2012 1 RETI DI CALCOLATORI Sicurezza Wireless prof. G. Russo ©2012 ©2012.

Slides:



Advertisements
Similar presentations
PROVINCIA DI FIRENZE Servizio di preselezione on line all’interno dei Servizi per l’Impiego della Provincia di Firenze.
Advertisements

Lo scenario Cresce l’occupazione femminile, non cambia lo svantaggio delle donne: nelle opportunità, nella retribuzione, nella carriera… Continua la resistenza.
La Genetica La scienza dell’ereditarietà. La Genetica In che modo il patrimonio genetico è trasmesso alle nuove cellule che devono sostituire quelle che.
MEMBRANA PLASMATICA - MEMBRANE DEGLI ORGANELLI COMPOSIZIONE: bistrato fosfolipidico contenente enzimi, recettori, antigeni; proteine integrali ed estrinseche.
Cloud informatica V anno. Sistemi informativi e basi di dati.
Corso di Laurea in Informatica Architettura degli elaboratori a.a Programmazione Assembly: procedure (2) Convenzioni di uso dei registri Utilizzo.
Mobile and Wireless Communication Security By Jason Gratto.
1 Attività materiali IAS 16, 23 e 40 1 Prof. Fabrizio Di Lazzaro Ordinario di Economia Aziendale Università “Luiss Guido Carli” LUISS Guido Carli AA 2012/2013.
Torino, 24 maggio 2006 L’Arte dell’Innovazione Tecnologica Moreno Tartaglini Manager of Printing Systems Division – Italia Guarene, 24 maggio 2006.
Advanced Encryption Standard & Steganografia Docente: Prof. Mastronardi Giuseppe Sicurezza dei Sistemi Informatici.
È un organo di senso con 2 funzioni: - percepire i suoni; - raccogliere informazioni riguardo ai movimenti per farci mantenere l’equilibrio. È diviso.
10 semplici regole per essere in buona salute e “in forma” fino a 80 anni e oltre 10 precetti da imparare a memoria e da osservare ed applicare quotidianamente.
1 Protezione del Patrimonio Convegno Unione Industriali Torino, 16 ottobre 1.
I 10 animali più mortali al mondo. Un bruco in grado di mimetizzarsi molto bene e quindi difficile da vedere. Si trova in Brasile e soltanto di recente.
Convegno “Linee guida progettuali e Strumenti normativi per le politiche di conciliazione vita lavoro Lecce, 22 marzo 2006.
Gli insiemi N e Z I numeri naturali sono quelli che formano l’elenco illimitato e a tutti noto I numeri naturali ….. L’insieme N si può.
Allineamenti Multipli Problema Durante l’evoluzione i residui importanti per il mantenimento della struttura e della funzione sono conservati. Come riconoscere.
IL PERCORSO DI VALUTAZIONE DEL PIANO DI ZONA I principali risultati del percorso di monitoraggio e valutazione Ambito Territoriale di Cantù Comuni di Brenna,
LE CASETTE DA GIARDINO DI CASETTE ITALIA CASETTE DA GIARDINO IN PVC - PLASTICA Casette Italia, Casette Italia, da 10 anni sul mercato italiano, propone.
© 2016 Giorgio Porcu - Aggiornamennto 19/04/2016 I STITUTO T ECNICO SECONDO BIENNIO T ECNOLOGIE E P ROGETTAZIONE Il Sistema Operativo Concetti di Base.
Giuseppe Pelagatti 8 giugno 2011 Il modello GeoUML e gli strumenti Catalogue e Validator nell’Interscambio tra DBTL e DBTR.
Piano Nazionale della Prevenzione Prevenzione delle Complicanze del Diabete Tipo 2 Torino, Assessorato alla Sanità - 22/06/2006 Roberto SIVIERI.
Acireale (CT) - 27 ottobre 2007 AGGIORNAMENTI ATTUALI IN CARDIOLOGIA FORENSE: Importanza e necessità di conoscere i risvolti legali della pratica medica.
Lezione n° 4 - Problemi di Programmazione Matematica - Problemi Lineari e Problemi Lineari Interi - Forma Canonica. Forma Standard Prof. Cerulli – Dott.
Elementi di logica matematica. Prof. Ugo Morra Programma Operativo Nazionale Scuola “Competenze per lo sviluppo” Fondo sociale europeo 2009/2010 Liceo.
TESI ALL ESTERO. Le borse di studio per tesi di laurea all’estero sono benefici economici che Sapienza mette a disposizione degli studenti iscritti ai.
Corso di STRATEGIE D’IMPRESA Corso di Strategie d’Impresa – Prima Unità Didattica Corso di Strategie d’Impresa * * * * * Professor Andrea Lanza Anno Accademico.
In molti sistemi laser si riesce ad ottenere una amplificazione nel mezzo attivo di solo qualche % per metro. Per evitare l’uso di un mezzo attivo di molti.
E.Portfolio Gaetano Domenici & Concetta La Rocca Insegnamento di Didattica dell’Orientamento Dipartimento di Scienze della Formazione Università degli.
LEGGE RIFIUTI ZERO PER UNA SOCIETA’ SOSTENIBILE Audizione alla Commissione Ambiente della Camera Natale Belosi TEMI SPECIFICI TRATTATI: Criterio di giudizio.
Corso di economia Aziendale Presentazione del corso Prof. Luciano Marchi - Prof. Simone Lazzini Dipartimento di Economia e Management Università di Pisa.
DISCIPLINE INFERMIERISTICHE 2 MED/45 Scienze Infermieristiche generali, cliniche e pediatriche  Obiettivi generali L’insegnamento ha lo scopo di fornire.
Un uomo chiede il divorzio dalla moglie accusandola d’infedeltà. Il primo e il secondo figlio sono di gruppo O e AB rispettivamente. Il terzo figlio,
MODULI FORMATIVI 2015 questionario di soddisfazione studenti.
Cinetica chimica E’ la disciplina che studia la velocità e il meccanismo delle reazioni chimiche Dalle caratteristiche termodinamiche dei reagenti e dei.
Diocesi di Lodi UFFICIO PER LA PASTORALE DELLA FAMIGLIA Antonella Pennati.
La scrittura del saggio breve dall’analisi del tema e della documentazione alla pianificazione alla stesura alla revisione © VITALIANO PASTORI - APRILE.
Accesso alla rete dei LNF (wireless & wired) Presentazione: Massimo Pistoni Servizio di Calcolo.
Tu, chi dici che io sia? Dalla risposta dipendono: l'orientamento della vita, le scelte di ogni giorno, la pace del cuore, il nostro destino eterno.
1 Le semplificazioni amministrative Alessandro Natalini.
MAESTRA….MA QUESTA LIM E’ LA LIMOUSINE DELLE LAVAGNE!!! Thomas, 7 anni, classe 2B.
MISURE PER LA QUALIFICAZIONE DELLE RETI DI TELECOMUNICAZIONI Anno Accademico 2005/2006 Protocol Analysis and Protocol Analyzers Starring : Vitulano Lucia.
1 Corso di Pianificazione e Controllo Gestionale Livelli e obiettivi di pianificazione e controllo Livelli e obiettivi di pianificazione e controllo Lezione.
Science Gateway implementati a Catania R. Rotondo INFN Catania.
1 Studente: Lafronza Luciano Tutor aziendale: Lumini Rossella RICERCA E SINTESI SENTENZE.
OBIETTIVI DEL CORSO Fornire un richiamo e un aggiornamento sulla normativa tecnica e di legge inerente la sicurezza nell’esecuzione dei lavori elettrici.
SBS Università di Siena Gateway e server Z39.50 in Aleph500: parametrizzazioni, sperimentazioni, proposte La derivazione catalografica basata sul.
Concetti di base Modulo B.2. Dati B.2.1 Qualsiasi applicazione informatica gestisce ed elabora dati Dati interni (risultato di una elaborazione) I/O da.
BILANCIO PARTECIPATIVO Il Bilancio partecipativo è un processo di democrazia partecipata finalizzato alla promozione della cittadinanza attiva e basato.
S ERVIZIO F ORMAZIONE, A LTA F ORMAZIONE E F INANZIAMENTI E STERNI D. Ferrucci e G. Leoni ISTRUZIONI PER L’USO COME INSERIRE PROPOSTE di CORSI NEL DATABASE.
 Il termine Trojan è da attribuirsi al cavallo di troia, che nasconde il suo vero fine ovvero quello di indurre l’utente a eseguire il programma. In.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
I BAMBINI DISABILI E L’ASSISTENZA DOMICILIARE. Carta per i diritti dell’infanzia e dell’adolescenza Art.6 Tutti dovrebbero riconoscere che hai IL DIRITTO.
ITS Luca Pacioli Progetto “1x1” Un computer per ogni studente Progetto “Eppur si muove” Didattica Laboratoriale Nuvola su Google Apps - ITS Luca Pacioli.
Presentazione dati “Questionario mobilità Bologna" 02/02/201 6.
+ Gestire la persistenza Nicolò Sordoni. + Meccanismi di persistenza dei dati In Windows Phone, come negli altri ambienti, abbiamo tre soluzioni principali.
PRIGIONIERI DEL MONDO: bloccati dall'illusione di Matrix a cura di.
Controllo di batterie in economia #Wire15 Workshop Impresa, Ricerca, Economia Dr Francesco Frau
Identità ed equazioni DEFINIZIONE. Si dice identità un’uguaglianza di due espressioni (di cui almeno una letterale) che è verificata da qualunque valore.
Laboratorio 2 A cura di … (Lombardia Informatica) Mercoledì 1 giugno 2011Milano, Direzione/Ruolo Area Sistemi Terrioriali/Project Leader Servizi locali.
Progetto Interregionale Diffusione di best practice presso gli uffici giudiziari Relatrice Dott.ssa Barbara Repetto Visentini.
WORLD FAMILY of RADIO MARIA MARIATHON MONDIALE Found Raising Department World Family of Radio Maria World Family of Radio Maria - Via Mazzini n
CLUB ALPINO ITALIANO OTTO TAM EMILIA ROMAGNA - Bosco Chiesanuova(VR) : 4-5 ottobre 2014 Agricoltura & Montagna - Realizzazione Ricerca e Documentario Voci.
Norma e normalità nei Disability Studies
POR TOSCANA Obiettivo RAPPORTO FINALE DI ESECUZIONE POR Toscana CRO FSE CdS 15 giugno 2010.
LA POLITICA DELLA CONCORRENZA. Che cos’è? La politica della concorrenza rappresenta la politica comunitaria volta a realizzare nel mercato comune una.
In un’economia di mercato:
29/06/2016 Servizi Postali01/03/ Focus Raccomandata1 Presentazione alle OOSS Milano 22 / 03 / 2011.
1 IL RIVENDITORE DEL FUTURO O PEN S OURCE M ANAGEMENT.
Un uomo aveva quattro figli. Egli desiderava che i suoi figli imparassero a non giudicare le cose in fretta, per questo, invitò ognuno di loro a fare.
Presentation transcript:

RETI DI CALCOLATORI Sicurezza Wireless prof. G. Russo ©2012 ©2012

2012Prof. Guido Russo 2 Perchè rete wireless sicura Quando si progetta la sicurezza per una wireless, è necessario considerare: Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura degli AP Configurazione Gestione sicura dell’infrastruttura Gli attacchi possibili su una WLAN possono essere del tipo: Attacchi di inserzione Intercettazione e monitoraggio del traffico Wireless Errate configurazioni degli access point o dei client Attacchi diretti da Client a Client

2012Prof. Guido Russo 3 Attacchi di inserzione Inserimento di client non autorizzati: – Un attaccante si connette ad un access point e superando i meccanismi di autenticazione si introduce nella rete. Inserimento di access point non autorizzati: – Un attaccante connette alla rete un access point permettendo la connessione alla rete di client non autorizzati anche non interni alla azienda anche a distanze notevoli. Access point “clone” (Evil Twin): – Viene inserito un accesso point illegittimo con segnale molto forte, – clone di un access point legittimo. – Molti client si collegheranno a questo access point e l’attaccante potrebbe sniffare dati sensibili.

2012Prof. Guido Russo 4 Errate Configurazioni Default SSID: Molti non cambiano l’ SSID di default degli AP. Secure Access Mode: se gli AP hanno il controllo dell’ SSID. In caso contrario l’SSID può essere vuoto o impostato ad ‘any’. Brute force SSID: Dal momento che spesso gli SSID sono nomi comuni, un attaccante può scoprirlo con un semplice attacco di forza bruta. SSID in chiaro: Anche se è abilitata la criptazione WEP, SSID continua ad essere trasmesso in chiaro Broadcast SSID: Molti AP trasmettono il proprio SSID in chiaro tramite dei pacchetti di broadcast (beacon). Anche se il broadcast viene escluso, dal momento che l’ SSID è in chiaro, basta sniffare la connessione di un client. Access Point con configurazioni di default Installazione plug&play: molti vendor, per rendere semplice l’installazione degli access point, mettono di default molti parametri, abilitando il DHCP in modo che l’access point funzioni immediatamente e velocemente. L’installatore si trova con apparati ‘plug&play’ che funzionano al volo ma senza una parametrizzazione avanzata possono rilevarsi molto vulnerabili. In più, spesso, il monitoraggio e la configurazione è con interfacce grafiche in http non protette di default neanche con password.

2012Prof. Guido Russo 5 Attacchi Client - Client Due client wireless possono comunicare tra loro senza bisogno di un access point, per questo motivo un client può essere vulnerabile ad un attacco diretto. Attacco a risorsa: Se il client ha delle risorse condivise o programmi di file sharing, un attaccante potrebbe averne accesso sfruttando errate configurazioni (mancanza password, etc..) Denial of service: Il client Wireless può esser vulnerabile ad attacchi DOS come synflood, ecc da altri client wireless.

2012Prof. Guido Russo 6 Requisiti per 802.1X ComponentiRequisiti Client computers  Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000  802.1X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati  Necessari  Potrebbero anche non essere Microsoft Wireless access points  Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura  Active Directory, DNS, DHCP 6

2012Prof. Guido Russo 7 Wireless LAN e Security - Debolezze I problemi principali di sicurezza di una Wireless LAN sono dovuti al protocollo (Wi-Fi) riguardo: Criptazione Il Wire Equivalent Privacy (WEP), algoritmo di criptazione dei dati trasmessi con il segnale radio con chiave a 40 o 128 bit WEP è debole: La sua vulnerabilità è dovuta alla staticità delle chiavi di criptazione ed al riuso del key stream che permette ad un intrusore di decodificare i dati dopo aver catturato un certo ammontare di traffico. WEP spesso disabilitato: Moltissime Wlan, sovente in ambienti pubblici, hanno il WEP non abilitato, talvolta per permettere interoperabilità con client diversi. La sua abilitazione è importante per poter bloccare gli sniffing occasionali e complicare la connessione all’access point dal momento che oltre l’ SSDI devono coincidere anche le chiavi di criptazione. Però anche con il WEP abilitato i pacchetti di controllo rimangono in chiaro Autenticazione Per potersi collegare ad un Access Point, un client manda in broadcast su tutti i canali disponibili il suo Mac ed il suo SSID. Il primo access point che li riceve gli risponde con il suo SSID, canale da utilizzare e Mac Address. A questo punto il client ha identificato l’access point con il quale iniziare il processo di autenticazione che può avvenire con due metodi: Il primo è l’open key oppure se il WEP e’ abilitato, lo shared key.

2012Prof. Guido Russo 8 Il sistema di crittografia WEP dell'IEEE 802.1x: funzionamento e problematiche WEP Wired Equivalent Protocol: Protocollo di sicurezza che utilizza meccanismi equivalenti a quelli utilizzati nelle reti wired. Introduce due servizi di Sicurezza: – Servizio di Riservatezza attraverso la codifica crittografata per mezzo dell’algoritmo a chiave simmetrica RC4. La chiave di codifica è costituita da un Vettore di Inizializzazione IV e una chiave k. A.A Chiave Segreta k IV 24 bit 40/104 bit Sequenza Chiave – Servizio di Integrità è il servizio di integrità basato sul controllo dei dati attraverso la definizione di un vettore ICV (Integrity Check Value) calcolato con un codice di ridondanza ciclica CRC-32. Il vettore ICV è calcolato sul messaggio da trasmettere per verificare in fase di ricezione che questo non subisca modifiche illecite durante il suo transito. ICV Messaggio 32 bit

2012Prof. Guido Russo 9 Autenticazione Open key: l’autenticazione e‘ in chiaro e qualunque client può autenticarsi con l’access point. Se abilitata la criptazione, viene accettato traffico solo con chiave di criptazione WEP coincidente a quella dell’access point 9 1 – Richiesta di autenticazione 2 – autenticato Shared key: Utilizzato solo con WEP attivo, prevede che il client richieda l’autenticazione all’access point (1) il quale trasmette in risposta un pacchetto di challenge (2). Il client risponde criptando il pacchetto con la propria chiave WEP (3). L’access point decripta la risposta e la confronta con il pacchetto di challenge che aveva inviato (4). Se sono uguali, il client ottiene l’accesso alla rete (5). Il pacchetto di challenge è trasmesso dall’access point in chiaro ed un eventuale intrusore potrebbe ricavare la chiave WEP usata per la codifica andando a confrontare la risposta criptata con il pacchetto di challenge. 1 – richiesta di autenticazione 2 – pacchetto di challenge 3 – cripta il pacchetto con Key (WEP) 5 – accesso alla rete 4 AP – decripta la risposta e la confronta con il pacchetto di challenge inviato al client

2012Prof. Guido Russo 10 Il protocollo EAP per l'utilizzo di una infrastruttura AAA EAP (Extensible Authentication): protocollo di comunicazione che gestisce lo scambio di informazioni per il processo di autenticazione. E’ basato sul paradigma richiesta/risposta: Request - Response - Success - Failure Il suddetto protocollo contempla: Server centralizzato con: – Servizio di autenticazione multipla. – Servizio di Porta Duale. Architettura di rete Centralizzata con 3 entità AAA (Authenticatin Authorization Accaunting) – Richiedente (Client Wireless) – Dispositivo di Autenticazione (Access Point) – Sistema di Autenticazione (Server R.A.D.I.U.S. – Remote Authentication Dial-In User Service) Utilizzo di Certificati Digitali e Smart Card EAP/TLS (Transport Layer Security), Username/password e Token di ingresso EAP/TTLS

2012Prof. Guido Russo 11 Protocollo RADIUS Il Radius Server è di tipo AAA ed è usato per certificare gli utenti che chiedono accesso ad una rete, e ne autorizza l'accesso (solitamente tramite verifica di username e password). Utilizzabile anche per l'accounting. Basato su protocollo UDP. Porte assegnate: – Authentication 1812/udp, – Accounting 1813/udp. Prevede utilizzo di una chiave o password “secret” per autenticare server e autenticatore. Protocollo EAPOL E’ l’implementazione del protocollo EAP su LAN (EAP Over LAN) L’header EAP viene incapsulato nella trama LAN 802.x La Port Access Entity utilizza le trame EAPOL nella comunicazione tra Autenticatore e Supplicante Le trame EAPOL vengono trasmesse all’indirizzo di gruppo C

2012Prof. Guido Russo 12 Il protocollo EAP per l'utilizzo di una infrastruttura AAA AP Server RADIUS 802.1X / EAP/TLS EAPoL Start EAP-Richiesta ID EAP-Risposta ID Richiesta Accesso Fase inizio del processo; richiesta di identità utente (ID); richiesta di Accesso RADIUS EAP/TLS Sequenza EAP/TLS di Mutua Autenticazione; Chiave di Sessione; Certificati Digitali; Risposta di Accesso EAP- Success EAPOL-Chiave WEP Fine Autenticazione ; Scambio della Chiave di crittografia WEP; Client Wirelss

2012Prof. Guido Russo 13 Autenticazione IEEE 802.1x IEEE sta rilasciando il protocollo 802.1x che è uno standard per i controllo degli accessi, port-based. Parte del protocollo è basato sull’EAP (Extensible Authentication Protocol) che permette ai client di autenticarsi ad un server RADIUS Con l’ IEEE 802.1X, il client associato all’ Access Point non ottiene la connessione fisica alla rete durante la fase di autenticazione. L’access point inizia il dialogo EAP con il client e gestisce la comunicazione con il server EAP-Radius. Quando le credenziali del client sono accettate dal Radius, questi rilascia all’access point le policy di accesso e questi permette la connessione alla rete wired con le opportune restrizioni. Tramite l’ EAP l’access point assegna al client una chiave WEP a 128 bit dinamica per ogni sessione prevenendo attacchi tipo sniffing, ecc.. La trasmissione delle chiavi WEP è criptata utilizzando chiavi separate generate dal server radius e passate all’access point. A.A Comunicazione EAP Messaggi EAPMessaggi RADIUS SupplicanteAuthenticator Authentication server (RADIUS)

2012Prof. Guido Russo 14 Autenticazione IEEE 802.1x Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS- CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK) A.A

2012Prof. Guido Russo 15 La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per l’autenticazione dei client Password usate per l’autenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre- Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) NessunoNO SI Usa la chiave di crittazione WPA per l’autenticazione alla rete WPA PEAP + password (PEAP- MS-CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS NO (ma almeno un certificato deve essere rilasciato per validare il server IAS) SI WPA o chiave WEP dinamica Certificati (EAP- TLS) Aziende medio/grandi Internet Authentication Services (IAS) Servizi Certificati SI NO (possibilita’ di modifica, inserendo la richiesta di password) WPA o chiave WEP dinamica

2012Prof. Guido Russo 16 Come lavora 802.1X con PEAP e password Wireless Client RADIUS (IAS International AccountingStandards ) 1 1 Client Connect Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination Key Distribution Authorization WLAN Encryption Internal Network

2012Prof. Guido Russo 17 Componenti richiesti per 802.1X con EAP-TLS ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication) Deve avere un certificato installato per essere autenticato dai client (server authentication)

2012Prof. Guido Russo 18 Come lavora 802.1X con EAP-TLS A.A Wireless Client RADIUS (IAS International Accounting Standards ) 1 1 Certificate Enrollment Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination Key Distribution Authorization WLAN Encryption Internal Network Certification Authority 6 6

2012Prof. Guido Russo 19 Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication) Deve avere un certificato installato per essere autenticato dai client (server authentication)

2012Prof. Guido Russo 20 RETI DI CALCOLATORI Esercizio prof. G. Russo ©2012 ©2012

2012Prof. Guido Russo 21 Implementazione dei livelli di sicurezza per rete wireless  Trovare la miglior soluzione per la protezione dei dati in ambiente wireless  Implementazione dei protocolli di protezione al fine di fornire un adeguato livello di sicurezza ad una rete wireless dipartimentale Attacchi e soluzioni Le minacce vanno ad intaccare:  la disponibilità  l’integrità  l’autenticità  la riservatezza. Gli attacchi a cui è soggetta una rete possono essere passivi o attivi. Le soluzioni possono essere:  SSID  Autenticazione aperta  Autenticazione a chiave condivisa

2012Prof. Guido Russo 22 Architettura di rete Componenti architetturali: Client Wireless Access Point Integrated Access Manager Server RADIUS Metodi implementati  WEP Statico – client e access point possiedono la stessa chiave wep;  WEP Dinamico – ai client viene fornita automaticamente una chiave di cifratura che cambia ad intervalli regolari A.A Server radius Integrated access Manager 760 wl Access point 420 Hp client

2012Prof. Guido Russo 23 WEP statico: realizzazione  assegnazione indirizzi IP statici agli apparati, assegnazione di indirizzi dinamici ai client dall’Integrated Access Manager configurato come server DHCP  configurazione della sicurezza sull’Access Point  Richiesta di inserimento di username e password per accedere ala rete A.A

2012Prof. Guido Russo 24 WEP Dinamico: scelte progettuali Classi d’utenza:  Afferenti  Studenti Per il servizio di autenticazione si è utilizzato un server dedicato: il RADIUS, che verifica le credenziali. Per la creazione dei certificati è richiesta la presenza di una Certification Authority creata con le librerie di openSSL PEAP EAP/TLS

2012Prof. Guido Russo 25 Architettura di protezione 802.1x/EAP L’802.1x è un protocollo port-based che si avvale dello schema di autenticazione EAP Le entità che entrano in gioco sono:  Supplicant – client Windows XP  Authenticator – Access Point 420 Hp  Authentication Server - FreeRadius Comunicazione EAP Messaggi EAPMessaggi RADIUS SupplicantAuthenticator Authentication server (RADIUS)

2012Prof. Guido Russo 26 Comunicazione EAP/TLS A.A Associazione del client all’access point Il client autentica il server con i certificati digitali Il server autentica il client con i certficati digitali Il RADIUS invia la chiave unicast all’ AP L’AP invia una wep broadcat cifrata con la chiave unicast al client AP (Authenticator)WClient (Supplicant) Server RADIUS (Authentication Server)

2012Prof. Guido Russo 27 Configurazione del Supplicant  Installazione dei certificati A.A  Configurazione del client

2012Prof. Guido Russo 28 Configurazione dell’Authenticator Configurazione dell’access point come client RADIUS A.A Inserimento delle informazioni relative al server RADIUS

2012Prof. Guido Russo 29 Verifica del funzionamento del RADIUS Dopo che la configurazione è stata completata è possibile verificare il successo dell’autenticazione osservando il file di log del FreeRadius

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.