R: R: [ml] reti wireless e wep

Da: ml-bounces@xxxxxxxxxxxxx per conto di Stefano Zanero
Inviato: mar 20-dic-05 9:03
A: ml@xxxxxxxxxxxxx
Oggetto: Re: R: [ml] reti wireless e wep


>> Se vogliamo proseguire nel discorso, forse meglio orientarsi su
>> prodotti un pò più evoluti.

>Di solito la semplicita' e' la madre del successo, nella sicurezza.

Anche WPA-PSK  (WPA Home) è semplice quanto WEP, essendo anch'esso con Pre-Shared Key, però riduce di parecchio il rischio di cracking.
L'unico tool che fa un attacco bruteforce (su base dictionary) al WPA-PSK è lento, circa 50-75 password al secondo, e comunque legato alla bontà della passphrase scelta. (http://www.tinypeap.com/docs/WPA_Passive_Dictionary_Attack_Overview.pdf
In tutte le demo vedrai che dopo aver catturato i 4 paccheti di EAPOL, craccano in 10 minuti la WPA...peccato non dicano che la passphrase casualmente era inserita nel loro dictionary file di 100kbyte.
Nella realtà corri il rischio di perdere giorni per poi non trovarla....sempre se non è stata scelta una passphrase troppo semplice, o magari quella di default.
 
Ma in ambito enterprise non è sufficiente nè ammissibile avere una passphrase comune.
Ecco quindi le soluzioni WPA e WPA2 Enterprise, che si devono appoggiare su 802.1x ma che da quel che ho potuto vedere non sono poi così complicati da gestire, specialmente se ai tuoi dipendenti hai già anche fornito in qualche modo dei certificati digitali.

>> Ho provato personalmente 4 sistemi per
>> WLAN sicura in ambito enterprise (Aruba, Foundry, Airespace e 3Com) e
>> alcuni di questi prodotti mi hanno davvero impressionato,
>> specialmente per le features di IDS e IPS.

>Ovverossia ? Un po' di tempo in piu' da spendere su questo ?

Aruba, Airespace e 3Com hanno impostato gli Access Point secondo il concetto di Thin Client, ovvero poca intelligenza a bordo degli AP e tutto controllato da dei Wireless Switch Controller (WSC). Foundry ha scelto una soluzione mista, più o meno simile alla "vecchia" architettura Cisco.
Nel caso di Aruba, ogni AP è connesso mediante tunnel IPSec al WSC, e sia la configurazione che il traffico transitano in questo tunnel.
Airespace utilizza LWAPP come protocollo di management e, poco tempo fa, era uscito un advisory al riguardo.
Tornando ad Aruba, questo ha un ottimo sistema di IDS, in grado di rilevare ed anche individuare fisicamente la sorgente di eventuali attacchi e/o disturbi.
In fase di pianificazione è infatti possibile definire su una piantina disegnata con Autocad il posizionamento dei vari AP, controllare la perfetta copertura radio mediante misure tra i vari AP, posizionamento che poi viene utilizzato come base dati per la successiva localizzazione.
E' possibile poi definire eventuali AP noti, non appartenenti alla propria WLAN e quindi indicati come possibili interferenti )da un punto di vista radio, ed il sistema ovviamente identifica come Rogue AP qualsiasi nuovo elemento che compare nel raggio di azione dei suoi AP.
Quando un AP viene identificato come Rogue e viene anche rilevata una attività "sospetta", il sistema reagisce autonomamente in base al tipo di attacco rilevato, identificabile mediante signature di snort (ma non solo).
 
Di più al momento non posso dire....posso solo consigliarvi di dare un'occhiata al sito di Aruba Network.
 
Per quanto riguarda l'ambito Home, non mi era dispiaciuto l'approccio del TinyPEAP , implementato con un firmware modificato su alcuni AP della Linksys (http://www.tinypeap.com), forse adesso un pò superato dagli ultimi prodotti usciti sul mercato.
 
 
A scanso di eventuali sorprese, un Airsnare installato sul Laptop non guasta mai....già un paio di volte mi ha avvertito di attività strane sulla mia WLAN.
 
Colgo l'occasione per augurare ai membri della ML Buone Feste.
 
Rissone Ruggero


Gruppo Telecom Italia - Direzione e coordinamento di Telecom Italia S.p.A.

====================================================================
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons
above and may contain confidential information. If you have received
the message in error, be informed that any use of the content hereof
is prohibited. Please return it immediately to the sender and delete
the message. Should you have any questions, please send an e_mail to
MailAdmin@xxxxxxxxxx Thank you
====================================================================