La sicurezza delle reti Wireless. Agenda Rendere sicura una rete wireless Lo standard di...
-
Upload
simonetta-smith -
Category
Documents
-
view
220 -
download
3
Transcript of La sicurezza delle reti Wireless. Agenda Rendere sicura una rete wireless Lo standard di...
La sicurezza delle reti Wireless
La sicurezza delle reti Wireless
AgendaAgendaRendere sicura una rete wirelessRendere sicura una rete wirelessLo standard di autenticazione 802.1XLo standard di autenticazione 802.1XComponenti necessari per una soluzione wireless sicuraComponenti necessari per una soluzione wireless sicuraPossibili scenari di configurazionePossibili scenari di configurazioneProgettazione della configurazione ottimale dei componentiProgettazione della configurazione ottimale dei componenti
Quando si progetta la sicurezza per una rete wireless, considerare : Quando si progetta la sicurezza per una rete wireless, considerare :
Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura
Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura
Perchè rete wireless sicura?Perchè rete wireless sicura?
Minacce alle reti wirelessMinacce alle reti wireless
Rilevamento e furto di informazioni confidenziali (eavesdropping)Accesso non autorizzato ai dati (intercettazioni e modifiche)Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client)Interruzione del servizio wireless (attacchi DoS agli access point)Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta)Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless)Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)
Rilevamento e furto di informazioni confidenziali (eavesdropping)Accesso non autorizzato ai dati (intercettazioni e modifiche)Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client)Interruzione del servizio wireless (attacchi DoS agli access point)Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta)Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless)Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)
Gli standard wirelessGli standard wirelessStandardStandard DescrizioneDescrizione
802.11802.11 Specifica base che definisce i concetti di Specifica base che definisce i concetti di trasmissione per le reti wirelesstrasmissione per le reti wireless
802.11a802.11a
Velocità di trasmissione fino a 54 MbpsVelocità di trasmissione fino a 54 Mbps
Range di frequenza 5 GhzRange di frequenza 5 Ghz
Ottima velocità, poche interferenze, non Ottima velocità, poche interferenze, non compatibilecompatibile
802.11b802.11b
Velocità di trasmissione fino a 11 MbpsVelocità di trasmissione fino a 11 Mbps
Range di frequenza 2,4 GhzRange di frequenza 2,4 Ghz
Minor velocità, possibili interferenze, basso Minor velocità, possibili interferenze, basso costocosto
802.11g802.11g
Velocità di trasmissione fino a 54 Mbps Velocità di trasmissione fino a 54 Mbps
Range di frequenza 2,4 GhzRange di frequenza 2,4 Ghz
Ottima velocità, possibili interferenze, Ottima velocità, possibili interferenze, compatibile .11bcompatibile .11b
802.11i802.11i Stabilisce processi standard di autenticazione Stabilisce processi standard di autenticazione e crittazione sulle reti wirelesse crittazione sulle reti wireless
802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico
802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico
Confidenzialità con WEPConfidenzialità con WEPProtocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!)Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!)
Crittazione dei datiCrittazione dei dati
Integrità dei datiIntegrità dei dati
Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili
Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2
Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2
Oggi si usano 2 standard WEP :
Fornisce le seguenti caratteristiche crittografiche:
Confidenzialità con WPAConfidenzialità con WPAWPA e WPA2 forniscono le seguenti caratteristiche crittografiche:WPA e WPA2 forniscono le seguenti caratteristiche crittografiche:
Crittazione dei dati, usati con gli standard di autenticazione 802.1XCrittazione dei dati, usati con gli standard di autenticazione 802.1X
Integrità dei datiIntegrità dei dati
Protezione da attacchi di tipo “replay”Protezione da attacchi di tipo “replay”
Operano a livello MAC (Media Access Control) Operano a livello MAC (Media Access Control)
Autenticazione 802.1XAutenticazione 802.1X
Opzioni di autenticazioneOpzioni di autenticazione
Scegliere la soluzione miglioreScegliere la soluzione migliore
Come lavora 802.1X con PEAP e Come lavora 802.1X con PEAP e passwordpassword
Come lavora 802.1X con i certificatiCome lavora 802.1X con i certificati
Requisiti client, server e hardware per Requisiti client, server e hardware per implementare 802.1Ximplementare 802.1X
Opzioni di autenticazioneOpzioni di autenticazione
Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2)
Certificate Services (802.1X con EAP-TLS)
Wi-Fi Protected Access con chiavi pre-condivise(WPA-PSK)
Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2)
Certificate Services (802.1X con EAP-TLS)
Wi-Fi Protected Access con chiavi pre-condivise(WPA-PSK)
La soluzione appropriataLa soluzione appropriata
Soluzione Soluzione wirelesswireless
Ambiente Ambiente tipicotipico
Componenti Componenti di di infrastruttura infrastruttura addizionali addizionali richiesti?richiesti?
Certificati usati Certificati usati per per l’autenticazionl’autenticazione dei cliente dei client
Password usatePassword usateper per l’autenticazione l’autenticazione dei clientdei client
Metodo Metodo tipico di tipico di crittazione crittazione dei datidei dati
Wi-Fi Wi-Fi Protected Protected Access con Access con Pre-Shared Pre-Shared Keys (WPA-Keys (WPA-PSK) PSK)
Small Small Office/Home Office/Home Office Office (SOHO)(SOHO)
NessunoNessuno NONO
SISI
Usa la chiave di Usa la chiave di crittazione WPA crittazione WPA per per l’autenticazione l’autenticazione alla retealla rete
WPAWPA
PEAP + PEAP + password password (PEAP-MS-(PEAP-MS-CHAPv2)CHAPv2)
Piccole/Piccole/medie medie aziendeaziende
Internet Internet AuthenticatioAuthentication Services n Services (IAS)(IAS)
Certificato Certificato richiesto per richiesto per il server IASil server IAS
NO NO
(ma almeno un (ma almeno un certificato deve certificato deve essere essere rilasciato per rilasciato per validare il validare il server IAS)server IAS)
SISIWPA o WPA o chiave WEP chiave WEP dinamicadinamica
Certificati Certificati (EAP-TLS)(EAP-TLS)
Aziende Aziende medio/grandmedio/grandii
Internet Internet AuthenticatioAuthenticationn Services Services (IAS)(IAS)
Servizi Servizi CertificatiCertificati
SISI
NO NO
(possibilita’ di (possibilita’ di modifica, modifica, inserendo la inserendo la richiesta di richiesta di password)password)
WPA o WPA o chiave WEP chiave WEP dinamicadinamica
Come lavora 802.1X con PEAP e password Come lavora 802.1X con PEAP e password
Wireless Client RADIUS (IAS)
11Client
Connect
Wireless Access Point
22 ClientAuthentication
ServerAuthentication
Mutual Key Determination
44
55
33 Key Distribution
AuthorizationWLAN Encryption
Internal Network
Come lavora 802.1X con EAP-TLSCome lavora 802.1X con EAP-TLS
Wireless Client
RADIUS (IAS)
11Certificate Enrollment
Wireless Access Point22 Client
AuthenticationServer
Authentication
Mutual Key Determination
44
55
33
Key Distribution
AuthorizationWLAN Encryption
Internal Network
Certification Authority
66
Requisiti per 802.1XRequisiti per 802.1X
ComponenComponentiti RequisitiRequisiti
Client Client computerscomputers
Il client 802.1X è disponibile per Il client 802.1X è disponibile per Windows 95, Windows 95, Windows 98, Windows NT 4.0, e Windows 98, Windows NT 4.0, e Windows 2000Windows 2000
802.1X è supportato per default da 802.1X è supportato per default da Windows XP e da Windows Server 2003Windows XP e da Windows Server 2003
RADIUS/IAS RADIUS/IAS e server e server certificaticertificati
NecessariNecessari
Potrebbero anche non essere MicrosoftPotrebbero anche non essere Microsoft
Wireless Wireless access access pointspoints
Devono almeno suppoprtare 802.1X e Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazioneWEP a 128 bit per la crittazione
InfrastrutturInfrastrutturaa Active Directory, DNS, DHCPActive Directory, DNS, DHCP
Componenti richiesti per 802.1X con PEAP-MS-CHAPv2
Componenti richiesti per 802.1X con PEAP-MS-CHAPv2
ComponentiComponenti DescrizioneDescrizione
Wireless Wireless ClientClient
Deve avere una scheda wireless che supporti Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA802.1X e dynamic WEP o WPA
Gli account di utenti e computer devono essere Gli account di utenti e computer devono essere creati nel dominiocreati nel dominio
Wireless Wireless Access Access PointPoint
Deve supportare 802.1X e dynamic WEP o WPADeve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altroshared secret per autenticarsi l’un con l’altro
RADIUS/IAS RADIUS/IAS ServerServer
Deve usare Active Directory per verificare le Deve usare Active Directory per verificare le credenziali dei client WLANcredenziali dei client WLAN
Può prendere decisioni sulle autorizzazioni in base Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configuratealle Remote Access Policy configurate
Può eseguire accounting e auditingPuò eseguire accounting e auditing
Deve avere un certificato installato per essere Deve avere un certificato installato per essere autenticato dai client (server authentication)autenticato dai client (server authentication)
Componenti richiesti per 802.1X con EAP-TLSComponenti richiesti per 802.1X con EAP-TLS
ComponentiComponenti DescrizioneDescrizione
Wireless Wireless ClientClient
Deve avere una scheda wireless che supporti Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA802.1X e dynamic WEP o WPA
Certificati per ogni utente wireless e per ogni Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client computer con scheda wireless installati sui client wirelesswireless
Wireless Wireless Access Access PointPoint
Deve supportare 802.1X e dynamic WEP o WPADeve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altroshared secret per autenticarsi l’un con l’altro
Servizi Servizi CertificatiCertificati
Intera infrastruttura PKI con una Certification Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei Authority, e procedure di auto-enrollment dei certificaticertificati
RADIUS/IAS RADIUS/IAS ServerServer
Deve usare Active Directory per verificare le Deve usare Active Directory per verificare le credenziali dei client WLANcredenziali dei client WLAN
Può prende decisioni sulle autorizzazioni in base Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configuratealle Remote Access Policy configurate
Deve avere un certificato installato per essere Deve avere un certificato installato per essere autenticato dai client (server authentication)autenticato dai client (server authentication)
Progettare la PKI Progettare la PKI
Define l’infrastruttura di Certification AuthoritySingola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda
Definire quali tipi di certificato utilizzare e il loro rilascioCertificati a scopo autenticazione, da rilasciare sia ai computer che agli utentiConfigurare l’auto-enrollment per entrambi (via Group Policy)Configurare la validità e la lunghezza della chiaveConfigurare le procedure di rinnovoConfigurare la pubblicazione delle CRLConfigurare procedure di backup per le chiavi privatePubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)
Define l’infrastruttura di Certification AuthoritySingola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda
Definire quali tipi di certificato utilizzare e il loro rilascioCertificati a scopo autenticazione, da rilasciare sia ai computer che agli utentiConfigurare l’auto-enrollment per entrambi (via Group Policy)Configurare la validità e la lunghezza della chiaveConfigurare le procedure di rinnovoConfigurare la pubblicazione delle CRLConfigurare procedure di backup per le chiavi privatePubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)
Implementare RADIUS (IAS) Implementare RADIUS (IAS)
Installare il servizio IASSu un domain controller o su un server membro dedicato
Registrare il servizio in Active Directory comando “netsh ras add registeredserver”
Installare un certificato sul server IASUsare un livello funzionale del dominio almeno “nativo”
Windows 2000 native mode (se AD 2000)Windows 2000 native o Windows Server 2003 (se AD 2003)Per il completo supporto dei gruppi universali e di EAP-TLS
Installare il servizio IASSu un domain controller o su un server membro dedicato
Registrare il servizio in Active Directory comando “netsh ras add registeredserver”
Installare un certificato sul server IASUsare un livello funzionale del dominio almeno “nativo”
Windows 2000 native mode (se AD 2000)Windows 2000 native o Windows Server 2003 (se AD 2003)Per il completo supporto dei gruppi universali e di EAP-TLS
Configurare gli Access Point Configurare gli Access Point
Nella console IAS, configurare ogni Access Point come client RADIUSConfigurare ogni access point ad usare il server IAS per le autenticazioni
Configurare uno shared secret tra IAS e access pointConfigurare il SSID e il “SSID broadcast”Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)
Nella console IAS, configurare ogni Access Point come client RADIUSConfigurare ogni access point ad usare il server IAS per le autenticazioni
Configurare uno shared secret tra IAS e access pointConfigurare il SSID e il “SSID broadcast”Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)
Configurare le Remote Access Policy su IASConfigurare le Remote Access Policy su IAS
Configurare le “Conditions”“NAS-Port-Type” impostato su “Wireless 802.11Configurare eventuali restrizioni di gruppo e/o orarie
Configurare le “Permissions”Tipicamente impostare su “Grant access”
Configurare il “Profile”Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni
Configurare le “Conditions”“NAS-Port-Type” impostato su “Wireless 802.11Configurare eventuali restrizioni di gruppo e/o orarie
Configurare le “Permissions”Tipicamente impostare su “Grant access”
Configurare il “Profile”Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni
Controllare l’accesso WLAN con i gruppi di sicurezza
Controllare l’accesso WLAN con i gruppi di sicurezza
Esempi di gruppo Membri del gruppo
Accesso wireless Utenti wirelessComputer wireless
Utenti wireless {utenti che lavorano su pc wireless}
Computer wireless {computer che hanno una scheda di rete wireless}
IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy
IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy
Configurare i client wirelessConfigurare i client wireless
Tramite Group PolicyE’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi volutiLa GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wirelessSono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy
Localmente, client per clientSettaggi principali :
Wireless Network KeyNetwork Authentication (Open, Shared, WPA, WPA-PSK)Data Encryption (WEP, TKIP, AES)802.1X (flag)“The key is provided automatically” (check box)
N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)
Tramite Group PolicyE’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi volutiLa GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wirelessSono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy
Localmente, client per clientSettaggi principali :
Wireless Network KeyNetwork Authentication (Open, Shared, WPA, WPA-PSK)Data Encryption (WEP, TKIP, AES)802.1X (flag)“The key is provided automatically” (check box)
N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)
Informazioni aggiuntiveInformazioni aggiuntiveDove trovare risorse:Dove trovare risorse:
Securing Wireless LANs with Certificate ServicesSecuring Wireless LANs with Certificate Serviceshttp://go.microsoft.com/fwlink/?LinkId=14843http://go.microsoft.com/fwlink/?LinkId=14843Security Wireless LANs with PEAP and PasswordsSecurity Wireless LANs with PEAP and Passwordshttp://http://www.microsoft.com/technet/security/topics/www.microsoft.com/technet/security/topics/cryptographyetccryptographyetc//peap_0.mspxpeap_0.mspx
Security Guidance Center: Security Guidance Center: http://www.microsoft.com/italy/security/guidance/http://www.microsoft.com/italy/security/guidance/default.mspxdefault.mspx
Ultime novità sul wireless in Windows XP SP2 e Ultime novità sul wireless in Windows XP SP2 e Windows server 2003 Release 2Windows server 2003 Release 2
http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/
networking/wifi/default.mspxnetworking/wifi/default.mspx