La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La sicurezza delle reti Wireless. Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione.

Presentazioni simili


Presentazione sul tema: "La sicurezza delle reti Wireless. Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione."— Transcript della presentazione:

1 La sicurezza delle reti Wireless

2 Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione wireless sicura Possibili scenari di configurazione Progettazione della configurazione ottimale dei componenti

3 Quando si progetta la sicurezza per una rete wireless, considerare : Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dellinfrastruttura Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dellinfrastruttura Perchè rete wireless sicura?

4 Minacce alle reti wireless Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per captare SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti home-wireless non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate) Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per captare SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti home-wireless non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)

5 Gli standard wireless StandardDescrizione Specifica base che definisce i concetti di trasmissione per le reti wireless a Velocità di trasmissione fino a 54 Mbps Range di frequenza 5 Ghz Ottima velocità, poche interferenze, non compatibile b Velocità di trasmissione fino a 11 Mbps Range di frequenza 2,4 Ghz Minor velocità, possibili interferenze, basso costo g Velocità di trasmissione fino a 54 Mbps Range di frequenza 2,4 Ghz Ottima velocità, possibili interferenze, compatibile.11b i Stabilisce processi standard di autenticazione e crittazione sulle reti wireless 802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico

6 Confidenzialità con WEP Protocollo progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!) Crittazione dei dati Integrità dei dati Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2 Oggi si usano 2 standard WEP : Fornisce le seguenti caratteristiche crittografiche:

7 Confidenzialità con WPA WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo replay Operano a livello MAC (Media Access Control)

8 Autenticazione 802.1X Opzioni di autenticazione Scegliere la soluzione migliore Come lavora 802.1X con PEAP e password Come lavora 802.1X con i certificati Requisiti client, server e hardware per implementare 802.1X

9 Opzioni di autenticazione Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK) Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK)

10 La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per lautenticazione dei client Password usate per lautenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre- Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) NessunoNOSI Usa la chiave di crittazione WPA per l autenticazione alla rete WPA PEAP + password (PEAP-MS- CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS NO (ma almeno un certificato deve essere rilasciato per validare il server IAS) SI WPA o chiave WEP dinamica Certificati (EAP- TLS) Aziende medio/grandi Internet Authentication Services (IAS) Servizi Certificati SINO (possibilita di modifica, inserendo la richiesta di password) WPA o chiave WEP dinamica

11 Come lavora 802.1X con PEAP e password Wireless ClientRADIUS (IAS) 1 1 Client Connect Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination Key Distribution Authorization WLAN Encryption Internal Network

12 Come lavora 802.1X con EAP-TLS Wireless Client RADIUS (IAS) 1 1 Certificate Enrollment Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination Key Distribution Authorization WLAN Encryption Internal Network Certification Authority 6 6

13 Requisiti per 802.1X ComponentiRequisiti Client computers Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati Necessari Potrebbero anche non essere Microsoft Wireless access points Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura Active Directory, DNS, DHCP

14 Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Laccess point e il server RADIUS avranno una shared secret per autenticarsi lun con laltro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication)

15 Componenti richiesti per 802.1X con EAP-TLS ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Laccess point e il server RADIUS avranno una shared secret per autenticarsi lun con laltro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication)

16 Progettare la PKI Define linfrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dellazienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare lauto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script) Define linfrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dellazienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare lauto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)

17 Implementare RADIUS (IAS) Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando netsh ras add registeredserver Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno nativo Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando netsh ras add registeredserver Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno nativo Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS

18 Configurare gli Access Point Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il SSID broadcast Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS) Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il SSID broadcast Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)

19 Configurare le Remote Access Policy su IAS Configurare le Conditions NAS-Port-Type impostato su Wireless Configurare eventuali restrizioni di gruppo e/o orarie Configurare le Permissions Tipicamente impostare su Grant access Configurare il Profile Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni Configurare le Conditions NAS-Port-Type impostato su Wireless Configurare eventuali restrizioni di gruppo e/o orarie Configurare le Permissions Tipicamente impostare su Grant access Configurare il Profile Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni

20 Controllare laccesso WLAN con i gruppi di sicurezza Esempi di gruppoMembri del gruppo Accesso wirelessUtenti wireless Computer wireless Utenti wireless{utenti che lavorano su pc wireless} Computer wireless{computer che hanno una scheda di rete wireless} IAS permette di controllare laccesso alla rete wireless usando i gruppi di sicurezza di Active Directory, linkati a specifiche remote access policy

21 Configurare i client wireless Tramite Group Policy E opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le Wireless Network Policy che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) The key is provided automatically (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet) Tramite Group Policy E opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le Wireless Network Policy che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) The key is provided automatically (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)

22 Informazioni aggiuntive Dove trovare risorse: Securing Wireless LANs with Certificate Services Security Wireless LANs with PEAP and Passwords peap_0.mspx Security Guidance Center: Ultime novità sul wireless in Windows XP SP2 e Windows server 2003 Release 2


Scaricare ppt "La sicurezza delle reti Wireless. Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione."

Presentazioni simili


Annunci Google