iGu'T.fr

Aller au contenu | Aller au menu | Aller à la recherche

Tag - Aruba

Fil des billets

lundi 25 janvier 2010

Remote Monitoring d'un client ou d'une AP Aruba via Wireshark

Il est possible sur les controleurs WiFi Aruba (ou Alcatel) de mettre en place du remote Monitoring pour un point d'accès ou un client WiFi.

Voila la procédure pour la mise en place du Remote Monitoring d'un Point d'Accès.

Dans l'interface d'administration du controleur, Aller dans Monitoring => Access Points

Aruba-Remote_1.png

Selectionner votre point d'accès et cliquer sur Packet Capture

Aruba-Remote_2.png
Dans Target IP, Specifier l'adresse IP de votre machine puis Start

Les trames arrivent directement sur votre machine. Aruba_ERM_nodecoded.png Mais les trames ne sont pas décodés

Aruba fournit une version "speciale " de l'outil Wireshark pour la mise en place du Remote Monitoring, le probleme est que cette version est très vieille (basée sur la release 0.99.7) alors qu'on est en 1.2 pour la version stable !

Aruba-Wireshark-ext-0.99.7.png

J'ai donc crée un dissector (Aruba_ERM) qui permet de decoder directements les trames en provenance du controleur.

Pour cela, il faut au moins la build 1.3.3-SVN 31615 qui est disponible à l'adresse suivante http://www.wireshark.org/download/automated/win32/ (il suffit de prendre une version superieur à la build 1.3.3-SVN31615).

Aller dans les Preferences de Wireshark (Edit => Preferences )
Aruba_ERM_Port.png

Selectionner le Protocole ARUBA_ERM puis rentrer le port utilisé (par défaut 5555) puis Appliquer

Aruba_ERM_decoded.png

Vous pouvez maintenant utiliser toutes les derniers fonctionnalités de Wireshark (comme le déchiffrement WEP ou WPA)

dimanche 26 juillet 2009

CAPWAP News !!

Quelques nouvelles concernant le protocole CAPWAP...

  • Cisco utilise depuis la version 5.2 de ces contrôleurs WiFi le protocole CAPWAP en natif
  • Aruba a annoncé qu'il n'ajouterait pas le support de CAPWAP pour le moment dans leur contrôleur à cause de doute sur la licence et que le protocole demande obligatoirement l'utilisation d'extension proprietaire pour fonctionner !
  • Il y existe un projet Open Source pour l'implémentation du protocole CAPWAP mais pour le moment le projet est au point mort et se base sur une vieille version de la norme (Draft 09)
  • J'ai réalisé un dissector pour Wireshark du protocole CAPWAP en me basant sur l'implémentation (bugé) Open Source de CAPWAP.


PS : Mon dissector étant encore dans la branche developement de Wireshark, je vous met en piece jointe la derniere version de Wireshark (1.2.1) avec le support du protocole CAPWAP.

vendredi 6 mars 2009

Le protocole CAPWAP est finalisé !

C'est tombé cette nuit !
Le protocole CAPWAP est finalisé et standartisé !

CAPWAP ca veut dire quoi ?

C'est l'abréviation de Control And Provisioning of Wireless Access Points, c'est à dire Controle et gestion des Points d'Acces sans fils . C'est le protocole de communication entre les points d'accès et leur controleur, actuellement chacun constructeur à son protocole "Maison" et proprietaire , PAPI chez Aruba, LWAPP chez Cisco...

Avec ce protocole, un controleur de marque Y pourra controler un point d'accès de marque X !, il est prévu aussi pour controler tous les types de points d'accès, c'est à dire les points d'accès WiFi ou Wimax... ou la prochaine technologie sans fils !

Actuellement, aucon contructeur supporte officiellement CAPWAP. Mais un projet open-source est disponible pour le support du protocole CAPWAP, il est actuellement basé sur une vieille version de la norme CAPWAP, mais une mise à jour devrait bientôt etre disponible.

Un peu de lecture avec les differentes RFC

vendredi 6 février 2009

Decodage des trames PAPI Aruba dans Wireshark

Suite à mon billet sur le decodage des trames GRE dans Wireshark.

J'ai crée un nouveau patch qui permet de decoder les attributs RADIUS.

Ces modifications ne sont pas encore disponibles dans la derniere version stable de Wireshark, mais elles sont disponibles dans la version de développement (lien vers le dev).

J'ai aussi travaillé sur le decodage du protocole Aruba PAPI, c'est le protocole utilisé pour le controle et la gestion des points d'accès depuis les controleurs WiFi (en attendant CAPWAP ...)

Ce protocole est un protocole proprietaire à Aruba, il y a donc aucune documentation disponible.
Pour la réalisation de "dissector" (Décodeur de trames), j'ai réalisé une analyse des trames capturés entre le controleur WiFi et une borne.
Le protocole se base sur de l'UDP en port 8211 en source et destination. (surement pour passer plus facilement les firewalls...)
Il encapsule un protocole maison de gestion de connexion (type TCP) avec des numeros de sequences, des ports src & dst, un checksum...
et en fonction des ports src & dst une couche "data" (données) differences (Pour la configuration, le Monitoring, le debug...)

Voila quelques screenshots
Wireshark_Aruba_PAPI_1.png Wireshark_Aruba_PAPI_2.png Je joins aussi mon patch sur le protocole PAPI et une version portable pour Windows (basé sur la version 1.1.2) qui integre ce patch.

lundi 20 octobre 2008

Decodage des trames GRE Aruba dans Wireshark.

J'utilise depuis plusieurs mois les produits WiFi Aruba / Alcatel OAW. C'est du WiFi à base de point d'accès leger et d'appliance/controlleur WiFi .

Le flux entre le point d'accès et l'appliance WiFi est encapsulé dans des trames GRE. Et actuellement Wireshark/Ethereal ne sais pas le decoder (les trames sont vu comme GRE Encapsulated 0x8200 (unknown))

Ce flux est simplement des trames 802.11 (avec quelques informations specifiques Aruba) encapuslé dans du GRE.

J'ai donc crée un patch pour Wireshark pour ajouter le "decodage" de ces trames (en fonction des ID GRE) , ce patch a été accepté dans la version officielle.

Donc, la prochaine version stable de Wireshark intégrera directement le decodage des trames GRE. (je signalerais quand ca sera disponible)