II INFN Security Workshop – Parma, Febbraio 2004 Wireless (in)Security Franco Brasolin Servizio di Calcolo e Reti Sezione INFN di Bologna

II INFN Security Workshop – Parma Febbraio Introduzione Levoluzione della tecnologia Wireless ha portato ad una crescita costante in termini di produttività e facilità di utilizzo: easy-of- use. Aumentano però anche i rischi per i sistemi e le informazioni. Esistono diverse tecnologie Wireless: nel giro di pochi anni ci sarà una sempre maggiore integrazione tra i diversi apparati, destinati ad essere sempre più piccoli, potenti, veloci e versatili. Gli utenti necessiteranno di una sempre maggiore integrazione Wireless- Wired. I miglioramenti in termini di facilità di utilizzo hanno un costo e devono andare di pari passo con levoluzione della sicurezza. La sicurezza va anticipata! Più conosciamo i rischi connessi alla tecnologia Wireless e meglio riusciremo a proteggerci.

II INFN Security Workshop – Parma Febbraio Basate sullo standard IEEE , nato per supportare trasmissioni radio veloci su medie distanze Mb/s a 54 Mb/s 5 GHz - USA b11 Mb/s 2.4–2.48 GHz è il più diffuso dpermetterà di soddisfare i requisiti necessari in certi paesi per poter usare alcune freq. (5 GHz) esupporto per CoS e QoS su a,b & g f interoperabilità tra i diversi Vendor g54Mb/s 2.4 GHz - compatibile con b hsoddisfa i requisiti europei per lutilizzo dei 5GHz iaumenta la sicurezza: nuovi metodi di criptazione e autenticazione alternativi a WEP. Applicabile a a,b & g Wireless Standard

II INFN Security Workshop – Parma Febbraio Rischi I device Wireless sono sempre più piccoli: possono essere facilmente rubati o nascosti Man-in-the-middle: utenti maliziosi possono interporsi tra source e target e apparire come un AP (non autorizzato) catturando informazioni (passw ecc.) in entrambi i sensi. I device Wireless sono sempre più intelligenti introducendo nuove possibilità di attacchi da virus. La complessità delle reti Wireless è in aumento e molti amministratori non implementano tutte le features possibili, creando grosse falle di sicurezza. Considerate gli AP come accessi dallesterno.

II INFN Security Workshop – Parma Febbraio Contromisure Il punto cruciale è dato da Identification & Authentication: è il processo con cui la rete verifica lidentità di un utente per un utilizzo autorizzato. La maggior parte degli apparati implementa sistemi di autenticazione deboli: lideale sarebbe una two factor authentication che faccia uso di qualcosa che lutente ha in suo possesso e di qualcosa che lutente sa (PIN, biometric, ecc.). Fare uso di applicazioni che supportino una completa end-to-end encryption (SSL based). Utilizzare firme digitali per garantire lintegrità dei dati. E necessario bilanciare i vari aspetti: complessità, facilità di utilizzo, efficacia, affidabilità con le performance richieste e i costi.

II INFN Security Workshop – Parma Febbraio il PROGETTO (1) Per poter utilizzare una rete Wireless nel modo più sicuro possibile è essenziale studiare un PROGETTO che tenga conto dei seguenti punti: POLICY Struttura della Wired-LAN esistente Sicurezza: Scelta HW Analisi segnale radio (evitare copertura extra edifici) Autenticazione (user/pwd, ldap, radius, x509, MAC...) Monitoring Logging Sniffing

II INFN Security Workshop – Parma Febbraio il PROGETTO (2) Analisi interferenze radio AP adiacenti: devono usare canali diversi Documentazione Scalabilità Esigenze degli utenti: Copertura radio Timeline in cui necessitano del servizio Ospiti Servizi richiesti compatibilità (o incompatibilità) hw esistente Banda

II INFN Security Workshop – Parma Febbraio POLICY Definire che laccesso Wireless non permette di utilizzare la rete nello stesso modo in cui si usa la connessione Wired. Definire chi può usare WLAN. Definire chi può installare e gestire AP. Definire luoghi sicuri per gli AP. Richiedere laggiornamento SW degli apparati con le patch di sicurezza e nuove release disponibili. Definire standard di configurazione per gli AP. Definire modalità per effettuare AP discovery. Definire quali classi di dati si possono trasmettere su Wireless. Divieto di divulgare info per setup (SSID, Wep Key…). Aggiornare e distribuire la Policy agli utenti. Fornire documentazione per: - configurazione dei client Wireless. - segnalazione di incidenti e furti AP.

II INFN Security Workshop – Parma Febbraio HW: quale scegliere? HW che permetta di implementare tutti i requisiti di sicurezza stabiliti nella policy (WEP, VPN, Radius…). che sia il più omogeneo possibile (WECA). Verificare che il segnale radio abbia le caratteristiche di portata, copertura, attenuazione e direzione desiderate anche in base ad eventuali fonti di interferenze. Scegliere le antenne (direzionali o omni-direzionali) che meglio si adattano alle vostre esigenze: lobiettivo è fornire il miglior segnale radio agli utenti, limitandolo al di fuori delle zone interessate. Che sia affidabile, scalabile e che il vendor fornisca patch di sicurezza e assistenza. Attenzione alla compatibilità g – b!

II INFN Security Workshop – Parma Febbraio Soluzioni note: MAC, servizi, porte e WEP Blocco MAC Address: semplice ma poco sicura, applicabile solo per realtà limitate – affiancare almeno attivita Logging. Bloccare SNMP per evitare riconfigurazioni degli AP. Bloccare ICMP per evitare DoS. Aprire solo le porte per i servizi definiti nella policy (ssh, imaps, http, https ecc.). WEP cifra le comunicazioni tra il client e lAP utilizzando chiavi che devono essere settate sia sullAP che sui client. Svantaggi: è debole: sniffando poche ore di trasmissione è possibile scoprire le chiavi non prevede meccanismi automatici per la sostituzione delle chiavi: nelle grosse organizzazioni diventa difficile (impossibile) sostituirle manualmente. alcuni Vendor implementano meccanismi per la rotazione delle chiavi o di key management: usateli! Tool esterni per key management: Cisco EAP & RADIUS DHCP (Linux) modificato per fornire oltre a IP Address anche WEP Key (

II INFN Security Workshop – Parma Febbraio Possibili soluzioni: controllo MAC Address Usare ARPwatch per segnalare modifiche o nuovi MAC address non autorizzati. E possibile effettuare controlli automatici sui MAC Address che circolano sulla LAN. Molte attività illecite vengono eseguite utilizzando indirizzi MAC falsi. Lo script Perl MAIDWTS.PL analizza i MAC Address e segnala quelli in cui i primi 3 byte non sono assegnati a nessun Vendor. Analizzando i log e/o i db degli switch si può tentare di risalire a chi sta effettuando queste operazioni.

II INFN Security Workshop – Parma Febbraio Possibili soluzioni: MAC Address (3) Esempio di output di MAIDWTS.PL: Alert: Unallocated OUI prefix for address Alert: Unallocated OUI prefix for address 9a360064e0e0 Alert: Unallocated OUI prefix for address 9f5b003baaaa Alert: Unallocated OUI prefix for address 9f5b Alert: Unallocated OUI prefix for address a Alert: Unallocated OUI prefix for address a Alert: Unallocated OUI prefix for address a4d Alert: Unallocated OUI prefix for address a6d Alert: Unallocated OUI prefix for address a

II INFN Security Workshop – Parma Febbraio Possibili soluzioni: WPA - WiFi Protected Access (1) Per superare la debolezza della cifratura WEP, il Working Group ha lavorato su un nuovo Security Protocol, che possa garantire una sicurezza equivalente a quella delle reti Wired. Il risultato è stato WPA (WiFi Protected Access). E progettato per essere installato come Firmware Upgrade per lHW che già implementa WEP, aggiungendo un ulteriore livello di sicurezza, e per essere compatibile con lo standard i (RSN = Robust Secure Network). Utilizza la cifratura TKIP (Temporary Key Integrity Protocol) e lautenticazione è basata su 802.1X e EAP (Extensible Authentication Protocol).

II INFN Security Workshop – Parma Febbraio WPA - caratteristiche: (2) Genera periodicamente e automaticamente una nuova chiave per ogni client. Implementa un meccanisco di controllo dellintegrità del messaggio (MIC: Message Integrity Code, 8byte) più rubusto di quanto non faccia WEP con ICV (Integrity Check Value, 4byte). Lautenticazione è basata su 802.1X: inizalmente il client si autentica sullAP, poi WPA si interfaccia con un Authentication Server (Radius o LDAP). Se un client manda almeno due pacchetti ogni secondo con chiavi sbagliate, lAP termina TUTTE le connessioni per un minuto! Questo meccanismo di protezione può essere usato per provocare DoS. La disponibilità sotto forma di Firmware Upgrade preserva gli investimenti già fatti. Lo standard i sarà backward compatible con WPA, ma includerà anche un miglior sistema di cifratura (AES, Advanced Encryption Standard) opzionale: AES richiede infatti un coprocessore non disponibile in tutti gli AP.

II INFN Security Workshop – Parma Febbraio Possibili soluzioni: VPN (1) Permette di cifrare tutto il traffico, eliminando le debolezze della cifratura WEP. Possibili scenari : 1. Il VPN server provvede a tunnellizzare il traffico tra il client wireless e la macchina di destinazione, mentre un server Radius provvede allautenticazione. 2. LAP svolge funzioni di VPN Server e protegge tutto il traffico dei client Wireless.

II INFN Security Workshop – Parma Febbraio Possibili soluzioni: VPN (2) Vantaggi: A differenza di WEP le chiavi sono cambiate ad intervalli di tempo predefiniti. Svantaggi: Le prestazioni sono inferiori: il tunneling aumenta loverhead. Aumenta la complessità: difficoltà nei setup e nellamministrazione.

II INFN Security Workshop – Parma Febbraio Altre possibili soluzioni: single FW (1)

II INFN Security Workshop – Parma Febbraio Altre possibili soluzioni: dual FW (2)

II INFN Security Workshop – Parma Febbraio Altre possibili soluzioni: (3)

II INFN Security Workshop – Parma Febbraio Logging (1) Fare logging centralizzato attività AP: servono anche in caso di incidenti. Esaminare i LOG !!! Attività di War Driving possono essere scoperte controllando i log del DHCP: creando filtri e script si possono evidenziare le richieste dei MAC Address non autorizzati. Un semplice script via crontab ogni notte esegue controlli incrociati sul log file Wireless centralizzato e su /etc/dhcpd.conf; permettere di notificare allutente (via mail) le attività Wireless effettuate con il suo MAC Address autorizzato.

II INFN Security Workshop – Parma Febbraio Logging (2) Un esempio di quanto viene notificato allutente: Subject: attività Wireless di Brasolin Gruppo CCL Questo è il log delle attività WIRELESS relative al MAC ADDRESS 00:0A:F4:9C:49:54 registrato a nome: Brasolin nel DHCP server della sez. INFN di Bologna Controllate attentamente GIORNO e ORARIO di utilizzo: se NON corrispondono a vostre attività AVVISATE SUBITO il SERVIZIO di CALCOLO e RETI tel: mail: allegando questo mail e specificando quali accessi non sono stati fatti da voi. Feb 16 19:37:38 ml2wl ml2wl (Info): Station 000af49c4954 Authenticated Feb 16 19:37:38 ml2wl ml2wl (Info): Station 000af49c4954 Associated Feb 16 19:37:41 ml2wl ml2wl (Info): Deauthentication from [?dhcpi164]000af49c4954, reason "Sender is Leaving (has left) ESS" Feb 16 19:37:54 ml2wl ml2wl (Info): Station [?dhcpi164]000af49c4954 Authenticated Feb 16 19:44:28 ml2wl ml2wl (Info): Deauthentication from [dhcpi169]000af49c4954, reason "Sender is Leaving (has left) ESS" Feb 16 19:45:21 ml2wl ml2wl (Info): Station [dhcpi169]000af49c4954 Authenticated Feb 16 19:45:21 ml2wl ml2wl (Info): Station [dhcpi169]000af49c4954 Associated Feb 16 20:16:42 ml2wl ml2wl (Info): Deauthenticating 000af49c4954, reason "Inactivity"

II INFN Security Workshop – Parma Febbraio Sniffer & Tools Per poter capire cosa succede nellaria è fondamentale utilizzare tool che vi permettano di avere la situazione sotto controllo. Sono disponibili in rete diversi Sniffer (Win & Linux, free e/o a pagamento) che permettono di rilevare attività Wireless: Network Stumbler (Win Free) Widz (Linux Free) PCTEL (Win a pagamento) AiroPeek (Win a pagamento) Ngrep (linux) ngrep.sourceforg.net Kismet AirSnort airsnort.shmoo.comairsnort.shmoo.com AirTraf airtraf.sourceforge.netairtraf.sourceforge.net

II INFN Security Workshop – Parma Febbraio Sniffer: Airopeek (1) Localizza AP e client Wireless E in grado di decifrare Wep Key, sia on-the-fly sia successivamente Security Audit Diagnostica per Grafici potenza segnale, possibilità di settare allarmi analisi VoIP schede supportate: Per Windows, a pagamento:

II INFN Security Workshop – Parma Febbraio Sniffer: PCTEL E un Roaming Client con supporto WPA supporta Wi-Fi, GPRS, Bluetooth, e Infrared connections Supporto per le schede Wireless più diffuse Può connettersi automaticamente a WLAN e WWAN Individua e connette il client alle WLAN disponibili. Linterfaccia grafica permette di settare i parametri per la connessione (SSID, WEP, security), individua Hot Spot Per Windows, a pagamento:

II INFN Security Workshop – Parma Febbraio HostAP E un driver che permette di usare un PC come un AP: scheda Wireless con chip Intersil Prism Linux: Kernel HOSTAP rpm disponibile per RH 8.0 e 9: Permette di modificare alcuni parametri sulla scheda, tra cui la possibilità di stare in ascolto passivo, per analizzare tutti quello che passa.

II INFN Security Workshop – Parma Febbraio Sniffer: Widz Sniffer linux in grado di rilevare AP e wireless client Può utilizzare white & black list e visualizzare di conseguenza in modo diverso quello che viene rilevato dallinterfaccia Wireless. Può eseguire script in corrispondenza di eventi predefiniti. Necessita di HostAP (quindi di schede con chip Prism2)

II INFN Security Workshop – Parma Febbraio Widz in azione: Alert NON whitelist mac essid XXXXXXX packet_type Beacon mac1 ffffffffffff mac c5e802 mac c5e802 mac Alert NON whitelist mac essid YYYYYYY packet_type Beacon mac1 ffffffffffff mac2 0080c8034b76 mac3 0080c8034b76 mac Alert NON whitelist mac essid ZZZZZZZ packet_type Beacon mac1 ffffffffffff mac a7cd mac a7cd mac Alert NON whitelist mac essid packet_type Data mac1 ffffffffffff mac2 0080c8034b76 mac edfc5b mac bb11 Alert NON whitelist mac essid XXXXXX packet_type Beacon mac1 ffffffffffff mac2 00c049ca1c3a mac3 00c049ca1c3a mac Alert NON whitelist mac essid packet_type Data mac e02b932 mac2 00c049ca1c3a mac adf0 mac4 aaaa

II INFN Security Workshop – Parma Febbraio Antisniffer: FakeAP Se non è possibile nascondere completamente la vostra Wlan, si possono confondere le idee ai WarDriver. FakeAP (Perl Script) è in grado di generare segnali radio per simulare fino a Wlan, con diversi SSID, canali, WEP keys e Txpower. Linux richiede hostAP

II INFN Security Workshop – Parma Febbraio FakeAP in azione:

II INFN Security Workshop – Parma Febbraio Rogue AP NESSUNO deve installare AP non autorizzati. Un AP non autorizzato (rogue AP) può presentarsi al client come un AP ufficiale. Con 802.1x è possibile per il client Wireless autenticare lAP Verificare i MAC Address sulla LAN con linventario degli AP ufficiali Non lasciare socket wired libere in locali open, bloccare i MAC Address degli AP sugli switch.

II INFN Security Workshop – Parma Febbraio Rogue AP: come trovarli? nmap: è intrusivo, lento su network estese, falsi positivi # nmap –sT –sU –O –p 23,80 x.y.z.k sniffer: limitati dal range del segnale radio snmp: non sempre è abilitato # snmpwalk x.y.z.k passw APTools (Windows e Linux): si connette al router di accesso e confronta i MAC Address presenti nellARP table con quelli assegnati a Vendor Wireless. Se ne trova, tenta di recuperare la configurazione dellAP via html. è più veloce: controlla solo IP presunti Wireless. è possibile preparare liste di router/switch da controllare se disponibile, può utilizzare Discovery Protocol (CDP) sviluppato e testato con router e AP Cisco. aptools.sourceforge.net

II INFN Security Workshop – Parma Febbraio HandHeld Sniffer (1) – IBM WSA prototipo IBM WSA iPAQ PDA - Linux wireless LAN security auditor è in grado di individuare reti Wireless e di verificarne il livello di sicurezza

II INFN Security Workshop – Parma Febbraio HandHeld Sniffer (2) - HP Analyzer per test & security HP iPAQ 4355 pocket PC WLAN b e bluetooth 500$

II INFN Security Workshop – Parma Febbraio HandHeld Sniffer (3) - Compaq Analyzer per test & security Compaq iPAQ con interfaccia Wireless e Segue Analyzer sw Wi-Fi ( a/b) WLAN & WWAN Monitor per traffico, identifica interferenze, scopre client e AP non autorizzati report throughput Misura parametri network e radio Attacco per GPS esterno

II INFN Security Workshop – Parma Febbraio HandHeld Sniffer (4) - Fluke Linux iPaq Rogue AP detection Mappa AP verifica connettività wireless client

II INFN Security Workshop – Parma Febbraio CheckList versione 2004 (1) Preparare una Policy adeguata. Acquistare apparati che permettano di implementare tutti requisiti di sicurezza stabiliti, e che permettano di attuare upgrade fw & sw: mantenerli aggiornati. Installare gli AP in luoghi protetti, accessibili solo al personale autorizzato dove nessuno possa eseguirne un reset o rubarli; lontano da finestre e porte esterne. Verificare la portata del segnale radio, anche allesterno degli edifici. Non usare i parametri di default sugli apparati Wireless. Mantenere un inventario di tutti gli AP e dei relativi MAC Address. Inventariare le schede Wireless e i relativi MAC Address. Standardizzarsi su una marca/modello di schede Wireless. Cambiare SSID usando nomi non noti, disabilitare SSID broadcast.

II INFN Security Workshop – Parma Febbraio CheckList (2) Cambiare/Creare Username/Password per management AP. Bloccare il Mac Address dellAP sulla porta dello switch a cui è collegato. Utilizzare range di Ip Address dedicati. Configurare gli AP in una VLAN separata per poter gestire, filtrare e monitorare il traffico in modo differenziato. Sul router perimetrale filtrare indirizzi DHCP assegnati ai client: in Input (completamente) e in Output (solo servizi desiderati). Filtrare anche IP address AP. Se si usa DHCP esterno, via Crontab è possibile fermare questo servizio quando non serve (di notte, nei weekend).

II INFN Security Workshop – Parma Febbraio CheckList (3) Usare un numero di Canale diverso per AP adiacenti, per evitare interferenze e cadute di prestazioni. SNMP: se non serve disabilitarlo, o almeno cambiare la default passw – sia in rw che in ro – Utilizzare prodotti con snmpV3. Assicurarsi che tutti i parametri relativi alla sicurezza siano stati modificati rispetto al valore di default. Disabilitare sullAP tutti i protocolli non sicuri e non necessari. Abilitare tutte le funzioni di sicurezza disponibili: WEP privacy o 802.1x-EAP. Utilizzare la chiave di cifratura più lunga possibile (acquistare AP che siano in grado di gestire chiavi a 128 bit). Sostituire periodicamente le chiavi.

II INFN Security Workshop – Parma Febbraio CheckList (4) Autenticazione: permettere laccesso solo a client autorizzati (username/passw, smart cards, biometrics, PKI). Usare ACL per limitare laccesso a MAC address autorizzati. Se sono implementate VPN, usare IPSec tunneling tra il Wireless client & VPN Box. Configurare Logging, anche su Logserver remoto. Utilizzare IDS per Wireless. Preparare e distribuire documentazione agli utenti (configurazioni client e rischi – chiusa allesterno! ). Mantenere configurazioni omogenee su tutti gli AP. Salvare configurazioni degli AP.

II INFN Security Workshop – Parma Febbraio Conclusioni: la sicurezza a strati Una rete Wireless protetta richiede una combinazione di security intelligence, policy adeguata, conoscenze, tattica; formazione e compartecipazione degli utenti. Non esiste al momento un unico strumento che permetta di avere una rete wireless SICURA. Esistono però tool e settaggi che possono essere visti come diversi strati di sicurezza: più se ne implementano e minori saranno i rischi. La sicurezza non è statica! Nuovi problemi invariabilmente si presenteranno e andranno risolti conseguentemente. Bisogna valutare i costi per mantenere una rete Wireless sicura rispetto ai costi di ripristino dovuti a intrusioni ha meccanismi di sicurezza deboli: è fondamentale usare server esterni (Radius, VPN) per autenticazione e cifratura. Apparati omogenei consentono un management semplificato. E essenziale studiare e utilizzare strumenti di monitoring che permettano di avere un quadro completo della rete (Wireless & Wired) sia per risolvere malfuzionamenti sia in casi di attacchi.

II INFN Security Workshop – Parma Febbraio Riferimenti: Hack Proofing your wireless network (Syngress) Maidwts.pl: home.jwu.edu/jwright/papers/wlan-mac-spoof.pdfhome.jwu.edu/jwright/papers/wlan-mac-spoof.pdf HostAP: trekweb.com/~jasonb/articles/hostap_ shtml trekweb.com/~jasonb/articles/hostap_ shtml Wireless LAN Security Tools: security.com/wardriving/tools security.com/wardriving/tools Sniffer: WPA Overview: Cisco – Antenne: Comparazione HW Wireless: WLAN Analyzer: Google wireless security ma soprattutto: Google wireless insecurity !!!!

II INFN Security Workshop – Parma Febbraio Grazie! Discussione: Suggerimenti? Domande ?