Vier aktuelle WLAN-Analysatoren im Test
WLAN-Analyse auf dem Prüfstand
Die Fehlersuche in Wireless LANs unterstützen sowohl klassische Protokollanalysatoren als auch spezielle WLAN-Analyse-Tools. Zu kämpfen haben alle Lösungen jedoch mit der raschen Weiterentwicklung der Funktechnik und ihrer Standards. Der Beitrag beschreibt die Möglichkeiten und Grenzen aktueller WLAN-Analyse-technik anhand vier renommierter Produkte.
Sind spezielle WLAN-Analysatoren – jenseits der klassischen Netzwerkanalyse – wirklich nötig? In
der Tat lassen sich viele Probleme in drahtlosen Netzen nur im Funkraum selbst analysieren. Hierzu
zählen beispielsweise die komplexen Wechselwirkungen zwischen den WLAN-Komponenten im eigenen Netz
und fremden WLAN-Installationen im Nachbarbüro. Zu nennen sind aber auch passive Störeinflüsse
durch architektonische Gegebenheiten sowie aktive Einstrahlungen in den WLAN-Frequenzbereich von
anderen Sendern (Mobiltelefone, Bluetooth etc.). Eine noch so gewissenhafte Gestaltung des eigenen
WLANs etwa durch Einsatz eines zent-ralisierten WLAN-Managements (siehe Test von "Airwave
Management Platform" in LANline 7/2005) deckt nur einen Teilbereich ab, wenn es darum geht, einen
reibungslosen Betrieb zu gewährleisten.
Die neuesten Versionen von vier bekannten Netzwerkanalysatoren, die LANline bereits in der
Vergangenheit im Test hatte, sollen die aktuelle Entwicklung der WLAN-Analyse aufzeigen. Alle vier
Softwarelösungen unterstützen Windows XP sowie WLANs nach IEEE 802.11, und sie bieten "
Expertenwissen". Mit der "Observer Suite 10.1" von Network Instruments und "Sniffer Portable 4.8
SP1" von Network General sind zwei "Allrounder" in unserer Auswahl, die sich neben 802.11
prinzipiell auch auf andere Übertragungstechniken wie Ethernet, Gigabit Ethernet und WAN verstehen.
"Airopeek VX 1.0" (beziehungsweise NX 3.0) von Wildpackets sowie "Airmagnet Laptop 5.0" von
Airmagnet fokussieren sich dagegen als "Spezialisten" ausschließlich auf das Funkgeschehen.
Alle vier Analysatoren unterstützen als Hardwarevoraussetzung Dual-Band-Cardbus-Adapter auf der
Basis von Atheros-Chipsätzen für 802.11a/b/g. Trotz gleicher Hardware erfordert jeder
WLAN-Analysator einen speziell modifizierten NDIS5-Treiber zur Paketaufzeichnung, um im
erforderlichen "Promiscous Mode" FCS-Bytes (siehe Glossar) und Fehlerpakete auswerten zu können.
Nur Airmagnet bietet ein kleines Tool, mit dem sich der erforderliche Capture-Treiber komfortabel
installieren lässt. Für alle getesteten Analysatoren verwendeten wir einen Netgear-WAG511-Ad-apter
(802.11a/b/g) an einem Dell-Latitude-D600-Notebook (Pentium M, 1,6 GHz und 1 GByte RAM) mit
internem Truemo- bile-1450-Adapter (802.11a/b/g) als Funkverkehrsgenerator. Zur Simulation
verschiedener WLAN-Umgebungen kamen zwei Lancom-Access-Points (3550 und 1821) zum Einsatz, die sich
sehr detailliert für unterschiedliche WLAN-Szenarien konfigurieren lassen.
Basisanforderungen
Die erste Aufgabe eines WLAN-Analysators besteht darin, einen Überblick über alle aktuellen
Funkaktivitäten zu liefern. Berücksichtigt werden müssen dabei für ein vollständiges Bild die
beiden potenziell genutzten Funkbänder 2,4 GHz (802.11b/g) und 5 GHz (802.11a). Neben aktiven
Access Points (APs) auf den einzelnen Funkkanälen und ihren verwendeten SSIDs sind auch
Informationen über assoziierte Stati-onen von Interesse. Dies darf der Anwender von allen modernen
WLAN-Analysatoren als Standard erwarten.
Lediglich das "Urgestein" der Netzwerkanalyse, Sniffer, der erst seit April 2005 mit der Version
4.8 auch 802.11g unterstützt, erschwert einen Gesamtüberblick: Die Analyse ist hier immer auf eines
der beiden Bänder beschränkt. Ein "Channel-Hopping" zwischen 802.11b/g und 802.11a innerhalb einer
Analysesitzung ist nicht vorgesehen. Auch die unmittelbare Beziehung zwischen allen APs und ihren
assoziierten Stationen ist aus einer einzigen Übersicht nicht ersichtlich.
Sollen unautorisierte Funkknoten im eigenen Hoheitsgebiet – insbesondere Access Points ("Rogue
APs") – dingfest gemacht werden, gilt es, eine entsprechende Aufstellung bekannter Geräte zu führen
und diese mit den tatsächlich beobachteten abzugleichen. Alle WLAN-Analysatoren bieten hierzu
mittlerweile die Möglichkeit, eine Liste von MAC-Adressen bekannter Access Points und Stationen
anzufertigen. Airmagnet reagiert auf Wunsch zusätzlich auch auf unbekannte SSIDs.
Seit der Einführung des Sicherheitsstandards IEEE 802.11i ("WPA2") und entsprechender
WLAN-Komponenten (siehe LANline 2/2005) lässt sich das Sicherheitsniveau in Funknetzen deutlich
gegenüber dem des viel kritisierten, aber dennoch verbreiteten WEP anheben. Die Überprüfung des
Funkverkehrs im Unternehmen bietet grundsätzlich das größte Potenzial, um sicherzustellen, dass
statt WEP tatsächlich die höheren Verschlüsselungsstandards TKIP/MIC (Grundlage von WPA) oder gar
AES/CCM (Grundlage von 802.11i/WPA2) zum Einsatz kommen.
Leider fällt die Analysepraxis in diesem Punkt etwas anders aus als erwartet. So unterscheidet
etwa Sniffer überhaupt nur zwischen unverschlüsseltem und verschlüsseltem Verkehr und deklariert
Letzteren stets als "WEP". Die drei übrigen Produkte unterscheiden zusätzlich zumindest zwischen
WEP auf der einen und TKIP/AES auf der anderen Seite. Observer zieht sich beispielsweise noch
elegant aus der Unterscheidungsaffäre, indem es TKIP beziehungsweise AES etwas unscharf als "
Extended WEP" bezeichnet. Airmagnet und Airopeek beharren auch bei AES-verschlüsseltem Verkehr auf
einer angeblich erkannten TKIP-Verschlüsselung. Diese Fehlleistung aller aktuellen
WLAN-Analysatoren ist umso erstaunlicher, als sogar die standardmäßig zu Funkadaptern
mitgelieferten WLAN-Utilities eine korrekte Unterscheidung in ihren Monitoren bieten.
Netzwerkrichtlinien
Um zu überprüfen, ob sich die eigenen Funknetze an vorhandene Konfigurationsrichtlinien halten,
gilt es, die Messdaten wie Funkkanalnutzung, SSIDs, Verschlüsselungs- und
Authentifizierungsverfahren mit den entsprechenden Vorgaben abzugleichen. Die beiden
WLAN-Spezialisten Airmagnet und Airopeek erlauben hierzu, die Parameter in Netzwerkrichtlinien
zusammenzufassen. Tritt ein Verstoß im aktuellen Messbereich auf, löst das Programm einen
entsprechenden Expertenalarm aus.
Leider lassen sich komplexere Zusammenhänge – wie mehrere Paare aus SSID und
Verschlüsselungsverfahren – bei der aktuellen Form der Netzwerkrichtlinien noch nicht abbilden.
Zudem kann das Überprüfungsergebnis nicht detaillierter als die grundsätzlichen Messeigenschaften
des Analysators ausfallen. Eine genaue Unterscheidung zwischen TKIP und AES liegt damit schon
außerhalb des Möglichen. Auch sonst sind Widersprüchlichkeiten nicht selten: So meldet Airmagnet in
unserem Testnetz eine einfache, auf einem zent-ralen Passwort basierende Authentifizierung via
WPA-PSK (Pre-Shared Key) zwar korrekt als Verstoß gegen die Richtlinie, die eine 802.1x-basierende
Authentifizierung gegen einen Radius-Server (siehe hierzu auch LANline 12/2003) fordert. Die
Stationsliste ordnet dem Client aber genau diese 802.1x-basierende Sicherheit zu.
Löblich ist im Fall Airmagnet zumindest, dass es die im Testfeld mit Abstand umfangreichsten
Alarminformationen bietet: Sein Expertensystem "Airwise" gibt am Bildschirm sehr ausführliche
Erklärungen mit Bezug auf das auslösende Netzobjekt. So kann der fachkundige Administrator leichter
entscheiden, ob angebliche Auffälligkeiten wie mehrere APs, die ineffizient auf demselben Funkkanal
arbeiten, wirklich als Fehler zu interpretieren sind oder lediglich als AP mit mehreren aktiven
SSIDs. Auch Airopeek liefert Empfehlungen für Gegenmaßnahmen – wenn auch nur kurze. Observer und
Sniffer beschränken sich hingegen auf kurze Warnmeldungen.
Analyse jenseits von 802.11
Wenn auch Fragestellungen auf Verbindungs- und Anwendungsebene zu klären sind, muss ein
WLAN-Analysator nicht nur mehr als 802.11 verstehen, sondern auch in der Lage sein, an diese im
Normalfall mittels Verschlüsselung gesicherten Protokollebenen heranzukommen. Die Möglichkeiten von
Airmagnet erschöpfen sich in diesem Bereich schnell, da sich der Analysator ausschließlich auf
802.11 und sein unmittelbares Umfeld (zum Beispiel 802.1x) konzentriert. Was genau innerhalb von "
WLAN Data Frames" transportiert wird, bleibt ihm verborgen.
Bevor Airopeek, Observer und Sniffer ihre umfangreichen weitergehenden Protokollkenntnisse auf
den WLAN-Datenverkehr anwenden können, gilt es, diesen zu dechiffrieren. Zum Standardrepertoire
gehört dabei zumindest die Unterstützung von WEP mit 64/128 Bit. Voraussetzung zur Dekodierung
WEP-geschützter Pakete ist grundsätzlich, dass der verwendete statische Schlüssel dem
Analyseprogramm bekannt ist. Observer kapituliert auch nicht vor dem seltener anzutreffenden
152-Bit-WEP.
Doch welche Analysemöglichkeiten bieten sich für WLANs an, die auf der Basis von 802.1x, WPA
(TKIP/MIC) oder 802.11i (AES/CCM) unsichere statische WEP-Schlüssel hinter sich gelassen haben?
Airopeek dekodiert als einziger Analysator der Testrunde auch nach WPA-PSK verschlüsselte
Datenpakete. Voraussetzung einer erfolgreichen Datenentschlüsselung ist jedoch die Verwendung von
TKIP/MIC, und die Sitzungsaushandlung muss von Beginn an mit aufgezeichnet worden sein. AES bleibt
als Bestandteil von 802.11i aber auch für Airopeek ein Buch mit sieben Siegeln.
Kommen im Unternehmensnetz allerdings sitzungsabhängige Schlüssel – wie generell im Zusammenhang
mit 802.1x – zum Einsatz, verschließt sich das WLAN prinzipbedingt der Entschlüsselung und damit
der weitergehenden Protokollanalyse. Observer und Sniffer spielen an diesem Punkt ihre Fähigkeiten
aus, auch Ethernet als Untersuchungsmedium zu unterstützen. Erkenntnisse über TCP/IP und darauf
aufsetzende Anwendungsinformationen lassen sich auf der LAN-Seite des Access Points sammeln, wo sie
nicht mehr der WLAN-Verschlüsselung unterliegen. Natürlich ergibt sich an diesem Zugangspunkt nur
ein reduziertes Bild der Netzwerkinterakti-onen auf der Luftstrecke, das aber für viele
Aufgabenstellungen ausreichen kann. Sniffer ist zudem in der Lage, den WLAN-Datenverkehr von und
zum Analyse-Notebook lokal abzugreifen. 802.11-spezifische Informationen und der Datenverkehr, der
nicht direkt für das Notebook bestimmt ist, bleiben dabei allerdings auf der Strecke.
Trendthema Voice over WLAN
Mit dem Trendthema VoIP erreichen in Form von Mobiltelefonen auch neue Endgeräte das WLAN, für
die geeignete Analysefunktionen bei Fehlersuche und Monitoring gefragt sind. Voice over WLAN und
die damit verbundenen Protokolle wie SIP oder H.323 sowie RTP/RTCP beherrscht beispielsweise die
Observer-Suite bereits von Haus aus virtuos. Sniffer benötigt die Freischaltung der "Voice Option",
und das nagelneue Airopeek VX 1.0 ("Expert and Voice Analysis") unterscheidet sich von Airopeek NX
3.0 ("Expert Analysis") genau um seine komfortable VoIP-Unterstützung. Da sich Airmagnet
konzeptbedingt nicht näher um die Protokollebenen oberhalb von 802.11 kümmert, beschränkt sich der
VoIP-Support auf einige wenige "Expertenmeldungen", die auf überlastete Access Points, hohe
Kanalauslastung oder Kanal-interferenzen im 2,4 GHz-Band (802.11b/g) durch VoIP-Endgeräte ("VoWLAN
Phones") hinweisen.
Bedauerlich ist, dass Sniffer auch in der neuesten Version nicht in der Lage ist,
mitgeschnittene Sprachinformationen akustisch wiederzugeben. Dies ist umso verwunderlicher, als
selbst das kostenlose Open-Source-Tool "Ethereal" die Möglichkeit bietet, SIP-Calls aus dem
Funkverkehr zu fischen und RTP-Audioströme (Telefonate) zur unmittelbaren Beurteilung der
Sprachqualität im gängigen "AU"-Dateiformat zu speichern.
Grundsätzlich erschwert auch im Zusammenhang mit Voice over WLAN die beschriebene
Entschlüsselungsproblematik die Protokollanalyse. In der Praxis entschärft sich das Problem jedoch,
da die meisten VoIP-Handsets derzeit nur WEP mit statischen Schlüsseln unterstützen. Die Analyse
von VoIP direkt im WLAN statt im angrenzenden Ethernet ist besonders deshalb von Bedeutung, da nur
an der "Luft"-Schnittstelle Probleme durch fehlerhafte Verkehrspriorisierung (Quality of Service)
oder Beeinträchtigungen durch andere WLAN-Komponenten im vollen Umfang sichtbar werden.
Fazit
Den aktuellen Versionen von Airopeek, Airmagnet und Observer ist generell anzumerken, dass sich
die Entwickler Mühe geben, für das komplexe Thema der WLAN-Analyse möglichst komfortable Werkzeuge
bereitzustellen. Nur bei Sniffer hat sich im Bereich Benutzerführung aber auch bei der
Wireless-Unterstützung in den letzten Jahren kaum etwas getan. Der WLAN-Spezialist Airmagnet
richtet sich mit seinen umfangreichen Airwise-Expertenalarmen prinzipiell auch an "
WLAN-Teilzeitadministratoren". Nicht nur diese werden auch das neue integrierte Berichtsmodul ("
Airmagnet Mobile Reporter") zu schätzen wissen, das Analysedaten "Management"-konform zu Papier
bringt: Vier vordefinierte umfangreiche "Compliance Reports" ("DoD 8100.2", "GLBA", "HIPAA" und "
Sarbanes Oxley Policy") orientieren sich an den Anforderungen der US-Regierung für die
Informationssicherheit. Diese sind zwar für national agierende Unternehmen nicht unmittelbar
relevant, bieten aber auch für diese einen interessanten Dokumentationsansatz über den eigenen
Stand der WLAN-Sicherheit.
Die aufkommende WLAN-Absicherung mit 802.1x, TKIP/MIC und AES/CCM stellt durch dynamisch
ausgehandelte Schlüssel prinzipbedingt eine Grenze für WLAN-Analysatoren dar, die nur die
Allrounder Observer und Sniffer teilweise umgehen können. Dennoch sollte künftig zumindest eine
korrekte Interpretation der vorliegenden WLAN-Verschlüsselung und -Authentifizierung zur
Überwachung von Richtlinien gewährleistet sein. Angesichts des virtuosen Umgangs mit VoIP, wie ihn
Airopeek VX und Observer bieten, müssen sich Netzverantwortliche nicht vor der Invasion der
IP-Phones fürchten.
Lesen Sie mehr zum Thema
