FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A. 2008-2009 1 RETI DI CALCOLATORI Sicurezza.

Slides:



Advertisements
Presentazioni simili
ISA Server 2004 Configurazione di Accessi via VPN
Advertisements

Microsoft Visual Basic MVP
Gestione della sicurezza di una rete Wireless. Configurazione di Default War Driving/War Chalking: Europa.
La sicurezza delle reti Wireless
Configuring Network Access
SSL/TLS.
| | Microsoft Certificate Lifecycle Manager.
Laurea Magistrale in Informatica Reti 2 (2007/08)
La sicurezza nelle Griglie
Sicurezza e Policy in Active Directory
Per crittografia si intende la protezione
IEEE 802.1x (Port Based Network Access Control)
Secure Shell Giulia Carboni
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
SEVER RAS.
Rete Wireless per Informatica Grafica
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Commessa: HotSpot Wi-Fi
SSL (Secure Socket Layer)
Prof. Zambetti -Majorana © 2008
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
La Sicurezza nelle reti Wireless
Test sul Cisco VPN Concentrator
Protocollo di autenticazione KERBEROS
Corso di Informatica per Giurisprudenza Lezione 7
> Remote Authentication Dial In User Service
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Guida IIS 6 A cura di Nicola Del Re.
La (in)sicurezza delle reti Wireless
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
INFORMATICA MATTEO CRISTANI. INDICE CICLO DELLE LEZIONI LEZ. 1 INTRODUZIONE AL CORSO LEZ. 2 I CALCOLATORI ELETTRONICI LEZ. 3 ELEMENTI DI TEORIA DELL INFORMAZIONE.
di Tommaso Dionigi - Corso di Sicurezza - A.A. 2006/2007
Architettura e modelli disponibili. SoLo mobile solutions, architecture Software nei cellulari Appliance presso data centre cliente.
Configurazione di una rete Windows
Connessioni wireless. introduzione Il primo standard fu creato nel 1995 dalla IEEE e fu attribuito il codice Le tecnologie utilizzate sono:  Raggi.
L’architettura a strati
IPSec Fabrizio Grossi.
Storia ed evoluzione delle reti senza fili
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Analisi e sperimentazione di una Certification Authority
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
Certificati e VPN.
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Protocolli avanzati di rete Modulo 3 - Wireless Network Unità didattica 5 -Protocolli Ernesto Damiani Università degli Studi di Milano Lezione 2.
Progettazione e realizzazione di un’applicazione J2EE Parte 2.
UNITA’ 04 Uso Sicuro del Web.
UNITA’ 03 Sicurezza in rete.
Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Informatica Lezione 10 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Corso "RouterOS in Pratica"
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Wireless Campus Dario Zucchini Associazione Dschola Scuola Digitale Piemonte.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a.
Livello 7: Applicazione. Protocolli più importanti HTTP = Hyper Text Transfer Protocol HTTPS = Hyper Text Transfer Protocol over Secure Socket Layer DNS.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A RETI DI CALCOLATORI Sicurezza Wireless prof. G. Russo prof. E. Burattini prof. E. Burattini ing. A. Violetta ing. A. Violetta © ©

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Perchè rete wireless sicura Quando si progetta la sicurezza per una wireless, è necessario considerare: Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura degli AP Configurazione Gestione sicura dell’infrastruttura Gli attacchi possibili su una WLAN possono essere del tipo: Attacchi di inserzione Intercettazione e monitoraggio del traffico Wireless Errate configurazioni degli access point o dei client Attacchi diretti da Client a Client

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Attacchi di inserzione Inserimento di client non autorizzati: Inserimento di client non autorizzati: – Un attaccante si connette ad un access point e superando i meccanismi di autenticazione si introduce nella rete. Inserimento di access point non autorizzati: Inserimento di access point non autorizzati: – Un attaccante connette alla rete un access point permettendo la connessione alla rete di client non autorizzati anche non interni alla azienda anche a distanze notevoli. Access point “clone” (Evil Twin): Access point “clone” (Evil Twin): – Viene inserito un accesso point illegittimo con segnale molto forte, – clone di un access point legittimo. – Molti client si collegheranno a questo access point e l’attaccante potrebbe sniffare dati sensibili.

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Errate Configurazioni Default SSID: Molti non cambiano l’ SSID di default degli AP. Secure Access Mode: se gli AP hanno il controllo dell’ SSID. In caso contrario l’SSID può essere vuoto o impostato ad ‘any’. Brute force SSID: Dal momento che spesso gli SSID sono nomi comuni, un attaccante può scoprirlo con un semplice attacco di forza bruta. SSID in chiaro: Anche se è abilitata la criptazione WEP, SSID continua ad essere trasmesso in chiaro Broadcast SSID: Molti AP trasmettono il proprio SSID in chiaro tramite dei pacchetti di broadcast (beacon). Anche se il broadcast viene escluso, dal momento che l’ SSID è in chiaro, basta sniffare la connessione di un client. Access Point con configurazioni di default Installazione plug&play: molti vendor, per rendere semplice l’installazione degli access point, mettono di default molti parametri, abilitando il DHCP in modo che l’access point funzioni immediatamente e velocemente. L’installatore si trova con apparati ‘plug&play’ che funzionano al volo ma senza una parametrizzazione avanzata possono rilevarsi molto vulnerabili. In più, spesso, il monitoraggio e la configurazione è con interfacce grafiche in http non protette di default neanche con password.

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Attacchi Client - Client Due client wireless possono comunicare tra loro senza bisogno di un access point, per questo motivo un client può essere vulnerabile ad un attacco diretto. Attacco a risorsa: Se il client ha delle risorse condivise o programmi di file sharing, un attaccante potrebbe averne accesso sfruttando errate configurazioni (mancanza password, etc..) Denial of service: Il client Wireless può esser vulnerabile ad attacchi DOS come synflood, ecc da altri client wireless.

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Requisiti per 802.1X ComponentiRequisiti Client computers  Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000  802.1X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati  Necessari  Potrebbero anche non essere Microsoft Wireless access points  Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura  Active Directory, DNS, DHCP

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Wireless LAN e Security - Debolezze I problemi principali di sicurezza di una Wireless LAN sono dovuti al protocollo (Wi-Fi) riguardo: Criptazione Il Wire Equivalent Privacy (WEP), algoritmo di criptazione dei dati trasmessi con il segnale radio con chiave a 40 o 128 bit WEP è debole: La sua vulnerabilità è dovuta alla staticità delle chiavi di criptazione ed al riuso del key stream che permette ad un intrusore di decodificare i dati dopo aver catturato un certo ammontare di traffico. WEP spesso disabilitato: Moltissime Wlan, sovente in ambienti pubblici, hanno il WEP non abilitato, talvolta per permettere interoperabilità con client diversi. La sua abilitazione è importante per poter bloccare gli sniffing occasionali e complicare la connessione all’access point dal momento che oltre l’ SSDI devono coincidere anche le chiavi di criptazione. Però anche con il WEP abilitato i pacchetti di controllo rimangono in chiaro Autenticazione Per potersi collegare ad un Access Point, un client manda in broadcast su tutti i canali disponibili il suo Mac ed il suo SSID. Il primo access point che li riceve gli risponde con il suo SSID, canale da utilizzare e Mac Address. A questo punto il client ha identificato l’access point con il quale iniziare il processo di autenticazione che può avvenire con due metodi: Il primo è l’open key oppure se il WEP e’ abilitato, lo shared key.

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Il sistema di crittografia WEP dell'IEEE 802.1x: funzionamento e problematiche WEP Wired Equivalent Protocol: Protocollo di sicurezza che utilizza meccanismi equivalenti a quelli utilizzati nelle reti wired. Introduce due servizi di Sicurezza: – – Servizio di Riservatezza attraverso la codifica crittografata per mezzo dell’algoritmo a chiave simmetrica RC4. La chiave di codifica è costituita da un Vettore di Inizializzazione IV e una chiave k. Chiave Segreta k IV 24 bit 40/104 bit Sequenza Chiave – Servizio di Integrità è il servizio di integrità basato sul controllo dei dati attraverso la definizione di un vettore ICV (Integrity Check Value) calcolato con un codice di ridondanza ciclica CRC-32. Il vettore ICV è calcolato sul messaggio da trasmettere per verificare in fase di ricezione che questo non subisca modifiche illecite durante il suo transito. ICV Messaggio 32 bit

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Autenticazione Open key: l’autenticazione e‘ in chiaro e qualunque client può autenticarsi con l’access point. Se abilitata la criptazione, viene accettato traffico solo con chiave di criptazione WEP coincidente a quella dell’access point 1 – Richiesta di autenticazione 2 – autenticato Shared key: Utilizzato solo con WEP attivo, prevede che il client richieda l’autenticazione all’access point (1) il quale trasmette in risposta un pacchetto di challenge (2). Il client risponde criptando il pacchetto con la propria chiave WEP (3). L’access point decripta la risposta e la confronta con il pacchetto di challenge che aveva inviato (4). Se sono uguali, il client ottiene l’accesso alla rete (5). Il pacchetto di challenge è trasmesso dall’access point in chiaro ed un eventuale intrusore potrebbe ricavare la chiave WEP usata per la codifica andando a confrontare la risposta criptata con il pacchetto di challenge. 1 – richiesta di autenticazione 2 – pacchetto di challenge 3 – cripta il pacchetto con Key (WEP) 5 – accesso alla rete 4 AP – decripta la risposta e la confronta con il pacchetto di challenge inviato al client

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Il protocollo EAP per l'utilizzo di una infrastruttura AAA EAP (Extensible Authentication): protocollo di comunicazione che gestisce lo scambio di informazioni per il processo di autenticazione. E’ basato sul paradigma richiesta/risposta: Request - Response - Success - Failure Il suddetto protocollo contempla: Server centralizzato con: Server centralizzato con: – Servizio di autenticazione multipla. – Servizio di Porta Duale. Architettura di rete Centralizzata con 3 entità AAA (Authenticatin Authorization Accaunting) Architettura di rete Centralizzata con 3 entità AAA (Authenticatin Authorization Accaunting) – Richiedente (Client Wireless) – Dispositivo di Autenticazione (Access Point) – Sistema di Autenticazione (Server R.A.D.I.U.S. – Remote Authentication Dial-In User Service) Utilizzo di Certificati Digitali e Smart Card EAP/TLS (Transport Layer Security), Username/password e Token di ingresso EAP/TTLS Utilizzo di Certificati Digitali e Smart Card EAP/TLS (Transport Layer Security), Username/password e Token di ingresso EAP/TTLS

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Protocollo RADIUS Il Radius Server è di tipo AAA ed è usato per certificare gli utenti che chiedono accesso ad una rete, e ne autorizza l'accesso (solitamente tramite verifica di username e password). Utilizzabile anche per l'accounting. Basato su protocollo UDP. Porte assegnate: – – Authentication 1812/udp, – – Accounting 1813/udp. Prevede utilizzo di una chiave o password “secret” per autenticare server e autenticatore. Protocollo EAPOL E’ l’implementazione del protocollo EAP su LAN (EAP Over LAN) L’header EAP viene incapsulato nella trama LAN 802.x La Port Access Entity utilizza le trame EAPOL nella comunicazione tra Autenticatore e Supplicante Le trame EAPOL vengono trasmesse all’indirizzo di gruppo C

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Il protocollo EAP per l'utilizzo di una infrastruttura AAA AP Server RADIUS 802.1X / EAP/TLS EAPoL Start EAP-Richiesta ID EAP-Risposta ID Richiesta Accesso Fase inizio del processo; richiesta di identità utente (ID); richiesta di Accesso RADIUS EAP/TLS Sequenza EAP/TLS di Mutua Autenticazione; Chiave di Sessione; Certificati Digitali; Risposta di Accesso EAP- Success EAPOL-Chiave WEP Fine Autenticazione ; Scambio della Chiave di crittografia WEP; Client Wirelss

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Autenticazione IEEE 802.1x IEEE sta rilasciando il protocollo 802.1x che è uno standard per i controllo degli accessi, port-based. Parte del protocollo è basato sull’EAP (Extensible Authentication Protocol) che permette ai client di autenticarsi ad un server RADIUS Con l’ IEEE 802.1X, il client associato all’ Access Point non ottiene la connessione fisica alla rete durante la fase di autenticazione. L’access point inizia il dialogo EAP con il client e gestisce la comunicazione con il server EAP-Radius. Quando le credenziali del client sono accettate dal Radius, questi rilascia all’access point le policy di accesso e questi permette la connessione alla rete wired con le opportune restrizioni. Tramite l’ EAP l’access point assegna al client una chiave WEP a 128 bit dinamica per ogni sessione prevenendo attacchi tipo sniffing, ecc.. La trasmissione delle chiavi WEP è criptata utilizzando chiavi separate generate dal server radius e passate all’access point. Comunicazione EAP Messaggi EAPMessaggi RADIUS SupplicanteAuthenticator Authentication server (RADIUS)

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Autenticazione IEEE 802.1x Autenticazione IEEE 802.1x Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS- CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK)

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per l’autenticazione dei client Password usate per l’autenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre- Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) NessunoNO SI Usa la chiave di crittazione WPA per l’autenticazione alla rete WPA PEAP + password (PEAP- MS-CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS NO (ma almeno un certificato deve essere rilasciato per validare il server IAS) SI WPA o chiave WEP dinamica Certificati (EAP- TLS) Aziende medio/grandi Internet Authentication Services (IAS) Servizi Certificati SI NO (possibilita’ di modifica, inserendo la richiesta di password) WPA o chiave WEP dinamica

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Come lavora 802.1X con PEAP e password Wireless Client RADIUS (IAS International AccountingStandards ) 1 1 Client Connect Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination Key Distribution Authorization WLAN Encryption Internal Network

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Componenti richiesti per 802.1X con EAP-TLS ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication) Deve avere un certificato installato per essere autenticato dai client (server authentication)

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Come lavora 802.1X con EAP-TLS Wireless Client RADIUS (IAS International Accounting Standards ) 1 1 Certificate Enrollment Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination Key Distribution Authorization WLAN Encryption Internal Network Certification Authority 6 6

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication)

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A RETI DI CALCOLATORI Esercizio prof. G. Russo prof. E. Burattini prof. E. Burattini ing. A. Violetta ing. A. Violetta ©2008 ©2008

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Implementazione dei livelli di sicurezza per rete wireless  Trovare la miglior soluzione per la protezione dei dati in ambiente wireless  Implementazione dei protocolli di protezione al fine di fornire  Implementazione dei protocolli di protezione al fine di fornire un adeguato livello di sicurezza ad una rete wireless dipartimentale Attacchi e soluzioni Le minacce vanno ad intaccare:  la disponibilità  l’integrità  l’autenticità  la riservatezza. Gli attacchi a cui è soggetta una rete possono essere passivi o attivi. Le soluzioni possono essere:  SSID  Autenticazione aperta  Autenticazione a chiave condivisa

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Architettura di rete Componenti architetturali: Client Wireless Access Point Integrated Access Manager Server RADIUS Metodi implementati   WEP Statico – client e access point possiedono la stessa chiave wep;   WEP Dinamico – ai client viene fornita automaticamente una chiave di cifratura che cambia ad intervalli regolari Server radius Integrated access Manager 760 wl Access point 420 Hp client

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A WEP statico: realizzazione   assegnazione indirizzi IP statici agli apparati, assegnazione di indirizzi dinamici ai client dall’Integrated Access Manager configurato come server DHCP   configurazione della sicurezza sull’Access Point   Richiesta di inserimento di username e password per accedere ala rete

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A WEP Dinamico: scelte progettuali Classi d’utenza:  Afferenti  Studenti Per il servizio di autenticazione si è utilizzato un server dedicato: il RADIUS, che verifica le credenziali. Per la creazione dei certificati è richiesta la presenza di una Certification Authority creata con le librerie di openSSL PEAP EAP/TLS

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Architettura di protezione 802.1x/EAP L’802.1x è un protocollo port-based che si avvale dello schema di autenticazione EAP Le entità che entrano in gioco sono:   Supplicant – client Windows XP   Authenticator – Access Point 420 Hp   Authentication Server - FreeRadius Comunicazione EAP Messaggi EAPMessaggi RADIUS SupplicantAuthenticator Authentication server (RADIUS)

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Comunicazione EAP/TLS Associazione del client all’access point Il client autentica il server con i certificati digitali Il server autentica il client con i certficati digitali Il RADIUS invia la chiave unicast all’ AP L’AP invia una wep broadcat cifrata con la chiave unicast al client AP (Authenticator)WClient (Supplicant) Server RADIUS (Authentication Server)

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Configurazione del Supplicant   Installazione dei certificati  Configurazione del client

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Configurazione dell’Authenticator Configurazione dell’access point come client RADIUS Inserimento delle informazioni relative al server RADIUS

FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A Verifica del funzionamento del RADIUS Dopo che la configurazione è stata completata è possibile verificare il successo dell’autenticazione osservando il file di log del FreeRadius Dopo che la configurazione è stata completata è possibile verificare il successo dell’autenticazione osservando il file di log del FreeRadius