reti & protocolli di sicurezza -...

Sistemi e reti

Reti & Protocolli di sicurezza

A cura dell’Ing. Claudio Traini

• 802.11i• 802.1x• SSL/TLS• IPsec• VPN

La sicurezza nello standard IEEE 802.11


• Standard IEEE 802.1xStandard di autenticazione che può essere utilizzata con reti wired ewireless.L'autenticazione viene eseguita dal server di autenticazione (server RADIUS).Occorre un protocollo per il trasporto dei metodi di autenticazione chiamato EAP ossia Extensive Authentication Protocol.

È possibile selezionare 4 tipi di metodi di autenticazione EAP: EAP-TLS, LEAP,EAP-TTLS e PEAP. Ogni metodo di autenticazione EAP ha impostazioni diconfigurazione e procedure di autenticazione differenti.

• Standard IEEE 802.11iStandard sviluppato dalla IEEE specificamente per fornire uno strumento di sicurezza alle comunicazioni basate sullo standard IEEE 802.11. Tale protocollo è stato rilasciato il 24 giugno 2004 .


I principali protocolli impiegati:

WEP (Wired Equivalent Privacy) - Primo protocollo definito per lo standard IEEE802.11. WEP usa lo stream cipher RC4 per la sicurezza e utilizza il CRC-32 perverificare l'integrità dei dati.

WPA (Wi-Fi Protected Access) – Protocollo progettato per utilizzare lo standard IEEE802.1x sia per gestire l'autenticazione dei client e dei server sia per la distribuzione didifferenti chiavi per ogni utente. I dati sono cifrati con lo stream cipher RC4 conchiave a 128 bit.

WPA2: Evoluzione di WPA - Realizzato nel settembre del 2004 implementa tutte lefunzionalità definite dallo standard 802.11i, a differenza di WPA che è basato soloalcune funzionalità dello standard. La differenza principale con WPA è il nuovoalgoritmo di cifratura basato su AES (Advanced Encryption Standard) che prende ilnome di CCMP (Counter-Mode/CBC-Mac Protocol).


Architettura del WEP

Il WEP è basato su di uno schema a chiave simmetrica, la quale è utilizzata sia per la fase di cifratura che di decifratura dei dati.

Gli obiettivi principali forniti dal WEP sono:

Access Control : prevenire gli accessi non autorizzati al sistema da parte di utenti che non presentano una chiave WEP corretta;

Privacy: proteggere i dati della rete wireless tramite la loro codifica, mostrando la decodifica soltanto agli utenti che posseggono la corretta chiave WEP.

Lo standard 802.11 fornisce uno schema di autenticazione con chiavi condivise da tuttele stazioni della rete Wi-Fi (utenti, access point, etc.).Quando il cliente ottiene la chiave di default potrà comunicare con tutte le stazioniappartenenti alla rete. Il problema con la chiave di default è che quando essa è inviata amolte stazioni potrebbe essere compromessa da un attaccante che intercetterebbe cosìla comunicazione.


Architettura del WEP


Architettura del WPA/WPA2

L’architettura del protocollo è molto complessa e distingue nettamente le fasi diautenticazione e gestione della sicurezza dei dati. Si basa sul concetto di Robust SecurityNetwork (RSN) che permette di creare una RSNA (Robust Security Network Association)che si basa sullo standard IEEE 802.11i.

Per stabilire una comunicazione RSNA occorre:

Un accordo sulla politica di sicurezza: in questa fase il client wireless identifica l’access point con cui vuole avviare la comunicazione ed insieme stabiliscono la politica disicurezza da adottare.

Un meccanismo di autenticazione basato su 802.1X oppure sulla Pre-Shared Key: durantequesta fase se si utilizza l’autenticazione 802.1X, il client wireless ed il server diautenticazione AAA (tipicamente un server RADIUS) provano la propria identità l’un l’altro.Altrimenti, come nelle soluzioni SOHO su una chiave di autenticazione condivisa.


Architettura del WPA


Le modalità di autenticazione 802.1x

La sicurezza nello standard IEEE 802.11 Le modalità di autenticazione tramite 802.1x

La sicurezza nello standard IEEE 802.11 Architettura di una rete WiFi

La sicurezza nello standard IEEE 802.11 AP WiFi con autenticazione RADIUS


Le «BEST PRACTICE» per una corretta gestione della rete

Cambiare i SSID di default Il Service Set IDentifier (SSID) identifica univocamente ogni punto di accesso all’interno dellarete. Tramite una configurazione opportuna, soltanto i dispositivi che utilizzano il correttoSSID possono comunicare con i punti di accesso. Molti dei dispositivi hanno giàpreconfigurato un SSID di default: un intruso può usare questi nomi per cercare di accederead AP che hanno ancora la configurazione di fabbrica.

Utilizzare SSID non descrittivi Usare SSID descrittivi facilita il compito di un eventuale intruso nell'individuare luoghi oaziende e nel ricavare maggiori informazioni su come entrare, ragion per cui è consigliabileutilizzare nomi anonimi o altamente scoraggianti.

Disabilitare il Broadcast SSID Gli AP mandano ad intervalli regolari Beacon Frames per la sincronizzazione con i client, iquali contengono il SSID. È auspicabile disabilitare il Broadcast SSID qualora l'AP supportiquesta opzione. Il client dovrà essere configurato manualmente con il SSID corretto perpoter accedere alla rete.



Cambiare le password Come per i SSID, è importante cambiare le password di default degli AP. È buona norma chela password sia lunga almeno otto caratteri e che includa caratteri speciali e numeri.

Aggiornare il firmware Nella scelta di un AP, è preferibile orientarsi verso un apparato che abbia la possibilità diaggiornare il suo firmware. È bene pertanto assicurarsi che l'AP abbia l'ultimo firmwareconsigliato dal produttore.

Chiave WPA/WPA2 PSK sicuraSe si utilizza la codifica WPA / WPA2 in modalità Personal (PSK) è importante scegliere una passphrase che rispetti i criteri di sicurezza adeguati.

Autenticazione 802.1X e WPA2 Se possibile utilizzare WPA / WPA2 in modalità Enterprise (con server di autenticazioneRADIUS). Inoltre, quando possibile, è preferibile utilizzare WPA2 a WPA poiché offre unmiglior algoritmo di cifratura rispetto a WPA.



Abilitare il MAC filteringMolti produttori includono nei loro AP la possibilità di abilitare soltanto alcune schede direte, usando come metodo discriminatorio il loro indirizzo MAC.

Spegnere l’AP quando non serve Gli intrusi agiscono solitamente durante la notte e il fine settimana, ovvero quando la reteed i sistemi non sono controllati. È consigliato, quando possibile, collegare gli AP ad untimer, in modo da spegnerli quando non vengono utilizzati.

Minimizzare l'intensità del segnale Gli intrusi sfruttano il fatto che le onde radio non si possono limitare a dei luoghi bendefiniti, esempio l'ufficio vendite, ma riescono ad espandersi fuori dalle mura perimetralidall'ufficio. Da qui la definizione del nome “parking lot attack”, o più semplicemente attacchiprovenienti dal parcheggio. È pertanto importante scegliere un'adeguata collocazionedell’AP all'interno dell'edificio, in modo che il segnale sia sufficiente a garantire ilcollegamento solo ed esclusivamente alla zona interessata.



Limitare il traffico di broadcast Alcuni protocolli, in particolare il NetBIOS su TCP/IP usato da Windows, usano assiduamentei messaggi di broadcast. Questi messaggi di broadcast minimizzano per un intruso i tempi diraccolta dei dati per ricavare la chiave WEP. È consigliabile limitare il traffico di broadcastquando possibile, ad esempio disattivando il protocollo NetBIOS su TCP/IP dal binding con lascheda di rete Wireless.

Non utilizzare il DHCP È consigliabile non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi, maconsiderare l'utilizzo di IP statici. Anche se è un ulteriore impegno per l'amministratore, èassai utile per evitare che la rete wireless attribuisca indirizzi IP validi a chiunque vogliaassociarsi con l'AP.

Uso di una VLAN separata È consigliabile utilizzare una Virtual Lan separata per il traffico wireless, separandola dalla rete intranet. Esistono varie metodologie, per unire in maniera sicura le due LAN, tra le più semplici ricordiamo l'uso di un router/switch con capacità di filtro IP o un proxy.

Protocolli sicuri e Virtual Private Network

Protocolli sicuri – SSL/TLS


Il funzionamento del Record Protocol

Protocolli sicuri – Virtual Private Network

Una VPN è un servizio di comunicazione “logico” sicuro e affidabile fra due o piùapparecchiature realizzata sopra una infrastruttura di rete pubblica potenzialmentenon sicura che rispetta i principi di riservatezza, integrità e autenticazione.

Protocolli sicuri – VPN

Il concetto di «tunneling»

La VPN usa il concetto di Tunneling per creare una rete privata attraverso Internet.Concettualmente, è come se un tunnel sicuro venisse costruito tra due apparecchiature finali abilitate a realizzare VPN end-to-end. I dati possono essere spediti dall’origine verso la fine del tunnel, avendo la certezza che arriveranno alla fine del tunnel.


Il Tunneling compie un incapsulamentomultiprotocollo dei dati.

Questo termine significa che i pacchetti didati, anche se sono di protocolli differentivengono prima «trattati» dallo specificoprotocollo di tunneling (GRE, L2TP, IPsec )e poi vengono imbustati nuovamenteall’interno di un secondo pacchetto IP espediti sulla rete con un nuovo header IPper essere trasportati verso la fine deltunnel.

Una volta giunti alla fine del tunnelvengono spogliati dell’imbustamentosupplementare aggiunto dal protocollo ditunnel e instradato verso la suadestinazione.


Riducono i costi – le VPN riducono in maniera profonda i costi di mantenimento diuna rete sicura perché usano Internet come infrastruttura di collegamentoremoto.Migliorano le comunicazioni – gli utenti remoti si possono connettere in sicurezzada qualunque posto 24 ore su 24 alle risorse della rete aziendale o tra di loro.Sono Flessibili e Scalabili – una infrastruttura VPN può adattarsi con facilità allenecessità di cambiamento delle reti.Sono Sicure ed Affidabili – la sicurezza è un concetto intrinseco in una VPN,poiché le VPN utilizzano protocolli di tunnelling. L’affidabilità deriva dalla topologiaa tunnel, punto-a-punto e quindi estremamente semplice.Sono Indipendenti dagli standard tecnologici – dei primi due livelli dalla pilaOSI. Questo garantisce che una rete non sia vulnerabile alle caratteristiche didebolezza (insicurezza) dei primi due livelli.

Vantaggi delle VPN


Protocolli impiegabili

Tra questi il più sicuro è IPsec, un protocollo completo per le comunicazioni VPN


SITE to SITE


CLIENT to SITE

Protocolli sicuri – IPsec

IPsec (IP Security) è una suite di protocolli che fornisce sicurezza allo strato della rete.

IPsec fornisce i seguenti servizi:

1. confidenzialità dei dati (crittografia)2. confidenzialità delle parti effettivamente coinvolte nel flusso del traffico3. integrità dei dati4. autenticazione del mittente5. protezione contro gli attacchi

Per fare ciò IPSec si serve dei seguenti protocolli: l’AH (Autentication Header) e l’ESP(Encapsulating Security Payload). Il protocollo AH fornisce l’autenticazione dellasorgente e l’integrità dei dati ma non la segretezza, l’ESP fornisce l’integrità dei dati,l’autenticazione e la segretezza.Possono essere impiegati nelle modalità TRASPORTO oppure TUNNEL.


Architettura


Framework

Protocolli sicuri – IPsecModalità d’impiego

AH transport/tunnel

ESP transport/tunnel

AH + ESP transport/tunnel


Modalità d’impiego


Esempio


Esempio

Parametri di Policy nella fase 1 di ISAKMPParametro Valore possibile R0 R2

Metodo di distribuzione della

chiaveManuale o ISAKMP ISAKMP ISAKMP

Algoritmo di criptografia DES, 3DES o AES AES AES

Funzione Hash MD5 o SHA-1 SHA-1 SHA-1

Metodo di autenticazione Pre-Shared o RSA pre-share pre-share

Scambio chiave DH gruppo 1, 2 o 5 DH 2 DH 2

durata IKE SA 86400 secondi o meno 86400 86400

password ISAKMP scelta libera cisco cisco

Parametri di Policy nella fase 2 di ISAKMPParametro R0 R2

Transform Set VPN-SET VPN-SET

Nome Host del Peer R2 R0

Indirizzo IP del peer 10.2.2.1 10.1.1.1

Rete da criptare 192.168.1.0/24 192.168.2.0/24

nome Crypto Map VPN-MAP VPN-MAP

Security Association ipsec-isakmp ipsec-isakmp

reti & protocolli di sicurezza -...

Documents