Salta al contenuto

Tag: eduroam

SSID Confusion attack (CVE-2023-52424)

Héloïse Gollier e Mathy Vanhoef hanno pubblicato un nuovo attacco alle reti Wi-Fi protette chiamato evocativamente “SSID Confusion”.

Riassunto: attacco di nicchia con impatto limitato per ora, ma molto interessante per capire come funziona la sicurezza Wi-Fi.

Dettagli: L’attacco si basa sulla mancata protezione del SSID con 802.11w (Protected Management rames), protezione che viene introdotta parzialmente in 802.11be (Wi-Fi 7). Quando un’ente usa lo stesso metodo di autenticazione e le stesse  credenziali (es. 802.1X PEAP, o EAP-TLS) su due o più reti diverse (es. TrustedNet e WrongNet), è possibile indurre un client che intende connettersi a TrustedNet, a connettersi a WrongNet senza errori, visualizzando il SSID TrustedNet sul dispositivo.

Lo scenario è la segmentazione delle reti per banda o per livello di sicurezza, ad esempio un SSID rete24 su 2.4 GHz e uno rete5 su 5 GHz, con la stessa autenticazione WPA2 Enterprise dietro.

Oppure, un SSID rete-legacy con PMF disabilitato e un SSID rete-moderna con PMF mandatorio.

Tramite un rogue AP Multi-Channel Man-in-the-Middle (MC-MitM) si può indurre un client a connettersi a una rete differente dalla desiderata, che potrebbe avere un livello d scurezza più basso.

Gli autori citano esplicitamente il mondo eduroam nelle università come un contesto realistico.

La spiegazione tecnica è che dove lo SSID non contribuisce alla creazione della PMK (Pairwise Sesson key da cui derivano le chiavi temporanee di sessione, PTK), le PTK possono essere riusate indifferentemente anche su un diferente SSID che usi la stessa autenticazione. Laddove invece lo SSID viene usato per la creazione della PMK, l’attacco non è possibile.

WPA2 Enterprise e un flavor di WPA3 Personal (SAE-loop) sono vulnerabili, WPA2 Personal e l’altro flavor di WPA3 Personal (SAE-const) sono immuni.

La difesa semplice consiste nel non usare la stessa autenticazione su due reti diverse, per esempio usando passphrase diverse su due reti WPA3 Personal (fin qui è logico), o due metodi EAP differenti, es PEAP e EAP-TTTLS (non è sempre immediato e praticabile).

La difesa complessa è l’inclusione dell’autenticazione forte del SSID in 802.11, e la certificazione obbligatoria da parte della Wi-Fi Alliance. 

Valutazione: Dobbiamo considerare l’impatto di questo attacco rispetto agli scenari in cui è possibile: usare la stessa passphrase in due reti WPA3 Personal è certamente cattiva pratica, ma nel caso di 802.1X l’impatto dell’attacco va confrontato con i benefici della segmentazione delle reti (per livelli di sicurezza e capacità dei client). 

H. Gollier and M. Vanhoef. SSID Confusion: Making Wi-Fi Clients Connect to the Wrong Network. In the Proceedings of the 17th ACM Conference on Security and Privacy in Wireless and Mobile Networks (WiSec), 2024

Ringrazio Nicola Susan che per primo me lo ha segnalato.

Jan

Aggiornamento: il 7/8/2024 l’autore ha pubblicato un chiarimento, in reazione alle molte perplessità sollevate:

First, it’s by no means something to panic about, but it’s nice research to make one think about threat models.

https://www.mathyvanhoef.com/2024/08/the-ssid-confusion-attack-common.html

Lascia un commento

Workshop GARR 2023

Quest’anno wlanitalia ha portato a Roma un laboratorio sulla sicurezza WPA3 e un intero panel di interventi W-Fi, coordinato da Giorgio Giorgetti:

Jan Reister Le soluzioni Cloud Wi-Fi nell’evoluzione dell’infrastruttura di campus – video e pdf

Abstract: Le piattaforme Wi-Fi nel cloud usano tecniche avanzate per risolvere problemi complessi e migliorare la qualità del servizio offerto agli utenti. Insieme ai vantaggi più evidenti, il cambio di paradigma porta con sé considerazioni sull’infrastruttura e sul modo in cui noi tecnici lavoriamo

Marco Santantonio Considerazioni sul tema “Esami su wifi in Ateneo” – video e pdf

Abstract: L’evoluzione degli standard 802.11 e il rilascio delle nuove frequenze sui 6 Ghz rendono oggi più semplice progettare reti wireless ad alta densità di utenti. Come sfruttarle in Ateneo? Uno scenario è quello degli esami in aula. Considerazioni, opportunità e rischi sull’argomento.

Daniele Albrizio eduroam e la comunicazione agli utenti: il caso di units.it – pdf e video

Abstract: La sicurezza e la semplicità d’uso di eduroam passa da una corretta configurazione dei dispositivi. Insieme agli aspetti tecnici, una comunicazione di qualità migliora la sicurezza, aumenta l’autonomia degli utenti e riduce le richieste di supporto tecnico. L’esperienza recente dell’Università di Trieste.

Jacopo Saladini Il roaming e la scoperta nelle reti Wi-Fi – video e pdf

Abstract: Nel Wi-Fi tutto è roaming: da come il dispositivo scopre l’Access point, a come effettivamente fa roaming da AP ad AP con autenticazione 802.1X. Teoria e casi pratici.

Lascia un commento

Workshop GARR 2022

Si parla di Wi-Fi a Net Makers 2022, nello splendido Conservatorio Santa Cecilia a Roma:

Daniele Albrizio ha presentato un argomento caro alla comunità eduroam italiana: Stakeholder di eduroam e degli installer: il silenzio dei grossi Identity Provider – pdf e video al link dell’intervento

abstract: Si parla molto in maniera informale dei difetti dei programmi di installazione di eduroam, ma molto poco di questo parlare finisce sugli issue tracker o sulle mailing-list apposite. E’ rilevante la necessità di indagare ed esporre correttamente e nei luoghi adatti i problemi che impattano gli helpdesk dei grandi gestori di identità come ad esempio le Università. Lavoriamoci su.

Jan Reister ha parlato di Progettazione di reti Wi-Fi: Come e perché progettare reti wi-fi per l’università e la ricerca – pdf e video al link dell’intervento

abstract: Il mondo universitario e della ricerca ha specifici requisiti (dimensioni, alta densità, BYOD, residenze, IoT) che richiedono competenze e strumenti specializzati per progettare reti wi-fi. È necessario investire in conoscenza e nuovi metodi di lavoro per realizzare design ad alte prestazioni. Le competenze possono crescere soprattutto nel confronto con la comunità dei propri pari professionisti WLAN, che condividono problemi e soluzioni in un ambiente aperto e inclusivo – globalmente e ora anche in Italia.

Lascia un commento

14° incontro tecnici WLAN

Per problemi di orario, impegni precedenti e un mio errore di pianificazione l’attesa presentazione di Dario su Hamina è saltata e si terrà invece il prossimo venerdì 24.

Abbiamo chiacchierato in vario metro su Eduroam e sullo sviluppo degli strumenti di onboarding cat.eduroam.org e geteduroam. Ciascun tool ha un repository GitHub (CAT geteduroam) che può essere un luogo interessante per seguirne lo stato di sviluppo e per segnalare potenziali bachi in maniera più gestibile rispetto alle mailing list.

Per la natura improvvisata della conversazione e i temi a tratti confidenziali abbiamo deciso di comune accordo di non pubblicare la registrazione.

Al termine della riunione ci siamo spostati in un’altra stanza per incontrare Kymata e l’azienda madre Guglielmo per conoscere la gamma di prodotti EMI-DAS che Kymata ha sviluppato e brevettato per il wi-fi in ambienti industriali fin dal 2004. L’incontro nasce dall’interesse tecnico per le soluzioni distributed antenna system (DAS) e devo ringraziare Miki Ferrari, Federico Prodi (Kymata) e Giovanni Guerri (Guglielmo) per la disponibilità alle nostre domande e per la grande competenza tecnica e professionale.

Lascia un commento

13° incontro tecnici WLAN

Dove si parla dei problemi di eduroam, progetti outdoor e molto ancora.

Apple ha annunciato che il nuovo iPhone 14 non avrà connettività wi-fi 6Ghz, una delusione per molti di noi che ritengono i 6Ghz un rinascimento delle WLAN. Nel frattempo i telefoni Google Pixel 6 e Samsung Galaxy21 Ultra supportano 6Ghz, e sul mercato si trovano laptop di fascia alta con scheda Intel AX210 6Ghz.

Wi-Fi University è una iniziativa di formazione aperta e gratuita lanciata da 7Signal, sul sito ci sono percorsi di formazione e tematici sul Wi-Fi di qualità molto alta, basati sui numerosi webinar che l’azienda ha fatto nel tempo (e che continua a fare).

Paolo, nuovo partecipante della community ci parla di wi-fi outdoor con il caso di un grande campeggio sull’Appennino in cui in condizioni molto complesse ha realizzato una rete wi-fi con soluzioni ingegnose.

Settimana prossima ci sarà un incontro aperto, separato da wlanitalia e in lingua inglese, dedicato alle soluzioni wi-fi per ambienti industriali con distributed antenna system (DAS) e cavi radianti. Venedì 16/9 alle 16.00, link Zoom su richiesta.

Ancora sul tema wi-fi e salute, segnalo un documento redatto per l’Università degli Studi di Milano: Aspetti normativi, di sicurezza e di tutela della salute dei dispositivi radio wi-fi in Ateneo. E’ sicuramente migliorabile, spoiler: in nessun caso si superano i livelli di legge.

Infine a tempesta perfetta in eduroam, con l’inizio delle lezioni, l’arrivo delle matricole, la configurazione di migliaia di dispositivi e i tool di onboarding che non funzionano: ma andiamo con ordine.

Migliaia di istituzioni accademiche e di ricerca nel mondo usano eduroam non solo per l’autenticazione federata e il roaming, ma soprattutto perché offre a costo zero degli strumenti sicuri di configurazione e onboarding dei dispositivi degli utenti.

Oggi questi strumenti sono in una situazione critica che rischia di generare grossi problemi di supporto alle istituzioni che li usano, e che può degradare significativamente il valore di eduroam per gli enti aderenti.

Il sito di configurazione cat.eduroam.org attualmente ha delle limitazioni:

  • installer Windows10 guasto o parzialmente funzionante (potrebbe essere risolto con una nuova versione il 16/9);
  • GEANTLink (un configuratore EAP) non più supportato su Windows10;
  • Android 9 e successivi con CAT non più supportati;
  • configurazione su MacOS complessa;
  • l’installer Linux usa una versione di Python obsoleta (riferito a Ubuntu 22.04 LTS);
  • le informazioni sul sito sono inadeguate.

Il nuovo configuratore geteduroam, che si interfaccia con la base dati di cat.eduroam.org, dovrebbe essere la soluzione ufficiale di onboarding per tutte le piattaforme, ma:

  • supporta Android 9 e successive, ma non Android 11 a causa di bachi nelle librerie ufficiali di Google;
  • presenta bachi nell’interfaccia utente che ne degradano la UX e lo rendono parzialmente inutilizzabile su telefoni e tablet;
  • due domini .app e .org che generano confusione;

Queste criticità nascono dall’evoluzione e frammentazione dei sistemi operativi, ma soprattutto dalle pochissime risorse che GEANT dedica allo sviluppo software in eduroam.

Gli strumenti cat e geteduroam sono gestiti da un esiguo gruppo di bravissimi sviluppatori privi però degli investimenti (finanziari, HR, gestionali, di governance) necessari a un compito così complesso.

Basti pensare che il luogo pubblico in cui le informazioni e le problematiche che interessano migliaia di enti federati e milioni di utenti nel mondo vengono presentate e discusse sono 2 terse mailing list: cat-users e geteduroam

GEANT, che gestisce il progetto eduroam, dovrebbe investire fondi con decisione e lungimiranza. Come tecnici responsabili di eduroam nelle nostre istituzioni rischiamo di dovere sostenere i costi di:

  • un alto numero di richieste di supporto e
  • un ricorso a soluzioni commerciali di mobile device management (MDM), integrazione e onboarding onerose e proprietarie.

Il primo passo per far capire la serietà della situazione è iscriversi alle mailing list e segnalare lì i problemi riscontrati, bachi, anomalie, e caratteristiche delle richieste di supporto. Così si potrà fare pressione a livello nazionale ed europeo per dimostrare e convincere quanto sia importante una eduroam sicura, accessibile, inclusiva, aperta, pubblica e adeguatamente finanziata.

Lascia un commento

Settimo incontro tecnici WLAN

Dove si discorre di AP nei corridoi, tecniche di progettazione, design predittivo, stampa in eduroam e WLAN dedicate di onboarding.

Jan parla di AP nei corridoi, le ragioni storiche per cui li troviamo spesso lì, perché è assai preferibile installarli altrove, vicino agli utenti, e le alternative a disposizione. Siamo nel ciclo della progettazione WLAN, fase 2:

  1. definire requisiti e vincoli
  2. disegnare la WLAN
  3. installare
  4. validare ed evolvere
fonte: wlanassociation.org

Daniele ha appena finito di configurare Multi-Pre-Shared Keys (MPSK) in Aruba, argomento di cui abbiamo parlato nelle scorse settimane..

Come si stampa quando si è collegati a eduroam? La maggior parte di noi configura manualmente la stampante a partire dall’IP, Dario segnala invece Papercut MF Mobility Print, che ha l’opzione di non stampare sul cloud e rispettare quindi la riservatezza delle informazioni.

Vuoi unirti alla comunità? Lascia un commento, oppure scrivi su Twitter #wlanitalia.

Lascia un commento

Secondo incontro dei tecnici WLAN eduroam

Nuovo ritrovo online lo scorso venerdì 18 marzo 2022. Abbiamo conosciuto nuovi partecipanti e parlato a ruota libera:

  • la rapida evoluzione delle richieste fatte al wi-fi per soddisfare le nuove esigenze di connettività;
  • le aree ad alta densità di utenti (aule e auditorium) e come progettare il dimensionamento;
  • Freeradius, Cisco ISA e MS NPS;
  • grandi campus e picchi di migliaia di utenti;
  • utenti che non usano eduroam CAT per configurare i propri dispositivi, remediation VLAN e captive portal;
  • come rilevare username con spazi nei log;
  • aule da 300 posti (50-60 durante gli esami) con 5-6 AP;
  • il buon vicinato tra enti federati eduroam, e come gestire gli SSID eduroam, eduroam-ENTE e alias per SSID secondari in CAT (multi-tenant eduroam);
  • traffic shaping;
  • la bellezza del golfo di Trieste: interferenze causate dal traffico marittimo;
  • mac address randomization;
  • le certificazioni CWNP (vendor neutral) e quelle Ekahau (ECSE), quanto costano come sono;
  • identity PSK e multiple PSK;
  • cablaggi e certificazioni;
  • gli strumenti Ekahau

Jan Reister ha parlato di quando gli utenti hanno paura del wi-fi, e dei modi in cui si può affrontare la situazione. Fondamentale è avere un regolamento sostenuto dai vertici e comunicare chiaramente. Qui la presentazione:

Settimana prossima, il 25 marzo 2022 L’incontro del 25 è saltato per impegni lavorativi.

Alessandro Macuz potrebbe parlare della certificazione CWNA e Daniele Albrizio farà una presentazione su Ekahau tra due settimane, nell’incontro di venerdì 2 aprile 2022.

Vuoi presentare qualcosa di tuo? Lo spazio è libero e a disposizione!

Se conosci persone interessate a partecipare per condividere lo spirito aperto e indipendente di questi incontri, passa parola.

Lascia un commento

Primo incontro della comunità tecnica eduroam WLAN

Dopo una discussione sulla lista GARR eduroamtech, che raccoglie i contatti tecnici eduroam, un po’ di persone hanno manifestato interesse a degli incontri di confronto e scambio di esperienze sui temi delle WLAN e di eduroam in particolare.

Con un sondaggio abbiamo scelto di vederci il venerdì ed il primo incontro è stato l’11 marzo. C’erano colleghi di atenei pubblici e privati, enti di ricerca, istituti e scuole: in una chiaccherata di un’ora abbiamo toccato molti argomenti:

  • autenticazione in eduroam, come superare le password, usare EAP-TLS e come diavolo distribuire i certificati;
  • gli aggiornamenti tecnologici dell’hardware installato come opportunità per estendere il servizio, e le sfide che ne nascono (design);
  • disegnare aree ad alta densità di utenti, gestire il carico e la capacità;
  • localizzazione (RTLS) e i suoi usi dal macro (statistiche sull’uso degli spazi) al micro (navigazione negli edifici);
  • residenze studentesche e usi creativi/intensivi del wi-fi
  • il cambiamento delle esigenze e delle richieste in questi due anni, ora il wi-fi è indispensabile e ci si deve poter fare tutto, dalle videoconferenze all’IoT;
  • il nostro ruolo, spesso tuttofare nell’IT e nel networking di dove lavoriamo;
  • l’AUP GARR, le policy, gli aspetti organizzativi: sicurezza e salute sul posto di lavoro, normative europee, paure degli utenti;
  • dispositivi IoT e smart-home incompatibile con 802.1x;
  • la gestione degli ospiti, i captive portal;
  • architetture controller– e cloud-based;
  • la segmentazione degli utenti: profili, filtri, VLAN, SSID;
  • Wi-Fi 6E (6Ghz), switch multi Gbit e POE 802.3bt;
  • mailing list, Twitter, Slack;
  • uscire dall’ambito strettamente legato al nostro ruolo in eduroam, coinvolgendo altri colleghi, chi lavora per vendor, consulenti e aziende

Questo fine settimana ho registrato il dominio e messo in piedi questo sito, una mailing list è in preparazione. La registrazione dell’incontro Zoom non è come mi aspettavo, ma va bene così!

Lascia un commento