Les méthodes de capture du WiFi le pour et le contre
Il existe plusieurs manières de capturer les paquets des réseaux sans fil pour les analyser. Certaines peuvent être réalisées depuis un poste unique, d’autres nécessitent plusieurs points de capture et d’avantage de ressources.
Aucune solution n’est parfaite et le meilleur choix dépend le plus souvent de l’environnement et des conditions de l’analyse.
Pourquoi est-ce important ?
Lorsqu’on capture les paquets sur un WLAN, il difficile d’être certain de capturer les bonnes données alors que le problème ne se pose pas sur le réseau filaire Ethernet.
La qualité de votre analyse, dépendra aussi de la qualité des données capturées.
Il est donc essentiel de garder en tête les avantages et inconvénients de chaque méthode de capture du WiFi et d’utiliser la plus appropriée pour collecter les flux de données dont vous avez besoin.
Nous avions déjà abordé le sujet début 2015 avec notre billet « Capture et analyse du 802.11ac, les meilleures pratiques« , mais les capacités d’Omnipeek et les techniques ont évoluées.
Les méthodes de capture des données sans fils sont généralement classées en 3 catégories :
- Portable : avec un ordinateur portable directement placé là où le signal doit être capturé.
- Distant : la capture du WiFi est réalisée à un autre emplacement géographique souvent distant.
- Distribuée : l’analyse et la capture sont réalisées à distance quelque part sur le réseau.
Voici les avantages et inconvénients des différentes méthodes de capture de paquets des réseaux WiFi.
Ordinateur portable avec clé USB 802.11n/802.11ac (Portable)
Pour : Cette méthode permet d’utiliser plusieurs clés USB sur un seul ordinateur portable, ce qui en fait un système autonome pour capturer plusieurs canaux simultanément comme nous en parlions la semaine passée. C’est une approche relativement peu couteuse.
Contre : Cette méthode est dépendante de la clé USB : une clé 802.11n ne verra pas le traffic 802.11ac. Elle est limitée à la capture de 2 flux 802.11ac. La capture du WLAN doit être réalisée à l’emplacement du problème. C’est une méthode un peu « préhistorique » car les clés USB ne sont pas conçues pour la capture de paquets.
Point d’accès directement connecté à l’analyseur (Portable)
Pour : vous pouvez connectez directement une AP à l’analyseur réseau ce qui donne une capacité d’analyser 4 flux 802.11ac avec une excellente qualité de réception.
Contre : il est parfois difficile d’alimenter électriquement la borne. De nombreux constructeurs de Hotspots n’ont pas prévu d’option permettant de passer la borne en mode sniffer ou promiscuous mode. Enfin vous ne pouvez capturer qu’un seul canal à la fois.
MacBook/MacBook Air (Portable)
Pour : les MacBooks disposent d’un utilitaire qui place l’ordinateur en mode sniffer avec la capacité de capturer 3 flux 802.11 d’une manière simple et fiable.
Contre : c’est une autre solution mono canal et une capture des paquets en aveugle. Les paquets doivent être exportés post-capture vers Omnipeek.
MacBook avec TCPDump et Omnipeek (Portable)
Pour : C’est une méthode très efficace de réaliser des captures en temps-réel avec une capacité de 3 flux 802.11ac.
Contre : C’est une solution de capture mono canal et qui peut être compliquée à configurer. La bande passante maximale capturante est de l’ordre de 30 Mbps.
Remote Capture « Assistants » (Remote)
Pour : Le principal avantage est que vous n’avez pas besoin de vous rendre sur place. Elle permet la capture de plusieurs canaux simultanément. L’utilisateur final est responsable de la capture (Start et Stop).
Contre : Il faut une clé USB supportée et c’est une capture avec analyse différée. L’utilisateur doit vous faire parvenir le fichier de capture à analyser.
Hub USB réseau avec clés 802.11n/802.11ac (Remote)
Pour : vous pouvez vous trouver à des centaines, ou des milliers de kilomètres de l’emplacement de la capture. Les hub USB réseau sont relativement peu couteux et vous pouvez y connecter plusieurs clés USB pour capturer plusieurs canaux wireless.
Contre : Nécessite une connexion Ethernet et permet la capture de 2 flux 802.11ac. Les hubs Ethernet USB sont parfois difficiles à trouver.
TCPDump (Remote)
Pour : c’est une excellent solution que supporte Omnipeek mais les performances de capture peuvent être limitées. Il est préférable d’utiliser cette solution quand on n’a pas d’autre choix.
Contre : C’est une solution mono canal qui supporte au maximum 30 Mbps. La configuration des connecteurs réseau peut être complexe. Les paquets sont tous envoyés par le réseau.
Remote Pcap (Remote)
Pour : Comme pour les autres solutions Remote, vous n’avez pas besoin de vous trouver sur place. La capture multi-canaux est possible (si disponible sur le matériel) et permet un feed-back temps-réel.
Contre : Cette solution n’est que partiellement supportée et reste dépendante du réseau de transport avec des limitations en bande passante d’environ 100 Mbps (ce qui est toujours plus que TCPDump).
AP connectés à une appliance Omnipliance (Distribuée)
Pour : Utiliser une AP en mode promiscuous offre le meilleur débit disponible qui permet d’excellentes performances de capture du WiFi et d’analyse 24/7 avec un seul dispositif.
Contre : C’est une solution rackable et non portable. Le coût est plus élevé que les solutions précédentes car il faut acquérir l’Omnipliance et la/les APs. L’AP n’est plus disponible pour le réseau sans fil si elle est placée en mode sniffer.
Capture engine avec clés USB (Distribuée)
Pour : solution basée sur du logiciel installé sur un de vos PC qui permet une analyse et un diagnostic 24/7. Permet également l’analyse multi-canaux.
Contre : solution limitée par le nombre de connecteurs USB du matériel hôte et par la puissance du matériel. Analyse jusqu’à environ 1 Gbps.
Capture Engine connecté à des APs (Distribuée)
Pour : Comme pour la solution AP connectées à une appliance de capture WLAN elle permet le diagnostic et l’analyse 24/7 de multiples canaux WLAN.
Contre : C’est une solution logicielle qui nécessite qu’un point d’accès soit placé en mode sniffer. Analyse jusqu’à environ 1 Gbps.
Au final, aucune des méthodes de capture du WiFi n’est applicable dans tous les cas. Cependant les méthodes de capture Remote ou Distribuées permettent de réelles économies de temps et d’argent puisque les ingénieurs n’ont pas besoin d’être dépêchés sur place.
comme toujours …
La réponse est dans les paquets !
Utilisés par plus de 6.000 entreprises de toutes tailles en France et dans le monde pour l’analyse, le diagnostic et la sécurisation de leur réseaux sans fils et filaires, Omnipeek et les solutions de diagnostic réseau Savvius sont distribuées en France par NetWalker et vendues en ligne sur NetWalkerStore.
Une question ? un devis ? Contactez-nous depuis le formulaire de contact.
Les marques citées sont déposées par leurs propriétaires respectifs.