Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista della sicurezza Giovanni Bobbio - CTO Communication Valley S.p.A.
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Agenda Telefonia tradizionale e wireless LAN – Funzionalità e benefici – Il punto della situazione (focus sulla sicurezza) – Ipotesi di soluzione Una visione dinsieme
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Wireless – Le funzionalità Mobilità, accessibilità, connettività Facilità negli spostamenti allinterno degli uffici Disponibilità di servizi in luoghi pubblici: – Aeroporti – Internet café – Congressi
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Wireless – I benefici Produttività – Collaborazione più facile – Senza la necessità di riconnettersi – Configurazione indipendente dalla posizione fisica Riduzione dei costi – Semplicità duso e di deployment – Apparati economici – Nessun cablaggio dei terminali, anche nei posti poco raggiungibili o non cablabili (in Italia, i palazzi storici)
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Perché è un problema?
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless La sicurezza delle WLAN SSID: Service Set Identifier – Identifica una rete wireless (un insieme di AP) – Open/closed network – Una scheda di rete wireless deve conoscere il SSID della rete per collegarsi – Pensato per la facilità duso e per scegliere la rete a cui collegarsi – Valori di default
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless MAC address MAC: Media Access Control Filtering – Ogni scheda wireless (ed Ethernet) ha un identificativo unico – Gli access point possono consentire laccesso solo a determinati MAC – Implica mantenere liste aggiornate e condividerle tra gli APN – Non solo identificano la scheda e non lutente ma possono essere modificati (spoofing) 00:D0:59:B9:C0:AB
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Wired Equivalent Privacy (WEP) Algoritmo + chiave (40 – 128 bit) Segreto condiviso tra client e AP – Nella fase di autenticazione – Passivamente: raccogliendo quantità sufficienti di traffico ed analizzandole – Attivamente: inserendo traffico (plain text) noto Tutti gli utenti di una rete condividono la stessa chiave Cifra solo il payload, non gli header Obiettivo minimo –> Chiavi WEP dinamiche, per utente/per sessione
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless In definitiva… Cifratura e autenticazione insufficienti o inesistenti Client e reti insicuri per default Sniffing, war driving, bye bye firewall Denial of service sugli AP Nessuna policy su rete ed utenti (AAA)
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Wireless – Standard IEEE IEEE a IEEE b IEEE e IEEE h [IEEE 802.1x]
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Procedura di accesso 802.1x ~ ~ Access Point Other network servers And services Wireless Client Authentication Server (RADIUS) 5 5) Lutente ha accesso ai soli servizi per i quali è autorizzato 1 1) Lutente richiede lautenticazione. AP non dà accesso e fa da proxy. 2 2) Credenziali cifrate vengono mandate a un server di autenticazione (RADIUS) 3 3) ACS autentica lutente. AAA, OTP, certificati X.509, ACL su firewall, etc. 4 Encrypted WEP (dynamic) 4) La porta viene abilitata e lAP assegna dinamicamente le chiavi WEP al client
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Wireless VPN POTS Dialup Inter net ISP Access Point Airport, Hotel or Home Firewall Secure VPN connection Firewall VPN Server DNS Server DHCP Server Network DMZ ~ ~ Secure VPN connection
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Wireless – Prime conclusioni Sicurezza in via di miglioramento – Nuovi protocolli: accesso alle porte, cifratura, key management – 802.1x permette di integrarsi con funzioni di alto livello Tutto qui? – Tecnologia OK, ma… – Policy management ed enforcement – Adozione di rimedi tipici delle reti IP (IDS, VPN) – Ciclo di vita della sicurezza globale
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Telefonia fissa Vicina della rete dati Forte impatto sia economico che sulla sicurezza
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Telefonia fissa – I problemi Economici – Chiamate internazionali – Servizi a valore aggiunto – Chiamate agli ISP (costo) – Utilizzo delle linee fax per altri usi Infrastrutturali – % utilizzo nelle ore di picco / a regime – Distribuzione delle risorse
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Telefonia fissa – I problemi Sicurezza – Modem autorizzati insicuri (chiamate in ingresso non controllate) – Modem non autorizzati (chiamate in uscita e accesso allinterno) – Chiamate agli ISP (bypass dei firewall/proxy) – Interconnessioni tra PSTN e IP
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Dalla linea telefonica alla rete dati LAN Server Stazioni di Lavoro Internet Centro Commutazione ISP Attaccante PSTN IDS Firewall PBX Voic Telefoni Fax Lattaccante entra dalla rete telefonica pubblica Modem Compone una serie di numeri per cercare un modem. Il PBX inoltra la chiamata Accede alle risorse di rete Trova il modem settato in modalità risposta e lo forza
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless I modem LAN Server Stazioni di Lavoro Internet Centro Commutazione ISP Attaccante PSTN IDS Firewall PBX Voic Telefoni Fax Lattaccante entra dalla rete telefonica pubblica Il PBX smista tutte le chiamate in entrata e rende vulnerabili voic , fax e rete. Il modemlasciato acceso in modalità risposta per connessioni da casa fuori dallorario di lavoro Il modem autorizzato collegato a risorse critiche e non protetto Il modem collegato durante le ore di lavoro Accesso alle risorse di rete
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Telefonia – Soluzioni tradizionali Policy e procedure sulluso War dialing per scoprire modem Confidenzialità –> Cifratura one-to-one con hardware specializzato Blocco numeri sul centralino per limitare le chiamate indesiderate
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Telefonia – Soluzioni nuove Firewall VPN IDS AAA In breve: applicazione efficace delle policy
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Firewall e IDS LAN Server Stazioni di Lavoro Internet Centro Commutazione ISP Attacante PSTN IDS Firewall IP PBX Voic TelefoniFax Modem Firewall PSTN Server ETM Bloccato! Allarme!
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless VPN e AAA PBXs Firewall PSTN LAN Server Stazioni di Lavoro Internet Centro Commutazione ISP PSTN IDS Firewall PBX & Voic Telefoni Fax Modem Firewall PSTN Management Ufficio Milano Ufficio Roma Ufficio Palermo
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Conclusioni Dallusabilità alla sicurezza Pianificazione, integrazione Ciclo della sicurezza integrato – Protezione (Firewall, AAA, VPN) – Monitoraggio (log, IDS) – Risposta (Utilizzo delle informazioni - Policy applicabili)