La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La (in)sicurezza delle reti Wireless Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEH.

Presentazioni simili


Presentazione sul tema: "La (in)sicurezza delle reti Wireless Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEH."— Transcript della presentazione:

1 La (in)sicurezza delle reti Wireless Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEH

2 Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione wireless sicura Possibili scenari di configurazione Progettazione della configurazione ottimale dei componenti

3 Quando si progetta la sicurezza per una rete wireless, considerare : Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dellinfrastruttura Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dellinfrastruttura Perchè rete wireless sicura?

4 Minacce alle reti wireless Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per captare SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti home-wireless non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per captare SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti home-wireless non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)

5 Configurazione di Default War Driving / War Chalking

6 Linux Tools AirCrackAirSnarfAirSnortAsleapAuditor**DriftNetWireshark** Fake AP HotSpotterKismet**PrismdumpTHC-WardriveWarLinuxWaveStumblerWEP-AttackWEP-CrackWhoppix**Wifi-Scanner WPA Cracker

7 Windows Tools AerosolAirCrackAPSniffAPToolsWireshark**Netstumbler**StreetStumbler THC Scan WebStumblerWinDumpWlan-Expert

8 Attacco ad una rete wireless Tools utilizzati: Portatile con scheda b/g GPSKismetAireplayAirdumpAircrackWireshark Automobile Automobile

9 I nostri tools

10 Step1: Trovare la rete da attaccare Per prima cosa abbiamo usato Kismet per trovare una rete wireless disponibile Abbiamo cercato la rete col segnale più forte Abbiamo mappato la posizione degli access point usando il GPS Netstumbler per Windows è capace di mappare automaticamente la posizione dellaccess point grazie alla funzionalità GPS integrata

11 WarDriving

12 Netstumbler

13 Step 2: Scegliere la rete da attaccare Abbiamo scelto il nostro target… Kismet ci indica se la rete è protetta o meno (encrypted) In più usiamo WireShark per avere altre informazioni sulla rete

14 Step3: Analisi della rete WLAN La WLAN ha il SSID visibile Il SSID è universus wlan Il SSID è universus wlan Ci sono diversi access point Ci sono diversi utenti collegati Open authentication method La WLAN è cifrata con una chiave WEP a 104bit La WLAN non sta utilizzando il protocollo 802.1x

15 Step4: Cracking the WEP key Settiamo il driver della nostra scheda di rete wireless in Monitor Mode Tentiamo un attacco di ARP Injection con Aireplay, per velocizzare il traffico e collezionare in poco tempo il maggior numero di IV (Initialization Vector) Catturiamo i pacchetti con Airdump Dopo un pò di tempo Aircrack riesce a trovare la chiave WEP della rete

16 Step5: Sniffing Una volta trovata la chiave WEP e configurato la scheda di rete, ci associamo all AP. Ci viene fornito un indirizzo ip ed entriamo nella WLAN Tuttavia nella rete è presente un proxy con una pagina di autenticazione web protetta da SSL. Non riusciamo ad entrare nella rete e a navigare in Internet Cominciamo a sniffare il traffico con Wireshark

17 Wireshark

18 Step6: Sniffing continued… In una WLAN tutti i pc collegati sono peer, quindi è facile sniffare tutti i client connessi Nel giro di unora riusciamo a sniffare il traffico SMTP, che è in chiaro, e ci procuriamo le credenziali di accesso di un paio di utenti

19 Cosa siamo riusciti ad ottenere? Accesso completo alla WLAN Accesso completo alla LAN interna dellazienda Accesso ad Internet Accesso ai server utilizzando le credenziali sniffate degli utenti

20 Altre modalità di accesso Invece di sniffare un login valido, potevamo usare un exploit per tentare di trovare una vulnerabilità nota del proxy server, che non fosse già stata riparata Potevamo individuare IP e MAC address di un utente connesso e farlo disconnettere dalla rete, in modo da poter utilizzare la sua sessione di lavoro Questi metodi sono rischiosi perchè avremmo potuto essere individuati

21 In ogni caso…la rete è compromessa! La maggior parte delle reti wireless sono molto meno sicure dellesempio riportato Avere una rete wireless significa mettere unpunto rete fuori dalla propria azienda, a disposizione di tutti, se non adottiamo le dovute precauzioni

22 FARE WARDRIVING SIGNIFICA VIOLARE LA LEGGE ITALIANA Art. 615 ter Accesso abusivo ad un sistema informatico o telematico Art. 617 quater Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Art. 617 quinquies Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche

23 Gli standard wireless StandardDescrizione Specifica base che definisce i concetti di trasmissione per le reti wireless a Velocità di trasmissione fino a 54 Mbps Range di frequenza 5 Ghz Ottima velocità, poche interferenze, non compatibile b Velocità di trasmissione fino a 11 Mbps Range di frequenza 2,4 Ghz Minor velocità, possibili interferenze, basso costo g Velocità di trasmissione fino a 54 Mbps Range di frequenza 2,4 Ghz Ottima velocità, possibili interferenze, compatibile.11b i Stabilisce processi standard di autenticazione e crittazione sulle reti wireless 802.1X 802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico

24 WEP Protocollo progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!) Crittazione dei dati Integrità dei dati Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2 Oggi si usano 2 standard WEP : Fornisce le seguenti caratteristiche crittografiche:

25 WEP Autenticazione e Crittografia Lavora al livello data link Richiede la stessa secret key condivisa tra tutti i sistemi in comunicazione (PC e AP) Fornisce Autenticazione e Crittografia Autenticazione generata utilizzando cifratura Challenge/Response Autenticazione per device e non per utente

26 WEP Metodi di autenticazione Open authentication: Consente ad ogni device di autenticarsi e quindi di comunicare con laccess point. Usando questa autenticazione ogni device wireless può autenticarsi con AP, ma la comunicazione avviene solo se le chiavi WEP coincidono.

27 open system authentication Identificazione basata sullo scambio di due indirizzi MAC Open System Authentication Request Open System Authentication Response Wireless client Wireless AP

28 WEP Metodi di autenticazione Shared key: LAP invia un testo di challenge in chiaro ad ogni device che cerca di comunicare Il device che richiede lautenticazione cripta il testo di challenge e lo invia allAP Se il testo di challenge è criptato correttamente lAP ritiene autenticato il device Cè un problema fondamentale: Testo in chiaro e testo criptato sono entrambi disponibili agli attaccanti

29 shared key authentication Scambio di 4 messaggi che usano una chiave segreta condivisa Shared Key Authentication Request Shared Key Authentication Response (w/challenge text) Shared Key Authentication Request (w/encrypted challenge) Shared Key Authentication ResponseWireless clientWireless AP Non raccomandato E possibile effettuare attacchi di brute force per individuare la chiave segreta condivisa

30 Vulnerabilità di WEP Non è stato progettato pensando alla Sicurezza ! Buone intenzioni Usa una secret key Checksum cifrato (con shared key) per garantire lintegrità dei dati Usa lalgoritmo di cifratura RC4 Però La chiave è condivisa Initialization Vector (IV) usato per cifratura è di soli 24 bit (RC4 consente IV di bit) Nessuna gestione della chiave Rende il protocollo vulnerabile (eavesdropping & tampering) Possibili compromissione di confidentiality e data integrity Scarso controllo di accesso.

31 Vulnerabilità del WEP Può essere decifrato sia nella variante a 64 bit che in quella a 128bit (tool disponibili in Internet es. Airsnort) Le chiavi WEP statiche sono ottenibili con alcune migliaia di Pacchetti Deboli In base al traffico di rete, possono essere necessarie da poche ore a alcuni giorni Schede WLAN più recenti vengono progettate per minimizzare la generazione di Pacchetti Deboli Altri attacchi: WEP Dictionary Attack AP abusivi Non cè mutua autenticazione. Un AP autentica un client ma i client non autenticano lAP Accessi non autorizzati Sono autenticati solo i device (gli utenti no)

32 Vulnerabilità di WEP Possibili alternative a WEP? Soluzioni Alternative 802.1xAggiunge a WEP le caratteristiche del protocollo 802.1x (meccanismi di autenticazione e autorizzazione, rotazione della chiave WEP) per mitigarne le principali debolezze e per usare un server RADIUS enterprise centralizzando i directory service. WPAWPA risolve i problemi di WEP utilizzando una tecnica di cifratura complessa (TKIP: temporal key integrity protocol). Ci saranno ulteriori miglioramenti con lo standard i. VPNVPN, creano un tunnel attraverso Internet. Sono usate nellaccesso dial-up da remoto. La tecnologia VPN può utilizzare una cifratura forte e può anche fornire lautenticazione per utenti e terminali wireless utilizzando RADIUS. Combinazione di tecnologie Combinazione delle tecnologie esistenti.

33 802.11i Emendamento creato appositamente per la sicurezza Concetto critico di Robust Security Network (RSN) Una WLAN è considerata RSN se tutti i dispostivivi usano la Robust Security Network Authentication (RSNA)

34 Wi-Fi Protected Access (WPA) WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo replay Operano a livello MAC (Media Access Control)

35 Wi-Fi Protected Access (WPA) Quick overview Standard interim su cui si sono accordati i wireless vendors Contiene un sottoinsieme delle feature di sicurezza che sono nello standard i (è già da tempo disponibile)

36 Wi-Fi Protected Access (WPA) Caratteristiche di sicurezza Autenticazione Autenticazione 802.1x è obbligatoria in WPA (EAP o preshared key in SOHO) Cifratura e data integrity Temporal Key Integrity Protocol (TKIP) rimpiazza WEP per alcune operazioni Nuovo algoritmo di message integrity check (MIC) che utilizza il Michael algorithm WPA definisce luso di Advanced Encryption Standard (AES) come un sostituto opzionale per la cifratura WEP (dipende dalle funzionalità hardware) WPA risolve molte delle debolezze di WEP

37 Wi-Fi Protected Access (WPA) Disponibilità per la piattaforma Windows Windows Vista Windows Server 2008 Windows XP Service Pack 2 Service Pack 1 con il Wireless Update Rollup Package per Windows XP Windows Server 2003 Service Pack 1 Richiede la modifica del firmware sulle schede WLAN e sugli Access Point

38 WPA2 Caratteristiche di sicurezza Rispetta lo standard IEEE i WPA2 Enterprise Usa 802.1X and EAP per lautenticazione WPA2 Personal (WPA2-PSK) Usa una preshared key per lautenticazione Encryption methods TKIPAES

39 WPA2 Attualmente è il più sicuro Richiede un aggiornamento del firmware Nelle autenticazioni 802.1x usa una cache che gli permette di utilizzare il FAST ROAMING (PMK cache, Pairwise Master Key) AES è obbligatorio (vengono cifrati 128 bit di dati alla volta con una chiave di cifratura a 128 bit!)

40 Wi-Fi Protected Access 2 (WPA2) Disponibilità per la piattaforma Windows Windows Vista Windows Server 2008 Windows XP Service Pack 2 con il Wireless Client Update per Windows XP Windows Server 2003 Service Pack 2 Richiede la modifica del firmware sulle schede WLAN e sugli Access Point

41 Protocollo IEEE 802.1X

42 Standard IEEE per reti Locali e metropolitane che utilizza Port-Based Network Access Control Approvato da IEEE-SA Standards Board il 14 Giugno 2001 (http://standards.ieee.org/getieee802/download/802.1X-2001.pdf) Approvato da American National Standards Institute (ANSI) il 25 Ottobre 2001

43 Protocollo IEEE 802.1X Definisce un meccanismo di Autenticazione e Autorizzazione per Port-based network devices (IEEE 802 LAN) Lobiettivo è impedire laccesso alle porte da parte dei device se il processo di Autenticazione e Autorizzazione fallisce Si basa su tecnologie esistenti: Extensible Authentication Protocol (EAP) Remote Authentication Dial-In User Service (RADIUS)

44 Protocollo IEEE 802.1X Si applica a tutte le tecnologie IEEE 802 (anche Ethernet) Non è specifico per reti wireless Si applica al Layer 2 (ISO/OSI): Data Link Layer Usa linfrastruttura di rete, di switching e di routing esistente Concetti sviluppati da 3Com, HP e Microsoft

45 Protocollo IEEE 802.1X Cosè la Network Access Authentication? Un meccanismo tramite cui laccesso alla rete è ristretto alle entità autorizzate Usa EAP per trasferire le informazioni di autenticazione tra il client e il server di autenticazione Dopo autenticazione, la sessione deve essere autorizzata

46 Protocollo IEEE 802.1X Authenticator (es AP) Supplicant Rete aziendaleRete Semi-Pubblica Authentication Server (es. RADIUS) EAP Over Wireless (EAPOW) EAP over LAN (EAPOL) EAP Over RADIUS Supplicant Non-802.1X Supplicant: entità (client/user) che viene autenticata dallAuthenticator Authenticator: entità (NAS, AP) che facilità lautenticazione di altre entità Authentication Server: entità (RADIUS Server) che fornisce un servizio di autenticazione a un autenticatore

47 Protocollo IEEE 802.1X Un passo avanti RADIUS: Remote Authentication Dial-In User Service PKI: Public Extensible Key Infrastructure EAP: Extensible Authentication Protocol PEAP: Protected Extensible Authentication Protocol Active Directory: per migliorare gestione, affidabilità e sicurezza Per una implementazione sicura con IEEE , si usano:

48 RADIUS Remote Authentication Dial-In User Service IAS Internet Authentication Service

49 RADIUS Overview Remote Authentication Dial-In User Service (RADIUS) RFCs 2865 e 2866 Fornisce Autenticazione, Autorizzazione e Accounting centralizzati (AAA) per: Access Point (AP) Wireless Authenticating Ethernet switch Virtual private network (VPN) server Altri Network Access Server (eg: NAS for PSTN)

50 RADIUS Chiavi di Cifratura RADIUS genera chiavi di sessione per-user Usate per la cifratura WEP e WPA RADIUS server manda la chiave di sessione allAccess Point (cifrata con lo shared secret AP - RADIUS) Access point ha una global WEP key Usata durante lautenticazione del client allAP Inviata nel messaggio EAPOW-key Cifrata con la chiave di sessione Le chiavi sono rigenerate quando… La chiave scade (60 minuti di default per WEP e 8 ore per WPA) Il Client si connette a un altro AP

51 IAS Overview Internet Authentication Service Versione Microsoft di RADIUS Fornito con Windows Server Family Usa Active Directory come database degli account utente Usa le credenziali degli utenti di Dominio per lautenticazione Per lAutorizzazione usa le proprietà di dial-in dellutente e le remote access policy Supporto per policy sofisticate basate su gruppi, access medium, data/ora, ecc.

52 IAS Remote Access Policy Insieme ordinato di regole Definiscono le regole di autorizzazione delle connessioni Basate su: Condizioni Impostazioni del Profilo Profilo e proprietà di dial-in dellaccount definiscono le restrizioni della connessione

53 IAS Autorizzazioni per Wireless Remote access permission per gli account utente Remote access policy per tipo di connessione wireless e per gruppo Condizioni NAS-Port-Type=Wireless-IEEE Windows-Groups membership (eg = WirelessUsers) Impostazioni del Profilo Cifratura Protocollo di autenticazione (EAP-TLS o PEAP)

54 IAS Infrastruttura generale AP Wireless Server VPN Server Dial-up Proxy IAS Client Server daccesso Protocollo RADIUS Server IAS Active Directory

55 EAP Extensible Authentication Protocol

56 EAP Overview Framework per specificare i metodi di autenticazione Permette di scegliere i metodi di autenticazione Non ha sicurezza built-in I metodi di autenticazione devono incorporare metodologie di sicurezza

57 EAP Flusso di Autenticazione Wireless Server RADIUS Messaggio EAP AP Wireless Client Wireless Messaggio RADIUS Conversazione EAP

58 EAP EAP in IEEE 802.1x IEEE 802.1x supporta nativamente MD5- Challenge (CHAP) nellautenticazione EAP MD5 Challenge è vulnerabile agli attacchi a dizionario MD5 challenge NON è appropriato per un accesso wireless sicuro

59 PEAP Protected EAP Metodo di Autenticazione basato su EAP Usa un canale cifrato durante lautenticazione EAP E richiesto un certificato sul server RADIUS (per autenticare il server) Elimina gli attacchi a dizionario off-line contro le password

60 Come lavora 802.1X con PEAP e password Wireless ClientRADIUS (IAS) 1 1 Client Connect Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination Key Distribution Authorization WLAN Encryption Internal Network

61 EAP/TLS Certificato utente Lutente ha il proprio certificato client Logon al Dominio tramite il certificato (no password) Mutua Autenticazione: RADIUS Client Necessaria una PKI per gestire i certificati

62 IEEE 802.1X associato a IEEE

63 802.1X Over Supplicant (client wireless) Authenticator (Access Point) Authentication Server (Server RADIUS) association EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request EAP-request RADIUS-access-challenge EAP-response (credentials) RADIUS-access-request EAP-success RADIUS-access-accept EAPOW-key (WEP) Accesso bloccato Access allowed

64 IEEE 802.1X protocol Associazione Verso la LAN lAutenticatore ha due porte logiche (controllata e non controllata) Lassociazione avviene inizialmente utilizzando la porta non controllata Deve parlare con lAP e ottenere un indirizzo IP E permesso solo laccesso allAP (porta non controllata) fino a che non si è autenticati con successo AP scarta il traffico non-EAPOL Dopo che la chiave è stata inviata (EAPOW-key), laccesso attraverso lAP è permesso tramite la porta controllata

65 Prima dellAutenticazione CA Directory DHCP Wireless client (supplicant) Server RADIUS (AuthN Server) Access Point (Authenticator) Aria Radio Controlled port: impedisce ai client laccesso alla LAN Radio Uncontrolled port: permette allautenticatore di contattare il server di autenticazione

66 Dopo lAutenticazione Wireless client (supplicant) Aria Radio Controlled port: adesso permette al supplicant di accedere alla LAN (DHCP releases an IP address) CA Directory DHCP Server RADIUS (AuthN Server) Access Point (Authenticator)

67 PEAP Windows domain logon User inserisce le proprie credenziali IAS richiede identità client e invia proprio certificato per creazione canale TLS Client requests IP Address DHCP rilascia IP Client invia le credenziali al DC (Kerberos) DC verifica credenziali e invia TGT (Kerberos) Chiave WEP Client invia credenziali proprie e utente su canale TLS AP permette traffico sulla porta controllata Porta controllata Porta non controllata AP permette il traffico sulla porta non controllata IAS DHCP DC Access Point IAS valida utente e computer e quindi invia la chiave di sessione WEP Canale TLS 1. Richiesta di connessione wireless 2. Connessione wireless riuscita

68 IEEE 802.1X protocol Miglioramenti nella sicurezza Cosa aggiunge 802.1x alla sicurezza WEP: Autentica utenti e/o computer prima che il client ottenga un indirizzo IP valido Gestisce le chiavi che possono essere usate per fornire autenticazione, integrità e confidenzialità per-packet Effettua frequenti scambi di chiavi e chiavi differenti sono usate per ogni client

69 IEEE 802.1X con PEAP Hacker Challenge 1/3 Gli attacchi per decifrare la chiave WEP (Spoofing Attack e Sniffing) sono mitigati da 802.1x e non possono essere più usati Di cosa ha bisogno un hacker per accedere a una rete protetta da 802.1x con PEAP: Certificato della Root CA usata dal server RADIUS Certificato della Root CA usata dal server RADIUS Non è obbligatorio se il client sceglie di non validare il certificato server Non è obbligatorio se il client sceglie di non validare il certificato server

70 IEEE 802.1X con PEAP Hacker Challenge 2/3 Username e Password di un utente wireless autorizzato Può essere ottenuto con : Chiamata che sembra provenire dall IT Department/Help Desk che richiede username/pwd Falsa mail dall IT/help Desk, modificato che richiede username/pwd, con un indirizzo from intercettato e un reply to modificato SOCIAL ENGINEERING

71 IEEE 802.1X con PEAP Hacker Challenge 3/3 - Esempio Received: from EXMAIL ( ) by mail.azienda.com ( ) id 465FE2CB0054C0FF for Mon, 25 Jun :57: Message-ID: Reply-To: "IT Help Desk" From: "IT Help Desk" To: "Nicola Ferrini" Subject: Modifica Password Sistema Informativo Date: Mon, 25 Jun :57: MIME-Version: 1.0 (omissis....) Con la presente si comunica che a paritre dalla data di domani verranno modificate per ragioni di sicurezza tutte le password di accesso al sistema informativo aziendale. Pertanto si prega di voler comunicare i propri dati di accesso nella forma dominio\nome utente e la relativa password, facendo attenzione a rispettare le maiuscole e le minuscole. Grazie per la collaborazione Monica Spizzico, IT HelpDesk Manager

72 IEEE 802.1X with EAP-TLS Hacker Challenge Di cosa ha bisogno un hacker per accedere a una rete protetta da 802.1x-EAP-TLS 1. Il Certificato Utente (e/o computer) di un utente autorizzato a usare wireless Non è semplice da ottenere con social engineering o altri metodi. La cosa migliore è rubare un laptop! 2. Username e Password per autenticarsi sul laptop per accedere ai certificati nello storage protetto Attacco brute force o social engineering

73 IEEE 802.1X with EAP-TLS Analisi dei rischi Controlli di Sicurezza applicati : Stessi di PEAP con metodo di Autenticazione migliore Autenticazione è fatta utilizzando il certificato utente dello user invece che username/password Certificato può essere salvato in: 1. storage protetto del Computer, a cui può accedere solo lutente dopo che ha fatto logon con Username & Password validi 2. Smart card che deve essere rimossa dal computer e a cui si accede solo digitando il PIN (2 factor authentication)

74 IEEE 802.1x Vulnerabilità non risolte Debolezze di Autenticazione/Cifratura per i pacchetti di gestione (reassociate, disassociate) Altre debolezze di WEP Bit flipping con IV conosciuti (packet spoofing) No IV replay protection Saranno risolti dai nuovi standard: Wi-Fi Protect Access (WPA) e i PEAP user vulnerability Utente usa password deboli e non cè una policy per imporre password sicure

75 IEEE 802.1X protocol Denial of Service messaggi associate/disassociate sono non autenticati e in chiaro Attacker può forgiare messaggi di disassociation causando Denial of Service Tutti i client sono forzati a disassociarsi e riassociarsi, il trasferimento dati è interrotto

76 IEEE 802.1x Disponibilità nella piattaforma Windows Client: Windows XP SP2 Windows Vista Server: Windows Server IAS Windows Server 2008 IAS Backporting a Windows 2000 Client e IAS devono avere SP3 Client e IAS devono avere 802.1x client pack ( KB )

77 DEMO

78 Riassumendo…

79 Opzioni di autenticazione Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS- CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK)

80 La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per lautenticazione dei client Password usate per lautenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre-Shared Keys (WPA- PSK) Small Office/Home Office (SOHO) NessunoNOSI Usa la chiave di crittazione WPA per l autenticazione alla rete WPA PEAP + password (PEAP-MS- CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS NO (ma almeno un certificato deve essere rilasciato per validare il server IAS) SI WPA o chiave WEP dinamica Certificati (EAP-TLS) Aziende medio/grandi Internet Authentication Services (IAS) Servizi Certificati SINO (possibilita di modifica, inserendo la richiesta di password) WPA o chiave WEP dinamica

81 Requisiti per 802.1X Componenti Requisiti Client computers Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificatiNecessari Potrebbero anche non essere Microsoft Wireless access points Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura Active Directory, DNS, DHCP

82 Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Laccess point e il server RADIUS avranno una shared secret per autenticarsi lun con laltro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication)

83 Componenti richiesti per 802.1X con EAP-TLS ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Laccess point e il server RADIUS avranno una shared secret per autenticarsi lun con laltro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication)

84 Progettare la PKI Define linfrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dellazienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare lauto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)

85 Implementare RADIUS (IAS) Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando netsh ras add registeredserver Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno nativo Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS

86 Configurare gli Access Point Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il SSID broadcast Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)

87 Configurare le Remote Access Policy su IAS Configurare le Conditions NAS-Port-Type impostato su Wireless Configurare eventuali restrizioni di gruppo e/o orarie Configurare le Permissions Tipicamente impostare su Grant access Configurare il Profile Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni

88 Controllare laccesso WLAN con i gruppi di sicurezza Esempi di gruppoMembri del gruppo Accesso wirelessUtenti wireless Computer wireless Utenti wireless{utenti che lavorano su pc wireless} Computer wireless{computer che hanno una scheda di rete wireless} IAS permette di controllare laccesso alla rete wireless usando i gruppi di sicurezza di Active Directory, linkati a specifiche remote access policy

89 Configurare i client wireless Tramite Group Policy E opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le Wireless Network Policy che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA- PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) The key is provided automatically (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)

90 Informazioni aggiuntive Dove trovare risorse: Securing Wireless LANs with Certificate Services Security Wireless LANs with PEAP and Passwords peap_0.mspx Security Guidance Center: Ultime novità sul wireless in Windows XP SP2, Windows Vista Windows Server 2003 Release 2


Scaricare ppt "La (in)sicurezza delle reti Wireless Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEH."

Presentazioni simili


Annunci Google