дати загальні практичні поради.

Швидкість обробки. Запис пакетів даних у бездротових мережах з номінальною швидкістю передачі даних 54 Мбіт/с за одночасної статистичної оцінки вимагає високої продуктивності для аналізу апаратного забезпечення. Під час тестів на продуктивність при максимальному завантаженні бездротового осередку наша система на 850 МГц при роботі з Airopeek NX 2.0 не реагувала на дані, що вводяться користувачем. Новий Latitude D600 з процесором Pentium-M продуктивністю 1,6 ГГц (порівняний з Pentium 4 продуктивністю 2,4 ГГц), навпаки, дозволяє нормально працювати з системою і далі. Неможливе лише декодування даних у реальному часі, що з великому потоці пакетів має невелике практичне значення.

Ємність зберігання. Призначений для аналізу ноутбук повинен мати щонайменше 512 Мбайт, а краще – 1 Гбайт оперативної пам'яті, щоб довгі записи пакетів можна було повністюрозмістити у пам'яті швидкого доступу. Для проміжного зберігання записів пакетів необхідний досить продуктивний жорсткий диск (5400 об/хв) об'ємом не менше 40 Гбайт. Дуже корисна наявність додаткового жорсткого диска у зовнішньому корпусі з комбінованим входом USB-2.0/FireWire. З його допомогою об'ємні записи пакетів можна транспортувати для подальшого аналізу інших робочих місць. Невеликі обсяги можна записувати на компакт-диски.

Адаптер WLAN. Dell для своєї серії Latitude D пропонує внутрішні адаптери Mini-PCI Truemobile 1300 (b/g) та Truemobile 1400 (а/b/g). Обидва рішення WLAN базуються на наборі мікросхем Broadcom. Безпосередньо для запису пакетів вони не призначені, але з метою моделювання ситуації можуть активно втручатися у те, що відбувається через внутрішні адаптери WLAN, тоді як спеціальний зовнішній адаптер РС Card записує мережевий трафік. У багатьох ситуаціях це дозволяє уникнути необхідності використовувати другий ноутбук. Комбінації PC Card/Mini PCI варто віддати перевагу подвійній комбінації PC Card, оскільки форм-фактор сучасних комбінованих бездротових карт не дозволяє встановлювати їх у два сусідні слоти PC Card (виняток: адаптер Proxim).

Ергономіка. Природа «полювання на хвилі» робить неминучою частию зміну розташування. Пощастило тому, у кого виявиться міцний зручний ноутбук. Новий Latitude D600 зі своїм частково магнієвим корпусом і вагою 2,2 кг, без сумніву, випередив своїх кволих попередників. Для кращого сприйняття інформації від аналізаторів бездротових локальних мереж необхідна висока роздільна здатність екрану: 1024 на 768 пікселів. D600 може забезпечити 1400 на 1050 пікселів при діагоналі екрану 14,1 дюйм.

Поділіться матеріалом з колегами та друзями