La sicurezza delle reti Wireless

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
Certification Authority
ISA Server 2004 Configurazione di Accessi via VPN
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Gestione della sicurezza di una rete Wireless tramite tecnologia Microsoft Fabrizio grossi.
Certification Authority
Gestione della sicurezza di una rete Wireless. Configurazione di Default War Driving/War Chalking: Europa.
Configuring Network Access
La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ivan Salvadè
| | Microsoft Certificate Lifecycle Manager.
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Sicurezza e Policy in Active Directory
Installazione di Active Directory
DNS.
Introduzione ad Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Servizio DHCP.
Amministrazione di una rete con Active Directory
Installazione di Active Directory
Active Directory.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
IEEE 802.1x (Port Based Network Access Control)
Secure Shell Giulia Carboni
SEVER RAS.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Rete Wireless per Informatica Grafica
Commessa: HotSpot Wi-Fi
Punto di partenza b , a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.
La Sicurezza nelle reti Wireless
Test sul Cisco VPN Concentrator
Wireless Authentication
Ottobre 2006 – Pag. 1
Acer Mnemonick presentazione commerciale
Guida IIS 6 A cura di Nicola Del Re.
La (in)sicurezza delle reti Wireless
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Windows Intune, la soluzione Cloud per la gestione dei PC in azienda Lorenzo Santagata Product Marketing Manager Windows Client Microsoft 15 dicembre 2010.
Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
di Tommaso Dionigi - Corso di Sicurezza - A.A. 2006/2007
Un problema importante
Configurazione di una rete Windows
Connessioni wireless. introduzione Il primo standard fu creato nel 1995 dalla IEEE e fu attribuito il codice Le tecnologie utilizzate sono:  Raggi.
IPSec Fabrizio Grossi.
Storia ed evoluzione delle reti senza fili
Certificati e VPN.
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
UNITA’ 03 Sicurezza in rete.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
Wireless Campus Dario Zucchini Associazione Dschola Scuola Digitale Piemonte.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A RETI DI CALCOLATORI Sicurezza.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Wireless : Le reti WLAN (Wireless LAN), se da un lato rappresentano una soluzione ideale per ambienti poco adatti alla realizzazione di cablaggi nella.
Transcript della presentazione:

La sicurezza delle reti Wireless

Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione wireless sicura Possibili scenari di configurazione Progettazione della configurazione ottimale dei componenti

Perchè rete wireless sicura? Quando si progetta la sicurezza per una rete wireless, considerare : Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura

Minacce alle reti wireless Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)

Gli standard wireless Standard Descrizione 802.11 Specifica base che definisce i concetti di trasmissione per le reti wireless 802.11a Velocità di trasmissione fino a 54 Mbps Range di frequenza 5 Ghz Ottima velocità, poche interferenze, non compatibile 802.11b Velocità di trasmissione fino a 11 Mbps Range di frequenza 2,4 Ghz Minor velocità, possibili interferenze, basso costo 802.11g Ottima velocità, possibili interferenze, compatibile .11b 802.11i Stabilisce processi standard di autenticazione e crittazione sulle reti wireless 802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico

Confidenzialità con WEP Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!) Fornisce le seguenti caratteristiche crittografiche: Crittazione dei dati Integrità dei dati Oggi si usano 2 standard WEP : Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2

Confidenzialità con WPA WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo “replay” Operano a livello MAC (Media Access Control)

Autenticazione 802.1X Opzioni di autenticazione Scegliere la soluzione migliore Come lavora 802.1X con PEAP e password Come lavora 802.1X con i certificati Requisiti client, server e hardware per implementare 802.1X

Opzioni di autenticazione Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK)

La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per l’autenticazione dei client Password usate per l’autenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre-Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) Nessuno NO SI Usa la chiave di crittazione WPA per l’autenticazione alla rete WPA PEAP + password (PEAP-MS-CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS (ma almeno un certificato deve essere rilasciato per validare il server IAS) WPA o chiave WEP dinamica Certificati (EAP-TLS) Aziende medio/grandi Servizi Certificati (possibilita’ di modifica, inserendo la richiesta di password)

Come lavora 802.1X con PEAP e password Wireless Client Wireless Access Point RADIUS (IAS) 1 Client Connect 2 Client Authentication Server Authentication Mutual Key Determination 3 Key Distribution 4 WLAN Encryption Authorization 5 Internal Network

Come lavora 802.1X con EAP-TLS Wireless Client Certification Authority 1 Certificate Enrollment Wireless Access Point 2 Client Authentication Server Authentication RADIUS (IAS) Mutual Key Determination 4 Key Distribution 5 WLAN Encryption Authorization 3 6 Internal Network

Requisiti per 802.1X Componenti Requisiti Client computers Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000 802.1X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati Necessari Potrebbero anche non essere Microsoft Wireless access points Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura Active Directory, DNS, DHCP

Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication)

Componenti richiesti per 802.1X con EAP-TLS Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication)

Progettare la PKI Define l’infrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare l’auto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)

Implementare RADIUS (IAS) Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando “netsh ras add registeredserver” Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno “nativo” Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS

Configurare gli Access Point Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il “SSID broadcast” Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)

Configurare le Remote Access Policy su IAS Configurare le “Conditions” “NAS-Port-Type” impostato su “Wireless 802.11 Configurare eventuali restrizioni di gruppo e/o orarie Configurare le “Permissions” Tipicamente impostare su “Grant access” Configurare il “Profile” Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni

Controllare l’accesso WLAN con i gruppi di sicurezza IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy Esempi di gruppo Membri del gruppo Accesso wireless Utenti wireless Computer wireless {utenti che lavorano su pc wireless} {computer che hanno una scheda di rete wireless}

Configurare i client wireless Tramite Group Policy E’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) “The key is provided automatically” (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)

Informazioni aggiuntive Dove trovare risorse: Securing Wireless LANs with Certificate Services http://go.microsoft.com/fwlink/?LinkId=14843 Security Wireless LANs with PEAP and Passwords http://www.microsoft.com/technet/security/topics/cryptographyetc/ peap_0.mspx Security Guidance Center: http://www.microsoft.com/italy/security/guidance/default.mspx Ultime novità sul wireless in Windows XP SP2 e Windows server 2003 Release 2 http://www.microsoft.com/windowsserver2003/technologies/ networking/wifi/default.mspx