Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista della sicurezza Giovanni Bobbio - CTO Communication Valley S.p.A. Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Agenda Telefonia tradizionale e wireless LAN – – – Funzionalità e benefici Il punto della situazione (focus sulla sicurezza) Ipotesi di soluzione Una visione d’insieme Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Wireless – Le funzionalità Mobilità, accessibilità, connettività Facilità negli spostamenti all’interno degli uffici Disponibilità di servizi in luoghi pubblici: – – – Aeroporti Internet café Congressi Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Wireless – I benefici Produttività – – – Collaborazione più facile Senza la necessità di riconnettersi Configurazione indipendente dalla posizione fisica Riduzione dei costi – – – Semplicità d’uso e di deployment Apparati economici Nessun cablaggio dei terminali, anche nei posti poco raggiungibili o non cablabili (in Italia, i palazzi storici) Communication Valley – Telefonia e wireless Perché è un problema? Smau Security - 25 ottobre 2002 Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 La “sicurezza” delle WLAN SSID: Service Set Identifier – – – – – Identifica una rete wireless (un insieme di AP) Open/closed network Una scheda di rete wireless deve conoscere il SSID della rete per collegarsi Pensato per la facilità d’uso e per scegliere la rete a cui collegarsi Valori di default Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 MAC address MAC: Media Access Control Filtering – – – – Ogni scheda wireless (ed Ethernet) ha un identificativo ‘unico’ Gli access point possono consentire l’accesso solo a determinati MAC Implica mantenere liste aggiornate e condividerle tra gli APN Non solo identificano la scheda e non l’utente ma possono essere modificati (spoofing) 00:D0:59:B9:C0:AB Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Wired Equivalent Privacy (WEP) Algoritmo + chiave (40 – 128 bit) Segreto condiviso tra client e AP http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html – – – Nella fase di autenticazione Passivamente: raccogliendo quantità sufficienti di traffico ed analizzandole Attivamente: inserendo traffico (plain text) noto Tutti gli utenti di una rete condividono la stessa chiave Cifra solo il payload, non gli header Obiettivo minimo –> Chiavi WEP dinamiche, per utente/per sessione Communication Valley – Telefonia e wireless In definitiva… Cifratura e autenticazione insufficienti o inesistenti Client e reti insicuri per default Sniffing, war driving, bye bye firewall Denial of service sugli AP Nessuna policy su rete ed utenti (AAA) Smau Security - 25 ottobre 2002 Communication Valley – Telefonia e wireless Wireless – Standard IEEE 802.11 IEEE 802.11a IEEE 802.11b IEEE 802.11e IEEE 802.11h [IEEE 802.1x] Smau Security - 25 ottobre 2002 Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Procedura di accesso 802.1x 5 ~ Encrypted WEP (dynamic) Other network servers And services 4 Wireless Client Access Point 3 1 2 ~ Authentication Server (RADIUS) 1) L’utente richiede l’autenticazione. AP non dà accesso e fa da proxy. 2) Credenziali cifrate vengono mandate a un server di autenticazione (RADIUS) 3) ACS autentica l’utente. AAA, OTP, certificati X.509, ACL su firewall, etc. 4) La porta viene abilitata e l’AP assegna dinamicamente le chiavi WEP al client 5) L’utente ha accesso ai soli servizi per i quali è autorizzato Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Wireless VPN ~ DHCP Server DNS Server Access Point VPN Server Airport, Hotel or Home Firewall Secure VPN connection ~ ISP Inter net POTS Dialup Secure VPN connection Network Firewall Secure VPN connection DMZ Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Wireless – Prime conclusioni Sicurezza in via di miglioramento – – Nuovi protocolli: accesso alle porte, cifratura, key management 802.1x permette di integrarsi con funzioni di alto livello Tutto qui? – – – – Tecnologia OK, ma… Policy management ed enforcement Adozione di rimedi tipici delle reti IP (IDS, VPN) Ciclo di vita della sicurezza globale Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Telefonia fissa Vicina della rete dati Forte impatto sia economico che sulla sicurezza Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Telefonia fissa – I problemi Economici – – – – Chiamate internazionali Servizi a valore aggiunto Chiamate agli ISP (costo) Utilizzo delle linee fax per altri usi Infrastrutturali – – % utilizzo nelle ore di picco / a regime Distribuzione delle risorse Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Telefonia fissa – I problemi Sicurezza – – – – Modem autorizzati insicuri (chiamate in ingresso non controllate) Modem non autorizzati (chiamate in uscita e accesso all’interno) Chiamate agli ISP (bypass dei firewall/proxy) Interconnessioni tra PSTN e IP Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Dalla linea telefonica alla rete dati Compone una serie di numeri per cercare un modem. Il PBX inoltra la chiamata L’attaccante entra dalla rete telefonica pubblica Voicemail PSTN PBX Telefoni Fax Modem ISP Attaccante Trova il modem settato in modalità risposta e lo forza IDS Server LAN Internet Centro Commutazione Firewall Accede alle risorse di rete Stazioni di Lavoro Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 I modem L’attaccante entra dalla rete telefonica pubblica Il PBX smista tutte le chiamate in entrata e rende vulnerabili voicemail, fax e rete. Voicemail PSTN Il modemlasciato acceso inTelefoni modalità risposta per connessioni da casa fuori dall’orario di lavoro PBX Fax Il modem autorizzato collegato a risorse critiche e non protetto ISP Attaccante Il modem collegato durante le ore di lavoro IDS Server LAN Internet Centro Commutazione Firewall Accesso alle risorse di rete Stazioni di Lavoro Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Telefonia – Soluzioni tradizionali Policy e procedure sull’uso War dialing per scoprire modem Confidenzialità –> Cifratura one-to-one con hardware specializzato Blocco numeri sul centralino per limitare le chiamate indesiderate Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Telefonia – Soluzioni “nuove” Firewall VPN IDS AAA In breve: applicazione efficace delle policy Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Firewall e IDS Firewall PSTN Voicemail PSTN Bloccato! PBX Fax Telefoni Modem ISP Allarme! Server IDS Attacante Server ETM™ LAN Internet Centro Commutazione Firewall IP Stazioni di Lavoro Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 VPN e AAA Ufficio Milano Firewall PSTN Firewall PSTN PBX & Voicemail Telefoni PSTN Ufficio Roma PBXs Fax ISP Ufficio Palermo Centro Commutazione Management IDS Modem Server LAN Internet Firewall Stazioni di Lavoro Communication Valley – Telefonia e wireless Smau Security - 25 ottobre 2002 Conclusioni Dall’usabilità alla sicurezza Pianificazione, integrazione Ciclo della sicurezza integrato – Protezione – Monitoraggio – (Firewall, AAA, VPN) (log, IDS) Risposta (Utilizzo delle informazioni - Policy applicabili)