(In)Sicurezza delle Architetture Wi-Fi

AIEA
Associazione Italiana Information Systems Auditors
(In)Sicurezza delle Architetture Wi-Fi
(Davide Casale, [email protected])
Versione 2.1 – Marzo 2006
Shorr Kan
digital security
Overview
I punti trattati in questo incontro saranno :
•
•
•
•
•
•
•
•
Il Wireless Lan o Wireless Fidelity (Wi-Fi)
Protocolli in cui si declina il Wi-Fi
Motivazioni del successo del Wi-Fi
Problematiche di sicurezza
Elementi di sicurezza del Wi-Fi
War Driving
Attacchi a sistemi Wi-Fi
Esempio di un’architettura sicura per il Wi-Fi
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Il Wireless Lan o Wireless Fidelity (Wi-Fi)
Che cos’è il Wi-Fi :
Il termine Wi-Fi è stato creato originariamente dalla Wi-Fi Alliance per
descrivere la tecnologia per reti locali radio (wireless local area
networks) basata sulle specifiche degli standard IEEE 802.11
Tali reti sono basate su dei ripetitori radio definiti Access Point e dei
device di accesso per desktop, notebook, palmari o telefoni
cellulari evoluti (schede od endpoint wireless)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Protocolli in cui si declina il Wi-Fi
I protocolli su cui si basa il Wi-Fi sono definiti nello standard
IEEE 802.11 suddiviso in varie istanze :
• 802.11b : 11Mbit/s su frequenze 2.4 Ghz (30 metri circa)
• 802.11a : 54Mbit/s su frequenze 5.0 Ghz (25 metri circa)
• 802.11g : 54Mbit/s su frequenze 2.4 Ghz ed interoperabile con
802.11b (25 metri circa)
• Varianti proprietarie per aggregare canali e avere anche 100200Mbit/s (3com/us robotics, linksys, cisco, etc.)
• Nuovi protocolli in fase di standardizzazione :
• 802.11n : 540Mbit/s su frequenze 2.4 e 5.0 Ghz (50 metri circa)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Motivazioni del successo del Wi-Fi
La motivazione fondamentale del successo del Wi-Fi è :
la COMODITA’
-
La comodità di coprire un’area senza dover stendere cavi
La comodità di potersi muovere all’interno dei locali
La rapidità di attivazione della nuova rete
I costi ridotti
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Problematiche di sicurezza
I punti di attenzione principali dal punto di vista della sicurezza sono :
• Il CAVO è ‘on the air’
• Per cui le connessioni sono possibili anche al di fuori del vostro
ufficio o azienda (nei dintorni dello stabile)
• La semplicità di implementazione potrebbe portare degli utenti a
posizionare degli access point anche se vietati dalle policy aziendali
(perdita di controllo dei punti di accesso alla propria rete)
• Intercettazioni di informazioni solo ‘interne’ all’azienda diventano
possibili anche da persone non interne e con modalità non rilevabili
(stealth)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Elementi di sicurezza del Wi-Fi
Il protocollo Wi-Fi prevede dei sistemi di sicurezza (per l’accesso e la
protezione del canale) nelle sue varie tipologie di implementazione :
•
•
•
•
•
Open (nessuna autenticazione e traffico in chiaro)
WEP
WPA PSK (PresharedKey)
WPA TKIP (con EAP e certificati X.509 e autenticazione 802.1x)
WPA2 AES (con EAP e certificati X.509 e autenticazione 802.1x)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Elementi di sicurezza del
Wi-Fi
Shorr Kan
digital security
WPA con certificati (WPA-TKIP o WPA2-AES con EAP e 802.1x)
Supplicant
(client wireless)
Authenticator
(Access Point)
802.11 association
Authentication Server
(Server RADIUS)
Accesso bloccato
EAPOL-start
EAP-request/identity
EAP-response/identity
RADIUS-access-request
EAP-request
RADIUS-access-challenge
EAP-response (credentials)
RADIUS-access-request
EAP-success
RADIUS-access-accept
EAPOW-key (WEP)
Access allowed
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
War Driving
Analisi on the road
Strumenti:
•
•
•
•
Un’antenna direzionale ad alto guadagno
Una scheda wi-fi con un connettore pigtail verso l’antenna
Un computer portatile
Un software opportuno di scanning (kismet, network stumbler,etc.)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
War Driving
digital security
Analisi on the road
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Attacchi a sistemi Wi-Fi
Attacchi possibili alle reti Wi-Fi (su casi reali di attività di assessment
da noi svolte):
• Sull’infrastruttura dove sono collocati access point Open
• Attacchi diretti al sistema di protezione WEP
• Hi-jacking
• Air-Crack (deauth, sniff, crack)
• Fisica (Access Point fisicamente raggiungibili)
• Attacchi diretti a preshared key semplici (WPA PSK)
• Attacchi ai client (wifi card driver attack)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
Attacchi a sistemi Wi-Fi
digital security
Sull’infrastruttura dove sono
collocati access point Open :
•Rete WI-FI Open per il pubblico
sulla stessa connessione Internet
dell’ente pubblico in gestione ad un
carrier esterno. Separazione
effettuata in teoria con ACL sul
router interno
•Da un’analisi approfondita è
risultato che le ACL erano
configurate in modo erroneo e dalla
rete pubblica (anche senza la card
prepagata per andare su Internet) si
accedeva a risorse riservate e
sensibili della rete interna.
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
LAN Interna wired
di sede
(vlan LAN_INTERNA)
Router con ACL
Internet
Router
Internet
LAN Wi-Fi
pubblica in gestione
carrier esterno
unmanaged
switch
www.shorr-kan.com/security
Shorr Kan
digital security
Attacchi a sistemi Wi-Fi
Attacchi diretti al sistema di protezione WEP :
1. Sniffing (BSSID,
MAC)
2. Deauthentication
3. Hi-jacking e/o
Man in the
middle
Crack credenziali
WEP
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Attacchi a sistemi Wi-Fi
Fisica (Access Point fisicamente raggiungibili) :
• Access point con autenticazione basata su Preshared Key
complessa e scelta in modo opportuno
• Access point posizionati in corridoi accessibili al pubblico e
facilmente resettabili alle configurazioni di default con una
qualsiasi ‘spilla da balia’ o pennino
• A questo punto diventavano accessi Open alla rete senza
preshared key (rete compatibile con la configurazione di default
dell’apparato)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Attacchi a sistemi Wi-Fi
Attacchi diretti a preshared key semplici (WPA PSK) :
• Brute Force Attack a rete Wi-Fi protetta tramite WPA con
Preshared Key
• Gli access point richiedevano una preshared key abbastanza
banale e contenuta in un vocabolario italiano
• Il software di attacco ha provato a forza bruta tutte le passphrase
contenute nel vocabolario italiano
• In 4 ore e 20 minuti si è avuto accesso alla rete direttamente
collegata alla rete interna e non separata tramite firewall o altri
apparati di routing interni
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Attacchi a sistemi Wi-Fi
Attacchi ai client (wifi card driver attack) :
• Attacco di buffer overflow al driver Intel di una sceda di rete wi-fi
con chipset Intel ipw2200. Tramite tale vulnerabilità nota si è
potuto far eseguire una backdoor sul client e a questo punto
accedere alla rete tramite tale client usato come testa di ponte.
(Riferimento: http://www.securiteam.com/exploits/5RP0M0AKAA.html)
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Esempio di un’architettura sicura per il Wi-Fi
L’architettura attualmente ritenuta sicura è con WPA o WPA2 e certificati
X.509 (TKIP o AES) e possibilmente con gli access point su aree a diversa
sensibilità di sicurezza dedicate al wi-fi sui firewall.
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Esempio di un’architettura sicura per il Wi-Fi
Può rivelarsi molto utile creare due aree a diversa sensibilità di sicurezza sui
firewall per due tipi di reti wifi: una per gli ospiti con accesso solo verso Internet e
non alle risorse interne aziendali (per semplicità sono in WPA PresharedKey) …
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
digital security
Esempio di un’architettura sicura per il Wi-Fi
… e una per gli utenti interni con accesso completo alle risorse aziendali in WPA
TKIP/AES con certificati (e completamente tracciate tramite i log dei firewall). Per
la gestione con i certificati si può utilizzare ad esempio la CA di Microsoft e
l’authentication server IAS sempre di Microsoft in protocollo Radius.
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security
Shorr Kan
Domande?
digital security
Domande?
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
www.shorr-kan.com/security