Gli attacchi al protocollo WEP compromettono la confidenzialità delle comunicazioni, minacciate dalla possibile intercettazione di comunicazioni private su wireless LAN 802.11b.

Tuttavia, esiste una minaccia ancor più pericolosa nascosta nella rottura delle comunicazioni WEP: infatti, alcuni Access Point possono essere gestiti, mediante applicativi proprietari basati sul protocollo SNMP, attraverso il collegamento wireless. L’esecuzione di tali operazioni può rappresentare una pericolosa vulnerabilità per l’intera wireless LAN, poiché l’intercettatore potrebbe entrare a conoscenza delle password per accedere in lettura/scrittura sull’Access Point. In altri termini, potrebbe condividere gli stessi privilegi dell’amministratore della WLAN e gestirla in maniera non autorizzata.

Un modello dell’SNMP

Il Simple Network Management Protocol (SNMP) utilizza un paradigma manager/Management Information Base (MIB)/agent, come mostra la Figura 1.

Figura 1

Questo paradigma si basa su un manager che richiede informazioni ad un agent in un determinato formato di codifica detto MIB. L’agent invocato processa la richiesta, recupera l’informazione e la invia al manager, se disponibile. In caso contrario invia la causa dell’indisponibilità. Secondo il paradigma manager/MIB/agent, l’interfaccia utente si limita a svolgere soltanto il ruolo di strato di presentazione ed è progettata utilizzando accorgimenti grafici con il solo scopo di aumentare l’usabilità delle funzioni di recupero e consultazione dei dati. Le applicazioni di gestione, inoltre, offrono uno strumento per la formattazione dei dati recuperati e forniscono uno strato aggiuntivo composto di funzioni di controllo della Network Management Station (NMS).

Rendere sicuri gli Agent e le NMS

La versione 1 del protocollo SNMP offre strumenti deboli per rendere sicuri i processi di comunicazione tra l’NMS e l’agent. La sola forma di autenticazione prevista dall’SNMP consiste nell’ uso di un Community Name, mentre meccanismi più robusti per rafforzare la sicurezza possono essere forniti da software di terze parti. Più dettagliatamente, la sola protezione offerta dal Community Name contro gli accessi non autorizzati consiste in una stringa di caratteri contenuta nell’header dell’SNMP. Tale stringa rappresenta un valore che, se riconosciuto dall’agent, autorizza l’NMS ad eseguire l’attività richiesta con il messaggio SNMP. Il comando Get Community Name consente all’agent la lettura delle variabili MIB, mentre il comando Set Community Name autorizza l’agent alla scrittura degli oggetti MIB di tipo read-writable. Alcuni testi identificano tali nomi come Read and Write Community Name. Molti produttori preconfigurano come “public” i Community Name dei propri agent ed NMS. Il primo passo per l’amministrazione via SNMP consiste generalmente, perciò, nella modifica di tale impostazione, al fine di evitare che un qualsiasi NMS possa modificare le informazioni degli agent.

La minaccia dell’SNMP in ambiente WLAN

L’amministrazione di un Access Point mediante un collegamento wireless può avere implicazioni realmente pericolose: infatti, considerati i diversi attacchi al protocollo WEP effettuabili attraverso strumenti facilmente reperibili su Internet, è opportuno considerare un collegamento wireless 802.11b assolutamente insicuro. Ciò dovrebbe essere già sufficiente per convincersi sull’inopportunità di qualsiasi operazione di tipo confidenziale attraverso un tale tipo di collegamento. Di seguito verrà quindi mostrato quale sia il rischio legato all’utilizzo dell’ammministrazione di un Access Point via SNMP wireless. Consideriamo perciò un Access Point con indirizzo fisso pari a 153.69.254.250 ed una stazione con indirizzo IP 153.69.254.53 ed ipotizziamo che l’amministratore utilizzi l’applicativo di gestione proprietario fornito sul CD-ROM associato all’apparato wireless. Come descritto in precedenza, il Community Name assumerà il suo valore di default: public. Innanzi tutto l’amministratore modificherà questo valore attribuendogli un nuovo nome che tenga conto delle regole per la costruzione di una password robusta. In questo articolo, per fini di semplicità e chiarezza (e solo per questo!), ipotizzerò che il valore scelto sia rw_pwd. A questo punto l’amministratore potrà utilizzare tale stringa per l’accesso (esattamente come con una password) all’applicativo proprietario per la gestione dal lato client, ovvero per l’accesso diretto all’Access Point utilizzando il protocollo SNMP. In tal modo il Community Name consentirà all’amministratore (e a chiunque ne sia a conoscenza!) di accedere in lettura/scrittura ai parametri di configurazione dell’Access Point. La figura 2 mostra ciò che è visibile ad un intercettatore che riesce nel suo attacco al WEP e che è in ascolto sulla stessa wireless LAN.

Figura 2

La figura mostra che il Community Name dell’SNMP, posto a rw_pwd, è stato inviato in chiaro (su WEP) dalla stazione di gestione all’Access Point e tale valore, come detto in precedenza, corrisponde alla password che consente l’accesso all’applicazione. In questo modo l’intercettatore condivide con l’amministratore la possibilità di gestione dell’Access Point conoscendone la password di lettura/scrittura. Qual è, allora, l’utilità di utilizzare un Community Name robusto se verrà poi inviato in chiaro sul canale WEP? L’utilità è nulla, fatto salvo il caso in cui l’attacco al WEP non abbia successo, ove eviterebbe almeno attacchi (forza bruta, dizionario) alle password dell’applicativo di gestione.

Figura 3

A questo punto l’hacker, se decidesse di manifestare la propria presenza, potrebbe modificare le chiavi WEP ed il Community Name introducendo valori a sua scelta. Potrebbe, ad esempio, attribuire al Community Name il valore readwrite_pwd. Tale operazione verrebbe effettuata, analogamente alla precedente, in chiaro su WEP, come mostrato in figura 3. Così facendo, se il legittimo amministratore non fosse in grado di attaccare a sua volta l’hacker con tecniche analoghe, perderebbe la possibilità di accedere logicamente al proprio Access Point (figura 4), pur mantenendo le responsabilità sullo stesso! In questa situazione l’unica contromisura consisterebbe, perciò, nell’accesso fisico all’Access Point per re-inizializzarlo con i valori di default del costruttore.

Figura 4

L’ultima considerazione riguarda l’aumento del rischio per la rete nel caso in cui l’hacker non avesse intenzione di rendersi visibile. Nel precedente caso l’attività fraudolenta era immediatamente percepibile dall’amministratore, che avrebbe potuto quindi adottare adeguate contromisure per evitare danni peggiori: in questo caso, invece, l’hacker avrebbe accesso a tutte le informazioni di gestione all’insaputa di tutti e potrebbe sfruttarle in tempi e modi a sua scelta, non consentendo all’amministratore alcuna contromossa.

Contatti: Gianluigi Me, gianluigi@wi-fiforum.com Per contattare noi: editor@wi-fitechnology.com Wi-Fi Technology Forum© 2003, L’utilizzo di questo articolo al di fuori di questo sito deve essere preventivamente autorizzato. E’ tacitamente accordato l’utilizzo di un link o di un paragrafo di questo articolo.

Sito: http://www.wi-fitechnology.com

[1]

The Wi-Fi Technology Forum seeks to become a lobby to advocate, review and advise on all Wi-Fi products, services and publications. While other organizations are concerned with standards, classifications and certifications, The Wi-Fi Technology Forum wish to position itself as price and quality as well as value for money Watch-dog. Dealing with Wi-Fi Technology news, its Wi-Fi Newswire is one of the most read, syndicated and distributed on the Internet.