Attualmente la tecnologia di connessione senza fili rappresenta uno dei settori più "caldi" del mercato IT. La maggior parte delle aziende ha già implementato reti LAN senza fili o sta esaminando i vantaggi e svantaggi legati all'uso di questa tecnologia.
I miglioramenti in termini di produttività riscontrati dagli utenti e l'attrattiva di reti che richiedono una manutenzione ridotta rappresentano vantaggi indiscutibili per i settori dell'Information Technology. Tuttavia, alcuni importanti aspetti di protezione hanno reso estremamente cauti, se non contrari, i responsabili del settore IT circa l'introduzione di reti LAN senza fili nelle proprie organizzazioni. Prima della realizzazione di una rete Wireless sarà necessario preoccuparsi della implementazione delle contromisure strategiche, ancor prima che l'infrastruttura senza fili sia utilizzabile dagli operatori.
Lo standard 802.11b/g è il preferito tra i canditati che si affacciano sul mercato delle reti wireless; i prodotti
di massa attualmente in circolazione lavorano a frequenze intorno ai 2.4 GHz 3 e 11Mbps/54Mbps di banda, prestazione più o meno comparabile a quella di una rete cablata (con i classici cavi di rete).
Le reti wireless risultano essere meno dispendiose delle reti tradizionali, sia nella loro installazione/implementazione che nella loro gestione e risoluzione dei problemi. Per contro, il compromesso sta nel fattore sicurezza. Accesso point pubblici e reti molto poco sicure rappresentano l'anello debole della catena dell'intero
network.
Un fattore di sicurezza basilare è la separazione di ciò che è cablato da ciò che non lo è. Ipotizzando uno scenario a norma, potremmo immaginare una rete classica blindata tra due bastioni di firewall, con quello interno che funge da connettore verso la rete wireless, più sistemi di intrusion detection che monitorano il traffico sul segmento di connessione tra firewall e access point.
L'access point stesso diventa quindi l'unico punto di contatto tra i client mobili ed il resto della rete. Esso possiede generalmente un indirizzo Ip dedicato per l'amministrazione remota via
SNMP (Simple Network Management Protocol). Gli stessi client wireless, che possono essere laptop, ma anche desktop o palmari, sono muniti di agenti
SNMP per la connessione remota. Ogni nodo, quindi, contiene un sensore che assicura la corretta configurazione del
network.
Minacce alle reti Wireless
Esistono in realtà diversi tipi e tools di attacco sui network wireless, ed il loro numero cresce continuamente sia in quantità, sia in qualità. Ovviamente nelle reti wireless l'informazione viaggia via etere, ossia su di un canale completamente sprotetto (l'aria) che si presta bene come superficie d'attacco per molti smanettoni e cracker.
Tra i diversi tipi di attacco ricordiamo il jamming, intercettazione dati, attacchi di inserimento, brute forcing, cryptoattacck e altri. Alcuni di questi sono stati descritti nell'articolo Hacking delle reti Wireless. Il fine di questo articolo non è quello di analizzare attentamente i programmi di attacco ma studiare le misure di protezione per difendere le informazioni passanti sul canale wireless.
Iniziamo, dunque, con l'analizzare i principali pericoli che possono derivare dall'utilizzo di una rete senza fili.
Divulgazione di dati
L'intercettazione non autorizzata di trasmissioni di rete può comportare la divulgazione di dati riservati e credenziali utente non protette, nonché la potenziale acquisizione di identità. Questa vulnerabilità potrebbe consentire a utenti malintenzionati e dotati di strumenti sofisticati di raccogliere informazioni sull'ambiente IT dell'azienda e di utilizzarle per attaccare altri sistemi o dati che altrimenti non sarebbero vulnerabili.
Intercettazione e modifica di dati trasmessi
Se un pirata informatico riesce a ottenere l'accesso alla rete,questi potrà inserire un computer per intercettare e modificare i dati di rete trasmessi tra due parti autorizzate in comunicazione.
Spoofing
La disponibilità dell'accesso alla rete interna consente agli intrusi di inviare dati apparentemente legittimi, ad esempio un messaggio di posta elettronica di spoofing, in modi che non sarebbero consentiti dall'esterno. Gli utenti, inclusi gli amministratori di sistema, tendono in genere a guardare con minor sospetto gli elementi di origine interna rispetto a quelli che provengono dall'esterno della rete aziendale.
Denial of service (DoS)
Un utente malintenzionato può sferrare un attacco di tipo DoS in vari modi. Ad esempio, l'interruzione del segnale a livello di trasmissione radio può essere realizzata con strumenti a bassa tecnologia,
come un forno a microonde. Gli attacchi di rete possono essere molto sofisticati e puntare verso protocolli di rete senza fili di basso livello; oppure, quelli meno sofisticati, possono avere come obiettivo il sovraccarico della rete WLAN con traffico casuale.
Collegamento non autorizzato o furto di risorse
Un intruso potrebbe utilizzare la rete aziendale come punto di accesso non autorizzato a Internet. Sebbene non sia altrettanto dannoso di altri pericoli, questo attacco può ridurre la disponibilità dei servizi per gli utenti legittimi e introdurre virus o altri problemi.
Rischi accidentali
Alcune caratteristiche delle reti LAN senza fili possono aumentare la gravità degli attacchi non intenzionali. Ad esempio, è possibile che un visitatore autorizzato avvii il proprio computer portatile senza l'intento di collegarsi alla rete, ma venga automaticamente collegato alla rete LAN senza fili. Il computer portatile del visitatore può rappresentare un punto di accesso alla rete per eventuali virus. Questo tipo di pericolo rappresenta un problema solo per reti WLAN non protette.
Reti WLAN inaffidabili
Anche se l'azienda non dispone ufficialmente di una rete LAN senza fili, potrebbe comunque sussistere il rischio che reti WLAN non gestite interferiscano con la rete aziendale. Componenti hardware WLAN di bassa qualità acquistati dai dipendenti possono esporre la rete a pericoli imprevisti.
I punti deboli delle reti Wireless
Al momento dell'acquisto, gli access point vengono distribuiti con una configurazione standard per una facile installazione ed un utilizzo immediato. Gli amministratori dovrebbero considerare i rischi derivanti dalla configurazione di default di tali apparati. Di seguito analizzeremo alcuni valori fondamentali per la corretta configurazione di un dispositivo wireless.
SSID: Server Set ID
È l'identificatore configurabile che permette ai client di comunicare con l'access point appropriato. Con una configurazione corretta, solo i client con il SSID corretto possono comunicare con lui. Quindi l'SSID lavora come una password condivisa tra access point e client e viceversa. Se non si cambia l'SSID di default queste unità possono essere facilmente compromesse. Il SSID viene trasmesso come testo in chiaro quando il WEP (protocollo di sicurezza per le reti wireless) è disabilitato, permettendo all'attaccante di intercettarlo (sniffing). La maggior parte degli access point vengono distribuiti con il WEP disabilitato. Ovviamente il WEP a 128 bit è più efficiente del 40 bit, ma comunque soggetto alle già note vulnerabilità dell'algoritmo RC4 sul quale si basa.
Password SNMP
Diversi modelli di access point utilizzano agenti SNMP per il controllo da remoto. Se la password di comunità non è configurata correttamente, un intruso potrebbe leggere e potenzialmente manomettere dati critici. In modalità standard, diversi access point sono accessibili in lettura usando la password di community "public", che in ogni caso sarebbe opportuno modificare.
Analisi delle contromisure
Dopo aver analizzato, nella prima parte di questo articolo, i pericoli più
comuni cui è esposta una rete senza fili, passiamo ad analizzare alcune linee
guida per la definizione di parametri di sicurezza. In un prossimo articolo
affronteremo la configurazione di una rete Wireless attraverso il sistema di autenticazione 802.1x Peap.
Cambiare gli SSID di default
Il Service Set Identifier (SSID) identifica univocamente ogni punto di accesso all'interno della rete. Tramite una configurazione opportuna, soltanto i dispositivi che utilizzano la corretta SSID possono comunicare con i punti di accesso. Molti dei dispositivi hanno già preconfigurato un SSID di default: un intruso può usare questi nomi per cercare di accedere ad AP
(Access Point) che hanno ancora la configurazione di fabbrica.
Utilizzare SSID non descrittivi
Usare SSID descrittivi facilita il compito di un eventuale intruso nell'individuare luoghi o aziende e nel ricavare maggiori informazioni su come entrare, ragion per cui è consigliabile utilizzare nomi anonimi o altamente scoraggianti.
Disabilitare il Broadcast SSID
Gli AP mandano ad intervalli regolari Beacon Frames per la sincronizzazione con i client, i quali contengono il SSID. Queste frames servono ai client per configurarsi automaticamente la rete di accesso, ma servono anche a potenziali aggressori durante la ricerca delle reti wireless. È auspicabile disabilitare il Broadcast SSID qualora l'AP supporti questa opzione. Il client dovrà essere configurato manualmente con il SSID corretto per poter accedere alla rete.
Cambiare le password
Come per gli SSID, è importante cambiare le password di default degli AP. È buona norma che la password sia lunga almeno otto caratteri e che includa caratteri speciali e numeri.
Aggiornare il firmware
Nella scelta di un Access Point, è preferibile orientarsi verso un apparato che abbia la possibilità di aggiornare il suo firmware. È bene pertanto assicurarsi che l'Access Point abbia l'ultimo livello di firmware consigliato dal produttore.
Chiavi WEP
Anche se è stato dimostrato che il WEP non è adeguato a proteggere una rete wireless, rappresenta comunque un deterrente per gli intrusi occasionali. Serve catturare dai 100 Mb a 1 Gb di traffico per provare a ricavare la chiave WEP, pertanto l'aggressore deve essere ben motivato per tentare l'intrusione. Cambiare spesso le chiavi WEP di crittografia sugli AP fa in modo che una rete compromessa, non lo sia a tempo indeterminato: un intruso, infatti, dovrebbe provare nuovamente a ricavare la chiave WEP, e questo dovrebbe farlo desistere da un secondo tentativo. Cambiare le chiavi WEP è abbastanza oneroso: alcuni Access Point supportano la dynamic WEP-key exchange per cambiare la chiave WEP per ogni adattatore. È consigliato controllare dal produttore degli Access Point la disponibilità di questa feature. Alcuni Access Points, ad esempio, non dispongono di questa feature, ma è possibile specificare fino a quattro differenti chiavi per facilitare il cambio periodico della chiave
Abilitare il MAC filtering
Molti produttori includono nei loro Access Point la possibilità di abilitare soltanto alcune schede di rete, usando come metodo discriminatorio il loro MAC address. Alcuni Access Point permettono di fornire l'elenco dei MAC addresses abilitati attraverso una GUI, linea di comando o RADIUS. Si suggerisce di usare la GUI o la linea di comando nel caso di implementazione con pochi AP, RADIUS in un contesto più ampio. È necessario pero' comprendere che il MAC address di una scheda puo' essere facilmente cambiato, pertanto il MAC filtering non puo' essere usato come solo metodo di protezione.
Spegnere l'AP quando non serve
Gli intrusi agiscono solitamente durante la notte e il fine settimana, ovvero quando la rete ed i sistemi non sono controllati. È consigliato, quando possibile, collegare gli Access Point ad un timer, in modo da spegnerli quando non vengono utilizzati.
Minimizzare l'intensità del segnale
Gli intrusi sfruttano il fatto che le onde radio non si possono limitare a dei luoghi ben definiti, esempio l'ufficio vendite, ma riescono ad espandersi fuori dalle mura perimetrali dall'ufficio. Da qui la definizione del nome "parking lot attack", o più semplicemente attacchi provenienti dal parcheggio. È pertanto importante scegliere un'adeguata collocazione dell'Access Point all'interno dell'edificio, in modo che il segnale sia sufficiente a garantire il collegamento solo ed esclusivamente alla zona interessata. Attraverso appositi strumenti radio o di audit, è necessario verificare che il segnale non sia visibile all'esterno del palazzo o della zona identificata. Per minimizzare l'intensità del segnale, è sufficiente non posizionare l'AP vicino alle finestre e usare antenne direzionali con basso guadagno in decibel. Alcuni AP inoltre hanno la possibilità di definire l'intensità del segnale via software
Cambiare le community di default di SNMP
Su molti AP risulta installato un agente SNMP (Simple Network Management Protocol). Se la community password non risulta correttamente configurata, un aggressore può leggere e scrivere dati di configurazione sull'AP, in maniera analoga ad altri sistemi che supportano SNMP.
Limitare il traffico di broadcast
Alcuni protocolli, in particolare il NetBIOS su TCP/IP usato da Windows, usano assiduamente i messaggi di broadcast. Questi messaggi di broadcast contribuiscono ad incrementare il valore IV del sistema WEP, minimizzando per un intruso i tempi di raccolta dei dati per ricavare la chiave WEP. È consigliabile limitare il traffico di broadcast quando possibile, ad esempio disattivando il protocollo NetBIOS su TCP/IP dal binding con la scheda di rete Wireless.
Protezione del client
Alcuni attacchi sono mirati ai client wireless in quanto vengono usati come ponte per entrare nella rete interna e per ricavare preziose informazioni. Ad esempio, alcuni client wireless scrivono in chiaro, nel registry di Windows o in un file di testo, le chiavi WEP di crittografia. È preferibile usare un personal firewall sui client in modo da ridurre i rischi di attacchi.
Non utilizzare il DHCP
È consigliabile non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi, ma considerare l'utilizzo di IP statici. Anche se è un ulteriore impegno per l'amministratore, è assai utile per evitare che la rete wireless attribuisca indirizzi IP validi a chiunque voglia associarsi con l'AP. Anche se un attaccante, utilizzando uno sniffer wireless, può facilmente ricavare gli IP, il fatto di non distribuirli via DHCP rappresenta un'ulteriore barriera. Inoltre, è consigliabile evitare di usare indirizzamenti di default facilmente intuibili come 192.168.1.0 o 192.168.0.0
Uso di una VLAN separata
È consigliabile utilizzare una Virtual LAN separata per il traffico wireless, separandola dalla rete intranet. Esistono varie metodologie, per unire in maniera sicura le due LAN, tra le più semplici ricordiamo l'uso di un router/swich con capacità di filtro IP o un proxy. In alcune piccole aziende e in ambienti SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un problema, queste semplici regole sono sufficienti a proteggere l'accesso wireless. In ambienti più critici, dove è necessario mantenere la confidenzialità dei dati, è necessario applicare delle regole più rigorose.
