Sicurezza e Wireless LAN
Da Security e-Book.
Per affrontare efficacemente il tema delle wireless LAN, è importante capire che non esiste “la soluzione”, ma esistono varie tecniche e componenti che permettono congiuntamente di proteggere meglio il sistema. Analogamente alla rete Internet, non esiste la totale sicurezza, ma l'obbiettivo è quello di rendere talmente alto lo sforzo per riuscire ad entrare nel sistema, che il valore del contenuto stesso non abbia più senso. Maggiore é il valore del contenuto da proteggere, maggiori devono essere le contromisure da adottare. Vedendo ad esempio i due opposti, è inutile e ingestibile adottare un sistema di crittografia avanzato per una bacheca aziendale, quanto insicuro usare le password di default sul database centrale. La protezione dei dati è tanto importante quanto importante è anche evitare l'uso improprio della propria LAN da parte di un intruso. Molto spesso, infatti, l'intruso non è interessato al contenuto di una rete (wireless o tradizionale), ma all'uso della stessa come “trampolino di lancio”, sia per camuffare le proprie traccie, sia perchè la rete attaccata a una relazione di fiducia con una rete terza a cui l'intruso puo' essere interessato. Un intruso ad esempio potrebbe essere interessato a entrare nella rete wireless di una agenzia di viaggi per raggiungere ed attaccare la rete della compagnia aerea a cui l'agenzia viaggi è collegata. In questo esempio la responsabilità penale dell'attacco potrebbe ricadere sull'amministratore di sistema dell'agenzia di viaggi che è comunque responsabile della macchina da cui è partito l'attacco. Fino a che le autorità giudiziarie non avranno dimostrato che l'attacco è stato provocato da un intruso attraverso opportune indagini, l'amministratore di sistema sarà responsabile di tale attacco.
Nei capitoli precendenti abbiamo visto quali sono le “armi” tecnologiche che possono essere adottate per proteggere le wireless LAN. Tenendo conto del metro di giudizio relativo al contenuto da proteggere, si possono delineare quattro tipologie di ambienti. I primi due ambienti, che chiameremo SOHO (Small Office, Home Office) e PMI (Piccola e Media Impresa), in cui la protezione delle wireless LAN è più focalizzata sulla problematica di evitare l'uso improprio della propria rete wireless, mantenendo comunque una certa confidenzialità dei dati. Nel terzo, che chiameremo Corporate, in cui non solo è importante evitare che un intruso entri nella rete wireless, ma soprattutto che la confidenzialità e la autenticazione dei dati siano parte essenziale della soluzione. Nel quarto caso, quello degli ISP (Internet Service Providers) e degli Operatori Mobili invece la confidenzialità dei dati non é importante quanto quello di identificare univocamente l’utente per fatturarne il consumo.
La suddivisione affrontata in questo capitolo é puramente indicativa e basata sull’esperienza dell’autore. Scegliere di adottare una soluzione rispetto all'altra è una questione meramente “filosofica” dell'amministratore di rete. Qualora si decida di sposare la soluzione SOHO, PMI o Corporate è bene applicare le regole basilari di sicurezza degli Access Point contenute nel paragrafo Regole di base del Capitolo 2 e fare periodici auditing della propria wireless LAN al fine di evitare che un utente colleghi alla rete interna Access Point non autorizzati.
| Tecnologie/ Ambienti di utilizzo | SOHO | PMI | Corporate | ISP/Operatori Mobili |
|---|---|---|---|---|
| Regole di base | X | X | X | |
| Proxy | X | X | ||
| PPPoE | X | X | X | |
| IEEE 802.1x | X | X | X | |
| WPA | X | X | X | X |
| IPSec | X | |||
| IDS e HoneyNet | X |
Indice |
Ambienti SOHO
Negli ambienti Small Office Home Office, tipicamente abitazioni private e piccoli uffici, è importante focalizzarsi nel mantenere privata la rete wireless. In particolare lo scopo è evitare che un intruso entri illegalmente nella propria rete e la sfrutti per attaccare altri siti. I dati contenuti solitamente in questa tipologia di ambiente non ha informazioni vitali, oppure non giustificano, sia da un punto di vista di set-up che di amministrazione, una infrastruttrara di sicurezza molto complessa.
Per le utenze domestiche e per alcuni piccoli uffici la semplice applicazione delle regole di base descritte nel Capitolo 2 sono sufficienti a proteggere la rete da intrusioni. Per i piccoli uffici che dispongono di uno o più server, ma che non hanno un dipartimento IT dedicato, è consigliabile unire alle tecniche di base degli Access Point anche un accesso tramite la tecnologia PPPoE, descritta nel capitolo 4, o tramite un Proxy (Capitolo 3). Questa tecnica offre agli utenti una buona protezione dagli accessi indesiderati, mantenendo comunque una sufficiente confidenzialità dei dati grazie a WEP.
Ambienti PMI
La Piccola e Media Impresa (PMI) é talmente diffiusa sul territorio che rappresenta la maggioranza delle imprese italiane. Le PMI possono arrivare fino ad oltre un centinaio di dipendenti e non é raro trovare un dipartimento IT dedicato, seppur formato da poche persone. Sebbene si tratti di aziende con una forte concorrenza nel loro settore, lo spionaggio informatico è raro in questo ambito. Analogamente ad un ambiente SOHO, l’obbiettivo è pertanto mantenere privata la rete wireless ed evitare di essere usati come “ponte”, seppur mantanendo una certa confidenzialità dei dati.
In questo ambiente, è necessario coadiuvare le regole di base con un’altra tecnologia. Qualora si disponga di:
- un server Windows 2000 o superiore, tutti i client Windows 2000 o superiore, e uno o più Access Point che supportano IEEE 802.1x e/o WPA, sarebbe opportuno usare la tecnologia IEEE 802.1x.
- un proxy/firewall già installato con autenticazione dei client, ad esempio Microsoft ISA Server o Squid, é consigliabile usare la tecnologia Proxy.
- un Windows Server/Workstation o un router Cisco, client eterogenei tra di loro (Microsoft Windows, Linux, Apple MacOS, ecc...) e con la necessità di accedere a servizi non-web si consiglia di adottare la tecnologia PPPoE.
Ambienti Corporate
L'ambiente Corporate è costituito dalla grande impresa. In questa tipologia di ambiente ricadono coloro che necessitano di proteggere più il contenuto che un eventuale “join” alla rete wireless da parte di un intruso. Solitamente si tratta di un ambiente complesso, con amministratori di rete dedicati alla gestione dell'ambiente IT, e che molto spesso già dispongono di una VPN e di una infrastruttura PKI. Le persone che necessitano di accedere alla rete wireless hanno diverse esigenze e appartengono a diversi reparti, ad esempio i consulenti e il dipartimento vendite. Le informazioni a cui si ha accesso hanno un diverso grado di confidenzialità e sono solitamente ospitate su sistemi eterogenei, quali ad esempio Windows, Unix e Mainframe.
Per questo ambiente è consigliabile l'uso della tecnologia IPSec che fornisce sia controllo degli accessi, ma soprattutto offre un framework crittografico più ampio. Un gateway IPSec è in grado di fornire crittografia anche ai sistemi che non dispongono di tale tecnologia, ad esempio un AS/400 che con sistema operativo versione V2R3M0 non dispone di IPSec. È bene collegare la rete wireless ad un firewall perimetrale di accesso Internet come spiegato nel Capitolo 4, la rete wireless puo' essere facilmente paragonata alla rete Internet, pertanto è necessario classificare gli utenti wireless come se si stessero collegando da un'altra località remota.
Nel caso di eterogeneità degli utenti che accedono alla rete wireless è suggeribile usare lo standard IEEE 802.1X, qualora gli Access Point siano in grado di supportarlo. È utile raggruppare le categoria di utenti in apposite VLAN perchè si possono assegnare permessi di accesso alle VPN o ad altre risorse. In particolare è utile quando la rete wireless è condivisa tra più entità o aziende. Ad esempio, tutte le aziende di un palazzo o di un campus decidono di offrire accesso wireless mantenendo una infrastruttura comune ad un minor costo di gestione con una maggiore copertura radio. Ogni utente di una determinata azienda sarà categorizzata in una VLAN ben separata che a sua volta verrà collegata al proprio firewall perimetrale. Nella stessa VLAN è consigliabile posizionare una sonda Network IDS per monitorare eventuali attività sospette e notificare pertanto l'amministratore di rete o di sistema che potrà prendere opportuni provvedimenti.
L'uso di una HoneyNet è consigliato in casi molto particolari perchè la sua gestione è piuttosto onerosa. É necessario disporre di un team ben preparato sulle problematiche di sicurezza, solitamente chiamato Computer Incident Response Team (CIRT) che controlli sempre la HoneyNet e correli altri eventi di sicurezza presenti in azienda. È consigliabile usare una HoneyNet nel caso esista una palese evidenza logistica dell'azienda, esempio attraverso cartelli all'esterno, e nel caso il contenuto dei dati da proteggere sia fortemente sensibile. Ad esempio è il caso delle banche o istituzioni pubbliche, in cui la loro sede principale è di pubblico dominio, il loro contenuto è indubbiamente interessante e la probabilità di trovare una wireless LAN è molto alta. È probabile che un eventuale intruso si apposti nelle vicinanze e che, attraverso antenne direttive e con alto guadagno, l'intruso tenti di individuare un accesso wireless. In questi casi l'uso di una HoneyNet potrebbe contribuire a disorientarlo e a distrarlo nel tentativo di rintracciare la sua provenienza.
Gli utenti
Alcune volte si tende a sottovalutare l'aspetto degli utenti, ma è importante ascoltare le esigenze degli utenti e coniugarle con i requisiti di sicurezza dell'azienda. Ad esempio se per proteggere la rete wireless l'utente deve “affrontare” complesse procedure è possibile che questo sia demotivato all'uso delle stesse tentando di eluderle con un Access Point collegato alla rete interna. È consigliabile usare programmi con cui l'utente già si sente familiare, ad esempio accesso remoto o il sofware VPN che già usa, oppure automatizzare la distribuzione delle policy attraverso il Group and Policy Editor. È importante anche assegnare i giusti permessi all'utente, senza troppo limitarlo nelle sue azioni e senza permettergli l'accesso a tutta la rete aziendale.
L'utente pertanto deve avere la sensazione che attraverso pochi cambiamenti gli venga garantita la sua sicurezza e quella aziendale, senza avere ulteriori limitazioni.
Ambienti ISP e Operatori Mobili
Gli operatori di telefonia mobile GSM/UMTS sono i migliori candidati per offrire accesso pubblico tramite 802.11, in quanto già dispongono dei mezzi, dell’infrastruttura e dell’esperienza necessaria. A titolo di esempio basti pensare che affiché la rete GPRS funzioni é necessario che la BSC, ovvero la “scatola” che gestisce le antenne GSM, abbia un collegamento IP con la sede centrale tipicamente in Frame Relay. La strada da percorrere tra avere un collegamento IP già presente nella BSC e l’installazione di antenne e Access Points per la fornitura di accesso Wi-Fi é pertanto molto breve. Analogamente, alcuni ISP e operatori telefonici che dispongono di fibra ottica potrebbero essere interessati ad estendere i loro servizi al Wi-Fi ad esempio come sostituzione del “local loop”, ovvero dell’ultimo miglio in alternativa ai cavi in rame di Telecom Italia.
Qualsiasi sia lo scenario, l’uso pubblico della rete wireless é molto diverso dagli ambienti precedenti, dove é importante proteggere il contenuto dei dati in transito o l’accesso. Il modello di business legato agli operatori mobili e ISP é di identificare univocamente l’utente per motivi di billing, ad esempio un pay-per-use o la verifica che l’utente sia sottoscritto al servizio. Inoltre, non é possibile “offuscare” l’Access Point limitando la copertura radio, eliminando la propagazione del ESSID o usando chiavi WEP che cambiano continuamente. In uno scenario di copertura pubblica il segnale deve essere il più possibile diffuso, l’ESSID deve riflettere il nome dell’ISP (ad esempio: “TelecomLocale”), non devono esserci chiavi WEP impostate staticamente e non é possibile filtrare i MAC address dei client.
Tenendo conto dell’esigenze degli ISP e degli operatori mobili, le migliori tecnologie da poter utilizzare in questo ambito sono IEEE 802.1x e PPPoE. La scelta tra una delle due tecnologia è dettata da diversi fattori, tra cui il modello di business e i requisiti derivati dal marketing. Si vedano quali sono secondo l’esperienza dell’autore i vantaggi e gli svantaggi delle due soluzioni.
| Pro | Contro |
|---|---|
| IEEE 802.1x é il miglior metodo per l’autenticazione su reti Ethernet, in quanto non introduce overhead nella frame. | Il radius server deve supportare EAP. Inoltre deve supportare uno schema di autenticazione che permetta di usare le password, come ad esempio MD5 o PEAP. È sconsigliabile l’uso di TLS come metodo di autenticazione per il costo di produzione, distribuzione e mantenimento dei certificati X.509. |
| Si integra perfettamente con WEP per la distribuzione automatica delle chiavi attraverso la frame EAPOL-Key. | Gli unici OS che supportano nativamente IEEE 802.1x sono Windows 2000 e Windows XP. Altri sistemi operativi necessitano di appositi client con un costo aggiuntivo. |
| È alla base di WPA e IEEE 802.11i (WPA2). | Nessuna possibilità di identificare univocamente un client attraverso un IP statico. |
| Pro | Contro |
|---|---|
| Il client PPPoE è presente nella maggior parte dei sistemi operativi. Per gli OS in cui manca il client nativo, esistono versioni gratuite. | Non è possibile usare la crittografia WEP o WPA, ma si può sopperire usando l’estensione MPPE e raccomandando all’utente l’utilizzo di connessioni protette ai server (ad esempio HTTPS e IMAPS). |
| Nessun cambio dell’infrastruttura dial-up. Il PPPoE usa la stessa metodologia di accesso, quindi le stesse procedure di installazione, già in essere per i modem, ISDN e ADSL. | La grandezza del MTU non può essere maggiore di 1492, pertanto si hanno problemi di performance trasferendo una grossa mole di dati. |
| E’ possibile assegnare un indirizzo IP statico. | |
| È possibile crittografare la connessione attraverso MPPE. |
Il protocollo IEEE 802.1x é il migliore metodo per autenticare e profilare un utente su tecnologia ethernet. Inoltre é in grado di integrarsi con WEP, WPA e IEEE 802.11i (WPA2), offrendo una buona confidenzialità all’utente finale. Al contrario PPPoE deve avvalersi di MPPE per poter offrire un’analoga protezione dei dati dell’utente, di fatto escludendo a priori qualsiasi crittografia hardware come WEP o WPA.
Il grosso svantaggio di IEEE 802.1x é relativo soprattuto ai costi da affrontare per distribuire un software per l’autenticazione alla rete, in quanto al momento non tutti i sistemi operativi sono equipaggiati con tale client. Con PPPoE questo problema non esiste: tutti gli OS sono dotati di software per l’accesso PPPoE in quanto si tratta della stessa tecnologia usata nell’ADSL.
Sebbene la tecnologia IEEE 802.1x sia la soluzione perfetta per i client mobili quali portatili e PDA, potrebbe non esserla quando il Wi-Fi è usato come sostituto del “local loop”. La tecnologia PPP offre la possibilità di avere un IP statico, pertanto è l’ideale per le piccole e medie aziende che intendono erogare servizi verso Internet, ad esempio un mail server. Un altro vantaggio di PPPoE rispetto a IEEE 802.1x é che PPPoE si integra perfettamente in una infrastruttura dial-up esistente, ovvero modem, ISDN e ADSL. Integrandosi in tale infrastruttura l’ISP o l’operatore mobile potrà erogare servizi di Virtual Private Dial-up Network (VPDN) anche attraverso il Wi-Fi, ampliando quindi l’offerta di affitto della propria rete ad ISP più piccoli o ad aziende.
