La (in)sicurezza delle reti Wireless Nicola Ferrini, MCT, MCSE, CWNA, CWSP, CEH

Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione wireless sicura Possibili scenari di configurazione Progettazione della configurazione ottimale dei componenti

Perchè rete wireless sicura? Quando si progetta la sicurezza per una rete wireless, considerare : Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura

Minacce alle reti wireless Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile)

Configurazione di Default War Driving / War Chalking

Linux Tools AirCrack AirSnarf AirSnort Asleap Auditor** DriftNet Wireshark** Fake AP HotSpotter Kismet** Prismdump THC-Wardrive WarLinux WaveStumbler WEP-Attack WEP-Crack Whoppix** Wifi-Scanner WPA Cracker

Windows Tools Aerosol AirCrack APSniff APTools Wireshark** Netstumbler** StreetStumbler THC Scan WebStumbler WinDump Wlan-Expert

Attacco ad una rete wireless Tools utilizzati: Portatile con scheda 802.11b/g GPS Kismet Aireplay Airdump Aircrack Wireshark Automobile 

I nostri tools

Step1: Trovare la rete da attaccare Per prima cosa abbiamo usato Kismet per trovare una rete wireless disponibile Abbiamo cercato la rete col segnale più forte Abbiamo mappato la posizione degli access point usando il GPS Netstumbler per Windows è capace di mappare automaticamente la posizione dell’access point grazie alla funzionalità GPS integrata

WarDriving

Netstumbler

Step 2: Scegliere la rete da attaccare Abbiamo scelto il nostro target… Kismet ci indica se la rete è protetta o meno (encrypted) In più usiamo WireShark per avere altre informazioni sulla rete

Step3: Analisi della rete WLAN La WLAN ha il SSID visibile Il SSID è “universus wlan”  Ci sono diversi access point Ci sono diversi utenti collegati Open authentication method La WLAN è cifrata con una chiave WEP a 104bit La WLAN non sta utilizzando il protocollo 802.1x

Step4: Cracking the WEP key Settiamo il driver della nostra scheda di rete wireless in Monitor Mode Tentiamo un attacco di ARP Injection con Aireplay, per velocizzare il traffico e collezionare in poco tempo il maggior numero di IV (Initialization Vector) Catturiamo i pacchetti con Airdump Dopo un pò di tempo Aircrack riesce a trovare la chiave WEP della rete

Step5: Sniffing Una volta trovata la chiave WEP e configurato la scheda di rete, ci associamo all’ AP. Ci viene fornito un indirizzo ip ed entriamo nella WLAN Tuttavia nella rete è presente un proxy con una pagina di autenticazione web protetta da SSL. Non riusciamo ad entrare nella rete e a navigare in Internet Cominciamo a sniffare il traffico con Wireshark

Wireshark

Step6: Sniffing continued… In una WLAN tutti i pc collegati sono peer, quindi è facile sniffare tutti i client connessi Nel giro di un’ora riusciamo a sniffare il traffico SMTP, che è in chiaro, e ci procuriamo le credenziali di accesso di un paio di utenti

Cosa siamo riusciti ad ottenere? Accesso completo alla WLAN Accesso completo alla LAN interna dell’azienda Accesso ad Internet Accesso ai server utilizzando le credenziali sniffate degli utenti

Altre modalità di accesso Invece di sniffare un login valido, potevamo usare un exploit per tentare di trovare una vulnerabilità nota del proxy server, che non fosse già stata riparata Potevamo individuare IP e MAC address di un utente connesso e farlo disconnettere dalla rete, in modo da poter utilizzare la sua sessione di lavoro Questi metodi sono rischiosi perchè avremmo potuto essere individuati

In ogni caso…la rete è compromessa! La maggior parte delle reti wireless sono molto meno sicure dell’esempio riportato Avere una rete wireless significa mettere un”punto rete” fuori dalla propria azienda, a disposizione di tutti, se non adottiamo le dovute precauzioni

FARE WARDRIVING SIGNIFICA VIOLARE LA LEGGE ITALIANA Art. 615 ter Accesso abusivo ad un sistema informatico o telematico Art. 617 quater Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Art. 617 quinquies Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche

Gli standard wireless Standard Descrizione 802.11 Specifica base che definisce i concetti di trasmissione per le reti wireless 802.11a Velocità di trasmissione fino a 54 Mbps Range di frequenza 5 Ghz Ottima velocità, poche interferenze, non compatibile 802.11b Velocità di trasmissione fino a 11 Mbps Range di frequenza 2,4 Ghz Minor velocità, possibili interferenze, basso costo 802.11g Ottima velocità, possibili interferenze, compatibile .11b 802.11i Stabilisce processi standard di autenticazione e crittazione sulle reti wireless 802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico

WEP Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!) Fornisce le seguenti caratteristiche crittografiche: Crittazione dei dati Integrità dei dati Oggi si usano 2 standard WEP : Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2

WEP Autenticazione e Crittografia Lavora al livello data link Richiede la stessa secret key condivisa tra tutti i sistemi in comunicazione (PC e AP) Fornisce Autenticazione e Crittografia Autenticazione generata utilizzando cifratura Challenge/Response Autenticazione per device e non per utente

WEP Metodi di autenticazione Open authentication: Consente ad ogni device di autenticarsi e quindi di comunicare con l’access point. Usando questa autenticazione ogni device wireless può autenticarsi con AP, ma la comunicazione avviene solo se le chiavi WEP coincidono.

802.11 open system authentication Identificazione basata sullo scambio di due indirizzi MAC Open System Authentication Request Open System Authentication Response Wireless AP Wireless client

WEP Metodi di autenticazione Shared key: L’AP invia un testo di challenge in chiaro ad ogni device che cerca di comunicare Il device che richiede l’autenticazione cripta il testo di challenge e lo invia all’AP Se il testo di challenge è criptato correttamente l’AP ritiene autenticato il device C’è un problema fondamentale: Testo in chiaro e testo criptato sono entrambi disponibili agli attaccanti

802.11 shared key authentication Scambio di 4 messaggi che usano una chiave segreta condivisa Non raccomandato E’ possibile effettuare attacchi di “brute force” per individuare la chiave segreta condivisa Shared Key Authentication Request Shared Key Authentication Response (w/challenge text) Shared Key Authentication Request (w/encrypted challenge) Wireless client Shared Key Authentication Response Wireless AP

Vulnerabilità di WEP Non è stato progettato pensando alla Sicurezza ! Buone intenzioni Usa una secret key Checksum cifrato (con shared key) per garantire l’integrità dei dati Usa l’algoritmo di cifratura RC4 Però La chiave è “condivisa” Initialization Vector (IV) usato per cifratura è di soli 24 bit (RC4 consente IV di 40 - 128 bit) Nessuna gestione della chiave Rende il protocollo vulnerabile (“eavesdropping” & “tampering”) Possibili compromissione di confidentiality e data integrity Scarso controllo di accesso.

Vulnerabilità del WEP Può essere decifrato sia nella variante a 64 bit che in quella a 128bit (tool disponibili in Internet es. Airsnort) Le chiavi WEP statiche sono ottenibili con alcune migliaia di “Pacchetti Deboli” In base al traffico di rete, possono essere necessarie da poche ore a alcuni giorni Schede WLAN più recenti vengono progettate per minimizzare la generazione di “Pacchetti Deboli” Altri attacchi: WEP Dictionary Attack AP abusivi Non c’è mutua autenticazione. Un AP autentica un client ma i client non autenticano l’AP Accessi non autorizzati Sono autenticati solo i device (gli utenti no)

Vulnerabilità di WEP Possibili alternative a WEP? Soluzioni Alternative 802.1x Aggiunge a WEP le caratteristiche del protocollo 802.1x (meccanismi di autenticazione e autorizzazione, rotazione della chiave WEP) per mitigarne le principali debolezze e per usare un server RADIUS enterprise centralizzando i directory service. WPA WPA risolve i problemi di WEP utilizzando una tecnica di cifratura complessa (TKIP: temporal key integrity protocol). Ci saranno ulteriori miglioramenti con lo standard 802.11i. VPN VPN, creano un tunnel attraverso Internet. Sono usate nell’accesso dial-up da remoto. La tecnologia VPN può utilizzare una cifratura forte e può anche fornire l’autenticazione per utenti e terminali wireless utilizzando RADIUS. Combinazione di tecnologie Combinazione delle tecnologie esistenti.

802.11i Emendamento creato appositamente per la sicurezza Concetto critico di Robust Security Network (RSN) Una WLAN è considerata RSN se tutti i dispostivivi usano la Robust Security Network Authentication (RSNA)

Wi-Fi Protected Access (WPA) WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo “replay” Operano a livello MAC (Media Access Control)

Wi-Fi Protected Access (WPA) Quick overview Standard interim su cui si sono accordati i wireless vendors Contiene un sottoinsieme delle feature di sicurezza che sono nello standard 802.11i (è già da tempo disponibile)

Wi-Fi Protected Access (WPA) Caratteristiche di sicurezza Autenticazione Autenticazione 802.1x è obbligatoria in WPA (EAP o preshared key in SOHO) Cifratura e data integrity Temporal Key Integrity Protocol (TKIP) rimpiazza WEP per alcune operazioni Nuovo algoritmo di message integrity check (MIC) che utilizza il Michael algorithm WPA definisce l’uso di Advanced Encryption Standard (AES) come un sostituto opzionale per la cifratura WEP (dipende dalle funzionalità hardware) WPA risolve molte delle debolezze di WEP

Wi-Fi Protected Access (WPA) Disponibilità per la piattaforma Windows Windows Vista Windows Server 2008 Windows XP Service Pack 2 Service Pack 1 con il “Wireless Update Rollup Package per Windows XP” Windows Server 2003 Service Pack 1 Richiede la modifica del firmware sulle schede WLAN e sugli Access Point

WPA2 Caratteristiche di sicurezza Rispetta lo standard IEEE 802.11i WPA2 Enterprise Usa 802.1X and EAP per l’autenticazione WPA2 Personal (WPA2-PSK) Usa una preshared key per l’autenticazione Encryption methods TKIP AES

WPA2 Attualmente è il più sicuro Richiede un aggiornamento del firmware Nelle autenticazioni 802.1x usa una cache che gli permette di utilizzare il FAST ROAMING (PMK cache, Pairwise Master Key) AES è obbligatorio (vengono cifrati 128 bit di dati alla volta con una chiave di cifratura a 128 bit!)

Wi-Fi Protected Access 2 (WPA2) Disponibilità per la piattaforma Windows Windows Vista Windows Server 2008 Windows XP Service Pack 2 con il Wireless Client Update per Windows XP Windows Server 2003 Service Pack 2 Richiede la modifica del firmware sulle schede WLAN e sugli Access Point

Protocollo IEEE 802.1X

Protocollo IEEE 802.1X Standard IEEE per reti Locali e metropolitane che utilizza Port-Based Network Access Control Approvato da IEEE-SA Standards Board il 14 Giugno 2001 (http://standards.ieee.org/getieee802/download/802.1X-2001.pdf) Approvato da American National Standards Institute (ANSI) il 25 Ottobre 2001

Protocollo IEEE 802.1X Definisce un meccanismo di Autenticazione e Autorizzazione per Port-based network devices (IEEE 802 LAN) L’obiettivo è impedire l’accesso alle porte da parte dei device se il processo di Autenticazione e Autorizzazione fallisce Si basa su tecnologie esistenti: Extensible Authentication Protocol (EAP) Remote Authentication Dial-In User Service (RADIUS)

Protocollo IEEE 802.1X Si applica a tutte le tecnologie IEEE 802 (anche Ethernet) Non è specifico per reti wireless Si applica al Layer 2 (ISO/OSI): Data Link Layer Usa l’infrastruttura di rete, di switching e di routing esistente Concetti sviluppati da 3Com, HP e Microsoft

Protocollo IEEE 802.1X Cos’è la Network Access Authentication? Un meccanismo tramite cui l’accesso alla rete è ristretto alle entità autorizzate Usa EAP per trasferire le informazioni di autenticazione tra il client e il server di autenticazione Dopo autenticazione, la sessione deve essere autorizzata

AuthenticationServer (es. RADIUS) Protocollo IEEE 802.1X Rete Semi-Pubblica Rete aziendale EAP Over RADIUS AuthenticationServer (es. RADIUS) EAP Over Wireless (EAPOW) EAP over LAN (EAPOL) Authenticator (es AP) Supplicant: entità (client/user) che viene autenticata dall’Authenticator Authenticator: entità (NAS, AP) che facilità l’autenticazione di altre entità Authentication Server : entità (RADIUS Server) che fornisce un servizio di autenticazione a un autenticatore Supplicant Supplicant Non-802.1X

Protocollo IEEE 802.1X Un passo avanti Per una implementazione sicura con IEEE 802.11, si usano: RADIUS: Remote Authentication Dial-In User Service PKI: Public Extensible Key Infrastructure EAP: Extensible Authentication Protocol PEAP: Protected Extensible Authentication Protocol Active Directory: per migliorare gestione, affidabilità e sicurezza

RADIUS Remote Authentication Dial-In User Service IAS Internet Authentication Service

RADIUS Overview Remote Authentication Dial-In User Service (RADIUS) RFCs 2865 e 2866 Fornisce Autenticazione, Autorizzazione e Accounting centralizzati (AAA) per: Access Point (AP) Wireless Authenticating Ethernet switch Virtual private network (VPN) server Altri Network Access Server (eg: NAS for PSTN)

RADIUS Chiavi di Cifratura RADIUS genera chiavi di sessione per-user Usate per la cifratura WEP e WPA RADIUS server manda la chiave di sessione all’Access Point (cifrata con lo shared secret AP - RADIUS) Access point ha una global WEP key Usata durante l’autenticazione del client all’AP Inviata nel messaggio EAPOW-key Cifrata con la chiave di sessione Le chiavi sono rigenerate quando… La chiave scade (60 minuti di default per WEP e 8 ore per WPA) Il Client si connette a un altro AP

IAS Overview Internet Authentication Service Versione Microsoft di RADIUS Fornito con Windows Server Family Usa Active Directory come database degli account utente Usa le credenziali degli utenti di Dominio per l’autenticazione Per l’Autorizzazione usa le proprietà di dial-in dell’utente e le remote access policy Supporto per policy sofisticate basate su gruppi, access medium, data/ora, ecc.

IAS Remote Access Policy Insieme ordinato di regole Definiscono le regole di autorizzazione delle connessioni Basate su: Condizioni Impostazioni del Profilo Profilo e proprietà di dial-in dell’account definiscono le restrizioni della connessione

IAS Autorizzazioni per Wireless Remote access permission per gli account utente Remote access policy per tipo di connessione wireless e per gruppo Condizioni NAS-Port-Type=Wireless-IEEE 802.11 Windows-Groups membership (eg = WirelessUsers) Impostazioni del Profilo Cifratura Protocollo di autenticazione (EAP-TLS o PEAP)

IAS Infrastruttura generale Client Server VPN Server Dial-up AP Wireless Server d’accesso Proxy IAS Protocollo RADIUS Server IAS Active Directory

EAP Extensible Authentication Protocol

EAP Overview Framework per specificare i metodi di autenticazione Permette di scegliere i metodi di autenticazione Non ha sicurezza built-in I metodi di autenticazione devono incorporare metodologie di sicurezza

EAP Flusso di Autenticazione Wireless Client Wireless Server RADIUS Messaggio EAP Messaggio RADIUS Conversazione EAP

EAP EAP in IEEE 802.1x IEEE 802.1x supporta nativamente MD5-Challenge (CHAP) nell’autenticazione EAP MD5 Challenge è vulnerabile agli attacchi a dizionario MD5 challenge NON è appropriato per un accesso wireless sicuro

PEAP Protected EAP Metodo di Autenticazione basato su EAP Usa un canale cifrato durante l’autenticazione EAP E’ richiesto un certificato sul server RADIUS (per autenticare il server) Elimina gli attacchi a dizionario off-line contro le password

Come lavora 802.1X con PEAP e password Wireless Client Wireless Access Point RADIUS (IAS) 1 Client Connect 2 Client Authentication Server Authentication Mutual Key Determination 3 Key Distribution 4 WLAN Encryption Authorization 5 Internal Network

EAP/TLS Certificato utente L’utente ha il proprio certificato client Logon al Dominio tramite il certificato (no password) Mutua Autenticazione: RADIUS  Client Necessaria una PKI per gestire i certificati

IEEE 802.1X associato a IEEE 802.11

Authentication Server 802.1X Over 802.11 Authentication Server (Server RADIUS) Supplicant (client wireless) Authenticator (Access Point) 802.11 association Accesso bloccato EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request EAP-request RADIUS-access-challenge EAP-response (credentials) RADIUS-access-request EAP-success RADIUS-access-accept EAPOW-key (WEP) Access allowed

IEEE 802.1X protocol Associazione Verso la LAN l’Autenticatore ha due “porte” logiche (controllata e non controllata) L’associazione 802.11 avviene inizialmente utilizzando la porta non controllata Deve parlare con l’AP e ottenere un indirizzo IP E’ permesso solo l’accesso all’AP (porta non controllata) fino a che non si è autenticati con successo AP scarta il traffico non-EAPOL Dopo che la chiave è stata inviata (EAPOW-key), l’accesso attraverso l’AP è permesso tramite la porta controllata

Prima dell’Autenticazione Aria Access Point (Authenticator) Server RADIUS (AuthN Server) CA Directory DHCP Wireless client (supplicant) Radio Controlled port: impedisce ai client l’accesso alla LAN Radio Uncontrolled port: permette all’autenticatore di contattare il server di autenticazione

Dopo l’Autenticazione Aria Access Point (Authenticator) Server RADIUS (AuthN Server) CA Directory DHCP Wireless client (supplicant) Radio Controlled port: adesso permette al supplicant di accedere alla LAN (DHCP releases an IP address)

PEAP Windows domain logon IAS richiede identità client e invia proprio certificato per creazione canale TLS Porta non controllata AP permette il traffico sulla porta non controllata Canale TLS Chiave WEP IAS IAS valida utente e computer e quindi invia la chiave di sessione WEP Client invia credenziali proprie e utente su canale TLS 1. Richiesta di connessione wireless 2. Connessione wireless riuscita Access Point User inserisce le proprie credenziali AP permette traffico sulla porta controllata Porta controllata DHCP Client requests IP Address DHCP rilascia IP Client invia le credenziali al DC (Kerberos) DC verifica credenziali e invia TGT (Kerberos) DC

IEEE 802.1X protocol Miglioramenti nella sicurezza Cosa aggiunge 802.1x alla sicurezza WEP: Autentica utenti e/o computer prima che il client ottenga un indirizzo IP valido Gestisce le chiavi che possono essere usate per fornire autenticazione, integrità e confidenzialità per-packet Effettua frequenti scambi di chiavi e chiavi differenti sono usate per ogni client

IEEE 802.1X con PEAP Hacker Challenge 1/3 Gli attacchi per decifrare la chiave WEP (Spoofing Attack e Sniffing) sono mitigati da 802.1x e non possono essere più usati Di cosa ha bisogno un hacker per accedere a una rete protetta da 802.1x con PEAP: Certificato della Root CA usata dal server RADIUS Non è obbligatorio se il client sceglie di non validare il certificato server

IEEE 802.1X con PEAP Hacker Challenge 2/3 Username e Password di un utente wireless autorizzato Può essere ottenuto con : Chiamata che sembra provenire dall’ IT Department/Help Desk che richiede username/pwd Falsa mail dall’ IT/help Desk, modificato che richiede username/pwd, con un indirizzo “from” intercettato e un “reply to” modificato SOCIAL ENGINEERING

IEEE 802.1X con PEAP Hacker Challenge 3/3 - Esempio Received: from EXMAIL (79.3.217.226) by mail.azienda.com (7.3.122) id 465FE2CB0054C0FF for helpdesk@azienda.com; Mon, 25 Jun 2007 12:57:39 +0200 Message-ID: <000c01c7aa84$f482b440$1901a8c0@exmail> Reply-To: "IT Help Desk" <helpdeskf4ke@yahoo.com> From: "IT Help Desk" <helpdesk@azienda.com> To: "Nicola Ferrini" <nicola.ferrini@azienda.com> Subject: Modifica Password Sistema Informativo Date: Mon, 25 Jun 2007 12:57:21 +0200 MIME-Version: 1.0 (omissis....) Con la presente si comunica che a paritre dalla data di domani verranno modificate per ragioni di sicurezza tutte le password di accesso al sistema informativo aziendale. Pertanto si prega di voler comunicare i propri dati di accesso nella forma dominio\nome utente e la relativa password, facendo attenzione a rispettare le maiuscole e le minuscole. Grazie per la collaborazione Monica Spizzico, IT HelpDesk Manager www.azienda.com

IEEE 802.1X with EAP-TLS Hacker Challenge Di cosa ha bisogno un hacker per accedere a una rete protetta da 802.1x-EAP-TLS Il Certificato Utente (e/o computer) di un utente autorizzato a usare wireless Non è semplice da ottenere con social engineering o altri metodi. La cosa migliore è rubare un laptop! Username e Password per autenticarsi sul laptop per accedere ai certificati nello storage protetto Attacco brute force o social engineering

IEEE 802.1X with EAP-TLS Analisi dei rischi Controlli di Sicurezza applicati : Stessi di PEAP con metodo di Autenticazione migliore Autenticazione è fatta utilizzando il certificato utente dello user invece che username/password Certificato può essere salvato in: “storage protetto” del Computer, a cui può accedere solo l’utente dopo che ha fatto logon con Username & Password validi Smart card che deve essere rimossa dal computer e a cui si accede solo digitando il PIN (2 factor authentication)

IEEE 802.1x Vulnerabilità non risolte Debolezze di 802.11 Autenticazione/Cifratura per i pacchetti di gestione (reassociate, disassociate) Altre debolezze di WEP Bit flipping con IV conosciuti (packet spoofing) No IV replay protection Saranno risolti dai nuovi standard: Wi-Fi Protect Access (WPA) e 802.11i PEAP “user” vulnerability Utente usa password deboli e non c’è una policy per imporre password sicure

IEEE 802.1X protocol Denial of Service 802.11 messaggi associate/disassociate sono non autenticati e in chiaro Attacker può forgiare messaggi di disassociation causando Denial of Service Tutti i client sono forzati a disassociarsi e riassociarsi, il trasferimento dati è interrotto

IEEE 802.1x Disponibilità nella piattaforma Windows Client: Windows XP SP2 Windows Vista Server: Windows Server 2000-2003 IAS Windows Server 2008 IAS Backporting a Windows 2000 Client e IAS devono avere SP3 Client e IAS devono avere 802.1x client pack (KB 313664)

DEMO

Riassumendo…

Opzioni di autenticazione Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK)

La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per l’autenticazione dei client Password usate per l’autenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre-Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) Nessuno NO SI Usa la chiave di crittazione WPA per l’autenticazione alla rete WPA PEAP + password (PEAP-MS-CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS (ma almeno un certificato deve essere rilasciato per validare il server IAS) WPA o chiave WEP dinamica Certificati (EAP-TLS) Aziende medio/grandi Servizi Certificati (possibilita’ di modifica, inserendo la richiesta di password)

Requisiti per 802.1X Componenti Requisiti Client computers Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000 802.1X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati Necessari Potrebbero anche non essere Microsoft Wireless access points Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura Active Directory, DNS, DHCP

Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication)

Componenti richiesti per 802.1X con EAP-TLS Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication)

Progettare la PKI Define l’infrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare l’auto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)

Implementare RADIUS (IAS) Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando “netsh ras add registeredserver” Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno “nativo” Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS

Configurare gli Access Point Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il “SSID broadcast” Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)

Configurare le Remote Access Policy su IAS Configurare le “Conditions” “NAS-Port-Type” impostato su “Wireless 802.11 Configurare eventuali restrizioni di gruppo e/o orarie Configurare le “Permissions” Tipicamente impostare su “Grant access” Configurare il “Profile” Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni

Controllare l’accesso WLAN con i gruppi di sicurezza IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy Esempi di gruppo Membri del gruppo Accesso wireless Utenti wireless Computer wireless {utenti che lavorano su pc wireless} {computer che hanno una scheda di rete wireless}

Configurare i client wireless Tramite Group Policy E’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) “The key is provided automatically” (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)

Informazioni aggiuntive Dove trovare risorse: Securing Wireless LANs with Certificate Services http://go.microsoft.com/fwlink/?LinkId=14843 Security Wireless LANs with PEAP and Passwords http://www.microsoft.com/technet/security/topics/cryptographyetc/ peap_0.mspx Security Guidance Center: http://www.microsoft.com/italy/security/guidance/default.mspx Ultime novità sul wireless in Windows XP SP2, Windows Vista Windows Server 2003 Release 2 http://www.microsoft.com/windowsserver2003/technologies/ networking/wifi/default.mspx