security

Aspetti di security nella progettazione di WLAN

Le prestazioni, la semplicit ed il basso costo stanno determinando il successo e la diffusione delle Wireless LAN. Alcune vulnerabilit del protocollo 802.11 sul quale esse si basano, unitamente alle problematiche di esposizione tipiche del mezzo radio, impongono qualche accorgimento supplementare nella progettazione di reti sicure
di Massimiliano Mariconda (mmariconda@infomedia.it) e Guido Arrigoni (garrigoni@infomedia.it)

n aeroporto o in albergo, al lavoro o comodamente seduti sul divano di casa nostra ma sempre rigorosamente senza fili; questo lo scenario che probabilmente ciascuno di noi desidera per il proprio futuro immaginandosi davanti ad un computer connesso in rete. Dal 1997 ad oggi il protocollo IEEE 802.11 ha fatto passi da gigante, raggiungendo la massima popolarit con la sua diffusissima versione 802.11b conosciuta anche con lacronimo WiFi, che consente di raggiungere velocit trasmissive lorde fino a 11 Mb/s con frequenza di funzionamento intorno a 2,4 GHz. Gi fanno capolino evoluzioni dello standard pi performanti, come l802.11a (velocit fino a 54 Mb/s intorno alla fequenza di 5 GHz, incompatibile con WiFi) o l802.11g (velocit fino a 54 Mb/s intorno alla frequenza di 2,4 GHz, compatibile con WiFi), ma il vero problema delle reti senza fili rimane indubbiamente quello della sicurezza. Accanto alle evoluzioni dello standard che si succedono con lobiettivo di migliorare i requisiti di sicurezza della tecnologia, necessario adottare tutte le contromisure pi idonee a contrastare le vulnerabilit insite nel protocollo o riscontrate nella pratica. Vulnerabilit del protocollo 802.11 Dal 1997, anno della sua nascita, il protocollo 802.11 ha subito varie evoluzioni che lo hanno portato, ad oggi, ad un punto di relativa stabilit per quel che riguarda laspetto normativo. Esso specifica i primi

FIGURA 1 Algoritmo di codifica WEP (ESAT)

due strati protocollari del modello ISO/OSI, ovvero il livello fisico (in cui ad esempio sono dettagliate le tecniche di modulazione a spettro espanso FHSS e DSSS) e quella parte del livello di collegamento comunemente denominata MAC (Medium Access Control) che dettaglia le modalit di accesso al mezzo trasmissivo, rappresentato nel nostro caso dalletere. Questa osservazione, unitamente al fatto che la tecnologia originariamente pensata per un impiego specifico (sostituzione del cablaggio strutturato in condizioni ad esso sfavorevoli) ha avuto una diffusione pi capillare del previsto (reti aziendali, Hotspot), ci fa capire come le questioni relative alla sicurezza siano state considerate secondarie rispetto ad altre, e comunque limitate nella propria azione relativamente ai livelli protocollari cui lIEEE 802.11 fa riferimento. La vulnerabilit pi ovvia deriva da un aspetto intrinseco della tecnologia stessa, ovvero il fatto di essere per lappunto wireless ed utilizzare proprio per questo il mezzo etereo, a rischio di intercettazione in misura molto maggiore rispetto al suo diretto avversario, il cavo. Un altro fattore potenzialmente dannoso in termini di sicurezza sicuramente il potenziale disturbo delle frequenze di lavoro proprie delle WLAN, sia che esso risulti doloso, allo scopo di compromettere la disponibilit del servizio, sia che esso risulti casuale (ad esempio ad opera di dispositivi elettronici operanti alle medesime frequenze), con un conseguente degrado delle prestazioni. Esamineremo gli aspetti principali della sicurezza informatica, ovvero lautenticazione, la confidenzialit, lintegrit e la disponibilit dei dati e vedremo come i requisiti di sicurezza relativi vengono soddisfatti dal protocollo IEEE 802.11. Per rendersi conto dei problemi di giovinezza di cui tale tecnologia soffre, possiamo esaminare uno dei meccanismi possibili per lautenticazione (del terminale), basato sullo scambio tra terminali ed Access Point di un identificativo detto SSID (Service Set ID): esso proprio di ogni WLAN e i terminali devono conoscerlo per accedere alla rete. Oltre al problema di gestione dellSSID (particolarmente complesso per reti ad accesso pubblico) lIEEE 802.11 rende possibile la trasmissione in chiaro dellSSID da parte di un Access Point, attraverso una funzione detta di beacon! (Fortunamente tale funzione pu e deve essere disabilitata). Con un p di saggezza possibile adottare alcune contromisure immediate (a volte non del tutto sufficienti) per i problemi cha abbiamo lasciato intravedere sin qui.

40
Login Internet Expert n.51 Marzo/Aprile 2005

security
Il destinatario, grazie alla conoscenza di IV, pu ricostruire la chiave ed invertire il processo di codifica , oltre a confrontare il valore di ICV ottenuto decodificando il Plain Text con quello calcolato localmente. In questo modo sono assicurate confidenzialit (grazie alla crittografia) e lintegrit (grazie all ICV) dei dati. WEP offre anche un migliore meccanismo di autenticazione rispetto allOSA , detto SKA (Shared Key Authentication), il quale sfrutta il tipico meccanismo di challenge e response tra terminale ed AP utilizzando la chiave condivisa K. Da quanto detto risulta ovvio come tale meccanismo possa ritenersi sufficientemente sicuro solamente per reti di piccole dimensioni caratterizzate da basso traffico; infatti al crescere delle dimensioni della rete aumenta la complessit di gestione delle chiavi (in reti piccole al limite pu essere manuale), mentre allaumentare del traffico cresce la possibilit di trasmettere in aria messaggi criptati con la stessa chiave (lIV si ripete in maniera ciclica) per cui un utente malintenzionato potrebbe al limite costruirsi una tabella delle chiavi di codifica corrispondenti ai diversi IV. Per tutti gli altri casi, ed ogni qualvolta risulti possibile, preferibile spostarsi verso i livelli superiori della pila protocollare, affidandosi a soluzioni basate sul modello di rete privata, come ad esempio le tipiche VPN con Tunnel PPTP (preferibilmente con funzionalit IPSEC) tra il terminale ed il VPN Server della rete di destinazione. Sicurezza ad interim: la WPA Nel cammino verso lindividuazione e la realizzazione di metodi ed apparati in grado di garantire una soglia di sicurezza accettabile nel mondo wireless, la Wi-Fi Alliance (ex WECA, Wireless Ethernet Compatibility Alliance) ha deciso ladozione ad interim della tecnica WPA (Wi-Fi Protected Access) che si basa sostanzialmente sullimplementazione di alcune delle novit proposte dal gruppo 802.11i, allepoca non ancora giunte alla definitiva standardizzazione. Le specifiche WPA prevedono lintroduzione di un sistema di cifratura e di un meccanismo di autenticazione pi affidabili rispetto al precedente WEP, considerato ancora accettabile in ambio privato, ma del tutto inadeguato in contesti aziendali, laddove le significative moli di dati scambiate facilitano lindividuazione delle chiavi utilizzate per proteggere le informazioni. Per la cifratura WPA prevede il ricorso al protocollo TKIP (lo riprenderemo in seguito) che consente lintrodozione di una verifica dellintegrit del messaggio (MIC, Message Integrity Check), capace di avvalorarne lattendibilit. Limpiego di meccanismi di rigenerazione delle chiavi di cifratura e dello standard 802.1x (e quindi di un server centrale quale potrebbe essere un RADIUS) per gestire lautenticazione completano il quadro delineato dalla Wi-Fi Alliance per applicazioni in ambito Enterprise. La certificazione Wi-Fi (si veda Figura 3) di strumenti in grado di impiegare questo genere di sistema stata avviata nellaprile dellanno scorso: una lista delle compagnie e dei prodotti certficati si pu consultare allindirizzo www.wi-fi.org/ certified_products. Decisamente pi recente invece (settembre 2004) lintroduzione della certificazione WPA2, inevitabile evoluzione del WPA, che identifica quegli apparati che FIGURA 3 Logo Certificazione WiFi

FIGURA 2 Formato di trasmissione della trama WEP (IBM)

Hardening di una WLAN: Mac Address Filtering, WEP, VPN Laver rilevato le vulnerabilit ed i difetti intrinseci della tecnologia in esame, ci porta gi sulla buona strada per evidenziare i problemi ed adottare le contromisure minime a nostra disposizione per la messa in sicurezza di una WLAN. Innanzitutto occorrer invidiare il contesto di utilizzo della nostra rete, avendo ben chiaro che il tipo di impiego condiziona i requisiti fondamentali di sicurezza: ad esempio in una PWLAN (una rete wireless per laccesso pubblico ad Internet, come un Hotspot) i requisiti fondamentali saranno lautenticazione e la disponibilit del servizio, mentre in una rete privata oltre allautenticazione prevarranno lintegrit e la confidenzialit dei dati. Detto questo necessario evitare di introdurre ulteriori vulnerabilit (rispetto a quelle proprie della tecnologia e del protocollo) in fase di configurazione dei dispositivi, e per far questo opportuno seguire una sorta di decalogo. Per quel che riguarda gli aspetti di sicurezza nellautenticazione, oltre al meccanismo dellSSID accennato in precedenza, detto anche OSA (Open System Authentication) possibile attivare a livello di Access Point un filtraggio sui MAC Address, consentendo quindi laccesso alla rete ai soli terminali con indirizzo appartenente ad un elenco prestabilito. Seppure utile e certamente consigliabile, tale metodo non risolutivo; non infatti impossibile manipolare il MAC Address di un terminale. Inoltre la gestione di un database di indirizzi autorizzati risulta quantomeno onerosa dal punto di vista elaborativo, soprattutto in reti caratterizzate da grandi dimensioni ed elevata mobilit degli utenti. Una soluzione pi robusta messa a disposizione dal protocollo rappresentata dallalgoritmo WEP (Wired Equivalent Privacy), il cui acronimo stesso ne indica le finalit: ottenere un livello di sicurezza pari a quello delle reti cablate. WEP mira ad assicurare lintegrit e la confidenzialit dei dati sfruttando lalgoritmo RC4 ed una codifica crittografica a chiave simmetrica (Figura 1) idealmente suddivisa in tre fasi: 1) Viene calcolato lICV (Integrity Check Value) del messaggio M da trasmettere attraverso un algoritmo volto a garantire al destinatario lintegrit dei dati. LICV viene concatenato al messaggio M ottenendo il Plain Text P. 2) Viene scelto in modo casuale un vettore di inizializzazione (IV) di 24 bit che consente di differenziare le chiavi segrete utilizzate in fase di codifica e che viene concatenato ad una chiave K condivisa da tutti i terminali e gli AP appartenenti alla rete (lo standard non fa riferimento alle modalit di scambio della suddetta chiave). Questa sequenza rappresenta lingresso dellalgoritmo RC4, per cui otterremo in uscita RC4 (IV, K) 3) Viene eseguito lo XOR tra P e RC4 (IV,K) (Testo cifrato) ed il risultato, concatenato con IV viene trasmesso sul canale radio (Figura 2).

41
Login Internet Expert n.51 Marzo/Aprile 2005

security
salvaguardia della riservatezza gestione dellautenticazione L approccio dell802.11i comporta limpiego dei protocolli: il TKIP e il CCMP. Il TKIP (Temporal Key Integrity Protocol) particolarmente adatto a sistemi gi presenti in commercio, in quanto facilmente implementabile a livello applicativo, e quindi via software tramite laggiornamento di driver e firmware. Ne deriva che il protocollo pu adattarsi alle risorse hardware gi disponibili ed operative, impiegate per supportare il WEP, cui il TKIP subentra per arginarne i difetti di sicurezza. Non per nulla il TKIP prevede unestensione del vettore di inizializzazione da 24 a 48 bit e ladozione di una regola per verificare la correttezza della sequenza di bit che compone lIV. Ma la novit pi interessante del TKIP costituita dal metodo di costruzione della chiave di cifratura, prodotta dalla combinazione in fasi successive di una chiave segreta iniziale, del MAC Address e del vettore di inizializzazione. Il protocollo CCMP (Counter Mode with CBCMAC Protocol) pensato per sistemi di prossima generazione, in quanto richiede maggiori risorse hardware rispetto alle soluzioni precedenti. Basato su metodi di crittografia AES (Advanced Encryption Standard), sfrutta gli algoritmi CBC-MAC (Chiper Block Chaining-Message Authentication Code, utilizzato per generare un Message Integrity Check sullintestazione del pacchetto, sulla lunghezza dellintestazione e sul carico utile) e CTR (Counter Mode Encryption, impiegato per criptare il MIC e il carico utile del pacchetto). La tecnica di protezione dei dati adottata in questo contesto prevede la generazione di una successione di frame cifrati di lunghezza fissa (128 Bit, corrispondenti alla lunghezza della chiave di cifratura impiegata). Anche in questo caso inoltre si adotta un vettore di inizializzazione di 48 bit, analogamente a quanto avviene con il TKIP. Conclusioni L introduzione delle WLAN e il crescente numero di dispositivi disponibili sul mercato a costi sempre pi competitivi costituiscono una buona base di partenza per garantire la diffusioni di soluzioni wireless. Le comprensibili esigenze di sicurezza, soprattutto in campo Enterprise, hanno tuttavia frenato il fenomeno e ad oggi possiamo dire che non tutte le potenzialit di questo genere di network sono state esplorate e sfruttate. Daltro canto, la strada da percorrere appare ancora lunga: i protocolli 802.1x e 802.11i rappresentano una valida risposta ai problemi di autenticazione e riservatezza delle informazioni che viaggiano nelletere, ma richiedono investimenti importanti per acquisire apparati adeguati o sostituire le risorse esistenti. Riteniamo tuttavia che sia da cercare nella combinazione di questi ingredienti la ricetta giusta in grado di garantire una diffusione capillare di soluzioni wireless affidabili e sicure. Bibliografia [1] Il Vademecum per le radioLAN Fondazione Ugo Bordoni, 2002 [2] http://grouper.ieee.org/groups/802/11 [3] http://www.wi-fiplanet.com [4] http://www.wi-fi.org [5] http://www.embedded.com Note Biografiche
Massimiliano Mariconda laureato in Ingegneria delle Telecomunicazioni presso lUniversit di Pisa. Si occupa di servizi di rete presso un importante operatore di telecomunicazioni. Guido Arrigoni laureato in Ingegneria Elettronica presso il Politecnico di Torino. Si occupa di networking e di sistemi per linterazione uomo-macchina presso unimportante azienda del settore ICT.

FIGURA 4 Schema di funzionamento del 802.1x (EMBEDDED)

integrano le componenti mandatorie previste dello standard 802.11i. Rispetto al predecessore ed in linea con l802.11i, WPA2 abbandona il TKIP per introdurre un sistema di crittografia AES (che rappresenta ormai un requisito per lutilizzo di tecnologie wireless in molti ambiti governativi doltre oceano), che tuttavia determina la necessit di disporre di risorse hardware significative, motivo per cui non tutti gli apparati gi in commercio possono implementare tale soluzione. La soluzione definitiva? 802.1x ed 802.11i Sulla scia del 802.1d, il protocollo 802.1x si propone (ed proposto da molti costruttori) come soluzione ai problemi di autenticazione e distribuzione delle chiavi di cifratura, da gestire mediante limpiego di un server centrale che consente di considerare gli Access Point come semplici sistemi passtrough (si veda Figura 4). interessante notare che il protocollo in esame non suggerisce un particolare processo di autenticazione (anche se generalmente si opta per limplementazione di un RADIUS, Remote Authentication Dial-In User Server, o, in alternativa, di un Kerberos). L 802.1x prevede linterazione fra tre attori: supplicant: attore autenticato dallauthenticator; authenticator: attore che autentica il supplicant; authenticator server: attore che fornisce il servizio di autenticazione allauthenticator sulla base delle informazioni messe a disposizione dal supplicant. La gestione del processo prevede che durante lo svolgimento delle operazioni di autenticazione (mediante lutilizzo del protocollo di secondo livello EAP, Extensible Authentication Protocol, che funge da piattaforma di supporto per limpiego di protocolli di autenticazione di livello superiore), il supplicant non sia ancora fisicamente connesso alla rete in quanto le comunicazioni con il server centrale sono mediate dalla presenza dellauthenticator. I vantaggi nellimpiego del protocollo in esame sono molteplici: limpiego di chiavi dinamiche consente di superare i rischi del WEP; inoltre l802.1x garantisce un certo grado di flessibilit in quanto, come accennato in precedenza, supporta differenti meccanismi di autenticazione di tipo EAP (che devono essere implementati sul server di autenticazione ed eventualmente sul client, ma non sullAP): LEAP EAP-MD5, , EAP-TTLS per fare qualche esempio. Per i lettori che amano passare subito alla pratica, Microsoft ha inserito Windows 2000 (Service Pack 3 o superiore) e in Windows XP un client 802.1x. Anche il gruppo di lavoro 802.11i affronta il problema della sicurezza delle reti wireless nella ricerca di soluzioni che siano in grado di superare i limiti delle WLAN attuali e, al contempo, di assicurare la sicurezza delle WLAN di domani, grazie allimpiego di sistemi che garantiscano una piena backward compatibility con gli apparati in uso. L idea del team prevede una rete sicura basata su un duplice meccanismo:

42
Login Internet Expert n.51 Marzo/Aprile 2005