La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Management Consultants Nolan, Norton Italia Sicurezza nel wireless e interoperabilità Lecce, 21 maggio 2004.

Presentazioni simili


Presentazione sul tema: "Management Consultants Nolan, Norton Italia Sicurezza nel wireless e interoperabilità Lecce, 21 maggio 2004."— Transcript della presentazione:

1 Management Consultants Nolan, Norton Italia Sicurezza nel wireless e interoperabilità Lecce, 21 maggio 2004

2 Pag.2 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Wireless? Vascello Elettra, primi del 900

3 Pag.3 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Principali scenari dadozione del wireless TACS GSM UMTS WiFi WLL GPRS/ EDGE UHF/ VHF LASER SATELLITE UHF/ VHF PONTI RADIO (MICROONDE) RETE DI ACCESSO RETE DI TRASPORTO WiFi INFRAROSSO BLUETOOTH UHF/ VHF UTENTE

4 Pag.4 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Caratteristiche delle piattaforme wireless (trasmissione dati) Le soluzioni wireless oggi disponibili si differenziano sensibilmente per: tecnologia, area di copertura, capacità di banda, livello di maturità tecnico/ commerciale.

5 Pag.5 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Considerazioni introduttive sui sistemi wireless Lato utente, il wireless è diventata la soluzione tecnologica abilitante per le principali tendenze evolutive dei servizi: Convergenza voce-dati Multimedia (messaggi, videoconferenza, videochiamate) Mobilità Lato sistema (operatori, infrastruttura) questo ha comportato: Supporto di servizi diversi con requisiti distinti sulla stessa infrastruttura Integrazione di reti un tempo distinte (Apertura delle reti a livello di sistema) Incremento delle interdipendenze tra le reti Maggiore complessità di gestione del mondo delle comunicazioni Integrazione di molteplici tecnologie di accesso (Apertura delle reti a livello di utente e di accesso)

6 Pag.6 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Considerazioni introduttive sulla sicurezza dei sistemi wireless I sistemi wireless presentano vulnerabilità differenti. Questo dipende essenzialmente da: Caratteristiche tecnologiche Campo/ settore dadozione Tipologia, caratteristiche e numerosità dellutenza Il rischio stimabile per ciascun sistema varia con il modello di integrazione e la funzione svolta in ambiti più complessi e/ o strutturati: alle piattaforme utilizzate come soluzioni di nicchia per impieghi speciali (ad esempio radio VHF o telefoni satellitari) e isolate dal resto del mondo delle comunicazioni si contrappongono le WLAN pubbliche integrate in Internet sono ormai numerose le soluzioni/ i device wireless con diffusione capillare (milioni di esemplari) nella società: telefoni mobili (GSM, GPRS, UMTS, Bluetooth), palmari (GSM, Bluetooth, WiFi, infrarossi), laptop (infrarossi, WiFi), ecc.

7 Pag.7 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Considerazioni introduttive sulla sicurezza dei sistemi wireless I principali punti dattenzione riguardanti la sicurezza, collegati al processo di innovazione nelle comunicazioni relativo alle piattaforme wireless, sono tuttaltro che trascurabili UTENTEOPERATORE Riservatezza della comunicazione voce Riservatezza della comunicazione dati (streaming) Integrità della comunicazione dati Gestione appropriata di nuovi dati relativi ai clienti (ad es. per Location Based Services) Garanzia della disponibilità delle reti di accesso Garanzia della sicurezza delle reti di accesso (monitoraggio, intervento) Riservatezza di dati relativi alla persona Riservatezza della comunicazione dati (transazioni) Autenticazione degli utenti wireless … … Disponibilità dei terminali

8 Pag.8 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Principali scenari dadozione del wireless Fino a oggi la sicurezza aveva declinazioni molto differenti, in funzione delle caratteristiche delle informazioni trasferite (voce o dati) Il trend di convergenza voce-dati e di integrazione su una unica infrastruttura (ad es. ToIP su WiFi) porta allunificazione delle tematiche Ai fini della sicurezza complessiva è determinante il modello di integrazione del collegamento wireless considerato nel sistema esteso UTENTE RETE DI ACCESSO RETE DI TRASPORTO SITO UTENTE RETE DI ACCESSO VOCE DATI

9 Pag.9 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Alcuni situazioni comuni relative alla sicurezza nel wireless WEP disabilitato Autenticazione utenti disabilitata Indirizzi MAC non utilizzati Mancata adozione di tunnel Impostazioni di sicurezza dei device disabilitate o impostate a livello di default Password gestite non correttamente Device non protetti da password opportune Password di servizi speciali lasciate a valori di default Canali di comunicazione di livello 2/ 3 OSI Protezione e monitoraggio costante di apparati e collegamenti RISCHIO ACCETTATO?

10 Pag.10 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Una possibile mappatura delle tre dimensioni (RID) sui layer ISO/ OSI per le comunicazioni wireless LIVELLO 7 LIVELLO 6 LIVELLO 5 LIVELLO 4 LIVELLO 3 LIVELLO 2 LIVELLO 1 LIVELLI ISO-OSI DISPONIBILITA INTEGRITA RISERVATEZZA APPLICAZIONI S/W WIRELESS TCP IP WIRELESS LINK PROTOCOL Livello fisico (Modulazione SS) SISTEMI WIRELESS

11 Pag.11 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Il mezzo trasmissivo, condiviso e non delimitato fisicamente, fa sì che i sistemi wireless presentino una naturale esposizione alla compromissione di due delle tre dimensioni fondamentali della sicurezza delle informazioni INTEGRITA RISERVATEZZA Intercettazione delle comunicazioni E sufficiente un sistema di ricezione intruso simile a quello ricevente DISPONIBILITA Indisponibilità totale causata da interferenza spuria o intenzionale nella gamma di frequenza dinteresse Caratteristiche intrinseche delle tecnologie wireless e implicazioni sulla sicurezza

12 Pag.12 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Evoluzione dellambiente wireless e delle minacce Protecting against difficult attacks makes no sense if there is no protection against the easy forms of attack (Niels Ferguson e Bruce Schneier, A Cryptographic evaluation of IPSec) Recenti ricerche evidenziano come la grande maggioranza dei device mobili (wireless) non dispongono di protezioni per cautelarsi dagli hacker e dallutilizzo non autorizzato UTENTE RETE DI ACCESSO RETE DI TRASPORTO SITO UTENTE I device wireless (più in generale mobili) diventano insidiosi trampolini per penetrare nelle reti delle organizzazioni IL FATTORE UMANO ASSUME IMPORTANZA ANCORA MAGGIORE, NON ESSENDO PIU CONFINATO IN PERIMETRI (AZIENDALI) TRUSTED MOBILITA ATTIVITA DA E PRESSO SITI PUBBLICI (UNTRUSTED) ACCESSO NON AUTORIZZATO AI DEVICE (FURTO/ SMARRIMENTO)

13 Pag.13 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Wireless LAN: la famiglia di standard È allo studio dellIEEE dal 1990, lo standard b risale al 1997 Definisce le caratteristiche di un collegamento radio a breve-media distanza (10 – 100 m.) basato su CSMA/ CA (Carrier Sense Multiple Access with Collision Avoidance) La comunicazione avviene tra device e un Access Point Funziona nella banda di frequenze dei 2.4 e 5.4 Ghz Ha un bitrate massimo nominale di 108 Mbps CSMA/ CA è un protocollo di Livello 2 (pila ISO/ OSI) che prevede primitive di gestione dellaccesso dei device tramite linstaurazione di associazioni autenticate Ladozione dello standard permette linteroperabilità dei sistemi di produttori differenti, anche se le implementazione proprietarie, soprattutto delle funzionalità di sicurezza, hanno un peso significativo

14 Pag.14 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Caratteristiche principali di Implicazioni relative alla sicurezza Allaumentare della frequenza diminuisce la propagazione attraverso le infrastrutture: a (5 GHz) riduce le possibilità di eavesdropping Allaumentare della frequenza gli attacchi che richiedono la raccolta di dati sono più rapidi Standard Copertura tipica (raggio in metri) Portante Velocità (Mbps) Tecnica di modulazione Note a15 – GHz6 – 54 Orthogonal Frequency Division Multiplexing (OFDM) b20 – GHz1 – 11 Direct Sequence Spread Spectrum (DSSS) Compatibile con g Usa tre canali condivisi anche da sistemi Bluetooth, Cordless e micronde (forni) g GHz11 – 54 Orthogonal Frequency Division Multiplexing (OFDM) Compatibile con a Bluetooth GHzMax 1 Frequency Hopping Spread Spectrum (FHSS)

15 Pag.15 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Caratteristiche principali di – Soluzioni di sicurezza Le soluzioni di sicurezza per x sono in costante evoluzione Lobiettivo di riferimento è la definizione e limplementazione di WPA2/ i La molteplicità delle soluzioni implementabili presenta tuttora ricadute significative in termini di interoperabilità WEP MAC Filtering EAP-TLS EAP- TTLS EAP-PEAP i, TKIP & AES i, TKIP & AES ENCRYPTED TUNNEL/ VPN ENCRYPTED TUNNEL/ VPN WPA TKIP EAP-LEAP EAP-MD5 WTLS

16 Pag.16 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Principali tecniche di violazione della riservatezza – MINACCIA REQUISITI PER LATTUAZIONE DELLA MINACCIA CARATTERISTICHE/ RISULTATI ANALISI DEL TRAFFICO Scheda WiFi, applicazione s/w per contare i pacchetti trasmessi e la dimensione. Si possono ottenere informazioni sulla dislocazione fisica degli AP, sulla tipologia (SSID), sui protocolli usati ASCOLTO PASSIVO Scheda WiFi, sniffer Rete ascoltata priva di encryption Utente monitorato con encryption disabilitata Lettura dei dati Informazioni da header TCP/ IP (origine, destinazione, dimensioni, ecc.) ASCOLTO PASSIVO, WEP-CRACKING Scheda WiFi, sniffer Rete ascoltata con WEP abilitato Violazione di WEP possibile entro un massimo di alcune ore, in casi particolari entro alcune decine di minuti ASCOLTO ATTIVO CON PLAIN TEXT NOTO O PARZIALMENTE NOTO Scheda WiFi, sniffer, applicativo s/w per iniezione di pacchetti artefatti Rete ascoltata con WEP abilitato Inoltro della copia di pacchetti a un intruso, a insaputa del trasmittente

17 Pag.17 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Principali tecniche di violazione dellintegrità MINACCIA REQUISITI PER LATTUAZIONE DELLA MINACCIA CARATTERISTICHE/ RISULTATI ACCESSO NON AUTORIZZATO Scheda WiFi, sniffer Configurazione di rete Accesso alla rete Utilizzo non autorizzato delle risorse di rete (ad es. navigazione web) Possibile accesso ai componenti non wireless della rete SESSION HIGH JACKING Scheda WiFi, sniffer Violazione dellintegrità della sessione Lintruso si presenta allAccess Point con lidentità del trasmittente MAN-IN-THE-MIDDLE Scheda WiFi, sniffer VPN (layer 3), IPSEC Lettura di dati privati da una sessione Modifica dei pacchetti di una sessione

18 Pag.18 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Principali tecniche di compromissione della disponibilità MINACCIA REQUISITI PER LATTUAZIONE DELLA MINACCIA CARATTERISTICHE/ RISULTATI INTERFERENZA NELLO SPETTRO DI FREQUENZE Trasmettitore nello spettro di frequenze considerato, sufficientemente potente Impossibilità completa di utilizzo della rete DENIAL OF SERVICE (DOS) Generatore di traffico specifico Sovraccarico degli elementi di rete con traffico di gestione Presenza della portante, ma impossibilità di transito (parziale o completa) per i dati degli utenti agganciati alla rete

19 Pag.19 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Bluetooth È un collegamento radio a breve distanza (10 – 30 m.) intra-device: la comunicazione avviene direttamente tra i singoli device, senza necessità di Access Point Funziona nella banda di frequenze dei 2.4 Ghz Ha un bitrate massimo di 1 Mbps Impiega un frequency hop transceiver per minimizzare fenomeni di interferenza e di attenuazione del segnale È prevista linteroperabilità tra device di produttori differenti per applicazioni specifiche (service/ use case) se i device sono conformi alle specifiche definite dal Bluetooth-SIG Prevede 3 modalità principali di sicurezza: Sicurezza disabilitata Sicurezza a livello di applicazione/ servizio Sicurezza a livello di link (autenticazione con PIN/ indirizzo MAC/ encryption)

20 Pag.20 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Sicurezza e interoperabilità In generale, la rilevanza dellinteroperabilità di apparati/ sistemi diversi in una data realtà è funzione di: necessità di interconnessione con altre realtà necessità di operare con sistemi diversi numerosità dei device che attivi nella realtà specifica Esiste una forte dipendenza tra sicurezza e interoperabilità; lindipendenza da uno standard permette di ottimizzare le funzionalità di sicurezza in funzione dei costi e delle esigenze specifiche In linea di principio, inferiore è il Livello OSI criptato, maggiore è il grado di sicurezza ottenibile. Peraltro, allaumentare del grado di sicurezza garantito dalle soluzioni si evidenziano tipicamente due svantaggi: aumenta la dipendenza da componenti proprietari dei produttori a parità di costi complessivi, diminuiscono le prestazioni dei sistemi

21 Pag.21 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Note conclusive Il considerare la sicurezza in modo puntuale (singolo link, segmento di rete wireless, apparato) e a livello esclusivamente tecnologico ha una validità puntuale che non rispecchia la realtà, caratterizzata da piattaforme di comunicazione complesse e integrate Vale anche per il wireless lasserzione: La sicurezza complessiva è in relazione diretta alla sicurezza del link/ del componente più debole del sistema Con riferimento a quanto esplicitato in precedenza, la rete di accesso e lambito utente sono fondamentali per supportare un modello di sicurezza complessiva

22 Pag.22 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Note conclusive È auspicabile una maggiore consapevolezza di utenti, operatori e produttori, affinché nella catena del valore del wireless non vi sia un anello eccessivamente debole che potrebbe inficiare la sicurezza complessiva Ne consegue un incremento rispetto al passato degli oneri di gestione della sicurezza (wireless) a carico dellutente, variabile in funzione della specifica soluzione tecnologica. Questo permetterebbe di considerare un rischio accettato, e non semplicisticamente un rischio ignorato

23 Pag.23 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Note conclusive Vascello Elettra, primi del 900


Scaricare ppt "Management Consultants Nolan, Norton Italia Sicurezza nel wireless e interoperabilità Lecce, 21 maggio 2004."

Presentazioni simili


Annunci Google