
guide
Tutti i linguaggi per diventare uno sviluppatore di app per Android.
Come configurare una rete Wireless sicura per mezzo del sistema di autenticazione 802.1x.
Nell’ambito della sicurezza del Wireless, la protezione WEP statica, oggi molto utilizzata da privati ed aziende, si basa si un semplice segreto condiviso (password o chiave) per l’autenticazione nella WLAN. Chiunque disponga di questa chiave segreta può accedere alla WLAN. Lo standard WEP non prevedere un metodo per l’automazione dell’aggiornamento o della distribuzione di tali chiavi, quindi è estremamente difficile modificarle periodicamente.
Un utente malintenzionato può sfruttare imperfezioni crittografiche in WEP per individuare le chiavi WEP statiche mediante strumenti elementari.
Per garantire un metodo più affidabile di autenticazione e autorizzazione, Microsoft e alcuni altri fornitori hanno proposto una struttura di protezione WLAN basata sul protocollo 802.1X. 802.1X è uno standard IEEE per l’autenticazione dell’accesso alla rete che può anche essere utilizzato per la gestione delle chiavi di protezione del traffico di rete. Il suo utilizzo non è limitato alle reti senza fili, bensì è implementata in numerosi switch di fascia alta della rete LAN cablata.
Il protocollo 802.1X richiede la presenza dell’utente di rete, di un dispositivo di accesso alla rete (o gateway) come un punto di accesso senza fili e un servizio di autenticazione e autorizzazione costituito da un server RADIUS (Remote Authentication Dial-In User Service). Il server RADIUS gestisce il processo di autenticazione delle credenziali dell’utente e di autorizzazione dell’accesso alla WLAN.
Lo standard 1X si basa su un protocollo IETF denominato EAP (Extensible Authentication Protocol) per gestire lo scambio di dati di autenticazione tra il client e il server RADIUS (inoltrati dal punto di accesso). EAP è un protocollo generico per l’autenticazione che supporta numerosi metodi di autenticazione, con password, certificati digitali o altri tipi di credenziali.
Poiché il protocollo EAP può essere inserito in un metodo di autenticazione, non esiste un tipo standard di autenticazione EAP da utilizzare. I metodi EAP applicabili ai diversi contesti possono essere vari, con tipi di credenziali e protocolli di autenticazione differenti.
Quando RADIUS viene implementato, un punto di accesso senza fili impedisce l’inoltro del traffico dei dati a una rete cablata o a un altro client senza fili senza una chiave di autenticazione valida. Di seguito è riportato il processo per l’ottenimento di una chiave di autenticazione valida:
Per risolvere i problemi dettati dalle debolezze del protocollo WEP, l’istituto IEEE sta sviluppando un nuovo standard di protezione WLAN denominato 802.11i, anche noto come RSN (Robust Security Network). La Wi-Fi Alliance, consorzio di fornitori Wi-Fi leader nel settore, ha utilizzato una prima versione della protezione 802.11i per pubblicare uno standard denominato WPA (Wi-Fi Protected Access).
La protezione WPA include un ampio sottoinsieme delle funzioni presenti in 802.11i. In questo modo la Wi-Fi Alliance è riuscita imporre la conformità a questo standard per tutte le apparecchiature che portano il logo Wi-Fi e ha consentito ai fornitori di hardware di rete Wi-Fi di offrire un’opzione di protezione avanzata di serie prima del rilascio di 802.11i. Esso raggruppa un insieme di funzioni di protezione considerate, tra le tecniche attualmente disponibili, le più affidabili per la protezione di reti WLAN.
Lo standard WPA prevede due modalità: una basata su 802.1X e sull’autenticazione RADIUS (definita semplicemente WPA) e uno schema più semplice per gli ambienti SOHO che si avvale di una chiave già condivisa (definito WPA PSK). WPA combina un sistema di crittografia avanzata con il meccanismo di autenticazione e autorizzazione affidabile di 802.1X.
Tuttavia, poiché WPA utilizza algoritmi di crittografia simili a quelli utilizzati da WEP, può essere implementato in componenti hardware esistenti con un semplice aggiornamento del firmware.
La modalità PSK di WPA consente inoltre alle piccole organizzazioni e ai privati di utilizzare una rete WLAN a chiave condivisa senza incorrere nelle vulnerabilità del WEP statico (ammesso che la chiave già condivisa in uso sia sufficientemente complessa da impedire attacchi di individuazione della password). Analogamente alla protezione WPA su base RADIUS e al WEP dinamico, vengono generate singole chiavi di crittografia per ogni client senza fili. La chiave già condivisa viene utilizzata come credenziale di autenticazione; quindi, se si dispone della chiave, si è autorizzati a utilizzare la rete WLAN e a ricevere una chiave di crittografia univoca per proteggere i dati.
Questa figura mostra il livello più semplice di configurazione in cui i server IAS, i punti di accesso e gli altri elementi della rete interna sono connessi alla stessa LAN. Nelle installazioni più estese, la rete solitamente è suddivisa in più LAN virtuali LAN (VLAN) connesse tramite router o commutazione di livello.
Per l’autenticazione di reti WLAN basata su password, Microsoft supporta l’utilizzo di PEAP (Protected Extensible Authentication Protocol) con MS-CHAP v2. Nella figura sotto riportata è illustrato il funzionamento dell’autenticazione 802.1X con PEAP e MS-CHAP v2.
Nella procedura seguente vengono descritte le modalità con cui il client effettua una richiesta, ottenendo l’accesso alla rete WLAN e quindi alla rete interna. Il numero dei passaggi corrisponde ai numeri indicati nella figura 2:
Passo 1: se il computer client è compreso nell’intervallo del punto di accesso senza fili, tenta di connettersi alla rete WLAN attiva su tale punto di accesso e individuata in base al relativo identificatore del set di servizi (SSID). Il SSID rappresenta il nome della rete WLAN e viene utilizzato dal client per identificare le impostazioni corrette e il tipo di credenziali appropriato per questa rete.
Passo 2: Il punto di accesso senza fili viene configurato in modo da consentire solo connessioni protette con l’autenticazione 802.1X. Quando il client tenta di connettersi al punto di accesso senza fili, quest’ultimo invia una richiesta al client, quindi imposta un canale con restrizioni che consente al client di comunicare solo con il server RADIUS, bloccando l’accesso al resto della rete. Il server RADIUS accetterà una connessione solo da un punto di accesso senza fili attendibile, ovvero configurato come client RADIUS nel server IAS e in grado di fornire il segreto condiviso per tale client RADIUS.
Il client tenta di eseguire l’autenticazione nel server RADIUS tramite il canale con restrizioni utilizzando l’autenticazione 802.1X. Durante la negoziazione PEAP, il client stabilisce una sessione TLS (Transport Layer Security) con il server RADIUS. L’utilizzo di una sessione TLS durante la negoziazione PEAP è finalizzato a diversi scopi:
Il client, protetto all’interno del canale PEAP, esegue l’autenticazione nel server RADIUS tramite il protocollo MS-CHAP v2 EAP. Durante questo scambio, il traffico all’interno del tunnel TLS è visibile solo al client e al server RADIUS e non viene mai esposto al punto di accesso senza fili.
Continuiamo con la descrizione del processo di autenticazione 802.1X PEAP così come rappresentato nella figura 2.
Passo 3: il server RADIUS controlla le credenziali del client in base alla directory. Se il client viene autenticato, il server RADIUS raccoglie le informazioni che gli consentono di decidere se autorizzare o meno il client a utilizzare la rete WLAN. Il server utilizza le informazioni della directory (ad esempio, l’appartenenza ai gruppi) e le limitazioni definite nel relativo criterio di accesso (ad esempio, l’orario in cui è consentito l’accesso alla rete WLAN) per consentire o negare l’accesso al client. Il server RADIUS inoltra tale decisione al punto di accesso.
Se è stato consentito l’accesso al client, il server RADIUS trasmette la chiave principale del client al punto di accesso senza fili. A questo punto, il client e il punto di accesso condividono i dati della chiave comune, che possono utilizzare per crittografare e decrittografare il traffico WLAN che si scambiano.
Se si utilizza il WEP dinamico per crittografare il traffico, le chiavi principali vengono utilizzate direttamente come chiavi di crittografia. È necessario modificare periodicamente tali chiavi per impedire attacchi di recupero delle chiavi WEP. Questa operazione viene eseguita dal server RADIUS forzando regolarmente il client a eseguire una nuova autenticazione e a generare un nuovo set di chiavi.
Se le comunicazioni vengono protette tramite WPA, i dati della chiave principale vengono utilizzati per ricavare le chiavi di crittografia dei dati, che vengono modificate per ogni pacchetto trasmesso. Per garantire la protezione delle chiavi, non è necessario che WPA forzi una nuova autenticazione periodica.
Passo 4: il punto di accesso esegue quindi il bridging della connessione WLAN client alla rete LAN interna, consentendo al client di comunicare liberamente con i sistemi della rete interna. A questo punto, il traffico inviato tra il client e il punto di accesso viene crittografato.
Passo 5: Se è necessario un indirizzo IP per il client, quest’ultimo può richiedere un lease DHCP (Dynamic Host Configuration Protocol) a un server della rete LAN. Dopo l’assegnazione dell’indirizzo IP, il client può iniziare a comunicare normalmente con i sistemi presenti sul resto della rete.
In una infrastruttura basata sul sistema di autenticazione 802.1x Peap (Protected Extensible authentication protocol), sarà quindi necessario implementare in rete un Server Dns, Dhcp, un Domain Controller (si prevedere l’installazione di Active Directory) ed un server CA (autorità di certificazione per il rilascio di certificati).
Prima di iniziare, è necessario verificare che nei computer client siano installati tutti gli aggiornamenti e le patch importanti. Per automatizzare l’invio delle impostazioni dei client WLAN, è possibile utilizzare i criteri di gruppo Active Directory. L’Editor criteri di gruppo di Windows Server 2003 include un insieme di impostazioni denominate Criteri di rete senza fili che consentono di configurare le impostazioni dei client speciche per le reti WLAN.
Per poter ricevere le impostazioni dei client WLAN, si presume che i computer client siano stati aggiunti al dominio e siano in grado di connettersi a una rete LAN senza fili. È possibile creare gli oggetti Criteri di gruppo mediante l’utilizzo della console GPMC (Group Policy Management Console) oppure di Utenti e computer di Active Directory.
Ecco come è possibile creare un oggetto Criteri di gruppo per client WLAN attraverso la Console Gestione Criteri di gruppo (GPMC).
Aprire la GPMC e selezionare l’oggetto del dominio in fase di configurazione. Fare clic con il pulsante destro del mouse sul dominio e scegliere Crea GPO e inserisci collegamento. Nota: l’oggetto Criteri di gruppo viene collegato a livello di dominio, pertanto le impostazioni saranno disponibili in tutti i computer del dominio. Se si preferisce, è possibile restringere l’ambito dell’oggetto Criteri di gruppo collegandolo a un’unità organizzativa di livello inferiore.
Quando viene richiesto il nome, digitare Impostazioni client WLAN. Nel riquadro di destra fare doppio clic sull’oggetto Criteri di gruppo Impostazioni client WLAN appena creato. Nel riquadro di destra verranno visualizzate le proprietà dell’oggetto Criteri di gruppo.
A questo punto fare clic sulla scheda Ambito. Nell’elenco Security Filtering selezionare Utenti Autenticati ed eliminarlo mediante il pulsante Elimina. Scegliere Aggiungi… per aggiungere un gruppo diverso. Immettere (o cercare) Impostazioni computer LAN senza fili.
Il gruppo Impostazioni computer LAN senza fili in realtà appartiene al gruppo Computer di dominio. Computer di dominio è un membro di Computer LAN senza fili che è a sua volta membro del gruppo Impostazioni computer LAN senza fili. L’oggetto Criteri di gruppo a livello di dominio consente a tutti i computer del dominio di ricevere le impostazioni dei client WLAN. Se si desidera restringere le impostazioni a un sottoinsieme più piccolo, rimuovere i computer di dominio dall’appartenenza al gruppo Computer LAN senza fili.
Per comodità, forniamo i successivi passaggi in elenco.
Ora vediamo come si può creare un oggetto Criteri di gruppo mediante l’utilizzo di Utenti e computer di Active Directory
In questo articolo abbiamo analizzato i pro e contro di un sistema di comunicazione wireless, compreso i rischi che si corrono e quali possono essere le contromisure per ridurre il volume di vulnerabilità alle quali questo tipo di tecnologia è soggetta. La soluzione di sicurezza è affidata comunque alle persone, quindi, qualsiasi prodotto sarà del tutto inutile se non si hanno delle buone politiche di amministrazione e condotta da parte degli utilizzatori della tecnologia.
Se vuoi aggiornamenti su Il Sistema di autenticazione 802.1x inserisci la tua email nel box qui sotto:
Compilando il presente form acconsento a ricevere le informazioni relative ai servizi di cui alla presente pagina ai sensi dell'informativa sulla privacy.
La tua iscrizione è andata a buon fine. Se vuoi ricevere informazioni personalizzate compila anche i seguenti campi opzionali:
Compilando il presente form acconsento a ricevere le informazioni relative ai servizi di cui alla presente pagina ai sensi dell'informativa sulla privacy.
Innovazione, WebSocket e SPDY, il protocollo di Google che sostituirà HTTP
Tutti i linguaggi per diventare uno sviluppatore di app per Android.
Come creare applicazioni per il Web con PHP e MySQL per il DBMS.
Tutte le principali tecnologie per diventare uno sviluppatore mobile per iOS.
I fondamentali per lo sviluppo di applicazioni multi piattaforma con Java.
Diventare degli esperti in tema di sicurezza delle applicazioni Java.
Usare Raspberry Pi e Arduino per avvicinarsi al mondo dei Maker e dell’IoT.
Le principali guide di HTML.it per diventare un esperto dei database NoSQL.
Ecco come i professionisti creano applicazioni per il Cloud con PHP.
Lo sviluppo professionale di applicazioni in PHP alla portata di tutti.
Come sviluppare applicazioni Web dinamiche con PHP e JavaScript.
Fare gli e-commerce developer con Magento, Prestashop e WooCommerce.
Realizzare applicazioni per il Web utilizzando i framework PHP.
Creare applicazioni PHP e gestire l’ambiente di sviluppo come un pro.
Percorso base per avvicinarsi al web design con un occhio al mobile.
Realizzare siti Web e Web application con WordPress a livello professionale.
Il riconoscimento facciale non è mai stato così semplice! Realizzeremo infatti un semplice script Python che lo implementa in sole 10 linee di codice.
I principi ispiratori del “linguaggio di design” utilizzato da Microsoft per i nuovi sistemi operativi, desktop e mobile
Come fare in modo che il visitatore si trasformi in cliente
Jelastic Cloud è un servizio PaaS (Platform as a Service) offerto da Aruba, e destinato a tutte le aziende e gli sviluppatori interessati al deploy di applicazioni complesse direttamente su un’infrastruttura potente e rodata in Cloud. In questa guida scopriremo le tecnologie supportate (WordPress, Magento, Docker, Kubernetes, PHP, Java, Node.js) e come sfruttarle per un deploy di applicazioni e CMS.