Sei sulla pagina 1di 71

UNIVERSITA DEGLI STUDI DI PARMA

FACOLT DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA INFORMATICA

IL CONTROLLO DELLACCESSO IN UNA RETE WIRELESS: PROBLEMI E SOLUZIONI

Relatore:

Chiar.mo Prof. Conte

Tesi di Laurea di:

Felisa Mirko

ANNO ACCADEMICO 2002-03

Alla mia famiglia

ii

RINGRAZIAMENTI

Volevo porgere un sentito ringraziamento al Prof. Zanichelli e al Prof. Conte per la disponibilit e la pazienza con cui hanno seguito i miei lavori. Ringrazio Alessandro Maggi per il suo prezioso aiuto che mi ha offerto in questa attivit. Un ringraziamento particolare va a tutto il laboratorio Parma2 per avermi ospitato e per avermi sempre reso disponibile tutto ci di cui ho avuto bisogno.

iii

You see, wire telegraph is a kind of a very, very long cat. You pull his tail in New York and his head is meowing in Los Angeles. Do you understand this? And radio operates exactly the same way: you send signals here, they receive them there. The only difference is that there is no cat. Albert Einstein

iv

INDICE

Ringraziamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Le reti wireless. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Vantaggi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Problematiche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Una famiglia di protocolli . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Topologie di Wlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Media access control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

iii 1 3 4 6 10 13 16

2.6 Tipi e struttura dei pacchetti . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.7 Modalit di trasmissione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 La Sicurezza nelle reti wireless. . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Service Set Identifier (SSID). . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Access control list. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 23 26 27

3.3 WEP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.4 IEEE 802.1i e WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 NoCatAuth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1 Funzionamento di NoCatAuth . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Il gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Lauthservice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Estensione di NoCatAuth. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Limitazioni di routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 39 40 43 48 53 55 55

Indice

5.2 Limitazioni di banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Interfaccia di gestione dati . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4 Database remoti e locali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

61 61 62 63 66

vi

Capitolo 1

INTRODUZIONE

Negli ultimi anni il mercato dellinformatica stato caratterizzato da un rapido sviluppo delle reti wireless. Molti utenti e aziende hanno introdotto questa nuova tecnologia nei loro sistemi informatici alla ricerca di una maggiore flessibilit e mobilit. Questo ha creato la nascita di nuovi problemi legati alla sicurezza. Le reti wireless sono, infatti, intrinsecamente meno sicure delle pi tradizionali reti wired. Il principale problema legato alla sicurezza delle reti wireless il mezzo di tramissione: letere. A causa dellimpossibilit di confinare il campo elettromagnetico prodotto dallaccess point, il perimetro di una rete wireless pu fuoriuscire dagli uffici o addirittura dal palazzo dellazienda, e gi questa particolarit da sola fornisce ampia possibilit dazione a chi avesse intenzione di infiltrarsi. Basterebbe infatti posizionarsi in luoghi di facile accesso (sale daspetto, anticamere, parcheggi, uffici o appartamenti confinanti) per entrare nel raggio dazione della rete e avere cosi la possibilit di introdursi (wardriving). evidente che in questa situazione le necessarie misure di sicurezza hanno caratteristiche differenti da quelle normalmente adottate per le reti cablate. La prima misura di sicurezza la modulazione dellonda elettromagnetica, che grazie ad opportune tecniche rende pi complessa lintercettazione del segnale. La modalit di modulazione da sola non garantisce la sicurezza della rete. Infatti in mancanza di un controllo dellaccesso possibile per un utente non autorizzato o, peggio, malintenzionato, accedere alla rete semplicemente passando, con un PC e una scheda wireless, vicino all'edificio nel quale installata la rete. I sistemi per controllare l'accesso alle reti wireless si basano su diverse metodologie che operano a livelli diversi del modello ISO-OSI. Una prima forma di controllo si basa sullassegnazione di un identificatore SSID: una chiave condivisa tra client e access point che abilita la comunicazione tra di essi. A questo primo livello di sicurezza si pu affiancare un controllo degli indirizzi MAC delle schede wireless dei client che permette di escludere i client non autorizzati. Queste forme di controllo dellaccesso alla rete sono, attualmente, molto diffuse e forniscono un livello di autenticazione di base. In pi il livello di sicurezza offerto da questi servizi non sufficiente per poter considerare sicure le reti wireless, nonostante luso di algoritmi di cripting dei dati. Per questi motivi, il mercato sta spingendo verso forme di autenticazione pi complesse e pi sicure, basate su database, che, oltre al semplice riconoscimento dellutente, forniscono anche servizi aggiuntivi.

Introduzione Il nuovo standard 802.1x, ancora in fase di progettazione, si sta muovendo in questa direzione, sfruttando una autenticazione attraverso server Radius. In questa tesi si scelto di analizzare un particolare sistema che permette di gestire laccesso e lautenticazione in una rete wireless: NoCatAuth. Esso appartiene a quella categoria di software che viene chiamata Captive portal che si basa sulla ridirezione del traffico non autorizzato verso una pagina di autenticazione Lidea che sta dietro al concetto di Captive portal semplice: invece che basare la sicurezza della rete sui servizi offerti dallo standard 802.11b che si sono dimostrati molto deboli e quindi concentrare il servizio di autenticazione nellaccess point, si inserisce un gateway immediatamente dietro allaccess point che si occupi di tale compito. In questo modo il servizio di autenticazione non viene implementato nellaccess point evitando problemi di compatibilit simili a quelli tra l802.1x e gli access point attuali. NoCatAuth gestisce lautenticazione degli utenti a livello Network dello stack ISO-OSI fornendo un livello di sicurezza superiore a quello fornito dallo standard 802.11b. Il punto di forza di questo sistema sicuramente la facilit duso: non richiede listallazione di alcun software nel lato client, a differenza di altre tecnologie come le VPN, e autentica i vari utenti attraverso pagine web, quindi con una interfaccia user-friendly. Oltre al servizio di autenticazione, NoCatAuth fornisce altre funzionalit aggiuntive come il controllo della banda. Con lo scopo di ottenere un servizio pi completo, parte dellattivit stata dedicata ad ampliare le funzionalit offerte da questo sistema, aggiungendo altri servizi come il controllo di routing. Nella presene tesi vengono introdotte le caratteristiche delle reti wireless (Capitolo 2), i principali metodi di controllo dellaccesso come 802.1x e WPA (Capitolo 3) ed infine vengono analizzate le caratteristiche (Capitolo 4) e le estensioni apportate durante questa attivit (Capitolo 5), ad un particolare sistema di autenticazione: NoCatAuth.

Capitolo 2

LE RETI WIRELESS

La diffusione delle reti senza fili uno dei fenomeni tecnici e di mercato di questi ultimi tempi. Ma non stato sempre cos. Le prime connessioni furono stabilite una ventina di anni fa. Ladozione della tecnologia wireless, tuttavia, avvenuta molto lentamente e si limitata a qualche mercato di nicchia (magazzini ospedali). Il processo di implementazione stato lento per tre motivi. Innanzitutto, le velocit originarie di trasmissione wireless dei dati erano troppo lente per poter essere utilizzate dagli utenti di una LAN condivisa. Sebbene il throughput aumentasse gradualmente, le velocit di rete restavano a livelli decisamente inferiori rispetto alle LAN cablate. Secondariamente, il mercato era dominato da soluzioni proprietarie non standard che limitavano linteroperabilit dei dispositivi. Infine, le soluzioni proprietarie a bassa velocit erano molto costose rispetto a quelle cablate. Oggi, la situazione cambiata radicalmente. Nel 1999, lIEEE (Institute of Electrical and Electronics Engineers) ha ratificato lo standard 802.11b, che ha permesso velocit di trasmissione dei dati massime di 11 Mbps, analoghe a quelle delle connessioni a 10 Mbps, tipiche di molti LAN basate su Ethernet. Successivamente con ladozione dello standard 802.11g si arrivati alla velocit di 54Mbps. Per la prima volta, le wireless LAN potevano essere utilizzate dalla maggior parte degli ambienti operativi e delle applicazioni per lufficio. I vari fornitori iniziarono a supportare in breve tempo lo standard 802.11b con una conseguente e sostanziale diminuzione dei costi, un aumento della domanda ed un maggiore supporto da parte loro. Inoltre, lo standard 802.11b assicurava agli utenti linteroperabilit dei dispositivi. Fu poi costituita la WECA (Wireless Ethernet Compatibility Alliance), unassociazione internazionale senza fini di lucro per la certificazione dellinteroperabilit dei prodotti wireless LAN sulla base delle specifiche IEEE 802.11b e per la promozione delluso dello standard in tutti i segmenti di mercato. Con la rapida adozione dello standard 802.11b, gli utenti potevano scegliere tra unampia gamma di dispositivi wireless ad alte prestazioni, interoperabili e di basso costo. Tuttavia, ancora pi importante stata la possibilit, per molte aziende, di aumentare il proprio valore con laggiunta della tecnologia wireless alla propria LAN aziendale. Per anni, i laptop ed i notebook hanno permesso elaborazioni in ogni luogo e in qualsiasi momento. Tuttavia, la sempre maggiore importanza dellaccesso alla LAN e ad Internet ha reso necessaria una connessione wireless per trasformare in realt una simile promessa. I dispositivi wireless permettono infatti agli utenti di restare sempre connessi alla rete aziendale da qualsiasi luogo: una scrivania, unaula conferenze, un bar, un altro edificio di un campus aziendale o universitario. Una possibilit che

Le reti wireless offre agli utenti la massima flessibilit, produttivit ed efficienza e d una forte spinta alla collaborazione ed alla cooperazione tra colleghi, partner commerciali e clienti. Infine, la tecnologia wireless offre laccesso alla LAN in luoghi dove la predisposizione dei cavi pu essere difficile o costosa. Le reti wireless presentano una serie di vantaggi sostanziali rispetto alle reti classiche, ai quali per si contrappongono non poche limitazioni, a causa di un discreto numero di problematiche, dovute principalmente alla natura stessa di reti nelle quali la connettivit basata sulluso di un mezzo inaffidabile come letere. Analizziamo in dettaglio, qui di seguito, i vantaggi e problemi, portati da questa nuova tecnologia.

2.1 Vantaggi
La mancanza di collegamenti fisici tra i vari terminali assicura alle reti wireless delle caratteristiche uniche che hanno portato alla rapida diffusione di questa tecnologia.

Vantaggi economici e logistici


La realizzazione di una rete Wireless offre notevoli vantaggi economici quando: Larea che deve essere interconnessa difficile da collegare con i cavi (presenza di fiumi, laghi, o altri ostacoli presenti tra gli edifici che rendono impossibile la stesura dei cavi). Gli ambienti sono caratterizzati da una logistica complessa che rende difficile il cablaggio (nei monumenti storici e artistici). Le aziende devono riorganizzare la ripartizione degli uffici, o aggiungerne dei nuovi. Il numero di utenti che si collegano alla rete variabile. Infatti con una WLAN laggiunta di nuovi utenti sempre possibile e non richiede la posa di cavi aggiuntivi. Si richiede limplementazione di reti temporanee, quando la posa dei cavi non ancora stata portata a termine. Si ha una riduzione dei costi legati alla manutenzione e sostituzione dei cavi in presenza di guasti.

Le reti wireless

Mezzo che non si guasta


Le reti wired, a differenza di quelle wireless, sono soggetti a tempi di inattivit dovuti ai guasti dei cavi causati da: Lumidit e le piogge che degradano la conducibilit dei cavi fino a quando le prestazioni sono pessime e se ne richiede una loro sostituzione. Le giunture dei cavi che possono essere imperfette e causare fenomeni di riflessioni modificando i segnali trasmessi. I tagli accidentali dei cavi che disconnettono immediatamente lutente dalla rete. Fili e connettori che possono facilmente rompersi durante luso. Questi problemi degradano laffidabilit della rete impedendo ai vari utenti di utilizzare efficacemente le risorse di rete, causando disagi ai gestori.

Mobilit
La Mobilit uno degli aspetti cardine delle WLAN e che pu farne una scelta strategica in molti ambiti. Una Wireless LAN consente agli utenti di lavorare, giocare e accedere ad Internet sempre e dovunque, eliminando tutte le limitazioni legate ad una rete wired. Portatili e desktop possono connettersi alla rete senza richiedere un collegamento fisico. Lutente pu scegliere se stare alla propria scrivania o spostarsi liberamente in unaltra stanza, in ambienti esterni o interni, il tutto rimanendo connesso alla rete. Grazie alla funzionalit di Roaming tra diversi Access Point, gli utenti possono comunicare con continuit anche spostandosi allinterno di unarea pi vasta di quella coperta da un singolo Access Point. Al contrario, la rete wired richiede il collegamento fisico tra la workstation e le risorse di rete e un utente deve interrompere il suo collegamento alla rete e realizzarne un altro quando vuole spostarsi da un ambiente ad una altro, non senza problemi.

Facile installazione
Una rete wireless non richiede la posa dei cavi, e pu essere realizzarla in un tempo molto breve. E possibile realizzare queste reti per fornire la connessione tra computer senza sostenere spese e tempi associati allistallazione del mezzo fisico. Al contrario le reti wired consentono lo scambio di informazioni tra i vari utenti grazie alla presenza dei cavi. Per realizzare una Lan, sono necessarie settimane di lavoro per sistemare i cavi (doppini o le fibre ottiche). Listallazione di fibre ottiche

Le reti wireless tra edifici allinterno della stessa area geografica pu essere realizzata solo dopo aver ottenuto i permessi per poter effettuare gli scavi necessari per collocare le fibre e tutto ci prolunga il tempo necessario allistallazione della rete. Non va sottovalutato che i costi relativi alla posa dei cavi sono forse la parte pi onerosa nella realizzazione di una LAN, ladozione del wireless porta dunque ad una sensibile riduzione dei costi in questo senso, con gli ovvi benefici che ne conseguono.

Scalabilit e flessibilit
Le WLAN sono intrinsecamente scalabili: possibile crearne dapprima una con pochi terminali e poco alla volta, a seconda dei bisogni che via via si creano, possibile acquistare nuovi dispositivi e connetterli, con minima fatica e senza bisogno di complicate (e costose) opere di connessione, configurazione e posa dei casi. La filosofia stessa delle WLAN decisamente improntata sul plug and play, la semplicit duso e la dinamicit nella configurazione. La scalabilit un fattore molto importante anche dal punto di vista economico: la WLAN pu crescere di dimensioni e potenza col crescere delle necessit degli utenti. Si consideri, per esempio, una wireless LAN caratterizzata inizialmente da un basso throughput, che potr essere utilizzata in futuro per soddisfare la necessit di una banda pi ampia. In questo caso, una possibile configurazione potrebbe essere caratterizzata dalla collocazione di diversi access point, uno per ogni gruppo di utenti, per aumentare il throughput aggregato. Questa configurazione aumenta notevolmente la performance delle wireless Lan allinterno di una particolare area, e rende possibile una buona gestione delle prestazioni in presenza di un aumento del numero di utenti.

2.2 Problematiche
Le grandi potenzialit delle reti wireless, legate principalmente al tipo di mezzo trasmissivo che si deciso di utilizzare, letere, hanno proprio in questo anche il loro punto debole. Linaffidabilit del mezzo, unito alle problematiche legate alla mobilit e ad altre di tipo tecnologico hanno finora rallentato la diffusione delle WLAN.

Mezzo inaffidabile
Uno dei pi grandi problemi che si incontrano nelladozione delle tecnologie Wireless per le reti locali lintrinseca inaffidabilit del mezzo trasmissivo;

Le reti wireless inaffidabilit che si riflette su numerosi aspetti implementativi e con una serie di limitazioni legate, per esempio, al range di utilizzo oppure alla velocit di trasmissione. E ovvio che ladozione o meno di una WLAN fortemente condizionato dallambiente di utilizzo: non sono certo indicate aree con alto rumore elettromagnetico; ma comunque, quale che sia lambiente scelto, non pensabile che la trasmissione via etere sia immune da interferenze che, come noto, hanno un impatto critico sulla trasmissione dati. I sistemi WLAN ovviamente soffrono i disturbi; e letere, con il passare del tempo, divenuto molto trafficato: basta accendere una radio per accorgersene. Le interferenze che una WLAN pu subire sono molteplici. Le microonde, per esempio, lavorano proprio nella banda di 2.4 GHz, che proprio una di quelle utilizzate per trasportare i dati provenienti da una wireless LAN. Queste difficolt si riflettono sia nel livello MAC , ove necessario adottare opportune tecniche di rilevamento dellerrore, che nel livello fisico, per il quale sono state sviluppate diverse metodologie di trasmissione (FHHS, DSSS, HRDSSS, OFDM), alcune adottate in 802.11a ed altre in 802.11b, che si differenziano nello sfruttamento che hanno dello spettro del segnale: lidea quella di cercare di spalmare nel tempo lo spettro dello stesso, affinch il disturbo, avendo tipicamente una banda molto stretta, dia minori problemi. Non va inoltre dimenticato che una WLAN pu essere essa stessa fonte di interferenza verso altri sistemi pi o meno critici, come i sistemi di bordo di un aeroplano.

Riflessioni Multiple
Lutilizzo di onde elettromagnetiche per la trasmissione in ambienti chiusi, come uffici, presenta anche il problema della propagazione del segnale su pi percorsi, tipicamente causata da riflessioni su muri, oggetti metalliche etc.. Se ci sono riflessioni evidente come non tutti i segnali arrivino allo stesso momento al ricevitore: vi sar un certo ritardo tra larrivo del primo e gli altri. Se questo ritardo aumenta oltremisura il segnale primario verr distorto con tutti i problemi che ci comporta. Al limite potrebbe non essere possibile far comunicare due dispositivi separati anche solo da una piccola distanza. Le soluzioni adottate dai costruttori sfruttano sia lutilizzo di tecniche di equalizzazione e processamento del segnale, sia ladozione di particolari antenne. In particolare il ricevitore pu utilizzare anche pi duna antenna per ricevere: in pratica se ne usano spesso due.

Le reti wireless

Consumo energetico
Uno dei grandi vantaggi delle WLAN la mobilit. indubbiamente piacevole avere il proprio notebook collegato in rete sfruttando la sua natura di dispositivo mobile. Purtroppo la trasmissione, pur non avvenendo certo con elevata potenza, comporta un inesorabile consumo delle batterie, soprattutto nel caso di continue e ripetute trasmissioni. Per migliorare questo problema i costruttori implementano tecniche di power saving nei loro dispositivi radio, limitando il consumo di potenza solo nei casi in cui questo sia strettamente necessario.

Area di copertura limitata


Legato principalmente agli aspetti inerenti la trasmissione e gli errori il range di utilizzo, che pu raggiungere al massimo i centocinquanta metri circa. Non si pu trasmettere a distanze pi elevate anche perch si vogliono mantenere basse le potenze in gioco. Si ha dunque un limite allestensione di una WLAN che in parte ne condiziona la topologia. Da notare che la velocit con cui si trasmette inversamente proporzionale alla distanza: dunque per trasmissioni ad alta velocit (802.11a raggiunge i 54Mb/s) non si potranno superare alcune decine di metri: per esempio 802.11a alla massima velocit comunica fino a 30m.

Salute
Sebbene non esitano ancora prove certe e definitive sulla pericolosit o meno delle onde elettromagnetiche va comunque ricordato che luso di una WLAN costringe i suoi utenti ad essere di fatto immersi in queste ultime. A parziale rassicurazione va per detto che in questo caso le potenze in gioco sono risibili e di gran lunga inferiori a quelle generate da i ripetitori radio e televisivi.

Aspetti Legislativi
Ladozione delle WLAN in Italia piuttosto recente , anche a causa di una legge che limitava la libert d'utilizzo di queste periferiche se non altro perch era prevista una tassa. Va detto che recentemente questa tassa stata abolita e l'uso di periferiche che trasmettano su onde radio libero purch siano omologate dal Ministero delle Comunicazioni o che abbiano il marchio CE. Prima dell'entrata in

Le reti wireless vigore della nuova normativa, gli apparecchi wireless erano infatti assimilati alle apparecchiature radio-amatoriali e professionali. Con questo provvedimento l'Italia si allineata alle direttive europee e alla normativa gi in vigore negli altri Paesi dell'UE.

Interoperabilit
Vi sono allo stato attuale alcune realizzazione 802.11 proprietarie di alcuni costruttori che presentano alcune differenze legate al metodo di trasmissione ed eventualmente alcune funzionalit aggiuntive che rendono linteroperabilit, ossia la possibilit di utilizzare nello stessa WLAN schede realizzate da costruttori differenti, piuttosto problematica. Ma nella maggior parte dei casi, con ladozione dello standard 802.11b, il problema della interoperabilit scomparso. Esiste una organizzazione, detta WECA (Wireless Ethernet Compatibilit Alliance) che assicura la compatibilit attraverso ladozione dello standard Wi-Fi (wireless fidelity). Come riportato sul sito: La missione del WECA di certificare interoperabilit dei prodotti Wi-Fi (802.11) e di promuovere Wi-Fi come lo standard globale per il wireless attraverso ogni segmento di mercato.

Sicurezza
Uno degli aspetti pi delicati inerenti le reti Wireless la sicurezza. La trasmissione dati su questo tipo di reti infatti non avviene lungo un mezzo al quale bisogna essere fisicamente collegati (come nel caso di un cavo) per avere laccesso: i segnali elettromagnetici sono potenzialmente ascoltabili da chiunque si trovi nel range di utilizzo (ovviamente purch possieda lapparecchiatura adatta). E facile immaginare che il diffondere informazioni magari confidenziali attraverso una antenna sia assolutamente da evitare, a meno che non si prendano precauzioni di qualche natura. Sono infatti molteplici i rischi che corre una WLAN: dallascolto delle trasmissioni allo scopo di ottenere dati, allintrusione nella rete fino al sabotaggio vero e proprio che si pu compiere semplicemente facendo s che sia sempre presente un segnale di fondo: dato che laccesso al mezzo avviene attraverso il CSMA/CA facile per dei malintenzionati bloccare completamente luso della rete. E da tenere in considerazione come la presenza di una parte wireless su di una rete mista (con parti cablate e parti wireless) possa essere potenzialmente fonte di inaffidabilit per tutta la rete nel suo complesso. Lo standard 802.11 prevede meccanismi di protezione che forniscono autenticazione e privacy attraverso algoritmi di crittografia. Autenticazione, poich deve essere consentito laccesso alle sole macchine autorizzate (impedendo cos

Le reti wireless intrusioni non autorizzate), privacy perch bene eliminare la possibilit che orecchie indiscrete in ascolto captino magari dati importanti. I meccanismi di autenticazione/privacy si basano sullalgoritmo WEP (Wired Equivalent Privacy). Nonostante questi meccanismi le reti wireless rimangono, comunque, facilmente attaccabili e al momento non si raggiunto un livello di sicurezza adeguato.

Connettivit
Le reti WLAN , non fornendo connessioni affidabili, sono un problema per i protocolli di livello superiore, come TCP o UDP. Quando ha a che fare con reti wireless, il protocollo TCP tende a perdere le connessioni, soprattutto se la copertura di rete marginale.

2.3 Una famiglia di protocolli


Il primo standard di riferimento per le reti wireless, l'IEEE 802.11 nacque nel 1997. Lo standard includeva requisiti dettagliati per il livelli fisico e per la parte inferiore del livello data-link, ovvero il MAC (Medium Access Control), seguendo le specifiche dello standard IEEE 802.

Figura 2-1: Il modello iso-osi e il protocollo 802.11

10

Le reti wireless Tale standard consentiva un data rate di 1 o 2 Mbps usando la tecnologia basata su onde radio nella banda 2.4 GHz o su raggi infrarossi. La limitata velocit ne determin uno scarso successo e diffusione. Per migliora il throughput lIEEE ha creato, allinizio, 2 gruppi di lavoro (A e B) per esplorare nuove implementazioni; ad esse successivamente si aggiunto un nuovo gruppo (G). Essi avevano il compito di creare nuovi standard che si accostarono al 802.11 base.

IEE 802.11a
Lo standard 802.11a offre una velocit di trasmissione massima dei dati di 54 Mbps ed otto canali di frequenza non sovrapponibili, operando a 5 GHz con 150 MHz di larghezza di banda. Usa la tecnica di modulazione OFDM (Orthogonal Frequency Division Multiplex). Caratteristiche che consentono di aumentare la capacit di rete, migliorare la scalabilit e di creare implementazioni microcellulari senza interferenze dalle celle adiacenti. Con lutilizzo della porzione di banda radio libera da 5 GHz, lo standard 802.11a anche immune da interferenze provenienti da dispositivi che operano sulla banda da 2,4 GHz, come i forni a microonde, i cordless e Bluetooth (un protocollo wireless point-to-point, a bassa velocit e portata). Una barriera alladozione mondiale dello standard 802.11a rappresentata dalla mancata approvazione di utilizzo in tutto il mondo da parte degli organismi competenti. Al momento, lo standard 802.11a non stato approvato in Europa. Unaltra barriera per ladozione dell802.11a costituita dalla mancanza di certificazione di interoperabilit. Attualmente, non esistono garanzie di compatibilit tra i vari fornitori.

IEE 802.11b (wi-fi)


ll Wi-fi il protocollo di trasmissione wireless pi diffuso. Operante a 2,4 Ghz e 11 Mbps, utilizza la modulazione DSSS con una copertura di 80-100 metri indoor e 11 canali di cui 3 non sovrapposti. Il protocollo IEEE 802.11b consente : di poter variare la velocit di trasmissione dati per adattarsi al canale un data rate fino a 11 Mbps la possibilit di scelta automatica della banda di trasmissione meno occupata la possibilit di scelta automatica dell'access point in funzione della potenza del segnale e del traffico di rete di creare un numero arbitrario di celle parzialmente sovrapposte permettendo il roaming in modo del tutto trasparente. l'interoperabilit tra soluzioni wireless diverse.

11

Le reti wireless Lo standard 802.11a, tuttavia, non compatibile con gli attuali dispositivi wireless conformi all802.11b. Le organizzazioni con dispositivi 802.11b che desiderano avere ulteriori canali e la velocit offerta dalla tecnologia 802.11a devono installare uninfrastruttura wireless completamente nuova con access point 802.11a e adattatori client. importante notare che i dispositivi a 2,4 e 5 GHz possono operare nello stesso ambiente fisico senza interferenze. Ulteriore caratteristica prevista dal protocollo prevede che al degradare del link tra access point e dispositivo remoto (o tra due card in reti ad-hoc) la velocit di trasferimento venga ridotta (gli step sono: 11Mbps, 5,5Mbps e 2Mbps). Da posizioni particolarmente "infelici" pur continuando ad essere connessi, le prestazioni subiranno un notevole degrado

IEE 802.11g
Lo standard 802.11g esiste in forma provvisoria dal novembre 2002. L802.11g offre anchesso una velocit massima di trasmissione dei dati di 54 Mbps ma, rispetto all802.11a, ha un ulteriore ed interessante vantaggio: la compatibilit verso le apparecchiature 802.11b. Ci significa che le schede client 802.11b possono funzionare con gli access point 802.11g e le schede 802.11g con gli access point 802.11b. La migrazione all802.11g sar quindi conveniente per gli utenti con infrastrutture wireless 802.11b, poich gli standard 802.11g ed 802.11b utilizzano entrambi la stessa banda libera a 2,4 GHz. I prodotti 802.11b non possono essere potenziati a livello software in 802.11g poich, per garantire una velocit di trasferimento dei dati maggiore, le radio 802.11g utilizzano chip diversi dall802.11b. Tuttavia, come per Ethernet e Fast Ethernet, i prodotti 802.11g possono operare insieme ai prodotti 802.11b sulla stessa rete. Lutilizzo della stessa banda libera permette all802.11g ed all802.11b di condividere gli stessi tre canali ma limita al tempo stesso la capacit e la scalabilit wireless.

Tabella 2-1: Riassunto delle caratteristiche degli standard 802.11

Qui di seguito verr trattato, in modo particolare, lo standard 802.11b che al momento risulta essere il pi diffuso. La maggioranza dei concetti per si possono applicare a tutti gli standard 802.11.

12

Le reti wireless

2.4 Topologie di Wlan


Una rete locale wired fissa, non mobile n si pu trasportare e necessita di un cablaggio. Utilizzando dispositivi wireless questi ostacoli possono essere superati. Una wireless local area network, WLan, un sistema di comunicazione flessibile e implementabile nella sua estensione, o alternativo, ad una rete fissa (Wired Lan). Una rete wireless pu essere un'estensione di una normale rete cablata, supportando tramite un access point, la connessione a dispositivi mobili e a dispositivi fissi.

Figura 2-2: Collegamento tra una rete Wlan e una Ethernet

In generale le architetture per sistemi wireless sono basate due tipologie di dispositivi:

Access Point (Ap) Terminali Wireless (WT)

Gli access point provvedono alla coordinazione, sincronizzazione, spedendo pacchetti in modalit broadcast, e alla funzione di bridge verso reti wired, mentre i terminali wireless sono dei dispostivi che usufruiscono dei servizi di rete. L'AP (Access Point) assegna una priorit ad ogni client, in modo da rendere pi efficiente la trasmissione dei pacchetti.

13

Le reti wireless Gli AP possono essere implementati sia in hardware (esistono dei dispositivi dedicati) che in software appoggiandosi per esempio ad un pc, o notebook dotato sia dellinterfaccia wireless sia di una scheda ethernet.. I WT possono essere qualsiasi tipo di dispositivo come per esempio notebook, palmari, pda, cellulari, o apparecchiature che interfacciano lo standard IEEE 802.11, o sistemi basati su tecnologia Bluetooth. Volendo garantire una connettivit il pi possibile distribuita tra ambienti di una stessa sede, si sfrutta una tipologia Client Server. Questo modo di operare consente a pi dispositivi di rete di appoggiarsi ad un Access Point che agisca da ponte tra loro e la rete wired. Nel caso in cui sia presente un solo access point si parla di BSS (basic service set).

Figura 2-3 : Struttura BSS

Se invece sono presenti pi access point si parla di ESS (Extended service set). Similmente ad una rete di telefonia cellulare possibile all'interno di una Wlan un roaming trasparente tra access point. Il collegamento alla network attraverso un'altro AP che risiede in un diverso punto della Wlan, garantisce una mobilit operativa su un raggio di decine di metri.

14

Le reti wireless

Figura 2-4 : Roaming in una struttura ESS

Esiste anche unaltra topologia di rete wireless, in cui gli utenti possono stabilire una connessione di trasferimento dati o di accesso ai dati in modalit peer to peer (reti ad hoc).

Figura 2-5 : Una rete ad hoc

15

Le reti wireless In tale configurazione pi unit WT possono comunicare tra loro direttamente realizzando una piccola rete paritetica, generalmente impiegata quando si necessita di una piccola rete per breve tempo, riunioni, convegni, stand, dimostrazioni. In questo caso si parla di IBSS (Indipendent basic service set).

2.5 Media access control


La pi grande differenza tra le reti ethernet e le Wlan il modo di controllare laccesso al media condiviso (MAC). Ethernet usa il CSMA/CD (carrier sense mutiple access collision detected). Questo perch un dispositivo Etherent pu spedire e ascoltare sul cavo nello stesso momento, identificando le collisioni che eventualmente si verificano. Invece, quando un dispositivo radio trasmette e ascolta sullo stesso canale e nello stesso momento, la sua trasmissione copre tutte le altre e la rivelazione delle collisioni risulta impossibile. Inoltre nelle reti Ethernet tutte le stazioni possono comunicare tra di loro e quindi ognuna di esse pu sapere se il media libero. Nelle reti wireless non cos. Infatti i vari dispositivi hanno una potenza limitata e i vari messaggi non arrivano a tutte le stazioni perci una stazione non pu identificare tutte le collisioni. Nelle reti wireless un dispositivo pu essere nel range di altri 2 dispositivi senza che questi si rilevino luno con laltro. Laccess point in figura 2-3 pu rilevare sia il nodo A che il B. Questo crea una situazione in cui il nodo A pu trasmettere un messaggio allaccess point senza che B se ne accorga. Questo noto come problema del nodo nascosto. Per risolvere il problema dellimpossibilit della rilevazione delle collisioni le Wlan utilizzano il CSMA/CA (carrier sense multiple access collision advoidance). Sotto il CSMA/CA un dispositivo deve usare un quadruplo scambio di strette di mano per ottenere laccesso alletere. Per poter effettuare una trasmissione diretta ad un altro nodo, il nodo sorgente deve spedire un pacchetto RTS (Request to send) al destinatario. Se il nodo destinatario riceve il pacchetto, replica con un piccolo frame CTS (Clear to send). Se non ci sono state collisioni significa che letere libero e le stazioni che si trovano nelle circostanze sanno che sta per avvenire una trasmissione. A questo punto il nodo sorgente spedisce i dati e quando finita la trasmissione il destinatario manda un acknowledgement, in modo tale che le varie stazioni sappiano che la trasmissione terminata. Lunico tipo di collisioni che pu avvenire in questo protocollo tra i pacchetti RTS e CTS; in questo caso si passa ad una ritrasmissione dei pacchetti dopo un tempo pari ad una variabile casuale uniformemente distribuita tra 0 e T. In caso di traffico elevatola variabile T raddoppia al verificarsi di ogni collisione (recessione binaria esponenziale).

16

Le reti wireless Inoltre nei vari pacchetti esiste un campo durata che permette alle varie stazioni di prevedere la durata delle trasmissioni al fine di ridurre le collisioni.

Figura 2-6: Schema di una trasmissione con il CSMA/CA

2.6 Tipi e struttura dei pacchetti


Come tutta la famiglia dei protocolli 802, le Wlan 802.11 trasmettono tutte le informazioni sotto forma di pacchetti. Il protocollo 802.11 usa 3 tipologie di frame: pacchetti di dati, di gestione della rete e di controllo. Il protocollo 802.11 molto pi complesso del rispettivo protocollo della rete Ethernet e questo si riflette nellheader dei vari frame. La struttura base di un frame 802.11 la seguente:

Figura 2-7: Formato di un frame 802.11 e del MAC header

Questa complessit si nota in particolar modo nel PLCP e MAC header dove sono presenti dei campi che riflettono la topologia della rete. I pacchetti dei dati hanno lunica funzione di trasmettere la vera informazione lungo la rete; i pacchetti di controllo dirigono e controllano la comunicazione. Sono pacchetti di controllo i frame: RTS,CTS e ACK. I pacchetti di gestione della rete, invece, si occupano dellautenticazione, associazione allaccess point e della sincronizzazione.

17

Le reti wireless

18

Le reti wireless

Tabella 2-2: Campi del frame 802.11

Nella tabella sovrastante sono spiegati brevemente i vari campi del frame 802.11 ordinati per funzionalit.

19

Le reti wireless

2.7 Modalit di trasmissione


Le principali differenze tra le reti wireless e le pi tradizionali wired dipende dal mezzo di trasmissione. Mentre le reti Ethernet mandano segnali elettrici lungo i cavi, le reti wireless onde radio nellaria. I dispositivi wireless sono dotati di schede di rete con una o pi antenne. La distanza massima entro cui due dispositivi wireless possono comunicare dipende da diversi fattori: in generale aumentando lenergia e diminuendo la frequenza aumenta la distanza. Per la presenza di ostacoli e interferenze degrada la ricezione. Lo standard IEEE 802.11 consente due possibili modalit di trasmissione, della categoria SSS, nella banda dei 2,4 Mhz, realizzate con due tecniche di modulazione distinte:

FHSS, dispersione di spettro a salto di frequenza DSSS, dispersione di spettro in banda base

Le tecniche SSS di spread spectrum signals occupano una maggior banda di trasmissione radio ma consentono una miglior ricezione dei segnali deboli, garantiscono l'integrit del segnale, e una maggior sicurezza, distribuendo il segnale attraverso l'intero spettro di frequenze. Il segnale non rimare stabile su una singola frequenza, consentendo a pi utenti di operare simultaneamente.

Figura 2-8: Densit spettrale di potenza del segnale e del rumore

L'uso dell'SSS particolarmente importante poich permette che molti altri utenti occupino la fascia per tutto il tempo assegnato su frequenze separate, compatibilmente con la larghezza di banda disponibile. Lo spectrum spreading consiste in una continua variazione di frequenza utilizzando una modulazione di frequency hopping. Gli hops corrispondono ai salti di frequenza all'interno della gamma assegnata (2,402 Ghz -2,480 Ghz salti di 1 Mhz, complessivamente 79 hops set, canali).

20

Le reti wireless Viene impiegata una modulazione gaussiana di tipo Fsk o Gfsk

Figura 2-9: La densita spettrale di potenza nellFHSS e limmunit ai disturbi

Nello specifico sono previste due tipologie di modulazione Gfsk: Gfsk a 2 livelli con data rate 1Mbps e Gfsk a 4 livelli con data rate 2Mbps. Nell'FHSS linformazione viene trasmessa su un range di frequenze molto piccolo chiamato canale. Il segnale ad una data frequenza viene fatto "saltare" da una canale all'altro, distribuendosi su una una banda di frequenze molto ampia. Il vantaggio di tale sistema, quando il rapporto fra la larghezza di banda originale del segnale e la larghezza di banda del segnale di diffusione molto grande, di offrire una grande immunit all'interferenza. La tecnologia consente a pi utenti di condividere lo stesso insieme di frequenze cambiando automaticamente la frequenza di trasmissione fino a 1600 volte al secondo, al fine di una maggiore stabilit di connessione e di una riduzione delle interferenze tra canali di trasmissione Il sistema FHSS risulta molto sicuro contro interferenza e l'intercettazione in quanto risulta statisticamente impossibile poter ostruire tutte le frequenze che possono essere usate e l'implementazione di sistemi di filtri selettivi su frequenze diverse dalla frequenza del segnale, eccedenza 50dB. DSSS una tecnologia di trasmissione a "frequenza diretta" a banda larga, ogni bit viene trasmesso come una sequenza ridondante di bit, detta chip. Tale metodo indicato per la trasmissione e ricezione di segnali deboli. Consente l'interoperabilit con le reti wireless attuali a 11 Mbps con le precedenti a 1-2 Mbps. L'interfaccia DSSS utilizza un sistema con dispersione in banda base utilizzando un chipping code (codice di dispersione) modulando il dato prima di trasmetterlo, ogni bit trasmesso viene disperso su una sequenza a 11 bit (sequenza Barker). Il segnale trasmesso consumer una maggior larghezza di banda consentendo la ricezione di segnali deboli.

21

Le reti wireless La modulazione DSSS assicura una resistenza all'interferenza piuttosto scarsa. Questa limitazione limita luso della DSSS nelle applicazioni reali delle Wlan.

22

Capitolo 3

LA SICUREZZA NELLE RETI WIRELESS


In ambiente wireless il tema della sicurezza pi delicato rispetto alle reti cablate. Il principale problema legato alla sicurezza per le reti wireless il mezzo di tramissione: letere. Un hacker per violare una rete wired locale deve avere accesso ad un computer o ad un cavo della rete stessa. A causa dellimpossibilit di confinare il campo elettromagnetico prodotto dallaccess point, il perimetro di una rete wireless pu fuoriuscire dagli uffici o addirittura dal palazzo dellazienda, e gi questa particolarit da sola fornisce ampia possibilit dazione a chi avesse intenzione di infiltrarsi. Basterebbe infatti posizionarsi in luoghi di facile accesso (sale daspetto, anticamere, parcheggi, uffici o appartamenti confinanti) per entrare nel raggio dazione della rete e avere cosi la possibilit di introdursi (wardriving). Il fenomeno del wardriving molto diffuso negli Usa e ultimamente si sta diffondendo anche in Europa. Le ragioni che spingono gli hacker a cercare reti wireless non protette a cui connettersi sono molteplici. La ragione principale consiste nellottenere in modo anonimo un collegamento ad internet. In questo caso lhacker potrebbe compiere azioni illecite su internet e le responsabilit legali ricadrebbero sul proprietario della rete. Inoltre tramite il collegamento wireless un hacker potrebbe attaccare la rete wired allacciata allaccess point, bypassando le protezioni offerte dai firewall. evidente che in questa situazione le necessarie misure di sicurezza hanno caratteristiche differenti da quelle normalmente adottate per le reti cablate. Le misure di sicurezza ovviamente non mancano, dai firewall alla crittografia dei dati, ma gli standard applicati oggi alle reti wireless non forniscono una robustezza tale da poter essere considerati sicuri.

Figura 3-1: i vari livelli di sicurezza dello stack ISO-OSI

23

La sicurezza nelle reti wireless Queste diverse soluzioni lavorano a livelli differenti del modello ISO-OSI, come mostrato dalla figura soprastante, e quindi non sono mutuamente esclusive, ma possono essere usate contemporaneamente per fornire un livello di sicurezza maggiore. Oggi non esistono ancora sistemi che garantiscano per le reti wi-fi un livello di sicurezza equivalente a quello delle reti wired. I 3 servizi base di sicurezza definiti da IEEE per le Wlan 802.11b e compatibili sono: Autenticazione: verifica dellidentit, controllo dellaccesso alle risorse solo per i client autorizzati. Confidenzialit dei dati: garantire la privacy della comunicazione criptando i pacchetti (WEP). Integrit dei dati: evita che le informazioni possano essere modificate durante la trasmissione. Secondo IEEE, con larrivo del WEP si sarebbero raggiunti tali servizi, offrendo un livello di sicurezza pari a quello delle reti wired. Per comprendere il livello di sicurezza assicurato, analizziamo i principali tipi di attacchi che un hacker pu effettuare contro una rete wi-fi. Rappresentiamo il normale flusso di pacchetti lungo la rete con il seguente schema:

Identifichiamo le seguenti tipologie di attacco: Interruzione: ovvero il blocco del flusso delle informazioni dal mittente al destinatario.

Intercettazione: l'hacker in ascolto pu copiare le informazioni rimanendo invisibile.

24

La sicurezza nelle reti wireless

Modifica: l'equivalente di intercettare una lettera, aprirla, modificarla, richiuderla e rispedirla senza che ne mittente ne destinatario si accorgano di nulla.

Contraffazione: ossia inviare falsi messaggi creati ex-novo con le credenziali di un utente considerato fidato dal sistema.

Nelle reti wireless lintercettazione viene effettuata utilizzando una scheda wi-fi che ascolta la rete in modo promiscuo. Lo sniffing pu essere effettuato anche da luoghi pubblici passando inosservati, sfruttando limpossibilit di confinare il campo elettromagnetico, prodotto dallaccess point, allinterno di un edificio. Linterruzione della comunicazione tra un client e laccess point viene generata con una sorgente di onde elettromagnetiche che interferisce con la sorgente. La contraffazione di un messaggio, invece, dipende dal sistema di autenticazione utilizzato. Il metodo pi semplice per riconoscere il client utilizza il MAC address della scheda di rete dellutente. In questo caso la contraffazione risulta semplice, in quanto sulla rete esistono software che ascoltando la rete rilevano gli indirizzi MAC dei vari client e li impostano sulla propria scheda di rete. La modifica di un messaggio unoperazione pi complessa delle altre. Un hacker deve prima di tutto isolare un client (interruzione), poi deve simulare un access point per ricevere i messaggi e rinviarli allaccess point originale. Abbiamo quindi visto, che le reti wireless non garantiscono un sufficiente livello di sicurezza. Vediamo ora quali sono i livelli di protezione adottabili e riconosciuti nelle specifiche dell'802.11b e facilmente applicabili in tutte le WLAN che supportano tale standard.

25

La sicurezza nelle reti wireless Per lautenticazione lo standard 802.11b prevede, come abbiamo visto due modalit.: OSA (Open Systems Authentication) che non prevede alcuna autenticazione consentendo a qualsiasi dispositivo mobile laccesso. SKA (Shared Key Authentication) che prevede luso di una chiave precondivisa nellautenticazione; una volta autenticati, i dati scambiati tra laccess point (AP) e il terminale mobile (TW) vengono cifrati mediante WEP. In una connessione AP e TW occorre che i due dispositivi abbiano condiviso la chiave prima di connettersi. Per cui tutti i TW debbono essere configurati manualmente allinterno della Wlan. Nella pratica si usa, per comodit, una sola chiave per tutti i TW, ci comporta che un AP nella modalit SKA pu verificare lappartenenza di un TW ad un specifico gruppo ma non la sua specifica identit. Lautenticazione unidirezionale dallAP verso lTW e non viceversa, ci pu consentire lintrusione di un AP mascherato. La modalit SKA funziona nel seguente modo: laccess point manda un pacchetto di sfida al nuovo client che lo cripta con la chiave corretta e lo rispedisce al mittente. Laccess point controlla la correttezza e se la risposta giusta il nuovo utente viene associato alla rete. Lo standard 802.11b implementa i seguenti livelli di sicurezza: Service Set Identifier (SSID) Access Control List Trasmissioni dei dati (WEP)

3.1 Service Set Identifier (SSID)


SSID lidentificatore configurabile che permette ai client di comunicare con laccess point appropriato. E una stringa di caratteri unica, costituita da una sequenza di venti caratteri alfanumerica definita e configurata dallamministratore della rete. Con una configurazione corretta, solo i client con il SSID corretto possono comunicare con lui. Allatto pratico, il SSID lavora come una password condivisa tra access point e client e viceversa. IL SSID viene, anche usato per segmentare la rete wireless in molteplici reti servite da uno o pi access point. Il SSID, comunque, pu essere facilmente sniffato in quanto viene trasmesso come testo in chiaro anche quando il WEP abilitato. Infatti viene inserito nellheader dei pacchetti che non vengono usualmente criptati.

26

La sicurezza nelle reti wireless

3.2 Access Control List


Gli Indirizzi MAC sono indirizzi univoci a livello mondiale sempre assegnati, in fabbrica, dal produttore a ciascuna scheda di rete, cablata o wireless che sia. Inserendo gli indirizzi MAC delle schede wireless autorizzate negli elenchi di accesso dell'Access Point, automaticamente, tutte le altre schede di rete non saranno autorizzate all'accesso alla rete wireless. Questa misura possibile solo nel caso in cui gli utenti della WLAN siano stabili e non sia permesso l'accesso ad utenti occasionali. Questa soluzione ha, comunque, alcuni difetti. Innanzitutto riduce la scalabilit della rete in quanto realizzabile solo quando gli utenti della rete sono poco numerosi. Inoltre questo metodo non garantisce un livello di sicurezza soddisfacente. Infatti vero che gli indirizzi MAC vengono assegnati dal produttore della scheda wireless, ma essi possono essere cambiati da appositi software e in oltre questi viaggiano in chiaro sulla rete e quindi sono facilmente individuabili.

3.3 WEP
WEP (Wireless encryption protocol) uno standard, che lavora a livello data-link, definito al fine di rendere sicuro un collegamento wireless come un collegamento via cavo. In realt si dimostrato un protocollo facilmente violabile in quanto presenta alcune debolezze. Il protocollo WEP utilizza un algoritmo di cifratura a chiave simmetrica statica condivisa (RC4, 64 o 128bit) . La chiave formata da un vettore di inizializzazione (IV) di 24 bit e da una chiave vera e propria di 40 o 104 bit. Il vettore di inizializzazione ha il compito di inizializzare il cipher strem e viene trasmesso in chiaro.

Figura 3-2: WEP frame

27

La sicurezza nelle reti wireless Per assicurare lintegrit dei dati nel frame vengono aggiunti i campi ICV e FCS che si basano sul controllo a ridondanza ciclica. Il campo FCS serve per prevenire le alterazioni del frame dovute al mezzo di trasporto. Questo non basta a garantire lintegrit dei dati in quanto un hacker pu modificare il frame e ricalcolare il campo FCS. Quindi stato aggiunto lintegrity check value che venendo trasmesso criptato non pu essere ricalcolato. Il WEP soggetto ad attacchi di tipo known plaintest in quanto: la struttura dei pacchetti IP, ARP, ACK ben conosciuta. i pacchetti di sfida e la loro risposta sono facilmente intercettabili. Essendo lIV di soli 24 bit, esistono solo 224 combinazioni e queste si ripetono dopo 17 milioni di pacchetti, rendendo il protocollo pi vulnerabile. La scelta della chiave pre-condivisa rappresenta un elemento di vulnerabilit in quanto la chiave deve essere scambiata via radio fra WT e AP. Poich lo standard 802.11 non supporta la funzionalit di scambio dinamico delle chiavi, queste rimangono in uso per tempi anche molto lunghi (mesi o addirittura anni) senza essere modificate dal gestore di sistema. In questo modo si pu compromette la segretezza della chiave con appositi software che analizzano il traffico nell'etere. Proprio per questo motivo, un'importante precauzione consiste nel modificare frequentemente le password. Tale operazione potrebbe risultare tuttavia complessa se eseguita su reti di grandi dimensioni. Inoltre il tempo per crackare la chiave cresce solo linearmente con la sua lunghezza. Anche la pi recente versione a 128 bit dell'algoritmo WEP, infatti, non esente da limiti: dall'analisi statistica del traffico, non particolarmente difficile introdursi in un'infrastruttura wireless. Un altro elemento di vulnerabilit della sicurezza discende dallunidirezionalit della tecnica di autenticazione dello standard IEEE 802.11b: il punto daccesso, infatti, pu autenticare il terminale ma questultimo, in nessun modo, pu autenticare il primo. Pertanto, un nodo di rete intruso pu spacciarsi per AP senza che il terminale possa verificarne lautenticit. Si noti che questa eventualit non remota, in quanto la semplicit della connessione in rete degli AP considerato proprio uno dei punti di forza del Wi-Fi.

28

La sicurezza nelle reti wireless

Figura 3-3: Algoritmo di cifratura del WEP

Figura 3-4: Algoritmo di decifratura del WEP

29

La sicurezza nelle reti wireless Il WEP genera chiavi crittografiche segrete che sono utilizzate sia dalla stazione sorgente che da quella destinataria per crittografare i frame da trasmettere (Crittografia a chiave simmetrica). Lalgoritmo WEP si compone dei seguenti passi: 1. Si applica lalgoritmo di integrit al Frame per generare un ICV (Integrity Check Value) di 32 bit inviati insieme ai dati e controllati dal ricevitore per proteggere le informazioni trasmesse da eventuali modifiche non autorizzate. 2. Si genera la Key Sequence da un generatore pseudo-casuale che riceve come input la chiave segreta. La Key Sequence ha la stessa lunghezza del Frame + ICV. 3. Si effettua lOR Esclusivo (X-OR) tra i bit Frame + ICV e la Key Sequence e si genera il testo crittografato 4. Il ricevitore decifra il testo utilizzando la sua chiave e genera la stessa Key sequenze utilizzata per criptare il frame. 5. La stazione calcola lIntegrity Check e lo confronta con la sequenza ricevuta decriptata. Se non c corrispondenza allora la MSDU non viene inviata allunit LLC e si invia una Failure Indication al Mac Management.

Figura 3-5: Schema di funzionamento di una Wlan con SSID, WEP, lista MAC

Questa figura mostra la struttura di una rete che sfrutta tutti e 3 i servizi offerti dal protocollo 802.11b. Essi garantiscono un livello di sicurezza piuttosto basso.

30

La sicurezza nelle reti wireless

Figura 3-6: Strumenti necessari per violare una rete

Le risorse hardware necessarie per violare una siffatta rete wireless sono molto modeste: Portatile o palmare Scheda wireless Antenna omnidirezionale e direzionale Unipotetica violazione di una rete wireless potrebbe passare attraverso i seguenti passi: Rilevamento della rete Identificazione del SSID Identificazione dei MAC validi (viaggiano in chiaro sulla rete) Identificazione della chiave WEP Identificazione dellindirizzo IP valido Loperazione pi complessa lidentificazione della chiave WEP che viene fatta con uno speciale software (Airsnort) disponibile in rete. Il tempo impiegato dipende dal volume di traffico della rete: AirSnort garantisce di decifrare la chiave dopo 3,4 milioni di pacchetti che su una rete di medie dimensioni corrisponde a 30 minuti. Dopo aver analizzato i servizi base forniti dal protocollo 802.11b, si passer allanalisi dei principali approcci al problema della sicurezza che garantiscono un

31

La sicurezza nelle reti wireless livello di sicurezza superiore: 802.11i e VPN. Questi sistemi lavorano ad un livello del modello ISO-OSI differente e quindi non sono mutuamente esclusivi. In questo capitolo non si parler del sistema di autenticazione NoCat che, essendo largomento centrale di questa tesi, verr trattato pi ampliamente nei capitoli successivi.

3.4 IEEE 802.11i e WPA


IEEE 802.11i un nuovo standard che sta sviluppando IEEE per sostituire i protocolli attuali per le reti wireless al fine di migliorare la sicurezza. In particolare 802.11i vuole risolvere le debolezze mostrate dal WEP nellautenticare i client e nel criptare i dati. Lo standard 802.11i formato dai seguenti componenti: 802.1x framework (autenticazione basata su porte) TKIP (Temporal key Integry protocol) AES (Advance Encryption standard) Gestione e gerarchia delle chiavi Cipher e Negoziazione dellautenticazione Questo nuovo standard ancora in fase di lavorazione e non compatibile con gli attuali dispositivi presenti sul mercato. Per risolvere gli attuali problemi di sicurezza delle reti 802.11b IEEE ha annunciato il rilascio di un nuovo standard (WPA) basato parzialmente su 802.11i e compatibile dal punto di vista hardware con i dispositivi in commercio (richiede un upgrade software). WPA formato da tutti i componenti di 802.11i ad eccezione di AES.

Autenticazione 802.1x
Lo standard 802.1x specifica una forma di autenticazione generica e estendibile basata sullutilizzo di porte applicabile sia alle reti wireless che alle reti wired. Questo tipo di autenticazione esiste gi in commercio e si base sul protocollo WEP; quando uscir il protocollo WPA sfrutter tutti i suoi componenti. 802.1x supportato dalla maggior parte dei sistemi operativi e access point in commercio. Esso specifica diversi tipi di autenticazione: Login e password Certificati Smart cart

32

La sicurezza nelle reti wireless Analizziamo in dettaglio lautenticazione di un client wireless che si collega ad un access point: 1. Un client fa una richiesta di accesso allaccess point. 2. Laccess point passa la richiesta ad un server di autenticazione. 3. Il server valida la richiesta e passa la chiave WEP (allintroduzione del WPA sar sostituita dal TKIP) allaccess point. 4. Attraverso una comunicazione sicura laccess point passa la chiave al client. 5. Il client ha accesso sicuro alla rete. Per aumentare la sicurezza nuove chiavi vengono generate dinamicamente durante la connessione.

Figura 3-7: Schema di funzionamento di una Wlan 802.1x

802.1x non richiede un particolare protocollo di autenticazione. Infatti, 802.1x usa EAP (Extensible Authentication Protocol). EAP un protocollo di incapsulazione che permette di usare diversi protocolli di autenticazione. Esistono quattro protocolli di autenticazione principali: MD5: protocollo unidirezionale basato su password LEAP: protocollo proprietario di Cisco basato su username EAP-TLS: protocollo bidirezionale basato su certificati EAP-TTLS, PEAP: sono protocolli di alto livello che non richiedono certificati Il metodo migliore dipende dalla struttura della rete wireless. Comunque MD5 il protocollo pi semplice e meno sicuro. Innanzi tutto un protocollo unidirezionale, cio il client non pu autenticare laccess point, in pi utilizza un sistema a password che meno sicuro di uno basato su certificati. Cisco LEAP offre una

33

La sicurezza nelle reti wireless sicurezza maggiore rispetto a MD5, ma, essendo un protocollo proprietario, limita le scelte dellutente e pu produrre un aumento dei costi. Gli altri protocolli offrono unautenticazione pi sicura e sono raccomandati in unimplementazione 802.1x. TLS basato su un protocollo di autenticazione sostanzialmente identico ad SSL (protocollo per le transazioni web sicure). TLS supporta la mutua autenticazione tra client e server e basato sui certificati.

Figura 2-8: Schema di funzionamento dell EAP-TLS

TTLS e PEAP sono molto simili. Entrambi creano un tunnel TLS con un protocollo di alto livello come MS-CHAPv2. La differenza nel metodo di autenticazione di alto livello dopo che il tunnel stato stabilito. TTLS usa un meccanismo di autenticazione semplice e poco strutturato basato su coppie di token. Invece PEAP usa usa un meccanismo di autenticazione pi strutturato EAP compatibile.

Caratteristiche
Lunghezza chiave Mutua autenticazione Rotazione chiavi Livello di sicurezza Supporto nei client

MD5
Si Si Debole Supporto nativo in windows XP

Cisco LEAP
128 Si Si Intermedia Supporto solo nelle schede Cisco

EAP-TLS
128 Si Si Robusta Supporto nativo in windows XP e 2000

PEAP TTLS
128 Si Si Robusta Supporto nativo in windows XP e 2000

Tabella 3-1: Riassunto protocolli di autenticazione

34

La sicurezza nelle reti wireless Lapproccio 802.1x offre i seguenti vantaggi: Basato su standard. Autenticazione flessibile: lamministratore pu scegliere il metodo di autenticazione. Gestito centralmente. Scalabile: se si vuole allargare la rete basta aggiungere gli access point e i server di autenticazione. Le chiavi dei client sono generate dinamicamente e propagate. Il roaming tra pi access point pi trasparente in quanto lautenticazione gestita centralmente. Nelle reti aziendali, il processo di autenticazione sar gestito da un server specifico (Radius server) che sar in grado di gestire gli utenti meglio dell'attuale WEP e in maniera molto pi semplice.

Figura 3-9: Struttura di una wlan con server Radius

Il server ha il compito di gestire e controllare gli accessi alla rete. Questo include la gestione delle credenziali degli utenti, lautorizzazione delle richieste di accesso alla rete degli utenti e la generazione delle sessioni. La figura seguente mostra questa implementazione.

35

La sicurezza nelle reti wireless

Figura 3-10: Schema di funzionamento di una wlan 802.1x con server Radius

Per le reti domestiche, con minori esigenze in termini di sicurezza, prevista una modalit a chiave precondivisa, il che ha il vantaggio di non richiede l'uso di un server, anche se il livello di sicurezza certamente inferiore. Questo approccio offre la facilit di istallazione del WEP insieme ad un metodo di cripting pi robusto (TKIP). Il WPA a chiave precondivisa differisce sostanzialmente dal WEP. Sotto WPA la chiave precondivisa usata solo allinizio dello scambio delle chiavi dinamiche TKIP e non partecipa direttamente al cripting dei dati. La figura seguente mostra questa implementazione.

Figura 3-11: Schema di funzionamento di una wlan 802.1x a chiavi precondivise

TKIP
TKIP si occupa della generazione dinamica delle chiavi e del loro scambio in modo sicuro. TKIP continua usare lalgoritmo di cripting RC4 usato dal WEP ma provvede ai seguenti miglioramenti:

36

La sicurezza nelle reti wireless Chiavi dinamiche Message integry checking (MIC): fornisce un checksum molto pi sicuro combinando e crittografando il Mac address del mittente e del destinatario assieme ai dati che si dovrebbero scambiare. Proteggendosi cos contro falsificazioni di identit. Contromisure destinate ad evitare che un hacker possa venire a conoscenza di informazioni su particolari chiavi utilizzate ("rekeyring"). Un nuovo vettore di inizializzazione (IV) di 48 Bit, questo significa che 248 pacchetti verranno scambiati con chiavi temporanee diverse e che in occasione di traffico elevato, ci vorrebbero approssimativamente 100 anni per avvenire un possibile riuso della chiave, dato molto rassicurante. Correzione delle vulnerabilit del WEP (IV trasmesso in chiaro). Unendo il packet key assieme al vettore di inizializzazione si possono evitare attacchi diretti a scoprire debolezze nelle chiavi.

Con lintroduzione del protocollo 802.11i lalgoritmo di cripting RC4 verr sostituito col pi robusto AES. Il Tkip lavora principalmente sui punti deboli del WEP, risolvendo anche il grave problema del riutilizzo delle key. Il processo inizia con un a chiave temporanea di 28 bit condivisa unicamente fra client e access point. Il Tkip combina questa chiave temporanea con il MAC address della macchina client ed aggiunge un vettore di inizializzazione di 16 ottetti, producendo in questo modo la chiave che verr usata per crittografare i dati. Questa procedura assicura che ogni stazione usi un differente key stream per crittografare i dati. Il costo di questo algoritmo circa 3,5 cicli di byte al secondo su di un processore ARM7, e circa 5,5 cicli di byte su di un processore 486. Questo significa che avremo 3.1 Milioni di cicli su di un ARM7 e 4,8 Milioni di cicli su di un 486.

Gestione e gerarchia delle chiavi


WPA fornisce un metodo migliore e pi sicuro per la creazione e la gestione delle chiavi. I client ricevono le chiavi attraverso gli opportuni pacchetti 802.1x. Le chiavi ricevute non vengono usate direttamente per criptare i pacchetti ma per creare un successivo livello di chiavi.

37

La sicurezza nelle reti wireless

3.5 VPN
VPN una soluzione che stata sviluppata per permettere ai lavoratori remoti un accesso sicuro alla rete attraverso internet. La VPN provvede a creare un percorso sicuro e dedicato (tunnel) attraverso una rete insicura (in questo caso internet). Esistono diversi protocolli di tunneling (PPTP, L2TP) che vengono usati insieme a delle soluzioni che permettono lautenticazione centralizzata (Radius server). Il tipo di connessione che si stabilisce quando si costituisce una VPN si basa sulla tecnica del tunnelling, il processo di incapsulamento di un pacchetto di una rete dentro un altro che consente, tra le altre numerose funzioni, di nascondere lindirizzo IP del vero mittente e ricevente. Il pacchetto che viaggia attraverso la rete insicura cifrato e solamente gli indirizzi pubblici della VPN (Gateway o Client) sono notificati durante il trasporto. Le principali componenti delle reti private virtuali sono due: il gateway di rete, un elemento che dispone di varie interfacce verso le diverse componenti della rete e di diversi protocolli di cifratura e decifratura del traffico che lo attraversa. Laltro importante elemento che compone una VPN il client installato su un computer in grado a sua volta di cifrare e decifrare selettivamente il traffico che trasmette e riceve dalla rete geografica protetta dal gateway della VPN. Il traffico di una VPN viene indirizzato verso un server remoto attraverso un normale indirizzo IP ma, passando attraverso il dispositivo della VPN, viene cifrato e inserito in una procedura di tunnelling che lo instrada automaticamente verso la rete remota a cui destinato. Quando il gateway di questa rete riceve il pacchetto di dati cifrati, verifica lidentit del mittente e lintegrit del pacchetto, quindi lo decifra e lo distribuisce al destinatario senza modificarlo. Tra i protocolli utilizzati per cifrare il traffico delle VPN, quello pi diffuso IPSec. IPSec (Internet Protocol Security) non in realt un singolo protocollo, ma linsieme di elementi che costituiscono unarchitettura di sicurezza a livello IP. Trovandosi a livello di rete, IPSec una soluzione molto generale (pu proteggere tutto il traffico IP) ed trasparente rispetto alle applicazioni. La stessa tecnologia VPN pu essere utilizzata per garantire un accesso sicuro nelle reti wireless. In questo caso la rete insicura la rete wireless. Laccess point viene configurato in modalit OSA (open) con chiave WEP disabilitata, ma laccesso wireless isolato dalla rete interna da un server VPN. Lautenticazione e il cripting dei dati vengono eseguiti dal server VPN che funziona come firewall/gateway per la rete interna. La soluzione basata su VPN garantisce una elevata sicurezza e scalabilit.

38

La sicurezza nelle reti wireless

Figura 3-12: Struttura di VPN

La VPN garantisce numerosi vantaggi rispetto le soluzioni concorrenti: Scalabile ad un grande numero di client. Basso livello di amministrazione negli access point e nei client. I server VPN possono essere gestiti centralmente. Il traffico verso la rete interna bloccato fino allautenticazione Il WEP e MAC address list non sono necessari Linterfaccia che permette laccesso remoto uguale in ogni posto Un difetto delle VPN la mancanza del supporto della trasmissione multicast usata nello streaming audio e video. In pi, in alcune soluzioni di VPN, il roaming tra pi access point non trasparente. Questo problema pu essere risolto tramite luso di certificati che ristabiliscono, in modo nascosto allutente, il tunnel VPN.

39

Capitolo 4

NOCATAUTH

Dopo aver descritto i servizi, nellambito della sicurezza, offerti dallo standard 802.11b e le principali soluzioni disponibili sul mercato, analizziamo un particolare sistema che permette di gestire laccesso e lautenticazione in una rete wireless: NoCatAuth. NoCat appartiene a quella categoria di software che viene chiamata Captive portal (oppure catch and release portal). Il Captive portal sta diventando un modo molto diffuso per provvedere alla autorizzazione degli utenti e alla gestione del traffico a livello Network del modello ISO-OSI per le reti wireless. I captive portal permettono, attraverso luso di un semplice browser, lautenticazione sicura degli utenti usando protocolli opportuni per criptare le comunicazioni come SSL e IPSEC.

Figura 4-1: i vari livelli di sicurezza dello stack ISO-OSI

Lidea che sta dietro al concetto di Captive portal semplice: invece che basare la sicurezza della rete sui servizi offerti dallo standard 802.11b che si sono dimostrati molto deboli e quindi controllare chi si associa allaccess point, configuriamo la rete in modalit aperta. Immediatamente dietro allaccess point installiamo un router che ha la funzione di gestire il flusso dei dati verso la rete wired: lasciando passare solo gli utenti autorizzati e gestendo la banda disponibile. Il funzionamento di un Captive portal viene denominato catch and release. Quando un client non autenticato richiede una pagina web, il Captive portal intercetta la richiesta (catch) e propone allutente una pagina web di autenticazione. Se il client inserisce lusername e la password corretta, viene autenticato e portato alla pagina web iniziale (release).

40

NoCatAuth Si immagini di voler costruire una rete wireless per permettere laccesso ad internet a gli studenti di una facolt universitaria. Dal punto di vista degli studenti questa rete : Deve garantire la sicurezza. Deve richiedere hardware poco costoso. Non deve richiedere conoscenze informatiche particolari. Deve essere facile da usare Invece, dal punto di vista degli amministratori della rete: Deve richiedere il minimo supporto tecnico. Deve permettere laccesso alle sole persone autorizzate. Deve proteggere la rete dietro agli access point Deve poter fornire sevizi differenziati Deve essere scalabile Analizziamo, ora, se i Captive portal soddisfano tutti questi requisiti. Sicuramente il punto di forza di questi sistemi la facilit di uso. Essi non richiedono listallazione di alcun software nel lato client, autenticano i vari utenti attraverso pagine web, quindi con una interfaccia user-friendly. Larchitettura stessa estremamente scalabile, in quanto per autenticare i vari utenti utilizzano un database centrale che, anche nel caso di uso di pi gateway non viene duplicato. La separazione tra la rete wireless e le credenziali degli utenti fornisce una maggiore osservabilit al sistema e permette di utilizzare le stesse per altri servizi, diversi dallaccesso alla rete wireless. I Captive portal permettono una facile installazione a differenza di soluzioni alternative come le VPN. Forniscono servizi differenziati come il controllo della banda dei vari utenti. Il punto debole di questi sistemi che criptano solo lautenticazione e non il resto della comunicazione, permettendo lascolto delle comunicazioni dei vari utenti. NoCatAuth un sistema di autenticazione scritto in Perl e in C. composto da due componenti principali che possono risiedere su macchine diverse e comunicano tra di loro attraverso socket: gateway e authservice. Il gateway si trova su una macchina immediatamente dietro laccess point e si occupa di gestire le connessioni degli utenti e settare la banda delle stesse. Questo viene fatto aggiungendo e eliminando delle regole di firewall opportune in modo dinamico. Lauthservice, invece, si occupa dellautenticazione degli utenti appoggiandosi ad un database (MySql, Ldap, Radius, Samba, Pam e password file). Il suo unico compito quello di dare al gateway una risposta affermativa o negativa sulle credenziali dellutente. Esistono due diverse implementazioni di una rete wireless ESS basata su NoCatAuth, riassunte nelle due figure sottostanti. Nella prima il traffico proveniente da tutti gli access point attraversa un unico gateway. Nella seconda implementazione, invece, esiste un unico authservice

41

NoCatAuth centrale ma un gateway per ogni access point. La prima implementazione viene utilizzata nelle reti di piccole dimensioni dove il transito del traffico in un unico punto non limita le prestazioni della rete. Se si considerano reti di dimensione pi elevata, questo pu diventare un collo di bottiglia che limita sensibilmente le prestazioni. In questo caso viene utilizzata la seconda implementazione: si usa un gateway per ogni access point. Questa una soluzione sicuramente pi scalabile, per ha dei difetti. Innanzitutto richiede pi router (uno per ogni gateway) con conseguente aumento dei costi, in pi il roaming tra due access point non trasparente: lutente deve rifare lautenticazione.

Figura 4-2: Implementazione di un sistema NoCatAuth con un gateway

Figura 4-3: Implementazione di un sistema NoCatAuth con pi gateway

42

NoCatAuth

4.1 Funzionamento di NoCatAuth


Analizziamo, ora, il funzionamento del sistema di autenticazione NoCatAuth. Prendiamo in considerazione una rete wireless BSS, collegata tramite un access point ad una rete wired che ha accesso ad internet. Istalliamo, quindi un gateway immediatamente a valle dellaccess point e lauthservice dietro di esso. Ogni utente non autenticato pu arrivare fino al gateway ma non oltrepassarlo.

Figura 4-4: Il client si collega alla rete e ottiene un indirizzo IP tramite il DHCP

Un client per autenticarsi deve prima di tutto connettersi con laccess point e ottenere un indirizzo IP valido. Se vogliamo assegnare gli indirizzi IP in modo dinamico dobbiamo installare il DHCP server nella stessa macchina del gateway (o nellaccess point). Nella figura 3-2 sono evidenziati i passi necessari per il collegamento alla rete: 1. l utente si collega allaccess point 2. lutente fa una richiesta di indirizzo IP, tramite il DHCP client 3. La richiesta arriva al DHCP server che gli assegna un indirizzo IP valido e glielo comunica.

43

NoCatAuth

Figura 4-5: Il client richiede una pagina web e viene ridiretto alla pagina di autenticazione

Il client, dopo essersi collegato allaccess point tenta di collegarsi ad un computer dietro il gateway (es. richiede una pagina web). Il gateway intercetta la richiesta e la ridirige verso una pagina di autenticazione gestita dallauthservice, dopo avergli appeso un token casuale e altre informazioni sul URL della pagina voluta.

Figura 4-6: Lauthservice crea una connessione criptata SSL per lautenticazione

Lauthservice crea una connessione SSL, quindi a livello TCP del modello ISOOSI, per cifrare la comunicazione. Per creare questa connessione SSL vengono usati appositi certificati e su questo si basa tutta la sicurezza dellautenticazione. In

44

NoCatAuth questo collegamento viaggiano lusername e la password dellutente che non possono essere oggetto di spoofing perch criptati.

Figura 4-7: Lauthservice comunica lautenticazione al gateway con un messaggio PGP

Lauthservice controlla se i dati immessi sono corretti, interrogando un database. In coso affermativo, crea un messaggio criptato PGP e lo manda al gateway. Il gateway che possiede la chiave pubblica PGP dellauthservice controlla lautenticit del messaggio e autentica lutente. La presenza di un token casuale nella comunicazione elimina la possibilit di un attacco replay; la firma digitale PGP impedisce la presenza di authservice fasulli.

Figura 4-8: Il client viene autenticato e ridirezionato alla pagina richiesta

45

NoCatAuth A questo punto il gateway modifica le regole di firewall per permette ulteriori accessi allutente e ridirige lutente verso la pagina che aveva inizialmente richiesto. Solo a questo punto lutente pu interagire con la rete locale in questo modo si minimizzano i rischi legati alla sicurezza. Queste regole vengono poi cancellate quando lutente clicca sul pulsante di logout di una apposita finestra, apertasi dopo il login.

Figura 4-9: La finestra di logout e rinnovo della connessione

Il gateway riconosce lutente attraverso lIP e lindirizzo MAC, quindi attua un livello di sicurezza a livello Network e Data-Link. Queste due informazioni sono facilmente carpibili ascoltando la rete in modalit promiscua. Quindi un hacker potrebbe isolare un utente (interruzione) e connettersi al posto suo. Per evitare questa possibilit, i progettisti di NoCat hanno imposto un limite di tempo alla connessioni degli utenti (impostabile in fase di configurazione), dopo di che il client deve riautenticarsi. Questa riautenticazione avviene in modo nascosto allutente, attraverso un Javascript allinterno della finestra di logout. Come si pu vedere nel riquadro sottostante, che riporta il codice html della pagina di login, ogni $timeout secondi una form, contenente username e password, viene mandata al gateway in forma criptata per mantenere viva la connessione. Quindi un hacker che causi una interruzione ai danni di un utente ha al massimo $timeout secondi di connessione libera, in quanto non conosce lusername e la password per ripristinare la connessione. Questo metodo evita di tenere aperta una connessione quando non necessario supportando anche cadute accidentali del collegamento. Come si detto la variabile $timeout configurabile dallutente e assume un minimo di 60 secondi. Non esiste un valore ottimale assoluto di questa variabile ma dipende dal numero di utenti che si collegano alla rete. Il valore scelto deve essere un compromesso tra overhead di informazioni e il livello di sicurezza che si vuole assicurare.

46

NoCatAuth
<html> <head> <title>NoCat login agent</title> <meta http-equiv="Refresh" content="$redirect" /> </head> <script language="JavaScript"> setTimeout( "document.RenewalForm.submit()", $timeout * 1000 ); </script> <body bgcolor="#FFFFFF"> <p><a href="http://nocat.net" target="_blank"><img src="/images/auth_logo.gif" width="112" height="35" border="0"></a> </p> <p><font face="Verdana, Arial, Helvetica, sans-serif" size="1">Keep this window open, and your authentication will automatically be renewed within $timeout seconds. This window may be safely minimized. </font></p> <p align="center"> <form method="post" action="$logout"> <input type="image" name="mode_logout" src="/images/logout.gif" width="55" height="17" border="0"> </form> <form name="RenewalForm" action="$CGI" method="post"> <input type="hidden" name="mode" value="renew"> <input type="hidden" name="user" value="$user"> <input type="hidden" name="pass" value="$pass"> <input type="hidden" name="mac" value="$mac"> <input type="hidden" name="token" value="$token"> <input type="hidden" name="gateway" value="$gateway"> <input type="hidden" name="timeout" value="$timeout"> </form> </body> </html>

Un ulteriore caratteristica del pacchetto NoCatAuth il supporto dei servizi differenziati. I vari utenti appartengono a classi differenti prestabilite e sono soggetti a limitazioni di banda utilizzabile. NoCatAuth supporta 3 tipi di classi prefissate: Owner, Member, Public che rispettivamente hanno una banda di 3 Mbit, 1 Mbit e 128 Kbit.

Figura 4-10: La finestra di logout e rinnovo della connessione

47

NoCatAuth Quindi possiamo rappresentare il nostro sistema come un grande edificio (Network) con una porta (Gateway) e un portiere (NoCatAuth) che chiede le credenziali delle varie persone. Ci sono 3 tipi di persone (utenti) che accedono alledificio: i visitatori (public), i lavoratori (Member) e i manager (Owner). I visitatori possono muoversi allinterno delledificio usando solo le scale, i lavoratori usano le scale mobili e i manager lascensore.

4.2 Il gateway
Il gateway la parte del sistema che gestisce laccesso alla rete, permettendo laccesso ai soli utenti autorizzati. Il compito svolto dal gateway si pu, quindi, riassumere nei seguenti punti: Permette laccesso alla rete ai soli utenti autorizzati Imposta le limitazioni di banda ai vari utenti Imposta il NAT per i vari client Per svolgere il suo compito, il gateway imposta in modo dinamico opportune regole di filtraggio dei pacchetti IP. Le regole di firewall permettono di gestire i pacchetti IP in arrivo e in uscita da un router. Sui vari pacchetti si possono eseguire diverse azioni (Accept, Drop, etc..) che vengono scelte analizzando lheader dei vari frame, in particolar modo i campi: protocollo, mittente, destinatario e mark. Nel sistema Linux il filtraggio dei pacchetti viene eseguito direttamente nel kernel tramite delle regole opportunamente impostate attraverso il comando iptables. I vari pacchetti, prima di essere spediti, devono transitare in opportune catene dove vengono sottoposti alle varie regole.

Figura 4-11: Struttura della catena di filtraggio dei pacchetti in un sistema linux

48

NoCatAuth

Figura 4-12: Struttura della rete QosNet del dipartimento di ingegneria dellinformazione

49

NoCatAuth Per comprendere il funzionamento del gateway, analizziamo le varie regole di filtraggio dei pacchetti impostate, suddivise per tabelle. Queste regole si riferiscono alla rete QosNet del dipartimento di ingegneria dellinformazione delluniversit di Parma, mostrata nella figura. Il riquadro sottostante mostra la tabella filter, in cui sono evidenziate le regole pi importanti. Tutta la catena NoCat viene impostata allavvio del gateway e rappresenta la politica di accesso alla rete. Le regole evidenziate in rosso permettono di accettare i pacchetti delle varie classi marcati in modo diverso. Le regole in blu permettono ad un utente non autenticato di comunicare con la macchine in cui si trova il gateway (es. per comunicare con il DHCP). Le regole in verde, invece, permettono ad un utente non autenticato di sfruttare i servizi del DNS che si trova allinterno della rete wired.

TABELLA FILTER
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination NoCat all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain NoCat (1 references) target prot opt source destination NoCat_Ports all -- anywhere anywhere NoCat_Inbound all -- anywhere anywhere ACCEPT all -- 192.168.3.0/24 anywhere ACCEPT all -- 192.168.3.0/24 anywhere ACCEPT all -- 192.168.3.0/24 anywhere ACCEPT tcp -- 192.168.3.0/24 pp4.ce.unipr.it ACCEPT tcp -- pp4.ce.unipr.it 192.168.3.0/24 ACCEPT tcp -- 192.168.3.0/24 pp4.ce.unipr.it ACCEPT tcp -- pp4.ce.unipr.it 192.168.3.0/24 ACCEPT all -- habana.ce.unipr.it 192.168.3.0/24 ACCEPT tcp -- 192.168.3.0/24 habana.ce.unipr.it ACCEPT udp -- 192.168.3.0/24 habana.ce.unipr.it DROP tcp -- !pp4.ce.unipr.it anywhere DROP all -- anywhere anywhere Chain NoCat_Inbound (1 references) target prot opt source destination ACCEPT all -- anywhere 192.168.3.36 Chain NoCat_Ports (1 references) target prot opt source destination DROP tcp -- anywhere anywhere DROP udp -- anywhere anywhere

MARK match 0x1 MARK match 0x2 MARK match 0x3 tcp dpt:http tcp spt:http tcp dpt:https tcp spt:https tcp dpt:domain udp dpt:domain tcp dpt:5280

tcp dpt:smtp MARK match 0x3 udp dpt:smtp MARK match 0x3

50

NoCatAuth La regola in viola, invece, viene aggiunta allautenticazione dellutente e permette la comunicazione verso il client (nellesempio con IP 192.168.3.36). Al momento del logout viene rimossa dal gateway.

TABELLA NAT
Chain PREROUTING (policy ACCEPT) target prot opt source destination NoCat_Capture all -- anywhere anywhere Chain POSTROUTING (policy ACCEPT) target prot opt source destination NoCat_NAT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain NoCat_Capture (1 references) target prot opt source destination RETURN tcp -- 192.168.3.0/24 pp4.ce.unipr.it tcp dpt:http RETURN tcp -- 192.168.3.0/24 pp4.ce.unipr.it tcp dpt:https REDIRECT tcp -- anywhere anywhere MARK match 0x3 tcp dpt:http redir ports 5280 DROP all -- anywhere windowsupdate.com MARK match 0x4 REDIRECT tcp -- anywhere anywhere MARK match 0x4 tcp dpt:http redir ports 5280 DROP all -- anywhere windowsupdate.com MARK match 0x3 REDIRECT tcp -- anywhere anywhere MARK match 0x3 tcp dpt:https redir ports 5280 DROP all -- anywhere windowsupdate.com MARK match 0x4 REDIRECT tcp -- anywhere anywhere MARK match 0x4 tcp dpt:https redir ports 5280 Chain NoCat_NAT (1 references) target prot opt source destination MASQUERADE all -- 192.168.3.0/24 MASQUERADE all -- 192.168.3.0/24 MASQUERADE all -- 192.168.3.0/24 MASQUERADE tcp -- 192.168.3.0/24 MASQUERADE tcp -- 192.168.3.0/24 MASQUERADE tcp -- 192.168.3.0/24 MASQUERADE udp -- 192.168.3.0/24

anywhere anywhere anywhere pp4.ce.unipr.it pp4.ce.unipr.it habana.CE.UniPR.IT habana.CE.UniPR.IT

MARK match 0x1 MARK match 0x2 MARK match 0x3 tcp dpt:http tcp dpt:https tcp dpt:domain udp dpt:domain

Il riquadro soprastante viene mostrata la tabella NAT. Entrambe le catene NoCat_Capture e NoCat_Nat vengono settate allavvio del gateway. La prima (verde) serve per la ridirezione della richiesta iniziale. La seconda viene utilizzata

51

NoCatAuth per il NAT che permette ad un client, che si collega tramite un indirizzo privato, di collegarsi ad internet con lindirizzo pubblico del gateway.

TABELLA MANGLE
Chain PREROUTING (policy ACCEPT) target prot opt source destination NoCat all -- anywhere anywhere Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain NoCat (1 references) target prot opt source destination MARK all -- anywhere anywhere MARK all -- 192.168.1.36 anywhere

MARK set 0x4 MAC 00:40:96:2A:8D:E7 MARK set 0x2

Passiamo, infine, a esaminare la tabella mangle. Nel riquadro soprastante evidenziata lultima riga che viene inserita al momento dellautenticazione dellutente e permette il passaggio del traffico dal terminale wireless alla rete. Come si pu notare questa regola riconosce i pacchetti dellutente per mezzo dellindirizzo IP e dellindirizzo MAC. Questa regola e la sua complementare presente nella tabellafilter vengono cancellate al momento del logout o alla scadenza del timeout. Il NoCat gateway non vincolato ad usare il NoCat authservice come autenticatore ma pu usare anche altri software. Nella figura sottostante viene riportato, a titolo di esempio, il file di configurazione del gateway da me usato.

52

NoCatAuth

###### gateway.conf -- NoCatAuth Gateway Configuration. # # Format of this file is: <Directive> <Value>, one per # line. Trailing and leading whitespace is ignored. Any # line beginning with a punctuation character is assumed to # be a comment. Verbosity 10 GatewayName the NoCat Network GatewayMode Passive GatewayLog /usr/local/nocat/gw/nocat.log LoginTimeout 60 HomePage http://pp4.ce.unipr.it DocumentRoot /usr/local/nocat/gw/htdocs SplashForm splash.html StatusForm status.html TrustedGroups Any AuthServiceAddr 192.168.3.2 AuthServiceURL https://$AuthServiceAddr/cgi-bin/login LogoutURL https://$AuthServiceAddr/logout.html ExternalDevice eth0 InternalDevice eth1 LocalNetwork 192.168.3.0/24 DNSAddr 160.78.31.139 Figura 4-13: Il file di configurazione del gateway utilizzato

4.3 Lauthservice
Il NoCat authservice si occupa dellautenticazione degli utenti. Questa autenticazione si appoggia al protocollo sicuro HTTPS e, quindi, richiede linstallazione sulla stessa macchina del web server Apache e del mod_ssl. Per controllare le credenziali si appoggia ad una base di dati (MySql, LDAP, etc..) attraverso un apposito modulo perl. I progettisti di NoCat consigliano di non installare sulla stessa macchina del gateway in quanto a questa possono accedervi anche gli utenti non autenticati e quindi potenzialmente pericolosi. Infatti, lauthservice stato costruito per accedere ad un database locale e non remoto, di conseguenza la presenza delle credenziali degli utenti su una macchina accessibile a tutti sicuramente da evitare. Nella figura sottostante viene riportato, a titolo di esempio, il file di configurazione dellauthservice da me usato.

53

NoCatAuth

###### authserv.conf -- NoCatAuth Authentication Service Configuration. # # Format of this file is: <Directive> <Value>, one per # line. Trailing and leading whitespace is ignored. Any # line beginning with a punctuation character is assumed to # be a comment. Verbosity 10 HomePage http://nocat.net/ DocumentRoot /usr/local/nocat/authserv/htdocs DataSource DBI Database dbi:mysql:database=NoCat@canone.ce.unipr.it:3306 DB_User pippo DB_Passwd pippo MinPasswdLength 6 LocalGateway 192.168.3.2 LoginForm login.html LoginOKForm login_ok.html FatalForm fatal.html ExpiredForm expired.html RenewForm renew.html PassiveRenewForm renew_pasv.html RegisterForm register.html RegisterOKForm register_ok.html RegisterFields name url description UpdateForm update.html UpdateFields url description LoginGreeting Greetings! Welcome to the NoCat Network. LoginMissing Please fill in all fields! LoginBadUser That e-mail address is unknown. Please try again. LoginBadPass That e-mail and password do not match. Please try again. LoginBadStatus Sorry, you are not a registered co-op member. RegisterGreeting Welcome! Please enter the following information to register. RegisterMissing Name, E-mail, and password fields must be filled in. RegisterUserExists Sorry, that e-mail address is already taken. Are you already registered? RegisterBadUser The e-mail address provided appears to be invalid. Did you spell it correctly? RegisterInvalidPass All passwords must be at least six characters long. RegisterPassNoMatch The passwords you provided do not match. Please try again. RegisterSuccess Congratulations, you have successfully registered. UpdateGreeting Enter your E-mail and password to update your info. UpdateBadUser That e-mail address is unknown. Please try again. UpdateBadPass That e-mail and password do not match. Please try again. UpdateInvalidPass New passwords must be at least six characters long. UpdatePassNoMatch The new passwords you provided do not match. Please try again. UpdateSuccess Congratulations, you have successfully updated your account. Figura 4-14: Il file di configurazione dellauthservice utilizzato

54

Capitolo 5

ESTENSIONE DI NOCATAUTH

Il Captive portale NoCatAuth permette un autenticazione sicura, user-friendly e semplice degli utenti wireless. Nonostante questi vantaggi NoCat soffre di alcune limitazioni rispetto ai software a pagamento disponibili sul mercato. In questa attivit si sono analizzate e risolte alcune di queste limitazioni intervenendo direttamente sul codice di NoCat, ottenendo un software che fornisce servizi qualitativamente migliori. Analizziamo, ora, le principali limitazioni di NoCat: Nessuna limitazione legata al routing. Limitazione della banda, rigida e poco flessibile. Accesso ai soli database locali. Gestione credenziali degli utenti poco user-friendly. Uso di database proprietari. In questa attivit si cercato di risolvere gran parete di queste limitazioni. Per aggiungere queste funzionalit si dovuto estendere il database usato da NoCat, senza modificare la parte gi esistente per evitare conflittualit. In pi si realizzato uninterfaccia web in perl che permette di gestire i vari utenti e i profili di routing e di banda. Infine si scelto collegato la parte di autenticazione di NoCat ad un database centrale delluniversit di Parma contenente i dati di tutti gli studenti. In questo modo i vari studenti possono avere lo stesso username e password per diversi servizi senza duplicare dati sensibili come le credenziali degli utenti e senza complessi problemi di allineamento dei database. In questa sezione si scelto di entrare pi in dettaglio, in quanto questa vuol essere una documentazione per future estensioni del progetto.

5.1 Limitazione di routing


Il software NoCat non permette di imporre nessuna limitazione di routing ai client cio non possibile impedire ad un utente di comunicare con una determinata rete. Se diverse categorie di utenti sfruttano laccesso alla rete

55

Estensione di NoCatAuth wireless, di primaria importanza poter fornire un servizio differenziato per le varie classi di utenti. Immaginiamo per esempio di voler costruire una rete wireless per studenti e docenti. Si potrebbe fornire un servizio differenziato per le due classi di utenti permettendo ai docenti di navigare su internet e agli studenti nella rete delluniversit.

Figura 5-1: Esempio di limitazione di routing

In questo caso il gateway dovrebbe riconoscere i pacchetti dei vari profili e bloccare le connessioni verso reti non autorizzate, come mostrato dalla figura sovrastante. Per imporre queste limitazioni si definiscono diversi profili di routing e si associa ogni utente con uno solo di essi. Questi profili non sono altro che regole di filtraggio dei pacchetti che vengono inserite allavvio del gateway. I pacchetti IP degli utenti vengono marcati in modo differente a seconda del gruppo a cui appartiene il client. Infine il gateway accetta o elimina un pacchetto osservando il campo destinazione del frame.

56

Estensione di NoCatAuth

TABELLA FILTER
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination NoCat all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain NoCat (1 references) target prot opt source destination NoCat_Ports all -- anywhere anywhere NoCat_Inbound all -- anywhere anywhere ACCEPT all -- 192.168.3.0/24 anywhere MARK match 0x8 ACCEPT all -- 192.168.3.0/24 160.78.0.0/16 MARK match 0x7 ACCEPT all -- 192.168.3.0/24 160.78.28.0/24 MARK match 0x6 ACCEPT all -- 192.168.3.0/24 160.78.27.0/24 MARK match 0x6 ACCEPT all -- 192.168.3.0/24 160.78.27.0/24 MARK match 0x5 ACCEPT tcp -- 192.168.3.0/24 pp4.ce.unipr.it tcp dpt:http ACCEPT tcp -- pp4.ce.unipr.it 192.168.3.0/24 tcp spt:http ACCEPT tcp -- 192.168.3.0/24 pp4.ce.unipr.it tcp dpt:https ACCEPT tcp -- pp4.ce.unipr.it 192.168.3.0/24 tcp spt:https ACCEPT all -- habana.cedi.unipr.it 192.168.3.0/24 ACCEPT tcp -- 192.168.3.0/24 habana.cedi.unipr.it tcp dpt:domain ACCEPT udp -- 192.168.3.0/24 habana.cedi.unipr.it udp dpt:domain DROP all -- 192.168.3.0/24 anywhere DROP all -- anywhere 192.168.3.0/24 ACCEPT all -- 192.168.0.0/16 192.168.0.0/16 DROP tcp -- !pp4.ce.unipr.it anywhere tcp dpt:5280 DROP all -- anywhere anywhere Chain NoCat_Inbound (1 references) target prot opt source destination ACCEPT all -- anywhere 192.168.3.36 ACCEPT all -- anywhere 192.168.3.35 Chain NoCat_Ports (1 references) target prot opt source destination DROP tcp -- anywhere anywhere DROP udp -- anywhere anywhere

tcp dpt:smtp MARK match 0x3 udp dpt:smtp MARK match 0x3

Per capire meglio il funzionamento del sistema, osserviamo la tabella filter mostrata nella figura soprastante. Si nota che esistono 4 classi di utenti che marcano i pacchetti in modo differente (0x5, 0x6, 0x7 e 0x8). La regola evidenziata in blu si riferisce alla prima classe che pu arrivare solo alla rete 160.78.27/24. La seconda classe pu comunicare solo con la 160.78.27/24 e la 160.78.28/24 e cos via. La quarta classe, infine, pu arrivare ovunque.

57

Estensione di NoCatAuth Si deciso di indicare le reti a cui una determinata classe pu accedere, ma possibile indicare anche le reti non raggiungibili usando loperatore NOT.

TABELLA NAT
Chain PREROUTING (policy ACCEPT) target prot opt source destination NoCat_Capture all -- anywhere anywhere Chain POSTROUTING (policy ACCEPT) target prot opt source destination NoCat_NAT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain NoCat_Capture (1 references) target prot opt source destination RETURN tcp -- 192.168.3.0/24 pp4.ce.unipr.it tcp dpt:http RETURN tcp -- 192.168.3.0/24 pp4.ce.unipr.it tcp dpt:https REDIRECT tcp -- anywhere anywhere MARK match 0x3 tcp dpt:http redir ports 5280 DROP all -- anywhere windowsupdate.com MARK match 0x4 REDIRECT tcp -- anywhere anywhere MARK match 0x4 tcp dpt:http redir ports 5280 DROP all -- anywhere windowsupdate.com MARK match 0x3 REDIRECT tcp -- anywhere anywhere MARK match 0x3 tcp dpt:https redir ports 5280 DROP all -- anywhere windowsupdate.com MARK match 0x4 REDIRECT tcp -- anywhere anywhere MARK match 0x4 tcp dpt:https redir ports 5280 Chain NoCat_NAT (1 references) target prot opt source destination MASQUERADE all -- 192.168.3.0/24 MASQUERADE all -- 192.168.3.0/24 MASQUERADE all -- 192.168.3.0/24 MASQUERADE all -- 192.168.3.0/24 MASQUERADE tcp -- 192.168.3.0/24 MASQUERADE tcp -- 192.168.3.0/24 MASQUERADE tcp -- 192.168.3.0/24 MASQUERADE udp -- 192.168.3.0/24

anywhere anywhere anywhere anywhere pp4.ce.unipr.it pp4.ce.unipr.it habana.CE.UniPR.IT habana.CE.UniPR.IT

MARK match 0x5 MARK match 0x6 MARK match 0x7 MARK match 0x8 tcp dpt:http tcp dpt:https tcp dpt:domain udp dpt:domain

Se abilitato il NAT necessario aggiungere anche la regole evidenziate nella figura soprastante. I vari profili, quindi, non sono altro che regole di firewall; sono contenuti nella cartella /usr/local/nocat/authserv/profile e vengono caricati allavvio del gateway tramite lo script /usr/local/nocat/gw/bin/mia_init.fw.

58

Estensione di NoCatAuth

iptables -I NoCat 3 -s 192.168.3.0/24 -d 160.78.27.0/24 -m mark --mark 6 -j ACCEPT iptables -t nat -I NoCat_NAT 1 -s 192.168.3.0/24 -m mark --mark 6 -j MASQUERADE iptables -I NoCat 3 -s 192.168.3.0/24 -d 160.78.28.0/24 -m mark --mark 6 -j ACCEPT iptables -t nat -I NoCat_NAT 1 -s 192.168.3.0/24 -m mark --mark 6 -j MASQUERADE

Fino ad ora si ipotizzato che i pacchetti dei vari gruppi venissero marcati in modo differente.

TABELLA MANGLE
Chain PREROUTING (policy ACCEPT) target prot opt source destination NoCat all -- anywhere anywhere Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain NoCat (1 references) target prot opt source destination MARK all -- anywhere anywhere MARK all -- 192.168.1.36 anywhere MARK all -- 192.168.1.35 anywhere

MARK set 0x4 MAC 00:40:96:2A:8D:E7 MARK set 0x5 MAC 00:40:96:2A:8D:E8 MARK set 0x6

Per far questo, necessario aggiungere due regole nella tabella mangle e filter. A differenza delle altre, queste sono regole dinamiche che vengono inserite al momento del login e cancellate al momento del logout. A questo scopo stato creato lo script perl access.pl, mostrato nella figura sottostante. Esso viene chiamato dopo il login e il logout dellutente.

59

Estensione di NoCatAuth
#!/usr/bin/perl my $action=shift(@ARGV); my $mac=shift(@ARGV); my $ip=shift(@ARGV); my $class=shift(@ARGV); my $group=""; open(IN,"/usr/local/nocat/authserv/lista/$mac"); while(my $line=<IN> ) { if($line=~m/$mac/) {$group=substr($line,18); chomp($group); last;} } if ($action eq "permit") {$cmd="-A";} elsif ($action eq "deny") {$cmd="-D";} else {die( "Bad Action" ); } #Inizio gestione gruppi (NON cancellare questo commento) if ($group eq "stud3") {$mark=8;} if ($group eq "stud2") {$mark=7;} if ($group eq "stud1") {$mark=6;} if ($group eq "default") {$mark=5;} system("rm /usr/local/nocat/authserv/lista/$mac") if ($action eq "deny"); system("iptables -t mangle $cmd NoCat -m mac --mac-source $mac -s $ip -j MARK --set-mark $mark"); system("iptables -t filter $cmd NoCat_Inbound -d $ip -j ACCEPT");

Per inserire le suddette regole, bisogna conoscere il nome del profilo a cui appartiene lutente. Questa informazione nota allauthservice e non al gateway a cui legato lo script access.pl. Per superare questo problema, lo script perl consulta un file contenente la copia MAC e profilo delutente. Questo file, creato dalla cgi login, si trova nella cartella /usr/local/nocat/authserv/lista/ e ha come nome il MAC dellutente. Ogni utente ha il suo file, in questo modo si evitano i problemi di accesso simultaneo ad esso. Lo script, una volta conosciuto il nome del profilo dellutente, pu marcare i vari pacchetti in modo opportuno e quindi inserire o rimuovere le regole correttamente. Oltre ai profili di routing inseriti dallamministratore di sistema, esiste un profilo di default che permette di accedere solo alla rete immediatamente dietro al gateway. Questo consente di spostare o replicare il gateway su un'altra rete senza cambiare il profilo base. Questo profilo viene aggiornato ad ogni avvio del gateway dallo script perl insert_default.

60

Estensione di NoCatAuth

5.2 Limitazione di banda


NoCatAuth fornisce un servizio di limitazione di banda suddividendo i vari utenti in 3 classi (Owner, Member e public), offrendo, quindi, un servizio differenziato. Questo servizio , comunque, poco flessibile e personalizzabile, in quanto sono disponibili solo tre profili predefiniti. Quindi si scelto di non utilizzare il servizio offerto da NoCat, ma di costruirne uno nuovo pi flessibile. Questo servizio non ancora stato realizzato in quanto compito di future estensioni del progetto, ma si progettato il database utilizzato da NoCat tenendo conto di questo servizio.

5.3 Interfaccia di gestione dati


La gestione degli utenti e dei profili in NoCatAuth avviene per linea di comando e quindi poco user-friendly. Con laggiunta dei nuovi servizi per limitare il routing e la banda, cresciuta la mole di informazione da memorizzare nei database e anche la complessit della configurazione dei profili e degli utenti. Infatti per aggiungere o rimuovere un profilo bisogna modificare alcuni script perl (es. access.pl) e di shell (es. mia_init). Fare tutto questo manualmente molto scomodo, complesso e potenzialmente pericoloso in caso di errore. Per ovviare a questo inconveniente si deciso di creare uninterfaccia web scritta in perl, che permette di gestire gli utenti e i profili in modo semplice e intuitivo, nascondendo la complessit sottostante.

Figura 5-2: Schermata dellinterfaccia grafica

61

Estensione di NoCatAuth

5.4 Database remoti e locali


Laggiunta di nuovi servizi a NoCatAuth si riflette in un miglioramento della qualit del prodotto ma, anche, in un aumento delle informazioni da memorizzare nel database. La versione, da me modificata, di NoCatAuth si interfaccia con due database: uno locale (mysql) e uno remoto (Ldap). Nel database locale sono memorizzate le informazioni usate dalla versione base di NoCat e quelle aggiuntive relative ai nuovi servizi. Nel database remoto, invece sono memorizzati gli username e le password degli utenti. In questo modo i vari studenti possono accedere ai diversi servizi forniti dalluniversit di Parma con lo stesso username e password, senza duplicare dati sensibili come le credenziali degli utenti e senza complessi problemi di allineamento dei database. Infatti, quando un utente effettua un login, lauthservice si collega al database centrale, verifica se le credenziali sono corrette e in caso affermativo autentica lutente. Nel database locale, si scelto di lasciare intatte le tabelle gi presenti per evitare problemi di compatibilit. Vorrei sottolineare che la password memorizzata in questo database fittizia e non viene usata al momento dellautenticazione.

62

Capitolo 6

CONCLUSIONI

In questa tesi stato affrontato il problema del controllo dellaccesso in una rete wireless. La prima fase del lavoro consistita nellanalizzare le varie soluzioni presenti sul mercato identificando i pregi e i difetti delle varie soluzione. Dopodich si deciso di prendere in esame uno specifico sistema di autenticazione (NoCatAuth) e si passati allistallazione su una macchina linux del laboratorio Parma2 del dipartimento di ingegneria dellinformazione. Lultima fase del lavoro di tesi ha riguardato limplementazione di alcuni servizi aggiuntivi, agendo direttamente sul codice di NoCatAuth. In particolar modo si aggiunto un controllo sul routing degli utenti e si collegato NoCatAuth al database centrale dellUniversit di Parma. Il software ottenuto garantisce grande scalabilit, facilit duso e di installazione e sicurezza nellautenticazione. Permette di assegnare profili arbitrari sia di routing che di banda ad ogni utente. Il sistema di autenticazione offre un elevato grado di sicurezza contro lo sniffing, in quanto il traffico viene cifrato usando SSL. La comunicazione tra il gateway e lauthservice viene cifrata con PGP per evitare un attacco di tipo man in the middle. Questa soluzione, per, ha alcuni difetti rispetto soluzioni alternative. Il principale difetto consiste nella non cifratura delle comunicazioni. Infatti, solo lautenticazione risulta cifrata, il resto della comunicazione viaggia in chiaro. Un qualsiasi utente, quindi, pu ascoltare le comunicazioni degli altri al fine di carpirne informazioni riservate. Per risolvere, almeno in parte, questo problema si pu cifrare la comunicazione con una chiave WEP. In questo caso, per, nasce il problema della distribuzione della chiave WEP e comunque questo protocollo di cripting facilmente violabile come si mostrato precedentemente. Inoltre il gateway protegge la rete interna da accessi non autorizzati, ma non protegge i vari client da attacchi i reciproci attraverso laccess point. Infatti un client malizioso non autenticato attraverso laccess point pu attaccare un utente, potendo arrivare fino al gateway. Inoltre un sistema basato su username e password offre gi in partenza un livello di sicurezza minore rispetto ad uno basato su certificati, sistemi a sfida ecc.. Infatti, un hacker, per scoprire la password, potrebbe guardare i tasti premuti durante lautenticazione oppure ascoltare il traffico di un utente al fine di intercettare una password usata per altri servizi (in genere un utente usa la stessa password per pi servizi).

63

Conclusioni Infine, le politiche di accesso alla rete si basano sulla coppia indirizzo IP e MAC. Questi due valori possono essere facilmente identificati in quanto viaggiano in chiaro sulla rete. Per poter ottenere laccesso alla rete, comunque, bisogna fare in modo che laltro utente non comunichi pi con laccess point (non possono esistere due stazioni con lo stesso indirizzo IP). In questo caso, per, la connessione non viene rinnovata e laggressore dispone al massimo di 60 secondi di accesso alla rete. Questo sistema di autenticazione si appoggia ad un database centralizzato dellUniversit di Parma che utilizzato, anche, per altri servizi offerti dallateneo, come Apposta per te. In questo modo uno studente necessita di un solo username e password per tutti i servizi offerti dalluniversit. Un ulteriore passo in avanti potrebbe essere fatto verso il cosiddetto single-sign on che permette, ad un client autenticato presso un servizio, di accedere ad un altro senza riautenticarsi. Una soluzione per raggiungere questo scopo consiste nellusare un singolo sistema di autenticazione per ogni servizio offerto. Per diversi motivi si scelto di utilizzare a questo scopo il CAS. La completa sostituzione dellauthservice potrebbe creare diversi problemi a NoCathAuth (es. La gestione della riautenticazione automatica) tali da rendere questa soluzione impraticabile. Una possibile soluzione mostrata nella figura sottostante.

Figura 4-3: Schema di autenticazione con CAS

In questo schema lauthservice non viene sostituito, ma la cgi che si occupa del login, invece di consultare il database, crea un connessione SSL con Uportal (1). Questultimo autentica lutente tramite il CAS (2) e comunica lesito allauthservice (3). Se lesito positivo, tramite un apposito canale creato da Uportal, lauthservice fa una ricerca (4) sul database centrale per ottenere le informazioni necessarie per identificare il profilo dellutente e completa lautenticazione.

64

BIBLIOGRAFIA

[1] Nathan Zorn, Authentication Gateway Howto: http://www.itlab.musc.edu/~nathan/authentication_gateway/ [2] NoCat: www.nocat.net [3] Maxim, Pollino, La sicurezza delle reti wireless, Apogeo, 2003 [4] Ribeiro, Silva, Severiano, A roming Wifi Autentication using VPNs with client certificates, 2003: http://wifi.tagus.ist.utl.pt/description.pdf [5] Opengate-an autentication system for public and mobile terminals : http://www.cc.saga-u.ac.jp/opengate/index-e.html [6] Agatino, Grillo, Virtual Private Network: www.agatinogrillo.it/pdf/vpn.pdf [7] IEEE: http://standards.ieee.org/getieee802/802.11.html [8] Sameer, Implementing secure services over a wireless network http://verma.sfsu.edu/users/wireless/nocatauth_report.pdf [9] WiFi Alliance: http://www.wi-fi.org [10] Brewer, Autentication gateway: http://bcrc.bio.umass.edu/presentations/wireless_gateways.pdf. [11] Pauletto, Wireless fidelity, Apogeo, 2003 [12] Nasa: www.nas.nasa.gov/groups/networks/projects/wireless.htm

65