Posted by frnetworker in Diagnostic Réseau, OmniPeek, Sans, Wireless.
Tags: 1100_ap, 1130_ap, 1140_ap, 1200_ap, 1230_ap, 1240_ap, 1250_ap, ap_sniffer_mode, cisco_lightweight, collecting_wireless_sniffer_trace, configuration, diagnostic, help, OmniPeek, troubleshoot, Wifi, wireless, wireless_access_point, wlan
Réglages d’un point d’accès Cisco (AP) en mode Sniffer et d’OmniPeek pour capturer à distance
Savez-vous que vous pouvez utiliser les WLC et LAPs Cisco en mode sniffer en conjonction avec OmniPeek ?
Gagnez en temps et en efficacité avec OmniPeek
plus besoin de vous déplacer !
Depuis OmniPeek, en passant par le réseau ethernet vous pouvez capturer des données depuis de multiples AP (Access Point), ce qui permet une grande efficacité pour la capture multi-canaux. Quand il n’y a pas itinérance, il est possible de déplacer l’AP ‘Sniffeuse’ à proximité de l’AP pour laquelle on souhaite faire un diagnotique.
Dans le cas du roaming, les APs placées en mode sniffer, doivent se trouver à proximité des différentes AP que va utiliser le poste client. Cela permettra en quelque sorte d’avoir le « point de vue » de l’AP liée au poste client.
Si l’on s’intéresse plus particulièrement au point du vue du poste utilisateur, une version d’OmniPeek installée sur un ordinateur portable avec plusieurs adaptateurs wifi (un par canal) sera un complément idéal.
Étapes de la configuration
Configuration des WLC / AP Cisco
La première étape consiste à placer l’AP en mode sniffer. ATTENTION, elle ne sera plus en mesure de servir de point d’accès pour les utilisateurs.
Configurer l’AP en mode sniffer pour capturer les paquets radio
La borne wifi va rebooter et ne sera plus disponible en tant que point d’accès, elle devient en quelque sorte votre oreille.
Pour compléter la configuration il faut :
- activer le mode sniffer
- sélectionner le canal
- spécifier l’adresse IP du poste OmniPeek
Régler le canal et l’adresse IP du poste sur lequel est lancé OmniPeek
OmniPeek recevra le trafic 802.11 encapsulé en utilisant AiroPeek Protocol (ancêtre d’OmniPeek) avec comme source le port UDP 5555 et comme destination le port UDP 5000.
Configuration d’OmniPeek
Pour permettre à OmniPeek de recevoir le trafic que stream l’AP en mode sniffer, il faut en premier lieu créer un « Cisco Remote Adapter » (adaptateur Cisco distant) depuis le menu Adapter de la fenêtre Capture Options.
Créaton du Cisco Remote adapter dans le sniffer OmniPeek
Indiquez un nom vous permettant d’identifier l’adapteur et une adresse IP si vous souhaitez que cet adapter ne soit lié qu’à une AP spécifique.
Pour ma part, j’utilise toujours l’adresse IP de point d’accès qui sniffe avec un nom (Name) parlant : par exemple TLS, BAT B, 3ieme, Salle Conférence ce qui me permet de la retrouver rapidement.
Vous pouvez alors lancer la capture après avoir enregistré vos réglages.
Lancer la capture des paquets depuis l’AP en mode sniffer
La capture commence comme si vous utiliser un réseau wifi local. (L’interface d’OmniPeek est identique pour une capture locale ou distante). Le flux radio envoyé par l’AP s’affiche au fil de l’eau dans la fenêtre d’OmniPeek et vous pouvez commencer à éditer les paquets.
Un paquet reçu de l’AP décodé par OmniPeek
•
• •
Librement inspiré de l’article : « Collecting a Wireless sniffer trace using the Cisco Lighweight AP in Sniffer mode«
Posted by frnetworker in Diagnostic Réseau, OmniPeek, Wireless.
Tags: 802.11, access_point, ap, configuration, Diagnostic Réseau, error_message, NTP_sunc, OmniPeek, roaming, sniff, troubleshoot, Wifi, wireless, wireless_sniffing, wlan
Analyse et capture des trames sur les réseaux sans fil
Réaliser une capture de bonne qualité du signal des réseaux wireless à des fins d’analyse et de diagnostic peut être une opération complexe et longue.
Vous devez conserver à l’esprit quelques points clés qui rendrons cette opération plus simple et surtout vous feront gagner du temps.
En fait vous devez capturer l’ensemble des données qui transitent sans fil dans votre environnement. Voici 7 règles basiques pour parvenir à vos fins.
7 points essentiels à mémoriser pour une capture rapide et efficace
Positionner le sniffer correctement
Dans la mesure ou l’analyseur réseau, OmniPeek par exemple, doit capturer les signaux radio générés par l’Access Point (AP ou Borne Wifi) et par le poste utilisateur, il vous sera utile de vous positionner aussi près que possible du poste utilisateur. Cela permettra à OmniPeek de vous donner un aperçu aussi réaliste que possible de ce que reçoit et émet le poste utilisateur. (= le sniffer et le poste utilisateur vont recevoir un signal radio identique, incluant les mêmes perturbations)
Le sniffer doit sniffer
Il faut éviter d’installer le logiciel de capture wifi sur le poste qui réalise les manipulations de test (le poste utilisateur dont vous essayez de capturer une trace) car la capture sera altérée. (Au pire utilisez OmniPeek mais avec un second adaptateur wifi)
Identifiez le canal et la fréquence du poste utilisateur avant la capture
Pensez à verrouiller OmniPeek sur la fréquence qu’utilise le poste utilisateur lorsque vous paramètrez votre capture. N’utilisez surtout pas le mode « Scan Channels ». (En mode scanner, le sniffer va continuellement passé d’un canal à un autre ce qui peut être très utilise pour par exemple identifier des connexions pirates mais ne sera d’aucune utilité pour le diagnostic).
Rappelez-vous également que le poste utilisateur peut se déplacer et utilisera alors les fonctions de roaming ( itinérance ). Dans ce cas, vous serez plus efficace en utilisant plusieurs adaptateurs wifi sur OmniPeek et en attribuant un canal à chaque adaptateur : Vous pourrez suivre les transmissions de l’utilisateur, y compris les paquets de liées au changement d’AP et de canal. Typiquement, dans un environnement 802.11b/g (2,4Ghz), vous pourrez être amenés à analyser 3 canaux différents (NDLR : donc avec 3 adaptateurs wifi différents) en positionnant chacun d’eux sur les canaux 1, 6 et 11 qui sont les plus souvent utilisés en entreprise. (Les clés Wifi USB vous seront d’un grand secours pour ce type de configuration).
Limitez le nombre de canaux analysés si vous utilisez la fréquence 5Ghz
Si vous réalisez vos diagnostics sur un réseau sans fil utilisant la fréquence 5Ghz, le nombre de canaux possibles est beaucoup plus important et vous risquez fort de ne pas disposer du nombre d’adaptateurs wifi suffisants. Une bonne pratique consiste à se limiter à 4 canaux.
En cas d’itinérance ( roaming )
Si vous arrivez à reproduire le problème que rencontre l’utilisateur lors du roaming, alors l’analyse de 2 canaux seront suffisant (celui de départ et celui d’arrivée).
Si vous ne disposiez que d’un seul adapteur wifi (=vous ne pouvez capturer qu’un seul canal) placez-vous de préférence sur le second (celui d’arrivée), car il est probable que c’est sur ce dernier que surviennent les soucis.
Si vous utilisez plusieurs Sniffers dictincts
Si vous utilisez plusieurs postes sniffer, pensez à synchroniser les horloges de ces ordinateurs (et celui de l’utilisateur) avec le même serveur NTP.
Cela facilitera la corrélation des traces. Évidement si vous utilisez OmniPeek avec de multiples adaptateurs wifi, l’horodatage sera identique sur toutes les captures. (OmniPeek permet de fusionner les captures de différents canaux dans une seule trace).
Pour les captures de longue durée
Si vous deviez capturer des données sur de longues périodes, pensez à configurer votre sniffer pour lancer une nouvelle capture (NDLR : et enregistrer l’ancienne) périodiquement afin de disposer de fichier trace de taille raisonnable pour la post-analyse. OmniPeek peut utiliser des Triggers Events pour démarrer et arrêter la capture, par exemple début de la capture quand le protocole SIP est utilisé par l’IP 192.168.1.1 ce qui permet de capturer moins de données et surtout d’être sur de ne pas rater la capture de l’essentiel
•
• •
Librement inspiré de l’article Fondamentals of Wireless Sniffig
Networker's Blog 
Vous devez être connecté pour poster un commentaire.