Mettere in sicurezza reti AirPort Extreme con Wpa
2/5/2004
Traduzione da un articolo di O?Reilly Network. Originale.
di Wei-Meng Lee, autore di Windows XP Unwired e coestensore di Mac OS X Unwired.
18 dicembre 2003
Con l?arrivo di Mac OS 10.3 Panther, Apple ha fornito un aggiornamento del firmware della AirPort Extreme Base Station e dei client AirPort Extreme, con supporto dello standard di sicurezza Wpa (Wireless Protected Access). Wpa è ben più sicuro di Wep (Wireless Equivalent Privacy).
Prima di compiacersi della notizia, tuttavia, bisogna assicurarsi di rispettare queste regole:
- Bisogna usare Mac OS X 10.3 o successivo. Chi non ha ancora aggiornato, beh, è tempo che lo faccia.
- Bisogna usare una rete wireless AirPort Extreme, ossia le Base Station e le schede AirPort devono essere tutte AirPort Extreme. Chi sta usando una rete AirPort 802.11b deve accontentarsi di Wep.
Aggiornare la AirPort Extreme Base Station
Scaricare dal sito Apple l?aggiornamento firmware della AirPort Extreme Base Station. Il file da scaricare è AirPort Extreme FW 5.2.bin.
Ecco la procedura da seguire per aggiornare la AirPort Extreme Base Station:
- Aprire AirPort Admin Utility (in /Applicazioni/Utility).
- Selezionare la AirPort Extreme Base Station dalla lista.
- Cliccare su Configura.
- Inserire, se richiesta, la password della base.
- Cliccare sull?icona Aggiorna nella barra strumenti o selezionare Aggiorna dal menu Base Station.
- Selezionare il file AirPort Extreme FW 5.2.bin e cliccare OK.
Quando la base ha finito di aggiornarsi, si riavvia.
Che cos?è Wpa?
Wpa è uno standard di sicurezza avanzata sviluppato dalla Wi-Fi Alliance e da Ieee per aumentare la sicurezza delle reti wireless. Wep è intrinsecamente insicuro, vale a dire che chiunque abbia l?intenzione di spiare il traffico della nostra rete può farlo dotandosi degli strumenti appropriati. Wpa è una soluzione ad interim al problema della protezione della privacy delle reti wireless; la soluzione a lungo termine sta nel gruppo di lavoro che elabora il futuro standard 802.11i.
Wpa contiene i seguenti componenti:
- Uso di Tkip (Temporal Key Integrity Protocol) per la cifratura dei pacchetti wireless.
- Uso di 802.1X e Eap (Extensible Authentication Protocol) per l?autenticazione degli utenti.
- Uso di Mic (Message Integrity Check) per controllare l?integrità dei pacchetti inviati via etere.
Per entrare in una rete protetta da Wpa occorre fornire una password di rete, che Tkip usa per generare una chiave iniziale di cifratura. Da quel momento tutti i pacchetti di dati usano la chiave in questione. Per evitare che la chiave possa essere scoperta attraverso la raccolta e l?analisi dei pacchetti in transito, Tkip la cambia periodicamente e fa sì che non venga usata due volte.
In AirPort Extreme Wpa supporta due modalità:
- Enterprise, con uso di Radius (Remote Authentication Dial-In User Service) per l?autenticazione degli utenti.
- Personal, con uso di una password di rete per l?autenticazione degli utenti.
802.1X
La specifica 802.1X è un meccanismo di controllo dell?accesso alle reti basato su porte: quando un client viene autenticato, viene garantito l?accesso alla porta, altrimenti no. 802.1X è stato progettato originariamente per reti Ethernet, ma può essere ugualmente applicato alle reti wireless.
Configurare l?accesso Wpa
Ora configureremo la AirPort Extreme Base Station per abilitare Wpa, come al solito mediante AirPort Admin Utility.
Clicchiamo sul pulsante Nome e Password. Poi clicchiamo sul pulsante Change Wireless Security? per cambiare lo standard di sicurezza della base (figura 1).
Figura 1. Cambiare lo standard di sicurezza della base AirPort Extreme.
Nella lista a discesa che appare, selezioniamo WPA Personal se non abbiamo server Radius nella rete. Questa opzione è utile per reti domestiche o piccole reti professionali (figura 2).
Selezioniamo l?opzione Password e digitiamo la password due volte. La password verrà usata per autenticarsi sulla rete al momento del primo login. Alla password viene applicato un algoritmo standard di hash per generare la chiave pre-shared di 64 byte.
Figura 2. Usare Wpa Personal con una password.
Si può anche scegliere l?opzione Pre-Shared Key e inserire una chiave manualmente (figura 3). L?opzione in realtà è un optional, nel caso si usi un client non Apple che non effettua lo hashing come si deve. La chiave pre-shared è composta sessantaquattro cifre esadecimali (0-9, A-F).
Figura 3. Configurare una chiave pre-shared.
Si può anche cliccare sul pulsante Show Options per visionare più informazioni sulle informazioni di cifratura. Si può inoltre cambiare il contenuto del campo testo Group Key Timeout per cambiare la frequenza di rotazione della chiave (figura 4).
Figura 4. Le opzioni di variazione di Group Key Timeout.
Gli utenti di un server di autenticazione Radius dovrebbero selezionare l?opzione WPA Enterprise (figura 5). Con un server Radius, la nostra rete AirPort Extreme userà autenticazione 802.1X. Il server conterrà le credenziali di login dell?utente.
Figura 5. Usare la modalità Wpa Enterprise.
Una volta configurata e aggiornata la AirPort Extreme Base Station, dovremmo poter vedere la rete sul Mac (figura 6).
Figura 6. Collegarsi a una rete AirPort Extreme.
Selezioniamo la rete wireless AirPort Extreme e verrà chiesto di inserire la password di login (figura 7).
Figura 7. Inserire la password per collegarsi a una rete AirPort Extreme.
Enterprise Mode Wpa e filtraggio degli indirizzi Mac usando un server Radius
Se usiamo la modalità Enterprise di Wpa non sarà più possibile configurare la base AirPort Extreme in modo che filtri gli indirizzi Mac usando un server Radius.
Riepilogo
Una cosa da notare sull?uso di Wpa è che riduce notevolmente il rischio di ascolto abusivo delle nostre conversazioni wireless. In termini di sicurezza significa che l?integrità dei nostri pacchetti wireless è protetta. Tuttavia tutti gli utenti devono condividere una password di rete comune e quindi manca un meccanismo robusto di autenticazione. Per garantire che siano collegati solo utenti autorizzati occorre usare autenticazione 802.1X insieme a un server Radius.
Wei-Meng lee è tecnologo e cofondatore di Active Developer, azienda specializzata nella formazione hands-on sulle tecnologie più recenti. È anche autore del libro Windows XP Unwired.
Una nota finale: tutto il meccanismo di cifratura dei pacchetti per il wireless funziona in ambito wireless. Se ci sono tratti della rete non wireless, i pacchetti diventano insicuri. Nel caso, è molto meglio cifrare i dati a livello applicativo invece che a livello di rete.
|
