Hardening della rete WI-FI - Blog di Nanni Bassetti sicurezza informatica forense Bari ma non solo...

Salve a tutti,
oggi nelle nostre case è possibile creare una rete wi-fi casalinga per avere più computers collegati, senza
stendere fastidiosi cavi che farebbero incavolare le mogli e le madri.
Basta acquistare un router-modem wi-fi e collegarlo alla nostra adsl, poi acquistare delle
chiavette USB wi-fi da attaccare ai computer, se avete i notebook col wi-fi integrato,
chiaramente andremo a risparmiare su quest'ultimo acquisto.
Il più è fatto! Adesso basta usare la ricerca reti wireless di windows xp e agganciarsi al
nostro router, in pochi clicks siamo su internet...che bello!
Ma la sicurezza?
Ricordiamo che stiamo navigando facendo passare i nostri dati via etere,
e che la nostra adsl è raggiungibile via radio, se qualcuno fa del wardriving(cioè gira con un computer portatile
cercando reti wi-fi aperte), si collega alla nostra adsl e poi di lì può cominciare a fare azioni illecite usando la
nostra onesta linea.
Che cosa comporta?
Bhè immaginiamo alcune azioni illecite:
1) Pedopornografia
2) E-mail minatorie
3) Pirateria informatica varia
tutto riconducibile al nostro indirizzo IP, intestato a noi, quindi ne siamo responsabili legalmente.
Allora che si fa? Si torna alla vecchia ed affidabile rete via cavo ethernet?
Ma no...basta effettuare alcuni accorgimenti:
1) Usiamo una password lunga per accedere al sistema operativo del nostro router
2) Usiamo una password di accesso alla rete wi-fi (WEP o WPA in seguito approfondiremo)
3) Usiamo l'accesso tramite MAC address alla rete.

Ma adesso analizziamo le parolacce su indicate:

Il Gateway (router) deve supportare quattro tipi differenti di regolazioni di sicurezza per la vostra rete.
Il Wi-Fi Protected Access (WPA) Pre-Shared key, WPA Remote Access Dial In User Service (RADIUS), RADIUS, ed il Wire Equivalence Protection (WEP).

Pre-Shared key WPA: Ci sono due opzioni di crittografia per la Pre-Shared key WPA, TKIP ed AES.
TKIP sta per Temporal Key Integrity Protocol.
TKIP utilizza un metodo più forte di encrytption e comprende il codice di integrità del messaggio (MIC) per assicurare la protezione contro i hackers.
AES sta per al sistema avanzato di crittografia, che utilizza una crittografia di dati simmetrica del blocco a 128-Bit.
Per Usare WPA Pre-Shared Key, si digita una parola d'accesso nel campo chiave WPA lunga fra gli 8 e 63 caratteri.
Potete anche fornire un tempo di intervallo di rinnovamento della chiave del gruppo fra 0 e 99.999 secondi.
WPA RADIUS: WPA RADIUS utilizza un server esterno RADIUS per realizzare l'autenticazione dell'utente.
Per usare il WPA RADIUS, si scrive l'indirizzo IP del server RADIUS, la porta di default del RADIUS SERVER è per default la 1812.
RADIUS: usa un server RADIUS per l'autenticazione o WEP per la crittografia di dati.
Per utilizzare il RADIUS, si scrive l'indirizzo IP del server RADIUS in seguito si seleziona il livello di crittografia (64 o 128) per WEP ed una passphrase (frase password).
WEP: Ci sono due livelli della crittografia di WEP, 64-bit e di 128-bit, più alto è il livello di crittografia, il più sicura sarà la vostra rete, tuttavia, la velocità è sacrificato ai livelli elevati di crittografia.

Così abbiamo ben protetto l'accesso alla nostra rete wi-fi, chiaramente è consigliabile usare il WPA, poichè gli hackers hanno bisogno di diversi giorni per bucare il WPA, mentre per il WEP ci si mette un paio d'ore.

Allora come poterci completamente blindare?
Con l'accesso ristretto dal MAC address!
Un computer collegato ad una rete su IP/Ethernet ha due indirizzi: uno è l'indirizzo fisico della scheda di rete ed è chiamato MAC address, mentre il secondo è l'indirizzo IP.

- L'indirizzo fisico o MAC Address, teoricamente, dovrebbe essere un indirizzo unico e non sostituibile, assegnato dal costruttore della scheda di rete, che è conservato in una porzione di memoria della scheda stessa.
I produttori di schede hanno un "intervallo" di indirizzi fisici da assegnare alle proprie schede, che identificano univocamente solo e solo quella scheda di rete a cui l'indirizzo specifico è stato assegnato.
Se si è dei mattoidi della pirateria si può, con particolari software, modificare la ROM della scheda di rete e modificare il MAC address.
Ma ammesso che qualcuno lo faccia ed ammesso che sappia la lista di MAC adress autorizzati dal router (ma come lo dovrebbe scoprire?), potrebbe comunque non giungere a niente, poichè se nella nostra lan vi è un'altra scheda di rete con lo stesso MAC address ci sarebbe con conflitto di instradamento ed entrambe le due schedi di rete non riuscirebbero a ricevere pacchetti.
Il MAC address è necessario per permettere di spedire e ricevere data in una rete Ethernet, indipendentemente dal tipo di protocollo che viene utilizzato sulla rete.

Ma come faccio a sapere il mio MAC address?
Semplice: START --> ESEGUI --> SCRIVETE CMD --> poi nella finestra DOS scrivete "ipconfig /all" ed avrete sia l'indirizzo IP che il MAC del vostro computer.
Chiaramente così se viene un ospite a trovarvi non basterà cedergli la password ma dovrete autorizzare il suo MAC address da router per farlo navigare sulla vostra ADSL.
Adesso però siamo al sicuro...e senza fili ; - )

NBS di Giovanni Bassetti
Consulente Information Security
Socio CLUSIT e AIPSI
http://www.nannibassetti.com/
Cell. +39-3476587097

# 3

"Ma ammesso che qualcuno lo faccia ed ammesso che sappia la lista di MAC adress autorizzati dal router (ma come lo dovrebbe scoprire?)"

E' possibile scoprire il MAC address delle stazioni autorizzate semplicemente sniffando il traffico (ad es. con kismet).

"potrebbe comunque non giungere a niente, poichè se nella nostra lan vi è un'altra scheda di rete con lo stesso MAC address ci sarebbe con conflitto di instradamento ed entrambe le due schedi di rete non riuscirebbero a ricevere pacchetti."

Da quel che mi risulta non c'e' alcun conflitto di mac, semplicemente le due schede ricevono sia i propri pacchetti che quelli dell'altra con lo stesso mac.
Per trovare l'SSID delle reti "nascoste" basta attendere, sempre sniffando, l'autenticazione di una stazione all'AP e leggere l'SSID nell'authentication request (questo e' solo uno dei modi). Il wep non dovrebbe mai essere usato per via delle sue innumerevoli vulnerabilita', tipo quella degli IV deboli su cui si basa l'attacco FSM (airsnort/aircrack).
Con i tool a disposizione craccare una rete wireless con wep, SSID nascosto e acl sui MAC e' diventato un gioco da bambini.
Ciao

Di adis (inviato il 12/11/2006 @ 10:28:08)

# 5

"1) Su una LAN, a quanto ne so io, non possono coesistere due schede con lo stesso MAC"

Possiamo paragonare l'AP ad un HUB. Lui spara dappertutto i pacchetti e le schede controllano chi e' il destinatario. Se ci sono due schede con lo stesso MAC ognuna credera' di essere destinataria anche dei pacchetti che non le competono. Da prove fatte in passato mi sembra di ricordare che il comportamento sia proprio questo, ma forse mi sbaglio. Diverso e' se in una LAN wired ci sono degli switch. In questo caso solo una delle due schede ricevera' i pacchetti, quale non e' prevedibile: dipende dalla corrispondenza porta/MAC nella CAM.

"2)inoltre il livello di protezione più alto è dato dalla regola:
"Cripta con WPA-PSK,nascondi l'ssid,imposta il mac-filtering ""

Per come la vedo io il WPA basta. Se qualcuno vuole entrare le ACL sul MAC e l'SSID nascosto servono a poco.

"3) IL WPA introduce poi un controllo d'integrità dei dati, così da evitare che un aggressore modifichi i pacchetti in transito"

Anche il wep ha il CRC ma in linea teorica e' possibile alterare sia i dati che il CRC. Certo che qui le cose si fanno difficili.

"4) Ho parlato sempre di WPA e non di WEP"
Si si, scusa. Nella parte in cui parlo di aircrack mi sono fatto prendere la mano. Ho letto che hai consigliato il wpa.

A presto :)

Di adis (inviato il 12/11/2006 @ 11:49:57)