- RF Monitor
-
Mode moniteur
Pour les articles homonymes, voir Mode moniteur (homonymie).Le mode moniteur (aussi appelé Radio Frequency Monitoring, RF Monitor, rfmon, RFMON, Air Monitor, Network Monitor, NetMon, ou encore surveillance RF) permet à un ordinateur équipé d'une carte réseau Wi-Fi d'écouter tout le trafic d'un réseau sans fil. À la différence du mode promiscuous, qui est aussi utilisé pour sniffer un réseau, le mode moniteur permet aux paquets d'être capturés sans avoir besoin de s'enregistrer sur un point d'accès (AP) ou réseau ad hoc. Le mode moniteur n'existe que sur les réseaux sans fil, tandis que le mode promiscuous peut être utilisé à la fois sur les réseaux filaires et sans fil.
Le mode moniteur est l'un des quatre modes dans lesquels une carte sans fil 802.11 peut fonctionner :
- infrastructure (managed), pour le client/la station communiquant à travers un point d'accès ;
- ad hoc, point à point ;
- maître (master), c'est-à-dire se comportant comme un point d'accès ;
- moniteur (monitor).
Sommaire
Utilisations
Le mode moniteur peut être utilisé à des des fins malveillantes, comme collecter du trafic afin de casser une clé WEP pour pouvoir ensuite se connecter à un point d'accès.
Des logiciels comme KisMAC ou Kismet, en combinaison avec des analyseurs de protocoles comme Wireshark ou tcpdump apportent une interface utilisateur pour faire de la surveillance passive de réseau sans fil.
Mais le mode moniteur est également employé à d'autres fins comme :
- géolocalisation de clients (PCs ou téléphones Wi-Fi) par triangulation à partir des positions connues des hotspots,
- détection d'attaques (IDS),
- détection de l'utilisation de packets sniffers actifs,
- détection de points d'accès non autorisés.
Dans les installations professionnelles, des points d'accès sont ainsi prévus et configurés pour être en permanence en mode moniteur. On ne parle alors plus d'AP (Access Point) mais d'AM (Access Monitoring). Leur installation et surtout la surveillance quotidienne associée participent à la sécurité du réseau Wi-Fi.
Limitations
Normalement une carte Wi-Fi ne peut plus transmettre de données lorsqu'elle est en mode moniteur, et est restreinte à un seul canal. Ceci dépend du pilote utilisé. De même, une carte Wi-Fi en mode moniteur ne vérifie plus l'intégrité des paquets reçus (CRC), et peut donc laisser passer des paquets corrompus.
Quelques modèles de points d'accès permettent maintenant un fonctionnement à la fois en mode maître et moniteur[1].
Pilotes
Le meilleur moyen de passer en mode moniteur est d'utiliser Linux[2] car la gestion des interfaces réseau le permet nativement et c'est sous ce système d'exploitation que l'on retrouve le plus de pilotes le permettant. FreeBSD, NetBSD, OpenBSD, et DragonFly BSD permettent également d'avoir un bon support pour ce mode.
L'interface de programmation NDIS n'apporte pas la possibilité de passer en mode moniteur sous Windows. Seuls quelques rares matériels le permettent car ils ont des pilotes spécifiquement développés pour cela. Mais à partir de Microsoft Windows Vista (NDIS version 6[3]), cela devient possible.
Références
- ↑ (en)[pdf] The Aruba AP 70. Consulté le 23 février 2008
- ↑ (en) Latest Kismet stable release README file. Consulté le 23 février 2008
- ↑ (en) MSDN - Network Monitor Operation Mode, Windows Driver Kit: Network Devices and Protocols, Microsoft. Consulté le 23 février 2008
Voir aussi
Articles connexes
- Promiscuous mode
- Packet sniffer
- Comparaison de pilotes Wi-Fi libres (en)
Liens externes
- (en) RFMON - Radio Frequency Monitoring, Monitor Mode
- [pdf] Passeport pour des réseaux Wi-Fi hautement sécurisés et administrables
Portail de l’informatique
Catégories : Logiciel d'analyse du réseau informatique | Réseau sans fil | Wi-Fi
Wikimedia Foundation. 2010.
