1 / 23

Smau Security 2002

Smau Security 2002. Reti wireless e telefonia tradizionale Il punto di vista della sicurezza Giovanni Bobbio - CTO Communication Valley S.p.A. Agenda. Telefonia tradizionale e wireless LAN Funzionalità e benefici Il punto della situazione (focus sulla sicurezza) Ipotesi di soluzione

nituna
Download Presentation

Smau Security 2002

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista della sicurezza Giovanni Bobbio - CTO Communication Valley S.p.A.

  2. Communication Valley – Telefonia e wireless Agenda • Telefonia tradizionale e wireless LAN • Funzionalità e benefici • Il punto della situazione (focus sulla sicurezza) • Ipotesi di soluzione • Una visione d’insieme

  3. Communication Valley – Telefonia e wireless Wireless – Le funzionalità • Mobilità, accessibilità, connettività • Facilità negli spostamenti all’interno degli uffici • Disponibilità di servizi in luoghi pubblici: • Aeroporti • Internet café • Congressi

  4. Communication Valley – Telefonia e wireless Wireless – I benefici • Produttività • Collaborazione più facile • Senza la necessità di riconnettersi • Configurazione indipendente dalla posizione fisica • Riduzione dei costi • Semplicità d’uso e di deployment • Apparati economici • Nessun cablaggio dei terminali, anche nei posti poco raggiungibili o non cablabili (in Italia, i palazzi storici)

  5. Communication Valley – Telefonia e wireless Perché è un problema?

  6. Communication Valley – Telefonia e wireless La “sicurezza” delle WLAN • SSID: Service Set Identifier • Identifica una rete wireless (un insieme di AP) • Open/closed network • Una scheda di rete wireless deve conoscere il SSID della rete per collegarsi • Pensato per la facilità d’uso e per scegliere la rete a cui collegarsi • Valori di default

  7. Communication Valley – Telefonia e wireless MAC address • MAC: Media Access Control Filtering • Ogni scheda wireless (ed Ethernet) ha un identificativo ‘unico’ • Gli access point possono consentire l’accesso solo a determinati MAC • Implica mantenere liste aggiornate e condividerle tra gli APN • Non solo identificano la scheda e non l’utente ma possono essere modificati (spoofing) 00:D0:59:B9:C0:AB

  8. Communication Valley – Telefonia e wireless Wired Equivalent Privacy (WEP) • Algoritmo + chiave (40 – 128 bit) • Segreto condiviso tra client e AP • http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html • Nella fase di autenticazione • Passivamente: raccogliendo quantità sufficienti di traffico ed analizzandole • Attivamente: inserendo traffico (plain text) noto • Tutti gli utenti di una rete condividono la stessa chiave • Cifra solo il payload, non gli header • Obiettivo minimo –> Chiavi WEP dinamiche, per utente/per sessione

  9. Communication Valley – Telefonia e wireless In definitiva… • Cifratura e autenticazione insufficienti o inesistenti • Client e reti insicuri per default • Sniffing, war driving, bye bye firewall • Denial of service sugli AP • Nessuna policy su rete ed utenti (AAA)

  10. Communication Valley – Telefonia e wireless Wireless – Standard • IEEE 802.11 • IEEE 802.11a • IEEE 802.11b • IEEE 802.11e • IEEE 802.11h • [IEEE 802.1x]

  11. 5 Encrypted WEP (dynamic) 4 3 1 2 1) L’utente richiede l’autenticazione. AP non dà accesso e fa da proxy. 2) Credenziali cifrate vengono mandate a un server di autenticazione (RADIUS) 3) ACS autentica l’utente. AAA, OTP, certificati X.509, ACL su firewall, etc. 4) La porta viene abilitata e l’AP assegna dinamicamente le chiavi WEP al client 5) L’utente ha accesso ai soli servizi per i quali è autorizzato Communication Valley – Telefonia e wireless Procedura di accesso 802.1x ~ Other network servers And services Access Point Wireless Client ~ Authentication Server (RADIUS)

  12. ~ DHCP Server Secure VPN connection DNS Server Firewall Access Point VPN Server Network Firewall ~ Airport, Hotel or Home Internet ISP POTS Dialup DMZ Secure VPN connection Communication Valley – Telefonia e wireless Wireless VPN Secure VPN connection

  13. Communication Valley – Telefonia e wireless Wireless – Prime conclusioni • Sicurezza in via di miglioramento • Nuovi protocolli: accesso alle porte, cifratura, key management • 802.1x permette di integrarsi con funzioni di alto livello • Tutto qui? • Tecnologia OK, ma… • Policy management ed enforcement • Adozione di rimedi tipici delle reti IP (IDS, VPN) • Ciclo di vita della sicurezza globale

  14. Communication Valley – Telefonia e wireless Telefonia fissa • Vicina della rete dati • Forte impatto sia economico che sulla sicurezza

  15. Communication Valley – Telefonia e wireless Telefonia fissa – I problemi • Economici • Chiamate internazionali • Servizi a valore aggiunto • Chiamate agli ISP (costo) • Utilizzo delle linee fax per altri usi • Infrastrutturali • % utilizzo nelle ore di picco / a regime • Distribuzione delle risorse

  16. Communication Valley – Telefonia e wireless Telefonia fissa – I problemi • Sicurezza • Modem autorizzati insicuri (chiamate in ingresso non controllate) • Modem non autorizzati (chiamate in uscita e accesso all’interno) • Chiamate agli ISP (bypass dei firewall/proxy) • Interconnessioni tra PSTN e IP

  17. L’attaccante entra dalla rete telefonica pubblica Compone una serie di numeri per cercare un modem. Il PBX inoltra la chiamata Voicemail PSTN PBX Telefoni Fax ISP Trova il modem settato in modalità risposta e lo forza Attaccante IDS Server LAN Internet Firewall Accede alle risorse di rete Centro Commutazione Stazioni di Lavoro Communication Valley – Telefonia e wireless Dalla linea telefonica alla rete dati Modem

  18. L’attaccante entra dalla rete telefonica pubblica Il PBX smista tutte le chiamate in entrata e rende vulnerabili voicemail, fax e rete. Voicemail PSTN PBX Telefoni Fax ISP Attaccante IDS Server LAN Internet Accesso alle risorse di rete Firewall Centro Commutazione Stazioni di Lavoro Il modemlasciato acceso in modalità risposta per connessioni da casa fuori dall’orario di lavoro Il modem autorizzato collegato a risorse critiche e non protetto Il modem collegato durante le ore di lavoro Communication Valley – Telefonia e wireless I modem

  19. Communication Valley – Telefonia e wireless Telefonia – Soluzioni tradizionali • Policy e procedure sull’uso • War dialing per scoprire modem • Confidenzialità –> Cifratura one-to-one con hardware specializzato • Blocco numeri sul centralino per limitare le chiamate indesiderate

  20. Communication Valley – Telefonia e wireless Telefonia – Soluzioni “nuove” • Firewall • VPN • IDS • AAA • In breve: applicazione efficace delle policy

  21. Voicemail Firewall PSTN PSTN PBX Bloccato! Fax Telefoni Modem ISP Allarme! Server IDS Attacante Server ETM™ LAN Internet Firewall IP Centro Commutazione Stazioni di Lavoro Communication Valley – Telefonia e wireless Firewall e IDS

  22. PBX & Voicemail Firewall PSTN Firewall PSTN Ufficio Milano Telefoni PSTN PBXs Ufficio Roma Fax Centro Commutazione ISP Modem Management Ufficio Palermo Server IDS LAN Internet Firewall Stazioni di Lavoro Communication Valley – Telefonia e wireless VPN e AAA

  23. Communication Valley – Telefonia e wireless Conclusioni • Dall’usabilità alla sicurezza • Pianificazione, integrazione • Ciclo della sicurezza integrato • Protezione • (Firewall, AAA, VPN) • Monitoraggio • (log, IDS) • Risposta • (Utilizzo delle informazioni - Policy applicabili)

More Related