Modulo 12: Concetti di WLAN

Elementi essenziali di switching, routing e

wireless v7.0 (SRWE)
Obiettivi del modulo
Titolo del modulo: Concetti di WLAN

Obiettivo del modulo: Spiegare in che modo WLAN abilitano la connettività di rete.

Titolo argomento Obiettivo argomento

Introduzione al wireless Descrivere la tecnologia e gli standard WLAN.

Componenti delle WLAN Descrivere i componenti di un'infrastruttura WLAN.

Spiegare in che modo la tecnologia wireless abilita il funzionamento della

Funzionamento di WLAN
WLAN.
Funzionamento di CAPWAP Spiegare come un WLC utilizza CAPWAP per gestire più punti di accesso.

Gestione dei canali Descrivere la gestione dei canali in una WLAN.

Minacce alla WLAN Descrivere le minacce alle WLAN.

Protezione delle WLAN Descrivere i meccanismi di sicurezza WLAN.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 13
12.1 Introduzione al wireless

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 14
Introduzione al wireless
I vantaggi del wireless
• Una LAN wireless (WLAN) è un tipo di
rete wireless comunemente utilizzato in
ambienti domestici, uffici e campus.
• Le WLAN rendono possibile la mobilità
all'interno dell'ambiente domestico e
aziendale.
• Le infrastrutture wireless si adattano
alle esigenze e alle tecnologie in rapida
evoluzione.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 15
Introduzione al wireless
Tipi reti wireless
• Wireless Personal-Area Network (WPAN)— Bassa potenza e corto raggio (20-
30ft o 6-9 metri). Basato sullo standard IEEE 802.15 e frequenza 2,4 GHz.
Bluetooth e Zigbee sono esempi WPAN.
• Wireless LAN (WLAN)— Reti di medie dimensioni fino a circa 300 piedi. Basato
sullo standard IEEE 802.11 e frequenza 2,4 o 5,0 GHz.
• Wireless MAN (WMAN)— Ampia area geografica come città o distretto. Utilizza
frequenze specifiche con licenza.
• Wireless WAN (WWAN) — Ampia area geografica per la comunicazione nazionale
o globale. Utilizza frequenze specifiche con licenza.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 16
Introduzione al wireless
Tecnologie wireless
Bluetooth — Standard IEEE WPAN
utilizzato per l'accoppiamento di dispositivi
fino a 100 m di distanza.
• Bluetooth Low Energy (BLE) - Supporta la
topologia mesh per dispositivi di rete su larga
scala.

• Bluetooth Basic Rate (BR/EDR) - Questo

supporta topologie punto a punto ed è
ottimizzato per lo streaming audio.

WiMAX (Worldwide Interoperability for

Microwave Access)— Collegamenti
Internet via cavo a banda larga alternativi.
IEEE 802.16 WLAN standard per un
massimo di 30 miglia (50 km).
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 17
Introduzione al wireless
Tecnologie wireless (seguito)
Cellular Broadband— Trasporta sia voce
che dati. Utilizzato da telefoni, automobili,
tablet e laptop.
• Sistema globale di Mobile (GSM) —
Riconosciuto a livello internazionale

• Code Division Multiple Access (CDMA) -

Utilizzato principalmente negli Stati Uniti.

Satellite Broadband— Utilizza parabola

satellitare direzionale allineata con il satellite
in orbita geostazionaria. Ha bisogno di una
linea chiara del sito. Tipicamente utilizzato in
località rurali in cui cavo e DSL non sono
disponibili.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 18
Introduzione al wireless
Standard 802.11
Gli standard WLAN 802.11 definiscono il modo in cui le frequenze radio vengono
utilizzate per i collegamenti wireless.
Standard IEEE Radiofrequenza Descrizione

802.11 2,4 GHz Velocità dati fino a 2 MB/s

802.11a 5 GHz Velocità dati fino a 54 MB/s
Non interoperabile con 802.11bo 802.11g
802.11b 2,4 GHz Velocità dati fino a 11 MB/s
Portata più lunga di 802.11a e meglio in grado di penetrare le
strutture edilizie
802.11g 2,4 GHz Velocità dati fino a 54 MB/s
Retrocompatibile con 802.11b
802.11n 2,4 e 5 GHz Velocità dati 150 — 600 MB/s
Richiede più antenne con tecnologia MIMO
802.11ac 5 GHz Velocità dati 450 MB/s — 1,3 Gb/s
Supporta fino a otto antenne
802.11ax 2,4 e 5 GHz Wireless ad alta efficienza (HEW)
In grado di utilizzare frequenze
© 2016daCisco1e/oGHz
riservato Cisco
e 7 GHz
i relativi affiliati. Tutti i diritti sono riservati. Documento
19
Introduzione al wireless
Frequenze radio
Tutti i dispositivi wireless funzionano nell'intervallo dello spettro elettromagnetico. Le
reti WLAN operano nelle bande di frequenza 2,4 e 5 GHz.
• 2,4 GHz (UHF) — 802.11b/g/n/ax
• 5 GHz (SHF) — 802.11a/n/ac/ax

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 20
Introduzione al wireless
Organizzazioni di standard wireless
Gli standard garantiscono l'interoperabilità tra dispositivi realizzati da diversi
produttori. A livello internazionale, le tre organizzazioni che influenzano gli standard
WLAN sono:
• International Telecommunication Union (ITU) — Regola l'allocazione dello
spettro radio e delle orbite satellitari.
• Institute of Electrical and Electronics Engineers (IEEE)— Specifica come una
frequenza radio è modulata per trasportare informazioni. Mantiene gli standard
per le reti locali e metropolitane (MAN) con la famiglia di standard IEEE 802
LAN/MAN.
• Wi-Fi Alliance— Promuove la crescita e l'accettazione delle WLAN. Si tratta di
un'associazione di fornitori il cui obiettivo è migliorare l'interoperabilità dei prodotti
basati sugli standard 02.11

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 21
12.2 Componenti di WLAN

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 22
Componenti di WLAN
Video - Componenti di WLAN

In questo video verranno illustrati i seguenti elementi:

• Antenne
• Router wireless
• Porta Internet
• Access point wireless
• Punti di accesso autonomi e basati su controller

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 23
Componenti di WLAN
NIC wireless

Per comunicare in modalità wireless,

laptop, tablet, smartphone e persino le
automobili più recenti includono NIC
wireless integrati che incorporano un
trasmettitore/ricevitore radio.
Se un dispositivo non dispone di una NIC
wireless integrata, è possibile utilizzare un
adattatore wireless USB.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 24
Componenti di WLAN
Router domestico wireless

Un utente domestico in genere

interconnette dispositivi wireless utilizzando
un piccolo router wireless.
I router wireless sono i seguenti:
•Punto di accesso — Fornisce l'accesso ai cavi

•Switch — Interconnette dispositivi cablati

•Router - Fornisce un gateway predefinito ad

altre reti e a internet

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 25
Componenti di WLAN
Punto di accesso wireless

I client wireless utilizzano la NIC wireless

per scoprire i punti di accesso (AP) nelle
vicinanze.
I client tentano quindi di associarsi e
autenticarsi con un AP.
Dopo essere stati autenticati, gli utenti
wireless hanno accesso alle risorse di rete.

Punti di accesso Cisco Meraki Go

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 26
Componenti di WLAN
Categorie AP
Gli AP possono essere classificati come AP
autonomi o AP basati su controller.
• APS autonomi— Dispositivi autonomi
configurati tramite interfaccia a riga di
comando o GUI. Ogni AP autonomo
agisce indipendentemente dagli altri ed
è configurato e gestito manualmente da
un amministratore.
• AP basati su controller- Noti anche
come AP leggeri (LAP). Utilizzare
LWAPP (Lightweight Access Point
Protocol) per comunicare con un
controller LWAN (WLC). Ogni LAP viene
configurato e gestito automaticamente
dal WLC.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 27
Componenti WLAN
Antenne wireless

Tipi di antenne esterne:

• Omnidirezionale— Fornisce una
copertura a 360 gradi. Ideale in case e
uffici.
• Direzionale— Mette a fuoco il segnale
radio in una direzione specifica. Esempi
sono la Yagi e il piatto parabolico.
• Multiple Input Multiple Output (MIMO) -
Utilizza più antenne (fino a otto) per
aumentare la larghezza di banda.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 28
12.3 Funzionamento di
WLAN

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 29
Funzionamento di WLAN
Video — Funzionamento di WLAN
In questo video verranno illustrati i seguenti elementi:
• Modalità infrastruttura
• Modalità ad hoc
• Tethering
• Basic Service Set (BSS)
• Extended Service Set (ESS)
• Struttura frame 802.11
• Carrier Sense Multiple Access Collision Avoidance (CSMA/CA)
• Associazione AP client wireless
• Modalità di consegna passiva e attiva

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 30
Funzionamento di WLAN
Modalità di topologia wireless 802.11

Modalità ad hoc - Utilizzato per

connettere i client in modo peer-to-peer
senza un AP.

Modalità infrastruttura - Utilizzato per

connettere i client alla rete utilizzando
un AP.

Tethering - Variazione della topologia

ad hoc è quando uno smartphone o un
tablet con accesso ai dati cellulare è
abilitato per creare un hotspot
personale.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 31
Funzionamento di WLAN
BSS e ESS

La modalità Infrastruttura definisce

due blocchi di topologia:
Basic Service Set (BSS)
• Utilizza AP singolo per interconnettere
tutti i client wireless associati.
• I client in BSS diversi non possono
comunicare.
Extended Service Set (ESS)
• Un'unione di due o più BSS interconnessi
da un sistema di distribuzione cablato.
• I clienti di ogni BSS possono comunicare
attraverso l'ESS.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 32
Funzionamento di WLAN
Struttura frame 802.11

Il formato 802.11 è simile al formato frame Ethernet, tranne che contiene

più campi.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 33
Funzionamento di WLAN
CSMA/CA
Le WLAN sono half-duplex e un client non può "sentire" durante l'invio, rendendo
impossibile rilevare una collisione.
Le WLAN utilizzano l'accesso multiplo del vettore con l'elusione delle collisioni
(CSMA/CA) per determinare come e quando inviare i dati. Un client wireless esegue
le seguenti operazioni:
1. Ascolta il canale per vedere se è inattivo, cioè non vi è nessun altro traffico
attualmente sul canale.
2. Invia un messaggio pronto per inviare (RTS) l'AP per richiedere l'accesso
dedicato alla rete.
3. Riceve un messaggio chiaro da inviare (CTS) dall'AP che concede l'accesso
all'invio.
4. Attende una quantità casuale di tempo prima di riavviare il processo se non viene
ricevuto alcun messaggio CTS.
5. Trasmette i dati.
6. Riconosce tutte le trasmissioni. Se un client wireless non riceve una conferma,
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento

presuppone che si sia verificata una collisione e riavvia il processo

riservato Cisco 34
Funzionamento di WLAN
Client wireless e associazione AP

Affinche i dispositivi wireless

possano comunicare su una rete,
devono prima associarsi a un AP
o router wireless.
I dispositivi wireless completano il
seguente processo in tre fasi:
• Scoperta di un AP wireless
• Autenticazione con l'AP
• Associazione con l'AP

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 35
Funzionamento di WLAN
Client wireless e associazione AP (seguito)

Per ottenere un'associazione di successo, un client wireless e un AP

devono concordare parametri specifici:
• SSID - Il client deve conoscere il nome della rete da connettere.
• Password – Questo è necessario dal client wireless per l'autenticazione all'AP.
• Modalità di rete – Lo standard 802.11 in uso.
• Modalità di protezione - Le impostazioni dei parametri di protezione, ad
esempio WEP, WPA o WPA2.
• Impostazioni canale — Le bande di frequenza in uso.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 36
Funzionamento di WLAN
Modalità di individuazione passiva e attiva
I client wireless si connettono all'AP
utilizzando un processo di scansione
(sondaggio) passivo o attivo.
• Modalità passiva — AP pubblicizza
apertamente il suo servizio inviando Modalità
periodicamente fotogrammi beacon passiva
broadcast contenenti l'SSID, gli
standard supportati e le impostazioni
di sicurezza.
• Modalità attiva - I client wireless
devono conoscere il nome dell'SSID.
Il client wireless avvia il processo
Modalità
trasmettendo un frame di probe attiva
request su più canali.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 37
12.4 Funzionamento di
CAPWAP

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 38
Funzionamento di CAPWAP
Video – CAPWAP

In questo video verranno illustrati i seguenti elementi:

• Funzione di CAPWAP (Control And Provisioning of Wireless Access Point)
• Architettura Split Media Access Control (MAC)
• Crittografia DTLS
• AP Flex Connect

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 39
Funzionamento di CAPWAP
Introduzione a CAPWAP
• CAPWAP è un protocollo standard IEEE che
consente a un WLC di gestire più AP e WLAN.

• Basato su LWAPP ma aggiunge ulteriore

sicurezza con Datagram Transport Layer
Security (DLTS).
• Incapsula e inoltra il traffico client WLAN tra
un AP e un WLC tramite tunnel utilizzando
le porte UDP 5246 e 5247.
• Funziona sia su IPv4 che IPv6. IPv4 utilizza
il protocollo IP 17 e IPv6 utilizza il protocollo
IP 136.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 40
Funzionamento di CAPWAP
Architettura Split MAC

Il concetto MAC split CAPWAP esegue

tutte le funzioni normalmente eseguite dai Funzioni AP MAC Funzioni MAC WLC
singoli AP e le distribuisce tra due Beacon e probe Autenticazione
componenti funzionali: request

• Funzioni AP MAC Acknowledgement e Associazione e

ritrasmissioni riassociazione dei clienti
• Funzioni MAC WLC pacchetto in roaming
Accodamento dei Traduzione di frame ad
frame e priorità dei altri protocolli
pacchetti
Crittografia e Terminazione del traffico
decrittografia dei dati 802.11 su un'interfaccia
del livello MAC cablata

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 41
Funzionamento di CAPWAP
Crittografia DTLS

• DTLS fornisce sicurezza tra AP e WLC.

• È abilitato per impostazione predefinita

per proteggere il canale di controllo
CAPWAP e crittografare tutto il traffico
di gestione e controllo tra AP e WLC.
• La crittografia dei dati è disabilitata per
impostazione predefinita e richiede una
licenza DTLS per essere installata sul
WLC prima che possa essere abilitata
nell'AP.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 42
Funzionamento di CAPWAP
AP Flex Connect
FlexConnect consente la configurazione e il controllo di APS tramite un collegamento WAN.
Esistono due modalità di opzione per l'AP FlexConnect:
• Modalità connessa - Il WLC è raggiungibile. L'AP FlexConnect ha connettività CAPWAP con il
WLC attraverso il tunnel CAPWAP. Il WLC esegue tutte le funzioni CAPWAP.
• Modalità standalone - Il WLC non è raggiungibile. L'AP FlexConnect ha perso la connettività
CAPWAP con il WLC. L'AP FlexConnect può assumere alcune delle funzioni WLC come la
commutazione del traffico dati client localmente e l'esecuzione dell'autenticazione client
localmente.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 43
12.5 Gestione del canale

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 44
Gestione del canale
Saturazione del canale di frequenza
Se la richiesta di un canale wireless specifico è troppo elevata, il canale potrebbe diventare
troppo saturo, degradando la qualità della comunicazione.
La saturazione del canale può essere mitigata utilizzando tecniche che utilizzano i canali in
modo più efficiente.
• Direct-Sequence Spread Spectrum (DSSS)- Una tecnica di modulazione progettata per
diffondere un segnale su una banda di frequenza più grande. Utilizzato dai dispositivi
802.11b per evitare interferenze da altri dispositivi che utilizzano la stessa frequenza 2,4
GHz.
• Frequency-Hopping Spread Spectrum (FHSS)- Trasmette segnali radio commutando
rapidamente un segnale portante tra molti canali di frequenza. Mittente e ricevitore devono
essere sincronizzati per "sapere" a quale canale passare. Utilizzato dallo standard 802.11
originale.
• Orthogonal Frequency-Division Multiplexing (OFDM) - Un sottoinsieme di multiplexing
a divisione di frequenza in cui un singolo canale utilizza più sottocanali su frequenze
adiacenti. OFDM è utilizzato da una serie di sistemi di comunicazione tra cui
802.11a/g/n/ac. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 45
Gestione del canale
Selezione del canale
• La banda 2,4 GHz è suddivisa in più canali ciascuno assegnato 22 MHz larghezza di
banda e separata dal canale successivo da 5 MHz.
• Una procedura consigliata per le WLAN 802.11b/g/n che richiedono più punti di accesso
è utilizzare canali non sovrapposti come 1, 6 e 11.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 46
Gestione del canale
Selezione del canale (seguito)
• Per gli standard 5GHz 802.11a/n/ac, ci sono 24 canali. Ogni canale è separato dal
canale successivo di 20 MHz.
• I canali non sovrapposti sono 36, 48 e 60.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 47
Gestione del canale
Pianificare una distribuzione WLAN
Il numero di utenti supportati da una
WLAN dipende da quanto segue:
• La struttura geografica della struttura
• Il numero di corpi e dispositivi che
possono adattarsi in uno spazio
• Le velocità di trasmissione dati che gli
utenti si aspettano
• L'uso di canali non sovrapposti da più
punti di accesso e impostazioni di
potenza di trasmissione
Quando si pianifica la posizione degli AP,
l'area di copertura circolare
approssimativa è importante.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 48
12.6 Minacce alla WLAN

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 49
Minacce alla WLAN
Video – Minacce alle WLAN

In questo video verranno illustrati i seguenti elementi:

• Intercettazione dei dati
• Intrusi wireless
• Attacchi DoS (Denial of Service)
• AP non autorizzati

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 50
Minacce alla WLAN
Panoramica sulla sicurezza wireless
Una WLAN è aperta a chiunque si trovi nel raggio di un AP e alle credenziali
appropriate da associare ad esso.
Gli attacchi possono essere generati da estranei, dipendenti scontenti e persino
involontariamente dai dipendenti. Le reti wireless sono specificamente suscettibili a
diverse minacce, tra cui:
• Intercettazione dei dati
• Intrusi wireless
• Attacchi DoS (Denial of Service)
• AP non autorizzati

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 51
Minacce alla WLAN
Attacchi DoS
Gli attacchi DoS wireless possono essere il risultato di quanto segue:
• Dispositivi configurati in modo non corretto
• Un utente malintenzionato interferisce intenzionalmente con la comunicazione
wireless
• Interferenza accidentale
Per ridurre al minimo il rischio di un attacco DoS a causa di dispositivi configurati in
modo errato e attacchi dannosi, indurire tutti i dispositivi, mantenere le password
protette, creare backup e assicurarsi che tutte le modifiche alla configurazione siano
incorporate fuori orario.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 52
Minacce alla WLAN
Punti di accesso non autorizzati
• Un AP canaglia è un router AP o wireless connesso a una rete aziendale senza
autorizzazione esplicita e contro i criteri aziendali.
• Una volta connesso, l'AP canaglia può essere utilizzato da un utente
malintenzionato per acquisire indirizzi MAC, acquisire pacchetti di dati, accedere
alle risorse di rete o lanciare un attacco man-in-the-middle.
• Un hotspot di rete personale potrebbe anche essere usato come AP canaglia. Ad
esempio, un utente con accesso sicuro alla rete consente al proprio host Windows
autorizzato di diventare un AP Wi-Fi.
• Per impedire l'installazione di AP non autorizzati, le organizzazioni devono
configurare WLC con criteri AP non corretti e utilizzare software di monitoraggio
per monitorare attivamente lo spettro radio per gli AP non autorizzati.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 53
Minacce alla WLAN
Attacco Man-in-the-Middle

In un attacco man-in-the-middle (MITM), l'hacker è posizionato tra due entità

legittime al fine di leggere o modificare i dati che passano tra le due parti.
Un attacco MITM wireless popolare è chiamato attacco “evil twin AP”, in cui
un attaccante introduce un AP canaglia e lo configura con lo stesso SSID di
un AP legittimo.
Sconfiggere un attacco MITM inizia con l'identificazione di dispositivi
legittimi sulla WLAN. A tale scopo, gli utenti devono essere autenticati. Dopo
che tutti i dispositivi legittimi sono noti, la rete può essere monitorata per
rilevare dispositivi o traffico anomali.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 54
12.7 WLAN sicure

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 55
WLAN sicure
Video – WLAN sicure

In questo video verranno illustrati i seguenti elementi:

• Cloaking SSID
• Configurazione del filtro degli indirizzi MAC
• Sistemi di autenticazione e crittografia (Open Authentication e Shared Key
Authentication)

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 56
WLAN sicure
Cloaking SSID e filtro indirizzi MAC
Per affrontare le minacce derivanti dalla protezione degli intrusi wireless e dalla
protezione dei dati, sono state utilizzate due funzionalità di sicurezza iniziali che sono
ancora disponibili nella maggior parte dei router e degli AP:
Cloaking SSID
• AP e alcuni router wireless consentono di disabilitare il frame beacon SSID. I client
wireless devono essere configurati manualmente con l'SSID per connettersi alla
rete.

Configurazione del filtro degli indirizzi MAC

• Un amministratore può autorizzare o negare manualmente l'accesso wireless ai
client in base all'indirizzo hardware fisico MAC. Nella figura, il router è configurato
per consentire due indirizzi MAC. I dispositivi con indirizzi MAC diversi non
saranno in grado di aderire alla WLAN a 2,4 GHz.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 57
WLAN sicure
Metodi di autenticazione originali 802.11
Il modo migliore per proteggere una rete wireless è utilizzare sistemi di autenticazione
e crittografia. Con lo standard 802.11 originale sono stati introdotti due tipi di
autenticazione:
Autenticazione di sistema aperta
• Non è richiesta alcuna password. Tipicamente utilizzato per fornire la connessione
internet gratuita nelle aree comuni come caffè, aeroporti e hotel.
• Il client è responsabile della fornitura di sicurezza, ad esempio tramite una VPN.
Autenticazione con chiave condivisa
• Fornisce meccanismi, come WEP, WPA, WPA2 e WPA3 per autenticare e
crittografare i dati tra un client wireless e AP. Tuttavia, la password deve essere
pre-condivisa tra entrambe le parti per connettersi.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 58
WLAN sicure
Metodi di autenticazione a chiave condivisa
Attualmente sono disponibili quattro tecniche di autenticazione a chiave condivisa,
come illustrato nella tabella.
Metodo di autenticazione Descrizione
Wired Equivalent Privacy La specifica 802.11 originale è stata progettata per proteggere i dati utilizzando
(WEP) il metodo di crittografia Rivest Cipher 4 (RC4) con una chiave statica. WEP
non è più raccomandato e non deve mai essere utilizzato.
Wi-Fi Protected Access (WPA) Uno standard Wi-Fi Alliance che utilizza WEP ma protegge i dati con
l'algoritmo di crittografia TKIP (Temporal Key Integrity Protocol) molto più
potente. TKIP cambia la chiave per ogni pacchetto, rendendo più difficili gli
attacchi di pirateria informatica.
WPA2 Utilizza l'Advanced Encryption Standard (AES) per la crittografia. AES è
attualmente considerato il protocollo di crittografia più efficace.
WPA3 Questa è la prossima generazione di sicurezza Wi-Fi. Tutti i dispositivi abilitati
WPA3 utilizzano i metodi di sicurezza più recenti, non consentono protocolli
legacy obsoleti e richiedono l'uso di frame di gestione protetti (PMF).

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 59
WLAN sicure
Autenticazione di un utente domestico
I router domestici in genere hanno due opzioni
per l'autenticazione: WPA e WPA2, WPA 2 ha
due metodi di autenticazione.
• Personale- Destinato alle reti domestiche o
di piccoli uffici, gli utenti si autenticano
utilizzando una chiave pre-condivisa (PSK). I
client wireless si autenticano con il router
wireless utilizzando una password pre-
condivisa. Non è richiesto alcun server di
autenticazione speciale.
• Enterprise— Destinato alle reti aziendali.
Richiede un server di autenticazione RADIUS
(Remote Authentication Dial-In User Service).
Il dispositivo deve essere autenticato dal
server RADIUS e quindi gli utenti devono
autenticarsi utilizzando lo standard 802.1X,
che utilizza l'Extensible Authentication
Protocol (EAP) per l'autenticazione. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 60
WLAN sicure
Metodi di crittografia
WPA e WPA2 includono due protocolli di
crittografia:
• TKIP (Temporal Key Integrity
Protocol) — Utilizzato da WPA e
fornisce supporto per apparecchiature
WLAN legacy. Fa uso di WEP ma
crittografa il payload di Layer 2
utilizzando TKIP.
• Advanced Encryption Standard (AES)
- Utilizzato da WPA2 e utilizza la
modalità Counter Cipher con CCMP
(Block Chaining Message Authentication
Code Protocol) che consente agli host di
destinazione di riconoscere se i bit
crittografati e non crittografati sono stati
alterati.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 61
WLAN sicure
Autenticazione in Entreprise
La scelta della modalità di protezione
dell'organizzazione richiede un server
RADIUS di autenticazione, autorizzazione
e accounting (AAA).
Ci sono informazioni richieste:
• Indirizzo IP del server RADIUS-
Indirizzo IP del server.
• Numeri di porta UDP - Le porte UDP
1812 per l'autenticazione RADIUS e
1813 per l'account RADIUS, ma
possono anche funzionare utilizzando
le porte UDP 1645 e 1646.
Nota: L'autenticazione e l'autorizzazione
• Chiave condivisa- Utilizzata per
dell'utente sono gestite dallo standard 802.1X,
autenticare l'AP con il server RADIUS.
che fornisce un'autenticazione centralizzata
basata su server degli utenti finali.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 62
WLAN sicure
WPA 3
Poiché WPA2 non è più considerato sicuro, WPA3 è consigliabile quando disponibile.
WPA3 include quattro caratteristiche:
• WPA3 — Personale: Contrasta gli attacchi di forza bruta utilizzando
l'autenticazione simultanea degli uguali (SAE).
• WPA3 — Enterprise: Utilizza l'autenticazione 802.1X/EAP. Tuttavia, richiede l'uso
di una suite crittografica a 192 bit ed elimina la miscelazione dei protocolli di
sicurezza per gli standard 802.11 precedenti.
• Reti aperte: Non utilizzano alcuna autenticazione. Tuttavia, utilizzano la
crittografia wireless opportunistica (OWE) per crittografare tutto il traffico wireless.
• Onboarding IoT: Utilizza Device Provisioning Protocol (DPP) per caricare
rapidamente i dispositivi IoT.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 63