Wi-Fi: tecnologia spesso dimenticata
Wi-Fi: una tecnologia di cui spesso non teniamo conto
Siamo abituati alla comodità ed alla facilità con cui, tramite il WiFi possiamo ricevere e trasmettere delle informazioni, gestire dei dispositivi, monitorare la casa, ecc.
Il WiFi è diventato una parte talmente integrante della nostra esistenza, che a volte ci dimentichiamo che esiste: quasi come se per connettere tutti i nostri dispositivi i “pacchetti di dati” potessero viaggiare naturalmente nell’etere: ci pare scontato il fatto che il WiFi lavori tutto il giorno per noi senza arrecarci danno alcuno.
Purtroppo questa sensazione di pacifica convivenza a volte è solo un’illusione legata al fatto che noi non “vediamo” che cosa viene effettivamente trasmesso via WiFi e come avvengono queste trasmissioni.
I packet sniffer
I packet sniffer (o analizzatori di protocollo)
La rete Internet e le reti locali LAN (Local Area Network) sono reti a commutazione di pacchetto (in inglese vengono chiamate packet switching).
In queste reti non è prevista la “costruzione” di un canale di comunicazione diretto tra la stazione sorgente e la stazione di destinazione dei dati, ma ogni messaggio viene suddiviso in pacchetti numerati con gli indirizzi delle stazioni. Quindi i dati viaggiano in pacchetti.
I sofware come il Wireshark catturano questi pacchetti di dati in transito, li riorganizzano permettendo l’effettuazione di ricerche.
Detto in parole semplici, le applicazioni come il Wireshark ci aiutano controllare quali sono le attività che stanno avvenendo sul nostro Wifi al fine di individuare (eventualmente) gli scambi di dati non autorizzati, le trasmissioni di password non crittografate, e così via.
Disclaimer: lo “sniffer” Wireshark è un hardcoretool, e per usarlo devi avere una minima conoscenza dei protocolli di rete.
Cos’è Wireshark
Cos’è Wireshark
Wireshark è un packet sniffer (sniff sta per annusare, odorare), cioè un analizzatore di protocollo.
E’ stato progettato per chiunque (per le famiglie, le aziende, i consulenti ecc..) abbia bisogno di monitorare la propria rete, per ragioni di sicurezza o in ragione delle proprie prestazioni.
Dato che Wireshark è in grado anche di leggere le informazioni acquisite da applicazioni come Snoop, Sniffer e Microsoft Network Monitor, può anche fungere da strumento aggiuntivo per l’analisi della rete effettuata con questi altri software.
Wireshark è disponibile:
- sia come software compilato per i sistemi operativi Linux, Windows (previa installazione delle librerie WinPcap) e Mac OS,
- sia come codice sorgente (da essere compilato).
- Può essere scaricato sul sito www.wireshark.
Le sue caratteristiche
Le caratteristiche del Wireshark
- Interfaccia grafica di facile comprensione.
- Informazioni Expert registra comportamenti problematici della rete.
- I dati possono essere visualizzati dal vivo o da file acquisiti in precedenza.
- I dati possono essere acquisiti in tempo reale da numerose interfacce e tipi di rete.
- La presenza di un potente sistema di filtraggio.
- La possibilità di “isolare” tutti i pacchetti di una determinata conversazione TCP.
- Ha la capacità di agire a più livelli della stack TCP/IP.
- È incluso un potente sistema di macro.
- Sono visualizzabili endpoint, gerarchia dei protocolli, conversione e più statistiche.
- È possibile eseguire l’analisi VoIP.
- Lettura / Scrittura in numerosi formati di acquisizione.
- Supporta la decrittografia.
- È inclusa l’esportazione di report in XML, PostScript, CSV o in testo normale.
I suoi punti di forza
Questo programma può registrare il traffico WiFi, consentendoci di visualizzare il contenuto di ogni pacchetto di dati che passa sulla rete.
Operando nella cosiddetta “modalità promiscua” (attivata di default), Wireshark è in grado di “intercettare” tutto il traffico della rete in tempo reale, compreso quello diretto ad altri dispositivi, o avente origine da essi.
L’indirizzo IP del sistema di destinazione viene sempre registrato.
Con Wireshark è possibile, ad esempio, esporre programmi che trasmettono più frequentemente.
È inoltre possibile valutare statisticamente il traffico raccolto. Ad esempio, è possibile cercare pacchetti particolarmente grandi, oppure selezionare gli indirizzi I.P. chiamati di frequente.
Wireshark registra il traffico di rete delle interfacce del sistema in cui è installato. Può quindi esaminare tutte le connessioni in entrata ed in uscita del rispettivo computer.
Allo stesso tempo, riceve anche tutti i pacchetti di dati inviati a tutti i sistemi della rete.
I suoi punti carenti
L’unico diffetto di questo software è la mancanza di un’assistenza tecnica 24/7: un problema che può essere aggirato ricorrendo all’aiuto di una comunità di utilizzatori molto ricca e disponibile, ma che rappresenta un limite qualora, in un contesto professionale, si necessiti di un supporto immediato e qualificato.
Per il resto comunque, Wireshark è uno strumento molto intuitivo ed incredibilmente potente in grado di rendere chiunque completamente consapevole di ciò che sta accadendo in rete.
Analizzare il traffico con Wireshark
Le analisi del traffico di rete col Wireshark
1 – le registrazione del traffico
Prima di effettuare un’analisi del traffico è necessario registarlo.
- Dopo aver avviato Wireshark, il software ci mostra innanzitutto le interfacce del computer.
- Nella panoramica: selezionare la voce dell’interfaccia da monitorare.
- Per iniziare la registrazione, fare clic sul simbolo di una pinna, nell’angolo in alto a sinistra.
2 – la schermata principale di Wireshark
La parte più in alto, rappresenta il livello di astrazione più elevato, e serve solamente per avere una panoramica sui pacchetti sniffati.
La seconda e la terza porzione della pagina entrano più nel dettaglio dandoci maggiori informazioni sul pacchetto selezionato e il contenuto vero e proprio in formato ASCII ed esadecimale.
3 – il filtraggio
Già durante la registrazione del traffico di pacchetti, si può cliccare sulle varie righe per analizzare ogni pacchetto.
Grazie alla funzione filtro, ci è possibile monitorare solo un certo tipo di traffico (ad esempio, filtrando “tcp.port == 9001 || tcp.port == 9030” si osserverà solo il traffico trasmesso via Tor, il browser).
Infine, grazie al bottone col segno “+” presente a fianco della barra del filtro, è possibile salvare i propri filtri e richiamarli con un click. In alternativa il filtraggio potrà essere effettuato a posteriori, sui dati raccolti.
Una lista di alcuni filtri Wireshark è disponibile a questo indirizzo.
4 – le statistiche
La sezione Statistics di Wireshark è incredibilmente utile perché ci consente di avere istantaneamente una panoramica di tutto ciò che accade sulla rete locale.
5 – la crittografia SSL (Secure Socket Layer)
Gli sniffer come Wireshark hanno un problema: per poter vedere il contenuto di un pacchetto, questo non dev’essere crittografato.
Nel caso di una connessione protetta, il pacchetto viene visualizzato con l’indirizzo di destinazione, ma il contenuto non può essere verificato.
Wireshark può decrittografare il traffico crittografato solo se può leggere la chiave utilizzata in Wireshark.
Gli sviluppatori di Wireshark hanno scritto un manuale nel Wiki ufficiale, che descrive la procedura di base, ad esempio per analizzare le connessioni SSL (Secure Socket Layer) create da Firefox.