Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
learn
About

Il Sistema di autenticazione 802.1x

Come configurare una rete Wireless sicura per mezzo del sistema di autenticazione 802.1x.
Come configurare una rete Wireless sicura per mezzo del sistema di autenticazione 802.1x.
Nicola Barberini
Pubblicato il 18 ott 2006
Link copiato negli appunti

Il Sistema di autenticazione 802.1x

Nell'ambito della sicurezza del Wireless, la protezione WEP statica, oggi molto utilizzata da privati ed aziende, si basa si un semplice segreto condiviso (password o chiave) per l'autenticazione nella WLAN. Chiunque disponga di questa chiave segreta può accedere alla WLAN. Lo standard WEP non prevedere un metodo per l'automazione dell'aggiornamento o della distribuzione di tali chiavi, quindi è estremamente difficile modificarle periodicamente.

Un utente malintenzionato può sfruttare imperfezioni crittografiche in WEP per individuare le chiavi WEP statiche mediante strumenti elementari.

Per garantire un metodo più affidabile di autenticazione e autorizzazione, Microsoft e alcuni altri fornitori hanno proposto una struttura di protezione WLAN basata sul protocollo 802.1X. 802.1X è uno standard IEEE per l'autenticazione dell'accesso alla rete che può anche essere utilizzato per la gestione delle chiavi di protezione del traffico di rete. Il suo utilizzo non è limitato alle reti senza fili, bensì è implementata in numerosi switch di fascia alta della rete LAN cablata.

Il protocollo 802.1X richiede la presenza dell'utente di rete, di un dispositivo di accesso alla rete (o gateway) come un punto di accesso senza fili e un servizio di autenticazione e autorizzazione costituito da un server RADIUS (Remote Authentication Dial-In User Service). Il server RADIUS gestisce il processo di autenticazione delle credenziali dell'utente e di autorizzazione dell'accesso alla WLAN.

Lo standard 1X si basa su un protocollo IETF denominato EAP (Extensible Authentication Protocol) per gestire lo scambio di dati di autenticazione tra il client e il server RADIUS (inoltrati dal punto di accesso). EAP è un protocollo generico per l'autenticazione che supporta numerosi metodi di autenticazione, con password, certificati digitali o altri tipi di credenziali.

Poiché il protocollo EAP può essere inserito in un metodo di autenticazione, non esiste un tipo standard di autenticazione EAP da utilizzare. I metodi EAP applicabili ai diversi contesti possono essere vari, con tipi di credenziali e protocolli di autenticazione differenti.

Quando RADIUS viene implementato, un punto di accesso senza fili impedisce l'inoltro del traffico dei dati a una rete cablata o a un altro client senza fili senza una chiave di autenticazione valida. Di seguito è riportato il processo per l'ottenimento di una chiave di autenticazione valida:

  • Quando un client senza fili entra nel raggio di azione di un punto di accesso senza fili, il punto di accesso senza fili richiede la verifica del client.
  • Il client senza fili si identifica al punto di accesso senza fili, il quale inoltra le informazioni a un server RADIUS.
  • Il server RADIUS richiede le credenziali del client senza fili per verificarne l'identità. Come parte della richiesta, il server RADIUS specifica il tipo di credenziali necessarie.
  • Il client senza fili invia le proprie credenziali al server RADIUS.
  • Il server RADIUS verifica le credenziali del client senza fili. Se le credenziali sono valide, il server RADIUS invia una chiave di autenticazione crittografata al punto di accesso senza fili.
  • Il punto di accesso senza fili utilizza la chiave di autenticazione per trasmettere in modo protetto chiavi di autenticazione di sessione unicast per stazione e multicast al client senza fili.

Per risolvere i problemi dettati dalle debolezze del protocollo WEP, l'istituto IEEE sta sviluppando un nuovo standard di protezione WLAN denominato 802.11i

La protezione WPA

Lo standard WPA WPA PSK

Tuttavia, poiché WPA utilizza algoritmi di crittografia simili a quelli utilizzati da WEP, può essere implementato in componenti hardware esistenti con un semplice aggiornamento del firmware.

La modalità PSK di WPA

Figura 1: semplice configurazione di rete WLAN
Semplice configurazione di rete WLAN

Questa figura mostra il livello più semplice di configurazione in cui i server IAS, i punti di accesso e gli altri elementi della rete interna sono connessi alla stessa LAN. Nelle installazioni più estese, la rete solitamente è suddivisa in più LAN virtuali LAN (VLAN) connesse tramite router o commutazione di livello.

Implementazione di un sistema di autenticazione 802.1x Peap

Per l'autenticazione di reti WLAN basata su password, Microsoft supporta l'utilizzo di PEAP (Protected Extensible Authentication Protocol) con MS-CHAP v2. Nella figura sotto riportata è illustrato il funzionamento dell'autenticazione 802.1X con PEAP e MS-CHAP v2.

Figura 2: autenticazione 802.1X e PEAP
Autenticazione 802.1X e PEAP per la rete LAN senza fili

Nella procedura seguente vengono descritte le modalità con cui il client effettua una richiesta, ottenendo l'accesso alla rete WLAN e quindi alla rete interna. Il numero dei passaggi corrisponde ai numeri indicati nella figura 2:

Passo 1: se il computer client è compreso nell'intervallo del punto di accesso senza fili, tenta di connettersi alla rete WLAN attiva su tale punto di accesso e individuata in base al relativo identificatore del set di servizi (SSID). Il SSID rappresenta il nome della rete WLAN e viene utilizzato dal client per identificare le impostazioni corrette e il tipo di credenziali appropriato per questa rete.

Passo 2: Il punto di accesso senza fili viene configurato in modo da consentire solo connessioni protette con l'autenticazione 802.1X. Quando il client tenta di connettersi al punto di accesso senza fili, quest'ultimo invia una richiesta al client, quindi imposta un canale con restrizioni che consente al client di comunicare solo con il server RADIUS, bloccando l'accesso al resto della rete. Il server RADIUS accetterà una connessione solo da un punto di accesso senza fili attendibile, ovvero configurato come client RADIUS nel server IAS e in grado di fornire il segreto condiviso per tale client RADIUS.

Il client tenta di eseguire l'autenticazione nel server RADIUS tramite il canale con restrizioni utilizzando l'autenticazione 802.1X. Durante la negoziazione PEAP, il client stabilisce una sessione TLS (Transport Layer Security) con il server RADIUS. L'utilizzo di una sessione TLS durante la negoziazione PEAP è finalizzato a diversi scopi:

  • Consente al client di eseguire l'autenticazione del server RADIUS; pertanto il client stabilirà la sessione esclusivamente con un server in possesso di un certificato ritenuto attendibile dal client stesso.
  • Protegge il protocollo di autenticazione MS-CHAP v2 dall'analisi del pacchetto.
  • La negoziazione della sessione TLS genera una chiave che può essere utilizzata dal client e dal server RADIUS per stabilire chiavi principali comuni, le quali consentono di ricavare le chiavi utilizzate per la crittografia del traffico di rete WLAN.

Il client, protetto all'interno del canale PEAP, esegue l'autenticazione nel server RADIUS tramite il protocollo MS-CHAP v2 EAP. Durante questo scambio, il traffico all'interno del tunnel TLS è visibile solo al client e al server RADIUS e non viene mai esposto al punto di accesso senza fili.

Continuiamo con la descrizione del processo di autenticazione 802.1X PEAP così come rappresentato nella figura 2.

Passo 3

Se è stato consentito l'accesso al client, il server RADIUS trasmette la chiave principale del client al punto di accesso senza fili. A questo punto, il client e il punto di accesso condividono i dati della chiave comune, che possono utilizzare per crittografare e decrittografare il traffico WLAN che si scambiano.

Se si utilizza il WEP dinamico per crittografare il traffico, le chiavi principali vengono utilizzate direttamente come chiavi di crittografia. È necessario modificare periodicamente tali chiavi per impedire attacchi di recupero delle chiavi WEP. Questa operazione viene eseguita dal server RADIUS forzando regolarmente il client a eseguire una nuova autenticazione e a generare un nuovo set di chiavi.

Se le comunicazioni vengono protette tramite WPA, i dati della chiave principale vengono utilizzati per ricavare le chiavi di crittografia dei dati, che vengono modificate per ogni pacchetto trasmesso. Per garantire la protezione delle chiavi, non è necessario che WPA forzi una nuova autenticazione periodica.

Passo 4:

Passo 5

In una infrastruttura basata sul sistema di autenticazione 802.1x Peap (Protected Extensible authentication protocol), sarà quindi necessario implementare in rete un Server Dns, Dhcp, un Domain Controller (si prevedere l'installazione di Active Directory) ed un server CA (autorità di certificazione per il rilascio di certificati).

Prima di iniziare, è necessario verificare che nei computer client siano installati tutti gli aggiornamenti e le patch importanti. Per automatizzare l'invio delle impostazioni dei client WLAN, è possibile utilizzare i criteri di gruppo Active Directory. L'Editor criteri di gruppo Criteri di rete senza fili

Per poter ricevere le impostazioni dei client WLAN, si presume che i computer client siano stati aggiunti al dominio e siano in grado di connettersi a una rete LAN senza fili. È possibile creare gli oggetti Criteri di gruppo Utenti e computer Active Directory

Ecco come è possibile creare un oggetto Criteri di gruppo per client WLAN

Aprire la GPMC e selezionare l'oggetto del dominio in fase di configurazione. Fare clic con il pulsante destro del mouse sul dominio e scegliere Crea GPO e inserisci collegamento Nota

Quando viene richiesto il nome, digitare Impostazioni client WLAN Criteri di gruppo Impostazioni client WLAN Criteri di gruppo

A questo punto fare clic sulla scheda Ambito Security Filtering Utenti Autenticati Elimina Aggiungi...

Il gruppo Impostazioni computer LAN senza fili in realtà appartiene al gruppo Computer di dominio. Computer di dominio è un membro di Computer LAN senza fili che è a sua volta membro del gruppo Impostazioni computer LAN senza fili. L'oggetto Criteri di gruppo a livello di dominio consente a tutti i computer del dominio di ricevere le impostazioni dei client WLAN. Se si desidera restringere le impostazioni a un sottoinsieme più piccolo, rimuovere i computer di dominio dall'appartenenza al gruppo Computer LAN senza fili.

Per comodità, forniamo i successivi passaggi in elenco.

  1. Fare clic sulla scheda Dettagli Impostazioni configurazione utente Group Policies Status
  2. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Modifica... Criteri di gruppo
  3. All'apertura dell'Editor oggetti Criteri di gruppo, seguire il percorso Configurazione computer Impostazioni di Windows Impostazioni protezione Criteri di rete senza fili (IEEE 802.11)
  4. Selezionare l'oggetto Criteri di rete senza fili Crea criterio rete senza fili Azione
  5. Utilizzare la procedura guidata per assegnare al criterio un nome come Impostazioni client WLAN per Windows XP Modifica proprietà Fine
  6. Fare clic sulla scheda Reti preferite Aggiungi...
  7. Nel campo Nome di rete (SSID) immettere il nome della rete senza fili.
  8. Nel campo Descrizione
    Nota
  9. Fare clic sulla scheda IEEE 802.1x e selezionare PEAP (Protected EAP) dall'elenco a discesa Tipo EAP.
  10. Fare clic su Impostazioni Autorità di certificazione principale attendibili
  11. Selezionare Password protetta (EAP-MSCHAP v2)
  12. Chiudere tutte le finestre delle proprietà scegliendo OK.
  13. Chiudere l'Editor oggetti Criteri di gruppo e la GPMC.

Ora vediamo come si può creare un oggetto Criteri di gruppo

  1. Aprire Utenti e computer
  2. Fare clic con il pulsante destro del mouse sull'oggetto di dominio e selezionare Proprietà
  3. Fare clic sulla scheda Criteri di gruppo Nuovo...
  4. Immettere Impostazioni client WLAN
  5. Scegliere il pulsante Proprietà Protezione
  6. Selezionare Utenti Autenticati Utenti e gruppi Elimina
  7. Scegliere Aggiungi... OK
  8. Con il nome del gruppo Impostazioni computer LAN senza fili Utenti e gruppi Lettura Applica Consenti dell'elenco Autorizzazioni
  9. Fare clic sulla scheda Generale Disattiva impostazioni configurazione utente
  10. Scegliere OK Criteri di gruppo
  11. Scegliere il pulsante Modifica Configurazione computer / Impostazioni di Windows / Impostazioni protezione / Criteri di rete senza fili
  12. Ripetere i passaggi da 4 a 13 della procedura precedente.

    13. Conclusioni

    In questo articolo abbiamo analizzato i pro e contro di un sistema di comunicazione wireless, compreso i rischi che si corrono e quali possono essere le contromisure per ridurre il volume di vulnerabilità alle quali questo tipo di tecnologia è soggetta. La soluzione di sicurezza è affidata comunque alle persone, quindi, qualsiasi prodotto sarà del tutto inutile se non si hanno delle buone politiche di amministrazione e condotta da parte degli utilizzatori della tecnologia.

Indice lezioni

Ti consigliamo anche

Sicurezza

Ethical Hacking con JavaScript: esempi di attacchi e difese
Sicurezza

Reverse Engineering e analisi malware con Ghidra
Sicurezza

Gestione identità e autenticazione con OAuth 2.0 e JWT
Sicurezza

Raspberry Pi: configurare un firewall