La sicurezza delle reti Wireless

La sicurezza delle reti Wireless

AgendaAgendaRendere sicura una rete wirelessRendere sicura una rete wirelessLo standard di autenticazione 802.1XLo standard di autenticazione 802.1XComponenti necessari per una soluzione wireless sicuraComponenti necessari per una soluzione wireless sicuraPossibili scenari di configurazionePossibili scenari di configurazioneProgettazione della configurazione ottimale dei componentiProgettazione della configurazione ottimale dei componenti

Quando si progetta la sicurezza per una rete wireless, considerare : Quando si progetta la sicurezza per una rete wireless, considerare :

Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura

Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura

Perchè rete wireless sicura?Perchè rete wireless sicura?

Minacce alle reti wirelessMinacce alle reti wireless

Rilevamento e furto di informazioni confidenziali (eavesdropping)Accesso non autorizzato ai dati (intercettazioni e modifiche)Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client)Interruzione del servizio wireless (attacchi DoS agli access point)Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta)Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless)Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)

Rilevamento e furto di informazioni confidenziali (eavesdropping)Accesso non autorizzato ai dati (intercettazioni e modifiche)Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client)Interruzione del servizio wireless (attacchi DoS agli access point)Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta)Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless)Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)

Gli standard wirelessGli standard wirelessStandardStandard DescrizioneDescrizione

802.11802.11 Specifica base che definisce i concetti di Specifica base che definisce i concetti di trasmissione per le reti wirelesstrasmissione per le reti wireless

802.11a802.11a

Velocità di trasmissione fino a 54 MbpsVelocità di trasmissione fino a 54 Mbps

Range di frequenza 5 GhzRange di frequenza 5 Ghz

Ottima velocità, poche interferenze, non Ottima velocità, poche interferenze, non compatibilecompatibile

802.11b802.11b

Velocità di trasmissione fino a 11 MbpsVelocità di trasmissione fino a 11 Mbps

Range di frequenza 2,4 GhzRange di frequenza 2,4 Ghz

Minor velocità, possibili interferenze, basso Minor velocità, possibili interferenze, basso costocosto

802.11g802.11g

Velocità di trasmissione fino a 54 Mbps Velocità di trasmissione fino a 54 Mbps

Range di frequenza 2,4 GhzRange di frequenza 2,4 Ghz

Ottima velocità, possibili interferenze, Ottima velocità, possibili interferenze, compatibile .11bcompatibile .11b

802.11i802.11i Stabilisce processi standard di autenticazione Stabilisce processi standard di autenticazione e crittazione sulle reti wirelesse crittazione sulle reti wireless

802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico

802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico

Confidenzialità con WEPConfidenzialità con WEPProtocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!)Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!)

Crittazione dei datiCrittazione dei dati

Integrità dei datiIntegrità dei dati

Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili

Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2

Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2

Oggi si usano 2 standard WEP :

Fornisce le seguenti caratteristiche crittografiche:

Confidenzialità con WPAConfidenzialità con WPAWPA e WPA2 forniscono le seguenti caratteristiche crittografiche:WPA e WPA2 forniscono le seguenti caratteristiche crittografiche:

Crittazione dei dati, usati con gli standard di autenticazione 802.1XCrittazione dei dati, usati con gli standard di autenticazione 802.1X

Integrità dei datiIntegrità dei dati

Protezione da attacchi di tipo “replay”Protezione da attacchi di tipo “replay”

Operano a livello MAC (Media Access Control) Operano a livello MAC (Media Access Control)

Autenticazione 802.1XAutenticazione 802.1X

Opzioni di autenticazioneOpzioni di autenticazione

Scegliere la soluzione miglioreScegliere la soluzione migliore

Come lavora 802.1X con PEAP e Come lavora 802.1X con PEAP e passwordpassword

Come lavora 802.1X con i certificatiCome lavora 802.1X con i certificati

Requisiti client, server e hardware per Requisiti client, server e hardware per implementare 802.1Ximplementare 802.1X

Opzioni di autenticazioneOpzioni di autenticazione

Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2)

Certificate Services (802.1X con EAP-TLS)

Wi-Fi Protected Access con chiavi pre-condivise(WPA-PSK)

Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2)

Certificate Services (802.1X con EAP-TLS)

Wi-Fi Protected Access con chiavi pre-condivise(WPA-PSK)

La soluzione appropriataLa soluzione appropriata

Soluzione Soluzione wirelesswireless

Ambiente Ambiente tipicotipico

Componenti Componenti di di infrastruttura infrastruttura addizionali addizionali richiesti?richiesti?

Certificati usati Certificati usati per per l’autenticazionl’autenticazione dei cliente dei client

Password usatePassword usateper per l’autenticazione l’autenticazione dei clientdei client

Metodo Metodo tipico di tipico di crittazione crittazione dei datidei dati

Wi-Fi Wi-Fi Protected Protected Access con Access con Pre-Shared Pre-Shared Keys (WPA-Keys (WPA-PSK) PSK)

Small Small Office/Home Office/Home Office Office (SOHO)(SOHO)

NessunoNessuno NONO

SISI

Usa la chiave di Usa la chiave di crittazione WPA crittazione WPA per per l’autenticazione l’autenticazione alla retealla rete

WPAWPA

PEAP + PEAP + password password (PEAP-MS-(PEAP-MS-CHAPv2)CHAPv2)

Piccole/Piccole/medie medie aziendeaziende

Internet Internet AuthenticatioAuthentication Services n Services (IAS)(IAS)

Certificato Certificato richiesto per richiesto per il server IASil server IAS

NO NO

(ma almeno un (ma almeno un certificato deve certificato deve essere essere rilasciato per rilasciato per validare il validare il server IAS)server IAS)

SISIWPA o WPA o chiave WEP chiave WEP dinamicadinamica

Certificati Certificati (EAP-TLS)(EAP-TLS)

Aziende Aziende medio/grandmedio/grandii

Internet Internet AuthenticatioAuthenticationn Services Services (IAS)(IAS)

Servizi Servizi CertificatiCertificati

SISI

NO NO

(possibilita’ di (possibilita’ di modifica, modifica, inserendo la inserendo la richiesta di richiesta di password)password)

WPA o WPA o chiave WEP chiave WEP dinamicadinamica

Come lavora 802.1X con PEAP e password Come lavora 802.1X con PEAP e password

Wireless Client RADIUS (IAS)

11Client

Connect

Wireless Access Point

22 ClientAuthentication

ServerAuthentication

Mutual Key Determination

44

55

33 Key Distribution

AuthorizationWLAN Encryption

Internal Network

Come lavora 802.1X con EAP-TLSCome lavora 802.1X con EAP-TLS

Wireless Client

RADIUS (IAS)

11Certificate Enrollment

Wireless Access Point22 Client

AuthenticationServer

Authentication

Mutual Key Determination

44

55

33

Key Distribution

AuthorizationWLAN Encryption

Internal Network

Certification Authority

66

Requisiti per 802.1XRequisiti per 802.1X

ComponenComponentiti RequisitiRequisiti

Client Client computerscomputers

Il client 802.1X è disponibile per Il client 802.1X è disponibile per Windows 95, Windows 95, Windows 98, Windows NT 4.0, e Windows 98, Windows NT 4.0, e Windows 2000Windows 2000

802.1X è supportato per default da 802.1X è supportato per default da Windows XP e da Windows Server 2003Windows XP e da Windows Server 2003

RADIUS/IAS RADIUS/IAS e server e server certificaticertificati

NecessariNecessari

Potrebbero anche non essere MicrosoftPotrebbero anche non essere Microsoft

Wireless Wireless access access pointspoints

Devono almeno suppoprtare 802.1X e Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazioneWEP a 128 bit per la crittazione

InfrastrutturInfrastrutturaa Active Directory, DNS, DHCPActive Directory, DNS, DHCP

Componenti richiesti per 802.1X con PEAP-MS-CHAPv2

Componenti richiesti per 802.1X con PEAP-MS-CHAPv2

ComponentiComponenti DescrizioneDescrizione

Wireless Wireless ClientClient

Deve avere una scheda wireless che supporti Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA802.1X e dynamic WEP o WPA

Gli account di utenti e computer devono essere Gli account di utenti e computer devono essere creati nel dominiocreati nel dominio

Wireless Wireless Access Access PointPoint

Deve supportare 802.1X e dynamic WEP o WPADeve supportare 802.1X e dynamic WEP o WPA

L’access point e il server RADIUS avranno una L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altroshared secret per autenticarsi l’un con l’altro

RADIUS/IAS RADIUS/IAS ServerServer

Deve usare Active Directory per verificare le Deve usare Active Directory per verificare le credenziali dei client WLANcredenziali dei client WLAN

Può prendere decisioni sulle autorizzazioni in base Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configuratealle Remote Access Policy configurate

Può eseguire accounting e auditingPuò eseguire accounting e auditing

Deve avere un certificato installato per essere Deve avere un certificato installato per essere autenticato dai client (server authentication)autenticato dai client (server authentication)

Componenti richiesti per 802.1X con EAP-TLSComponenti richiesti per 802.1X con EAP-TLS

ComponentiComponenti DescrizioneDescrizione

Wireless Wireless ClientClient

Deve avere una scheda wireless che supporti Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA802.1X e dynamic WEP o WPA

Certificati per ogni utente wireless e per ogni Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client computer con scheda wireless installati sui client wirelesswireless

Wireless Wireless Access Access PointPoint

Deve supportare 802.1X e dynamic WEP o WPADeve supportare 802.1X e dynamic WEP o WPA

L’access point e il server RADIUS avranno una L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altroshared secret per autenticarsi l’un con l’altro

Servizi Servizi CertificatiCertificati

Intera infrastruttura PKI con una Certification Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei Authority, e procedure di auto-enrollment dei certificaticertificati

RADIUS/IAS RADIUS/IAS ServerServer

Deve usare Active Directory per verificare le Deve usare Active Directory per verificare le credenziali dei client WLANcredenziali dei client WLAN

Può prende decisioni sulle autorizzazioni in base Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configuratealle Remote Access Policy configurate

Deve avere un certificato installato per essere Deve avere un certificato installato per essere autenticato dai client (server authentication)autenticato dai client (server authentication)

Progettare la PKI Progettare la PKI

Define l’infrastruttura di Certification AuthoritySingola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda

Definire quali tipi di certificato utilizzare e il loro rilascioCertificati a scopo autenticazione, da rilasciare sia ai computer che agli utentiConfigurare l’auto-enrollment per entrambi (via Group Policy)Configurare la validità e la lunghezza della chiaveConfigurare le procedure di rinnovoConfigurare la pubblicazione delle CRLConfigurare procedure di backup per le chiavi privatePubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)

Define l’infrastruttura di Certification AuthoritySingola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda

Definire quali tipi di certificato utilizzare e il loro rilascioCertificati a scopo autenticazione, da rilasciare sia ai computer che agli utentiConfigurare l’auto-enrollment per entrambi (via Group Policy)Configurare la validità e la lunghezza della chiaveConfigurare le procedure di rinnovoConfigurare la pubblicazione delle CRLConfigurare procedure di backup per le chiavi privatePubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)

Implementare RADIUS (IAS) Implementare RADIUS (IAS)

Installare il servizio IASSu un domain controller o su un server membro dedicato

Registrare il servizio in Active Directory comando “netsh ras add registeredserver”

Installare un certificato sul server IASUsare un livello funzionale del dominio almeno “nativo”

Windows 2000 native mode (se AD 2000)Windows 2000 native o Windows Server 2003 (se AD 2003)Per il completo supporto dei gruppi universali e di EAP-TLS

Installare il servizio IASSu un domain controller o su un server membro dedicato

Registrare il servizio in Active Directory comando “netsh ras add registeredserver”

Installare un certificato sul server IASUsare un livello funzionale del dominio almeno “nativo”

Windows 2000 native mode (se AD 2000)Windows 2000 native o Windows Server 2003 (se AD 2003)Per il completo supporto dei gruppi universali e di EAP-TLS

Configurare gli Access Point Configurare gli Access Point

Nella console IAS, configurare ogni Access Point come client RADIUSConfigurare ogni access point ad usare il server IAS per le autenticazioni

Configurare uno shared secret tra IAS e access pointConfigurare il SSID e il “SSID broadcast”Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)

Nella console IAS, configurare ogni Access Point come client RADIUSConfigurare ogni access point ad usare il server IAS per le autenticazioni

Configurare uno shared secret tra IAS e access pointConfigurare il SSID e il “SSID broadcast”Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)

Configurare le Remote Access Policy su IASConfigurare le Remote Access Policy su IAS

Configurare le “Conditions”“NAS-Port-Type” impostato su “Wireless 802.11Configurare eventuali restrizioni di gruppo e/o orarie

Configurare le “Permissions”Tipicamente impostare su “Grant access”

Configurare il “Profile”Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni

Configurare le “Conditions”“NAS-Port-Type” impostato su “Wireless 802.11Configurare eventuali restrizioni di gruppo e/o orarie

Configurare le “Permissions”Tipicamente impostare su “Grant access”

Configurare il “Profile”Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni

Controllare l’accesso WLAN con i gruppi di sicurezza

Controllare l’accesso WLAN con i gruppi di sicurezza

Esempi di gruppo Membri del gruppo

Accesso wireless Utenti wirelessComputer wireless

Utenti wireless {utenti che lavorano su pc wireless}

Computer wireless {computer che hanno una scheda di rete wireless}

IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy

IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy

Configurare i client wirelessConfigurare i client wireless

Tramite Group PolicyE’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi volutiLa GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wirelessSono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy

Localmente, client per clientSettaggi principali :

Wireless Network KeyNetwork Authentication (Open, Shared, WPA, WPA-PSK)Data Encryption (WEP, TKIP, AES)802.1X (flag)“The key is provided automatically” (check box)

N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)

Tramite Group PolicyE’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi volutiLa GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wirelessSono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy

Localmente, client per clientSettaggi principali :

Wireless Network KeyNetwork Authentication (Open, Shared, WPA, WPA-PSK)Data Encryption (WEP, TKIP, AES)802.1X (flag)“The key is provided automatically” (check box)

N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)

Informazioni aggiuntiveInformazioni aggiuntiveDove trovare risorse:Dove trovare risorse:

Securing Wireless LANs with Certificate ServicesSecuring Wireless LANs with Certificate Serviceshttp://go.microsoft.com/fwlink/?LinkId=14843http://go.microsoft.com/fwlink/?LinkId=14843Security Wireless LANs with PEAP and PasswordsSecurity Wireless LANs with PEAP and Passwordshttp://http://www.microsoft.com/technet/security/topics/www.microsoft.com/technet/security/topics/cryptographyetccryptographyetc//peap_0.mspxpeap_0.mspx

Security Guidance Center: Security Guidance Center: http://www.microsoft.com/italy/security/guidance/http://www.microsoft.com/italy/security/guidance/default.mspxdefault.mspx

Ultime novità sul wireless in Windows XP SP2 e Ultime novità sul wireless in Windows XP SP2 e Windows server 2003 Release 2Windows server 2003 Release 2

http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/

networking/wifi/default.mspxnetworking/wifi/default.mspx