Wireless Security - INFN Gruppo Collegato di PARMA

Transcript

Wireless (in)Security
Franco Brasolin
Servizio di Calcolo e Reti
Sezione INFN di Bologna
II INFN Security Workshop – Parma, 24-25 Febbraio 2004
Introduzione
› L’evoluzione della tecnologia Wireless ha portato ad una crescita
›
›
›
›
costante in termini di produttività e facilità di utilizzo: easy-ofuse.
Aumentano però anche i rischi per i sistemi e le informazioni.
Esistono diverse tecnologie Wireless: nel giro di pochi anni ci sarà
una sempre maggiore integrazione tra i diversi apparati, destinati
ad essere sempre più piccoli, potenti, veloci e versatili. Gli utenti
necessiteranno di una sempre maggiore integrazione WirelessWired.
I miglioramenti in termini di facilità di utilizzo hanno un costo e
devono andare di pari passo con l’evoluzione della sicurezza.
La sicurezza va anticipata! Più conosciamo i rischi connessi alla
tecnologia Wireless e meglio riusciremo a proteggerci.
II INFN Security Workshop – Parma 24-25 Febbraio 2004
2
Wireless Standard 802.11
›
›
›
›
›
›
›
›
›
Basate sullo standard IEEE 802.11, nato per supportare trasmissioni
radio veloci su medie distanze.
’97 802.11
1-2 Mb/s
’99 802.11a
54 Mb/s 5 GHz - USA
’99 802.11b
11 Mb/s 2.4–2.48 GHz è il più diffuso
802.11d
permetterà di soddisfare i requisiti necessari in
certi paesi per poter usare alcune freq. (5 GHz).
‘03 802.11e
supporto per CoS e QoS su 802.11 a,b & g
‘03 802.11f
interoperabilità tra i diversi Vendor
‘03 802.11g
54Mb/s 2.4 GHz - compatibile con 802.11b
’03 802.11h
soddisfa i requisiti europei per l’utilizzo dei 5GHz
’03 802.11i
aumenta la sicurezza: nuovi metodi di criptazione
e autenticazione alternativi a WEP. Applicabile a
802.11 a,b & g
3
Rischi
› I device Wireless sono sempre più piccoli: possono essere
›
›
›
›
facilmente rubati o nascosti
Man-in-the-middle: utenti maliziosi possono interporsi tra
source e target e apparire come un AP (non autorizzato)
catturando informazioni (passw ecc.) in entrambi i sensi.
I device Wireless sono sempre più intelligenti introducendo
nuove possibilità di attacchi da virus.
La complessità delle reti Wireless è in aumento e molti
amministratori non implementano tutte le features possibili,
creando grosse falle di sicurezza.
Considerate gli AP come accessi dall’esterno.
4
Contromisure
›Il punto cruciale è dato da Identification & Authentication: è il
processo con cui la rete verifica l’identità di un utente per un utilizzo
autorizzato.
›La maggior parte degli apparati implementa sistemi di autenticazione
“deboli”: l’ideale sarebbe una “two factor authentication” che faccia
uso di qualcosa che l’utente ha in suo possesso e di qualcosa che
l’utente sa (PIN, biometric, ecc.).
›Fare uso di applicazioni che supportino una completa end-to-end
encryption (SSL based).
›Utilizzare firme digitali per garantire l’integrità dei dati.
E’ necessario bilanciare i vari aspetti: complessità, facilità
di utilizzo, efficacia, affidabilità con le performance
richieste e i costi.
5
il PROGETTO (1)
Per poter utilizzare una rete Wireless nel modo più sicuro possibile è
essenziale studiare un PROGETTO che tenga conto dei seguenti punti:
› POLICY
› Struttura della Wired-LAN esistente
› Sicurezza:






Scelta HW
Analisi segnale radio (evitare copertura extra edifici)
Autenticazione (user/pwd, ldap, radius, x509, MAC ...)
Monitoring
Logging
Sniffing
6
il PROGETTO (2)
›
›
›
›
›
Analisi interferenze radio
AP adiacenti: devono usare canali diversi
Documentazione
Scalabilità
Esigenze degli utenti:
 Copertura radio
 Timeline in cui necessitano del servizio
 Ospiti
 Servizi richiesti
 compatibilità (o incompatibilità) hw esistente
 Banda
7
›
›
›
›
›
›
›
›
›
›
›
POLICY
Definire che l’accesso Wireless non permette di utilizzare la rete
nello stesso modo in cui si usa la connessione Wired.
Definire chi può usare WLAN.
Definire chi può installare e gestire AP.
Definire luoghi sicuri per gli AP.
Richiedere l’aggiornamento SW degli apparati con le patch di
sicurezza e nuove release disponibili.
Definire standard di configurazione per gli AP.
Definire modalità per effettuare AP discovery.
Definire quali classi di dati si possono trasmettere su Wireless.
Divieto di divulgare info per setup (SSID, Wep Key…).
Aggiornare e distribuire la Policy agli utenti.
Fornire documentazione per:
- configurazione dei client Wireless.
- segnalazione di incidenti e furti AP.
8
HW: quale scegliere?
›
›
›
›
›
›
HW che permetta di implementare tutti i requisiti di sicurezza
stabiliti nella policy (WEP, VPN, Radius…).
che sia il più omogeneo possibile (WECA).
Verificare che il segnale radio abbia le caratteristiche di portata,
copertura, attenuazione e direzione desiderate anche in base ad
eventuali fonti di interferenze.
Scegliere le antenne (direzionali o omni-direzionali) che meglio si
adattano alle vostre esigenze: l’obiettivo è fornire il miglior
segnale radio agli utenti, limitandolo al di fuori delle zone
interessate.
Che sia affidabile, scalabile e che il vendor fornisca patch di
sicurezza e assistenza.
Attenzione alla compatibilità 802.11g – 802.11b!
9
Soluzioni note: MAC, servizi, porte e WEP
› Blocco MAC Address: semplice ma poco sicura, applicabile solo per
realtà limitate – affiancare almeno attivita’ Logging.
› Bloccare SNMP per evitare riconfigurazioni degli AP.
› Bloccare ICMP per evitare DoS.
› Aprire solo le porte per i servizi definiti nella policy (ssh, imaps, http,
https ecc.).
› WEP cifra le comunicazioni tra il client e l’AP utilizzando chiavi che
devono essere settate sia sull’AP che sui client. Svantaggi:
 è “debole”: sniffando poche ore di trasmissione è possibile scoprire le chiavi.
 802.11 non prevede meccanismi automatici per la sostituzione delle chiavi: nelle
grosse organizzazioni diventa difficile (impossibile) sostituirle manualmente.
 alcuni Vendor implementano meccanismi per la rotazione delle chiavi o di key
management: usateli!
 Tool “esterni” per key management: Cisco EAP & RADIUS
 DHCP (Linux) modificato per fornire oltre a IP Address anche WEP Key (
www.hpl.hp.com/techreports/2001/HPL-2001-227.pdf)
10
Possibili soluzioni: controllo MAC Address
› Usare ARPwatch per segnalare modifiche o nuovi MAC
address non autorizzati.
› E’ possibile effettuare controlli automatici sui MAC
Address che circolano sulla LAN. Molte attività illecite
vengono eseguite utilizzando indirizzi MAC falsi. Lo script
Perl MAIDWTS.PL analizza i MAC Address e segnala quelli
in cui i primi 3 byte non sono assegnati a nessun Vendor.
http://home.jwu.edu/jwright/perl.htm
Analizzando i log e/o i db degli switch si può tentare di
risalire a chi sta effettuando queste operazioni.
11
Possibili soluzioni:
MAC Address (3)
Esempio di output di MAIDWTS.PL:
Alert:
Alert:
Alert:
Alert:
Alert:
Alert:
Alert:
Alert:
Alert:
Unallocated OUI
Unallocated OUI
Unallocated OUI
Unallocated OUI
Unallocated OUI
Unallocated OUI
Unallocated OUI
Unallocated OUI
Unallocated OUI
prefix for
prefix for
prefix for
prefix for
prefix for
prefix for
prefix for
prefix for
prefix for
address
address
address
address
address
address
address
address
address
901908004500
9a360064e0e0
9f5b003baaaa
9f5b60022000
a19560077000
a39560077000
a4d708004500
a6d708004500
a92708060001
12
Possibili soluzioni:
WPA - WiFi Protected Access (1)
Per superare la debolezza della cifratura WEP, il Working Group
802.11 ha lavorato su un nuovo Security Protocol, che possa garantire
una sicurezza equivalente a quella delle reti Wired.
Il risultato è stato WPA (WiFi Protected Access). E’ progettato per
essere installato come Firmware Upgrade per l’HW che già
implementa WEP, aggiungendo un ulteriore livello di sicurezza, e per
essere compatibile con lo standard 802.11i (RSN = Robust Secure
Network). Utilizza la cifratura TKIP (Temporary Key Integrity
Protocol) e l’autenticazione è basata su 802.1X e EAP (Extensible
Authentication Protocol).
13
WPA - caratteristiche: (2)
›Genera periodicamente e automaticamente una nuova chiave per ogni
client.
›Implementa un meccanisco di controllo dell’integrità del messaggio
(MIC: Message Integrity Code, 8byte) più rubusto di quanto non faccia
WEP con ICV (Integrity Check Value, 4byte).
›L’autenticazione è basata su 802.1X: inizalmente il client si autentica
sull’AP, poi WPA si interfaccia con un Authentication Server (Radius o
LDAP).
›Se un client manda almeno due pacchetti ogni secondo con chiavi
sbagliate, l’AP termina TUTTE le connessioni per un minuto! Questo
meccanismo di protezione può essere usato per provocare DoS.
›La disponibilità sotto forma di Firmware Upgrade preserva gli
investimenti già fatti.
›Lo standard 802.11i sarà backward compatible con WPA, ma includerà
anche un miglior sistema di cifratura (AES, Advanced Encryption
Standard) opzionale: AES richiede infatti un coprocessore non
disponibile in tutti gli AP.
14
Possibili soluzioni: VPN (1)
› Permette di cifrare tutto il traffico, eliminando le
debolezze della cifratura WEP.
Possibili scenari :
5. Il VPN server provvede a tunnellizzare il traffico tra il
client wireless e la macchina di destinazione, mentre un
server Radius provvede all’autenticazione.
6. L’AP svolge funzioni di VPN Server e protegge tutto il
traffico dei client Wireless.
15
Possibili soluzioni: VPN (2)
Vantaggi:
› A differenza di WEP le chiavi sono cambiate ad
intervalli di tempo predefiniti.
Svantaggi:
› Le prestazioni sono inferiori: il tunneling aumenta
›
l’overhead.
Aumenta la complessità: difficoltà nei setup e
nell’amministrazione.
16
Altre possibili soluzioni: single FW (1)
17
Altre possibili soluzioni: dual FW (2)
18
Altre possibili soluzioni: (3)
19
Logging (1)
› Fare logging centralizzato attività AP: servono anche in
caso di incidenti.
› Esaminare i LOG !!!
› Attività di War Driving possono essere scoperte
controllando i log del DHCP: creando filtri e script si
possono evidenziare le richieste dei MAC Address non
autorizzati.
› Un semplice script via crontab ogni notte esegue
controlli incrociati sul log file Wireless centralizzato e
su /etc/dhcpd.conf; permettere di notificare all’utente
(via mail) le attività Wireless effettuate con il suo MAC
Address autorizzato.
20
Logging (2)
Un esempio di quanto viene notificato all’utente:
Subject: attività Wireless di Brasolin Gruppo CCL
Questo è il log delle attività WIRELESS relative al MAC ADDRESS 00:0A:F4:9C:49:54
registrato a nome: Brasolin nel DHCP server della sez. INFN di Bologna
Controllate attentamente GIORNO e ORARIO di utilizzo: se NON corrispondono a vostre attività
AVVISATE SUBITO il SERVIZIO di CALCOLO e RETI tel: 95223 mail: [email protected]
allegando questo mail e specificando quali accessi non sono stati fatti da voi.
Feb 16 19:37:38 ml2wl ml2wl (Info): Station 000af49c4954 Authenticated
Feb 16 19:37:38 ml2wl ml2wl (Info): Station 000af49c4954 Associated
Feb 16 19:37:41 ml2wl ml2wl (Info): Deauthentication from [?dhcpi164]000af49c4954, reason "Sender is Leaving (has left) ESS"
Feb 16 19:37:54 ml2wl ml2wl (Info): Station [?dhcpi164]000af49c4954 Authenticated
Feb 16 19:44:28 ml2wl ml2wl (Info): Deauthentication from [dhcpi169]000af49c4954, reason "Sender is Leaving (has left) ESS"
Feb 16 19:45:21 ml2wl ml2wl (Info): Station [dhcpi169]000af49c4954 Authenticated
Feb 16 19:45:21 ml2wl ml2wl (Info): Station [dhcpi169]000af49c4954 Associated
Feb 16 20:16:42 ml2wl ml2wl (Info): Deauthenticating 000af49c4954, reason "Inactivity"
21
Sniffer & Tools
Per poter capire cosa succede nell’”aria” è fondamentale utilizzare tool
che vi permettano di avere la situazione sotto controllo.
Sono disponibili in rete diversi Sniffer (Win & Linux, free e/o a
pagamento) che permettono di rilevare attività Wireless:
www.netstumbler.com
›Network Stumbler (Win Free)
www.loud-fat-bloke.co.uk/w80211.html
›Widz (Linux Free)
www.pctel.com/prodSegRC.html
›PCTEL (Win a pagamento)
›AiroPeek (Win a pagamento) www.wildpacktes.com/products/airopeek
ngrep.sourceforg.net
›Ngrep (linux)
www.kismetwireless.net
›Kismet
airsnort.shmoo.com
›AirSnort
airtraf.sourceforge.net
›AirTraf
22
Sniffer: Airopeek (1)
› Localizza AP e client Wireless
› E’ in grado di decifrare Wep Key, sia on-the-fly sia
›
›
›
›
›
›
successivamente
Security Audit
Diagnostica per 802.11
Grafici potenza segnale, possibilità di settare allarmi
analisi VoIP
schede supportate: www.wildpackets.com/support/hardware/airopeek
Per Windows, a pagamento:
www.wildpackets.com/products/airopeek_nx
23
Sniffer: PCTEL
›E’ un “Roaming Client” con supporto WPA
›supporta Wi-Fi, GPRS, Bluetooth, e Infrared connections
›Supporto per le schede Wireless più diffuse
›Può connettersi automaticamente a WLAN e WWAN
›Individua e connette il client alle WLAN disponibili.
›L’interfaccia grafica permette di settare i parametri per la
connessione (SSID, WEP, security), individua Hot Spot
›Per Windows, a pagamento:
www.pctel.com/prodSegRC.html
24
HostAP
E’ un driver che permette di usare un PC come un AP:
› scheda Wireless con chip Intersil Prism
› Linux: Kernel 2.4.20-13.9.HOSTAP
› rpm disponibile per RH 8.0 e 9:
www.cat.pdx.edu/~baera/redhat_hostap/
› Permette di modificare alcuni parametri sulla
scheda, tra cui la possibilità di stare in ascolto
passivo, per analizzare tutti quello che passa.
http://hostap.epitest.fi/
25
Sniffer: Widz
› Sniffer linux in grado di rilevare AP e wireless client
› Può utilizzare white & black list e visualizzare di
›
›
conseguenza in modo diverso quello che viene rilevato
dall’interfaccia Wireless.
Può eseguire script in corrispondenza di eventi
predefiniti.
Necessita di HostAP (quindi di schede con chip
Prism2)
http://www.loud-fat-bloke.co.uk/w80211.html
26
Widz in azione:
Alert NON whitelist mac
essid XXXXXXX packet_type Beacon mac1
000625c5e802 mac3 000625c5e802 mac4 000000000000
ffffffffffff mac2
essid YYYYYYY packet_type Beacon mac1
0080c8034b76 mac3 0080c8034b76 mac4 000000000000
ffffffffffff mac2
essid ZZZZZZZ packet_type Beacon mac1
00409658a7cd mac3 00409658a7cd mac4 000000000000
ffffffffffff mac2
essid packet_type Data mac1
0080c8034b76 mac3 005004edfc5b mac4 05000000bb11
ffffffffffff mac2
essid XXXXXX packet_type Beacon mac1
00c049ca1c3a mac3 00c049ca1c3a mac4 000000000000
essid packet_type Data mac1
00c049ca1c3a mac3 00304827adf0 mac4 aaaa03000000
ffffffffffff mac2
01005e02b932 mac2
27
Antisniffer: FakeAP
Se non è possibile nascondere completamente la vostra
Wlan, si possono confondere le idee ai WarDriver.
FakeAP (Perl Script) è in grado di generare segnali radio
per simulare fino a 53000 Wlan, con diversi SSID, canali,
WEP keys e Txpower.
› Linux
› richiede hostAP
http://www.blackalchemy.to/project/fakeap/
28
FakeAP in azione:
29
Rogue AP
NESSUNO deve installare AP non autorizzati.
Un AP non autorizzato (rogue AP) può presentarsi al client
come un AP “ufficiale”.
›Con 802.1x è possibile per il client Wireless autenticare l’AP
›Verificare i MAC Address sulla LAN con l’inventario degli
AP ufficiali
›Non lasciare socket wired “libere” in locali “open”, bloccare i
MAC Address degli AP sugli switch.
30
Rogue AP: come trovarli?
› nmap: è intrusivo, lento su network estese, falsi positivi
# nmap –sT –sU –O –p 23,80 x.y.z.k
› sniffer: limitati dal range del segnale radio
› snmp: non sempre è abilitato
# snmpwalk x.y.z.k passw .1.3.6.1.4.1.522.3.1
› APTools (Windows e Linux): si connette al router di accesso e
confronta i MAC Address presenti nell’ARP table con quelli assegnati
a Vendor Wireless. Se ne trova, tenta di recuperare la
configurazione dell’AP via html.
 è più veloce: controlla solo IP presunti Wireless.
 è possibile preparare liste di router/switch da controllare
 se disponibile, può utilizzare Discovery Protocol (CDP)
 sviluppato e testato con router e AP Cisco.
aptools.sourceforge.net
31
HandHeld Sniffer (1) – IBM WSA
› prototipo IBM WSA
› iPAQ PDA - Linux
› 802.11 wireless LAN security
auditor
› è in grado di individuare reti
Wireless e di verificarne il livello di
sicurezza
www.research.ibm.com/gsal/wsa/
32
HandHeld Sniffer (2) - HP
›Analyzer per test & security
›HP iPAQ 4355 pocket PC
›WLAN 802.11b e bluetooth
›500$ www.amazon.com
33
HandHeld Sniffer (3) - Compaq
›Analyzer per test & security
›Compaq iPAQ con interfaccia
Wireless e Segue Analyzer sw
›Wi-Fi (802.11 a/b)
›WLAN & WWAN
›Monitor per traffico, identifica
interferenze, scopre client e AP non
autorizzati
›report throughput
›Misura parametri network e radio
›Attacco per GPS esterno
www.pctel.com/prodSegAnal.html
34
HandHeld Sniffer (4) - Fluke
›
›
›
›
Linux iPaq
Rogue AP detection
Mappa AP
verifica connettività
wireless client
www.flukenetworks.com/us/LAN/handheld+Testers/WaveRunner/Overview.html
35
CheckList versione 2004 (1)
› Preparare una Policy adeguata.
› Acquistare apparati che permettano di implementare tutti requisiti
›
›
›
›
›
›
di sicurezza stabiliti, e che permettano di attuare upgrade fw & sw:
mantenerli aggiornati.
Installare gli AP in luoghi protetti, accessibili solo al personale
autorizzato dove nessuno possa eseguirne un reset o rubarli; lontano
da finestre e porte esterne.
Verificare la portata del segnale radio, anche all’esterno degli
edifici.
Non usare i parametri di default sugli apparati Wireless.
Mantenere un inventario di tutti gli AP e dei relativi MAC Address.
Inventariare le schede Wireless e i relativi MAC Address.
Standardizzarsi su una marca/modello di schede Wireless.
Cambiare SSID usando nomi non noti, disabilitare SSID broadcast.
36
CheckList (2)
› Cambiare/Creare Username/Password per management AP.
› Bloccare il Mac Address dell’AP sulla porta dello switch a cui è
›
›
›
›
collegato.
Utilizzare range di Ip Address dedicati.
Configurare gli AP in una VLAN separata per poter gestire, filtrare
e monitorare il traffico in modo differenziato.
Sul router perimetrale filtrare indirizzi DHCP assegnati ai client: in
Input (completamente) e in Output (solo servizi desiderati).
Filtrare anche IP address AP.
Se si usa DHCP esterno, via Crontab è possibile fermare questo
servizio quando non serve (di notte, nei weekend).
37
CheckList (3)
› Usare un numero di Canale diverso per AP adiacenti, per evitare
›
›
›
›
›
›
interferenze e cadute di prestazioni.
SNMP: se non serve disabilitarlo, o almeno cambiare la default
passw – sia in rw che in ro – Utilizzare prodotti con snmpV3.
Assicurarsi che tutti i parametri relativi alla sicurezza siano stati
modificati rispetto al valore di default.
Disabilitare sull’AP tutti i protocolli non sicuri e non necessari.
Abilitare tutte le funzioni di sicurezza disponibili: “WEP privacy” o
802.1x-EAP.
Utilizzare la chiave di cifratura più lunga possibile (acquistare AP
che siano in grado di gestire chiavi a 128 bit).
Sostituire periodicamente le chiavi.
38
CheckList (4)
› Autenticazione: permettere l’accesso solo a client autorizzati
›
›
›
›
›
›
›
(username/passw, smart cards, biometrics, PKI).
Usare ACL per limitare l’accesso a MAC address autorizzati.
Se sono implementate VPN, usare IPSec tunneling tra il Wireless
client & VPN Box.
Configurare Logging, anche su Logserver remoto.
Utilizzare IDS per Wireless.
Preparare e distribuire documentazione agli utenti (configurazioni
client e rischi – chiusa all’esterno! ).
Mantenere configurazioni omogenee su tutti gli AP.
Salvare configurazioni degli AP.
39
Conclusioni: la sicurezza a strati
› Una rete Wireless protetta richiede una combinazione di security
›
›
›
›
›
›
intelligence, policy adeguata, conoscenze, tattica; formazione e
compartecipazione degli utenti.
Non esiste al momento un unico strumento che permetta di avere una rete
wireless SICURA. Esistono però tool e settaggi che possono essere visti
come diversi strati di sicurezza: più se ne implementano e minori saranno i
rischi.
La sicurezza non è statica! Nuovi problemi invariabilmente si
presenteranno e andranno risolti conseguentemente.
Bisogna valutare i costi per mantenere una rete Wireless sicura rispetto ai
costi di ripristino dovuti a intrusioni.
802.11 ha meccanismi di sicurezza deboli: è fondamentale usare server
esterni (Radius, VPN) per autenticazione e cifratura.
Apparati omogenei consentono un management semplificato.
E’ essenziale studiare e utilizzare strumenti di monitoring che permettano
di avere un quadro completo della rete (Wireless & Wired) sia per
risolvere malfuzionamenti sia in casi di attacchi.
40
Riferimenti:
› Hack Proofing your wireless network (Syngress) www.amazon.com
› Maidwts.pl: home.jwu.edu/jwright/papers/wlan-mac-spoof.pdf
› HostAP: trekweb.com/~jasonb/articles/hostap_20030727.shtml
› Wireless LAN Security Tools:
802.11-security.com/wardriving/tools
› Sniffer: www.blacksheepnetworks.com/security/resources/wireless-sniffers.html
› WPA Overview:
www.weca.net/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf
› Cisco – Antenne:
www.cisco.com/en/US/products/hw/wireless/ps469/products_data_sheet09186a0080092285.html
› Comparazione HW Wireless:
www.seattlewireless.net/index.cgi/HardwareComparison?action=print
› WLAN Analyzer: www.nwfusion.com/reviews/2003/0414rev.html
› Google wireless security ma soprattutto:
insecurity !!!!
Google wireless
41
Grazie!
Discussione:
Suggerimenti? Domande ?
42

Wireless Security - INFN Gruppo Collegato di PARMA

Transcript

Documenti analoghi

Sample Faculty Reference Letter

comunicato ufficiale n. 96 del 13 aprile 2016

ABI_Basilea 2016_CV Diego Travaini

INGLESE – FRANCESE – TEDESCO – SPAGNOLO PREZZO

Istituto Superiore Mario Boella (ISMB)

COME TROVARE IL MAC ADRESS? - Pinchetti e

GlobalTrust RMS

modulo di adesione - medi

Il-nostro-libro-sul - Itis Leonardo da Vinci

HELENE BINET / londra