Comprendre les attaques wireless pour mieux s’en protéger 6 août 2013
Posted by frnetworker in Diagnostic Réseau, OmniPeek, Wireless.Tags: attaques wifi, hackers, intrusions, intrusions wifi, protéger réseau, rusions wifi, sécurité sans fil, sécurité wifi, sniffer wireless
5 comments
Comprendre les attaques wireless pour mieux s’en protéger
Malgré les nombreux avantages que procure l’informatique sans fils, cela reste le point le plus vulnérable de votre réseau et les pirates le savent bien. Sur le réseau filaire les attaques sont assez difficiles à réaliser, voir impossible … sur votre réseau sans fils, cela s’apparente souvent à un jeux d’enfant !
Avec le wireless, vous perdez votre premier niveau de défense : les intrus n’ont plus la nécessité de se connecter physiquement à votre réseau.
Imaginons que votre réseau [filaire] soit sécurisé au mieux. De nombreux éléments d’infrastructure participent aussi à sa sécurité : l’accès à une prise informatique et la fermeture (physique) des bureaux, leur sécurité d’accès sont autant de barrières supplémentaires.
Maintenant imaginons que vous posiez des prises réseau à l’extérieur des murs de votre société, par exemple au niveau du parking ? Il sera alors relativement facile de s’introduire sur votre réseau filaire, avec un peu de temps et les ‘bons’ outils.
Sur les réseau sans fils, n’importe qui reçoit le signal diffusé et peut facilement savoir quelle entreprise utilise quel réseaux wireless !
C’est un peu comme si les réseaux sans fils, repoussaient au loin les murs de votre entreprise ! Et cela rend la surveillance de votre forteresse d’autant plus difficile.
Au final, les hackers pourront scanner les failles de sécurité de vos réseaux sans trop s’exposer.
Si cela peut vous paraitre quelque peut déprimant, vous êtes en mesure de quantifier et de limiter les risques en pensant de la même manière que ceux qui cherchent à s’introduire chez vous ! La première des mesures à prendre est de disposer des outils essentiels à votre protections et de vous y former. Le seconde mesure consiste à se documenter sur les méthodes employées.
En quoi consistent les intrusions Wifi ?
Plutôt qu’une consigne précise et forcément limitative, nous vous conseillons de vous tenir au courant des dernières techniques utilisées par les pirates – les forums et livres sur le sujet ne manquent pas – A vous d’analyser (pas de tester) systématiquement les méthodes les plus populaires à un moment donné.
De cette manière vous pourrez détecter vos failles potentielles par avance et déterminer ce qui est économiquement réalisable dans cette situation particulière.
Rappelez-vous que c’est en quelque sorte une course à l’armement et qu’il est de votre ressort de décider quelles sont les mesures les plus adaptées pour améliorer au maximum votre sécurité en regards de leur coûts de mise en oeuvre.
Les intrusions wireless peuvent prendre différentes formes : écoute et enregistrement des flux, attaques malicieuses visant simplement à empêcher les utilisateurs d’utiliser le réseau, tentative d’accès à l’ensemble du réseau via une faille connue. Voyons un peu plus en détails ces différentes types d’attaque :
Capture du trafic
Par nature, la diffusion d’un signal radio permet à chacun d’y accéder.
N’importe qui avec un ordinateur, un adaptateur wifi, et les logiciels idoines, peut s’installer à portée de points d’accès ou d’utilisateurs et recevoir l’ensemble des paquets transmis sur le réseau sans fil.
Il sera alors assez simple de reconstruire l’intégralité de la session d’un utilisateur spécifique ou de l’ensemble des communications d’un point d’accès et ce de manière relativement invisible.
L’ironie de l’histoire c’est que justement les logiciels utilisés par le pirates seront votre meilleure arme ! Vous avez bien sur reconnu l’analyseur réseau ou sniffer. C’est un logiciel comme OmniPeek qui capture les paquets. Il est indispensable au responsable de la sécurité sans fils.
L’idée est de comprendre avec l’aide d’OmniPeek quelles informations peuvent être capturées avec un sniffer avant que des personnes mal intentionnées ne le fasse : Savoir jusqu’ou porte votre réseau sans fil est important tout comme détecter quels utilisateurs et applications sont les plus vulnérables.
Il est essentiel que vos paquets soient cryptés mais … même dans ce cas, les entêtes de ces paquets ne le sont pas et restent totalement accessibles lors d’une capture.
Une attaque de l’intérieur, est plus sophistiquée dans le sens ou le ‘pirate’ est membre de votre réseau et peut recevoir, puis modifier et ré-émettre des données.
Par exemple pour rediriger du trafic vers un serveur non autorisé ou manipuler des données de la transaction comme par exemple des informations de carte de crédit. Comme pour l’écoute wifi, l’encryption forte reste votre meilleure défense.
Saturation de la bande passante
Sur un réseau sans fil, les attaques de type Déni de service sont infiniment plus simples à réaliser et sont la forme la plus classique d’attaque du wifi.
La couche physique se trouve dans les air et la bande passante est partagée avec l’ensemble des autres périphériques. Il est donc assez simple de saturer le réseau par émission de grandes quantités de trafic ou en générant des signaux perturbateurs (du bruit). Même si cela est illégal, c’est assez difficile à détecter et plus encore à prouver.
Les mesures à mettre en oeuvres sont assez simple :
La meilleure méthode est de disposer des outils adéquats et de savoir les utiliser. Surveiller la couche Physique pour contrôler l’apparition d’interférences et le niveau 2 pour être prévenu de toute attaque DoS.
Accès non autorisés au réseau
Si les deux types d’attaques précédentes sont sérieuses, elles restent le plus souvent localisées dans la mesure ou le signal associé au WLAN ne couvre pas une énorme surface.
Elles sont plus efficaces dans un environnement restreint avec de nombreux utilisateurs comme des salles de conférences, de formation ou des foires.
Les accès pirates au réseau, bien que plus complexes à réaliser sont bien plus inquiétants, puisque le pirate s’affranchie du signal local du WLAN pour accéder à l’ensemble du réseau.
Dans la mesure ou aucun réseau sans fil ne devrait être ouvert à n’importe qui, les intrus ou les invités, ont besoin d’avoir connaissance les clés d’accès au réseau ou d’utiliser des logiciels permettant de cracker les clés en utilisant la ‘force brute’ et certaines failles connus des protocoles de sécurisation comme c’est le cas avec le WEP.
Une fois que les clés ont été crackées, l’intrus est dans votre réseau avec l’ensemble des privilèges de vos utilisateurs sans fils.
La meilleure défense est d’utiliser le protocole le plus sécurisé disponible, comme WPA2 Enterprise.
Et si vous pensez que ce n’est pas encore suffisant, alors placer vos utilisateurs Wifi dans une DMZ spécifique qui n’autorise l’accès aux données de l’entreprise qu’au travers d’un accès VPN.
Au final
En appréciant les techniques que les hackers utiliseront pour accéder à vos WLAN, vous disposerez des informations et des connaissances nécessaires pour réagir et verrouiller les failles autant que cela est possible.
Gardez en mémoire qu’il existe quantité de logiciels open source dans la communauté des hackers qui permettent d’attaquer vos réseaux et qu’une veille de chaque instant est nécessaire.
Lire aussi Wireless Client associated with rogue AP sur OmniPeek Sniffer Blog
•
• •
Librement inspiré de l’article : Wireless Penetration Testing – Who First?
Pourquoi une mauvaise gestion de la bande passante réseau peut vous couter cher ? 30 octobre 2012
Posted by frnetworker in Diagnostic Réseau, OmniPeek.Tags: Bande passante, Diagnostic Réseau, sniffer réseau, trafic
add a comment
Toutes les entreprises, rencontrent un jour ou l’autre un problème de bande passante. Une bonne politique de gestion de la bande passante est source d’efficacité et d’économies substantielles, voici pourquoi :
Il est fréquent d’entendre dire que les problèmes du réseau viennent d’un manque de bande passante qui diminue au fil du temps. Trop souvent la première réaction est de chercher à augmenter la bande passante afin de faire disparaitre le problème rencontré.
Du point de vue de l’utilisateur, une bande passante plus importante va améliorer son confort de travail. Mais l’adjonction de bande passante ne fait, le plus souvent, que masquer temporairement les problèmes.
En augmentant la bande passante, on ne s’attaque pas à la cause du problème, pire ce nouveau confort apparent peut même masquer des signaux d’alerte qui mériteraient une attention immédiate, comme par exemple un poste infecté qui essaye de propager un malware et accapare la bande passante de l’entreprise.
Mais, qu’est-ce qu’un soucis de bande passante ? Pour beaucoup c’est quand l’utilisation de la bande passante dépasse un certain seuil. Pour d’autres la fréquence et la durée de ces dépassement sest également prise en compte.
Sans connaissance approfondie des trafics qui circulent sur votre réseau,
augmenter la bande passante quand ces signaux apparaissent
n’est rien de plus que de jeter de l’argent par la fenêtre.
Détecter les consommateurs de bande passante
Contrôler si vous devez ou non augmenter la bande passante de votre réseau est un processus qui devrait recueillir toute votre attention. Les 4 étapes sont l’audit, l’analyse, les modifications et la mesure. Voyons ces points plus en détail :
Auditer
L’objectif principal de la phase d’audit est de catégoriser votre trafic en fonction de vos besoins.
Comme les affaires dépendent pour partie des bonnes performances du réseau, vous devez vous assurer de disposer de la bande passante nécessaire pour vos applicatifs métier dans toutes les circonstances, y compris lors des pics de charge. Nous savons tous que la bande passante disponible à tendance à être grignotée au fur et à mesure. A vous de déterminer si c’est par des applications métiers ou par du trafic futile !
Le plus souvent le trafic réseau peut être divisé en 4 catégories :
Le trafic critique pour le business : En l’absence de cette catégorie de trafic, votre entreprise s’arrête. Typiquement se sont les email, SaaS (incluant les activitées cloud), les liaisons WAN inter-sites, le VPN … La liste peut varier selon votre métier : par exemple une société de production vidéo, doit ajouter à cette catégorie de trafic les flux vidéos.
Le trafic professionnel : Sans ce type de trafic, certains travailleurs vont subir des perturbations, mais votre business ne s’arrêtera pas pour autant. Par exemple la recherche d’information sur le web ou les activités liées aux média sociaux.
Le trafic ‘accessoire’ : normalement il ne va pas impacter votre travail et son niveau est (et doit) rester très faible. Il s’agit par exemple des email personnels, du streaming audio, des accès Facebook …
Enfin le trafic ‘toxique’ c’est à dire celui qui empoisonne votre réseau. Par exemple le streaming vidéo, le peer to peer, les gros transferts de fichiers.
Connaitre et identifier les différentes types de trafics est essentiel pour la gestion de la bande passante. Si vous détectez du trafic toxique, votre mission est de l’éradiquer, pas d’accroitre la bande passante !
Analyser
La gestion de la bande passante ne se limite pas à connaitre le type de trafic, il faut aussi avoir une connaissance des différents média qui composent votre réseau et du type d’équipements réseaux qui s’y trouvent. Le média qui demandera la plus grande vigilance est bien sur le wifi puisqu’il s’agit d’un média dont la bande passante est partagé, sensible aux interférences et ‘mono-utilisateur’. A un instant donné, un seul utilisateur peut envoyer un signal radio sur le réseau : si le débit dont il dispose est faible, cela impactera l’ensemble des utilisateurs de ce segment réseau.
Dans ce cas, ce qui peut être perçu comme un problème de bande passante wifi est simplement un problème de client wifi peu performant qui génère une grande quantité de trafic.
Modifier
Dans le mesure ou vous avez compris vos besoins prioritaires, vous allez être en mesure de modifier le mode d’utilisation de votre réseau. Bien entendu le trafic critique va resté en place mais vous pourrez probablement router différemment le trafic de moindre importance sur des réseaux moins chargés. Vous pouvez aussi décider de bloquer certains types de trafic comme l’accès aux média sociaux et bien sur l’ensemble du trafic toxique. Évidement, les décisions que vous prendrez dépendent de votre appréciation et de la politique de l’entreprise, mais dans tout les cas, ce sera une approche de la gestion de la bande passante moins couteuse et dont le bénéfice sera plus simple à quantifier.
Mesurer
Il s’agit tout simplement de valider l’efficacité des mesures prises. Obtenez-vous le résultat espéré ?
Dans la mesure ou le trafic sur votre réseau informatique est ‘vivant’ et évolue, la gestion de la bande passante est bien sur un processus itératif. L’analyse doit être renouvelée de proche en proche.
Comment prendre ses mesures et disposer des informations nécessaire à une gestion responsable de la bande passante ? Avec un sniffer réseau (ou analyseur de paquets) comme OmniPeek qui vous donnera toute les informations nécessaire à la compréhension et à l’optimisation de la bande passante sur votre réseau. L’évaluation 30 jours est gratuite, alors n’hésitez plus.
Librement inspiré du blog de l’éditeur WildPackets : How to Identify Network Problems Masked as Bandwidth Issues
Lire aussi : Une mauvaise qualité VoIP peut couter chère ! sur OmniPeek sniffer Blog
OmniPeek est distribué en France par NetWalker.fr
Tarifs et évaluation sur NetWalkerStore.com
Comment une mauvaise configuration d’application peut affecter la sécurité de votre réseau … 16 juillet 2012
Posted by frnetworker in Diagnostic Réseau, OmniPeek.Tags: attaques, faille application, faille applicative, faille sécurité, Sécurité applicative
add a comment
Développer et déployer des applications est bien plus facile depuis quelques années et la tendance ne fait que s’accélérer avec les kits d’outils de développement, le cloud computing et les plateformes de services (Paas). De ce fait, les problèmes d’erreur de configuration augmentent proportionnellement en particulier pour les applications Web.
Il faut garder en mémoire que le fonctionnement logique et le contrôle de l’application doivent être (et rester) au niveau du serveur lors que l’interface utilisateur est elle doit être gérée du coté clients. Pour faire une analogie, pensez à un supermarché : même si le client peut se promener le long des allées et placer des articles dans son chariot, l’essentiel du business se passe à la caisse qui est, dès lors, un passage obligé.
Les exemples ne manquent pas !
Par exemple en 2009, les Pizza Domino’s ont lancé une campagne d’actions marketing et publicitaire pour gagner de nouveaux clients. Une application écrite en Flash fut ajoutée au site en ligne pour permettre aux clients de passer commande en ligne. Cette application, affichait un champ permettant d’entrer un coupon pour recevoir une pizza pour 5$.
Une nuit du week-end, un pirate a désassemblé l’application Flash pour voir comment elle fonctionnait et s’aperçu que la validité du coupon était contrôlée par l’application elle même. Pire encore, il a constaté que le plan marketing prévoyait même un coupon pour obtenir gratuitement une pizza. Comme le code se trouvait dans l’application Flash, il l’essaya sans délai et moins de 30 minutes plus tard, il se régalait d’une pizza gratuite. Le pirate s’empressa alors de poster le code coupon sur un forum. Ce n’est que le lundi matin que l’entreprise se rendit compte que son secret avait été percé et qu’elle avait livré gratuitement 11.000 pizza pour un coût d’environ 50.000$. Heureusement pour une compagnie de cette taille, cela n’a pas porté de préjudice majeur, mais cela reste une somme qui aurait pu ne pas être perdue si le contrôle des coupons avait été réalisé sur le serveur.
De nombreux exemples similaires peuvent être trouvés où une substitution relativement simple dans un formulaire de soumission (de commande en ligne) ont permis à un pirate de modifier le prix : Le serveur envoi une page web sur le poste utilisateur avec le prix de chaque article … et le bouton ‘Ajouter au panier’ renvoi la quantité et le prix au serveur … Un expert en sécurité a fait la démonstration d’achat d’un article coutant plusieurs milliers de dollars, pour 1 unique dollars. Pourtant cette faille était simple à éviter : il suffisait à l’application de retourner le code article, et non pas le prix, depuis le poste utilisateur vers le serveur, ce dernier se chargeant de trouver le prix de l’article dans sa base de données.
Ces 2 exemples portent sur des solutions de vente en ligne, mais ce type de faille peut affecter n’importe quelle application web. Lorsqu’une application compte de telles failles, cela affaiblit directement la sécurité réseau et rend l’entreprise vulnérable. Ces vulnérabilités offrent potentiellement un accès au système d’information voir même à la configuration système. Dans le mesure ou les attaques de type DoS (Denial of Service) visent justement à mettre à terre un système, les failles applicatives sont une incitation au piratage.
L’une des principale méthode d’attaque en 2012
Une mauvaise implémentation de l’application peut rendre le système vulnérable aux attaques du type injection de code SQL. En 2012, l’injection de code SQL fut l’une des méthodes les plus utilisées selon un rapport de Verizon Data Research Investigations. Le scénario type d’une injection SQL survient lorsque le pirate est à même d’inclure des instructions de contrôle SQL dans les champs d’un formulaire. Lorsque le formulaire est validé, le serveur SQL ne se contente pas de stocker les informations, il reconnait et exécute les instructions SQL. Les résultats peuvent être dramatiques : En juin 2012, plus de 6 millions de mots de passe de LinkedIn ont été postés en ligne. Même si la société n’a pas souhaité faire de commentaires, un article de SC Magazine indique de le site a été victime de ce type d’attaques depuis plusieurs mois. D’un certain point de vue, LinkedIn a eu de la chance : les injections de code SQL auraient pu permettre aux pirates d’effacer la plus grande partie des informations du site. En conséquence, le site a pu analyser et corriger ses failles de sécurité … A comparer avec Nortel Networks dont les données sont restées vulnérables pendant plus de 10 ans …
Les injections de code SQL sont pourtant relativement simples à éviter. Lorsque le serveur reçoit des informations de l’utilisateur, il doit encapsuler les données de sorte que le serveur SQL ne reçoive/perçoive que des données. (autrement dit, aucune instruction SQL). Si par malheur chaque page web peut se connecter directement au serveur SQL plutôt que d’envoyer ces données à une fonction (sur le serveur) qui s’assurera d’analyser (et de nettoyer le cas échéant) les données reçues, la phase de correction peut être titanesque et fort couteuse. C’est la raison pour laquelle, ces réflexions de sécurisation doivent être menées en amont, dès la phase de conception de l’application web.
Alors, même si les exemples cités sont caricaturaux, la plupart des entreprises sont de tailles plus modeste.
Une récente étude auprès de 501 PME, montrent que 85% d’entre elles ne prennent aucune précaution, en estimant, À TORD, qu’elle sont trop petite pour être une cible. Si vous même qui lisez ce billet pensez que votre entreprise est trop petite pour être la cible d’actes de piratage ou de vandalisme gardez en mémoire qu’un très grand nombre de pirates utilisent des logiciels automatiques qui scanner l’internet à la recherche de vulnérabilités ou de failles applicatives. Certains de ces logiciels se concentrent sur des sociétés de plus petites tailles car elles ont le plus souvent des protections moindres que les géants du marché. La prise de contrôle d’une petite société peut être un point d’entré idéal pour en attaquer d’autres. Les hackers utilisent parfois des sites d’entreprises pour diffuser des informations illégales comme des malwares ou des contenus pornographiques illicites. Pire encore, ces piratent utilisent parfois votre serveur pour envoyer du spam. Etre une entreprise de taille modeste ne vous protège pas ! cela fait juste de vous une cible d’un autre type (que les mastodontes de l’internet) et mettre en œuvre un minimum de sécurité est un excellent investissement.
Utiliser des outils comme OmniPeek pour contrôler la bonne application des règles de sécurité de part et d’autre des firewall est essentiel pour renforcer votre sécurité. OmniPeek simplifie également la visualisation des échanges « poste client » <-> « serveur » pour vous permettre de contrôler les informations échangées. (par exemple que notre serveur ne devrait pas recevoir le prix de l’article mais son code produit).
En fait votre sécurité informatique est comme une porte blindée … plus elle est résistante, et plus vous avez de chance que les hackers abandonnent les attaques à votre encontre, une une porte blindée trop longue à forcer décourage les visiteurs indésirables.
•
• •
Librement inspiré de l’article : How Application Flaws Can Affect Your Network Security
Identifier et corriger les problèmes de migration IPv6 les plus courants 9 juillet 2012
Posted by frnetworker in Diagnostic Réseau, OmniPeek.Tags: Diagnostic Réseau, IPv4, IPv6, OmniPeek
add a comment
Le 6 juin 2012 était le jour officiel du lancement du protocole IPv6 !
L’année passée, lors du jour IPv6 mondial ( Word IPv6 Day), plusieurs sociétés majeures d’internet ont activé l’IPv6 pour une journée de tests. Cette année, lors de l’évènement, les sociétés participantes ont à nouveau activé IPv6 et espéraient ne plus le désactiver. Certains participants, comme Google et FaceBook, ne l’ont d’ailleurs plus jamais désactivé après la première édition de cette journée IPv6. L’année passé, il s’agissait pour la plupart des entreprises d’une journée de tests en grandeur réelle dans le but d’un basculement réussi des fournisseurs d’accès internet, des fabricants de matériels réseau et autres sociétés du web.
Dans les faits, on assiste à une pénurie d’adresses IPv4, , l’Asie a d’ailleurs déjà effectué son basculement … aussi le changement définitif approche à grands pas. IPv6 apportera plusieurs améliorations importantes ( plus de détails : IPv6: Is It Finally Time ). En fait IPv6 a commencé a apparaitre lors des Jeux Olympiques de 2008.
Dans ce billet nous allons mettre un peu les mains dans le cambouis et voir quels problèmes vous pouvez rencontrer lors de la mise en oeuvre de l’IPv6 dans votre société et comment régler les problèmes.
Connectivité
Historiquement, le plus gros problème avec Ipv6 est justement d’établir la connectivité IPv6. Jusqu’à ces derniers temps il y avait assez peu de fournisseurs d’accès internet qui proposaient IPv6 et moins encore pour un usage personnel. L’un des buts principaux de la manifestation World IPb6 Launch était de fournir l’option IPv6 au plus grand nombre possible grâce aux fournisseurs d’accès internet et à son support dans les routeurs domestiques. Même si il est évident que l’IPv6 ne peut pas encore être disponible pour tout le monde, l’Internet Society visait un objectif de 1% de connectés en IPv6.
Après s’être assuré de la disponibilité effective de l’IPv6, le problème suivant est de savoir comment configurer l’IPv6 en respectant l’IPv4. Doit-on utiliser un mécanisme de tunneling ou l’une des méthode de translation IPv4 ? La réponse tient en 3 mots : Aucune des deux pour la bonne raison qu’IPv6 n’interfère pas avec l’adresse « classique » IPv4. Historiquement, des solutions temporaires aillant eu recours au tunneling n’ont plus vraiment de raison d’être : Le support natif de l’IPv6 par les fournisseurs d’accès internet permet d’utiliser la méthode du « Dual Stack » qui autorise le fonctionnement des 2 versions du protocole de concert.
Avant même d’imaginer activer la connectivité IPv6, n’oublier pas les règles « d’hygiène de base » : Utilisez un firewall !
La plupart des équipements modernes, disposent à minima d’un support basique des polices de sécurisation du trafic.
La bonne nouvelle c’est qu’IPv6 ne nécessite plus l’utilisation du NAT (et ne le supporte pas) les polices de sécurité seront beaucoup plus simples à configurer (et beaucoup plus claires).
Les adresse IPv6 sont assez différentes des adresses IpV4, aussi il est assez difficile de savoir ce que doivent être les « Bonnes Pratiques ».
Il est bien sur tentant d’utiliser Stateless Address Auto-Configuration (SLAAC) pour simplifier la mise en œuvre, mais ce n’est pas forcément la meilleure idée : SLAAC utilise la MAC address pour générer l’adresse IPv6 afin de limiter le risque d’adresses dupliquées. En plus du soucis d’absence de confidentialité en incluant l’identifiant d’un adresse hardware dans l’adresse routable, SLAAC allonge la taille de l’adresse IPv6 plus que nécessaire. Il est bon de se souvenirs des difficultés rencontrées avant l’apparition du DHCP. Lorsqu’une adresse générée par SLAAC aura un format du type : 2001:db8::7ee9:d3ff:ffe46:86bb, une adresse DHCP pour le même host aura un format comme : 2001:db8::1c. Même si l’utilisation de DHCPv6 prend un peu de temps à mettre en oeuvre, cela rendra l’administration au quotidien bien plus simple.
MTU, fragmentation et ICMP
Le premier problème IPv6 survient avec les mauvaises habitudes contractées avec IpV4 concernant le MTU, la fragmentation et ICMP.
En IPv4, les paquets de grande taille, sont fragmentés en plus petits paquets par les routeurs disponibles sur le cheminement des trames.
Il en va tout autrement en IPv6 ou les routeurs vont retourner un paquet ICMPv6 d’erreur pour les paquets trop grands. C’est au poste émetteur de gérer sa propre fragmentation. Pourquoi un poste devrait il gérer une fragmentation layer 3 peu fiable lorsque TCP c’est charge parfaitement au layer 4? Si un programmeur n’interroge pas l’OS pour s’enquérir de la MTU, et se base sur la MTU standard Ethernet de 1500 octets, moins 20 octets pour l’IPv4 et 20 autres pour TCP, le calcul laisse penser que 1.460 octets sont disponible pour les données TCP dans chaque datagramme. Malheureusement l’entête IPv6 est à minima de 40 Octets soit 20 Octets de moins disponibles !
Heureusement, la plupart des applications réseau comme les navigateurs web, ont tous été testés en IPv6, il peut rester des applications qui ne sont pas codés pour utiliser ces valeurs dynamiques pour la pile réseau. D’autant également, que les politiques de sécurité restrictives en IPv4 bloquent les paquets ICMP à l’exception du ping. De la sorte, la conjonction des entêtes trop long, l’absence de fragmentation par les routeurs associé au blocage partiel des trames ICMPv6 va générer des paquets qui n’atteindront pas leur destination et ne permettront pas le retour (au poste émetteur) des messages de diagnostic d’erreur. Ce problème sera particulièrement difficile à identifier sur switches des réseaux locaux qui autorisent les jumbo frames ethernet puisque les dépassement de taille y sont autorisés et gérés. Les paquets transiteront sans problèmes sur les sous réseaux locaux entre les switches L2 et L3 … mais seront bloqués par les routeurs.
HTTP Compliance
Le dernier problème lié à la transition IPv6 est quelque peu plus subtil … HTTP est un protocole plutôt simple de part sa conception, mais qui cache en fait une grand complexité parce que la plus grand majorité des pages web incluent des tags pour indiquer au navigateur de charger des contenus additionnels qui peuvent provenir de différents serveurs.
Les pages web sur les serveurs hébergés sur des hosts IPv6 pourront être amenés à charger des contenus sur des serveurs IPv4. Durant la phase de cohabitation, les pages web seront alors chargées bien plus lentement si un DNS non compatible IPv6 ignore les requêtes des enregistrements AAAA IPv6, provoquant un time out sur le poste utilisateur qui essayera d’accéder à l’enregistrement A en IPv4. Et comme ce problème n’existe pas pour le serveur … il risque fort de persister jusqu’à la mise à jours des DNS ou des infrastructures de l’hébergeur. Fort heureusement ce type de problème est déjà survenu par le passé depuis 2005 ( voir RFC 4074). Le choix du format de requête AAAA ou A est sous le contrôle du navigateur et ce problème est sérieusement à l’étude en ce moment même.
Les études d’APNIC Labs fin 2011 ont montré qu’Internet Explorer 9 à une timeout de 21 secondes, mais Chrome utilise une méthode qui réduit ce timeout à 0,3 seconde ! (et les versions de FireFox sont encore moins bien loties). D’autres solutions peuvent passer par un filtrage et l’utilisation d’un serveur DNS local qui fera le lookup pour le poste utilisateur, ce qui résoudra le problème grâce à une combinaison caching et forced failback. Le paradoxe d’internet est qu’HTTP a été la clé de voûte de l’adoption massive d’IPv4 mais qu’il sera sans doute le dernier des protocoles majeurs a devenir compatible avec l’IPv6.
Le bon coté des choses est que les utilisateurs ne verront pas la différence lorsqu’ils utiliseront IPv6. IPv6 est supporté par l’ensemble des acteurs majeurs d’internet, y compris les par les navigateurs Web. Et même si il reste de petits problèmes, comme indiqué ci-dessus pour les sites web IPv6 faisant appel à des contenus hébergés sur des serveurs en IPv4, la plus grande partie du web ne posera aucun soucis en IPv6.
Pour les applications plus anciennes et les utilisateurs comme les développeurs qui ont besoin d’utiliser de nombreuses adresses IPv4 il n’y a rien à craindre non plus. IPv6 est un nouveau protocole : il ne modifie en rien le fonctionnement d’IPv4 et les deux vont pouvoir tourner en parallèle jusqu’à ce que les administrateurs réseau décident de désactiver l’IPv4 … très certainement dans plusieurs décennies.
IPv6 est à notre porte, et il est prudent (essentiel) de s’y préparer dès maintenant. Dans cet optique, il est essentiel de disposer des outils temps-réels, comme OmniPeek, qui permettrons de comprendre et résoudre rapidement tout les problèmes rencontré lors de la transition.
•
• •
Librement inspiré de l’article Common Deployment Pains with IPv6: How to Identify and Fix Them
Capturer des données Wireless avec les AP Cisco en mode sniffer 2 juillet 2012
Posted by frnetworker in Diagnostic Réseau, OmniPeek, Sans, Wireless.Tags: 1100_ap, 1130_ap, 1140_ap, 1200_ap, 1230_ap, 1240_ap, 1250_ap, ap_sniffer_mode, cisco_lightweight, collecting_wireless_sniffer_trace, configuration, diagnostic, help, OmniPeek, troubleshoot, Wifi, wireless, wireless_access_point, wlan
2 comments
Réglages d’un point d’accès Cisco (AP) en mode Sniffer et d’OmniPeek pour capturer à distance
Savez-vous que vous pouvez utiliser les WLC et LAPs Cisco en mode sniffer en conjonction avec OmniPeek ?
Gagnez en temps et en efficacité avec OmniPeek
plus besoin de vous déplacer !
Depuis OmniPeek, en passant par le réseau ethernet vous pouvez capturer des données depuis de multiples AP (Access Point), ce qui permet une grande efficacité pour la capture multi-canaux. Quand il n’y a pas itinérance, il est possible de déplacer l’AP ‘Sniffeuse’ à proximité de l’AP pour laquelle on souhaite faire un diagnotique.
Dans le cas du roaming, les APs placées en mode sniffer, doivent se trouver à proximité des différentes AP que va utiliser le poste client. Cela permettra en quelque sorte d’avoir le « point de vue » de l’AP liée au poste client.
Si l’on s’intéresse plus particulièrement au point du vue du poste utilisateur, une version d’OmniPeek installée sur un ordinateur portable avec plusieurs adaptateurs wifi (un par canal) sera un complément idéal.
Étapes de la configuration
Configuration des WLC / AP Cisco
La première étape consiste à placer l’AP en mode sniffer. ATTENTION, elle ne sera plus en mesure de servir de point d’accès pour les utilisateurs.
Configurer l’AP en mode sniffer pour capturer les paquets radio
La borne wifi va rebooter et ne sera plus disponible en tant que point d’accès, elle devient en quelque sorte votre oreille.
Pour compléter la configuration il faut :
- activer le mode sniffer
- sélectionner le canal
- spécifier l’adresse IP du poste OmniPeek
Régler le canal et l’adresse IP du poste sur lequel est lancé OmniPeek
OmniPeek recevra le trafic 802.11 encapsulé en utilisant AiroPeek Protocol (ancêtre d’OmniPeek) avec comme source le port UDP 5555 et comme destination le port UDP 5000.
Configuration d’OmniPeek
Pour permettre à OmniPeek de recevoir le trafic que stream l’AP en mode sniffer, il faut en premier lieu créer un « Cisco Remote Adapter » (adaptateur Cisco distant) depuis le menu Adapter de la fenêtre Capture Options.
Créaton du Cisco Remote adapter dans le sniffer OmniPeek
Indiquez un nom vous permettant d’identifier l’adapteur et une adresse IP si vous souhaitez que cet adapter ne soit lié qu’à une AP spécifique.
Pour ma part, j’utilise toujours l’adresse IP de point d’accès qui sniffe avec un nom (Name) parlant : par exemple TLS, BAT B, 3ieme, Salle Conférence ce qui me permet de la retrouver rapidement.
Vous pouvez alors lancer la capture après avoir enregistré vos réglages.
Lancer la capture des paquets depuis l’AP en mode sniffer
La capture commence comme si vous utiliser un réseau wifi local. (L’interface d’OmniPeek est identique pour une capture locale ou distante). Le flux radio envoyé par l’AP s’affiche au fil de l’eau dans la fenêtre d’OmniPeek et vous pouvez commencer à éditer les paquets.
Un paquet reçu de l’AP décodé par OmniPeek
•
• •
Librement inspiré de l’article : « Collecting a Wireless sniffer trace using the Cisco Lighweight AP in Sniffer mode«
Gestion et Diagnostic Wifi ? OmniPeek vous assiste sur 5 problématiques 18 juin 2012
Posted by frnetworker in Diagnostic Réseau, OmniPeek, Wireless.Tags: 802.11, Bande passante, itinérance, roaming, Temps de réponse, Wifi, wlan
add a comment
A l’air de la mobilité, les réseaux sans fil (WLAN) posent des contraintes critiques pour les administrateurs réseau, puisque les employés et les visiteurs souhaitent une connexion internet en tout point de l’entreprise. L’avènement du BOYD* amplifie encore la demande : l’accès n’est plus restreint à l’usage d’entreprise traditionnel ou autorisé depuis un ordinateur ce qui augmente d’autant le nombre d’éléments réseau et diminue la bande passante disponible pour chaque utilisateur.
Et malgré le fait que les réseaux Wifi ne sont plus accessoires comme ils l’ont été par le passé, il est rare que des ressources complémentaires soient attribuées au service informatique pour faire face à ces nouveaux besoins de performance, de sécurité et de surveillance. Les réseaux wireless représente un challenge particulier pour les administrateurs réseau et requière une approche différente de celle que nous connaissons pour les réseaux ethernet.
Explorons ci-dessous cinq problèmatiques purement sans-fil et voyons comment OmniPeek peut vous aider à tirer votre épingle du jeux.
Gérer la puissance du signal
L’un des principaux problèmes avec le sans fil, la puissance du signal, est quelque chose qui est complètement étranger aux monde des connexions filaires. Le signal sur un câble est identique en tout point, puisque vous disposez d’un port ethernet pour vous y connecter. Pour le sans fil, la puissance varie selon la distance entre l’utilisateur et le point d’accès (AP) ; selon les obstacles se trouvant sur le chemin de propagation du signal et enfin selon les interférences avec les autres périphériques qui utilisent le spectre 802.11. Avec la dégradation de la puissance, la vitesse de connexion entre l’AP et l’utilisateur diminue et par rebond diminue également la bande passante disponible pour l’ensemble des utilisateurs. De ce fait, un signal de trop faible puissance, même pour un seul poste, peut devenir un soucis pour l’ensemble des utilisateurs du WLAN.
OmniPeek, analyseur réseau, mesure et affiche la force du signal selon plusieurs approches : pour l’ensemble des WLANs, individuellement pour chaque utilisateur ou chaque AP, voir même pour chacun des paquets. Il contrôle automatiquement la puissance du signal avec son système expert ce qui vous évite d’avoir à le faire. Ajustez simplement le seuil pour l’expert Wireless AP – Weak Signal (signal faible) et laissez OmniPeek faire le travail à votre place : il s’assure automatiquement que le signal est d’une puissance suffisante et par rebond des performances du WLAN pour chaque utilisateur.
Ajustement de l’expert Weak Signal – Seuil de Signal Faible dans OmniPeek
Gérer le trafic de service (management)
Maitriser le trafic sans fil est une tâche plutôt ardue en particulier au niveau des AP. Il ne faut pas perdre de vue que le trafic de gestion s’ajoute au trafic utilisateurs. Si c’est une bonne chose de superviser ses AP pour avoir connaissance des performances du réseau wireless, il faut veiller à le minimiser de l’autre coté de l’AP pour éviter de dégrader les performances du WLAN pour l’ensemble des utilisateurs. (NDLR : le trafic de gestion est constitué par les paquets de management, par les beacons, et éventuellement les trames SNMP. Trois catégories de paquets qui ne ‘servent pas directement’ au transport des données utilisateurs)
OmniPeek analyse et affiche tout le trafic de gestion 802.11 et son système expert vous alerte quand il détecte un excès de trafic de management ce qui vous permet de préserver facilement les performances de vos WLAN.
OmniPeek analyse toutes les données de gestion 802.11 et vous alerte quand trop de paquets de management apparaissent.
Gérer les Utilisateurs
Puisque nous avons maintenant le contrôle de la puissance du signal et du trafic de service, concentrons nous sur la raison pour laquelle nous avons mis en place des réseaux sans fil : les utilisateurs. Les réseaux wireless sont constitués par des cellules radios localisées dans les AP (Access Point encore nommés Points d’accès, ou Borne Wifi). A la différence des réseaux filaires, la topologie d’un réseau WLAN change avec le déplacement des utilisateurs et le roaming d’une AP à la suivante. La topologie ressemble à celle d’un arbre hiérarchique :
- l’Extended Service Sets (ESS – Toutes les AP interconnectées à un même réseau)
- Le Basic Service Sets (BSS – Une AP et ses clients)
- les STA ( poste individuels )
OmniPeek affichera clairement cette structure hiérarchique et fournira des informations détaillées pour chaque station. Il vous permettra également de classer les périphériques du réseau WLAN comme « Trusted » (Autorisés), « Known » (connus), ou « Unknown » (inconnus). Sur la copie d’écran suivante, on distingue clairement une connexion pirate sur le réseau WP wireless 1.
OmniPeek affiche une vue détaillée de la hiérarchie du WLAN
Gérer l’itinérance
La mobilité est la raison d’existence des WLANs, les utilisateurs veulent pouvoir être à leur bureau, dans la salle de réunion, la cafétéria puis de retour dans leur bureau sans aucun interruption. Cette activité s’appelle le Roaming (ou itinérance) et le 802.11 est justement conçu pour gérer cette itinérance. Il arrive que la gestion du roaming ne se passe pas de manière transparente ou soit pas assez rapide, ce que causera des interruptions de services plus spécialement sensibles pour les applications sensibles aux temps de réponses comme la voix sur IP wifi.
L’analyse du roaming est une opération complexe. Lorsque les utilisateurs se déplacent, leur connexion passe d’une AP à une autre mais aussi d’un canal radio à un autre. Cela demande aux administrateurs d’utiliser une solution qui peut surveiller de multiples canaux radio simultanément et pas simplement de scanner les canaux, mais bien de réaliser une capture sur de multiples canaux. Nous y reviendrons prochainement dans un article consacré aux bases de l’agrégation de canaux. Lorsque les utilisateurs changent de canal radio, OmniPeek suit leur activité et affiche le temps qu’il faut aux stations pour réaliser cette transition. Les évènements liés à l’itinérance peuvent être juste placés dans le journal ou suivi par AP ou par station ce qui simplifie grandement l’identification des zones à problème.
OmniPeek affiche en détail les performances des opérations liées à l’itinérance des utilisateurs
Gérer le ressenti global des utilisateurs
La portion sans fil du réseau est seulement l’une des composante du ressenti des utilisateurs. Chaque WLAN est lui-même connecté à un réseau câblé, et l’ensemble du trafic wireless peut éventuellement devenir du trafic filaire à certains moments de la journée. La capacité d’analyser en même temps les segments sans-fil et le réseau ethernet aidera grandement à résoudre un grand nombre d’incidents WLAN critiques comme par exemple les problèmes d’authentification, qui dépend de la vérification des droits utilisateurs sur la partie filaire du réseau pour les WLAN sécurisés. (le WPA-2 est souvent le seul choix possible sur les réseaux d’entreprise).
OmniPeek analyse à la fois les réseau filaires et sans fil et peut analyser de nombreux réseau en même temps ce qui en fait la solution idéale pour suivre le cheminement des données tout au long du réseau, depuis le poste mobile jusqu’aux ressources IP. Et comme les applications métier utilisent de plus en plus souvent le WLAN, les besoins de diagnostic ne sont plus limités aux seuls problèmes d’authentification. (Plus d’information sur le billet « Diagnostic wifi, mais où doit se porter l’analyse de trames » de décembre 2010.
OmniPeek capture à la fois le réseau sans fil et le réseau ethernet, et permet une corrélation automatique qui permet une compréhension rapide des problèmes critiques comme par exemple trop de retransmission wifi
Conclusion
La demande pour l’utilisation du sans fil ne cesse de croître et les technologies évoluent rapidement. Les performances de vos WLANs dépendent pour l’essentiel de vos capacité de supervision, contrôle et diagnostic. L’extension des réseaux wifi n’est pas réellement modélisable en ce sens qu’elle dépend pour l’essentielle des besoins propres de chaque application de votre entreprise et de celui de vos utilisateurs. C’est pour cette raison que vous devez disposer d’un outil de gestion, d’analyse et de diagnostic qui vous donne accès à l’ensemble de vos réseaux pour vous permettre de contrôler les installations, vérifier les configurations, la couverture, les performances et l’optimisation d’un bout à l’autre du réseau.
Dynamique par essence, les réseaux sans fil nécessitent une approche proactive pour avoir la certitude de contrôler tout les aspects des réseaux installés. Le Système Expert vous permet de laisser OmniPeek réaliser automatiquement un audit à l’affut du moindre signe de défaillance et de vous alerter en cas de besoin.
•
• •
Librement inspiré de l’article : Fire ways that OmniPeek can help manage and troubleshoot WLANs de l’éditeur WildPackets. OmniPeek est distribué en France par NetWalker.
* BYOD : Bring Your Own Device (apportez votre propre périphérique)
Diagnostic de la Voix sur IP Wireless avec OmniPeek 12 juin 2012
Posted by frnetworker in Diagnostic Réseau, OmniPeek, VoIP, Wireless.Tags: analyse, capture wifi, diagnostic, diagnostic à distance, playback voip, roaming, voix sur IP, Wifi, wlan
2 comments
Diagnostic VoWLAN avec OmniPeek
Capturer les données pour l’analyse VoIP Wireless
Pour réaliser un diagnostic VoWLAN, il faut en premier lieu capturer les données Wifi qui transportent les informations VoWLAN. La capture de données pour une analyse wireless peut etre divisée en 2 catégories : locale et distribuée. Le type de données capturées et conservées dépend de l’usage que l’on compte faire de ces données. OmniPeek est conçu pour faciliter le diagnostic et l’analyse des causes de problèmes : il capture et enregistre l’ensemble des paquets 802.11.
Analyse locale
L’analyse locale (ou sur place) nécessite la présence de l’ingénieur au niveau de la source de donnée avec le matériel et le logiciel approprié pour réaliser l’analyse. L’analyse locale avec OmniPeek Professional ou Enterprise est réalisée directement depuis un ordinateur qui dispose d’un ou plusieurs adaptateurs Wifi supportés.
Analyse distribuée
L’analyse distribuée permet aux ingénieurs de collecter les données d’un emplacement distant et d’analyser en local les données. Cela évite les coûts et les délais liés aux déplacements sur le/les site(s) distants. WildPackets (éditeur d’OmniPeek NDLR) supporte 2 modes d’analyse distribuée.
AP Remote Adapters (Point d’Accès Distant)
L’AP Remote Adapters permet de connecter OmniPeek et les LWAPP/CAPWAPs Cisco via un réseau filaire. (NDLR : les AP Cisco sont vues comme des « carte wifi » par OmniPeek). Le logiciel permet de sélectionner quel(s) point(s) d’accès utiliser comme périphérique de capture des données. Une fois sélectionnés, indiquer le canal concerné puis l’adresse IP du poste OmniPeek. L’AP va envoyer les paquets capturés vers cette adresse IP. Configurer alors OmniPeek pour recevoir les données en lançant une nouvelle capture et en spécifiant les paramètres de l’adaptateur distant Cisco dans la fenêtre Capture Option comme indiquer ci-dessous.
Fenêtre de Réglage d’OmniPeek pour l’utilisation d’une AP Cisco
Name : Donner un nom unique à chaque adaptateur distant (par exemple : AP Toulouse 1er étage)
IP Address : Indiquer une adresse pour recevoir uniquement les paquets de cette adresse IP (donc de cette AP). Laisser le champ à blanc indique à OmniPeek d’accepter les paquets de n’importe quelle AP qui aura été configurée pour envoyer des données à OmniPeek.
NDLR : sauf cas particulier, saisissez une IP.
Compléter les autres paramètres puis cliquer sur OK. Cliquer alors sur Start lorsque la fenêtre de capture s’affiche.
OmniEngine
OmniEngines permet l’analyse et la capture de données 24/24h de manière automatique.
OmniEngine est un logiciel pour Windows ou Linux qui est conçu pour réaliser en continue cette opération de capture sur des sites distants. Pour l’analyse des réseaux wifi, il faut ajouter des adaptateurs wifi compatibles pour permettre la capture. Les OmniEgines sont pilotés à distance depuis OmniPeek. Les captures sont lancées, paramétrées et stoppées depuis OmniPeek. Toutes les données sont capturées et stockées par l’OmniEngine en local (pas de trafic sur le réseau). Les résultats de la capture et de l’audit réalisés par OmniEngine sont accessibles depuis OmniPeek.
Optimiser l’analyse pour le Wifi
OmniPeek est conçu pour un pour réaliser analyses et diagnostics dans toutes les situations que l’on peut rencontrer dans le monde réseau.Pour les analyses pointues d’un point précis, seules quelques options d’analyse sont pertinentes.
La suite de cet article est un guide pour configurer les nombreuses options et optimiser les performances de votre analyse wireless.
Options d’Analyse
Les capacités d’analyse d’OmniPeek sont divisées en plusieurs options fonctionnelle. La plupart du temps il n’est pas nécessaire d’activer chacune d’entre elles pour mener à bien le diagnostic. Désactiver les options sans rapport immédiat avec l’analyse en cours permet d’augmenter les performances d’OmniPeek. Pour désactiver les options qui n’ont pas d’intérêt pour l’analyse de la VoWLAN, choisir Analysis Options sur la gauche de l’écran lorsque l’on lance une nouvelle capture.
La fenêtre suivante s’affiche et vous pouvez désactiver toutes les options inutiles. Ne pas désactiver les options d’analyse Voice & Video Analysis pour notre analyse VoWLAN.
Pensez à conserver Voice & Video Analyse
Astuce : Si vous vous rendez compte à postériori, que vous avez besoin de certains modules d’analyse que vous aviez désactivé et que vous avez sauvegardé votre capture, vous n’aurez qu’à modifier les options d’analyse et à ré-ouvrir le fichier de capture pour appliquer les éléments d’analyse additionnels.
Options des Experts
En complément des options d’analyse classiques, OmniPeek contrôle en permanence le fonctionnement du réseau et expertise les évènements réseau qui se produisent à toutes les couches du protocole depuis la couche application jusqu’à la couche physique. Il affiche également des évènement réseau spécifiques au Wifi et aux appels en VoIP. Chaque Expert peut être activé ou désactivé séparément. Il est essentiel de contrôler que les Experts liés aux évènement que l’on analyse sont bien actifs. Une fois la capture lancée, on peut sélectionner l’affichage d’une Expertise particulière depuis la gauche de l’écran de capture. Cliquer alors sur l’icône Expert EventFinder Settings. La fenêtre Expert EventFinder Settings apparait alors et permet d’activer, de configurer ou de désactiver chaque Expert. Il est essentiel pour notre diagnostic de conserver les Experts VoIP et Wireless actifs car ils permettront d’identifier des problèmes VoWLAN avant qu’ils ne provoquent de sérieux problèmes.
Laisser les Experts VoIP et Wireless actifs pour permettre une détection rapide des problèmes existants sur votre réseau
Analyse multi-canaux
L’analyse multi-canaux permet la capture simultanée sur de multiples canaux wifi et l’affichage (et l’analyse) des paquets comme si il s’agissait d’une seule capture, OmniPeek agrège les données des différents canaux. C’est essentiel pour l’analyse des situations ou les utilisateurs utilisent le roaming de canal à canal ou quant on sait ou se situe le problème sans pour autant savoir sur quel canal est connecté l’utilisateur.
L’analyse multi-canal nécessite le téléchargement et l’installation du plug-in Wireless Channel Aggregator disponible sur le portail MyPeek et l’utilisation d’un adaptateur par canal analysé.
Pour configurer OmniPeek pour de l’analyse multicanal, il suffit de lancer une nouvelle capture et de sélectionner Adapter sur la gauche, d’ouvrir le module Wireless Channel Aggregator et de choisir New Adapter en double cliquant. Indiquer alors les adaptateurs que l’on souhaite utiliser pour la capture et pour chacun d’eux le canal associé. Sauvegarder ces réglages puis lancer une capture.
Sélectionner les adaptateurs et les canaux auxquel on les associe.
Roaming
L’analyse du roaming fourni des informations détaillées à chaque fois qu’un client sans-fil passe d’un point d’accès à un autre. L’analyse du Roaming est des cas typiques qui nécessite une analyse multi-canal, puisqu’elle implique un changement de canal du poste utilisateur.
L’installation du plug-in Roaming Latency disponible sur MyPeek augmente encore la pertinence des informations affichées par OmniPeek.
Lorsque ce plug-in d’analyse des temps de latence du roaming est installé il peut être utilisé sur toute les captures wifi. Pour voir le résultat de l’analyse du roaming, il faut sélectionner Roaming dans la partie gauche de l’écran puis choisir la vue Log (Journal), by Node (par poste) ou by AP (par Point d’Accès). Par exemple :
L’affichage par AccessPoint du plig-in Roaming Latency
Note : le plug-in Roaming Latency considère que les clients sans fils se déplacent d’un canal à un autre. Si la capture est réalisée sur un seul canal, aucun roaming ne sera détecté. Si la capture est en mode scanning, le roaming sera détecté et indiqué mais OmniPeek ne pourra pas calculer de manière correcte les temps de latence liés au roaming. Pour obtenir des résultats exploitables, il faut utiliser ce plug-in en association avec le plug-in Wireless Channel Aggregator (voir plus haut)
Tableau de bord VoIP
Le tableau de bord ( DashBoard ) Voice & Video présente un résumé des appels voix et vidéo qui inclu les appels qui transitent sur le Wifi et plusieurs graphiques et statistiques pour le diagnostic et le contrôle du trafic voix et vidéo. Exemple du tableau de bord VoIP d’OmniPeek :
Le DashBoard VoIP permet de superviser l’activité voix et vidéo.
Ce rapport contient :
- Call Summary : affiche le « compteur d’appels » et les statistiques de perte des appels terminés « Closed Call Statistics » pour les appels voix et vidéo.
- Call Quality Distribution: Affiche les appels terminés et en cours par niveau de qualité en utilisant le score MOS. Un clic droit permet de sélectionner une présentation sous forme de barre ou de camembert. Comme les scores MOS sont calculés sur les flux et non sur les appels, la mesure est basée sur le plus petit score MOS de tout les flux associés à l’appel. Le score de la voix est mesurée avec le MOS-CQ, celui de la vidéo avec le MOS-V et celui de l’audio avec le MOS-A. Les seuils de qualités sont :
- < 2.0 = Bad ( Mauvais ) affichés en rouge
- >= 2.0 à <3.0 = Poor ( Faible ) affichés en orange
- = 3.0 à < 4.0 = Fair ( Moyen ) affichés en jaune
- > 4.0 : Good ( Bon ) affiché en vert.
- Call Quality : Affiche la qualité pour chaque codec utilisé au fil du temps. Un clic droit permet de sélectionner une courbe précise. Le score MOS est utilisé pour la mesure de la qualité. La voix est mesurée avec le MOS-CQ, la vidéo avec le MOS-V et l’audio avec le MOS-A. La qualité sur une période de temps est la moyenne de tout les scores MOS pour les flux ouvert durant cette période de temps.
- Call Volume : Affiche les courbes de tout les appels ouverts par codec au fil du temps pour la voix et la vidéo. Ce graphe affiche tout les valeurs des vues Calls et Media. Un clic droit permet de sélectionner une courbe précise.
- Call Utilization : Affiche l’utilisation global du réseau comparée à l’utilisation (du réseau) par les protocoles VoIP. Un clic-droit permet de sélectionner une plage ou une ligne. Ce graphe affiche 2 légendes Network Utilization et Call Utilization. (Charge réseau et Charge Réseau VoIP). La charge est indiquée en Mbps. La charge VoIP ( Call Utilization) inclu le total des paquets VoIP (incluant les paquets de signalisation, media RTP/RTCP et les codecs non supportés).
Analyse VoIP détaillée
L’analyse de la signalisation et des média de la voix et de la vidéo sur IP est incluse dans OmniPeek Enterprise. Dans OmniPeek, l’unité de communication est l’appel (call). Un appel peut être véhiculé par de multiples canaux, certains dédiés aux paquets de signalisation et d’autres dans des paquets encodés de VoIP. Les données codés sont appelés média et les appels contenant ces données des media channels. les Media channels contiennent des données RTP ( Real-Time Transport Protocol) ou RTCP ( RTP Control Protocol ). La conversion de la voix en signal numérique est réalisée par un codec (codeur/décodeur) particulier spécifié dans les entêtes des paquets RTP.
L’affichage Voice & Video de la fenêtre de capture présente à la fois le trafic voix et vidéo avec des indicateurs de qualité subjectifs et objectifs. la présentation Calls affiche 1 ligne par appel et la présentation Media affiche 1 ligne par flow RTP durant un appel.
Voice & Video est composé de 2 zones de données.
- La partie supérieure contient les données voix et vidéo présentées par appel ou par flux.
- La partie inférieure de l’écran contient 3 onglets donnant accès à des informations détaillées sur les éléments sélectionnés dans la partie supérieure de l’écran. Ces informations sont :
- Détails de l’appel,
- Synthèse des Alarmes Expertes,
- Journal des Alarmes Expertes.
Affichage des Appels ( Calls View )
Affiche 1 ligne par appel. Chaque appel est présenté dans l’ordre ou il a été capturé avec le numéro d’appel, le nom d’appel et la raison de la fin de la communication. Cliquer sur les entêtes de colonnes permet de trier les données. Un clic droit permet d’afficher d’avantage de colonnes.
Affichage des appels VoIP avec le détail des informations
Affichage des Media ( Media View )
Affiche 1 ligne par flux RTP de l’appel. Un appel VoIP utilise généralement 2 flux, un dans chaque direction. Les appels vidéo utilisent eux 4 flux : 2 pour la voix, 2 pour la vidéo. Cliquer sur les titres de colonne pour trier les données. Un clic droit permet d’afficher d’avantage de colonnes.
Affichage par media des appels voix et vidéo
Les Experts Voix et Vidéo
Les Experts Voix et Vidéo sont présentés dans Voice & Video Visual Expert. Chaque paquet d’un appel est présenté dans une seule fenêtre ainsi que le timing des paquets RTP, le jitter et le score de qualité au fil du temps. Si il y a des trous, des absences ou des arrivées tardives de paquets RTP, ces délais sont affichés ainsi que leur effet sur la qualité de l’appel.
La fenêtre Voice & Video Visual Expert affiche chacun des postes participant à l’appel dans des colonnes. Les paquets de données et de signalisation sont représentés par des lignes horizontales, qui vous donnent un aperçu immédiat du contenu de l’appel. Les lignes sont accompagnées de la valeur du R-Factor et du jitter. Un clic droit permet d’afficher d’avantage de colonnes. Exemple de Voice & Video Visual Expert
Analyse détaillée d’un appel VoIP
Comment interpréter cet écran ?
Paquets de signalisation
- Chaque paquet de signalisation est représenté par une ligne horizontale noire avec un résumé à proximité de la flèche.
- Les paquets qui initient un appel (comme les paquets SIP INVITE) débutent avec un petit diamant (losange).
- Les paquets qui termine l’initialisation de l’appel (comme SIP ACK) commencent avec avec une petit barre verticale. La durée entre ces 2 paquets est le ‘Call setup time’
- Les flèches et les lignes grises : les flèches grises horizontales représentent les paquets media RTP/RTCP. Le dernier paquet d’une rangée est complété par un un nombre qui indique la durée de la rangée.
- Les flèches et les lignes vertes : les lignes vertes représentent les valeurs R-Factor avec l’affichage des maximales et minimales à proximité de la flèche du dernier paquet.
- Les flèches et les lignes bleues représentent la gigue (jitter) avec l’affichage des minimum et maximum sur le dernier paquet.
- Les marques bleues représentent les paquets RTCP.
- Les marques grises représentent les paquets RTP hors séquences.
- Les marques rouges indiquent des trous ou des paquets manquants.
PlayBack VoIP
Ce post est librement inspiré de l’article suivant : Troubleshooting VoWLAN using OmniPeek par Cisco
Compass Post-Analyser gratuitement ses captures 29 juin 2011
Posted by frnetworker in Diagnostic Réseau, OmniPeek.Tags: analyse, Bande passante, DashBoard, Statistiques, surcharge
add a comment
Quelques mots pour vous signaler la disponibilité de l’utilitaire Compass qui permet de post-analyser plus avant les captures WireShark.
Compass présente un graphe de la charge au fil du temps. La sélection d’un pic de charge sur ce graphe affiche immédiatement les Top Talker et les Top Protocoles vous indiquant immédiatement qui utilise la bande passante et avec quel protocole.
Compass est un logiciel autonome gratuit proposé par l’éditeur WildPackets
Détail et Vidéo sur NetWalkerStore : Compass
Compass fournit des statistiques sur une période de temps donnée
Votre entreprise envoie-t’elle des spams ? En cas de doute … 10 Mai 2011
Posted by frnetworker in Diagnostic Réseau, OmniPeek.Tags: Contrôle, Filtre, Mail, OmniPeek, SMTP
add a comment
Une des grandes problématiques pour les administrateurs réseau est de pouvoir contrôler et vérifier le fonctionnement du réseau et la bonne application de la politique de sécurité de l’entreprise.
Votre serveur de mails vous fournit probablement des outils permettant d’empêcher ou de limiter l’envoi de spams depuis votre entreprise … mais avez vous vérifié que d’autres ordinateurs n’envoient pas, volontairement ou non, des mails directement ?
OmniPeek fournit aux ingénieurs la possibilité de capturer et d’analyser le trafic. Voyons comment la mise en place d’un filtre permet d’automatiser le contrôle.
Ce filtre va vous permettre de détecter simplement les adresses IP des postes qui envoient des emails via SMTP hors de votre entreprise.
Dans un premier temps, il vous faut positionner l’analyseur au niveau de votre routeur internet (sur votre LAN). Plusieurs techniques existent entre la mise en place d’un TAP* et le port mirroring**.
Puis, il vous suffira de créer un filtre nommé « Contrôle SMTP*** ».
Ce filtre doit comporter 2 instructions :
- Tous les paquets SMTP
- Sauf les paquets adressés ou reçus par votre serveur de mail.
Il suffit alors soit :
- De lancer une capture avec le filtre actif,
- D’appliquer le filtre à une capture déjà réalisée,
- D’utiliser ce filtre comme trigger (déclancheur) de capture en laissant l’analyseur ‘à l’affût’
Voyons par le détail la mise en place du filtre :
Cliquer sur le bouton Insert
Cliquer alors sur le bouton Protocole… pour aller sélectionner SMTP
Sélectionner le protocole SMTP
Indiquer ensuite l’adresse IP (ou le nom) de votre serveur de Mails
Indiquer l'adresse ou le nom du serveur de Mail
En l’état, le filtre ne capturera que les paquets SMTP du serveur de mail, ce qui n’est pas le but recherché, il faut donc switcher en mode ‘Filtres avancés’ afin d’indiquer à OmniPeek ‘Sauf cette adresse’.
Sélectionner les filtres Avancés : Passer de Simple à Advanced
Cliquer droit sur la case qui représente l’adresse IP (ou le nom) du serveur de mails et ajouter NOT
Ajouter NOT pour ignorer les trames du serveur de mails
Bravo, votre filtre est prêt !
Le filtre est prêt à l'usage, il suffit alors de lancer une capture
Une fois la capture lancée, il suffit de se rendre dans l’onglet Nodes … Tout ordinateur qui apparaitra sera ‘fautif’ puisqu’il enverra des mails hors de l’entreprise sans que vous en soyez informé.
A vous de terminer l’enquête …
OmniPeek est un puissant outil d’analyse et de diagnostic de réseau dont NetWalker assure la distribution en France.
* Tap : dispositif de réplication passif du signal réseau. ** les avantages et inconvénients des deux solutions sont présentés ici : Port Mirroring ou Taps *** SMTP : Simple Mail Transfert Protocole
Networker's Blog 
Vous devez être connecté pour poster un commentaire.