Wi-Fi come e quando
(Nessun voto)
Loading ...
Il Wi-Fi messo in mostra come nessuno mai, le sue caratteristiche, le sue capacità e le sue forme descritte in un unico articolo alla portata di tutti...
Indipendentemente da chi sia di volta in volta a pronunciarsi, è indiscutibile che il tema del Wi-Fi è stato ed è tuttora uno dei più dibattuti. Quasi sempre la questione principale su cui ci si confronta su questo argomento è relativa ai livelli di sicurezza della tecnologia, degli apparati o degli standard, e ciò che varia è l’inclinazione delle opinioni a seconda di chi le esprime. Normalmente più ottimisti i Vendor, più titubanti e conservativi gli utilizzatori. Tuttavia, nonostante tutto l’inchiostro e tutti i convegni già spesi sulla sicurezza del Wi-Fi, c’è probabilmente ancora spazio per qualche ulteriore riflessione nel tentativo di mettere questo argomento in una prospettiva forse meno semplicistica del solito, che probabilmente sfaterà qualche mito e, sperabilmente, fornirà qualche spunto per comprendere meglio quali effettivamente siano le problematiche relative all’utilizzo delle tecnologie Wi-Fi, ma anche le relative best practice.
Sul piano tecnologico il Wi-Fi va certamente considerato come un’ulteriore evoluzione dell’affermata tecnologia Ethernet per il trasporto di dati voce e video, in perfetto connubio con l’Internet Protocol (IP). Un Wireless Ethernet insomma che si aggiunge agli altri tasselli di questa evoluzione -quali l’Ethernet 10/100, il Gigabit Ethernet, il Long Reach Ethernet- come estensione delle modalità di accesso alle reti: attraverso onde radio anziché, o meglio, a complemento degli accessi cablati. Da un punto di vista tecnologico è quindi opportuno considerare il Wi-Fi non tanto come un argomento a sé stante, bensì nella più ampia prospettiva dell’evoluzione dell’internetworking e quindi come ulteriore elemento che entra a far parte di una infrastruttura di rete, arricchendola di nuove funzionalità e servizi.
L e caratteristiche funzionali, i livelli di prestazione e la relativa semplicità offerte dalle soluzioni WLAN (Wireless LAN) sono poi alla base, non solo della loro progressiva e rapida diffusione, ma anche dei significativi cambiamenti nel modo di lavorare, e di passare parte del nostro tempo libero. Per quanto riguarda l’impiego in ambito professionale, semplificando e rendendo più pervasivo l’accesso alle reti e alle risorse aziendali condivise, il Wi-Fi fornisce un contributo determinante alla mobilità, al miglioramento della struttura dei costi e dei livelli di produttività individuale degli utenti.
La SICUREZZA nel Wi-Fi
Le famigerate problematiche di Sicurezza possono essere riassunte in due questioni fondamentali:
• la riservatezza delle connessioni , vista la possibilità che chiunque nel raggio di copertura possa ricevere le onde radio e intercettare i pacchetti trasmessi;
• l’autenticazione delle connessioni , visto che, mancando un collegamento fisico, chiunque si trovi nella zona di copertura può tentare di attivare un collegamento.
Certamente il peso relativo di queste due componenti varia in base al contesto di utilizzo che si fa della tecnologia Wi-Fi e (sfortunatamente) non esiste un’unica regola d’oro da applicare.
Al contrario, ciò che va certamente seguito è il principio generale del mantenimento del controllo, evitando installazioni non autorizzate e attivando i meccanismi di sicurezza adeguati ai livelli di rischio connessi all’utilizzo che se ne farà. Per comprendere come da questo principio possano discendere scelte anche molto differenziate, basti pensare ad applicazioni assai diverse tra loro come ad esempio l’impiego del Wi-Fi in ambito medicale/ospedaliero per l’accesso in corsia ai dati di cartella clinica dei pazienti, piuttosto che l’utilizzo domestico per la consultazione delle previsioni del tempo o la prenotazione dei posti al cinema, o ancora l’aggiornamento in tempo reale dei dati di magazzino in un ambito di automazione della logistica.
Passando quindi ad esaminare più da vicino la tecnologia, è forse opportuno soffermarsi sui fattori che costituiscono la sicurezza della reti wireless, contestualizzando queste considerazioni a 802.11.
802.11 La sicurezza dell’802.11 gravita dunque attorno ad autenticazione e cifratura. Entrambe le implementazioni possono essere compromesse con estrema facilità e con software liberamente disponibile sulla rete In Wireless, associarsi all’accesspoint è la scelta dell’accesspoint con in quale collegarsi, con un certo grado di superficialità si può pensare che sia l’equivalente di collegare il cavo dal PC allo switch nelle reti tradizionali. L’ autenticazione in un sistema Wi-Fi si basa su due modelli, quello di open authentication e quello di shared key. Nel primo qualunque client può associarsi ad un access point, con l’unica discriminante del SSID (Service Set Identifier), che non deve comunque essere scambiato per un accorgimento di sicurezza in quanto viaggia in chiaro.
Wep
La chiave WEP dev’essere - si è detto - condivisa fra accesspoint e dispositivi che vi si collegano, tuttavia lo standard 802.11 non prevede nessun metodo di distribuzione della chiave stessa. La distribuzione manuale comporta svariati problemi. Su numeri elevati di dispositivi l’amministratore deve farsi carico manualmente di inserire la chiave. In caso di perdita o furto di uno dei dispositivi, a garanzia degli altri la chiave dev’essere cambiata su tutti; oltretutto il fatto che un amministratore sia in grado di stabilire che si è reso necessario un rekeying su tutte le macchine poiché una di esse è in mano ad estranei, dipende dalla buona volontà degli utenti di denunciare tempestivamente l’accaduto. Si è anche già fatto riferimento al fatto che esistono strumenti liberamente disponibili in rete per decifrare le chiavi di cifratura; questo comporta che, al momento in cui una chiave sia (facilmente, si è visto) compromessa, nulla è dato sapere all’amministratore di sistema circa la compromissione che impatta l’intera infrastruttura wireless.
Ulteriori considerazioni
Ulteriori considerazioni sulla sicurezza che è opportuno fare, sono poi quelle riguardanti le interferenze . Altri apparecchi radio e non, come ad esempio i forni a microonde, possono trasmettere su frequenze simili e causare interferenze agli apparati Wi-Fi, rischiando di causare interruzioni del servizio. Anche i cosiddetti rogue access point (ovvero quegli accesspoint cioè che grazie alla economicità e facilità di installazione vengono utilizzati ad insaputa degli amministratori di rete da dipendenti dell’azienda che si danno da soli la libertà di movimento), pongono un serio problema: una implementazione di questo tipo, totalmente lasciata al singolo individuo non solo non dà alcuna garanzia di sicurezza (molto dibattuto è anche l’argomento dei defaults di installazione, che privilegiano l’immediatezza della installazione a scapito della sicurezza), ma rischia addirittura di creare una falla nella policy di sicurezza aziendale abbassandone drasticamente il livello. Queste ultime due considerazioni piuttosto che a tecnologiche, afferiscono all’ambito organizzativo: è infatti molto importante che una policy di sicurezza stabilisca appositi ambienti dove la copertura wireless è garantita, dove è proibita, e quali devono essere gli standard minimi di sicurezza che debbano essere utilizzati in ambito wireless. Sintetizzando, si può affermare che per un utilizzo aziendale il livello di sicurezza offerto dagli attuali standard wireless, non è sufficiente. Si rendono quindi necessarie delle estensioni allo standard a garanzia della sicurezza, a questo hanno ovviamente pensato molti, se non tutti, dei vendor di hardware per le WLAN. Si è pensato ad esempio di sfruttare il framework di autenticazione delle VPN IPSec; all’Extensible Authentication Protocol (EAP) utilizzato in congiunzione ad 802.1x, che permette di fare una autenticazione a livello 3 sfruttando framework di autenticazione più sofisticati e preesistenti come RADIUS, Dominio NT, Active Directory, LDAP, utilizzando sia password statiche che password di sessione (OTP), o certificati digitali; altri vendor hanno soluzioni specifiche che con l’utilizzo di appositi client implementano protocolli di cifratura più robusti come l’AES, o garantiscono una autenticazione più sofisticata rispetto agli standard; altre soluzioni prendono poi in considerazione il puro e semplice utilizzo di SSL, IPSec sfruttando i client già integrati nei sistemi operativi o in alcuni applicativi; in fondo il tunneling cifrato assolve esattamente al compito di attraversare in sicurezza una rete che non si ritiene sicura. Questa via, già intrapresa dai vendor, però risolve il problema solo in modo parziale, essendo percorribile solo fintanto che si resti in ambienti basati su tecnologia di un singolo vendor, non essendo l’interoperabilità ovviamente garantita al di fuori di questo ambito. Paradossalmente possiamo forse dire che le estensioni proprietarie introducono un ulteriore livello di complessità e disomogeneità; e sicurezza e complessità sono un ossimoro.
Cosa fare!?!?
Quali sono, a questo punto, le vie realmente percorribili per chi desidera da una wireless LAN un livello di sicurezza adeguato? Estensioni proprietarie e VPN, quindi sostanzialmente due. O tre, forse. Il consorzio wi-fi ( http://wi-fi.org ) è un organismo indipendente che si fa carico di verificare l’interoperabilità di apparati fra diversi vendor, ed il risultato è molto semplice: la presenza del bollino wi-fi equivale ad “interoperabilità testata e garantita”.
WPA
Al momento in cui l’articolo è scritto questo standard è ancora in fase di sviluppo, e nell’attesa - per cercare una soluzione a breve scadenza - alcuni dei partecipanti al consorzio wi-fi hanno deciso, assieme a membri del gruppo di lavoro IEEE 802.11i, di sviluppare appunto il Wi-fi Protected Access. Il WPA incorpora dunque alcune significative tecnologie volte a migliorare il livello di sicurezza delle reti wireless, tra cui: • Gestione dell’autenticazione con l’utilizzo di EAP/802.1x , che apre nuovi orizzonti all’autenticazione dei dispositivi e degli utenti, grazie all’apertura verso sistemi di autenticazione già consolidati (come RADIUS, per dirne uno) • Temporary Key Integrity Protocol (TKIP), grazie al quale è possibile che il WEP processi la cifratura con una chiave dinamica, che essendo tale annulla quindi il rischio che un attaccante possa campionare un numero di pacchetti sufficienti e quindi risalire alla chiave se questa è statica per tutte le sessioni e per l’intera loro durata. • Message Integrity Check (MIC), sostanziale miglioria a garanzia dell’integrità dei pacchetti. Una fondamentale caratteristica del WPA è che, salvo casi particolari, è possibile implementarlo sull’equipaggiamento già esistente, mediante un semplice aggiornamento del software.
( ( Tipi di WLAN ) )
Al contrario, ciò che va certamente seguito è il principio generale del mantenimento del controllo, evitando installazioni non autorizzate e attivando i meccanismi di sicurezza adeguati ai livelli di rischio connessi all’utilizzo che se ne farà. Per comprendere come da questo principio possano discendere scelte anche molto differenziate, basti pensare ad applicazioni assai diverse tra loro come ad esempio l’impiego del Wi-Fi in ambito medicale/ospedaliero per l’accesso in corsia ai dati di cartella clinica dei pazienti, piuttosto che l’utilizzo domestico per la consultazione delle previsioni del tempo o la prenotazione dei posti al cinema, o ancora l’aggiornamento in tempo reale dei dati di magazzino in un ambito di automazione della logistica.
Passando quindi ad esaminare più da vicino la tecnologia, è forse opportuno soffermarsi sui fattori che costituiscono la sicurezza della reti wireless, contestualizzando queste considerazioni a 802.11.
802.11 La sicurezza dell’802.11 gravita dunque attorno ad autenticazione e cifratura. Entrambe le implementazioni possono essere compromesse con estrema facilità e con software liberamente disponibile sulla rete In Wireless, associarsi all’accesspoint è la scelta dell’accesspoint con in quale collegarsi, con un certo grado di superficialità si può pensare che sia l’equivalente di collegare il cavo dal PC allo switch nelle reti tradizionali. L’ autenticazione in un sistema Wi-Fi si basa su due modelli, quello di open authentication e quello di shared key. Nel primo qualunque client può associarsi ad un access point, con l’unica discriminante del SSID (Service Set Identifier), che non deve comunque essere scambiato per un accorgimento di sicurezza in quanto viaggia in chiaro.
L’eventuale utilizzo del WEP (vedi oltre) fa sì che, successivamente alla associazione, non sia possibile l’invio/ricezione di dati se non si conosce la chiave condivisa da client ed accesspoint. Nel modello della shared key invece l’associazione all’accesspoint è già direttamente subordinata alla condivisione fra client ed accesspoint di una stessa chiave. Per associarsi il dispositivo client manda una richiesta di associazione, alla quale l’access point risponde con un challenge inviando un testo in chiaro che il client deve reinviargli cifrandolo con la chiave condivisa. Decifrando infine quanto ricevuto e ottenendo nuovamente il challenge originario l’access point è quindi in grado di stabilire con certezza che il client è effettivamente in possesso della chiave predefinita e l’associazione viene quindi permessa.
Wep
La chiave WEP dev’essere - si è detto - condivisa fra accesspoint e dispositivi che vi si collegano, tuttavia lo standard 802.11 non prevede nessun metodo di distribuzione della chiave stessa. La distribuzione manuale comporta svariati problemi. Su numeri elevati di dispositivi l’amministratore deve farsi carico manualmente di inserire la chiave. In caso di perdita o furto di uno dei dispositivi, a garanzia degli altri la chiave dev’essere cambiata su tutti; oltretutto il fatto che un amministratore sia in grado di stabilire che si è reso necessario un rekeying su tutte le macchine poiché una di esse è in mano ad estranei, dipende dalla buona volontà degli utenti di denunciare tempestivamente l’accaduto. Si è anche già fatto riferimento al fatto che esistono strumenti liberamente disponibili in rete per decifrare le chiavi di cifratura; questo comporta che, al momento in cui una chiave sia (facilmente, si è visto) compromessa, nulla è dato sapere all’amministratore di sistema circa la compromissione che impatta l’intera infrastruttura wireless.
Ulteriori considerazioni
Ulteriori considerazioni sulla sicurezza che è opportuno fare, sono poi quelle riguardanti le interferenze . Altri apparecchi radio e non, come ad esempio i forni a microonde, possono trasmettere su frequenze simili e causare interferenze agli apparati Wi-Fi, rischiando di causare interruzioni del servizio. Anche i cosiddetti rogue access point (ovvero quegli accesspoint cioè che grazie alla economicità e facilità di installazione vengono utilizzati ad insaputa degli amministratori di rete da dipendenti dell’azienda che si danno da soli la libertà di movimento), pongono un serio problema: una implementazione di questo tipo, totalmente lasciata al singolo individuo non solo non dà alcuna garanzia di sicurezza (molto dibattuto è anche l’argomento dei defaults di installazione, che privilegiano l’immediatezza della installazione a scapito della sicurezza), ma rischia addirittura di creare una falla nella policy di sicurezza aziendale abbassandone drasticamente il livello. Queste ultime due considerazioni piuttosto che a tecnologiche, afferiscono all’ambito organizzativo: è infatti molto importante che una policy di sicurezza stabilisca appositi ambienti dove la copertura wireless è garantita, dove è proibita, e quali devono essere gli standard minimi di sicurezza che debbano essere utilizzati in ambito wireless. Sintetizzando, si può affermare che per un utilizzo aziendale il livello di sicurezza offerto dagli attuali standard wireless, non è sufficiente. Si rendono quindi necessarie delle estensioni allo standard a garanzia della sicurezza, a questo hanno ovviamente pensato molti, se non tutti, dei vendor di hardware per le WLAN. Si è pensato ad esempio di sfruttare il framework di autenticazione delle VPN IPSec; all’Extensible Authentication Protocol (EAP) utilizzato in congiunzione ad 802.1x, che permette di fare una autenticazione a livello 3 sfruttando framework di autenticazione più sofisticati e preesistenti come RADIUS, Dominio NT, Active Directory, LDAP, utilizzando sia password statiche che password di sessione (OTP), o certificati digitali; altri vendor hanno soluzioni specifiche che con l’utilizzo di appositi client implementano protocolli di cifratura più robusti come l’AES, o garantiscono una autenticazione più sofisticata rispetto agli standard; altre soluzioni prendono poi in considerazione il puro e semplice utilizzo di SSL, IPSec sfruttando i client già integrati nei sistemi operativi o in alcuni applicativi; in fondo il tunneling cifrato assolve esattamente al compito di attraversare in sicurezza una rete che non si ritiene sicura. Questa via, già intrapresa dai vendor, però risolve il problema solo in modo parziale, essendo percorribile solo fintanto che si resti in ambienti basati su tecnologia di un singolo vendor, non essendo l’interoperabilità ovviamente garantita al di fuori di questo ambito. Paradossalmente possiamo forse dire che le estensioni proprietarie introducono un ulteriore livello di complessità e disomogeneità; e sicurezza e complessità sono un ossimoro.
Cosa fare!?!?
Quali sono, a questo punto, le vie realmente percorribili per chi desidera da una wireless LAN un livello di sicurezza adeguato? Estensioni proprietarie e VPN, quindi sostanzialmente due. O tre, forse. Il consorzio wi-fi ( http://wi-fi.org ) è un organismo indipendente che si fa carico di verificare l’interoperabilità di apparati fra diversi vendor, ed il risultato è molto semplice: la presenza del bollino wi-fi equivale ad “interoperabilità testata e garantita”.
WPA
Al momento in cui l’articolo è scritto questo standard è ancora in fase di sviluppo, e nell’attesa - per cercare una soluzione a breve scadenza - alcuni dei partecipanti al consorzio wi-fi hanno deciso, assieme a membri del gruppo di lavoro IEEE 802.11i, di sviluppare appunto il Wi-fi Protected Access. Il WPA incorpora dunque alcune significative tecnologie volte a migliorare il livello di sicurezza delle reti wireless, tra cui: • Gestione dell’autenticazione con l’utilizzo di EAP/802.1x , che apre nuovi orizzonti all’autenticazione dei dispositivi e degli utenti, grazie all’apertura verso sistemi di autenticazione già consolidati (come RADIUS, per dirne uno) • Temporary Key Integrity Protocol (TKIP), grazie al quale è possibile che il WEP processi la cifratura con una chiave dinamica, che essendo tale annulla quindi il rischio che un attaccante possa campionare un numero di pacchetti sufficienti e quindi risalire alla chiave se questa è statica per tutte le sessioni e per l’intera loro durata. • Message Integrity Check (MIC), sostanziale miglioria a garanzia dell’integrità dei pacchetti. Una fondamentale caratteristica del WPA è che, salvo casi particolari, è possibile implementarlo sull’equipaggiamento già esistente, mediante un semplice aggiornamento del software.
Conclusione delle considerazioni..
L ungi dal voler stabilire quale sia il metodo in assoluto migliore per innalzare il livello di sicurezza delle WLAN, in alcuni casi il WEP è sufficiente(ad esempio per un saltuario uso domestico), mentre in una situazione hot-spot la VPN IPSec a carico dell’utilizzatore è probabilmente il metodo più raccomandabile, e infine, nell’attesa del rilascio dello standard 802.11i, per un uso aziendale il WPA si presenta, tutto sommato, come un buon compromesso.( ( Tipi di WLAN ) )
 |
Ad-Hoc
Consente di effettuare una connessione tra due o più computer direttamente senza l’ausilio di un Access Point, si comporta come una rete P2P per essere un pò più chiari...e sinceramente è tra le meno utilizzate e addirittura sconosciute.
In tutti i computer è elencata nelle modalità di connessioni wireless e può essere utilizzata per connettere due computer domestici anche se è sempre preferibile un access point
|
|
Access Point
Senza dubbio la tipologia più diffusa..Ha molte varianti basti pensare che si può collegare un access poin ad un server o direttamente alla rete di internet (e lo pùo fare tramite router DSL o tramite ingresso Ethernet), a seconda dell’access poin si possono avere servizi di router e DHCP per la configurazione della proria rete...
La redazione di ScritchWorld è fornita di un ROUTER Wireless DHCP D-Link e di due Access Point D-Link.Il resto della rete è configurato tramite due switch che mettono in comunicazione i due server (Windows e Linux) con il resto dei computer Mac e Win, il tutto (garantiamo noi..) è compatibile e funzionante...
|
 |
 |
Extension Point
Se il cablaggio è il vostro problema questa è l’unica soluzione se dovete far comunicare un computer o una parte di una rete con il resto e siete impossibilitati fisicamente (edifici separati, impossibilità di effettuare dei lavori, o eccessiva distanza dalla rete principale), come è possibile immaginare così facendo si ha una diminuzione delle prestazioni rispetto ad una connessione diretta, ma è un minimo prezzo da pagare rispetto ai grandi vantaggi...
Per far ciò il procedimento è molto semplice soprattutto se si usano Access Point con la capacità pre-installata come quelli della D-Link (menzionati per l’ottima proporzione qualità prezzo), nella maggior parte dei casi e dei modelli si imposta il MAC address dei due AP in modo che i due siano identificati in modo inequivocabile.
|
|
Roaming
Questo è un argomento molto particolare della connessione Wireless e sopratutto di quella riguardante i computer...
Dato che la natura stessa del wireless è instabile, una cossessione con roaming o hand over (cioè la capacità di dare una copertura del segnale tra due acces poit continuativa senza caduta di connessione) è molto difficile se non impossibile a livelli economici in quanto proprio i portatili tendono a collegarsi all’access poin con il segnale più forte senza possibilità alcuna di decisione all’AP.
Una possibilità è quella di confondere i portatili impostando per tutti gli AP:
- Stesso canale di funzionamento
- Stesso nome di AP
- Stesso nome di SSID (nome del WLAN)
- Stessa tipologia di chiave e stessa password
Praticamente stiamo ingannando il portatile o qualsiasi altro dispositivo che vedrà sempre lo stesso Access Point anche se in sostanza nel momento di passaggio tra uno e l’altro avremo uno “scatto” anche se non percepibile dal computer con una possibile eccezione se siamo in fase di download di un file.
Un importante aggiornamento lo trovate QUI
|
 |
REFERENZE (in inglese) :
Security of the WEP Algorithm:
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
Your 802.11 Wireless Network has No Clothes:
http://www.cs.umd.edu/~waa/wireless.pdf
Weaknesses in the Key Scheduling Algorithm of RC4:
http://www.cs.umd.edu/~waa/class-pubs/rc4_ksaproc.ps
Using the Fluhrer, Mantin, and Shamir Attack to Break Wired Equivalent
Privacy (WEP):
http://www.cs.rice.edu/~astubble/wep/wep_attack.pdf
Ancora nessun commento.
15Roaming e hand over per il Wi-fi
about 1 year ago - Un commento
La IEEE ha ufficialmente reso standard il protocollo wireless 802.11r che aggiunge funzionalità di roaming al Wi-Fi, una tecnologia che permetterà agli utenti collegati ad una rete wireless il rapido passaggio da un access point ad un altro, così da migliorare il rendimento del VoIP su reti LAN con più access-point.
La IEEE ha lavorato al 802.11r per quattro [...]
Wi-Max
about 3 years ago - 2 commenti
WiMax una tecnologia che cambierà il mondo delle telecomunicazioni, cosa è e come influirà su di noi?….
Wi-MaxL’importanza di una tecnologia e gli effetti che essa comporta.
Sviluppo non sempre si traduce in occupazione.
Roma – Gennaio 2007
I Ministri della Difesa Arturo Parisi e delle Comunicazioni Paolo Gentiloni hanno raggiunto un’intesa per l’avvio in Italia delle nuove [...]
