Appunti Sicurezza della rete

Sicurezza della rete

EAPWEP e WPA

Authentication server

Attacchi all'infrastruttura di rete

Rogue Access Point

Rogue Cell Phone Base Station

Attacchi ai protocolli cellulari

Rogue Satelite (GPS spoofing)

VPN (Virtual Private Network)

Architetture di VPN

IPsec

Modalità operativa di IPsec

SA (Security Association)

OpenVPN

18. Sicurezza della rete 1

VPN outsourcing (Virtual Private Circuit)

MPLS (MultiProtocol Label Switching)

VPC (Virtual Private Cloud)

Proteggere l'accesso alla rete Ethernet

Ci sono diverse tecniche per proteggersi da collegamenti indesiderati alla rete:

MAC locking: blocco delle porte mediante ACL sul MAC address.

ACL locking: blocco delle porte mediante regole più sofisticate (ad esempio non accetto due MAC address sulla stessa porta oppure definisco un range di MAC address accettabili).

802.1X port authentication: configurazione che impedisce l'instaurarsi del collegamento fisico finché non è completata una fase di autenticazione.

NAC (Network Access Control):

configurazione in cui la fase di allacciamento alla rete è gestita ad alto livello e include, oltre all'autenticazione, anche altri controlli sul dispositivo (es. presenza di antivirus, vulnerabilità), oppure il reindirizzamento su Captive portal. VLAN management: le porte sono assegnate a VLAN diverse e la Management VLAN è separata dalle altre e protetta da regole esplicite di accesso. Una VLAN permette di avere reti virtuali diverse sulla stessa rete fisica: la separazione è fatta a livello di switch, per cui si ha sempre un unico collegamento fisico per i diversi utenti. 802.1x: Port Authentication IEEE 802.1x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN. Fornisce un meccanismo di autenticazione ai dispositivi che vogliono collegarsi tramite uno switch o un access point WiFi ad una rete LAN o WLAN, stabilendo un collegamento punto a punto e impedendo collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti.

locali wireless per gestire le connessioni agli access point. Lo standard 802.1x è stato pensato per consentire il controllo dell'accesso alla rete al livello di porta; è un'architettura di autenticazione a livello 2 (MAC).

18. Sicurezza della rete 2 La sicurezza port-based prevista da 802.1x permette ai dispositivi di rete di richiedere all'utente un'autenticazione prima che questo ottenga accesso alla rete. Vi sono implementazioni di 802.1x sia nelle reti wired che wireless: è presente praticamente sempre nel wireless, sta prendendo piede anche nel mondo wired.

L'802.1x è ormai supportato dalla maggioranza dei nuovi switch e può effettuare l'autenticazione in congiunzione con un programma installato sul computer, supplicant, eliminando la possibilità di un accesso non autorizzato tramite collegamento al livello fisico della rete. Normalmente, l'autenticazione è fatta da una terza parte, come un

Il server RADIUS è un sistema di autenticazione che utilizza il protocollo 802.1X.

L'autenticazione tramite 802.1X coinvolge tre attori principali:

• Un supplicant, che è un dispositivo client che desidera connettersi alla rete LAN/WLAN.
• Un authenticator, che è un dispositivo di rete come uno switch Ethernet o un punto di accesso wireless.
• Un authentication server, che di solito è un host su cui viene eseguito un software che supporta i protocolli RADIUS e EAP.

L'authenticator agisce come una guardia di sicurezza per proteggere la rete. Fino a quando l'identità del supplicant non è stata validata e autenticata, il supplicant non è autorizzato ad accedere alla parte protetta della rete attraverso l'authenticator. Con l'autenticazione 802.1X, il supplicant fornisce le credenziali (username/password o certificato digitale) all'authenticator, che a sua volta le inoltra all'authentication server per la verifica. Se le credenziali sono valide, il supplicant viene autorizzato ad accedere alla rete protetta.

quest'ultimo determina che le credenziali sono valide, al supplicant è permesso l'accesso. Procedure di autenticazione:

1. Il supplicant si connette alla rete e viene messo dal dispositivo su una VLAN separata dove c'è solo l'authenticator. Fra i due avviene la richiesta di autenticazione EAP (Extensible Authentication Protocol). Quando viene rilevato un nuovo supplicant, la porta dell'authenticator è attiva e impostata sullo stato "unauthorized", nel quale solo il traffico 802.1X è consentito.
2. L'authenticator tramite RADIUS chiede conferma dell'autenticazione al server centrale, tramite user/password, certificati, etc. (es. Active Directory).
3. Se l'autenticazione ha successo, il supplicant viene sganciato dalla VLAN e viene ammesso nella rete aziendale, mentre l'authenticator imposta la porta sullo stato "authorized" permettendo il traffico. Se l'utente non

viene autenticato, la porta viene sganciata e l'utente non accederà mai alla rete aziendale, con la porta che rimane sullo stato "unauthorized".

Autenticazione in 802.1X

Le fasi di comunicazione previste sono:

• Initiation
• Authentication
• Authorization
• Accounting
• Disconnect

EAP

EAP (Extensible Authentication Protocol) è un framework che permette di usare diversi metodi di autenticazione. Non definisce un protocollo vero e proprio, ma solo i messaggi che devono essere scambiati fra i partecipanti. Per diventare un protocollo di rete c'è bisogno di incapsulare l'EAP in qualche modo:

• EAP-MD5 (username/password, leggero ma debole, ok solo in LAN)
• EAP-TLS (certificati digitali, da gestire)
• EAP-TTLS (solo il client autentica il server con un certificato, il Server autentica il Client con username+password)

RADIUS

RADIUS è un protocollo usato per l'autenticazione. Introduce vari problemi:

• Gestione dei certificati
• Gestire gli utenti esterni (es.

acquirente che viene all'interno dell'azienda e sivuole collegare, ma non ci riesce perché tutte le porte sono bloccate): bisognagarantire flessibilità. WEP e WPAI protocolli WPA sono tre protocolli di sicurezza per proteggere le reti di computerwireless. Questi protocolli sono stati definiti in risposta a gravi debolezze che iricercatori avevano trovato nel precedente WEP. WEP (Wired Equivalent Privacy) è insicuro e da evitare. Dal 2006 WPA2 (WiFi Protected Access) è obbligatorio su tutti i dispositivi. WPA utilizza un algoritmo di controllo dell'integrità dei messaggi chiamato TKIP perverificare l'integrità dei pacchetti, consentendo di impedire a un utentemalintenzionato di modificare e inviare nuovi pacchetti di dati. Versioni di WPA: WPA-Personal: è progettata per le reti domestiche e per le piccole aziende enon richiede un server di autenticazione; per accedere basta impostare unapassword d'accesso. Ognidispositivo di rete wireless crittografa il traffico di rete derivando la chiave di crittografia a 128 bit da una chiave condivisa a 256 bit.
WPA-Enterprise: è progettata per le reti aziendali e richiede un server di autenticazione RADIUS, per cui comporta una configurazione più complicata. Per l'autenticazione vengono utilizzati vari tipi del protocollo EAP.
WPA2: è attaccabile se si ha un flusso molto lungo: se si ha una quantità sufficiente di traffico e un certo numero di collegamenti può funzionare un attacco di forza bruta per trovare la password.
WPA3: è nato nel 2018 ed è attualmente in fase di diffusione. Fornisce:
18. Sicurezza della rete 5
- Una chiave a 128 (personal) e 192 (enterprise) bit: cambia la chiave, mentre in WPA2 cambia il meccanismo.
- Una gestione dinamica delle password per rendere inutili gli attacchi offline: anche se si cattura molto traffico non si riesce a trovare la password perché è dinamica, per cui unattacco man-in-the-middle deve per forza essere fatto in real-time.

Authentication server
Le funzionalità di un server AAA sono:
Authentication: user e password
Authorization: gruppo di permessi
Accounting: conteggi di cosa si sta facendo
Implementata esternamente la quarta A=Auditing: tenere traccia di cosa ha fatto l'utente.

Possibili protocolli utilizzati:
RADIUS (Remote Authentication Dial-In User Service): basato su UDP, che autentica ogni singolo pacchetto. I server di accesso alla rete e i gateway che controllano l'accesso a una rete, di solito contengono un componente client RADIUS che comunica con il RADIUS server, che solitamente è un processo in background in esecuzione su un server UNIX o Microsoft Windows. Le fasi di authentication e authorization sono inseparabili. Attualmente è lo standard de facto per l'autenticazione remota.
TACACS+ (Terminal Access Controller Access Control System): basato su TCP. Le funzioni di autenticazione, autorizzazione e

accounting sono separate e possono essere implementate separatamente.

Attacchi all'infrastruttura di rete

Rogue Access Point: è un access Point con doppia rete già predisposto per attacco "man in the middle".

Rogue Cell Phone Base Station: sono ripetitori fittizi del segnale cellulare che intercettano gli smartphone delle persone in una certa area, implementando un attacco man-in-the-middle alla rete cellulare. Sono solitamente utilizzati a livello governativo e dagli operatori di telefonia mobile. Nel caso dell'indoor possono essere usate le Femtocelle.

Attacchi ai protocolli cellulari

Oltre ad intercettare il segnale bisogna poi attaccare il protocollo.

Protocollo SS7: usato per il colloquio fra reti cellulari. Ha vulnerabilità note.

GSM 2G: usato per il colloquio telefono-cella. È altamente vulnerabile.

I protocolli 3G, 4G, 5G sono meglio, ma esistono vulnerabilità note.

Rogue Satellite (GPS spoofing): viene utilizzata una

stazione fantasma, posizionata a terra, che fa un attacco al GPS simulando la presenza di un segnale satellitare.

VPN (Virtual Private Network) è una tecnica (hardware e/o software) per realizzare una rete privata utilizzando canali di trasmissione condivisi o non fidati.

Una VPN permette di creare un tunnel sicuro cifrato per attraversare una zona insicura, oppure per collegare edifici aziendali separati.

Tramite una VPN, utilizzando una connessione Internet, è ad esempio possibile collegarsi da remoto (cioè dall'esterno) alla rete informatica della propria azienda.

Tramite una connessione VPN ci si può "collegare" da un client come se si fosse fisicamente cablati. La connessione si svolge attraverso un tunnel "virtuale".