1 / 35

Wireless

Wireless. Franco Brasolin Servizio di Calcolo e Reti Sezione INFN di Bologna. La tecnologia Wireless è in costante evoluzione, anche nelle nostre sedi. Vediamo quindi una panoramica della situazione nelle Sezioni e Laboratori INFN, per valutare le soluzioni utilizzate.

arch
Download Presentation

Wireless

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Wireless Franco Brasolin Servizio di Calcolo e Reti Sezione INFN di Bologna III INFN Workshop – Cagliari, 25-27 Maggio 2004

  2. La tecnologia Wireless è in costante evoluzione, anche nelle nostre sedi. Vediamo quindi una panoramica della situazione nelle Sezioni e Laboratori INFN, per valutare le soluzioni utilizzate. Prenderemo in esame alcune caratteristiche disponibili per il Vendor più diffuso. Faremo alcune valutazioni sulle differenze tra i due standard utilizzati: 802.11b e 802.11g. Breve panoramica sugli Sniffer Introduzione III INFN Workshop – Cagliari 25-27 Maggio 2004

  3. Vediamo un report dell’utilizzo Wireless, valutando le principali caratteristiche e soluzioni implementate nelle varie Sezioni e Laboratori. Sono state contattate tutte le Sezioni e i Laboratori: totale 24 sedi Tutti usano wl: 130 AP installati, anche se con modalità (autenticazione) e copertura diverse: principalmente sale riunioni (tutti), solo alcune sedi forniscono questo servizio negli uffici. Report Wireless nell’INFN - intro III INFN Workshop – Cagliari 25-27 Maggio 2004

  4. Report WL INFN: Policy & Analisi Radio III INFN Workshop – Cagliari 25-27 Maggio 2004

  5. Report WL INFN: dove – quando - quanto III INFN Workshop – Cagliari 25-27 Maggio 2004

  6. Report WL INFN – quali AP? III INFN Workshop – Cagliari 25-27 Maggio 2004

  7. Report WL INFN – Autenticazione III INFN Workshop – Cagliari 25-27 Maggio 2004

  8. Report WL INFN – SSID & WEP III INFN Workshop – Cagliari 25-27 Maggio 2004

  9. Report WL INFN – IP III INFN Workshop – Cagliari 25-27 Maggio 2004

  10. Report WL INFN – VLAN & VPN III INFN Workshop – Cagliari 25-27 Maggio 2004

  11. Report WL INFN – Log & Sniff III INFN Workshop – Cagliari 25-27 Maggio 2004

  12. Report WL INFN – client III INFN Workshop – Cagliari 25-27 Maggio 2004

  13. Report WL INFN – Ospiti come? III INFN Workshop – Cagliari 25-27 Maggio 2004

  14. Report WL INFN – manutenzione III INFN Workshop – Cagliari 25-27 Maggio 2004

  15. Report WL INFN – sviluppi III INFN Workshop – Cagliari 25-27 Maggio 2004

  16. AP Cisco 350 sono i più diffusi. E’ possibile effettuare su questi AP l’upgrade ad IOS vers. 12.2(13)JA1. Vantaggi: possibilità di lavorare su un file di configurazione in formato testo, duplicabile anche su altri AP dello stesso tipo. WPA (WIFI Protected Access). SSH. Controllo MAC Address su host remoto. Possibilità di configurare fino a 16 SSID associabili a diverse VLAN. Stessa interfaccia (Web o ios) per configurare AP 350 e 1100/1200. Cisco AP 350: upgrade IOS - 1 III INFN Workshop – Cagliari 25-27 Maggio 2004

  17. Cisco AP 350: upgrade IOS - 2 • L’upgrade si effettua da un PC Win utilizzando il tool • Cisco Aironet Conversion (CAC). • Scaricare dal sito web Cisco manuale, CAC tool e Helper Image. • Installare CAC tool sul PC. • Il tool lavora in due fasi: • - salva la configurazione precedente dell’AP • - carica sull’AP l’ IOS e la configurazione precedente riadattata • NB: • Solo sulle seguenti versioni di AP 350 non-IOS è possibile effettuare l’upgrade: 12.03T, 12.02T1, 12.01T1, 12.00T, 11.23T, 11.21 • l’operazione non è reversibile • dura parecchi minuti ( ~ 15 ) • disabilitare eventuali Personal FW (il tool utilizza TFTP) III INFN Workshop – Cagliari 25-27 Maggio 2004

  18. Cisco AP 350: upgrade IOS – 3salvataggio configurazione III INFN Workshop – Cagliari 25-27 Maggio 2004

  19. Cisco AP 350: upgrade IOS – 4salvataggio configurazione III INFN Workshop – Cagliari 25-27 Maggio 2004

  20. Cisco AP 350: upgrade IOS – 5Caricamento IOS III INFN Workshop – Cagliari 25-27 Maggio 2004

  21. IOS: comandi utili - 1 • Clock • # clock set 10:45:00 24 may 2004 • Al reboot perde la data! • # conf t -> ntp server x.y.z.k • SSH • # conf t -> ip domain-name xx.infn.it • crypto key generate rsa 1024 • # show ip ssh per vedere la configurazione • # show ssh per vedere le connessioni attive • # conf t -> access-list 111 permit tcp any any neq telnet III INFN Workshop – Cagliari 25-27 Maggio 2004

  22. IOS: comandi utili - 2 • autenticazione MAC Address su Radius Server • # conf t -> aaa group server radius rad_mac -> • server x.y.z.k auth-port 1812 acct-port 1813 • # conf t -> • aaa authentication login mac_methods localLocal • aaa authentication login mac_methods group rad_mac Radius • aaa authentication login mac_methods local group rad_macLocal+Radius • radius-server host x.y.z.k auth-port 1812 acct-port 1813 key 7 abcdef III INFN Workshop – Cagliari 25-27 Maggio 2004

  23. IOS: comandi utili - 3 • DNS • # conf t -> ip name-server x.y.z.k • Save configurazione su AP • # copy running-config startup-config • Save configurazione su host remoto • # copy system:/running-config tftp:/tmp/xyz • Logging remoto • # conf t -> logging facility local0 • logging x.y.z.k III INFN Workshop – Cagliari 25-27 Maggio 2004

  24. Per superare la debolezza della cifratura WEP, il Working Group 802.11 ha lavorato su un nuovo Security Protocol, che possa garantire una sicurezza equivalente a quella delle reti Wired. Il risultato è stato WPA (WiFi Protected Access). E’ progettato per essere installato come Firmware Upgrade per l’HW che già implementa WEP, aggiungendo un ulteriore livello di sicurezza, e per essere compatibile con lo standard 802.11i (RSN = Robust Secure Network). Utilizza la cifratura TKIP (Temporary Key Integrity Protocol) e l’autenticazione è basata su 802.1X e EAP (Extensible Authentication Protocol). WPA - WiFi Protected Access - 1 III INFN Workshop – Cagliari 25-27 Maggio 2004

  25. Genera periodicamente e automaticamente una nuova chiave per ogni client. Implementa un meccanisco di controllo dell’integrità del messaggio (MIC: Message Integrity Code, 8byte) più rubusto di quanto non faccia WEP con ICV (Integrity Check Value, 4byte). L’autenticazione è basata su 802.1X: inizalmente il client si autentica sull’AP, poi WPA si interfaccia con un Authentication Server (Radius o LDAP). Se un client manda almeno due pacchetti ogni secondo con chiavi sbagliate, l’AP termina TUTTE le connessioni per un minuto! Questo meccanismo di protezione può essere usato per provocare DoS. La disponibilità sotto forma di Firmware Upgrade preserva gli investimenti già fatti. Lo standard 802.11i sarà backward compatible con WPA, ma includerà anche un miglior sistema di cifratura (AES, Advanced Encryption Standard) opzionale: AES richiede infatti un coprocessore non disponibile in tutti gli AP. WPA – caratteristiche - 2 III INFN Workshop – Cagliari 25-27 Maggio 2004

  26. AP Cisco 1200 con 802.11b & 802.11g – test 1 • da laptop wireless a desktop wired; distanza laptop – AP 1m • Un solo client wireless • Tutte le misure in Mb/s III INFN Workshop – Cagliari 25-27 Maggio 2004

  27. AP Cisco 1200 con 802.11b & 802.11g – test 2 • da laptop wireless a desktop wired; distanza laptop – AP 1m • due client wireless: il secondo con Aironet 350 (802.11b) connesso all’AP ma inattivo. • Tutte le misure in Mb/s • L’AP lavora alla velocità del client più lento III INFN Workshop – Cagliari 25-27 Maggio 2004

  28. Repository: http://www.wardriving.com/code.php http://www.remoteassessment.com/?op=pub_archive_search&query=wireless http://www.personaltelco.net/index.cgi/WirelessSniffer http://www.zone-h.org/en/download Windows: SoftPerfect 99$ http://www.softperfect.com/ Airsnare home.comcast.net/~jay.deboer/airsnare Link Ferret $$ http://www.linkferret.ws Aerosol (prism2) http://www.sec33.com/sniph/aerosol.php Apsniff (prism2) http://www.zone-h.org/download/file=4879/ WisEntry (AP Detection) $$ www.WiMetrics.com Linux: Wellenreiter http://www.zone-h.org/download/file=4875/ Kismet www.kismetwireless.net Redfang – bluetooth http://www.zone-h.org/download/file=4989/ Sniffer: III INFN Workshop – Cagliari 25-27 Maggio 2004

  29. Win Sniffer: SoftPerfect • Nework Monitor & Protocol Analyzer • supporta sia Ethernet che 802.11b • Filtri • disponile in Demo • per Windows, a pagamento (99$): • http://www.softperfect.com/ III INFN Workshop – Cagliari 25-27 Maggio 2004

  30. Win Sniffer: Link Ferret • Nework Monitor & Protocol Analyzer • supporta sia Ethernet che 802.11b • Filtri • Allarmi • disponile in Demo • per Windows, a pagamento: • www.linkferret.ws III INFN Workshop – Cagliari 25-27 Maggio 2004

  31. Win Sniffer: Air Snare • Alert per Mac Address sconosciuti: • puo’ tracciarne indirizzo IP e porta • puo’ attivare Ethereal • Alert per richieste DHCP • Per Windows, FreeWare: • home.comcast.net/~jay.deboer/airsnare III INFN Workshop – Cagliari 25-27 Maggio 2004

  32. Win AP Detection: WisEntry • A differenza degli altri sniffer basati su RF, WisEntry esamina il traffico della LAN Wired. • esegue uno scan alla ricerca di AP, controllando i primi 3 byte dei MAC Address. • Possono essere differenziati i MAC degli AP ufficiali. • E’ possibile installare un Agent per ogni segmento di rete • Che comunica con il Control Server. • Fornisce una lista dei possibili AP e la percentuale di probabilità. • Si possono ricevere gli update mano a mano che vengono • segnalati nuovi Vendor. • Disponibile per Windows, a pagamento, anche in demo. • http://www.wimetrics.com/ • FIGURA III INFN Workshop – Cagliari 25-27 Maggio 2004

  33. Il Wireless è ormai una realtà in tutte le nostre sedi e la sua diffusione è in aumento. Quasi tutti lo usano nel modo più semplice (autenticazione basata su MAC Address o libera). E’ necessario un ulteriore sforzo per poter avere un insieme di strumenti per il controllo e l’autenticazione più efficaci, per avere meno carico di lavoro per i Servizi di Calcolo e una maggiore efficienza per gli utenti, garantendo sempre un alto livello diSICUREZZA. Ancora grossi problemi di compatibilitá tra i diversi Vendor, modelli, standard, versioni Fw e OS. Sito Web per poter raccogliere tutte le esperienze, i test effettuati e la documentazione. Conclusioni: III INFN Workshop – Cagliari 25-27 Maggio 2004

  34. Riferimenti: Wireless Security – presentazione Parma Security Workshop Feb ’04:http://www.pr.infn.it/infnsecws2/doc/Wireless-sec.pdf Cisco WPA Overview: http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_configuration_example09186a00801c40b6.shtml Cisco Aironet Conversion tool Manual:http://www.cisco.com/application/pdf/en/us/guest/products/ps430/c1696/ccmigration_09186a00801cfea4.pdf Cisco Aironet Conversion Tool sw (per PC Win): http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/crypto/3DES/wireless/aironet/conv_tool/Aironet-AP-Cisco-IOS-Conversion-Tool-v2.exe&swtype=FCS&software_products_url=%2Fpcgi-bin%2Ftablebuild.pl%2Faironet_conv_tool&isChild=&appName=&tbtype=aironet_conv_tool Cisco Aironet Helper Image: http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/crypto/3DES/wireless/aironet/conv_tool/AP350-Cisco-IOS-Upgrade-Image-v2.img&swtype=FCS&software_products_url=%2Fpcgi-bin%2Ftablebuild.pl%2Faironet_conv_tool&isChild=&appName=&tbtype=aironet_conv_tool III INFN Workshop – Cagliari 25-27 Maggio 2004

  35. Grazie! Discussione: Suggerimenti? Domande? III INFN Workshop – Cagliari 25-27 Maggio 2004

More Related