La sicurezza delle reti
Wireless
Agenda
Rendere sicura una rete wireless
Lo standard di autenticazione 802.1X
Componenti necessari per una soluzione
wireless sicura
Possibili scenari di configurazione
Progettazione della configurazione
ottimale dei componenti
Perchè rete wireless sicura?
Quando si progetta la sicurezza per una rete wireless,
considerare :
Soluzioni sicure di autenticazione e autorizzazione
Protezione dei dati
Configurazione sicura dei Wireless Access Point
Configurazione e gestione sicura dell’infrastruttura
Minacce alle reti wireless
Rilevamento e furto di informazioni confidenziali (eavesdropping)
Accesso non autorizzato ai dati (intercettazioni e modifiche)
Impersonificazione di un client autorizzato (spoofing, vengono
utilizzati strumenti per “captare” SSID di rete e validi MAC dei
client)
Interruzione del servizio wireless (attacchi DoS agli access point)
Accesso non autorizzato a Internet (usare le reti wireless circostanti
per collegarsi a Internet in maniera fraudolenta)
Minacce accidentali (chi non ha intenzione di collegarsi a rete
wireless, ma il suo pc lo fa involontariamente captando il segnale
wireless)
Setup di reti “home-wireless” non sicure (chi porta il proprio portatile
a casa, e lì lo connette ad una rete wireless non sicura, con rischio
di furto dei dati o entrata di worm e virus nel portatile)
Implementazioni di WLAN non autorizzate (chi ha troppi diritti in
rete e si diletta nel creare reti wireless mal-configurate)
Gli standard wireless
Standard
802.11
802.11a
802.11b
802.11g
802.11i
Descrizione
Specifica base che definisce i concetti di trasmissione
per le reti wireless
Velocità di trasmissione fino a 54 Mbps
Range di frequenza 5 Ghz
Ottima velocità, poche interferenze, non compatibile
Velocità di trasmissione fino a 11 Mbps
Range di frequenza 2,4 Ghz
Minor velocità, possibili interferenze, basso costo
Velocità di trasmissione fino a 54 Mbps
Range di frequenza 2,4 Ghz
Ottima velocità, possibili interferenze, compatibile .11b
Stabilisce processi standard di autenticazione e
crittazione sulle reti wireless
802.1X - uno standard che definisce un meccanismo di controllo delle
autenticazioni e degli accessi ad una rete e, come opzione, definisce un
meccanismo di gestione delle chiavi usate per proteggere il traffico
Confidenzialità con WEP
Protocollo 802.11 progettato per dare sicurezza ai dati in
transito su reti wireless (…ma poco sicuro!!!)
Fornisce le seguenti caratteristiche crittografiche:
Crittazione dei dati
Integrità dei dati
Oggi si usano 2 standard WEP :
Static WEP: difficile da gestire e facilmente perforabile con
strumenti di attacco liberamente disponibili
Dynamic WEP: miglior sicurezza dello static WEP, ma da
usare solo come soluzione temporanea prima di
implementare WPA o WPA2
Confidenzialità con WPA
WPA e WPA2 forniscono le seguenti caratteristiche
crittografiche:
Crittazione dei dati, usati con gli standard di
autenticazione 802.1X
Integrità dei dati
Protezione da attacchi di tipo “replay”
Operano a livello MAC (Media Access Control)
Autenticazione 802.1X
Opzioni di autenticazione
Scegliere la soluzione migliore
Come lavora 802.1X con PEAP e password
Come lavora 802.1X con i certificati
Requisiti client, server e hardware per
implementare 802.1X
Opzioni di autenticazione
Protected Extensible Authentication Protocol (PEAP)
con le password (802.1X con PEAP-MS-CHAPv2)
Certificate Services (802.1X con EAP-TLS)
Wi-Fi Protected Access con chiavi pre-condivise
(WPA-PSK)
La soluzione appropriata
Soluzione
wireless
Wi-Fi Protected
Access con PreShared Keys
(WPA-PSK)
PEAP +
password
(PEAP-MSCHAPv2)
Certificati (EAPTLS)
Ambiente
tipico
Componenti di
infrastruttura
addizionali
richiesti?
Certificati usati
per
l’autenticazione
dei client
Password usate
per
l’autenticazione
dei client
Metodo tipico
di crittazione
dei dati
WPA
Small
Office/Home
Office (SOHO)
Nessuno
NO
SI
Usa la chiave di
crittazione WPA
per
l’autenticazione
alla rete
Piccole/medie
aziende
Internet
Authentication
Services (IAS)
Certificato
richiesto per il
server IAS
NO
(ma almeno un
certificato deve
essere rilasciato
per validare il
server IAS)
SI
WPA o chiave
WEP dinamica
Aziende
medio/grandi
Internet
Authentication
Services (IAS)
Servizi
Certificati
SI
NO
(possibilita’ di
modifica,
inserendo la
richiesta di
password)
WPA o chiave
WEP dinamica
Come lavora 802.1X con
PEAP e password
Wireless
Access Point
Wireless Client
1
RADIUS (IAS)
Client
Connect
2
Client
Authentication
Server
Authentication
Mutual Key Determination
3
Key
Distribution
4
WLAN
Encryption
Authorization
5
Internal Network
Come lavora 802.1X con
EAP-TLS
Wireless Client
1
Certification
Authority
Certificate Enrollment
2
Client
Authentication
Wireless
Access Point
Server
Authentication
RADIUS (IAS)
Mutual Key Determination
4
Key
Distribution
5
Authorization
WLAN
Encryption
3
6
Internal Network
Requisiti per 802.1X
Componenti
Client
computers
Requisiti
Il client 802.1X è disponibile per Windows 95,
Windows 98, Windows NT 4.0, e Windows 2000
802.1X è supportato per default da Windows XP
e da Windows Server 2003
RADIUS/IAS
e server
certificati
Necessari
Wireless
access points
Devono almeno suppoprtare 802.1X e WEP a 128
bit per la crittazione
Infrastruttura
Active Directory, DNS, DHCP
Potrebbero anche non essere Microsoft
Componenti richiesti per
802.1X con PEAP-MS-CHAPv2
Componenti
Descrizione
Wireless
Client
Deve avere una scheda wireless che supporti 802.1X e
dynamic WEP o WPA
Gli account di utenti e computer devono essere creati nel
dominio
Wireless
Access Point
Deve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una shared
secret per autenticarsi l’un con l’altro
Deve usare Active Directory per verificare le credenziali
dei client WLAN
RADIUS/IAS
Server
Può prendere decisioni sulle autorizzazioni in base alle
Remote Access Policy configurate
Può eseguire accounting e auditing
Deve avere un certificato installato per essere autenticato
dai client (server authentication)
Componenti richiesti per
802.1X con EAP-TLS
Componenti
Descrizione
Wireless
Client
Deve avere una scheda wireless che supporti 802.1X e
dynamic WEP o WPA
Certificati per ogni utente wireless e per ogni computer
con scheda wireless installati sui client wireless
Wireless
Access Point
Deve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una shared
secret per autenticarsi l’un con l’altro
Servizi
Certificati
Intera infrastruttura PKI con una Certification Authority o
una gerarchia di Certification Authority, e procedure di
auto-enrollment dei certificati
RADIUS/IAS
Server
Deve usare Active Directory per verificare le credenziali
dei client WLAN
Può prende decisioni sulle autorizzazioni in base alle
Remote Access Policy configurate
Deve avere un certificato installato per essere autenticato
dai client (server authentication)
Progettare la PKI
Define l’infrastruttura di Certification Authority
Singola CA o più livelli di CA (Root, Intermediate, Issuing) a
seconda delle dimensioni dell’azienda
Definire quali tipi di certificato utilizzare e il loro rilascio
Certificati a scopo autenticazione, da rilasciare sia ai
computer che agli utenti
Configurare l’auto-enrollment per entrambi (via Group Policy)
Configurare la validità e la lunghezza della chiave
Configurare le procedure di rinnovo
Configurare la pubblicazione delle CRL
Configurare procedure di backup per le chiavi private
Pubblicare nei client il certificato con la chiave pubblica della
CA che ha rilasciato il certificato al server IAS (via Group
Policy o script)
Implementare RADIUS (IAS)
Installare il servizio IAS
Su un domain controller o su un server membro dedicato
Registrare il servizio in Active Directory
comando “netsh ras add registeredserver”
Installare un certificato sul server IAS
Usare un livello funzionale del dominio almeno “nativo”
Windows 2000 native mode (se AD 2000)
Windows 2000 native o Windows Server 2003 (se AD 2003)
Per il completo supporto dei gruppi universali e di EAP-TLS
Configurare gli Access Point
Nella console IAS, configurare ogni Access Point come
client RADIUS
Configurare ogni access point ad usare il server IAS per
le autenticazioni
Configurare uno shared secret tra IAS e access point
Configurare il SSID e il “SSID broadcast”
Utilizzare metodi sicuri per amministrare remotamente
gli access point (HTTP con SSL, SSH, TLS)
Configurare le Remote
Access Policy su IAS
Configurare le “Conditions”
“NAS-Port-Type” impostato su “Wireless 802.11
Configurare eventuali restrizioni di gruppo e/o orarie
Configurare le “Permissions”
Tipicamente impostare su “Grant access”
Configurare il “Profile”
Inserire controlli che verifichino che effettivamente i client
wireless utilizzino i metodi previsti per le autenticazioni
Controllare l’accesso WLAN
con i gruppi di sicurezza
IAS permette di controllare l’accesso alla rete wireless
usando i gruppi di sicurezza di Active Directory, “linkati”
a specifiche remote access policy
Esempi di gruppo
Membri del gruppo
Accesso wireless
Utenti wireless
Computer wireless
Utenti wireless
{utenti che lavorano su pc wireless}
Computer wireless
{computer che hanno una scheda
di rete wireless}
Configurare i client wireless
Tramite Group Policy
E’ opportuno mettere i client wireless in una apposita OU e linkare
una GPO con i settaggi voluti
La GPO può contenere le “Wireless Network Policy” che
permettono di configurare tutti i settaggi configurabili localmente
nelle proprietà di rete di ogni client wireless
Sono Windows XP e Windows Server 2003 possono ricevere
settaggi wireless dalle group policy
Localmente, client per client
Settaggi principali :
Wireless Network Key
Network Authentication (Open, Shared, WPA, WPA-PSK)
Data Encryption (WEP, TKIP, AES)
802.1X (flag)
“The key is provided automatically” (check box)
N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per
default. Su sistemi operativi precedenti, bisogna installare il client WPA
(scaricabile da Internet)
Informazioni aggiuntive
Dove trovare risorse:
Securing Wireless LANs with Certificate Services
http://go.microsoft.com/fwlink/?LinkId=14843
Security Wireless LANs with PEAP and Passwords
http://www.microsoft.com/technet/security/topics/cryptographyetc/
peap_0.mspx
Security Guidance Center:
http://www.microsoft.com/italy/security/guidance/default.mspx
Ultime novità sul wireless in Windows XP SP2 e
Windows server 2003 Release 2
http://www.microsoft.com/windowsserver2003/technologies/
networking/wifi/default.mspx