Network World, США
В 2004 году мы протестировали несколько анализаторов протоколов для беспроводных локальных сетей (БЛС). Обнаружилось, что их можно разбить на две большие категории: специализированные устройства, которые изначально создавались для БЛС, и дополнительные модули к традиционным анализаторам протоколов.
За три года продукты стали более зрелыми. Победителем в тестах на выявление сетевых проблем снова вышел анализатор AirMagnet Laptop, продемонстрировавший великолепную работу в сети 802.11. По быстроте и точности анализа он по-прежнему не имеет себе равных. Однако конкуренция в этом сегменте нарастает, поэтому производителю будет нелегко удержать лидерство. Достойной альтернативой является OmniPeek производства WildPackets. Несмотря на почтенный возраст, разработка Sniffer Portable компании Network General продолжает оставаться своеобразным эталоном оценки других продуктов — прежде всего, благодаря ее известности. OptiView III фирмы Fluke не предназначен для работы в качестве монитора, эксплуатируемого в режиме 24х7, но советуем прихватить его с собой при стремлении выявить все проблемы с функционированием БЛС, а не только сетевые атаки. Отметим: значительный рост функциональности анализаторов протоколов сильно осложнил сравнение конкурирующих решений по стоимости и интерпретацию результатов тестирования.
Мы задались целью испытать «тактические» анализаторы протоколов БЛС, сделав особый упор на их компактности и средствах анализа частотного спектра. Три из четырех изделий, оказавшихся в нашем распоряжении (AirMagnet Laptop, OmniPeek и OptiView III), оборудованы модулем-анализатором компании Cognio. Фактически, все они выполняют анализ спектра сети Wi-Fi при помощи одного и того же приложения. Ни один из производителей не привнес в этот анализ какой-либо специфики. Четвертый поставщик, Network General, вообще не реализовал функцию анализа спектра.
Во всех испытанных решениях, за исключением OptiView III, для доставки данных на центральную консоль используются сети распределенных датчиков. А вот дальнейшее представление данных зависит от производителя. Скажем, WildPackets и Network General выводят данные по циклической схеме (один датчик в каждый момент), хотя и допускают отправку уведомлений на единую консоль. Такая консоль служит для представления и обработки поступающих сведений, а также для генерации отчетов. AirMagnet пошла еще дальше и трактует сенсоры как самостоятельные объекты, предлагая собственную эмпирическую схему управления ими. OptiView III фирмы Fluke представляет собой автономный продукт, не предназначенный для работы с сетью распределенных сенсоров.
Сами сенсоры, если они используются, бывают двух типов: ноутбуки и специальные устройства, напоминающие точки доступа. В филиалах компаний и стационарных офисах в этом качестве можно использовать и обыкновенные настольные ПК с установленными на них беспроводными адаптерами.
Различия между продуктами разных фирм помогают очертить сферу применения решений, поддерживающих сети распределенных сенсоров. В одном случае это может быть средство круглосуточного мониторинга работы сети (наподобие зонда, поддерживающего протокол SNMP), в другом — инструмент решения текущих задач в местах развертывания временных БЛС. Но эти две возможности не исключают друг друга, и производители обычно указывают, в какой степени их разработка позволяет решать обе задачи.
AirMagnet Laptop
Центральный компонент решения доступен для сенсоров, выпускаемых этой же компанией. В их роли могут выступать ноутбуки с лицензионным прикладным ПО AirMagnet либо выделенные сенсоры. Для сенсоров предусмотрены два режима функционирования — Enterprise Analyzer Sensor и AirMagnet Enterprise Sensor. В первом случае сенсор отправляет данные на материнский узел, во втором осуществляется мониторинг сенсоров с консоли. Сервер собирает данные от сенсоров и проводит их сравнительный анализ на консоли для получения агрегированной картины всей сенсорной сети.
Реализованный разработчиком Web-интерфейс позволяет запустить консольное приложение, после чего доступ к серверу могут одновременно получить несколько пользователей. Затем консоль превращается в оконечную точку для системы обнаружения вторжений (IDS) и мониторинга. Реакция этого устройства на сетевую атаку, связанную с подменой MAC-адреса отправителя (man-in-the-middle), напоминает функционирование неисправной точки доступа. Атака, сводящаяся к заполнению эфира огромными объемами трафика, диагностируется как «подозрительная активность», что, впрочем, гораздо ближе к истине по сравнению с диагностикой анализаторами OmniPeek и Sniffer.
В ходе тестирования продукт AirMagnet прекрасно зарекомендовал себя в двух отношениях. Во-первых, его пользовательский интерфейс позволяет вывести на экран множество взаимосвязанных данных. Мы видели на экране консоли параметры сетевых атак и одновременно несколько подробных информационных «срезов» состояния сети. Интерфейс, реализованный разработчиками, является прямой противоположностью все еще встречающихся интерфейсов командной строки.
Во-вторых, все данные, представленные на экране, сопровождаются подробными разъяснениями. На экран выводятся детальные предупреждения и сведения о событиях, к которым они относятся. В результате оператор не будет испытывать затруднений с их интерпретацией и оперативным определением серьезности ошибки либо события, вызвавшего генерацию предупреждения. Это позволяет устанавливать приоритеты при реагировании на поступающие сообщения, исходя из того, как AirMagnet Laptop оценивает параметры трафика и в каких случаях выдает предупреждающие сообщения. Ценность такой информации трудно переоценить, ведь ошибки в работе сети не всегда одинаково описываются разными сетевыми анализаторами.
В режиме мониторинга анализатор AirMagnet позволяет назначить пользователям различные роли. Кто-то может получить полный набор административных полномочий, а кому-то придется довольствоваться пассивным просмотром сообщений. Предлагаемое производителем приложение мониторинга консоли может быть загружено по протоколу HTTP с основного сервера сбора данных, что позволяет организовать при возникновении проблем быстрый доступ к консоли из любого места корпоративной сети.
Сообщения о нештатных ситуациях могут помещаться в системный журнал, передаваться по электронной почте, на пейджер или мобильный телефон (в виде SMS), по системе IM либо в виде SNMP-ловушек. Условия выдачи предупреждающих сообщений можно настроить индивидуально для каждого типа событий. Поддерживаются соединения с IDS-системами, установленными в проводной сети.
OmniPeek Workgroup Pro 4.1
Компания WildPackets предлагает несколько версий продукта с разными возможностями, вплоть до OmniPeek Enterprise с модулем Enhance Voice Option. Нам для тестирования достался вариант OmniPeek Workgroup Pro, работающий исключительно под управлением Windows XP SP2 и способный анализировать множество протоколов, включая VoIP. Аппаратные средства для установки этого приложения могут размещаться на удаленных площадках, что позволяет включить в состав среды, охваченной сетевой диагностикой, филиалы компании.
При анализе протоколов разработчики воспользовались нетрадиционным подходом: игнорируются все события, кроме тех, необходимость отслеживания которых прописана явно. Администратор может выбрать из длинного списка интересующие его протоколы, фильтры, ориентированные на противостояние определенным типам атак (вроде распространения компьютерных червей или атак «отказ в обслуживании»), и пакеты, которые связаны с конкретными сервисами (запросы к DNS, VoIP или HTTP). Оператору или администратору сети предоставляется возможность самостоятельно создать фильтр, а затем задать количественные или качественные условия его активизации. Впрочем, в отдельных ситуациях такие условия описывать не придется: уведомления генерируются в ответ на сам факт возникновения событий, вне зависимости от их характеристик.
Плата сетевого анализа фирмы Cognio снабжена антенной, что позволяет идентифицировать радиочастотный шум и определять его уровень. Вы можете выявить происхождение помех, а зачастую — даже распознать их источники, будь то СВЧ-печь или радиотелефон, работающий на частоте 2,4 ГГц.
Основное приложение анализа эфирного трафика может быть инсталлировано локально или удаленно. К сожалению, удобная функция дистанционной инсталляции этого программного обеспечения отсутствует, хотя такая установка была бы не лишена смысла.
Фильтры для блокировки трафика известных вирусов и червей доступны на Web-сайте компании WildPackets. Их можно применять для настройки предупреждающих сообщений (в режиме мониторинга) либо последующего анализа отдельных захваченных пакетов. Использование образцов пакетов для целей фильтрации не составляет труда, и нам удалось даже изменять их в режиме реального времени, не прерывая процедуру захвата пакетов. Чтобы польза от OmniPeek стала ощутимой, необходимо предварительно настроить конфигурацию фильтров. Эту процедуру заметно облегчает удобное средство визуального редактирования фильтров. Инструкции по настройке пакетов написаны простым понятным языком, но применение фильтров окажется более результативным, если вы все-таки разберетесь в типах атак, встречающихся в сетях 802.11.
Настройка шаблонов выборочного захвата пакетов в каналах Wi-Fi, соответствующих стандартам 802.11a, b и g, также выполняется очень просто. Назначенные значения или комбинации параметров можно сохранить для дальнейшего использования.
Сымитированные нами подмены MAC-адреса, случаи заполнения сети массовыми запросами об авторизации и другие типы атак OmniPeek обнаружил без труда, хотя массовые запросы были идентифицированы как сетевой многоадресный шторм, имеющий сходные характеристики. Пришлось создать специальный фильтр, настроенный на распознавание массовых запросов об авторизации и последующую генерацию уведомлений. Словарная атака также была распознана некорректно. Главный урок этой группы тестов таков: обращайте особое внимание на диагностируемые анализаторами многоадресные штормы, поскольку в действительности за ними могут скрываться атаки. В этом состоит слабое место OmniPeek, и не исключено, что вам понадобятся несколько специальных фильтров.
Приложение способно отсылать уведомления в виде SNMP-ловушек на платформы сетевого управления, которые поддерживают SNMP, приложениям, выполняющим регистрацию событий в системном журнале и их последующий анализ, либо по электронной почте. В отношении работы с почтой OmniPeek явно превзошел других участников испытаний.
Отчеты, генерируемые продуктом, оказались крайне скудными — даже при учете того, что подобные анализаторы изначально проектируются для использования вне офиса. Этим отчетам недоставало простейшего форматирования и сравнительного анализа разных событий, чего не скажешь про отчеты остальных продуктов. Сервис OmniReport, вроде бы, обеспечивающий генерацию отчетов лучшего качества, несовместим с ПО OmniPeek Workgroup Pro, которое мы тестировали. Пользователи версии Enterprise, видимо, окажутся в более выгодном положении.
OptiView III
Основа разработки компании Fluke — портативный компьютер под Windows XP с установленным Service Pack 2. Устройство имеет сенсорный экран и в базовой версии работает как анализатор проводных гигабитных сетей Ethernet, поддерживающий SNMP. Функционирование, автономное от электросети, обеспечивает внешний аккумулятор, причем время непрерывной работы без подзарядки оказалось большим, чем у планшетного ПК.
Примечание. Оценки выставлялись по пятибалльной шкале. Проценты в скобках соответствуют весовым коэффициентам отдельных критериев, которые учитывались при выведении итоговой оценки.
Версия OptiView II, которую мы испытывали в прошлый раз, нас не впечатлила. Тогда в наших руках оказалось средство устранения проблем, а его общая полезность осталась под вопросом. Факт удручающий при учете того, что этот инструмент стоимостью 20 тыс. долл. считается чуть ли не легендарным анализатором протоколов для проводных сетей.
Фирма приложила немало усилий, чтобы в третьей версии продукта вывести средства анализа для БЛС на должный уровень. В варианте OPVS3-GIG/W, которой мы тестировали, функции анализа для БЛС оформлены в виде отдельного приложения. Мы исследовали и работу опционального модуля AirAnalyzer, в котором использована уже упоминавшаяся плата фирмы Cognio. Приятно, что поставляемый продукт сразу готов к работе: вам не придется возиться с драйверами или заботиться о соответствии аппаратной конфигурации.
В среде БЛС OptiView III выступает в двух ипостасях. Одна связана с возможностями приложения AirAnalyzer, реализованными на платформе Windows XP SP2, другая — с функциями анализатора спектра. Средства дистанционного администрирования распределенной конфигурации довольно ограниченны, поскольку анализ трафика БЛС выполняется только на платформе OptiView III.
В ходе тестирования Fluke видел имитируемые сетевые атаки, но описывал их как присутствие в сети избыточного числа неавторизованных устройств — вместо того, чтобы указать на массовую рассылку запросов об авторизации либо на атаку другого типа. Хотя наличие нескольких MAC-адресов для одного IP-адреса распознавалось как нештатная ситуация, предложенное описание происходящего имело мало общего с действительностью. В трех других продуктах характеристика сетевых атак была гораздо более точной. Программное обеспечение мониторинга беспроводной сети генерирует HTML-отчеты, а вот уведомления на другие устройства не отсылаются. В результате OptiView III может быть отнесен к инструментам текущей проверки параметров сети, но никак не постоянного сетевого мониторинга.
Sniffer Portable 4.90
Уже при инсталляции продукта фирмы Network General мы столкнулись с трудностями. Выяснив их причины (ошибка в определении тактовой частоты процессора и проблемы с драйвером радиокарты), мы обнаружили, что за последние годы анализатор заметно изменился к лучшему.
Внешне все было по-прежнему: графический интерфейс, к которому мы успели привыкнуть за 20 лет, фильтры, способные отсеивать пакеты доисторических, по нынешним меркам, протоколов типа Banyan Vines и Apollo Systems… Однако при более пристальном рассмотрении обнаружились новые компоненты для анализа протоколов именно БЛС, а также дополнительный модуль Application Intelligence Option, который распознает пакеты, генерируемые приложениями SAP, Oracle и PeopleSoft.
Сердце анализатора, Sniffer Decode Engine 1.06, разбирает состав пакетов, относящихся к проводной и беспроводной сетям. Дополнительно фирма поставляет модули для декодирования и анализа трафика в сетях сотовой связи. Подобно решению WildPackets, анализаторы Sniffer Portable поддерживают распределенную конфигурацию, но консолидировать данные от разных устройств для последующего анализа совсем не просто. Зато отчеты несколько лучше, чем у OmniPeek (если, конечно, вы не используете сервис OmniReport). Во всяком случае, они снабжены информативными заголовками и датой.
В процессе тестирования атака, связанная с подменой отправителя, была распознана корректно, а вот словарную атаку Sniffer Portable принял за критическую ошибку протокола PLCP (Physical Layer Convergence Protocol), относящуюся к скорости передачи пакетов, а вовсе не к многоадресной рассылке. Некорректное распознавание проблем с сетевым трафиком нашло отражение и в регистрационном журнале.
При использовании Sniffer Portable в качестве средства мониторинга возможности передачи предупреждающих сообщений, генерируемых решением, крайне скудны: задействоваться могут лишь электронная почта и сценарии на Visual Basic. У OmniPeek этот арсенал побогаче. В отличие от остальных устройств, в состав Sniffer Portable не входит анализатор протоколов. Его интерфейс не менялся десятилетиями, и работать с ним новичку либо пользователю, не разбирающемуся в хитросплетениях сетевых протоколов, будет непросто. Определение фильтров тоже вызывает трудности и выполняется по старинке; визуальные средства, которые могли бы облегчить эту задачу, отсутствуют. От администратора требуется практическое знание протоколов TCP/IP и спецификаций 802.11.
Модуль Sniffer Expert Diagnostics разбирает захваченные пакеты на разных уровнях в зависимости от представления анализируемой информации. Эти представления, в свою очередь, могут быть детализированы с учетом относящихся к ним статистических данных: проблемы сети 802.11, проблемы приложений (вроде ошибок DNS) или глобальных каналов связи (например, ошибки многоадресной рассылки). Администратор может посмотреть матрицу пересылок пакетов между двумя сетевыми устройствами на уровне IP или MAC, распределение пакетов по протоколам и даже разложение пакета на составные части в соответствии с данными, выдаваемыми модулем Sniffer Expert Diagnostics. Тем не менее эта часть решения Sniffer Portable по качеству и степени детализации уступает анализатору OmniPeek.
В целом, определенный прогресс налицо. Конечно, фирма WildPackets приложила немалые усилия, задавшись целью потеснить Sniffer Portable на рынке. В частности, она реализовала более удобный пользовательский интерфейс. Рискнем предположить, что, совершенствуя свой продукт, WildPackets учитывала недостатки решения Network General.
Процедура тестирования
В качестве базовой платформы использовался ноутбук HP ZV-5000 с процессором AMD Athlon 64, 2 Гбайт динамической памяти, 100-Гбайт жестким диском и встроенным адаптером Wi-Fi 802.11a/b/g на базе чипсета фирмы Broadcom. На ноутбуке была установлена недавно обновленная версия Windows XP SP2.
Тестовая среда включала в себя несколько точек доступа, но в основном мы использовали устройство WRT54G от Linksys (версия с ОС Linux и поддержкой протокола IPv6). В тестировании участвовали несколько беспроводных адаптеров, но доминировал продукт Linksys — адаптер WPC55AG, поддерживающий сети 802.11a/b/g. Ноутбук был подключен к внутренней локальной среде по каналу Gigabit Ethernet. В тестах на установление связи, мониторинг сетевого трафика и сетевые атаки также фигурировали ноутбуки HP DV900, Apple Powerbook и настольный ПК Compaq Presario, оборудованный беспроводным PCI-адаптером производства Linksys.
Мы имитировали либо использовали готовые профили сетевых атак, которые инициировались с ноутбука Powerbook, cнабженного адаптером AirPort Extreme фирмы Apple. Применялись атака с подменой MAC-адреса отправителя (man-in-the-middle), словарная атака с использованием протокола WPA (Wi-Fi Protected Access) и атака с массовой рассылкой запросов об авторизации (отправка ложных MAC-адресов).
Первая атака была идентифицирована корректно всеми продуктами за исключением анализатора OptiView III, а вот две оставшиеся каждый анализатор интерпретировал по-своему. Тем не менее они всякий раз генерировали предупреждающие сообщения.
Все продукты работают только под управлением Windows XP SP2. Sniffer Portable требует к тому же наличия браузера Internet Explorer версии 6 или 7, накладывает ограничения на объем памяти и тактовую частоту центрального процессора, которые сам же определяет с ошибкой.