Wi-Fi sicuro: le prassi per una corretta configurazione della rete aziendale - Cyber Security 360

LA GUIDA PRATICA

Wi-Fi sicuro: le prassi per una corretta configurazione della rete aziendale

La recente scoperta delle dodici nuove vulnerabilità rinominate FragAttacks ha riportato l’attenzione sulla sicurezza del Wi-Fi. Ecco a cosa fare attenzione e quali sono le prerogative indispensabili per attenuare l’impatto degli attacchi e mitigare le problematiche di queste infrastrutture

04 Ago 2021
N
Ricardo Nardini

IT System Specialist

La cyber security deve fare molta attenzione a ogni oggetto software e hardware e l’infrastruttura Wi-Fi come tale è nel suo insieme una delle mete preferite per sferrare attacchi informatici, leggasi “FragAttacks”.

Troppo semplice appostarsi in automobile nelle vicinanze di un’azienda e tentare in ogni modo di intrufolarsi all’interno della sua infrastruttura sfruttando la rete Wi-Fi. Per un tentativo di attacco tramite Wi-Fi non si necessita dell’ingresso fisico all’azienda e questa condizione invoglia eventuali attaccanti a provarci instancabilmente.

Per dare una forma alle idee e alle linee guida da seguire, vediamo a cosa fare attenzione e quali sono le prerogative indispensabili per attenuare l’impatto degli attacchi alle nuove vulnerabilità e mitigare le problematiche di queste infrastrutture.

FragAttacks, a rischio tutti i dispositivi Wi-Fi venduti negli ultimi vent’anni: i dettagli

Wi-Fi sicuro: la taratura dell’impianto

Le reti Wi-Fi professionali oggi dispongono di pannelli web “user friendly” che permettono la regolazione di ogni punto d’accesso da un’unica “console”, quindi abilitano alla scelta dei canali, mostrano le versioni firmware su ogni punto d’accesso, la potenza di trasmissione di ogni unità e addirittura si possono regolare le “sordità” di ogni punto d’accesso dell’impianto.

Non ci sono scuse per limitare la rete wireless alle impostazioni di default ed è un approccio erroneo per la cyber security. Inoltre, anche le impostazioni DNS giocano un ruolo fondamentale: infatti, l’ultima vulnerabilità scoperta può costringe i dispositivi Wi-Fi a utilizzare un server DNS malevolo, che a sua volta può indirizzare gli utenti a siti Web dannosi anziché a quelli che intendevano raggiungere.

Da lì, i malintenzionati possono leggere e modificare qualsiasi traffico non crittografato. I server DNS “canaglia” consentono, inoltre, ai malintenzionati di eseguire attacchi di rebinding DNS, in cui siti Web dannosi manipolano un browser per attaccare altri dispositivi connessi alla stessa rete.

Il server DNS malevolo viene introdotto quando il malintenzionato inietta un annuncio router ICMPv6 nel traffico Wi-Fi. I router, in genere, emettono questi annunci in modo che altri dispositivi sulla rete possano individuarli. L’annuncio inserito indica a tutti i dispositivi di utilizzare un DNS specificato dall’autore dell’attacco per le ricerche degli indirizzi IPv6 e IPv4.

La giusta copertura come base per il Wi-Fi sicuro

Un buon perimetro wireless dovrebbe tenere conto anche della quantità di dispositivi per area da coprire. È inutile dare disponibilità di copertura a tanti dispositivi in un’area dove di solito troviamo al massimo pochi utenti che percorrono i corridoi.

Un eccesso di servizio sotto questo punto di vista è anch’esso erroneo, sia per l’inquinamento elettromagnetico che per la sicurezza; pensare solo alle ultime patch per il nostro sistema Wi-Fi è limitativo.

Al momento di iniziare le verifiche del sistema wireless dobbiamo ragionare in termini di “copertura corretta”.

Avere un impianto che segni il massimo di segnale sui dispositivi mobili renderà sicuramente felici gli utenti e l’amministrazione aziendale, ma è una situazione che ci si ritorce contro al momento di mettere in sicurezza la rete.

La ricerca recente sulle dodici vulnerabilità di cui parliamo, condotta in Belgio, ha dimostrato come uno dei meccanismi più importanti della tecnologia Wi-Fi, quello di accomodare i pacchetti in dimensioni variabili in base all’esigenza dello stato della rete in un preciso momento, porti con sé una serie di vulnerabilità sfruttabili dai cyber criminali attraverso le “FragAttacks”.

Queste vulnerabilità (attacco di frammentazione e aggregazione) consentono un metodo di intrusione nel quale iniettare codici o comandi dannosi nel traffico Wi-Fi crittografato, e queste funzionalità di rete hanno al loro interno vulnerabilità che possono essere sfruttate per inviare utenti a siti Web dannosi, sfruttare dispositivi della rete locale per “BOTing”, o manomettere dispositivi connessi alla rete interna.

Queste vulnerabilità sono state quantificate precisamente in dodici e consentono, nel raggio di portata radio, di iniettare frame di loro scelta in reti protette dalla crittografia basata su WPA.

Dallo scorso 20 maggio abbiamo notizia che in Italia una notevole quantità di apparati Wi-Fi hanno ricevuto aggiornamenti di sicurezza, ma è quasi certo che molti dispositivi non verranno mai aggiornati né messi al riparo.

Hacking del Wi-Fi, le minacce alla sicurezza delle reti wireless: come difendersi

Le vulnerabilità FragAttacks: i dettagli

Per entrare nel merito delle “scoperte” in merito alle dodici vulnerabilità FragAttacks, vediamo un elenco di quelle che, secondo il NIST, sono le principali problematiche sulle reti Wi-Fi. Alcune di queste vulnerabilità erano già note, ma a maggio è stato confermato che impattano le reti Wi-Fi nel loro modus operandi.

Difetti di progettazione

  • CVE-2020-24588: attacco di aggregazione (che accetta frame A-MSDU non SPP). Lo standard 802.11 alla base di WPA, WPA2 e WPA3 e WEP non richiede che il flag A-MSDU nel campo dell’intestazione QoS in chiaro sia autenticato. Contro i dispositivi che supportano la ricezione di frame A-MSDU non SSP (che è obbligatorio come parte di 802.11n), un avversario può abusarne per iniettare pacchetti di rete arbitrari.
  • CVE-2020-24587: attacco con chiave mista (ri-assemblaggio di frammenti crittografati con chiavi diverse). Lo standard 802.11 alla base di WPA, WPA2 e WPA3 e WEP non richiede che tutti i frammenti di un frame siano crittografati con la stessa chiave. Un avversario può abusarne per de-crittografare frammenti selezionati quando un altro dispositivo invia frame frammentati e la chiave di crittografia WEP, CCMP o GCMP viene periodicamente rinnovata.
  • CVE-2020-24586: attacco alla cache dei frammenti (non cancella i frammenti dalla memoria durante la riconnessione e connessione a una rete). Lo standard 802.11 alla base di WPA, WPA2 e WPA3 e WEP non richiede che i frammenti ricevuti vengano cancellati dalla memoria dopo la riconnessione e connessione a una rete. Nelle giuste circostanze, quando un altro dispositivo invia frame frammentati crittografati utilizzando WEP, CCMP o GCMP, questo può essere abusato per iniettare pacchetti di rete arbitrari e/o “esfiltrare” i dati dell’utente.

Vulnerabilità di implementazione per l’iniezione di frame di testo in chiaro

  • CVE-2020-26145: Accettazione di frammenti di trasmissione di testo normale come frame completi (in una rete crittografata). Problema noto su dispositivi Samsung Galaxy S3 i9305 4.4.4. Le implementazioni WEP, WPA, WPA2 e WPA3 accettano secondi (o successivi) frammenti di trasmissione anche se inviati in chiaro e li elaborano come frame completi non frammentati. Un avversario può abusarne per iniettare pacchetti di rete arbitrari indipendenti dalla configurazione di rete.
  • CVE-2020-26144: Accettazione di frame A-MSDU di testo normale che iniziano con un’intestazione RFC1042 con EtherType EAPOL (in una rete crittografata). Problema noto su dispositivi Samsung Galaxy S3 i9305 4.4.4. Le implementazioni WEP, WPA, WPA2 e WPA3 accettano frame A-MSDU in testo normale purché i primi 8 byte corrispondano a un’intestazione RFC1042 (vale a dire, LLC/SNAP) valida per EAPOL. Un avversario può abusarne per iniettare pacchetti di rete arbitrari indipendenti dalla configurazione di rete.
  • CVE-2020-26140: Accettazione di frame di dati in testo normale in una rete protetta. Problema noto su driver ALFA Windows 10 6.1316.1209 per dispositivo AWUS036H. Le implementazioni WEP, WPA, WPA2 e WPA3 accettano frame di testo in chiaro in una rete Wi-Fi protetta. Un avversario può abusarne per iniettare frame di dati arbitrari indipendenti dalla configurazione di rete.
  • CVE-2020-26143: Accettazione di frame di dati in chiaro frammentati in una rete protetta. Problema noto su driver ALFA Windows 10 1030.36.604 per dispositivo AWUS036ACH. Le implementazioni WEP, WPA, WPA2 e WPA3 accettano frame di testo in chiaro frammentati in una rete Wi-Fi protetta. Un avversario può abusarne per iniettare frame di dati arbitrari indipendenti dalla configurazione di rete.

Altri difetti di implementazione

  • CVE-2020-26139: inoltro di frame EAPOL anche se il mittente non è ancora autenticato (dovrebbe interessare solo gli AP). Problema noto nel kernel in NetBSD 7.1. Un punto di accesso (AP o Access Point) inoltra i frame EAPOL ad altri client anche se il mittente non si è ancora autenticato con successo all’AP. Questo potrebbe essere abusato nelle reti Wi-Fi previste per lanciare attacchi Denial-of-Service contro i client connessi e rende più facile sfruttare altre vulnerabilità nei client connessi.
  • CVE-2020-26146: ri-assemblaggio di frammenti crittografati con numeri di pacchetti non consecutivi. Problema noto su dispositivi Samsung Galaxy S3 i9305 4.4.4. Le implementazioni WPA, WPA2 e WPA3 ri-assemblano i frammenti con numeri di pacchetto non consecutivi. Un avversario può abusarne per estrarre frammenti selezionati. Questa vulnerabilità è sfruttabile quando un altro dispositivo invia frame frammentati e viene utilizzato il protocollo di riservatezza dei dati WEP, CCMP o GCMP. Si noti che WEP è vulnerabile da tempo a questo attacco in base alla propria progettazione.
  • CVE-2020-26147: ri-assemblaggio di frammenti misti crittografati e/o di testo normale. Problema noto nel kernel Linux 5.8.9. Le implementazioni WEP, WPA, WPA2 e WPA3 ri-assemblano i frammenti anche se alcuni di essi sono stati inviati in chiaro. Questa vulnerabilità può essere sfruttata per iniettare pacchetti e o estrarre frammenti selezionati quando un altro dispositivo invia pezzi di frame, e viene utilizzato il protocollo di riservatezza dei dati WEP, CCMP o GCMP.
  • CVE-2020-26142: elaborazione di frame frammentati come frame completi. Questa vulnerabilità è attualmente in fase di ri-analisi ma è stato confermato che impatta le reti Wi-Fi. Problema noto nel kernel in OpenBSD 6.6. Le implementazioni WEP, WPA, WPA2 e WPA3 trattano i frame frammentati come frame completi. Un avversario può abusarne per iniettare pacchetti di rete arbitrari, indipendentemente dalla configurazione di rete.
  • CVE-2020-26141: non verifica il TKIP MIC dei frame frammentati. Problema noto su driver ALFA Windows 10 6.1316.1209 per AWUS036H. L’implementazione Wi-Fi non verifica il Message Integrity Check (autenticità) dei frame TKIP frammentati. Un avversario può abusarne per iniettare ed eventualmente decifrare pacchetti nelle reti WPA o WPA2 che supportano il protocollo di riservatezza dei dati TKIP.

Wi-Fi sicuro: l’alta velocità non è sempre un bene

Spostandoci lateralmente sull’insieme di cose da verificare, anche un eccesso di velocità di servizio è sconsigliabile.

Tutti vogliono lavorare con una rete veloce ma è l’IT che poi deve fare i conti con la mancanza di banda verso il provider. È vero che oggi nei maggiori punti nevralgici abbiamo banda a sufficienza per servire tutti decorosamente, ma compromettere il servizio della dorsale aziendale creando disservizio delle sale server per accontentare le velocità pretese dal parco Wi-Fi è un errore.

Su quest’ultimo punto dobbiamo ammettere che lavorare su Cloud sia un’ottima soluzione, ma attenzione: minimizzare i controlli firewall è completamente deleterio.

Wi-Fi sicuro: attenti alle credenziali

Ogni cosa, ogni disciplina e ogni tema di questo mondo trova sempre vincente la costante virtuosa dell’equilibrio. Autenticazioni richieste dagli Access Point (AP) ma gestite in modo centralizzato, questa è la chiave.

Per le sicurezze degli account di una rete wireless professionale aziendale, oggi si rende quasi obbligatorio l’autenticazione tramite sistemi come Radius. OpenRadius è per esempio un sistema che pur essendo gratuito, garantisce estrema affidabilità su questo aspetto.

Le infrastrutture aziendali wireless devono dimenticare lo stoccaggio delle credenziali su dispositivi remoti, queste informazioni devono risiedere obbligatoriamente su sistemi custoditi come un Radius.

Da WEP a WPA3, Wi-Fi sicuro nei luoghi pubblici: così cambia il sistema d’autenticazione

Quali novità per il futuro prossimo

Lato tecnologico, si inizia a leggere del 6G, una tecnologia in sviluppo in Asia e arriverà forse sui mercati dopo il 2030. Per il momento dobbiamo aspettarci che i provider Internet accendano più ponti possibili con la tecnologia 5G e quindi le nostre reti Wi-Fi, quanto meno per la parte di navigazione Internet, si troveranno sempre più scariche.

Si calcoli che la velocità promessa per il 5G dovrebbe competere decorosamente con quella del Wi-Fi e per tanto si spera che gli IT torneranno a occuparsi in gran parte della produzione dell’azienda e sempre meno dell’infrastruttura.

Si spera che i produttori di dispositivi mobili laptop introducano nei nuovi modelli la possibilità, come già presentava Toshiba intorno agli anni 2005, di inserire una SIM all’interno del laptop per sfruttare a pieno i servizi Internet senza limitazioni.

Altri punti da considerare

Questo scenario apre, purtroppo, ad altri aspetti della cyber security quando si parla di Wi-Fi sicuro. Se i dispositivi aziendali dell’utenza useranno sempre più le reti veloci dei provider, ci si dovrà concentrare sulle policy dei dispositivi stessi in quanto si apre un varco pericoloso per la cyber security aziendale.

In questo caso sarà compito del IT trovare un sistema che rispetto le regole della vigilanza dei dati.

L’azienda deve rimanere indipendente

Pensare, per esempio, che un ripristino dati su un dispositivo possa avvenire sempre tramite un provider Internet è limitante come idea: le aziende devono sempre offrire autonomia nei confronti dei loro dipendenti e servizi.

Un Disaster Recovery avviene attraverso la rete gestita dall’azienda e al massimo il Cloud aziendale, il meccanismo di recupero da un blackout non può essere lasciato a bordo di un sistema di telefonia e dati mobili.

Inoltre, la gestione dell’IT deve sempre pensare all’emergenza, credere di poter dipendere solo ed esclusivamente dalla banda del provider Internet è un errore strategico.

L’infrastruttura di rete deve essere tutelata nella sua operatività, quindi il Wi-Fi è e sarà necessario nei prossimi anni.

Conclusioni

Le reti Wi-Fi vivranno comunque a lungo in quanto la fascia IoT, per esempio, ne fa un ampio uso e consumo.

Per il resto, la copertura geografica cambia in base alla tecnologia utilizzata e alla morfologia del territorio.

Il 5G ha ancora una copertura limitata mentre un Wi-Fi aziendale è ottimale come servizio e copre solo il perimetro deciso dall’azienda.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5