Table of Contents Table of Contents
Previous Page  78 / 100 Next Page
Information
Show Menu
Previous Page 78 / 100 Next Page
Page Background

EMBEDDED

60 • MAGGIO • 2016

HARDWARE

|

WIRELESS NETWORK

78

rantisce che i dati che vengono trasmessi restino

non solo riservati, ma anche immutati. Questo

fa sì che il sistema di controllo sia autenticato e

che gli aggressori non siano in grado di ricavarne

dati sensibili.

L’associazione di produttori Wi-Fi Alliance ha

integrato questa specifica architettura, secondo

lo standard IEEE 802.11i, nella sua procedura,

nota come Wi-Fi Protected Access 2 (WPA2). In

questa procedura, vi sono due modalità di auten-

ticazione: quella personale e quella aziendale.

Utilizzando la WPA-in modalità personale, si

ha una password comune per tutti i dispositivi

WLAN presenti nella rete. Questa password è

pre-configurata individualmente per tutti i di-

spositivi e gli access point, una condizione prati-

ca per piccole reti.

La WPA-in modalità aziendale per-

mette agli amministratori di asse-

gnare a ciascun dispositivo una chia-

ve diversa e di gestire queste chiavi

attraverso un database centrale di

autenticazione. L’access point può

convalidare ogni dispositivo WLAN

individualmente, ed è anche possibi-

le configurare una chiave unica per

ciascuno di essi e gestirla attraverso

un database. Le password possono

essere gestite centralmente e i dispositivi smar-

riti o sottratti possono essere disconnessi dalla

rete, rimuovendo le relative informazioni dal da-

tabase.

Protezione: mantenere una rete

robusta e affidabile

Le funzioni di gestione di una rete sono controlla-

te da frame di gestione, che sono eccezionalmente

vulnerabili alla contraffazione e alle intercetta-

zioni. Questi pacchetti di rete vengono trasmessi

in modalità wireless, analogamente ai pacchetti

di dati, ma, anziché contenere i dati degli uten-

ti, essi servono ad organizzare il funzionamento

interno della rete. I dispositivi possono utilizzare

i frame di gestione per il login e il logout dalla

rete, inizializzare scambi fondamentali e rilevare

quando passano da un access point a un altro. Le

informazioni possono perciò essere catturate da

frame di gestione che siano stati intercettati e,

quindi, frame di gestione contraffatti possono es-

sere ritrasmessi con falsa identità del mittente.

Questo permette agli aggressori di sconvolgere

l’attività della rete, disconnettendo da essa il di-

spositivo colpito. Per combattere questi attacchi

i frame di gestione protetti (PMF) sono criptati

e garantiti da contraffazione, rendendo impos-

sibile l’uso improprio delle funzioni sensibili di

gestione per attaccare la rete ed estendendo ai

frame di gestione stessi il meccanismo di autenti-

cazione e criptaggio, già presente in WPA2.

Protezione: limitare le opportunità

di comunicazione superflue

Anche il criptaggio più efficace di una WLAN

non offre alcuna protezione quando l’aggressore

si trova al suo interno. Limitando in modo selet-

tivo la comunicazione allo stretto necessario per

il funzionamento dell’applicazione

industriale, gli amministratori pos-

sono porre ulteriori barriere per im-

pedire agli attacchi interni di esten-

dere la loro influenza. Questo tipo di

limitazione è un ulteriore aspetto del

meccanismo di Difesa in Profondi-

tà, che aumenta considerevolmente

la sicurezza complessiva della rete.

Alcune comprovate strategie per li-

mitare la comunicazione all’interno

della rete sono:

Sopprimere ogni comunicazione tra i client con-

nessi, isolandoli così gli uni dagli altri. Sebbene

questo approccio funzioni bene nelle applicazioni

aziendali, spesso non è applicabile a reti indu-

striali perché i clienti WLAN connessi possono

avere la necessità di trasferire direttamente del-

le informazioni per gestire e controllare gli im-

pianti.

Implementare un firewall di Livello 2 configu-

rabile per Ethernet. Il firewall provvederà a fil-

trare selettivamente il traffico tra i client WLAN

e a limitare quello autorizzato a specifici peer o

protocolli. Questo approccio consente un control-

lo più fine e flessibile, protocollo per protocollo.

Installare un sistema di scoperta delle intrusio-

ni (IDS) per il traffico Ethernet. Il sistema può

identificare i client che presentino comportamen-

ti erronei, sospetti o inconsueti, permettendo di

riconoscere e registrare un attacco all’interno

della rete.

Non è saggio fare

affidamento per

la sicurezza della

rete su un unico

punto di difesa

1 73 74 75 76 77 78 79 80 81 82 83 84 100  FlippingBook