Problematiche nella configurazione
sicura di wireless
Franco Brasolin
Servizio di Calcolo e Reti
Sezione INFN di Bologna
CCR 2003 – Paestum, 9-12 Giugno 2003
Introduzione
› La tecnologia Wireless sta diventando sempre
›
›
›
piu’ diffusa e lo sara’ sempre di piu’ anche nelle
nostre sedi: e’ comoda!
E’ importante essere a conoscenza dei rischi
legati a questa tecnologia.
L’INFN deve sviluppare strategie per
conoscere e limitare questi rischi.
Il Wireless sta evolvendo molto rapidamente: e’
quindi essenziale essere aggiornati sugli
sviluppi della tecnologia e sugli aspetti
riguardanti la sua sicurezza.
CCR 2003 – Paestum, 9-12 Giugno 2003
2
Wireless quale ??
› WWAN: Cell., ponti radio e satelliti: grandi distanze.
› WPAN: IR, Bluetooth: distanze brevissime (max 10 m).
› WLAN: permette ad un utente mobile di connettersi alla
LAN con una connessione radio per mezzo di Access
Point.
Gli AP hanno approssimativamente una copertura di 100 m
e sono composti da un transceiver radio e da un bridge
verso la rete wired.
Installati in numero e posizioni appropriate (anche in
cascata) possono servire interi edifici o campus.
CCR 2003 – Paestum, 9-12 Giugno 2003
3
Wireless: Vantaggi
1. Non servono costosi lavori di cablatura,
2.
3.
4.
5.
aumentano mobilita’ e flessibilita’ dei
collegamenti.
Velocita’ di installazione.
Scalabilita’.
Notevole disponibilita’ e varieta’ di vendor e
prodotti.
Costi contenuti.
CCR 2003 – Paestum, 9-12 Giugno 2003
4
Wireless: Svantaggi
1. Throughput diminuisce con la distanza, il carico e le
2.
interferenze.
Aumentano i rischi legati alla sicurezza. Tutti gli
stessi di una wired LAN e in piu’ l’eventualita’ di:
 intercettare dati non criptati.
 effettuare DoS verso gli AP (Jamming).
 accedere alle risorse di calcolo bypassando i
firewall perimetrali.
 utilizzare in modo fraudolento identita’ di altri
utenti autorizzati.
 tracciare gli spostamenti delle persone.
 propagare virus dalla WLAN alla LAN.
CCR 2003 – Paestum, 9-12 Giugno 2003
5
WLAN Security - WEP
Si puo’ aumentare il livello di sicurezza di una rete wireless usando
WEP (Wired Equivalent Privacy), un sistema di criptazione basato
sull’algoritmo RC4, che protegge i dati nella trasmissione dal client
all’AP, criptando con una chiave a 40, 104 o 128 bit.
Problemi noti:
›
›
›
›
›
›
per default e’ disabilitato!
se usato con chiavi a 40 bit e’ facilmente decriptabile.
e’ impossibile mantenere segrete le chiavi: devono essere
configurate sui client.
le chiavi non sono updatabili automaticamente.
viene autenticato il client, ma non l’utente.
il client non autentica l’AP.
CCR 2003 – Paestum, 9-12 Giugno 2003
6
WLAN Security - EAP
›
›
›
›
Si puo’ aumentare il livello di sicurezza di una rete
wireless usando EAP (Extensible Authentication
Protocol), basato su 802.1X
Autentica il client Wireless utilizzando uno dei seguenti
metodi:
MD5: one-way authentication
Cisco LEAP: sistema proprietario basato su
username/password
TLS: utilizza scambio di certificati (PKI)
TTLS: scambio certificati e username/password
CCR 2003 – Paestum, 9-12 Giugno 2003
7
Come limitare i rischi: Security Policy
-
Definire chi puo’ usare WLAN.
Definire chi puo’ installare e gestire AP.
Definire luoghi sicuri per gli AP.
Definire standard di configurazione per gli AP.
Definire modalita’ per effettuare AP discovery.
Definire quali classi di dati si possono
trasmettere su Wireless.
- Fornire documentazione per:
- configurazione dei client Wireless.
- segnalazione di incidenti e furti AP.
CCR 2003 – Paestum, 9-12 Giugno 2003
8
Checklist - 1
› Sviluppare una Policy di sicurezza specifica per l’utilizzo della
›
›
›
›
›
›
›
›
tecnologia Wireless.
Acquistare apparati che permettano di affettuare upgrade fw & sw:
installare eventuali patch di sicurezza che si rendano disponibili.
Installare gli AP in locali accessibili solo al personale autorizzato.
Installare gli AP nei locali piu’ interni e non vicino ai muri perimetrali
e/o alle finestre.
Verificare la portata degli AP, anche all’esterno degli edifici.
Evitare di utilizzare questi apparati in modalita’ “Plug & Play”: i
settaggi di default funzionano, ma non danno nessuna protezione.
Assicurarsi che gli apparati Wireless siano utilizzati solo se conformi
alla Policy di sicurezza.
Eseguire e mantenere un inventario di tutti gli AP.
Spegnere gli AP negli orari-giorni in cui non sono utilizzati.
CCR 2003 – Paestum, 9-12 Giugno 2003
9
Checklist - 2
› Assicurarsi che la funzione “Reset” hw degli AP possa essere
›
›
›
›
›
›
›
›
›
utilizzata solo dal personale autorizzato.
Cambiare il valore dell’SSID, evitando di usare nomi noti.
Disabilitare la funzione SSID broadcast.
Aumentare al max il parametro “Beacon Interval”.
Usare un numero di Canale che differisca di almeno 5 unita’ da
quello di altri AP vicini, per evitare interferenze.
Assicurarsi che tutti i parametri relativi alla sicurezza siano stati
modificati rispetto al valore di default.
Disabilitare sull’AP tutti i protocolli non sicuri e non necessari.
Abilitare tutte le funzioni di sicurezza disponibili: “WEP privacy”
o 802.1x-EAP.
Utilizzare la chiave di criptografia piu’ lunga possibile (acquistare
AP che siano in grado di gestire chiavi a 128 bit).
Sostituire periodicamente le chiavi.
CCR 2003 – Paestum, 9-12 Giugno 2003
10
Checklist - 3
› Utilizzare IDS per wireless.
› SNMP: se non serve disabilitarlo, o almeno cambiare la default
›
›
›
›
›
›
›
›
passw – sia in rw che in ro – Utilizzare prodotti con snmpV3.
Cambiare/Creare Username/Password per management AP.
Autenticazione: permettere l’accesso solo a client autorizzati
(username/passw, smart cards, biometrics, PKI).
Usare ACL per limitare l’accesso a MAC address autorizzati.
Se sono implementate VPN, usare Ipsec tunneling tra il Wireless
client & VPN Box.
Usare Ip address statici o un server DHCP esterno.
Assegnare ai client Wireless indirizzi appartenenti ad una
network separata.
Configurare Logging, anche su Logserver remoto.
Distribuire documentazione agli utenti (configurazioni client e
rischi).
CCR 2003 – Paestum, 9-12 Giugno 2003
11
Wireless Standard
›
›
›
›
›
›
›
›
›
Basate sullo standard IEEE 802.11, nato per supportare
trasmissioni radio veloci su medie distanze.
’97 802.11
1-2 Mb/s
’99 802.11a
54 Mb/s 5 GHz
’99 802.11b
11 Mb/s 2.4–2.48 GHz e’ il piu’ diffuso
802.11d
permettera’ di soddisfare i requisiti necessari in
certi paesi per poter usare alcune freq. (5 GHz).
‘03 802.11e
supporto per QoS su 802.11 a,b & g
‘03 802.11f
interoperabilita’ tra i diversi Vendor
‘03 802.11g
54Mb/s 2.4 GHz - compatibile con 802.11b
’03 802.11h
soddisfa i requisiti europei per l’utilizzo dei 5GHz
’03 802.11i
aumenta la sicurezza: nuovi metodi di criptazione
e autenticazione alternativi a WEP. Applicabile a
802.11 a,b & g
CCR 2003 – Paestum, 9-12 Giugno 2003
12
L’esperienza della Sezione di Bologna:
esigenze locali
1. In questa prima fase copertura sale riunioni e
zone uffici calcolo.
2. Semplicita’ di gestione.
3. Accesso per tutti? NO! Solo MAC Address
registrati.
4. SICUREZZA!
CCR 2003 – Paestum, 9-12 Giugno 2003
13
Misure di sicurezza implementate:
1. Modifica SSID e disabilitazione SSID broadcast.
2. Creazione User per accesso via Web/telnet per
3.
4.
5.
6.
7.
amministrazione AP.
Registrazione MAC Address autorizzati.
Uguale configurazione su tutti gli AP.
Logging remoto.
Salvataggio configurazione.
Bloccaggio sul router perimetrale IP Access Point.
CCR 2003 – Paestum, 9-12 Giugno 2003
14
Scelta apparati
›
›
›
›
4 Cisco AP Aironet 350:
consigliati dal Netgroup.
testati per verificarne
la portata.
affidabilita’.
semplicita’ di configurazione:
accesso Seriale, Web, Telnet.
CCR 2003 – Paestum, 9-12 Giugno 2003
15
Configurazione – 1
Setup Iniziale via Seriale
Al primo boot l’AP tenta di configurarsi come DHCP Client.
Collegarsi con un PC sulla linea seriale e nel menu
“Express Setup” definire:
› A(ddress): X.Y.K.Z
› P(rotocol): None
Queste modifiche sono subito attive, e quindi dopo questa
operazione ci si puo’ collegare via Web (piu’ comodo!)
In alternativa Cisco fornisce un Tool (IPSU) per effettuare il
discovery e la configurazione IP dei nuovi AP.
CCR 2003 – Paestum, 9-12 Giugno 2003
16
Configurazione – 2
User per amministrazione
Dalla pagina principale:
Setup -> Security
› Settare il flag
“User Manager” Enable
› Creare User per accesso
Web/Telnet (uguali su
tutti AP, per propagazione
configurazione)
CCR 2003 – Paestum, 9-12 Giugno 2003
17
Configurazione – 3
Rete
Dalla pagina principale:
Setup -> Express Setup
›
›
›
›
›
System Name: AP-xxx
Conf. Server Prot.: None
Settare Mask & Gateway
Settare SSID
Settare SNMP community
Dalla pagina principale:
Setup -> AP Radio ->
set properties ->
Allow broadcast SSID = NO
CCR 2003 – Paestum, 9-12 Giugno 2003
18
Configurazione – 4
MAC Address
Dalla pagina principale:
Setup -> Address Filter
› Inserire i MAC
Address autorizzati
CCR 2003 – Paestum, 9-12 Giugno 2003
19
Configurazione – 5
distribuzione config.
E’ possibile propagare
la configurazione ai vari AP
presenti nella LAN.
Dalla pagina principale:
Setup -> Cisco Services ->
Distribute Conf. to other
Cisco Device.
NB: su tutti gli AP devono
essere configurati uguali user/passw
CCR 2003 – Paestum, 9-12 Giugno 2003
20
Logging – 1
› Dalla pagina principale ->
Logs
› E’ possibile customizzare
i vari tipi di eventi che
vengono notificati:
dalla pagina principale ->
Setup -> Event Handling
CCR 2003 – Paestum, 9-12 Giugno 2003
21
Logging - 2
› E’ possibile inviare i log su
›
›
host remoto: dalla pagina
principale -> Setup ->
Event Log Notification
Per ricevere i log relativi ai
Client: dalla pagina principale
-> Setup -> Event Handling
cambiare “Protocol information”
da “Record” a “Notify”
Configurare syslogd.conf
e logrotate sull’host remoto
CCR 2003 – Paestum, 9-12 Giugno 2003
22
Salvataggio configurazione
E’ possibile salvare su host remoto la configurazione degli
AP. Dalla pagina principale -> Setup -> Cisco Services ->
Manage System Conf. -> “Download All System Conf.”
In caso di necessita’ e’ possibile ricaricare sull’AP il file
salvato. Dalla pagina principale -> Setup -> Cisco Services
-> Manage System Conf. -> Additional System conf. File:
Inserire il nome del file e clickare: “Browse Update Now”
CCR 2003 – Paestum, 9-12 Giugno 2003
23
Sniffer & Tools (1)
Sono disponibili in rete diversi Sniffer (Win & Linux, free e/o a
pagamento) che permettono di rilevare gli apparati Wireless:
›
›
›
›
Network Stumbler
Kismet
AirSnort
AirTraf
www.netstumbler.com
www.kismetwireless.net
http://airsnort.shmoo.com
http://airtraf.sourceforge.net
CCR 2003 – Paestum, 9-12 Giugno 2003
24
Sniffer (2) - un esempio:
CCR 2003 – Paestum, 9-12 Giugno 2003
25
Cosa deve fare l’utente per avere accesso alla Wlan ?
Compila una form su web indicando il MAC Address
Cosa fa il Servizio di Calcolo:
 Aggiunge il MAC Address a quelli autorizzati sugli
Access Point e sul DHCP Server esterno.
 Mantiene la documentazione su web per la
configurazione dei Wireless Client (oltre a
indicazioni su come recuperare il proprio Mac
Address, nei diversi O.S.).
 Inoltre mette a disposizione una decina di schede
Wireless gia’ registrate per gli ospiti temporanei.
CCR 2003 – Paestum, 9-12 Giugno 2003
26
Conclusioni:
 Apparati omogenei consentono un management semplificato.
 L’accesso solo da MAC Address registrati aumenta la sicurezza,


ma anche il carico di lavoro.
Autenticazione: se, come e’ prevedibile, ci saranno notevoli
sviluppi di questa tecnologia, sara’ necessario implementare
metodi piu’ efficienti e sicuri di autenticazione (es. server
Radius-EAP).
Monitoring: anche per questa funzione saranno necessari
sofisticati strumenti di monitoraggio che permettano di avere
sotto controllo tutta la rete locale (Wired & Wireless) sia per
quanto riguarda il suo funzionamento che per la sicurezza.
CCR 2003 – Paestum, 9-12 Giugno 2003
27
Riferimenti:
› NIST (National Institute of Standard & Techonology - USA) -
Wireless Nework Security: http://csrc.nist.gov/publications/nistpubs/80048/NIST_SP_800-48.pdf
› Cisco Wireless LAN design:
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns178/c649/ccmigration_0
9186a00800d67eb.pdf
› Vulnerabilita’ note NIST:
http://icat.nist.gov/icat.cfm
› Decreto Ministeriale di regolamentazione dei servizi Wi-fi del
25/5/2003: http://www.comunicazioni.it/it/index.php?IdPag=699
CCR 2003 – Paestum, 9-12 Giugno 2003
28
Grazie!
Discussione:
Suggerimenti? Domande ?
CCR 2003 – Paestum, 9-12 Giugno 2003
29