Le Reti Wireless. Analisi degli standard, delle componenti e della configurazione di una rete senza fili

Transcript

1 Le Reti Wireless Analisi degli standard, delle componenti e della configurazione di una rete senza fili

2 Introduzione alle trasmissioni senza fili Vantaggi, svantaggi e problematiche tipiche delle reti wireless

3 Cosa è una rete wireless? Wireless vuol dire letteralmente senza fili (in contrapposizione a wired) Una Rete Wireless è quindi un sistema di telecomunicazione (insieme di dispositivi, apparati, mezzi e protocolli per la trasmissione di informazione) che utilizza il mezzo radio e tecnologie a radiofrequenza al posto di connessioni cablate

4 I vantaggi Mobilità dei terminali Costi di cablaggio ridotti Flessibilità in caso di modifiche strutt. Facilità di installazione e accesso Scalabilità Copertura anche in caso di ostacoli Robustezza

5 Gli svantaggi / I problemi Scarsa capacità / disponibilità di banda Sicurezza più complessa Bassa qualità della comunicazione Inquinamento elettromagnetico Consumo di energia Rischi per la salute (?)

6 Problematiche specifiche Poiché il mezzo radio è unico, dispersivo e accessibile a chiunque, alcune problematiche sono specifiche o, comunque, diventano più critiche nel caso wireless: Attenuazione del segnale Interferenza tra le sorgenti Intercettazione dei dati trasmessi

7 Problematiche della trasmissione radio (1) Un onda elettromagnetica trasmessa nello spazio libero è soggetta e diversi fenomeni, che dipendono dalle caratteristiche fisiche dell ambiente e dalla frequenza utilizzata Riflessione Rifrazione Diffrazione Diffusione Irraggiamento

8 Problematiche della trasmissione radio (2) Il segnale trasportato da un onda è soggetto a: Attenuazione la potenza del segnale si riduce Interferenza il segnale subisce modifiche Cammini multipli repliche dello stesso segnale seguono percorsi diversi e arrivano sfasate al ricevitore

9 L accesso al canale (1) Poiché il mezzo radio è unico, deve essere condiviso tra i diversi sistemi di trasmissione che ne fanno uso Servizi diversi possono usare regioni diverse delle spettro Molto utilizzata è la banda ISM Industrial, Scientific & Medical (Forni a microonde, CB, Palmari, WiFi, Bluetooth, Dect )

10 L accesso al canale (2) Utenti dello stesso servizio possono riutilizzare il mezzo trasmissivo mediante tecniche di accesso multiplo a divisione di frequenza (FDMA) a divisione di tempo (TDMA) a divisione di codice (CDMA)

11 FDMA Il canale è caratterizzato da una banda compresa tra due frequenze (min-max) Questa può quindi essere divisa in sottobande disgiunte (banda di guardia) A ciascuna viene associato un sotto-canale Il segnale relativo ad un sotto-canale viene trattato mediante tecniche di modulazione e trasmesso nella sotto-banda

12 TDMA A turno di assegna per un certo tempo, il canale di trasmissione fisico ad ogni sotto-canale da multiplare Spesso utilizzato insieme a FDMA (Frequency Division Multiple Access) e FDD (Frequency Division Duplex) es. GSM Vantaggio: terminale è obbligato ad ascoltare e trasmettere solo durante il proprio time-slot (frequency handover facilitato) Svantaggio: il tempo morto tra gli slot limita la banda e si possono avere interferenze a frequenze d onda proporzionali alla lunghezza del timeslot Dynamic TDMA (Bluetooth, WiMax..)

13 CDMA Proposta originariamente da Qualcomm, prevede un accesso multiplo basato su codici ortogonali (cross-correlazione=0) Le sequenze trasmesse dagli utenti sono quindi ortogonali Se hanno pari potenza, si sommano linearmente ed è quindi possibile ricavare la sequenza originale trasmessa (a patto che Rx e Tx siano sincronizzati) E possibile trasmettere contemporaneamente e senza suddividere lo spettro Usi: GPS, reti 2.5/3G W-CDMA e CDMA2000

14 Modulazione I segnali inviati via radio (o lungo un cavo o un mezzo magnetico) devono essere modulati con una tecnica, in modo da evitare che il segnale si degradi prima di essere ricevuto Un entità che trasmette ed una che riceve devono utilizzare la stessa modulazione per poter comunicare

15 CDMA e DSSS Trasmettendo m simboli (chip) per ogni bit, lo spettro del segnale risulta m volte più largo Il segnale è più resistente ai disturbi La tecnica Direct Sequence Spread Spectrum si basa su questo principio

16 DSSS Si sparpaglia il segnale su uno spettro più largo, a parità di potenza trasmessa Il segnale trasmesso assomiglia più ad un rumore che ad un segnale a banda stretta Nota tuttavia la sequenza pseudocasuale PN di spreading, è possibile ricostruire il segnale originale, abbattendo anche interferenze a banda stretta (poiché incorrelate) Usi: GPS, Galileo, b, ZigBee

17 FHSS Spreading eseguito non più sulla sequenza numerica ma nel dominio delle frequenze Si divide lo spettro in m canali a frequenze diverse Si trasmette il segnale saltando da un canale all altro in determinati istanti di tempo (seq. pseudo-casuale nota a Tx e Rx) Resistente a interferenze a banda stretta (brevi istanti) e robusto in presenza di cammini multipli Usi: Bluetooth (e variante adattiva AFH)

18 OFDM Si divide lo spettro in N sottobande La sorgente trasmette i dati in parallelo su più sottoportanti contemporaneamente Poiché su ciascun canale il tempo di simbolo è N volte maggiore, riduco gli effetti di distorsione Con tempi di simbolo ottimali, le sottoportanti sono tra loro ortogonali Usi: g, WiMax, DVB, UWB

19 Le tipologie di reti wireless (1) RETE DI ACCESSO RETE DI TRASPORTO UTENTE TACS GSM BLUETOOTH INFRAROSSO WiFi UHF/ VHF GPRS/ EDGE UMTS WiFi WLL LASER SATELLITE UHF/ VHF SATELLITE PONTI RADIO (MICROONDE) UHF/ VHF

20 Le tipologie di reti wireless (2) WPAN W. Personal Area Network Comunicazione all interno di un sistema ~ 10 m IEEE (Bluetooth, UWB, Zigbee ) WLAN W. Local Area Network Comunicazione in un area locale delimitata ~ 100 m IEEE (a, b, g, n)

21 Le tipologie di reti wireless (3) WMAN Metropolitan Area Network Comunicazione su aree residenziali estese ~ 10 Km IEEE (WiMax, WiBro)

22 Le tipologie di reti wireless (4) AREA DI COPERTURA GSM GPRS GPRS UMTS SATELLITE ESEMPLIFICATIVO WiFi b Bluetooth 9.6 Kbps 2 Mbps 8 Mbps Fonte: Elaborazioni NNI, maggio 2004 WLL WiFi g > 10 Mbps Larghezza di Banda

23 Le tipologie di reti wireless (5) Distanza Velocità

24 Le tipologie di reti wireless (6) Consumo

25 Le WPAN e le WSN Protocolli, standard e applicazioni delle reti wireless personal

26 Bluetooth (1) Inizialmente concepito da Ericsson (1994), è stato poi sviluppato come standard da uno speciale gruppo di interesse (SIG) composto da moltissime aziende ed enti. Vengono considerate 3 applicazioni: Sostituzione di cavi Reti ad hoc per utenti su aree limitate Utilizzo del sistema come punto d accesso verso un area più grande

27 Bluetooth (2) Banda ISM ( ) in canali da 1 MHz (79 o 23) FH con 1600 h/s Frequenza di trasmissione determinata dal master Potenze di mw ( m) Link asimettrici master-slave (732,2 Kbps 57,6 Kbps) o simmetrici (64 o 433,9 Kbit/s) Standard: (AFH) o 2 (max 3 Mbps)

28 Bluetooth (3) Si basa su una relazione master-slave Il master concorda la sincronizzazione Lo slave può essere attivo (max 7) o parcheggiato (max 255) in una piconet Un dispositivo può trovarsi in stadi intermedi, meno reattivi, ed è utilizzata la trasmissione adattiva (risparmio!)

29 Bluetooth (4) Piconet Un master ed più slave, tutti sincronizzati Al massimo 1 master e 7 slave attivi Il master di una piconet può essere slave di un altra Scatternet Due piconet che si sovrappongo parzialmente

30 Bluetooth (5) Un collegamento può trasportare si voce che dati SCO (Syncronous Connection Oriented) ACL (Asyncronous ConnectionLess)

31 Bluetooth (6) Link SCO (audio) 64 Kbit/s per direzione Massimo tre per PAN Trasmissione periodica e con ritardi garantiti (alta priorità) Assenza di flessibilità Limitata capacità di rilevazione e correzione degli errori

32 Bluetooth (7) Link ACL (dati) Asimmetrici: il master ottiene la velocità maggiore e sono intercambiabili 732,2 Kbps 57,6 Kbps Simmetrici 433,9 Kbps Solo un master ACL per piconet (ma può essere slave in un altra piconet) Banda determinata dalla tipologia di pacchetto e dalla frequenza di interrogazione Robustezza al rumore utilizzando FEC e ARQ

33 WiBree WiBree (Nokia) Standard per la creazione di reti wireless di sensori con consumi contenuti e velocità elevate (1 Mbps), proponendosi come alternativa a ZigBee (v. Lezione Le WSN Wireless Sensor Network) Applicazioni tipiche a brevi distanze (tastiere, cellelulare, sensori medicali ) Facilmente interoperabile con Bluetooth Opera anche nella stessa banda (2.4GHz ISM) Da giugno il WiBree Forum è entrato a far parte del Bluetooth SIG. Le specifiche della nuova tecnologia Ultra-low-power Bluetooth saranno disponibili entro un anno

34 Ultra Wide Band (1) Distribuisce le informazione su una banda molto estesa (>500 MHz) Al momento il limite della densità spettrale di potenza per un trasmettitore UWB che opera nella banda consentità è di 41.3 db/mhz Range di frequenze: GHz (USA), GHz (Europa)

35 Ultra Wide Band (2) Ideale per un utilizzo indoor o a breve raggio, visti i limiti attuali sulle emissioni. È in grado di determinare il tempo di volo tra due nodi con estrema precisione Protocollo per la costruzione di PAN in grado di offrire prestazioni di gran lunga superiori a Bluetooth (10-100x) con consumi contenuti IEEE a (draft standard e working group) ha proposto UWB come livello Fisico alternativo Esistono già dispositivi WirelessUSB UWB

36 Wireless Local Area Network

37 Architetture di rete Basic Service Set (BSS) Tutte le stazioni appartengono ad 1 sola cella Strutture ammesse Ad hoc Infrastructure Extended Service Set (ESS) Le stazioni wireless appartengono a più celle interconnesse tra le quali è permesso il roaming Unica struttura ammessa: Infrastructure Per ogni cella è richiesta la presenza di un access point (AP) / stazione base, il quale è collegato agli AP delle altre celle (con link wired o wireless)

38 Rete ad-hoc Modalità Basic Service Set ad-hoc, anche detta Indipendent BSS Tutte le stazioni stazioni della cella sono alla pari e nessuna controlla l ingresso nella cella Le stazioni parlano direttamente tra loro

39 BSS Infrastructure Esiste un nodo chiamato AP (Access Point), il quale controlla l'accesso della stazione alla cella ed esegue la commutazione delle frame scambiate tra le stazioni La stazione ricerca l'ap tramite passive scanning (attesa del beacon frame dall'ap) o active scanning (invio di probe request frame e attesa della ricezione del probe response frame) Processo di autenticazione della stazione sull'ap

40 Extended Service Set (1) Sistema articolato composto da 2 o più celle (BSS infrastructure), aventi ciascuna un AP, collegate attraverso un sistema di interconnessione (es. LAN Ethernet) chiamato DS (Distribution System) Gli AP, oltre alla commutazione delle frame, devono anche supportare il roaming tra le celle, mascherando la mobilità ai livelli superiori al MAC (ai quali il tutto appare come un'unica LAN)

41 Extended Service Set (2)

42 Modalità di funzionamento Un AP può, in generale funzionare, in più modalità Access Point I client wireless possono connettersi al dispositivo, che effettuerà il routing dei pacchetti tra tra le interfacce wireless e wired. AP Client Wireless Repeater Wireless Bridge La Base Station funge da dispositivo bridge wireless tra due (point-to-point) o più (point-to-multipoint) AP Evoluzione: Wireless Distribution System

43 AP Client Il dispositivo funge da client wireless (come se fosse una scheda di rete) E possibile indicare il MAC address dell AP a cui ci si vuole connettere o effettuare una scansione delle reti disponibili Solitamente l AP deve essere simile Modalità raramente utilizzata

44 Wireless Repeater Il dispositivo diventa un ripetitore del segnale wireless di un altro AP In fase di configurazione è necessario indicare di quale AP (MAC address) è necessario rilanciare il segnale Solitamente l AP deve essere simile

45 Wireless Bridge Due o più AP creano una rete virtuale tra loro, funzionando come se fossero dei comuni bridge I client wireless non saranno più in grado di connettersi agli AP

46 CSMA/CD nelle Wireless Una rete WLAN utilizza un canale condiviso ad accesso multiplo simile ad un bus (lo spazio circostante) e quindi potrebbe essere interessante esplorare la possibilità di utilizzare il protocollo d'accesso a contesa CSMA/CD utilizzato per le Ethernet Purtroppo la cosa permette di ottenere solo modesti risultati in quanto, a causa della caratteristica del canale wireless, si possono avere alcune condizioni anomale

47 Hidden Terminal Stazioni mittenti in collisione non sono in grado di rilevare tale condizione, ma credono che la trasmissione stia avvenendo con successo

48 Exposed Terminal Una stazione mittente non inizia una trasmissione, anche se quest'ultima potrebbe avvenire con successo

49 Da CSMA/CD a CSMA/CA Perchè in presenza di un canale wireless CSMA/CD genera il problema dei terminali nascosti? Ciò che trasmette una stazione non è detto che venga sentito da tutte le altre CSMA/CD permette di sentire solo se vi sono trasmissioni "vicino" alla stazione che sta ascoltando il canale Soluzione al problema: Una stazione, prima di iniziare la trasmissione, dovrebbe verificare se vi sono delle trasmissioni nell'intorno della stazione destinataria Protocollo d'accesso CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance)

50 ISO/OSI e IEEE 802

51 Lo standard IEEE

52 LLC Lo standard IEEE definisce il livello Logical Link Control (LLC), che è lo strato superiore della porzione data link layer per le reti locali Il sottolivello LLC presenta al livello Network (o gli utilizzati comunque dei servizi data link) un interfaccia uniforme E quindi il sottolivello successivo, il Media Access Control (MAC), che varia in funzione del particolare mezzo utilizzato (Ethernet, token ring, FDDI, , etc.)

53 Servizi del MAC Lo standard fornisce, tramite opportune trame MAC di gestione, una serie di servizi che il livello LLC richiede Station Services (IBSS e ESS) Authentication, Deautentication, MSDU Delivery, Privacy Distribution System Services (solo ESS) Association, Disassociation, Distribution, Integration, Reassociation

54 DCF e PCF MAC IEEE prevede 2 modalità operative (tipi di protocollo d'accesso) DCF (Distributed Coordination Function) Possibile sia con la modalità ad hoc che con la modalità infrastructure Il controllo dell'accesso al canale è distribuito sulle stazioni Tutte le implementazioni WLAN devono supportare questa modalità PCF (Point Coordination Function) Possibile solo con la modalità infrastructure Il controllo dell'accesso al canale è centralizzato sull'ap Nelle implementazioni la modalità PCF è opzionale

55 DCF (1) DCF prevede l'utilizzo del protocollo d'accesso CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) e può funzionare in 2 modalità operative Physical carrier sense Una stazione trasmette solo se il canale è libero, altrimenti rimanda l'operazione Modalità utilizzata per l'invio di frame broadcast, multicast e unicast (se sotto una certa dimensione) Virtual carrier sense Ha l'obiettivo di risolvere il problema degli hidden terminal Modalità utilizzata per l'invio di frame unicast (di dimensione superiore ad un valore impostabile)

56 DCF (2) Virtual carrier sense Una stazione, prima di trasmettere una frame, ascolta se vi sono trasmissioni sul canale Se occupato aspetta Se libero lo "prenota" per il tempo necessario alla trasmissione della frame (questo tuttavia non elimina completamente il rischio di una collisione) Il mittente invia una (breve) frame RTS (Request To Send) di servizio verso il destinatario contenente la durata prevista della futura trasmissione Il destinatario autorizza la trasmissione restituendo una (breve) frame CTS (Clear To Send) di servizio verso il mittente Tutte le altre stazioni che sentono RTS e/o CTS aspettano per la durata indicata (impostazione dell'indicatore di NAV) Il mittente invia la frame dati e aspetta per un time-out la PDU- ACK del MAC

57 DCF (3)

58 PCF Metodo di contesa alternativo, costruito sopra la struttura DCF Fondamentalmente si tratta un polling gestito da una stazione specializzata, denominata Point Coordinator (PC) In sostanza viene creata una struttura temporale, detta Superframe, divisa in due parti: Contention Free Period (polling) Contention Period (DCF)

59 Il livello Fisico Lo strato fisico si occupa della trasmissione vera e propria delle trame secondo le specifiche stabilite Interagisce con il livello MAC per segnalare l attività del canale (protocollo di acceso) Sostanzialmente tutte le evoluzioni dello standard IEEE nell ultimo decennio hanno riguardato questo livello Viene utilizzata la banda ISM Limiti sulla potenza ma non occorrono licenze

60 HYPERLAN Hyperlan/1 (1991) Alternativo a IEEE Hyperlan/2 (2000) Fast wireless connection for many kinds of networks: UMTS backbone, ATM & IP networks Banda dei 5 GHz Velocità fino a 54 Mbit/s Livello fisico simile a a Utilizza tuttavia Dynamic TDMA e non CSMA/CA Attenzione alla qualità del servizio Sicurezza con DES e 3DES Poco diffuso, ma alcune idee sono state riutilizzate.. Dynamic Frequency Selection (DFS) etransmit Power Control - IEEE n. Dynamic TDMA - IEEE (WiMax). Impiegato in diverse zone per attivare connessioni WADSL

61 IEEE Prima versione (1997) Velocità: 1 Mb/s e 2 Mb/s Trasmissione a radiofrequenza Tecnica spread spectrum FHSS o DHSS ISM a 2.4 GHz ( GHz) Trasmissione ad infrarosso diffuso Poco utilizzata (non devono esserci ostacoli tra Tx e Rx)

62 IEEE a Molto diffuso negli USA (1999) Incompatibile con le evoluzioni b e g Velocità massima: 54 Mb/s Codifiche e modulazioni diverse in base alla distanza da coprire Utilizza la banda ISM a 5 GHz Meno trafficata, con limiti solo sulla potenza massima e maggior larghezza di banda disponibile Tecnica OFDM 52 sottoportanti (48 per dati e 4 per la sincronizzazione)

63 IEEE b Emesso nel 1999 Velocità massima: 11 Mb/s Utilizza la banda ISM a 2.4 GHz Tecnica High-Rate DSSS Bit rate variabile in funzione delle condizioni del canale Dynamic Rate Shifting

64 IEEE g Emesso nel 2003 Velocità massima: 54 Mb/s Utilizza la banda ISM a 2.4 GHz Tecnica OFDM (ma può utilizzare anche High- Rate DSSS) Retro-compatibile con b (possono coesistere nella stessa rete) Espande il livello fisico Ad esempio, in alternativa allo schema RTS/CTS, prevede anche il più semplice CTS-to-self

65 IEEE g non-standard Gli utenti richiedono maggiore velocità Molti chip-maker hanno sviluppato tecnologie proprietarie per aumentare la velocità dei dispositivi wireless (channel bonding, Packet bursting, MIMO, compressione) Atheros Super G (108 Mbps) Broadcom 125 High Speed Mode Airgo MIMO Interferenze, problemi di retrocompatibilità, necessità di utilizzare un unico modello

66 IEEE n Banda dei 2.4 GHz e/o 5 GHz Legacy (solo a o b/g) Mixed (sia a che b/g che n) Greenfield (solo n) max. perf. Fino a 248 Mbps Utilizza la tecnologia MIMO (più antenne per trasmettere e ricevere) per avere maggior velocità, sfruttando il multiplexing spaziale, e maggior range, grazie alla diversità spaziale (con l ausilio di particolari schemi di codifica) Standard ancora in fase di definizione Prevista l uscita definita da 18 mesi Esistono già molti dispositivi pre-n in commercio (!)

67 Confronto tra gli standard Standard Copertura tipica (raggio in metri) Portant e Velocità (Mbps) Tecnica di modulazione Note a GHz 6 54 Orthogonal Frequency Division Multiplexing (OFDM) Incompaibile con b e g b GHz 1 11 Direct Sequence Spread Spectrum (DSSS) Compatibile con g Usa tre canali condivisi anche da sistemi Bluetooth, Cordless e micronde (forni) g GHz Orthogonal Frequency Division Multiplexing (OFDM) Compatibile con b n GHz 5 Ghz Massima retrocompatibilità MIMO

68 La sicurezza nelle reti Wi-Fi Protocolli, meccanismi e pratiche per aumentare la sicurezza all interno della propria rete

69 Requisiti di sicurezza (1) Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso o l uso non autorizzato di informazioni e risorse Due golden rules La sicurezza perfetta non esiste La resistenza di una catena è pari alla forza del suo anello più debole

70 Requisiti di sicurezza (1) Autenticazione (authentication) Autorizzazione (authorization) Riservatezza (privacy) Integrità (integrity) Disponibilità (availability) Paternità (non-repudiability)

71 Tipi di attacchi in rete Intercettazione Intrusione Furto di informazione Negazione del servizio Le reti wireless sono, da questo punto di vista, più vulnerabili di quelle wired

72 Strategie di protezione Security through obscurity Sicurezza a livello di rete Firewall, VPN, controllo accesso Sicurezza a livello di host Firewall, antivirus, crittografia Sicurezza a livello di applicazione Crittografia, autenticazione/controllo d accesso..

73 Sicurezza nelle WLAN

74 WEP (1) Crittografia introdotta nelle reti Wireless per garantire un livello di sicureza paragonabile a quello delle reti cablate WEP (Wireless Equivalent Privacy) è un protocollo fondato su 3 principali funzionalità Confidenzialità Controllo di accesso Sicurezza di trasmissione dei dati

75 WEP (2) WEP è basato su una chiave segreta (40bit) condivisa tra tutti i membri della rete autorizzati ad accedere all AP tutti possono vedere il traffico della rete, come in una rete Ethernet L algoritmo utilizzato è il RC4 (Rivest, 1994) al messaggio viene aggiunto un CRC; il risultato viene posto in XOR con un keystream generato dall algoritmo RC4 a partire dalla chiavesegreta e da un vettore iniziale IV; il pacchetto risultante (IV + messaggio cifrato) viene inviato sul canale.

76 WEP - Cifratura

77 WEP - Decifratura

78 Attacchi al WEP Riutilizzo del keystream Poiché IV è di 24 bit, è facile ottenere in breve tempo frame cifrate con lo stesso keystream 1500*8/(11*10 6 )*2 24 = s = 5 ore Decription Dictionary Alterazione del messaggio CRC _NON_ è un algoritmo di hashing (solo rilevazione di errori casuali) Decodifica della chiave Con 5 milioni di pacchetti catturati è possibile effettuare un attacco passivo e risalire alla chiave

79 802.1x Si basa su tecnologie esistenti: Extensible Authentication Protocol (EAP) Remote Authentication Dial-In User Service (RADIUS) Aggiunge a WEP le caratteristiche del protocollo 802.1x (meccanismi di autenticazione e autorizzazione, rotazione della chiave WEP) per mitigarne le principali debolezze e per usare un server RADIUS Protected EAP (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS)

80 802.1x: PEAP e Password Wireless Client 1 Client Connect Wireless Access Point RADIUS (IAS) 2 Client Authentication Mutual Key Determination Server Authentication 4 WLAN Encryption 3 Key Distribution Authorization 5 Internal Network

81 802.1x: EAP e TLS Wireless Client 1 Certificate Enrollment Certification Authority 2 Client Authentication 5 4 WLAN Encryption Wireless Access Point Mutual Key Determination 6 Server Authentication Key Distribution Authorization 3 RADIUS (IAS) Internal Network

82 802.11i Nuovo standard (non ancora del tutto supportato) diffuso nel giugno del 2004 Costituito da: RSN (Robust Secure Network) TKIP (Temporal Key Integrity Protocol) Message Integrity Check WPA (Wi-Fi Protected Area)

83 802.11i: RSN (1) Le funzionalità di RSN sono: Autenticazione ed Integrità Stabilità e flessibilità Access Control One-Way Authentication Ogni client che vuole accedere alla rete deve autenticarsi tramite l Autenticator Due porte logiche Authentication PAE canale sempre aperto per il transito delle sole trame di autenticazione Service PAE canale aperto solo se l autenticazione va a buon fine ed è utilizzato quindi dal client per muoversi

84 802.11i: RSN (2) RSN è formato da tre entità principali Supplicant Es: client Authenticator Es: l AP Authentication server Es. server RADIUS

85 802.11i: MIC Formato da tre componenti principali Chiave segreta k Funzione di tagging Predicato di Verifica La funzione etichettatrice prende in ingresso la chiave K ed un messaggio M, restituendo un tag T chiamato Message Integrity Code

86 802.11i: TKIP Temporal Key Integrity Protocol Utilizza RC4 e lo stream cipher a 128 bit per crittare i dati Di fatto è un insieme di funzionalità aggiunte allo standard WEP Per evitare pacchetti replicati, viene utilizzato IV come un sequence number Mixing delle chiavi Per risolvere il problema delle chiavi deboli WEP Vengono utilizzate chiavi temporanee diverse

87 802.11i: WPA (1) WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo replay Operano a livello MAC (Media Access Control)

88 802.11i: WPA (2) WPA nasce per eliminare le problematiche di cifratura del WEP Di fatto è ancora un estensione di WEP Basata su RC4 Include un IV di 48 bit (anziché 24) Utilizza MIC Implementa funzionalità di derivazione e distribuzione delle chiavi

89 802.11i: WPA2 Inserita nello standard ufficiale IEEE i Commercialmente i viene chiamato proprio WPA2 Abbraccia totalmente le funzionalità RSN Utilizza per la cifratura il più sicuro AES (ad oggi non sempre supportato)

90 VPN (1) Virtual Private Network Creano un tunnel attraverso Internet IPSec (estensione di IP con apposito Header) Sono usate nell accesso dial-up da remoto La tecnologia VPN può utilizzare una cifratura forte e può anche fornire l autenticazione per utenti e terminali wireless utilizzando RADIUS.

91 VPN (2)

92 Configurazione di una rete Wi-Fi Procedura di configurazione, con riferimento a casi d uso reali e prove sul campo

93 Procedura di configurazione di una rete WiFi Valutare le necessità Decidere la modalità operativa Installare le stazioni base ed eventuali accessori (antenne..) Configurare BS e terminali Modalità operativa Indirizzi IP Sicurezza Installare eventuali servizi aggiuntivi (dhcp..)

94 Valutare le necessità Prima di installare una rete wireless (e non solo!) è opportuno valutare se effettivamente è quello che serve Analisi costi/benefici Studi di fattibilità Prove sul campo Difficile sapere a priori come sarà la potenza del segnale in vari punti dell edificio

95 Decidere la modalità operativa Nota la struttura di rete in cui ci si andrà ad inserire, occorre optare per una o più modalità operative Serve la mobilità? Ho punti rete ovunque? Quanti terminali in contemporanea? Il segnale è sufficientemente potente?

96 Installare la stazione base ed eventuali accessori In base alle prove effettuate sul campo, alle necessità e alla disponibilità di punti rete wired, vengono installati gli AP Attenzione a carta, legno, metalli, muri (specialmente armati) e piante Meglio se le BS si vedono Antenne possono aumentare notevolmente la potenza e qualità del segnale Direttive o omnidirezionali?

97 I Caso di studio (1) Edificio (magazzino, università, ufficio..) con cablaggio Ethernet preesistente e con necessità di aggiungere punti di accesso wireless Richiesto supporto alla mobilità delle stazioni (palmari, cell etc..)

98 I Caso di studio (2) 00:0C:41:12:3C:88 00:0C:41:19:30:37

99 I Caso di studio (3)

100 I Caso di studio (4)

101 II Caso di studio (1) Il punto di accesso alla rete wired è unico, ma occorre portare il segnale wireless anche dove l AP non arriva L installazione di antenne aggiuntive in loco è ritenuta antiestetica, nonché percepita come pericolosa dall utenza

102 II Caso di studio (2) 00:0C:41:12:3C:88 00:0C:41:19:30:37

103 II Caso di studio (3)

104 III Caso di studio (1) Due edifici separati hanno necessità di connettersi alla stessa rete La distanza tra i due è nell ordine del centinaio di metri La velocità non è fondamentale; è più importante evitare scavi (autorizzazioni per lavori sul suolo pubblico, costi..)

105 III Caso di studio (2) 00:0C:41:12:3C:88 00:0C:41:19:30:37

106 III Caso di studio (3)

107 Configurare BS e terminali

108 Installare eventuali servizi aggiuntivi Se l AP o altre macchine presenti nella rete offrono servizi quali Dhcp Time server (ntp) abilitarli, previa verifica che non vi siano sovrapposizioni/conflitti

109 Sicurezza nelle WLAN (1) Modificare il nome dell SSID di default Modificare il nome utente e la password di default Scelta della password con cura! Verificare se sono disponibili aggiornamenti del firmware che risolvono bug di sicurezza

110 Sicurezza nelle WLAN (2) Disabilitare l SSID di broadcast Security through obscurity Questa pratica non impedisce certo ad un attaccante di identificare la rete: le schede di rete catturano tutti i pacchetti e, con poche modifiche ai driver, è possibile impostarle in modo che catturino tutto il traffico, anche quello destinato ad altri

111 Sicurezza nelle WLAN (3) MAC filtering Utilizzare White list (politica default deny) In altre parole, specificare i MAC address autorizzati e non quelli non autorizzati Anche in questo caso, con semplici programmi è possibile modificare il proprio indirizzo MAC e spacciarsi (spoofing) per qualcun altro

112 Sicurezza nelle WLAN (4) Configurare DHCP per non accettare più di 50 connessioni per AP Prendere in considerazione, nel caso in cui la confidenzialità sia importante, l utilizzo di VPN per ogni client Utilizzare WPA, WPA2 o Radius (a seconda del grado di sicurezza desiderato); non affidarsi invece a WEP Modificare le password regolarmente o, se disponibili, abilitare meccanismi di rotazione