Rudi Verago [ vlain@libero.it ] Rudi Verago [vlain@libero.it]

Transcript

1 Wireless e sicurezza Rudi Verago [ vlain@libero.it ]

2 Copyright (c) 2004 RUDI VERAGO Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front Cover Texts, and no Back Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". 2

3 Wireless: pregi Mobilità Minori costi per il cablaggio Uso all'interno di edifici storici Comodità degli utenti. 3

4 E' lo standard per le reti wireless, ridefinisce il livello fisico e il MAC (Medium Access Control) del livello datalink della pila ISO/OSI ISO/OSI TCP/IP 4

5 Gli standard 802.x 802.1: internetworking 802.2: sottostrato LLC del datalink : lan, man, wlan, token ring, token bus, fibra ottica, voice, broadband... 5

6 802.11: componenti La comunicazione avviene via radiofrequenza Due tipi di dispositivi: Access Point (AP): bridge di rete Wireless Terminal (WT): schede di rete dotate di antenna (usb, PCMCIA ed integrate come nella tecnologia Centrino) Un sistema di almeno due WT si chiama BSS (Basic Service Set), può essere presente anche un AP Se viene inserito un DS (Distribution System) che connette gli AP il sistema è detto ESS (Extended Service Set). 6

7 Ad Hoc network Ad-Hoc: tutti i nodi sono paritari, non ci sono ponti verso altre reti, un WT (tipicamente il primo che entra nella rete) esegue funzioni di master. 7

8 Infrastructure network AP svolge bridging e coordina il traffico tra i WT (al max 20); l'ap è un repeater per la comunicazione verso la rete cablata. 8

9 Wireless: problemi Scelta banda radio non usata da altre applicazioni Potenza del segnale deve essere limitata Riflessione dei segnali radio provoca sfasamenti Rumorosità del canale Vulnerabilità del mezzo trasmissivo (aria!!!), poi ne parliamo Hidden Node (nodo nascosto). 9

10 Hidden Node Problem I WT A e B sono distanti o c'è un ostacolo tra loro quindi non riescono a sentirsi Se A e B vogliono parlare con C contemporaneamente ci sarebbe sovrapposizione del segnale, ciò rende la comunicazione impossibile. 10

11 CSMA Carrier Sense Multiple Access permette (su reti cablate normali e wireless) di condividere correttamente il mezzo gestendo le eventuali collisioni Il funzionamento di base implica che una stazione prima di comunicare debba ascoltare il mezzo in modo da rilevare collisioni, nelle reti cablate è facile (CSMA/CD, Carrier Sense Multiple Access with Collision Detection) mentre nelle reti wireless è molto difficile Soluzione CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) Prima di comunicare il WT invia un pacchetto RTS (Request To Send) all'ap, che in caso di via libera risponde con CTS (Clear To Send). Nel caso della collisione i WT aspettano un tempo T (calcolato attraverso un algoritmo esponenziale detto di back-off) prima di ritrasmettere. Tutte le stazioni della rete ricevono almeno uno dei pacchetti (CTS o RTS) entrano in uno stato che impedisce loro di accedere al mezzo: ponendo un flag Virtual Carrier Sense Indicator (VCSI) ad ON per tutta la durata della connessione L'AP quindi è l'arbitro del traffico; si introduce però un overhead. 11

12 e qualcosa : nato nel 1997, il capostipite di tutti i protocolli wireless a: usa 8 canali, bassa copertura (20 m), usato in USA e in Canada b: usa 13 canali, 30 metri all'interno e 100 all'esterno, potenza mw, usato all'inzio in Europa, usa modulazione DSSS g: tecnologia simile all'802.11a e compatibile con b, stessa copertura/canali dell'802.11b, rilasciato giugno 2003, modulazione OFDM La velocità di trasmissione in tutti i protocolli varia in base al rapporto segnale/disturbo. 12

13 Canali Permettono di risolvere i problemi di sovrapposizione di banda tra AP; ad ogni AP viene associato un canale (ossia una banda) distinto e non sovrapposto con altri. 13

14 Tutti gli standard Wi Gruppo di lavoro Scopo Stato a trasmissioni 5 Ghz wireless standard pubblicato b trasmissioni 2.4 Ghz wireless standard pubblicato c Migliorie allo standard b d Migliorare interoperabilità tra e pubblicato e integrato in b pubblicato e integrato in 802.1d e Supporto Quality of Service in avanzamento f Migliorare interoperabilità tra AP differenti, e quindi roaming in avanzamento g Evoluzione b standard pubblicato h Migliorare 802.1a in avanzamento i Migliorare la sicurezza delle reti wireless standard pubblicato j Aumentare i canali nella banda 5Ghz in Giappone in avanzamento k Misure radio in avanzamento 14

15 Schede wireless e Linux Il supporto wireless non è migliorato nel kernel 2.6, i driver continuano ad essere sviluppati esclusivamante da terze parti (o quasi) E' fondamentale controllare la compatibilità del chipset della scheda wireless con il pinguino, un buon posto dove iniziare è : Le schede che lavorano molto bene sono le: Prism2 (vecchie LinkSys, Netgear Dlink), Orinoco, PrismGT e Atheros (Dlink, LinkSys e integrate) Le schede che lavorano abbastanza bene sono: Atmel, Cisco, ACX100 e Centrino Il supporto cercatelo insomma su Le schede Linux supportano anche la modalità Master in cui eseguono le funzioni di un AP. 15

16 Wrapper Esistono anche i software detti wrapper che permettono di usare i driver fatti per il SO di casa Redmond LinuxAnt: il primo, prodotto non free ($19.95), potete provarlo per 30 giorni, funziona con chipset Broadcom, Intel, Intersil, Realtek, Atheros, Texas, INPROCOMM, Marvell, attualmente supporta solo PCI e cardbus, non USB e PCMCIA Ndiswrapper: completamente open source ( è incluso ad es. nella Mandrake 10 (ndiswrapper.ko) IPW2100: supporto Intel PRO/Wireless 2100 Network Connection mini PCI adapter, ci sono pacchetti per Debian/Fedora/Gentoo. 16

17 iwconfig E' necessario inoltre installare i Wireless Tools (iwconfig) per configurare le interfacce wireless La configurazione comprende: ESSID (SSID), mode (infrastructure o adhoc), frequency, AP MAC, Bit Rate e parametri radio; esempi di configurazione sono i seguenti: iwconfig eth1 essid CasaMia key off iwconfig eth1 mode ad hoc ifconfig eth1 inet netmask broadcast iwlist : permette di trovare gli AP disponibili. 17

18 Centrino e Linux Il supporto per il Centrino attualmente è quasi soddisfacente, esistono patch per i kernel della serie 2.4 e 2.6 Ndiswrapper e LinuxAnt assicurano un buon supporto Intel si sta dando da fare (Intel PRO / Wireless 2100); potete invitare Intel a sbrigarsi attualmente ci sono circa 9000 sottoiscrizioni. 18

19 Sicurezza: perchè? Per attaccare una rete cablata è necessario avere accesso al mezzo fisico Tutti invece hanno accesso all'aria: quindi è teoricamente più semplice attaccare le reti wireless Per questo motivo l'ieee sin dalle prime versioni dell' ha previsto meccanismi di sicurezza. 19

20 Kernel e la sicurezza Il 2.4 non aveva particolari supporti alla crittografia; esistono diverse patch in base all'applicazione Il kernel 2.6 invece introduce: CryptoAPI: supporto nativo a funzioni di hashing (SHA512, MD5...), chiper (BlowFish, Twofish, AES...) modprobe aes Crypto Loop support: filesystem cifrati, ossia protetti da una password; l'applicazione è semplice ed efficace modprobe cryptoloop ECL: utility per la gestione dei fs cifrati ACL sui filesystem ext2, ext3, JFS, XFS Ad esempio è molto semplice creare un fs cifrato. 20

21 Wired Equivalence Privacy WEP è il protocollo di base usato nelle reti x Le chiavi sono statiche (fisse, non variano nel tempo), impostate manualmente e devono essere scambiate tra tutti gli utenti della rete Si basa sull algoritmo simmetrico RC4 e lavora a livello datalink (livello 2) nella pila ISO/OSI La lunghezza delle chiavi WEP varia da 40 a 128 bit (256 e 512 sono di solito soluzioni proprietarie). 21

22 Autenticazione Ogni sottorete gestita da un AP ha un nome univoco detto SSID (Service Set Identifier), SSID è di 32 bit e viene inserito in tutti i pacchetti trasmessi; per connettersi a qualsiasi WLAN è necessario conoscere almeno l'ssid Di default l'ssid è inviato in broadcast: NON FARLO MAI!!! I metodi di autenticazione di base sono due: open key: un WT si autentica conoscendo solo l'ssid, nel caso in cui il WEP sia attivo viene abilitato solo il traffico di rete cifrato con la chiave corretto shared key: utilizzato solo con WEP attivo: 1. WT invia la sua identità in chiaro all'ap, il suo MAC, la velocità di connessione e SSID COMPLETAMENTE INSICURA 2. AP risponde con un challenge in chiaro (breve pacchetto) 3. WT cifra il challenge con la chiave WEP e lo restituisce all'ap 4. Se la cifratura è corretta il WT è autenticato Si può usare il MAC address filtering (difficoltà gestione ecc.). 22

23 Vulnerabilità di base MAC filtering sono insicuri: sniffing e spoofing Shared/Open Key non sono veri e propri metodi di autenticazione SSID non deve essere inviato in broadcast e deve essere scelto relativamente lungo e difficile da indovinare; ATTENZIONE perchè viene appeso ad ogni messaggio Per l'integrità (checksum) viene usato il Cyclic Redudancy Check (CRC), è noto che si può calcolare la differenza di CRC di due messaggi che differiscono di un solo bit; iterando la tecnica è possibile modificare arbitrariamente n bit di un messaggio e aggiustare correttamente il CRC Il DHCP attivo in qualsiasi rete facilita l'attacco 23

24 Catastrofe WEP Una chiave da 64 bit è formata da 40 bit sono riservati della chiave WEP (settata dall'amministratore) mentre gli altri 24 sono un numero casuale Initialization Vector (IV) Il pacchetto cifrato (con bit) viene inviato con lo IV in chiaro riducendo pertanto la chiave a 40 bit effettivi Gli IV vengono generati pseudo-casualmente, ma la sequenza si riazzera spesso ad es. per problemi di comunicazione I ricercatori Stubblefield, Ioannidis e Rubin hanno dimostrato, nello studio intitolato Using Fluhrer, Mantin and Shamir attack to break WEP che l'uso di uno stesso IV consente ad un hacker di risalire alla chiave WEP usata analizzando il traffico cifrato Hanno sperimentato inoltre che sono sufficienti da a di pacchetti (1/2 ore di comunicazioni) per risalire alle chiavi. 24

25 Parking lot attack Gli attacchi alle WLAN avvengono con un portatile, uno sniffer (come AirSnort o Ethereal), una scheda wireless ed eventualmente un'antenna. 25

26 Warchalking Guerra dei gessetti: è il codice per segnare le reti già attaccate e per comunicare ad altri le protezioni presenti; vengono segnati dei simboli con dei gessetti per terra davanti agli edifici (si usano anche mappe). Kenneth Newman in una famosa presentazione:... dalla finestra del mio appartamento riesco a captare il segnale di 12 AP in 5 minuti: 6 default (nessuna protezione, come sono usciti dalla fabbrica) e 3 WEP... camminando in Wall/Water/ Broad Streets 150 AP in 20 minuti... in macchina 448 in 90 minuti: 75 defaults, 26% WEP

27 802.1x: una soluzione Nato per le reti cablate ma applicabile alle reti wireless Agisce a livello 2 datalink Le richieste di accesso che arrivano all'ap vengono inoltrate ad un server AAA sulla rete cablata tipicamente RADIUS o Kerberos. 27

28 EAP e 802.1x 802.1x definisce solo l'architettura ma non l'implementazione L'EAP (Extensible Authentication Protocol) è la sua realizzazione, provvede all'autenticazione e alla gestioni delle chiavi di connessione All'inizio era utilizzato per le reti PPP; successive modifiche da parte dell'ieee hanno definito le specifiche EAPOL (EAP over LAN), ossia metodi che permettono di incapsulare i messaggi EAP e di inviarli su reti Ethernet o segmenti di reti LAN wireless EAP usa un paradigma di comunicazione challenge/response, un modello sincrono in cui sono definiti quattro tipi di messaggi: EAP Request per le richieste di autenticazione o di credenziali EAP Response come risposta alle request EAP Success per comunicare il successo dell operazione EAP Failure per la notifica di un errore. 28

29 EAP: esempio 1. Il supplicant richiede la connessione all'ap (authenticator) inviando un pacchetto di challenge 2. AP richiede l'identità dell'utente e la inoltra al server 3. Server richiede al client la dimostrazione dell'identità 4. ll client risponde inviando le credenziali al server tramire l'ap 5. In caso di correttezza delle credenziali fornite, il client ha accesso alla WLAN 29

30 EAP: metodi one way EAP-MD5 Il primo modello della serie EAP Supporta esclusivamente l'autenticazione one-way (solo del client) tramite loginpassword, non supporta il key management Il nome deriva dal fatto che viene fatto l'hashing della password con MD5; non è consigliato l'uso sulle WLAN ma solo sulle reti cablate. LEAP (Lightweigth EAP) Protocollo proprietario della Cisco Cifra i dati usando chiavi WEP dinamiche e supporta la mutua autenticazione La maggior parte delle implementazioni LEAP compatibili usa però un autenticazione a livello di login-password Recenti studi hanno evidenziato un estrema vulnerabilità proprio nel caso di preshared password. 30

31 EAP TLS EAP-TLS (Transport Layer Security) Essenzialmente è lo standard-de-facto in sistemi Linux e Microsoft E' basato sui certificati e provvede alla mutua autenticazione L'autenticazione EAP-TLS avviene automaticamente, senza alcun intervento da parte dell utente, usa concetti di PKI: il client e il server devono preventivamente avere un certificato valido e vi deve essere un CA server Al termine della fase di riconoscimento avviene la creazione di un tunnel SSL/TLS Il server provvede alla generazione delle chiavi per la sessione wireless in modo dinamico Ha il pregio di permettere una veloce riconnessione (via rigenerazione della sessione del tunnel SSL/TLS). 31

32 EAP: metodi evoluti EAP-TTLS (Tunnelled Transport Layer Security) E stato sviluppato dalla Funk Software e dalla Certicom Corp E un'estensione dell'eap-tls e non necessita della configurazione del certificato dal lato client; si può appoggiare ad un'infrastruttura esistente (ad es. LDAP o Active Directory) e per questo sta riscuotendo notevole successo Elimina il problema della distribuzione dei certificati PKI PEAP (Protected EAP) E ' anch'esso un evoluzione dell EAP-TLS ed è stato sviluppato da Cisco, Microsoft e RSA Security Group E' molto simile all EAP-TTLS e per questo è in diretta competizione Anche il PEAP usa solo il certificato digitale del server per creare un tunnel SSL/TLS cifrato su cui scambiare successivamente le credenziali di autorizzazione del client. 32

33 EAP: pregi E' versatile Lavora a livello due (datalink) quindi teoricamente sicurissimo Gli schemi con la mutua autenticazione eliminano l'attacco Man-in-the Middle Implementa un sistema di amministrazione e distribuzione di chiavi centralizzato Permette di definire in modo semplice policy centralizzate per la classificazione degli utenti wireless. 33

34 EAP: difetti Le tecniche EAP coinvolgono anche l'ap; l'ap però è un HW stupido facilmente attaccabile e quindi l'anello debole EAP-MD5 è completamente insicuro LEAP è vulnerabile ad alcuni attacchi EAP-TLS è molto complesso da gestire In EAP-TTLS PEAP bisogna prestare particolare attenzione alle gestione dei certificati e quindi alla creazione della CA Problemi di interoperabilità ancora piuttosto presenti. 34

35 EAP: riassunto 35

36 EAP e Linux Potete usare come server FreeRadius: supporta EAP-MD5, EAP-TLS, EAP-TTLS, EAP-PEAP, LEAP può usare LDAP, MySQL, PostgreSQL, Oracle ottima interoperabilità molto potente ma poco documentato OpenDiameter: il successore di Radius, file di configurazione XML Come client Open1x ( supporta EAP-MD5, PEAP, EAP-TLS, EAP-TTLS e EAP-SIM Xsupplicant funziona molto bene Authenticator: si sta lavorando Oppure i soliti wrapper. 36

37 Attacchi WLAN Sniffer: furto dati o credenziali di autenticazione, molti prevedono il crack della chiave WEP in automatico, in Linux esiste ad esempio Kismet, AirSnort, WEPAttack, Widz; un antisniffer è FakeAP Spoofing: mascheramento identità o MAC, tool come Dsniff permettono di corrompere la tabella ARP dell'ap Denial of Service (DoS): gli attacchi più diffusi sono a scapito dell'ap Session Hijacking: furto sessione di connessione (difficile da realizzare) Jamming: introduzione segnale radio che provoca interferenza, ad esempio Evil Twin ossia un AP illegittimo con segnale molto forte che maschera il vero AP Man in the Middle (MITM). 37

38 Decalogo 1. Disabilitare il broadcast dell'ssid e scegliere SSID non banali 2. Disabilitare DHCP sempre 3. Analizzare periodicamente la rete tramite strumenti di auditing 4. Curare la disposizione degli AP 5. Cambiare la password dell utente amministratore dell AP prot. bassa prot. media prot. media 6. Abilitare la crittografia WEP a 128 bit; non usare chiavi banali, usare rotazione automatica delle chiavi (se permesso dall'hw) 7. Usare il MAC address filtering 8. Usare l'802.1x nelle implementazioni a chiave pubblica (TLS, PEAP o TTLS) e un server RADIUS o LDAP 9. Cambiare il range degli indirizzi della WLAN ed eventualmente introdurre le VLAN 10. Usare una Virtual Private Network con il protocollo IPsec 38

39 Wireless Protected Access WPA è un meccanismo di sicurezza sviluppato in attesa del nuovo protocollo di sicurezza i Uso del TKIP (Temporal Key Integrity Protocol): provvede alla gestione dinamica delle chiavi tramite l'uso della lifetime; ad es. se lifetime è uguale ad 1 minuto alla fine del minuto viene scambiata la nuova chiave di sessione K cifrata con la chiave di sessione attuale, tutte le comunicazione d'ora in poi avverranno con K Il TKIP viene usato nel WPA con il protocollo WEP ma con IV di 48 bit Introduzione nuovo algoritmo di integrità chiamato MIC che risolve i problemi del CRC, usa 64 bit Il WPA rimane però ancora suscettibile da attacchi di tipo DoS e non solo in caso di PSK Viene installato come firmware upgrade negli AP e SW upgrade nei WT. 39

40 WPA e Linux E' ancora distante dalla perfezione il supporto per il WPA in Linux Esistono supplicant per RedHat/Fedora Se usate il wrapper LinuxAnt è garantito il supporto WPA Date un occhio a 40

41 802.11i Approvata definitivamente venerdì 25/06/2004 I primi HW certificati saranno disponibili da settembre 2004, richiede nuovo hardware Integra TKIP e MIC Sostituisce WEP con il nuovo algoritmo AES (standard NIST), per questo richiede un coprocessore negli AP Integra inoltre l'architectural framework 802.1x quindi le tecniche EAP (preferibilmente su RADIUS o DIAMETER) Ha un supporto più spinto per il roaming Sicura deautenthication e deassociation 41

42 Virtual Private Network VPN assicura autenticazione, integrità e confidenzialità L'AP non entra nelle politiche di sicurezza, è settato com open Usa il tunneling: viene creato un tunnel sicuro cifrato mediante su un canale non necessariamente privato (ad es. Internet); end-to-end Gli algoritmi usati sono PPTP, L2TP e IPsec 42

43 IPsec IPSec è sviluppato dalla IETF, è una suite di protocolli: Encapsulating Security Payload (ESP): riservatezza, autenticità e integrità Authentication Header (AH): garantisce integrità e autenticità Internet Key Exchange (IKE): gestisce le chiavi di connessione Operativamente si crea prima il tunnel con l'ike (metodi chiave pubblica) e poi si effettua comunicazione con AH e ESP E' una sorta di SSL/TLS evoluto ed esteso a tutto il traffico IP Metodi usati: MD5, SHA, AES, 3DES, BlowFish, DH, RSA, Radius, SecureID, Smartcard, dati biometrici... Opera a livello 3 della pila ISO/OSI sia in modalità trasporto che tunnel E' integrato in IPv6 Implementazioni Linux: OpenSWAN, FreeSWAN, KAME e OpenVPN. 43

44 Modalità VPN IPsec Tunnel: viene codificato tutto traffico tra endpoint; utente finale non ha percezione crittografia, i pacchetti scambiati vengono incapsulati in altri pacchetti, è il modello più usato e più sicuro, introduce lentezza nella rete Trasporto: lascia in chiaro solo le informazioni di instradamento IP (headers e trailes dei pacchetti) 44

45 Prestazioni Ipsec Le prestazioni hanno un degrado al max del 12%, l'occupazione di un processore per un PIII 500 Mhz (256MB) è circa il 35% con la rete satura. 45

46 Ovviamente......non sono da disdegnare un firewall e un IDS configurati bene. 46

47 3GPP E' il comitato che si occupa della standardizzazione delle reti di 3 generazione (UMTS) Il gruppo che si occupa della sicurezza nell'ultima versione Release 6 integra sicurezza 3G e sicurezza wireless Si basa sull'autenticazione di tutti gli elementi della comunicazione (user, USIM, PID, SN...) Nuova tecnica EAP: EAP-SIM per SIM/USIM Lo stesso approccio dovrebbe essere applicato alle WLAN: è necessario autenticare l'utente, il dispositivo, l'ap, il server ecc. Ovviamente ci deve sempre mutua autenticazione. 47

48 Web Ring : marea di RFC (Request for Comment) : gli standard IEEE : VPN per Linux : tutto (o quasi) sulle reti : dimostrazione vulnerabilità WEP : tecnologia Safe di Cisco per le WLAN : un portale italiano sulla sicurezza : un portale sulle WLAN : il portale per definizione 48