smau security - 25 ottobre 2002communication valley – telefonia e wireless smau security 2002 reti...
TRANSCRIPT
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Smau Security 2002
Reti wireless e telefonia tradizionaleIl punto di vista della sicurezza
Giovanni Bobbio - CTO
Communication Valley S.p.A.
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Agenda
Telefonia tradizionale e wireless LAN– Funzionalità e benefici– Il punto della situazione (focus sulla sicurezza)– Ipotesi di soluzione
Una visione d’insieme
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Wireless – Le funzionalità
Mobilità, accessibilità, connettività Facilità negli spostamenti all’interno degli uffici Disponibilità di servizi in luoghi pubblici:
– Aeroporti– Internet café– Congressi
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Wireless – I benefici
Produttività– Collaborazione più facile– Senza la necessità di riconnettersi– Configurazione indipendente dalla posizione fisica
Riduzione dei costi– Semplicità d’uso e di deployment– Apparati economici– Nessun cablaggio dei terminali, anche nei posti
poco raggiungibili o non cablabili (in Italia, i palazzi storici)
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Perché è un problema?
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
La “sicurezza” delle WLAN
SSID: Service Set Identifier– Identifica una rete wireless (un insieme di
AP)– Open/closed network– Una scheda di rete wireless deve
conoscere il SSID della rete per collegarsi– Pensato per la facilità d’uso e per
scegliere la rete a cui collegarsi– Valori di default
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
MAC address
MAC: Media Access Control Filtering– Ogni scheda wireless (ed Ethernet)
ha un identificativo ‘unico’– Gli access point possono consentire
l’accesso solo a determinati MAC – Implica mantenere liste aggiornate e
condividerle tra gli APN– Non solo identificano la scheda e non
l’utente ma possono essere modificati (spoofing)
00:D0:59:B9:C0:AB
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Wired Equivalent Privacy (WEP)
Algoritmo + chiave (40 – 128 bit) Segreto condiviso tra client e AP http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
– Nella fase di autenticazione– Passivamente: raccogliendo quantità sufficienti di traffico ed
analizzandole– Attivamente: inserendo traffico (plain text) noto
Tutti gli utenti di una rete condividono la stessa chiave Cifra solo il payload, non gli header Obiettivo minimo –> Chiavi WEP dinamiche, per
utente/per sessione
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
In definitiva…
Cifratura e autenticazione insufficienti o inesistenti
Client e reti insicuri per default Sniffing, war driving, bye bye
firewall Denial of service sugli AP Nessuna policy su rete ed
utenti (AAA)
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Wireless – Standard
IEEE 802.11 IEEE 802.11a IEEE 802.11b IEEE 802.11e IEEE 802.11h [IEEE 802.1x]
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Procedura di accesso 802.1x
~
~
Access Point
Other network serversAnd services
WirelessClient
Authentication Server(RADIUS)
5
5) L’utente ha accesso ai soli servizi per i quali è autorizzato
1
1) L’utente richiede l’autenticazione. AP non dà accesso e fa da proxy.
2
2) Credenziali cifrate vengono mandate a un server di autenticazione (RADIUS)
3
3) ACS autentica l’utente. AAA, OTP, certificati X.509, ACL su firewall, etc.
4
EncryptedWEP (dynamic)
4) La porta viene abilitata e l’AP assegna dinamicamente le chiavi WEP al client
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Wireless VPN
POTSDialup
Internet
ISP
Access Point
Airport,Hotel or Home
Fire
wal
lF
irew
all
Secure VPN connection
Secure VPN connection
Fire
wal
lF
irew
all
VPN Server
DNS Server
DHCP Server
Net
wo
rk
DMZ
~
~
Secure VPN connection
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Wireless – Prime conclusioni
Sicurezza in via di miglioramento– Nuovi protocolli: accesso alle porte, cifratura, key
management– 802.1x permette di integrarsi con funzioni di alto
livello Tutto qui?
– Tecnologia OK, ma…– Policy management ed enforcement– Adozione di rimedi tipici delle reti IP (IDS, VPN)– Ciclo di vita della sicurezza globale
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Telefonia fissa
Vicina della rete dati Forte impatto sia economico che sulla
sicurezza
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Telefonia fissa – I problemi
Economici– Chiamate internazionali– Servizi a valore aggiunto– Chiamate agli ISP (costo)– Utilizzo delle linee fax per altri usi
Infrastrutturali– % utilizzo nelle ore di picco / a
regime– Distribuzione delle risorse
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Telefonia fissa – I problemi
Sicurezza– Modem autorizzati insicuri (chiamate in ingresso non
controllate)– Modem non autorizzati (chiamate in uscita e accesso
all’interno)– Chiamate agli ISP (bypass dei firewall/proxy)– Interconnessioni tra PSTN e IP
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Dalla linea telefonica alla rete dati
LAN
Server
Stazioni di Lavoro
Internet
CentroCommutazione
ISP
Attaccante
PSTN
IDS
Firewall
PBX
Voicemail
TelefoniFax
L’attaccante entra dalla rete telefonica pubblica
Modem
Compone una serie di numeri per cercare un modem. Il PBX inoltra la chiamata
Accede alle risorse di rete
Trova il modem settato in modalità risposta e lo forza
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
I modem
LAN
Server
Stazioni di Lavoro
Internet
CentroCommutazione
ISP
Attaccante
PSTN
IDS
Firewall
PBX
Voicemail
TelefoniFax
L’attaccante entra dalla rete telefonica pubblica
Il PBX smista tutte le chiamate in entrata e rende vulnerabili voicemail, fax e rete.
Il modemlasciato acceso in modalità risposta per connessioni da casa fuori dall’orario di lavoro
Il modem autorizzato collegato a risorse critiche e non protetto
Il modem collegato durante le ore di lavoro
Accesso alle risorse di rete
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Telefonia – Soluzioni tradizionali
Policy e procedure sull’uso War dialing per scoprire modem Confidenzialità –> Cifratura one-to-one con
hardware specializzato Blocco numeri sul centralino per limitare le
chiamate indesiderate
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Telefonia – Soluzioni “nuove”
Firewall VPN IDS AAA
In breve: applicazione efficace delle policy
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Firewall e IDS
LAN
Server
Stazioni di Lavoro
Internet
CentroCommutazione
ISP
Attacante
PSTN
IDS
Firewall IP
PBX
Voicemail
TelefoniFax
Modem
Firewall PSTN
Server ETM™
Bloccato!
Allarme!
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
VPN e AAA
PBXs
Firewall PSTN
LAN
Server
Stazioni di Lavoro
Internet
Centro Commutazione
ISP
PSTN
IDS
Firewall
PBX &Voicemail Telefoni
Fax
Modem
Firewall PSTN
Management
UfficioMilano
UfficioRoma
UfficioPalermo
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless
Conclusioni
Dall’usabilità alla sicurezza Pianificazione, integrazione Ciclo della sicurezza integrato
– Protezione (Firewall, AAA, VPN)
– Monitoraggio (log, IDS)
– Risposta (Utilizzo delle informazioni - Policy applicabili)