Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoMalvolia D agostino Modificato 11 anni fa
1
Sicurezza nel wireless e interoperabilità Lecce, 21 maggio 2004
2
Vascello “Elettra”, primi del ‘900
Wireless? Vascello “Elettra”, primi del ‘900 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
3
Principali scenari d’adozione del wireless
UTENTE RETE DI ACCESSO RETE DI TRASPORTO TACS GSM UMTS WiFi WLL GPRS/ EDGE WiFi INFRAROSSO BLUETOOTH UHF/ VHF LASER SATELLITE SATELLITE UHF/ VHF PONTI RADIO (MICROONDE) UHF/ VHF © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
4
Caratteristiche delle piattaforme wireless (trasmissione dati)
Le soluzioni wireless oggi disponibili si differenziano sensibilmente per: tecnologia, area di copertura, capacità di banda, livello di maturità tecnico/ commerciale. © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
5
Considerazioni introduttive sui sistemi wireless
Lato utente, il wireless è diventata la soluzione tecnologica abilitante per le principali tendenze evolutive dei servizi: Convergenza voce-dati Multimedia (messaggi, videoconferenza, videochiamate) Mobilità Lato sistema (operatori, infrastruttura) questo ha comportato: Supporto di servizi diversi con requisiti distinti sulla stessa infrastruttura Integrazione di reti un tempo distinte (“Apertura delle reti” a livello di sistema) Incremento delle interdipendenze tra le reti Maggiore complessità di gestione del “mondo delle comunicazioni” Integrazione di molteplici tecnologie di accesso (“Apertura delle reti” a livello di utente e di accesso) © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
6
Considerazioni introduttive sulla sicurezza dei sistemi wireless
I sistemi wireless presentano vulnerabilità differenti. Questo dipende essenzialmente da: Caratteristiche tecnologiche Campo/ settore d’adozione Tipologia, caratteristiche e numerosità dell’utenza Il rischio stimabile per ciascun sistema varia con il modello di integrazione e la funzione svolta in ambiti più complessi e/ o strutturati: alle piattaforme utilizzate come soluzioni di “nicchia” per impieghi speciali (ad esempio radio VHF o telefoni satellitari) e isolate dal resto del mondo delle comunicazioni si contrappongono le WLAN pubbliche integrate in Internet sono ormai numerose le soluzioni/ i device wireless con diffusione capillare (milioni di esemplari) nella società: telefoni mobili (GSM, GPRS, UMTS, Bluetooth), palmari (GSM, Bluetooth, WiFi, infrarossi), laptop (infrarossi, WiFi), ecc. © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
7
Considerazioni introduttive sulla sicurezza dei sistemi wireless
I principali punti d’attenzione riguardanti la sicurezza, collegati al processo di innovazione nelle comunicazioni relativo alle piattaforme wireless, sono tutt’altro che trascurabili UTENTE OPERATORE Riservatezza della comunicazione voce … Gestione appropriata di nuovi dati relativi ai clienti (ad es. per Location Based Services) Riservatezza della comunicazione dati (streaming) Garanzia della sicurezza delle reti di accesso (monitoraggio, intervento) Riservatezza di dati relativi alla persona Garanzia della disponibilità delle reti di accesso Riservatezza della comunicazione dati (transazioni) Autenticazione degli utenti wireless Integrità della comunicazione dati … Disponibilità dei terminali © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
8
Principali scenari d’adozione del wireless
UTENTE RETE DI ACCESSO TRASPORTO SITO VOCE DATI Fino a oggi la sicurezza aveva declinazioni molto differenti, in funzione delle caratteristiche delle informazioni trasferite (voce o dati) Il trend di convergenza voce-dati e di integrazione su una unica infrastruttura (ad es. ToIP su WiFi) porta all’unificazione delle tematiche Ai fini della sicurezza complessiva è determinante il modello di integrazione del collegamento wireless considerato nel sistema esteso © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
9
Alcuni situazioni comuni relative alla sicurezza nel wireless
Canali di comunicazione di livello 2/ 3 OSI Protezione e monitoraggio costante di apparati e collegamenti WEP disabilitato Autenticazione utenti disabilitata Indirizzi MAC non utilizzati Mancata adozione di tunnel Impostazioni di sicurezza dei device disabilitate o impostate a livello di default Password gestite non correttamente Device non protetti da password opportune Password di servizi speciali lasciate a valori di default RISCHIO ACCETTATO? © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
10
Livello fisico (Modulazione SS)
Una possibile mappatura delle tre dimensioni (RID) sui layer ISO/ OSI per le comunicazioni wireless LIVELLI ISO-OSI SISTEMI WIRELESS LIVELLO 7 APPLICAZIONI S/W WIRELESS INTEGRITA’ LIVELLO 6 LIVELLO 5 RISERVATEZZA LIVELLO 4 TCP LIVELLO 3 IP LIVELLO 2 WIRELESS LINK PROTOCOL DISPONIBILITA’ LIVELLO 1 Livello fisico (Modulazione SS) © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
11
Intercettazione delle comunicazioni
Caratteristiche intrinseche delle tecnologie wireless e implicazioni sulla sicurezza Il mezzo trasmissivo, condiviso e non delimitato fisicamente, fa sì che i sistemi wireless presentino una naturale esposizione alla compromissione di due delle tre dimensioni fondamentali della sicurezza delle informazioni INTEGRITA’ RISERVATEZZA Intercettazione delle comunicazioni E’ sufficiente un sistema di ricezione “intruso” simile a quello ricevente DISPONIBILITA’ Indisponibilità totale causata da interferenza spuria o intenzionale nella gamma di frequenza d’interesse © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
12
Evoluzione dell’ambiente wireless e delle minacce
“Protecting against difficult attacks makes no sense if there is no protection against the easy forms of attack” (Niels Ferguson e Bruce Schneier, “A Cryptographic evaluation of IPSec”) UTENTE RETE DI ACCESSO TRASPORTO SITO MOBILITA’ ACCESSO NON AUTORIZZATO AI DEVICE (FURTO/ SMARRIMENTO) ATTIVITA’ DA E PRESSO SITI PUBBLICI (UNTRUSTED) I device wireless (più in generale mobili) diventano insidiosi “trampolini” per penetrare nelle reti delle organizzazioni Recenti ricerche evidenziano come la grande maggioranza dei device mobili (wireless) non dispongono di protezioni per cautelarsi dagli hacker e dall’utilizzo non autorizzato IL FATTORE UMANO ASSUME IMPORTANZA ANCORA MAGGIORE, NON ESSENDO PIU’ CONFINATO IN PERIMETRI (AZIENDALI) “TRUSTED” © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
13
Wireless LAN: la famiglia di standard 802.11
È allo studio dell’IEEE dal 1990, lo standard b risale al 1997 Definisce le caratteristiche di un collegamento radio a breve-media distanza (10 – 100 m.) basato su CSMA/ CA (Carrier Sense Multiple Access with Collision Avoidance) La comunicazione avviene tra device e un Access Point Funziona nella banda di frequenze dei 2.4 e 5.4 Ghz Ha un bitrate massimo nominale di 108 Mbps CSMA/ CA è un protocollo di Livello 2 (pila ISO/ OSI) che prevede primitive di gestione dell’accesso dei device tramite l’instaurazione di associazioni autenticate L’adozione dello standard permette l’interoperabilità dei sistemi di produttori differenti, anche se le implementazione proprietarie, soprattutto delle funzionalità di sicurezza, hanno un peso significativo © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
14
Caratteristiche principali di 802.11
Standard Copertura tipica (raggio in metri) Portante Velocità (Mbps) Tecnica di modulazione Note 802.11a 15 – 25 5.4 GHz 6 – 54 Orthogonal Frequency Division Multiplexing (OFDM) 802.11b 20 – 100 2.4 GHz 1 – 11 Direct Sequence Spread Spectrum (DSSS) Compatibile con g Usa tre canali condivisi anche da sistemi Bluetooth, Cordless e micronde (forni) 802.11g 11 – 54 Compatibile con a Bluetooth 2 - 10 Max 1 Frequency Hopping Spread Spectrum (FHSS) Implicazioni relative alla sicurezza All’aumentare della frequenza diminuisce la propagazione attraverso le infrastrutture: a (5 GHz) riduce le possibilità di “eavesdropping” All’aumentare della frequenza gli attacchi che richiedono la raccolta di dati sono più rapidi © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
15
Caratteristiche principali di 802.11 – Soluzioni di sicurezza
WEP WTLS 802.11i, TKIP & AES MAC Filtering WPA EAP-MD5 EAP- TTLS EAP-PEAP EAP-TLS ENCRYPTED TUNNEL/ VPN TKIP EAP-LEAP Le soluzioni di sicurezza per x sono in costante evoluzione L’obiettivo di riferimento è la definizione e l’implementazione di WPA2/ i La molteplicità delle soluzioni implementabili presenta tuttora ricadute significative in termini di interoperabilità © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
16
Principali tecniche di violazione della riservatezza – 802.11
MINACCIA REQUISITI PER L’ATTUAZIONE DELLA MINACCIA CARATTERISTICHE/ RISULTATI ANALISI DEL TRAFFICO Scheda WiFi, applicazione s/w per contare i pacchetti trasmessi e la dimensione. Si possono ottenere informazioni sulla dislocazione fisica degli AP, sulla tipologia (SSID), sui protocolli usati ASCOLTO PASSIVO Scheda WiFi, sniffer Rete “ascoltata” priva di encryption Utente monitorato con encryption disabilitata Lettura dei dati Informazioni da header TCP/ IP (origine, destinazione, dimensioni, ecc.) ASCOLTO PASSIVO, WEP-CRACKING Rete “ascoltata” con WEP abilitato Violazione di WEP possibile entro un massimo di alcune ore, in casi particolari entro alcune decine di minuti ASCOLTO ATTIVO CON “PLAIN TEXT” NOTO O PARZIALMENTE NOTO Scheda WiFi, sniffer, applicativo s/w per iniezione di pacchetti artefatti Inoltro della copia di pacchetti a un intruso, a insaputa del trasmittente © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
17
Principali tecniche di violazione dell’integrità - 802.11
MINACCIA REQUISITI PER L’ATTUAZIONE DELLA MINACCIA CARATTERISTICHE/ RISULTATI ACCESSO NON AUTORIZZATO Scheda WiFi, sniffer Configurazione di rete Accesso alla rete Utilizzo non autorizzato delle risorse di rete (ad es. navigazione web) Possibile accesso ai componenti non wireless della rete “SESSION HIGH JACKING” Violazione dell’integrità della sessione L’intruso si presenta all’Access Point con l’identità del trasmittente “MAN-IN-THE-MIDDLE” VPN (layer 3), IPSEC Lettura di dati privati da una sessione Modifica dei pacchetti di una sessione © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
18
Principali tecniche di compromissione della disponibilità - 802.11
MINACCIA REQUISITI PER L’ATTUAZIONE DELLA MINACCIA CARATTERISTICHE/ RISULTATI INTERFERENZA NELLO SPETTRO DI FREQUENZE Trasmettitore nello spettro di frequenze considerato, sufficientemente potente Impossibilità completa di utilizzo della rete DENIAL OF SERVICE (DOS) Generatore di traffico specifico Sovraccarico degli elementi di rete con traffico di gestione Presenza della portante, ma impossibilità di transito (parziale o completa) per i dati degli utenti agganciati alla rete © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
19
Bluetooth È un collegamento radio a breve distanza (10 – 30 m.) intra-device: la comunicazione avviene direttamente tra i singoli device, senza necessità di Access Point Funziona nella banda di frequenze dei 2.4 Ghz Ha un bitrate massimo di 1 Mbps Impiega un “frequency hop transceiver” per minimizzare fenomeni di interferenza e di attenuazione del segnale È prevista l’interoperabilità tra device di produttori differenti per applicazioni specifiche (service/ use case) se i device sono conformi alle specifiche definite dal Bluetooth-SIG Prevede 3 modalità principali di sicurezza: Sicurezza disabilitata Sicurezza a livello di applicazione/ servizio Sicurezza a livello di link (autenticazione con PIN/ indirizzo MAC/ encryption) © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
20
Sicurezza e interoperabilità
In generale, la rilevanza dell’interoperabilità di apparati/ sistemi diversi in una data realtà è funzione di: necessità di interconnessione con altre realtà necessità di operare con sistemi diversi numerosità dei device che attivi nella realtà specifica Esiste una forte dipendenza tra sicurezza e interoperabilità; l’indipendenza da uno standard permette di ottimizzare le funzionalità di sicurezza in funzione dei costi e delle esigenze specifiche In linea di principio, inferiore è il Livello OSI criptato, maggiore è il grado di sicurezza ottenibile. Peraltro, all’aumentare del grado di sicurezza garantito dalle soluzioni si evidenziano tipicamente due svantaggi: aumenta la dipendenza da componenti proprietari dei produttori a parità di costi complessivi, diminuiscono le prestazioni dei sistemi © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
21
Note conclusive Il considerare la sicurezza in modo puntuale (singolo link, segmento di rete wireless, apparato) e a livello esclusivamente tecnologico ha una validità puntuale che non rispecchia la realtà, caratterizzata da piattaforme di comunicazione complesse e integrate Vale anche per il wireless l’asserzione: “La sicurezza complessiva è in relazione diretta alla sicurezza del link/ del componente più debole del sistema” Con riferimento a quanto esplicitato in precedenza, la rete di accesso e l’ambito “utente” sono fondamentali per supportare un modello di sicurezza complessiva © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
22
Note conclusive È auspicabile una maggiore consapevolezza di utenti, operatori e produttori, affinché nella “catena del valore” del wireless non vi sia un anello eccessivamente debole che potrebbe inficiare la sicurezza complessiva Ne consegue un incremento rispetto al passato degli oneri di gestione della sicurezza (wireless) a carico dell’utente, variabile in funzione della specifica soluzione tecnologica. Questo permetterebbe di considerare un rischio accettato, e non semplicisticamente un rischio ignorato © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
23
Vascello “Elettra”, primi del ‘900
Note conclusive Vascello “Elettra”, primi del ‘900 © 2004 Nolan, Norton Italia - KPMG Business Advisory Services S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.