IEEE 802.1x (Port Based Network Access Control)

Slides:



Advertisements
Presentazioni simili
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Advertisements

Informatica e Telecomunicazioni
ISA Server 2004 Configurazione di Accessi via VPN
La sicurezza delle reti Wireless
Configuring Network Access
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
RETI INFORMATICHE.
IL NOSTRO LABORATORIO. Di INFORMATICA..
Installazione di Active Directory
Organizzazione di una rete Windows 2003
Moving Moving Young Young Turin Turin Hydrogen Hydrogen Olympic Olympic Safe RETE MANET informazioni in movimento.
Secure Shell Giulia Carboni
SEVER RAS.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Rete Wireless per Informatica Grafica
Commessa: HotSpot Wi-Fi
Punto di partenza b , a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.
La Sicurezza nelle reti Wireless
Test sul Cisco VPN Concentrator
Wireless Authentication
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
> Remote Authentication Dial In User Service
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
Tecnologia VPN: gestire lo studio a distanza MARTISOFT SA Relatore: A. Arrigo – System Engineer – MARTISOFT SA.
Guida IIS 6 A cura di Nicola Del Re.
Modulo 1 – Reti Informatiche u.d. 4 (syllabus – 1.4.4)
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Un problema importante
Reti Insieme di computer e di altri dispositivi che comunicano tra loro per condividere i dati, le applicazioni e lhardware Modulo 1.
Architettura e modelli disponibili. SoLo mobile solutions, architecture Software nei cellulari Appliance presso data centre cliente.
Configurazione di una rete Windows
Un sistema integrato per la gestione della rete commerciale 1 Web Sign è unapplicazione sviluppata da Sior che permette di apporre una firma remota, digitale.
Internet e Sicurezza dei Sistemi
Connessioni wireless. introduzione Il primo standard fu creato nel 1995 dalla IEEE e fu attribuito il codice Le tecnologie utilizzate sono:  Raggi.
L’architettura a strati
IPSec Fabrizio Grossi.
Storia ed evoluzione delle reti senza fili
FTP File Transfer Protocol
Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.
Creato da Riccardo Nuzzone
IP Mobility IP Mobility Reti II Stefano Leonardi.
LE RETI INFORMATICHE Cosa sono?? A cosa servono??
Cresce la famiglia Cosy!
Assicurare la connettività alla città attraverso tecnologie wireless Candidata: Sonia Di Sario Relatore: dott. Stefano Bistarelli a.a. 2003/2004.
Certificati e VPN.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
UNITA’ 03 Sicurezza in rete.
Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Internetworking V anno.
Silvia Pasqualotto e Giulia Nanino
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Il mondo del web Includere Digital-mente – Corso livello 4 docente: prof.ssa MANUELA MARSILI.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
Wireless Campus Dario Zucchini Associazione Dschola Scuola Digitale Piemonte.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A RETI DI CALCOLATORI Sicurezza.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

IEEE 802.1x (Port Based Network Access Control)

IEEE 802.1x standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN. collegamento punto a punto utilizzato dalle reti locali wireless per gestire le connessioni agli access point si basa sul protocollo EAP, Extensible Authentication Protocol OBIETTIVO: risolvere le insicurezze del WEP

802.1x: attori coinvolti Supplicant, il client che richiede di essere autenticato Authenticator, il dispositivo che esegue l'inoltro della richiesta di accesso Authentication Server, il dispositivo che effettua il controllo sulle credenziali di accesso del supplicant ed autorizza l'accesso (un server RADIUS )

Di cosa c’è bisogno? un'infrastruttura di supporto, in particolare di client che supportino 802.1X switch LAN e access point wireless che possano utilizzare 802.1X un server RADIUS e un database di account (come Active Directory). Configurazione server RADIUS

RADIUS (Remote Access Dial-In User Service) protocollo AAA (authentication, authorization, accounting) utilizzato in applicazioni di accesso alle reti o di mobilità IP. RADIUS è attualmente lo standard de-facto per l’autenticazione remota, prevalendo sia nei sistemi nuovi che in quelli già esistenti.

RADIUS: aspetti fondamentali RADIUS è un protocollo ampiamente utilizzato negli ambienti distribuiti. (router, server modem, switch ecc.) Gestione di sistemi integrati con un gran numero di utenti con informazioni di autenticazione distinte RADIUS facilita l’amministrazione utente centralizzata, (gestione operazioni di migliaia di utenti) amministrazione centralizzata  requisito operativo.

RADIUS: aspetti fondamentali(2) RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura inesistente. Un supporto RADIUS è supportato da parte dei fornitori di hardware uniformemente. Difetto UDP

Configurazione RADIUS IAS Certificate Service Server Web (Apache o IIS)

Configurazione AP Configurazione tipologia crittografia Configurazione password o certificati Configurazione indirizzi IP

Configurazione client Configurazione metodo crittografia Configurazione metodo autenticazione (MD5,PEAP) Configurazione settaggi della connessione wireless

Funzionamento Richiesta accesso nodo wireless (WN) alle risorse di una LAN (supplicant del nodo wireless) L’access point (AP) ne richiede l’identità. Nessun altro tipo di traffico è consentito oltre a EAP(EAPOL). Il supplicant fornisce le risposte all’autenticatore (si dice che invia la propria identità) che ne verificherà le credenziali.

Funzionamento (2) L’autenticatore re-incapsula i messaggi EAP(formato EAPOL) in formato RADIUS, e li passa al server di autenticazione. Il server RADIUS interpreta la richiesta RADIUS confrontando l’identità del richiedente con i clients abilitati residenti nel DB. il server di autenticazione invia un messaggio di successo (o di fallimento, se l’autenticazione fallisce). L’autenticatore quindi apre la “porta” al supplicant Dopo un’autenticazione andata a buon fine, viene garantito al supplicant l’accesso alle altre risorse della LAN e/o ad Internet.

Considerazioni 802.1x non fornisce dunque alcuna autenticazione; dare all’access point la capacità di inoltrare le credenziali del client al server RADIUS e la relativa risposta verso il client stesso. funzionalità trova compimento implementando i protocolli RADIUS e EAP.

EAP protocollo utilizzato inizialmente per dial-up PPP. L’identità era l’ username, ed era utilizzata l’autenticazione PAP o CHAP per verificare la password dell’utente. Poiché l’identità è inviata in chiaro, uno sniffer malintenzionato può venirne facilmente a conoscenza. Dopo l’autenticazione si ha un tunnel TLS crittato.

Tipologie EAP: MD5 EAP-MD5 MD5 (=CHAP) algoritmo hash a senso unico utilizzato in combinazione con un segreto condiviso e una richiesta di identificazione . basso livello di sicurezza PUNTI DEBOLI: ottenere la richiesta e la risposta hash tramite sniffing vulnerabile agli attacchi basati su dizionario.

Tipologie EAP: TLS EAP-TLS. sessione TLS (Transport Layer Security) Invio, autenticazione e convalida reciproca del certificato digitale tra il richiedente (certificato server) e il server autenticazione (certificato client) MIGLIORAMENTI: Maggiore sicurezza (rispetto all’MD5)

Tipologie EAP: PEAP PEAP (Protected EAP). PEAP avvia la procedura come EAP: sessione TLS con il richiedente Invio (solo da parte del server) dell proprio certificato digitale per la convalida. l'autenticazione del richiedente (in Windows MS-CHAPv2) tramite account tradizionali (ID e password dell'utente o del computer). PEAP-EAP-TLS configurabile. instaura due sessioni TLS completamente separate

Metodo Chiave dinamica Mutua autenticazione ID e pw Metodi di attacco Commenti MD5 No Sì Attacco basato su dizionario Man in the middle Dirottamento di sessione Facile da implementare Supportato su molti server Insicuro Richiede database con testo in chiaro TLS Offre un'elevata sicurezza Richiede certificati del client Innalza i costi di manutenzione Autenticazione a due fattori con smart-card SRP Assenza di certificati Attacco su dizionario per le credenziali Diritti di proprietà intellettuale LEAP Soluzione proprietaria Gli access point devono supportarlo

Vulnerabile allo spoofing Infrastruttura basata sul roaming GSM Metodo Chiave dinamica Mutua autenticazione ID e pw Metodi di attacco Commenti SIM Sì No Vulnerabile allo spoofing Infrastruttura basata sul roaming GSM Autenticazione a due fattori AKA Elevata sicurezza per ambienti cellulari SecurID Man-in-the-middle Dirottamento di sessione Richiede autenticazione sotto tunnel TTLS Elevata sicurezza Creazione di un tunnel TLS (SSL) sicuro Supporta i tradizionali metodi di autenticazione: PAP, CHAP, MS-CHAP, MS-CHAP V2 L'identità dell'utente è protetta (crittata) PEAP Si Simile all'EAP-TTLS Creazione di un tunnel TLS] (SSL) sicuro

802.1x reti cablate infrastruttura adeguatamente aggiornata. (supporto 802.1X per switch e router) Ogni switch richiede un certificato digitale che presenta durante l'autenticazione rispetto ai client. (soluzione costosacertificazione aziendale Windowsaffidabilità interna) client  stack IP che supporti 802.1X.

Insufficienza nelle reti cablate 802.1X è la base ideale per la protezione wireless Problemi reti cablate: Problema autenticazione della sola macchina con PEAP scadenza validità password per utente Impossibilità accesso al dominio scambio dei messaggi tra due DLL coinvolte nell'autenticazione non avviene correttamente impiego di dispositivi che non utilizzano questo standard

Insufficienza nelle reti cablate (2) scarsa gestibilità: nei criteri di gruppo AD, vi sono diversi oggetti Criteri di gruppo che consentono di gestire 802.1X nelle reti wireless ma non le interfacce cablate. il protocollo esegue l'autenticazione solo quando viene effettuato il collegamento. Il traffico successivo non viene e un’eventuale intruso può connettersi alle risorse appartenenti alla rete protetta.

Insufficienza reti cablate (3) Possibile intrusione ICMP o UDP (ping ai computer della rete e ricevere un'autorizzazione DHCP--lo stesso indirizzo IP della vittima). no TCP(reimpostazione della connessione dovuta alle continue rigenerazioni di ACK e SYN) Il computer ombra invia un pacchetto SYN a un server della rete protetta. Il server restituisce il SYN-ACK, che viene ricevuto sia dall'ombra, sia dalla vittima. Il computer vittima non aspetta un segnale SYN-ACK, quindi restituisce un segnale RST. Il server restituisce un segnale RST-ACK (confermando la ricezione dell'RST e inviando il proprio) che viene ricevuto dall'ombra e dalla vittima. L'ombra non aspetta il segnale RST-ACK, ma agisce di conseguenza e termina la connessione.

Cosa fare?? (Reti Cablate) IPSec IPsec non impedisce a un intruso di ottenere un indirizzo IP o di comunicare attraverso la LAN (è però sufficiente disabilitare la porta dello switch corrispondente a un utente che tenta di sferrare un attacco) ma è impossibilitato ad accedere alle risorse di una LAN isolamento dei domini: miglioramenti nell'isolamento dei client e nella verifica dello stato di salute dell'infrastruttura. nuove tecnologie NAP (Network Access Protection)

Cosa fare?? (Reti Wireless) 802.1x USO per reti wireless, poiché la combinazione di 802.1X ed EAP crea sessioni autenticate reciprocamente con chiavi di crittografia assegnate a ciascun richiedente (ciò viene detto "WEP dinamico").

Grazie della Vostra attenzione