Le reti LAN: Analisi sulla sicurezza dei sistemi Wireless

Transcript

1 UNIVERSITA' DEGLI STUDI DI CAGLIARI Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica Le reti LAN: Analisi sulla sicurezza dei sistemi Wireless Corsi di Reti di calcolatori e Progettazione Sistemi Distribuiti A.A. 2006/2007 Docente: Prof. Gianni Fenu Studenti: Andrea Loi Tutor: Dott. Alessandro De Agostini Giacomo Piseddu Michele Corrias Tipologia Tesina: C

2 Indice Introduzione 7 Il Wireless.. 8 Problematiche del Wireless... 9 Soluzioni in un guscio di noce Capitolo 1 - La tecnologia Wireless LAN I tipi di apparati Le modalità del funzionamento 15 Gli standard in dettaglio a b d e f g h i n 19 La pila di protocolli Lo strato fisico

3 Capitolo 2 - Il sottostrato MAC MAC Frame Formato Generale.. 25 Frame Control 25 Duration/ID 28 Address 29 Sequence Control 30 QoS Control 31 Frame Body. 32 FCS.. 33 Capitolo 3 - Meccanismi di Difesa..34 Algoritmi di Cifratura MAC Filtering e IP Filtering 36 Proxy.. 37 PPPoE VPN Regole di Base Cambiare gli SSID di default 40 Utilizzare SSID non descrittivi. 40 Disabilitare il broadcast SSID.. 40 Cambiare le Password 41 Aggiornare il Firmware.. 41 Minimizzare l intensità del segnale 41 Cambiare le Community di default SNMP Limitare il traffico di broadcast 41 Protezione del Client.. 42 Non utilizzare il DHCP. 42 Uso di una VLAN separata

4 Capitolo 4 - WEP (Wired Equivalence Protocol)..43 Formato MPDU 43 Chiavi di Cifratura. 44 Algoritmi di Cifratura RC4. 45 Key Scheduling Algorithm 45 Pseudo Random Generation Algorithm Implementazione RC Costruzione del Seme. 46 Incapsulamento crittografico di una MPDU.. 47 Scapsulamento di una MPDU.. 47 Vulnerabilità dell algoritmo WEP IV Collision. 49 WEP Key Recovery.. 49 L'attacco di Fluhrer, Mantin e Shamir. 50 L attacco di Klein.. 52 L'attacco di Tews, Weinmann e Pyshkin. 54 Incrementare il traffico dei pacchetti utilizzati 55 Conclusione dell analisi WEP Capitolo 5 - WPA (Wi-Fi Protected Access).57 TKIP. 57 Formato MPDU 58 Incapsulamento crittografico di una MPDU.. 59 Scapsulamento di una MPDU.. 60 Message Integrity Check (MIC) 61 MIC nel dettaglio 62 Vulnerabilità del WPA

5 Capitolo 6 - WPA2..65 CCMP - Counter Mode with CBC-MAC Protocol 66 Formato MPDU 66 Incapsulamento crittografico di una MPDU Scapsulamento di una MPDU.. 67 Vulnerabilità del WPA2 68 Capitolo 7 - MAC Filtering. 70 Funzionamento.. 70 Vulnerabilità del MAC Filtering Capitolo 8 - IP Filtering..72 Funzionamento.. 72 Vulnerabilità dell IP Filtering.. 73 IP Address Spoofing.. 74 Capitolo 9 - Proxy...75 Tipologie di Proxy. 75 L uso del Proxy in ambito wireless,. 76 Vulnerabilità dei Proxy applicativi.. 77 Hostname: localhost.. 77 Accesso non autenticato al Proxy. 77 Capitolo 10 - PPPoE (Point-to-Point Protocol over Ethernet)..78 L uso del PPPoE in ambito wireless 78 5

6 Crittografia 79 Capitolo 11 - VPN (Virtual Private Network) 81 Sicurezza 82 IPSec (IP Security Protocol) 83 Scambio delle chiavi.. 85 Protezione del Client.. 86 Hacking delle VPN 87 Microsoft PPTP. 87 Analisi Pratica di IPSec 88 Bibliografia 90 6

7 Introduzione Il XX secolo è stato un secolo nel quale la comunicazione e l informazione, e quindi una sua raccolta, elaborazione, condivisione e distribuzione, hanno giocato un ruolo fondamentale in ogni campo. Dalla stampa alla posta, dalla radio alla televisione, dal codice morse al telefono; è nata una corsa alla condivisione ed alla ricerca di informazione, che rende l essere umano partecipe della vita sociale. Altresì, col passare degli anni e grazie un rapido progresso tecnologico, l informazione si è avvalsa di numerose tecnologie di comunicazione per potersi diffondere dappertutto e il più velocemente possibile. Siamo raggiunti ovunque dall informazione, e, quel che più è importante, è che vogliamo essere raggiunti: segnali luminosi, carta, onde radio, televisione, telefono fissi e mobili, reti di computer. Peggio. La cerchiamo: quando siamo in vacanza, al lavoro, o più generalmente, fuori casa, sentiamo la necessità di avere con noi giornali, mezzi di comunicazione quali telefoni cellulari o fissi, televisione, notebook. Vogliamo raggiungere, essere raggiunti in qualsiasi momento e luogo, abbattendo le barriere della distanza e del tempo con qualsiasi mezzo. Una chiamata, una connessione ad internet, uno scambio di file, sono diventate a- zioni quotidiane, quasi indispensabili, ed il fatto di poterle effettuare nella più completa mobilità rappresenta una comodità, un vantaggio, un risparmio economico, talvolta addirittura una necessità. Ma è soprattutto la mobilità nell ultimo tratto, quel tratto che separano l utente e l apparecchio dal mezzo tramite il quale si vuole comunicare, l essere svincolati dai cavi, che ci attirano terribilmente. Si pensi al vantaggio economico: sparisce la necessità dei cavi, almeno nell ultimo tratto, quello che raggiunge l utente, con le aziende che non devono provvedere ad una massiccia stesura di cavi. Ma anche alla comodità: meno ingombro, il non dover cercare una presa telefonica. E alle necessità: si pensi a zone per le quali la stesura di cavi risulta alquanto difficoltosa o eccessivamente onerosa in termini economici da doverci rinunciare. La realtà di una trasmissione dati senza fili, o meglio segnali o impulsi, non è recentissima. Dapprima con Guglielmo Marconi, agli inizi del 1900, con la comunicazione senza fili con l utilizzo del codice Morse, poi con la radio per la trasmissione di messaggi sonori. Per arrivare a più di cinquanta anni fa durante la Seconda Guerra Mondiale, quando l'esercito degli Stati Uniti utilizzò per primo i segnali radio per la trasmissione dati. 7

8 Svilupparono una tecnologia di radiotrasmissione dei dati, pesantemente criptata, ampiamente utilizzata durante le operazioni belliche dagli Stati Uniti e dai loro alleati. Questo ispirò un gruppo di ricercatori che nel 1971, presso l'università delle Hawaii, crearono la prima rete di comunicazioni radio a pacchetto. ALOHANET, questo era il suo nome, fu essenzialmente la prima Wireless Local Area Network (WLAN). La prima WLAN era costituita da 7 computers che comunicavano bidirezionalmente in una topologia a stella che si estendeva su quattro delle isole Hawaii con il computer centrale installato su l'isola Oahu. Così nacque il wireless networking. Tuttavia, la tecnologia e le conoscenze del periodo non permettevano ai collegamenti wireless una buona resa dal punto di vista delle prestazioni rispetto alle già collaudate LAN cablate che fino agli anni 90 dominavano il mercato del networking. Al giorno d oggi e, più precisamente, in questi ultimi dieci anni, l abbattimento dei costi, lo sviluppo della tecnologia e l introduzione degli standard hanno permesso alla tecnologia senza fili di poter competere con le reti cablate, se non addirittura risultare una prima scelta in alcuni casi. Si può osservare meglio nei campus universitari, nelle aziende pubbliche e private, negli uffici ed in ambito domestico: in tutto questo la tecnologia sta migliorando e diventa sempre più semplice e meno costoso per le compagnie utilizzare il wireless. Ora si potrebbe pensare che siamo ancora legati ai cavi per quanto riguarda l alimentazione dei dispositivi elettronici, ma possiamo considerare il fatto che si è già al lavoro per l alimentazione wireless. Il Wireless Col termine "wireless" ci si riferisce a una tipologia di comunicazione, monitoraggio e sistemi di controllo tra dispositivi elettronici in cui i segnali viaggiano nello spazio, in totale assenza di fili o cavi tra i due capi della trasmissione. È in contrapposizione col termine "wired", che sta appunto ad indicare una comunicazione cablata. In un sistema wireless la trasmissione avviene principalmente tramite modalità: via radiofrequenza (RF), via infrarosso (IR) o via laser. Il primo sistema adotta la tecnologia delle onde radio a bassa frequenza (sull ordine dei pochi GHz), che permette la connessione tra dispositivi dislocati in ambienti eterogenei, senza che le postazioni da interconnettere siano necessariamente visibili tra di esse e che possono essere separate da muri o intercapedini. Il secondo sistema adotta la tecnologia delle onde infrarosse a frequenza più alta rispetto al sistema precedente (poche centinaia di THz) è perciò più direzionali delle prime: infatti non sono in grado di superare ostacoli solidi, vengono utilizzate per collegare dispositivi visibili direttamente e per questo sono poco impiegate in questo campo. 8

9 Il terzo sistema, basato su laser, viene utilizzato per la sua elevata velocità di trasmissione. Un tipico esempio è il collegamento delle reti di due edifici vicini. Il laser ha il problema di essere altamente direzionale e sensibile alle condizioni esterne e alle vibrazioni: anche queste tipologie di dispositivi sono considerati in disuso e quasi sempre sostituiti da collegamenti via onde radio. Oltre alla tecnologia di cui fanno uso, le reti wireless possono essere raggruppate in tre grandi categorie, in base alla distanza tra i dispositivi e, quindi, all utilizzo cui verranno dedicate: 1) Connessioni all interno di un sistema; 2) LAN Wireless; 3) WAN Wireless; Le connessioni all interno di un sistema coinvolgono il collegamento delle periferiche di un computer, quali mouse, tastiere o telefoni cellulari, tramite segnali radio a bassa portata che non necessitano di un alta velocità di trasmissione dati, chiamata Bluetooth (si pensi che il dattilografo più veloce al mondo riesce a battere 212 parole al minuto con una tastiera DVORAK, circa 20 byte al secondo, che difficilmente congestioneranno una connessione bluetooth). La topologia di connessione WAN Wireless è invece utilizzata nei sistemi su area e- stesa, come ad esempio le reti radio a banda stretta (GSM e il più recente GPRS) utilizzate dai telefoni cellulari, oppure le più recenti reti wireless a banda larga e copertura estesa per la quale è nato lo standard IEEE In questo caso, la distanza del collegamento è misurata in chilometri. Per finire, l altra tipologia di connessione sono le reti LAN Wireless, dove ogni computer è dotato di un modem radio e un antenna che gli permettono di comunicare con gli altri sistemi, in un raggio di circa 100 metri outdoor, in una configurazione chiamata peer-to-peer. Tuttavia è spesso presente un antenna nel soffitto con la quale i computer dialogano tra loro in una configurazione chiamata a stella. Esiste uno standard per le LAN Wireless, chiamato IEEE , estremamente diffuso e che costituirà argomento principale di questa breve trattazione. Problematiche del Wireless Come già accennato, esistono diverse metodologie di trasmissione dati via etere, quali ad esempio il GPRS, Bluetooth e , detta anche Wireless Ethernet o Wi-Fi (Wireless Fidelity). La diffusione di quest'ultima sta aumentando notevolmente negli ultimi anni presso le aziende e utenze private, data la facilità di installazione, le sue prestazioni (11Mbps o 54Mbps) e la sua flessibilità con costi ridotti. Ad una serie di agevolazioni che il wireless ha portato con se e delle quali abbiamo già parlato, hanno però seguito una serie di problematiche e di rischi altissimi per la violazione della privacy domestica ed aziendale, con potenziali danni socio-economici per gli utenti, siano essi privato o aziende. Alcuni di questi rischi esistono anche nelle 9

10 reti di tipo tradizionale, ma vengono tuttavia esasperati dalla tipologia di collegamento senza fili. Con l'avvento delle tecnologie senza fili si sono presentate problematiche sulla sicurezza che prima erano impensabili, sono state introdotte vulnerabilità a livello fisico e DataLink, che prima erano demandate alla responsabilità di sicurezza fisica, dove l intrusione nella rete corrispondeva ad un intrusione reale, fisica. Dieci anni fa una rete locale non collegata ad Internet blindata in una stanza era decisamente sicura dal punto di vista della sicurezza informatica. Oggi invece, se si volesse realizzare una rete locale non collegata ad Internet usando il wireless ed avere la stessa sicurezza, bisognerebbe piombare le pareti. Questo perché la trasmissione attraverso onde radio non è confinabile ad uno spazio ben definito, quale può essere quello della trasmissione via cavo: come per l'ascolto di una radio, è possibile per un potenziale intruso avvicinarsi all'esterno del palazzo e "captare" le onde radio. Così, attraverso appositi strumenti, è possibile visualizzare i dati che vengono ricevuti e inviati, rendendo disponibile all'eventuale intruso preziose informazioni quali utenze e password, e, in alcune situazioni, addirittura accedere ai database e corrompere i dati. Un altro fattore di rischio molto importante, ma spesso sottovalutato, è che un e- ventuale intruso non abbia nessun interesse a prendere informazioni sulla rete attaccata, ma voglia utilizzare la rete vittima come "ponte" per attaccare una terza entità. L'intruso sarà solito usare il "ponte" per offuscare le proprie tracce: da un punto di vista puramente giuridico, l'amministratore della rete wireless violata sarà formalmente responsabile dell'atto di pirateria informatica nei confronti della terza entità, fino a quando le autorità giudiziali non troveranno prova dell'avvenuta intrusione. È nato addirittura un novo sport, il "wardriving"; si prende un portatile con una scheda di rete Wi-Fi e si passeggia a piedi o in auto alla ricerca di reti non protette, per usare gratuitamente una connessione ad internet o per violare la privacy di qualche malcapitato. Ancor prima che nascessero questi problemi sulla sicurezza, si sono dovuti affrontare i problemi intrinseci alla natura stessa dei dispositivi wireless, inesistenti per le ormai collaudate reti Il wireless soffre di una maggior attenuazione del segnale rispetto alle reti cablate, specialmente in ambienti chiusi, dove si aggiunge il problema della propagazione del segnale su percorsi multipli (Multipath Fading). Inoltre le reti wireless usano frequenze standard (ad esempio i 2.4 Ghz) che sono condivise da altri dispositivi come telefoni cordless o forni a microonde, che creano delle interferenze, andando ad disturbare la trasmissione. Altri problemi possono essere la potenza dei dispositivi, che dev essere tale da non dover nuocere alla salute umana, e l assegnazione di certe bande di frequenza in una porzione dello spettro elettromagnetico ormai sovraffollato. Ultimo ma non per importanza, il problema della gestione dell energia (Power Management) di cui necessi- 10

11 tano gli apparecchi a batterie, come ad esempio portatili e palmari, che vedono ridursi la loro autonomia. Tutte queste problematiche appena elencate rendono la comunicazione wireless (anche punto-punto fra due soli utenti) molto più complessa, anche dal punto di vista della ricerca di compromessi tra le varie problematiche. Soluzioni in un guscio di noce Già da subito, quindi contestualmente alla nascita dello standard , si è cercato di eliminare, o perlomeno limitare, le problematiche di sicurezza legate alla trasmissione wireless. Attraverso l introduzione di un protocollo di sicurezza chiamato WEP (Wired Equivalent Privacy) si è cercato di eliminare il problema alla radice; si è dunque cercato di criptare le informazioni che viaggiano tra due nodi, in modo da rendere inutili i le informazioni captate da un terzo apparecchio non provvisto di una chiave di decrittazione. Tuttavia questo protocollo rivelò già da subito quali fossero le sue gravi debolezze, che verranno discusse nei seguenti paragrafi, risultando quindi pressoché inutile in quanto facilmente aggirabile. Per ovviare alle gravi lacune del protocollo WEP, venne introdotto dapprima il più robusto protocollo WPA e, più recentemente, una sua evoluzione chiamata WPA2. Anche questi protocolli, anche se hanno eliminato buona parte dei gravi ed evidenti problemi che affliggono il WEP, non sono perfetti e anch essi presentano delle vulnerabilità, anche se molto meno evidenti e gravi. In questa tesina verranno esaminati sotto ogni aspetto i protocolli di sicurezza introdotti come soluzione ai problemi sopracitati. Questi protocolli sono: - WEP (Wired Equivalent Privacy); - WPA (Wi-Fi Protected Access); - WPA2. Verranno inoltre esaminate le relative vulnerabilità di ogni protocollo. A questi principali protocolli di sicurezza è bene affiancare una serie di regole tecniche e di configurazione di base affinché la sicurezza risulti la più elevata possibile e con la consapevolezza che non possa raggiungere il livello del 100%. Infatti, una corretta configurazione degli apparati è un buon inizio per proteggere la rete wireless. Grazie ad alcuni accorgimenti, è possibile "sviare" un eventuale intruso nascondendo dettagli preziosi e rendendo più difficile l'identificazione della rete su cui si sta collegando. Ad esempio, si può iniziare cambiando gli SSID (Service Set Identifier) di default senza usare nomi descrittivi, con l intento di scoraggiare degli intrusi, disabilitare il 11

12 broadcast SSID, cambiare spesso le password, abilitare il MAC Filtering, spegnere l AP quando non serve e tanti altri semplici accorgimenti. Oltre a risolvere le problematiche legate alla sicurezza, si è cercato sin dall inizio di rendere più efficienti i dispositivi wireless dal punto dell efficienza, quindi della velocità e del consumo energetico, implementando nuovi metodi di modulazione del segnale e utilizzando altre frequenze, che si sono imposti a seguito dell introduzione degli standard da parte dei comitati di standardizzazione. 12

13 Capitolo 1 La tecnologia Wireless LAN Sin dall inizio degli anni 90 svariate aziende iniziarono a lavorare per cercare di introdurre delle nuove tecnologie per le reti wireless, con l intento di imporre ognuna la supremazia sull altra e di aggiudicarsi la più ampia fetta di quel mercato che di lì a poco si sarebbe espanso a vista d occhio. Il problema principale stava nel fatto che queste reti risultavano incompatibili tra loro. La proliferazione degli standard significava che un computer equipaggiato con una scheda radio di marca X non poteva funzionare in una stanza equipaggiata con una stazione base di marca Y. Di fronte a queste problematiche sorse la necessità della creazione di uno standard per le reti LAN senza fili, quindi venne dato il compito di progettare uno standard LAN wireless al comitato IEEE che aveva standardizzato le LAN cablate. Nel 1997 lo standard così realizzato venne battezzato , chiamato anche, informalmente, Wi-Fi (dal nome di una associazione di costruttori che lo promuove e verifica la inter-operabilità dei prodotti). Questo primo standard raggiungeva velocità di 1Mbps e 2Mbps e, a causa di questa ridotta velocità che non poteva tener testa all ormai consolidata LAN wired 802.3, si lavorò per l introduzione di standard più veloci. Già nel 1999 nel comitato iniziale si verificò una divisione che determinò la proposta di due nuovi standard: a e b, operanti a frequenze e velocità differenti, e comunque a velocità superiori rispetto all originale Successivamente venne proposta un altra variante, chiamata g, che ingloba alcune caratteristiche di a e altre di b. Altri standard nacquero in seguito, quali l c/d/e/f/h che riguardano estensioni dei servizi base e miglioramenti di servizi già disponibili. Il protocollo per la sicurezza venne incluso in uno standard a parte, l i. Nonostante questa standardizzazione voluta, esistono diversi standard nell ambito delle reti LAN Wireless, tra i quali: - IEEE ; - HIPERLAN (HIgh PERformance LAN); - Bluetooth; - Shared Wireless Access Protocol - Cordless Access (SWAP-CA). 13

14 Tuttavia la tecnologia Wireless LAN più diffusa è basata sullo standard IEEE x, in quanto più facile da configurare e più flessibile rispetto ad altre opzioni; più precisamente, il primo protocollo largamente diffuso è stato il b; in seguito si sono diffusi il protocollo a e soprattutto il protocollo g. IEEE definisce uno standard per le reti WLAN sviluppato dal gruppo 11 dell'ieee 802, descrivendo in particolare in livello fisico e MAC del modello I- SO/OSI, specificando sia l'interfaccia tra client e base station (o access point) sia tra client wireless. Tipi di apparati La realizzazione di reti wireless è messa in opera grazie all utilizzo di alcuni apparati che si distinguono per i ruoli ai quali vengono relegati, ma che in una stessa rete devono essere omogenei dal punto di vista fisico e di collegamento per una corretta comunicazione tra di essi. Trascurando quegli apparati dotati di caratteristiche e funzionalità particolari, la classificazione è così suddivisa: Access Point: Access Point (AP in breve) è il modo di funzionamento a "punto d'accesso" e cioè quel dispositivo che consente di collegare ad una rete cablata i client Wi-Fi. Esso è in pratica la stazione centrale di trasmissione e ricezione di una rete senza fili. Gli AP possono essere implementati sia in hardware (esistono dei dispositivi dedicati) che in software appoggiandosi per esempio ad un PC o Notebook dotato sia dell interfaccia wireless sia di un scheda Ethernet. La copertura del segnale di un AP è chiamata cella radio e varia da 20 metri a oltre 300 metri, in relazione alla tipologia degli ambienti, con una possibilità di collegamento da 10 a 250 utenze per AP, in funzione del modello e della tecnologia impiegata. Client: sono quei dispositivi con interfaccia d'interconnessione PCI, PCMCIA, USB o altre, che si collegano ed autenticano attraverso le onde radio ad un Access Point e che usufruiscono dei servizi di rete. Repeater: il ripetitore è un dispositivo in grado di ripetere il segnale di un Access Point, permettendo l'estensione della rete Wi-Fi. Allo stato attuale non è possibile ripetere più d'una volta il segnale di un AP collegandosi ad un altro Repeater; si possono comunque collegare più Repeater ad un AP purché siano in comunicazione diretta con l'ap base. Bridge Wireless-Ethernet: sono apparati particolari, studiati e realizzati appositamente per realizzare un BRIDGE (ponte) wireless tra due reti LAN. L'unica modalità di funzionamento di cui dispongono è quella di bridge. Apparati multimodalità: sono dispositivi che permettono il funzionamento Wi-Fi in modalità multipla come AP, Client, Bridge e Repeater. Non sempre sono garantite 14

15 l'interoperabilità tra apparati con chipset diverso ed il funzionamento simultaneo di più modalità. Modalità di funzionamento I dispositivi appena elencati permettono diverse modalità di funzionamento e di configurazione di una rete wireless e, in base alle necessità di un determinato contesto, possiamo distinguere le seguenti modalità: Infrastructure: una rete wireless gestita in questa modalità sfrutta un Access Point (oppure un Client adibito a tale scopo) come stazione base attraverso la quale passano tutto le comunicazioni. Generalmente si utilizza un AP per realizzare una rete che deve durare nel tempo, sia per scopi privati (creazione di una rete tra PC domestici) che pubblici (in un campus, la possibilità di accedere alla rete Internet). Nel caso di un singolo AP, questo copre una cella (BSS - Basic Service Set), identificato da un parametro (BSSID), che è spesso l indirizzo MAC dell AP. Roaming (o Multi AP): è quella particolare funzione che permette il passaggio di un client da un Access Point all'altro senza l'interruzione della comunicazione (per intenderci è come per i cellulari, passando da un ponte ad un altro, non cade la telefonata). Più Access Point possono formare una ESS (Extended Service Set) identificata da un parametro (SSID) che possono coprire un area come, ad esempio, un campus universitario. Figura 1 - Schema di una ESS 15

16 Ad Hoc: in una rete Ad Hoc due o più client, detti anche Independent Basic Service Set (IBSS), comunicano direttamente tra loro, senza alcun Access Point che faccia da centro di smistamento dei dati. E' simile ad una rete peer-to-peer dove ogni client è collegato direttamente con un altro ed identificato da un parametro (BSSID) quale, ad esempio, il MAC Address. È una configurazione utile e adatta per setup semplici e veloci, ad esempio scambio di file tra due dispositivi, riunioni, convegni o dimostrazioni. Figura 2 - Schema di una rete ad hoc Wireless Bridge (o Point-To-Point Bridge): è la modalità di funzionamento che permette l'unione e la connessione di due reti cablate attraverso il Wi-Fi. Si tratta di una sorta di configurazione ad hoc fra Access Point, ed è per questo motivo che le schede client non hanno possibilità di connessione. Wireless Multi Bridge (o Point To Multipoint Bridge): è quella modalità che permette l'unione di tre o più reti cablate attraverso il Wi-Fi. E' un'estensione della modalità Bridge, perciò ne eredita da essa le impostazioni e le caratteristiche principali. WDS: particolare modalità che permette al dispositivo di funzionare simultaneamente sia da Bridge che da Access Point. 16

17 Gli standard in dettaglio La famiglia dei dispositivi è molto numerosa e composta di standard spesso incompatibili, soprattutto dal punto di vista fisico. Questa famiglia di protocolli include tre protocolli dedicati alla trasmissione delle informazioni (802.11a/b/g), mentre la sicurezza è stata inclusa in uno standard a parte (802.11i). Gli altri standard della famiglia (802.11c/d/e/f/h) riguardano estensioni dei servizi base e miglioramenti di servizi già disponibili. Il primo protocollo largamente diffuso è stato il b, in seguito si sono diffusi il protocollo a e soprattutto il protocollo g. L' b e g utilizzano lo spettro di frequenze (banda ISM) nell'intorno dei 2.4 GHz. Si tratta di una banda di frequenze regolarmente assegnata dal piano di ripartizione nazionale (ed internazionale) ad altro servizio, e lasciato di libero impiego solo per le applicazioni che prevedono potenze EIRP (Massima Potenza Equivalente Irradiata da antenna Isotropica) di non più di 20 dbm ed utilizzate all'interno di una proprietà privata (teoricamente non dovrebbe attraversare il suolo pubblico). Trovandosi così ad operare in bande di frequenze ove già lavorano altri apparecchi, i dispositivi b e g possono essere influenzati da telefoni cordless, ripetitori audio/video per distribuire programmi televisivi satellitari od altri apparecchi all'interno di un appartamento che utilizzano quella stessa banda di frequenze a Nel 2001 venne ratificato il protocollo a, approvato precedentemente nel Questo standard utilizza lo spazio di frequenze nell'intorno dei 5 GHz e opera con una velocità di picco di 54 Mb/s, sebbene nella realtà la velocità reale disponibile all'utente sia di circa 20 Mb/s continui. Lavorando a frequenze più alte può raggiungere estensioni geografiche ridotte rispetto alla b e per risolvere questo problema si usa più potenza in trasmissione e un più efficiente schema di codifica dei dati, utilizzando una modulazione del segnale OFDM. Tuttavia, la velocità massima può essere ridotta a 48, 36, 24, 18, 9 o 6 Mb/s se le interferenze elettromagnetiche lo impongono. Lo standard definisce 12 canali non sovrapposti, 8 dedicati alle comunicazioni interne e 4 per le comunicazioni punto a punto. Questo standard non ha riscosso i favori del pubblico dato che l'802.11b si era già molto diffuso e in molti paesi l'uso delle frequenze a 5 GHz è tuttora riservato. Esistono schede Dual standard o Tri standard in grado di accettare oltre allo standard a anche l b e per le schede Tri standard anche l g. Ovviamente e- sistono anche degli Access Point multi standard b E lo standard più conosciuto e diffuso della famiglia , operante nella banda liberalizzata a 2.4 Ghz. I dati vengono trasmessi ad una velocità teorica di picco di 11 Mbps e di 4 Mbps continui. Utilizza una modulazione DSSS. 17

18 Utilizza il protocollo Carrier Sense Multiple Access con Collision Avoidance (CSMA/CA) come metodo di trasmissione delle informazioni e, poiché una buona parte della banda disponibile viene utilizzata dal CSMA/CA, il massimo trasferimento ottenibile è di 5,9 Mbit/s in TCP e di 7,1 Mbit/s in UDP. Metallo, acqua e in generale ostacoli solidi riducono drasticamente la portata del segnale. Utilizzando antenne direzionali esterne dotate di alto guadagno si è in grado di stabilire delle connessioni punto a punto del raggio di molti chilometri. Utilizzando ricevitori con guadagno di 80 db si può arrivare a 8 chilometri o se le condizioni del tempo sono favorevoli anche a distanze maggiori ma sono situazioni temporanee che non consentono una copertura affidabile. Quando il segnale è troppo disturbato o debole lo standard prevede di ridurre la velocità massima a 5.5, 2 o 1 Mb/s per consentire al segnale di essere decodificato correttamente d E lo standard alternativo a b destinato ai paesi che non possono liberalizzare la banda a 2.4 Ghz perché destinata ad altri usi e E lo standard migliorativo delle specifiche originarie , arenatosi su una serie di problemi tecnici e quindi abbandonato f E lo standard che riunisce una serie di specifiche destinate a facilitare il passaggio da una zona di copertura all altra e da un canale all altro, in diretta concorrenza con le tecnologie di telefonia cellulare. Anche chiamato Inter Access Point Protocol (IAPP), è un protocollo di livello applicazione per la gestione di ESS (Extented Service Set), ovvero più reti wireless collegate tra di loro, gestendo l'hand-over di terminali da una rete wireless all'altra. Infatti le specifiche originarie sono destinate a postazioni fisse o portatili, che non si spostano nello spazio g Questo standard venne ratificato nel giugno del Utilizza le stesse frequenze del b, cioè la banda di 2.4 GHz, e fornisce una banda teorica di 54 Mb/s che nella realtà si traduce in una banda netta di 24.7 Mb/s, simile a quella dello standard a. È totalmente compatibile con lo standard b ma quando si trova a operare con periferiche b deve ovviamente ridurre la sua velocità a quella dello standard b h E lo standard che serve a garantire un maggiore controllo della potenza di trasmissione da parte di a per facilitarne la diffusione anche in Europa. 18

19 802.11i E lo standard destinato alla sicurezza delle reti wireless della famiglia , sviluppato dalla IEEE specificamente per fornire uno strato di sicurezza alle comunicazioni basate sullo standard IEEE Il documento è stato ratificato il 24 giugno 2004 e rappresenta un estensione del precedente standard Wired Equivalent Privacy (WEP) che aveva dimostrato di essere soggetto a errori concettuali di progetto. Prima dello standard i la Wi-Fi Alliance aveva introdotto il Wi-Fi Protected Access (WPA) un sottoinsieme delle specifiche i. Il WPA era stato introdotto per tamponare l'emergenza sicurezza dovuta al WEP e rappresenta solamente uno standard transitorio mentre l'802.11i veniva terminato e perfezionato. La Wi-Fi Alliance ha deciso di chiamare le specifiche i con il nome di WPA2 per rendere semplice all'utente comune l'individuazione delle schede basate sul nuovo standard. L'802.11i utilizza come algoritmo crittografico l'advanced Encryption Standard (A- ES) a differenza del WEP e del WPA che utilizzano l'rc4. L'architettura dell'802.11i utilizza i seguenti componenti: IEEE 802.1x per autentificare (può essere utilizzato l'eap o un server di autentificazione), RSN per tenere traccia delle associazioni e il CCMP per garantire la confidenzialità, l'integrità e la certezza del mittente. Un elemento importante del processo di autenticazione è il processo four-way handshake n Nel Gennaio 2004 IEEE ha annunciato di aver avviato lo studio di un nuovo standard per realizzare reti wireless di dimensioni metropolitane. La velocità reale di questo standard dovrebbe essere di 100 Mb/s (quella fisica dovrebbe essere prossima a 250 Mb/s), quindi dovrebbe essere 5 volte più rapido del g e 40 volte più rapido dell'802.11b. La standardizzazione è ancora in corso, il 19 Gennaio 2007 il gruppo di lavoro di IEEE ha approvato la Draft n include anche la possibilità di utilizzare la tecnologia MIMO (Multiple- Input Multiple-Output). Questo consentirà di utilizzare più antenne per trasmettere e più antenne per ricevere incrementando la banda disponibile utilizzando una multiplazione di tipo spaziale attraverso una codifica tipo quella di Alamouti. La pila di protocolli I protocolli utilizzati da tutte le varianti di , inclusa Ethernet, hanno una struttura simile: è presente lo strato fisico che si è evoluto e si differenzia nelle varie versioni viste in precedenza per quanto riguarda le tecniche di trasmissione e modulazione dei dati. Lo standard del 1997 specifica tre tecniche di trasmissione supportate nello strato fisico: uno è il metodo a infrarossi (IR) e gli altri due usano un sistema radio a bassa potenza basato sulle tecniche FHSS e DSSS che utilizzano la banda dello spettro ISM 2.4 Ghz. Per aumentare la banda disponibile, nel 19

20 1999 sono state introdotte due nuove tecnologie chiamate OFDM e HR-DSSS, rispettivamente con a e b. Lo strato Data Link è invece diviso in due sottostrati: il sottostrato MAC (Medium Access Control) che stabilisce il metodo di allocazione del canale, cioè a quale dispositivo spetta trasmettere e il sottostrato superiore, detto LLC (Logical Link Control) che ha invece il compito di nascondere le differenze tra le varianti di e renderle indistinguibili al livello Network. Lo strato fisico Ognuna delle cinque tecniche di trasmissione sopra citate (IR, FHSS, DSSS, OFDM, HR-DSSS) consentono l invio di un frame MAC da una sorgente ad una destinazione, ma queste soluzioni differiscono sia per la tecnologia utilizzate, sia per le velocità supportate. Diamo un rapido sguardo. IR: utilizza una trasmissione diffusa (ossia non in linea retta) a 0.85 e 0.95 micron e supporta due velocità: 1Mbps e 2Mbps. Questa tecnica è stata quasi subito soppiantata in quanto raggiungeva scarse velocità e la natura dei segnali infrarossi non permette loro di superare ostacoli solidi come i muri. FHSS (Frequency Hopping Spread Spectrum): Modulazione a Spettro Diffuso per Salti. Questa tecnica utilizza 79 canali larghi 1 Mhz ciascuno (75 per i dati, 4 per la sincronizzazione), che iniziano dal margine inferiore della banda ISM a 2,4 Ghz, che vengono usati uno alla volta per sostenere la trasmissione dei segnali. Il segnale passa (salta) da sottocanale a sottocanale, per un prefissato periodo di tempo (chiamato Dwell Time che è solitamente di 400μsec) e secondo un ordine predeterminato. Dopo ogni salto è necessaria una resincronizzazione. Figura 3 - Esempio di FHSS 20

21 Si usa un generatore di numeri casuali per produrre la sequenza con cui le frequenze si susseguono. Tutte le stazioni salteranno contemporaneamente nelle stesse frequenze a patto di usare lo stesso seme per generare i numeri casuali e di mantenere la sincronizzazione. Questa casualità rappresenta un modo efficace di allocare lo spettro nella banda ISM non regolata. La tecnica di salto ha diversi vantaggi: contribuisce a minimizzare gli effetti dei rumori elettromagnetici, che in genere sono limitati a una frequenza abbastanza costante nel tempo; permette la presenza di più unità di accesso all interno delle zone di trasmissione efficaci l una dell altra (due sistemi che dialogano con i rispettivi router non creano interferenza tra i loro segnali anche se posti vicini fra loro). Ultimo, ma non meno importante vantaggio, è la sicurezza del sistema: chi cerca di intercettare la trasmissione deve essere in grado di catturare il segnale emesso su più sottocanali e deve interpretare correttamente la successione, apparentemente casuale, dei dati. Figura 4 - Schema di un pacchetto FHSS L FHSS Physical Packet è composto da 6 campi: un campo Synchronization (Sincronizzazione) di 80 bit e un campo SFD (Start Frame Delimiter) di 16 bit ( start pattern) che individuano il preambolo (PLCP preamble). A seguire troviamo: il campo PLW (PLCP_PDU Length Word) da 12 bit che individua la lunghezza del payload inclusi 32 bit di CRC, il campo PSF (PLCP Signaling Field) che individua il data rate del payload (1 or 2 Mbit/s) e il campo HEC (Header Error Check) che contiene il codice CRC. Questi tre campi formano il PLCP header. Infine troviamo il carico utile (payload) che può essere di dimensioni variabili. DSSS (Direct Sequence Spread Spectrum): Modulazione a Spettro Diffuso per Sequenza Diretta. È una tecnologia di trasmissione a "frequenza diretta" a banda larga, nella quale ogni bit viene trasmesso come una sequenza ridondante di bit, detta chip. Tale metodo è indicato per la trasmissione e la ricezione di segnali deboli. La banda viene divisa in 14 canali da 22 MHz sovrapposti e li usa uno alla volta. Figura 5 - Distribuzione dei canali nella banda dei 2.4 GHz 21

22 L'interfaccia DSSS utilizza un sistema con dispersione in banda base, impiegando un chipping code (codice di dispersione); modulando il dato prima di trasmetterlo, ogni bit trasmesso viene disperso su una sequenza a 11 bit (detta sequenza di Barker). Il segnale trasmesso consumerà una maggiore larghezza di banda, consentendo la ricezione di segnali deboli. I vantaggi che l'interfaccia DSSS assicura contro l'interferenza sono piuttosto scarsi. Figura 6 - Direct Sequence Spread Spectrum OFDM (Orthogonal Frequency Division Multiplexing). Arriva a distribuire fino a 54 Mbps nella banda ISM dei 5 Ghz, più ampia rispetto alle altre. Questa tecnica utilizza 52 frequenze (48 per i dati e 4 per la sincronizzazione), tale suddivisione del canale in tante bande strette offre vantaggi rispetto all utilizzo di una singola banda larga, per esempio una migliore resistenza alle interferenze con banda stretta e la possibilità di utilizzare bande non contigue. I vantaggi principali derivano dal fatto che questa tecnica si adatta facilmente a canali in condizioni critiche, ha una buona efficienza di spettro in termini di bit/hz e una buona resistenza al multipath fading. HR-DSSS: sta per High Rate Direct Sequence Spread Spectrum. Tecnica a diffusione di spettro che raggiunge la velocità di 11 Mbps nella banda 2,4 Ghz, adottata da b. Tabella Riassuntiva: Standard Modulazione Frequenza Velocità di trasferimento (Mbit/s) FHSS, DSSS, IR 2,4 GHz, IR 1, a OFDM 5,2, 5,8 GHz 6, 9, 12, 18, 24, 36, 48, b DSSS, HR-DSSS 2.4 GHz 1, 2, 5.5, g OFDM 2.4 GHz 6, 9, 12, 18, 24, 36, 48, n DSSS, HR-DSSS, OFDM 2.4 GHz 1, 2, 5,5, 11; 6, 9, 12, 18, 24, 36, 48, 54,

23 Capitolo 2 Il sottostrato MAC Il protocollo del sottostrato MAC che, come già detto, si occupa dell allocazione del canale, è leggermente diverso da quello Ethernet, a causa della complessità intrinseca dell ambiente wireless. Mentre con Ethernet una stazione si limita ad ascoltare il mezzo e aspettare che diventi silenzioso per poi trasmettere, col wireless vengono introdotte una serie di limitazioni che portano ad adottare una strategia differente. Tanto per cominciare, col wireless esiste il problema della stazione nascosta, che nasce dal fatto che non tutte le stazioni si trovano all interno del campo radio delle altre. Si supponga una trasmissione tra due terminali A e B, ed un terzo terminale C che si trova fuori dalla portata di B; il terminale C, non essendo in grado di rilevare questa comunicazione, pensa erroneamente che il canale sia libero, e inizia la comunicazione. Inoltre, la maggior parte dei dispositivi radio è Half-Duplex, e non può quindi trasmettere e contemporaneamente rimanere in ascolto dei burst di rumore su una singola frequenza. Per ovviare a questi problemi, l adotta due modalità operative: DCF e PCF. DCF (Distributed Coordination Function) - prevede la comunicazione tra stazioni senza un arbitraggio centralizzato; - questa modalità prevede la contesa del mezzo e la gestione delle collisioni. PCF (Point Coordination Function) - prevede che ci sia una stazione base che coordina la trasmissione di tutti i terminali; - in questa modalità non ci sono collisioni perché l ordine delle trasmissioni e determinato dalla stazione di controllo. Tutte le schede wireless devono supportare la trasmissione DCF, mentre quella PCF e opzionale in quanto poco diffusa. In modalità DCF si utilizza un protocollo chiamato CSMA/CA (Carrier Sense Multiple Access Collision Avoidance) che mira ad evitare le collisioni, operando in due modi differenti: 1. nella prima modalità la stazione controlla se il canale è libero (per quello che può vedere): 23

24 - se è libero trasmette (senza collision detection); - se è occupato, aspetta che si liberi e trasmette; - se si verifica una collisione (rilevata) utilizza il backoff esponenziale binario e ritenta. 2. la seconda modalità è derivata da MACAW, con utilizzo di RTS (Richiesta), CTS (Risposta) ed ACK per ogni frame trasmesso: - l interfaccia della stazione che rileva un RTS o un CTS evita di trasmettere dati fino alla fine prevista per la trasmissione corrente e relativo ACK; - tecnicamente la stazione utilizza internamente un Network Allocation Vector (NAV), che definisce l intervallo temporale in cui il mezzo trasmissivo e occupato. Figura 7 - Il controllo del canale virtuale mediante CSMA/CA Poiché le reti wireless sono molto rumorose, il protocollo prevede la possibilità di spezzare il frame in frammenti, ciascuno trasmesso e riscontrato individualmente. I frammenti vengono inviati tutti di seguito, senza bisogno di invio di RTS; le stazioni in ascolto utilizzeranno il NAV per attendere solo fino al primo riscontro. Figura 8 Un Burst di frammenti Nella modalità PCF, invece, la stazione base sonda le altre stazioni per vedere se hanno frame da trasmettere. La trasmissione e regolata ed autorizzata dalla stazio- 24

25 ne base e non avvengono collisioni. Il protocollo specifica la modalità di interrogazione e prevede che le stazioni si registrino con la stazione base per entrare nel meccanismo delle interrogazioni. La stazione base regola tutto il meccanismo della trasmissione, comprese le informazioni sulle sequenze di salto di frequenza (per FHSS) e le temporizzazioni. Il protocollo, ottimizzato per i computer portatili, prevede anche che la stazione base possa imporre alla stazione mobile di mettersi in modalità di sospensione, al fine di risparmiare batteria. MAC Frame Ogni frame consiste nei seguenti componenti base: un header MAC, che comprende i campi di controllo, durata, indirizzi e sequenza, e per i frame QoS, informazioni Qos; un frame body di lunghezza variabile, che contiene informazioni sul tipo e sottotipo del frame; un campo Checksum che contiene un CRC a 32 bit ; Formato Generale Il formato generale del frame MAC comprende un insieme di campi disposti in ordine fisso in tutti i frame. I primi tre campi (Frame Control, Duration/ID e Address 1) e l'ultimo campo (FCS) costituiscono il formato minimo e sono presenti in tutti i frame, inclusi i tipi riservati e i sottotipi. I campi Address 2, Address 3, Sequence Control, Address 4, QoS Control e Frame Body sono presenti solo in certi tipi e sottotipi di frame. Il campo Frame body è di lunghezza variabile. La massima lunghezza è determinata dalla massima lunghezza del MSDU (MAC Service Data Unit), cioè byte più un overhead per l incapsulazione di sicurezza. Frame Control Figura 9 - Schema di un MAC Frame Il campo Frame Control, lungo 2 byte, contiene al suo interno altri diversi campi che ora vedremo nello specifico. 25

26 Figura 10 - Schema del sottocampo Frame Control Version Protocol: in tutte le revisioni dello standard IEEE la sua lunghezza (2 bit) e la sua posizione sono rimaste invariate. Per questo standard assume il valore 0. Type e Subtype: rispettivamente di 2 e 4 bit questi due campi assieme identificano la funzione del frame. Ci sono tre tipi di frame esistenti: control frame, data frame e management frame. Ognuno di questi tipi ha diversi sottotipi. Per quanto riguarda i data frame, il bit più significativo del campo Subtype è definito come il sottocampo QoS. Figura 11 - Combinazioni valide dei campi Type e Subtype 26

27 Figura 12 - Segue da figura 11 Ogni posizione dei bit del campo Subtype è usato per indicare un modifica specifica del data frame base. Il bit 4 del frame control è impostato a 1 nei sottotipi di data che includono +CF-Ack, il bit 5 è impostato a 1 nei sottotipi data che includono +CF-Poll, il bit 6 è impostato a 1 nei sottotipi data che non includono campi Frame Body, infine il bit 7 è impostato a 1 nei sottotipi data QoS che hanno un campo di controllo QoS nei loro MAC headers. To DS e From DS: il significato delle combinazioni di valori di questi campi è mostrata nella tabella: Figura 13 - Combinazioni valide dei campi To DS e From DS 27

28 More Fragment: questo campo di 1 bit è impostato a 1 in tutti i frame di tipo data e management che hanno un frammento del MSDU corrente o del corrente MMPDU (MAC Management Protocol Data Unit) a seguire. In tutti gli altri casi è impostato a 0. Retry: il campo retry è lungo 1 bit ed è impostato a 1 in ogni frame di tipo data o management che risulta essere una copia di un frame trasmesso in precedenza. E impostato a 0 in tutti gli altri frame. Una stazione ricevente usa questa indicazione per agevolare l'eliminazione dei duplicati. Power Management: il campo Power Management ha lunghezza di 1 bit e viene usato per indicare la modalità di Power Management di una stazione. Il valore di questo campo rimane costante in ogni frame provenienti da una stazione particolare Il valore 1 indica che la stazione sarà in modalità Power Save. Il valore 0 indica che la stazione sarà in modalità attiva. Nei frame trasmessi da Access Point questo campo è sempre a 0. More Data: campo lungo 1 bit e utilizzato indicare a una stazione in modalità Power Save che più MSDU o MMPDU sono bufferizzate per quella stazione nell Acces Point. Il campo more data è valido nei data frame o management frame trasmessi da un Access Point a una stazione in modalità Power Save. Un valore di 1 indica che è presente almeno un MSDU o MMPDU bufferizzato in più per lo stessa una stazione. Il campo More data è impostato a 1 nei frame broadcast o multicast trasmessi da un Access Point quando quest ultimo deve trasmettere altri MSDU O MMPDU, sia broadcast che multicast. Questo campo è invece impostato a 0 nei frame broadcast o multicast trasmessi da un Access Point quando quest ultimo non ha più MSDU o MMPDU, sia broadcast che multicast, da trasmettere. Protected Frame: questo campo è lungo 1 bit e viene impostato a 1 se il frame body contiene informazioni che vengono processate da un algoritmo di cifratura, ma solo in frame di tipo data e frame di tipo management per l autenticazione. In tutti gli altri frame viene messo a 0. Order: il campo Order è lungo 1 bit e assume valore 1 in ogni frame data QoS che contenente un MSDU. Questo campo è settato a 0 in tutti gli altri frame. Tutte le stazioni QoS settano il campo a 0. Duration/ID Il campo Duration/ID, lungo 16 bit, varia a seconda del tipo e del sottotipo del frame, ecco i diversi contenuti: a. nei frame di controllo del sottotipo PS-POLL questo campo reca, nelle 14 cifre meno significative, l'association identifier del STA che trasmette il frame mentre le 2 cifre più significative assumono entrambe il valore 1; b. nei frame trasmessi da PC e da STA non QoS, durante il CFP, il campo Duration/ID ha un valore fisso di 32768; c. in tutti gli altri tipi di frame inviati da STA non QoS, durante il CFP, questo campo contiene un valore diverso e predefinito per ogni tipo di frame; 28

29 d. nei frame di tipo data e di tipo management mandati da STA Qos il campo duration/id assume un valore che può dipendere dal tempo richiesto per la trasmissione di una MPDU, dal tempo richiesto per la trasmissione di un ACK, dalla tipologia del frame e da numerosi altri fattori. Quando il contenuto di un campo Duration/ID, trattato come un intero di tipo Unsigned, senza tener conto del valore dell'indirizzo, del tipo e del sottotipo, è meno di 32768, questo valore viene usato per aggiornare il Network Allocation Vector (NAV) secondo procedure definite nello standard stesso. Quando invece il valore del campo durata/id è maggiore di 32768, questo valore viene interpretato come appropriato per il tipo e sottotipo del frame, o ignorato se l'entità MAC che riceve non ha una interpretazione definita per quel tipo o sottotipo. Address Ci sono quattro diversi campi indirizzo nel formato del frame MAC. Questi campi vengono usati per indicare il BSSID, l indirizzo della sorgente (SA), l indirizzo della destinazione (DA), l indirizzo della stazione trasmettente (TA) e l indirizzo della stazione ricevente (RA). Certi frame possono non contenere alcuni di questi campi indirizzi. L'uso di alcuni campi indirizzo è specificato dalla relativa posizione del campo indirizzo (1-4) all'interno dell header MAC, indipendentemente dal tipo di indirizzo presente in quel campo. Ad esempio l indirizzo del ricevente si trova sempre nel contenuto del campo Address 1 nei frame ricevuti, e l'indirizzo del ricevente di frame CTS (Clear-to-Send ) o ACK è sempre contenuto nel campo Address 2, nei corrispondenti frame RTS (Request-to-Send). Ogni campo indirizzo contiene un indirizzo a 48 bit che riguarda un indirizzo del sottolivello MAC, questi indirizzi possono essere suddivisi in due diverse tipologie: Indirizzo individuale. L'indirizzo assegnato a un STA ben preciso nella rete. Indirizzo di gruppo. Un indirizzo a più destinazioni che può essere usato da uno o più STA in una determinata rete. Vi sono due tipi di indirizzi di gruppo, che sono i seguenti: - Indirizzo di gruppo multicasting. Un indirizzo associato da una convenzione di livello più alto, con un gruppo di STA relazionati in modo logico. - Indirizzo broadcast. Un distinto e predefinito indirizzo multicast che denota sempre un insieme di STA di una certa LAN. Ognuno di questi è interpretato come un indirizzo broadcast. Questo gruppo è predefinito per ogni mezzo di comunicazione. BSSID: lungo 48bit, identifica univocamente ogni BSS. Il valore di questo campo, in un infrastruttura BSS, è l'indirizzo MAC correntemente in uso dal STA nell AP del BSS. In un BSS, invece, il campo BSSID è un indirizzo MAC amministrato localmente formato da 46 bit generati casualmente secondo procedure approvate dallo standard. Il bit Universal/Local dell'indirizzo è impostato a 1. Questo meccanismo è utilizzato per garantire un 'alta probabilità di selezionare un unico BSSID. Il valore 29

30 di tutti gli 1 è usato per indicare il Qildcard BSSID che non deve essere usato nel campo BSSID eccetto per i frame di tipo Management/Probe Request. DA: il campo DA contiene un indirizzo MAC individuale o di gruppo che identifica una o più entità MAC intese come recipiente finale del MSDU contenute nel frame body. SA: questo campo contiene un indirizzo MAC individuale che identifica la macchina che trasferisce il MSDU contenuto nel frame body. Il bit Individual/Group è sempre a 0 nell'indirizzo sorgente. RA: il campo RA contiene un indirizzo MAC individuale o di gruppo che identifica il STA ricevente, nella WM, per le informazioni contenute nel campo frame body. TA: questo campo contiene un indirizzo MAC individuale che identifica il STA che trasmette il MPDU contenuto nel frame body. Il bit Individual/Group e sempre a 0. Sequence Control Il campo Sequence Control è lungo 16 bit e consiste di due sottocampi, Fragment Number e Sequence Number che identificano relativamente il numero di sequenza e il numero di frammento. Questo campo non è presente nei frame di controllo. Figura 14 - Formato del campo Sequence Control Sequence Number: il numero di sequenza è lungo 12 bit e indica il numero di sequenza di un MSDU o MMPDU. Ad ogni MSDU o MMPDU trasmessi da un STA è assegnato un numero di sequenza. Gli STA non QoS assegnano numeri di sequenza a frame di tipo management e di tipo data attraverso un contatore modulo 4096, che inizia da 0 e incrementa di 1 per ogni MSDU o MMPDU trasmesso. Ogni frammento di un MSDU o MMPDU contiene una copia del numero di sequenza assegnato a quel MSDU o MMPDU. Il numero di sequenza rimane costante in ogni ritrasmissione di un MSDU, MMPDU o frammento. Fragment Number: questo campo è formato da 4 bit ed indica il numero di ogni frammento di un MSDU o MMPDU. Il numero frammento è a 0 nel primo o unico frammento di un MSDU o MMPDU ed è incrementato di 1 per ogni frammento successivo del relativo MSDU o MMPDU. Il numero di frammento rimane immutato per tutte le ritrasmissioni del frammento. 30

31 QoS Control Il Campo QoS Control è lungo 16 bit e identifica il TC o TS a cui appartiene il frame e varie altre informazioni sul frame relative alla QoS che varia da frame a frame. Il QoS Control è presente in tutti i frame di tipo data in cui il sottocampo QoS del sottotipo è a 1. Ogni QoS Control comprende cinque sottocampi definiti per ogni specifico mandante, tipo e sottotipo. Figura 15 - Sottocampi del campo QoS Control TID: il TID indica il TC o il TS al quale il corrispondente MSDU nel frame body appartiene. Il TID identifica anche il TC o il TS per il quale è richiesto un TXOP. La codifica del TID dipende dalle politiche di accesso. EOSP (End Of Service Period): il sottocampo EOSP è formato da 1 bit e viene usato dall HC per indicare la fine del periodo di servizio corrente. L HC setta il sottocampo EOSP a 1 nella sua trasmissione e ritrasmissione del frame finale di quel SP per terminare un SP schedulato o non schedulato, altrimenti lo setta a 0. Ack Policy: il sottocampo è lungo 2 bit e identifica la politica di acknowledgement seguita in base alle disposizioni del MPDU. Un MSDU è inviato usando una politica di acknowledgement di Normal Ack o di Block Ack se il parametro di classe di servizio nella primitiva MA_UNITDATA.request è settata a QoSAck. Si usa la politica di No Ack se il parametro di classe di servizio nella primitiva MA_UNITDATA.request è settata a QoSNoAck. TXOP Limit: questo sottocampo è lungo 8 bit ed è presente nei frame di tipo QoS Data aventi sottotipi CF-Poll e specifica il limite di tempo in un TXOP attribuito da un frame QoS CF-Poll mandato da un HC in un BSS. Un valore limite TXOP di 0 implica che un MPDU o un frame QoS Null sta per essere trasmesso subito dopo il seguente frame QoS CF-Poll. Il limite TXOP è inclusivo del PHY (PHYsical layer ) e IFS (IntreFrame Space) overhead. Queue Size: sottocampo della dimensione di 8 bit che indica l'ammontare di traffico bufferizzato, per un dato TC o TS, verso l Access Point che manda un frame. Questo sottocampo è presente nei frame QoS Data mandati da STA associate in un BSS con il bit 4 del QoS Control Field settato a 1. L AP può usare informazioni co ntenute in questo sottocampo per determinare la durata TXOP assegnata a un AP. 31

32 Il valore del sottocampo Queue Size riguarda la misura totale di tutti i MSDU bufferizzati alla STA nella delivery queue usata per gli MSDU con i valori TID uguali al valore del sottocampo TID. TXOP Duration Requested: è lungo 8 bit e indica la durata, in unità di 32 µs, che la stazione mandante desidera per il suo prossimo TXOP per lo specifico TID. Il range di tempo varia da 32 a 8160 µs. Se la durata richiesta non è un multiplo di 32 il valore viene arrotondato al più alto intero che sia multiplo di 32. Questo sottocampo è presente nei frame data QoS inviati da STA non AP associate a BSS con il bit 4 settato a 0. L AP può scegliere di assegnare una durata TXOP più corta di quella richiesta in questo campo, un valore 0 in questo campo indica che non sono richiesti TXOP per i MSDU del TID specificato nel SP corrente. I valori del campo non sono cumulativi. Un valore di 0 nel TXOP Duration Requested può essere usato per una richiesta non soddisfatta rimasta in sospeso quando il suo MSDU non è più accodato per trasmissioni. AP PS Buffer State: questo sottocampo ha dimensione di 8 bit, i quali indicano che lo stato del buffer è in Power Save nell AP per un STA non AP. L AP PS Buffer State è suddiviso in tre sottocampi: Buffer State Indicated: è lungo 1 bit e viene usato per indicare se l'ap PS Buffer State è specificato. Quando ciò accade il sottocampo assume il valore 1. Highest Priority Buffered AC: ha dimensione 2 bit e viene usato per indicare l'ac del traffico con priorità più alta rimanente che viene bufferizzato nell AP, escluso il MSDU del frame presente. AP Buffered Load: ha dimensione 4 bit e viene usato per indicare la grandezza totale del buffer, arrotondata al più vicino multiplo di 4096 byte ed e- spressa in unità da 4096 byte, di tutti i MSDU bufferizzati al QoS AP. Se il valore di questo sottocampo è 15, significa che la grandezza del buffer è maggiore di bytes. Il valore 0 viene usato solo per indicare l assenza di o- gni traffico bufferizzato per AC bufferizzato con priorità più alta quando il buffer state è a 1. Frame Body Figura 16 - Schema del sottocampo AP PS Buffer State Il campo Frame Body ha lunghezza variabile e contiene informazioni specifiche per ogni tipo e sottotipo. La sua lunghezza minima è 0 byte, mentre la lungezza massima 32

33 è espressa come MSDU+ICV+IV dove l'icv e IV sono campi riguardanti la cifratura WEP. FCS Field Il campo FCS è lungo 32 bit e contiene un CRC a 32 bit. Il FCS è calcolato su tutti i campi dell header MAC e sul frame body usando il seguente generatore polinomiale standard di grado 32: G(x) = x32 + x26 + x23 + x22 + x16 + x12 + x11 + x10 + x8 + x7 + x5 + x4 + x2 + x + 1 L algoritmo per calcolare la checksum è il seguente: 1. Posto r il grado di G(x), si aggiungono r bit con valore 0 dopo la parte di ordine più basso del frame in modo tale che contenga m + r bit (m è il numero di bit del frame) e corrisponda al polinomio x r M(x); 2. Dividere la sequenza corrispondente a G(x) per la sequenza corrispondente a x r M(x) usando la divisione modulo 2 (il dividendo è x r M(x) e il divisore G(x)); 3. Sottrarre il resto (che contiene massimo r bit) dalla sequenza corrispondente a x r M(x) usando la sottrazione modulo 2. Il risultato è il frame con checksum pronto per la trasmissione. 33

34 Capitolo 3 Meccanismi di difesa Come accennato nell'introduzione, il diffondersi delle tecnologie wireless ha introdotto problemi di sicurezza nei livelli Fisico e DataLink prima inesistenti e che avrebbero pregiudicato il diffondersi di questa tecnologia molto utile. Sono stati messi a punto, di conseguenza, diversi meccanismi di difesa i quali garantiscono all utente medio una certo grado di sicurezza. Algoritmi di Cifratura Gli algoritmi di cifratura sono algoritmi che si basano sul principio della crittografia. Il termine 'crittografia' deriva da due parole del greco antico e letteralmente significa 'scrittura segreta'. La storia della crittografia inizia migliaia di anni fa; già nell'antica Roma erano conosciuti dei meccanismi di crittografia, ne è un esempio il Cifrario di Cesare. I professionisti distinguono i termini cifrario e codice. Con cifrario s intende una trasformazione carattere per carattere (o bit per bit nel nostro caso) senza considerare la struttura linguistica del messaggio. Viceversa il codice rimpiazza ogni parola del messaggio con un altra parola o simbolo. Storicamente quattro gruppi di persone hanno dato il loro contributo allo sviluppo della crittografia: i militari, il corpo diplomatico, gli scrittori di diari e gli amanti. Fra tutti i questi i militari hanno dato il contributo più importante nel corso dei secoli. Fino all avvento dei computer uno dei limiti della crittografia era la capacità di riuscire a compiere le operazioni necessarie spesso in campo di battaglie utilizzando un equipaggiamento minimo. Un vincolo aggiuntivo era dato dal fatto di riuscire a cambiare velocemente da un metodo crittografico a un altro in quanto significava dover informare una gran quantità di persone. Comunque il pericolo che uno degli addetti alla crittografia potesse essere catturato dal nemico rendeva necessario cambiare il metodo di crittografico all istante. Queste considerazioni hanno dato origine al modello di cifratura a chiave simmetrica, presente tutt oggi negli algoritmi di cifratura che verranno spiegati più avanti. 34

35 I messaggi da cifrare, detti 'testi in chiaro' sono trasformati tramite una funzione parametrizzata da una chiave. L 'output del processo di cifratura, il testo cifrato, viene trasmesso generalmente tramite un messaggero o una radio (o una rete wireless). Poniamo il caso che un intruso ascolti interamente il messaggio cifrato e lo trascriva da qualche parte. Al contrario del destinatario legittimo l intruso non conosce la chiave di decifrazione e quindi non riesce a decifrare facilmente il testo. In alcuni casi l intruso oltre ad ascoltare il canale di comunicazione riesce anche a registrare i messaggi per poi ritrasmetterli aggiungendo delle informazioni oppure per modificare i messaggi legittimi prima che raggiungano il destinatario. L'arte di decriptare i cifrari, la criptoanalisi, e l arte di inventarli, la crittografia, sono note sotto il nome collettivo di crittologia. Decriptare è l atto di decifrazione da parte di un intruso mentre decifrare è l operazione legittima di lettura di un messaggio cifrato. E' utile avere anche una notazione per relazionare fra loro testo in chiaro, testo cifrato e le chiavi. Useremo la notazione C=Ek(P) per indicare che la cifratura del testo in chiaro P, usando una chiave k, genera il testo cifrato C. Analogamente P=Dk(C) indica la decifrazione di C per estrarre il testo in chiaro. Segue quindi che P=Dk(Ek(P)) questa notazione suggerisce che D ed E sono semplicemente funzioni matematiche. Il punto difficile è che si tratta di funzioni con due parametri: uno di essi è la chiave mentre l altro è il messaggio. Una regola base della crittografia afferma che bisogna sempre assumere che il criptoanalista conosca il metodo di cifratura e decifrazione. Lo sforzo necessario per inventare, testare e installare un nuovo algoritmo ogni volta che quello vecchio è compromesso ha sempre reso impraticabile la segretezza dell'algoritmo. Qui entrano in gioco le chiavi. La chiave crittografica consiste di una stringa (relativamente corta) che identifica una particolare cifratura tra le molte possibilità. Diversamente dal metodo generale che può essere cambiato una sola volta ogni diversi anni, la chiave può essere cambiata tutte le volte che si ritiene necessario. Quindi il modello base è dato da un metodo generale stabile e noto pubblicamente, però parametrizzato da una chiave segreta che può essere cambiata facilmente. Questa idea è detta principio di Kerchoff, dal nome di August Kerchoff, il crittografo fiammingo che per primo formulò il principio: tutti gli algoritmi devono essere pubblici, solo le chiavi sono segrete. Le basi su cui si fonda la crittografia moderna sono le stesse idee base, i cifrari a sostituzione e i cifrari a trasposizione, vediamoli brevemente: Cifrari a sostituzione: ogni lettera o gruppo viene rimpiazzato da un altra lettera o gruppo per mascherare il messaggio. Uno dei cifrari più antichi che si conoscano è il cifrario di Cesare. Una semplice generalizzazione del cifrario di Cesare consiste nello spostare l alfabeto del testo cifrato di k lettere. In que- 35

36 sto caso k diventa la chiave del metodo generale che consiste nell avere un alfabeto spostato circolarmente. Cifrari a trasposizione: riordinano le lettere ma non le mascherano. Un esempio di cifrario a trasposizione è quello a trasposizione colonnare. La cifra in questo caso ha come chiave una parola o una frase senza lettere ripetute. Lo scopo della chiave è quello di numerare le colonne: la colonna numero 1 è quella sotto la lettera della chiave più vicina all'inizio dell'alfabeto, e cosi via. Il testo in chiaro viene scritto orizzontalmente per righe fino a riempire la matrice, eventualmente usando anche alcuni caratteri di riempimento allo scopo. Il testo cifrato viene letto per colonna cominciando con quella che ha la lettera chiave più bassa. Tradizionalmente i crittografi hanno sempre usato degli algoritmi semplici. Al giorno d oggi invece capita il contrario: l'idea è quella di rendere l'algoritmo sempre più complesso per fare in modo che anche se il criptoanalista avesse a disposizione una vasta quantità di testo cifrato non riesca comunque a capirci nulla senza avere la chiave. Gli algoritmi esaminati in questa sede sono i cosiddetti algoritmi a chiave simmetrica, in quanto usano la stessa chiave per cifrare e decifrare il testo in chiaro, e più precisamente la modalità con cui operano è quella definita Stream Chiper. Questa modalità funziona cifrando un vettore di inizializzazione con una chiave crittografica per ottenere un blocco in uscita. Quest ultimo viene cifrato per produrre un secondo blocco in uscita quindi si procede analogamente con il terzo ecc. La sequenza di blocchi cifrati in uscita viene chiamata Key Stream, viene usata come blocco monouso e applicata in XOR sul testo in chiaro. La decifrazione viene eseguita generando lo stesso Key Stream dal lato del ricevente.visto che il Key Stream dipende solo dall IV e dalla chiave non è sensibile agli errori di trasmissione del testo cifrato. È essenziale che nella modalità Stream Chiper non venga mai riutilizzata la coppia (chiave IV), perchè questo vorrebbe dire generare più volte lo stesso Key Stream. L'uso ripetuto dello stesso Key Stream espone il testo cifrato all attacco di tipo Key Stream riutilizzato. MAC Filtering e IP Filtering Quando si tratta di protezione, la preoccupazione principale di gran parte delle piccole aziende è quella di tenere gli intrusi fuori dalle reti e consentire agli impiegati e talvolta ai clienti di disporre di accesso immediato alla rete. A questo fine, il filtro degli indirizzi MAC è il primo passo da compiere. Contrariamente al nome sofisticato, il filtro degli indirizzi MAC ha una funzione semplice, ma fondamentale: impedire agli hacker o altri utenti non autorizzati di accedere alla rete con l indirizzo o codice del dispositivo in uso durante il tentativo di accesso. 36

37 Dai notebook ai PDA, ogni dispositivo wireless dispone di una scheda wireless mobile e ogni scheda dispone di un indirizzo MAC univoco. In altre parole, l'indirizzo MAC è l'equivalente tecnologico delle impronte digitali. Il filtro degli indirizzi MAC funziona come un sofisticato sistema di sicurezza di un laboratorio di ricerca top-secret. In un laboratorio, ogni scienziato che tenta di entrare viene sottoposto a scansione delle impronte digitali dal sistema. Quando le impronte non vengono riconosciute, il sistema blocca l'entrata al laboratorio. L'equivalente dello scanner per le impronte digitali in una rete wireless è il punto di accesso o il gateway, che nella maggior parte delle reti è rappresentato da un router. Grazie al filtro degli indirizzi MAC, è possibile controllare l'accesso alla rete aziendale configurando il router/punto di accesso, in modo che solo i dispositivi wireless con indirizzi MAC riconosciuti vengano autorizzati. Se il router/punto di accesso non riconosce l'indirizzo MAC del dispositivo, l'utente che utilizza tale dispositivo non è in grado di accedere alla rete. L IP Filtering è un metodo che funziona come il MAC Filtering, con la differenza che al posto di agire sugli indirizzi MAC, decide quali tipi di datagrammi IP saranno processati normalmente e quali saranno scartati. Proxy Un Proxy è un programma che si interpone tra un client ed un server, inoltrando le richieste e le risposte dall'uno all'altro. Il client si collega al Proxy invece che al server, e gli invia delle richieste. Il Proxy a sua volta si collega al server e inoltra la richiesta del client, riceve la risposta e la inoltra al client. A differenza di bridge e router, che lavorano ad un livello ISO/OSI più basso, i proxy nella maggior parte dei casi lavorano a livello applicativo; di conseguenza un programma proxy gestisce un numero limitato di protocolli applicativi. Un caso in cui viene spesso usato un Proxy è la navigazione web (denominato Proxy HTTP dal nome del protocollo usato). Per utilizzare un Proxy è possibile configurare il client in modo che si colleghi al Proxy invece che al server, oppure definire un Proxy trasparente; in questo caso, a seconda della configurazione, alcune connessioni (ad esempio quelle HTTP) vengono automaticamente indirizzate al Proxy senza che sia necessario configurare un client (quindi l'impostazione rimane attiva anche cambiando client). Un proxy può essere usato per una o più delle seguenti ragioni: Connettività: per permettere ad una rete privata di accedere all'esterno è possibile configurare un computer in modo che faccia da Proxy tra gli altri computer e Internet, in modo da mantenere un unico computer connesso all'esterno, ma permettere a tutti di accedere. In questa situazione, solitamente il Proxy viene usato anche come firewall. 37

38 Caching: un Proxy può immagazzinare per un certo tempo i risultati delle richieste di un utente, e se un altro utente effettua le stesse richieste può rispondere senza dover consultare il server originale. Monitoraggio: un Proxy può permettere di tenere traccia di tutte le operazioni effettuate (ad esempio, tutte le pagine web visitate), consentendo statistiche ed osservazioni dell'utilizzo della rete che possono anche violare la privacy degli utenti. Controllo: un Proxy può applicare regole definite dall amministratore di sistema per determinare quali richieste inoltrare e quali rifiutare, oppure limitare l ampiezza di banda utilizzata dai client, oppure filtrare le pagine Web in transito, ad esempio bloccando quelle il cui contenuto è ritenuto offensivo in base a determinate regole. Privacy: un Proxy può garantire un maggiore livello di privacy mascherando il vero indirizzo IP del client in modo che il server non venga a conoscenza di chi ha effettuato la richiesta. Quando la configurazione della rete consente di collegarsi ad internet solamente attraverso un Proxy, non sono ovviamente utilizzabili molti tipi di applicazioni basate su protocolli non supportati dal Proxy, ad esempio giochi on-lin, webcam, programmi di messaggistica istantanea, servizi VoIP, applicazioni di file-sharing. Talune di queste applicazioni sono state modificate per poter far passare il proprio traffico incapsulato in HTTP e quindi per poterlo veicolare in un Proxy. PPPoE PPPoE (Point-to-Point Protocol over Ethernet) è un protocollo punto a punto operante su Ethernet, una nuova alternativa per le connessioni Internet ad alta velocità. Sebbene non sia uno standard Internet, il PPPoE è descritto nell'informativo RFC È un protocollo di rete che permette di incapsulare frame PPP in frame Ethernet. È usato soprattutto per i servizi DSL. Fornisce le caratteristiche standard di un protocollo PPP come l'autenticazione, la cifratura e la compressione. Purtroppo adotta un'unità massima di trasmissione minore di quella standard Ethernet e questo comporta qualche problema in presenza di firewall mal configurati. Il PPPoE è un protocollo di tunneling che permette di incapsulare il livello IP su una connessione tra due porte Ethernet pur mantenendo le caratteristiche di un collegamento PPP, per questo motivo è utilizzato per "comporre il numero" virtualmente di un altro computer dotato di connessione Ethernet e stabilire una connessione punto-punto con esso, su questa connessione vengono poi trasportati i pacchetti IP in base alle caratteristiche del PPP. È possibile utilizzare i normali programmi basati sul PPP per gestire una connessione che utilizza una rete orientata al pacchetto come Ethernet invece che una linea seriale e fornire una classica connessione con login e password per accedere ad 38

39 Internet. L'indirizzo IP all'altro capo della linea è assegnato solamente quando la connessione è aperta quindi questo protocollo permette di usare gli indirizzi IP in modo dinamico. VPN Una Virtual Private Network o VPN è una rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso come per esempio Internet. Lo scopo delle reti VPN è di dare alle aziende le stesse possibilità delle linee private in affitto ad un costo inferiore sfruttando le reti condivise pubbliche. Le reti VPN utilizzano collegamenti che necessitano di autenticazione per garantire che solo gli utenti autorizzati vi possano accedere; per garantire la sicurezza che i dati inviati in Internet non vengano intercettati o utilizzati da altri non autorizzati, esse utilizzano sistemi di crittografia. Le reti VPN sicure adottano dunque protocolli che provvedono a cifrare il traffico transitante sulla VPN. Oltre alla cifratura, una VPN sicura deve prevedere nei suoi protocolli dei meccanismi che impediscano violazioni della sicurezza, come ad esempio il furto dell'identità digitale o l'alterazione dei messaggi. Il termine VPN è un termine generico e non un marchio. In particolare, non esiste alcun ente che regoli la denominazione di un prodotto come VPN, che quindi ogni produttore può utilizzare a suo arbitrio. Esistono tuttavia vari organismi indipendenti, largamente riconosciuti, che certificano interoperabilità e sicurezza dei sistemi informatici, come ad esempio ICSA Labs. Un apparato o un software, che riporti il marchio di ICSA Labs per le VPN IPSec, ha sicuramente superato una serie di test oggettivi e replicabili, che garantiscono la compatibilità con tutte le altre implementazioni certificate ed un adeguato livello di sicurezza. È oggi opinione comune che una VPN correttamente progettata abbia un grado di sicurezza comparabile con quello di una rete dedicata. Per mezzo di una VPN, utilizzando una connessione Internet si è comunque in grado di effettuare una connessione al proprio ufficio, con una telefonata al numero telefonico dell'accesso Internet più vicino. Se si dispone di una connessione Internet ad alta velocità (ad esempio via cavo o ADSL) per il proprio computer e per i computer aziendali, è possibile connettersi in rete con il proprio ufficio alla velocità relativamente alta della connessione Internet utilizzata. Generalmente una VPN comprende due parti: una interna alla rete, e quindi protetta, che preserva la trasmissione, e una meno affidabile e sicura che è quella esterna alla rete private, ad esempio via Internet. Nelle VPN c è in genere un firewall tra il computer del dipendente o di un cliente e il terminale della rete o del server. Il dipendente, per esempio, quando stabilisce la connessione con il firewall, deve autenticare i dati che vuole trasmettere, passando attraverso un servizio di autenticazione interno. 39

40 Un utente autenticato può essere provvisto di privilegi particolari per accedere a risorse che generalmente non sono accessibili a tutti gli utenti. La maggior parte dei programmi client richiede che tutto il traffico IP della VPN passi attraverso un Tunnel virtuale tra le reti utilizzando Internet come mezzo di collegamento. Dal punto di vista dell utente ciò significa che, mentre la connessione VPN è attiva, tutti gli accessi esterni alla rete sicura devono passare per lo stesso firewall come se l utente fosse fisicamente connesso all interno della rete sicura. Questo riduce il rischio che utenti esterni possano accedere alla rete privata dell azienda. La sicurezza della connessione VPN è di importanza fondamentale, perché la rete su cui gli altri computer stanno lavorando potrebbe non essere sicura, o esserlo solo parzialmente. La VPN deve quindi garantire un livello di sicurezza tale da proteggere i computer dei dipendenti che stanno lavorando simultaneamente sulla stessa rete, tra i quali uno potrebbe essere stato infettato da un virus, un Worm o un Trojan. Regole di Base Una corretta configurazione degli apparati è un buon inizio per proteggere la rete wireless. Grazie ad alcuni accorgimenti, è possibile "sviare" un eventuale intruso nascondendo dettagli preziosi e rendendo più difficile l'identificazione della rete su cui si sta collegando. Oltre ai metodi di sicurezza precedentemente elencati si ravvisano altri metodi di protezione che aiutano una LAN Wireless ad acquistare un certo grado di sicurezza. Cambiare gli SSID di default Il Service Set Identifier (SSID) identifica univocamente ogni punto di accesso all interno della rete. Tramite una configurazione opportuna, soltanto i dispositivi che utilizzano la corretta SSID possono comunicare con i punti di accesso. Molti dei dispositivi hanno già preconfigurato un SSID di default: un intruso può usare questi nomi per cercare di accedere ad AP che hanno ancora la configurazione di fabbrica. Utilizzare SSID non descrittivi Usare SSID descrittivi facilita il compito di un eventuale intruso nell'individuare luoghi o aziende e nel ricavare maggiori informazioni su come entrare. Si consiglia di utilizzare nomi anonimi o altamente scoraggianti come "AC01MLX", "HoneyPot01" o "GoAway01". Disabilitare il Broadcast SSID Gli AP mandano ad intervalli regolari Beacon Frames per la sincronizzazione con i client, i quali contengono il SSID. Questi frame servono ai client per configurarsi automaticamente la rete di accesso, ma servono anche a potenziali aggressori durante la ricerca delle reti wireless. È auspicabile disabilitare il Broadcast SSID qualora l'ap supporti questa opzione. Il client dovrà essere configurato manualmente con il SSID corretto per poter accedere alla rete. 40

41 Cambiare le password Come per gli SSID, è importante cambiare le password di default degli AP. È buona norma che la password sia lunga almeno otto caratteri e che includa caratteri speciali e numeri. Aggiornare il Firmware Nella scelta di un Access Point, è preferibile orientarsi verso un apparato che abbia la possibilità di aggiornare il suo Firmware. È bene pertanto assicurarsi che l'access Point abbia l'ultimo livello di Firmware consigliato dal produttore. Spegnere l'ap quando non serve Gli intrusi agiscono solitamente durante la notte e il fine settimana, ovvero quando la rete ed i sistemi non sono controllati. È consigliato, quando possibile, collegare gli Access Point ad un timer, in modo da spegnerli quando non vengono utilizzati. Minimizzare l'intensità del segnale Gli intrusi sfruttano il fatto che le onde radio non si possono limitare a dei luoghi ben definiti, esempio l'ufficio vendite, ma riescono ad espandersi fuori dalle mura perimetrali dall'ufficio. Da qui la definizione del nome "parking lot attack", o più semplicemente attacchi provenienti dal parcheggio. È pertanto importante scegliere un'adeguata collocazione dell'access Point all'interno dell'edificio, in modo che il segnale sia sufficiente a garantire il collegamento solo ed esclusivamente alla zona interessata. Attraverso appositi strumenti radio o di audit, è necessario verificare che il segnale non sia visibile all'esterno del palazzo o della zona identificata. Per minimizzare l'intensità del segnale, è sufficiente non posizionare l'ap vicino alle finestre e u- sare antenne direzionali con basso guadagno in decibel. Alcuni AP inoltre hanno la possibilità di definire l'intensità del segnale via software. Cambiare le community di default di SNMP Su molti AP risulta installato un agente SNMP (Simple Network Management Protocol). Se la community password non risulta correttamente configurata, un aggressore può leggere e scrivere dati di configurazione sull AP, in maniera analoga ad altri sistemi che supportano SNMP. Limitare il traffico di broadcast Alcuni protocolli, in particolare il NetBIOS su TCP/IP usato da Windows, usano assiduamente i messaggi di broadcast. Questi messaggi di broadcast contribuiscono ad incrementare il valore IV del sistema WEP minimizzando per un intruso i tempi di raccolta dei dati per ricavare la chiave WEP. È consigliabile limitare il traffico di broadcast quando possibile, ad esempio disattivando il protocollo NetBIOS su TCP/IP dal binding con la scheda di rete Wireless. 41

42 Protezione del client Alcuni attacchi sono mirati ai client wireless in quanto vengono usati come ponte per entrare nella rete interna e per ricavare preziose informazioni. Ad esempio, alcuni client wireless scrivono in chiaro, nel registry di Windows o in un file di testo, le chiavi WEP di crittografia. È preferibile usare un personal firewall sui client in modo da ridurre i rischi di attacchi. Non utilizzare il DHCP È consigliabile non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi, ma considerare l'utilizzo di IP statici. Anche se è un ulteriore impegno per l'amministratore, è assai utile per evitare che la rete wireless attribuisca indirizzi IP validi a chiunque voglia associarsi con l'ap. Anche se un attaccante, utilizzando uno sniffer wireless, può facilmente ricavare gli IP, il fatto di non distribuirli via DHCP rappresenta un'ulteriore barriera. Inoltre, è consigliabile evitare di usare indirizzamenti di default facilmente intuibili come o Uso di una VLAN separata È consigliabile utilizzare una Virtual LAN separata per il traffico wireless, separandola dalla rete intranet. Esistono varie metodologie, che vedremo in seguito, per unire in maniera sicura le due LAN, tra le più semplici ricordiamo l'uso di un router/swich con capacità di filtro IP o un proxy. In alcune piccole aziende e in ambienti SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un problema, queste semplici regole sono sufficienti a proteggere l'accesso wireless. In ambienti più critici, dove è necessario mantenere la confidenzialità dei dati, è necessario applicare delle regole più rigorose: vedremo nei prossimi capitoli quali sono le tecniche per proteggere tali ambienti. 42

43 Capitolo 4 WEP (Wired Equivalence Protocol) Lo standard IEEE definisce un meccanismo per garantire la privacy nelle comunicazioni, questo meccanismo è il WEP che sta per Wired Equivalence Protocol, come suggerisce il nome si pone l'obiettivo di garantire un sistema di sicurezza equivalente a quello delle reti cablate. Chiamato anche WEP 40 viene definito come un metodo per garantire la riservatezza di dati scambiati tra utenti autorizzati di una WLAN da possibili intercettazioni. In questo caso il numero 40 sta ber la lunghezza della chiave (40 bit). L'implementazione del WEP è opzionale, in quanto lo stesso algoritmo può essere usato con una chiave a 104 bit (WEP 104). Il meccanismo di cifratura e decifratura è lo stesso sia con chiave a 40 che a 104 bit. Il termine WEP quindi si riferisce ad entrambi. Formato MPDU La seguente figura illustra il formato di una MPDU (MAC Protocol Data Unit) cifrata attraverso l algoritmo WEP. Figura 17 Formato di una MPDU WEP 43

44 Il campo WEP ICV è lungo 32 bit mentre il frame body espanso inizia con un campo IV a 32 bit che contiene tre sottocampi: IV da 3 bytes, Key ID da 2bit e Pad da 6 bit. Il Key ID (formato dai 2 bit più significativi) contiene una delle quattro possibili combinazioni di valori della secret key usata per decriptare il frame body. Il Key ID viene ignorato quando si usano chiavi key-mapped. Il valore del Pad deve essere 0. Chiavi di cifratura Il WEP usa solo chiavi di cifratura e non viene eseguita nessuna autenticazione, quindi non ha nessuna chiave di integrità dei dati. Vengono usati due tipi di chiavi di cifratura: key-mapping e chiave di default. Una chiave key-mapping è una chiave anonima corrispondente a una coppia distinta indirizzo trasmittente - indirizzo ricevente. Questa chiave deve essere usata per criptare e decriptare frame trasmessi da TA verso RA senza tenere conto della presenza di altri tipi di chiavi. Quando è presente una chiave key-mapping per una coppia di indirizz, il sottocampo Key ID deve essere impostata a 0 in fase di trasmissione o ignorato in fase di ricezione. Una chiave default è un elemento di un array di 4 elementi chiamato "dot11wepdefaultkeys", designato dal valore di un indice di un array ad esso correlato chiamato "dot11wepdefaultkeyid". Se non viene configurata nessuna chiave key-mapping WEP deve usare una chiave di default per criptare o decriptare il frame. Durante la trasmissione la chiave selezionata è l'elemento dell array dato dal suo indice correlato da 0 a 3. Il valore che il trasmettitore inserisce nel campo Key ID del frame trasmesso deve essere il valore dell'indice che punta all elemento dell array che fa da chiave. Il ricevitore deve usare il valore dell array, il cui indice è il valore del campo key ID, per decriptare il frame. Tutte le implementazioni devono supportare il default key. Il valore di default per ogni chiave WEP deve essere Null. Tutte le implementazioni WEP devono scartare il frame, generare un messaggio di conferma indicando anche lo stato di trasmissione e che il frame può non venire incapsulato con una chiave nulla in risposta ad ogni richiesta di incapsulare un frame con una chiave nulla. Algoritmi di cifratura L'implementazione WEP deve usare l'arc4 Stream Chiper come il suo algoritmo di decifratura. ARC4 usa un generatore pseudo casuale (PRNG) per generare una key stream che viene utilizzata come operando di un XOR assieme al plaintext del frame da trasmettere, per produrre il chiper text o per recuperare un plaintext dal chiper text. 44

45 RC4 Per generare il keystream lo stream chiper fa uso di uno stato interno che consiste di due parti: una permutazione di tutti i 256 possibili bytes (S[ ]); due indici da 8-bit (i, j). La permutazione è inizializzata con una chiave a lunghezza variabile tra i 40 e i 256 bit utilizzando l'algoritmo di key-scheduling (KSA). Una volta completata la permutazione, lo stream di bits è generato usando uno algoritmo di generazione pseudocasuale (PRGA). Key Scheduling Algorithm (KSA) L algoritmo KSA è usato per inizializzare la permutazione dell array "S[ ] ". Viene definita la lunghezza della chiave come numero di byte della chiave (possono essere tra 1 e 256 bytes ma tipicamente sono tra 5 e 16 bytes corrispondenti alla lunghezza do bit). Per cominciare l array è inizializzato come la "permutazione identità", ossia l'elemento i-esimo del vettore ha come valore i. Un esempio di KSA in codice C: for (i=0;i<=255;i++) S[i]=i; j=0; for (i=0 ; i<=255; i++) { j=( j + S[i] + key[ i % keylenght ] ) % 256; swap( S[i],S[j] ); } Pseudo Random Generation Algorithm (PRGA) Per ogni iterazione necessaria PRGA modifica lo stato e restituisce un byte del keystream. Inoltre incrementa i, aggiunge il valore di S[i] a S[j], scambia i loro valori e poi restituisce il valore di S alla posizione (S[i]+ S[j] % 256). Ogni valore di S è scambiato almeno una volta ogni 256 iterazioni. Un esempio di PRGA in codice C: i=0; j=0; for (k=0 ; k<=255 ; k++) { i=(i + 1) % 256; j=(j + S[i]) % 256; swap(s[i],s[j]); return S[(S[i] + S[j]) % 256]; } 45

46 Implementazione RC4 Molti Stream Chiper sono basati su un "linear feedback shift register" (LFSR), cosa che li rende efficienti dal punto di vista hardware ma non altrettanto dal punto di vista software. L'implementazione di RC4 evita l'uso di LFSRs ed è ideale per l'implementazione software in quanto richiede solamente manipolazione di byte. Usa 256 bytes di memoria per l'array di stato S[ ], k byte di memoria per la chiave da key[0] a key[k-1], e le variabili intere i, j, k. Costruzione del Seme Figura 18 - Un'implementazione JAVA dell'rc4 L'implementazione WEP deve creare una chiave intermedia, un seme, concatenando una chiave di cifratura con un IV. Nel caso di WEP 40 i bit da 0 a 39 della chiave WEP corrispondono ai bit del seme, dove i primi 24 bit sono i bit da 0 a 23 dell IV. Il seme deve essere dato come input all ARC4 per decriptare i campi WEP dati e ICV. 46

47 Incapsulamento Crittografico di una MPDU Il primo passo dell'algoritmo prevede che la chiave segreta sia concatenata con un Initialization Vector (IV) e che la stringa risultante costituisca il seme per il PNRG. L output del PNRG sarà un key stream k la cui lunghezza è esattamente uguale a quella del messaggio che sarà trasmesso in rete. Per proteggere dalla modifica del messaggio durante la trasmissione, gli si applica un algoritmo di controllo di integrità. Nel caso specifico del WEP viene utilizzato CRC- 32. Il risultato di questa operazione chiamato Integrity Check Value (ICV) e sarà concatenato al messaggio stesso. Il processo di cifratura termina quindi calcolando lo XOR tra il keystream k ed il testo in chiaro concatenato con lo ICV. Il messaggio finale, pronto per la trasmissione viene ottenuto unendo al cifrato lo IV iniziale in chiaro. È necessario che l IV sia inviato in chiaro per permettere la decodifica al destinatario. La decodifica di un messaggio ricevuto, prevede una fase iniziale in cui si genera lo stesso key stream k utilizzato per la codifica. Questo avviene prendendo l IV del messaggio ricevuto, concatena dolo alla chiave segreta ed infine utilizzando la stringa ottenuta come input del PNRG. Quindi si calcolerà lo XOR tra il keystream ottenuto ed il messaggio cifrato. Questo procedimento è schematizzato dalla figura che segue: Figura 19 - Incapsulamento di una MPDU Scapsulamento Crittografico di una MPDU WEP deve applicare tre trasformazioni al frame wep per decifrare il suo payload. Innanzitutto estrae l IV e l identificatore della chiave dal frame ricevuto. Se è presente una key mapping, questa deve essere usata come chiave WEP, altrimenti viene estratto la Key ID dal relativo campo per identificare la chiave da usare. WEP usa il seme costruito per decriptare il campo dati del frame; questo produce un plaintext e un ICV. Alla fine WEP ricalcola l ICV e lo confronta con quello decriptato, se sono identici allora l algoritmo rimuove l IV e l ICV e accetta il frame come va- 47

48 lido. Se invece ci sono differenze allora WEP genera un errore di MAC management e in questo caso i pacchetti non vengono passati a livello successivo. Il procedimento appena descritto è schematizzato dalla figura che segue: Figura 20 - Scapsulamento di una MPDU Vulnerabilità dell algoritmo WEP Innanzi tutto va sottolineato, che il protocollo WEP non si è sforzato di migliorare la sicurezza rispetto alle tradizionali Ethernet, dove un client può intercettare sniffando il traffico degli altri utenti sulla rete. La condivisione a livello di rete della stessa chiave infatti può permettere a chiunque appartiene a quella rete di violare la privacy degli appartenenti alla rete, ed inoltre la perdita di una singola chiave rende vulnerabili tutti gli Host della rete. Altro problema è dato dal fatto che molte schede all accensione resettano l IV e la probabilità di intercettare sovrapposizioni di IV è tanto più alta, specialmente in alcune fasce orarie. In questo caso l IV è incrementato di uno per ogni suo utilizzo. Anche nel caso in cui la scheda selezioni un numero casuale per gli IV di ogni pacchetto, visto che l IV usa 24bit, dopo aver inviato 224 pacchetti ci sarà sicuramente il riutilizzo di alcuni valori di IV. La situazione nel caso di IV generati casualmente è anche peggiore, in quanto il numero medio di pacchetti che devono essere trasmessi prima di avere una ripetizione è solamente La sicurezza di RC4 garantisce che un attaccante in possesso solo di un IV e del corrispondente Ciphertext non sia in grado di risalire alla Chiave di Cifratura. L IV garantisce la cifratura di ogni pacchetto con una chiave intermedia diversa, e questo è uno dei punti fondamentali dell algoritmo. D altra parte, se lo stesso IV fosse usato più volte con la stessa chiave WEP, l algoritmo non sarebbe più sicuro. 48

49 IV Collision Un modo di infrangere la sicurezza del WEP senza conoscere la Shared Secret Key, consiste nel catturare passivamente una grande quantità di pacchetti, ma questa volta ponendo attenzione alla collisione degli IV. Una collisione IV avviene quando 2 o più pacchetti sono codificati con lo stesso valore dello IV, quindi la stessa chiave WEP. Quando una collisione si verifica, facendo uno XOR logico con i 2 pacchetti, possiamo eliminare la codifica: C1 C2 = (P1 K) (P2 K) = P1 P2 ove C1 e C2 sono i Ciphertext e P1, P2 i Plaintext. Il risultato è che abbiamo eliminato la Chiave di Cifratura ed ottenuto lo XOR dei Plaintext. Ora se un attaccante fosse in grado di conoscere uno dei due Plaintext, sarebbe in grado di ottenere l altro con un semplice XOR. P1 (C1 C2) = P1 ( P1 P2) = P2 Non solo, conoscendo un Plaintext ed il corrispondente Ciphertext, si può ottenere di nuovo con un XOR la Chiave di Cifratura: P1 C1 = P1 (P1 K) = K Le collisioni IV avvengono molto frequentemente, grazie a determinati fattori: Lo IV-keyspace di 24-bit non è abbastanza grande per garantire che non ci siano collisioni per un periodo di tempo molto lungo. Infatti un AP che invia pacchetti di 1500 byte a 11Mbps sicuramente consumerà il keyspace dell IV in meno di 5 ore. Molte schede Wireless (NIC) resettano gli IV a 0 ogni volta che la scheda è i- nizializzata e viene incrementato di 1 ogni per ogni pacchetto. Questo significa che ogni trasmissione inizia con un ben determinato e ripetitivo IV, dando quindi l opportunità per avere collisioni IV e garantire ad un cracker di scoprire l IV. La sicurezza WEP è basata sull'assunzione che la chiave segreta debba essere cambiata molto di frequente, cosa che in realtà non accade per la sua natura manuale dell'operazione, cioè cambiare la chiave segreta a tutti gli host che partecipano ad una determinata struttura di rete. Grazie a tutti questi fattori, abbiamo la certezza che le collisioni IVavvengono molto di frequente. Alla luce di queste vulnerabilità molti Produttori di prodotti Wireless, hanno offerto aggiornamenti per i loro prodotti, migliorando la generazione e la casualità dello IV e di conseguenza riducendo il numero di chiavi WEP identiche. WEP Key Recovery Conoscendo alcune Chiavi di Cifratura K ed i relativi IV e sfruttando una debolezza dell algoritmo RC4 scoperta da Fluhrer, Mantin e Shamir che vedremo più appro- 49

50 fonditamente fra poco, con un po di sforzo ulteriore e l utilizzo di tecniche di criptoanalisi differenziale, si può risalire alla chiave WEP e così rompere completamente la sicurezza. Purtroppo tutto questo capita in WEP. Infatti come abbiamo detto, l IV è un numero a 24 bit, e quindi permette di creare solo circa 17 milioni di chiavi intermedie. Ipotizzando di inviare pacchetti di 1500Bytes a 11Mbps, ognuno con un IV diverso, e quindi sarebbero sufficienti 5 ore per esaurire gli IV. In pratica però ci vuole molto meno, poiché ad esempio in caso di errori di trasmissione il protocollo WEP richiede la re inizializzazione degli IV. Se poi gli IV fossero dati in modo casuale, ci vorrebbe ancora meno per avere una ripetizione. Inoltre non è necessario conoscere completamente un Plaintext o fare un Known Plaintext Attack, infatti sfruttando gli header dei pacchetti, che sono spesso facilmente indovinabili, ed i pacchetti che spesso si ripetono nella rete, per esempio ARP, IP o SNAP, è possibile ottenere sufficienti informazioni per ricostruire la Chiave di Cifratura. Il tutto è così semplice, che esistono programmi come Airsnort e Wepcrack che rendono del tutto automatico l ottenimento della chiave (non più segreta a questo punto) WEP. Se la chiave WEP è di 40 bit, poche ore di ascolto su di una rete WiFi (con sufficiente traffico) permettono di ottenere la chiave stessa. Se la chiave WEP è invece di 104 bit, molte più coppie (Chiave di Cifratura, IV) e molte più ore sono necessarie per risalire alla chiave WEP. Quando un IV è stato forzato, tutti i pacchetti che in futuro verranno inviati con quell IV possono essere decifrati. Dopo aver determinato una coppia valida (IV, Keystream), si può usare l informazione per generare tutti i pacchetti che desidera e quindi interferire con la comunicazione promuovendo attacchi di tipo DoS (Denial of Service). Teoricamente, ricevente potrebbe notare che un gran numero di pacchetti improvvisamente utilizzano lo stesso IV, ma il WEP lo permette, nessun controllo interviene a seguito di questo comportamento. Infine notiamo che il CRC non serve a molto in questo caso, in quanto l attaccante può cambiare tutto il payload ed effettuare anche il corrispondente cambiamento al CRC, senza neanche dover rimuovere la cifratura. A parziale scusante dell IEEE e della WiFi Alliance, bisogna dire che se non fosse stata scoperta questa debolezza di RC4, sarebbe molto più difficile, se non quasi impossibile, fare l ultimo passo per ottenere la chiave WEP. D altronde, con una corretta gestione dell IV e delle chiavi, RC4 è ancora un protocollo sicuro. Se sin dall inizio il WEP avesse previsto la generazione frequente della chiave segreta iniziale di crittazione, questo problema non sarebbe sorto. L'attacco di Fluhrer, Mantin e Shamir Fluhrer, Mantin e Shamir hanno descritto un attacco passivo contro il cifrario RC4. Essi hanno mostrato come sia possibile ricavare l'intera chiave utilizzata per inizializzare il cifrario conoscendone soltanto una parte. Il WEP è vulnerabile a quest'attacco in quanto una porzione della chiave (il vettore di inizializzazione) è spedita in chiaro al destinatario. 50

51 In particolare questo attacco per ogni IV k sfrutta soltanto il primo byte di output del cifrario. Analizzando il codice del PRGA mostrato precedentemente si nota che il primo byte generato dipende solo da tre valori: prima della chiamata alla funzione sia i che j valgono 0, quindi dopo la prima esecuzione si avrà i = 1, j = S[1] e il valore ritornato sarà S[S[1] + S[S[1]]]. Figura 21 - Rappresentazione del vettore di stato S Inoltre è stato dimostrato da Fluhrer, Mantin e Shamir che se in fase di inizializzazione l algoritmo raggiunge uno stato in cui i è maggiore o uguale a 1, a X e a X+Y, allora con una probabilità maggiore di e nessuno di questi tre elementi prenderà parte ad ulteriori scambi. Gli autori definiscono questa situazione una resolved condition. Sebbene sembri improbabile, è abbastanza semplice procurarsi il primo byte di output del cifrario. Le reti wireless infatti utilizzano il protocollo LLC [3] (definito dallo standard IEEE 802.2) a livello Data Link, che prevede l'incapsulamento dei pacchetti IP in un ulteriore frame con un header SNAP (SubNetwork Access Protocol) che ha sempre il valore 0xAA come primo byte. Facendo quindi uno XOR tra il primo byte del crittotesto e il valore 0xAA si ottiene il primo byte di output del cifrario. Inoltre, poiché il vettore di inizializzazione è 'per packet', il cifrario verrà inizializzato ad ogni pacchetto inviato, il quale quindi conterrà sempre il primo byte generato da RC4. Nell'articolo vengono definiti deboli quegli IV che lasciano trasparire informazioni utili ad individuare parte della chiave contenuta nel primo byte di output del cifrario. Essi sono nella forma (A+3, N1, X) 2, dove A è il byte della chiave segreta che si vuole individuare, N è il modulo utilizzato dall'algoritmo (nel caso del WEP uguale a 256) e X è un valore arbitrario compreso tra 0 e 255. Sia K la chiave in cui i primi 3 byte sono formati dall IV e i restanti dalla chiave segreta. Supposto che si conoscano i primi A byte della chiave segreta (con A inizialmente uguale a 0), ovvero K[3]...K[A+2], si vuole individuare il valore K[A+3]. Vediamo come si comporta l algoritmo KSA con un IV del tipo (A+3, N1, X): alla prima iterazione del secondo ciclo vengono impostati i = 0 e j = K[0] e viene fatto lo swap dei valori in S alle posizioni i e j. Figura 22 Vettori dopo la seconda iterazione del KSA 51

52 Il primo vettore rappresenta la chiave di inizializzazione k, mentre il secondo vettore rappresenta la permutazione S dopo la seconda iterazione del ciclo for. Da questo punto in poi l algoritmo di inizializzazione proseguirà differentemente in base al particolare IV in quanto i verrà ancora incrementato di 1 e j dipenderà dal valore X: j = A S[2] + K[2] = A X Tuttavia l attaccante conosce X (perché fa parte del vettore di inizializzazione) e conosce anche i valori k[3]...k[a+2] (per l'ipotesi sopra formulata), quindi eseguendo l algoritmo ne può prevedere il comportamento fino al passo A+3. A questo punto l'attaccante conoscerà il valore ja+2 e il valore della permutazione SA+2. Se i primi due valori di S saranno diversi da A+3 e 0 (cioè se sono stati coinvolti in ulteriori swap) allora l'attaccante scarterà quel pacchetto e ne proverà un altro, altrimenti si avrà: ovvero ja+3 = ja+2 + SA+2[A + 3] + K[A + 3] K[A+3] = ja+3 ja+2 SA+2[A + 3] Poiché i e j verranno scambiati in SA+2, si avrà che SA+3[A+3] = SA+2[jA+3], ovvero ja+3 sarà la posizione in SA+2 in cui appare il valore SA+3[A+3]. Inoltre ia+3 (uguale a A+3) avrà raggiunto la resolved condition (con riferimento alla figura 1 abbiamo infatti X = 0 e X+Y = A+3) e quindi, con una probabilità p > e , SA+3[A+3] sarà proprio il primo byte di output del cifrario. Analizzando circa 60 IV questa probabilità sale già a 0.5. A questo punto si hanno tutti gli elementi per calcolare k[a+3] e iterando questo procedimento per tutti i valori di A l'attaccante è in grado di ricostruire l intera chiave segreta. L'attacco di Klein Per recuperare un'intera chiave con l'attacco precedentemente descritto occorrono da a di pacchetti, in quanto non tutti i pacchetti contengono un IV che determina una resolved condition. Un netto miglioramento si è avuto a seguito degli studi di Andreas Klein su RC4. Egli ha dimostrato l'esistenza di una forte correlazione tra i valori osservabili i e S[S[i]+S[j]] e i valori j, S[i] e S[j] relativi allo stato interno del cifrario. Per semplicità di notazione indichiamo con k il valore S[i]+S[j], cosicché l'output del cifrario sarà dato dal valore S[k], mentre con K indichiamo la chiave di inizializzazione del cifrario. Klein ha dimostrato che fissato un valore i minore di n: Per capire come sfruttare questa probabilità analizziamo i primi due passi dell algoritmo di inizializzazione di RC4. Inizialmente S[i] = i per ogni valore di i; al primo passo dell algoritmo si ha i = 0 e j = K[0], e lo scambio di S[i] con S[j]. 52

53 Figura 23 - Stato dell'array S dopo il primo ciclo di inizializzazione Al secondo passo j viene incrementato della quantità S[1] + K[1], e viene fatto lo scambio tra [1] e S[j]. Poiché inizialmente S[i] = i, possiamo affermare che con il secondo scambio (dato che fino a quel momento sono stati cambiati solo due valori in S0) otteniamo S[1] = S[j] = j = K[0] K[1], tranne nei seguenti casi: a) K[0] = 1 e K[1] = 0 In questo caso al primo passo j = 1, quindi viene fatto lo scambio tra S[0] e S[1], ovvero si avrà S[0] = 1 e S[1] = 0. Al secondo passo j = K[0] + S[1] + K[1] = = 1, quindi dopo lo scambio si avrà S[1] = S[j] = S[1] = 0. b) K[0] = 1 e K[1]!= 0, n-1 Dopo il primo passo ci troviamo nello stesso stato del caso precedente. Al secondo passo però j = K[0] + S[1] + K[1] = K[0] + K[1], e poiché questa quantità è diversa da 0 e da 1 avremo S[1] = S[j] = K[0] + K[1] (perché tutti per tutti i valori di j > 1 S[j] = j). c) K[0]!= 1 e K[1] = n-1 In questo caso dopo il primo passo avremo S[0] = K[0], S[K[0]] = 0 e S[1] = 1. Al secondo passo j = K[0] + S[1] + K[1] = K[0] n1 = K[0] (perché operiamo in modulo n), e quindi S[1] = S[j] = S[K[0]] = 0. d) K[0]!= 1 e K[0] + K[1] = n-1 Dopo il primo passo siamo nella stessa configurazione del caso precedente. Al secondo passo j = K[0] + S[1] + K[1] = K[0] K[1] = n-1+1 = 0, e quindi S[1] = S[j] = S[0] = K[0]. In ogni caso il valore di S[1] dopo il secondo passaggio è una funzione di K[0] e K[1]. Inoltre Klein ha dimostrato che S[1] non verrà modificato nei passi successivi dell'inizializzazione (ovvero che j non raggiungerà mai più il valore 1) con probabilità 1/e. Quando viene generato il primo byte dal cifrario abbiamo i = 1, j = S[1] e lo scambio tra S[1] e S[j]. Visto che noi siamo interessati a S[1] (per trovare K[1]) dobbiamo recuperare il valore di S[j]. Allo scopo ci viene in aiuto la formula precedente la quale afferma che con probabilità pari a 2/n, S[j] = 1 S[k], dove S[k] è il primo byte di output di RC4. Mettendo assieme le due probabilità otteniamo: La probabilità che S[1] sia un altro valore è minore di 1/n (per ogni valore degli altri n-1). L'attacco quindi avviene nel seguente modo: per un certo numero di pacchetti con IV distinti viene catturato il primo byte di output del cifrario S[k] e viene calcolato S[1] = 1 S[k]. Di tutti i possibili n valori che otteniamo, quello che si ripeterà con più frequenza sarà il valore corretto. La complessità di questa procedura è stata 53

54 calcolata da Klein ed è 17nln(n) che (per n = 256) equivale a circa pacchetti (di gran lunga inferiore alla complessità dell'attacco di FMS). Si noti che in questo attacco è previsto che l'attaccante indovini K[0] affinché possa recuperare K[1] (infatti S[1] è funzione di entrambi). Nel caso del WEP però questa condizione è facilmente raggiungibile in quanto i primi 3 byte della chiave vengono sempre mandati in chiaro. Estendiamo adesso l'attacco a tutti i byte della chiave: dopo aver ottenuto K[0] e K[1] supponiamo di voler recuperare K[2]. Analogamente a prima abbiamo che nella fase di inizializzazione del cifrario S[2] = f(k[0], K[1], K[2]) e che con probabilità 1/e non verrà più modificato negli n 3 passi successivi. Osservando il secondo byte di output del generatore possiamoprocurarci S[j], che al secondo passo sarà uguale a S[2] e quindi, grazie a f (poiché abbiamo già i primi due byte della chiave) possiamo calcolare K[2]. Iterando questo procedimento possiamo recuperare l intera chiave K con una complessità totale pari a O((k-1)nln(n)). L attacco di Tews, Weinmann e Pyshkin Con l attacco di Klein abbiamo visto come sia possibile ricavare in maniera iterativa l'intera chiave segreta. Lo svantaggio di questo approccio però è che se il byte K[i] che abbiamo recuperato è sbagliato, tutti gli gli altri K[j] (j > i) saranno errati e devono quindi essere ricalcolati. Tews, Weinmann e Pyshkin hanno presentato un attacco che permette di ricavare ogni byte della chiave indipendentemente dagli altri. Con Sk viene indicato lo stato dell'array S dopo k iterazioni dell'algoritmo RC4. Analogamente jk è il valore della variabile j dopo k iterazioni. Con S -1 [j] si indica la posizione in S in cui si trova il valore j, ovvero se S[i] = j allora S1[j] = i. Infine con X indichiamo l'output del generatore. Facendo delle sostituzioni e sviluppando la formula ottenuta da Klein, gli autori di questo attacco hanno determinato la seguente formula: La probabilità che questo valore trovato sia quello corretto (come dimostrato da Klein) abbiamo visto essere 1.36/n. Come si può notare però σi dipende dai valori S3,..., Si+3. Tews, Weinmann e Pyshkin hanno dimostrato che sostituendo ogni occorrenza di S con S3 la probabilità di prendere il valore corretto diminuisce meno dello 0.2% rispetto a quella originale. Questa approssimazione ha però il vantaggio di portare alla seguente: 54

55 Come si può notare adesso σi dipende solamente da S3, il quale a sua volta dipende solamente da K[0], K[1] e K[2] che nel caso del WEP sono valori spediti in chiaro e quindi a disposizione dell'attaccante senza alcuno sforzo. L attacco avviene nel seguente modo: per ogni σi viene calcolato Ai con la formula appena descritta. Ogni volta che troviamo il valore Ai diremo che esso ha ricevuto un voto. In tabelle separate (una per ogni σi ) vengono conservati tutti i valori calcolati, e alla fine del processo come valore corretto di σi verrà preso quello che ha ottenuto il maggior numero di voti. Infine verrà calcolato K[3] = σ0 e K[i+3] = σi σi-1 (i > 3). È necessario fare un osservazione: la formula appena descritta presuppone la conoscenza dei primi 16 byte (per tutti i 128 bit della chiave) di output del cifrario (il vettore X), il che equivale a conoscere i primi 18 byte del plaintext del pacchetto per poter fare lo XOR con il crittotesto. Questo attacco non è quindi applicabile a tutti i pacchetti, ma solo a quelli con un determinato header noto, come ad esempio i pacchetti del protocollo ARP (come spiegato nella sezione successiva). I risultati sperimentali forniti dagli autori di quest attacco mostrano come con soli pacchetti sia possibile raggiungere un tasso di successo nel ritrovamento della chiave del 50%. Incrementare il traffico dei pacchetti utilizzabili Per incrementare il traffico dei pacchetti da sfruttare nell attacco, Tews, Weinmann e Pyshkin hanno proposto la tecnica dell'arp re-injection. Quando un host A vuole mandare un messaggio a B specifica nel pacchetto in uscita l'indirizzo IP di quest'ultimo. Tuttavia gli indirizzi IP hanno senso soltanto a livello rete, quindi affinché il frame Ethernet possa raggiungere lo strato Data Link del destinatario è necessario conoscere il suo indirizzo fisico (MAC Address). A tale scopo è stato ideato il protocollo ARP (Address Resolution Protocol): quando un host vuole conoscere l indirizzo fisico di un altro host manda in broadcast a tutta la sottorete una ARP request specificando l indirizzo IP del destinatario e il proprio indirizzo fisico. Tutti gli host a- scolteranno questa richiesta ma soltanto l host con l'indirizzo IP specificato invierà una ARP response con il proprio indirizzo fisico. Poiché nella request è già incluso l'indirizzo fisico del mittente, il destinatario della richiesta avrà tutte le informazioni necessarie per inviare la propria risposta. Sia le request che le response ARP sono dei pacchetti di dimensione fissa, e quindi sono facilmente riconoscibili nel traffico in quanto il WEP non nasconde le dimensioni originali dei pacchetti. I pacchetti ARP hanno un header LLC (Logical Link Control) fisso di 8 byte uguale a 'AA AA ' e i primi 8 byte del payload sono uguali a ' ' per le richieste e ' ' per le risposte (cambia solo l ultimo byte). Inoltre poiché WEP non nasconde l'indirizzo fisico del destinatario e facile distinguere le richieste (mandate in broadcast) dalle risposte (mandate in unicast), quindi è possibile riconoscere tutti i pacchetti ARP in transito nella sottorete e di questi se ne conoscono i primi 16 byte del plaintext. 55

56 In definitiva catturando ogni pacchetto ARP e facendo lo XOR tra i primi 16 byte del pacchetto e questi valori noti si hanno a disposizione i primi 16 byte generati dal cifrario. In più è disponibile il vettore di inizializzazione perché è mandato in chiaro. L'ARP reinjection consiste nel rispedire tutte le richieste ARP così come sono state intercettate. Ogni reinjection generalmente produce 3 nuovi pacchetti a causa dei relay effettuati dall Access Point, e poiché ognuno di essi ha un vettore di inizializzazione diverso il numero di pacchetti utilizzabili ai fini dell'attacco aumenta considerevolmente. Tuttavia questa tecnica trasforma l attacco da passivo ad attivo rendendo possibile l utilizzo di sistemi anti intrusione. Conclusione dell analisi WEP Abbiamo dimostrato come il protocollo WEP allo stato attuale sia totalmente insicuro e inaffidabile, non ponendo nessun tipo di garanzia sulla sicurezza dei dati e dell'autenticazione degli utenti che fanno parte della WLAN, quindi mettendo a rischio tutta la struttura di rete in cui sia presente e attivo un punto di accesso Wireless. Ed è per questo che molte aziende e professionisti si sono mossi per creare velocemente un sostituto del WEP, tentando prima di tutto di garantire piena compatibilità con tutti gli apparati Wireless esistenti e principalmente di garantire Sicurezza e affidabilità e la soluzione alle vulnerabilità con il protocollo WEP. Questo nuovo protocollo è conosciuto come WPA. 56

57 Capitolo 5 WPA (Wi-Fi Protected Access) La recente espansione e relativa esigenza di rendere sicuro il wireless ha spinto IEEE a rilasciare un altro standard per la sicurezza, il protocollo WPA (Wi-Fi Protected Access). Il WPA implementa parte del protocollo IEEE i e rappresenta un passaggio intermedio per il raggiungimento della piena sicurezza. Questa verrà raggiunta quando i dispositivi implementeranno in toto lo standard IEEE i (teoricamente). Le certificazioni per il WPA sono iniziate nell'aprile del 2003 mentre per l IEEE i si è dovuto attendere il giugno del WPA è progettato per gestire l'autenticazione dei server e la distribuzione di differenti chiavi per ogni utente, sebbene per questioni di compatibilità supporta la precedente gestione a chiave condivisa (PSK Private Shared Key). I dati sono cifrati col l'algoritmo di cifratura a blocchi RC4 con chiave a 128 bit e vettore di inizializzazione a 48 bit. Una delle modifiche che introducono maggiore robustezza all'algoritmo è la definizione del TKIP (Temporal Key Integrity Protocol). Questo protocollo dinamicamente cambia la chiave in uso e questo combinato con il vettore di inizializzazione di dimensione doppia rispetto al WEP rende inefficaci i metodi di attacco utilizzati contro il WEP. In aggiunta all autenticazione e alla cifratura il WPA introduce notevoli miglioramenti nella gestione dell'integrità. Il CRC utilizzato dal WEP come detto precedentemente non era sicuro, per evitarlo il WPA utilizza un nuovo metodo per verificare l'integrità dei messaggi chiamato "Michael". Questo include un contatore associato al messaggio per impedire all'attaccante di ritrasmettere un messaggio che è già stato trasmesso nella rete. In sostanza il WPA aumenta la dimensione della chiave, il numero delle chiavi in uso, include un sistema per verificare l autenticità dei messaggi migliore e quindi incrementa la sicurezza della WLAN rendendola effettivamente analoga a quella di una rete su cavo. TKIP Come già detto prima Temporal Key Integrity Protocol (TKIP) è un protocollo di sicurezza usato nello standard IEEE i, creato da IEEE e Wi-Fi Alliance per risolvere i problemi introdotti dal WEP. 57

58 TKIP è un wrapper che si basa sul già esistente cifrature WEP. comprende quindi lo stesso motore di cifrature e lo stesso algoritmo RC4 definito per WEP. Una differenza sta nella lunghezza della chiave (128 bit contro i 104 della chiave WEP); questo risolve il primo problema di WEP: una chiave troppo corta. Una parte importante di TKIP è che cambia la chiave usata per ogni pacchetto, quest ultima viene creata miscelando assieme una combinazione di cose, inclusa una chiave base(pairwise Transient Key), l indirizzo MAC della stazione trasmittente e il numero seriale del pacchetto. Ogni pacchetto trasmesso utilizzando TKIP ha un unico numero seriale di 48 bit che viene incrementato ogni volta che un nuovo pacchetto è trasmesso e utilizzato sia come IV e come parte della chiave. Mettere un numero di sequenza nella chiave assicura che la chiave è diversa per ogni pacchetto. Questo risolve un altro problema del WEP, chiamato "collision attacks" che può verificarsi quando la stessa chiave è usata per due pacchetti diversi, mentre con chiavi diverse non avvengono collisioni. Formato MPDU TKIP riusa il formato WEP MPDU, estende MPDU di 4 byte per permettere l estensione al WEP IV, denotata dal campo Extended IV, e estende il formato dell MSDU con 8 byte per poter inserire il nuovo campo MIC. Il campo Extended IV viene inserito subito dopo il campo WEP IV e prima del campo Encrypted Data. TKIP aggiunge MIC al campo MSDU Data cosicché MIC diventa parte dell Encrypted Data. Una volta che MIC è posto nell MSDU data, i byte del MIC aggiunti sono considerati parte dell MSDU per la successiva frammentazione. La figura seguente descrive lo schema della crittazione dell MPDU usando il TKIP; è il caso in cui una singola MSDU è incapsulata in una singola MPDU. Figura 24 - Formato di una MPDU TKIP Il bit ExtIV nel campo Key ID indica la presenza o l assenza dell Extended IV. Se il bit ExtIV è posto a 0, viene trasferito solo l IV non esteso. Se invece il bit ExtIV è posto a 1, l Extended IV di 4 byte segue il IV. Per il TKIP il bit ExtIV può essere 58

59 settato, e di conseguenza il campo Extended IV può essere occupato. Il bit ExtIV può essere settato a 0 per i frame WEP. Il campo KeyID può essere settato dall indice della chiave occupato dalla primitiva MLME-SETKEYS.request per la chiave usata per crittografare il frame. TCS5 è il primo byte più significativo di TSC, mentre TSC0 è il meno significativo. I byte TSC0 e TSC1 formano il numero di sequenza IV e sono utilizzati dal TKIP Phase 2 key mixing. I byte TSC sono utilizzati nel TKIP Phase 1 key hashing e fanno parte del campo Extended IV (vedremo queste due funzioni fra poco). Quando i 16 bit meno significativi del numero di sequenza vengono negati (0xFFFF 0x0000) il valore dell Extended IV è incrementato di 1. Incapsulamento Crittografico di una MPDU Come abbiamo detto in precedenza, questo protocollo genera una chiave diversa per ogni pacchetto che viene creata utilizzando una funziona di hash sull indirizzo MAC del client, lo IV e la Session Key. Per diminuire la potenza di calcolo necessaria per generare una chiave per ogni pacchetto, la funzione di key mixing è divisa in 2 fasi: Fase 1. In quesa fase, l'indirizzo MAC del client, la chiave di sessione temporanea e i 32-Bit più significativi dello IV vengono passati alla funzione di Hash. Il risultato di questa fase fino a quando la chiave di sessione viene cambiata oppure ogni volta che cambiano i 32Bit più significativi dello IV. Fase 2. Questa fase è molto simile al processo di codifica del protocollo WEP, le differenze sono che il campo di 24-Bit della chiave WEP viene sostituito con i 16-Bit meno significativi dello IV del WPA con un dummy byte inserito nel mezzo, la chiave WEP invece viene sostituita con la chiave per pacchetto generata dall'algoritmo di mixing. Figura 25 - Incapsulamento di una MPDU 59

60 Il calcolo di TKIP MIC protegge il campo MSDU Data e i corrispondenti campi SA, DA, e Priority. Il calcolo del MIC è eseguito in ordine, rispettivamente SA, DA, Priority e MSDU Data. The MIC è aggiunta al campo Data. TKIP elimina ogni intestazione prima di incapsulare il MIC. Se necessario, frammenta l MSDU col MIC in una o più MPDU. TKIP incrementa di uno il valore TSC di ogni MPDU, controllando che ogni MPDU generata dalla stessa MSDU abbia lo stesso valore dell EXT IV. Per ogni MPDU, TKIP utilizza la key mixing per calcolare il seme WEP. TKIP rappresenta il seme del WEP e passa questi con ogni MPDU per generare l ICV. e per criptare il plaintext MPDU, includendo ogni parte del MIC, se presente. WEP utilizza i semi WEP come chiave WEP di default, identificata da una chiave di identificazione associata alla chiave temporale. Scapsulamento di una MPDU Prima che WEP scapsuli una MPDU ricevuta, TKIP estrae il numero di sequenza TSC e la chiave di identificazione dal WEP IV e dall EXT IV. Successivamente scarta le MPDU che violano il numero di sequenza e usa la mixing function per costruire il seme WEP. TKIP rappresenta il seme del WEP come il WEP più la chiave l ARC4 e passa questi con ogni MPDU al WEP per la decapsulazione. Se WEP indica che il controllo ICV ha avuto successo, l implementazione riassembla l MPDU in una MSDU. Se la deframmentazione dell MSDU ha successo, il ricevitore verifica il TKIP MIC. Se la deframmentazione MSDU fallisce, l MSDU viene scartata. Lo step di verifica del MIC ricalcola il MIC sui campi SA, DA, Priority e MSDU Data della MSDU (ma non il campo TKIP MIC). Il risultato TKIP MIC calcolato viene allora confrontato bit a bit con il MIC ricevuto. Se i valori del MIC ricevuto e quello calcolato localmente sono identici, allora la verifica ha successo, e TKIP può consegnare l MSDU allo strato superiore. Se invece i due valori sono differenti la verifica fallisce e il ricevente può scartare l MSDU e può prendere le relative contromisure. 60

61 Figura 26 - Scapsulamento di una MPDU Message Integrity Check (MIC) Il difetto nella progettazione del WEP riguarda la mancanza di protezione nel traffico di dati tra due capi di comunicazione da un non autorizzato terzo ascoltatore. Tra i tanti difetti di WEP, il più evidente è la mancanza di un meccanismo di annullamento dei messaggi falsificati o altri attacchi attivi. Per difendersi da attacchi attivi, TKIP include MIC, che offre solo una debole difesa contro i messaggi falsificati, ma costituisce il meglio di cui si possa disporre con la maggioranza dei dispositivi HW. TKIP utilizza differenti chiavi MIC che dipendono dalla direzione del trasferimento. Questo protocollo è una funzione di Key-Hashing specificatamente studiata per le apparecchiature a bassa potenza, che viene calcolata sui dati dei pacchetti da inviare prima che venga codificato, ed ha un valore di 8-Byte. Il risultato dell operazione di Hashing è equivalente ad una chiave a 20-Bit, che è considerata universalmente nel mondo della sicurezza, come una chiave a bassa protezione. Grazie a questo protocollo MIC, quando all'interno della rete WLAN viene individuato qualche pacchetto corrotto, vengono attivate immediatamente delle contromisure, prima di tutto viene disabilito per 60 secondi il link dove si è individuato il dato corrotto e ogni periferica coinvolta è forzata a richiedere una chiave di sessione (Session Key). 61

62 MIC nel dettaglio Prima di definire i dettagli del MIC, è meglio esaminare il contesto nel quale opera questo meccanismo. Gli attacchi attivi presenti col WEP originale includevano: Attacchi bit flipping; Troncamento, concatenazione e intreccio del payload; Attacchi di frammentazione; Attacchi iterativi alla chiave; Redirezione tramite la modifica dei campi MPDU DA e RA Attacchi ad impersonificazione tramite la modifica dei campi MPDU SA e TA; Il meccanismo MIC rende molto più difficoltosa la riuscita di questi attacchi, che sono tutti al livello di MPDU con TKIP MIC. MIC, tuttavia, utilizza l MSDU, così da bloccare con successo gli attacchi al livello delle MPDU. TKIP applica il MIC alle MSDU al trasmettitore e lo verifica al ricevitore. Se la verifica al livello di MSDU fallisce, l MSDU relativa viene scartata e vengono attivate le contromisure. La figura mostra un architettura dove il MIC è logicamente appeso al raw MSDU come risposta alla primitiva MA-UNITDATA.request. Il TKIP MIC è calcolato in base a: MSDU DA; MSDU SA; MSDU Priority; L intera e decriptata MSDU Data (payload); Per calcolare il MIC vengono utilizzati esclusivamente il campo DA, il campo SA, tre byte riservati e il campo Priority da un byte. Il campo Priority riguarda il parametro di priorità della primitiva MA-UNITDATA.request. TKIP aggiunge il MIC di 8 byte alla fine del payload della MSDU. L MSDU col MIC possono essere divisi in una o più MPDU, il WEP ICV è calcolato su ogni MPDU, e il MIC può essere sempre diviso in due MPDU dopo la frammentazione. In questo modo il TKIP MIC aumenta, ma non sostituisce il WEP ICV. Poiché TKIP MIC è un implementazione poco resistente, TKIP protegge il MIC con una crittazione, che rende più difficile la contraffazione del TKIP MIC. Il WEP ICV aiuta a prevenire le falsificazioni al MIC, che possono essere causa dell invocazione di contromisure. Il ricevitore esegue l operazione inversa per riassemblare l MSDU. Fatto ciò l IEEE MAC verifica il MIC precedente per una corretta consegna agli strati superiori. Se la verifica al MIC ha successo, lo strato MAC consegna l MSDU allo strato superiore, mentre se la verifica fallisce, lo strato MAC può decidere di scartare l MSDU. 62

63 Si può notare come il solo MIC non può fornire una completa protezione alle falsificazioni, e non si può difendere da attacchi ripetuti. Perciò, TKIP provvede a ripetere i controlli tramite la sequenza TCS e la validazione del ICV. Inoltre, se TKIP è utilizzato con GTK, un membro SA può mascherare qualsiasi altro STA appartenente al gruppo. Vulnerabilità del WPA Il fatto di essere stimato un ottimo standard e di aver ricucito tutti i buchi del vecchio WEP, non fanno comunque di WPA il modello universale di invulnerabilità. La storia ci insegna che ognuno e ogni cosa ha il proprio 'tallone d Achille', e che persino le previsioni e le stime più ottimistiche di oggi possono essere radicalmente smentite domani; è stato così per i più grandi storici sistemi crittografici, lo è stato per il WEP, lo sarà anche per il WPA. Non è questione di essere tragicamente fatalisti o apocalittici, ma è una constatazione non ancora contraddetta e che può filosoficamente essere ricondotta all imperfezione umana. Innanzitutto c è da dire che WPA, quando opera in modalità 'Pre-Shared Key', presenta gli stessi problemi di condivisione della chiave riscontrati in WEP. Infatti tralasciando i problemi relativi alla segretezza della chiave, diventa necessario preconfigurare manualmente la PSK sull AP e su ogni stazione mobile che con esso deve comunicare. Inoltre, poiché la PSK non sarebbe altro che la PMK con la quale inizia il 4-way handshake, si capisce bene che tutta la fase di autenticazione precedente viene completamente saltata e che quindi, per autenticarsi reciprocamente, client e AP si affidano solamente all ausiliario meccanismo autentificativo del 4- way handshake. Per tali ragioni la maggior parte delle case produttrici e la stessa Wi-Fi Alliance sconsigliano fortemente l utilizzo di WPA in modalità PSK, a meno che non si abbia a che fare con ambienti domestici o semi-domestici (SOHO) in cui, consapevolmente del pericolo a cui si è esposti, è giustificato optare per la soluzione 'light' del protocollo. Quando WPA era ancora agli esordi, comparvero un paio di pubblicazioni che denunciavano alcune falle nella sicurezza di WPA e, questa volta, persino utilizzato in modalità standard, cioè con supporto di autenticazione 802.1x/EAP. Tali denunce destarono non poco scompiglio negli ambienti della Wi-Fi Alliance, dove si provvide subito a rimediare. Si trattava di bugs che lasciavano indifeso WPA da alcuni attacchi di tipo 'Man-in-the-middle', 'Session hijack' e 'Denial-of-Service'. I primi due tipi colpivano solo i client che implementavano meccanismi di autenticazione ad un senso (es. EAP-TTLS e PEAP), mentre risultavano innocui se si utilizzava la mutua autenticazione (es. EAP-TLS). Il terzo tipo di attacco consisteva nello 'spoofing' di 4 tipi di messaggi del protocollo EAP: inondare l AP di Associate-Request o di pacchetti EAPOL-Start; 63

64 falsificare i messaggi EAP-failure; falsificare i messaggi EAP-logoff o di Dissassociate-Request; falsificare i messaggi di Deauthentication. Tutte le possibilità di attacco messe in luce con le pubblicazioni sono state prontamente evitate (o almeno fortemente limitate) nelle implementazioni successive di WPA e, a maggior ragione, di WPA2. Un altra attenta analisi ad opera di R. Moskowitz del 2003 ha tentato di dimostrare la vulnerabilità di WPA ad attacchi prettamente crittografici; tuttavia sembra che si trattasse di congetture puramente teoriche, con poca attuabilità dal punto di vista pratico e comunque risolte da WPA2 con la sostituzione di RC4-TKIP con AES- CCMP. Anche se WPA non è completamente invulnerabile, esso rappresenta la volontà dei produttori a risolvere i problemi delle tecnologie del Wireless. WPA con le opportune regole di base è un netto miglioramento della sicurezza rispetto al predecessore WEP. 64

65 Capitolo 6 WPA2 Dopo aver immesso sul mercato le specifiche del protocollo WPA, un sottoinsieme delle specifiche i, il 24 Giugno 2004 è stato finalmente ratificato questo standard. A differenza del WPA, per la cifratura dei dati è definito un nuovo protocollo, CCMP (Counter Mode with CBC-MAC Protocol), che utilizza l algoritmo crittografico AES al posto dell RC4. La maggiore robustezza di AES (e di CCMP) si paga con una maggior potenza di calcolo richiesta agli apparati rispetto a WEP e TKIP, e richiede quindi una modifica dell hardware. Ancora oggi questo standard non è molto diffuso in ambito piccole/media imprese o in ambito privato, dato che passare a questo protocollo significa sostituire completamente le attuali interfacce di Rete, cosa che non è fattibile dove sono stati fatti grandi investimenti, ed è per questo che ancora oggi si preferisce mettere in sicurezza i vecchi apparati WEP/WPA. Wi-Fi Alliance ha introdotto i termini WPA2-Personal e WPA2-Enterprise per differenziare le due classi di sicurezza fornite dai prodotti. i WPA2-Personal utilizzeranno il metodo PSK a chiave condivisa mentre i WPA2-Enterprise utilizzeranno un server di autenticazione. Con i protocolli di protezione WPA2-Enterprise, la rete funziona in modalità di autenticazione in IEEE 802.1X. Questa modalità è ideale per ambienti con infrastruttura RADIUS (Remote Access Dial-In User Service). Tale ambiente richiede un supporto tecnico specializzato per la configurazione e la manutenzione ed è studiato per l'uso di grandi imprese. Il protocollo di protezione WPA-Enterprise utilizza il protocollo WPA in base al tipo di protezione WPA selezionato e il protocollo di protezione WPA2-Enterprise utilizza la protezione WPA2 in base al tipo di protezione WPA2 selezionato. Con i protocolli di protezione WPA-Enterprise e WPA2-Enterprise è possibile utilizzare la crittografia dati TKIP o AES. 65

66 CCMP - Counter Mode with CBC-MAC Protocol CCMP è basato sul CCM dell algoritmo di cifratura AES. CCM combina CTR per la riservatezza dei dati e CBC-MAC per l autenticazione e l integrità. CCM protegge l integrità sia dei campi Data e sia di porzioni selezionate dell intestazione di un MPDU IEEE AES è definito nel FIPS PUB Tutti gli AES processati attraverso il CCMP usano AES con una chiave a 128 bit e un blocco di 128 bit. CCM è definito nel RFC 3610 ed è una modalità generica che può essere utilizzata con qualsiasi algoritmo orientato ai blocchi. Ha due parametri (M e L) e CCMP usa i seguenti valori per i parametri del CCM: M = 8: indica che il MIC è di 8 bytes; L = 2: indica che il campo lunghezza è di 2 bytes, che è sufficiente per mantenere la lunghezza dei pacchetti IEEE più grandi possibili. CCM richiede una nuova chiave temporanea per ogni sessione e un unico valore per ogni frame protetto da una chiave temporale data. CCMP usa un numero di pacchetto (PN) a 48 bit per questo scopo. Il riuso di un PN con la stessa chiave temporanea annulla tutte le garanzie di sicurezza. Formato MPDU La figura descrive una MPDU quando viene si sta usando il protocollo CCMP. Figura 27 - Formato di una MPDU CCMP CCMP espande la grandezza originale della MPDU di 16 bytes, 8 byte per il campo d intestazione (CCMP Header) e altri 8 byte per il campo MIC. L intestazione CCMP è costruita dai sottocampi PN, ExtIV, e Key ID. Il sottocampo PN è un PN a 48 bit rappresentato come un array di 6 bytes. PN5 è il byte più significativo del PN, e PN0 il meno significativo. CCMP non usa WEP ICV. Il sottocampo ExtIV del byte Key ID segnala che l header CCMP estende l intestazione MPDU di 8 bytes, rispetto ai 4 bytes aggiunti nell intestazione quando viene usato il WEP. Il bit ExtIV è sempre settato a 1 per CCMP. I bit 6-7 del KeyID 66

67 sono per il sottocampo Key ID mentre i bit riservati devono essere settati a 0 e ignorati durante la ricezione. Incapsulamento Crittografico di una MPDU La figura seguente descrive il processo di incapsulamento della MPDU attraverso il protocollo CCMP. Figura 28 - Incapsulamento di una MPDU CCMP cripta il payload di un plaintext MPDU e incapsula il chiper text risultante attraverso i seguenti passi: Incrementa PN, al fine di ottenere un nuovo PN per ogni MPDU, in questo modo il PN non viene ripetuto per la stessa temporal key. Il MPDU ritrasmesso non viene modificato durante la ritrasmissione; Usa i campi nell intestazione MPDU per costruire l Additional Autentication Data (AAD) per CCM. L algoritmo CCM fornisce integrità e protezione per i campi inclusi nel AAD. I campi dell intestazione del MPDU che possono cambiare quando vengono ritrasmessi sono mascherati a 0 durante il calcolo del AAD; Costruisce il blocco CCM utilizzando PN, il campo di indirizzo A2, e il campo Priority del MPDU; Piazza il nuovo PN e l identificatore della chiave nell intestazione CCMP da 8 bytes. Usa la chiave temporanea, l AAD e i dati dell MPDU per formare il chiper text e il MIC. Questo passo è noto come "CCM Originator Processing"; Forma il MPDU criptato combinando l intestazione originale MPDU, l intestazione CCMP, i dati criptati e il MIC. Scapsulamento di una MPDU La figura seguente descrive il processo di scapsulamento della MPDU: 67

68 Figura 29 - Scapsulamento di una MPDU CCMP decripta il payload del chiper text MPDU e scapsula un plaintext attraverso i seguenti passi: la MPDU criptata è tradotta per costruire il valori di AAD e Nonce; L AAD è formato dall intestazione MPDU del MPDU criptato; Il valore del Nonce è costruito dai campi A2, PN e Priority della MPDU; Il MIC è estratto per essere usato nel controllo integrità del CCM; Il CCM usa la chiave temporale, AAD, Nonce, MIC, e i dati MPDU chiper text per recuperare il MPDU plaintext e per controllare l integrità del AAD e dei dati del plaintext; L intestazione MPDU e il plaintext ricevuti dal CCM possono essere concatenate per formare il plaintext MPDU; Il processo di decifrazione previene duplicazioni di più MPDU sapendo che il PN nel MPDU è più grande del replay counter mantenuto durante la sessione. Vulnerabilità del WPA2 Anche se sono state scoperte un numero di limiti minori in WPA/WPA2, nessuna di queste debolezze è considerato troppo pericolo a condizione che si rispettano le raccomandazioni di sicurezza. La vulnerabilità più pratica è l'attacco contro la chiave PSK di WPA/WPA2. Come abbiamo già detto, la PSK fornisce un alternativa alla generazione PMK di 802.1x attraverso un server di autenticazione. Si tratta di una stringa di 256 bit o passphrase di 8 a 63 caratteri usati per generare tale stringa con un algoritmo noto: PSK = PMK = PBKDF2 (password, SSID, lunghezza SSID, 4096, 256), dove PBKDF2 è un metodo usato in PKCS#5, 4096 è il numero delle hash e 256 è la lunghezza dell'output. Il PTK è derivato dalla PMK usando la Handshake a 4 vie e tutte le informazioni usate per calcolare il suo valore è trasmesso in testo semplice. 68

69 La forza di PTK quindi risiede solo nel valore PMK che per la PSK significa la passphrase. Come indicato da Robert Moskowitz, il secondo messaggio della Handshake a 4 vie potrebbe essere soggetto sia al dictionary attack sia alla brute force offline. Cowpatty fu creata per sfruttare questo difetto, e il suo codice sorgente era stato u- sato e migliorato da Christophe Devine in Aircrack per consentire il gli attacchi di tipo dictionary su PSK e di brute force su WPA. La struttura del protocollo (4096 hash per ogni tentativo di password) significa che un attacco brute force è molto lento (solo alcune centinaia di password per secondo con i più recenti processori singoli). Il PMK non può essere pre-calcolato dal momento che la passphrase viene mischiato ulteriormente in base alla ESSID. Per proteggersi efficacemente da questo difetto è bene scegliere una buona passphrase con parole inesistenti (almeno 20 caratteri). Per eseguire questo attacco, l aggressore dove catturare i messaggi della Handshake a 4 vie monitorano passivamente la rete wireless o usando un attacco di deautenticazione per velocizzare il processo. Infatti, i primi due messaggi sono necessari per iniziare la previsione dei valori PSK. Ricordiamo che PTK = PRF-X (PMK, Pairwise key expansion, Min(AP_Mac, STA_Mac) Max(AP_Mac, STA_Mac) Min(ANonce, SNonce) Max(ANonce, SNonce)), dove PMK è uguale a PSK nel nostro caso. Dopo il secondo messaggio, l aggressore conosce ANonce (dal primo messaggio) e SNonce (dal secondo messaggio) e può iniziare a indovinare il valore PSK per calcolare il PSK e le chiavi temporanee derivate. Se il PSK è indovinato giustamente, il MIC del secondo messaggio potrebbe essere ottenuto con la KCK corrispondente, altrimenti una nuova previsione deve essere fatta. 69

70 Capitolo 7 MAC Filtering L indirizzo MAC (Medium Access Control) spesso viene detto anche indirizzo fisico o indirizzo ethernet o indirizzo LAN, ed è un codice composto da 6 byte che identifica univocamente una scheda di rete. Ogni scheda di rete ha un indirizzo unico al mondo (es FC-A0-67-2C) in quanto i primi 24 bit sono identificativi della casa produttrice, ogni casa produttrice ha a disposizione 224 indirizzi, quindi più di 16 milioni di schede. L indirizzo MAC opera al livello di rete data link (livello di collegamento). Funzionamento Sebbene il controllo degli accessi a livello MAC non sia stato previsto nella specifica dell , la maggior parte dei fornitori ha implementato questa funzionalità per contribuire a rafforzare le difese dell , intrinsecamente vulnerabile. Quando si utilizza il controllo degli accessi a livello MAC, l amministratore definisce una lista di indirizzi MAC di clienti "approvati", cui è consentito connettersi al punto di accesso. Figura 30 - Interfaccia di controllo del MAC Filtering 70

71 Anche se questa procedura è probabilmente realizzabile su reti di piccole dimensioni, essa può risultare particolarmente onerosa nella reti più grandi, poiché presuppone che l amministratore abbia a disposizione gli indirizzi MAC di tutti i clienti wireless. Vulnerabilità del MAC Filtering A parte il carico di lavoro per l amministratore, l indirizzo MAC non costituisce un valido meccanismo di sicurezza, poiché è facilmente osservabile e riproducibile. Uno sniffer wireless consente di osservare qualsiasi MAC della stazione e in genere l aggressore può modificare agevolmente l indirizzo MAC. È infatti sufficiente che l aggressore effettui il monitoraggio della rete, prenda nota dei client che riescono a collegarsi al punto di accesso e infine modifichi il proprio indirizzo MAC affinché corrisponda a quello di uno dei client attivi. Questo procedimento è detto 'MAC Address Spoofing', attraverso il quale si prendono le sembianze di una macchina autorizzata all accesso della rete. Poiché, come si è detto, l utilizzo del controllo degli accessi a livello MAC non è stato definito nella specifica dell , non c è un flag di pacchetto che lo indichi, ma generalmente si può dedurre. Se si hanno un SSID e una chiave WEP corrette ma essi non consentono ancora di associarsi all Access Point è possibile che venga utilizzata una filtrazione MAC. La maggior parte (Wi-Fi) punti di accesso consentono l'amministratore di rete per accedere a una lista di MAC (Media Access Control) indirizzi che sono autorizzati a comunicare sulla rete. D altro canto, la maggior parte (Wi-Fi) schede di rete consentono di configurare l'indirizzo MAC della scheda NIC nel software. Pertanto, se è possibile 'sniffare' l indirizzo MAC di un nodo di rete esistente, è possibile aderire alla rete utilizzando l indirizzo MAC di tale nodo. 71

72 Capitolo 8 IP Filtering Un Indirizzo IP è un numero che identifica univocamente nell'ambito di una singola rete i dispositivi collegati con una rete informatica che utilizza lo standard IP (Internet Protocol). Ciascun dispositivo (router, computer, server di rete, stampanti e anche alcuni tipi di telefoni) ha, quindi, il suo indirizzo. Semplificando, un indirizzo IP può essere visto come l equivalente di un indirizzo stradale o un numero telefonico dei dispositivi collegati su internet. Infatti, così come un indirizzo stradale o un numero telefonico identifica un edificio o un telefono, così un indirizzo IP identifica univocamente uno specifico computer o un qualsiasi altro dispositivo di rete o una rete. A sua volta, in una rete possono essere utilizzati altri indirizzi IP validi localmente analogamente alla numerazione degli interni di un edificio. Tuttavia l'indirizzo IP, rispetto all indirizzo stradale, può cambiare con grande facilità in funzione di moltissime variabili. Può anche essere occultato, falsificato o condiviso (da computer differenti in luoghi differenti) più o meno lecitamente e con facilità (anche con l ausilio di altri dispositivi). E, rispetto all'indirizzo stradale, da solo non dice nulla di chi lo usa se non ai fornitori di accesso a internet. Insieme ad altri dati può essere usato per profilare gli utenti. L IP Filtering è un metodo che decide quali tipi di datagrammi IP saranno processati normalmente e quali saranno scartati, ovvero cancellati o completamente ignorati come se non fossero mai stati ricevuti. Funzionamento Si possono applicare differenti criteri per determinare quali tipi di datagrammi si vogliono filtrare. Per esempio: Tipo del Protocollo (TCP, UDP, ICMP); Numero del Socket; Tipo del Datagramma (SYN/ACK, Data, ICMP Echo Request); Indirizzo della sorgente (quando arriva da) Indirizzo della destinazione (quando va verso) 72

73 Le regole di IP Filtering sono composte dalle varie combinazioni dei criteri appena elencati. Ad esempio, immaginiamo di voler permettere agli utenti World Wide Web appartenenti a un azienda di avere accesso a Internet solo per server diversi da quello dell azienda. Si potrebbe configurare il firewall come segue: datagrammi con indirizzo sorgente dell azienda, indirizzo di destinazione qualunque, e con porta di destinazione 80 (http); datagrammi con indirizzo destinatario dell azienda e porta sorgente 80 da un indirizzo sorgente qualunque. Figura 31 - Interfaccia di controllo dell IP Filtering Vulnerabilità dell IP Filtering È importane capire che è questa metodologia opera limitatamente al livello rete. Questo significa che non conosce l applicazione che in quel momento sta utilizzando le connessioni di rete in quanto si concentra principalmente sulle connessioni stesse. Per esempio, si può proibire l accesso agli utenti su una rete interna alla porta telnet di default, ma se si fa affidamento al solo IP Filtering non si può fermarli dall usare Telnet con una porta che è aperta dal firewall. Si può prevenire questo tipo di problemi usando un server Proxy per ogni servizio che viene permesso attraverso il firewall. Il server Proxy capisce le applicazioni che si stanno utilizzando e può prevenire abusi come l uso di Telnet. Se il firewall suppor- 73

74 ta un proxy WWW le connessioni Telnet saranno sempre esaminate dal proxy e saranno permesse solo richieste HTTP. Esiste un gran numero di server proxy, alcuni sono gratuiti altri invece commerciali. IP Address spoofing È l attacco più diffuso. Si basa sul fatto che la maggior parte dei router all'interno di una rete controllino solo l indirizzo IP di destinazione e non quello sorgente. Questo fa si che un attaccante possa inviare dei pacchetti ad un sistema bersaglio e le risposte di quest ultimo saranno invece inviate al falso IP utilizzato dall attaccante. L IP spoofing potrebbe essere limitato inserendo dei filtri sull indirizzo IP sorgente a livello routers. 74

75 Capitolo 9 Proxy Durante i primi anni di diffusione di Internet come si conosce oggi, è nata la necessità di interconnettere le reti aziendali private, dette internet (con la 'i' minuscola, ovvero Interconnected Networks) con la 'big Internet'. La necessità non era quella di un firewall, perché allora gli attacchi da intrusi erano esigui e non si percepiva il potenziale problema di sicurezza, ma quella di interconnettere la rete pubblica di accesso con quella privata. Oggi questo problema si sarebbe risolto attraverso il Network Address Translation (NAT), ma la tecnologia non era ancora disponibile: nascono così i Proxy, ovvero software in grado di fare da 'ponte' tra una rete e l altra. Tipologie di Proxy Esistono due tipologie di Proxy, i circuit-level e gli application-level. I primi agiscono a livello UDP/TCP, creando un circuito tra il client e il server, senza però interpretare il protocollo applicativo: il più significativo esempio in questo campo è il protocollo socks. I secondi agiscono a livello applicativo, interpretando i dati e i comandi di una specifica applicazione, ad esempio HTTP o FTP. Il socks è documentato nell RFC 1928 ed è disponibile attraverso diverse implementazioni, alcune di queste sono disponibili gratuitamente come Dante e il socks della NEC. Il grosso pregio del protocollo socks è che permette di fare da Proxy per qualsiasi applicazione TCP o UDP, in quanto non interpreta il contenuto applicativo, e permette l autenticazione degli utenti, ma il difetto è che bisogna aggiungere un ulteriore software nel client. Inoltre, non interpretando il contenuto degli applicativi, è impossibile avere delle policy su quali contenuti l utente è abilitato, ad esempio non si può vietare l utente alla navigazione sul di un sito di notizie, abilitando la webmail. Gli application-level proxy sono invece in grado di interpretare il contenuto del traffico, limitando o abilitando determinate URL, ed includono la possibilità di autenticare l utente. Sono questi tipi di applicativi che vengono chiamati generalmente proxy e in particolare ci si riferisce ai proxy HTTP. 75

76 L uso del Proxy in ambito Wireless L adozione delle regole di base descritte nel capitolo 3 rendono più difficile l intercettazione di una rete Wireless e più difficile l accesso da parte di un intruso. Tuttavia esiste la possibilità che un intruso motivato possa accedere alla rete, grazie soprattutto ai problemi di WEP precedentemente esposti. La metodologia migliore pertanto é quella di dividere la rete wireless dalla rete interna, ad esempio attraverso l adozione di un proxy che effetti l autenticazione degli utenti. Nella figura successiva si illustra un esempio di struttura wireless con un proxy per la protezione della rete interna. Figura 32 - Esempio di architettura Proxy La limitazione principale dell adozione di un proxy è che tutti i protocolli non supportati dal proxy (ad esempio POP3 o IMAP) non possono essere utilizzati nell ambito wireless. Pertanto, l ambito di utilizzo di una simile architettura è ristretto a piccoli ambienti dove le applicazioni usate in ambito wireless sono principalmente di tipo Web-based. Qualora il proxy lo permette, è consigliabile attivare la funzionalità di SSL Accelerator: con questo espediente, le richieste HTTP verranno incapsulate in SSL (HTTPS) e pertanto più difficili da intercettare in ambito wireless. 76

77 Vulnerabilità dei Proxy applicativi Generalmente i punti deboli dei Proxy applicativi sono pochi e ben nascosti. Una volta reso sicuro il firewall e implementate sul proxy regole robuste, sarà ben difficile superare un firewall Proxy. Ma gli errori sono tutt altro che rari. Hostname: localhost Sui vecchi Proxy UNIX era facile dimenticarsi di limitare l accesso locale. Nonostante i vincoli di autenticazione per gli utenti che accedono a Internet, un utente interno poteva ottenere l accesso in locale al firewall stesso. Ovviamente, per questo tipo di attacco è necessario conoscere una combinazione nome utente/password valida, ma è sorprendente sapere quanto sia facile a volte indovinarne una buona. Il rimedio per questi errori di configurazione dipende ovviamente dallo specifico prodotto utilizzato come firewall. In generale, dovrebbe essere possibile definire una regola che limiti l accesso a partire da un sito specifico. L ideale sarebbe impedire i login come localhost. Accesso non autenticato al Proxy Questo scenario di presenta più frequentemente nel caso di firewall che utilizzano Proxy 'trasparenti', ma di tanto in tanto capita di incontrarlo. L amministratore di un firewall si fa in quattro per rendere sicura la propria macchina e implementare regole di accesso rigorose, ma spesso dimentica di disattivare l accesso verso l esterno. I rischi sono due: un hacker potrebbe servirsi del vostro server Proxy come trampolino per vagare su Internet anonimamente e attaccare altri server Web, oppure potrebbe ottenere l accesso via Web all intera Intranet. Il rimedio per questo problema è disattivare l accesso al Proxy dall interfaccia esterna del firewall. Il metodo adottato per disattivarlo dipende in larga misura dal produttore, quindi per ulteriori indicazioni sarà necessario contattare il fornitore del firewall. La soluzione a livello di rete e bloccare il traffico in ingresso del Proxy sui router esterni. A tal fine è sufficiente definire sui router alcune ACL rigide. 77

78 Capitolo 10 PPPoE (Point-to-Point Protocol over Ethernet) Con l'introduzione delle tecnologie broadband come i cable modem, usati per far viaggiare Internet sulla TV via cavo e l ADSL, gli Internet Service Providers hanno adottato una metodologia per risolvere il problema dell'autenticazione degli utenti nell ambito broadband. Nella loro configurazione standard, l ADSL e i cable modem sono in grado di emulare una rete Ethernet: sebbene l uso del DHCP avrebbe semplificato l'amministrazione lato ISP e la configurazione lato utente, non avrebbe permesso l'identificazione univoca dell'utente per l'erogazione dei servizi acquistati o per il pagamento in caso di 'pay per use'. Questo problema è stato risolto con l'introduzione del protocollo Point-to- PointProtocol over Ethernet (PPPoE). In breve, questa tecnologia permette di incapsulare il protocollo PPP, usato nella sua accezione più comune sui collegamenti via modem, sul mezzo trasmissivo ethernet. In questo modo, traendo vantaggio della velocità del mezzo Ethernet, è possibile riconoscere l utente e fornire servizi adeguati, quali altri protocolli (ad esempio IPX e NetBIOS), e IP statici. Attraverso l adozione di PPPoE è quindi possibile personalizzare i servizi erogati in base all'utente anziché in base all ubicazione stessa dell utente. L uso di PPPoE nell ambito Wireless Analogamente alle tecnologie ADSL e cable modem, la wireless LAN è in grado di emulare una rete ethernet. Anche in ambito wireless è possibile sfruttare quindi la tecnologia PPPoE, con i benefici descritti precedentemente, ad esempio fornendo servizi personalizzati all'utente quali l IP Address fisso e access lists basate a livello utente. PPPoE è paragonabile all uso di IEEE 802.1x a livello autenticazione, ma offre alcuni vantaggi. Non tutti i produttori hanno scelto di implementare 802.1x nei loro Access Point, in special modo sugli AP a basso costo, pertanto tutti gli AP che non dispongono di funzionalità 802.1x devono essere sostituiti. Inoltre 802.1x non copre la funzionalità di crittografia dati, mentre PPPoE offre un architettura scalabile che vedremo in seguito. PPPoE, inoltre, non richiede l uso di indirizzamenti a livello 3 (esempio IP) direttamente sulla Ethernet, offuscando di fatto la topologia della rete interna, inoltre non richiede una infrastruttura PKI per l autenticazione dell'utente. 78

79 PPPoE, di contro ha un problema relativo alla lunghezza dei pacchetti trasmessi, chiamata Maximum Transmission Unit (MTU). In pratica la lunghezza dei pacchetti non può superare i 1492 bytes, causando problemi di performance su una grossa mole di dati trasmessi. L uso di PPPoE richiede che una macchina, sia essa un router od un server, funga da collegamento tra la rete interna e la rete Wireless. Questa macchina, denominata Access Concentrator, avrà il compito di autenticare e autorizzare in primo luogo l utente, successivamente di codificare e decodificare il protocollo PPPoE. Figura 33 - Esempio di architettura PPPoE È bene ricordare che durante la configurazione dell'access Concentrator, lo scambio delle password tra il server e il client non deve essere di tipo Password Authentication Protocol (PAP), in quanto le password vengono scambiate in chiaro con questa metodologia. Si suggeriscono metodologie alternative, quali l'uso di CHAP e MS- CHAPv2. L uso di PPPoE in alcune tipologie di ambienti non ha vantaggi rispetto a IEEE 802.1x, ma la soluzione PPPoE è l'ideale qualora non si possa usare 802.1x congiuntamente ad IPSec, ad esempio dove 802.1x non è disponibile e negli ambienti SOHO. Crittografia Nel capitoli precedenti si è sottolineato quanto le onde radio siano difficili da controllare e quanto sia facile per un intruso intercettarle. Possiamo paragonare pertan- 79

80 to la wireless LAN a una rete pubblica di accesso. Ad esempio, nella Rete Telefonica Commutata (RTC), un aggressore può intercettare le password e i dati inserendosi nel sistema di distribuzione solitamente posizionato sulla strada. In quest ottica, la wireless LAN è soggetta a vari attacchi ed è sempre suggeribile aggiungere un livello di crittografia in più rispetto a quanto offerto da WEP. Il protocollo PPP e di conseguenza PPPoE, offre un architettura di crittografia chiamata Microsoft Point-To-Point Encryption Protocol (MPPE). Questa estensione del Compression Control Protocol (CCP) è stata introdotta da Microsoft per applicare la sicurezza nel protocollo di VPN chiamato Point-to-Point Tunneling Protocol (PPTP). MPPE è basato sull'algoritmo Rivest-Shamir-Adleman (RSA) RC4 per effettuare la crittografia dei pacchetti e può usare una chiave crittografica fino a 128- bit. Inoltre MPPE può negoziare una modalità detta stateless che permette di cambiare la chiave di crittografia ogni qual volta esso si collega. È abbastanza semplice introdurre l uso di MPPE su collegamento basato su PPPoE, anche se non tutte le piattaforme supportano l uso congiunto delle due tecnologie. PPPoE con l estensione MPPE può essere un modo semplice per affrontare il problema di sicurezza in ambito wireless. 80

81 Capitolo 11 VPN (Virtual Private Network) VPN è l acronimo di Virtual Private Network (rete privata virtuale) ed è l insieme delle tecnologie che permettono la connessione tra reti locali private attraverso una rete pubblica come può essere internet. Esistono diversi modi per collegare più reti geograficamente lontane, con facilità di realizzazione decisamente più semplice di una VPN, ma quest ultima offre indubbi benefici in termini di omogeneità. Non c è infatti distinzione tra i dispositivi connessi al proprio Hub/Switch da quelli connessi sulla rete LAN remota: esplorando le risorse di rete si avranno sia i dispositi locali che quelli remoti. Il punto di forza di questa tecnologia è la trasparenza con cui viene fatta l intera operazione in modo tale che le applicazioni non percepiscano la 'distribuzione' della rete. Grazie a protocolli particolari si è in grado d incapsulare il traffico della LAN in specifici pacchetti, inviandoli attraverso una rete di natura insicura alla LAN remota. Questa operazione è sempre sostenuta da almeno due 'punti', il client VPN remoto ed il server VPN locale. Da questa affermazione si deduce che dev esserci supporto al VPN da parte dei sistemi operativi, garantito nativamente nei sistemi Unix/Linux like e da Windows 2000 in poi. Un utente autenticato può essere provvisto di privilegi particolari per accedere a risorse che generalmente non sono accessibili a tutti gli utenti. La maggior parte dei programmi client richiede che tutto il traffico IP della VPN passi attraverso un Tunnel virtuale tra le reti utilizzando Internet come mezzo di collegamento. Dal punto di vista dell utente ciò significa che, mentre la connessione VPN è attiva, tutti gli accessi esterni alla rete sicura devono passare per lo stesso firewall come se l utente fosse fisicamente connesso all interno della rete sicura. Questo riduce il rischio che utenti esterni possano accedere alla rete privata dell azienda. La sicurezza della connessione VPN è di importanza fondamentale, perché la rete su cui gli altri computer stanno lavorando potrebbe non essere sicura, o esserlo solo parzialmente. La VPN deve quindi garantire un livello di sicurezza tale da proteggere i computer dei dipendenti che stanno lavorando simultaneamente sulla stessa rete, tra i quali uno potrebbe essere stato infettato da un virus, un worm o un trojan. L immagine che segue mostra l'esempio di un'azienda con tre sedi collegate tra loro tramite VPN. Ogni sede è collegata ad Internet tramite un normale router ADSL. 81

82 Tra quest'ultimo e la rete aziendale è presente un altro router che si occupa di gestire le VPN e garantire la sicurezza delle reti interne. Nella pratica, le funzioni dei due router (ADSL e VPN) potranno essere svolte anche da un'unica apparecchiatura. Figura 34 - Esempio di VPN Sicurezza La sicurezza è un aspetto fondamentale interno al protocollo, non bisogna mai dimenticare che usando una VPN, si instradano informazioni private all interno di una rete pubblica dotata per natura di poche garanzie di sicurezza. Per questo motivo devono essere presenti meccanismi atti per realizzare la cifratura del traffico e la verifica delle credenziali. Tralasciare questi aspetti fondamentali equivale ad installare una porta ethernet connessa al proprio Hub/Switch nel posteggio fuori casa dove chiunque può collegarsi ed 'ascoltare' il traffico che vi passa. L efficienza di una rete protetta è molto legata alle scelte implementate e, dato l elevato traffico generato, particolare attenzione va prestata alla scelta della velocità di connessione usata poiché tutta la gerarchia OSI a partire dal livello 3 dev essere isolata, subire il processo di cifratura, incapsulata dentro il protocollo VPN ed inserita in nuovo pacchetto TCP/IP. Tutto questo assume valore maggiormente rilevante quando s impiegano reti VPN basate su Windows. Esistono diversi tipi di protocolli VPN che offrono differenti livelli di protezione: 82

83 PPTP: ideato da Microsoft, US-Robotics ed altri produttori, facile da configurare, veloce e supportato da tutti i produttori e dai sistemi operativi. Quest implementazione è presente a partire da Windows NT 4 Server e da Windows 98 SE, non richiede l uso di hardware particolare poiché il meccanismo di cifratura è molto semplice e per questo motivo garantisce un livello di sicurezza limitato. Manca di un meccanismo solido di verifica delle credenziali e generalmente vengono impiegati i Log-In del sistema operativo. L2TP: derivato dalla fusione di PPTP e di L2F di Cisco, è una sorta di sintesi delle caratteristiche migliori, con meccanismi avanzati di cifratura ed autenticazione. Questo protocollo è supportato da Windows 2000 e dai sistemi Linux Like. IPSec: è il miglior protocollo VPN disponibile, sviluppato da IETF. E in grado di cifrare i dati e gli header dei pacchetti attraverso una chiave pubblica che è scambiata con un meccanismo evoluto di autenticazione, tramite certificati digitali. Questo protocollo è supportato nativamente a partire da Windows 2000 e nei sistemi Linux Like, per Windows 98/ME/NT serve un client dedicato. Se il traffico IPsec è elevato, poterbbe essere necessario l acquisto di hardware dedicato alle operazioni di cifratura e apertura dei pacchetti. Complessità d intallazione. Il funzionamento di una VPN può essere spiegato grossolanamente in questo modo: Si supponga d avere due host chiamati A e B, che possiedono una chiave pubblica (pka, pkb) ed una privata (ska, skb), posti ai lati di un tunnel che rappresenta il corridoio privato in una rete pubblica. A invia a B la sua pka e B invia ad A la sua pka. Assumendo che A debba mandare un messaggio a B, prende la pkb, codifica il messaggio e lo invia. B, alla ricezione del messaggio codificato con pkb, utilizza la skb per decodificarlo. Tutto ciò può funzionare solo se in fase di configurazione dei tunnels si inserisce la pka (o la pkb) del PC opposto. Se la pka (o la pkb) inserite non sono corrette, l host opposto non può decodificare il messaggio ed il tunnel non viene aperto. IPSec (IP Security Protocol) Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in particolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Prendendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o più semplicemente VPN. L IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è stato definito dall'internet Engineering Task Force già dall'agosto 1995 attraverso l'rfc 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, affermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le fun- 83

84 zionalità di autenticazione, integrità e crittografia di cui era sprovvisto. Uno dei fattori che ne hanno determinato la sua affermazione è che IPSec può essere inoltrato attraverso qualsiasi rete che supporta il protocollo IP, senza dover cambiare nessun nodo di rete, senza cambiare le applicazioni e senza cambiare in maniera sostanziale il sistema operativo dei nodi. IPSec può operare in due modalità: tunnel mode e transport mode. La prima incapsula un intero datagramma IP al suo interno, rendendola ideale per l'uso con le VPN o per trasportare IP privati all'interno di IP pubblici, ad esempio per collegare una sede remota. La seconda invece incapsula solamente il protocollo TCP o UDP, rendendo sicura la sola comunicazione applicativa tra due nodi della rete Internet, ad esempio la comunicazione tra un web server e un database server. Figura 35 - IPSec in modalità trasporto e modalità tunnel Molti firewall e router hanno la funzionalità di IPSec Tunnel Mode per stabilire delle VPN, siano esse sedi remote, extranet o più semplicemente degli utenti interni collegati attraverso Internet. Come abbiamo sottolineato in precedenza, data la mancanza di un sistema sicuro di autenticazione e crittografia, le Wireless LAN sono da considerare untrusted, pertanto non differenti dalla rete Internet. In un ambiente quale quello aziendale, dove la sicurezza dei dati è molto importante, le Wireless LAN trovano un naturale complemento nella tecnologia IPSec. È da considerare che, se si dispone di una VPN per l accesso tramite Internet, l'utente finale si troverà a suo agio attraverso l'uso di strumenti che già conosce. È consigliabile in questo scenario collegare gli Access Point a una rete demilitarizzata (DMZ) che sia riconducibile ad un firewall o ad un router di accesso, ad esempio quello collegato alla rete Internet. 84