Corso di Laurea in Informatica - leotardi.ddns.infoleotardi.ddns.info/html/wifi/downloadwifi/Le reti...

UNIVERSITA' DEGLI STUDI DI CAGLIARI

Facoltà di Scienze MM. FF. NN.

Corso di Laurea in Informatica

Le reti LAN: Analisi sulla sicurezza dei sistemi Wireless

Corsi di Reti di calcolatori e Progettazione Sistemi Distribuiti

A.A. 2006/2007

Docente: Prof. Gianni Fenu Studenti: Andrea Loi 39993

Tutor: Dott. Alessandro De Agostini Giacomo Piseddu 39905

Michele Corrias 39868

Tipologia Tesina: C

Le reti LAN: Analisi della sicurezza sui sistemi Wireless

2

Indice

Introduzione …………………………………………………… 7

Il Wireless ………………………………………………………………………….. 8

Problematiche del Wireless ………………………………………………………... 9

Soluzioni in un guscio di noce ……………………………………………………... 11

Capitolo 1 - La tecnologia Wireless LAN 802.11………………13

I tipi di apparati ………………………………………………………………….... 14

Le modalità del funzionamento …………………………………………………… 15

Gli standard in dettaglio …………………………………………………………... 17

802.11a …………………………………………………………………………… 17

802.11b …………………………………………………………………………… 17

802.11d …………………………………………………………………………… 18

802.11e …………………………………………………………………………… 18

802.11f …………………………………………………………………………… 18

802.11g …………………………………………………………………………… 18

802.11h …………………………………………………………………………… 18

802.11i ……………………………………………………………………………. 19

802.11n …………………………………………………………………………… 19

La pila di protocolli 802.11 ………………………………………………………... 19

Lo strato fisico 802.11 ……………………………………………………………... 20


3

Capitolo 2 - Il sottostrato MAC 802.11…………………………23

MAC Frame 802.11 ………………………………………………………………… 25

Formato Generale ……………………………………………………………….. 25

Frame Control …………………………………………………………………… 25

Duration/ID ……………………………………………………………………… 28

Address …………………………………………………………………………… 29

Sequence Control ………………………………………………………………… 30

QoS Control ……………………………………………………………………… 31

Frame Body………………………………………………………………………. 32

FCS ……………………………………………………………………………….. 33

Capitolo 3 - Meccanismi di Difesa ……………………………..34

Algoritmi di Cifratura ……………………………………………………………... 34

MAC Filtering e IP Filtering ……………………………………………………… 36

Proxy ……………………………………………………………………………….. 37

PPPoE ………....………..………..………..………..………..………..………….. 38

VPN ………..…………..………..………..………..………..………..………..….. 39

Regole di Base ………..……….…..………..………..………..………..…………. 40

Cambiare gli SSID di default …………………………………………………… 40

Utilizzare SSID non descrittivi …………………………………………………. 40

Disabilitare il broadcast SSID ………………………………………………….. 40

Cambiare le Password …………………………………………………………… 41

Aggiornare il Firmware ………………………………………………………….. 41

Minimizzare l‟intensità del segnale ………………………………………………41

Cambiare le Community di default SNMP ……………………………………... 41

Limitare il traffico di broadcast ………………………………………………… 41

Protezione del Client …………………………………………………………….. 42

Non utilizzare il DHCP …………………………………………………………. 42

Uso di una VLAN separata …………………………………………………….. 42


4

Capitolo 4 - WEP (Wired Equivalence Protocol) ……………..43

Formato MPDU …………………………………………………………………… 43

Chiavi di Cifratura …………………………………………………………………. 44

Algoritmi di Cifratura ……………………………………………………………... 44

RC4 …………………………………………………………………….………… 45

Key Scheduling Algorithm ……………………………………………………… 45

Pseudo Random Generation Algorithm ………………………………………... 45

Implementazione RC4 …………………………………………………………... 46

Costruzione del Seme ………………………………………………………………. 46

Incapsulamento crittografico di una MPDU …………………………………….. 47

Scapsulamento di una MPDU …………………………………………………….. 47

Vulnerabilità dell‟algoritmo WEP ………………………………………………... 48

IV Collision ………………………………………………………………………. 49

WEP Key Recovery …………………………………………………………….. 49

L'attacco di Fluhrer, Mantin e Shamir …………………………………………. 50

L‟attacco di Klein ……………………………………………………………….. 52

L'attacco di Tews, Weinmann e Pyshkin ………………………………………. 54

Incrementare il traffico dei pacchetti utilizzati ………………………………… 55

Conclusione dell‟analisi WEP ……………………………………………………... 56

Capitolo 5 - WPA (Wi-Fi Protected Access) ………………….57

TKIP ………………………………………………………………………………. 57

Formato MPDU …………………………………………………………………… 58

Incapsulamento crittografico di una MPDU …………………………………….. 59

Scapsulamento di una MPDU ………………………….…………………………. 60

Message Integrity Check (MIC) …………………………………………………… 61

MIC nel dettaglio ………………………………………………………………… 62

Vulnerabilità del WPA …………………………………………………………….. 63


5

Capitolo 6 - WPA2 ……………………………………………..65

CCMP - Counter Mode with CBC-MAC Protocol ………………………………… 66

Formato MPDU …………………………………………………………………… 66

Incapsulamento crittografico di una MPDU …………………………………...... 67

Scapsulamento di una MPDU ………………….…………………………………. 67

Vulnerabilità del WPA2 …………………………………………………………… 68

Capitolo 7 - MAC Filtering ….…………………………………70

Funzionamento …………………………………………………………………….. 70

Vulnerabilità del MAC Filtering …………………………………………………... 71

Capitolo 8 - IP Filtering ………………………………………..72

Funzionamento …………………………………………………………………….. 72

Vulnerabilità dell‟IP Filtering …………………………………………………….. 73

IP Address Spoofing …………………………………………………………….. 74

Capitolo 9 - Proxy ……………….……………………………..75

Tipologie di Proxy …………………………………………………………………. 75

L‟uso del Proxy in ambito wireless ………………………………………………,. 76

Vulnerabilità dei Proxy applicativi ……………………………………………….. 77

Hostname: localhost …………………………………………………………….. 77

Accesso non autenticato al Proxy ….…………………………………………… 77

Capitolo 10 - PPPoE (Point-to-Point Protocol over Ethernet)..78

L‟uso del PPPoE in ambito wireless ……………………………………………… 78


6

Crittografia ………………………………………………………………………… 79

Capitolo 11 - VPN (Virtual Private Network) …………………81

Sicurezza …………………………………………………………………………… 82

IPSec (IP Security Protocol) ……………………………………………………… 83

Scambio delle chiavi …………………………………………………………….. 85

Protezione del Client …………………………………………………………….. 86

Hacking delle VPN ………………………………………………………………… 87

Microsoft PPTP …………………………………………………………………. 87

Analisi Pratica di IPSec ………………………………………………………… 88

Bibliografia ……………………………………………………90


7

Introduzione

Il XX secolo è stato un secolo nel quale la comunicazione e l‟informazione, e quindi

una sua raccolta, elaborazione, condivisione e distribuzione, hanno giocato un ruolo

fondamentale in ogni campo. Dalla stampa alla posta, dalla radio alla televisione,

dal codice morse al telefono; è nata una corsa alla condivisione ed alla ricerca di in-

formazione, che rende l‟essere umano partecipe della vita sociale. Altresì, col passare

degli anni e grazie un rapido progresso tecnologico, l‟informazione si è avvalsa di

numerose tecnologie di comunicazione per potersi diffondere dappertutto e il più ve-

locemente possibile.

Siamo raggiunti ovunque dall‟informazione, e, quel che più è importante, è che vo-

gliamo essere raggiunti: segnali luminosi, carta, onde radio, televisione, telefono fissi

e mobili, reti di computer. Peggio. La cerchiamo: quando siamo in vacanza, al lavo-

ro, o più generalmente, fuori casa, sentiamo la necessità di avere con noi giornali,

mezzi di comunicazione quali telefoni cellulari o fissi, televisione, notebook. Voglia-

mo raggiungere, essere raggiunti in qualsiasi momento e luogo, abbattendo le barrie-

re della distanza e del tempo con qualsiasi mezzo.

Una chiamata, una connessione ad internet, uno scambio di file, sono diventate a-

zioni quotidiane, quasi indispensabili, ed il fatto di poterle effettuare nella più com-

pleta mobilità rappresenta una comodità, un vantaggio, un risparmio economico,

talvolta addirittura una necessità.

Ma è soprattutto la mobilità nell‟ultimo tratto, quel tratto che separano l‟utente e

l‟apparecchio dal mezzo tramite il quale si vuole comunicare, l‟essere svincolati dai

cavi, che ci attirano terribilmente.

Si pensi al vantaggio economico: sparisce la necessità dei cavi, almeno nell‟ultimo

tratto, quello che raggiunge l‟utente, con le aziende che non devono provvedere ad

una massiccia stesura di cavi. Ma anche alla comodità: meno ingombro, il non dover

cercare una presa telefonica. E alle necessità: si pensi a zone per le quali la stesura di

cavi risulta alquanto difficoltosa o eccessivamente onerosa in termini economici da

doverci rinunciare.

La realtà di una trasmissione dati senza fili, o meglio segnali o impulsi, non è recen-

tissima. Dapprima con Guglielmo Marconi, agli inizi del 1900, con la comunicazione

senza fili con l‟utilizzo del codice Morse, poi con la radio per la trasmissione di mes-

saggi sonori.

Per arrivare a più di cinquanta anni fa durante la Seconda Guerra Mondiale, quando

l'esercito degli Stati Uniti utilizzò per primo i segnali radio per la trasmissione dati.


8

Svilupparono una tecnologia di radiotrasmissione dei dati, pesantemente criptata,

ampiamente utilizzata durante le operazioni belliche dagli Stati Uniti e dai loro alle-

ati.

Questo ispirò un gruppo di ricercatori che nel 1971, presso l'Università delle Hawaii,

crearono la prima rete di comunicazioni radio a pacchetto. ALOHANET, questo era

il suo nome, fu essenzialmente la prima Wireless Local Area Network (WLAN). La

prima WLAN era costituita da 7 computers che comunicavano bidirezionalmente in

una topologia a stella che si estendeva su quattro delle isole Hawaii con il computer

centrale installato su l'isola Oahu. Così nacque il wireless networking.

Tuttavia, la tecnologia e le conoscenze del periodo non permettevano ai collegamenti

wireless una buona resa dal punto di vista delle prestazioni rispetto alle già collauda-

te LAN cablate che fino agli anni 90 dominavano il mercato del networking. Al gior-

no d‟oggi e, più precisamente, in questi ultimi dieci anni, l‟abbattimento dei costi, lo

sviluppo della tecnologia e l‟introduzione degli standard hanno permesso alla tecno-

logia senza fili di poter competere con le reti cablate, se non addirittura risultare una

prima scelta in alcuni casi.

Si può osservare meglio nei campus universitari, nelle aziende pubbliche e private,

negli uffici ed in ambito domestico: in tutto questo la tecnologia sta migliorando e

diventa sempre più semplice e meno costoso per le compagnie utilizzare il wireless.

Ora si potrebbe pensare che siamo ancora legati ai cavi per quanto riguarda

l‟alimentazione dei dispositivi elettronici, ma possiamo considerare il fatto che si è

già al lavoro per l‟alimentazione wireless.

Il Wireless

Col termine "wireless" ci si riferisce a una tipologia di comunicazione, monitoraggio e

sistemi di controllo tra dispositivi elettronici in cui i segnali viaggiano nello spazio,

in totale assenza di fili o cavi tra i due capi della trasmissione. È in contrapposizione

col termine "wired", che sta appunto ad indicare una comunicazione cablata.

In un sistema wireless la trasmissione avviene principalmente tramite modalità: via

radiofrequenza (RF), via infrarosso (IR) o via laser.

Il primo sistema adotta la tecnologia delle onde radio a bassa frequenza (sull‟ordine

dei pochi GHz), che permette la connessione tra dispositivi dislocati in ambienti ete-

rogenei, senza che le postazioni da interconnettere siano necessariamente visibili tra

di esse e che possono essere separate da muri o intercapedini.

Il secondo sistema adotta la tecnologia delle onde infrarosse a frequenza più alta ri-

spetto al sistema precedente (poche centinaia di THz) è perciò più direzionali delle

prime: infatti non sono in grado di superare ostacoli solidi, vengono utilizzate per

collegare dispositivi visibili direttamente e per questo sono poco impiegate in questo

campo.


9

Il terzo sistema, basato su laser, viene utilizzato per la sua elevata velocità di tra-

smissione. Un tipico esempio è il collegamento delle reti di due edifici vicini. Il laser

ha il problema di essere altamente direzionale e sensibile alle condizioni esterne e alle

vibrazioni: anche queste tipologie di dispositivi sono considerati in disuso e quasi

sempre sostituiti da collegamenti via onde radio.

Oltre alla tecnologia di cui fanno uso, le reti wireless possono essere raggruppate in

tre grandi categorie, in base alla distanza tra i dispositivi e, quindi, all‟utilizzo cui

verranno dedicate:

1) Connessioni all‟interno di un sistema;

2) LAN Wireless;

3) WAN Wireless;

Le connessioni all‟interno di un sistema coinvolgono il collegamento delle periferiche

di un computer, quali mouse, tastiere o telefoni cellulari, tramite segnali radio a bas-

sa portata che non necessitano di un‟alta velocità di trasmissione dati, chiamata

Bluetooth (si pensi che il dattilografo più veloce al mondo riesce a battere 212 parole

al minuto con una tastiera DVORAK, circa 20 byte al secondo, che difficilmente

congestioneranno una connessione bluetooth).

La topologia di connessione WAN Wireless è invece utilizzata nei sistemi su area e-

stesa, come ad esempio le reti radio a banda stretta (GSM e il più recente GPRS) uti-

lizzate dai telefoni cellulari, oppure le più recenti reti wireless a banda larga e coper-

tura estesa per la quale è nato lo standard IEEE 802.16. In questo caso, la distanza

del collegamento è misurata in chilometri.

Per finire, l‟altra tipologia di connessione sono le reti LAN Wireless, dove ogni com-

puter è dotato di un modem radio e un‟antenna che gli permettono di comunicare

con gli altri sistemi, in un raggio di circa 100 metri outdoor, in una configurazione

chiamata peer-to-peer. Tuttavia è spesso presente un‟antenna nel soffitto con la qua-

le i computer dialogano tra loro in una configurazione chiamata a stella. Esiste uno

standard per le LAN Wireless, chiamato IEEE 802.11, estremamente diffuso e che

costituirà argomento principale di questa breve trattazione.

Problematiche del Wireless

Come già accennato, esistono diverse metodologie di trasmissione dati via etere, qua-

li ad esempio il GPRS, Bluetooth e 802.11, detta anche Wireless Ethernet o Wi-Fi

(Wireless Fidelity). La diffusione di quest'ultima sta aumentando notevolmente negli

ultimi anni presso le aziende e utenze private, data la facilità di installazione, le sue

prestazioni (11Mbps o 54Mbps) e la sua flessibilità con costi ridotti.

Ad una serie di agevolazioni che il wireless ha portato con se e delle quali abbiamo

già parlato, hanno però seguito una serie di problematiche e di rischi altissimi per la

violazione della privacy domestica ed aziendale, con potenziali danni socio-economici

per gli utenti, siano essi privato o aziende. Alcuni di questi rischi esistono anche nelle


10

reti di tipo tradizionale, ma vengono tuttavia esasperati dalla tipologia di collega-

mento senza fili.

Con l'avvento delle tecnologie senza fili si sono presentate problematiche sulla sicu-

rezza che prima erano impensabili, sono state introdotte vulnerabilità a livello fisico

e DataLink, che prima erano demandate alla responsabilità di sicurezza fisica, dove

l‟intrusione nella rete corrispondeva ad un‟intrusione reale, fisica. Dieci anni fa una

rete locale non collegata ad Internet blindata in una stanza era decisamente sicura

dal punto di vista della sicurezza informatica. Oggi invece, se si volesse realizzare

una rete locale non collegata ad Internet usando il wireless ed avere la stessa sicurez-

za, bisognerebbe piombare le pareti.

Questo perché la trasmissione attraverso onde radio non è confinabile ad uno spazio

ben definito, quale può essere quello della trasmissione via cavo: come per l'ascolto di

una radio, è possibile per un potenziale intruso avvicinarsi all'esterno del palazzo e

"captare" le onde radio. Così, attraverso appositi strumenti, è possibile visualizzare i

dati che vengono ricevuti e inviati, rendendo disponibile all'eventuale intruso prezio-

se informazioni quali utenze e password, e, in alcune situazioni, addirittura accedere

ai database e corrompere i dati.

Un altro fattore di rischio molto importante, ma spesso sottovalutato, è che un e-

ventuale intruso non abbia nessun interesse a prendere informazioni sulla rete attac-

cata, ma voglia utilizzare la rete vittima come "ponte" per attaccare una terza enti-

tà. L'intruso sarà solito usare il "ponte" per offuscare le proprie tracce: da un punto

di vista puramente giuridico, l'amministratore della rete wireless violata sarà for-

malmente responsabile dell'atto di pirateria informatica nei confronti della terza en-

tità, fino a quando le autorità giudiziali non troveranno prova dell'avvenuta intru-

sione.

È nato addirittura un novo sport, il "wardriving"; si prende un portatile con una

scheda di rete Wi-Fi e si passeggia a piedi o in auto alla ricerca di reti non protette,

per usare gratuitamente una connessione ad internet o per violare la privacy di qual-

che malcapitato.

Ancor prima che nascessero questi problemi sulla sicurezza, si sono dovuti affrontare

i problemi intrinseci alla natura stessa dei dispositivi wireless, inesistenti per le ormai

collaudate reti 802.3. Il wireless soffre di una maggior attenuazione del segnale ri-

spetto alle reti cablate, specialmente in ambienti chiusi, dove si aggiunge il problema

della propagazione del segnale su percorsi multipli (Multipath Fading). Inoltre le reti

wireless usano frequenze standard (ad esempio i 2.4 Ghz) che sono condivise da altri

dispositivi come telefoni cordless o forni a microonde, che creano delle interferenze,

andando ad disturbare la trasmissione.

Altri problemi possono essere la potenza dei dispositivi, che dev‟essere tale da non

dover nuocere alla salute umana, e l‟assegnazione di certe bande di frequenza in una

porzione dello spettro elettromagnetico ormai sovraffollato. Ultimo ma non per im-

portanza, il problema della gestione dell‟energia (Power Management) di cui necessi-


11

tano gli apparecchi a batterie, come ad esempio portatili e palmari, che vedono ri-

dursi la loro autonomia.

Tutte queste problematiche appena elencate rendono la comunicazione wireless (an-

che punto-punto fra due soli utenti) molto più complessa, anche dal punto di vista

della ricerca di compromessi tra le varie problematiche.

Soluzioni in un guscio di noce

Già da subito, quindi contestualmente alla nascita dello standard 802.11, si è cercato

di eliminare, o perlomeno limitare, le problematiche di sicurezza legate alla trasmis-

sione wireless. Attraverso l‟introduzione di un protocollo di sicurezza chiamato WEP

(Wired Equivalent Privacy) si è cercato di eliminare il problema alla radice; si è

dunque cercato di criptare le informazioni che viaggiano tra due nodi, in modo da

rendere inutili i le informazioni captate da un terzo apparecchio non provvisto di una

chiave di decrittazione.

Tuttavia questo protocollo rivelò già da subito quali fossero le sue gravi debolezze,

che verranno discusse nei seguenti paragrafi, risultando quindi pressoché inutile in

quanto facilmente aggirabile.

Per ovviare alle gravi lacune del protocollo WEP, venne introdotto dapprima il più

robusto protocollo WPA e, più recentemente, una sua evoluzione chiamata WPA2.

Anche questi protocolli, anche se hanno eliminato buona parte dei gravi ed evidenti

problemi che affliggono il WEP, non sono perfetti e anch‟essi presentano delle vulne-

rabilità, anche se molto meno evidenti e gravi.

In questa tesina verranno esaminati sotto ogni aspetto i protocolli di sicurezza in-

trodotti come soluzione ai problemi sopracitati.

Questi protocolli sono:

- WEP (Wired Equivalent Privacy);

- WPA (Wi-Fi Protected Access);

- WPA2.

Verranno inoltre esaminate le relative vulnerabilità di ogni protocollo.

A questi principali protocolli di sicurezza è bene affiancare una serie di regole tecni-

che e di configurazione di base affinché la sicurezza risulti la più elevata possibile e

con la consapevolezza che non possa raggiungere il livello del 100%. Infatti, una cor-

retta configurazione degli apparati è un buon inizio per proteggere la rete wireless.

Grazie ad alcuni accorgimenti, è possibile "sviare" un eventuale intruso nascondendo

dettagli preziosi e rendendo più difficile l'identificazione della rete su cui si sta colle-

gando.

Ad esempio, si può iniziare cambiando gli SSID (Service Set Identifier) di default

senza usare nomi descrittivi, con l‟intento di scoraggiare degli intrusi, disabilitare il


12

broadcast SSID, cambiare spesso le password, abilitare il MAC Filtering, spegnere

l‟AP quando non serve e tanti altri semplici accorgimenti.

Oltre a risolvere le problematiche legate alla sicurezza, si è cercato sin dall‟inizio di

rendere più efficienti i dispositivi wireless dal punto dell‟efficienza, quindi della velo-

cità e del consumo energetico, implementando nuovi metodi di modulazione del se-

gnale e utilizzando altre frequenze, che si sono imposti a seguito dell‟introduzione

degli standard da parte dei comitati di standardizzazione.


13

Capitolo 1

La tecnologia Wireless LAN 802.11

Sin dall‟inizio degli anni „90 svariate aziende iniziarono a lavorare per cercare di in-

trodurre delle nuove tecnologie per le reti wireless, con l‟intento di imporre ognuna la

supremazia sull‟altra e di aggiudicarsi la più ampia fetta di quel mercato che di lì a

poco si sarebbe espanso a vista d‟occhio.

Il problema principale stava nel fatto che queste reti risultavano incompatibili tra

loro. La proliferazione degli standard significava che un computer equipaggiato con

una scheda radio di marca X non poteva funzionare in una stanza equipaggiata con

una stazione base di marca Y.

Di fronte a queste problematiche sorse la necessità della creazione di uno standard

per le reti LAN senza fili, quindi venne dato il compito di progettare uno standard

LAN wireless al comitato IEEE che aveva standardizzato le LAN cablate. Nel 1997

lo standard così realizzato venne battezzato 802.11, chiamato anche, informalmente,

Wi-Fi (dal nome di una associazione di costruttori che lo promuove e verifica la in-

ter-operabilità dei prodotti).

Questo primo standard raggiungeva velocità di 1Mbps e 2Mbps e, a causa di questa

ridotta velocità che non poteva tener testa all‟ormai consolidata LAN wired 802.3, si

lavorò per l‟introduzione di standard più veloci.

Già nel 1999 nel comitato iniziale si verificò una divisione che determinò la proposta

di due nuovi standard: 802.11a e 802.11b, operanti a frequenze e velocità differenti, e

comunque a velocità superiori rispetto all‟originale 802.11. Successivamente venne

proposta un‟altra variante, chiamata 802.11g, che ingloba alcune caratteristiche di

802.11a e altre di 802.11b. Altri standard nacquero in seguito, quali l‟802.11c/d/e/f/h

che riguardano estensioni dei servizi base e miglioramenti di servizi già disponibili. Il

protocollo per la sicurezza venne incluso in uno standard a parte, l‟802.11i.

Nonostante questa standardizzazione voluta, esistono diversi standard nell‟ambito

delle reti LAN Wireless, tra i quali:

- IEEE 802.11;

- HIPERLAN (HIgh PERformance LAN);

- Bluetooth;

- Shared Wireless Access Protocol - Cordless Access (SWAP-CA).


14

Tuttavia la tecnologia Wireless LAN più diffusa è basata sullo standard IEEE

802.11x, in quanto più facile da configurare e più flessibile rispetto ad altre opzioni;

più precisamente, il primo protocollo largamente diffuso è stato il b; in seguito si so-

no diffusi il protocollo a e soprattutto il protocollo g.

IEEE 802.11 definisce uno standard per le reti WLAN sviluppato dal gruppo 11

dell'IEEE 802, descrivendo in particolare in livello fisico e MAC del modello I-

SO/OSI, specificando sia l'interfaccia tra client e base station (o access point) sia tra

client wireless.

Tipi di apparati

La realizzazione di reti wireless 802.11 è messa in opera grazie all‟utilizzo di alcuni

apparati che si distinguono per i ruoli ai quali vengono relegati, ma che in una stessa

rete devono essere omogenei dal punto di vista fisico e di collegamento per una cor-

retta comunicazione tra di essi.

Trascurando quegli apparati dotati di caratteristiche e funzionalità particolari, la

classificazione è così suddivisa:

Access Point: Access Point (AP in breve) è il modo di funzionamento a "punto d'ac-

cesso" e cioè quel dispositivo che consente di collegare ad una rete cablata i client

Wi-Fi. Esso è in pratica la stazione centrale di trasmissione e ricezione di una rete

senza fili. Gli AP possono essere implementati sia in hardware (esistono dei dispositi-

vi dedicati) che in software appoggiandosi per esempio ad un PC o Notebook dotato

sia dell‟interfaccia wireless sia di un scheda Ethernet. La copertura del segnale di un

AP è chiamata cella radio e varia da 20 metri a oltre 300 metri, in relazione alla tipo-

logia degli ambienti, con una possibilità di collegamento da 10 a 250 utenze per AP,

in funzione del modello e della tecnologia impiegata.

Client: sono quei dispositivi con interfaccia d'interconnessione PCI, PCMCIA, USB o

altre, che si collegano ed autenticano attraverso le onde radio ad un Access Point e

che usufruiscono dei servizi di rete.

Repeater: il ripetitore è un dispositivo in grado di ripetere il segnale di un Access

Point, permettendo l'estensione della rete Wi-Fi. Allo stato attuale non è possibile

ripetere più d'una volta il segnale di un AP collegandosi ad un altro Repeater; si pos-

sono comunque collegare più Repeater ad un AP purché siano in comunicazione di-

retta con l'AP base.

Bridge Wireless-Ethernet: sono apparati particolari, studiati e realizzati apposita-

mente per realizzare un BRIDGE (ponte) wireless tra due reti LAN. L'unica modali-

tà di funzionamento di cui dispongono è quella di bridge.

Apparati multimodalità: sono dispositivi che permettono il funzionamento Wi-Fi in

modalità multipla come AP, Client, Bridge e Repeater. Non sempre sono garantite


15

l'interoperabilità tra apparati con chipset diverso ed il funzionamento simultaneo di

più modalità.

Modalità di funzionamento

I dispositivi appena elencati permettono diverse modalità di funzionamento e di

configurazione di una rete wireless 802.11 e, in base alle necessità di un determinato

contesto, possiamo distinguere le seguenti modalità:

Infrastructure: una rete wireless gestita in questa modalità sfrutta un Access Point

(oppure un Client adibito a tale scopo) come stazione base attraverso la quale passa-

no tutto le comunicazioni. Generalmente si utilizza un AP per realizzare una rete che

deve durare nel tempo, sia per scopi privati (creazione di una rete tra PC domestici)

che pubblici (in un campus, la possibilità di accedere alla rete Internet). Nel caso di

un singolo AP, questo copre una cella (BSS - Basic Service Set), identificato da un

parametro (BSSID), che è spesso l‟indirizzo MAC dell‟AP.

Roaming (o Multi AP): è quella particolare funzione che permette il passaggio di un

client da un Access Point all'altro senza l'interruzione della comunicazione (per in-

tenderci è come per i cellulari, passando da un ponte ad un altro, non cade la telefo-

nata). Più Access Point possono formare una ESS (Extended Service Set) identifica-

ta da un parametro (SSID) che possono coprire un‟area come, ad esempio, un

campus universitario.

Figura 1 - Schema di una ESS


16

Ad Hoc: in una rete Ad Hoc due o più client, detti anche Independent Basic Service

Set (IBSS), comunicano direttamente tra loro, senza alcun Access Point che faccia

da centro di smistamento dei dati. E' simile ad una rete peer-to-peer dove ogni client

è collegato direttamente con un altro ed identificato da un parametro (BSSID) qua-

le, ad esempio, il MAC Address. È una configurazione utile e adatta per setup sem-

plici e veloci, ad esempio scambio di file tra due dispositivi, riunioni, convegni o di-

mostrazioni.

Figura 2 - Schema di una rete ad hoc

Wireless Bridge (o Point-To-Point Bridge): è la modalità di funzionamento che per-

mette l'unione e la connessione di due reti cablate attraverso il Wi-Fi. Si tratta di

una sorta di configurazione ad hoc fra Access Point, ed è per questo motivo che le

schede client non hanno possibilità di connessione.

Wireless Multi Bridge (o Point To Multipoint Bridge): è quella modalità che permet-

te l'unione di tre o più reti cablate attraverso il Wi-Fi. E' un'estensione della modali-

tà Bridge, perciò ne eredita da essa le impostazioni e le caratteristiche principali.

WDS: particolare modalità che permette al dispositivo di funzionare simultanea-

mente sia da Bridge che da Access Point.


17

Gli standard in dettaglio

La famiglia dei dispositivi 802.11 è molto numerosa e composta di standard spesso

incompatibili, soprattutto dal punto di vista fisico.

Questa famiglia di protocolli include tre protocolli dedicati alla trasmissione delle in-

formazioni (802.11a/b/g), mentre la sicurezza è stata inclusa in uno standard a parte

(802.11i). Gli altri standard della famiglia (802.11c/d/e/f/h) riguardano estensioni dei

servizi base e miglioramenti di servizi già disponibili. Il primo protocollo largamente

diffuso è stato il 802.11b, in seguito si sono diffusi il protocollo 802.11a e soprattutto

il protocollo 802.11g.

L' 802.11b e 802.11g utilizzano lo spettro di frequenze (banda ISM) nell'intorno dei

2.4 GHz. Si tratta di una banda di frequenze regolarmente assegnata dal piano di ri-

partizione nazionale (ed internazionale) ad altro servizio, e lasciato di libero impiego

solo per le applicazioni che prevedono potenze EIRP (Massima Potenza Equivalente

Irradiata da antenna Isotropica) di non più di 20 dBm ed utilizzate all'interno di una

proprietà privata (teoricamente non dovrebbe attraversare il suolo pubblico). Tro-

vandosi così ad operare in bande di frequenze ove già lavorano altri apparecchi, i di-

spositivi 802.11b e 802.11g possono essere influenzati da telefoni cordless, ripetitori

audio/video per distribuire programmi televisivi satellitari od altri apparecchi all'in-

terno di un appartamento che utilizzano quella stessa banda di frequenze.

802.11a

Nel 2001 venne ratificato il protocollo 802.11a, approvato precedentemente nel

1999. Questo standard utilizza lo spazio di frequenze nell'intorno dei 5 GHz e opera

con una velocità di picco di 54 Mb/s, sebbene nella realtà la velocità reale disponibile

all'utente sia di circa 20 Mb/s continui.

Lavorando a frequenze più alte può raggiungere estensioni geografiche ridotte ri-

spetto alla 802.11b e per risolvere questo problema si usa più potenza in trasmissione

e un più efficiente schema di codifica dei dati, utilizzando una modulazione del se-

gnale OFDM. Tuttavia, la velocità massima può essere ridotta a 48, 36, 24, 18, 9 o 6

Mb/s se le interferenze elettromagnetiche lo impongono. Lo standard definisce 12 ca-

nali non sovrapposti, 8 dedicati alle comunicazioni interne e 4 per le comunicazioni

punto a punto.

Questo standard non ha riscosso i favori del pubblico dato che l'802.11b si era già

molto diffuso e in molti paesi l'uso delle frequenze a 5 GHz è tuttora riservato. Esi-

stono schede Dual standard o Tri standard in grado di accettare oltre allo standard

802.11a anche l‟802.11b e per le schede Tri standard anche l‟802.11g. Ovviamente e-

sistono anche degli Access Point multi standard.

802.11b

E‟ lo standard più conosciuto e diffuso della famiglia 802.11, operante nella banda

liberalizzata a 2.4 Ghz. I dati vengono trasmessi ad una velocità teorica di picco di

11 Mbps e di 4 Mbps continui. Utilizza una modulazione DSSS.


18

Utilizza il protocollo Carrier Sense Multiple Access con Collision Avoidance

(CSMA/CA) come metodo di trasmissione delle informazioni e, poiché una buona

parte della banda disponibile viene utilizzata dal CSMA/CA, il massimo trasferimen-

to ottenibile è di 5,9 Mbit/s in TCP e di 7,1 Mbit/s in UDP. Metallo, acqua e in gene-

rale ostacoli solidi riducono drasticamente la portata del segnale.

Utilizzando antenne direzionali esterne dotate di alto guadagno si è in grado di sta-

bilire delle connessioni punto a punto del raggio di molti chilometri. Utilizzando ri-

cevitori con guadagno di 80 db si può arrivare a 8 chilometri o se le condizioni del

tempo sono favorevoli anche a distanze maggiori ma sono situazioni temporanee che

non consentono una copertura affidabile. Quando il segnale è troppo disturbato o

debole lo standard prevede di ridurre la velocità massima a 5.5, 2 o 1 Mb/s per con-

sentire al segnale di essere decodificato correttamente.

802.11d

E‟ lo standard alternativo a 802.11b destinato ai paesi che non possono liberalizzare

la banda a 2.4 Ghz perché destinata ad altri usi.

802.11e

E‟ lo standard migliorativo delle specifiche originarie 802.11, arenatosi su una serie

di problemi tecnici e quindi abbandonato.

802.11f

E‟ lo standard che riunisce una serie di specifiche destinate a facilitare il passaggio

da una zona di copertura all‟altra e da un canale all‟altro, in diretta concorrenza con

le tecnologie di telefonia cellulare.

Anche chiamato Inter Access Point Protocol (IAPP), è un protocollo di livello ap-

plicazione per la gestione di ESS (Extented Service Set), ovvero più reti wireless col-

legate tra di loro, gestendo l'hand-over di terminali da una rete wireless all'altra. In-

fatti le specifiche 802.11 originarie sono destinate a postazioni fisse o portatili, che

non si spostano nello spazio.

802.11g

Questo standard venne ratificato nel giugno del 2003. Utilizza le stesse frequenze del

b, cioè la banda di 2.4 GHz, e fornisce una banda teorica di 54 Mb/s che nella realtà

si traduce in una banda netta di 24.7 Mb/s, simile a quella dello standard 802.11a. È

totalmente compatibile con lo standard 802.11b ma quando si trova a operare con

periferiche 802.11b deve ovviamente ridurre la sua velocità a quella dello standard

802.11b.

802.11h

E‟ lo standard che serve a garantire un maggiore controllo della potenza di trasmis-

sione da parte di 802.11a per facilitarne la diffusione anche in Europa.


19

802.11i

E‟ lo standard destinato alla sicurezza delle reti wireless della famiglia 802.11, svi-

luppato dalla IEEE specificamente per fornire uno strato di sicurezza alle comunica-

zioni basate sullo standard IEEE 802.11. Il documento è stato ratificato il 24 giugno

2004 e rappresenta un‟estensione del precedente standard Wired Equivalent Privacy

(WEP) che aveva dimostrato di essere soggetto a errori concettuali di progetto. Pri-

ma dello standard 802.11i la Wi-Fi Alliance aveva introdotto il Wi-Fi Protected

Access (WPA) un sottoinsieme delle specifiche 802.11i. Il WPA era stato introdotto

per tamponare l'emergenza sicurezza dovuta al WEP e rappresenta solamente uno

standard transitorio mentre l'802.11i veniva terminato e perfezionato. La Wi-Fi Al-

liance ha deciso di chiamare le specifiche 802.11i con il nome di WPA2 per rendere

semplice all'utente comune l'individuazione delle schede basate sul nuovo standard.

L'802.11i utilizza come algoritmo crittografico l'Advanced Encryption Standard (A-

ES) a differenza del WEP e del WPA che utilizzano l'RC4.

L'architettura dell'802.11i utilizza i seguenti componenti: IEEE 802.1x per autenti-

ficare (può essere utilizzato l'EAP o un server di autentificazione), RSN per tenere

traccia delle associazioni e il CCMP per garantire la confidenzialità, l'integrità e la

certezza del mittente. Un elemento importante del processo di autenticazione è il

processo four-way handshake.

802.11n

Nel Gennaio 2004 IEEE ha annunciato di aver avviato lo studio di un nuovo stan-

dard per realizzare reti wireless di dimensioni metropolitane. La velocità reale di

questo standard dovrebbe essere di 100 Mb/s (quella fisica dovrebbe essere prossima

a 250 Mb/s), quindi dovrebbe essere 5 volte più rapido del 802.11g e 40 volte più ra-

pido dell'802.11b. La standardizzazione è ancora in corso, il 19 Gennaio 2007 il grup-

po di lavoro 802.11 di IEEE ha approvato la Draft 2.0.

802.11n include anche la possibilità di utilizzare la tecnologia MIMO (Multiple-

Input Multiple-Output). Questo consentirà di utilizzare più antenne per trasmettere

e più antenne per ricevere incrementando la banda disponibile utilizzando una mul-

tiplazione di tipo spaziale attraverso una codifica tipo quella di Alamouti.

La pila di protocolli 802.11

I protocolli utilizzati da tutte le varianti di 802.11, inclusa Ethernet, hanno una

struttura simile: è presente lo strato fisico che si è evoluto e si differenzia nelle varie

versioni 802.11 viste in precedenza per quanto riguarda le tecniche di trasmissione e

modulazione dei dati. Lo standard 802.11 del 1997 specifica tre tecniche di trasmis-

sione supportate nello strato fisico: uno è il metodo a infrarossi (IR) e gli altri due

usano un sistema radio a bassa potenza basato sulle tecniche FHSS e DSSS che uti-

lizzano la banda dello spettro ISM 2.4 Ghz. Per aumentare la banda disponibile, nel


20

1999 sono state introdotte due nuove tecnologie chiamate OFDM e HR-DSSS, ri-

spettivamente con 802.11a e 802.11b.

Lo strato Data Link è invece diviso in due sottostrati: il sottostrato MAC (Medium

Access Control) che stabilisce il metodo di allocazione del canale, cioè a quale disposi-

tivo spetta trasmettere e il sottostrato superiore, detto LLC (Logical Link Control)

che ha invece il compito di nascondere le differenze tra le varianti di 802.11 e render-

le indistinguibili al livello Network.

Lo strato fisico 802.11

Ognuna delle cinque tecniche di trasmissione sopra citate (IR, FHSS, DSSS, OFDM,

HR-DSSS) consentono l‟invio di un frame MAC da una sorgente ad una destinazio-

ne, ma queste soluzioni differiscono sia per la tecnologia utilizzate, sia per le velocità

supportate. Diamo un rapido sguardo.

IR: utilizza una trasmissione diffusa (ossia non in linea retta) a 0.85 e 0.95 micron e

supporta due velocità: 1Mbps e 2Mbps. Questa tecnica è stata quasi subito soppian-

tata in quanto raggiungeva scarse velocità e la natura dei segnali infrarossi non per-

mette loro di superare ostacoli solidi come i muri.

FHSS (Frequency Hopping Spread Spectrum): Modulazione a Spettro Diffuso per

Salti. Questa tecnica utilizza 79 canali larghi 1 Mhz ciascuno (75 per i dati, 4 per la

sincronizzazione), che iniziano dal margine inferiore della banda ISM a 2,4 Ghz, che

vengono usati uno alla volta per sostenere la trasmissione dei segnali. Il segnale pas-

sa (salta) da sottocanale a sottocanale, per un prefissato periodo di tempo (chiamato

Dwell Time che è solitamente di 400μsec) e secondo un ordine predeterminato. Dopo

ogni salto è necessaria una resincronizzazione.

Figura 3 - Esempio di FHSS


21

Si usa un generatore di numeri casuali per produrre la sequenza con cui le frequenze

si susseguono. Tutte le stazioni salteranno contemporaneamente nelle stesse frequen-

ze a patto di usare lo stesso seme per generare i numeri casuali e di mantenere la sin-

cronizzazione. Questa casualità rappresenta un modo efficace di allocare lo spettro

nella banda ISM non regolata.

La tecnica di salto ha diversi vantaggi: contribuisce a minimizzare gli effetti dei ru-

mori elettromagnetici, che in genere sono limitati a una frequenza abbastanza co-

stante nel tempo; permette la presenza di più unità di accesso all‟interno delle zone di

trasmissione efficaci l‟una dell‟altra (due sistemi che dialogano con i rispettivi router

non creano interferenza tra i loro segnali anche se posti vicini fra loro). Ultimo, ma

non meno importante vantaggio, è la sicurezza del sistema: chi cerca di intercettare

la trasmissione deve essere in grado di catturare il segnale emesso su più sottocanali e

deve interpretare correttamente la successione, apparentemente casuale, dei dati.

Figura 4 - Schema di un pacchetto FHSS

L‟FHSS Physical Packet è composto da 6 campi: un campo Synchronization (Sin-

cronizzazione) di 80 bit e un campo SFD (Start Frame Delimiter) di 16 bit

(0000110010111101 start pattern) che individuano il preambolo (PLCP preamble). A

seguire troviamo: il campo PLW (PLCP_PDU Length Word) da 12 bit che individua

la lunghezza del payload inclusi 32 bit di CRC, il campo PSF (PLCP Signaling Field)

che individua il data rate del payload (1 or 2 Mbit/s) e il campo HEC (Header Error

Check) che contiene il codice CRC. Questi tre campi formano il PLCP header. Infine

troviamo il carico utile (payload) che può essere di dimensioni variabili.

DSSS (Direct Sequence Spread Spectrum): Modulazione a Spettro Diffuso per Se-

quenza Diretta. È una tecnologia di trasmissione a "frequenza diretta" a banda lar-

ga, nella quale ogni bit viene trasmesso come una sequenza ridondante di bit, detta

chip. Tale metodo è indicato per la trasmissione e la ricezione di segnali deboli. La

banda viene divisa in 14 canali da 22 MHz sovrapposti e li usa uno alla volta.

Figura 5 - Distribuzione dei canali nella banda dei 2.4 GHz


22

L'interfaccia DSSS utilizza un sistema con dispersione in banda base, impiegando

un chipping code (codice di dispersione); modulando il dato prima di trasmetterlo,

ogni bit trasmesso viene disperso su una sequenza a 11 bit (detta sequenza di Bar-

ker). Il segnale trasmesso consumerà una maggiore larghezza di banda, consentendo

la ricezione di segnali deboli. I vantaggi che l'interfaccia DSSS assicura contro l'inter-

ferenza sono piuttosto scarsi.

Figura 6 - Direct Sequence Spread Spectrum

OFDM (Orthogonal Frequency Division Multiplexing). Arriva a distribuire fino a 54

Mbps nella banda ISM dei 5 Ghz, più ampia rispetto alle altre. Questa tecnica utiliz-

za 52 frequenze (48 per i dati e 4 per la sincronizzazione), tale suddivisione del canale

in tante bande strette offre vantaggi rispetto all‟utilizzo di una singola banda larga,

per esempio una migliore resistenza alle interferenze con banda stretta e la possibilità

di utilizzare bande non contigue. I vantaggi principali derivano dal fatto che questa

tecnica si adatta facilmente a canali in condizioni critiche, ha una buona efficienza di

spettro in termini di bit/Hz e una buona resistenza al multipath fading.

HR-DSSS: sta per High Rate Direct Sequence Spread Spectrum. Tecnica a diffusio-

ne di spettro che raggiunge la velocità di 11 Mbps nella banda 2,4 Ghz, adottata da

802.11b.

Tabella Riassuntiva:

Standard Modulazione Frequenza Velocità di trasferimento (Mbit/s)

802.11 FHSS, DSSS, IR 2,4 GHz, IR 1, 2

802.11 a OFDM 5,2, 5,8 GHz 6, 9, 12, 18, 24, 36, 48, 54

802.11 b DSSS, HR-DSSS 2.4 GHz 1, 2, 5.5, 11

802.11 g OFDM 2.4 GHz 6, 9, 12, 18, 24, 36, 48, 54

802.11 n DSSS, HR-DSSS,

OFDM

2.4 GHz 1, 2, 5,5, 11; 6, 9, 12, 18, 24, 36, 48,

54, 125


23

Capitolo 2

Il sottostrato MAC 802.11

Il protocollo del sottostrato MAC 802.11 che, come già detto, si occupa

dell‟allocazione del canale, è leggermente diverso da quello Ethernet, a causa della

complessità intrinseca dell‟ambiente wireless. Mentre con Ethernet una stazione si

limita ad ascoltare il mezzo e aspettare che diventi silenzioso per poi trasmettere, col

wireless vengono introdotte una serie di limitazioni che portano ad adottare una

strategia differente.

Tanto per cominciare, col wireless esiste il problema della stazione nascosta, che na-

sce dal fatto che non tutte le stazioni si trovano all‟interno del campo radio delle al-

tre. Si supponga una trasmissione tra due terminali A e B, ed un terzo terminale C

che si trova fuori dalla portata di B; il terminale C, non essendo in grado di rilevare

questa comunicazione, pensa erroneamente che il canale sia libero, e inizia la comu-

nicazione.

Inoltre, la maggior parte dei dispositivi radio è Half-Duplex, e non può quindi tra-

smettere e contemporaneamente rimanere in ascolto dei burst di rumore su una sin-

gola frequenza.

Per ovviare a questi problemi, l‟802.11 adotta due modalità operative: DCF e PCF.

DCF (Distributed Coordination Function)

- prevede la comunicazione tra stazioni senza un arbitraggio centralizzato;

- questa modalità prevede la contesa del mezzo e la gestione delle collisioni.

PCF (Point Coordination Function)

- prevede che ci sia una stazione base che coordina la trasmissione di tutti i

terminali;

- in questa modalità non ci sono collisioni perché l‟ordine delle trasmissioni

e‟ determinato dalla stazione di controllo.

Tutte le schede wireless devono supportare la trasmissione DCF, mentre quella PCF

e‟ opzionale in quanto poco diffusa.

In modalità DCF si utilizza un protocollo chiamato CSMA/CA (Carrier Sense Multi-

ple Access Collision Avoidance) che mira ad evitare le collisioni, operando in due

modi differenti:

1. nella prima modalità la stazione controlla se il canale è libero (per quello che

può vedere):


24

- se è libero trasmette (senza collision detection);

- se è occupato, aspetta che si liberi e trasmette;

- se si verifica una collisione (rilevata) utilizza il backoff esponenziale binario

e ritenta.

2. la seconda modalità è derivata da MACAW, con utilizzo di RTS (Richiesta),

CTS (Risposta) ed ACK per ogni frame trasmesso:

- l‟interfaccia della stazione che rileva un RTS o un CTS evita di trasmettere

dati fino alla fine prevista per la trasmissione corrente e relativo ACK;

- tecnicamente la stazione utilizza internamente un Network Allocation

Vector (NAV), che definisce l‟intervallo temporale in cui il mezzo trasmis-

sivo e‟ occupato.

Figura 7 - Il controllo del canale virtuale mediante CSMA/CA

Poiché le reti wireless sono molto rumorose, il protocollo prevede la possibilità di

spezzare il frame in frammenti, ciascuno trasmesso e riscontrato individualmente. I

frammenti vengono inviati tutti di seguito, senza bisogno di invio di RTS; le stazioni

in ascolto utilizzeranno il NAV per attendere solo fino al primo riscontro.

Figura 8 – Un Burst di frammenti

Nella modalità PCF, invece, la stazione base sonda le altre stazioni per vedere se

hanno frame da trasmettere. La trasmissione e‟ regolata ed autorizzata dalla stazio-


25

ne base e non avvengono collisioni. Il protocollo specifica la modalità di interroga-

zione e prevede che le stazioni si registrino con la stazione base per entrare nel mec-

canismo delle interrogazioni. La stazione base regola tutto il meccanismo della tra-

smissione, comprese le informazioni sulle sequenze di salto di frequenza (per FHSS) e

le temporizzazioni. Il protocollo, ottimizzato per i computer portatili, prevede anche

che la stazione base possa imporre alla stazione mobile di mettersi in modalità di so-

spensione, al fine di risparmiare batteria.

MAC Frame 802.11

Ogni frame consiste nei seguenti componenti base:

un header MAC, che comprende i campi di controllo, durata, indirizzi e sequen-

za, e per i frame QoS, informazioni Qos;

un frame body di lunghezza variabile, che contiene informazioni sul tipo e sotto-

tipo del frame;

un campo Checksum che contiene un CRC a 32 bit ;

Formato Generale

Il formato generale del frame MAC comprende un insieme di campi disposti in ordi-

ne fisso in tutti i frame. I primi tre campi (Frame Control, Duration/ID e Address 1)

e l'ultimo campo (FCS) costituiscono il formato minimo e sono presenti in tutti i

frame, inclusi i tipi riservati e i sottotipi.

I campi Address 2, Address 3, Sequence Control, Address 4, QoS Control e Frame

Body sono presenti solo in certi tipi e sottotipi di frame. Il campo Frame body è di

lunghezza variabile. La massima lunghezza è determinata dalla massima lunghezza

del MSDU (MAC Service Data Unit), cioè 2.304 byte più un overhead per

l‟incapsulazione di sicurezza.

Figura 9 - Schema di un MAC Frame 802.11

Frame Control

Il campo Frame Control, lungo 2 byte, contiene al suo interno altri diversi campi che

ora vedremo nello specifico.


26

Figura 10 - Schema del sottocampo Frame Control

Version Protocol: in tutte le revisioni dello standard IEEE 802.11 la sua lunghezza

(2 bit) e la sua posizione sono rimaste invariate. Per questo standard assume il valore

0.

Type e Subtype: rispettivamente di 2 e 4 bit questi due campi assieme identificano

la funzione del frame. Ci sono tre tipi di frame esistenti: control frame, data frame e

management frame. Ognuno di questi tipi ha diversi sottotipi. Per quanto riguarda i

data frame, il bit più significativo del campo Subtype è definito come il sottocampo

QoS.

Figura 11 - Combinazioni valide dei campi Type e Subtype


27

Figura 12 - Segue da figura 11

Ogni posizione dei bit del campo Subtype è usato per indicare un modifica specifica

del data frame base. Il bit 4 del frame control è impostato a 1 nei sottotipi di data

che includono +CF-Ack, il bit 5 è impostato a 1 nei sottotipi data che includono

+CF-Poll, il bit 6 è impostato a 1 nei sottotipi data che non includono campi Frame

Body, infine il bit 7 è impostato a 1 nei sottotipi data QoS che hanno un campo di

controllo QoS nei loro MAC headers.

To DS e From DS: il significato delle combinazioni di valori di questi campi è mo-

strata nella tabella:

Figura 13 - Combinazioni valide dei campi To DS e From DS


28

More Fragment: questo campo di 1 bit è impostato a 1 in tutti i frame di tipo data e

management che hanno un frammento del MSDU corrente o del corrente MMPDU

(MAC Management Protocol Data Unit) a seguire. In tutti gli altri casi è impostato a

0.

Retry: il campo retry è lungo 1 bit ed è impostato a 1 in ogni frame di tipo data o

management che risulta essere una copia di un frame trasmesso in precedenza. E im-

postato a 0 in tutti gli altri frame. Una stazione riceven-

te usa questa indicazione per agevolare l'eliminazione dei duplicati.

Power Management: il campo Power Management ha lunghezza di 1 bit e viene usa-

to per indicare la modalità di Power Management di una stazione. Il valore di questo

campo rimane costante in ogni frame provenienti da una stazione particolare Il valo-

re 1 indica che la stazione sarà in modalità Power Save. Il valore 0 indica che la sta-

zione sarà in modalità attiva. Nei frame trasmessi da Access Point questo campo è

sempre a 0.

More Data: campo lungo 1 bit e utilizzato indicare a una stazione in modalità Power

Save che più MSDU o MMPDU sono bufferizzate per quella stazione nell‟Acces

Point. Il campo more data è valido nei data frame o management frame trasmessi da

un Access Point a una stazione in modalità Power Save. Un valore di 1 indica che è

presente almeno un MSDU o MMPDU bufferizzato in più per lo stessa una stazione.

Il campo More data è impostato a 1 nei frame broadcast o multicast trasmessi da un

Access Point quando quest‟ultimo deve trasmettere altri MSDU O MMPDU, sia

broadcast che multicast. Questo campo è invece impostato a 0 nei frame broadcast o

multicast trasmessi da un Access Point quando quest‟ultimo non ha più MSDU o

MMPDU, sia broadcast che multicast, da trasmettere.

Protected Frame: questo campo è lungo 1 bit e viene impostato a 1 se il frame body

contiene informazioni che vengono processate da un algoritmo di cifratura, ma solo

in frame di tipo data e frame di tipo management per l‟autenticazione. In tutti gli al-

tri frame viene messo a 0.

Order: il campo Order è lungo 1 bit e assume valore 1 in ogni frame data QoS che

contenente un MSDU. Questo campo è settato a 0 in tutti gli altri frame. Tutte le

stazioni QoS settano il campo a 0.

Duration/ID

Il campo Duration/ID, lungo 16 bit, varia a seconda del tipo e del sottotipo del fra-

me, ecco i diversi contenuti:

a. nei frame di controllo del sottotipo PS-POLL questo campo reca, nelle 14 ci-

fre meno significative, l'association identifier del STA che trasmette il frame

mentre le 2 cifre più significative assumono entrambe il valore 1;

b. nei frame trasmessi da PC e da STA non QoS, durante il CFP, il campo Dura-

tion/ID ha un valore fisso di 32768;

c. in tutti gli altri tipi di frame inviati da STA non QoS, durante il CFP, questo

campo contiene un valore diverso e predefinito per ogni tipo di frame;


29

d. nei frame di tipo data e di tipo management mandati da STA Qos il campo

duration/ID assume un valore che può dipendere dal tempo richiesto per la

trasmissione di una MPDU, dal tempo richiesto per la trasmissione di un

ACK, dalla tipologia del frame e da numerosi altri fattori.

Quando il contenuto di un campo Duration/ID, trattato come un intero di tipo Un-

signed, senza tener conto del valore dell'indirizzo, del tipo e del sottotipo, è meno di

32768, questo valore viene usato per aggiornare il Network Allocation Vector (NAV)

secondo procedure definite nello standard stesso.

Quando invece il valore del campo durata/ID è maggiore di 32768, questo valore

viene interpretato come appropriato per il tipo e sottotipo del frame, o ignorato se

l'entità MAC che riceve non ha una interpretazione definita per quel tipo o sottotipo.

Address

Ci sono quattro diversi campi indirizzo nel formato del frame MAC. Questi campi

vengono usati per indicare il BSSID, l‟indirizzo della sorgente (SA), l‟indirizzo della

destinazione (DA), l‟indirizzo della stazione trasmettente (TA) e l‟indirizzo della sta-

zione ricevente (RA). Certi frame possono non contenere alcuni di questi campi indi-

rizzi.

L'uso di alcuni campi indirizzo è specificato dalla relativa posizione del campo indi-

rizzo (1-4) all'interno dell‟header MAC, indipendentemente dal tipo di indirizzo pre-

sente in quel campo. Ad esempio l‟indirizzo del ricevente si trova sempre nel conte-

nuto del campo Address 1 nei frame ricevuti, e l'indirizzo del ricevente di frame CTS

(Clear-to-Send ) o ACK è sempre contenuto nel campo Address 2, nei corrispondenti

frame RTS (Request-to-Send).

Ogni campo indirizzo contiene un indirizzo a 48 bit che riguarda un indirizzo del sot-

tolivello MAC, questi indirizzi possono essere suddivisi in due diverse tipologie:

Indirizzo individuale. L'indirizzo assegnato a un STA ben preciso nella rete.

Indirizzo di gruppo. Un indirizzo a più destinazioni che può essere usato da

uno o più STA in una determinata rete. Vi sono due tipi di indirizzi di grup-

po, che sono i seguenti:

- Indirizzo di gruppo multicasting . Un indirizzo associato da una conven-

zione di livello più alto, con un gruppo di STA relazionati in modo logico.

- Indirizzo broadcast . Un distinto e predefinito indirizzo multicast che de-

nota sempre un insieme di STA di una certa LAN. Ognuno di questi è in-

terpretato come un indirizzo broadcast. Questo gruppo è predefinito per

ogni mezzo di comunicazione.

BSSID: lungo 48bit, identifica univocamente ogni BSS. Il valore di questo campo,

in un‟infrastruttura BSS, è l'indirizzo MAC correntemente in uso dal STA nell‟AP del

BSS. In un BSS, invece, il campo BSSID è un indirizzo MAC amministrato local-

mente formato da 46 bit generati casualmente secondo procedure approvate dallo

standard. Il bit Universal/Local dell'indirizzo è impostato a 1. Questo meccanismo è

utilizzato per garantire un 'alta probabilità di selezionare un unico BSSID. Il valore


30

di tutti gli 1 è usato per indicare il Qildcard BSSID che non deve essere usato nel

campo BSSID eccetto per i frame di tipo Management/Probe Request.

DA: il campo DA contiene un indirizzo MAC individuale o di gruppo che identifica

una o più entità MAC intese come recipiente finale del MSDU contenute nel frame

body.

SA: questo campo contiene un indirizzo MAC individuale che identifica la macchina

che trasferisce il MSDU contenuto nel frame body. Il bit Individual/Group è sempre

a 0 nell'indirizzo sorgente.

RA: il campo RA contiene un indirizzo MAC individuale o di gruppo che identifica il

STA ricevente, nella WM, per le informazioni contenute nel campo frame body.

TA: questo campo contiene un indirizzo MAC individuale che identifica il STA che

trasmette il MPDU contenuto nel frame body. Il bit Individual/Group e sempre a 0.

Sequence Control

Il campo Sequence Control è lungo 16 bit e consiste di due sottocampi, Fragment

Number e Sequence Number che identificano relativamente il numero di sequenza e

il numero di frammento. Questo campo non è presente nei frame di controllo.

Figura 14 - Formato del campo Sequence Control

Sequence Number: il numero di sequenza è lungo 12 bit e indica il numero di se-

quenza di un MSDU o MMPDU. Ad ogni MSDU o MMPDU trasmessi da un STA è

assegnato un numero di sequenza. Gli STA non QoS assegnano numeri di sequenza a

frame di tipo management e di tipo data attraverso un contatore modulo 4096, che

inizia da 0 e incrementa di 1 per ogni MSDU o MMPDU trasmesso. Ogni frammento

di un MSDU o MMPDU contiene una copia del numero di sequenza assegnato a quel

MSDU o MMPDU. Il numero di sequenza rimane costante in ogni ritrasmissione di

un MSDU, MMPDU o frammento.

Fragment Number: questo campo è formato da 4 bit ed indica il numero di ogni

frammento di un MSDU o MMPDU. Il numero frammento è a 0 nel primo o unico

frammento di un MSDU o MMPDU ed è incrementato di 1 per ogni frammento suc-

cessivo del relativo MSDU o MMPDU. Il numero di frammento rimane immutato

per tutte le ritrasmissioni del frammento.


31

QoS Control

Il Campo QoS Control è lungo 16 bit e identifica il TC o TS a cui appartiene il frame

e varie altre informazioni sul frame relative alla QoS che varia da frame a frame. Il

QoS Control è presente in tutti i frame di tipo data in cui il sottocampo QoS del sot-

totipo è a 1. Ogni QoS Control comprende cinque sottocampi definiti per ogni speci-

fico mandante, tipo e sottotipo.

Figura 15 - Sottocampi del campo QoS Control

TID: il TID indica il TC o il TS al quale il corrispondente MSDU nel frame body ap-

partiene. Il TID identifica anche il TC o il TS per il quale è richiesto un TXOP. La

codifica del TID dipende dalle politiche di accesso.

EOSP (End Of Service Period): il sottocampo EOSP è formato da 1 bit e viene usato

dall‟HC per indicare la fine del periodo di servizio corrente. L‟HC setta il sottocampo

EOSP a 1 nella sua trasmissione e ritrasmissione del frame finale di quel SP per ter-

minare un SP schedulato o non schedulato, altrimenti lo setta a 0.

Ack Policy: il sottocampo è lungo 2 bit e identifica la politica di acknowledgement

seguita in base alle disposizioni del MPDU. Un MSDU è inviato usando una politica

di acknowledgement di Normal Ack o di Block Ack se il parametro di classe di servi-

zio nella primitiva MA_UNITDATA.request è settata a QoSAck. Si usa la politica

di No Ack se il parametro di classe di servizio nella primitiva

MA_UNITDATA.request è settata a QoSNoAck.

TXOP Limit: questo sottocampo è lungo 8 bit ed è presente nei frame di tipo QoS

Data aventi sottotipi CF-Poll e specifica il limite di tempo in un TXOP attribuito da

un frame QoS CF-Poll mandato da un HC in un BSS. Un valore limite TXOP di 0

implica che un MPDU o un frame QoS Null sta per essere trasmesso subito dopo il

seguente frame QoS CF-Poll. Il limite TXOP è inclusivo del PHY (PHYsical layer )

e IFS (IntreFrame Space) overhead.

Queue Size: sottocampo della dimensione di 8 bit che indica l'ammontare di traffico

bufferizzato, per un dato TC o TS, verso l‟Access Point che manda un frame. Questo

sottocampo è presente nei frame QoS Data mandati da STA associate in un BSS con

il bit 4 del QoS Control Field settato a 1. L‟AP può usare informazioni

co

ntenute in questo sottocampo per determinare la durata TXOP assegnata a un AP.


32

Il valore del sottocampo Queue Size riguarda la misura totale di tutti i MSDU buffe-

rizzati alla STA nella delivery queue usata per gli MSDU con i valori TID uguali al

valore del sottocampo TID.

TXOP Duration Requested: è lungo 8 bit e indica la durata, in unità di 32 µs, che la

stazione mandante desidera per il suo prossimo TXOP per lo specifico TID. Il range

di tempo varia da 32 a 8160 µs. Se la durata richiesta non è un multiplo di 32 il valo-

re viene arrotondato al più alto intero che sia multiplo di 32. Questo sottocampo è

presente nei frame data QoS inviati da STA non AP associate a BSS con il bit 4 set-

tato a 0. L‟AP può scegliere di assegnare una durata TXOP più corta di quella ri-

chiesta in questo campo, un valore 0 in questo campo indica che non sono richiesti

TXOP per i MSDU del TID specificato nel SP corrente. I valori del campo non sono

cumulativi. Un valore di 0 nel TXOP Duration Requested può essere usato per una

richiesta non soddisfatta rimasta in sospeso quando il suo MSDU non è più accodato

per trasmissioni.

AP PS Buffer State: questo sottocampo ha dimensione di 8 bit, i quali indicano che

lo stato del buffer è in Power Save nell‟AP per un STA non AP. L‟AP PS Buffer

State è suddiviso in tre sottocampi:

Buffer State Indicated: è lungo 1 bit e viene usato per indicare se l'AP PS

Buffer State è specificato. Quando ciò accade il sottocampo assume il valore

1.

Highest Priority Buffered AC: ha dimensione 2 bit e viene usato per indicare

l'AC del traffico con priorità più alta rimanente che viene bufferizzato

nell‟AP, escluso il MSDU del frame presente.

AP Buffered Load: ha dimensione 4 bit e viene usato per indicare la grandez-

za totale del buffer, arrotondata al più vicino multiplo di 4096 byte ed e-

spressa in unità da 4096 byte, di tutti i MSDU bufferizzati al QoS AP. Se il

valore di questo sottocampo è 15, significa che la grandezza del buffer è mag-

giore di 57.344 bytes. Il valore 0 viene usato solo per indicare l‟assenza di o-

gni traffico bufferizzato per AC bufferizzato con priorità più alta quando il

buffer state è a 1.

Figura 16 - Schema del sottocampo AP PS Buffer State

Frame Body

Il campo Frame Body ha lunghezza variabile e contiene informazioni specifiche per

ogni tipo e sottotipo. La sua lunghezza minima è 0 byte, mentre la lungezza massima


33

è espressa come MSDU+ICV+IV dove l'ICV e IV sono campi riguardanti la cifratura

WEP.

FCS Field

Il campo FCS è lungo 32 bit e contiene un CRC a 32 bit. Il FCS è calcolato su tutti i

campi dell‟header MAC e sul frame body usando il seguente generatore polinomiale

standard di grado 32:

G(x) = x32 + x26 + x23 + x22 + x16 + x12 + x11 + x10 + x8 + x7 + x5 + x4 + x2 +

x + 1

L‟algoritmo per calcolare la checksum è il seguente:

1. Posto r il grado di G(x), si aggiungono r bit con valore 0 dopo la parte di or-

dine più basso del frame in modo tale che contenga m + r bit (m è il numero

di bit del frame) e corrisponda al polinomio xr M(x);

2. Dividere la sequenza corrispondente a G(x) per la sequenza corrispondente a

xr M(x) usando la divisione modulo 2 (il dividendo è xr M(x) e il divisore

G(x));

3. Sottrarre il resto (che contiene massimo r bit) dalla sequenza corrispondente

a xr M(x) usando la sottrazione modulo 2. Il risultato è il frame con checksum

pronto per la trasmissione.


34

Capitolo 3

Meccanismi di difesa

Come accennato nell'introduzione, il diffondersi delle tecnologie wireless ha introdot-

to problemi di sicurezza nei livelli Fisico e DataLink prima inesistenti e che avrebbe-

ro pregiudicato il diffondersi di questa tecnologia molto utile. Sono stati messi a pun-

to, di conseguenza, diversi meccanismi di difesa i quali garantiscono all‟utente medio

una certo grado di sicurezza.

Algoritmi di Cifratura

Gli algoritmi di cifratura sono algoritmi che si basano sul principio della crittografia.

Il termine 'crittografia' deriva da due parole del greco antico e letteralmente significa

'scrittura segreta'. La storia della crittografia inizia migliaia di anni fa; già nell'antica

Roma erano conosciuti dei meccanismi di crittografia, ne è un esempio il Cifrario di

Cesare.

I professionisti distinguono i termini cifrario e codice. Con cifrario s‟intende una tra-

sformazione carattere per carattere (o bit per bit nel nostro caso) senza considerare la

struttura linguistica del messaggio. Viceversa il codice rimpiazza ogni parola del

messaggio con un altra parola o simbolo. Storicamente quattro gruppi di persone

hanno dato il loro contributo allo sviluppo della crittografia: i militari, il corpo di-

plomatico, gli scrittori di diari e gli amanti. Fra tutti i questi i militari hanno dato il

contributo più importante nel corso dei secoli.

Fino all‟avvento dei computer uno dei limiti della crittografia era la capacità di riu-

scire a compiere le operazioni necessarie spesso in campo di battaglie utilizzando un

equipaggiamento minimo. Un vincolo aggiuntivo era dato dal fatto di riuscire a

cambiare velocemente da un metodo crittografico a un altro in quanto significava

dover informare una gran quantità di persone. Comunque il pericolo che uno degli

addetti alla crittografia potesse essere catturato dal nemico rendeva necessario cam-

biare il metodo di crittografico all‟istante.

Queste considerazioni hanno dato origine al modello di cifratura a chiave simmetri-

ca, presente tutt‟oggi negli algoritmi di cifratura che verranno spiegati più avanti.


35

I messaggi da cifrare, detti 'testi in chiaro' sono trasformati tramite una funzione pa-

rametrizzata da una chiave. L 'output del processo di cifratura, il testo cifrato, viene

trasmesso generalmente tramite un messaggero o una radio (o una rete wireless). Po-

niamo il caso che un intruso ascolti interamente il messaggio cifrato e lo trascriva da

qualche parte. Al contrario del destinatario legittimo l‟intruso non conosce la chiave

di decifrazione e quindi non riesce a decifrare facilmente il testo. In alcuni casi

l‟intruso oltre ad ascoltare il canale di comunicazione riesce anche a registrare i mes-

saggi per poi ritrasmetterli aggiungendo delle informazioni oppure per modificare i

messaggi legittimi prima che raggiungano il destinatario.

L'arte di decriptare i cifrari, la criptoanalisi, e l‟arte di inventarli, la crittografia, so-

no note sotto il nome collettivo di crittologia. Decriptare è l‟atto di decifrazione da

parte di un intruso mentre decifrare è l‟operazione legittima di lettura di un messag-

gio cifrato .

E' utile avere anche una notazione per relazionare fra loro testo in chiaro, testo ci-

frato e le chiavi. Useremo la notazione C=Ek(P) per indicare che la cifratura del testo

in chiaro P, usando una chiave k, genera il testo cifrato C. Analogamente P=Dk(C)

indica la decifrazione di C per estrarre il testo in chiaro. Segue quindi che

P=Dk(Ek(P))

questa notazione suggerisce che D ed E sono semplicemente funzioni matematiche.

Il punto difficile è che si tratta di funzioni con due parametri: uno di essi è la chiave

mentre l‟altro è il messaggio.

Una regola base della crittografia afferma che bisogna sempre assumere che il crip-

toanalista conosca il metodo di cifratura e decifrazione. Lo sforzo necessario per in-

ventare, testare e installare un nuovo algoritmo ogni volta che quello vecchio è com-

promesso ha sempre reso impraticabile la segretezza dell'algoritmo.

Qui entrano in gioco le chiavi. La chiave crittografica consiste di una stringa (relati-

vamente corta) che identifica una particolare cifratura tra le molte possibilità. Di-

versamente dal metodo generale che può essere cambiato una sola volta ogni diversi

anni, la chiave può essere cambiata tutte le volte che si ritiene necessario. Quindi il

modello base è dato da un metodo generale stabile e noto pubblicamente, però para-

metrizzato da una chiave segreta che può essere cambiata facilmente.

Questa idea è detta principio di Kerchoff, dal nome di August Kerchoff, il crittogra-

fo fiammingo che per primo formulò il principio: tutti gli algoritmi devono essere pub-

blici, solo le chiavi sono segrete.

Le basi su cui si fonda la crittografia moderna sono le stesse idee base, i cifrari a so-

stituzione e i cifrari a trasposizione, vediamoli brevemente:

Cifrari a sostituzione: ogni lettera o gruppo viene rimpiazzato da un altra let-

tera o gruppo per mascherare il messaggio. Uno dei cifrari più antichi che si

conoscano è il cifrario di Cesare. Una semplice generalizzazione del cifrario di

Cesare consiste nello spostare l‟alfabeto del testo cifrato di k lettere. In que-


36

sto caso k diventa la chiave del metodo generale che consiste nell‟avere un al-

fabeto spostato circolarmente.

Cifrari a trasposizione: riordinano le lettere ma non le mascherano. Un esem-

pio di cifrario a trasposizione è quello a trasposizione colonnare. La cifra in

questo caso ha come chiave una parola o una frase senza lettere ripetute. Lo

scopo della chiave è quello di numerare le colonne: la colonna numero 1 è

quella sotto la lettera della chiave più vicina all'inizio dell'alfabeto, e cosi via.

Il testo in chiaro viene scritto orizzontalmente per righe fino a riempire la

matrice, eventualmente usando anche alcuni caratteri di riempimento allo

scopo. Il testo cifrato viene letto per colonna cominciando con quella che ha

la lettera chiave più bassa.

Tradizionalmente i crittografi hanno sempre usato degli algoritmi semplici. Al gior-

no d‟oggi invece capita il contrario: l'idea è quella di rendere l'algoritmo sempre più

complesso per fare in modo che anche se il criptoanalista avesse a disposizione una

vasta quantità di testo cifrato non riesca comunque a capirci nulla senza avere la

chiave.

Gli algoritmi esaminati in questa sede sono i cosiddetti algoritmi a chiave simmetri-

ca, in quanto usano la stessa chiave per cifrare e decifrare il testo in chiaro, e più

precisamente la modalità con cui operano è quella definita Stream Chiper. Questa

modalità funziona cifrando un vettore di inizializzazione con una chiave crittografica

per ottenere un blocco in uscita. Quest‟ultimo viene cifrato per produrre un secondo

blocco in uscita quindi si procede analogamente con il terzo ecc. La sequenza di bloc-

chi cifrati in uscita viene chiamata Key Stream, viene usata come blocco monouso e

applicata in XOR sul testo in chiaro.

La decifrazione viene eseguita generando lo stesso Key Stream dal lato del riceven-

te.Visto che il Key Stream dipende solo dall‟IV e dalla chiave non è sensibile agli er-

rori di trasmissione del testo cifrato. È essenziale che nella modalità Stream Chiper

non venga mai riutilizzata la coppia (chiave IV), perchè questo vorrebbe dire genera-

re più volte lo stesso Key Stream. L'uso ripetuto dello stesso Key Stream espone il

testo cifrato all‟attacco di tipo Key Stream riutilizzato.

MAC Filtering e IP Filtering

Quando si tratta di protezione, la preoccupazione principale di gran parte delle pic-

cole aziende è quella di tenere gli intrusi fuori dalle reti e consentire agli impiegati e

talvolta ai clienti di disporre di accesso immediato alla rete. A questo fine, il filtro

degli indirizzi MAC è il primo passo da compiere.

Contrariamente al nome sofisticato, il filtro degli indirizzi MAC ha una funzione

semplice, ma fondamentale: impedire agli hacker o altri utenti non autorizzati di ac-

cedere alla rete con l‟indirizzo o codice del dispositivo in uso durante il tentativo di

accesso.


37

Dai notebook ai PDA, ogni dispositivo wireless dispone di una scheda wireless mobi-

le e ogni scheda dispone di un indirizzo MAC univoco. In altre parole, l'indirizzo

MAC è l'equivalente tecnologico delle impronte digitali.

Il filtro degli indirizzi MAC funziona come un sofisticato sistema di sicurezza di un

laboratorio di ricerca top-secret. In un laboratorio, ogni scienziato che tenta di en-

trare viene sottoposto a scansione delle impronte digitali dal sistema. Quando le im-

pronte non vengono riconosciute, il sistema blocca l'entrata al laboratorio.

L'equivalente dello scanner per le impronte digitali in una rete wireless è il punto di

accesso o il gateway, che nella maggior parte delle reti è rappresentato da un router.

Grazie al filtro degli indirizzi MAC, è possibile controllare l'accesso alla rete aziendale

configurando il router/punto di accesso, in modo che solo i dispositivi wireless con

indirizzi MAC riconosciuti vengano autorizzati. Se il router/punto di accesso non ri-

conosce l'indirizzo MAC del dispositivo, l'utente che utilizza tale dispositivo non è in

grado di accedere alla rete.

L‟IP Filtering è un metodo che funziona come il MAC Filtering, con la differenza

che al posto di agire sugli indirizzi MAC, decide quali tipi di datagrammi IP saranno

processati normalmente e quali saranno scartati.

Proxy

Un Proxy è un programma che si interpone tra un client ed un server, inoltrando le

richieste e le risposte dall'uno all'altro. Il client si collega al Proxy invece che al

server, e gli invia delle richieste. Il Proxy a sua volta si collega al server e inoltra la

richiesta del client, riceve la risposta e la inoltra al client.

A differenza di bridge e router, che lavorano ad un livello ISO/OSI più basso, i

proxy nella maggior parte dei casi lavorano a livello applicativo; di conseguenza un

programma proxy gestisce un numero limitato di protocolli applicativi.

Un caso in cui viene spesso usato un Proxy è la navigazione web (denominato Proxy

HTTP dal nome del protocollo usato). Per utilizzare un Proxy è possibile configurare

il client in modo che si colleghi al Proxy invece che al server, oppure definire un

Proxy trasparente; in questo caso, a seconda della configurazione, alcune connessioni

(ad esempio quelle HTTP) vengono automaticamente indirizzate al Proxy senza che

sia necessario configurare un client (quindi l'impostazione rimane attiva anche cam-

biando client).

Un proxy può essere usato per una o più delle seguenti ragioni:

Connettività: per permettere ad una rete privata di accedere all'esterno è pos-

sibile configurare un computer in modo che faccia da Proxy tra gli altri com-

puter e Internet, in modo da mantenere un unico computer connesso all'e-

sterno, ma permettere a tutti di accedere. In questa situazione, solitamente il

Proxy viene usato anche come firewall.


38

Caching: un Proxy può immagazzinare per un certo tempo i risultati delle ri-

chieste di un utente, e se un altro utente effettua le stesse richieste può ri-

spondere senza dover consultare il server originale.

Monitoraggio: un Proxy può permettere di tenere traccia di tutte le opera-

zioni effettuate (ad esempio, tutte le pagine web visitate), consentendo stati-

stiche ed osservazioni dell'utilizzo della rete che possono anche violare la

privacy degli utenti.

Controllo: un Proxy può applicare regole definite dall‟amministratore di si-

stema per determinare quali richieste inoltrare e quali rifiutare, oppure limi-

tare l‟ampiezza di banda utilizzata dai client, oppure filtrare le pagine Web

in transito, ad esempio bloccando quelle il cui contenuto è ritenuto offensivo

in base a determinate regole.

Privacy: un Proxy può garantire un maggiore livello di privacy mascherando

il vero indirizzo IP del client in modo che il server non venga a conoscenza di

chi ha effettuato la richiesta.

Quando la configurazione della rete consente di collegarsi ad internet solamente at-

traverso un Proxy, non sono ovviamente utilizzabili molti tipi di applicazioni basate

su protocolli non supportati dal Proxy, ad esempio giochi on-lin, webcam, program-

mi di messaggistica istantanea, servizi VoIP, applicazioni di file-sharing. Talune di

queste applicazioni sono state modificate per poter far passare il proprio traffico in-

capsulato in HTTP e quindi per poterlo veicolare in un Proxy.

PPPoE

PPPoE (Point-to-Point Protocol over Ethernet) è un protocollo punto a punto ope-

rante su Ethernet, una nuova alternativa per le connessioni Internet ad alta velocità.

Sebbene non sia uno standard Internet, il PPPoE è descritto nell'informativo RFC

2516.

È un protocollo di rete che permette di incapsulare frame PPP in frame Ethernet. È

usato soprattutto per i servizi DSL. Fornisce le caratteristiche standard di un proto-

collo PPP come l'autenticazione, la cifratura e la compressione. Purtroppo adotta

un'unità massima di trasmissione minore di quella standard Ethernet e questo com-

porta qualche problema in presenza di firewall mal configurati.

Il PPPoE è un protocollo di tunneling che permette di incapsulare il livello IP su

una connessione tra due porte Ethernet pur mantenendo le caratteristiche di un col-

legamento PPP, per questo motivo è utilizzato per "comporre il numero" virtual-

mente di un altro computer dotato di connessione Ethernet e stabilire una connes-

sione punto-punto con esso, su questa connessione vengono poi trasportati i pacchet-

ti IP in base alle caratteristiche del PPP.

È possibile utilizzare i normali programmi basati sul PPP per gestire una connessio-

ne che utilizza una rete orientata al pacchetto come Ethernet invece che una linea

seriale e fornire una classica connessione con login e password per accedere ad


39

Internet. L'indirizzo IP all'altro capo della linea è assegnato solamente quando la

connessione è aperta quindi questo protocollo permette di usare gli indirizzi IP in

modo dinamico.

VPN

Una Virtual Private Network o VPN è una rete privata instaurata tra soggetti che

utilizzano un sistema di trasmissione pubblico e condiviso come per esempio

Internet. Lo scopo delle reti VPN è di dare alle aziende le stesse possibilità delle linee

private in affitto ad un costo inferiore sfruttando le reti condivise pubbliche. Le reti

VPN utilizzano collegamenti che necessitano di autenticazione per garantire che solo

gli utenti autorizzati vi possano accedere; per garantire la sicurezza che i dati inviati

in Internet non vengano intercettati o utilizzati da altri non autorizzati, esse utiliz-

zano sistemi di crittografia.

Le reti VPN sicure adottano dunque protocolli che provvedono a cifrare il traffico

transitante sulla VPN. Oltre alla cifratura, una VPN sicura deve prevedere nei suoi

protocolli dei meccanismi che impediscano violazioni della sicurezza, come ad esem-

pio il furto dell'identità digitale o l'alterazione dei messaggi.

Il termine VPN è un termine generico e non un marchio. In particolare, non esiste

alcun ente che regoli la denominazione di un prodotto come VPN, che quindi ogni

produttore può utilizzare a suo arbitrio.

Esistono tuttavia vari organismi indipendenti, largamente riconosciuti, che certifi-

cano interoperabilità e sicurezza dei sistemi informatici, come ad esempio ICSA

Labs. Un apparato o un software, che riporti il marchio di ICSA Labs per le VPN

IPSec, ha sicuramente superato una serie di test oggettivi e replicabili, che garanti-

scono la compatibilità con tutte le altre implementazioni certificate ed un adeguato

livello di sicurezza. È oggi opinione comune che una VPN correttamente progettata

abbia un grado di sicurezza comparabile con quello di una rete dedicata.

Per mezzo di una VPN, utilizzando una connessione Internet si è comunque in grado

di effettuare una connessione al proprio ufficio, con una telefonata al numero telefo-

nico dell'accesso Internet più vicino. Se si dispone di una connessione Internet ad al-

ta velocità (ad esempio via cavo o ADSL) per il proprio computer e per i computer

aziendali, è possibile connettersi in rete con il proprio ufficio alla velocità relativa-

mente alta della connessione Internet utilizzata.

Generalmente una VPN comprende due parti: una interna alla rete, e quindi protet-

ta, che preserva la trasmissione, e una meno affidabile e sicura che è quella esterna

alla rete private, ad esempio via Internet.

Nelle VPN c‟è in genere un firewall tra il computer del dipendente o di un cliente e il

terminale della rete o del server. Il dipendente, per esempio, quando stabilisce la

connessione con il firewall, deve autenticare i dati che vuole trasmettere, passando

attraverso un servizio di autenticazione interno.


40

Un utente autenticato può essere provvisto di privilegi particolari per accedere a ri-

sorse che generalmente non sono accessibili a tutti gli utenti. La maggior parte dei

programmi client richiede che tutto il traffico IP della VPN passi attraverso un

“Tunnel” virtuale tra le reti utilizzando Internet come mezzo di collegamento. Dal

punto di vista dell‟utente ciò significa che, mentre la connessione VPN è attiva, tutti

gli accessi esterni alla rete sicura devono passare per lo stesso firewall come se

l‟utente fosse fisicamente connesso all‟interno della rete sicura. Questo riduce il ri-

schio che utenti esterni possano accedere alla rete privata dell‟azienda.

La sicurezza della connessione VPN è di importanza fondamentale, perché la rete su

cui gli altri computer stanno lavorando potrebbe non essere sicura, o esserlo solo par-

zialmente. La VPN deve quindi garantire un livello di sicurezza tale da proteggere i

computer dei dipendenti che stanno lavorando simultaneamente sulla stessa rete, tra

i quali uno potrebbe essere stato infettato da un virus, un Worm o un Trojan.

Regole di Base

Una corretta configurazione degli apparati è un buon inizio per proteggere la rete

wireless. Grazie ad alcuni accorgimenti, è possibile "sviare" un eventuale intruso na-

scondendo dettagli preziosi e rendendo più difficile l'identificazione della rete su cui si

sta collegando. Oltre ai metodi di sicurezza precedentemente elencati si ravvisano al-

tri metodi di protezione che aiutano una LAN Wireless ad acquistare un certo grado

di sicurezza.

Cambiare gli SSID di default

Il Service Set Identifier (SSID) identifica univocamente ogni punto di accesso all in-

terno della rete. Tramite una configurazione opportuna, soltanto i dispositivi che uti-

lizzano la corretta SSID possono comunicare con i punti di accesso. Molti dei disposi-

tivi hanno già preconfigurato un SSID di default: un intruso può usare questi nomi

per cercare di accedere ad AP che hanno ancora la configurazione di fabbrica.

Utilizzare SSID non descrittivi

Usare SSID descrittivi facilita il compito di un eventuale intruso nell'individuare

luoghi o aziende e nel ricavare maggiori informazioni su come entrare. Si consiglia di

utilizzare nomi anonimi o altamente scoraggianti come "AC01MLX", "HoneyPot01"

o "GoAway01".

Disabilitare il Broadcast SSID

Gli AP mandano ad intervalli regolari Beacon Frames per la sincronizzazione con i

client, i quali contengono il SSID. Questi frame servono ai client per configurarsi au-

tomaticamente la rete di accesso, ma servono anche a potenziali aggressori durante

la ricerca delle reti wireless. È auspicabile disabilitare il Broadcast SSID qualora

l'AP supporti questa opzione. Il client dovrà essere configurato manualmente con il

SSID corretto per poter accedere alla rete.


41

Cambiare le password

Come per gli SSID, è importante cambiare le password di default degli AP. È buona

norma che la password sia lunga almeno otto caratteri e che includa caratteri speciali

e numeri.

Aggiornare il Firmware

Nella scelta di un Access Point, è preferibile orientarsi verso un apparato che abbia

la possibilità di aggiornare il suo Firmware. È bene pertanto assicurarsi che l'Access

Point abbia l'ultimo livello di Firmware consigliato dal produttore.

Spegnere l'AP quando non serve

Gli intrusi agiscono solitamente durante la notte e il fine settimana, ovvero quando

la rete ed i sistemi non sono controllati. È consigliato, quando possibile, collegare gli

Access Point ad un timer, in modo da spegnerli quando non vengono utilizzati.

Minimizzare l'intensità del segnale

Gli intrusi sfruttano il fatto che le onde radio non si possono limitare a dei luoghi

ben definiti, esempio l'ufficio vendite, ma riescono ad espandersi fuori dalle mura pe-

rimetrali dall'ufficio. Da qui la definizione del nome "parking lot attack", o più sem-

plicemente attacchi provenienti dal parcheggio. È pertanto importante scegliere

un'adeguata collocazione dell'Access Point all'interno dell'edificio, in modo che il se-

gnale sia sufficiente a garantire il collegamento solo ed esclusivamente alla zona inte-

ressata. Attraverso appositi strumenti radio o di audit, è necessario verificare che il

segnale non sia visibile all'esterno del palazzo o della zona identificata. Per minimiz-

zare l'intensità del segnale, è sufficiente non posizionare l'AP vicino alle finestre e u-

sare antenne direzionali con basso guadagno in decibel. Alcuni AP inoltre hanno la

possibilità di definire l'intensità del segnale via software.

Cambiare le community di default di SNMP

Su molti AP risulta installato un agente SNMP (Simple Network Management Pro-

tocol). Se la community password non risulta correttamente configurata, un aggres-

sore può leggere e scrivere dati di configurazione sull‟AP, in maniera analoga ad altri

sistemi che supportano SNMP.

Limitare il traffico di broadcast

Alcuni protocolli, in particolare il NetBIOS su TCP/IP usato da Windows, usano as-

siduamente i messaggi di broadcast. Questi messaggi di broadcast contribuiscono ad

incrementare il valore IV del sistema WEP minimizzando per un intruso i tempi di

raccolta dei dati per ricavare la chiave WEP. È consigliabile limitare il traffico di

broadcast quando possibile, ad esempio disattivando il protocollo NetBIOS su

TCP/IP dal binding con la scheda di rete Wireless.


42

Protezione del client

Alcuni attacchi sono mirati ai client wireless in quanto vengono usati come ponte

per entrare nella rete interna e per ricavare preziose informazioni. Ad esempio, alcuni

client wireless scrivono in chiaro, nel registry di Windows o in un file di testo, le

chiavi WEP di crittografia. È preferibile usare un personal firewall sui client in modo

da ridurre i rischi di attacchi.

Non utilizzare il DHCP

È consigliabile non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi,

ma considerare l'utilizzo di IP statici. Anche se è un ulteriore impegno per l'ammini-

stratore, è assai utile per evitare che la rete wireless attribuisca indirizzi IP validi a

chiunque voglia associarsi con l'AP. Anche se un attaccante, utilizzando uno sniffer

wireless, può facilmente ricavare gli IP, il fatto di non distribuirli via DHCP rappre-

senta un'ulteriore barriera. Inoltre, è consigliabile evitare di usare indirizzamenti di

default facilmente intuibili come 192.168.1.0 o 192.168.0.0.

Uso di una VLAN separata

È consigliabile utilizzare una Virtual LAN separata per il traffico wireless, separan-

dola dalla rete intranet. Esistono varie metodologie, che vedremo in seguito, per uni-

re in maniera sicura le due LAN, tra le più semplici ricordiamo l'uso di un rou-

ter/swich con capacità di filtro IP o un proxy. In alcune piccole aziende e in ambienti

SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un

problema, queste semplici regole sono sufficienti a proteggere l'accesso wireless. In

ambienti più critici, dove è necessario mantenere la confidenzialità dei dati, è neces-

sario applicare delle regole più rigorose: vedremo nei prossimi capitoli quali sono le

tecniche per proteggere tali ambienti.


43

Capitolo 4

WEP (Wired Equivalence Protocol)

Lo standard IEEE 802.11 definisce un meccanismo per garantire la privacy nelle

comunicazioni, questo meccanismo è il WEP che sta per Wired Equivalence Proto-

col, come suggerisce il nome si pone l'obiettivo di garantire un sistema di sicurezza

equivalente a quello delle reti cablate.

Chiamato anche WEP 40 viene definito come un metodo per garantire la riservatez-

za di dati scambiati tra utenti autorizzati di una WLAN da possibili intercettazioni.

In questo caso il numero 40 sta ber la lunghezza della chiave (40 bit). L'implementa-

zione del WEP è opzionale, in quanto lo stesso algoritmo può essere usato con una

chiave a 104 bit (WEP 104). Il meccanismo di cifratura e decifratura è lo stesso sia

con chiave a 40 che a 104 bit. Il termine WEP quindi si riferisce ad entrambi.

Formato MPDU

La seguente figura illustra il formato di una MPDU (MAC Protocol Data Unit) ci-

frata attraverso l‟algoritmo WEP.

Figura 17 – Formato di una MPDU WEP


44

Il campo WEP ICV è lungo 32 bit mentre il frame body espanso inizia con un campo

IV a 32 bit che contiene tre sottocampi: IV da 3 bytes, Key ID da 2bit e Pad da 6

bit.

Il Key ID (formato dai 2 bit più significativi) contiene una delle quattro possibili

combinazioni di valori della secret key usata per decriptare il frame body. Il Key ID

viene ignorato quando si usano chiavi key-mapped. Il valore del Pad deve essere 0.

Chiavi di cifratura

Il WEP usa solo chiavi di cifratura e non viene eseguita nessuna autenticazione,

quindi non ha nessuna chiave di integrità dei dati. Vengono usati due tipi di chiavi di

cifratura: key-mapping e chiave di default.

Una chiave key-mapping è una chiave anonima corrispondente a una coppia distin-

ta indirizzo trasmittente - indirizzo ricevente. Questa chiave deve essere usata per

criptare e decriptare frame trasmessi da TA verso RA senza tenere conto della pre-

senza di altri tipi di chiavi. Quando è presente una chiave key-mapping per una cop-

pia di indirizz, il sottocampo Key ID deve essere impostata a 0 in fase di trasmissio-

ne o ignorato in fase di ricezione.

Una chiave default è un elemento di un array di 4 elementi chiamato

"dot11WEPDefaultKeys", designato dal valore di un indice di un array ad esso cor-

relato chiamato "dot11WEPDefaultKeyID". Se non viene configurata nessuna

chiave key-mapping WEP deve usare una chiave di default per criptare o decriptare

il frame. Durante la trasmissione la chiave selezionata è l'elemento dell‟array dato

dal suo indice correlato da 0 a 3. Il valore che il trasmettitore inserisce nel campo

Key ID del frame trasmesso deve essere il valore dell'indice che punta all‟elemento

dell‟array che fa da chiave. Il ricevitore deve usare il valore dell‟array, il cui indice è

il valore del campo key ID, per decriptare il frame. Tutte le implementazioni devono

supportare il default key.

Il valore di default per ogni chiave WEP deve essere Null. Tutte le implementazioni

WEP devono scartare il frame, generare un messaggio di conferma indicando anche

lo stato di trasmissione e che il frame può non venire incapsulato con una chiave nul-

la in risposta ad ogni richiesta di incapsulare un frame con una chiave nulla.

Algoritmi di cifratura

L'implementazione WEP deve usare l'ARC4 Stream Chiper come il suo algoritmo di

decifratura. ARC4 usa un generatore pseudo casuale (PRNG) per generare una key

stream che viene utilizzata come operando di un XOR assieme al plaintext del frame

da trasmettere, per produrre il chiper text o per recuperare un plaintext dal chiper

text.


45

RC4

Per generare il keystream lo stream chiper fa uso di uno stato interno che consiste di

due parti:

una permutazione di tutti i 256 possibili bytes (S[ ]);

due indici da 8-bit (i, j).

La permutazione è inizializzata con una chiave a lunghezza variabile tra i 40 e i 256

bit utilizzando l'algoritmo di key-scheduling (KSA). Una volta completata la per-

mutazione, lo stream di bits è generato usando uno algoritmo di generazione pseudo-

casuale (PRGA).

Key Scheduling Algorithm (KSA)

L‟algoritmo KSA è usato per inizializzare la permutazione dell‟array "S[ ] ". Viene

definita la lunghezza della chiave come numero di byte della chiave (possono essere

tra 1 e 256 bytes ma tipicamente sono tra 5 e 16 bytes corrispondenti alla lunghezza

do 40-128 bit). Per cominciare l‟array è inizializzato come la "permutazione identi-

tà", ossia l'elemento i-esimo del vettore ha come valore i.

Un esempio di KSA in codice C:

for (i=0;i<=255;i++) S[i]=i;

j=0;

for (i=0 ; i<=255; i++)

{

j=( j + S[i] + key[ i % keyLenght ] ) % 256;

swap( S[i],S[j] );

}

Pseudo Random Generation Algorithm (PRGA)

Per ogni iterazione necessaria PRGA modifica lo stato e restituisce un byte del ke-

ystream. Inoltre incrementa i, aggiunge il valore di S[i] a S[j], scambia i loro valori e

poi restituisce il valore di S alla posizione (S[i]+ S[j] % 256). Ogni valore di S è

scambiato almeno una volta ogni 256 iterazioni.

Un esempio di PRGA in codice C:

i=0;

j=0;

for (k=0 ; k<=255 ; k++)

{

i=(i + 1) % 256;

j=(j + S[i]) % 256;

swap(S[i],S[j]);

return S[(S[i] + S[j]) % 256];

}


46

Implementazione RC4

Molti Stream Chiper sono basati su un "linear feedback shift register" (LFSR), cosa

che li rende efficienti dal punto di vista hardware ma non altrettanto dal punto di vi-

sta software.

L'implementazione di RC4 evita l'uso di LFSRs ed è ideale per l'implementazione

software in quanto richiede solamente manipolazione di byte. Usa 256 bytes di me-

moria per l'array di stato S[ ], k byte di memoria per la chiave da key[0] a key[k-1], e

le variabili intere i, j, k .

Figura 18 - Un'implementazione JAVA dell'RC4

Costruzione del Seme

L'implementazione WEP deve creare una chiave intermedia, un seme, concatenando

una chiave di cifratura con un IV. Nel caso di WEP 40 i bit da 0 a 39 della chiave

WEP corrispondono ai bit 24-63 del seme, dove i primi 24 bit sono i bit da 0 a 23

dell‟IV.

Il seme deve essere dato come input all‟ARC4 per decriptare i campi WEP dati e

ICV.


47

Incapsulamento Crittografico di una MPDU

Il primo passo dell'algoritmo prevede che la chiave segreta sia concatenata con un

Initialization Vector (IV) e che la stringa risultante costituisca il seme per il PNRG.

L‟output del PNRG sarà un key stream k la cui lunghezza è esattamente uguale a

quella del messaggio che sarà trasmesso in rete.

Per proteggere dalla modifica del messaggio durante la trasmissione, gli si applica un

algoritmo di controllo di integrità. Nel caso specifico del WEP viene utilizzato CRC-

32. Il risultato di questa operazione chiamato Integrity Check Value (ICV) e sarà

concatenato al messaggio stesso. Il processo di cifratura termina quindi calcolando lo

XOR tra il keystream k ed il testo in chiaro concatenato con lo ICV.

Il messaggio finale, pronto per la trasmissione viene ottenuto unendo al cifrato lo IV

iniziale in chiaro. È necessario che l‟IV sia inviato in chiaro per permettere la decodi-

fica al destinatario. La decodifica di un messaggio ricevuto, prevede una fase iniziale

in cui si genera lo stesso key stream k utilizzato per la codifica.

Questo avviene prendendo l‟IV del messaggio ricevuto, concatena dolo alla chiave

segreta ed infine utilizzando la stringa ottenuta come input del PNRG. Quindi si cal-

colerà lo XOR tra il keystream ottenuto ed il messaggio cifrato.

Questo procedimento è schematizzato dalla figura che segue:

Figura 19 - Incapsulamento di una MPDU

Scapsulamento Crittografico di una MPDU

WEP deve applicare tre trasformazioni al frame wep per decifrare il suo payload.

Innanzitutto estrae l‟IV e l‟identificatore della chiave dal frame ricevuto. Se è pre-

sente una key mapping, questa deve essere usata come chiave WEP, altrimenti viene

estratto la Key ID dal relativo campo per identificare la chiave da usare.

WEP usa il seme costruito per decriptare il campo dati del frame; questo produce un

plaintext e un ICV. Alla fine WEP ricalcola l‟ICV e lo confronta con quello decripta-

to, se sono identici allora l‟algoritmo rimuove l‟IV e l‟ICV e accetta il frame come va-


48

lido. Se invece ci sono differenze allora WEP genera un errore di MAC management e

in questo caso i pacchetti non vengono passati a livello successivo.

Il procedimento appena descritto è schematizzato dalla figura che segue:

Figura 20 - Scapsulamento di una MPDU

Vulnerabilità dell’algoritmo WEP

Innanzi tutto va sottolineato, che il protocollo WEP non si è sforzato di migliorare

la sicurezza rispetto alle tradizionali Ethernet, dove un client può intercettare snif-

fando il traffico degli altri utenti sulla rete. La condivisione a livello di rete della

stessa chiave infatti può permettere a chiunque appartiene a quella rete di violare la

privacy degli appartenenti alla rete, ed inoltre la perdita di una singola chiave rende

vulnerabili tutti gli Host della rete.

Altro problema è dato dal fatto che molte schede all‟accensione resettano l‟IV e la

probabilità di intercettare sovrapposizioni di IV è tanto più alta, specialmente in al-

cune fasce orarie. In questo caso l‟IV è incrementato di uno per ogni suo utilizzo.

Anche nel caso in cui la scheda 802.11 selezioni un numero casuale per gli IV di ogni

pacchetto, visto che l‟IV usa 24bit, dopo aver inviato 224 pacchetti ci sarà sicura-

mente il riutilizzo di alcuni valori di IV. La situazione nel caso di IV generati ca-

sualmente è anche peggiore, in quanto il numero medio di pacchetti che devono esse-

re trasmessi prima di avere una ripetizione è solamente 5000.

La sicurezza di RC4 garantisce che un attaccante in possesso solo di un IV e del cor-

rispondente Ciphertext non sia in grado di risalire alla Chiave di Cifratura. L‟IV ga-

rantisce la cifratura di ogni pacchetto con una chiave intermedia diversa, e questo è

uno dei punti fondamentali dell‟algoritmo. D‟altra parte, se lo stesso IV fosse usato

più volte con la stessa chiave WEP, l‟algoritmo non sarebbe più sicuro.


49

IV Collision

Un modo di infrangere la sicurezza del WEP senza conoscere la Shared Secret Key,

consiste nel catturare passivamente una grande quantità di pacchetti, ma questa

volta ponendo attenzione alla collisione degli IV. Una collisione IV avviene quando 2

o più pacchetti sono codificati con lo stesso valore dello IV, quindi la stessa chiave

WEP.

Quando una collisione si verifica, facendo uno XOR logico con i 2 pacchetti, possia-

mo eliminare la codifica:

C1 ⊗ C2 = (P1 ⊗ K) ⊗ (P2 ⊗ K) = P1 ⊗ P2

ove C1 e C2 sono i Ciphertext e P1, P2 i Plaintext. Il risultato è che abbiamo elimi-

nato la Chiave di Cifratura ed ottenuto lo XOR dei Plaintext. Ora se un attaccante

fosse in grado di conoscere uno dei due Plaintext, sarebbe in grado di ottenere l‟altro

con un semplice XOR.

P1 ⊗ (C1 ⊗ C2) = P1 ⊗( P1 ⊗ P2) = P2

Non solo, conoscendo un Plaintext ed il corrispondente Ciphertext, si può ottenere

di nuovo con un XOR la Chiave di Cifratura:

P1 ⊗ C1 = P1 ⊗ (P1 ⊗ K) = K

Le collisioni IV avvengono molto frequentemente, grazie a determinati fattori:

Lo IV-keyspace di 24-bit non è abbastanza grande per garantire che non ci

siano collisioni per un periodo di tempo molto lungo. Infatti un AP che invia

pacchetti di 1500 byte a 11Mbps sicuramente consumerà il keyspace dell‟IV

in meno di 5 ore.

Molte schede Wireless (NIC) resettano gli IV a 0 ogni volta che la scheda è i-

nizializzata e viene incrementato di 1 ogni per ogni pacchetto. Questo signifi-

ca che ogni trasmissione inizia con un ben determinato e ripetitivo IV, dando

quindi l‟opportunità per avere collisioni IV e garantire ad un cracker di sco-

prire l‟IV.

La sicurezza WEP è basata sull'assunzione che la chiave segreta debba essere

cambiata molto di frequente, cosa che in realtà non accade per la sua natura

manuale dell'operazione, cioè cambiare la chiave segreta a tutti gli host che

partecipano ad una determinata struttura di rete.

Grazie a tutti questi fattori, abbiamo la certezza che le collisioni IVavvengono molto

di frequente. Alla luce di queste vulnerabilità molti Produttori di prodotti Wireless,

hanno offerto aggiornamenti per i loro prodotti, migliorando la generazione e la ca-

sualità dello IV e di conseguenza riducendo il numero di chiavi WEP identiche.

WEP Key Recovery

Conoscendo alcune Chiavi di Cifratura K ed i relativi IV e sfruttando una debolezza

dell‟algoritmo RC4 scoperta da Fluhrer, Mantin e Shamir che vedremo più appro-


50

fonditamente fra poco, con un po‟ di sforzo ulteriore e l‟utilizzo di tecniche di cripto-

analisi differenziale, si può risalire alla chiave WEP e così rompere completamente la

sicurezza.

Purtroppo tutto questo capita in WEP. Infatti come abbiamo detto, l‟IV è un nu-

mero a 24 bit, e quindi permette di creare solo circa 17 milioni di chiavi intermedie.

Ipotizzando di inviare pacchetti di 1500Bytes a 11Mbps, ognuno con un IV diverso,

e quindi sarebbero sufficienti 5 ore per esaurire gli IV. In pratica però ci vuole molto

meno, poiché ad esempio in caso di errori di trasmissione il protocollo WEP richiede

la re inizializzazione degli IV. Se poi gli IV fossero dati in modo casuale, ci vorrebbe

ancora meno per avere una ripetizione.

Inoltre non è necessario conoscere completamente un Plaintext o fare un Known

Plaintext Attack, infatti sfruttando gli header dei pacchetti, che sono spesso facil-

mente indovinabili, ed i pacchetti che spesso si ripetono nella rete, per esempio ARP,

IP o SNAP, è possibile ottenere sufficienti informazioni per ricostruire la Chiave di

Cifratura. Il tutto è così semplice, che esistono programmi come Airsnort e Wepcrack

che rendono del tutto automatico l‟ottenimento della chiave (non più segreta a que-

sto punto) WEP. Se la chiave WEP è di 40 bit, poche ore di ascolto su di una rete

WiFi (con sufficiente traffico) permettono di ottenere la chiave stessa. Se la chiave

WEP è invece di 104 bit, molte più coppie (Chiave di Cifratura, IV) e molte più ore

sono necessarie per risalire alla chiave WEP.

Quando un IV è stato forzato, tutti i pacchetti che in futuro verranno inviati con

quell‟IV possono essere decifrati. Dopo aver determinato una coppia valida (IV, Ke-

ystream), si può usare l‟informazione per generare tutti i pacchetti che desidera e

quindi interferire con la comunicazione promuovendo attacchi di tipo DoS (Denial of

Service). Teoricamente, ricevente potrebbe notare che un gran numero di pacchetti

improvvisamente utilizzano lo stesso IV, ma il WEP lo permette, nessun controllo

interviene a seguito di questo comportamento. Infine notiamo che il CRC non serve a

molto in questo caso, in quanto l‟attaccante può cambiare tutto il payload ed effet-

tuare anche il corrispondente cambiamento al CRC, senza neanche dover rimuovere

la cifratura.

A parziale scusante dell‟IEEE e della WiFi Alliance, bisogna dire che se non fosse

stata scoperta questa debolezza di RC4, sarebbe molto più difficile, se non quasi im-

possibile, fare l‟ultimo passo per ottenere la chiave WEP. D‟altronde, con una cor-

retta gestione dell‟IV e delle chiavi, RC4 è ancora un protocollo sicuro. Se sin

dall‟inizio il WEP avesse previsto la generazione frequente della chiave segreta ini-

ziale di crittazione, questo problema non sarebbe sorto.

L'attacco di Fluhrer, Mantin e Shamir

Fluhrer, Mantin e Shamir hanno descritto un attacco passivo contro il cifrario RC4.

Essi hanno mostrato come sia possibile ricavare l'intera chiave utilizzata per inizia-

lizzare il cifrario conoscendone soltanto una parte. Il WEP è vulnerabile a quest'at-

tacco in quanto una porzione della chiave (il vettore di inizializzazione) è spedita in

chiaro al destinatario.


51

In particolare questo attacco per ogni IV∙k sfrutta soltanto il primo byte di output

del cifrario. Analizzando il codice del PRGA mostrato precedentemente si nota che il

primo byte generato dipende solo da tre valori: prima della chiamata alla funzione

sia i che j valgono 0, quindi dopo la prima esecuzione si avrà i = 1, j = S[1] e il valore

ritornato sarà S[S[1] + S[S[1]]].

Figura 21 - Rappresentazione del vettore di stato S

Inoltre è stato dimostrato da Fluhrer, Mantin e Shamir che se in fase di inizializza-

zione l‟algoritmo raggiunge uno stato in cui i è maggiore o uguale a 1, a X e a X+Y,

allora con una probabilità maggiore di e-3≈0.05 nessuno di questi tre elementi pren-

derà parte ad ulteriori scambi. Gli autori definiscono questa situazione una resolved

condition.

Sebbene sembri improbabile, è abbastanza semplice procurarsi il primo byte di

output del cifrario. Le reti wireless infatti utilizzano il protocollo LLC [3] (definito

dallo standard IEEE 802.2) a livello Data Link, che prevede l'incapsulamento dei

pacchetti IP in un ulteriore frame con un header SNAP (SubNetwork Access Proto-

col) che ha sempre il valore 0xAA come primo byte. Facendo quindi uno XOR tra il

primo byte del crittotesto e il valore 0xAA si ottiene il primo byte di output del ci-

frario.

Inoltre, poiché il vettore di inizializzazione è 'per packet', il cifrario verrà inizializza-

to ad ogni pacchetto inviato, il quale quindi conterrà sempre il primo byte generato

da RC4. Nell'articolo vengono definiti deboli quegli IV che lasciano trasparire infor-

mazioni utili ad individuare parte della chiave contenuta nel primo byte di output

del cifrario. Essi sono nella forma (A+3, N1, X)2, dove A è il byte della chiave segre-

ta che si vuole individuare, N è il modulo utilizzato dall'algoritmo (nel caso del WEP

uguale a 256) e X è un valore arbitrario compreso tra 0 e 255.

Sia K la chiave in cui i primi 3 byte sono formati dall‟IV e i restanti dalla chiave se-

greta. Supposto che si conoscano i primi A byte della chiave segreta (con A inizial-

mente uguale a 0), ovvero K[3]...K[A+2], si vuole individuare il valore K[A+3]. Ve-

diamo come si comporta l‟algoritmo KSA con un IV del tipo (A+3, N1, X): alla pri-

ma iterazione del secondo ciclo vengono impostati i = 0 e j = K[0] e viene fatto lo

swap dei valori in S alle posizioni i e j.

Figura 22 – Vettori dopo la seconda iterazione del KSA


52

Il primo vettore rappresenta la chiave di inizializzazione k, mentre il secondo vettore

rappresenta la permutazione S dopo la seconda iterazione del ciclo for. Da questo

punto in poi l‟algoritmo di inizializzazione proseguirà differentemente in base al par-

ticolare IV in quanto i verrà ancora incrementato di 1 e j dipenderà dal valore X:

j = A + 3 + S[2] + K[2] = A + 3 + 2 + X

Tuttavia l‟attaccante conosce X (perché fa parte del vettore di inizializzazione) e

conosce anche i valori k[3]...k[A+2] (per l'ipotesi sopra formulata), quindi eseguendo

l‟algoritmo ne può prevedere il comportamento fino al passo A+3. A questo punto

l'attaccante conoscerà il valore jA+2 e il valore della permutazione SA+2. Se i primi

due valori di S saranno diversi da A+3 e 0 (cioè se sono stati coinvolti in ulteriori

swap) allora l'attaccante scarterà quel pacchetto e ne proverà un altro, altrimenti si

avrà:

jA+3 = jA+2 + SA+2[A + 3] + K[A + 3]

ovvero

K[A+3] = jA+3 − jA+2 − SA+2[A + 3]

Poiché i e j verranno scambiati in SA+2, si avrà che SA+3[A+3] = SA+2[jA+3], ovvero

jA+3 sarà la posizione in SA+2 in cui appare il valore SA+3[A+3]. Inoltre iA+3 (uguale a

A+3) avrà raggiunto la resolved condition (con riferimento alla figura 1 abbiamo in-

fatti X = 0 e X+Y = A+3) e quindi, con una probabilità p > e-3≈0.05, SA+3[A+3] sarà

proprio il primo byte di output del cifrario. Analizzando circa 60 IV questa probabi-

lità sale già a 0.5. A questo punto si hanno tutti gli elementi per calcolare k[A+3] e

iterando questo procedimento per tutti i valori di A l'attaccante è in grado di rico-

struire l‟intera chiave segreta.

L'attacco di Klein

Per recuperare un'intera chiave con l'attacco precedentemente descritto occorrono

da 1.000.000 a 5.000.000 di pacchetti, in quanto non tutti i pacchetti contengono un

IV che determina una resolved condition. Un netto miglioramento si è avuto a segui-

to degli studi di Andreas Klein su RC4. Egli ha dimostrato l'esistenza di una forte

correlazione tra i valori osservabili i e S[S[i]+S[j]] e i valori j, S[i] e S[j] relativi allo

stato interno del cifrario. Per semplicità di notazione indichiamo con k il valore

S[i]+S[j], cosicché l'output del cifrario sarà dato dal valore S[k], mentre con K indi-

chiamo la chiave di inizializzazione del cifrario.

Klein ha dimostrato che fissato un valore i minore di n:

Per capire come sfruttare questa probabilità analizziamo i primi due passi

dell‟algoritmo di inizializzazione di RC4. Inizialmente S[i] = i per ogni valore di i; al

primo passo dell‟algoritmo si ha i = 0 e j = K[0], e lo scambio di S[i] con S[j].


53

Figura 23 - Stato dell'array S dopo il primo ciclo di inizializzazione

Al secondo passo j viene incrementato della quantità S[1] + K[1], e viene fatto lo

scambio tra [1] e S[j]. Poiché inizialmente S[i] = i, possiamo affermare che con il se-

condo scambio (dato che fino a quel momento sono stati cambiati solo due valori in

S0) otteniamo S[1] = S[j] = j = K[0] + 1 + K[1], tranne nei seguenti casi:

a) K[0] = 1 e K[1] = 0

In questo caso al primo passo j = 1, quindi viene fatto lo scambio tra S[0] e

S[1], ovvero si avrà S[0] = 1 e S[1] = 0. Al secondo passo j = K[0] + S[1] +

K[1] = 1 + 0 + 0 = 1, quindi dopo lo scambio si avrà S[1] = S[j] = S[1] = 0.

b) K[0] = 1 e K[1] != 0, n-1

Dopo il primo passo ci troviamo nello stesso stato del caso precedente. Al se-

condo passo però j = K[0] + S[1] + K[1] = K[0] + K[1], e poiché questa

quantità è diversa da 0 e da 1 avremo S[1] = S[j] = K[0] + K[1] (perché tut-

ti per tutti i valori di j > 1 S[j] = j).

c) K[0] != 1 e K[1] = n-1

In questo caso dopo il primo passo avremo S[0] = K[0], S[K[0]] = 0 e S[1] =

1. Al secondo passo j = K[0] + S[1] + K[1] = K[0] + 1 + n1 = K[0] (perché

operiamo in modulo n), e quindi S[1] = S[j] = S[K[0]] = 0.

d) K[0] != 1 e K[0] + K[1] = n-1

Dopo il primo passo siamo nella stessa configurazione del caso precedente.

Al secondo passo j = K[0] + S[1] + K[1] = K[0] + 1 + K[1] = n-1+1 = 0, e

quindi S[1] = S[j] = S[0] = K[0].

In ogni caso il valore di S[1] dopo il secondo passaggio è una funzione di K[0] e K[1].

Inoltre Klein ha dimostrato che S[1] non verrà modificato nei passi successivi dell'i-

nizializzazione (ovvero che j non raggiungerà mai più il valore 1) con probabilità ≈

1/e.

Quando viene generato il primo byte dal cifrario abbiamo i = 1, j = S[1] e lo scambio

tra S[1] e S[j]. Visto che noi siamo interessati a S[1] (per trovare K[1]) dobbiamo re-

cuperare il valore di S[j]. Allo scopo ci viene in aiuto la formula precedente la quale

afferma che con probabilità pari a 2/n, S[j] = 1 – S[k], dove S[k] è il primo byte di

output di RC4. Mettendo assieme le due probabilità otteniamo:

La probabilità che S[1] sia un altro valore è minore di 1/n (per ogni valore degli altri

n-1). L'attacco quindi avviene nel seguente modo: per un certo numero di pacchetti

con IV distinti viene catturato il primo byte di output del cifrario S[k] e viene calco-

lato S[1] = 1 – S[k]. Di tutti i possibili n valori che otteniamo, quello che si ripeterà

con più frequenza sarà il valore corretto. La complessità di questa procedura è stata


54

calcolata da Klein ed è ≈ 17nln(n) che (per n = 256) equivale a circa 25.000 pacchetti

(di gran lunga inferiore alla complessità dell'attacco di FMS).

Si noti che in questo attacco è previsto che l'attaccante indovini K[0] affinché possa

recuperare K[1] (infatti S[1] è funzione di entrambi). Nel caso del WEP però questa

condizione è facilmente raggiungibile in quanto i primi 3 byte della chiave vengono

sempre mandati in chiaro.

Estendiamo adesso l'attacco a tutti i byte della chiave: dopo aver ottenuto K[0] e

K[1] supponiamo di voler recuperare K[2]. Analogamente a prima abbiamo che nella

fase di inizializzazione del cifrario S[2] = f(K[0], K[1], K[2]) e che con probabilità ≈

1/e non verrà più modificato negli n–3 passi successivi. Osservando il secondo byte di

output del generatore possiamoprocurarci S[j], che al secondo passo sarà uguale a

S[2] e quindi, grazie a f (poiché abbiamo già i primi due byte della chiave) possiamo

calcolare K[2]. Iterando questo procedimento possiamo recuperare l‟intera chiave K

con una complessità totale pari a O((k-1)nln(n)).

L’attacco di Tews, Weinmann e Pyshkin

Con l‟attacco di Klein abbiamo visto come sia possibile ricavare in maniera iterativa

l'intera chiave segreta. Lo svantaggio di questo approccio però è che se il byte K[i]

che abbiamo recuperato è sbagliato, tutti gli gli altri K[j] (j > i) saranno errati e de-

vono quindi essere ricalcolati. Tews, Weinmann e Pyshkin hanno presentato un at-

tacco che permette di ricavare ogni byte della chiave indipendentemente dagli altri.

Con Sk viene indicato lo stato dell'array S dopo k iterazioni dell'algoritmo RC4. Ana-

logamente jk è il valore della variabile j dopo k iterazioni. Con S-1[j] si indica la posi-

zione in S in cui si trova il valore j, ovvero se S[i] = j allora S1[j] = i. Infine con X

indichiamo l'output del generatore.

Facendo delle sostituzioni e sviluppando la formula ottenuta da Klein, gli autori di

questo attacco hanno determinato la seguente formula:

La probabilità che questo valore trovato sia quello corretto (come dimostrato da

Klein) abbiamo visto essere ≈ 1.36/n. Come si può notare però σi dipende dai valori

S3, ..., Si+3. Tews, Weinmann e Pyshkin hanno dimostrato che sostituendo ogni oc-

correnza di S con S3 la probabilità di prendere il valore corretto diminuisce meno del-

lo 0.2% rispetto a quella originale. Questa approssimazione ha però il vantaggio di

portare alla seguente:


55

Come si può notare adesso σi dipende solamente da S3, il quale a sua volta dipende

solamente da K[0], K[1] e K[2] che nel caso del WEP sono valori spediti in chiaro e

quindi a disposizione dell'attaccante senza alcuno sforzo.

L‟attacco avviene nel seguente modo: per ogni σi viene calcolato Ai con la formula

appena descritta. Ogni volta che troviamo il valore Ai diremo che esso ha ricevuto

un voto. In tabelle separate (una per ogni σi ) vengono conservati tutti i valori calco-

lati, e alla fine del processo come valore corretto di σi verrà preso quello che ha otte-

nuto il maggior numero di voti. Infine verrà calcolato K[3] = σ0 e K[i+3] = σi – σi-1 (i

> 3). È necessario fare un‟osservazione: la formula appena descritta presuppone la

conoscenza dei primi 16 byte (per tutti i 128 bit della chiave) di output del cifrario (il

vettore X), il che equivale a conoscere i primi 18 byte del plaintext del pacchetto per

poter fare lo XOR con il crittotesto. Questo attacco non è quindi applicabile a tutti i

pacchetti, ma solo a quelli con un determinato header noto, come ad esempio i pac-

chetti del protocollo ARP (come spiegato nella sezione successiva).

I risultati sperimentali forniti dagli autori di quest‟attacco mostrano come con soli

40.000 pacchetti sia possibile raggiungere un tasso di successo nel ritrovamento della

chiave del 50%.

Incrementare il traffico dei pacchetti utilizzabili

Per incrementare il traffico dei pacchetti da sfruttare nell‟attacco, Tews, Weinmann

e Pyshkin hanno proposto la tecnica dell'ARP re-injection. Quando un host A vuole

mandare un messaggio a B specifica nel pacchetto in uscita l'indirizzo IP di quest'ul-

timo. Tuttavia gli indirizzi IP hanno senso soltanto a livello rete, quindi affinché il

frame Ethernet possa raggiungere lo strato Data Link del destinatario è necessario

conoscere il suo indirizzo fisico (MAC Address). A tale scopo è stato ideato il proto-

collo ARP (Address Resolution Protocol): quando un host vuole conoscere l‟indirizzo

fisico di un altro host manda in broadcast a tutta la sottorete una ARP request spe-

cificando l‟indirizzo IP del destinatario e il proprio indirizzo fisico. Tutti gli host a-

scolteranno questa richiesta ma soltanto l‟host con l'indirizzo IP specificato invierà

una ARP response con il proprio indirizzo fisico. Poiché nella request è già incluso

l'indirizzo fisico del mittente, il destinatario della richiesta avrà tutte le informazioni

necessarie per inviare la propria risposta.

Sia le request che le response ARP sono dei pacchetti di dimensione fissa, e quindi

sono facilmente riconoscibili nel traffico in quanto il WEP non nasconde le dimen-

sioni originali dei pacchetti. I pacchetti ARP hanno un header LLC (Logical Link

Control) fisso di 8 byte uguale a 'AA AA 03 00 00 00 08 06' e i primi 8 byte

del payload sono uguali a '00 01 08 00 06 04 00 01' per le richieste e '00 01

08 00 06 04 00 02' per le risposte (cambia solo l‟ultimo byte). Inoltre poiché

WEP non nasconde l'indirizzo fisico del destinatario e facile distinguere le richieste

(mandate in broadcast) dalle risposte (mandate in unicast), quindi è possibile ricono-

scere tutti i pacchetti ARP in transito nella sottorete e di questi se ne conoscono i

primi 16 byte del plaintext.


56

In definitiva catturando ogni pacchetto ARP e facendo lo XOR tra i primi 16 byte

del pacchetto e questi valori noti si hanno a disposizione i primi 16 byte generati dal

cifrario. In più è disponibile il vettore di inizializzazione perché è mandato in chiaro.

L'ARP reinjection consiste nel rispedire tutte le richieste ARP così come sono state

intercettate. Ogni reinjection generalmente produce 3 nuovi pacchetti a causa dei re-

lay effettuati dall‟ Access Point, e poiché ognuno di essi ha un vettore di inizializza-

zione diverso il numero di pacchetti utilizzabili ai fini dell'attacco aumenta conside-

revolmente. Tuttavia questa tecnica trasforma l‟attacco da passivo ad attivo ren-

dendo possibile l‟utilizzo di sistemi anti intrusione.

Conclusione dell’analisi WEP

Abbiamo dimostrato come il protocollo WEP allo stato attuale sia totalmente insi-

curo e inaffidabile, non ponendo nessun tipo di garanzia sulla sicurezza dei dati e

dell'autenticazione degli utenti che fanno parte della WLAN, quindi mettendo a ri-

schio tutta la struttura di rete in cui sia presente e attivo un punto di accesso Wire-

less.

Ed è per questo che molte aziende e professionisti si sono mossi per creare veloce-

mente un sostituto del WEP, tentando prima di tutto di garantire piena compatibili-

tà con tutti gli apparati Wireless esistenti e principalmente di garantire Sicurezza e

affidabilità e la soluzione alle vulnerabilità con il protocollo WEP.

Questo nuovo protocollo è conosciuto come WPA.


57

Capitolo 5

WPA (Wi-Fi Protected Access)

La recente espansione e relativa esigenza di rendere sicuro il wireless ha spinto IEEE

a rilasciare un altro standard per la sicurezza, il protocollo WPA (Wi-Fi Protected

Access). Il WPA implementa parte del protocollo IEEE 802.11i e rappresenta un

passaggio intermedio per il raggiungimento della piena sicurezza. Questa verrà rag-

giunta quando i dispositivi implementeranno in toto lo standard IEEE 802.11i (teo-

ricamente). Le certificazioni per il WPA sono iniziate nell'aprile del 2003 mentre per

l‟IEEE 802.11i si è dovuto attendere il giugno del 2004.

WPA è progettato per gestire l'autenticazione dei server e la distribuzione di diffe-

renti chiavi per ogni utente, sebbene per questioni di compatibilità supporta la pre-

cedente gestione a chiave condivisa (PSK Private Shared Key). I dati sono cifrati col

l'algoritmo di cifratura a blocchi RC4 con chiave a 128 bit e vettore di inizializzazio-

ne a 48 bit. Una delle modifiche che introducono maggiore robustezza all'algoritmo è

la definizione del TKIP (Temporal Key Integrity Protocol). Questo protocollo dina-

micamente cambia la chiave in uso e questo combinato con il vettore di inizializza-

zione di dimensione doppia rispetto al WEP rende inefficaci i metodi di attacco uti-

lizzati contro il WEP. In aggiunta all‟autenticazione e alla cifratura il WPA introdu-

ce notevoli miglioramenti nella gestione dell'integrità. Il CRC utilizzato dal WEP

come detto precedentemente non era sicuro, per evitarlo il WPA utilizza un nuovo

metodo per verificare l'integrità dei messaggi chiamato "Michael". Questo include un

contatore associato al messaggio per impedire all'attaccante di ritrasmettere un mes-

saggio che è già stato trasmesso nella rete.

In sostanza il WPA aumenta la dimensione della chiave, il numero delle chiavi in

uso, include un sistema per verificare l‟autenticità dei messaggi migliore e quindi in-

crementa la sicurezza della WLAN rendendola effettivamente analoga a quella di

una rete su cavo.

TKIP

Come già detto prima Temporal Key Integrity Protocol (TKIP) è un protocollo di

sicurezza usato nello standard IEEE 802.11i, creato da IEEE e Wi-Fi Alliance per

risolvere i problemi introdotti dal WEP.


58

TKIP è un wrapper che si basa sul già esistente cifrature WEP. comprende quindi lo

stesso motore di cifrature e lo stesso algoritmo RC4 definito per WEP. Una differen-

za sta nella lunghezza della chiave (128 bit contro i 104 della chiave WEP); questo

risolve il primo problema di WEP: una chiave troppo corta. Una parte importante di

TKIP è che cambia la chiave usata per ogni pacchetto, quest‟ultima viene creata mi-

scelando assieme una combinazione di cose, inclusa una chiave base(Pairwise Tran-

sient Key), l‟indirizzo MAC della stazione trasmittente e il numero seriale del pac-

chetto.

Ogni pacchetto trasmesso utilizzando TKIP ha un unico numero seriale di 48 bit che

viene incrementato ogni volta che un nuovo pacchetto è trasmesso e utilizzato sia

come IV e come parte della chiave. Mettere un numero di sequenza nella chiave assi-

cura che la chiave è diversa per ogni pacchetto. Questo risolve un‟altro problema del

WEP, chiamato "collision attacks" che può verificarsi quando la stessa chiave è usa-

ta per due pacchetti diversi, mentre con chiavi diverse non avvengono collisioni.

Formato MPDU

TKIP riusa il formato WEP MPDU, estende MPDU di 4 byte per permettere

l‟estensione al WEP IV, denotata dal campo Extended IV, e estende il formato

dell‟MSDU con 8 byte per poter inserire il nuovo campo MIC. Il campo Extended IV

viene inserito subito dopo il campo WEP IV e prima del campo Encrypted Data.

TKIP aggiunge MIC al campo MSDU Data cosicché MIC diventa parte

dell‟Encrypted Data.

Una volta che MIC è posto nell‟MSDU data, i byte del MIC aggiunti sono considera-

ti parte dell‟MSDU per la successiva frammentazione. La figura seguente descrive lo

schema della crittazione dell‟MPDU usando il TKIP; è il caso in cui una singola

MSDU è incapsulata in una singola MPDU.

Figura 24 - Formato di una MPDU TKIP

Il bit ExtIV nel campo Key ID indica la presenza o l‟assenza dell‟Extended IV. Se il

bit ExtIV è posto a 0, viene trasferito solo l‟IV non esteso. Se invece il bit ExtIV è

posto a 1, l‟Extended IV di 4 byte segue il IV. Per il TKIP il bit ExtIV può essere


59

settato, e di conseguenza il campo Extended IV può essere occupato. Il bit ExtIV

può essere settato a 0 per i frame WEP. Il campo KeyID può essere settato

dall‟indice della chiave occupato dalla primitiva MLME-SETKEYS.request per la

chiave usata per crittografare il frame.

TCS5 è il primo byte più significativo di TSC, mentre TSC0 è il meno significativo. I

byte TSC0 e TSC1 formano il numero di sequenza IV e sono utilizzati dal TKIP

Phase 2 key mixing. I byte TSC2-3-4-5 sono utilizzati nel TKIP Phase 1 key ha-

shing e fanno parte del campo Extended IV (vedremo queste due funzioni fra poco).

Quando i 16 bit meno significativi del numero di sequenza vengono negati (0xFFFF

0x0000) il valore dell‟ Extended IV è incrementato di 1.


Come abbiamo detto in precedenza, questo protocollo genera una chiave diversa per

ogni pacchetto che viene creata utilizzando una funziona di hash sull‟indirizzo MAC

del client, lo IV e la Session Key.

Per diminuire la potenza di calcolo necessaria per generare una chiave per ogni pac-

chetto, la funzione di key mixing è divisa in 2 fasi:

Fase 1. In quesa fase, l'indirizzo MAC del client, la chiave di sessione tempo-

ranea e i 32-Bit più significativi dello IV vengono passati alla funzione di

Hash. Il risultato di questa fase fino a quando la chiave di sessione viene

cambiata oppure ogni volta che cambiano i 32Bit più significativi dello IV.

Fase 2. Questa fase è molto simile al processo di codifica del protocollo WEP,

le differenze sono che il campo di 24-Bit della chiave WEP viene sostituito

con i 16-Bit meno significativi dello IV del WPA con un dummy byte inserito

nel mezzo, la chiave WEP invece viene sostituita con la chiave per pacchetto

generata dall'algoritmo di mixing.



60

Il calcolo di TKIP MIC protegge il campo MSDU Data e i corrispondenti campi SA,

DA, e Priority. Il calcolo del MIC è eseguito in ordine, rispettivamente SA, DA,

Priority e MSDU Data. The MIC è aggiunta al campo Data. TKIP elimina ogni inte-

stazione prima di incapsulare il MIC.

Se necessario, 802.11 frammenta l‟MSDU col MIC in una o più MPDU. TKIP in-

crementa di uno il valore TSC di ogni MPDU, controllando che ogni MPDU generata

dalla stessa MSDU abbia lo stesso valore dell‟EXT IV. Per ogni MPDU, TKIP uti-

lizza la key mixing per calcolare il seme WEP.

TKIP rappresenta il seme del WEP e passa questi con ogni MPDU per generare

l‟ICV. e per criptare il plaintext MPDU, includendo ogni parte del MIC, se presente.

WEP utilizza i semi WEP come chiave WEP di default, identificata da una chiave di

identificazione associata alla chiave temporale.

Scapsulamento di una MPDU

Prima che WEP scapsuli una MPDU ricevuta, TKIP estrae il numero di sequenza

TSC e la chiave di identificazione dal WEP IV e dall‟EXT IV. Successivamente scar-

ta le MPDU che violano il numero di sequenza e usa la mixing function per costruire

il seme WEP.

TKIP rappresenta il seme del WEP come il WEP più la chiave l‟ARC4 e passa que-

sti con ogni MPDU al WEP per la decapsulazione.

Se WEP indica che il controllo ICV ha avuto successo, l‟implementazione riassembla

l‟MPDU in una MSDU. Se la deframmentazione dell‟MSDU ha successo, il ricevitore

verifica il TKIP MIC. Se la deframmentazione MSDU fallisce, l‟MSDU viene scarta-

ta.

Lo step di verifica del MIC ricalcola il MIC sui campi SA, DA, Priority e MSDU Da-

ta della MSDU (ma non il campo TKIP MIC). Il risultato TKIP MIC calcolato viene

allora confrontato bit a bit con il MIC ricevuto.

Se i valori del MIC ricevuto e quello calcolato localmente sono identici, allora la veri-

fica ha successo, e TKIP può consegnare l‟MSDU allo strato superiore. Se invece i

due valori sono differenti la verifica fallisce e il ricevente può scartare l‟MSDU e può

prendere le relative contromisure.


61


Message Integrity Check (MIC)

Il difetto nella progettazione del WEP riguarda la mancanza di protezione nel traffi-

co di dati tra due capi di comunicazione da un non autorizzato terzo ascoltatore. Tra

i tanti difetti di WEP, il più evidente è la mancanza di un meccanismo di annulla-

mento dei messaggi falsificati o altri attacchi attivi. Per difendersi da attacchi atti-

vi, TKIP include MIC, che offre solo una debole difesa contro i messaggi falsificati,

ma costituisce il meglio di cui si possa disporre con la maggioranza dei dispositivi

HW. TKIP utilizza differenti chiavi MIC che dipendono dalla direzione del trasferi-

mento.

Questo protocollo è una funzione di Key-Hashing specificatamente studiata per le

apparecchiature a bassa potenza, che viene calcolata sui dati dei pacchetti da inviare

prima che venga codificato, ed ha un valore di 8-Byte. Il risultato dell‟operazione di

Hashing è equivalente ad una chiave a 20-Bit, che è considerata universalmente nel

mondo della sicurezza, come una chiave a bassa protezione.

Grazie a questo protocollo MIC, quando all'interno della rete WLAN viene individu-

ato qualche pacchetto corrotto, vengono attivate immediatamente delle contromisu-

re, prima di tutto viene disabilito per 60 secondi il link dove si è individuato il dato

corrotto e ogni periferica coinvolta è forzata a richiedere una chiave di sessione (Ses-

sion Key).


62

MIC nel dettaglio

Prima di definire i dettagli del MIC, è meglio esaminare il contesto nel quale opera

questo meccanismo.

Gli attacchi attivi presenti col WEP originale includevano:

Attacchi bit flipping;

Troncamento, concatenazione e intreccio del payload;

Attacchi di frammentazione;

Attacchi iterativi alla chiave;

Redirezione tramite la modifica dei campi MPDU DA e RA

Attacchi ad impersonificazione tramite la modifica dei campi MPDU SA e TA;

Il meccanismo MIC rende molto più difficoltosa la riuscita di questi attacchi, che so-

no tutti al livello di MPDU con TKIP MIC. MIC, tuttavia, utilizza l‟MSDU, così da

bloccare con successo gli attacchi al livello delle MPDU. TKIP applica il MIC alle

MSDU al trasmettitore e lo verifica al ricevitore. Se la verifica al livello di MSDU

fallisce, l‟MSDU relativa viene scartata e vengono attivate le contromisure.

La figura mostra un‟architettura dove il MIC è logicamente appeso al raw MSDU

come risposta alla primitiva MA-UNITDATA.request. Il TKIP MIC è calcolato in

base a:

MSDU DA;

MSDU SA;

MSDU Priority;

L‟intera e decriptata MSDU Data (payload);

Per calcolare il MIC vengono utilizzati esclusivamente il campo DA, il campo SA,

tre byte riservati e il campo Priority da un byte. Il campo Priority riguarda il pa-

rametro di priorità della primitiva MA-UNITDATA.request.

TKIP aggiunge il MIC di 8 byte alla fine del payload della MSDU. L‟MSDU col MIC

possono essere divisi in una o più MPDU, il WEP ICV è calcolato su ogni MPDU, e il

MIC può essere sempre diviso in due MPDU dopo la frammentazione. In questo mo-

do il TKIP MIC aumenta, ma non sostituisce il WEP ICV. Poiché TKIP MIC è

un‟implementazione poco resistente, TKIP protegge il MIC con una crittazione, che

rende più difficile la contraffazione del TKIP MIC. Il WEP ICV aiuta a prevenire le

falsificazioni al MIC, che possono essere causa dell‟invocazione di contromisure.

Il ricevitore esegue l‟operazione inversa per riassemblare l‟MSDU. Fatto ciò l‟IEEE

802.11 MAC verifica il MIC precedente per una corretta consegna agli strati superio-

ri. Se la verifica al MIC ha successo, lo strato MAC consegna l‟MSDU allo strato su-

periore, mentre se la verifica fallisce, lo strato MAC può decidere di scartare l‟MSDU.


63

Si può notare come il solo MIC non può fornire una completa protezione alle falsifi-

cazioni, e non si può difendere da attacchi ripetuti. Perciò, TKIP provvede a ripetere

i controlli tramite la sequenza TCS e la validazione del ICV. Inoltre, se TKIP è uti-

lizzato con GTK, un membro SA può mascherare qualsiasi altro STA appartenente

al gruppo.

Vulnerabilità del WPA

Il fatto di essere stimato un ottimo standard e di aver ricucito tutti i buchi del vec-

chio WEP, non fanno comunque di WPA il modello universale di invulnerabilità.

La storia ci insegna che ognuno e ogni cosa ha il proprio 'tallone d‟Achille', e che per-

sino le previsioni e le stime più ottimistiche di oggi possono essere radicalmente

smentite domani; è stato così per i più grandi storici sistemi crittografici, lo è stato

per il WEP, lo sarà anche per il WPA.

Non è questione di essere tragicamente fatalisti o apocalittici, ma è una constatazio-

ne non ancora contraddetta e che può filosoficamente essere ricondotta

all‟imperfezione umana. Innanzitutto c‟è da dire che WPA, quando opera in modali-

tà 'Pre-Shared Key', presenta gli stessi problemi di condivisione della chiave riscon-

trati in WEP.

Infatti tralasciando i problemi relativi alla segretezza della chiave, diventa necessa-

rio preconfigurare manualmente la PSK sull‟AP e su ogni stazione mobile che con es-

so deve comunicare. Inoltre, poiché la PSK non sarebbe altro che la PMK con la

quale inizia il 4-way handshake, si capisce bene che tutta la fase di autenticazione

precedente viene completamente saltata e che quindi, per autenticarsi reciprocamen-

te, client e AP si affidano solamente all‟ausiliario meccanismo autentificativo del 4-

way handshake.

Per tali ragioni la maggior parte delle case produttrici e la stessa Wi-Fi Alliance

sconsigliano fortemente l‟utilizzo di WPA in modalità PSK, a meno che non si abbia

a che fare con ambienti domestici o semi-domestici (SOHO) in cui, consapevolmente

del pericolo a cui si è esposti, è giustificato optare per la soluzione 'light' del protocol-

lo.

Quando WPA era ancora agli esordi, comparvero un paio di pubblicazioni che de-

nunciavano alcune falle nella sicurezza di WPA e, questa volta, persino utilizzato in

modalità standard, cioè con supporto di autenticazione 802.1x/EAP. Tali denunce

destarono non poco scompiglio negli ambienti della Wi-Fi Alliance, dove si provvide

subito a rimediare. Si trattava di bugs che lasciavano indifeso WPA da alcuni attac-

chi di tipo 'Man-in-the-middle', 'Session hijack' e 'Denial-of-Service'.

I primi due tipi colpivano solo i client che implementavano meccanismi di autenti-

cazione ad un senso (es. EAP-TTLS e PEAP), mentre risultavano innocui se si utiliz-

zava la mutua autenticazione (es. EAP-TLS). Il terzo tipo di attacco consisteva nello

'spoofing' di 4 tipi di messaggi del protocollo EAP:

• inondare l‟AP di Associate-Request o di pacchetti EAPOL-Start;


64

• falsificare i messaggi EAP-failure;

• falsificare i messaggi EAP-logoff o di Dissassociate-Request;

• falsificare i messaggi di Deauthentication.

Tutte le possibilità di attacco messe in luce con le pubblicazioni sono state pronta-

mente evitate (o almeno fortemente limitate) nelle implementazioni successive di

WPA e, a maggior ragione, di WPA2.

Un‟altra attenta analisi ad opera di R. Moskowitz del 2003 ha tentato di dimostrare

la vulnerabilità di WPA ad attacchi prettamente crittografici; tuttavia sembra che si

trattasse di congetture puramente teoriche, con poca attuabilità dal punto di vista

pratico e comunque risolte da WPA2 con la sostituzione di RC4-TKIP con AES-

CCMP.

Anche se WPA non è completamente invulnerabile, esso rappresenta la volontà dei

produttori a risolvere i problemi delle tecnologie del Wireless. WPA con le opportune

regole di base è un netto miglioramento della sicurezza rispetto al predecessore WEP.


65

Capitolo 6

WPA2

Dopo aver immesso sul mercato le specifiche del protocollo WPA, un sottoinsieme

delle specifiche 802.11i, il 24 Giugno 2004 è stato finalmente ratificato questo stan-

dard.

A differenza del WPA, per la cifratura dei dati è definito un nuovo protocollo,

CCMP (Counter Mode with CBC-MAC Protocol), che utilizza l‟algoritmo crittografi-

co AES al posto dell‟RC4. La maggiore robustezza di AES (e di CCMP) si paga con

una maggior potenza di calcolo richiesta agli apparati rispetto a WEP e TKIP, e ri-

chiede quindi una modifica dell‟hardware.

Ancora oggi questo standard non è molto diffuso in ambito piccole/media imprese o

in ambito privato, dato che passare a questo protocollo significa sostituire comple-

tamente le attuali interfacce di Rete, cosa che non è fattibile dove sono stati fatti

grandi investimenti, ed è per questo che ancora oggi si preferisce mettere in sicurezza

i vecchi apparati WEP/WPA.

Wi-Fi Alliance ha introdotto i termini WPA2-Personal e WPA2-Enterprise per dif-

ferenziare le due classi di sicurezza fornite dai prodotti. i WPA2-Personal utilizze-

ranno il metodo PSK a chiave condivisa mentre i WPA2-Enterprise utilizzeranno un

server di autenticazione.

Con i protocolli di protezione WPA2-Enterprise, la rete funziona in modalità di au-

tenticazione in IEEE 802.1X. Questa modalità è ideale per ambienti con infrastrut-

tura RADIUS (Remote Access Dial-In User Service). Tale ambiente richiede un

supporto tecnico specializzato per la configurazione e la manutenzione ed è studiato

per l'uso di grandi imprese.

Il protocollo di protezione WPA-Enterprise utilizza il protocollo WPA in base al ti-

po di protezione WPA selezionato e il protocollo di protezione WPA2-Enterprise uti-

lizza la protezione WPA2 in base al tipo di protezione WPA2 selezionato. Con i pro-

tocolli di protezione WPA-Enterprise e WPA2-Enterprise è possibile utilizzare la

crittografia dati TKIP o AES.


66

CCMP - Counter Mode with CBC-MAC Protocol

CCMP è basato sul CCM dell‟algoritmo di cifratura AES. CCM combina CTR per la

riservatezza dei dati e CBC-MAC per l‟autenticazione e l‟integrità. CCM protegge

l‟integrità sia dei campi Data e sia di porzioni selezionate dell‟intestazione di un

MPDU IEEE 802.11.

AES è definito nel FIPS PUB 197-2001. Tutti gli AES processati attraverso il

CCMP usano AES con una chiave a 128 bit e un blocco di 128 bit.

CCM è definito nel RFC 3610 ed è una modalità generica che può essere utilizzata

con qualsiasi algoritmo orientato ai blocchi. Ha due parametri (M e L) e CCMP usa i

seguenti valori per i parametri del CCM:

M = 8: indica che il MIC è di 8 bytes;

L = 2: indica che il campo lunghezza è di 2 bytes, che è sufficiente per man-

tenere la lunghezza dei pacchetti IEEE 802.11 più grandi possibili.

CCM richiede una nuova chiave temporanea per ogni sessione e un unico valore per

ogni frame protetto da una chiave temporale data. CCMP usa un numero di pacchet-

to (PN) a 48 bit per questo scopo. Il riuso di un PN con la stessa chiave temporanea

annulla tutte le garanzie di sicurezza.

Formato MPDU

La figura descrive una MPDU quando viene si sta usando il protocollo CCMP.

Figura 27 - Formato di una MPDU CCMP

CCMP espande la grandezza originale della MPDU di 16 bytes, 8 byte per il campo

d‟intestazione (CCMP Header) e altri 8 byte per il campo MIC. L‟intestazione CCMP

è costruita dai sottocampi PN, ExtIV, e Key ID. Il sottocampo PN è un PN a 48 bit

rappresentato come un array di 6 bytes. PN5 è il byte più significativo del PN, e

PN0 il meno significativo. CCMP non usa WEP ICV.

Il sottocampo ExtIV del byte Key ID segnala che l‟header CCMP estende

l‟intestazione MPDU di 8 bytes, rispetto ai 4 bytes aggiunti nell‟intestazione quando

viene usato il WEP. Il bit ExtIV è sempre settato a 1 per CCMP. I bit 6-7 del KeyID


67

sono per il sottocampo Key ID mentre i bit riservati devono essere settati a 0 e igno-

rati durante la ricezione.


La figura seguente descrive il processo di incapsulamento della MPDU attraverso il

protocollo CCMP.


CCMP cripta il payload di un plaintext MPDU e incapsula il chiper text risultante

attraverso i seguenti passi:

Incrementa PN, al fine di ottenere un nuovo PN per ogni MPDU, in questo

modo il PN non viene ripetuto per la stessa temporal key. Il MPDU ritra-

smesso non viene modificato durante la ritrasmissione;

Usa i campi nell‟intestazione MPDU per costruire l‟Additional Autentication

Data (AAD) per CCM. L‟algoritmo CCM fornisce integrità e protezione per i

campi inclusi nel AAD. I campi dell‟intestazione del MPDU che possono

cambiare quando vengono ritrasmessi sono mascherati a 0 durante il calcolo

del AAD;

Costruisce il blocco CCM utilizzando PN, il campo di indirizzo A2, e il campo

Priority del MPDU;

Piazza il nuovo PN e l‟identificatore della chiave nell‟intestazione CCMP da

8 bytes.

Usa la chiave temporanea, l‟AAD e i dati dell‟MPDU per formare il chiper

text e il MIC. Questo passo è noto come "CCM Originator Processing";

Forma il MPDU criptato combinando l‟intestazione originale MPDU,

l‟intestazione CCMP, i dati criptati e il MIC.

Scapsulamento di una MPDU

La figura seguente descrive il processo di scapsulamento della MPDU:


68


CCMP decripta il payload del chiper text MPDU e scapsula un plaintext attraverso i

seguenti passi:

la MPDU criptata è tradotta per costruire il valori di AAD e Nonce;

L‟AAD è formato dall‟intestazione MPDU del MPDU criptato;

Il valore del Nonce è costruito dai campi A2, PN e Priority della MPDU;

Il MIC è estratto per essere usato nel controllo integrità del CCM;

Il CCM usa la chiave temporale, AAD, Nonce, MIC, e i dati MPDU chiper

text per recuperare il MPDU plaintext e per controllare l‟integrità del AAD e

dei dati del plaintext;

L‟intestazione MPDU e il plaintext ricevuti dal CCM possono essere concate-

nate per formare il plaintext MPDU;

Il processo di decifrazione previene duplicazioni di più MPDU sapendo che il

PN nel MPDU è più grande del replay counter mantenuto durante la sessio-

ne.

Vulnerabilità del WPA2

Anche se sono state scoperte un numero di limiti minori in WPA/WPA2, nessuna di

queste debolezze è considerato troppo pericolo a condizione che si rispettano le rac-

comandazioni di sicurezza.

La vulnerabilità più pratica è l'attacco contro la chiave PSK di WPA/WPA2. Come

abbiamo già detto, la PSK fornisce un alternativa alla generazione PMK di 802.1x

attraverso un server di autenticazione. Si tratta di una stringa di 256 bit o passphra-

se di 8 a 63 caratteri usati per generare tale stringa con un algoritmo noto: PSK =

PMK = PBKDF2 (password, SSID, lunghezza SSID, 4096, 256), dove PBKDF2 è

un metodo usato in PKCS#5, 4096 è il numero delle hash e 256 è la lunghezza

dell'output. Il PTK è derivato dalla PMK usando la Handshake a 4 vie e tutte le in-

formazioni usate per calcolare il suo valore è trasmesso in testo semplice.


69

La forza di PTK quindi risiede solo nel valore PMK che per la PSK significa la pas-

sphrase. Come indicato da Robert Moskowitz, il secondo messaggio della Handshake

a 4 vie potrebbe essere soggetto sia al dictionary attack sia alla brute force offline.

Cowpatty fu creata per sfruttare questo difetto, e il suo codice sorgente era stato u-

sato e migliorato da Christophe Devine in Aircrack per consentire il gli attacchi di

tipo dictionary su PSK e di brute force su WPA. La struttura del protocollo (4096

hash per ogni tentativo di password) significa che un attacco brute force è molto len-

to (solo alcune centinaia di password per secondo con i più recenti processori singoli).

Il PMK non può essere pre-calcolato dal momento che la passphrase viene mischiato

ulteriormente in base alla ESSID. Per proteggersi efficacemente da questo difetto è

bene scegliere una buona passphrase con parole inesistenti (almeno 20 caratteri).

Per eseguire questo attacco, l‟aggressore dove catturare i messaggi della Handshake

a 4 vie monitorano passivamente la rete wireless o usando un attacco di de-

autenticazione per velocizzare il processo.

Infatti, i primi due messaggi sono necessari per iniziare la previsione dei valori PSK.

Ricordiamo che PTK = PRF-X (PMK, Pairwise key expansion, Min(AP_Mac,

STA_Mac) || Max(AP_Mac, STA_Mac) || Min(ANonce, SNonce) || Max(ANonce,

SNonce)), dove PMK è uguale a PSK nel nostro caso. Dopo il secondo messaggio,

l‟aggressore conosce ANonce (dal primo messaggio) e SNonce (dal secondo messag-

gio) e può iniziare a indovinare il valore PSK per calcolare il PSK e le chiavi tempo-

ranee derivate. Se il PSK è indovinato giustamente, il MIC del secondo messaggio

potrebbe essere ottenuto con la KCK corrispondente, altrimenti una nuova previsio-

ne deve essere fatta.


70

Capitolo 7

MAC Filtering

L‟indirizzo MAC (Medium Access Control) spesso viene detto anche indirizzo fisico o

indirizzo ethernet o indirizzo LAN, ed è un codice composto da 6 byte che identifica

univocamente una scheda di rete. Ogni scheda di rete ha un indirizzo unico al mondo

(es. 00-50-FC-A0-67-2C) in quanto i primi 24 bit sono identificativi della casa pro-

duttrice, ogni casa produttrice ha a disposizione 224 indirizzi, quindi più di 16 milio-

ni di schede. L‟indirizzo MAC opera al livello di rete data link (livello di collegamen-

to).

Funzionamento

Sebbene il controllo degli accessi a livello MAC non sia stato previsto nella specifica

dell‟802.11, la maggior parte dei fornitori ha implementato questa funzionalità per

contribuire a rafforzare le difese dell‟802.11, intrinsecamente vulnerabile. Quando si

utilizza il controllo degli accessi a livello MAC, l‟amministratore definisce una lista di

indirizzi MAC di clienti "approvati", cui è consentito connettersi al punto di accesso.

Figura 30 - Interfaccia di controllo del MAC Filtering


71

Anche se questa procedura è probabilmente realizzabile su reti di piccole dimensioni,

essa può risultare particolarmente onerosa nella reti più grandi, poiché presuppone

che l‟amministratore abbia a disposizione gli indirizzi MAC di tutti i clienti wireless.

Vulnerabilità del MAC Filtering

A parte il carico di lavoro per l‟amministratore, l‟indirizzo MAC non costituisce un

valido meccanismo di sicurezza, poiché è facilmente osservabile e riproducibile. Uno

sniffer wireless consente di osservare qualsiasi MAC della stazione e in genere

l‟aggressore può modificare agevolmente l‟indirizzo MAC. È infatti sufficiente che

l‟aggressore effettui il monitoraggio della rete, prenda nota dei client che riescono a

collegarsi al punto di accesso e infine modifichi il proprio indirizzo MAC affinché cor-

risponda a quello di uno dei client attivi. Questo procedimento è detto 'MAC Address

Spoofing', attraverso il quale si prendono le sembianze di una macchina autorizzata

all‟accesso della rete.

Poiché, come si è detto, l‟utilizzo del controllo degli accessi a livello MAC non è stato

definito nella specifica dell‟802.11, non c‟è un flag di pacchetto che lo indichi, ma ge-

neralmente si può dedurre. Se si hanno un SSID e una chiave WEP corrette ma essi

non consentono ancora di associarsi all‟Access Point è possibile che venga utilizzata

una filtrazione MAC.

La maggior parte 802.11 (Wi-Fi) punti di accesso consentono l'amministratore di re-

te per accedere a una lista di MAC (Media Access Control) indirizzi che sono autoriz-

zati a comunicare sulla rete. D‟altro canto, la maggior parte 802.11 (Wi-Fi) schede

di rete consentono di configurare l'indirizzo MAC della scheda NIC nel software. Per-

tanto, se è possibile 'sniffare' l‟indirizzo MAC di un nodo di rete esistente, è possibile

aderire alla rete utilizzando l‟indirizzo MAC di tale nodo.


72

Capitolo 8

IP Filtering

Un Indirizzo IP è un numero che identifica univocamente nell'ambito di una singola

rete i dispositivi collegati con una rete informatica che utilizza lo standard IP

(Internet Protocol). Ciascun dispositivo (router, computer, server di rete, stampanti

e anche alcuni tipi di telefoni) ha, quindi, il suo indirizzo.

Semplificando, un indirizzo IP può essere visto come l‟equivalente di un indirizzo

stradale o un numero telefonico dei dispositivi collegati su internet. Infatti, così co-

me un indirizzo stradale o un numero telefonico identifica un edificio o un telefono,

così un indirizzo IP identifica univocamente uno specifico computer o un qualsiasi

altro dispositivo di rete o una rete. A sua volta, in una rete possono essere utilizzati

altri indirizzi IP validi localmente analogamente alla numerazione degli interni di un

edificio.

Tuttavia l'indirizzo IP, rispetto all‟indirizzo stradale, può cambiare con grande faci-

lità in funzione di moltissime variabili. Può anche essere occultato, falsificato o con-

diviso (da computer differenti in luoghi differenti) più o meno lecitamente e con faci-

lità (anche con l‟ausilio di altri dispositivi). E, rispetto all'indirizzo stradale, da solo

non dice nulla di chi lo usa se non ai fornitori di accesso a internet. Insieme ad altri

dati può essere usato per profilare gli utenti.

L‟IP Filtering è un metodo che decide quali tipi di datagrammi IP saranno proces-

sati normalmente e quali saranno scartati, ovvero cancellati o completamente igno-

rati come se non fossero mai stati ricevuti.

Funzionamento

Si possono applicare differenti criteri per determinare quali tipi di datagrammi si

vogliono filtrare. Per esempio:

Tipo del Protocollo (TCP, UDP, ICMP);

Numero del Socket;

Tipo del Datagramma (SYN/ACK, Data, ICMP Echo Request);

Indirizzo della sorgente (quando arriva da)

Indirizzo della destinazione (quando va verso)


73

Le regole di IP Filtering sono composte dalle varie combinazioni dei criteri appena

elencati. Ad esempio, immaginiamo di voler permettere agli utenti World Wide Web

appartenenti a un‟azienda di avere accesso a Internet solo per server diversi da quel-

lo dell‟azienda.

Si potrebbe configurare il firewall come segue:

datagrammi con indirizzo sorgente dell‟azienda, indirizzo di destinazione

qualunque, e con porta di destinazione 80 (http);

datagrammi con indirizzo destinatario dell‟azienda e porta sorgente 80 da un

indirizzo sorgente qualunque.

Figura 31 - Interfaccia di controllo dell’IP Filtering

Vulnerabilità dell’IP Filtering

È importane capire che è questa metodologia opera limitatamente al livello rete.

Questo significa che non conosce l‟applicazione che in quel momento sta utilizzando

le connessioni di rete in quanto si concentra principalmente sulle connessioni stesse.

Per esempio, si può proibire l‟accesso agli utenti su una rete interna alla porta telnet

di default, ma se si fa affidamento al solo IP Filtering non si può fermarli dall‟usare

Telnet con una porta che è aperta dal firewall.

Si può prevenire questo tipo di problemi usando un server Proxy per ogni servizio

che viene permesso attraverso il firewall. Il server Proxy capisce le applicazioni che

si stanno utilizzando e può prevenire abusi come l‟uso di Telnet. Se il firewall suppor-


74

ta un proxy WWW le connessioni Telnet saranno sempre esaminate dal proxy e sa-

ranno permesse solo richieste HTTP. Esiste un gran numero di server proxy, alcuni

sono gratuiti altri invece commerciali.

IP Address spoofing

È l‟attacco più diffuso. Si basa sul fatto che la maggior parte dei router all'interno di

una rete controllino solo l‟indirizzo IP di destinazione e non quello sorgente. Questo

fa si che un attaccante possa inviare dei pacchetti ad un sistema bersaglio e le rispo-

ste di quest‟ultimo saranno invece inviate al falso IP utilizzato dall‟attaccante. L‟IP

spoofing potrebbe essere limitato inserendo dei filtri sull‟indirizzo IP sorgente a livel-

lo routers.


75

Capitolo 9

Proxy

Durante i primi anni di diffusione di Internet come si conosce oggi, è nata la necessi-

tà di interconnettere le reti aziendali private, dette internet (con la 'i' minuscola, ov-

vero Interconnected Networks) con la 'big Internet'. La necessità non era quella di

un firewall, perché allora gli attacchi da intrusi erano esigui e non si percepiva il po-

tenziale problema di sicurezza, ma quella di interconnettere la rete pubblica di acces-

so con quella privata. Oggi questo problema si sarebbe risolto attraverso il Network

Address Translation (NAT), ma la tecnologia non era ancora disponibile: nascono co-

sì i Proxy, ovvero software in grado di fare da 'ponte' tra una rete e l‟altra.

Tipologie di Proxy

Esistono due tipologie di Proxy, i circuit-level e gli application-level. I primi agisco-

no a livello UDP/TCP, creando un “circuito” tra il client e il server, senza però inter-

pretare il protocollo applicativo: il più significativo esempio in questo campo è il pro-

tocollo socks. I secondi agiscono a livello applicativo, interpretando i dati e i coman-

di di una specifica applicazione, ad esempio HTTP o FTP. Il socks è documentato

nell‟RFC 1928 ed è disponibile attraverso diverse implementazioni, alcune di queste

sono disponibili gratuitamente come Dante e il socks della NEC.

Il grosso pregio del protocollo socks è che permette di fare da Proxy per qualsiasi

applicazione TCP o UDP, in quanto non interpreta il contenuto applicativo, e per-

mette l‟autenticazione degli utenti, ma il difetto è che bisogna aggiungere un ulterio-

re software nel client. Inoltre, non interpretando il contenuto degli applicativi, è im-

possibile avere delle policy su quali contenuti l‟utente è abilitato, ad esempio non si

può vietare l‟utente alla navigazione sul di un sito di notizie, abilitando la webmail.

Gli application-level proxy sono invece in grado di interpretare il contenuto del traf-

fico, limitando o abilitando determinate URL, ed includono la possibilità di autenti-

care l‟utente. Sono questi tipi di applicativi che vengono chiamati generalmente

proxy e in particolare ci si riferisce ai proxy HTTP.


76

L’uso del Proxy in ambito Wireless

L‟adozione delle regole di base descritte nel capitolo 3 rendono più difficile

l‟intercettazione di una rete Wireless e più difficile l‟accesso da parte di un intruso.

Tuttavia esiste la possibilità che un intruso motivato possa accedere alla rete, grazie

soprattutto ai problemi di WEP precedentemente esposti. La metodologia migliore

pertanto é quella di dividere la rete wireless dalla rete interna, ad esempio attraverso

l‟adozione di un proxy che effetti l‟autenticazione degli utenti. Nella figura successi-

va si illustra un esempio di struttura wireless con un proxy per la protezione della re-

te interna.

Figura 32 - Esempio di architettura Proxy

La limitazione principale dell‟adozione di un proxy è che tutti i protocolli non sup-

portati dal proxy (ad esempio POP3 o IMAP) non possono essere utilizzati

nell‟ambito wireless. Pertanto, l‟ambito di utilizzo di una simile architettura è ri-

stretto a piccoli ambienti dove le applicazioni usate in ambito wireless sono princi-

palmente di tipo Web-based. Qualora il proxy lo permette, è consigliabile attivare la

funzionalità di SSL Accelerator: con questo espediente, le richieste HTTP verranno

incapsulate in SSL (HTTPS) e pertanto più difficili da intercettare in ambito wire-

less.


77

Vulnerabilità dei Proxy applicativi

Generalmente i punti deboli dei Proxy applicativi sono pochi e ben nascosti. Una

volta reso sicuro il firewall e implementate sul proxy regole robuste, sarà ben difficile

superare un firewall Proxy. Ma gli errori sono tutt‟altro che rari.

Hostname: localhost

Sui vecchi Proxy UNIX era facile dimenticarsi di limitare l‟accesso locale. Nono-

stante i vincoli di autenticazione per gli utenti che accedono a Internet, un utente in-

terno poteva ottenere l‟accesso in locale al firewall stesso. Ovviamente, per questo

tipo di attacco è necessario conoscere una combinazione nome utente/password vali-

da, ma è sorprendente sapere quanto sia facile a volte indovinarne una buona.

Il rimedio per questi errori di configurazione dipende ovviamente dallo specifico

prodotto utilizzato come firewall. In generale, dovrebbe essere possibile definire una

regola che limiti l‟accesso a partire da un sito specifico. L‟ideale sarebbe impedire i

login come localhost.

Accesso non autenticato al Proxy

Questo scenario di presenta più frequentemente nel caso di firewall che utilizzano

Proxy 'trasparenti', ma di tanto in tanto capita di incontrarlo. L‟amministratore di

un firewall si fa in quattro per rendere sicura la propria macchina e implementare re-

gole di accesso rigorose, ma spesso dimentica di disattivare l‟accesso verso l‟esterno.

I rischi sono due: un hacker potrebbe servirsi del vostro server Proxy come trampo-

lino per vagare su Internet anonimamente e attaccare altri server Web, oppure po-

trebbe ottenere l‟accesso via Web all‟intera Intranet.

Il rimedio per questo problema è disattivare l‟accesso al Proxy dall‟interfaccia ester-

na del firewall. Il metodo adottato per disattivarlo dipende in larga misura dal pro-

duttore, quindi per ulteriori indicazioni sarà necessario contattare il fornitore del fi-

rewall. La soluzione a livello di rete e bloccare il traffico in ingresso del Proxy sui

router esterni. A tal fine è sufficiente definire sui router alcune ACL rigide.


78

Capitolo 10

PPPoE (Point-to-Point Protocol over Ethernet)

Con l'introduzione delle tecnologie broadband come i cable modem, usati per far

viaggiare Internet sulla TV via cavo e l‟ADSL, gli Internet Service Providers hanno

adottato una metodologia per risolvere il problema dell'autenticazione degli utenti

nell‟ambito broadband. Nella loro configurazione standard, l‟ADSL e i cable modem

sono in grado di emulare una rete Ethernet: sebbene l‟uso del DHCP avrebbe sempli-

ficato l'amministrazione lato ISP e la configurazione lato utente, non avrebbe per-

messo l'identificazione univoca dell'utente per l'erogazione dei servizi acquistati o per

il pagamento in caso di 'pay per use'.

Questo problema è stato risolto con l'introduzione del protocollo Point-to-

PointProtocol over Ethernet (PPPoE). In breve, questa tecnologia permette di in-

capsulare il protocollo PPP, usato nella sua accezione più comune sui collegamenti

via modem, sul mezzo trasmissivo ethernet. In questo modo, traendo vantaggio della

velocità del mezzo Ethernet, è possibile riconoscere l‟utente e fornire servizi adegua-

ti, quali altri protocolli (ad esempio IPX e NetBIOS), e IP statici. Attraverso

l‟adozione di PPPoE è quindi possibile personalizzare i servizi erogati in base all'u-

tente anziché in base all‟ubicazione stessa dell‟utente.

L’uso di PPPoE nell’ambito Wireless

Analogamente alle tecnologie ADSL e cable modem, la wireless LAN è in grado di

emulare una rete ethernet. Anche in ambito wireless è possibile sfruttare quindi la

tecnologia PPPoE, con i benefici descritti precedentemente, ad esempio fornendo

servizi personalizzati all'utente quali l‟IP Address fisso e access lists basate a livello

utente.

PPPoE è paragonabile all‟uso di IEEE 802.1x a livello autenticazione, ma offre al-

cuni vantaggi. Non tutti i produttori hanno scelto di implementare 802.1x nei loro

Access Point, in special modo sugli AP a basso costo, pertanto tutti gli AP che non

dispongono di funzionalità 802.1x devono essere sostituiti. Inoltre 802.1x non copre

la funzionalità di crittografia dati, mentre PPPoE offre un‟architettura scalabile che

vedremo in seguito. PPPoE, inoltre, non richiede l‟uso di indirizzamenti a livello 3

(esempio IP) direttamente sulla Ethernet, offuscando di fatto la topologia della rete

interna, inoltre non richiede una infrastruttura PKI per l‟autenticazione dell'utente.


79

PPPoE, di contro ha un problema relativo alla lunghezza dei pacchetti trasmessi,

chiamata Maximum Transmission Unit (MTU). In pratica la lunghezza dei pacchetti

non può superare i 1492 bytes, causando problemi di performance su una grossa mole

di dati trasmessi.

L‟uso di PPPoE richiede che una macchina, sia essa un router od un server, funga

da collegamento tra la rete interna e la rete Wireless. Questa macchina, denominata

Access Concentrator, avrà il compito di autenticare e autorizzare in primo luogo

l‟utente, successivamente di codificare e decodificare il protocollo PPPoE.

Figura 33 - Esempio di architettura PPPoE

È bene ricordare che durante la configurazione dell'Access Concentrator, lo scambio

delle password tra il server e il client non deve essere di tipo Password Authentica-

tion Protocol (PAP), in quanto le password vengono scambiate in chiaro con questa

metodologia. Si suggeriscono metodologie alternative, quali l'uso di CHAP e MS-

CHAPv2.

L‟uso di PPPoE in alcune tipologie di ambienti non ha vantaggi rispetto a IEEE

802.1x, ma la soluzione PPPoE è l'ideale qualora non si possa usare 802.1x congiun-

tamente ad IPSec, ad esempio dove 802.1x non è disponibile e negli ambienti SOHO.

Crittografia

Nel capitoli precedenti si è sottolineato quanto le onde radio siano difficili da con-

trollare e quanto sia facile per un intruso intercettarle. Possiamo paragonare pertan-


80

to la wireless LAN a una rete pubblica di accesso. Ad esempio, nella Rete Telefonica

Commutata (RTC), un aggressore può intercettare le password e i dati inserendosi

nel sistema di distribuzione solitamente posizionato sulla strada. In quest‟ottica, la

wireless LAN è soggetta a vari attacchi ed è sempre suggeribile aggiungere un livello

di crittografia in più rispetto a quanto offerto da WEP.

Il protocollo PPP e di conseguenza PPPoE, offre un‟architettura di crittografia

chiamata Microsoft Point-To-Point Encryption Protocol (MPPE). Questa estensione

del Compression Control Protocol (CCP) è stata introdotta da Microsoft per applicare

la sicurezza nel protocollo di VPN chiamato Point-to-Point Tunneling Protocol

(PPTP). MPPE è basato sull'algoritmo Rivest-Shamir-Adleman (RSA) RC4 per ef-

fettuare la crittografia dei pacchetti e può usare una chiave crittografica fino a 128-

bit. Inoltre MPPE può negoziare una modalità detta stateless che permette di cam-

biare la chiave di crittografia ogni qual volta esso si collega.

È abbastanza semplice introdurre l‟uso di MPPE su collegamento basato su PPPoE,

anche se non tutte le piattaforme supportano l‟uso congiunto delle due tecnologie.

PPPoE con l‟estensione MPPE può essere un modo semplice per affrontare il pro-

blema di sicurezza in ambito wireless.


81

Capitolo 11

VPN (Virtual Private Network)

VPN è l‟acronimo di Virtual Private Network (rete privata virtuale) ed è l‟insieme

delle tecnologie che permettono la connessione tra reti locali private attraverso una

rete pubblica come può essere internet. Esistono diversi modi per collegare più reti

geograficamente lontane, con facilità di realizzazione decisamente più semplice di

una VPN, ma quest‟ultima offre indubbi benefici in termini di omogeneità. Non c‟è

infatti distinzione tra i dispositivi connessi al proprio Hub/Switch da quelli connessi

sulla rete LAN remota: esplorando le risorse di rete si avranno sia i dispositi locali

che quelli remoti. Il punto di forza di questa tecnologia è la trasparenza con cui viene

fatta l‟intera operazione in modo tale che le applicazioni non percepiscano la

'distribuzione' della rete.

Grazie a protocolli particolari si è in grado d‟incapsulare il traffico della LAN in spe-

cifici pacchetti, inviandoli attraverso una rete di natura insicura alla LAN remota.

Questa operazione è sempre sostenuta da almeno due 'punti', il client VPN remoto ed

il server VPN locale. Da questa affermazione si deduce che dev‟esserci supporto al

VPN da parte dei sistemi operativi, garantito nativamente nei sistemi Unix/Linux

like e da Windows 2000 in poi.

Un utente autenticato può essere provvisto di privilegi particolari per accedere a ri-

sorse che generalmente non sono accessibili a tutti gli utenti. La maggior parte dei

programmi client richiede che tutto il traffico IP della VPN passi attraverso un

“Tunnel” virtuale tra le reti utilizzando Internet come mezzo di collegamento. Dal

punto di vista dell‟utente ciò significa che, mentre la connessione VPN è attiva, tutti

gli accessi esterni alla rete sicura devono passare per lo stesso firewall come se

l‟utente fosse fisicamente connesso all‟interno della rete sicura. Questo riduce il ri-

schio che utenti esterni possano accedere alla rete privata dell‟azienda.

La sicurezza della connessione VPN è di importanza fondamentale, perché la rete su

cui gli altri computer stanno lavorando potrebbe non essere sicura, o esserlo solo par-

zialmente. La VPN deve quindi garantire un livello di sicurezza tale da proteggere i

computer dei dipendenti che stanno lavorando simultaneamente sulla stessa rete, tra

i quali uno potrebbe essere stato infettato da un virus, un worm o un trojan.

L‟immagine che segue mostra l'esempio di un'azienda con tre sedi collegate tra loro

tramite VPN. Ogni sede è collegata ad Internet tramite un normale router ADSL.


82

Tra quest'ultimo e la rete aziendale è presente un altro router che si occupa di gestire

le VPN e garantire la sicurezza delle reti interne. Nella pratica, le funzioni dei due

router (ADSL e VPN) potranno essere svolte anche da un'unica apparecchiatura.

Figura 34 - Esempio di VPN

Sicurezza

La sicurezza è un aspetto fondamentale interno al protocollo, non bisogna mai di-

menticare che usando una VPN, si instradano informazioni private all‟interno di una

rete pubblica dotata per natura di poche garanzie di sicurezza. Per questo motivo

devono essere presenti meccanismi atti per realizzare la cifratura del traffico e la ve-

rifica delle credenziali. Tralasciare questi aspetti fondamentali equivale ad installare

una porta ethernet connessa al proprio Hub/Switch nel posteggio fuori casa dove

chiunque può collegarsi ed 'ascoltare' il traffico che vi passa.

L‟efficienza di una rete protetta è molto legata alle scelte implementate e, dato

l‟elevato traffico generato, particolare attenzione va prestata alla scelta della veloci-

tà di connessione usata poiché tutta la gerarchia OSI a partire dal livello 3 dev‟essere

isolata, subire il processo di cifratura, incapsulata dentro il protocollo VPN ed inseri-

ta in nuovo pacchetto TCP/IP. Tutto questo assume valore maggiormente rilevante

quando s‟impiegano reti VPN basate su Windows.

Esistono diversi tipi di protocolli VPN che offrono differenti livelli di protezione:


83

PPTP: ideato da Microsoft, US-Robotics ed altri produttori, facile da configurare,

veloce e supportato da tutti i produttori e dai sistemi operativi.

Quest‟implementazione è presente a partire da Windows NT 4 Server e da Windows

98 SE, non richiede l‟uso di hardware particolare poiché il meccanismo di cifratura è

molto semplice e per questo motivo garantisce un livello di sicurezza limitato. Manca

di un meccanismo “solido” di verifica delle credenziali e generalmente vengono im-

piegati i “Log-In” del sistema operativo.

L2TP: derivato dalla fusione di PPTP e di L2F di Cisco, è una sorta di sintesi delle

caratteristiche migliori, con meccanismi avanzati di cifratura ed autenticazione.

Questo protocollo è supportato da Windows 2000 e dai sistemi Linux Like.

IPSec: è il miglior protocollo VPN disponibile, sviluppato da IETF. E‟ in grado di

cifrare i dati e gli header dei pacchetti attraverso una chiave pubblica che è scambia-

ta con un meccanismo evoluto di autenticazione, tramite certificati digitali. Questo

protocollo è supportato nativamente a partire da Windows 2000 e nei sistemi Linux

Like, per Windows 98/ME/NT serve un client dedicato. Se il traffico IPsec è elevato,

poterbbe essere necessario l‟acquisto di hardware dedicato alle operazioni di cifratura

e apertura dei pacchetti. Complessità d‟intallazione.

Il funzionamento di una VPN può essere spiegato grossolanamente in questo modo:

Si supponga d‟avere due host chiamati A e B, che possiedono una chiave pubblica

(pkA, pkB) ed una privata (skA, skB), posti ai lati di un tunnel che rappresenta il

“corridoio privato” in una rete pubblica. A invia a B la sua pkA e B invia ad A la sua

pkA. Assumendo che A debba mandare un messaggio a B, prende la pkB, codifica il

messaggio e lo invia. B, alla ricezione del messaggio codificato con pkB, utilizza la

skB per decodificarlo. Tutto ciò può funzionare solo se in fase di configurazione dei

tunnels si inserisce la pkA (o la pkB) del PC opposto. Se la pkA (o la pkB) inserite

non sono corrette, l‟host opposto non può decodificare il messaggio ed il tunnel non

viene aperto.

IPSec (IP Security Protocol)

Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso

un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in par-

ticolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Pren-

dendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per

rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale

Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o

più semplicemente VPN.

L‟IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per

lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è

stato definito dall'Internet Engineering Task Force già dall'Agosto 1995 attraverso

l'RFC 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, af-

fermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le fun-


84

zionalità di autenticazione, integrità e crittografia di cui era sprovvisto. Uno dei fat-

tori che ne hanno determinato la sua affermazione è che IPSec può essere inoltrato

attraverso qualsiasi rete che supporta il protocollo IP, senza dover cambiare nessun

nodo di rete, senza cambiare le applicazioni e senza cambiare in maniera sostanziale

il sistema operativo dei nodi.

IPSec può operare in due modalità: tunnel mode e transport mode. La prima incap-

sula un intero datagramma IP al suo interno, rendendola ideale per l'uso con le VPN

o per trasportare IP privati all'interno di IP pubblici, ad esempio per collegare una

sede remota. La seconda invece incapsula solamente il protocollo TCP o UDP, ren-

dendo sicura la sola comunicazione applicativa tra due nodi della rete Internet, ad

esempio la comunicazione tra un web server e un database server.

Figura 35 - IPSec in modalità trasporto e modalità tunnel

Molti firewall e router hanno la funzionalità di IPSec Tunnel Mode per stabilire delle

VPN, siano esse sedi remote, extranet o più semplicemente degli utenti interni colle-

gati attraverso Internet. Come abbiamo sottolineato in precedenza, data la mancan-

za di un sistema sicuro di autenticazione e crittografia, le Wireless LAN sono da con-

siderare untrusted, pertanto non differenti dalla rete Internet. In un ambiente quale

quello aziendale, dove la sicurezza dei dati è molto importante, le Wireless LAN tro-

vano un naturale complemento nella tecnologia IPSec. È da considerare che, se si di-

spone di una VPN per l‟accesso tramite Internet, l'utente finale si troverà a suo agio

attraverso l'uso di strumenti che già conosce. È consigliabile in questo scenario colle-

gare gli Access Point a una rete demilitarizzata (DMZ) che sia riconducibile ad un fi-

rewall o ad un router di accesso, ad esempio quello collegato alla rete Internet.


85

Figura 36 - Esempio di architettura con IPSec

IPSec e lo scambio delle chiavi

La struttura di IPSec è piuttosto complessa in quanto IPSec non è un singolo proto-

collo, ma piuttosto un'architettura di sicurezza a livello IP composta da vari proto-

colli e da altri elementi. I protocolli principali che costituiscono IPSec sono tre:

• AH (Authentication Header) che fornisce servizi di autenticazione e integri-

tà.

• ESP (Encapsulating Security Payload) che fornisce servizi di riservatezza,

autenticazione e integrità.

• IKE (Internet Key Exchange) che gestisce lo scambio delle chiavi.

AH ed ESP non si preoccupano dello scambio delle chiavi e presumono che i due in-

terlocutori si siano già accordati creando tra loro una Security Association (SA), ov-

vero una configurazione che specifica quali meccanismi di sicurezza utilizzare e con

quali chiavi. Il compito di negoziare e gestire le Security Association secondo delle

politiche definite localmente e` affidato a IKE.

La SA è un concetto fondamentale nell'ambito di IPSec in quanto specifica quali

meccanismi di sicurezza, quali algoritmi e quali chiavi vengono utilizzati per proteg-

gere il traffico TCP/IP. Tutte le Security Association attive sono contenute in un

database detto Security Association Database (SAD), mentre esiste un altro

database detto Security Policy Database (SPD) che contiene le politiche di sicurezza.

Tramite esse il sistema decide se un pacchetto IP debba essere scartato, lasciato pas-

sare in chiaro oppure elaborato tramite IPSec, basandosi su parametri come l'indiriz-


86

zo IP sorgente o destinazione, la porta sorgente o destinazione, il protocollo di tra-

sporto.

Inizialmente le SA venivano generate e scambiate manualmente, ma la loro gestione

è impraticabile su contesti più ampi, quali ad esempio quello di VPN gateway. Si è

reso necessario pertanto l'uso di un meccanismo automatico per le gestioni delle

chiavi... il protocollo IKE (Internet Key Exchange) è nato per questo scopo. IKE è

un protocollo ibrido, che integra ISAKMP (Internet Security Association and Key

Management Protocol) e Oakley. Questi ultimi definiscono metodi differenti per sta-

bilire una scambio di chiavi tra sistemi. Oakley definisce modi per costruire un per-

corso di relazioni sicure, mentre ISAKMP definisce le stesse fasi in modo gerarchico.

Entrambi si riconducono in due fasi distinte di IKE: nella prima i due nodi creano

una security association per IKE stesso (detta ISAKMP SA13), ovvero un canale si-

curo da utilizzare per i messaggi di IKE, nella seconda fase utilizzano la ISAKMP

SA per negoziare security association per altri protocolli.

Esistono quattro metodologie più usate per l‟autenticazione e lo scambio di chiavi

attraverso IKE, ovvero:

• Shared Secret, dove entrambi i sistemi conoscono una password comune;

• Public/Private Key, ovvero tramite chiavi asimmetriche pubbliche e priva-

te, ad esempio il PGP;

• Digital Certificates, simile a Public/Private Key ma con chiavi aderenti allo

standard X.509, ovvero esiste una verifica dell'utente o del sistema remoto

tramite una Certification Authority (CA);

• XAUT, ovvero un estensione proprietaria di autenticazione. Alcuni vendor,

quali Cisco e CheckPoint, includono questa funzionalità per autenticare un

utente attraverso Username e Password. Si noti che questo è differente dallo

Shared Secret che invece è legato ad una macchina e non ad un utente.

È consigliabile usare XAUT e i Certificati Digitali per autenticare un utente, mentre

uno Shared Secret o Certificato Digitale è più adatto per autenticare due sistemi.

Protezione del Client

Differentemente dal protocollo PPPoE, dove il client non aveva un IP address diret-

tamente collegato alla scheda di rete, il protocollo IPSec viaggia su una rete IP esi-

stente, per cui il client ha un indirizzo IP collegato alla scheda di rete Wireless. Come

è stato menzionato nel primo capitolo, anche il client può essere il destinatario di un

attacco da parte di un intruso, sia per 'carpire' informazioni preziose che per essere

usato come 'ponte' per entrare nella rete privata. Per prevenire questo tipo di attac-

chi è consigliabile installare sui client un Personal Firewall e un Antivirus, ormai di-

sponibili da diversi vendor e per diversi sistemi operativi. Come per un firewall tradi-

zionale, il Personal Firewall è in grado di monitorare il traffico IP in ingresso sul

client, proteggendolo da eventuali attacchi quali i tentativi di accesso a backdoors

(Back Orifice, Netbus, ecc...).


87

Un altro passo per la protezione dei client basati su Windows è quello di limitare l'u-

so del registry per evitare la lettura remota. Dal programma regedt32 è possibile po-

sizionarsi sulle chiavi di registro di interesse e, con il tasto destro sulla cartella inte-

ressata si possono selezionare le autorizzazioni da concedere. Un‟altra tecnica è quel-

la di posizionare il file di registro di sistema in una partizione NTFS e limitare l'ac-

cesso alla directory tramite l'autorizzazione della directory dei files.

Hacking delle VPN

Le tecnologie VPN sono notevolmente maturate nel corso degli ultimi anni e stanno

procedendo velocemente verso l‟integrazione con le architetture di rete sia pubbliche

che private. Attualmente molte portanti offrono la gestione dei servizi VPN a coloro

che non desiderano realizzarli personalmente. Chiaramente, VPN è in grado di pren-

dere il posto delle linee POTS, come prima scelta nelle comunicazioni remote. Questo

suo nuovo stato la rende però anche l‟obiettivo degli hacker più zelanti, che hanno

bisogno di risalire la catena alimentare ora che gli obiettivi degli attacchi wardialing

iniziano a esaurirsi.

Microsoft PPTP

Un buon esempio di analisi di questo tipo è la criptoanalisi dell‟implementazione

Microsoft del protocollo PPTP, effettuata il 1° Giugno 1998 dal celebre esperto di

crittografia Bruce Schneier e da un hacker di prima grandezza, Peter Mudge. Nono-

stante il saggio sia dedicato alla specifica implementazione di PPTP effettuata da

Microsoft, molte delle considerazioni sono di importanza fondamentale per le VPN in

generale. Trattandosi di una tecnologia orientata alla sicurezza, la maggior parte del-

le persone si aspetta che la progettazione e l‟implementazione della tecnologia VPN

che scelgono siano solide. Il saggio di Schneier e Mudge è un campanello d‟allarme

per queste persone. L‟analisi è stata effettuata sull‟interazione PPTP tra client e

server, non su un‟architettura gateway server-to-server. Si è poi ipotizzato che la

connessione client avvenisse direttamente su Internet, e non per via telefonica. Inol-

tre, alcuni degli attacchi proposti si basano sul presupposto che sia possibile intercet-

tare liberamente la sessione PPTP. Per quanto nessuna di queste condizioni influenzi

pesantemente le conclusioni, è importante tener presente che un hacker in grado di

intercettare questo tipo di comunicazione ha già probabilmente superato la maggior

parte delle difese.

I risultati principali riferiti nel saggio sono i seguenti:

Il protocollo di autenticazione sicura di Microsoft, MS-CHAP, si basa su fun-

zioni di crittografia di vecchia concezione, che sono già state sconfitte con re-

lativa facilità;

Alcuni componenti delle chiavi utilizzate all‟interno di una sessione, per ci-

frare i dati sulla rete, sono ricavati dalle password definite dall‟utente e que-

sto riduce la lunghezza effettiva delle chiavi al di sotto dei 40 e 128 bit di-

chiarati;


88

L‟algoritmo di cifratura prescelto per la sessione (l‟algoritmo simmetrico RC4

della RSA) risulta notevolmente indebolito per effetto del riutilizzo delle

chiavi di sessione sia in trasmissione sia in ricezione, che lo espone ai tradi-

zionali attacchi crittografici.

Il canale di controllo (la porta TCP 1723), utilizzato per la negoziazione e la

gestione delle connessioni, non è assolutamente autenticato ed è vulnerabile

ad attacchi di tipo DoS e di Spoofing;

Viene cifrato solo il traffico di dati e questo consente a un eventuale intercet-

tatore di ricavare informazioni molto utili dall‟analisi del traffico sul canale

di controllo;

Un client connesso a una rete attraverso un server PPTP potrebbe fare da

backdoor per la rete stessa.

Queste osservazioni sono specifiche dell‟implementazione PPTP di Microsoft, che ha

già rilasciato una patch per i client e server Windows. La lezione più importante che

si può ricavare dallo studio di Schneier e Mudge va letta tra le righe: ci sono in giro

persone ingegnose che hanno tutte le intenzioni e i mezzi per violare le VPN, per

quanto solida possa essere la loro corazza protettiva. Altri punti critici sono la po-

tenziale vulnerabilità a lungo termine di alcuni aspetti delle VPN legati alle piatta-

forme o ai sistemi operativi, oppure le semplici scelte di progettazione errate che mi-

nano alla base un sistema altrimenti sicuro.

Questo è un interessante paradosso contenuto nel saggio di Schneier e Mudge: se da

un lato tendono a denigrare l‟implementazione Microsoft di PPTP, dall‟altro dichia-

rano che IPSec diventerà la tecnologia dominante per le VPN, soprattutto per il pro-

cesso aperto e bilanciato di sviluppo.

Un’analisi pratica di IPSec

Molti si sono spazientiti di fronte alla imperscrutabilità della bozza di standard IP-

Sec; ma poichè Microsoft lo ha integrato in Windows 2000 è probabile che per un pà

di tempo non subirà alcuna modifica. C'è però anche un aspetto positivo in tutto

questo: poichè nessuno sembra comprendere in tipo di attività svolta da IPSec, sono

pochi quelli che sanno come attaccarlo quando se lo trovano di fronte (in genere, è

possibile identificare i dispositivi che supportano IPSec mettendosi in ascolto sulla

porta UDP 500, il protocollo IKE, Internet Key Exchange Protocol). Come vedremo

più avanti, la mancanza di chiarezza non è mai un buon presupposto su cui costruire

un protocollo sicuro.

Freschi della conquista del protocollo PPTP, Schneier e Ferguson della Counterpane

Internet Security, hanno pubblicato un pungente saggio sul protocollo IPSec, dove

lamentano soprattutto dell'eccessiva complessità dei documenti degli standard IPSec

e del protocollo stesso. Questa è una critica molto pesante soprattutto se proviene da

un uomo il cui algoritmo crittografico è in gara per essere selezionato come il prossi-

mo algoritmo di cifratura standard AES (Advanced Encryption Standard) per do-

cumenti approvati dal governo degli stati uniti.


89

Dopo anni di inutili tentativi per cercare di accedere a questi documenti, non si può

che essere d'accordo con Schneier, anche se non è consigliata la lettura di questo sag-

gio a chi non abbia uan conoscenza approfondita di IPSec, si tratta pur sempre di

una lettura gradevole per coloro che se ne intendono. Di seguito riportiamo alcune

delle battute tipiche e dei consigli che ne fanno un bestseller della sicurezza.

"I protocolli crittografati non dovrebbero essere sviluppati da una commissione"

"Il peggior nemico della sicurezza è la complessità"

"L‟unico modo sensato per valutare la sicurezza di un sistema è eseguire delle ve-

rifiche di sicurezza sul sistema stesso"

"Eliminare la modalità di trasporto e il protocollo AH, includere l'autenticazione

del testo cifrato nel protocollo ESP lasciando solo la modalità tunnel"

Schneier e Ferguson terminano con le mani alzate al cielo: "Secondo noi il protocollo

IPSec è troppo complesso per essere sicuro, ma è migliore di qualunque altro proto-

collo di sicurezza IP disponibile oggi". Chiaramente, gli utenti attuali del protocollo

IPSec sono nelle mani dei produttori che hanno implementato gli standard. Resta da

vedere de quello che ci aspetta è il paradiso o l'inferno man mano che le singole im-

plementazioni passano l'esame attento degli hacker sparsi in tutto il mondo.

La maggior parte delle sessioni di cracking, come quelle RSA o RC5-64 si basano

sull'ipotesi che l‟hacker sia in possesso di parti di testo in chiaro. Tuttavia, il crack

delle comunicazioni cifrate è ben diverso da quello dei file delle password. In un flus-

so di comunicazione cifrato non esistono dei confini chiari che consentano di delinea-

re l'inizio e la fine di una conversazione. Agli hacker non resta che procedere per ten-

tativi, magari eseguendo invano la cifratura e il confronto di diversi frame della co-

municazione, senza mai sapere se è stato individuato il punto di partenza esatto.

Steven M.Bellovin, un noto gigante della sicurezza internet dei laboratori di ricerca

della AT&T, ha pubblicato un saggio dal titolo "Probable Plaintext Cryptanalysis of

the IP Securyti Protocols", in cui parla della presenza di una grande quantità di te-

sto in chiaro conosciuto nel traffico IPSec.

Anche se questa considerazione è ben lontana dallo scalfire la sicurezza del protocol-

lo IPSec, l'abbiamo citata per evidenziare quali sono le sfide da affrontare, quando si

cerca di attaccare le comunicazioni cifrate.


90

Bibliografia

Andrew S. Tanenbaum - Reti di Calcolatori (Quarta Edizione)

Giuseppe Paternò - Sicurezza nelle Reti Wireless LAN

Marco Tullio Giordano - La sicurezza delle reti Wireless

IEEE Standard for Information technology - 802.11 TM

McClur, Kurtz - Hacker 4.0, nuove tecniche di protezione

Mainardi, Giacomini - Aspetti di sicurezza dei protocolli per Wireless

Fluhrer, Mantin, Shamir - Weaknesses in the key scheduling algorithm of RC4

Stubblefield, Ioannidis, Rubin - A key recovery attack on the 802.11 WEP Protocol

Salvatori Manuel - Wireless e Sicurezza, un po‟ di attenzione al protocollo 802.11

Emilio Pavia - Vulnerabilità del protocollo WEP

Andreas Klein - Attacks on the RC4 stream cipher.

Tews, Weinmann, Pyshkin - Breaking 104 bit WEP in less than 60 seconds.

www.Wikipedia.it

Siti web vari dedicati al wireless

Siti web vari dedicati alla sicurezza

Corso di Laurea in Informatica - leotardi.ddns.infoleotardi.ddns.info/html/wifi/downloadwifi/Le reti...

Documents

Transcript of Corso di Laurea in Informatica - leotardi.ddns.infoleotardi.ddns.info/html/wifi/downloadwifi/Le reti...