IEEE 802.1x e Wireless LAN

Lo standard IEEE 802.1x é nato soprattutto per sopperire alla mancanza di autenticazione delle reti Wireless, ma i loro creatori hanno esteso il concetto di autenticazione anche per le reti tradizionali. Si pensi ad esempio ad un visitatore che entra nell’azienda e collega il suo portatile ad una presa ethernet: questa persona non deve avere gli stessi diritti di accesso alla rete di un amministratore di sistema. Il sistema 802.1x é un “Port-based access control mechanism”, ovvero un sistema in grado di autenticare un utente collegato ad una determinata porta ethernet.

Al fine di poter identificare e autorizzare l’utente finale IEEE ha scelto di incapsulare su ethernet il protocollo Extensible Autentication Potocol. EAP é un framework di autenticazione inizialmente pensato per il Point-to-Point Protocol (PPP) che supporta differenti schemi di autenticazione. EAP non definisce uno specifico metodo di autenticazione, bensì permette di negoziare il protocollo di autenticazione tra i due interlocutori, ovvero l’utente e il server di autenticazione (tipicamente Radius). Sono stati definiti alcuni schemi di autenticazione EAP, i più famosi dei quali sono: MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM e AKA. Vediamone alcuni in dettaglio. Continua a leggere

Protezione Wireless LAN

Nel capitolo precedente si sono analizzati i possibili problemi di sicurezza relativi alle Wireless LAN, dovuti maggiormente sia alle limitazioni del protocollo IEEE 802.11 che alla configurazione non corretta degli apparati di rete. Uno dei primi passi per rendere sicura la wireless LAN è pertanto il procedere ad una corretta analisi della propria rete ed a configurare gli apparati in maniera adeguata. Questo capitolo propone dei suggerimenti in tal senso, descrivendo come l’amministratore di rete possa trarre vantaggio dall’aggregazione delle tecnologie esistenti.

Una corretta configurazione degli apparati è un buon inizio per proteggere la rete wireless. Grazie ad alcuni accorgimenti, è possibile “sviare” un eventuale intruso nascondendo dettagli preziosi e rendendo più difficile l’identificazione della rete su cui si sta collegando. Continua a leggere

Radius client

L’ultimo passo per la configurazione di IEEE 802.1x é quello di installare e configurare il client. Solo nelle recenti versioni dei sistemi operativi, quali ad esempio Windows XP é incluso un client per questo protocollo, mentre per altri sistemi operativi é necessiario disporre di un client separato, sia esso commerciale od OpenSource. Nei prossimi paragrafi verranno descritti tali client, assumendo che l’amministratore abbia buona familiarità con la configurazione del sistema operativo e della configurazione dei certificati digitali (per Windows XP).

Esempio con Windows XP e Windows 2000

Come accennato in precedenza, Windows 2000 e Windows XP sono attualmente gli unici sistemi operativi che dispongono del protocollo IEEE 802.1x. Su Windows 2000 è però necessario installare l’apposito client descritto Microsoft Knowledge Base Article numero 313664 e scaricabile gratuitamente sul sito internet http://support.microsoft.com/default.aspx?scid=kb;en-us;313664. Vedremo negli esempi successivi la configurazione attraverso Windows XP, che differisce da Windows 2000 dalla gestione nativa delle chiavi WEP e di WPA. Si assume che l’amministratore di sistema o l’utente abbia già scaricato ed installato il proprio certificato digitale X.509. Continua a leggere

Access Point con Radius

Dopo aver configurato il RADIUS server é necessario abilitare il sistema di autenticazione 802.1x. Ogni Access Point é totalmente differente in questo, anche se i passi da seguire sono identici: l’abilitazione di 802.1x/EAP, inserimento del RADIUS server e relative porte di autenticazione/accounting (di default sono rispettivamente 1812 e 1813 su UDP), abilitazioni delle chiavi WEP. Per maggiori informazioni su come inserire questi parametri, si suggerisce di riferirsi al manuale del produttore dei propri Access Ponts.

A titolo di esempio, si vuole fornire una configurazione di Access Point Cisco, assumendo che la configurazione di base sia già stata effettuata (SSID, Frequenze, ecc..). Continua a leggere

1 2 3