La crittografia WEP (Wired Equivalent Privacy) di IEEE 802.11 consente di impedire la ricezione non autorizzata dei dati wireless. La crittografia WEP offre due livelli di protezione, uno che utilizza una chiave a 64 bit (talvolta chiamata a 40 bit) e l'altro che usa una chiave a 128 bit (chiamata anche a 104 bit). Per ottenere un livello di protezione maggiore, utilizzare la chiave a 128 bit. Quando si usa la crittografia, tutte le periferiche wireless della rete wireless devono utilizzare le stesse chiavi di crittografia.
La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa offrono la protezione dei dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso.
L'algoritmo crittografato WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.
802.11 supporta due tipi di metodi di autenticazione di rete: sistema aperto e chiave condivisa.
Con l'autenticazione aperta qualunque stazione wireless può richiedere l'autenticazione. La stazione che richiede l'autenticazione presso un'altra stazione wireless invia il frame di gestione dell'autenticazione contenente l'identità della stazione mittente. La stazione o il punto di accesso ricevente concede qualsiasi richiesta di autenticazione. L'autenticazione aperta consente l'accesso alla rete a qualunque periferica. Se sulla rete non è attivata la crittografia, qualunque periferica che conosce l'SSID del punto di accesso può ottenere l'accesso alla rete.
L'autenticazione a chiave condivisa presuppone che ciascuna stazione wireless abbia ricevuto una chiave condivisa segreta tramite un canale protetto e indipendente dal canale di comunicazioni di rete wireless 802.11. L'autenticazione a chiave condivisa richiede che il client configuri una chiave WEP statica. Al client viene consentito l'accesso solo se risponde correttamente alla richiesta su cui è basata la procedura di autenticazione.
Come funziona l'autenticazione 802.1x
Funzioni 802.1x
Panoramica
L'autenticazione 802.1x è indipendente dal processo di autenticazione 802.11. Lo standard 802.1x offre una struttura per vari protocolli di autenticazione e di gestione delle chiavi. Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione ma tutte impiegano lo stesso protocollo 802.1x e struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati. Per ulteriori informazioni fare riferimento a Come funziona l'autenticazione 802.1x. L'autenticazione 802.1x prevede l'uso di un metodo di autenticazione tra il client e un server RADIUS (Remote Authentication Dial-In User Service) connesso al punto di accesso. Il processo di autenticazione usa credenziali, come una password dell'utente che non sono trasmesse sulla rete wireless. La maggior parte dei tipi 802.1x supportano chiavi dinamiche per utente e per sessione, che rafforzano la protezione della chiave statica. 802.1x si avvantaggia dell'utilizzo di un protocollo di autenticazione esistente conosciuto come l'Extensible Authentication Protocol (EAP).
L'autenticazione 802.1x per le LAN wireless è costituita da tre maggiori componenti: l'autenticatore (il punto di accesso), il richiedente (il software del client) e il server di autenticazione (un server RADIUS). Un client wireless dà inizio a una richiesta di autenticazione 802.1x presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite password o certificati) o il sistema (tramite l'indirizzo MAC). In teoria, al client wireless non è consentito far parte della rete finché la transazione non è completata. Per 802.1x sono usati svariati algoritmi di autenticazione. Alcuni esempi sono: MD5-Challenge, EAP-TLS, EAP-TTLS, EAP protetto (PEAP) e EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Sono tutti metodi utilizzati dai client wireless per identificare se stessi presso il server RADIUS. Con l'autenticazione RADIUS, le identità degli utenti sono controllate confrontandole con i dati contenuti nei database. RADIUS è costituito da un insieme di standard di autenticazione, autorizzazione e accounting (AAA). Radius dispone di un processo proxy per convalidare i client in un ambiente multiserver. Lo standard IEEE 802.1x serve per controllare e autenticare l'accesso alle reti Ethernet basate su cavo e a quelle wireless 802.11 basate su porta. Il controllo dell'accesso alle reti basate su porta è simile a un'infrastruttura LAN con tecnologia switch che autentica le periferiche collegate a una porta LAN e impedisce l'accesso a tale porta se il processo di autenticazione non riesce.
RADIUS (Remote Access Dial-In User Service) è un protocollo client-server AAA (Authorization, Authentication, Accounting) utilizzato quando un client AAA remoto esegue la procedura di accesso o di chiusura della sessione da un server di accesso alla rete (NAS). I server RADIUS sono in genere utilizzati dai provider di servizi Internet (ISP) per eseguire operazioni di tipo AAA. Le fasi AAA sono le seguenti:
Fase di autenticazione: consente di verificare il nome utente e la password confrontandoli con le informazioni contenute in un database locale. Completata la verifica delle credenziali, ha inizio il processo di autorizzazione.
Fase di autorizzazione: consente di determinare se viene concessa la richiesta di accesso a una risorsa. Al client remoto viene assegnato un indirizzo IP.
Fase di registrazione: consente la raccolta di informazioni sull'utilizzo delle risorse allo scopo di effettuare analisi di tendenza, controlli, riepiloghi delle prestazioni orarie della sessione e allocazioni dei costi
La procedura di autenticazione 802.1x può essere semplicemente descritta nel modo seguente:
Un client invia a un punto di accesso un messaggio di "richiesta di accesso". Il punto di accesso richiede l'identità del client.
Il client risponde inviando il pacchetto contenente la propria identità, che viene quindi trasmesso al server di autenticazione.
Il server di autenticazione invia al punto di accesso un pacchetto di "accettazione".
Il punto di accesso cambia lo stato della porta del client che viene autorizzata a far passare il traffico di dati.
Supporto del protocollo 802.1x del richiedente
Supporto per l'Extensible Authentication Protocol (EAP) - RFC 2284
Metodi di autenticazione supportati:
MD5 - RFC 2284
Protocollo di autenticazione EAP TLS - RFC 2716 e RFC 2246
EAP TLS di tunneling (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Supporta Windows XP, 2000
Per ulteriori informazioni, fare riferimento a Impostazioni protezione.
L'accesso protetto Wi-Fi (WPA/WPA2) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla rete wireless. WPA impone l'autenticazione 802.1x e lo scambio di chiavi e funziona solo con le chiavi di crittografia dinamiche. Per rendere ancora più sicura la crittografia dei dati, WPA utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, che includono una funzione di utilizzo misto di chiavi per pacchetto, il controllo dell'integrità dei messaggi (MIC) chiamato Michael, un vettore di inizializzazione (IV) esteso con regole di sequenza e un meccanismo di rigenerazione delle chiavi. Questi miglioramenti di TKIP offrono una protezione maggiore dai punti deboli di WEP.
La seconda generazione di WPA che è compatibile con la specifica IEEE TGi si chiama WPA2.
WPA/WPA2 – Enterprise offre questo livello di protezione sulle reti aziendali con un server RADIUS 802.1x. Viene selezionato un tipo di autenticazione che corrisponda al protocollo di autenticazione del server 802.1x.
WPA/WPA2 - Personale offre questo tipo di protezione nelle reti di piccole dimensioni o in un ambiente di utilizzo domestico. Utilizza una password chiamata anche chiave precondivisa (PSK). Maggiore è la lunghezza di questa password e maggiore è la protezione della rete wireless. Se il punto di accesso o il router wireless supporta la funzione WPA/WPA2 Personale (WPA-PSK) allora è necessario attivarla nel punto di accesso e fornire una password lunga e sicura. La stessa password immessa nel punto di accesso deve essere usata sul computer e su tutte le altre periferiche wireless che accedono alla rete wireless.
Cisco LEAP (Cisco Light EAP) è un metodo di autenticazione 802.1x per server e client realizzata tramite una password di accesso fornita dall'utente. Quando un punto di accesso wireless comunica con un server Cisco RADIUS compatibile con LEAP (server Cisco Secure Access Control Server (ACS)), Cisco LEAP offre il controllo dell'accesso tramite l'autenticazione reciproca delle schede di rete wireless dei client e della rete wireless, realizzata con chiavi di crittografia per utente singolo che facilitano la salvaguardia della privacy dei dati trasmessi.
Quando una LAN wireless è configurata per la riconnessione veloce, alle periferiche client abilitate LEAP è consentito di passare in roaming da un punto di accesso all'altro senza coinvolgere il server principale. L'uso di CCKM (Cisco Centralized Key Management) consente a un punto di accesso configurato per fornire i servizi WDS (Wireless Domain Services) di sostituire il server RADIUS e autenticare il client senza introdurre ritardi percepibili nella trasmissione della voce o nell'esecuzione di altre applicazioni che dipendono dal tempo.
Cisco Key Integrity Protocol (CKIP) è il protocollo di protezione proprietario di Cisco per la crittografia su supporti 802.11. CKIP usa le seguenti funzioni per migliorare la protezione di 802.11 nella modalità infrastruttura:
La permutazione delle chiavi (KP)
Il controllo dell'integrità dei messaggi (MIC)
Il numero di sequenza dei messaggi
EAP-FAST, come EAP-TTLS e PEAP, protegge il traffico usando il tunneling. La differenza principale è che per l'autenticazione EAP-FAST non usa i certificati.
La preparazione in EAP-FAST viene negoziata unicamente dal client come primo scambio di comunicazione e quando EAP-FAST è richiesto dal server. Se il client non ha una credenziale di accesso protetto (PAC) segreta e precondivisa, può richiedere di iniziare uno scambio di preparazione EAP-FAST per ottenerne dinamicamente una dal server.
EAP-FAST dispone di due metodi per consegnare la PAC: la consegna manuale attraverso un meccanismo protetto fuori banda e la preparazione automatica.
Il meccanismo di consegna manuale può essere costituito da un meccanismo di consegna qualsiasi che l'amministratore della rete ritiene sufficientemente sicuro da usare per la rete.
La preparazione automatica comporta la creazione di un tunnel crittografato per proteggere l'autenticazione del client e la consegna della PAC al client. Questo meccanismo, sebbene non sia altrettanto sicuro quanto il metodo manuale, offre una maggiore protezione del metodo di autenticazione usato in LEAP.
Il metodo EAP-FAST può essere diviso in due parti: la preparazione e l'autenticazione.
La fase di preparazione comporta la consegna iniziale della PAC al client. È necessario eseguire questa fase solo una volta per client e utente.
Alcuni punti di accesso, come i Cisco 350 o Cisco 1200, supportano gli ambienti in cui non tutte le stazioni client adottano la crittografia WEP, ovvero supportano il funzionamento cosiddetto in modalità cella mista. Quando queste reti wireless operano in modalità "crittografia opzionale", le stazioni client che partecipano alla rete in modalità WEP inviano tutti i messaggi crittografati, mentre le stazioni che funzionano in modalità standard inviano tutti i messaggi senza crittografarli. I punti di accesso di questo tipo annunciano che sulla rete non è usata la crittografia, ma consentono ai client di parteciparvi in modalità WEP. Quando in un profilo viene attivata la “cella mista” è possibile connettersi ai punti di accesso configurati per il funzionamento con la “crittografia opzionale”. Per ulteriori informazioni, fare riferimento a Opzioni delle estensioni compatibili con Cisco.
L'attivazione di questa opzione consente alla scheda di rete wireless di fornire le informazioni di gestione della radio all'infrastruttura Cisco. Se nell'infrastruttura è usata l'utilità di gestione della radio Cisco, vengono configurati i parametri radio e rilevate le interferenze e i punti di accesso non autorizzati.