Мониторинг и анализ беспроводных локальных сетей требуют применения специальных методик и рабочих инструментов. Предлагаемый в статье список наиболее важных аспектов анализа беспроводных сетей стандартов 802.11a/b/g составлен в результате лабораторных тестов.

Все задачи мониторинга для администраторов беспроводных сетей можно разделить на три основные группы: наблюдение за активными участниками обмена (мониторинг сети), соблюдение корпоративных правил безопасности (аудит безопасности) и обеспечение оптимального времени реакции сети для всех беспроводных узлов (анализ производительности и ошибок). В статье описываются различные инструменты и подходы к их применению для обеспечения мониторинга сети и проверки безопасности.

КОНТРОЛЬ РАДИОЭФИРА

Обнаружить точки доступа в пределах непосредственной досягаемости можно с помощью поставляемых вместе с адаптерами WLAN клиентских утилит (см. Рисунок 1). Конечно, в первую очередь они предназначены для обеспечения готовности адаптера WLAN к работе, однако новые комбинированные беспроводные карты поддерживают несколько стандартов, а потому пользователь получает простое вспомогательное встроенное средство, благодаря которому он может определить активные точки доступа и распознать потенциальное излучение в близко к друг другу расположенных каналах в диапазоне 2,4 ГГц стандартов 802.11b и g. Карты стандартов a/b/g — Lancom MC-54ag, Linksys WPC54AG, Netgear WAG511 и Proxim Orinoko 11a/b/g Combocard на базе набора микросхем Atheros — посредством поставляемых с ними утилит снабжают информацией о применяемых режимах WLAN (стандарт 802.11), об используемых частотных каналах, а также о статусе шифрования WEP и интенсивности сигнала.

Рисунок 1. Клиентские утилиты предлагают первый, хоть и не совсем полный обзор беспроводной сети.

Однако, чтобы получить даже приблизительное представление о пространственном расположении ближайших активных ячеек WLAN, необходима гораздо более подробная информация. Последняя версия 0.3.30 свободно распространяемого программного обеспечения Netstumbler предлагает на базе Windows обзор активных точек доступа стандарта 802.11b со всеми важными параметрами WLAN. Распознавание точек доступа 802.11а на данный момент поддерживается только в Windows ХР. Точки доступа стандарта 802.11g распознаются исключительно в режиме совместимости с 802.11b.

Дополнительно к собранной клиентскими утилитами информации Netstumbler записывает время первого и последнего появления распознанных точек доступа в беспроводной сети. Если пользователь перемещается по комнате, этот метод хоть и не дает возможности точного определения местонахождения, но позволяет определить с учетом момента времени, какие беспроводные ячейки находятся по соседству. Кроме того, приблизительное расположение можно определить впоследствии путем пересечения больших пространств. Установить более точные координаты WLAN можно с помощью опционально поставляемого приемника глобальной системы навигации и определения положения (Global Positioning System, GPS), подключаемого через порт COM.

В качестве аппаратной основы для Netstumbler хорошо зарекомендовали себя адаптеры WLAN с набором микросхем от Lucent (Proxim Orinoko Gold 11 Мбит/с и Lancom Airlancer MC-11). Выполняя задачу распознавания точек доступа, как и клиентские утилиты, Netstumbler активно вмешивается в сетевой трафик, отправляя поочередно по всем каналам WLAN «кадр запроса зонда» (Probe Request Frame) в соответствии со спецификацией IEEE 802.11. Каждая из точек доступа отвечает «ответом зонду» (Probe Response), где, в зависимости от ее конфигурации, содержится имя сети (Extended Service Set Identifier, ESSID).

Если точка доступа препятствует передаче ESSID (статус «невидима», «закрытая радиосеть»), чтобы, к примеру, предотвратить привязку клиентов WLAN путем задания для ESSID значения «любой» (ANY), то, хотя точка доступа и появляется в соответствующем списке Netstumbler, необходимое для ее ассоциации сетевое имя не показывается. Существование точек доступа не скрывается ни в клиентских утилитах, ни в Netstumbler даже тогда, когда использование точки ограничено специфическими МАС-адресами посредством списка контроля доступа.

ДОПОЛНИТЕЛЬНЫЕ ДАННЫЕ

Если активным клиентам WLAN нужна дополнительная информация, то полную запись и оценку трафика сети можно получить с помощью специальных инструментов. Протокольные анализаторы WLAN задействуют пассивный режим приема всех пакетов адаптеров WLAN на базе PC Card. Они не вмешиваются в то, что происходит в сети, подобно Netstumbler. Для Windows 2000/XP на данный момент доступно несколько коммерческих решений: Airopeek NX 2001 от Wildpacket, Network Instruments Observer 8.3 Expert и Network Associates Wireless Sniffer 4.75. Все эти продукты ведут свое происхождение от классического анализа протоколов локальных сетей.

Для первого ознакомления с пакетами данных на различных частотных каналах WLAN почти повсеместно применяется «сканирование каналов» (Channel Scanning) или, соответственно, «серфинг по каналам» (Channel Surfing): анализатор переключается на короткие промежутки времени с канала на канал для сбора статистики по трафику — о числе пакетов, реальной скорости передачи, шифровании WEP, ошибках и интенсивности сигналов.

Принятие во внимание особенностей членов семейства 802.11 очень важно, иначе этот простой подсчет легко может привести к ошибочной интерпретации: во всем диапазоне 2,4 ГГц для 802.11 b и g пакеты распределяются по гораздо большему числу каналов, чем задействуемые активными WLAN — максимум 14. Причина кроется в перекрывании сигналов соседних каналов. Каналы в области перекрытия сигнала WLAN распознаются обычно по повышенному количеству ошибок CRC. 802.11а не обладает подобной спецификой из-за отсутствия перекрытия между каналами.

Современные анализаторы, WLAN, Observer и Airopeek, заметно преуспели в оценке потока данных: они анализируют содержащиеся внутри кадра протокольные данные 802.11 и устанавливают взаимоотношения между беспроводными узлами. Таким образом удается представить точки доступа и ассоциированных с ними клиентов, вышестоящие ESSID и вместе с ними логические подключения точек к распределительным системам и реально работающие радиоканалы. При помощи анализа протоколов, в отличие от применения клиентских утилит и Netstumbler, можно узнать и ESSID закрытых сетей — анализаторы просто извлекают его из потока данных.

Анализаторы понимают и уровень прикладных протоколов HTTP, SMB или Lotus Notes, поэтому они могут быстро составить профиль использования для клиента. Информация уровня приложений доступна в беспроводной среде лишь тогда, когда не применяется шифрование данных WEP или VPN. Статичные ключи WEP — если они известны — при необходимости могут быть сообщены аналитической программе. В случае динамических ключей, например, при использовании протоколов 802.1х/EAP, анализ протоколов выше уровня МАС невозможен. Получить доступ к такой информации и проанализировать ее удастся лишь со стороны интерфейса Ethernet на точке доступа. Полную картину активности в сети предоставит только параллельное применение в этих сценариях беспроводных и классических анализаторов.

ДОВЕРИЕ К БЕЗОПАСНОСТИ — ХОРОШО, КОНТРОЛЬ — ЛУЧШЕ

С развертыванием беспроводных локальных сетей предприятиям неизбежно приходится сталкиваться с проблемами безопасности. Слишком просто в любой точке области покрытия беспроводной сети принимать без какой-либо санкции пакеты данных, и так же просто незащищенные беспроводные сети могут быть использованы как скрытые точки атак на корпоративную сеть. Цены на сетевые компоненты постоянно падают, и персонал все чаще подключает к сети неавторизованные точки доступа (Rogue Access Point) без учета требований корпоративного отдела ИТ по обеспечению безопасности, в результате общая защищенность сети падает. Ответственному лицу приходится решать сложную задачу: ему требуется не только определить правила безопасности (к примеру, принудительное применение шифрования данных со 128-разрядным ключом WEP или, еще лучше, при помощи IPSec, а также использование мощных алгоритмов аутентификации посредством 802.1х), но и следить за их исполнением.

Для поиска неизвестных точек доступа вполне достаточно бесплатного Netstumbler, поскольку принцип его работы базируется на активных сетевых запросах с известными требованиями. К коммерческим же протокольным анализаторам WLAN высокие требования предъявляет необходимость поддержки трех последних стандартов IEEE — 802.11b (2,4 ГГц, максимальная пропускная способность 11 Мбит/с), 802.11а (5 ГГц, 54 Мбит/с), 802.11g (2,4 ГГц, 54 Мбит/с) — и таких специфических для производителей режимов, как Turbomodus в микросхемах Atheros (5 ГГц, 108 Мбит/с благодаря уплотнению каналов). Observer, Airopeek и Wireless Sniffer хоть и поддерживают беспроводные сети помимо стандарта 802.11b, но с потерями в функциональности и удобстве.

Недавно утвержденный стандарт 802.11g сейчас поддерживают только Airopeek и Observer. На этот случай можно посоветовать использовать комбинированные радиокарты, применение которых делает необязательным постоянное «жонглирование» картами. Программы поддерживают карты WLAN на базе микросхем Atheros AR500X для 802.11а/b и AR500X+ для 802.11a/b/g. Однако и для сред, где официально используется только один беспроводный стандарт, имеет смысл набор аналитических инструментов для всего спектра WLAN: лишь таким образом можно обеспечить нахождение всех активных беспроводных сетей.

При этом наличие комбинированной беспроводной карты в анализаторе облегчает мониторинг посредством сканирования каналов: исследуемый частотный диапазон (2,4 ГГц в 802.11b/g и 5 ГГц в 802.11а) не должен ограничиваться заранее. По желанию все каналы трех стандартов могут быть проверены друг за другом за один рабочий цикл. При этом не возникает необходимости постоянного переконфигурирования анализатора или повторного сканирования какого-либо диапазона. Из трех решений такой удобный метод предлагает только Airopeek (см. Рисунок 2).

Рисунок 2. Статистика каналов, узлов и деталей в Airopeek обеспечивает быстрый и подробный обзор всего происходящего в беспроводной сети.

Поиску беспроводных сетей мешает также различные политики лицензирования частот национальных регулирующих органов. Определенный для трех современных стандартов IEEE на беспроводные сети спектр каналов доступен для использования далеко не во всех странах. Поэтому драйверы беспроводных карт поддерживают лишь какую-то часть из технически возможных каналов. В пределах стандартов 802.11b/g и их диапазона 2,4 ГГц в США, к примеру, открыты только каналы 1—11, а в Германии официально доступны каналы 1—13. Если драйвер карты передает анализатору WLAN лишь информацию о каналах с 1 по 11, то вследствие перекрытия диапазонов точки доступа на 13-м канале оказываются все же видимыми на каналах 10 и 11. Мы натолкнулись на это ограничение по числу каналов при работе с Airopeek и драйверами под него от Atheros. Анализатор WLAN может лишь принимать пакеты, но не отправлять их, поэтому мониторинг каналов не запрещается национальными законодательствами.

Современные анализаторы WLAN помогают сетевому администратору при инвентаризации беспроводных сетей, благодаря простоте составления и обслуживания списков МАС-адресов на основании записанного трафика данных. Неизвестные и поэтому принципиально подозрительные точки доступа и прочие узлы WLAN немедленно экстрагируются из потока данных. Однако анализаторы едва ли смогут помочь при определении точного местонахождения беспроводных узлов. Но в любом случае наблюдаемая интенсивность сигнала позволяет сделать выводы о его координатах.

Кроме того, нельзя забывать, что анализаторы со своим пассивным подходом могут оценивать лишь то, что «видят». Прежде чем необходимые результаты появляются на экране, проходит некоторое время. В особенности это актуально для фрагментарной записи пакетов при сканировании каналов. Целенаправленный мониторинг какого-либо частотного диапазона возможен только на основе постоянной записи. По желанию администратора анализаторы передают сведения посредством электронной почты, если складывается тревожная ситуация, заранее определенная при помощи фильтра (см. Рисунок 3) или порогового значения, к примеру, появление неизвестного беспроводного узла. Вместе с «зондом Rfgrabber» Wildpacket в качестве дополнения к Airopeek NX предлагает удаленный монитор WLAN с возможностью подключения к сети Ethernet. Это позволяет осуществлять постоянный мониторинг удаленных беспроводных ячеек без обязательной установки ноутбуков с анализатором.

Рисунок 3. Индивидуально определяемые фильтры протоколов на анализаторах беспроводных сетей служат в качестве исходной точки для аудита безопасности.

Для обеспечения безопасности беспроводных локальных сетей на предприятиях официально разрешенные беспроводные ячейки должны регулярно проверяться. Точно узнать, насколько успешно прошла конфигурация точек доступа и клиентов WLAN, можно лишь путем анализа сетевого трафика. Экспертные аналитические системы Observer Expert, Wireless Sniffer и Airopeek NX обладают встроенными предопределенными шаблонами, на основании которых они сообщают сетевому администратору о стандартных ситуациях без дополнительных оценочных шагов с его стороны. К их числу относятся те случаи, когда точка доступа разрешает клиенту установить с ним соединение без шифрования данных WEP, хотя WEP и был активирован со стороны точки доступа, или когда в регулярных широковещательных рассылках Beacon Broadcast точки доступа содержится сетевое имя ESSID.

Для более детальной проверки соблюдения правил безопасности в беспроводных сетях («аудита безопасности»), как правило, этих ограниченных «функций экспертного анализа» не хватает. Необходимы дополнительные возможности распознавания. В протокольных анализаторах они реализуются посредством индивидуально определяемых фильтров протоколов. Таким образом удается распознавать стандартные ESSID производителей точек доступа или попытки подключения пользователей посредством указания универсального сетевого имени ANY. Соответствующие фильтры способны вылавливать и актуальные атаки DoS, например SQL Slammer, или «червей», таких, как MSblaster.

В результате анализатор показывает адреса тех беспроводных узлов, которые нарушают правила безопасности и при необходимости сообщает о них сетевому администратору по электронной почте. Последний, основываясь на этом, может принимать уже собственные меры. Определение и обслуживание фильтра протоколов, правда, совсем не простое дело — необходимы точные знания о структуре протокола и принципе его работы, чтобы отыскать его в пакете. С выпуском Airopeek NX 2.0 Wildpacket задачу облегчает входящий в комплект Security Audit Template, содержащий ряд предопределенных фильтров. Это, по крайней мере, первый шаг.

Петер Мойзер — сотрудник тестовой лаборатории LANline. С ним можно связаться по адресу: pf@lanline.awi.de.


? AWi Verlag


Опыт работы с Latitude D600 от Dell при анализе беспроводных сетей

Latitude D600 от Dell. B тестовой лаборатории LANline он доказал свое право заниматься анализом беспроводных локальных сетей.

При подборе инструментария для профессионального анализа беспроводных локальных сетей, особое внимание следует обратить на особенности аппаратного обеспечения применяемого ноутбука. Поработав в лаборатории LANline с Latitude D600 (Pentium-M на 1,6 ГГц) от Dell и более старым Latitude С800 (Pentium III на 800 МГц), мы приобрели опыт, на основании которого можно дать общие практические советы.

Скорость обработки. Запись пакетов данных в беспроводных сетях с номинальной скоростью передачи данных 54 Мбит/с при одновременной статистической оценке требует высокой производительности используемого для анализа аппаратного обеспечения. Во время тестов на производительность при максимальной загрузке беспроводной ячейки наша система на 850 МГц при работе с Airopeek NX 2.0 не реагировала на вводимые пользователем данные. Новый Latitude D600 с процессором Pentium-M производительностью 1,6 ГГц (сравним с Pentium 4 производительностью 2,4 ГГц), напротив, позволяет нормально работать с системой и дальше. Невозможно лишь декодирование данных в реальном времени, что при внушительном потоке пакетов имеет небольшое практическое значение.

Емкость хранения. Предназначенный для анализа ноутбук должен иметь как минимум 512 Мбайт, а лучше — 1 Гбайт оперативной памяти, чтобы длинные записи пакетов можно было полностью разместить в памяти быстрого доступа. Для промежуточного хранения записей пакетов необходим достаточно производительный жесткий диск (5400 оборотов/мин) объемом не меньше 40 Гбайт. Очень полезно наличие дополнительного жесткого диска во внешнем корпусе с комбинированным входом USB-2.0/FireWire. С его помощью объемные записи пакетов можно транспортировать для последующего анализа на другие рабочие места. Небольшие объемы можно записывать и на компакт-диски.

Адаптер WLAN. Dell для своей серии Latitude D предлагает внутренние адаптеры Mini-PCI Truemobile 1300 (b/g) и Truemobile 1400 (а/b/g). Оба решения WLAN базируются на наборе микросхем Broadcom. Непосредственно для записи пакетов они не предназначены, но в целях моделирования ситуации могут активно вмешиваться в происходящее через внутренние адаптеры WLAN, в то время как специальный внешний адаптер РС Card записывает сетевой трафик. Во многих ситуациях это позволяет избежать необходимости использовать второй ноутбук. Комбинацию PC Card/Mini PCI стоит предпочесть двойной комбинации PC Card, поскольку форм-фактор современных комбинированных беспроводных карт не позволяет устанавливать их в два соседних слота PC Card (исключение: адаптер Proxim).

Эргономика. Природа «охоты за волнами» делает неизбежной частую смену местоположения. Повезло тому, у кого окажется прочный удобный ноутбук. Новый Latitude D600 со своим частично магниевым корпусом и весом в 2,2 кг, без сомнений, опередил своих хилых предшественников. Для лучшего восприятия информации от анализаторов беспроводных локальных сетей необходимо высокое разрешение экрана: 1024 на 768 точек. D600 в состоянии обеспечить 1400 на 1050 точек при диагонали экрана 14,1 дюйм.