it en
EQUARS

Indice:

Home
La società
Wireless LAN
VoIP
System integration
Soluzioni
Risorse

Wireless LAN

La sicurezza

La tecnologia di trasmissione dei dati tramite onde radio presenta intrinseci problemi in termini di sicurezza. In particolare le principali criticità relative alle WLAN possono essere suddivise nelle seguenti categorie:
  • Riservatezza: occorre impedire che possano essere intercettati i dati trasmessi sul canale trasmissivo
  • Controllo degli accessi: occorre evitare l'acceso alla rete da parte di utenti non autorizzati
  • Integrità dei dati: occorre assicurarsi che i dati trasmessi non possano essere modificati

Gli standard

Chiave WEP

Il meccanismo per la protezione dei dati originariamente previsto dallo standard IEEE 802.11 è il WEP ("Wired Equivalent Privacy"). Il WEP prevede che ogni pacchetto scambiato tra l'access point e l'apparato dell'utente sia codificato con l'agoritmo di cifratura RC4, utilizzando una chiave segreta di 40 o 104 bit, preceduta da un'ulteriore sequenza casuale di 24 bit (Initialization Vector) diversa per ogni pacchetto trasmesso. La chiave segreta deve essere comunicata a tutti gli utenti che accedono al corrispondente access point.
Nel 2001 alcuni ricercatori hanno però dimostrato la debolezza dell'algoritmo RC4, nonché altre debolezze intrinseche del meccanismo WEP. È stato quindi istituito un gruppo di lavoro, chiamato "Task Group i", per correggere i noti problemi del WEP e definire un nuovo standard di sicurezza, l'IEEE 802.11i.

Dal WEP all'802.11i: WPA

IEEE e Wi-Fi Alliance, l'organizzazione che si occupa di promuovere lo sviluppo e la diffusione delle reti wireless, hanno quindi dato vita ad un progetto per elaborare una soluzione immediata per sostituire il WEP come meccanismo di sicurezza nei prodotti commerciali esistenti.
Il nuovo meccanismo, denominato WPA (Wireless Protected Access), è stato concepito sin dall'inizio come soluzione temporanea, in attesa che lo sviluppo di 802.11i giungesse a maturazione.
Per WPA è stato progettato un nuovo protocollo, denominato TKIP (Temporal Key Integrity Protocol), sempre basato sull'algoritmo RC4, che aggiunge un meccanismo di cifratura software preliminare a quello utilizzato dal WEP (eseguito invece in hardware) per ogni pacchetto inviato.
WPA si basa su TKIP per la codifica dei messaggi, mentre si è aggiunto un meccanismo di autenticazione per utente, in luogo dello scambio della chiave WEP segreta, basato sul protocollo 802.1x (illustrato piu' avanti).

WPA2 (802.11i)

L'802.11i, rilasciato nel luglio 2004, è ora comunemente indicato con il nome di WPA2.
Anche WPA2 utilizza 802.1x per la gestione delle politiche di autenticazione. Per la cifratura dei dati invece, è definito un nuovo protocollo, CCMP (Counter Mode with CBC-MAC Protocol), che utilizza l'algoritmo crittografico AES al posto dell'RC4. La maggiore robustezza di AES (e di CCMP) si paga con una maggior potenza di calcolo richiesta agli apparati rispetto a WEP e TKIP, e richiede quindi una modifica del'hardware. Ad oggi gli apparati che supportano WPA2 sono poco diffusi.

Riepilogando:
  • WPA = TKIP + 802.1x
  • WPA2 = CCMP + 802.1x

L'autenticazione

802.1x

Per evitare gli accessi non autorizzati in rete si è deciso di adottare il protocollo di autenticazione port-based denominato IEEE 802.1x, il quale prevede che l'autenticazione avvenga sia in fase di primo accesso alla rete sia ad intervalli periodici di tempo. Per l'autenticazione l'access point si deve appoggiare ad un server esterno tramite il protocollo RADIUS (Remote Authentication Dial-In User Service).

L'architettura 802.1x applicata alla tecnologia wireless prevede quindi la presenza delle seguenti entità:

  • Supplicant = client che intende accedere alla rete
  • Authenticator = punto di accesso alla rete (access-point)
  • Authentication Server = server esterno a cui l'autenticatore invia le richieste di autenticazione provenienti da un supplicant

La figura seguente mostra l'architettura di autenticazione prevista dal protocollo 802.1x:

Schema applicativo 802.1x
Schema applicativo IEEE 802.1x

EAP

Il sistema di autenticazione utilizza il protocollo di trasporto EAP (Extensible Authentication Protocol), il quale non specifica un meccanismo di autenticazione fisso, bensì definisce una piattaforma di autenticazione estensibile, consentendo quindi di poter variare il meccanismo di autenticazione nel caso in cui in quest'ultimo venisse scoperta una qualche vulnerabilità.

Metodi di autenticazione

Tra i vari metodi di autenticazione impiegati in EAP (oltre 40) è possibile segnalare:

  • EAP-MD5: (MD5-Challenge), equivalente al PPP, richiede username/password. Non prevede mutua autenticazione o scambio di chiavi quindi è poco adatto in ambiente wireless.
  • LEAP: (Lightweight EAP) sviluppato da Cisco, prevede l'invio di username/password ad un server di autenticazione (RADIUS). Considerato poco sicuro è in fase di abbandono.
  • EAP-TLS: crea un sessione TLS (tunnel) tra il Supplicant e l'Authentication Server. Sia il server che il supplicant richiedono l'utilizzo di un certificato (x509). Questo metodo fornisce una mutua autenticazione.
  • EAP-TTLS: crea una sessione TLS cifrata, all'interno della quale è possibile utilizzare qualsiasi metodo di autenticazione.
  • PEAP: (Protected EAP) crea una sessione TLS cifrata. Sia in PEAP che in TTLS il certificato del supplicant è opzionale, mentre è obbligatorio quello dell'Authentication Server.
  • EAP-MSCHAPv2: richiede username/password, ed è fondamentalmente un'incapsulamento dell'MS-CHAP-v2 in EAP.
Creative Commons License Questo testo è pubblicato sotto una
Licenza Creative Commons.
Attribuzione - Non commerciale - Condividi allo stesso modo
Equars srl - Via V. Vela, 43 TORINO / Tel. 011 537664 / Fax 011 83430886 / info@equars.com
.
© 2004-08 Equars srl. All rights reserved. Equars® e WiSAS® sono marchi registrati di Equars srl. [Credits...]