La (in)sicurezza delle reti Wireless Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEH.
-
Upload
filumena-toscano -
Category
Documents
-
view
217 -
download
2
Transcript of La (in)sicurezza delle reti Wireless Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEH.
La (in)sicurezza delle reti La (in)sicurezza delle reti WirelessWireless
Nicola Ferrini, Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEHMCT, MCSE, CWNA, CWSP, CEH
AgendaAgendaRendere sicura una rete wirelessRendere sicura una rete wirelessLo standard di autenticazione 802.1XLo standard di autenticazione 802.1XComponenti necessari per una soluzione Componenti necessari per una soluzione wireless sicurawireless sicuraPossibili scenari di configurazionePossibili scenari di configurazioneProgettazione della configurazione Progettazione della configurazione ottimale dei componentiottimale dei componenti
Quando si progetta la sicurezza per una rete wireless, considerare : Quando si progetta la sicurezza per una rete wireless, considerare :
Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura
Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura
Perchè rete wireless sicura?Perchè rete wireless sicura?
Minacce alle reti wirelessMinacce alle reti wireless
Rilevamento e furto di informazioni confidenziali (eavesdropping)Accesso non autorizzato ai dati (intercettazioni e modifiche)Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client)Interruzione del servizio wireless (attacchi DoS agli access point)Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta)Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless)Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)
Rilevamento e furto di informazioni confidenziali (eavesdropping)Accesso non autorizzato ai dati (intercettazioni e modifiche)Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client)Interruzione del servizio wireless (attacchi DoS agli access point)Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta)Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless)Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)
Configurazione di Default Configurazione di Default War Driving / War ChalkingWar Driving / War Chalking
Linux ToolsLinux Tools
AirCrackAirCrack
AirSnarfAirSnarf
AirSnortAirSnort
AsleapAsleap
Auditor**Auditor**
DriftNetDriftNet
Wireshark**Wireshark**
Fake APFake AP
HotSpotterHotSpotter
Kismet**Kismet**
PrismdumpPrismdump
THC-WardriveTHC-Wardrive
WarLinuxWarLinux
WaveStumblerWaveStumbler
WEP-AttackWEP-Attack
WEP-CrackWEP-Crack
Whoppix**Whoppix**
Wifi-ScannerWifi-Scanner
WPA CrackerWPA Cracker
Windows ToolsWindows Tools
AerosolAerosolAirCrackAirCrackAPSniffAPSniffAPToolsAPToolsWireshark**Wireshark**Netstumbler**Netstumbler**StreetStumblerStreetStumblerTHC ScanTHC ScanWebStumblerWebStumblerWinDumpWinDumpWlan-ExpertWlan-Expert
Attacco ad una rete wirelessAttacco ad una rete wireless
Tools utilizzati: Tools utilizzati: Portatile con scheda 802.11b/gPortatile con scheda 802.11b/g
GPSGPS
KismetKismet
AireplayAireplay
AirdumpAirdump
AircrackAircrack
WiresharkWireshark
Automobile Automobile
I nostri toolsI nostri tools
Step1: Trovare la rete da Step1: Trovare la rete da attaccareattaccare
Per prima cosa abbiamo usato Kismet per Per prima cosa abbiamo usato Kismet per trovare una rete wireless disponibiletrovare una rete wireless disponibile
Abbiamo cercato la rete col segnale più Abbiamo cercato la rete col segnale più forteforte
Abbiamo mappato la posizione degli Abbiamo mappato la posizione degli access point usando il GPSaccess point usando il GPS
Netstumbler per Windows è capace di Netstumbler per Windows è capace di mappare automaticamente la posizione mappare automaticamente la posizione dell’access point grazie alla funzionalità dell’access point grazie alla funzionalità GPS integrataGPS integrata
WarDrivingWarDriving
NetstumblerNetstumbler
Step 2: Scegliere la rete da Step 2: Scegliere la rete da attaccareattaccare
Abbiamo scelto il nostro target…Abbiamo scelto il nostro target…
Kismet ci indica se la rete è protetta o Kismet ci indica se la rete è protetta o meno (encrypted)meno (encrypted)
In più usiamo WireShark per avere altre In più usiamo WireShark per avere altre informazioni sulla reteinformazioni sulla rete
Step3: Analisi della rete WLANStep3: Analisi della rete WLAN
La WLAN ha il SSID visibileLa WLAN ha il SSID visibile
Il SSID è “universus wlan” Il SSID è “universus wlan” Ci sono diversi access pointCi sono diversi access point
Ci sono diversi utenti collegatiCi sono diversi utenti collegati
Open authentication methodOpen authentication method
La WLAN è cifrata con una chiave WEP a La WLAN è cifrata con una chiave WEP a 104bit104bit
La WLAN non sta utilizzando il protocollo La WLAN non sta utilizzando il protocollo 802.1x802.1x
Step4: Cracking the WEP keyStep4: Cracking the WEP key
Settiamo il driver della nostra scheda di Settiamo il driver della nostra scheda di rete wireless in Monitor Moderete wireless in Monitor Mode
Tentiamo un attacco di ARP Injection con Tentiamo un attacco di ARP Injection con Aireplay, per velocizzare il traffico e Aireplay, per velocizzare il traffico e collezionare in poco tempo il maggior collezionare in poco tempo il maggior numero di IV (Initialization Vector)numero di IV (Initialization Vector)
Catturiamo i pacchetti con AirdumpCatturiamo i pacchetti con Airdump
Dopo un pò di tempo Aircrack riesce a Dopo un pò di tempo Aircrack riesce a trovare la chiave WEP della retetrovare la chiave WEP della rete
Step5: SniffingStep5: Sniffing
Una volta trovata la chiave WEP e Una volta trovata la chiave WEP e configurato la scheda di rete, ci associamo configurato la scheda di rete, ci associamo all’ AP. Ci viene fornito un indirizzo ip ed all’ AP. Ci viene fornito un indirizzo ip ed entriamo nella WLANentriamo nella WLAN
Tuttavia nella rete è presente un proxy con Tuttavia nella rete è presente un proxy con una pagina di autenticazione web protetta una pagina di autenticazione web protetta da SSL. Non riusciamo ad entrare nella da SSL. Non riusciamo ad entrare nella rete e a navigare in Internetrete e a navigare in Internet
Cominciamo a sniffare il traffico con Cominciamo a sniffare il traffico con WiresharkWireshark
WiresharkWireshark
Step6: Sniffing continued…Step6: Sniffing continued…
In una WLAN tutti i pc collegati sono peer, In una WLAN tutti i pc collegati sono peer, quindi è facile sniffare tutti i client connessiquindi è facile sniffare tutti i client connessi
Nel giro di un’ora riusciamo a sniffare il Nel giro di un’ora riusciamo a sniffare il traffico SMTP, che è in chiaro, e ci traffico SMTP, che è in chiaro, e ci procuriamo le credenziali di accesso di un procuriamo le credenziali di accesso di un paio di utentipaio di utenti
Cosa siamo riusciti ad Cosa siamo riusciti ad ottenere?ottenere?
Accesso completo alla WLANAccesso completo alla WLAN
Accesso completo alla LAN interna Accesso completo alla LAN interna dell’aziendadell’azienda
Accesso ad InternetAccesso ad Internet
Accesso ai server utilizzando le credenziali Accesso ai server utilizzando le credenziali sniffate degli utentisniffate degli utenti
Altre modalità di accessoAltre modalità di accesso
Invece di sniffare un login valido, potevamo Invece di sniffare un login valido, potevamo usare un exploit per tentare di trovare una usare un exploit per tentare di trovare una vulnerabilità nota del proxy server, che non fosse vulnerabilità nota del proxy server, che non fosse già stata riparatagià stata riparata
Potevamo individuare IP e MAC address di un Potevamo individuare IP e MAC address di un utente connesso e farlo disconnettere dalla rete, utente connesso e farlo disconnettere dalla rete, in modo da poter utilizzare la sua sessione di in modo da poter utilizzare la sua sessione di lavoro lavoro
Questi metodi sono rischiosi perchè avremmo Questi metodi sono rischiosi perchè avremmo potuto essere individuatipotuto essere individuati
In ogni caso…la rete è In ogni caso…la rete è compromessa!compromessa!
La maggior parte delle reti wireless sono La maggior parte delle reti wireless sono molto meno sicure dell’esempio riportatomolto meno sicure dell’esempio riportato
Avere una rete wireless significa mettere Avere una rete wireless significa mettere un”punto rete” fuori dalla propria azienda, un”punto rete” fuori dalla propria azienda, a disposizione di tutti, se non adottiamo le a disposizione di tutti, se non adottiamo le dovute precauzionidovute precauzioni
FARE WARDRIVING SIGNIFICA VIOLARE FARE WARDRIVING SIGNIFICA VIOLARE
LA LEGGE ITALIANALA LEGGE ITALIANA Art. 615 terArt. 615 ter
Accesso abusivo ad un sistema informatico o Accesso abusivo ad un sistema informatico o telematicotelematico
Art. 617 quaterArt. 617 quater Intercettazione, impedimento o interruzione illecita di Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematichecomunicazioni informatiche o telematiche
Art. 617 quinquiesArt. 617 quinquiesInstallazione di apparecchiature atte ad intercettare, Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche impedire od interrompere comunicazioni informatiche o telematicheo telematiche
Gli standard wirelessGli standard wirelessStandardStandard DescrizioneDescrizione
802.11802.11 Specifica base che definisce i concetti di trasmissione Specifica base che definisce i concetti di trasmissione per le reti wirelessper le reti wireless
802.11a802.11a
Velocità di trasmissione fino a 54 MbpsVelocità di trasmissione fino a 54 Mbps
Range di frequenza 5 GhzRange di frequenza 5 Ghz
Ottima velocità, poche interferenze, non compatibileOttima velocità, poche interferenze, non compatibile
802.11b802.11b
Velocità di trasmissione fino a 11 MbpsVelocità di trasmissione fino a 11 Mbps
Range di frequenza 2,4 GhzRange di frequenza 2,4 Ghz
Minor velocità, possibili interferenze, basso costoMinor velocità, possibili interferenze, basso costo
802.11g802.11g
Velocità di trasmissione fino a 54 Mbps Velocità di trasmissione fino a 54 Mbps
Range di frequenza 2,4 GhzRange di frequenza 2,4 Ghz
Ottima velocità, possibili interferenze, compatibile .11bOttima velocità, possibili interferenze, compatibile .11b
802.11i802.11i Stabilisce processi standard di autenticazione e Stabilisce processi standard di autenticazione e crittazione sulle reti wirelesscrittazione sulle reti wireless
802.1X802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico
802.1X802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico
WEPWEPProtocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!)Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!)
Crittazione dei datiCrittazione dei dati
Integrità dei datiIntegrità dei dati
Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili
Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2
Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2
Oggi si usano 2 standard WEP :
Fornisce le seguenti caratteristiche crittografiche:
WEPWEPAutenticazione e CrittografiaAutenticazione e Crittografia
Lavora al livello data linkLavora al livello data link
Richiede la Richiede la stessastessa secret key condivisa tra secret key condivisa tra tutti i sistemi in comunicazione (PC e AP)tutti i sistemi in comunicazione (PC e AP)
Fornisce Autenticazione e CrittografiaFornisce Autenticazione e Crittografia
Autenticazione generata utilizzando Autenticazione generata utilizzando cifratura Challenge/Responsecifratura Challenge/Response
Autenticazione per device e non per utenteAutenticazione per device e non per utente
WEPWEPMetodi di autenticazioneMetodi di autenticazione
Open authentication:Open authentication:Consente ad ogni device di autenticarsi e Consente ad ogni device di autenticarsi e quindi di comunicare con l’access point. quindi di comunicare con l’access point.
Usando questa autenticazione ogni device Usando questa autenticazione ogni device wireless può autenticarsi con AP, ma la wireless può autenticarsi con AP, ma la comunicazione avviene solo se le chiavi WEP comunicazione avviene solo se le chiavi WEP coincidono.coincidono.
802.11 open system 802.11 open system authenticationauthentication
Identificazione basata sullo scambio di Identificazione basata sullo scambio di due indirizzi MACdue indirizzi MAC
Open System Authentication Request
Open System Authentication Response
Wireless client Wireless AP
WEPWEPMetodi di autenticazioneMetodi di autenticazione
Shared key:Shared key:L’AP invia un testo di challenge in chiaro ad L’AP invia un testo di challenge in chiaro ad ogni device che cerca di comunicare ogni device che cerca di comunicare
Il device che richiede l’autenticazione cripta il Il device che richiede l’autenticazione cripta il testo di challenge e lo invia all’APtesto di challenge e lo invia all’AP
Se il testo di challenge è criptato Se il testo di challenge è criptato correttamente l’AP ritiene autenticato il devicecorrettamente l’AP ritiene autenticato il device
C’è un problema fondamentale:C’è un problema fondamentale: Testo in Testo in chiaro e testo criptato sono entrambi chiaro e testo criptato sono entrambi disponibili agli attaccantidisponibili agli attaccanti
802.11 shared key 802.11 shared key authenticationauthentication
Scambio di 4 messaggi che usano una chiave Scambio di 4 messaggi che usano una chiave segreta condivisasegreta condivisa
Shared Key Authentication Request
Shared Key Authentication Response (w/challenge text)
Shared Key Authentication Request (w/encrypted challenge)
Shared Key Authentication ResponseWireless client Wireless AP
Non raccomandatoNon raccomandatoE’ possibile effettuare attacchi di “brute force” per E’ possibile effettuare attacchi di “brute force” per individuare la chiave segreta condivisaindividuare la chiave segreta condivisa
Vulnerabilità di WEPVulnerabilità di WEPNon è stato progettato pensando alla Non è stato progettato pensando alla
Sicurezza !Sicurezza !
Buone intenzioniBuone intenzioniUsa una secret keyUsa una secret keyChecksum cifrato (con shared key) per garantire l’integrità dei datiChecksum cifrato (con shared key) per garantire l’integrità dei datiUsa l’algoritmo di cifratura RC4Usa l’algoritmo di cifratura RC4
PeròPeròLa chiave è “condivisa”La chiave è “condivisa”Initialization Vector (IV) usato per cifratura è di soli 24 bit (RC4 consente IV Initialization Vector (IV) usato per cifratura è di soli 24 bit (RC4 consente IV di 40 - 128 bit)di 40 - 128 bit)
Nessuna gestione della chiaveNessuna gestione della chiaveRende il protocollo vulnerabile (Rende il protocollo vulnerabile (“eavesdropping” & “tampering”)“eavesdropping” & “tampering”)Possibili compromissione di confidentiality e data integrity Possibili compromissione di confidentiality e data integrity Scarso controllo di accesso. Scarso controllo di accesso.
Vulnerabilità del WEPVulnerabilità del WEP
Può essere decifrato sia nella variante a 64 bit che in quella a 128bit Può essere decifrato sia nella variante a 64 bit che in quella a 128bit (tool disponibili in Internet es. Airsnort)(tool disponibili in Internet es. Airsnort)Le chiavi WEP statiche sono ottenibili con alcune migliaia di Le chiavi WEP statiche sono ottenibili con alcune migliaia di “Pacchetti Deboli”“Pacchetti Deboli”In base al traffico di rete, possono essere necessarie da poche ore a In base al traffico di rete, possono essere necessarie da poche ore a alcuni giornialcuni giorniSchede WLAN più recenti vengono progettate per minimizzare la Schede WLAN più recenti vengono progettate per minimizzare la generazione di “Pacchetti Deboli”generazione di “Pacchetti Deboli”Altri attacchi: Altri attacchi:
WEP Dictionary AttackWEP Dictionary AttackAP abusiviAP abusivi
Non c’è mutua autenticazione. Non c’è mutua autenticazione. Un AP autentica un client ma i client non autenticano l’APUn AP autentica un client ma i client non autenticano l’AP
Accessi non autorizzatiAccessi non autorizzatiSono autenticati solo i device (gli utenti no)Sono autenticati solo i device (gli utenti no)
Vulnerabilità di WEPVulnerabilità di WEPPossibili alternative a WEP?Possibili alternative a WEP?
Soluzioni Alternative
802.1x Aggiunge a WEP le caratteristiche del protocollo 802.1x (meccanismi di autenticazione e autorizzazione, rotazione della chiave WEP) per mitigarne le principali debolezze e per usare un server RADIUS enterprise centralizzando i directory service.
WPA WPA risolve i problemi di WEP utilizzando una tecnica di cifratura complessa (TKIP: temporal key integrity protocol). Ci saranno ulteriori miglioramenti con lo standard 802.11i.
VPN VPN, creano un tunnel attraverso Internet. Sono usate nell’accesso dial-up da remoto. La tecnologia VPN può utilizzare una cifratura forte e può anche fornire l’autenticazione per utenti e terminali wireless utilizzando RADIUS.
Combinazione di tecnologie
Combinazione delle tecnologie esistenti.
802.11i802.11i
Emendamento creato appositamente per Emendamento creato appositamente per la sicurezzala sicurezza
Concetto critico di Robust Security Concetto critico di Robust Security Network (RSN)Network (RSN)
Una WLAN è considerata RSN se tutti i Una WLAN è considerata RSN se tutti i dispostivivi usano la Robust Security dispostivivi usano la Robust Security Network Authentication (RSNA)Network Authentication (RSNA)
Wi-Fi Protected Access (WPA)Wi-Fi Protected Access (WPA)
WPA e WPA2 forniscono le seguenti caratteristiche crittografiche:WPA e WPA2 forniscono le seguenti caratteristiche crittografiche:
Crittazione dei dati, usati con gli standard di autenticazione 802.1XCrittazione dei dati, usati con gli standard di autenticazione 802.1X
Integrità dei datiIntegrità dei dati
Protezione da attacchi di tipo “replay”Protezione da attacchi di tipo “replay”
Operano a livello MAC (Media Access Control) Operano a livello MAC (Media Access Control)
Wi-Fi Protected Access (WPA) Wi-Fi Protected Access (WPA) Quick overviewQuick overview
Standard interim su cui si sono Standard interim su cui si sono accordati i wireless vendorsaccordati i wireless vendors
Contiene un sottoinsieme delle feature Contiene un sottoinsieme delle feature di sicurezza che sono nello standard di sicurezza che sono nello standard 802.11i (è già da tempo disponibile)802.11i (è già da tempo disponibile)
Wi-Fi Protected Access (WPA) Wi-Fi Protected Access (WPA) Caratteristiche di sicurezzaCaratteristiche di sicurezza
AutenticazioneAutenticazioneAutenticazione 802.1x è obbligatoria in WPA (EAP o Autenticazione 802.1x è obbligatoria in WPA (EAP o preshared key in SOHO)preshared key in SOHO)
Cifratura e data integrityCifratura e data integrityTemporal Key Integrity Protocol (TKIP) rimpiazza Temporal Key Integrity Protocol (TKIP) rimpiazza WEP per alcune operazioniWEP per alcune operazioniNuovo algoritmo di message integrity check (MIC) che Nuovo algoritmo di message integrity check (MIC) che utilizza il Michael algorithmutilizza il Michael algorithmWPA definisce l’uso di Advanced Encryption Standard WPA definisce l’uso di Advanced Encryption Standard (AES) come un sostituto opzionale (AES) come un sostituto opzionale per la cifratura per la cifratura WEP (dipende dalle funzionalità hardware)WEP (dipende dalle funzionalità hardware)
WPA risolve molte delle debolezze di WEPWPA risolve molte delle debolezze di WEP
Wi-Fi Protected Access (WPA) Wi-Fi Protected Access (WPA) Disponibilità per la piattaforma WindowsDisponibilità per la piattaforma Windows
Windows VistaWindows Vista
Windows Server 2008Windows Server 2008
Windows XPWindows XPService Pack 2Service Pack 2
Service Pack 1 con il “Wireless Update Rollup Service Pack 1 con il “Wireless Update Rollup Package per Windows XP”Package per Windows XP”
Windows Server 2003Windows Server 2003Service Pack 1 Service Pack 1
Richiede la modifica del firmware sulle schede Richiede la modifica del firmware sulle schede WLAN e sugli Access PointWLAN e sugli Access Point
WPA2WPA2Caratteristiche di sicurezzaCaratteristiche di sicurezza
Rispetta lo standard IEEE 802.11i Rispetta lo standard IEEE 802.11i
WPA2 EnterpriseWPA2 EnterpriseUsa 802.1X and EAP per l’autenticazioneUsa 802.1X and EAP per l’autenticazione
WPA2 Personal (WPA2-PSK)WPA2 Personal (WPA2-PSK)Usa una preshared key per l’autenticazioneUsa una preshared key per l’autenticazione
Encryption methodsEncryption methodsTKIPTKIP
AESAES
WPA2WPA2
Attualmente è il più sicuroAttualmente è il più sicuro
Richiede un Richiede un aggiornamento del firmwareaggiornamento del firmware
Nelle autenticazioni 802.1x usa una cache Nelle autenticazioni 802.1x usa una cache che gli permette di utilizzare il FAST che gli permette di utilizzare il FAST ROAMING (PMK cache, Pairwise Master ROAMING (PMK cache, Pairwise Master Key)Key)
AES è obbligatorio (vengono cifrati 128 bit AES è obbligatorio (vengono cifrati 128 bit di dati alla volta con una chiave di cifratura di dati alla volta con una chiave di cifratura a 128 bit!)a 128 bit!)
Wi-Fi Protected Access 2 (WPA2) Wi-Fi Protected Access 2 (WPA2) Disponibilità per la piattaforma WindowsDisponibilità per la piattaforma Windows
Windows VistaWindows Vista
Windows Server 2008Windows Server 2008
Windows XPWindows XPService Pack 2 con il Wireless Client Update Service Pack 2 con il Wireless Client Update per Windows XPper Windows XP
Windows Server 2003Windows Server 2003Service Pack 2 Service Pack 2
Richiede la modifica del firmware sulle schede Richiede la modifica del firmware sulle schede WLAN e sugli Access PointWLAN e sugli Access Point
Protocollo IEEE 802.1XProtocollo IEEE 802.1XProtocollo IEEE 802.1XProtocollo IEEE 802.1X
Protocollo IEEE 802.1XProtocollo IEEE 802.1X
Standard IEEE per reti Locali e Standard IEEE per reti Locali e metropolitane che utilizza metropolitane che utilizza Port-Based Port-Based Network Access ControlNetwork Access Control
Approvato da IEEE-SA Standards Board il 14 Approvato da IEEE-SA Standards Board il 14 Giugno 2001Giugno 2001(http://standards.ieee.org/getieee802/download/802.1X-2001.pdf)(http://standards.ieee.org/getieee802/download/802.1X-2001.pdf)
Approvato da American National Standards Approvato da American National Standards Institute (ANSI) il 25 Ottobre 2001Institute (ANSI) il 25 Ottobre 2001
Protocollo IEEE 802.1XProtocollo IEEE 802.1X
Definisce un meccanismo di Autenticazione Definisce un meccanismo di Autenticazione e Autorizzazione per Port-based network e Autorizzazione per Port-based network devices (IEEE 802 LAN)devices (IEEE 802 LAN)
L’obiettivo è impedire l’accesso alle porte L’obiettivo è impedire l’accesso alle porte da parte dei device se il processo di da parte dei device se il processo di Autenticazione e Autorizzazione fallisceAutenticazione e Autorizzazione fallisce
Si basa su tecnologie esistenti:Si basa su tecnologie esistenti:Extensible Authentication Protocol (EAP)Extensible Authentication Protocol (EAP)
Remote Authentication Dial-In User Service Remote Authentication Dial-In User Service (RADIUS)(RADIUS)
Protocollo IEEE 802.1XProtocollo IEEE 802.1X
Si applica a tutte le tecnologie IEEE 802 Si applica a tutte le tecnologie IEEE 802 (anche Ethernet)(anche Ethernet)
Non è specifico per reti wirelessNon è specifico per reti wireless
Si applica al Layer 2 (ISO/OSI): Data Link Si applica al Layer 2 (ISO/OSI): Data Link LayerLayer
Usa l’infrastruttura di rete, di switching e di Usa l’infrastruttura di rete, di switching e di routing esistenterouting esistente
Concetti sviluppati da 3Com, HP e Concetti sviluppati da 3Com, HP e MicrosoftMicrosoft
Protocollo IEEE 802.1XProtocollo IEEE 802.1X
Cos’è la Network Access Authentication?Cos’è la Network Access Authentication?Un meccanismo tramite cui l’accesso alla Un meccanismo tramite cui l’accesso alla rete è ristretto alle entità autorizzaterete è ristretto alle entità autorizzate
Usa EAP per trasferire le informazioni di Usa EAP per trasferire le informazioni di autenticazione tra il client e il server di autenticazione tra il client e il server di autenticazioneautenticazione
Dopo autenticazione, la sessione deve Dopo autenticazione, la sessione deve essere autorizzataessere autorizzata
Protocollo IEEE 802.1XProtocollo IEEE 802.1X
Authenticator (es AP)
Supplicant
Rete aziendaleRete Semi-Pubblica
AuthenticationServer
(es. RADIUS)
EAP Over Wireless (EAPOW)
EAP over LAN (EAPOL)
EAP Over RADIUS
SupplicantNon-802.1X
Supplicant: entità (client/user) che viene autenticata dall’Authenticator
Authenticator: entità (NAS, AP) che facilità l’autenticazione di altre entità
AuthenticationServer : entità (RADIUS Server) che fornisce
un servizio di autenticazione a un autenticatore
Protocollo IEEE 802.1XProtocollo IEEE 802.1X Un passo avantiUn passo avanti
RADIUSRADIUS: Remote Authentication Dial-In User : Remote Authentication Dial-In User ServiceService
PKIPKI: Public Extensible Key Infrastructure: Public Extensible Key Infrastructure
EAPEAP: Extensible Authentication Protocol: Extensible Authentication Protocol
PEAPPEAP: Protected Extensible Authentication Protocol: Protected Extensible Authentication Protocol
Active DirectoryActive Directory: per migliorare gestione, affidabilità : per migliorare gestione, affidabilità e sicurezza e sicurezza
Per una implementazione sicura con IEEE 802.11, si usano:
RADIUSRADIUSRemote Authentication Dial-In User Remote Authentication Dial-In User ServiceService
IASIASInternet Authentication ServiceInternet Authentication Service
RADIUSRADIUSRemote Authentication Dial-In User Remote Authentication Dial-In User ServiceService
IASIASInternet Authentication ServiceInternet Authentication Service
RADIUSRADIUSOverviewOverview
Remote Authentication Dial-In User Remote Authentication Dial-In User Service (RADIUS)Service (RADIUS)
RFCs 2865 e 2866RFCs 2865 e 2866
Fornisce Autenticazione, Autorizzazione e Fornisce Autenticazione, Autorizzazione e Accounting centralizzati (AAA) per:Accounting centralizzati (AAA) per:
Access Point (AP) WirelessAccess Point (AP) Wireless
Authenticating Ethernet switchAuthenticating Ethernet switch
Virtual private network (VPN) serverVirtual private network (VPN) server
Altri Network Access Server (eg: NAS for Altri Network Access Server (eg: NAS for PSTN)PSTN)
RADIUSRADIUSChiavi di CifraturaChiavi di Cifratura
RADIUS genera chiavi di sessione per-userRADIUS genera chiavi di sessione per-userUsate per la cifratura WEP e WPAUsate per la cifratura WEP e WPARADIUS server manda la chiave di sessione all’Access RADIUS server manda la chiave di sessione all’Access Point (cifrata con lo shared secret AP - RADIUS)Point (cifrata con lo shared secret AP - RADIUS)
Access point ha una global WEP keyAccess point ha una global WEP keyUsata durante l’autenticazione del client all’APUsata durante l’autenticazione del client all’APInviata nel messaggio EAPOW-keyInviata nel messaggio EAPOW-keyCifrata con la chiave di sessioneCifrata con la chiave di sessione
Le chiavi sono rigenerate quando…Le chiavi sono rigenerate quando…La chiave scade (60 minuti di default per WEP e 8 ore La chiave scade (60 minuti di default per WEP e 8 ore per WPA)per WPA)Il Client si connette a un altro APIl Client si connette a un altro AP
IASIASOverviewOverview
Internet Authentication ServiceInternet Authentication ServiceVersione Microsoft di RADIUS Versione Microsoft di RADIUS Fornito con Windows Server FamilyFornito con Windows Server Family
Usa Active Directory come database degli Usa Active Directory come database degli account utenteaccount utente
Usa le credenziali degli utenti di Dominio per Usa le credenziali degli utenti di Dominio per l’autenticazionel’autenticazionePer l’Autorizzazione usa le proprietà di dial-in Per l’Autorizzazione usa le proprietà di dial-in dell’utente e le remote access policydell’utente e le remote access policy
Supporto per policy sofisticate basate su gruppi, Supporto per policy sofisticate basate su gruppi, access medium, data/ora, ecc.access medium, data/ora, ecc.
IASIASRemote Access PolicyRemote Access Policy
Insieme ordinato di regole Insieme ordinato di regole
Definiscono le regole di autorizzazione delle Definiscono le regole di autorizzazione delle connessioni connessioni
Basate su:Basate su:CondizioniCondizioni
Impostazioni del ProfiloImpostazioni del Profilo
Profilo e proprietà di dial-in dell’account Profilo e proprietà di dial-in dell’account definiscono le restrizioni della connessionedefiniscono le restrizioni della connessione
IASIASAutorizzazioni per WirelessAutorizzazioni per Wireless
Remote access permission per gli account utenteRemote access permission per gli account utente
Remote access policy per tipo di connessione Remote access policy per tipo di connessione wireless e per gruppowireless e per gruppo
CondizioniCondizioni
NAS-Port-Type=Wireless-IEEE 802.11NAS-Port-Type=Wireless-IEEE 802.11
Windows-Groups membership (eg = WirelessUsers)Windows-Groups membership (eg = WirelessUsers)
Impostazioni del ProfiloImpostazioni del Profilo
CifraturaCifratura
Protocollo di autenticazione (EAP-TLS o PEAP)Protocollo di autenticazione (EAP-TLS o PEAP)
IASIASInfrastruttura generaleInfrastruttura generale
AP Wireless
Server VPN
Server Dial-up
Proxy IAS
Client
Serverd’accesso
ProtocolloRADIUS
Server IAS
Active Directory
EAPEAPExtensible Authentication ProtocolExtensible Authentication ProtocolEAPEAPExtensible Authentication ProtocolExtensible Authentication Protocol
EAPEAPOverviewOverview
Framework per specificare i metodi di Framework per specificare i metodi di autenticazioneautenticazione
Permette di scegliere i metodi di Permette di scegliere i metodi di autenticazioneautenticazione
Non ha sicurezza built-inNon ha sicurezza built-inI metodi di autenticazione devono incorporare I metodi di autenticazione devono incorporare metodologie di sicurezzametodologie di sicurezza
EAPEAPFlusso di Autenticazione WirelessFlusso di Autenticazione Wireless
ServerRADIUS
Messaggio EAP
APWireless
ClientWireless Messaggio RADIUS
Conversazione EAP
EAPEAPEAP in EAP in IEEE 802.1xIEEE 802.1x
IEEE 802.1x supporta nativamente MD5-IEEE 802.1x supporta nativamente MD5-Challenge (CHAP) nell’autenticazione EAPChallenge (CHAP) nell’autenticazione EAP
MD5 Challenge è vulnerabile agli attacchi MD5 Challenge è vulnerabile agli attacchi a dizionarioa dizionario
MD5 challengeMD5 challenge NON è appropriato per un NON è appropriato per un accesso wireless sicuroaccesso wireless sicuro
PEAPPEAPProtected EAPProtected EAP
Metodo di Autenticazione basato su EAPMetodo di Autenticazione basato su EAP
Usa un canale cifrato durante Usa un canale cifrato durante l’autenticazione EAPl’autenticazione EAP
E’ richiesto un certificato sul server E’ richiesto un certificato sul server RADIUS (per autenticare il server)RADIUS (per autenticare il server)
Elimina gli attacchi a dizionario off-line Elimina gli attacchi a dizionario off-line contro le passwordcontro le password
Come lavora 802.1X con PEAP Come lavora 802.1X con PEAP e password e password
Wireless Client RADIUS (IAS)
11Client
Connect
Wireless Access Point
22 ClientAuthentication
ServerAuthentication
Mutual Key Determination
44
55
33 Key Distribution
AuthorizationWLAN Encryption
Internal Network
EAP/TLSEAP/TLSCertificato utenteCertificato utente
L’utente ha il proprio certificato clientL’utente ha il proprio certificato client
Logon al Dominio tramite il certificato (no Logon al Dominio tramite il certificato (no password) password)
Mutua Autenticazione:Mutua Autenticazione:RADIUS RADIUS Client Client
Necessaria una PKI per gestire i certificatiNecessaria una PKI per gestire i certificati
IEEE 802.1X associato a IEEE IEEE 802.1X associato a IEEE 802.11802.11
IEEE 802.1X associato a IEEE IEEE 802.1X associato a IEEE 802.11802.11
802.1X Over 802.11802.1X Over 802.11Supplicant
(client wireless)Authenticator(Access Point)
Authentication Server(Server RADIUS)
802.11 association802.11 association
EAPOL-start
EAP-request/identity
EAP-response/identity
RADIUS-access-request
EAP-request RADIUS-access-challenge
EAP-response (credentials)
RADIUS-access-request
EAP-success RADIUS-access-accept
EAPOW-key (WEP)
Accesso bloccato
Access allowed
IEEE 802.1X protocolIEEE 802.1X protocolAssociazioneAssociazione
Verso la LAN l’Autenticatore ha due “porte” logiche Verso la LAN l’Autenticatore ha due “porte” logiche (controllata e non controllata)(controllata e non controllata)
L’associazione 802.11 avviene inizialmente utilizzando la L’associazione 802.11 avviene inizialmente utilizzando la porta non controllataporta non controllata
Deve parlare con l’AP e ottenere un indirizzo IPDeve parlare con l’AP e ottenere un indirizzo IP
E’ permesso solo l’accesso all’AP (porta non controllata) E’ permesso solo l’accesso all’AP (porta non controllata) fino a che non si è autenticati con successofino a che non si è autenticati con successo
AP scarta il traffico non-EAPOLAP scarta il traffico non-EAPOL
Dopo che la chiave è stata inviata (EAPOW-key), l’accesso Dopo che la chiave è stata inviata (EAPOW-key), l’accesso attraverso l’AP è permesso tramite la porta controllataattraverso l’AP è permesso tramite la porta controllata
Prima dell’AutenticazionePrima dell’Autenticazione
CADirectory
DHCP
Wireless client(supplicant)
Server RADIUS(AuthN Server)
Access Point(Authenticator)
Aria
Radio Controlled port: impedisce ai client l’accesso alla LAN
Radio Uncontrolled port: permette all’autenticatore di contattare il server di autenticazione
Dopo l’AutenticazioneDopo l’Autenticazione
Wireless client(supplicant)
Aria
Radio Controlled port: adesso permette al supplicant di accedere alla LAN (DHCP releases an IP address)
CADirectory
DHCP
Server RADIUS(AuthN Server)
Access Point(Authenticator)
PEAP PEAP Windows domain logonWindows domain logon
User inserisce le proprie
credenziali
IAS richiede identità client e invia proprio certificato per creazione
canale TLS
Client requests IP Address
DHCP rilascia IPClient invia le
credenziali al DC (Kerberos)
DC verifica credenziali e invia TGT (Kerberos)
Chiave WEP
Client invia credenziali proprie e utente su
canale TLS
AP permette traffico sulla porta controllata
Porta controllata
Porta non controllata
AP permette il traffico sulla porta non controllata
IAS
DHCP
DC
Access Point
IAS valida utente e computer e quindi invia la chiave di
sessione WEP
Canale TLS
1. Richiesta di connessione wireless2. Connessione wireless riuscita
IEEE 802.1X protocolIEEE 802.1X protocolMiglioramenti nella sicurezzaMiglioramenti nella sicurezza
Cosa aggiunge 802.1x alla sicurezza WEP:Cosa aggiunge 802.1x alla sicurezza WEP:Autentica utenti e/o computer prima che il Autentica utenti e/o computer prima che il client ottenga un indirizzo IP validoclient ottenga un indirizzo IP valido
Gestisce le chiavi che possono essere usate Gestisce le chiavi che possono essere usate per fornire autenticazione, integrità e per fornire autenticazione, integrità e confidenzialità per-packetconfidenzialità per-packet
Effettua frequenti scambi di chiavi e chiavi Effettua frequenti scambi di chiavi e chiavi differenti sono usate per ogni clientdifferenti sono usate per ogni client
IEEE 802.1X con PEAPIEEE 802.1X con PEAPHacker Challenge 1/3Hacker Challenge 1/3
Gli attacchi per decifrare la chiave WEP Gli attacchi per decifrare la chiave WEP (Spoofing Attack e Sniffing) sono mitigati da (Spoofing Attack e Sniffing) sono mitigati da 802.1x e non possono essere più usati802.1x e non possono essere più usati
Di cosa Di cosa ha bisognoha bisogno un hacker per accedere a un hacker per accedere a una rete protetta da 802.1x con PEAP:una rete protetta da 802.1x con PEAP: Certificato della Root CA usata dal server Certificato della Root CA usata dal server
RADIUSRADIUS Non è obbligatorio se il client sceglie di Non è obbligatorio se il client sceglie di
non validare il certificato servernon validare il certificato server
IEEE 802.1X con PEAPIEEE 802.1X con PEAPHacker Challenge 2/3Hacker Challenge 2/3
Username e Password di un utente wireless Username e Password di un utente wireless autorizzatoautorizzato
Può essere ottenuto con :Può essere ottenuto con :
Chiamata che sembra provenire dall’ IT Chiamata che sembra provenire dall’ IT Department/Help Desk che richiede Department/Help Desk che richiede username/pwdusername/pwd
Falsa mail dall’ IT/help Desk, modificato Falsa mail dall’ IT/help Desk, modificato che richiede username/pwd, con un che richiede username/pwd, con un indirizzo “from” intercettato e un “reply to” indirizzo “from” intercettato e un “reply to” modificatomodificato
SOCIAL ENGINEERING
IEEE 802.1X con PEAPIEEE 802.1X con PEAPHacker Challenge 3/3 - EsempioHacker Challenge 3/3 - Esempio
Received: from EXMAIL (79.3.217.226) by mail.azienda.com (7.3.122) id 465FE2CB0054C0FF for [email protected]; Mon, 25 Jun 2007 12:57:39 +0200Message-ID: <000c01c7aa84$f482b440$1901a8c0@exmail>Reply-To: "IT Help Desk" <[email protected]>From: "IT Help Desk" <[email protected]>To: "Nicola Ferrini" <[email protected]>Subject: Modifica Password Sistema InformativoDate: Mon, 25 Jun 2007 12:57:21 +0200MIME-Version: 1.0
(omissis....)
Con la presente si comunica che a paritre dalla data di domani verranno modificate per ragioni di sicurezza tutte le password di accesso al sistema informativo aziendale.Pertanto si prega di voler comunicare i propri dati di accesso nella forma dominio\nome utente e la relativa password, facendo attenzione a rispettare le maiuscole e le minuscole.Grazie per la collaborazione
Monica Spizzico, IT HelpDesk Managerwww.azienda.com
IEEE 802.1X with EAP-TLSIEEE 802.1X with EAP-TLSHacker ChallengeHacker Challenge
Di cosa ha bisogno un hacker per accedere a una Di cosa ha bisogno un hacker per accedere a una rete protetta da 802.1x-EAP-TLSrete protetta da 802.1x-EAP-TLS
1.1. Il Certificato Utente (e/o computer) di un utente Il Certificato Utente (e/o computer) di un utente autorizzato a usare wirelessautorizzato a usare wireless
Non è semplice da ottenere con social Non è semplice da ottenere con social engineering o altri metodi. engineering o altri metodi.
La cosa migliore è rubare un laptop!La cosa migliore è rubare un laptop!
2.2. Username e Password per autenticarsi sul laptop Username e Password per autenticarsi sul laptop per accedere ai certificati nello storage protettoper accedere ai certificati nello storage protetto
Attacco brute force o social engineeringAttacco brute force o social engineering
IEEE 802.1X with EAP-TLSIEEE 802.1X with EAP-TLSAnalisi dei rischiAnalisi dei rischi
Controlli di Sicurezza applicati :Controlli di Sicurezza applicati :
Stessi di PEAP con metodo di Stessi di PEAP con metodo di Autenticazione Autenticazione miglioremigliore
Autenticazione è fatta utilizzando il certificato Autenticazione è fatta utilizzando il certificato utente dello user invece che username/passwordutente dello user invece che username/password
Certificato può essere salvato in:Certificato può essere salvato in:1.1. ““storage protetto” del Computer, a cui può accedere storage protetto” del Computer, a cui può accedere
solo l’utente dopo che ha fatto logon con Username & solo l’utente dopo che ha fatto logon con Username & Password validiPassword validi
2.2. Smart card che deve essere rimossa dal computer e a Smart card che deve essere rimossa dal computer e a cui si accede solo digitando il PIN (cui si accede solo digitando il PIN (2 factor 2 factor authenticationauthentication))
IEEE 802.1x IEEE 802.1x Vulnerabilità non risolteVulnerabilità non risolte
Debolezze di 802.11Debolezze di 802.11
Autenticazione/Cifratura per i pacchetti di gestione Autenticazione/Cifratura per i pacchetti di gestione (reassociate, disassociate) (reassociate, disassociate)
Altre debolezze di WEPAltre debolezze di WEP
Bit flipping con IV conosciuti (packet spoofing)Bit flipping con IV conosciuti (packet spoofing)
No IV replay protectionNo IV replay protection
Saranno risolti dai nuovi standard: Wi-Fi Protect Access Saranno risolti dai nuovi standard: Wi-Fi Protect Access (WPA) e 802.11i(WPA) e 802.11i
PEAP “user” vulnerabilityPEAP “user” vulnerability
Utente usa password deboli e non c’è una policy per Utente usa password deboli e non c’è una policy per imporre password sicureimporre password sicure
IEEE 802.1X protocolIEEE 802.1X protocolDenial of ServiceDenial of Service
802.11 messaggi associate/disassociate 802.11 messaggi associate/disassociate sono non autenticati e in chiarosono non autenticati e in chiaroAttacker può forgiare messaggi di Attacker può forgiare messaggi di disassociation causando Denial of Servicedisassociation causando Denial of ServiceTutti i client sono forzati a disassociarsi e Tutti i client sono forzati a disassociarsi e riassociarsi, il trasferimento dati è riassociarsi, il trasferimento dati è interrottointerrotto
IEEE 802.1xIEEE 802.1xDisponibilità nella piattaforma WindowsDisponibilità nella piattaforma Windows
Client: Windows XP SP2Client: Windows XP SP2 Windows Vista Windows Vista
Server: Windows Server 2000-2003 IASServer: Windows Server 2000-2003 IAS Windows Server 2008 IAS Windows Server 2008 IAS
Backporting a Windows 2000Backporting a Windows 2000Client e IAS devono avere SP3Client e IAS devono avere SP3
Client e IAS devono avere 802.1x client packClient e IAS devono avere 802.1x client pack ((KB 313664)KB 313664)
DEMODEMO
Riassumendo…Riassumendo…
Opzioni di autenticazioneOpzioni di autenticazione
Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2)
Certificate Services (802.1X con EAP-TLS)
Wi-Fi Protected Access con chiavi pre-condivise(WPA-PSK)
La soluzione appropriataLa soluzione appropriata
Soluzione wireless
Ambiente tipico
Componenti di infrastruttura addizionali richiesti?
Certificati usati per l’autenticazione dei client
Password usateper l’autenticazione dei client
Metodo tipico di crittazione dei dati
Wi-Fi Protected Access con Pre-Shared Keys (WPA-PSK)
Small Small Office/Home Office/Home Office (SOHO)Office (SOHO)
NessunoNessuno NONO
SISI
Usa la chiave di Usa la chiave di crittazione WPA crittazione WPA per per ll’’autenticazione autenticazione alla retealla rete
WPAWPA
PEAP + password (PEAP-MS-CHAPv2)
Piccole/medie Piccole/medie aziendeaziende
Internet Internet Authentication Authentication Services (IAS)Services (IAS)
Certificato Certificato richiesto per il richiesto per il server IASserver IAS
NO NO
(ma almeno un (ma almeno un certificato deve certificato deve essere rilasciato essere rilasciato per validare il per validare il server IAS)server IAS)
SISI WPA o chiave WPA o chiave WEP dinamicaWEP dinamica
Certificati (EAP-TLS)
Aziende Aziende medio/grandimedio/grandi
Internet Internet AuthenticationAuthentication Services (IAS)Services (IAS)
Servizi Servizi CertificatiCertificati
SISI
NO NO
(possibilita(possibilita’’ di di modifica, modifica, inserendo la inserendo la richiesta di richiesta di password)password)
WPA o chiave WPA o chiave WEP dinamicaWEP dinamica
Requisiti per 802.1XRequisiti per 802.1X
Componenti Requisiti
Client computers
Il client 802.1X è disponibile per Windows 95, Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000Windows 98, Windows NT 4.0, e Windows 2000
802.1X è supportato per default da Windows XP e da 802.1X è supportato per default da Windows XP e da Windows Server 2003Windows Server 2003
RADIUS/IAS e server certificati
NecessariNecessari
Potrebbero anche non essere MicrosoftPotrebbero anche non essere Microsoft
Wireless access points
Devono almeno suppoprtare 802.1X e WEP a 128 bit per Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazionela crittazione
Infrastruttura Active Directory, DNS, DHCPActive Directory, DNS, DHCP
Componenti richiesti per 802.1X Componenti richiesti per 802.1X con PEAP-MS-CHAPv2con PEAP-MS-CHAPv2
Componenti Descrizione
Wireless Client
Deve avere una scheda wireless che supporti 802.1X e Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPAdynamic WEP o WPA
Gli account di utenti e computer devono essere creati nel Gli account di utenti e computer devono essere creati nel dominiodominio
Wireless Access Point
Deve supportare 802.1X e dynamic WEP o WPADeve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una shared L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altrosecret per autenticarsi l’un con l’altro
RADIUS/IAS Server
Deve usare Active Directory per verificare le credenziali Deve usare Active Directory per verificare le credenziali dei client WLANdei client WLAN
Può prendere decisioni sulle autorizzazioni in base alle Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurateRemote Access Policy configurate
Può eseguire accounting e auditingPuò eseguire accounting e auditing
Deve avere un certificato installato per essere autenticato Deve avere un certificato installato per essere autenticato dai client (server authentication)dai client (server authentication)
Componenti richiesti per 802.1X Componenti richiesti per 802.1X con EAP-TLScon EAP-TLS
Componenti Descrizione
Wireless Client
Deve avere una scheda wireless che supporti 802.1X e Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPAdynamic WEP o WPA
Certificati per ogni utente wireless e per ogni computer Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wirelesscon scheda wireless installati sui client wireless
Wireless Access Point
Deve supportare 802.1X e dynamic WEP o WPADeve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una shared L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altrosecret per autenticarsi l’un con l’altro
Servizi Certificati
Intera infrastruttura PKI con una Certification Authority o Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificatiauto-enrollment dei certificati
RADIUS/IAS Server
Deve usare Active Directory per verificare le credenziali Deve usare Active Directory per verificare le credenziali dei client WLANdei client WLAN
Può prende decisioni sulle autorizzazioni in base alle Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurateRemote Access Policy configurate
Deve avere un certificato installato per essere autenticato Deve avere un certificato installato per essere autenticato dai client (server authentication)dai client (server authentication)
Progettare la PKI Progettare la PKI Define l’infrastruttura di Certification Authority
Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda
Definire quali tipi di certificato utilizzare e il loro rilascio
Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti
Configurare l’auto-enrollment per entrambi (via Group Policy)
Configurare la validità e la lunghezza della chiaveConfigurare le procedure di rinnovoConfigurare la pubblicazione delle CRLConfigurare procedure di backup per le chiavi privatePubblicare nei client il certificato con la chiave
pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)
Implementare RADIUS (IAS) Implementare RADIUS (IAS)
Installare il servizio IASSu un domain controller o su un server membro
dedicatoRegistrare il servizio in Active Directory
comando “netsh ras add registeredserver”Installare un certificato sul server IASUsare un livello funzionale del dominio
almeno “nativo”Windows 2000 native mode (se AD 2000)Windows 2000 native o Windows Server 2003
(se AD 2003)Per il completo supporto dei gruppi universali e di
EAP-TLS
Configurare gli Access Point Configurare gli Access Point
Nella console IAS, configurare ogni Access Point come client RADIUS
Configurare ogni access point ad usare il server IAS per le autenticazioni
Configurare uno shared secret tra IAS e access point
Configurare il SSID e il “SSID broadcast”Utilizzare metodi sicuri per amministrare
remotamente gli access point (HTTP con SSL, SSH, TLS)
Configurare le Remote Access Configurare le Remote Access Policy su IASPolicy su IAS
Configurare le “Conditions”“NAS-Port-Type” impostato su “Wireless 802.11Configurare eventuali restrizioni di gruppo e/o
orarieConfigurare le “Permissions”
Tipicamente impostare su “Grant access”Configurare il “Profile”
Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni
Controllare l’accesso WLAN Controllare l’accesso WLAN con i gruppi di sicurezzacon i gruppi di sicurezza
Esempi di gruppo Membri del gruppo
Accesso wireless Utenti wirelessComputer wireless
Utenti wireless {utenti che lavorano su pc wireless}
Computer wireless {computer che hanno una scheda di rete wireless}
IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy
IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy
Configurare i client wirelessConfigurare i client wirelessTramite Group Policy
E’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti
La GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless
Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy
Localmente, client per clientSettaggi principali :
Wireless Network KeyNetwork Authentication (Open, Shared, WPA, WPA-
PSK)Data Encryption (WEP, TKIP, AES)802.1X (flag)“The key is provided automatically” (check box)
N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)
Informazioni aggiuntiveInformazioni aggiuntive
Dove trovare risorse:Dove trovare risorse:Securing Wireless LANs with Certificate ServicesSecuring Wireless LANs with Certificate Serviceshttp://go.microsoft.com/fwlink/?LinkId=14843http://go.microsoft.com/fwlink/?LinkId=14843Security Wireless LANs with PEAP and PasswordsSecurity Wireless LANs with PEAP and Passwordshttp://http://www.microsoft.com/technet/security/topics/cryptographyetcwww.microsoft.com/technet/security/topics/cryptographyetc//peap_0.mspxpeap_0.mspx
Security Guidance Center: Security Guidance Center: http://www.microsoft.com/italy/security/guidance/default.mspxhttp://www.microsoft.com/italy/security/guidance/default.mspx
Ultime novità sul wireless in Windows XP SP2, Windows Ultime novità sul wireless in Windows XP SP2, Windows Vista Vista Windows Server 2003 Release 2Windows Server 2003 Release 2
http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/
networking/wifi/default.mspxnetworking/wifi/default.mspx