Capitolo 2: Software per analizzare una wireless
LAN
Sono in circolazione diversi applicativi per l’analisi di una wireless LAN. Ognuno di essi si adatta a particolari esigenze dell’utente, dall’interfaccia user-friendly al sorgente aperto, dall’attenzione alle prestazioni di una rete, alla rilevazione delle caratteristiche della rete.
In questo capitolo saranno elencati alcuni tra i più diffusi applicativi suddivisi per la compatibilità con sistemi operativi Windows o Linux.
Inoltre, si è cercato di dare rilievo anche agli applicativi per Pocket PC (anche se spesso si tratta di versioni ridotte di programmi per PC) in quanto molto spesso l’utilizzo di un computer palmare facilita dal punto di vista logistico i rilevamenti sul campo, permettendo una maggiore accuratezza nelle misure ottimizzando i tempi di lavoro.
2.1 Applicativi per Windows.
2.1.1 TrafMeter
TrafMeter è un’applicazione per Windows, disponibile in due versioni, una free e una a pagamento. È utile per visualizzare in tempo reale il traffico di una rete. Può essere utilizzato per monitorare il computer sul quale è installato o qualsiasi altro di una rete.
Le caratteristiche principali sono52:
• Vari tipi di filtri disponibili (nella versione free se ne possono usare solo tre contemporaneamente) con molteplici opzioni.
• Possibilità di creare profili per facilitare il monitoraggio per scopi differenti.
• Filtraggio del TCP/UDP.
• Rappresentazione grafica in tempo reale del traffico. Ogni filtro è rappresentato da un colore che permette all’amministratore della rete o al
52
webmaster di “vedere” facilmente l’utilizzo della rete da parte di ogni utente.
• Rappresentazione grafica in tempo reale dell’utilizzo della larghezza di banda per ogni tipo di filtro.
• Creazione dei rapporti in formato XML.
• Monitoraggio dei pacchetti VPN non criptati.
2.1.2 AirMagnet Wireless Laptop Analyzer 3.0
Questo programma rappresenta una piattaforma di strumenti per l’analisi delle prestazioni e della sicurezza di una rete wireless. Realizzato per aiutare gli amministratori di reti WLAN a risolvere molti problemi, presenta un grande numero di strumenti in un’unica applicazione che opera su un computer portatile. Questi strumenti sono utili per risolvere problemi di connessione, rendere alte le prestazioni della rete e mantenere un alto livello di sicurezza.
Gli strumenti di amministrazione di cui AirMagnet è dotato sono:
• Wireless Administration.
Realizzato per aiutare l’amministratore di rete nei controlli di routine.
Organizza le informazioni in strutture gerarchiche logiche in modo tale da fornire agli utenti prima le informazioni più rilevanti e poi accedendo ai menu le altre informazioni.
Include:
- Stato della rete in tempo reale, reso possibile grazie a una serie di funzioni che mettono in evidenza i cambiamenti che potrebbero portare a problemi di prestazioni o di servizio.
- Strumenti di Network Profile che aiutano l’amministratore a tracciare le variazioni di configurazione della WLAN attraverso la designazione di profili di configurazione ed elenchi di indirizzi logici.
• Installation Surveying.
Facilita la rilevazione di problemi relativi a errori di installazione e a zone non coperte dal segnale. Fornisce strumenti per ottimizzare la copertura di una WLAN:
- Funzioni di isolamento del canale, che permettono di analizzare un singolo Access Point o un singola Stazione per valutarne la qualità del segnale e la configurazione.
- Strumenti per la valutazione della qualità del segnale di canale che identificano e isolano le interferenze provocate dagli altri canali da
quelle provocate dagli altri Access Point o da altre fonti, prevenendo potenziali conflitti di misure di prestazioni.
- Strumenti di scoperta e tracciamento automatici che catalogano tutti gli SSID, gli AP e le BS presenti in una rete.
- Strumento di Site Survey che organizza i dati relativi al segnale RF e alle prestazioni così da poter ottimizzare la disposizione dei nodi della rete.
- Funzione di ricerca che localizza e isola un singolo AP tramite indicatori di livello di segnale.
• Performance Management.
Permette di mantenere alte le prestazioni della rete e di rilevarne eventuali problemi. Comprende:
- Visuale d’insieme della rete e delle sue caratteristiche con la possibilità di visualizzare le proprietà di ogni singolo AP.
- Allarmi di prestazioni che monitorizzano il comportamento della WLAN in una larga gamma di condizioni che possono causare problemi di performance e avvisano l’utente quando qualcuna di queste condizioni è verificata. Queste condizioni includono troppi errori del CRC o troppi AP su un canale. Sono supportati più di 15 errori.
- Analizzatore della banda del canale che analizza interferenze di canale, segnale RF basso, interferenze multicast/broadcast, bridge loop e basse velocità di trasmissione. I segnali RF possono essere espressi in dBm o percentuale.
- Analizzatore dell’interferenza di canale che mostra il throughput di canale e avvisa quando un canale è sovraccarico di AP o BS.
- Analizzatore di rumore di canale che avverte quando il canale è sottoposto a interferenza proveniente da una fonte non identificata.
• Security Assessment.
• Connection Troubleshooting.
Per risolvere problemi di connessione è previsto uno strumento (l’Intelligent Connection Diagnostic Utility) che permette di analizzare i seguenti problemi:
- Non corrispondenza tra SSID, chiavi WEP, velocità di trasmissione e canali RF.
- Autenticazioni sbagliate, riassociazioni, differenze di velocità, guasti hardware.53
Figura 2.2 AirMagnet Laptop, schermata iniziale
53
Figura 2.3 Analisi del segnale con AirMagnet Wireless Laptop Analyzer
2.1.3 AirMagnet Reporter
Questo programma lavora in simbiosi con le varie versioni di AirMAgnet. Queste ultime fungono da sensori per AirMagnet Reporter che si occupa di elaborare ed organizzare i dati ricevuti.
Questo software ha, quindi, lo scopo di assolvere al compito di database e di collezione dei rilevamenti di AirMagnet. È possibile distribuire i dati per categorie. Per default AirMagnet Reporter dispone di cinque categorie54:
• Security; • Performance; • Administration; • Surveying; • Troubleshooting. 54
2.1.4 NetStrumbler
Questo software è freeware. Si tratta di un’applicazione per Windows che permette di rilevare WirelessLAN che utilizzano lo standard 802.11a/b/g.
Le sue caratteristiche principali sono55:
• Visualizza le impostazioni della rete;
• Permette di trovare zone con bassa copertura in una WLAN;
• Rileva altre reti che possono causare interferenza;
• Rileva AP non autorizzati nella zona di lavoro;
• Aiuta ad orientare antenne direzionali per collegamenti wireless a lunga distanza;
• Permette di rilevare e tracciare gli elementi di una WLAN.
Figura 2.4 NetStrumbler
55
2.2 Applicativi per Linux.
2.2.1 Ethereal
Questo programma è un analizzatore di protocolli di rete GUI. Permette di navigare interattivamente tra i pacchetti di dati di una rete attiva o di un file catturato precedentemente.
Il formato originario del file di cattura di Ethereal è “libcap” che è anche il formato usato da tcpdump e molti altri programmi. Si può trovare anche nella versione per Windows.
Ethereal può leggere o importare i seguenti formati di file56:
• libpcap, file di cattura di tcpdump e molti altri programmi
• snoop e atmsnoop
• Catture di Shomiti/Finisar Surveyor
• Catture di Novell LANalyzer
• Catture di Microsoft Network Monitor
• Catture di AIX's iptrace
• Catture di Cinco Networks NetXRay
• Catture dello sniffer per Windows di Network Associates
• Catture dello sniffer per DOS di Network General/Network Associates (compresso o non compresso)
• Catture di AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/
EtherHelp/PacketGrabber
• Catture di RADCOM's WAN/LAN analyzer
• Catture di Network Instruments Observer ver9
• debug output del router Lucent/Ascend
• files da HP-UX's nettl
• dump output dei router ISDN Toshiba
• output di i4btrace del progetto ISDN4BSD
56
• tracce dell’EyeSDN USB S0.
• output in formato IPLog del Cisco Secure Intrusion Detection System
• pppd logs (formato di pppdump)
• output delle utilities TCPIPtrace/TCPtrace/UCXtrace di VMS
• uscita testuale dal DBS Etherwatch VMS utility
• Cattura del traffico di Visual Networks' Visual UpTime
• output del CoSine L2 debug
• output di 5Views LAN agents di Accellent
• formato di cattura di Endace Measurement Systems ERF
• trace di Linux Bluez Bluetooth stack hcidump -w
Ethereal è in grado di determinare la tipologia di file che sta leggendo. Inoltre è capace di farlo anche se il file in questione è compresso con gzip.
Come altri analizzatori di protocolli, la schermata principale di Ethereal mostra tre punti di vista di un pacchetto.
- Mostra una riga di sommario che descrive brevemente cos’è il pacchetto in questione.
- Una finestra di dettagli del pacchetto in cui navigando nel menu è possibile approfondire le informazioni.
- Una stringa esadecimale che mostra esattamente come sembra il pacchetto quando attraversa il mezzo di trasmissione (cavo o etere). I filtri grafici sono molto evoluti, è possibile creare e modificare una gran varietà di filtri e opzioni57.
La cattura dei pacchetti è eseguita con la libreria pcap che quindi risulta necessaria per il corretto funzionamento del programma.
57
Figura 2.5 Ethereal
2.2.2 Mgen
Il Multi-Generator (Mgen) è un software open source sviluppato dal PROTocol Engineering Advanced Networking Research Group (PROTEAN) del Naval Research Laboratori (NRL). Permette di eseguire test e misurazioni delle prestazioni di una rete IP utilizzando traffico UDP/IP e TCP/IP58.
L’applicativo genera flussi di traffico in tempo reale in maniera tale da caricare la rete in vari modi diversi. Il traffico generato può anche essere ricevuto e registrato per successive analisi. Il traffico generato viene salvato su file di testo. Questi file di testo possono essere utilizzati in seguito per emulare il traffico di applicazioni UDP/IP e TCP/IP. La parte ricevente del programma può essere settata per associarsi e disassociarsi dinamicamente a gruppi IP multicast. I registri salvati da
58
Mgen possono essere utilizzati per calcolare statistiche di prestazioni sul throughput, livello di perdita di pacchetti, ritardo di comunicazione ecc.
Mgen è disponibile nelle versioni per i vari sistemi operativi Unix-based (incluso MacOS X) e per i sistemi Windows.
Alcune versioni di Mgen dispongono di un’interfaccia grafica (Figura a lato) tranne Mgen 4.x che però è l’unica versione con il supporto del TCP/IP, dell’IPv6 e compatibile con Windows .
Mgen 4.x deve essere lanciato da riga di comando con la seguente sintassi59:
mgen [ipv4][ipv6][input <scriptFile>][save <saveFile>] [output <logFile>][log <logFile>]
[binary][txlog][nolog][flush][hostAddr {on|off}]
[event "<mgen event>"][port <recvPortList>]
[instance <name>][command <cmdInput>]
[sink <sinkFile>][block][source <sourceFile>]
[interface <interfaceName>][ttl <timeToLive>]
[tos <typeOfService>][label <value>]
[txbuffer <txSocketBufferSize>]
[rxbuffer <rxSocketBufferSize>]
[start <hr:min:sec>[GMT]][offset <sec>] [precise {on|off}][ifinfo <ifName>]
[txcheck][rxcheck][check][stop]
[convert <binaryLog>][debug <debugLevel>]
59
The Multi-Generator (MGEN) Version 4.2 User and Reference guide, NRL PROTEAN,
http://mgen.pf.itd.nrl.navy.mil/mgen.html
2.2.3 AirTraf 1.0/1.1
AirTraf è stato uno dei primi analizzatori di reti wireless 802.11 e si è diffuso anche grazie al fatto che non ha costi ma è gratuitamente scaricabile da Internet. È open source con licenza GPL.
Permette agli amministratori di rete di installare e attendere alla manutenzione di reti con molti AP60.
Questo programma si occupa dello sniffing passivo di reti wireless. Cattura e traccia l’attività nell’area di copertura, decodifica i pacchetti e salva le informazioni relative agli Access Point e a qualsiasi nodo wireless rilevato. Rileva dinamicamente ogni AP nel suo raggio d’azione, cerca le associazioni tra i client wireless e gli AP e stila una tabella di informazioni per ogni pacchetto trasmesso. È in grado di mantenere il conto dei pacchetti, dei byte, della larghezza di banda e del livello di segnale dei nodi61.
Figura 2.7 AirTraf 1.x schermata iniziale
60
Peter K. Lee, AirTraf, A Wireless 802.11(b) Network Analyzer, http://sourceforge.net/projects/airtraf
61
Figura 2.8 AirTraf 1.x, menu di scansione dei canali
Figura 2.10 Pagina delle statistiche
2.2.4 AirTraf Hosted 2.0
Nuova versione non più free di AirTraf sviluppata dalla Elixar. Aggiunge alle versioni 1.x opzioni di controllo in remoto, controllo di reti ethernet e una nuova interfaccia grafica che però aggiunge poco alla versione precedente62.
62
2.2.5 Kismet
Kismet è un sistema di analisi di reti wireless 802.11a/b/g, di sniffing e di rilevazione di intrusioni.
Identifica le reti collezionando passivamente pacchetti, rilevando le reti standard e quelle nascoste63.
Le caratteristiche principali del programma sono64:
• Registri compatibili con Ethereal/Tcpdump;
• Rilevazione del raggio di reti IP;
• Variazione interna di canale e anche variazione di canale tramite cambiamento di scheda;
• Rilevazione SSID di reti nascoste;
• Rappresentazione grafica delle reti;
• L’architettura client/server permette a vari clienti di visualizzare simultaneamente un singolo server Kismet;
• Identificazione del modello e della marca degli Access Point e dei client;
• Rilevazione delle configurazioni degli AP;
• Funzione di decodifica dei pacchetti WEP di reti conosciute;
• Uscita in vari formati per l’integrazione con altri applicativi;
• Uscita in formato XML;
• Compatibilità con molte delle schede wireless in commercio. Utilizzi tipici:
• Wardriving: rilevazione mobile di reti wireless, registrazione e rappresentazione della localizzazione della rete, WEP, ecc.
• Site Survey: valutazione e rappresentazione del livello di segnale e della localizzazione;
•
Rilevamento di AP non autorizzati.
63
What is kismet?, Kismetwireless, http://www.kismetwireless.net/index.shtml
64
Figura 2.11 Kismet, schermata principale
Figura 2.12 Pannello principale a tutto schermo e caratteristiche dei gruppi
Figura 2.14 Principi per creare liste.
Figura 2.15 Informazioni dettagliate su una rete.
Figura 2.17 Informazioni dettagliate sui client.
Figura 2.18 Supporto multiplo di server
Figura 2.20 Grafico sulla velocità di pacchetto
Figura 2.21 Statistiche di sniffing.
2.2.6 Tcpdump
Applicativo che mostra le intestazioni dei pacchetti che giungono su un dispositivo di rete.
Può essere eseguito con l’opzione –w che fa in modo che vengano salvati i dati dei pacchetti per un’analisi successiva. Oppure è possibile utilizzare l’opzione –b che fa leggere al programma i dati da un file salvato precedentemente invece che da una rete65.
65
2.3 Applicativi per Pocket PC
2.3.1 MiniStrumbler
MiniStrumbler è un programma per Windows CE che permette di rilevare e analizzare WLAN 802.11a/b/g66.
Ha pressoché le stesse funzioni di NetStrumbler.
Figura 2.22 MiniStrumbler, lista AP
Figura 2.23 MiniStrumbler, menu opzioni
66
M. Milner, MiniStrumbler v.0.4.0 release notes, ministumbler_v0.4.0_release_notes.pdf
2.3.2 AirMagnet Wireless Handheld Analyzer 3.0
È il corrispettivo per Pocket PC di AirMagnet Laptop Analyzer. E dispone quasi delle stesse funzioni anche se ridotte dal punto di vista grafico67.
Figura 2.24 AirMagnet Handheld Start menu Figura 2.25 Analisi del c anale
2.3.3 Kismet
Versione per palmare di Kismet. Dispone di tutte le funzioni della versione per PC68.
Figura 2.26 Kismet, Livello di ricezione dei Figura 2.27 Informazioni dettagliate di una rete pacchetti su un palmare Zaurus su un palmare Zaurus.
67
PPC User Guide.pdf , Airmagnet Inc., http://www.airmagnet.com
68
