Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Smau Security 2002
Reti wireless e telefonia tradizionale
Il punto di vista della sicurezza
Giovanni Bobbio - CTO
Communication Valley S.p.A.
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Agenda

Telefonia tradizionale e wireless LAN
–
–
–

Funzionalità e benefici
Il punto della situazione (focus sulla sicurezza)
Ipotesi di soluzione
Una visione d’insieme
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Wireless – Le funzionalità



Mobilità, accessibilità, connettività
Facilità negli spostamenti all’interno degli uffici
Disponibilità di servizi in luoghi pubblici:
–
–
–
Aeroporti
Internet café
Congressi
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Wireless – I benefici

Produttività
–
–
–

Collaborazione più facile
Senza la necessità di riconnettersi
Configurazione indipendente dalla posizione fisica
Riduzione dei costi
–
–
–
Semplicità d’uso e di deployment
Apparati economici
Nessun cablaggio dei terminali, anche nei posti
poco raggiungibili o non cablabili (in Italia, i palazzi
storici)
Communication Valley – Telefonia e wireless
Perché è un problema?
Smau Security - 25 ottobre 2002
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
La “sicurezza” delle WLAN

SSID: Service Set Identifier
–
–
–
–
–
Identifica una rete wireless (un insieme di
AP)
Open/closed network
Una scheda di rete wireless deve
conoscere il SSID della rete per collegarsi
Pensato per la facilità d’uso e per
scegliere la rete a cui collegarsi
Valori di default
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
MAC address

MAC: Media Access Control Filtering
–
–
–
–
Ogni scheda wireless (ed Ethernet)
ha un identificativo ‘unico’
Gli access point possono consentire
l’accesso solo a determinati MAC
Implica mantenere liste aggiornate e
condividerle tra gli APN
Non solo identificano la scheda e non
l’utente ma possono essere modificati
(spoofing)
00:D0:59:B9:C0:AB
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Wired Equivalent Privacy (WEP)



Algoritmo + chiave (40 – 128 bit)
Segreto condiviso tra client e AP
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
–
–
–



Nella fase di autenticazione
Passivamente: raccogliendo quantità sufficienti di traffico ed
analizzandole
Attivamente: inserendo traffico (plain text) noto
Tutti gli utenti di una rete condividono la stessa chiave
Cifra solo il payload, non gli header
Obiettivo minimo –> Chiavi WEP dinamiche, per
utente/per sessione
Communication Valley – Telefonia e wireless
In definitiva…





Cifratura e autenticazione
insufficienti o inesistenti
Client e reti insicuri per default
Sniffing, war driving, bye bye
firewall
Denial of service sugli AP
Nessuna policy su rete ed
utenti (AAA)
Smau Security - 25 ottobre 2002
Communication Valley – Telefonia e wireless
Wireless – Standard






IEEE 802.11
IEEE 802.11a
IEEE 802.11b
IEEE 802.11e
IEEE 802.11h
[IEEE 802.1x]
Smau Security - 25 ottobre 2002
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Procedura di accesso 802.1x
5
~
Encrypted
WEP (dynamic)
Other network servers
And services
4
Wireless
Client
Access Point
3
1
2
~
Authentication Server
(RADIUS)
1) L’utente richiede l’autenticazione. AP non dà accesso e fa da proxy.
2) Credenziali cifrate vengono mandate a un server di autenticazione (RADIUS)
3) ACS autentica l’utente. AAA, OTP, certificati X.509, ACL su firewall, etc.
4) La porta viene abilitata e l’AP assegna dinamicamente le chiavi WEP al client
5) L’utente ha accesso ai soli servizi per i quali è autorizzato
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Wireless VPN
~
DHCP
Server
DNS
Server
Access Point
VPN
Server
Airport,
Hotel or Home
Firewall
Secure VPN connection
~
ISP Inter
net
POTS
Dialup
Secure VPN connection
Network
Firewall
Secure VPN connection
DMZ
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Wireless – Prime conclusioni

Sicurezza in via di miglioramento
–
–

Nuovi protocolli: accesso alle porte, cifratura, key
management
802.1x permette di integrarsi con funzioni di alto
livello
Tutto qui?
–
–
–
–
Tecnologia OK, ma…
Policy management ed enforcement
Adozione di rimedi tipici delle reti IP (IDS, VPN)
Ciclo di vita della sicurezza globale
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Telefonia fissa


Vicina della rete dati
Forte impatto sia economico che sulla
sicurezza
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Telefonia fissa – I problemi

Economici
–
–
–
–

Chiamate internazionali
Servizi a valore aggiunto
Chiamate agli ISP (costo)
Utilizzo delle linee fax per altri usi
Infrastrutturali
–
–
% utilizzo nelle ore di picco / a
regime
Distribuzione delle risorse
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Telefonia fissa – I problemi

Sicurezza
–
–
–
–
Modem autorizzati insicuri (chiamate in ingresso non
controllate)
Modem non autorizzati (chiamate in uscita e accesso
all’interno)
Chiamate agli ISP (bypass dei firewall/proxy)
Interconnessioni tra PSTN e IP
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Dalla linea telefonica alla rete dati
Compone una serie di numeri per cercare
un modem. Il PBX inoltra la chiamata
L’attaccante entra dalla
rete telefonica pubblica
Voicemail
PSTN
PBX
Telefoni
Fax
Modem
ISP
Attaccante
Trova il modem
settato in modalità
risposta e lo forza
IDS
Server
LAN
Internet
Centro
Commutazione
Firewall Accede alle
risorse di rete
Stazioni di Lavoro
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
I modem
L’attaccante entra dalla
rete telefonica pubblica
Il PBX smista tutte le chiamate in entrata e
rende vulnerabili voicemail, fax e rete.
Voicemail
PSTN
Il modemlasciato acceso
inTelefoni
modalità risposta per
connessioni da casa fuori
dall’orario di lavoro
PBX
Fax
Il modem autorizzato
collegato a risorse critiche
e non protetto
ISP
Attaccante
Il modem
collegato
durante le ore
di lavoro
IDS
Server
LAN
Internet
Centro
Commutazione
Firewall Accesso alle
risorse di rete
Stazioni di Lavoro
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Telefonia – Soluzioni tradizionali




Policy e procedure sull’uso
War dialing per scoprire modem
Confidenzialità –> Cifratura one-to-one con
hardware specializzato
Blocco numeri sul centralino per limitare le
chiamate indesiderate
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Telefonia – Soluzioni “nuove”

Firewall
VPN
IDS
AAA

In breve: applicazione efficace delle policy



Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Firewall e IDS
Firewall PSTN Voicemail
PSTN
Bloccato!
PBX
Fax
Telefoni
Modem
ISP
Allarme!
Server
IDS
Attacante
Server
ETM™
LAN
Internet
Centro
Commutazione
Firewall IP
Stazioni di Lavoro
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
VPN e AAA
Ufficio
Milano
Firewall PSTN
Firewall PSTN
PBX &
Voicemail
Telefoni
PSTN
Ufficio
Roma
PBXs
Fax
ISP
Ufficio
Palermo
Centro
Commutazione
Management
IDS
Modem
Server
LAN
Internet
Firewall
Stazioni di Lavoro
Communication Valley – Telefonia e wireless
Smau Security - 25 ottobre 2002
Conclusioni



Dall’usabilità alla sicurezza
Pianificazione, integrazione
Ciclo della sicurezza integrato
–
Protezione

–
Monitoraggio

–
(Firewall, AAA, VPN)
(log, IDS)
Risposta

(Utilizzo delle informazioni - Policy applicabili)
Scarica

Wireless LAN Security