Wireless : Le reti WLAN (Wireless LAN), se da un lato rappresentano una soluzione ideale per ambienti poco adatti alla realizzazione di cablaggi nella infrastruttura e per i PC portatili, dall’altro soffrono di due inconvenienti a cui devono prestare particolare attenzione sia i costruttori di apparati WLAN che gli utenti: interferenze elettromagnetiche e attenuazione del segnale per ostacoli o lunghe distanze; impedire ai malintenzionati di agganciarsi nella propria WLAN. IEEE 802.11: insieme di standard per le WLan STANDARD IEEE 802.11 allation Tipi di WLAN: IBSS 2 or more wireless devices together in a work Ad-hoc: (AP) IBSS needed (Indipendent Basic Service Set) Senza AP e Peer to Peer asic Service Set y the Ad-hoc network © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15 Tipi di WLAN: BSS Infrastructure Installation: BSS (Basic Service Set) gruppo di computer collegati in maniera wireless ad un access point tutti gli host hanno uguale accesso Per reti più ampie Utilizza un AP I dispositivi si devono autenticare per comunicare s AP) Tipiaccess di WLAN: ve equal BSS ve permission to communicate © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16 Tipi di WLAN: ESS Distribution System: ESS (Estended Service set) Utilizza più AP AP sono collegati attraverso una LAN Backebone ion ucture Installation larger networks Tipi di WLAN: Access Point (AP) ESS al s access sure all STAs have equal access mission to receive communicate vice must permission to communicate Services Set covered by a AP co Systems, Inc. All rights reserved. Cisco Public © 2007 Cisco Systems, Inc. All16 rights reserved. Cisco Public 16 Canali in una WLAN L’uso di canali aiuta a controllare le conversazioni Più AP devono avere canali diversi Ogni canale trasporta differenti conversazioni CSMA/CA: Carrier Sense Multiple Access with Collision Avoidance protocollo che controlla il mezzo trasmissivo (onde radio) il ricevente deve inviare un ACK quando riceve correttamente un frame. Consuma il 50% della banda valida. Limita o elimina le collisioni Si riserva di un canale per comunicare ACK: identifica un segnale di Acknowledge emesso in risposta alla ricezione di un'informazione completa CSMA/CA: Carrier Sense Multiple Access with Collision Avoidance Per completare la conversazione: Il dispositivo che ha inviato la richiesta manda un ACK all’AP sul canale ACK indica all’AP che il canale può essere utilizzato nuovamente invia un ACK agli altri dispositivi facendo sapere che il canale può essere utilizzato nuovamente. SSID (service Set Identification) formato al massimo di 32 caratteri alfanumerici Identifica la WLAN Tutti i dispositivi collegati utilizzano lo stesso SSID SSID Broadcast permette di individuare più facilmente tutti Esiste anche BSSID (SID della BSS) e ESSID Estended SSID Sicurezza nelle WLAN Alcune considerazioni: Crittografia (Encryption): processo che rende i dati, se intercettati da un hacker, inutilizzabili. Protocolli di crittografia: WEP e WPA Algoritmi di crittografia: AES e TKIP Chiavi: PSK e EAP Sicurezza nelle WLAN Per aumentare la sicurezza della WLAN conviene ricorrere ai seguenti accorgimenti: Base Cambiare SSID Cambiare User Name e Password di accesso al Router Disabilitare il Broadcast SSID Disabilitare il DHCP Avanzata Crittografia e Autenticazione Abilitare filtro MAC (Filtro traffico) cambiare IP e rete del router (gateway) Authentication Security Authentication: Controlla chi si connette alla rete I permessi sono basati tramite delle credenziali Accesso al device tramite user name e password Authentication Open authentication per default tutti possono accedere all’AP Raccomandato solo per WLAN pubbliche (scuole, Internet cafè, centri commerciali, hotel) Sistemi di crittografia: protocolli Encryption: processo che rende i dati, se intercettati da un hacker, inutilizzabili. Sono dei sistemi utilizzati nelle reti wireless per impedire l’ingresso a malintenzionati nella rete stessa. Essenzialmente si dividono in due tipi: WEP Wired Equivalency Protocol WPA Wi-Fi Protected Access Sistemi di crittografia: chiave Autenticarsi ad un AP (Access Point) PSK (Pre Shared Keys) Autentication: chiave precedentemente condivisa. Utilizzata esclusivamente dagli AP AP e client devono avere la stessa chiave segreta o parola segreta. Come funziona: AP invia una stringa di byte random al client Il client li accetta, li cripta con la chiave segreta e li invia all’AP AP riceve la stringa criptata e la decripta Se la stringa decriptata è uguale all’originale, il client è accettato Sistemi di crittografia: chiave EAP (Extensible Autentication Protocol) : protocollo di autenticazione estensibile utilizzato spesso sugli access point e nelle connessioni PPP. L'utilizzo di EAP all'interno di una rete wireless, ad esempio, prevede che non sia l'access point ad autenticare il client: esso redirige la richiesta di autenticazione avanzata dal client ad uno specifico server, configurato per questo scopo come un RADIUS.( Remote Autentication Dial-in User Service) © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28 Modalità: Software che deve essere installato sul client Il client si mette in contatto con il RADIUS Server Questa funzione è separata dall’AP Il server contiene un database di user validi L’user name e password sono gestite e controllate dal server Protocolli di crittografia WEP: Wired Equivalency Protocol, permette di crittografare i dati in trasmissione L’algoritmo de è una sequenza di operazioni che permette di modificare un blocco di testo in chiaro calcolandone lo XOR bit a bit con una chiave pseudocasuale di uguale lunghezza. Questa sequenza pseudocasuale `e generata dall’algoritmo stesso. Algoritmi: Advanced Encryption Standard (AES) è un algoritmo di cifratura a blocchi. TKIP (Temporal Key Integrity Protocol) cambia dinamicamente la chiave in uso e la combina con un vettore di inizializzazione (IVS) di dimensione doppia rispetto al WEP, in modo da rendere vani gli attacchi simili a quelli previsti per il WEP e può essere implementato nelle schede di interfaccia wireless preWPA. Protocolli di crittografia Wi-Fi Protected Access (WPA e WPA 2) Il protocollo è stato creato in risposta alle numerose falle che i ricercatori hanno trovato nel sistema precedente (WEP). Nella fattispecie, il protocollo TKIP (Temporal Key Integrity Protocol), fu incluso nel WPA WPA Wi-Fi Protected Access WPA Personal: due metodi di crittografia, TKIP e AES, con chiave dinamica, scegliere l’algoritmo e la chiave condivisa formata da 8 a 63 caratteri. Scegliere anche il periodo dopo il quale il router deve cambiare la chiave. WPA Enterprise: utilizzata quando si ha un Server Radius connesso al router WPA2 Personal: come WPA Personal solo che è possibile scegliere AES o TKIP + AES WPA2 Enterprise: come WPA Enterprise solo che è possibile scegliere ( AES o TKIP + AES) Filtrare il traffico (Firewall) In che modo si può controllare il traffico autorizzato nella WLAN Bloccando il traffico in base a: IP Address MAC Address Port Number Sicurezza dell’ Access Point Wireless Base Cambiare SSID ( meglio anche nasconderlo) User Name e Password di accesso al router Disabilitare il Broadcast SSID Impostare il Filtro MAC Sicurezza dell’ Access Point Wireless Avanzata Crittografia Autenticazione Filtro traffico