Post on 16-Oct-2020
Versione 2.1 – Marzo 2006
AIEAAIEAAIEAAIEAAssociazione Italiana Information Systems Auditors
(In)Sicurezza delle Architetture Wi-Fi
(Davide Casale, casale@shorr-kan.com)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Overview
I punti trattati in questo incontro saranno :
• Il Wireless Lan o Wireless Fidelity (Wi-Fi)• Protocolli in cui si declina il Wi-Fi• Motivazioni del successo del Wi-Fi• Problematiche di sicurezza• Elementi di sicurezza del Wi-Fi• War Driving• Attacchi a sistemi Wi-Fi• Esempio di un’architettura sicura per il Wi-Fi
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Il Wireless Lan o Wireless Fidelity (Wi-Fi)
Che cos’è il Wi-Fi :
Il termine Wi-Fi è stato creato originariamente dalla Wi-Fi Alliance per descrivere la tecnologia per reti locali radio (wireless local area networks) basata sulle specifiche degli standard IEEE 802.11
Tali reti sono basate su dei ripetitori radio definiti Access Point e dei device di accesso per desktop, notebook, palmari o telefoni cellulari evoluti (schede od endpoint wireless)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Protocolli in cui si declina il Wi-Fi
I protocolli su cui si basa il Wi-Fi sono definiti nello standardIEEE 802.11 suddiviso in varie istanze :
• 802.11b : 11Mbit/s su frequenze 2.4 Ghz (30 metri circa)• 802.11a : 54Mbit/s su frequenze 5.0 Ghz (25 metri circa)• 802.11g : 54Mbit/s su frequenze 2.4 Ghz ed interoperabile con
802.11b (25 metri circa)• Varianti proprietarie per aggregare canali e avere anche 100-
200Mbit/s (3com/us robotics, linksys, cisco, etc.)• Nuovi protocolli in fase di standardizzazione :
• 802.11n : 540Mbit/s su frequenze 2.4 e 5.0 Ghz (50 metri circa)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Motivazioni del successo del Wi-Fi
La motivazione fondamentale del successo del Wi-Fi è :
la COMODITA’
- La comodità di coprire un’area senza dover stendere cavi- La comodità di potersi muovere all’interno dei locali- La rapidità di attivazione della nuova rete- I costi ridotti
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Problematiche di sicurezza
I punti di attenzione principali dal punto di vista della sicurezza sono :
• Il CAVO è ‘on the air’• Per cui le connessioni sono possibili anche al di fuori del vostro
ufficio o azienda (nei dintorni dello stabile)• La semplicità di implementazione potrebbe portare degli utenti a
posizionare degli access point anche se vietati dalle policy aziendali (perdita di controllo dei punti di accesso alla propria rete)
• Intercettazioni di informazioni solo ‘interne’ all’azienda diventano possibili anche da persone non interne e con modalità non rilevabili (stealth)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Elementi di sicurezza del Wi-Fi
Il protocollo Wi-Fi prevede dei sistemi di sicurezza (per l’accesso e la protezione del canale) nelle sue varie tipologie di implementazione :
• Open (nessuna autenticazione e traffico in chiaro)• WEP• WPA PSK (PresharedKey)• WPA TKIP (con EAP e certificati X.509 e autenticazione 802.1x)• WPA2 AES (con EAP e certificati X.509 e autenticazione 802.1x)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Elementi di sicurezza del Wi-Fi
WPA con certificati (WPA-TKIP o WPA2-AES con EAP e 802.1x)
Supplicant (client wireless)
Authenticator (Access Point)
Authentication Server (Server RADIUS)
880022..1111 aassssoocciiaattiioonn
EAPOL-start
EAP-request/identity
EAP-response/identity RADIUS-access-request
EAP-request RADIUS-access-challenge
EAP-response (credentials) RADIUS-access-request
EAP-success RADIUS-access-accept
EAPOW-key (WEP)
Accesso bloccatoAccesso bloccatoAccesso bloccatoAccesso bloccato
Access allowedAccess allowedAccess allowedAccess allowed
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
War Driving
Analisi on the roadStrumenti:
• Un’antenna direzionale ad alto guadagno• Una scheda wi-fi con un connettore pigtail verso l’antenna• Un computer portatile• Un software opportuno di scanning (kismet, network stumbler,etc.)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
War Driving
Analisi on the road
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Attacchi a sistemi Wi-Fi
Attacchi possibili alle reti Wi-Fi (su casi reali di attività di assessmentda noi svolte):
• Sull’infrastruttura dove sono collocati access point Open• Attacchi diretti al sistema di protezione WEP
• Hi-jacking• Air-Crack (deauth, sniff, crack)
• Fisica (Access Point fisicamente raggiungibili)• Attacchi diretti a preshared key semplici (WPA PSK)• Attacchi ai client (wifi card driver attack)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Attacchi a sistemi Wi-Fi
Sull’infrastruttura dove sono collocati access point Open :
•Rete WI-FI Open per il pubblico sulla stessa connessione Internet dell’ente pubblico in gestione ad un carrier esterno. Separazione effettuata in teoria con ACL sul router interno•Da un’analisi approfondita èrisultato che le ACL erano configurate in modo erroneo e dalla rete pubblica (anche senza la card prepagata per andare su Internet) si accedeva a risorse riservate e sensibili della rete interna.
InternetRouter con ACL
LAN Interna wired
di sede
(vlan LAN_INTERNA)
Router
Internet
LAN Wi-Fi
pubblica in gestione
carrier esternounmanaged
switch
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Attacchi a sistemi Wi-Fi
Attacchi diretti al sistema di protezione WEP :
1. Sniffing (BSSID, MAC)
2. Deauthentication
3. Hi-jacking e/o Man in the middle
Crack credenziali WEP
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Attacchi a sistemi Wi-Fi
Fisica (Access Point fisicamente raggiungibili) :
• Access point con autenticazione basata su Preshared Keycomplessa e scelta in modo opportuno
• Access point posizionati in corridoi accessibili al pubblico e facilmente resettabili alle configurazioni di default con una qualsiasi ‘spilla da balia’ o pennino
• A questo punto diventavano accessi Open alla rete senza preshared key (rete compatibile con la configurazione di defaultdell’apparato)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Attacchi a sistemi Wi-Fi
Attacchi diretti a preshared key semplici (WPA PSK) :
• Brute Force Attack a rete Wi-Fi protetta tramite WPA con Preshared Key
• Gli access point richiedevano una preshared key abbastanza banale e contenuta in un vocabolario italiano
• Il software di attacco ha provato a forza bruta tutte le passphrasecontenute nel vocabolario italiano
• In 4 ore e 20 minuti si è avuto accesso alla rete direttamente collegata alla rete interna e non separata tramite firewall o altri apparati di routing interni
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Attacchi a sistemi Wi-Fi
Attacchi ai client (wifi card driver attack) :• Attacco di buffer overflow al driver Intel di una sceda di rete wi-fi
con chipset Intel ipw2200. Tramite tale vulnerabilità nota si èpotuto far eseguire una backdoor sul client e a questo punto accedere alla rete tramite tale client usato come testa di ponte.
(Riferimento: http://www.securiteam.com/exploits/5RP0M0AKAA.html)
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Esempio di un’architettura sicura per il Wi-Fi
L’architettura attualmente ritenuta sicura è con WPA o WPA2 e certificati X.509 (TKIP o AES) e possibilmente con gli access point su aree a diversa sensibilità di sicurezza dedicate al wi-fi sui firewall.
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Esempio di un’architettura sicura per il Wi-Fi
Può rivelarsi molto utile creare due aree a diversa sensibilità di sicurezza sui firewall per due tipi di reti wifi: una per gli ospiti con accesso solo verso Internet e non alle risorse interne aziendali (per semplicità sono in WPA PresharedKey) …
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Esempio di un’architettura sicura per il Wi-Fi
… e una per gli utenti interni con accesso completo alle risorse aziendali in WPA TKIP/AES con certificati (e completamente tracciate tramite i log dei firewall). Per la gestione con i certificati si può utilizzare ad esempio la CA di Microsoft e l’authentication server IAS sempre di Microsoft in protocollo Radius.
Shorr Kan IT Engineerig srlVia Sestriere 28 10141 TorinoTel. 011 382 8358 Fax. 011 384 2028
Shorr Kandigital security
www.shorr-kan.com/security
Domande?
Domande?