Auditing reti wireless
Uno dei principali meccanismi per conoscere lo stato del proprio livello di sicurezza è quello dell’audit. L’audit non viene eseguito una sola volta, ma è un processo che si ripete a cicli periodici, attraverso il quale gli amministratori di sistema e di rete possono capire la differenza fra il livello attuale di sicurezza e quello descritto nella policy aziendale, in modo da intervenire di conseguenza.
Analogamente, l’attività di auditing per le wireless LAN è un elemento chiave per verificare che la propria infrastruttura sia conforme alle proprie policy, che i parametri di configurazione siano stati impostati correttamente e che il segnale radio sia effettivamente limitato all’area che si intende coprire. È importante sottolineare che attraverso l’auditing è anche possibile rilevare eventuali Access Point non autorizzati che sono collegati alla rete aziendale: si provi ad immaginare ad esempio i possibili problemi di sicurezza legati ad un Access Point che un utente abbia collegato alla rete interna per sua “praticità”.
Esistono software di auditing per le Wireless LAN, che richiedono l’uso di un PC portatile o di un palmare dotato di scheda compatibile con lo standard IEEE 802.11. I più usati sono Kismet e Airsnort per il sistema operativo Linux, Netstumbler per Windows e Ministumbler per PocketPC. Tutti i software sono in grado di effettuare le seguenti funzionalità:
- Esaminare i pacchetti di sincronizzazione (beacon packets) per trovare tutti i punti di accesso.
- Determinare l’SSID e il nome degli AP.
- Esaminare i pacchetti sonda (probe packets) e le risposte a questi.
- Esaminare i pacchetti dei dati.
- Determinare la presenza di meccanismi di cifratura.
- Esaminare i pacchetti di autenticazione ed il relativo metodo.
- Esaminare il numero di client nella rete.
- Determinare la versione di firmware presente sui singoli punti di accesso.
- Determinare la quantità dei dati trasmessi per eventuali attacchi al WEP
Kismet, inoltre, è in grado di intercettare i sistemi Cisco attraverso Cisco Discovery Protocol (CDP) e di trovare altri sniffer attivi sulla rete wireless. Questi programmi, in congiunzione con strumenti di sniffing e di WEP cracking, sono gli stessi adottati dai “wardrivers” o “warwalkers”, ovvero coloro che sono alla ricerca di reti wireless.
L’hardware necessario
Per effettuare l’auditing della propria Wireless LAN é necessario disporre di un computer portatile o di un palmare, una scheda di rete Wireless compatibile IEEE 802.11a/b/g e di una eventuale antenna esterna. L’uso di un’antenna esterna é particolarmente raccomandato per effettuare rilevazioni quali l’individuazione della copertura di un HotSpot pubblico o capire se si é soggetti ad un attacco di tipo parking lot. In generale, si consiglia l’uso di un palmare con una PCMCIA wireless con antenna integrata per la sua praticità di utilizzo. Particolarmente adeguate ad un ambiente operativo Linux sono le schede wireless basate sul chipset prism2 (es: alcune schede Dlink o Linksys) e le Cisco Aironet serie 350; queste ultime, inoltre, permettono una scansione contemporanea su tutte le frequenze, mentre le prime effettuano la scansione su ogni canale singolarmente. In ambito Windows, invece, si prediligono le card basate sul chipset hermes (es: Orinoco o Enterasys), ma é anche possibile effettuare scansioni attraverso le schede Cisco Aironet.
NetStumbler per Windows
Uno dei più diffusi software per l’auditing delle reti Wireless in ambiente Windows é Network Stumbler (chiamato anche NetStumbler) di Marius Milner disponibile gratuitamente sul sito del produttore[1]. Alla release 0.3.30 il software non é in grado di supportare tutte le schede IEEE 802.11b/g, principalmente é in grado di operare con le schede basate sul chipset hermes, come ad esempio le schede Orinoco o le mini-PCI e PCMCIA della Toshiba: per maggiori informazioni sulle tipologie di schede supportate si faccia riferimento al file readme.html incluso con il pacchetto software. É possibile utilizzare le schede wireless Cisco Aironet con NetStumbler limitatamente al sistema operativo Windows XP.
Il software viene distribuito come un file eseguibile e la sua installazione é simile a quella di altri software. É molto semplice effettuare auditing con NetStumbler: una volta rilevata automaticamente una scheda wireless disponibile, bisogna assicurarsi che il tasto Scanning della toolbar sia attivo (rappresentato da una freccia verde). Le reti wireless disponibili appariranno nel riquadro di destra, con le informazioni relative al SSID della rete wireless, il MAC address dell’Access Point, se si tratta di una rete crittografata, informazioni sul segnale e molto altro.
Kismet per Linux/FreeBSD
Esistono differenti tools per la rilevazione delle reti wireless e per l’analisi della crittografia, quali ad esempio AirSnort e WepCrack. Kismet é un software OpenSource che ha funzionalità simili a quelli di NetStumbler per Windows ed é in grado di collezionare ulteriori dati quali, ad esempio, le informazioni relative al Cisco Discovery Protocol (CDP), ed é inoltre capace di individuare programmi di scansioni quali NetStubler attivi sulla rete Wireless. Il software funziona principalmente con le schede wireless basate sul chipset prism2, sulle schede Cisco Aironet e Orinoco. Alcune distribuzioni recenti, ad esempio Debian, includono il pacchetto relativo a Kismet, ma é comunque disponibile il sorgente sul sito internet.
Prima di eseguire Kismet, é necessario modificare il suo file di configurazione kismet.conf (di default si trova in /usr/local/etc) per indicare la scheda su cui eseguire le scansioni. In particolare é necessario modificare la riga contenente il parametro source. Ad esempio, per una scheda Cisco é necessario specificare:
source=cisco,eth0,Cisco
Per maggiori informazioni sui parametri e le schede, fare riferimento alle man pages kismet.conf(5) o alla documentazione allegata. Eseguire Kismet é molto semplice e immediato: la prima azione da effettuare é mettere la scheda wireless in modalità promiscua, eseguendo lo script kismet_monitor. Questo script non é valido per le schede Cisco Aironet, dove é necessario eseguire i seguenti comandi, ammettendo che la scheda sia la eth0:
iwconfig eth0 essid off echo "Mode: r" > /proc/driver/aironet/eth0/Config echo "Mode: y" > /proc/driver/aironet/eth0/Config echo "XmitPower: 1" > /proc/driver/aironet/eth0/Config ifconfig eth0 up
In seguito, é necessario avviare il server da root con il comando kismet_server e, da un’altra finestra, lanciare la User Interface (UI) con kismet. Le informazioni relative alle Wirleless LAN trovate verranno visualizzate nella UI, ad esempio l’SSID, gli IP trovati nella LAN, se si tratta di una rete crittografata, la qualità del segnale ed altro ancora.