Il Sistema di autenticazione 802.1x

Il Sistema di autenticazione 802.1x

Nell’ambito della sicurezza del Wireless, la protezione WEP statica, oggi molto utilizzata da privati ed aziende, si basa si un semplice segreto condiviso (password o chiave) per l’autenticazione nella WLAN. Chiunque disponga di questa chiave segreta può accedere alla WLAN. Lo standard WEP non prevedere un metodo per l’automazione dell’aggiornamento o della distribuzione di tali chiavi, quindi è estremamente difficile modificarle periodicamente.

Un utente malintenzionato può sfruttare imperfezioni crittografiche in WEP per individuare le chiavi WEP statiche mediante strumenti elementari.

Per garantire un metodo più affidabile di autenticazione e autorizzazione, Microsoft e alcuni altri fornitori hanno proposto una struttura di protezione WLAN basata sul protocollo 802.1X. 802.1X è uno standard IEEE per l’autenticazione dell’accesso alla rete che può anche essere utilizzato per la gestione delle chiavi di protezione del traffico di rete. Il suo utilizzo non è limitato alle reti senza fili, bensì è implementata in numerosi switch di fascia alta della rete LAN cablata.

Il protocollo 802.1X richiede la presenza dell’utente di rete, di un dispositivo di accesso alla rete (o gateway) come un punto di accesso senza fili e un servizio di autenticazione e autorizzazione costituito da un server RADIUS (Remote Authentication Dial-In User Service). Il server RADIUS gestisce il processo di autenticazione delle credenziali dell’utente e di autorizzazione dell’accesso alla WLAN.

Lo standard 1X si basa su un protocollo IETF denominato EAP (Extensible Authentication Protocol) per gestire lo scambio di dati di autenticazione tra il client e il server RADIUS (inoltrati dal punto di accesso). EAP è un protocollo generico per l’autenticazione che supporta numerosi metodi di autenticazione, con password, certificati digitali o altri tipi di credenziali.

Poiché il protocollo EAP può essere inserito in un metodo di autenticazione, non esiste un tipo standard di autenticazione EAP da utilizzare. I metodi EAP applicabili ai diversi contesti possono essere vari, con tipi di credenziali e protocolli di autenticazione differenti.

Quando RADIUS viene implementato, un punto di accesso senza fili impedisce l’inoltro del traffico dei dati a una rete cablata o a un altro client senza fili senza una chiave di autenticazione valida. Di seguito è riportato il processo per l’ottenimento di una chiave di autenticazione valida:

• Quando un client senza fili entra nel raggio di azione di un punto di accesso senza fili, il punto di accesso senza fili richiede la verifica del client.
• Il client senza fili si identifica al punto di accesso senza fili, il quale inoltra le informazioni a un server RADIUS.
• Il server RADIUS richiede le credenziali del client senza fili per verificarne l’identità. Come parte della richiesta, il server RADIUS specifica il tipo di credenziali necessarie.
• Il client senza fili invia le proprie credenziali al server RADIUS.
• Il server RADIUS verifica le credenziali del client senza fili. Se le credenziali sono valide, il server RADIUS invia una chiave di autenticazione crittografata al punto di accesso senza fili.
• Il punto di accesso senza fili utilizza la chiave di autenticazione per trasmettere in modo protetto chiavi di autenticazione di sessione unicast per stazione e multicast al client senza fili.

Per risolvere i problemi dettati dalle debolezze del protocollo WEP, l’istituto IEEE sta sviluppando un nuovo standard di protezione WLAN denominato 802.11i, anche noto come RSN (Robust Security Network). La Wi-Fi Alliance, consorzio di fornitori Wi-Fi leader nel settore, ha utilizzato una prima versione della protezione 802.11i per pubblicare uno standard denominato WPA (Wi-Fi Protected Access).

La protezione WPA include un ampio sottoinsieme delle funzioni presenti in 802.11i. In questo modo la Wi-Fi Alliance è riuscita imporre la conformità a questo standard per tutte le apparecchiature che portano il logo Wi-Fi e ha consentito ai fornitori di hardware di rete Wi-Fi di offrire un’opzione di protezione avanzata di serie prima del rilascio di 802.11i. Esso raggruppa un insieme di funzioni di protezione considerate, tra le tecniche attualmente disponibili, le più affidabili per la protezione di reti WLAN.

Lo standard WPA prevede due modalità: una basata su 802.1X e sull’autenticazione RADIUS (definita semplicemente WPA) e uno schema più semplice per gli ambienti SOHO che si avvale di una chiave già condivisa (definito WPA PSK). WPA combina un sistema di crittografia avanzata con il meccanismo di autenticazione e autorizzazione affidabile di 802.1X.

Tuttavia, poiché WPA utilizza algoritmi di crittografia simili a quelli utilizzati da WEP, può essere implementato in componenti hardware esistenti con un semplice aggiornamento del firmware.

La modalità PSK di WPA consente inoltre alle piccole organizzazioni e ai privati di utilizzare una rete WLAN a chiave condivisa senza incorrere nelle vulnerabilità del WEP statico (ammesso che la chiave già condivisa in uso sia sufficientemente complessa da impedire attacchi di individuazione della password). Analogamente alla protezione WPA su base RADIUS e al WEP dinamico, vengono generate singole chiavi di crittografia per ogni client senza fili. La chiave già condivisa viene utilizzata come credenziale di autenticazione; quindi, se si dispone della chiave, si è autorizzati a utilizzare la rete WLAN e a ricevere una chiave di crittografia univoca per proteggere i dati.

Figura 1: semplice configurazione di rete WLAN

Questa figura mostra il livello più semplice di configurazione in cui i server IAS, i punti di accesso e gli altri elementi della rete interna sono connessi alla stessa LAN. Nelle installazioni più estese, la rete solitamente è suddivisa in più LAN virtuali LAN (VLAN) connesse tramite router o commutazione di livello.

Implementazione di un sistema di autenticazione 802.1x Peap

Per l’autenticazione di reti WLAN basata su password, Microsoft supporta l’utilizzo di PEAP (Protected Extensible Authentication Protocol) con MS-CHAP v2. Nella figura sotto riportata è illustrato il funzionamento dell’autenticazione 802.1X con PEAP e MS-CHAP v2.

Figura 2: autenticazione 802.1X e PEAP

Nella procedura seguente vengono descritte le modalità con cui il client effettua una richiesta, ottenendo l’accesso alla rete WLAN e quindi alla rete interna. Il numero dei passaggi corrisponde ai numeri indicati nella figura 2:

Passo 1: se il computer client è compreso nell’intervallo del punto di accesso senza fili, tenta di connettersi alla rete WLAN attiva su tale punto di accesso e individuata in base al relativo identificatore del set di servizi (SSID). Il SSID rappresenta il nome della rete WLAN e viene utilizzato dal client per identificare le impostazioni corrette e il tipo di credenziali appropriato per questa rete.

Passo 2: Il punto di accesso senza fili viene configurato in modo da consentire solo connessioni protette con l’autenticazione 802.1X. Quando il client tenta di connettersi al punto di accesso senza fili, quest’ultimo invia una richiesta al client, quindi imposta un canale con restrizioni che consente al client di comunicare solo con il server RADIUS, bloccando l’accesso al resto della rete. Il server RADIUS accetterà una connessione solo da un punto di accesso senza fili attendibile, ovvero configurato come client RADIUS nel server IAS e in grado di fornire il segreto condiviso per tale client RADIUS.

Il client tenta di eseguire l’autenticazione nel server RADIUS tramite il canale con restrizioni utilizzando l’autenticazione 802.1X. Durante la negoziazione PEAP, il client stabilisce una sessione TLS (Transport Layer Security) con il server RADIUS. L’utilizzo di una sessione TLS durante la negoziazione PEAP è finalizzato a diversi scopi:

• Consente al client di eseguire l’autenticazione del server RADIUS; pertanto il client stabilirà la sessione esclusivamente con un server in possesso di un certificato ritenuto attendibile dal client stesso.
• Protegge il protocollo di autenticazione MS-CHAP v2 dall’analisi del pacchetto.
• La negoziazione della sessione TLS genera una chiave che può essere utilizzata dal client e dal server RADIUS per stabilire chiavi principali comuni, le quali consentono di ricavare le chiavi utilizzate per la crittografia del traffico di rete WLAN.

Il client, protetto all’interno del canale PEAP, esegue l’autenticazione nel server RADIUS tramite il protocollo MS-CHAP v2 EAP. Durante questo scambio, il traffico all’interno del tunnel TLS è visibile solo al client e al server RADIUS e non viene mai esposto al punto di accesso senza fili.

Continuiamo con la descrizione del processo di autenticazione 802.1X PEAP così come rappresentato nella figura 2.

Passo 3: il server RADIUS controlla le credenziali del client in base alla directory. Se il client viene autenticato, il server RADIUS raccoglie le informazioni che gli consentono di decidere se autorizzare o meno il client a utilizzare la rete WLAN. Il server utilizza le informazioni della directory (ad esempio, l’appartenenza ai gruppi) e le limitazioni definite nel relativo criterio di accesso (ad esempio, l’orario in cui è consentito l’accesso alla rete WLAN) per consentire o negare l’accesso al client. Il server RADIUS inoltra tale decisione al punto di accesso.

Se è stato consentito l’accesso al client, il server RADIUS trasmette la chiave principale del client al punto di accesso senza fili. A questo punto, il client e il punto di accesso condividono i dati della chiave comune, che possono utilizzare per crittografare e decrittografare il traffico WLAN che si scambiano.

Se si utilizza il WEP dinamico per crittografare il traffico, le chiavi principali vengono utilizzate direttamente come chiavi di crittografia. È necessario modificare periodicamente tali chiavi per impedire attacchi di recupero delle chiavi WEP. Questa operazione viene eseguita dal server RADIUS forzando regolarmente il client a eseguire una nuova autenticazione e a generare un nuovo set di chiavi.

Se le comunicazioni vengono protette tramite WPA, i dati della chiave principale vengono utilizzati per ricavare le chiavi di crittografia dei dati, che vengono modificate per ogni pacchetto trasmesso. Per garantire la protezione delle chiavi, non è necessario che WPA forzi una nuova autenticazione periodica.

Passo 4: il punto di accesso esegue quindi il bridging della connessione WLAN client alla rete LAN interna, consentendo al client di comunicare liberamente con i sistemi della rete interna. A questo punto, il traffico inviato tra il client e il punto di accesso viene crittografato.

Passo 5: Se è necessario un indirizzo IP per il client, quest’ultimo può richiedere un lease DHCP (Dynamic Host Configuration Protocol) a un server della rete LAN. Dopo l’assegnazione dell’indirizzo IP, il client può iniziare a comunicare normalmente con i sistemi presenti sul resto della rete.

In una infrastruttura basata sul sistema di autenticazione 802.1x Peap (Protected Extensible authentication protocol), sarà quindi necessario implementare in rete un Server Dns, Dhcp, un Domain Controller (si prevedere l’installazione di Active Directory) ed un server CA (autorità di certificazione per il rilascio di certificati).

Prima di iniziare, è necessario verificare che nei computer client siano installati tutti gli aggiornamenti e le patch importanti. Per automatizzare l’invio delle impostazioni dei client WLAN, è possibile utilizzare i criteri di gruppo Active Directory. L’Editor criteri di gruppo di Windows Server 2003 include un insieme di impostazioni denominate Criteri di rete senza fili che consentono di configurare le impostazioni dei client speciche per le reti WLAN.

Per poter ricevere le impostazioni dei client WLAN, si presume che i computer client siano stati aggiunti al dominio e siano in grado di connettersi a una rete LAN senza fili. È possibile creare gli oggetti Criteri di gruppo mediante l’utilizzo della console GPMC (Group Policy Management Console) oppure di Utenti e computer di Active Directory.

Ecco come è possibile creare un oggetto Criteri di gruppo per client WLAN attraverso la Console Gestione Criteri di gruppo (GPMC).

Aprire la GPMC e selezionare l’oggetto del dominio in fase di configurazione. Fare clic con il pulsante destro del mouse sul dominio e scegliere Crea GPO e inserisci collegamento. Nota: l’oggetto Criteri di gruppo viene collegato a livello di dominio, pertanto le impostazioni saranno disponibili in tutti i computer del dominio. Se si preferisce, è possibile restringere l’ambito dell’oggetto Criteri di gruppo collegandolo a un’unità organizzativa di livello inferiore.

Quando viene richiesto il nome, digitare Impostazioni client WLAN. Nel riquadro di destra fare doppio clic sull’oggetto Criteri di gruppo Impostazioni client WLAN appena creato. Nel riquadro di destra verranno visualizzate le proprietà dell’oggetto Criteri di gruppo.

A questo punto fare clic sulla scheda Ambito. Nell’elenco Security Filtering selezionare Utenti Autenticati ed eliminarlo mediante il pulsante Elimina. Scegliere Aggiungi… per aggiungere un gruppo diverso. Immettere (o cercare) Impostazioni computer LAN senza fili.

Il gruppo Impostazioni computer LAN senza fili in realtà appartiene al gruppo Computer di dominio. Computer di dominio è un membro di Computer LAN senza fili che è a sua volta membro del gruppo Impostazioni computer LAN senza fili. L’oggetto Criteri di gruppo a livello di dominio consente a tutti i computer del dominio di ricevere le impostazioni dei client WLAN. Se si desidera restringere le impostazioni a un sottoinsieme più piccolo, rimuovere i computer di dominio dall’appartenenza al gruppo Computer LAN senza fili.

Per comodità, forniamo i successivi passaggi in elenco.

1. Fare clic sulla scheda Dettagli e selezionare Impostazioni configurazione utente disattivata dall’elenco a discesa Group Policies Status. Scegliere OK per confermare.
2. Fare clic con il pulsante destro del mouse sull’oggetto Criteri di gruppo nel riquadro di sinistra e scegliere Modifica… per modificare le impostazioni dell’oggetto Criteri di gruppo.
3. All’apertura dell’Editor oggetti Criteri di gruppo, seguire il percorso Configurazione computer / Impostazioni di Windows / Impostazioni protezione / Criteri di rete senza fili (IEEE 802.11).
4. Selezionare l’oggetto Criteri di rete senza fili (IEEE 802.11) dal riquadro di spostamento, quindi scegliere Crea criterio rete senza fili dal menu Azione.
5. Utilizzare la procedura guidata per assegnare al criterio un nome come Impostazioni client WLAN per Windows XP (PEAP-WEP). Lasciare selezionata la casella di controllo Modifica proprietà, quindi scegliere Fine per chiudere la procedura guidata.
6. Fare clic sulla scheda Reti preferite, quindi scegliere Aggiungi… per aggiungere una nuova rete.
7. Nel campo Nome di rete (SSID) immettere il nome della rete senza fili.
8. Nel campo Descrizione immettere una descrizione della rete. Nota: se è già disponibile una rete WLAN e la si intende utilizzare insieme alla rete WLAN basata su 802.1X di questa soluzione, sarà necessario ricorrere a un SSID differente per la nuova rete WLAN.
9. Fare clic sulla scheda IEEE 802.1x e selezionare PEAP (Protected EAP) dall’elenco a discesa Tipo EAP.
10. Fare clic su Impostazioni per modificare le impostazioni PEAP. Dall’elenco Autorità di certificazione principale attendibili selezionare il certificato CA principale per la CA installata come descritto poco sopra Creazione dell’autorità di certificazione della rete.
11. Selezionare Password protetta (EAP-MSCHAP v2) in Selezionare il metodo di autenticazione, quindi l’opzione Abilita riconnessione rapida.
12. Chiudere tutte le finestre delle proprietà scegliendo OK.
13. Chiudere l’Editor oggetti Criteri di gruppo e la GPMC.

Ora vediamo come si può creare un oggetto Criteri di gruppo mediante l’utilizzo di Utenti e computer di Active Directory

1. Aprire Utenti e computer di Active Directory e selezionare l’oggetto di dominio.
2. Fare clic con il pulsante destro del mouse sull’oggetto di dominio e selezionare Proprietà.
3. Fare clic sulla scheda Criteri di gruppo, quindi scegliere il pulsante Nuovo…
4. Immettere Impostazioni client WLAN per il nome dell’oggetto Criteri di gruppo.
5. Scegliere il pulsante Proprietà, quindi fare clic sulla scheda Protezione.
6. Selezionare Utenti Autenticati dall’elenco Utenti e gruppi, quindi scegliere il pulsante Elimina.
7. Scegliere Aggiungi… e immettere (o cercare) Impostazioni computer LAN senza fili. Selezionare OK.
8. Con il nome del gruppo Impostazioni computer LAN senza fili evidenziato nell’elenco Utenti e gruppi, selezionare le autorizzazioni Lettura e Applica criteri di gruppo nella colonna Consenti dell’elenco Autorizzazioni.
9. Fare clic sulla scheda Generale e selezionare Disattiva impostazioni configurazione utente. Scegliere Sì in tutti i messaggi di avviso.
10. Scegliere OK per applicare le modifiche e chiudere la finestra delle proprietà dell’oggetto Criteri di gruppo.
11. Scegliere il pulsante Modifica per modificare il criterio e seguire il percorso Configurazione computer / Impostazioni di Windows / Impostazioni protezione / Criteri di rete senza fili (IEEE 802.11).
12. Ripetere i passaggi da 4 a 13 della procedura precedente.

Conclusioni

In questo articolo abbiamo analizzato i pro e contro di un sistema di comunicazione wireless, compreso i rischi che si corrono e quali possono essere le contromisure per ridurre il volume di vulnerabilità alle quali questo tipo di tecnologia è soggetta. La soluzione di sicurezza è affidata comunque alle persone, quindi, qualsiasi prodotto sarà del tutto inutile se non si hanno delle buone politiche di amministrazione e condotta da parte degli utilizzatori della tecnologia.