La sicurezza delle reti Wireless
Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione wireless sicura Possibili scenari di configurazione Progettazione della configurazione ottimale dei componenti
Perchè rete wireless sicura? Quando si progetta la sicurezza per una rete wireless, considerare : Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura
Minacce alle reti wireless Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)
Gli standard wireless Standard Descrizione 802.11 Specifica base che definisce i concetti di trasmissione per le reti wireless 802.11a Velocità di trasmissione fino a 54 Mbps Range di frequenza 5 Ghz Ottima velocità, poche interferenze, non compatibile 802.11b Velocità di trasmissione fino a 11 Mbps Range di frequenza 2,4 Ghz Minor velocità, possibili interferenze, basso costo 802.11g Ottima velocità, possibili interferenze, compatibile .11b 802.11i Stabilisce processi standard di autenticazione e crittazione sulle reti wireless 802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico
Confidenzialità con WEP Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!) Fornisce le seguenti caratteristiche crittografiche: Crittazione dei dati Integrità dei dati Oggi si usano 2 standard WEP : Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2
Confidenzialità con WPA WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo “replay” Operano a livello MAC (Media Access Control)
Autenticazione 802.1X Opzioni di autenticazione Scegliere la soluzione migliore Come lavora 802.1X con PEAP e password Come lavora 802.1X con i certificati Requisiti client, server e hardware per implementare 802.1X
Opzioni di autenticazione Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK)
La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per l’autenticazione dei client Password usate per l’autenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre-Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) Nessuno NO SI Usa la chiave di crittazione WPA per l’autenticazione alla rete WPA PEAP + password (PEAP-MS-CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS (ma almeno un certificato deve essere rilasciato per validare il server IAS) WPA o chiave WEP dinamica Certificati (EAP-TLS) Aziende medio/grandi Servizi Certificati (possibilita’ di modifica, inserendo la richiesta di password)
Come lavora 802.1X con PEAP e password Wireless Client Wireless Access Point RADIUS (IAS) 1 Client Connect 2 Client Authentication Server Authentication Mutual Key Determination 3 Key Distribution 4 WLAN Encryption Authorization 5 Internal Network
Come lavora 802.1X con EAP-TLS Wireless Client Certification Authority 1 Certificate Enrollment Wireless Access Point 2 Client Authentication Server Authentication RADIUS (IAS) Mutual Key Determination 4 Key Distribution 5 WLAN Encryption Authorization 3 6 Internal Network
Requisiti per 802.1X Componenti Requisiti Client computers Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000 802.1X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati Necessari Potrebbero anche non essere Microsoft Wireless access points Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura Active Directory, DNS, DHCP
Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication)
Componenti richiesti per 802.1X con EAP-TLS Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication)
Progettare la PKI Define l’infrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare l’auto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)
Implementare RADIUS (IAS) Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando “netsh ras add registeredserver” Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno “nativo” Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS
Configurare gli Access Point Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il “SSID broadcast” Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)
Configurare le Remote Access Policy su IAS Configurare le “Conditions” “NAS-Port-Type” impostato su “Wireless 802.11 Configurare eventuali restrizioni di gruppo e/o orarie Configurare le “Permissions” Tipicamente impostare su “Grant access” Configurare il “Profile” Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni
Controllare l’accesso WLAN con i gruppi di sicurezza IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy Esempi di gruppo Membri del gruppo Accesso wireless Utenti wireless Computer wireless {utenti che lavorano su pc wireless} {computer che hanno una scheda di rete wireless}
Configurare i client wireless Tramite Group Policy E’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) “The key is provided automatically” (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)
Informazioni aggiuntive Dove trovare risorse: Securing Wireless LANs with Certificate Services http://go.microsoft.com/fwlink/?LinkId=14843 Security Wireless LANs with PEAP and Passwords http://www.microsoft.com/technet/security/topics/cryptographyetc/ peap_0.mspx Security Guidance Center: http://www.microsoft.com/italy/security/guidance/default.mspx Ultime novità sul wireless in Windows XP SP2 e Windows server 2003 Release 2 http://www.microsoft.com/windowsserver2003/technologies/ networking/wifi/default.mspx