Gli attacchi al protocollo WEP compromettono la confidenzialità
delle comunicazioni, minacciate dalla possibile intercettazione di comunicazioni
private su wireless LAN 802.11b.
Tuttavia, esiste una minaccia ancor più pericolosa
nascosta nella rottura delle comunicazioni WEP: infatti, alcuni Access Point
possono essere gestiti, mediante applicativi proprietari basati sul protocollo
SNMP, attraverso il collegamento wireless. L’esecuzione di tali operazioni può
rappresentare una pericolosa vulnerabilità per l’intera wireless LAN, poiché
l’intercettatore potrebbe entrare a conoscenza delle password per accedere in
lettura/scrittura sull’Access Point. In altri termini, potrebbe condividere
gli stessi privilegi dell’amministratore della WLAN e gestirla in maniera non
autorizzata.
Un modello dell’SNMP
Il Simple Network Management Protocol (SNMP) utilizza un paradigma
manager/Management Information Base (MIB)/agent, come mostra la Figura 1.

Figura 1
Questo paradigma si basa su un manager che richiede informazioni
ad un agent in un determinato formato di codifica detto MIB. L’agent invocato
processa la richiesta, recupera l’informazione e la invia al manager, se disponibile.
In caso contrario invia la causa dell’indisponibilità. Secondo il paradigma
manager/MIB/agent, l’interfaccia utente si limita a svolgere soltanto il ruolo
di strato di presentazione ed è progettata utilizzando accorgimenti grafici
con il solo scopo di aumentare l’usabilità delle funzioni di recupero e consultazione
dei dati. Le applicazioni di gestione, inoltre, offrono uno strumento per la
formattazione dei dati recuperati e forniscono uno strato aggiuntivo composto
di funzioni di controllo della Network Management Station (NMS).
[pagebreak]
Rendere sicuri gli Agent e le NMS
La versione 1 del protocollo SNMP offre strumenti deboli per
rendere sicuri i processi di comunicazione tra l’NMS e l’agent. La sola forma
di autenticazione prevista dall’SNMP consiste nell’ uso di un Community Name,
mentre meccanismi più robusti per rafforzare la sicurezza possono essere forniti
da software di terze parti. Più dettagliatamente, la sola protezione offerta
dal Community Name contro gli accessi non autorizzati consiste in una stringa
di caratteri contenuta nell’header dell’SNMP. Tale stringa rappresenta un valore
che, se riconosciuto dall’agent, autorizza l’NMS ad eseguire l’attività richiesta
con il messaggio SNMP. Il comando Get Community Name consente all’agent la lettura
delle variabili MIB, mentre il comando Set Community Name autorizza l’agent
alla scrittura degli oggetti MIB di tipo read-writable. Alcuni testi identificano
tali nomi come Read and Write Community Name. Molti produttori preconfigurano
come “public” i Community Name dei propri agent ed NMS. Il primo passo per l’amministrazione
via SNMP consiste generalmente, perciò, nella modifica di tale impostazione,
al fine di evitare che un qualsiasi NMS possa modificare le informazioni degli
agent.
La minaccia dell’SNMP in ambiente WLAN
L’amministrazione di un Access Point mediante un collegamento
wireless può avere implicazioni realmente pericolose: infatti, considerati i
diversi attacchi al protocollo WEP effettuabili attraverso strumenti facilmente
reperibili su Internet, è opportuno considerare un collegamento wireless 802.11b
assolutamente insicuro. Ciò dovrebbe essere già sufficiente per convincersi
sull’inopportunità di qualsiasi operazione di tipo confidenziale attraverso
un tale tipo di collegamento. Di seguito verrà quindi mostrato quale sia il
rischio legato all’utilizzo dell’ammministrazione di un Access Point via SNMP
wireless. Consideriamo perciò un Access Point con indirizzo fisso pari a 153.69.254.250
ed una stazione con indirizzo IP 153.69.254.53 ed ipotizziamo che l’amministratore
utilizzi l’applicativo di gestione proprietario fornito sul CD-ROM associato
all’apparato wireless. Come descritto in precedenza, il Community Name assumerà
il suo valore di default: public. Innanzi tutto l’amministratore modificherà
questo valore attribuendogli un nuovo nome che tenga conto delle regole per
la costruzione di una password robusta. In questo articolo, per fini di semplicità
e chiarezza (e solo per questo!), ipotizzerò che il valore scelto sia rw_pwd.
A questo punto l’amministratore potrà utilizzare tale stringa per l’accesso
(esattamente come con una password) all’applicativo proprietario per la gestione
dal lato client, ovvero per l’accesso diretto all’Access Point utilizzando il
protocollo SNMP. In tal modo il Community Name consentirà all’amministratore
(e a chiunque ne sia a conoscenza!) di accedere in lettura/scrittura ai parametri
di configurazione dell’Access Point. La figura 2 mostra ciò che è visibile ad
un intercettatore che riesce nel suo attacco al WEP e che è in ascolto sulla
stessa wireless LAN.
![]()
Figura 2
La figura mostra che il Community Name dell’SNMP, posto a
rw_pwd, è stato inviato in chiaro (su WEP) dalla stazione di gestione all’Access
Point e tale valore, come detto in precedenza, corrisponde alla password che
consente l’accesso all’applicazione. In questo modo l’intercettatore condivide
con l’amministratore la possibilità di gestione dell’Access Point conoscendone
la password di lettura/scrittura. Qual è, allora, l’utilità di utilizzare un
Community Name robusto se verrà poi inviato in chiaro sul canale WEP? L’utilità
è nulla, fatto salvo il caso in cui l’attacco al WEP non abbia successo, ove
eviterebbe almeno attacchi (forza bruta, dizionario) alle password dell’applicativo
di gestione.
Figura 3
[pagebreak]
A questo punto l’hacker, se decidesse di manifestare la propria
presenza, potrebbe modificare le chiavi WEP ed il Community Name introducendo
valori a sua scelta. Potrebbe, ad esempio, attribuire al Community Name il valore
readwrite_pwd. Tale operazione verrebbe effettuata, analogamente alla precedente,
in chiaro su WEP, come mostrato in figura 3. Così facendo, se il legittimo amministratore
non fosse in grado di attaccare a sua volta l’hacker con tecniche analoghe,
perderebbe la possibilità di accedere logicamente al proprio Access Point (figura
4), pur mantenendo le responsabilità sullo stesso! In questa situazione l’unica
contromisura consisterebbe, perciò, nell’accesso fisico all’Access Point per
re-inizializzarlo con i valori di default del costruttore.
Figura 4
L’ultima considerazione riguarda l’aumento del rischio per
la rete nel caso in cui l’hacker non avesse intenzione di rendersi visibile.
Nel precedente caso l’attività fraudolenta era immediatamente percepibile dall’amministratore,
che avrebbe potuto quindi adottare adeguate contromisure per evitare danni peggiori:
in questo caso, invece, l’hacker avrebbe accesso a tutte le informazioni di
gestione all’insaputa di tutti e potrebbe sfruttarle in tempi e modi a sua scelta,
non consentendo all’amministratore alcuna contromossa.
Contatti: Gianluigi Me, gianluigi@wi-fiforum.com Per contattare
noi: editor@wi-fitechnology.com Wi-Fi Technology Forum© 2003, L’utilizzo di
questo articolo al di fuori di questo sito deve essere preventivamente autorizzato.
E’ tacitamente accordato l’utilizzo di un link o di un paragrafo di questo articolo.
Sito: http://www.wi-fitechnology.com
[1]
The Wi-Fi Technology Forum seeks to become a lobby to advocate,
review and advise on all Wi-Fi products, services and publications. While other
organizations are concerned with standards, classifications and certifications,
The Wi-Fi Technology Forum wish to position itself as price and quality as well
as value for money Watch-dog. Dealing with Wi-Fi Technology news, its Wi-Fi Newswire is one of the most read, syndicated and distributed on the Internet.