Sicurezza informatica di base - Reti wireless

Sicurezza informatica di base:
come salvare e proteggere
il vostro lavoro

Le reti wireless

Indice degli argomenti

Le reti wireless di tipo Wi-FiTipi di rischio:Monitoraggio del traffico di rete

Accesso non autorizzato

Attacco Man in the Middle

Denial of Service

Contromisure:Crittografia

Autenticazione degli accessi

Progettazione accurata della rete

Norme di sicurezza

Altri tipi di rete wireless

Le reti wireless di tipo Wi-Fi

Wi-Fi (da Wireless-Fidelity) il nome commerciale delle tecnologie di rete IEEE 802.11b/g/n: operano sulla banda dei 2.4GHz con velocit di 11Mbps, 54Mbps e 300Mbps (teoriche!)

Stazioni base danno luogo a hotspot: uno o pi access point (AP) interconnessi

Un AP consente l'accesso tra una rete cablata e una rete radio: Wireless LAN (WLAN)

Un dispositivo WLAN pu comportarsi
da router, AP e pu integrare servizi:
ad esempio DHCP, NAT, DNS; pu
integrare un modem ADSL

Rischio: monitoraggio traffico di rete

Le informazioni circolanti in una WLAN sono molto pi semplici da captare rispetto a una rete cablata

Esistono sistemi di analisi dei pacchettiCommerciali: AiroPeek, AirMagnet, ...

Open source: Kismet, NetStumbler, Inssider, ...

In un router/AP appena acquistato non di solito configurata protezione per funzionare da subito

Dopo l'installazione, circa il 30%
continua a essere non protetto

Wardriving & Warchalking

Rischio: accesso non autorizzato

Una WLAN non protetta a portata di intruso come una casa con porte e finestre spalancate

Anche utilizzando firewall, si comunque responsabili per l'utilizzo da parte di terzi della propria WLAN (legge 196/03 sulla Privacy e Decreto Pisanu)

Il fattore umano il pi
difficile da controllare:
qualcuno potrebbe porre
un AP sulla rete aziendale

La sicurezza un
processo, non un
prodotto (B. Schneier)

Rischio: Man in the Middle (1)

Gli AP trasmettono il beacon: SSID, canale, ...

Il malintenzionato si frappone fra l'utente ignaro e l'AP, simulando di essere quest'ultimo

Rischio: Man in the Middle (2)

Sfrutta una vulnerabilit del protocollo ARP, che consente di risalire all'indirizzo fisico (MAC) noto l'indirizzo IP: filtrarli NON una soluzione!

Rischio: Denial of Service (1)

Attacco a forza bruta: una grande quantit di pacchetti esterni paralizza il traffico di rete

Rischio: Denial of Service (2)

Disturbo diretto dei segnali radio: potrebbe anche non essere intenzionale (Bluetooth, forno a microonde, ...)

I disturbi possono essere triangolati

Contromisura: crittografia (1)

Mai i pacchetti devono transitare in chiaro

Wired Equivalent Privacy (WEP):
si pu compromettere in minuti/ore
in funzione del traffico carpito; chiave
simmetrica, tipicamente da 128 o 256 bit
demo crack dell'FBI nel 2005, difetti gi noti dal 2001

Wi-Fi Protected Access (WPA): versione ridotta di 802.11i, che pu cambiare le chiavi ogni 10000 pacchetti con il protocollo TKIP e pu criptare con l'algoritmo AES; la versione Enterprise usa RADIUS
decrittati pacchetti corti da Tews e Beck (11/2008)

Usate chiavi di almeno 20 caratteri casuali

Contromisura: crittografia (2)

WPA2: implementazione completa di 802.11i, AES obbligatorio, per i dispositivi Wi-Fi dal 2006; autenticazione con EAP

Extensible Authentication Protocol (EAP): server di autenticazione
centralizzato;
varie versioni
(EAP-TLS, LEAP, ...)

Altre soluzioni: IPSec
o SSH

Contromisura: autenticazione
degli accessi (1)

L'autenticazione l'operazione
che consente di verificare le
identit di utente e dispositivo

Lo standard 802.11 prevede un controllo banale, basato sul SSID propagato periodicamente dall'AP

Con WEP si ha solo identicazione dell'interfaccia WLAN verso l'AP, favorendo gli attacchi Man in the Middle

Contromisura: autenticazione
degli accessi (2)

Filtri sui MAC: le interfacce WLAN
hanno la possibilit di configurarli e
i MAC non transitano crittografati

Una soluzione valida prevede l'utilizzo della crittografia a chiave asimmetrica (pubblica/privata)

IEEE 802.1x offre la soluzione pi completa e versatile per l'autenticazione, basata su RADIUS, in associazione con un tipo di EAP

Contromisura: progettazione accurata della rete (1)

Gli AP non dovrebbero essere facilmente accessibili: ad esempio, in un controsoffitto

I segnali radio non dovrebbero estendersi fino a zone aziendali ove
non ci sia controllo
degli accessi
(potenza dell'AP)

Idealmente, la zona
di propagazione
schermata

Contromisura: progettazione accurata della rete (2)

Gli utenti WLAN dovrebbero essere all'esterno di un firewall (DMZ): accederebbero alla LAN con VPN

Contromisura: norme sicurezza (1)

Utilizzare sempre la crittografia,
al minimo WPA, con chiavi >= 128 bit

Disabilitare il broadcast dell'SSID

Cambiare SSID e tutti i parametri di default

Se sono connessi pochi PC (fissi):Disabilitare il DHCP

Abilitare il filtro sugli indirizzi fisici (MAC)

Audit continuo: ricerca di falle nella WLAN, per AP non autorizzati (intercettazione)

Penetration test: gli strumenti da usare solo gli stessi dei malintenzionati

Contromisura: norme sicurezza (2)

Gli AP sono computer!Aggiornamento dei firmware

Disabilitare le porte console

Utilizzo di password
complesse, cambiate
spesso

Una WLAN non fidata: trattarla da DMZ

Porre sensori di rilevamento delle intrusioni in rete

Usare sempre il firewall, abilitando solo le porte che realmente servono

Se l'AP ha la possibilit di log, esaminarli spesso

Se non si usa Wi-Fi, spegnete la parte radio!!!

Altre reti: Bluetooth

Protocollo di comunicazione per le WPANClasse 1: ~100m

Classe 2: ~10m

Classe 3: ~1m

Un dispositivo pu controllarne altri 8 (piconet)

Prima di Bluetooth 2.1 la criptazione non era richiesta; inoltre debole

La versione 3.0 pu usare Wi-Fi per trasportare dati ad alta velocit

Disabilitate Bluetooth se non lo utilizzate!!!

I segnali possono essere propagati fino a un paio di km con antenne direzionali e amplificatori

Altre reti: Ultra-wideband

Certified Wireless USB pu trasmettere dati fino a ~10m; utilizza la tecnologia UWB

Al crescere della frequenza utilizzata, le pareti delle stanze diventano bloccanti: analogamente per Wi-Fi 802.11n

WiMedia Alliance, promotrice di UWB, sta trasferendo le sue risorse ai gruppi d'interesse Bluetooth, W-USB e USB Implementers Forum

W-USB non ha molto supporto commerciale

Altre reti: WiMAX

Mira a sostituire il cablaggio nell'ultimo miglio: potrebbe affiancare le normali reti cellulari

Gi utilizzato per situazioni di emergenza umanitaria: in Indonesia e per l'uragano Katrina

In teoria, la versione fissa di WiMAX, pu comunicare fino a 50km; OPPURE fino a 70Mbps (tipico 40Mbps)

Valgono tutte le raccomandazioni viste prima: se parlate con il vicino di casa, fatelo in codice!

Wireless dove non penseresti

Alcuni pacemaker sono
controllabili via radio

Gli operatori sanitari possono
scaricare dati statistici e personali

In pratica, tali canali radio non sono protetti

Un attaccante, facendo il reverse engineering del protocollo, pu persino uccidere il portatore del pacemaker con una scarica ad alta tensione

Tutti i dispositivi devono essere progettati con la sicurezza in mente, non pennellarla sopra dopo!

Grazie!

Domande alle quali sappiamo rispondere?

Commissione Ingegneria dell'Informazione

2009 D. Gagliardi e A. Tringali