II INFN Security Workshop – Parma, 24-25 Febbraio 2004 Wireless (in)Security Franco Brasolin...

II INFN Security Workshop – Parma, 24-25 Febbraio 2004II INFN Security Workshop – Parma, 24-25 Febbraio 2004

Wireless (in)Security

Franco BrasolinServizio di Calcolo e RetiSezione INFN di Bologna

II INFN Security Workshop – Parma 24-25 Febbraio 2004II INFN Security Workshop – Parma 24-25 Febbraio 2004 2

Introduzione

› L’evoluzione della tecnologia Wireless ha portato ad una crescita costante in termini di produttività e facilità di utilizzo: easy-of-use.

› Aumentano però anche i rischi per i sistemi e le informazioni.

› Esistono diverse tecnologie Wireless: nel giro di pochi anni ci sarà una sempre maggiore integrazione tra i diversi apparati, destinati ad essere sempre più piccoli, potenti, veloci e versatili. Gli utenti necessiteranno di una sempre maggiore integrazione Wireless-Wired.

› I miglioramenti in termini di facilità di utilizzo hanno un costo e devono andare di pari passo con l’evoluzione della sicurezza.

› La sicurezza va anticipata! Più conosciamo i rischi connessi alla tecnologia Wireless e meglio riusciremo a proteggerci.


Basate sullo standard IEEE 802.11, nato per supportare trasmissioni radio veloci su medie distanze.

› ’97 802.11 1-2 Mb/s› ’99 802.11a 54 Mb/s 5 GHz - USA› ’99 802.11b 11 Mb/s 2.4–2.48 GHz è il più diffuso› 802.11d permetterà di soddisfare i requisiti necessari in certi paesi per poter usare alcune freq. (5

GHz). › ‘03 802.11e supporto per CoS e QoS su 802.11 a,b & g› ‘03 802.11f interoperabilità tra i diversi Vendor› ‘03 802.11g 54Mb/s 2.4 GHz - compatibile con 802.11b› ’03 802.11h soddisfa i requisiti europei per l’utilizzo dei 5GHz› ’03 802.11i aumenta la sicurezza: nuovi metodi di criptazione e autenticazione alternativi a WEP. Applicabile a 802.11 a,b & g

Wireless Standard 802.11


Rischi

› I device Wireless sono sempre più piccoli: possono essere facilmente rubati o nascosti

› Man-in-the-middle: utenti maliziosi possono interporsi tra source e target e apparire come un AP (non autorizzato) catturando informazioni (passw ecc.) in entrambi i sensi.

› I device Wireless sono sempre più intelligenti introducendo nuove possibilità di attacchi da virus.

› La complessità delle reti Wireless è in aumento e molti amministratori non implementano tutte le features possibili, creando grosse falle di sicurezza.

› Considerate gli AP come accessi dall’esterno.


Contromisure

›Il punto cruciale è dato da Identification & Authentication: è il processo con cui la rete verifica l’identità di un utente per un utilizzo autorizzato.›La maggior parte degli apparati implementa sistemi di autenticazione “deboli”: l’ideale sarebbe una “two factor authentication” che faccia uso di qualcosa che l’utente ha in suo possesso e di qualcosa che l’utente sa (PIN, biometric, ecc.).›Fare uso di applicazioni che supportino una completa end-to-end encryption (SSL based).›Utilizzare firme digitali per garantire l’integrità dei dati.

E’ necessario bilanciare i vari aspetti: complessità, facilità di utilizzo, efficacia, affidabilità con le performance richieste e i costi.


il PROGETTO (1)Per poter utilizzare una rete Wireless nel modo più sicuro possibile è essenziale studiare un PROGETTO che tenga conto dei seguenti punti:

› POLICY › Struttura della Wired-LAN esistente› Sicurezza:

Scelta HW Analisi segnale radio (evitare copertura extra edifici) Autenticazione (user/pwd, ldap, radius, x509,

MAC ...) Monitoring Logging Sniffing


il PROGETTO (2)

› Analisi interferenze radio› AP adiacenti: devono usare canali diversi› Documentazione› Scalabilità› Esigenze degli utenti:

Copertura radio Timeline in cui necessitano del servizio Ospiti Servizi richiesti compatibilità (o incompatibilità) hw

esistente Banda


POLICY› Definire che l’accesso Wireless non permette di utilizzare la rete nello

stesso modo in cui si usa la connessione Wired.› Definire chi può usare WLAN.› Definire chi può installare e gestire AP.› Definire luoghi sicuri per gli AP.› Richiedere l’aggiornamento SW degli apparati con le patch di

sicurezza e nuove release disponibili.› Definire standard di configurazione per gli AP.› Definire modalità per effettuare AP discovery.› Definire quali classi di dati si possono trasmettere su Wireless.› Divieto di divulgare info per setup (SSID, Wep Key…).› Aggiornare e distribuire la Policy agli utenti.› Fornire documentazione per:

- configurazione dei client Wireless.- segnalazione di incidenti e furti AP.


HW: quale scegliere?

› HW che permetta di implementare tutti i requisiti di sicurezza stabiliti nella policy (WEP, VPN, Radius…).

› che sia il più omogeneo possibile (WECA).

› Verificare che il segnale radio abbia le caratteristiche di portata, copertura, attenuazione e direzione desiderate anche in base ad eventuali fonti di interferenze.

› Scegliere le antenne (direzionali o omni-direzionali) che meglio si adattano alle vostre esigenze: l’obiettivo è fornire il miglior segnale radio agli utenti, limitandolo al di fuori delle zone interessate.

› Che sia affidabile, scalabile e che il vendor fornisca patch di sicurezza e assistenza.

› Attenzione alla compatibilità 802.11g – 802.11b!


Soluzioni note: MAC, servizi, porte e WEP ›Blocco MAC Address: semplice ma poco sicura, applicabile solo per

realtà limitate – affiancare almeno attivita’ Logging.›Bloccare SNMP per evitare riconfigurazioni degli AP.›Bloccare ICMP per evitare DoS.›Aprire solo le porte per i servizi definiti nella policy (ssh, imaps, http,

https ecc.).›WEP cifra le comunicazioni tra il client e l’AP utilizzando chiavi che

devono essere settate sia sull’AP che sui client. Svantaggi: è “debole”: sniffando poche ore di trasmissione è possibile scoprire le chiavi. 802.11 non prevede meccanismi automatici per la sostituzione delle chiavi:

nelle grosse organizzazioni diventa difficile (impossibile) sostituirle manualmente.

alcuni Vendor implementano meccanismi per la rotazione delle chiavi o di key management: usateli!

Tool “esterni” per key management: Cisco EAP & RADIUS DHCP (Linux) modificato per fornire oltre a IP Address anche WEP Key

(www.hpl.hp.com/techreports/2001/HPL-2001-227.pdf)


Possibili soluzioni: controllo MAC Address

›Usare ARPwatch per segnalare modifiche o nuovi MAC address non autorizzati.

›E’ possibile effettuare controlli automatici sui MAC Address che circolano sulla LAN. Molte attività illecite vengono eseguite utilizzando indirizzi MAC falsi. Lo script Perl MAIDWTS.PL analizza i MAC Address e segnala quelli in cui i primi 3 byte non sono assegnati a nessun Vendor. http://home.jwu.edu/jwright/perl.htm

Analizzando i log e/o i db degli switch si può tentare di risalire a chi sta effettuando queste operazioni.


Possibili soluzioni: MAC Address (3)

Esempio di output di MAIDWTS.PL:

Alert: Unallocated OUI prefix for address 901908004500Alert: Unallocated OUI prefix for address 9a360064e0e0Alert: Unallocated OUI prefix for address 9f5b003baaaaAlert: Unallocated OUI prefix for address 9f5b60022000Alert: Unallocated OUI prefix for address a19560077000Alert: Unallocated OUI prefix for address a39560077000Alert: Unallocated OUI prefix for address a4d708004500Alert: Unallocated OUI prefix for address a6d708004500Alert: Unallocated OUI prefix for address a92708060001


Possibili soluzioni:WPA - WiFi Protected Access (1)

Per superare la debolezza della cifratura WEP, il Working Group 802.11 ha lavorato su un nuovo Security Protocol, che possa garantire una sicurezza equivalente a quella delle reti Wired. Il risultato è stato WPA (WiFi Protected Access). E’ progettato per essere installato come Firmware Upgrade per l’HW che già implementa WEP, aggiungendo un ulteriore livello di sicurezza, e per essere compatibile con lo standard 802.11i (RSN = Robust Secure Network). Utilizza la cifratura TKIP (Temporary Key Integrity Protocol) e l’autenticazione è basata su 802.1X e EAP (Extensible Authentication Protocol).


WPA - caratteristiche: (2)›Genera periodicamente e automaticamente una nuova chiave per ogni client.›Implementa un meccanisco di controllo dell’integrità del messaggio (MIC: Message Integrity Code, 8byte) più rubusto di quanto non faccia WEP con ICV (Integrity Check Value, 4byte). ›L’autenticazione è basata su 802.1X: inizalmente il client si autentica sull’AP, poi WPA si interfaccia con un Authentication Server (Radius o LDAP).›Se un client manda almeno due pacchetti ogni secondo con chiavi sbagliate, l’AP termina TUTTE le connessioni per un minuto! Questo meccanismo di protezione può essere usato per provocare DoS.›La disponibilità sotto forma di Firmware Upgrade preserva gli investimenti già fatti. ›Lo standard 802.11i sarà backward compatible con WPA, ma includerà anche un miglior sistema di cifratura (AES, Advanced Encryption Standard) opzionale: AES richiede infatti un coprocessore non disponibile in tutti gli AP.


Possibili soluzioni: VPN (1)› Permette di cifrare tutto il traffico, eliminando le

debolezze della cifratura WEP.

Possibili scenari :

1. Il VPN server provvede a tunnellizzare il traffico tra il client wireless e la macchina di destinazione, mentre un server Radius provvede all’autenticazione.

2. L’AP svolge funzioni di VPN Server e protegge tutto il traffico dei client Wireless.


Possibili soluzioni: VPN (2)Vantaggi:

› A differenza di WEP le chiavi sono cambiate ad intervalli di tempo predefiniti.

Svantaggi:

› Le prestazioni sono inferiori: il tunneling aumenta l’overhead.

› Aumenta la complessità: difficoltà nei setup e nell’amministrazione.


Altre possibili soluzioni: single FW (1)


Altre possibili soluzioni: dual FW (2)


Altre possibili soluzioni: (3)


Logging (1)› Fare logging centralizzato attività AP: servono

anche in caso di incidenti.› Esaminare i LOG !!!› Attività di War Driving possono essere scoperte

controllando i log del DHCP: creando filtri e script si possono evidenziare le richieste dei MAC Address non autorizzati.

› Un semplice script via crontab ogni notte esegue controlli incrociati sul log file Wireless centralizzato e su /etc/dhcpd.conf; permettere di notificare all’utente (via mail) le attività Wireless effettuate con il suo MAC Address autorizzato.


Logging (2)Un esempio di quanto viene notificato all’utente:

Subject: attività Wireless di Brasolin Gruppo CCL

Questo è il log delle attività WIRELESS relative al MAC ADDRESS 00:0A:F4:9C:49:54 registrato a nome: Brasolin nel DHCP server della sez. INFN di BolognaControllate attentamente GIORNO e ORARIO di utilizzo: se NON corrispondono a vostre attività AVVISATE SUBITO il SERVIZIO di CALCOLO e RETI tel: 95223 mail: [email protected] allegando questo mail e specificando quali accessi non sono stati fatti da voi.

Feb 16 19:37:38 ml2wl ml2wl (Info): Station 000af49c4954 Authenticated

Feb 16 19:37:38 ml2wl ml2wl (Info): Station 000af49c4954 Associated

Feb 16 19:37:41 ml2wl ml2wl (Info): Deauthentication from [?dhcpi164]000af49c4954, reason "Sender is Leaving (has left) ESS"

Feb 16 19:37:54 ml2wl ml2wl (Info): Station [?dhcpi164]000af49c4954 Authenticated

Feb 16 19:44:28 ml2wl ml2wl (Info): Deauthentication from [dhcpi169]000af49c4954, reason "Sender is Leaving (has left) ESS"

Feb 16 19:45:21 ml2wl ml2wl (Info): Station [dhcpi169]000af49c4954 Authenticated

Feb 16 19:45:21 ml2wl ml2wl (Info): Station [dhcpi169]000af49c4954 Associated

Feb 16 20:16:42 ml2wl ml2wl (Info): Deauthenticating 000af49c4954, reason "Inactivity"


Sniffer & ToolsPer poter capire cosa succede nell’”aria” è fondamentale utilizzare tool che vi permettano di avere la situazione sotto controllo.Sono disponibili in rete diversi Sniffer (Win & Linux, free e/o a pagamento) che permettono di rilevare attività Wireless:

›Network Stumbler (Win Free) www.netstumbler.com›Widz (Linux Free) www.loud-fat-bloke.co.uk/w80211.html ›PCTEL (Win a pagamento) www.pctel.com/prodSegRC.html ›AiroPeek (Win a pagamento) www.wildpacktes.com/products/airopeek›Ngrep (linux) ngrep.sourceforg.net›Kismet www.kismetwireless.net›AirSnort airsnort.shmoo.com›AirTraf airtraf.sourceforge.net


Sniffer: Airopeek (1)

› Localizza AP e client Wireless

› E’ in grado di decifrare Wep Key, sia on-the-fly sia successivamente

› Security Audit

› Diagnostica per 802.11

› Grafici potenza segnale, possibilità di settare allarmi

› analisi VoIP › schede supportate:

www.wildpackets.com/support/hardware/airopeek

› Per Windows, a pagamento: www.wildpackets.com/products/airopeek_nx


Sniffer: PCTEL

›E’ un “Roaming Client” con supporto WPA

›supporta Wi-Fi, GPRS, Bluetooth, e Infrared connections

›Supporto per le schede Wireless più diffuse

›Può connettersi automaticamente a WLAN e WWAN

›Individua e connette il client alle WLAN disponibili.

›L’interfaccia grafica permette di settare i parametri per la

connessione (SSID, WEP, security), individua Hot Spot

›Per Windows, a pagamento: www.pctel.com/prodSegRC.html


HostAP

E’ un driver che permette di usare un PC come un AP:

›scheda Wireless con chip Intersil Prism

›Linux: Kernel 2.4.20-13.9.HOSTAP

›rpm disponibile per RH 8.0 e 9: www.cat.pdx.edu/~baera/redhat_hostap/

›Permette di modificare alcuni parametri sulla scheda, tra cui la possibilità di stare in ascolto passivo, per analizzare tutti quello che passa.

http://hostap.epitest.fi/


Sniffer: Widz

› Sniffer linux in grado di rilevare AP e wireless client

› Può utilizzare white & black list e visualizzare di conseguenza in modo diverso quello che viene rilevato dall’interfaccia Wireless.

› Può eseguire script in corrispondenza di eventi predefiniti.

› Necessita di HostAP (quindi di schede con chip Prism2)

http://www.loud-fat-bloke.co.uk/w80211.html


Widz in azione:

Alert NON whitelist mac essid XXXXXXX packet_type Beacon mac1 ffffffffffff mac2 000625c5e802 mac3 000625c5e802 mac4 000000000000

Alert NON whitelist mac essid YYYYYYY packet_type Beacon mac1 ffffffffffff mac2

0080c8034b76 mac3 0080c8034b76 mac4 000000000000 Alert NON whitelist mac essid ZZZZZZZ packet_type Beacon mac1 ffffffffffff mac2

00409658a7cd mac3 00409658a7cd mac4 000000000000

Alert NON whitelist mac essid packet_type Data mac1 ffffffffffff mac2 0080c8034b76 mac3 005004edfc5b mac4 05000000bb11

Alert NON whitelist mac essid XXXXXX packet_type Beacon mac1 ffffffffffff mac2

00c049ca1c3a mac3 00c049ca1c3a mac4 000000000000 Alert NON whitelist mac essid packet_type Data mac1 01005e02b932 mac2

00c049ca1c3a mac3 00304827adf0 mac4 aaaa03000000


Antisniffer: FakeAP

Se non è possibile nascondere completamente la vostra Wlan, si possono confondere le idee ai WarDriver. FakeAP (Perl Script) è in grado di generare segnali radio per simulare fino a 53000 Wlan, con diversi SSID, canali, WEP keys e Txpower.

› Linux

› richiede hostAP

http://www.blackalchemy.to/project/fakeap/


FakeAP in azione:


Rogue AP

NESSUNO deve installare AP non autorizzati. Un AP non autorizzato (rogue AP) può presentarsi al client come un AP “ufficiale”.

›Con 802.1x è possibile per il client Wireless autenticare l’AP

›Verificare i MAC Address sulla LAN con l’inventario degli AP ufficiali

›Non lasciare socket wired “libere” in locali “open”, bloccare i MAC Address degli AP sugli switch.


Rogue AP: come trovarli?› nmap: è intrusivo, lento su network estese, falsi positivi

# nmap –sT –sU –O –p 23,80 x.y.z.k› sniffer: limitati dal range del segnale radio› snmp: non sempre è abilitato # snmpwalk x.y.z.k passw .1.3.6.1.4.1.522.3.1› APTools (Windows e Linux): si connette al router di accesso e

confronta i MAC Address presenti nell’ARP table con quelli assegnati a Vendor Wireless. Se ne trova, tenta di recuperare la configurazione dell’AP via html. è più veloce: controlla solo IP presunti Wireless. è possibile preparare liste di router/switch da

controllare se disponibile, può utilizzare Discovery Protocol (CDP) sviluppato e testato con router e AP Cisco.

aptools.sourceforge.net


HandHeld Sniffer (1) – IBM WSA

› prototipo IBM WSA

› iPAQ PDA - Linux

› 802.11 wireless LAN security auditor

› è in grado di individuare reti Wireless e di verificarne il livello di sicurezza

www.research.ibm.com/gsal/wsa/


HandHeld Sniffer (2) - HP

›Analyzer per test & security

›HP iPAQ 4355 pocket PC

›WLAN 802.11b e bluetooth

›500$ www.amazon.com


HandHeld Sniffer (3) - Compaq

›Analyzer per test & security ›Compaq iPAQ con interfaccia Wireless e Segue Analyzer sw›Wi-Fi (802.11 a/b) ›WLAN & WWAN›Monitor per traffico, identifica interferenze, scopre client e AP non autorizzati›report throughput›Misura parametri network e radio›Attacco per GPS esterno

www.pctel.com/prodSegAnal.html


HandHeld Sniffer (4) - Fluke

› Linux iPaq› Rogue AP detection › Mappa AP › verifica connettività

wireless client

www.flukenetworks.com/us/LAN/handheld+Testers/WaveRunner/Overview.html


CheckList versione 2004 (1)› Preparare una Policy adeguata.

› Acquistare apparati che permettano di implementare tutti requisiti di sicurezza stabiliti, e che permettano di attuare upgrade fw & sw: mantenerli aggiornati.

› Installare gli AP in luoghi protetti, accessibili solo al personale autorizzato dove nessuno possa eseguirne un reset o rubarli; lontano da finestre e porte esterne.

› Verificare la portata del segnale radio, anche all’esterno degli edifici.

› Non usare i parametri di default sugli apparati Wireless.

› Mantenere un inventario di tutti gli AP e dei relativi MAC Address.

› Inventariare le schede Wireless e i relativi MAC Address. Standardizzarsi su una marca/modello di schede Wireless.

› Cambiare SSID usando nomi non noti, disabilitare SSID broadcast.


CheckList (2)

› Cambiare/Creare Username/Password per management AP.

› Bloccare il Mac Address dell’AP sulla porta dello switch a cui è collegato.

› Utilizzare range di Ip Address dedicati.

› Configurare gli AP in una VLAN separata per poter gestire, filtrare e monitorare il traffico in modo differenziato.

› Sul router perimetrale filtrare indirizzi DHCP assegnati ai client: in Input (completamente) e in Output (solo servizi desiderati). Filtrare anche IP address AP.

› Se si usa DHCP esterno, via Crontab è possibile fermare questo servizio quando non serve (di notte, nei weekend).


CheckList (3)

› Usare un numero di Canale diverso per AP adiacenti, per evitare interferenze e cadute di prestazioni.

› SNMP: se non serve disabilitarlo, o almeno cambiare la default passw – sia in rw che in ro – Utilizzare prodotti con snmpV3.

› Assicurarsi che tutti i parametri relativi alla sicurezza siano stati modificati rispetto al valore di default.

› Disabilitare sull’AP tutti i protocolli non sicuri e non necessari.

› Abilitare tutte le funzioni di sicurezza disponibili: “WEP privacy” o 802.1x-EAP.

› Utilizzare la chiave di cifratura più lunga possibile (acquistare AP che siano in grado di gestire chiavi a 128 bit).

› Sostituire periodicamente le chiavi.


CheckList (4)

› Autenticazione: permettere l’accesso solo a client autorizzati (username/passw, smart cards, biometrics, PKI).

› Usare ACL per limitare l’accesso a MAC address autorizzati.

› Se sono implementate VPN, usare IPSec tunneling tra il Wireless client & VPN Box.

› Configurare Logging, anche su Logserver remoto.

› Utilizzare IDS per Wireless.

› Preparare e distribuire documentazione agli utenti (configurazioni client e rischi – chiusa all’esterno! ).

› Mantenere configurazioni omogenee su tutti gli AP.

› Salvare configurazioni degli AP.


Conclusioni: la sicurezza a strati› Una rete Wireless protetta richiede una combinazione di security

intelligence, policy adeguata, conoscenze, tattica; formazione e compartecipazione degli utenti.

› Non esiste al momento un unico strumento che permetta di avere una rete wireless SICURA. Esistono però tool e settaggi che possono essere visti come diversi strati di sicurezza: più se ne implementano e minori saranno i rischi.

› La sicurezza non è statica! Nuovi problemi invariabilmente si presenteranno e andranno risolti conseguentemente.

› Bisogna valutare i costi per mantenere una rete Wireless sicura rispetto ai costi di ripristino dovuti a intrusioni.

› 802.11 ha meccanismi di sicurezza deboli: è fondamentale usare server esterni (Radius, VPN) per autenticazione e cifratura.

› Apparati omogenei consentono un management semplificato.› E’ essenziale studiare e utilizzare strumenti di monitoring che

permettano di avere un quadro completo della rete (Wireless & Wired) sia per risolvere malfuzionamenti sia in casi di attacchi.


Riferimenti:› Hack Proofing your wireless network (Syngress) www.amazon.com

› Maidwts.pl: home.jwu.edu/jwright/papers/wlan-mac-spoof.pdf

› HostAP: trekweb.com/~jasonb/articles/hostap_20030727.shtml› Wireless LAN Security Tools: 802.11-security.com/wardriving/tools

› Sniffer: www.blacksheepnetworks.com/security/resources/wireless-sniffers.html

› WPA Overview: www.weca.net/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf

› Cisco – Antenne: www.cisco.com/en/US/products/hw/wireless/ps469/products_data_sheet09186a0080092285.html

› Comparazione HW Wireless: www.seattlewireless.net/index.cgi/HardwareComparison?action=print

› WLAN Analyzer: www.nwfusion.com/reviews/2003/0414rev.html

› Google wireless security ma soprattutto: Google wireless insecurity !!!!


Grazie!

Discussione:

Suggerimenti? Domande ?

II INFN Security Workshop – Parma, 24-25 Febbraio 2004 Wireless (in)Security Franco Brasolin...

Documents

Transcript of II INFN Security Workshop – Parma, 24-25 Febbraio 2004 Wireless (in)Security Franco Brasolin...