Protezione Wireless LAN

Nel capitolo precedente si sono analizzati i possibili problemi di sicurezza relativi alle Wireless LAN, dovuti maggiormente sia alle limitazioni del protocollo IEEE 802.11 che alla configurazione non corretta degli apparati di rete. Uno dei primi passi per rendere sicura la wireless LAN è pertanto il procedere ad una corretta analisi della propria rete ed a configurare gli apparati in maniera adeguata. Questo capitolo propone dei suggerimenti in tal senso, descrivendo come l’amministratore di rete possa trarre vantaggio dall’aggregazione delle tecnologie esistenti.

Una corretta configurazione degli apparati è un buon inizio per proteggere la rete wireless. Grazie ad alcuni accorgimenti, è possibile “sviare” un eventuale intruso nascondendo dettagli preziosi e rendendo più difficile l’identificazione della rete su cui si sta collegando.

  • Cambiare gli SSID di default. Il Service Set Identifier (SSID) identifica univocamente ogni punto di accesso all interno della rete. Tramite una configurazione opportuna, soltanto i dispositivi che utilizzano la corretta SSID possono comunicare con i punti di accesso. Molti dei dispositivi hanno già preconfigurato un SSID di default: un intruso può usare questi nomi per cercare di accedere ad AP che hanno ancora la configurazione di fabbrica. Di seguito si riportano alcuni SSID di default:
SSID Produttore
tsunami Cisco
101 3Com
RoamAbout Default Network Name Lucent/Cabletron
Compaq Compaq
WLAN Addtron
intel Intel
linksys Linksys
Default SSID
Wireless
  • Utilizzare SSID non descrittivi. Usare SSID descrittivi facilita il compito di un eventuale intruso nell’individuare luoghi o aziende e nel ricavare maggiori informazioni su come entrare. Si consiglia di utilizzare nomi anonimi o altamente scoraggianti come “AC01MLX”, “HoneyPot01” o “GoAway01”.
  • Disabilitare il Broadcast SSID. Gli AP mandano ad intervalli regolari Beacon Frames per la sincronizzazione con i client, i quali contengono il SSID. Queste frames servono ai client per configurarsi automaticamente la rete di accesso, ma servono anche a potenziali aggressori durante la ricerca delle reti wireless. È auspicabile disabilitare il Broadcast SSID qualora l’AP supporti questa opzione. Il client dovrà essere configurato manualmente con il SSID corretto per poter accedere alla rete.
  • Cambiare le password. Come per gli SSID, è importante cambiare le password di default degli AP. È buona norma che la password sia lunga almeno otto caratteri e che includa caratteri speciali e numeri.
  • Aggiornare il firmware. Nella scelta di un Access Point, è preferibile orientarsi verso un apparato che abbia la possibilità di aggiornare il suo firmware. È bene pertanto assicurarsi che l’Access Point abbia l’ultimo livello di firmware consigliato dal produttore.
  • Chiavi WEP. Anche se è stato dimostrato che WEP non è adeguato a proteggere una rete wireless, rappresenta comunque un deterrente per gli intrusi occasionali. Serve catturare dai 100 Mb a 1 Gb di traffico per provare a ricavare la chiave WEP, pertanto l’aggressore deve essere ben motivato per tentare l’intrusione. Cambiare spesso le chiavi WEP di crittografia sugli AP fa in modo che una rete compromessa, non lo sia a tempo indeterminato: un intruso, infatti, dovrebbe di fatto riprovare a ricavare la chiave WEP, scoraggiandolo da un secondo tentativo. Cambiare le chiavi WEP è abbastanza oneroso: alcuni Access Point supportano la dynamic WEP-key exchange per cambiare la chiave WEP per ogni adattatore. È consigiato controllare dal produttore degli Access Point la disponibilità di questa feature. Alcuni Access Points, ad esempio, non dispongono di questa feature, ma è possibile specificare fino a quattro differenti chiavi per facilitare il cambio periodico della chiave.
  • Abilitare il MAC filtering. Molti produttori includono nei loro Access Point la possibilità di abilitare soltanto alcune schede di rete, usando come metodo discriminatorio il loro MAC address. Alcuni Access Point permettono di fornire l’elenco dei MAC addresses abilitati attraverso una GUI, linea di comando o RADIUS. Si suggerisce di usare la GUI o la linea di comando nel caso di implementazione con pochi AP, RADIUS in un contesto più ampio. È necessario pero’ comprendere che il MAC address di una scheda puo’ essere facilmente cambiato, pertanto il MAC filtering non puo’ essere usato come solo metodo di protezione.
  • Spegnere l’AP quando non serve. Gli intrusi agiscono solitamente durante la notte e il fine settimana, ovvero quando la rete ed i sistemi non sono controllati. È consigliato, quando possibile, collegare gli Access Point ad un timer, in modo da spegnerli quando non vengono utilizzati.
  • Minimizzare l’intensità del segnale. Gli intrusi sfruttano il fatto che le onde radio non si possono limitare a dei luoghi ben definiti, esempio l’ufficio vendite, ma riescono ad espandersi fuori dalle mura perimetrali dall’ufficio. Da qui la definizione del nome “parking lot attack”, o più semplicemente attacchi provenienti dal parcheggio. È pertanto importante scegliere un’adeguata collocazione dell’Access Point all’interno dell’edificio, in modo che il segnale sia sufficiente a garantire il collegamento solo ed esclusivamente alla zona interessata. Attraverso appositi strumenti radio o di audit, è necessario verificare che il segnale non sia visibile all’esterno del palazzo o della zona identificata. Per minimizzare l’intensità del segnale, è sufficiente non posizionare l’AP vicino alle finestre e usare antenne direzionali con basso guadagno in decibel. Alcuni AP inoltre hanno la possibilità di definire l’intensità del segnale via software.
  • Cambiare le community di default di SNMP. Su molti AP risulta installato un agente SNMP (Simple Network Management Protocol). Se la community password non risulta correttamente configurata, un aggressore può leggere e scrivere dati di configurazione sull’AP, in maniera analoga ad altri sistemi che supportano SNMP.
  • Limitare il traffico di broadcast. Alcuni protocolli, in particolare il NetBIOS su TCP/IP usato da Windows, usano assiduamente i messaggi di broadcast. Questi messaggi di broadcast contribuiscono ad incrementare il valore IV del sistema WEP (si faccia riferimento al capitolo precedente), minimizzando per un intruso i tempi di raccolta dei dati per ricavare la chiave WEP. È consigliabile limitare il traffico di broadcast quando possibile, ad esempio disattivando il protocollo NetBIOS su TCP/IP dal binding con la scheda di rete Wireless.
  • Protezione del client. Alcuni attacchi sono mirati ai client wireless in quanto vengono usati come ponte per entrare nella rete interna e per ricavare preziose informazioni. Ad esempio, alcuni client wireless scrivono in chiaro, nel registry di Windows o in un file di testo, le chiavi WEP di crittografia. È preferibile usare un personal firewall sui client in modo da ridurre i rischi di attacchi.
  • Non utilizzare il DHCP. È consigliabile non utilizzare il DHCP per l’assegnazione dinamica degli indirizzi, ma considerare l’utilizzo di IP statici. Anche se è un ulteriore impegno per l’amministratore, è assai utile per evitare che la rete wireless attribuisca indirizzi IP validi a chiunque voglia associarsi con l’AP. Anche se un attaccante, utilizzando uno sniffer wireless, può facilmente ricavare gli IP, il fatto di non distribuirli via DHCP rappresenta un’ulteriore barriera. Inoltre, è consigliabile evitare di usare indirizzamenti di default facilmente intuibili come 192.168.1.0 o 192.168.0.0.
  • Uso di una VLAN separata. È consigliabile utilizzare una Virtual LAN separata per il traffico wireless, separandola dalla rete intranet. Esistono varie metodologie, che vedremo in seguito, per unire in maniera sicura le due LAN, tra le più semplici ricordiamo l’uso di un router/swich con capacità di filtro IP o un proxy.

In alcune piccole aziende e in ambienti SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un problema, queste semplici regole sono sufficienti a proteggere l’accesso wireless. In ambienti più critici, dove è necessario mantenere la confidenzialità dei dati, è necessario applicare delle regole più rigorose: vedremo nei prossimi capitoli quali sono le tecniche per proteggere tali ambienti.