Con un conocimiento básico de cómo crear filtros de presentación para aislar tramas de interés, podemos proceder a analizar las tareas de solución de problemas comunes. El lugar de presentar ejemplos detallados con una gran cantidad de capturas de pantallas, esta sección analiza cómo aislar las tramas de interés y proporciona una descripción de lo que puede ver.
Solución de problemas de autenticación
Â
Filtro de presentación: aislar tramas EAPOL hacia y desde una estación, a la vez que busca acuses de recibo.
lie.type==0x888e and wlan.addr==supplicantMAC y (wlan.ra==supplicantMAC or wlan.ra==APMAC)
Todas las tramas EAPOL tienen un identificador que sirve como contador de secuencias. Cada paquete EAP acusa recibo de la recepción anterior. Busque a través de la sesión 802.IX para asegurarse de que cada trama EAPOL tiene su acuse de recibo 802.11 correspondiente y que el identificador EAP está aumentando. Algunos solicitantes (supplicants) no controlan bien la retransmisión y se cerrarán. (Por esta razón, muchos puntos de acceso tienen que anular la autenticación de una sesión 802.IX colgada y empezar una nueva.)
Al buscar el contenido de los paquetes EAP, puede saber dónde está fallando la autenticación. Si falla tras el establecimiento del túnel TLS, puede que se trate del solicitante que está fallando la verificación del certificado del servidor. Si los dalos pasan por el túnel TSL, es muy probable que la autenticación esté fallando por otra razón. Compruebe sus registros de servidor RADIUS para obtener más detalles.
Â
Solución de problemas de distribución de claves Filtro de presentación: Aislar tramas de clave EAPOL hacia y desde una estación.
11c.type==0x888e and eapol.type==3 y wlan.addr==supplicantMAC.
Hay que seguir seis pasokpara distribuir correctamente las claves. Una parte del acuerdo de conexión se muestra en la figura 24.5. Primero, se debe completar la conexión de cuatro puntos. Como comprobación inicial, asegúrese de que cada trama tiene su acuse de recibo. La forma rápida de hacerlo es mirar la cantidad de tramas en Ethereal. Si la cantidad de tramas aumenta en dos, es muy probable que la trama omitida sea un acuse de recibo 802.11.
Una de las razones más comunes para que falle la distribución de claves es una discordancia entre los parámetros de seguridad del solicitante y del autenticador. Ethereal tiene disectores creados para descodificar los elementos información incluido en las tramas de claves. La figura 24.5 muestra el inicio de una descodificación de elementos de información en la parte inferior del panel de la vista de árbol. En ella, la clave de grupo se descodificar como WEP dinámica. Más adelante en la descodificación, sólo hay un grupo de código unidifusión. WPA especifica que sólo se debe utilizar un grupo de código unidifusión, pero esta regla normalmente no se sigue en la mayorÃa de los productos. No obstante, algunos solicitantes no pueden tratar la práctica común y fallan a mitad de camino a través de la autenticación. Si las descodificaciones de los elementos de información en la Petición de asociación no coinciden con los del acuerdo de conexión de claves, el autenticador fallará el intercambio.
Solución de problemas de rendimiento
Resolver problemas de rendimiento normalmente es mucho más fácil que identificarlos. En general, los problemas de rendimiento entran dentro de una de las siguientes categorÃas:
Filtro presentación 1: Aisla tramas hacia y desde una estación a la vez que busca acuses de recibo.
wlan.addr==clientMAC y (wlan.ra==supplicantMAC or wlan.ra==APMAC)
Este filtro presentar todo el tráfico hacia y desde una determinada estación. Con cualquier acuse de recibo. Busque a través de la traza tramas que se hayan trasmitido repetidamente. Si no se recibe ningún acuse de recibo, la trama se debe volver a transmitir totalmente. Si no se recibe tras múltiples intentos, se deben reducir la velocidad de transferencia de la tarjeta para mejorar la fiabilidad. Normalmente se requieren menores tasas de señal a ruido para velocidades inferiores. Una opción para resolver este tipo de problema de rendimiento puede requerir aumentar la densidad de los puntos de acceso en el área para mejorar la calidad de la señal. También puede ayudar la mejora del sistema de antenas en el AP 0 en el cliente.
prism.rate.data <Â (speed tag)
Junto con el filtro anterior, puede ayudar buscar sólo las tramas que se encuentran por encima o por debajo de una determinada velocidad. El encabezado de supervisión de Prism añade un simple entero para la velocidad de la trama. Se informa en unidades de 500 kbps, por lo que debe duplicar el valor de los megabits por segundo para su uso en esta expre
sión. Para ver todas las tramas trasmitidas por debajo de los 2 Mbps, por ejemplo, utilice prism, rate.data < 4.  Â
En la parte inferior de la pantalla Ethereal debajo cÃel panel de vista de datos se encuentra una ventana que informa sobre la cantidad de paquetes junto conHa cantidad en paquetes mostrados. En la figura 24.1, la captura tenÃa 26 tramas (etiquetadas con una P) y se muestran las 261 tramas (etiquetas con una D). Las aplicaciones del filtro de presentación 2 con una calculadora le ofrecerán una idea de la relación de tramas transmitidas y a qué velocidades de datos. Muchas herramientas comerciales informan de ese análisis a través de un asistente en tiempo real.
Filtro de presentación 3: Tráfico de datos desde redes superpuestas.
wlan.bssid != APMAC
Los usuarios pueden quejarse por el rendimiento debido a la superposición de una red diferente. Las redes 802.1 lb/g son especialmente propensas a golpear al rendimiento de redes superpuestas ya que sólo existen tres canales. Para valorar el grado de superposición, ejecute la captura y después utilice un filtro de presentación 3 para conservar sólo las tramas que provienen de otras redes. Si permanece un número sustancial de tramas, intente localizar los AP de dicha redes y desactivar la potencia.
Descifrado del tráfico WEP
Muchos analizadores tienen la capacidad de descifrar tramas cifradas en WEP introduciendo las claves. Por ejemplo, en Ethereal, dirÃjase a la opción Preferences (Preferencias) en el menú Edit (Editar) y seleccione el protocolo IEEE 802.11 para ver las opciones WEP de la figura 24.6. Cuando introduzca las claves, Ethereal intentará descifrar todas las tramas con las claves especificadas. Las claves WEP manuales son fáciles de localizar; las dinámicas se tienen que recuperar desde el solicitante o desde el AP Los solicitantes Linux mostrarán la clave de cifrado en el resultado de salida de iwconf ig. Muchos puntos de acceso tienen formas de volear el contenido de la tabla de claves, que pueden utilizar los administradores de red para buscar la clave derivada de dicha estación.
Análisis RADIUS
Aunque no estrictamente relacionado con las LAN inalámbricas, Ethereal tain bien tiene la capacidad de descifrar tramas RADIUS. En la configuración de prefe rencias para el protocolo RADIUS, se puede introducir el secreto compartido de RADIUS. Al utilizar un tráfico RADIUS, es posible recuperar claves dinámicas automáticamente, aunque no conozco ningún complemento Ethereal que lo haga.
