* domenica 11 luglio 2004, alle 22:31, Vladimir Nicola Chersi scrive:
> In particolare, il mio bisogno _teoricamente_ sarebbe all'interno di una
> stessa proprieta`, eventuali sconfinamenti sarebbero casuali, non
> intenzionali, e comunque permessi solo ad utenti autorizzati dalla
> proprieta`. ( In sostanza: LAN aziendale )
In un ambito del genere, parti delle considerazioni di cui al precedente
messaggio, sono molto meno "impegnative".
Vedi dopo.
> > Inoltre wpa e` disegnato per avere a che fare con un auth server (ldap,
> > radius..), non so quanto e` buona la soluzione "pre-shared key mode".
>
> Perche`? Spiegati meglio, mi interesserebbe sapere la tua opinione,
> visto che nelle prossime settimane dovro` iniziare a studiare e forse
> implementare sistemi (reti) wireless, con controllo di accesso basato su
> RADIUS (in particolare, ho buttato un occhio su freeRADIUS; se ce n'e` un
> altro che ti piace di piu` per favore dimmelo. Per ora sono in tempo di
> fare tutte le prove e modifiche del caso).
Semplificando, wpa funziona in questo modo: anziche` avere una chiave
statica per criptare il traffico, usa un meccanismo di generazione delle
chiavi, disitribuzione di esse, e un meccanismo di integrita`.
Non solo, in wep l'autenticazione e la chiave di crittografia e` sempre
la stessa. In wpa sono due elementi separati: ti autentichi, quindi il
sistema provvede a fornire chiavi di sessione per crittografare il
traffico.
Questo meccanismo rende tutto il sistema decisamente piu` sicuro: lo
sniffing del traffico e` molto meno problematico, perche` pare
abbastanza difficile l'attacco contro il traffico.
Ma appunto, le credenziali di autenticazione vengono fornite mediante
integrazione con auth server (appunto un radius, un ldap).
In assenza di questo, wpa funziona ancora (sarebbe un constraint molto
elevato per piccole realta` SOHO), mediante queste pre shared keys,
ovvero su un sistema a password direttamente sull'ap.
La bonta di quest'ultima parte non l'ho ancora testata, fondamentalmente
perche` non ne ho ancora avuto l'occasione.
Cmq, nel primo caso (auth server disponibile), il sistema aumenta
notevolmente di qualita` in termini di sicurezza, ma ovviamente, aumenta
notevolmente la complessita` di setup e gestione.
> Il mio ambito sarebbe reti private, con RADIUS a garantire la sicurezza
> contro intrusioni esterne. Il proxy - content filter ci sarebbe, ma per
> esisgenze interne di banda e/o spreco di tempo.
In uno schema del genere, e` un esigenza meno sentita, anche solo
perche`, beneficiando dell'autenticazione per utente, e` possibile
sapere chi ha fatto cosa, lo stesso non si puo` dire con il meccanismo
wep+mac address, che e` attualmente quello che la gente usa, in ambito
wifi.
Ovvero, con wep, ora, ti basta sniffare il traffico, buttare giu` il
wep, e se proprio proprio, cambiarti il mac con uno valido. A questo
punto l'impunibilita` nell'intrusione e` praticamente garantita.
Mediante un auth server, svincolato dai meccanismi di traffico dell'ap,
gli attacchi brute /paiono/ praticamente non praticabili, lasciando alla
bonta della gestione delle credenziali di auth la parte "quanto e`
sicura la mia rete da una possibile intrusione".
Personalmente, in una realta` di una certa dimensione, sono cmq propenso
a consigliare l'implementazione di sistemi di enforce della politica
d'uso delle risorse. Gli utenti hanno sempre molta fantasia, o molta
poca coscienza ("davvero e` illegale copiare photoshop??" sic), e se le
dimensioni sono giustificate, prevenire e` sempre meglio che curare, e
anche molto meno antipatico che fare il cane da guardia su cosa fanno
gli utenti.
> In aggiunta, oltre ai vari documenti sul Wi-Fi ( i cui link sono passati
> in lista tempo addietro, e che io ho in archivio, ma non ho ancora letto
> (almeno non tutti) ), cosa devo sapere in aggiunta? (oltre a documentazione
> su www.freeradius.org
> & http://www.oreilly.com/catalog/radius/chapter/ch05.html )
Non ho mai messo su un server radius, quindi non ho un'esperienza
diretta in merito. freeradius mi pare cmq il software free di questo
tipo piu` utilizzato. A sensazione, mi pare pero` anche un po`
"giovane".
Aggiungo un paio di risorse, specifiche per wpa:
http://www.wi-fi.org/OpenSection/pdf/Whitepaper_Wi-Fi_Enterprise2-6-03.pdf
http://www.wi-fi.org/OpenSection/pdf/Whitepaper_Wi-Fi_Networks2-6-03.pdf
Pero` occhio, che come ho detto, wpa non e` uno standard ma la sua
anticipazione. E alcuni aspetti sono cmq demandati al produttore
dell'HW (ad esempio, il mio AP, non prevede auth verso ldap, ma solo
radius).
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
Willow: "Gage, your pie chart is looking a lot like solitaire...with naked
ladies on
the cards?"
--Buffy the Vampire Slayer: Go Fish
|