RETI WIRELESS A cura di Agata Tringale 1
WIRELESS La nascita di Internet è stata senza ombra di dubbio una vera e propria rivoluzione, non solo dal punto di vista tecnologico, ma anche da quello socio-culturale. Infatti, quando nel 1994 la Rete entra nelle case grazie alla nascita del World Wide Web e al telefono, cambia radicalmente il modo di lavorare, di comunicare e di interagire degli utenti. Se la Rete ha costituito una novità importante nella vita di chi la utilizza, forse maggiore sarà l effetto del diffondersi della tecnologia wireless, o meglio delle reti wireless, che permetteranno agli utenti di accedere al web da luoghi fino ad ora impensabili, come strade, aeroporti, stazioni, senza bisogno di essere collegati con i fili, liberi di muoversi con il proprio computer portatile, o PDA (Personal Digital Assistence), o qualsiasi altro wireless terminal e usufruire di quei servizi che fino ad ora sono stati disponibili solo stando seduti alla propria scrivania. La parola che caratterizza questo nuovo modo di comunicare e di interagire con la Rete è mobilità e, forse azzardando un po, potremmo dire che siamo entrati proprio nell era della mobilità. 2
Wireless: overview Wireless letteralmente significa senza fili e si riferisce ad un sistema di comunicazione in cui i segnali viaggiano nello spazio e non su fili o cavi di trasmissione. In un sistema wireless la tecnologia usata per la trasmissione e ricezione dati avviene principalmente via radiofrequenza (RF) o attraverso raggi infrarossi (Irda). Il mezzo trasmissivo è l ETERE. 3
Wireless: overview Una Wireless Local Area Network (WLAN) è un sistema di comunicazione tra apparecchiature elettroniche che può implementare, nella sua estensione, o sostituire una rete fissa (wired Lan). Solitamente, dove questo sistema è utilizzato, rappresenta l ultimo anello di congiunzione fra la rete e l utente finale. Un infrastruttura di tipo wireless ed una di tipo wired (cablata) possono coesistere all interno della stessa struttura di rete. 4
Wireless: come ci si è arrivati Prima LAN (Local Area Network): Inizio anni 70 Palo Alto-centro ricerche Xerox Ethernet, da unico protocollo esistente, si è evoluto in una famiglia di protocolli studiati e definiti dall Institute of Electrical and Electronical Engeneers di New York (IEEE), organizzazione internazionale che sviluppa standard per centinaia di tecnologie elettriche ed elettroniche. 5
Institute of Electrical and Electronical Engeneers e la famiglia 802.11 Standard relativi alle reti wired (cablate) IEEE Dal 1990 ha creato la commissione 802.11 che ha dedicato sette anni di lavoro allo standard per le reti locali in radiofrequenza. 26 giugno 1997 - approvato standard IEEE 802.11 ed è il primo standard internazionale riconosciuto per WLAN (Wireless LAN). 6
Per capire meglio: La Frequenza Da Encarta. Grandezza definita come il numero di volte in cui un fenomeno che si ripete con regolarità si verifica in un secondo. Detto periodo, e indicato con T, il tempo necessario per compiere un ciclo completo, la frequenza f di un fenomeno periodico risulta uguale all inverso del periodo, secondo la relazione: f = 1/T. Un esempio di fenomeno periodico per il quale ha senso definire la frequenza è il moto ondulatorio. Qui la frequenza è definita come il numero di creste d'onda che in un secondo attraversano un punto fissato; è legata alla lunghezza d onda e alla velocità di propagazione dalla relazione: V = λf dove V è la velocità, f la frequenza e λ la lunghezza d'onda; in altre parole, la velocità di propagazione è direttamente proporzionale alla lunghezza d onda e alla frequenza. 7
Per capire meglio: La Frequenza L'unità di misura della frequenza è l'hertz (Hz): 1 Hz = 1/s. MULTIPLI DELL'HERTZ: il kilohertz (khz), pari a mille cicli al secondo; il megahertz (MHz), pari a un milione di cicli al secondo; il gigahertz (GHz), pari a un miliardo di cicli al secondo. 8
Wireless: IEEE802.11 1997- IEEE802.11 velocità di 1-2Mbps Successo e interesse 1999- IEEE802.11a 54Mbps Frequenza 5GHz 1999- IEEE802.11b 11Mbps Frequenza 2,4GHz 802.11b=STANDARD DOMINANTE 802.11b=Wi-Fi (Wireless Fidelity) 9
IEEE802.11g 2003 802.11g 54Mbps Frequenza 2,4GHz Aumenta la velocità di trasmissione; Aumenta la capacità di servire fino a quattro-cinque volte il numero degli utenti; Si apre la possibilità di utilizzare le reti IEEE 802.11 per applicazioni come le trasmissioni multimediali wireless o il broadasting di MPEG (standard di compressione audio/video, acronimo di Motion Picture Export Group); Compatibile con i dispositivi 802.11b e 802.11a; Funziona sulle reti esistenti, le stesse utilizzate dall'802.11b, fatto decisivo per l'accettazione dello standard. 10
IEEE802.11i Ad oggi l IEEE sta lavorando allo sviluppo del nuovo standard 802.11i. 802.11i: Nuovi standard di cifratura per cercare di sopperire alle carenze in ambito di sicurezza di cui ancora risente il sistema wireless. La ratifica definitiva della specifica 802.11i è arrivata il 28 giugno 2004 da parte dell IEEE. 11
IEEE802.11i Questi standard, però, non saranno compatibili con gli attuali network 802.11a e 802.11b. L 802.11i ha bisogno di sistemi hardware più potenti di quelli attualmente in commercio. L unico modo per usufruire dell upgrade sarà quello di sostituire totalmente le reti wireless di vecchia generazione, con esborsi non indifferenti. Nella sostanza, la specifica 802.11i dovrebbe garantire che i dati trasmessi su reti Wi-Fi siano criptati e non possano essere decodificati; Il nuovo standard dovrebbe sostituire la specifica WPA (Wi-Fi Protected Access), rilasciata all'inizio dello scorso anno e valida ad interim, in attesa, per l'appunto, della ratifica di 802.11i. In quest'ultimo anno e mezzo, molte delle caratteristiche di 802.11i sono gradualmente state implementate in numerosi prodotti, specialmente se indirizzati all'utenza business. Tra queste, una delle più importanti è Advanced Encryption Standard (AES), che supporta chiavi a 128, 192 e 256 bit. 12
IEEE802.11n Quest estate è stato dato l avvio al processo di studio e di standardizzazione di una nuova release: l 802.11n Obiettivo: Raddoppiare le capacità attuali di banda per raggiungere i 500 Mbit/s. 13
La famiglia IEEE802.11-riassumendo 802.11 802.11a 802.11b 802.11g 802.11i Data di approvazione 1997 1999 1999 2003 2004 Velocità di trasmissione 1-2 Mbps 54Mbps 11Mbps 54Mbps 54Mbps Larghezza di banda su cui opera 2,4GHz (tra 2,4 e 2,4835GHz) 5GHz (tra 5,725 e 5,850GHz) 2,4GHz (tra 2,4 e 2,4835GHz) 2,4GHz 5 GHz 14
Wireless Ethernet Compatibility Alliance Nel 1999 nasce la WECA (Wireless Ethernet Compatibility Alliance ) un organizzazione senza scopo di lucro con l'obiettivo di certificare l'interoperabilitá dei prodotti Wi-Fi (802.11b) e di promuovere in tutto il mondo questa tecnologia come lo standard hight rate (ad alta velocità) per le reti wireless. COME? Definendo un insieme di test ai quali sono sottoposti i prodotti dei suoi membri per ottenerne la certificazione e quindi la garanzia di essere utilizzabili ed interoperabili con quelli di altri produttori. 15
Wi-Fi Alliance Oggi la WECA ha cambiato nome in Wi-Fi Alliance-(www.wi-fi.org) La Wi-Fi Alliance garantisce la compatibilità tra tutti i prodotti che detengono questo marchio. 16
Wireless LAN-Architettura Una 802.11 WLAN è basata su una architettura cellulare in cui l area dove deve essere distribuito il servizio viene suddivisa in celle proprio come accade nei sistemi di distribuzione per servizi di telefonia GSM Ciascuna cella, chiamata Basic Service Set (BSS) è controllata da una stazione base denominata Access Point, o più semplicemente AP. In generale le architetture per sistemi wireless sono basate due tipologie di dispositivi: Access Point ( AP); Wireless Terminal (WT). 17
Wireless LAN-Architettura 18
Wireless LAN-Architettura- ACCESS POINT Access Point = bridge che collegano la sottorete wireless con quella cablata. HAP (Dedicate Hardware Access Point) Dispositivo che si connette direttamente alla rete cablata e consente di interfacciare quest'ultima con i vari sistemi wireless presenti nella zona di lavoro. SAP (Software Access Point) Consente di sopperire ad una lacuna relativa allo standard di comunicazione sfruttato nelle WLAN, cioè quello di poter collegare tra loro solo reti Ethernet con un HAP, rendendo però impossibile implementare altre tipologie di reti quali Token Ring e similari. 19
Wireless LAN-Architettura- ACCESS POINT AP definisce una cosiddetta microcella di lavoro e può gestire gruppi di utenti, il cui numero può variare da poche unità a duecentocinquanta circa. L'area di copertura di una rete wireless è condizionata dall'ambiente nella quale viene installata. 20
Wireless LAN-Architettura- Access Point & Wireless Terminal Gli standard di comunicazione usati consentono ad un WT di inviare via radio all AP i dati che poi questo instraderà, verso un'eventuale sottorete cablata o ad un altro WT. I WT possono essere di qualunque tipo: notebook, palmari, cellulari, apparecchi che interfacciano standard IEEE 802.11, o sistemi consumer su tecnologia Bluetooth Tablet PC PC portatile PDA Smartphone 21
WLAN: Ad Hoc Mode Anche chiamato Indipendent Basic Service Set (IBSS) non esistono AP ciascun WT comunica con gli altri senza un controllo centralizzato Struttura peer- to-peer utile solo per situazioni temporanee: si perde la possibilità di connettersi ad una rete wired; le distanze fra i vari WT devono essere ridotte per avere velocità di comunicazione efficienti. 22
WLAN: Distribution System La maggior parte delle WLAN è formata da una molteplicità di celle dove i singoli AP sono interconnessi attraverso una rete di distribuzione, che viene definita Distribution System (DS). La rete di distribuzione è costituita da una dorsale Ethernet e in certi casi è wireless essa stessa. Il complesso delle diverse WLAN interconnesse, comprendenti differenti celle, i relativi AP e il sistema di distribuzione, viene visto come una singola rete 802 dai livelli superiori del modello OSI ed è noto nello standard come Extended Service Set (ESS). 23
WLAN: Distribution System & Extended Service Set Numero e disposizione degli AP è di cruciale importanza per ottenere una rete perfettamente funzionante e performante. Un planning per la progettazione delle celle è indispensabile e, soprattutto, è dipendente dallo specifico ambiente in cui la rete deve essere collocata. 24
Architettura del protocollo 802.11x Questa famiglia di standard è basata, o meglio, implementa, due livelli, Physical Layer e Data Link Layer del modello ISO/OSI un singolo livello MAC (Media Access Control) tre livelli fisici PHY, operanti a velocità variabili Negli Stati Uniti la banda ISM è una banda radio libera destinata ad applicazioni Industriali, Scientifiche, Mediche. Con l introduzione dell 802.11 tutti gli stati si sono dovuti adeguare ricollocando le frequenze che si trovano in questa banda con notevoli difficoltà e disagi. 25
Architettura del protocollo 802.11x 802.11 MAC Layer Direct Sequenze Spread Spectrum DSSS Frequency Hopping Spread Spectrum FHSS Trasmissione Infrarossi IR AIR PHY Layer: a. Frequency Hopping Spread Spectrum (FHSS) nella banda ISM 2,4GHz; b. Direct Sequence Spread Spectrum (DSSS) nella banda ISM 2,4GHz; c. Trasmissione infrarossa (IR). 26
Architettura del protocollo 802.11x Posizione del protocollo in esame rispetto al modello di riferimento delle reti ISO/OSI. Oltre alle funzionalità standard usualmente fornite dai livelli di MAC dei protocolli 802.x, il MAC 802.11 supporta delle funzionalità aggiuntive, tipiche dei livelli superiori dello stack protocollare, come la gestione della frammentazione delle Protocol Data Unit, la ritrasmissione dei pacchetti e la gestione dell acknowledge. 27
MAC LAYER Due differenti metodi d accesso Distributed Coordination Function Virtual Carrier Sense 28
MAC layer- Distributed Coordination Function Basato sul meccanismo di accesso multiplo con rilevamento della portata e prevenzione delle collisioni (Carrier Sense Multiple Access con Collision Avoidance o in forma più compatta CSMA/CA) COME FUNZIONA? testa il canale di trasmissione Se è OCCUPATO Se è LIBERO La stazione rimanda la trasmissione ad un momento successivo. La stazione può trasmettere 29
MAC layer- Distributed Coordination Function PERÒ PUÒ SCCEDERE CHE più stazioni, rilevando contemporaneamente che il mezzo trasmissivo è libero, comincino a trasmettere simultaneamente COLLISIONE [deve essere rilevata in modo che i pacchetti possano essere ritrasmessi direttamente dal livello di MAC, senza interessare i livelli superiori dello stack protocollare, cosa questa che produrrebbe significativi ritardi a livello di trasmissione dei singoli pacchetti. ] 30
MAC layer- Distributed Coordination Function SOLUZIONE: meccanismo di collision avoidance + schema di positive acknowledge 31
MAC layer- Distributed Coordination Function POSITIVE ACKNOWLEDGE - funzionamento stazione che vuole trasmettere: testa il mezzo trasmissivo Se è occupato RIMANDA Se è libero per un certo tempo (Distributed Inter Frame Space) TRASMETTE stazione che riceve: Controlla il CRC (Cyclic Redundancy Check ) del pacchetto ricevuto. Invia un pacchetto di acknowledgement (ACK) 32
MAC layer- Distributed Coordination Function Ricezione di ACK = no collisioni Stazione trasmittente trasmette finchè non riceve l ACK (esiste un limite oltre il quale il pacchetto viene buttato via). 33
MAC layer- Virtual Carrier Sense Scopo di ridurre la probabilità che si verifichi una situazione di collisione tra due stazioni. Stazione che trasmette, manda prima RTS (Request To Send) Contiene: id della sorgente id della destinazione durata della successiva trasmissione relativa al pacchetto RTS e al rispettivo ACK 34
MAC layer- Virtual Carrier Sense Stazione di destinazione risponde (se è libera) con un CTS (Clear To Send): contiene la stessa info relativa alla durata di trasmissione. Chi riceve RTS e CTS setta il Virtual Carrier Sense - NAV (Network Allocation Vector)- In questo modo le stazioni risultano in stato di inattività e non creano collisioni Anche durante la trasmissione dell ACK. 35
MAC layer- Virtual Carrier Sense 36
MAC layer- Fragmentation & Reassembly Pacchetti trasmessi in una WLAN < quelli di LAN perché: maggiore Bit Error Rate; nel caso in cui un pacchetto ricevuto contenga errori l overhead introdotto dal processo di trasmissione decresce con la dimensione del pacchetto; Frequency Hopping: non è garantita la continuità del mezzo trasmissivo a causa dei salti di frequenza, QUINDI riducendo la dimensione del pacchetto diminuisce la probabilità che la trasmissione sia posticipata dopo il tempo di pausa. MECCANISMO DI FRAMMENTAZIONE E RIASSEMBLAGGIO 37
MAC layer- Fragmentation & Reassembly Fragmentation & Reassembly: algoritmo Send and Wait Una stazione non può trasmettere nuovo frammento se: ricezione di un ACK per il frammento precedentemente trasmesso; verifica che il frammento è stato ritrasmesso troppe volte ed eliminazione di tutto il frame. Lo standard permette alla stazione di trasmettere verso un differente indirizzo tra la ritrasmissione di un dato frammento. Questo è particolarmente utile quando un AP ha parecchi pacchetti arretrati riferiti a differenti destinazioni e uno di questi non risponde. 38
Inter Frame Spaces SIFS Short Inter Frame Space, separare trasmissioni che appartengono ad un singolo dialogo (Fragment-Ack) è il più piccolo spazio tra i frame possibile; PIFS Point Coordination IFS, è usato dall Access Point (o dal Point Coordinator, come è chiamato in questo caso) per guadagnare l accesso al mezzo prima di ogni altra stazione. Questo valore è pari al SIFS più uno slot time e vale 78 ms; DIFS Distributed IFS, è l Inter Space Frame utilizzato per una stazione che vuole iniziare una nuova trasmissione. E calcolato come PIFS più uno slot time e vale quindi 128 ms; EIFS Extended IFS, è il più lungo IFS ed è usato da una stazione che ha ricevuto un pacchetto di cui non è stata in grado di comprendere il contenuto. Questo è necessario per proteggere la stazione (la quale non comprende l informazione di durata necessaria per il virtual carrier sense) da collisioni con i futuri pacchetti appartenenti al dialogo corrente. 39
Indirizzamento Al fine di mantener compatibilità con i precedenti standard 802, l 802.11x prevede un indirizzamento a livello MAC di 48 bit. In tal modo anche l interoperabilità con soluzioni wired di tipo Ethernet è garantita. 40
Metodi di accesso a una BSS 1. Active Scanning: la stazione tenta di localizzare un AP attraverso la trasmissione di un Probe Request Frame e attende che un AP risponda con Probe Response Frame. 2. Passive Scanning: la stazione aspetta di ricevere dall AP un Beacon Frame. Il Beacon è un frame periodicamente inviato dall AP contenente l informazione relativa al sincronismo di trasmissione dei dati; Una volta effettuato l accesso: AUTENTICAZIONE 41
Autenticazione AUTENTICAZIONE: Stazione e AP verificano la relativa conoscenza di una data Password. ASSOCIAZIONE: Definire le caratteristiche della stazione e le capacità offerte dalla BSS. DSS (insieme degli AP) ottiene informazioni sulla posizione della stazione espressa come appartenenza ad una particolare BSS ovvero come associazione ad un determinato AP Solo dopo che il processo di associazione si è positivamente concluso, una stazione è in grado di trasmettere o ricevere informazioni. 42
Roaming Il Roaming Connection-Less è il processo che consente lo spostamento di una stazione da una cella (o BSS) ad un altra senza perdita di connessione. Questa funzione è simile a quella che viene realizzata nei sistemi di telefonia cellulare, con due differenze fondamentali: transizione da una cella all altra deve essere realizzata tra la trasmissione di un pacchetto e quella del successivo (in tel---durante la comunicazione) in un ambiente basato sul pacchetto questa momentanea interruzione della connessione porta ad una significativa riduzione delle prestazioni, in quanto è necessario operare delle ritrasmissioni, gestite, però, dai livelli superiori dello stack protocollare. 43
Mantenimento della sincronizzazione L AP trasmette periodicamente un Beacon Frame. Questo frame contiene il valore dell orologio interno dell AP al momento della trasmissione. La stazione ricevente controlla il valore del proprio orologio al momento della ricezione del segnale e lo corregge mantenendo la sincronizzazione con l orologio dell AP. previene lo slittamento del clock che si può verificare dopo alcune ore di funzionamento del sistema. 44
FRAME 802.11: tipi e struttura TIPI 1. Data frame -trasmissione dati 2. Control frame - controllo dell accesso al mezzo (esempio RTS, CTS e ACK); 3. Management frame - vengono trasmessi allo stesso modo dei Data Frame per lo scambio di informazioni di controllo, ma non sono passati ai livelli superiori dello stack protocollare (esempio i Beacon Frame). 45
FRAME 802.11: tipi e struttura STRUTTURA Preambolo: funzione di sincronizzare il ricevitore. Le informazioni contenute in questo pacchetto consentono di capire a che velocità verrà trasmesso il resto del frame. Header: informazioni logiche utilizzate dallo strato fisico per decodificare il frame: il numero di byte contenuti nel pacchetto, in modo da rilevare correttamente la fine del pacchetto. Corpo: contiene i dati da inviare. Coda: controllo di integrità di tutto il pacchetto. 46
FRAME 802.11: tipi e struttura STRUTTURA PREAMBOLO HEADER CORPO-DATI CODA FRAME 802.11 47
PHY: Physical Layer PHYSICAL LAYER È il livello che fa davvero la differenza con le wired LAN. Comprende tre differenti tipi di tecnologie utilizzabili indistintamente*: DSSS (Direct Sequence Spread Spectrum) FHSS (Frequency Hopping Spread Spectrum) IR (Infra Red) *(sono però incompatibili tra di loro) 48
PHY: Spread Spectrum Signal FHSS, dipsersione di spettro a salto di frequenza DSSS, dispersione di spettro in banda base basate sulla tecnologia Spread Spectrum Trasmissione SS disperde l informazione su una banda molto più ampia di quella necessaria alla modulazione del segnale disponibile. bassa densità di potenza del segnale miglior ricezione dei segnali deboli garantiscono l'integrità del segnale maggior sicurezza consente a più utenti di operare simultaneamente. 49
PHY: DSSS DSSS Sistema di trasmissione a frequenza diretta Genera una ridondanza sui bit trasmessi (denominati CHIP), con una successione lineare di sottocanali in modo da distribuire in un ampia larghezza di banda il segnale da trasportare; Provvede quindi a realizzare un meccanismo di recupero del dato qualora il dato inviato venga corrotto; Non prevede meccanismo di ritrasmissione. 50
PHY: FHSS FHSS Il segnale ad una data frequenza viene fatto "saltare" da una canale all'altro, distribuendosi su una una banda di frequenze secondo uno schema noto solo al ricevente del pacchetto. La tecnologia consente a più utenti di condividere lo stesso insieme di frequenze cambiando automaticamente la frequenza di trasmissione fino a 1600 volte al secondo, al fine di una maggiore stabilità di connessione e di una riduzione delle interferenze tra canali di trasmissione. Lo spectrum spreading consiste in una continua variazione di frequenza utilizzando una modulazione di frequency hopping.gli hops corrispondono ai salti di frequenza all'interno della gamma assegnata ( 2,402 Ghz -2,480 Ghz salti di 1 Mhz, complessivamente 79 hops set, canali). 51
PHY: IR IR La comunicazione è trasportata da luce nella parte invisibile dello spettro. Questo sistema è utile soprattutto per le comunicazioni molto corte nella distanza, alcuni metri,con collegamento a vista. Per la luce infrarossa non è possibile penetrare alcun prodotto solido, persino è attenuato notevolmente dal vetro della finestra.l' IrDA (Infrared Device Application), è lo standard di interconnessione dati tramite infrarossi bidirezionale point-to-point tra dispositivi posizionati in visibilità reciproca ( LoS, line of sight) con range ridotto a 1-2 metri e bit rate di 4 Mbps.Tali dispositivi sono indicati per le comunicazioni e non per le reti vere e proprie. Un'evoluzione del sistema ha tentato di fornire una maggior possibilità di network usando un sistema IR diffuso in cui la luce è distribuita in tutti i sensi, limitando un'area di alcuni senza possibilità di attraversamento di strutture solido interposte. 52
FHSS vs DSSS Gli aspetti di cui tener conto sono: data Rate; area di copertura; consumo di corrente; interferenze. Ad esempio, se la velocità risulta essere requisito fondamentale, l unica opzione praticabile è il protocollo 802.11b, alla velocità di 11Mbps con livello PHY il DSSS. Se invece risulta predominante la tolleranza ai disturbi, apparati con FHSS come PHY diventano necessari. 53
Sicurezza E una delle questioni più spinose quando si parla di reti wireless Mezzo trasmissivo-etere: pericolo di intercettazione Una rete senza protezione=rete ad accesso pubblico 54
Sicurezza: questioni minime Per il trattamento dei dati sensibili con elaboratori accessibili in rete pubblica è obbligatorio prendere alcune misure di sicurezza, tra cui: sistemi di autenticazione; Sistemi anti-intrusione; messa in sicurezza delle trasmissioni dati (cifratura); 55
Sicurezza: attacchi a una WLAN Cinque tipi di attacchi possibili: 1. Interruzione: jamming e DoS; 2. Intercettazione: monitoraggio del traffico senza essere rilevati; 3. Inserzione: Client o AP non autorizzati sfruttano le risorse; 4. Modifica: utente non autorizzato (man in the middle) altera il contenuto di una trasmissione; 5. Contraffazione: nuovi messaggi con credenziali utente autorizzato. 56
Sicurezza: attacchi a una WLAN 57
Sicurezza: attacco interruzione Non vi sono rimedi davvero efficaci. Con un attrezzatura adeguata si può causare una forte interferenza nella banda dei 2.4 GHz (jamming) tanto da far cadere il segnale radio. apparati Bluetooth cordless forni a microonde Se una WLAN viene messa fuori servizio da un jammin non è compromessa l integrità dei dati sensibili. 58
Sicurezza: attacco inserzione e contraffazione INSERZIONE E CONTRAFFAZIONE soluzione: AUTENTICAZIONE SSID (Service Set ID): singola password condivisa tra Access Point e Client, deve essere uguale su tutti i dispositivi di una WLAN. CHIUNQUE PUÒ SNIFFARLO filtro sui MAC address. Su ogni Access Point = lista dei soli ed unici MAC address abilitati all utilizzo delle risorse WLAN: Access Control List. Il MAC address è legato all HW del dispositivo wireless: è un codice di 48 bit unico a livello mondiale ed è di più difficile contraffazione. Questo metodo di Autenticazione è adatto solo a reti di piccole dimensioni per la pesantezza della manutenzione delle liste (una per AP): ci vorrebbe una gestione centralizzata e dinamica. 59
Sicurezza: AUTENTICAZIONE 802.1X 802.1x: protocollo di autenticazione nato per reti wired che si è evoluto in modo da funzionare anche per reti wireless. TRE SOGGETTI: Utente (chi si deve autenticare) AP (autenticatore) Server di autenticazione (RADIUS o altro) Viene poi stabilita la modalità di utenticazione 60
Sicurezza: AUTENTICAZIONE 802.1X Autenticatore Chi si deve autenticare Protocollo EAPOL: specifico per scambi via etere Server Autenticazione Autenticatore Protocollo EAP (Extensible Authentication Protocol ) Solo gli apparati ed i sistemi operativi più recenti supportano 802.1x, in particolare Windows XP e Windows 2000 61
Sicurezza: AUTENTICAZIONE 802.1X Server Radius autentica l utente Quando e solo se l autenticazione ha avuto successo l AP rende disponibile il servizio di rete Uno dei modi in cui può avvenire il processo di autenticazione è lo scambio cifrato di nome utente e password. 62
Sicurezza: AUTENTICAZIONE 802.1X Possibilità di attacchi man in the middle, dovuti all unidirezionalità del processo di autenticazione. 63
Sicurezza: attacco intercettazione E sufficiente essere nel raggio di copertura radio. Come attrezzatura è sufficiente un portatile o un pda con una scheda wireless. Il rimedio all intercettazione è la segretezza, che si può ottenere adottando le seguenti accortezze: riducendo il più possibile l area di copertura, con l ausilio di antenne direzionali; utilizzando la cifratura dei dati trasmessi in aria: WEP e/o VPN- IPSec. Problema che investe la protezione dei dati personali. 64
WEP: Wired Equivalent Privacy CHIAVE SEGRETA Testo in chiaro Testo cifrato network Testo cifrato Testo in chiaro WEP (Wired Equivalent Privacy) scelto dal comitato IEEE 802.11 come standard per la cifratura. algoritmo di cifratura RC4 chiavi condivise (shared key) di lunghezza variabile da 40 a 104 bit soluzioni proprietarie fino a 256 bit anche per l autenticazione con l AP 65
WEP: Wired Equivalent Privacy VULNERABILE! la chiave pubblica chiamata Initializing vector (IV) è troppo corta (24 bit) ed espone la rete ad attacchi di criptoanalisi con cui si riesce a ricavare la chiave segreta. Osservando i pacchetti cifrati con lo stesso Vettore di Inizializzazione si hanno delle forti correlazioni tra i bit (perché sono cifrati con la stessa maschera) e con un buon numero di pacchetti sniffati si ricava la chiave segreta. 66
Virtual Private Network Una Virtual Private Network (VPN): rete dedicata a uno specifico cliente (in questo senso Privata) utilizzando però, in alternativa ai classici circuiti dedicati in uso esclusivo, una o più reti pubbliche in modalità condivisa (in questo senso Virtuale). canale privato, sicuro e blindato tra client e server, attraverso l uso di specifici protocolli di comunicazione insieme a sistemi di autenticazione, cifratura e tunnelling. 67
Virtual Private Network Tunnelling: è il processo di incapsulamento di un pacchetto di una rete dentro un altro che consente, tra le altre numerose funzioni, di nascondere l indirizzo IP del vero mittente e ricevente. Il pacchetto che viaggia attraverso Internet è cifrato e solamente gli indirizzi pubblici della VPN (Gateway o Client) sono notificati durante il trasporto. Il sistema funziona anche in presenza di indirizzi IP dinamici, assegnati da un provider qualunque. Un gateway è un elemento che dispone di varie interfacce verso i componenti della rete e di diversi protocolli di cifratura e decifratura del traffico che lo attraversa [www.iec.org] 68
Virtual Private Network COMPONENTI DI UNA VPN: 1. Gateway 2. Client GATEWAY: elemento che dispone di varie interfacce verso le diverse componenti della rete e di diversi protocolli di cifratura e decifratura del traffico che lo attraversa. CLIENT: installato su un computer, anche portatile, è in grado a sua volta di cifrare selettivamente il traffico che trasmette e riceve dalla rete geografica protetta dal gateway della VPN. 69
Virtual Private Network Il traffico di una VPN viene indirizzato verso un server remoto attraverso un normale indirizzo IP, ma, passando attraverso il dispositivo della VPN, viene cifrato e inserito in una procedura di tunnelling che lo instrada automaticamente verso la rete remota a cui è destinato. Quando il gateway di questa rete riceve il pacchetto di dati cifrati, verifica l identità del mittente e l integrità del pacchetto, quindi lo decifra e lo distribuisce la destinatario senza modificarlo. Gli algoritmi utilizzati per la cifratura dei dati sono diversi a seconda del tipo di VPN utilizzato, come ad esempio IPSec (Internet Protocol Security), PPTP (Point-to-Point Protocol) 70
WPA: il presente della sicurezza WPA= Wi-Fi Protected Access È un sottoinsieme dell 802.11i, di cui raccoglie gli elementi già stabili, per portarli il prima possibile al mercato. WPA: maggiori garanzie di sicurezza impiego del Temporary Key Integrity Protocol (TKIP): gestisce dinamicamente le chiavi e fa un controllo di integrità del pacchetto - è responsabile della generazione di una nuova chiave WEP per ciascuna sessione instaurata. introduce anche una serie di regole per la generazione degli IV, per il rilevamento di attacchi di forza bruta e per la costruzione della chiave che viene usata dall algoritmo RC4. 71
802.11i: il futuro della sicurezza 802.11i: caratteristiche richiede cambio di hardware (no upgrade); miglioramenti dedicati alla sicurezza: gestione chiavi dinamiche (TKIP Temporal Key Integrity Protocol); meccanismo di cifratura di sessione; cambio algoritmo di cifratura: si passerà da una cifratura a cipher ad una cifratura a blocchi; miglioramento del Message Integrity Check; autenticazione tramite 802.1x (EAP ) o pre-shared key (per reti senza radius); ancora non definiti: secure de-authentication, secure handoff, secure disassociation. 72
Sicurezza: quindi??? SSID e WEP sono deboli, ma vanno utilizzati ugualmente, perché fanno perdere tempo all hacker. Infatti in molti casi superare queste barriere richiede molto più tempo di quanto la maggior parte della gente sia disposta ad aspettare. Ma per avere un sistema di sicurezza allo stato dell arte secondo le tecnologie attuali indichiamo una serie di accorgimenti, in ordine crescente di 73
La scala della sicurezza 1. Irradiare il segnale solo dove necessario tramite antenne direzionali e con il controllo della potenza dove possibile; 2. impostare SSID diverso dal default e non diffonderlo in broadcast. 3. attivare l encryption WEP; 4. abilitare il filtro sui MAC address (Access Control List); 5. utilizzare apparati WLAN compatibili 802.1x ed implementare sistemi di autenticazione RADIUS; 6. utilizzare firewall per controllare meglio il traffico tra la WLAN (in DMZ) ed il resto della rete; 7. Utilizzare tunnel VPN (tramite firewall o appositi gateway) per cifrare le comunicazioni più sensibili. 74
Riferimenti Il mondo digitale, Ciotti-Roncaglia,Edizioni Laterza, 2001 http://www.parc.xerox.com/about/default.html www.wi-fi.org/opensection/members.asp?tid=2. http://www.nomad-village.it/testo_completo.asp?idarticolo=481, http://grouper.ieee.org/groups/802/11/reports/tgi_update.htm www.iec.org/online/tutorials/vpn www.802.11.info.com/publications/page319.asp http://www.cisar.it/wifi/documenti/dsss_o_fhss.pdf http://www.securitywireless.info/ http://www.wireless-italia.com/ www.nomad-village.it 75
GRAZIE PER L ATTENZIONE!!!! 76