Wireless
Franco Brasolin
Servizio di Calcolo e Reti
Sezione INFN di Bologna
III INFN Workshop – Cagliari, 25-27 Maggio 2004
Introduzione
› La tecnologia Wireless è in costante evoluzione,
›
›
›
›
anche nelle nostre sedi.
Vediamo quindi una panoramica della situazione nelle
Sezioni e Laboratori INFN, per valutare le soluzioni
utilizzate.
Prenderemo in esame alcune caratteristiche
disponibili per il Vendor più diffuso.
Faremo alcune valutazioni sulle differenze tra i due
standard utilizzati: 802.11b e 802.11g.
Breve panoramica sugli Sniffer
III INFN Workshop – Cagliari 25-27 Maggio 2004
2
Report Wireless nell’INFN - intro
› Vediamo un report dell’utilizzo Wireless, valutando le
principali caratteristiche e soluzioni implementate nelle varie
Sezioni e Laboratori.
›
Sono state contattate tutte le Sezioni e i Laboratori:
totale 24 sedi
› Tutti usano wl: 130 AP installati, anche se con modalità
(autenticazione) e copertura diverse: principalmente sale
riunioni (tutti), solo alcune sedi forniscono questo servizio
negli uffici.
III INFN Workshop – Cagliari 25-27 Maggio 2004
3
Report WL INFN: Policy & Analisi Radio
Policy per il WIRELESS
(Si : 7 Sedi su 24)
23%
SI
77% NO
Analisi del segnale WIRELESS
(Si : 15 Sedi su 24)
38%
62% SI
III INFN Workshop – Cagliari 25-27 Maggio 2004
4
NO
Report WL INFN: dove – quando - quanto
Apparati WL installati in luogo sicuro
(Si : 17 Sedi su 24)
71% SI
29%
Servizi WL funzionano solo a orari prestabiliti
(Si : 10 Sedi su 24)
42%
SI
58% SI
SI
Copertura media (%)
valor medio 38%
Servizi WIRELESS anche per gli uffici
(Si : 13 Sedi su 24)
54% SI
46%
NO
12
10
8
6
4
2
0
10
20
30
40
50
60
70
%
III INFN Workshop – Cagliari 25-27 Maggio 2004
5
80
90
100
Report WL INFN – quali AP?
Access Point utilizzati nelle Sedi INFN (Cisco
76%)
60
802.11b e 802.11g
16
14
50
12
40
10
30
8
6
20
4
10
2
0
tr o
Al
In
te
rn
et
t
om
Tr
ic
Ha
m
le
su
Fu
jit
Ne
tg
ea
r
Dl
in
k
12
00
b
b+g
g
Ci
s
co
11
00
co
Ci
s
Ci
s
co
35
0
0
Utilizzano o hanno testato antenne particolari
(Si : 6 Sedi su 24)
25% SI
III INFN Workshop – Cagliari 25-27 Maggio 2004
75%
NO
6
Report WL INFN – Autenticazione
MAC address
MAC + altro
54% richiedono autenticazione
NoCat
accesso libero
2
1
10
11
III INFN Workshop – Cagliari 25-27 Maggio 2004
7
Report WL INFN – SSID & WEP
SSID diversa dal default
(Si : 23 Sedi su 24)
96%
SI
4% NO
SSID non divulgata in broadcast
(Si : 14 Sedi su 24)
42%
58% SI
NO
Utilizzano WEP
(Si : 4 Sedi su 24)
17%
III INFN Workshop – Cagliari 25-27 Maggio 2004
83% NO
SI
8
Report WL INFN – IP
DHCP su AP
(Si : 3 Sedi su 24)
13%
SI
87% NO
IP pubblici / privati
7 privati
15 pubblici
IP filtrati
2 entrambi
38% SI
III INFN Workshop – Cagliari 25-27 Maggio 2004
62% NO
9
Report WL INFN – VLAN & VPN
VLAN
(Si : 6 Sedi su 24)
17% SI
75% NO
VPN
(Si : 1 Sedi su 24)
4% ospiti
4% SI
III INFN Workshop – Cagliari 25-27 Maggio 2004
96% NO
10
Report WL INFN – Log & Sniff
LOG centralizzato
(Si : 7 Sedi su 24)
29% SI
71% NO
Ricerca di "facked" AP
(Si : 10 Sedi su 24)
58% NO
42% SI
Utilizzano Sniffer WL
(Si : 5 Sedi su 24)
79% NO
21% SI
III INFN Workshop – Cagliari 25-27 Maggio 2004
11
Report WL INFN – client
Schede consigliate agli utenti
(Si : 16 Sedi su 24)
Numero di client stimati nelle Sezioni
(istogramma)
67% SI =
- 56% Cisco
- 44% Altro
33% NO
8
7
6
5
4
3
2
1
0
Servizio di prestito schede WL
(Si : 12 Sedi su 24)
20
40
60
80
100
More
50% SI
III INFN Workshop – Cagliari 25-27 Maggio 2004
50% NO
12
Report WL INFN – Ospiti come?
Controllo degli accessi per gli ospiti
4% libero
71% MAC
4% SSID+MAC
4% Nocat
4% WEP Key
13% SSID
III INFN Workshop – Cagliari 25-27 Maggio 2004
13
Report WL INFN – manutenzione
Firmware Upgrade
(Si : 17 Sedi su 24)
71% SI
29% NO
Salvataggio della configurazione AP
(Si : 10 Sedi su 24)
58% NO
42% SI
III INFN Workshop – Cagliari 25-27 Maggio 2004
14
Report WL INFN – sviluppi
III INFN Workshop – Cagliari 25-27 Maggio 2004
15
IP
TR
no
ca
t
si
cu
re
zz
a
80
2.
11
g
IP
pr
iv
at
i
N
VP
VL
AN
ra
di
us
80
2.
1x
ne
ss
un
o
co
pe
r
tu
ra
10
9
8
7
6
5
4
3
2
1
0
Cisco AP 350: upgrade IOS - 1
AP Cisco 350 sono i più diffusi. E’ possibile effettuare su questi
AP l’upgrade ad IOS vers. 12.2(13)JA1. Vantaggi:
› possibilità di lavorare su un file di configurazione in formato
testo, duplicabile anche su altri AP dello stesso tipo.
› WPA (WIFI Protected Access).
› SSH.
› Controllo MAC Address su host remoto.
› Possibilità di configurare fino a 16 SSID associabili a diverse
VLAN.
› Stessa interfaccia (Web o ios) per configurare AP 350 e
1100/1200.
III INFN Workshop – Cagliari 25-27 Maggio 2004
16
Cisco AP 350: upgrade IOS - 2
›L’upgrade si effettua da un PC Win utilizzando il tool
Cisco Aironet Conversion (CAC).
›Scaricare dal sito web Cisco manuale, CAC tool e Helper Image.
›Installare CAC tool sul PC.
›Il tool lavora in due fasi:
- salva la configurazione precedente dell’AP
- carica sull’AP l’ IOS e la configurazione precedente riadattata
NB:
› Solo sulle seguenti versioni di AP 350 non-IOS è possibile effettuare
l’upgrade: 12.03T, 12.02T1, 12.01T1, 12.00T, 11.23T, 11.21
› l’operazione non è reversibile
› dura parecchi minuti ( ~ 15 )
› disabilitare eventuali Personal FW (il tool utilizza TFTP)
III INFN Workshop – Cagliari 25-27 Maggio 2004
17
Cisco AP 350: upgrade IOS – 3
salvataggio configurazione
III INFN Workshop – Cagliari 25-27 Maggio 2004
18
Cisco AP 350: upgrade IOS – 4
salvataggio configurazione
III INFN Workshop – Cagliari 25-27 Maggio 2004
19
Cisco AP 350: upgrade IOS – 5
Caricamento IOS
III INFN Workshop – Cagliari 25-27 Maggio 2004
20
› Clock
IOS: comandi utili - 1
# clock set 10:45:00 24 may 2004
Al reboot perde la data!
# conf t -> ntp server x.y.z.k
› SSH
# conf t ->
ip domain-name xx.infn.it
crypto key generate rsa 1024
# show ip ssh per vedere la configurazione
# show ssh
per vedere le connessioni attive
# conf t -> access-list 111 permit tcp any any neq telnet
III INFN Workshop – Cagliari 25-27 Maggio 2004
21
IOS: comandi utili - 2
› autenticazione MAC Address su Radius Server
# conf t -> aaa group server radius rad_mac ->
server x.y.z.k auth-port 1812 acct-port 1813
# conf t ->
aaa authentication login mac_methods local
Local
aaa authentication login mac_methods group rad_mac
Radius
aaa authentication login mac_methods local group rad_mac
Local+Radius
radius-server host x.y.z.k auth-port 1812 acct-port 1813 key 7 abcdef
III INFN Workshop – Cagliari 25-27 Maggio 2004
22
› DNS
IOS: comandi utili - 3
# conf t -> ip name-server x.y.z.k
› Save configurazione su AP
# copy running-config startup-config
› Save configurazione su host remoto
# copy system:/running-config tftp:/tmp/xyz
› Logging remoto
# conf t -> logging facility local0
logging x.y.z.k
III INFN Workshop – Cagliari 25-27 Maggio 2004
23
WPA - WiFi Protected Access - 1
Per superare la debolezza della cifratura WEP, il Working
Group 802.11 ha lavorato su un nuovo Security Protocol, che
possa garantire una sicurezza equivalente a quella delle reti
Wired.
Il risultato è stato WPA (WiFi Protected Access). E’ progettato
per essere installato come Firmware Upgrade per l’HW che già
implementa WEP, aggiungendo un ulteriore livello di sicurezza, e
per essere compatibile con lo standard 802.11i (RSN = Robust
Secure Network). Utilizza la cifratura TKIP (Temporary Key
Integrity Protocol) e l’autenticazione è basata su 802.1X e EAP
(Extensible Authentication Protocol).
III INFN Workshop – Cagliari 25-27 Maggio 2004
24
WPA – caratteristiche - 2
›Genera periodicamente e automaticamente una nuova chiave per ogni
client.
›Implementa un meccanisco di controllo dell’integrità del messaggio
(MIC: Message Integrity Code, 8byte) più rubusto di quanto non faccia
WEP con ICV (Integrity Check Value, 4byte).
›L’autenticazione è basata su 802.1X: inizalmente il client si autentica
sull’AP, poi WPA si interfaccia con un Authentication Server (Radius o
LDAP).
›Se un client manda almeno due pacchetti ogni secondo con chiavi
sbagliate, l’AP termina TUTTE le connessioni per un minuto! Questo
meccanismo di protezione può essere usato per provocare DoS.
›La disponibilità sotto forma di Firmware Upgrade preserva gli
investimenti già fatti.
›Lo standard 802.11i sarà backward compatible con WPA, ma includerà
anche un miglior sistema di cifratura (AES, Advanced Encryption
Standard) opzionale: AES richiede infatti un coprocessore non
disponibile in tutti gli AP.
III INFN Workshop – Cagliari 25-27 Maggio 2004
25
AP Cisco 1200 con 802.11b & 802.11g – test 1
›da laptop wireless a desktop wired; distanza laptop – AP 1m
›Un solo client wireless
›Tutte le misure in Mb/s
netperf –l 120 –H x.y.z.k
TCP
netperf –H x.y.z.k -t
UDP_STREAM -- -m 50000
UDP
D-Link G650+
19,82
27,08
D-Link G650
20,73
27,60
US Robotics 5410
20,00
28,00
Cisco Aironet 350
5,87
6,84
Belkin usb
4,86
5,84
III INFN Workshop – Cagliari 25-27 Maggio 2004
26
AP Cisco 1200 con 802.11b & 802.11g – test 2
›da laptop wireless a desktop wired; distanza laptop – AP 1m
›due client wireless: il secondo con Aironet 350 (802.11b)
connesso all’AP ma inattivo.
›Tutte le misure in Mb/s
netperf –l 120 –H x.y.z.k
TCP
netperf –H x.y.z.k -t
UDP_STREAM -- -m 50000
UDP
D-Link G650+
8,94
14,28
D-Link G650
11,82
17,21
US Robotics 5410
8,20
11,68
› L’AP lavora alla velocità del client più lento
III INFN Workshop – Cagliari 25-27 Maggio 2004
27
Repository:
Sniffer:
http://www.wardriving.com/code.php
http://www.remoteassessment.com/?op=pub_archive_search&query=wireless
http://www.personaltelco.net/index.cgi/WirelessSniffer
http://www.zone-h.org/en/download
Windows:
SoftPerfect 99$
Airsnare
Link Ferret
$$
Aerosol (prism2)
Apsniff (prism2)
WisEntry (AP Detection)
Linux:
›Wellenreiter
›Kismet
›Redfang – bluetooth
http://www.softperfect.com/
home.comcast.net/~jay.deboer/airsnare
http://www.linkferret.ws
http://www.sec33.com/sniph/aerosol.php
http://www.zone-h.org/download/file=4879/
$$
www.WiMetrics.com
http://www.zone-h.org/download/file=4875/
www.kismetwireless.net
http://www.zone-h.org/download/file=4989/
III INFN Workshop – Cagliari 25-27 Maggio 2004
28
Win Sniffer: SoftPerfect
› Nework Monitor & Protocol Analyzer
› supporta sia Ethernet che 802.11b
› Filtri
› disponile in Demo
› per Windows, a pagamento (99$):
http://www.softperfect.com/
III INFN Workshop – Cagliari 25-27 Maggio 2004
29
Win Sniffer: Link Ferret
› Nework Monitor & Protocol Analyzer
› supporta sia Ethernet che 802.11b
› Filtri
› Allarmi
› disponile in Demo
› per Windows, a pagamento:
www.linkferret.ws
III INFN Workshop – Cagliari 25-27 Maggio 2004
30
Win Sniffer: Air Snare
›Alert per Mac Address sconosciuti:
puo’ tracciarne indirizzo IP e porta
puo’ attivare Ethereal
›Alert per richieste DHCP
›Per Windows, FreeWare:
home.comcast.net/~jay.deboer/airsnare
III INFN Workshop – Cagliari 25-27 Maggio 2004
31
Win AP Detection: WisEntry
›A differenza degli altri sniffer basati su RF, WisEntry
esamina il traffico della LAN Wired.
› esegue uno scan alla ricerca di AP, controllando i primi 3
byte dei MAC Address.
›Possono essere differenziati i MAC degli AP ufficiali.
›E’ possibile installare un Agent per ogni segmento di rete
Che comunica con il Control Server.
›Fornisce una lista dei possibili AP e la percentuale di
probabilità.
›Si possono ricevere gli update mano a mano che vengono
segnalati nuovi Vendor.
›Disponibile per Windows, a pagamento, anche in demo.
›http://www.wimetrics.com/
III INFN Workshop – Cagliari 25-27 Maggio 2004
32
Conclusioni:
› Il Wireless è ormai una realtà in tutte le nostre sedi
›
›
›
e la sua diffusione è in aumento.
Quasi tutti lo usano nel modo più semplice
(autenticazione basata su MAC Address o libera). E’
necessario un ulteriore sforzo per poter avere un
insieme di strumenti per il controllo e l’autenticazione
più efficaci, per avere meno carico di lavoro per i
Servizi di Calcolo e una maggiore efficienza per gli
utenti, garantendo sempre un alto livello di
SICUREZZA.
Ancora grossi problemi di compatibilitá tra i diversi
Vendor, modelli, standard, versioni Fw e OS.
Sito Web per poter raccogliere tutte le esperienze,
i test effettuati e la documentazione.
III INFN Workshop – Cagliari 25-27 Maggio 2004
33
Riferimenti:
›Wireless Security – presentazione Parma Security Workshop Feb ’04:
http://www.pr.infn.it/infnsecws2/doc/Wireless-sec.pdf
› Cisco WPA Overview:
http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_configuration_e
xample09186a00801c40b6.shtml
›Cisco Aironet Conversion tool Manual:
http://www.cisco.com/application/pdf/en/us/guest/products/ps430/c1696/ccmigratio
n_09186a00801cfea4.pdf
›Cisco Aironet Conversion Tool sw (per PC Win):
http://www.cisco.com/pcgibin/Software/Tablebuild/doftp.pl?ftpfile=cisco/crypto/3DES/wireless/aironet/conv_tool/Aironet-AP-CiscoIOS-Conversion-Tool-v2.exe&swtype=FCS&software_products_url=%2Fpcgibin%2Ftablebuild.pl%2Faironet_conv_tool&isChild=&appName=&tbtype=aironet_conv_tool
›Cisco Aironet Helper Image:
http://www.cisco.com/pcgibin/Software/Tablebuild/doftp.pl?ftpfile=cisco/crypto/3DES/wireless/aironet/conv_tool/AP350-Cisco-IOSUpgrade-Image-v2.img&swtype=FCS&software_products_url=%2Fpcgibin%2Ftablebuild.pl%2Faironet_conv_tool&isChild=&appName=&tbtype=aironet_conv_tool
III INFN Workshop – Cagliari 25-27 Maggio 2004
34
Grazie!
Discussione: Suggerimenti? Domande?
III INFN Workshop – Cagliari 25-27 Maggio 2004
35