fundamentales de oler inalámbrico del 802 · fundamentales de oler inalámbrico del 802.11...
TRANSCRIPT
Fundamentales de oler inalámbrico del 802.11 Contenido
Lista de verificación para una captura acertadaHerramientas inalámbricas el oler de Mac OS Xairportdutilidad del aeropuertotcpdumpDiagnóstico del Wi-FiAirtoolTecnología inalámbrica que huele usando Windows 7 con el Netmon 3.4 (método desaprobado)IntroducciónTecnología inalámbrica que huele usando el Punto de acceso de las livianas de Cisco(REVESTIMIENTO) en el modo del snifferIntroducciónPasos para la configuración1) Lado del WLC/AP2) El sniffer echa a un lado: Wireshark3) El sniffer echa a un lado: OmniPeekTecnología inalámbrica que huele usando el ayudante remoto del OmniPeek (ORA)IntroducciónAdaptadores de red inalámbrica y drivers soportadosInstalación del driver para Linksys USB600N con Windows XPAyudante del telecontrol de Omnipeek que se ejecutaConfiguraciones de la capturaPropiedades del archivoControl de la capturaTecnología inalámbrica que huele usando Cisco (IOS) AP autónomoAnálisis de la captura del sniffer del 802.11 - Capa físicaIntroducción: información sobre capa física en las capturas de paquetes inalámbricasEncabezados de paquete inalámbricos – ejemplosDiagnósticos inalámbricos de Mac OS X 10.7 (adaptador del Broadcom?)OmniPeek 6.8 (adaptador de Ralink USB)Netmon 3.4Aplicación de los archivos inalámbricos como columnas de WiresharkAnálisis de la captura del sniffer del 802.11 - Filtración de WiresharkIntroducciónWireshark Filtrar-WLANObjetivoprerrequisitos¿Por qué necesitamos capturar la traza de sniffer inalámbrica?¿Por qué necesitamos utilizar el filtro inalámbrico de la captura del sniffer?¿Cuándo utilizar los FILTROS de la VISUALIZACIÓN y CAPTURAR LOS FILTROS?
¿Cómo filtrar?BARRA DE MENÚLa BARRA DE HERRAMIENTA principalLa barra de herramientas del “filtro”“El cristal de la lista del paquete”El cristal de los “detalles del paquete”El cristal de los “bytes del paquete”El StatusbarEl Statusbar inicialUsando los filtros de la capturaFiltro de la visualizaciónUsando la regla para filtros del coloranteAnálisis de la captura del sniffer del 802.11 - Tramas de la Administración y auth abiertoIntroducción802.11 – Capítulos y autenticación abiertaProceso de autenticación de cliente del 802.11Tramas de la AdministraciónTramas de controlMarcos de datosReferenciasAnálisis de la captura del sniffer del 802.11 - WPA/WPA2 con el PSK o el EAPWPA-PSK(TKIP)WPA2-PSK(AES/TKIP)Cómo desencriptar los datos WPA2 AES encendido sobre las capturas de paquetes del aire conWiresharkRequerimientos:ProcesoWPA/WPA2 empresaWPA(TKIP)/WPA2(AES) con el dot1x (EAP-TLS)Análisis de la captura del sniffer del 802.11 – MulticastIntroducciónSoluciónIGMP Snooping en el WLCGuías de consulta para usar al modo de multidifusiónConfigurando el Multicast (usando el modo del Multicast-Multicast)En el regulador del Wireless LANConfiguración del Multicast en la red alámbricaCapturas de paquetesTopologíaHerramienta del generador de tráfico del MCASTCaptura de paquetes atada con alambre de Wireshark en el generador del MCASTCaptura del Netmon de Windows en el generador de paquete del mcastCapturas de Wireshark en la interfaz inalámbrica del cliente de red inalámbricaCaptura del Netmon en la interfaz inalámbrica del cliente de red inalámbricaAnálisis de la captura del sniffer del 802.11 – Autenticación Web
IntroducciónConfiguración WebauthConfiguración en el WLCAquí está el debug del cliente cuando el cliente intentó conectar
IntroducciónEl proceso de recoger una buena traza de sniffer inalámbrica, para analizar y resolver problemasel comportamiento del 802.11, puede ser una operación difícil y larga. Pero hay algunas cosas atener en cuenta que ayudarán a simplificar y a acelerar este proceso. Con la Tecnologíainalámbrica olerla ayuda a tener una idea de lo que usted está intentando realmente hacer - ustedestá intentando capturar las tramas de red inalámbrica sin procesar sobre del aire, según lo vistopor el dispositivo sabueso inalámbrico sí mismo.
Lista de verificación para una captura acertada
Paso 1: Desde el dispositivo sabueso, el dispositivo del cliente y el AP son todo usando el RFque genera las radios para la transmisión o recepción, ayuda a tener su sniffer inalámbrico cercade su dispositivo objetivo (la máquina del cliente). Esto permitirá que su dispositivo sabuesocapture una buena aproximación de lo que está oyendo su dispositivo del cliente sobre el aire.
Paso 2: Utilice un dispositivo diferente para actuar como su sniffer inalámbrico - usted no puedetomar una buena traza de sniffer inalámbrica si se está ejecutando en el dispositivo bajo prueba(la máquina del cliente que usted está intentando conseguir una traza inalámbrica de).
Paso 3: Entienda que exactamente qué canal del 802.11 y congriega su dispositivo del clienteestá utilizando antes de configurar su captura. ¡Bloquee su sniffer al canal de interés - no utiliceexploración del succionador la “canaliza” el modo! (Con la “exploración canaliza”, el sniffercompletará un ciclo de canal a canal cada segundo o tan - útil para un estudio sobre el sitio oencontrará a los “granujas”, pero no cuando intenta capturar un problema del 802.11.)
También tenga en cuenta que su dispositivo del cliente puede vagar por a otro AP que esté en undiverso canal o la banda RF, así que usted necesita planear por consiguiente. Típicamente en elentorno 802.11b/g (2.4GHz), usando los tres sniffer del canal puede ser requerido. Esto implica elusar de 3 adaptadores de red inalámbrica en su dispositivo sabueso, con cada uno fijó paracanalizar 1, 6 y 11. Usando los adaptadores de red inalámbrica USB trabaja mejor para este tipode configuración.
Paso 4: Si usted está resolviendo problemas 5GHz, después el número de canales aumentarádramáticamente. Puesto que usted puede ser que no tenga bastantes indicadores luminosos LEDamarillo de la placa muestra gravedad menor para capturar todos los canales, es una prácticaadecuada para la prueba, actuar encendido no más que 4 canales en sus Puntos de accesocircundantes.
Paso 5: Si usted puede reproducir el problema cuando un cliente vaga por a partir de un canal aotro, después una aspiración 2-channel debe ser suficiente. Si usted tiene solamente un snifferdel solo canal disponible, después haga que huela vagar por-al canal.
Paso 6: Siempre sincronización NTP sus succionadores. La captura de paquetes necesitará ser
clasificada con las capturas del debug, y con otra atada con alambre y/o las capturas de laTecnología inalámbrica. Tener su segundo de los grupos fecha/hora incluso apagado hará lacolación mucho más difícil.
Paso 7: Si usted está capturando durante un largo periodo del tiempo (horas), despuésconfigure su sniffer para cortar un nuevo capturar archivo cada 30MB o tan. Para evitar llenarencima de su unidad de disco duro, usted querrá poner un límite superior en el número dearchivos escritos.
Note: Linksys USB600N no recoge confiablemente los paquetes 11n con el intervalo del guardiacorto. Faltando el 20% al 30% de los paquetes del intervalo del guardia corto. En caso necesariola configuración del WLC se puede cambiar para utilizar solamente el intervalo largo más lento delguardia. Esto debe ser solamente un cambio de configuración temporaria. El comando es elsiguiente: 802.11 de los config {a | guardia-intervalo 11nsupport b} {ninguno | de largo}
Herramientas del snifferTecnología inalámbrica que huele usando un mac con OS X 10.6 y arriba
Tecnología inalámbrica que huele en los trabajos del mac bien, como Mac OS X ha construido enlas herramientas para capturar una traza inalámbrica. Sin embargo, dependiendo de quéversiones de OS X usted está funcionando con, los comandos pueden variar. Este documentosabarca OS X 10.6 con la última versión. Los diagnósticos del Wi-Fi son el método preferido en losúltimos macbooks. Es siempre bueno recordar que su sniffer del macbook necesita ser por lomenos tan capaz como el cliente que usted está oliendo (oler un smartphone 802.11ac con unmacbook 802.11n no es óptimo)
Herramientas inalámbricas el oler de Mac OS X
airportd (10.6-10.8)●
utilidad del aeropuerto (10.6 - 10.8)●
tcpdump (10.8)●
Diagnósticos del Wi-Fi (10.7->10.12)●
Wireshark (10.6 - 10.8)●
Herramienta de las de otras compañías: Airtool●
airportd
Si usted está ejecutando OS X 10.6 (Snow Leopard) o arriba, después usted puede utilizarfácilmente el “airportd utilitario” de la línea de comando. Utilice los pasos siguientes:
Utilice “comando” + el combinado dominante de la “barra de espacio” para traer para arriba elcuadro del diaglog de la búsqueda en el top superior de la derecha de la pantalla y teclearadentro la palabra “terminal”, esto buscará para la aplicación del terminal, selecciona estaaplicación para ejecutarla. Una ventana de terminal aparecerá.
●
Una vez que usted tiene una ventana de terminal abierta, usted puede funcionar con elcomando del siguiente de capturar una traza de sniffer inalámbrica en el canal 11 (802.11b/g)RF:
●
“aspiración 11" de /usr/libexec/airportd en1 del sudo
Algunas cosas a observar:
A le indicarán que ingrese en su contraseña de la cuenta para la verificación.●
Usted no puede especificar el nombre del capturar archivo o donde usted pondrá lasalida.
●
Usted perderá cualquier conectividad de red inalámbrica a su red mientras que estáocurriendo la captura.
●
Si usted está utilizando un aire, el adaptador de red inalámbrica es en0 bastante que en1●
Una vez que le acaban con la traza, el golpe “CNTL-C” para parar la traza y la utilidadvisualizará el nombre y la ubicación del capturar archivo. El formato de archivo es su archivoestándar del wireshark PCAP que se puede leer en el MAC o Windows vía Wireshark.
●
utilidad del aeropuerto
El IS-IS de la utilidad del aeropuerto no un programa del sniffer; sin embargo, puede proporcionarla información de interés sobre el Wireless LAN. También, tiene la capacidad de fijar el canalinalámbrico predeterminado - que es crucial para los programas del sniffer (tcpdump, Wireshark)que no pueden ellos mismos fijar el canal
Nota: porque la trayectoria a la utilidad del aeropuerto es tan fea, puede ser una buena idea fijarun link simbólico a él de un directorio en la trayectoria, e.g.
# ln del sudo - s/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport/usr/sbin/airport
fije el canal inalámbrico
# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport --channel=48
vacie hacia fuera la información en los SSID/BSSIDs visto:
# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s
SEGURIDAD del CC del CANAL HT SSID BSSID RSSI (auth/unicast/grupo)
Pruebe 00:24:97:89:cb:41 -53 11 Y -- WPA (PSK/TKIP/TKIP) WPA2(PSK/AES/TKIP)
Test2 00:24:97:89:cb:40 -53 11 N -- WPA (PSK/TKIP/TKIP)
Invitado 00:22:75:e6:73:df -64 6,-1 Y -- WPA (PSK/AES, TKIP/TKIP)WPA2(PSK/AES,TKIP/TKIP)
información detallada en la asociación actual:
# sudo/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport –I
agrCtlRSSI: -54
agrExtRSSI: 0
agrCtlNoise: -89
agrExtNoise: 0
estado: el ejecutarse
modo de Op. Sys.: estación
lastTxRate: 300
maxRate: 300
lastAssocStatus: 0
auth del 802.11: ábrase
auth del link: wpa2-psk
BSSID: 0:24:97:95:47:60
SSID: GuestNet
MCS: 15
canal: 36,1
tcpdump
El tcpdump es una utilidad de la línea de comando enviada con el OS X que puede realizar a lacaptura de paquetes. (La utilidad del tshark liada con Wireshark es muy similar.) Para realizar auna captura de paquetes inalámbrica que usa el tcpdump:
primer conjunto el canal usando la utilidad del aeropuerto como se muestra arriba●
entonces realice a una captura de paquetes inalámbrica, guardando a un archivo. Cuandoestá hecho, teclee Control/C para salir.
●
Ejemplo:
tcpdump bash-3.2# - I - P - i en1 - w /tmp/channel-11.pcap
tcpdump: ADVERTENCIA: en1: ningún direccionamiento del IPv4 asignado
tcpdump: escuchando en en1, tipo de link IEEE802_11_RADIO (802.11 más la encabezado del
radiotap), bytes de la talla 65535 de la captura
^C897 paquetes capturados
968 paquetes recibidos por el filtro
paquetes 0 caídos por el corazón
bash-3.2#
Diagnóstico del Wi-Fi
El método más fácil de la captura es utilizar el programa gráfico llamado Wi-Fi Diagnostics.
Puede ser accedido llevando a cabo la clave ALT y haciendo clic en el icono del wifi de la esquinasuperior derecha (el donde usted selecciona típicamente el SSID usted quiere conectar con)
Haga clic en la opción de los “diagnósticos sin hilos abiertos” en la lista.
Traerá una ventana que funcione con un informe predeterminado sobre el troubleshooting. Estono es típicamente en cuál usted está interesado.
Guarde que la ventana se abrió y vaya en la barra de menú encima de la pantalla. haga clic la“ventana”. Usted verá una lista de otras herramientas interesantes (útiles para el análisis delestudio sobre el sitio o de la señal). En el ámbito de la captura sin hilos del sniffer, estamosinteresados en la opción del “sniffer”, la hacemos clic en.
Usted entonces tiene que simplemente eligió el canal primario así como el ancho del canal.
La captura del sniffer será guardada en el escritorio o en /var/tmp/ a partir del Mac OS Sierra.
Airtool
Algunas herramientas de las de otras compañías también existen a las cuales soportará muchasversiones de Mac OS X y aumentará las características integradas el oler con opciones másfáciles eligió los canales. Un ejemplo es Airtool: https://www.adriangranados.com/apps/airtool
Tecnología inalámbrica que huele usando Windows 7 con elNetmon 3.4 (método desaprobado)
Introducción
Con el monitor de la red de Microsoft (Netmon) 3.4, usted puede ahora realizar un poco deTecnología inalámbrica decente 802.11a/b/g (y quizá 11n) que huele en Windows 7, usando suadaptador de red inalámbrica estándar. El archivo guardado del Netmon se puede leer por el
último (1.5 y arriba) Wireshark, aunque no en el OmniPeek. Es importante observar que elNetmon no es soportado por Microsoft más y no trabajará lo más a menudo posiblecorrectamente en los adaptadores 11n y 11ac (la mayoría enmarca a los desaparecidos).
El Netmon 3.4 se soporta con XP SP3; sin embargo, no soporta oler inalámbrico al ejecutar XP. En cuanto a Vista, la experiencia es mezclada; una fuente confiable señala que el oler de laTecnología inalámbrica trabaja en Vista 64-bit en un Macbook con el adaptador BCM43xx 1.0.
Hemos quitado la sección detallada Netmon de este documento puesto que se desaprueba y nocapturará confiablemente las tramas 802.11ac.
Usted puede todavía ver los detalles en: https://supportforums.cisco.com/t5/wireless-mobility-documents/wireless-sniffing-in-windows-7-with-netmon-3-4/ta-p/3115844
Tecnología inalámbrica que huele usando el Punto de acceso delas livianas de Cisco (REVESTIMIENTO) en el modo del sniffer
Introducción
Usted puede utilizar el WLC y los revestimientos de Cisco en el modo del sniffer, conjuntamentecon un sniffer atado con alambre (los mejores resultados con Wireshark. Omnipeek desencripta elprotocolo diferentemente a partir de la versión 10).
Un solo sniffer atado con alambre puede recoger los paquetes de los AP múltiples, así que estemétodo es muy útil para ejecutar las trazas de varios canales. Para los escenarios estáticos, si esposible mover el sniffer AP, esto se puede utilizar como alternativa eficaz a otras opciones el oler.
Para los escenarios de itinerancia, el sniffer AP está instalado generalmente en proximidad de losAP que el cliente vaga por a través, y éste señalará el “punto de vista” de los AP estáticosbastante que el cliente.
Para considerar el RF desde el punto de vista del cliente mientras que vaga por, una trazainalámbrica de varios canales se debe capturar usando una laptop con los NIC de red inalámbricamúltiples que seguirán al probar cliente.
Pasos para la configuración
1) Lado del WLC/AP
Aquí están los pasos para recoger una traza usando un REVESTIMIENTO del modo del sniffer
Configure el AP en el modo del sniffer:●
El AP reiniciará y no podrá servir a los clientes.
Una vez que el AP se ha sumado el WLC, configure la radio del AP (802.11b/g/n o802.11a/n): especifique la dirección IP del snifferseleccione el canalhabilite oler
●
El sniffer recibirá el tráfico del 802.11 encapsulado usando el protocolo del airopeek, del IPAddress de administración del WLC con el puerto de origen UDP/5555 y el destino UDP/5000
●
2) El sniffer echa a un lado: Wireshark
Si usa Wireskark para recibir el tráfico, (nota: usted debe utilizar el wireshark 1.6.8 o anterior, lasversiones más recientes tienen este soporte roto y los paquetes no serán decodificadoscorrectamente, porque 802.11ac oliendo que incluso recomendamos el ejecutar del últimowireshark mientras que las mejoras se hacen constantemente a decodificar) siguen los pasosabajo:
Fije las opciones de la captura al tráfico RO en UDP/5555:●
Este filtro es opcional pero recomendado fuertemente pues excluye todo el tráfico relacionadoNON-Tecnología inalámbrica de la captura. Considere que el WLC envía el tráfico a un puertoUDP allí no es ninguna aplicación que escucha en el lado del sniffer; esto da lugar al tener unarespuesta puerto-inalcanzable ICMP para cada paquete recibido del WLC.
Aunque se espere esto, las ayudas antedichas del filtro para excluir también este tráfico que seainútil y así que lo pueden hacer solamente la traza ser más grande y más difícil de leer.
Entonces, comience la captura:●
El tráfico capturado tiene que “ser decodificado como.” PEEKREMOTE para poder ver eltráfico del 802.11:
●
El tráfico del 802.11 será visible ahora:●
La información RF mostrada arriba (e.g el canal, la potencia de la señal, el ruido.) es agregadapor el AP.
3) El sniffer echa a un lado: OmniPeek
Al usar el OmniPeek como el receptor del flujo de tráfico del WLC/AP en el modo del sniffer, es enprimer lugar necesario crear “adaptador remoto de Cisco” bajo menú del “adaptador” “de laventana de las opciones de la captura”:
Por lo menos un adaptador se requiere; el nombre es un campo obligatorio, mientras que elcampo de la “dirección IP” puede ser dejado en blanco si usted no quisiera que el OmniPeekfiltrara el tráfico entrante de un WLC específico.
En este caso no es necesario filtrar hacia fuera ningún tráfico (tal como el ICMP puerto-inalcanzable) pues el OmniPeek escuchará en el puerto UDP para capturar específicamente lasecuencia de datos del regulador del Wireless LAN.
Antes de comenzar la captura, confirme las configuraciones en la ventana principal delOmniPeek:
En este momento la captura puede ser comenzada y el resultado será una traza incluyendo lainformación RF señalada por el AP:
NOTE: Por abandono el adaptador remoto del OmniPeek coge el grupo fecha/hora enviado por elAP sí mismo; esta información no tiene nada hacer con el reloj AP, así que el grupo fecha/horaresultante será incorrecto. Si usted utiliza un solo sniffer AP los grupos fecha/hora seránincorrectos pero por lo menos constante; esto es no más verdad si usted utiliza los AP múltiplescomo succionadores (como cada AP enviará su propia información del grupo fecha/hora,causando los saltos enrrollados del tiempo en la captura combinada).
Solución●
Usted puede decir explícitamente el OmniPeek utilizar el reloj local del sniffer PC para fijar elgrupo fecha/hora del paquete.
Esto soluciona el escenario solo y multi AP, teniendo grupos fecha/hora correctos y constantesmientras el OmniPeek corriente PC tenga un reloj NTP-sync'd.
Pasos del Cómo:●
En el OmniPeek, haga el siguiente:
1. Vaya a los módulos de Tools>Option>Analysis
2. Busque para que el tecleo del doble del adaptador remoto de Cisco entonces ponga enevidencia las opciones.
3. Haga tictac en la opción del grupo fecha/hora después haga clic la AUTORIZACIÓN y pruebe
otra vez la captura.
Tecnología inalámbrica que huele usando el ayudante remoto delOmniPeek (ORA)
Introducción
Ayudante remoto de Omnipeek (ORA) - El TAC de Cisco puede proporcionar el Omnipeekaplicación auxiliar remota para ayudar a realizar a las capturas de paquetes inalámbricas. Laherramienta capturará los paquetes inalámbricos y los cifrará para procesar por TAC. Una versióncompleta de la empresa de Omnipeek se requiere desencriptar y analizar los capturares archivo.
Usted debe recibir a archivo zip de TAC – tal como “ORADist_Default_7.0.zip” (el nombre defichero puede cambiar con diversas versiones). Desabroche este archivo a alguna carpeta - paraejecutar ORA, simplemente el lanzamiento OmniPeekRemoteAssistant.exe de esa carpeta.
Adaptadores de red inalámbrica y drivers soportados
La captura de los paquetes inalámbricos con ORA requiere el uso de los adaptadores de redinalámbrica soportados junto con la versión del driver apropiada. Para ver una lista completa deadaptadores y de drivers soportados, vea por favor: -
http://www.wildpackets.com/support/downloads/drivers
En la mayoría de los casos, los adaptadores de Ralink USB serán los más fáciles instalarlos - y,porque usted puede instalar los adaptadores múltiples USB en una sola laptop - son la mejormanera de conseguir una captura de varios canales. Los adaptadores siguientes de Ralink hansido probados por el TAC de Cisco:
Linksys WUSB600N (V1 y V2), Linksys AE1000, ALFA AWUS051NH
Instalación del driver para Linksys USB600N con Windows XP
Paso 1. TAC puede proporcionar el driver del OmniPeek para los adaptadores de Ralink USB. Usted debe recibir archivo zip un “RALINKUSB-1_4_0_18.ZIP”. Habrá 2 carpetas en el archivo --“Win2kXP” para Windows de 32 bits y “WinXPx64” para Windows 64-bit. Extraiga el contenido dela carpeta apropiada para su sistema operativo a una ubicación especificada.
Paso 2. Inserte el adaptador de Linksys USB600N.a. Si esto está utilizando la primera vez el adaptador en el puesto de trabajo, Windows comenzaráal nuevo asistente de hardware. No busque para un driver automáticamente y haga clic después.Salte al paso 3.
b. Si usted ha instalado previamente Linksys USB600N en su puesto de trabajo, usted necesitarácambiar el driver a la versión de Omnipeek. Vaya al Start (Inicio) > Control Panel (Panel decontrol) > Network Connections (Conexiones de red) y haga clic con el botón derecho del ratón enel adaptador de Linksys y haga clic las propiedades. En este ejemplo, la interfaz es la “conexiónde red inalámbrica 3".
Conforme a la ficha general, haga clic la “configuración…” abotone, y después haga clic en lalengueta del driver > el driver de la actualización. Esto indicará al Asisitente de la actualización delhardware.
Paso 3. Selecto “instale de una lista o de una ubicación específica (avanzada)” y haga clicdespués. Seleccione la “búsqueda para el mejor driver de estas ubicaciones. ”, incluya laubicación de sus archivos de driver extraídos y haga clic después: -
Paso 4. Windows ahora buscará y instalará el driver de Omnipeek. Si usted recibe el mensaje deadvertencia siguiente, el tecleo “continúa de todos modos”.
Paso 5. La instalación del driver debe completar y el adaptador está listo ahora para capturar lospaquetes con ORA.
Ayudante del telecontrol de Omnipeek que se ejecuta
Si el driver correcto no se carga, ORA puede aparecer trabajar, pero no proporcionar la opciónpara seleccionar el canal deseado monitorear. La célula del canal leerá los “Ethernetes” o la“Tecnología inalámbrica” y no ofrecerá la opción para seleccionar un canal: -
Configuraciones de la captura
Seleccione los adaptadores deseados para realizar la captura y para indicar el canal deseado. Siusted tiene los adaptadores soportados múltiplo le instalaron pueden capturar en los múltiplescanales simultáneamente (solamente usted no puede mezclar al mismo tiempo atadas conalambre y inalámbricas las interfaces). Usted puede seleccionar un canal 802.11b/g o el canal del802.11a en el dropdown. Usted puede seleccionar 40 canales del MHz 802.11n usando (n40l) olas opciones (n40h). El n40l será el canal seleccionado y canal más bajo adyacente, mientras quen40h será el canal seleccionado y canal más alto adyacente.
Propiedades del archivo
Seleccione la carpeta que usted quisiera salvar los capturares archivo adentro. Usted puedeentonces también especificar el tamaño de la renovación del archivo. Cada nuevo nombre defichero incluirá un grupo fecha/hora así que los datos no serán sobregrabados.
Control de la captura
Si usted ha seleccionado las configuraciones correctas del adaptador/del canal, usted podráahora hacer clic los botones partida/parada en la parte inferior. Usted no podrá ver los paquetes,sino que usted verá incrementar de los contadores. Parada del tecleo cuando está acabado.
Tecnología inalámbrica que huele usando Cisco (IOS) APautónomo
Un AP autónomo se puede utilizar para recolectar a las capturas de paquetes del aire. Siga estasinstrucciones al peform la captura del aire.
1. Ingrese la interfaz dot11radio en la cual usted desea realizar la captura. Fije el estación-papelal sniffer, agregue el IP server/PC que ejecutará Wireshark y recoge las capturas, y seleccione elcanal. El puerto que usted especifica con las tramas del monitor el comando será el puerto deldestino UDP al cual el AP envía las capturas.
Paso 1 internacional {d0 | d1} Ingresando el modo de comando interface configuration para configurar las interfaces radio.Paso 2 sniffer del estación-papel Cambio del papel de la estación al sniffer.Paso 3 número de canal Selección del canal en el cual para actuar en el modo del sniffer.Paso 4 ningún cerrado Invierte el apagar de la interfaz.Paso 5 salida Da salida al modo de comando interface configuration.Paso 6 número del puerto del puerto del destino ip del IP address del sniffer Fija la dirección IP y el número del puerto, a los cuales el AP reorientará todos los paquetes. Usted puede especificar una dirección IP en cualquier número del puerto entre 1024 a 65535.Paso 7 permiso del wireshark Si usted está utilizando Wireshark en el punto extremo, éste agrega una encabezado de Wireshark a los paquetes.Configuración de ejemplo:
ap(config)# int d0ap(config-if)# station-role snifferap(config-if)# channel 11ap(config-if)# noshutap(config-if) # exitap(config)# sniffer ip-address 10.126.251.30 port 5555ap(config)# wiresharkenable2. Comience Wireshark en el server/PC. Navegue para capturar > las opciones. Seleccione el NICde Ethernet (LAN) y agregue un filtro para capturar solamente el tráfico con el puerto UDP queusted especificó en el paso 1.
3. Comience la captura de Wireshark.
Cargar los capturares archivo a la solicitud deservicio de TACSi el capturar archivo es demasiado grande para el correo electrónico, usted puede cargarlos a susolicitud de servicio de TAC:
https://tools.cisco.com/ServiceRequestTool/query/
Ingrese su número SR, y después haga clic en File Upload (Subir archivo).
Análisis del snifferPara analizar las capturas de la Tecnología inalámbrica, refiera a los links abajo. Se diseñan paraser adentro leída orden puesto que cada documento construirá sobre el documento precedente. Tenga en cuenta eso al leer cualquier traza inalámbrica, su una buena idea de entender lasespecificaciones de la Tecnología inalámbrica del 802.11. Mientras que estos documentos haránun gran trabajo en la ayuda usted entiende el flujo de paquetes y qué a buscar en una trazainalámbrica, no se significan para enseñar a las especificaciones de la Tecnología inalámbrica del802.11.
Análisis de la captura del sniffer del 802.11 - Capa física
Introducción: información sobre capa física en las capturas de paquetesinalámbricas
Un paquete capturado contiene una copia de los datos de trama – pero prepended a cada tramaes una encabezado de los meta datos, dándole la información sobre cómo la trama fuecapturada. Con los paquetes atados con alambre, los meta datos no son mucho – el número detrama, fecha cuando el paquete fue capturado, la longitud del paquete. Al hacer el análisis atadocon alambre del paquete, usted cuida raramente demasiado sobre la Capa física – con un errorde la velocidad bits de 1010, usted asume generalmente que los bits capturados son lo que losdicen son.
La Tecnología inalámbrica es otra historia totalmente – la Capa física es sumamente máscompleja – y peligroso – que atada con alambre. Antes de que se zambulla en una tentativa deanalizar una captura basada sobre las capas superiores, sea generalmente una buena ideaconseguir una comprensión de la Capa física en la cual la captura fue tomada. Si la Capa físicano está funcionando a la derecha – entonces las capas superiores nunca tendrán una ocasión.
Las calidades siguientes de la Capa física son determinado importantes ser conscientes de:
· Potencia de la señal (RSSI, “potencia de la señal”, señal/índice de ruido.) Es generalmenteel mejor centrarse en el RSSI, si está disponible – es decir el nivel de potencia en el dBm en lascuales el adaptador el oler recibió el paquete.
o RSSI < dBm -90: esta señal es extremadamente débil, en el borde de un qué receptor puederecibir
o RSSI -67dBm: esto es una señal bastante fuerte – el borde de lo que considera Cisco seradecuado soportar la Voz sobre la red inalámbrica (WLAN).
o RSSI > -55dBm: esto es una señal muy fuerte
o RSSI > -30dBm: su sniffer se está sentando a la derecha al lado del transmisor
· Canal (frecuencia.) Pues un Wireless LAN puede soportar dondequiera a partir el 3 a 25 ocanales tan diversos, es crucial saber exactamente del cual el canal su captura fue tomado. Si suintención es conseguir una aspiración de un AP específico, después bloquee su aspiración alcanal ese AP, y valídela que la captura estaba en ese canal – si no, la captura será sin valor.
· Velocidad de datos – esto puede ser dondequiera de 1Mbps hasta 300Mbps o más. Paraentender porqué las Transmisiones de datos no lo hacen siempre del transmisor al receptor,usted debe saber se están utilizando qué velocidades de datos. Un RSSI “marginal” de -80dBmpuede trabajar horriblemente para un paquete modulado en 54Mbps, pero puede ser muysatisfactorio en 6Mbps.
Encabezados de paquete inalámbricos – ejemplos
Diversos succionadores inalámbricos pueden utilizar diversos formatos de encabezamiento de losmeta datos para codificar la Capa física inalámbrica. Sea consciente que la exactitud de lainformación es dependiente sobre el hardware del adaptador y el driver específicos funcionando. Algunos valores, tales como ruido, se deben tomar generalmente con un grano de sal.
Abajo están algunas muestras, con la velocidad de datos, la frecuencia y los campos RSSIresaltados.
Diagnósticos inalámbricos de Mac OS X 10.7 (adaptador del Broadcom?)
El OS X 10.7 utiliza una encabezado de Radiotap v0, que parece esto en Wireshark:
OmniPeek 6.8 (adaptador de Ralink USB)
En Wireshark, una captura del OmniPeek utiliza una encabezado de Airopeek, que parece esto:
Observe que Wireshark (a partir de 1.6.x) no sabe decodificar todos los meta datos inalámbricosen una captura del OmniPeek – la misma trama vista en el OmniPeek sí mismo muestra el dBmde la señal, el dBm del nivel de ruido y del ruido:
Netmon 3.4
Aplicación de los archivos inalámbricos como columnas de Wireshark
Es muy a menudo mucho más fácil entender qué está continuando con una aspiracióninalámbrica, si usted ha aplicado los campos inalámbricos como columnas. Aquí es cómo hacer
esto:
1. Localice el campo del interés en la sección de los detalles del paquete (primero que amplía lasección aplicable de la encabezado en caso necesario) y hagalo clic con el botón derecho delratón. Selecto apliqúese como columna:
2. La nueva columna aparece. Ahora usted puede volver a clasificar según el tamaño, retitular(por la derecha que hace clic el encabezado de columna y que lo selecciona “edite los detalles dela columna "), y mover la columna según lo deseado.
3. Relance para otras columnas del interés. Ahora usted tiene una mejor manija en los aspectosde la Capa física de su captura:
4. Una vez que usted ha aplicado la nueva columna, la próxima vez que usted ejecutaWireshark, la columna estará disponible (si usted no la ve, hace clic con el botón derecho delratón los encabezados de columna y selecciona las columnas visualizadas.)
Análisis de la captura del sniffer del 802.11 - Filtración deWireshark
Introducción
Análisis de la captura del sniffer '802.11 - Filtración de Wireshark
Wireshark Filtrar-WLAN
Objetivo
Este documento le ayudará en la guía de cómo configurar el wireshark y analizar los paquetesinteresantes usando una herramienta versátil dentro del wireshark para programar llamado losfiltros del wireshark.
Prerequisites
La herramienta del wireshark en sí mismo no nos ayudará en conseguir con el troubleshooting amenos que tengamos un buen conocimiento y la comprensión del protocolo, la topología de la redy que los puntos de datos a considerar tomar las trazas de sniffer. Esto es verdad para si su parahaber atado con alambre o para la red inalámbrica en donde capturamos los paquetes sobre elaire antes de que se pongan en la red. El eliminar del MAC address inalámbrico es hecho por porel AP.
¿Por qué necesitamos capturar la traza de sniffer inalámbrica?
Cuando examinamos un tráfico o los datos sobre una red alámbrica usando la traza de sniffer y elcanto atados con alambre encuentra nuestros paquetes interesantes que necesitamos saberdonde está que falta. Nuestra sospecha puede conseguirnos verificar si incluso la hizo a través dela primera punta de la fuente de creaciones que el ser inalámbrico está funcionando muy bien ono o él que es faltado sobre el aire. Si no hizo sobre el aire entonces faltará correctamente o noconseguirá obviamente traducida o enviada encima a la cara tela por el AP al DS o al sistema dedistribución. Entonces llega a ser crítico para nosotros identifica y localiza el problema de redinalámbrica usando la traza de sniffer inalámbrica.
¿Por qué necesitamos utilizar el filtro inalámbrico de la captura del sniffer?
Cuando se trata de los asuntos relacionados de la red del troubleshooting hay muchasdependencias y todo el trabajo en el modelo acodado y cada datos de la capa depende de sucapa inferior debajo de él. Hay muchos componentes o los elementos de redes y la configuracióny la operación correcta de los dispositivos nos ayuda a alcanzar una red del buen funcionamiento.Cuando una red de trabajo para el funcionar un acercamiento lógico se requiere para localizar elproblema. Una vez que todavía está identificada la punta exacta del error es difícil de encontrar.Eso sniffer de las situaciones viene a nuestra ayuda. Puesto que este proceso de Troubleshootingpuede convertirse en desafío tan complicado usando el mejor acerqúese y teniendo las buenashabilidades de comprensión y que resuelven problemas. El problema es que si usted captura lospaquetes que viajan a través de un dispositivo de red podemos terminar tener archivo enorme ypodemos incluso terminar hasta 1G si usted captura bastante tiempo con los detalles de lospaquetes de la porción en él. Con tales una gran cantidad de los datos de forma aplastante puedeser muy largo fijar la punta el problema y consigue prácticamente mismo una tarea difícil casi quetiende a imposible.
La filtración viene a nuestro rescate ayudar a un buen ingeniero que resuelve problemas amanchar los problemas rápidamente eliminando el tráfico no deseado que corta las variables aalgunos o las variables mínimas para enfocarse encendido al mismo tiempo. Esto ayudará enrápidamente encontrar si el tráfico interesante está presente o ausente del tráfico recogido. El usode los filtros después se convierte en un arte y complementa la habilidad de los analistas deerrores grandemente
Aumenta el tiempo a la resolución rápidamente por lo tanto la necesidad de entender cómo utilizar
la filtración del wireshark.
- la VISUALIZACIÓN FILTRA – después de que usted capture mucha información, le ayudan avisualizar solamente los paquetes que usted está interesado adentro
- la CAPTURA FILTRA – desde el principio usted conoce lo que captura el paquete de interéspara usted y solamente esos paquetes
Los filtros para colorear los paquetes esto se utilizan como una ayuda visual para aumentar elfiltro de la visualización o para capturar el filtro o se pueden utilizar apenas sin ningún filtroapenas para clasificar los muchos paquetes interesantes como diversos colores para elacercamiento de alto nivel.
¿Cuándo utilizar los FILTROS de la VISUALIZACIÓN y CAPTURAR LOSFILTROS?
Se recomienda para utilizar los filtros de la captura, cuando usted conoce que cuáles son ustedque busca y que intenta verificar eso en un tráfico corriente a ese evento se captura cuando elfuncionamiento que para más que los pares de las horas en un entorno del tráfico denso. Estoayudará en mantener los datos recogidos para permanecer en una cantidad razonable entérminos de tamaño del archivo.
Si estamos en una punta no estamos seguros qué pudieron causar el problema y somos más deuna naturaleza aleatoria del comportamiento del problema después funcionamos con a la capturade paquetes por menos tiempo dentro de la ventana probable del modelo del evento de unproblema, como uno o dos horas, captura todo el tráfico y después utilizamos los filtros de lavisualización para visualizar solamente la información para la cual usted está buscando.
Además del uso de sobre uno puede ver que toda la captura y utilizar las reglas del colorantepara coger la atención del tipo determinado de paquetes asignó a diversos colores para el flujo depaquetes de clasificación o de distinción fácil.
¿Cómo filtrar?
Lets consigue una buena comprensión de los diversos campos dentro de una traza de sniffertípica del wireshark. Rompiéndolo abajo y definiendo cada campo.
Enfocaremos los elementos del on3 que necesitamos entender para comenzar a usar la filtración.
Filtro de la captura●
Filtro de la visualización●
Filtro de las reglas que colorea●
Antes de que cavemos adentro a los detalles, aquí está el ejemplo de la ventana de la captura delsniffer para el wireshark, dejó para disecar.
BARRA DE MENÚ
Éste es llamado la barra de menú de la ventana del tiburón del alambre
Contiene los elementos siguientes:
Archivo: Este menú contiene los elementos para abrir y para combinar los capturares archivo,salvaguardia/impresión/captura de la exportación
●
archivos entera o parcialmente, y salir de Wireshark.
Edite este menú contiene los elementos para encontrar un paquete, referencia de tiempo opara marcar uno o más
●
los paquetes, los perfiles de la configuración de la manija, y fijaron sus preferencias; (corte, copia,y goma
no se implementan actualmente).
Vea este los controles menu la visualización de los datos capturados, incluyendo lacolorización de
●
paquetes, enfocando la fuente, mostrando un paquete en una ventana separada, ampliándose y
árboles que se derrumban en los detalles del paquete
Va este menú contiene los elementos para ir a un paquete específico.●
Capture este menú permite que usted comience y que pare las capturas y que edite los filtrosde la captura
●
Analice este menú contiene los elementos para manipular los filtros de la visualización, parahabilitar o para inhabilitar
●
la disección de los protocolos, usuario de la configuración especificados decodifica y sigue unasecuencia TCP.
Las estadísticas este menú contienen los elementos para visualizar las diversas ventanas dela estadística, incluyendo un resumen
●
de los paquetes se han capturado que, estadísticas de la jerarquía del protocolo de lavisualización y mucho
más.
La telefonía este menú contiene los elementos para visualizar las ventanas relacionadasdiversa telefonía de la estadística,
●
incluyendo un análisis de los media, diagramas de flujo, estadísticas de la jerarquía del protocolode la visualización y
mucho más.
Equipa este menú contiene las diversas herramientas disponibles en Wireshark, tal comocrear el Firewall
●
Reglas ACL.
Internals este menú contiene los elementos que muestran la información sobre los internalsde Wireshark.
●
Ayude a este menú contiene los elementos para ayudar al usuario, e.g acceso a una ciertaayuda básica, manual
●
páginas de las diversas herramientas de la línea de comando, acceso en línea a algunas de laspáginas web,
y el usual sobre el diálogo.
La BARRA DE HERRAMIENTA principal
La barra de herramientas principal proporciona el acceso rápido a los elementos con frecuenciausados del menú. Esta barra de herramientas no se puede personalizar por el usuario, sino quepuede ser ocultada usando el menú de la visión, si el espacio en la pantalla es necesario mostraraún más datos del paquete. Como en el menú, solamente los elementos útiles en el estado deprograma actual estarán disponibles. Los otros serán greyed hacia fuera (e.g usted no puedesalvar un capturar archivo si usted no ha cargado uno).
La barra de herramientas del “filtro”
La barra de herramientas del filtro le deja rápidamente editar y aplicar los filtros de la visualización
Filtro: Saca a colación el diálogo de la construcción del filtro, “●
La “captura filtra” y la “visualización filtra” los cuadros de diálogo”.
Filtre entran el área para ingresar o para editar las expresiones de la visualización de una cadenadel filtro. Una verificación sintáctica de su filterstring se hace mientras que usted está tecleando.El fondo dará vuelta al rojo si usted ingresa un incompleto o una cadena inválida, y llegará a serverde cuando usted ingresa una Cadena válida. Usted puede hacer clic en la flecha hacia abajode la extracción para seleccionar una cadena anterior-ingresada del filtro de una lista. Lasentradas en la extracción abajo enumeran seguirán siendo disponibles incluso después un reiniciodel programa.
Note: Después de que usted haya cambiado algo en este campo, no olvide pulsar el botónApply Button (o el ingresar/la tecla Retorno), para aplicar esta cadena del filtro a lavisualización. Este campo es también donde el filtro actual en efecto se visualiza.
●
Expresión: El botón medio etiquetado “agrega la expresión…” abre un cuadro de diálogo quele deje editar un filtro de la visualización de una lista de campos del protocolo, descritoadentro, ““la expresión de filtro” cuadro de diálogo”
●
Borre reajustan el filtro actual de la visualización y borran el área del editar.●
Apliqúese aplican el valor actual en el área del editar como el nuevo filtro de la visualización.●
“El cristal de la lista del paquete”
El cristal de la lista del paquete visualiza todos los paquetes en el capturar archivo actual.
Cada línea en la lista del paquete corresponde a un paquete en el capturar archivo. Si ustedselecciona una línea en este cristal, más detalles serán visualizados en los cristales de los
“detalles del paquete” y de los “bytes del paquete”.
El cristal de los “detalles del paquete”
El cristal de los detalles del paquete muestra el paquete actual (seleccionado en “el cristal de lalista del paquete”) en una forma más detallada.
El cristal de los “bytes del paquete”
El cristal de los bytes del paquete muestra los datos del paquete actual (seleccionado en “elcristal de la lista del paquete”) en a
estilo del hexdump.
El Statusbar
El statusbar visualiza los mensajes de información. El lado izquierdo mostrará generalmente lainformación relacionada del contexto, la parte media mostrará el número actual de paquetes, y ellado derecho mostrará el perfil seleccionado de la configuración. Arrastre las manijas entre lasáreas de texto para cambiar el tamaño
El Statusbar inicial
Se muestra este statusbar mientras que no se carga ningún capturar archivo, e.g cuando secomienza Wireshark.
El menú contextual (tecleo del derecho del mouse) de las escrituras de la etiqueta de la lenguetamostrará una lista de todas las páginas disponibles. Esto puede ser útil si el tamaño en el cristales demasiado pequeño para todas las escrituras de la etiqueta de la lengueta.
El Statusbar
La barra de estado visualiza los mensajes de información. El lado izquierdo mostrarágeneralmente la información relacionada del contexto, la parte media mostrará el número actualde paquetes, y el lado derecho mostrará el perfil seleccionado de la configuración. Arrastre lasmanijas entre las áreas de texto para cambiar el tamaño.
La barra de estado con un capturar archivo cargado
La información de las demostraciones de lado izquierdo sobre el capturar archivo, su nombre,su tamaño y el tiempo transcurrido mientras que era capturado.
●
La parte media muestra el número actual de paquetes en el capturar archivo. Se visualizanlos valores siguientes:
●
Paquetes: el número de paquetes capturados●
Visualizado: el número de paquetes que son visualizados actualmente●
Marcado: el número de paquetes marcados●
Caído: el número de paquetes perdidos (visualizados solamente si Wireshark no podíacapturar todos los paquetes)
●
Ignorado: el número de paquetes ignorados (visualizados solamente si se ignoran lospaquetes)
●
Las demostraciones de lado derecho el perfil seleccionado de la configuración. Haciendo clicen esta parte del statusbar sacará a colación un menú con todos los perfiles disponibles de laconfiguración, y la selección de esta lista cambiará el perfil de la configuración.
●
Usando los filtros de la captura
Haga clic en las opciones de la “CAPTURA”, de las “INTERFACES” y elija el adaptador de red delmenú de persiana que será utilizado para capturar los paquetes corrientes en la red en el PC.Haga clic en la “CAPTURA FILTRA” y ingresa el nombre del filtro y la cadena del filtro o entradirectamente la cadena del filtro que usted sabe en el rectángulo. Entonces golpee el botón.Ahora el programa del sniffer del tiburón del alambre captura los paquetes que están de interés austed solamente entre el flujo enorme de paquetes en tiempo real de todos los tipos deprotocolos.
Filtro de la visualización
Una vez que usted tiene el archivo capturado le cargó ahora configura los filtros para visualizarlos paquetes que usted está interesado en la mirada o para evitarlos considerar los paquetes nointeresado. Esto se puede hacer usando la expresión de filtro simple o una combinación deexpresión usando los operadores lógicos para formar una cadena compleja del limador.
Haga clic en “ANALIZAN FILTRO” selecto el “de la VISUALIZACIÓN”.
En el ejemplo abajo estamos creando un limador para filtrar hacia fuera el único los paquetes deseñalización de una traza inalámbrica de la captura de paquetes del 802.11 según lo visto abajoen el highlighter amarillo.
Similar al filtro de la visualización podemos encontrar un paquete determinado aplicando el filtrodespués de hacer clic el “paquete del hallazgo”
Encuentre el botón del FILTRO y ingresar el valor del filtro en el rectángulo del filtro, si usted nosabe que la cadena entonces que usted puede cavar más lejos haciendo clic el filtro y golpear elNUEVO botón y nombrando las cadenas del filtro y aplicando o tecleando la cadena del filtro conen el rectángulo. Si usted no conoce la primavera específica del filtro usted puede formarloeligiendo el botón de la EXPRESIÓN que tiene diversa opción del protocolo.
Seleccione el que usted está mirando, amplíese y usted conseguirá más opciones paraseleccionar de.
Usted también tendrá un cuadro del operador lógico a elegir de utilizar para hacer juego paraentrar el valor que usted quiere poner y aplicar completar el filtro.
Usted puede construir los filtros de la visualización que comparan los valores usando variosdiversos operadores de comparación.
Usando la regla para filtros del colorante
Un mecanismo muy útil disponible en Wireshark es colorización del paquete. Usted puede ponerWireshark de modo que colorize los paquetes según un filtro. Esto permite que usted acentúe lospaquetes que usted (generalmente) está interesado adentro
Usted puede poner Wireshark de modo que colorize los paquetes según un filtro que usted eligecrear. Esto permite que usted acentúe los paquetes que usted (generalmente) está interesadoadentro.
En el ejemplo debajo de los paquetes colorized para los faros, acuse de recibo, respuesta de lasonda, Deauthentication basó en los filtros mencionados abajo.
Haga clic en la “visión”
Seleccione el “colorante gobierna” o el uso “edita las reglas del colorante” de la barra deherramienta principal.
Esto abre las reglas del colorante y podemos agregar un nuevo filtro de colorante usando “nuevo”o “edite”. Seleccione el paquete o edite la cadena del filtro y asigne o ajuste el color deseado.
En el cuadro de diálogo del color del editar, ingrese simplemente un nombre para el filtro de color,y ingrese una cadena del filtro en
Filtre el campo de texto. , ““edite el filtro de color” cuadro de diálogo” muestra el faro y el == 8 delos valores wlan.fc.type_subtype cuál significa que el nombre del filtro de color es faro y el filtroseleccionará los protocolos del == 8 del tipo wlan.fc.type_subtype cuál es la cadena del filtro delfaro. Una vez que usted ha ingresado estos valores, usted puede elegir un color de fondo delprimero plano y para los paquetes que corresponden con la expresión del filtro. Haga clic en elcolor del primero plano… o color de fondo… para alcanzar esto.
Mismo una función útil es exportar o formar el filtro de colorante y salvarlo exportando el filtro a unarchivo “tac80211color” como visto abajo esto puede ser importado, usted puede crear losarchivos múltiples de la regla del colorante en su carpeta del troubleshooting y utilizarlos comoplantilla a su conveniencia cada vez que usted resuelve problemas.
Usted puede pensar innovador y la personalización hace los archivos de plantilla del filtro decolorante tales como archivos de la encaminamiento, wlan, de la transferencia etc. de color de los
filtros y apenas los importa dependiendo del problema que usted está resolviendo problemas muyfácilmente.
Hay una buena descarga de las reglas que colorea que usted puede descargar y utilizar enhttps://supportforums.cisco.com/docs/DOC-23792
Éste es cómo la mirada final de la ventana de los paquetes del wireshark parece después de quearchivo del filtro de color
se importa y se aplica “tac80211color”.
Análisis de la captura del sniffer del 802.11 - Tramas de laAdministración y auth abierto
Introducción
Análisis de la captura del sniffer del 802.11 - Tramas de la Administración y auth abierto
802.11 – Capítulos y autenticación abierta
Intentando analizar o resolver problemas un Wireless LAN, la red usando el analizador depaquete del 802.11 nos requerirá tener una perfecta comprensión de diversos tipos de trama del802.11 como base para encontrar los punteros para localizar las causas de la área problemáticaen una red wlan. Tomar las trazas de sniffer wlan usando las herramientas como el omnipeek y oel wireshark uno puede monitorear las comunicaciones entre las tarjetas de interfaz de la red deradio (NIC) y los Puntos de acceso. Necesitaremos comprender cada tipo de trama que ocurre enla operación de un Wireless LAN y que soluciona los problemas de red. En un entorno wlan RFque las condiciones de la transmisión de radio pueden cambiar tan dinámicamente, coordinaciónse convierte un problema grande en los WLAN. Dedican a la Administración y los paquetes decontrol a estas funciones de la coordinación.
Para encontrar la causa de los problemas wlan que ocurren en la red wlan referentes al entornoRF sería el mejor probar la red wlan usando la autenticación abierta sin ninguna Seguridad.Tomando a este acercamiento los problemas de conectividad RF emerja y puede ser corregidoantes de que poder trasladarnos un cifrado más fuerte y a las capas superiores de la capa OSI.
La autenticación en la especificación del 802.11 se basa en la autenticidad de una estación o deun dispositivo inalámbrica en vez de autenticar a un usuario.
Según el proceso de autenticación de cliente de la especificación del 802.11 consiste en las
transacciones siguientes según lo mencionado abajo
Los Puntos de acceso envían continuamente las tramas de recuperación de problemas queson cogidas por los clientes wlan próximos.
1.
El cliente puede también transmitir en su propia trama de la petición de la sonda en cadacanal
2.
Los Puntos de acceso dentro del rango responden con una trama de respuesta de la sonda3.El cliente decide qué punto de acceso es el mejor para el acceso y envía un pedido deautenticación
4.
El Punto de acceso enviará una contestación de la autenticación5.Sobre la autenticación satisfactoria, el cliente enviará una trama de la petición de laasociación al Punto de acceso
6.
El Punto de acceso contestará con una respuesta de la asociación7.El cliente puede ahora pasar el tráfico al Punto de acceso8.
Proceso de autenticación de cliente del 802.11
Hay 3 tipos de bastidores usados en las comunicaciones de la capa MAC 2 del 802.11 quesuceden sobre el aire que maneja y controla el link de red inalámbrica.
Son capítulos, tramas de control y marcos de datos de la Administración. Tomemos una ojeadaen lo que consisten en esas tramas en los pequeños detalles para ayudarnos adentro a analizarlos problemas wlan mejor mientras que trabajan con las trazas de sniffer wlan.
Tramas de la Administración
las tramas de la Administración del 802.11 permiten a las estaciones para establecer y paramantener las comunicaciones. Los paquetes de administración se utilizan para soportar laautenticación, la asociación, y la sincronización.
Los siguientes son subtipos comunes de la trama de la Administración del 802.11:
Trama de la autenticación: Esto es una trama significando a la calidad de miembro de la reddentro de la topología wlan. las autenticaciones del 802.11 son un proceso por el que elPunto de acceso valide o rechace la identidad de una radio NIC para crear los recursos. Laautenticación restringe la capacidad de enviar y de recibir en la red. Es el primer paso para undispositivo que intenta conectar con el 802.11 una red inalámbrica (WLAN). La función esmanejada por un intercambio de los paquetes de administración. La autenticación esmanejada por un intercambio de la petición/de la respuesta de los paquetes deadministración. El número de paquetes intercambiados depende del método deautentificación empleado. En este documento focusssing en el método de autenticaciónabierta más simple para simplificar nuestro troubleshooting de los problemas RF.
●
== 0x0b wlan.fc.type_subtype
El NIC comienza el proceso enviando una trama de la autenticación que contiene su identidad alPunto de acceso. Con la autenticación del sistema operativo (el valor por defecto), la radio NICenvía solamente una trama de la autenticación, y el Punto de acceso responde con una trama dela autenticación como respuesta que indica la aceptación (o el rechazo). Hay una autenticaciónasociada ID asociada que es el nombre bajo el cual la estación actual se autentica en unirse a la
red.
Trama de Deauthentication: Esto es un paquete del aviso por una estación que envíe unatrama del deauthentication a otra estación si desea terminar las comunicaciones seguras. Esuna comunicación unidireccional de la estación de autenticidad (un BSS o un equivalentefuncional), y debe ser validado. Toma el efecto inmediatamente.
●
== 0x0c wlan.fc.type_subtype
== 0x0 wlan.fc.type_subtype
== 0x01 wlan.fc.type_subtype
== 0x02 wlan.fc.type_subtype
El filtro usado para aplicarse y el hallazgo solamente los paquetes de la desasociación es el “==0x0a wlan.fc.type_subtype”
El filtro usado para aplicarse y el hallazgo solamente los paquetes de señalización es
“== 0x08 wlan.fc.type_subtype”
El filtro usado para aplicarse y el hallazgo solamente los paquetes de pedidos de la sonda es
“wlan.fc.type_subtype ==0x04”
El filtro usado para aplicarse y el hallazgo solamente los paquetes de pedidos de la sonda es“wlan.fc.type_subtype ==0x05”
Tramas de control
las tramas de control del 802.11 ayudan a la salida de los marcos de datos entre las estaciones.Los siguientes son subtipos comunes de la trama de control del 802.11:
Trama del Request To Send (RTS): La función RTS/CTS es opcional y reduce las colisionesde la trama presentes en que las estaciones ocultadas tienen asociaciones con el mismoPunto de acceso. Una estación envía una trama RTS a otra estación como la primera fase deuna entrada en contacto bidireccional necesaria antes de enviar un marco de datos.
●
== 0x1B wlan.fc.type_subtype
== 0x1D wlan.fc.type_subtype
Marcos de datos
Éstos en las tramas que vienen más adelante en el juego después de que la comunicación wlanbásica se establezca ya entre la estación móvil y el Punto de acceso. Alcanzaremos siempre aeste 802.11 el marco de datos para el análisis típicamente para verificar y para analizar sobre elaire si los protocolos y los datos de las capas superiores dentro del cuerpo de la trama estánconsiguiendo a través al alambre. Estas tramas transportan los paquetes de datos de las capassuperiores, tales como páginas web, datos de control de la impresora, etc., dentro del cuerpo delbastidor.
== 0x20 wlan.fc.type_subtype
En un analizador de paquete observamos el contenido del cuerpo de la trama dentro de losmarcos de datos del 802.11 para el tráfico interesante en la pregunta.
Referencias
www.wildpackets.com/resources/compendium/wireless_lan/wlan_packets●
http://www.willhackforsushi.com/papers/80211_Pocket_Reference_Guide.pdf●
https://supportforums.cisco.com/docs/DOC-13664●
http://www.cisco.com/warp/public/cc/pd/witc/ao1200ap/prodlit/wswpf_wp.htm#wp39317●
http://www.wildpackets.com/resources/compendium/wireless_lan/wlan_packet_types●
Análisis de la captura del sniffer del 802.11 - WPA/WPA2 con elPSK o el EAP
WPA-PSK(TKIP)
1. Las tramas de recuperación de problemas se transmiten periódicamente a la presencia delanonunce de red inalámbrica y contienen toda la información sobre ella (velocidades de datos, loscanales, las cifras de la Seguridad, la administración de claves etc):
2. Sonde la petición, es enviado por el STA para obtener la información del AP:
3. Sonde la respuesta, AP responde con con una trama de respuesta de la sonda, conteniendo lainformación de la capacidad, las velocidades de datos soportadas, el etc., cuando después deque reciba una trama de la petición de la sonda del STA:
4. la autenticación del 802.11 es un proceso por el que el Punto de acceso valide o rechace laidentidad de una radio NIC. El NIC comienza el proceso enviando una trama de la autenticaciónque contiene su identidad al Punto de acceso. Con la autenticación del sistema operativo (el valorpor defecto), la radio NIC envía solamente una trama de la autenticación, y el Punto de accesoresponde con una trama de la autenticación como respuesta que indica la aceptación (o elrechazo).:
a. Pedido de autenticación del dot11:
b. Respuesta de autenticación del dot11:
5.
la asociación del 802.11 permite al Punto de acceso para afectar un aparato los recursos para ypara sincronizarlos con una radio NIC. Un NIC comienza el proceso de asociación enviando unapetición de la asociación a un Punto de acceso. Esta trama lleva la información sobre el NIC (e.g.,velocidades de datos soportadas) y el SSID de la red que desea asociarse a.
a. Petición de la asociación del dot11:
Después de recibir la petición de la asociación, el Punto de acceso considera asociarse al NIC, y(si está validado) reserva el espacio de memoria y establece una asociación ID para el NIC.
respuesta de la asociación B. Dott11:
6. el apretón de manos 4-way, durante esta fase PTK se crea, PSK se utiliza como PMK paraconstruir esos valores:
el A. AP envía la trama de la autenticación del 802.1x con ANonce, STA ahora tiene toda lainformación para construir el PTK:
el B. STA responde con la trama de la autenticación del 802.1x con SNonce y el MIC:
la trama del 802.1x de las construcciones C. AP con el nuevos MIC y GTK con el número desecuencia, este número de secuencia será utilizada en el Multicast o la trama de broadcastsiguiente, de modo que el STA de recepción pueda realizar la detección básica de la respuesta:
la D. STA envía el ACK:
De esa punta todos los datos se envían cifrados.
WPA2-PSK(AES/TKIP)
El proceso si bastante lo mismo que en la sección anterior, yo resaltan solamente la informaciónque es diferente.
1. La trama de la Administración WPA2 AP incluye el elemento RSN que incluyó la habitación dela cifra del unicast, la información AKM y habitación de la cifra GTK (si se seleccionan el AES y elTKIP, después un método de encripción menos más fuerte será utilizado para el GTK).
2. Durante las tramas del apretón de manos 4-way contenga la información de la versión parael WPA2 en los campos del “tipo”.
Nota: usted puede desencriptar el tráfico de red inalámbrica cifrado WEP/WPA-PSK/WPA2-PSKsi las tramas del intercambio de claves del apretón de manos 4-way se incluyen en la traza y sesabe el PSK.
Para cifrar el tráfico de red inalámbrica en el 802.11 abierto de Preferences-> Protocols->IEEE delwireshark y proporcionar la información del PSK y seleccionar “la opción del desciframiento delpermiso”.
Para desencriptar WPA/WPA2 el tráfico encriptado especifique la clave en el formato:
“WPA-PSK: PSK: SSID”
Nota: Para filtrar hacia fuera el tráfico de la red inalámbrica (WLAN) del STA específico en elwireshark usted podría utilizar “la opción de la estadística de la red inalámbrica (WLAN)”.
Para el filtrar tráfico del STA específico va a las “estadísticas - > tráfico de la red inalámbrica(WLAN)”, de la lista de SSID SSID correspondiente selecto el STA se asocia a, y aplica el filtrobasado en el STA.
Cómo desencriptar los datos WPA2 AES encendido sobre las capturas de paquetesdel aire con Wireshark
Requerimientos:
Captura a estar en el formato .pcap.1.Los capítulos deben presente en el formato del 802.11.2.Conozca el nombre y el PSK SSID para la red inalámbrica (WLAN) de la cual sobre el airese ha recogido la captura.
3.
Clave: Capture 4 el way handshake EAPOL 4.4.El proceso más exacto para hacer esto es comenzar la captura y después de-autenticar al clientepara coger el proceso a partir de la cero, significando que el apretón de manos de 4 manerasEAPOL será incluido.
Si las tramas están dentro de otro formato, como PEEKREMOTE será requerido decodificarlo,secciona por favor arriba en cómo decodificar las tramas PEEKREMOTE.
Proceso
La captura se ha abierto una vez en Wireshark va “edita” – al menú de las “preferencias”.
Vaya al menú de los “protocolos” y busque el “IEEE 802.11”
De la sección del IEEE 802.11 marque “habilitan la casilla de verificación del desciframiento” y
hacen clic en “editan…” abotone al lado de las “claves del desciframiento” la escritura de laetiqueta.
Una vez en “edite” el menú hacen clic en el nuevo botón en el lado izquierdo de la ventana.
Del tipo dominante elija el “WPA-PSK”.
Para obtener la clave es importante conocer el nombre exacto del SSID y del PSK para el cual seestá conduciendo el proceso del decrypt.
Tenga estos dos valores y vaya al sitio web siguiente a generar la clave basada en estos doselementos.
Generador del PSK WPA (clave sin procesar)●
Teclee adentro el nombre SSID y el PSK en los campos especificados, cadena que es tecleadaen los campos debe ser exacto como define para el SSID y para el PSK.
Una vez que se han definido los valores, haga clic en “generan el PSK”, esto generará la clave, lacopia y vuelve a Wireshark.
Pegue la clave que fue generada en el campo “dominante”, “OK” del tecleo.
Entonces haga clic “se aplican” en las “preferencias” pantalla”. La captura comenzará a serdecodificada.
Una vez que le está decodificado sea posible ver el contenido de los paquetes del 802.11 quefueron cifrados previamente.
WPA/WPA2 empresa
1) WPA(TKIP)/WPA2(AES) con el dot1x (PEAP)
Este proceso sigue los mismos pasos como anterior a excepción del método AKM y PTK/GTK dela derivación y los atributos des divulgación AP en las tramas de la Administración del 802.11.
a. En este ejemplo el AP hace publicidad de WPA(TKIP)/WPA2(AES) con la autenticación deldot1x, los atributos de la etiqueta RSN y WPA para AKM contiene el valor WPA, si en caso de laautenticación del PSK este campo contiene el “PSK”. También en este ejemplo TKIP se utilizapara el WPA y el AES se utiliza para el WPA2
el B. STA selecciona una de los métodos de autentificación y de las habitaciones de la cifra desdivulgación por el AP. En este caso el WPA2 con el AES fue seleccionado, eso se puede ver enlos parámetros RSN IE.
c. Después de que ocurra la autenticación acertada del dot1x de la asociación del dot11,durante este proceso podemos ver que lo que método EAP es utilizado por el STA para laautenticación y los certificados intercambie la información entre el supplicant y el servidor de AAA.
d. Después de que el PMK acertado de la autenticación del dot1x trasmited al AP en elmensaje del “access-accept” del servidor de AAA y el mismo PMK se deriva en el cliente, elapretón de manos siguiente 4-way ocurre y establecimiento PTK y GTK.
Intercambio del radio entre el WLC y el servidor de AAA:
Diagrama de flujo general:
WPA(TKIP)/WPA2(AES) con el dot1x (EAP-TLS)
La diferencia para este tipo de autenticación comparado el anterior es que el cliente proporcionasu certificado en el mensaje de los “saludos del cliente” y la autenticación recíproca está realizadaentre el cliente y el servidor de AAA basados en los Certificados.
Intercambio EAP entre el STA y el WLC:
Intercambio del radio entre el WLC y el servidor de AAA:
Diagrama de flujo general:
2) WPA(TKIP)/WPA2(AES) con el dot1x (RÁPIDO)
Solamente la etapa de autenticación del dot1x es el diverso comparar del bit al ejemplo anterior.Después de que ocurra la autenticación acertada del dot1x de la asociación del dot11, el APenvía la petición de la identidad del dot1x al STA y al STA proporciona la respuesta de laidentidad, la respuesta depende se es funcionando de qué aprovisionamiento PAC(aprovisionamiento de la en-banda PAC (fase 0) o aprovisionamiento fuera de banda PAC). Encaso de la en-banda la disposición del PAC se envía al cliente del servidor de AAA, una vez queel cliente tiene PAC que va al EAP-FAST phase1 del comienzo de este de la puntaestablecimiento del túnel de TLS (fase 1)
Después de que el túnel de TLS sea método de autentificación interno establecido (la fase 2)enciende el túnel encriptado interior. En el PMK de la autenticación satisfactoria es envía en elmensaje del “access-accept” al AP del servidor de AAA, se deriva la misma clave basó en elintercambio del dot1x en el STA. Esta clave (PMK) se utiliza para calcular el PTK durante elapretón de manos 4-way que será utilizado a la comunicación segura entre el STA y el AP.
Diagrama de flujo general:
Análisis de la captura del sniffer del 802.11 – Multicast
Introducción
El oler del Multicast
Solución
El regulador realiza la multidistribución en dos modos:
Modo unidifusión — En este modo, el unicasts del regulador cada paquete de multidifusión acada AP asociado al regulador. Este modo es ineficaz pero se pudo requerir en las redes queno soportan la multidistribución.
●
Modo de multidifusión — En este modo, el regulador envía los paquetes de multidifusión a ungrupo de multidifusión del LWAPP. Este método reduce por encima en el procesador delregulador y desplaza el trabajo de la replicación del paquete a su red, que es mucho máseficiente que el método del unicast.
●
Usted puede habilitar el modo del Multicast usando el regulador GUI o CLI.●
IGMP Snooping en el WLC
En el Software Release 4.2 del regulador, el IGMP Snooping se introduce para dirigir mejor lospaquetes de multidifusión. Cuando se habilita esta característica, el regulador recolecta losinformes IGMP de los clientes, procesa los informes, crea los ID de grupos únicos del Multicast(MGIDs) de los informes IGMP después de marcar la dirección Multicast de la capa 3 y el númeroVLAN, y envía los informes IGMP al Switch de la infraestructura. El regulador envía estosinformes con la dirección de origen pues el direccionamiento de la interfaz en el cual recibió losinformes de los clientes.
El regulador entonces pone al día la tabla del Punto de acceso MGID en el AP con el MACAddress del cliente. Cuando el regulador recibe el tráfico Multicast para un grupo de multidifusióndeterminado, él adelante él a todos los AP. Sin embargo, solamente esos AP que tienen losclientes activos que escuchan o inscritos a ese grupo de multidifusión para enviar el tráficoMulticast en esa red inalámbrica (WLAN) determinada. Los paquetes del IP se remiten con unMGID que sea único para un VLA N del ingreso y el grupo de la multidifusión de destino. Lospaquetes de multidifusión de la capa 2 se remiten con un MGID que sea único para la interfaz deingreso.
Note: El IGMP Snooping no se soporta en los 2000 Series Controller, los 2100 Series Controller, oel módulo de red del controlador LAN de la tecnología inalámbrica de Cisco para el Routers de losServicios integrados de Cisco.
Guías de consulta para usar al modo de multidifusión
Utilice estas guías de consulta cuando usted habilita el modo del Multicast en su red:
La solución de red del Cisco Unified Wireless utiliza algunos alcances del IP Address para lospropósitos específicos. Tenga estos rangos presente cuando usted configura a un grupo demultidifusión: Aunque no esté recomendada, cualquier dirección Multicast pueda ser asignada algrupo de multidifusión del LWAPP; esto incluye a las direcciones Multicast locales del linkreservado usadas por el OSPF, el EIGRP, el PIM, el HSRP, y otros protocolos del Multicast.
Cisco recomienda que asignen las direcciones Multicast administrativo del bloque 239/8 delscoped. El IANA ha reservado el rango de 239.0.0.0-239.255.255.255 como administrativodireccionamientos del scoped para los dominios del Multicast del uso en privado. Vea la nota paralas restricciones adicionales. Estos direccionamientos son similares en la naturaleza a los rangosreservados del unicast del IP privado, tales como 10.0.0.0/8, definidos en el RFC 1918. Losadministradores de la red están libres de utilizar a las direcciones Multicast en este rango dentrode su dominio sin el miedo del conflicto con otros a otra parte en Internet. Este administrativo oespacio de dirección privada se debe utilizar dentro de la empresa y su licencia o entradabloqueada del dominio autónomo (COMO).
Note: No utilice el intervalo de direcciones 239.0.0.X o el intervalo de direcciones 239.128.0.X.Los direccionamientos en estos rangos solapan con los MAC Address local de link e inundanhacia fuera todos los puertos del switch, incluso con el IGMP Snooping girado.
Cisco recomienda que los administradores de red para empresas más futuros subdividen esteintervalo de direcciones en alcances administrativos geográficos más pequeños dentro de la redpara empresas para limitar el “alcance” de las aplicaciones de multidifusión determinadas. Estoevita que el tráfico Multicast de la alta velocidad salga de un campus (donde está abundante elancho de banda) y congestionando los links de WAN. También permite la filtración eficiente delMulticast del ancho de banda alto de alcanzar el regulador y la red inalámbrica.
Cuando usted habilita el modo del Multicast en el regulador, usted debe configurar a una direcciónde grupo de multidifusión del LWAPP en el regulador. Los AP inscriben al LWAPP al grupo demultidifusión que usa el Internet Group Management Protocol (IGMP).
1130, 1200, 1230, y 1240 los AP del Cisco 1100, utilizan los IGMP versión 1, 2, y 3. Sinembargo, las Cisco 1000 Series AP utilizan solamente el v1 IGMP para unirse a al grupo demultidifusión.
●
El modo de multidifusión trabaja solamente en el modo LWAPP de la capa 3.●
Los AP en el modo monitor, el modo del sniffer, o el modo rogue del detector no se unen a ladirección de grupo de multidifusión del LWAPP.
●
Cuando usted utiliza los reguladores que funcionan con la versión 4.1 o anterior, usted puedeutilizar a la misma dirección Multicast en todos los reguladores. Si usted utiliza losreguladores que funcionan con la versión 4.2 o posterior, el grupo de multidifusión delLWAPP configurado en los reguladores debe ser diferente para cada regulador usado en lared.
●
Si usted utiliza los reguladores con la versión 4.1 o anterior, el modo del Multicast no trabaja através de los eventos de la movilidad del intersubnet, tales como Tunelización delinvitado, VLA N específicos del sitio, o invalidación de la interfaz que utilice el RADIUS. Elmodo del Multicast trabaja en estos eventos de la movilidad de la subred cuando ustedinhabilita las características de la capa 2 IGMP snooping/CGMP en el LAN cableado.
●
En versiones posteriores, es decir, 4.2 o más adelante, el modo del Multicast no actúa a través delos eventos de la movilidad del intersubnet, tales como Tunelización del invitado. Hace, sinembargo, actuar con la interfaz reemplaza ese RADIO del uso (pero solamente cuando se habilitael IGMP Snooping) y con los VLA N específicos del sitio (VLA N del grupo del Punto de acceso).
El regulador cae cualquier paquete de multidifusión enviado a los números del puerto 12222,12223, y 12224 UDP. Aseegurese las aplicaciones de multidifusión en su red no utilizan esosnúmeros del puerto.
●
El tráfico Multicast se transmite en el 6 Mbps en una red del 802.11a. Por lo tanto, si variosWLAN intentan transmitir en el 1.5 Mbps, la pérdida del paquete ocurre. Esto rompe la sesióndel Multicast.
●
Configurando el Multicast (usando el modo del Multicast-Multicast)
Seleccione Mutlicast - El Multicast y configura a su grupo, cada WLC en su grupo de la movilidaddebe utilizar a una dirección única.
Habilite el ruteo multicast en el dispositivo L3 y habilite el PIM en los VLA N siguientes. Administración, AP-pesebre, está el VLA N en el cual el AP adentro y así como el VLA N dondelos cleints que recibirán la secuencia de multidifusión. Ejemplo:
El VLA N 40 es la Administración del WLC, el VLA N 40 está para el AP, y el VLA N 50 es dondeestán mis clientes. Tan bajo todos los estos SVI necesito publicar los comandos del multicst.
Publique todo el comando show del Multicast de verificar, ejemplo: muestre la ruta multicast delIP, muestre a los grupos IGMP del IP para validar que construyen al grupo para el APcorrectamente.
Podemos también habilitar IGMP Snoping en el WLC. El WLC lo sostendrá es poseer la tabla delsnooping para los mensajes IGMP que recibe, de modo que conozca quién está pidiendo lasecuencia.
En el regulador del Wireless LAN
Multicast global del permiso en el WLC y el Multicast del permiso – modo de multidifusión en elWLC
Una vez que el cliente envía el Multicast únase a, nosotros verá el abajo en el WLC MGID
Configuración del Multicast en la red alámbrica
Configure el ruteo multicast global y después habilite el PIM en cada interfaz.
funcionamiento 6504-WLCBUG#sh | Multicast i
ip multicast-routing
6504-WLCBUG#sh vla 50 del funcionamiento internacional
Configuración constructiva…
Configuración actual 119 bytes
¡!
interfaz Vlan50
VLA N //del agrupamiento DHCP de la red inalámbrica (WLAN) de //de la descripción
dirección IP 172.16.1.1 255.255.255.0
modo denso del pim del IP
Finalizar
6504-WLCBUG#sh vla 40 del funcionamiento internacional
Configuración constructiva…
Configuración actual 121 bytes
¡!
interfaz Vlan40
Administración Vlan //de //de la descripción
dirección IP 10.105.135.136 255.255.255.128
modo denso del pim del IP
Finalizar
interfaz 40 vlan del pim del IP 6504-WLCBUG#sh
Interrogación DR de la interfaz Ver/Nbr del direccionamiento
Cuenta Intvl del modo DR anteriormente
10.105.135.136 Vlan40 v2/D 0 30 1 10.105.135.136
interfaz 50 vlan del pim del IP 6504-WLCBUG#sh
Interrogación DR DR de la interfaz Ver/Nbr del direccionamiento
Cuenta Intvl del modo anteriormente
172.16.1.1 Vlan50 v2/D 0 30 1 172.16.1.1
ruta multicast del IP 6504-WLCBUG#sh
Tabla de IP Multicast Routing
Indicadores: D - Denso, S - Escaso, B - Grupo de Bidir, s - Grupo SS, C - Conectado,
L - Local, P - Podado, R - conjunto del RP-bit, F - indicador del registro,
T - conjunto del SPT-bit, J - únase al SPT, M - la entrada creada MSDP,
X - El proxy se une al funcionamiento del temporizador, A - Candidato al anuncio MSDP,
U - URD, I - Informe específico recibido del host de la fuente,
Z - Túnel del Multicast, z - remitente del grupo MDT-DATA,
Y - Grupo unido MDT-DATA, y - Envío al grupo MDT-DATA
V - RD y vector, v - Vector
Indicadores de la interfaz saliente: H - Hardware conmutado, A - Afirme al ganador
Temporizadores: El Uptime/expira
Estado de la interfaz: Interfaz, Next-Hop o VCD, estado/modo
(*, 239.255.255.255), 4d17h/00:02:03, RP 0.0.0.0, indicadores: DC
Interfaz entrante: Falta de información, nbr 0.0.0.0 RPF
Lista de interfaz de salida:
Vlan40, remiten/denso, 4d17h/00:00:00
(*, 239.254.0.3), 2w1d/00:02:07, RP 0.0.0.0, indicadores: DC
Interfaz entrante: Falta de información, nbr 0.0.0.0 RPF
Lista de interfaz de salida:
Vlan40, remiten/denso, 3d10h/00:00:00
(*, 224.0.1.40), 2w1d/00:02:13, RP 0.0.0.0, indicadores: DCL
Interfaz entrante: Falta de información, nbr 0.0.0.0 RPF
Lista de interfaz de salida:
Vlan11, remiten/denso, 2w1d/00:00:00
Capturas de paquetes
Topología
PC atado con alambre ----------- 6500 Switch -------- WISM ------- AP)))) (((((cliente de redinalámbrica
Vlan 50 Vlan 40 Vlan 40 Vlan 40 Vlan 50
Herramienta del generador de tráfico del MCAST
se utiliza en el PC atado con alambre para generar la secuencia de multidifusión – los paquetesUDP continuos.
Captura de paquetes atada con alambre de Wireshark en el generador del MCAST
Captura del Netmon de Windows en el generador de paquete del mcast
La herramienta del receptor del MCAST se utiliza en el cliente de red inalámbrica para recibir eltráfico Multicast de la fuente (PC atado con alambre).
Wireshark captura en la interfaz inalámbrica del cliente de red inalámbrica
Captura del Netmon en la interfaz inalámbrica del cliente de red inalámbrica
Análisis de la captura del sniffer del 802.11 – Autenticación Web
IntroducciónSniffer de la AUTENTICACIÓN WEB en resolver problemas del WLC de Cisco
Proceso de autenticación Web
La autenticación Web es una función de seguridad de la capa 3 que hace al regulador no permitir el tráfico IP,excepto los paquetes DNS-relacionados de los paquetes DHCP-relacionados, de un cliente particular hasta queese cliente haya suministrado correctamente un nombre de usuario válido y una contraseña una excepción deltráfico permitida con el PRE-auth ACL. La autenticación Web es la única política de seguridad que permite queel cliente consiga una dirección IP antes de la autenticación. Es un método de autenticación simple sin lanecesidad de un supplicant o de una utilidad de cliente. La autenticación Web se puede hacer localmente en unWLC o sobre un servidor RADIUS. La autenticación Web es utilizada típicamente por los clientes que quierenimplementar una red de acceso de invitados.
La autenticación Web comienza cuando el regulador intercepta el primer paquete TCP HTTP (puerto 80) GETdel cliente. Para que el buscador Web del cliente consiga esto lejano, el cliente debe primero obtener un IPAddress, y hace una traducción del URL a la dirección IP (resolución de DNS) para el buscador Web. Esto dejaal buscador Web saber qué dirección IP para enviar el HTTP GET.
Cuando la autenticación Web se configura en la red inalámbrica (WLAN), el regulador bloquea todo el tráfico(hasta que se completa el proceso de autenticación) del cliente, a excepción del tráfico del DHCP y DNS.Cuando el cliente envía el primer HTTP GET al puerto TCP 80, el regulador reorienta al cliente ahttps:1.1.1.1/login.html para procesar. Este proceso saca a colación eventual la página web del login.
Usted abre al buscador Web y teclea adentro un URL, por ejemplo, http://www.google.com. El clienteenvía una petición DNS para que este URL consiga el IP para el destino. El WLC desvía la petición DNSal servidor DNS y el servidor DNS responde detrás con una contestación DNS, que contiene la direcciónIP del destino www.google.com, que a su vez se remite a los clientes de red inalámbrica
●
El cliente entonces intenta abrir una conexión TCP con el IP Address de destino. Envía paquete TCPSyn un destinado a la dirección IP de www.google.com.
●
El WLC tiene reglas configuradas para el cliente y por lo tanto puede actuar como proxy parawww.google.com. Devuelve un paquete TCP SYN-ACK al cliente con la fuente como la dirección IP dewww.google.com. El cliente devuelve un paquete ACK TCP para completar la aceptación decontactocon TCP de tres vías y la conexión TCP se establece completamente.
●
El cliente envía un paquete HTTP GET destinado a www.google.com. El WLC intercepta este paquete,lo envía para la dirección del cambio de dirección. El gateway de aplicación HTTP prepara a un cuerpodel HTML y lo envía detrás como la contestación al HTTP GET pedido por el cliente. Este HTML hace alcliente para ir a la página web predeterminada URL del WLC, por ejemplo, <Virtual-Server-IP>/login.html.
●
El cliente cierra la conexión TCP con la dirección IP, por ejemplo www.google.com.●
Ahora el cliente quiere ir a http://1.1.1.1/login.html y así que intenta abrir una conexión TCP con ladirección IP virtual del WLC. Envía a paquete TCP Syn para 1.1.1.1 al WLC.
●
El WLC responde detrás con un TCP SYN-ACK y el cliente devuelve un TCP ACK al WLC paracompletar el apretón de manos.
●
El cliente envía un HTTP GET para /login.html destinó a 1.1.1.1 para petición la página de registro.●
Esta petición se permite hasta el servidor Web del WLC, y el servidor responde detrás con la página deregistro predeterminada. El cliente recibe la página de registro en la ventana del buscador donde elusuario puede continuar y iniciar sesión.
●
Configuración WebauthDeja para continuar y configuración.
TOPOLOGÍA
Un cliente de red inalámbrica está conectado con el AP se configura que se registra al WLC que está conectadocon el Switch, que está conectado con el router donde el DNS, encaminamiento, la Conectividad L3.
Router a actuar como DNS
3825#sh run | i host hostname 3825 ip host www.google.com 200.200.200.1 ip hostwww.yahoo.com 200.200.200.2 ip host www.facebook.com 200.200.200.3 3825#sh run | idns dns-server 16.16.16.1 ip dns server 3825#sh run | b dhcp ip dhcp excluded-address 16.16.16.1 16.16.16.5 ! ip dhcp pool webauth-sniffer network 16.16.16.0255.255.255.0 default-router 16.16.16.1 dns-server 16.16.16.1
Configuración en el WLCVaya al WLAN y entonces NUEVO y ingrese los detalles●
Configure la red inalámbrica (WLAN) para NINGÚN auth L2●
Configure la red inalámbrica (WLAN) para el auth L3 con WEBAUTH●
Después de los config, el yoo debe ver como esto●
Vaya a la ficha de seguridad y cree a los usuarios de red local●
Ingrese las credenciales de los clientes●
Vaya a la LENGUETA de la Seguridad >> de Webauth y eligió el tipo del auth de la red que el == internoy externo reorienta/que aduana
●
Conecte al cliente●
Después de conseguir la dirección IP, abra al navegador y teclee adentro a la dirección Web.●
Los clientes consiguen reorientados al auth de la red la página donde adentro ingresamos el nombre deusuario y contraseña
●
Después de la registración satisfactoria●
Cliente que consigue reorientado a la página de la reorientación●
Aquí está la captura de paquetes cuando el cliente intenta conectar
El cliente hace:
DHCP●
DNS●
HTTP GET●
La dirección IP del cliente es 16.16.16.7. El cliente resolvió el URL al servidor Web que accedía 200.200.200.1.Como usted puede ver, el cliente hizo el apretón de manos de tres vías para poner en marcha la conexión TCPy después envió un paquete HTTP GET que comenzaba con el paquete 576. El regulador estáinterceptando los paquetes y está contestando con el código 200. El paquete del código 200 tiene unareorientación URL en él:
El cliente consigue la página de registro HTTPS
El cliente valida el certificado
El cliente entonces enciende la conexión HTTPS a la reorientación URL que la envía a 1.1.1.1, que es ladirección IP virtual del regulador. El cliente tiene que validar el certificado de servidor o ignorarlo para traer paraarriba el túnel SSL. Aquí el cliente intenta acceder Facebook.com después del auth acertado y de su comienzode la sesión TCP sin ningún problema.
Aquí está el debug del cliente cuando el cliente intentóconectar
Cisco Controller) > (Cisco Controller) >show debug MAC address................................ 00:21:5c:8c:c7:61 Debug Flags Enabled: dhcp packetenabled. dot11 mobile enabled. dot11 state enabled dot1x events enabled. dot1xstates enabled. pem events enabled. pem state enabled. CCKM client debug enabled.webauth redirect enabled. May 18 13:43:50.568: 00:21:5c:8c:c7:61 Adding mobile onLWAPP AP a8:b1:d4:c4:35:b0(0) *apfMsConnTask_0: May 18 13:43:50.568:00:21:5c:8c:c7:61 Association received from mobile on AP a8:b1:d4:c4:35:b0*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Changing
ACL 'MNGMNT' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1633)
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Applying site-specific
IPv6 override for station 00:21:5c:8c:c7:61 - vapId 1, site 'default-group',
interface 'webauth-sniffer' *apfMsConnTask_0: May 18 13:43:50.568:00:21:5c:8c:c7:61 Applying IPv6 Interface Policy for station 00:21:5c:8c:c7:61 -
vlan 300, interface id 4, interface 'webauth-sniffer' *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 STA - rates (8): 130 132 139 150 12 18 24 36 0 0 0
0 0 0 0 0 *apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 STA - rates(12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0 *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Initializing policy
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Change
state to AUTHCHECK (2) last state AUTHCHECK (2) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 AUTHCHECK (2) Change state to
L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP
a8:b1:d4:c4:35:b0 vapId 1 apVapId 1for this client *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 Not Using WMM Compliance code qosCap 00
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4)
Plumbed mobile LWAPP rule on AP a8:b1:d4:c4:35:b0 vapId 1 apVapId 1
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4)Change state to DHCP_REQD (7) last state DHCP_REQD (7) *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 apfMsAssoStateInc *apfMsConnTask_0: May 1813:43:50.568: 00:21:5c:8c:c7:61 apfPemAddUser2 (apf_policy.c:223) Changing state
for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Idle to Associated
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Scheduling deletion of
Mobile Station: (callerId: 49) in 1800 seconds *apfMsConnTask_0: May 1813:43:50.569: 00:21:5c:8c:c7:61 Sending Assoc Response to station on BSSID
a8:b1:d4:c4:35:b0 (status 0) ApVapId 1 Slot 0 *apfMsConnTask_0: May 1813:43:50.569: 00:21:5c:8c:c7:61 apfProcessAssocReq (apf_80211.c:5272) Changing
state for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Associated to
Associated *apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility
role=Local, client state=APF_MS_STATE_ASSOCIATED *apfReceiveTask: May 1813:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 4494, Adding
TMP rule *apfReceiveTask: May 18 13:26:46.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD(7) Adding Fast Path rule type = Airespace AP - Learn IP address on APa8:b1:d4:c4:35:b0, slot 0, interface = 1, QOS = 0 ACL Id = 255, Jumbo Fr*apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) Fast
Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506 IPv6 Vlan = 300, IPv6
intf id = 4 *apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) *pemReceiveTask: May 1813:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*pemReceiveTask: May 18 13:43:50.571: 00:21:5c:8c:c7:61 Sent an XID frame *DHCPSocket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST
(1) (len 310,vlan 0, port 1, encap 0xec03) *DHCP Socket Task: May 18 13:43:50.689:00:21:5c:8c:c7:61 DHCP processing DHCP DISCOVER (1) *DHCP Socket Task: May 1813:43:50.689: 00:21:5c:8c:c7:61 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6,
hops: 0 *DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP xid:0xf665da29 (4133870121), secs: 0, flags: 0 *DHCP Socket Task: May 18 13:43:50.689:00:21:5c:8c:c7:61 DHCP chaddr: 00:21:5c:8c:c7:61 *DHCP Socket Task: May 1813:43:50.689: 00:21:5c:8c:c7:61 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *DHCP SocketTask: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP requested ip:
64.103.236.44 *DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to DS *DHCP Socket Task: May 18 13:43:50.690:00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap
0xec00) *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP processingDHCP OFFER (2) *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP op:BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.690: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:
0 *DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 16.16.16.7 *DHCP Socket Task: May 18 13:43:50.691:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.691: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:
16.16.16.1 *DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to STA *DHCP Socket Task: May 18 13:43:50.704:00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST (1) (len 314,vlan 0, port 1, encap
0xec03) *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP processingDHCP REQUEST (3) *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP op:BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.704: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:
0 *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *DHCP Socket Task: May 18 13:43:50.705:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.705: 00:21:5c:8c:c7:61 DHCP requested ip: 16.16.16.7 *DHCP Socket Task:May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:
16.16.16.1 *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCPsuccessfully bridged packet to DS *DHCP Socket Task: May 18 13:43:50.705:00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap
0xec00) *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP processingDHCP ACK (5) *DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP op:BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *DHCP Socket Task: May 1813:43:50.706: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags:
0 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP chaddr:00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCPciaddr: 0.0.0.0, yiaddr: 16.16.16.7 *DHCP Socket Task: May 18 13:43:50.706:00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *DHCP Socket Task: May 1813:43:50.706: 00:21:5c:8c:c7:61 DHCP server id: 16.16.16.1 rcvd server id:
16.16.16.1 *DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 Static IPclient associated to interface webauth-sniffer which can support client subnet.
*DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:61 Adding Web RuleID 22 for
mobile 00:21:5c:8c:c7:61 *DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:6116.16.16.7 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state WEBAUTH_REQD(8) *apfMsConnTask_0: May 18 13:44:43.347: 00:21:5c:8c:c7:61 16.16.16.7WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506
IPv6 Vlan = 300, IPv6 intf id = 4 *apfMsConnTask_0: May 18 13:44:43.347:00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL
ID 255) (Cisco Controller) >*emWeb: May 18 13:47:39.321: 00:21:5c:8c:c7:61 Usernameentry (Cisco) created for mobile, length = 5 *emWeb: May 18 13:47:39.321:00:21:5c:8c:c7:61 Username entry (Cisco) created in mscb for mobile, length = 5
*emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_REQD (8) Change
state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_NOL3SEC (14) *emWeb: May 1813:47:39.322: 00:21:5c:8c:c7:61 apfMsRunStateInc *emWeb: May 18 13:47:39.322:00:21:5c:8c:c7:61 16.16.16.7 WEBAUTH_NOL3SEC (14) Change state to RUN (20) laststate RUN (20) *emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 Session Timeout is1800 - starting session timer for the mobile
Referencia: Aquí está una referencia al artículo de Wikipedia sobre las especificaciones del802.11: Estándares del IEEE 802.11
Referencia https://supportforums.cisco.com/document/100651/80211-sniffer-capture-analysis delforo del soporte de Cisco