Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza delle reti wireless: Firewall, Access Point e protocolli di sicurezza, Appunti di Sistemi di reti

Una panoramica completa sulla sicurezza delle reti wireless, esaminando in dettaglio i firewall, gli access point (ap) e i protocolli di sicurezza. Vengono analizzate le funzioni degli ap, l'autenticazione degli host e il ruolo del server radius. Inoltre, vengono descritti i metodi di accesso al canale, come pcf e csma/ca, e i protocolli di sicurezza wep, wpa e wpa2, evidenziando le loro modalità di funzionamento e le tecniche di autenticazione. Una guida chiara e dettagliata per comprendere le diverse componenti e i meccanismi di sicurezza impiegati nelle reti wireless, rendendolo una risorsa utile per studenti e professionisti del settore. Approfondisce le tecniche di autenticazione e cifratura, fornendo una solida base per la progettazione e la gestione di reti wireless sicure. Esplora le vulnerabilità e le contromisure, offrendo una visione completa delle sfide e delle soluzioni nel campo della sicurezza delle reti wireless.

Tipologia: Appunti

2024/2025

In vendita dal 17/11/2025

mo7ammed
mo7ammed 🇮🇹

5 documenti

1 / 11

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
FIREWALL
Cos’è un firewall?
Software che controlla il traffico in ingresso/uscita da un host o da una
rete.
Filtra il traffico in base a certe regole.
Il firewall viene installato sul punto di contatto tra la rete interna (intranet)
e rete esterna (extranet).
Il software può essere installato:
1. su un router (ACL → Livello di rete)
2. su un computer (Proxy/Reverse Proxy → Livello di applicazione)
I firewall vengono classificati anche in relazione al livello a cui operano:
Packet filtering router - stateless firewall
Filtra il traffico in base all’indirizzo IP e al nr di porta. Non tiene memoria
delle operazioni precedenti.
Circuit gateway - a livello di traffico di rete
Permette o meno l’apertura di una connessione in base a certe regole.
L’implementazione è complessa e richiede molto tempo per la
realizzazione.
Application gateway - a livello di applicazione
Viene installato su un computer apposito chiamato FIREWALL.
PROXY
È un sistema che si sostituisce al client per richiedere un
servizio in rete. Contiene le regole del firewall. Svolge
operazioni di caching.
REVERSE PROXY
È un sistema che si sostituisce al server per erogare un
servizio. Contiene le regole del firewall.
L’application gateway è un insieme di PROXY e REVERSE PROXY.
Il firewall è installato su un computer chiamato BASTION HOST
pf3
pf4
pf5
pf8
pf9
pfa

Anteprima parziale del testo

Scarica Sicurezza delle reti wireless: Firewall, Access Point e protocolli di sicurezza e più Appunti in PDF di Sistemi di reti solo su Docsity!

FIREWALL

Cos’è un firewall? ➔ Software che controlla il traffico in ingresso/uscita da un host o da una rete. ➔ Filtra il traffico in base a certe regole. ➔ Il firewall viene installato sul punto di contatto tra la rete interna (intranet) e rete esterna (extranet).

Il software può essere installato:

  1. su un router (ACL → Livello di rete)
  2. su un computer (Proxy/Reverse Proxy → Livello di applicazione)

I firewall vengono classificati anche in relazione al livello a cui operano: ● Packet filtering router - stateless firewall Filtra il traffico in base all’indirizzo IP e al nr di porta. Non tiene memoria delle operazioni precedenti. ● Circuit gateway - a livello di traffico di rete Permette o meno l’apertura di una connessione in base a certe regole. L’implementazione è complessa e richiede molto tempo per la realizzazione. ● Application gateway - a livello di applicazione Viene installato su un computer apposito chiamato FIREWALL.

PROXY È un sistema che si sostituisce al client per richiedere un servizio in rete. Contiene le regole del firewall. Svolge operazioni di caching.

REVERSE PROXY È un sistema che si sostituisce al server per erogare un servizio. Contiene le regole del firewall.

● L’application gateway è un insieme di PROXY e REVERSE PROXY. ● Il firewall è installato su un computer chiamato BASTION HOST

BASTION HOST

Caratteristiche principali: ● Sistema operativo minimale Il software è ridotto all’essenziale, con un numero minimo di righe di codice e servizi attivi, per diminuire il rischio di bug e vulnerabilità. ● Account amministrativo unico È presente un solo account admin , per ridurre la superficie di attacco. ● File di log COG Viene generato un file denominato COG che: ○ Contiene informazioni dettagliate sul traffico di rete. ○ È memorizzato in una directory dedicata. ○ Serve a migliorare la sicurezza del sistema. ○ Aiuta a individuare vulnerabilità software. ○ Permette di raccogliere dati da fornire, se necessario, alle autorità competenti. ● File system in sola lettura Impedisce modifiche non autorizzate, aumentando la sicurezza. ● Chrooting Le applicazioni vengono eseguite in un ambiente isolato ( chroot jail ), ovvero una directory separata dal resto del sistema, per contenere eventuali compromissioni.

DMZ (Zona demilitarizzata)

Porzione di rete tra due router che contengono il firewall:

Per sovrapposizione parziale ➢ Le reti wireless al punto 1 si chiamano IBSS (Indipendent BSS). Per realizzare una rete wireless estesa utilizzo più BSA parzialmente sovrapposte. L’accesso al canale è con un metodo a contesa (CSMA/CA). ➢ L’host che si prenota per primo può accedere al canale per un determinato intervallo di tempo. ➢ VANTAGGI: Economico e semplice da configurare. ➢ SVANTAGGI: Sicurezza limitata e velocità di trasmissione limitata. ➢ Utilizzate in ambienti SOHO (Small Office/Home).

Utilizzo di una infrastruttura dedicata (Distribution System) ➢ Le reti wireless al punto 2 si chiamano ESS (Extended Service Set). ➢ Si utilizza un DS per collegare le diverse BSA. ➢ Il DS svolge funzioni di associazione di un host alla rete, la dissociazione e funzioni di sicurezza (firewall).

Tra i diversi apparati si utilizzano Access Point (AC) e Server Radius

Funzionalità dell’Access Point (AP) L’Access Point (AP) svolge diverse funzioni fondamentali per garantire la connessione e la gestione degli host all'interno di una rete wireless:

  1. Collegamento fisico (Livello 1 - ISO/OSI): L’AP fornisce il collegamento fisico con gli host delle proprie Basic Service Area (BSA) o con altri AP tramite connessione wireless. Questo avviene grazie all'utilizzo di apposite antenne, tecniche di modulazione e codifiche di linea.
  2. Accesso alla rete (Livello 2 - Collegamento dati): L’AP permette l’accesso alla rete tramite protocolli di accesso al mezzo come CSMA/CA. In questa fase, ogni host connesso viene registrato in una tabella contenente i relativi indirizzi MAC.
  3. Autenticazione degli host: L’AP può gestire l’autenticazione degli host prima di consentire l’accesso alla rete. Le modalità di autenticazione possono includere: ○ Connessione automatica: Nessuna autenticazione richiesta. ○ Autenticazione condivisa: Tutti gli host utilizzano lo stesso nome utente e password. ○ Autenticazione individuale: Ogni host dispone di proprie credenziali (nome utente e password).
  4. Funzionalità di Gateway: L’AP può operare come gateway tra una rete wireless (basata sul protocollo IEEE 802.11) e una rete cablata (basata su IEEE 802.3), convertendo le intestazioni dei pacchetti tra i due standard.

Il ruolo del Server RADIUS

Il Server RADIUS è un sistema AAA (Authentication, Authorization, Accounting) che offre un livello superiore di sicurezza rispetto alla semplice gestione dell’AP:

● Autenticazione: Verifica l’identità degli host prima di consentire l’accesso alla rete. ● Autorizzazione: Stabilisce i permessi di accesso per ciascun utente. ● Accounting: Tiene traccia delle attività degli utenti sulla rete, generando un file di log contenente tutte le trasmissioni e sessioni registrate.

● Trasmissione → Il servizio garantisce la trasmissione di messaggi secondo un qualche protocollo (802.11, 802.15, …)

METODI DI ACCESSO AL CANALE

PREMESSA: La banda (intervallo di frequenza) è suddivisa in canali. L’insieme dei canali e gli intervalli di tempo disponibili per la trasmissione si chiamano RISORSE.

Le risorse a disposizione su un canale wireless possono essere gestite:

  1. L’AP → mette a disposizione canali e intervalli temporali agli host che ne fanno richiesta utilizzando tecniche di SPREAD SPECTRUM (FHSS, DSSS, CDMA, OFDM, …) → Modalità di funzionamento PCF (Point Coordination Function)
  2. I diversi host presenti in una BSA si contendono il canale (CSMA/CA) → Modalità di funzionamento DCF (Distributed CF)

PCF (Gestiti dall’AP) Prevedono che l’AP gestisca le trasmissioni dei diversi host riservando le opportune risorse. I diversi host inviano una richiesta di utilizzo del canale. L’AP genera, a partire dalle richieste, una coda (POLLING). L’AP invia in BROADCAST a tutti gli host presenti nella rispettiva BSA di competenza un frame contenente l’elenco di tutte le trasmissioni in coda. Quando un host non ha il permesso di trasmettere si mette in attesa (per garantire un risparmio energetico). La fase di PCF serve all’AP per rilevare nuovi host che intendono associarsi. → Metodo di accesso deterministico

DCF Sono una categoria di metodi a contesa. CSMA/CA (Carrier Sense Multiple Access/Collision avoidance) Sulle reti cablate è sempre possibile individuare una collisione. Questo non è più vero per reti wireless (problema della stazione nascosta). Se un host intende trasmettere si mette in ascolto del canale (rileva se è presente o meno l’onda portante).

Se un host intende trasmettere si mette in ascolto del canale (rileva se è presente i meno l’onda portante). Se il canale è occupato l’host riprova dopo un certo intervallo di tempo secondo l’algoritmo di BACKOFF ESPONENZIALE. Se il canale risulta libero per un tempo superiore a DIFS (Distributed Inter Frame Spacing), l’host invia un particolare Frame chiamato RTS (Request To Send) all’AP. Se disponibile l’AP invia un frame detto CTS (Clear To Send) in broadcast a tutti gli host. L’AP avvisa tutti gli host che le risorse non saranno più disponibili per un tempo NAV (Network Allocation Vector) per un risparmio energetico. Il CTS deve arrivare entro un tempo SIFS (short IFS) < DIFS

CSMA/CA

  1. Metodo a contesa
  1. Ci sono 2 tipi di attori: host e AP
  2. Un host ascolta il canale se è libero per un tempo DIFS occupa il canale con un frame RTS
  3. L’AP, se ha risorse a disposizione, risponde con un frame LTS entro un tempo SIFS (<DIFS)
  4. L’host inizia a trasmettere verso l’host destinatario e si aspetta un ACK (frame di conferma) entro un tempo SIFS
  5. Se non arriva la conferma reinvia il pacchetto
  6. Se il canale risulta libero per un tempo PIFS (>SIFS ma <DIFS) l’AP può prendere il controllo del canale

A. Lunghezza della chiave limitata B. Dopo un certo numero di pacchetti l’IV si ripete.

Autenticazione Chiave condivisa. Tutti gli utenti hanno la stessa chiave. La chiave non cambia da una sessione ad un’altra

Integrità Utilizza la codifica CRC-32. L’hash è composto da 32 bit.

WPA

Sostituisce il WEP nel garantire la sicurezza sulle reti wireless. Mantiene la compatibilità con il WEP.

Riservatezza Utilizza sempre l’algoritmo RC4 con IV a 48 bit (per garantire la retrocompatibilità). Viene utilizzato il protocollo TKIP per cambiare e distribuire la chiave di cifratura, (TKIP→ Temporal Key Integrity Protocol). Ogni utente ha una diversa chiave.

Autenticazione Esistono 2 modalità di funzionamento ● WPA-PSK: a chiave precondivisa utilizzata in ambienti SOHO ● WPA-EAP: Per l’autenticazione utilizza il protocollo 802.1.x su un server RADIUS. Tutte le trasmissioni tra host e server RADIUS vengono incapsulate a livello di DATA LINK in frame utilizzando il protocollo EAPOL (EAP over LAN)

Integrità Sfrutta il protocollo MIC (Message Integrity Code), è in realtà una suite che mette a disposizione diversi algoritmi di HASH. Può utilizzare CBC-MAC (Cipher Block Chaining Message Authentication Code), CBC è un algoritmo di cifratura. disegno

WPA 2 Esistono 2 modalità: ● WPA2-PSK: a chiave precondivisa ● WPA-Enterprise: Per realtà aziendali

Riservatezza AES al posto dell’ RC4, CCMP al posto di TKIP

Autenticazione Uguale a WPA (802.1.x)

Integrità Utilizza il protocollo MIC. Ha a disposizione più algoritmi di HASH.