Excelsa soluzioni informatiche - Modena

L'utilizzo di un router wireless per accedere alla propria rete ed ad Internet è comune in tante installazioni sia domestiche che aziendali. La scarsa attenzione riservata da tanti utenti al tema della sicurezza informatica, si traduce nella pratica in una moltitudine di reti Wi-Fi non adeguatamente protette, che potrebbero permettere ad un estraneo di accedere alla nostra rete locale ed esaminare il traffico dati in transito.

La presente guida cerca di elencare, in maniera semplice, concisa e generica, gli accorgimenti più immediati da implementare nella configurazione del proprio router/access point wireless, al fine di impedire la connessione da parte di utenti non autorizzati. Queste norme basilari, comunque condivisibili anche per le esigenze di una semplice rete domestica, dovrebbero rivelarsi indispensabili in ogni realtà professionale ed aziendale, al fine di fornire una serie di misure minime per la protezione dei dati gestiti.

N.B.: Le procedure e le denominazioni riportate nella presente guida sono relative alla procedura standard di configurazione dei modelli a marchio Netgear. La guida riporterà altresì la traduzione in italiano delle diverse funzioni analizzate, perseguendo un approccio il più generalizzato possibile, per far si che le varie operazioni possano essere correttamente identificate su qualsiasi modello di router o access point. Per qualsiasi dubbio od incertezza in merito, non esitate a contattarci: cercheremo di rispondervi velocemente, senza alcun tipo di obbligo da parte vostra.

Ci concentreremo in particolare nella configurazione di:

• Password per accesso al pannello di controllo del router
• Broadcasting dell'SSID
• Crittografia
• MAC address

Password per accesso al pannello di controllo del router

La prima cosa da fare, prima di procedere oltre, è di modificare la password necessaria per l'accesso al pannello di amministrazione del router, in quanto la password predefinita potrebbe essere facilmente identificabile da estranei, anche senza grosse competenze informatiche.

E' quindi necessario utilizzare il browser preferito (Internet Explorer, Mozilla Firefox, Google Chrome, ecc.) e digitare l'indirizzo IP (Internet Protocol) del router, dopo essersi collegati allo stesso con un cavo di rete, ed essersi accertati che il PC utilizzato per la configurazione abbia l'indirizzo IP impostato in DHCP (Dynamic Host Configuration Protocol), e quindi possa riceverlo automaticamente da parte del router.

N.B.: Se non sapete come verificare l'impostazione o cosa significhi indirizzo IP, è probabile che non abbiate bisogno di modificare questa impostazione, in quanto è quella di default per quasi tutti i diversi sistemi operativi.

Nella barra dell'indirizzo del browser, digitare l'indirizzo IP del router (tipicamente 192.168.1.1 oppure 192.168.0.1); dovrebbe apparire la finestra per l'inserimento delle credenziali di accesso. Nella quasi totalità dei modelli di router ed access point, la combinazione di username e password standard sono l'accoppiata admin-admin oppure admin-password. Se così non fosse, consigliamo di controllare le etichette poste al di sotto del router, che nei modelli di diverse marche potrebbero riportare questi dati, o eventualmente la documentazione specifica.

Ottenuto l'accesso al menu di configurazione, identificare la pagina per la modifica della password. Scegliere una nuova password "robusta", che contenga sia caratteri numerici che alfabetici (sia maiuscoli che minuscoli) e caratteri speciali, di lunghezza non inferiore agli 8 caratteri.

Broadcasting dell'SSID

L'SSID (Service Set Identifier) è il nome con cui una rete wireless si "presenta" agli utenti. Quasi tutti i router in commercio hanno impostato di default il broadcasting del SSID, cioè annunciano pubblicamente il nome della rete Wi-Fi, in maniera che ai dispositivi nelle vicinanze sia possibile avere una lista delle reti disponibili in zona, dalla quale scegliere quella appropriata alla quale connettersi. Come nome di default per l'SSID viene solitamente usato la marca e/o il modello di router o access point.

E' quindi assolutamente consigliato modificare innanzitutto il nome dell'SSID, in modo che i malintenzionati eventualmente interessati a penetrare all'interno della nostra rete non partano già da una posizione "privilegiata", conoscendo dettagli dell'hardware al quale si stanno preparando per lanciare l'attacco.

Inoltre è preferibile disabilitare il broadcasting, ovvero l'annuncio pubblico del nome del proprio SSID. Ciò comporterà la necessità di conoscere il nome esatto della rete, prima di connettere un qualsiasi dispositivo alla WLAN. Se eventualmente questo dovesse rivelarsi un problema, magari per gli utenti meno "esperti", potrà venir temporaneamente riattivato il broadcasting dell'SSID, almeno per permettere la prima connessione.

Per modificare le impostazioni dell'SSID sarà necessario accedere al pannello di configurazione del router, accedere alle impostazioni "Wireless", e quindi provvedere ad immettere il nome dell'SSID (SSID Name) ed abilitare/disabilitare la trasmissione del nome dell'SSID (Allow Broadcast of SSID Name).

Crittografia

La cifratura dei dati in transito sulla connessione wireless è un'altra precauzione da prendere, durante la configurazione della nostra rete Wi-Fi. La scelta dell'algoritmo di crittografia più appropriato sarà da effettuare accedendo al pannello di amministrazione del router, ed entrando nell'apposita sezione relativa alle Impostazioni wireless (Wireless settings) oppure Sicurezza wireless (Wireless security).

Andrà assolutamente evitato di lasciare disabilitata (disabled) la cifratura dei dati, così come di utilizzare il protocollo WEP (Wired Equivalent Privacy) che, sebbene sia da considerarsi la precauzione minima indispensabile per impedire a un utente qualsiasi di poter accedere alla rete, risulta comunque velocemente "craccabile". Sono stati scoperti seri difetti nell'implementazione di questo algoritmo crittografico, che permetterebbero ad un utente malintenzionato, in ascolto sulla rete wireless, di poter risalire alla chiave "segreta" nel giro di pochi minuti.

Negli anni si è palesata la necessità della revisione di questo protocollo, e nel 2003 la Wi-Fi Alliance ha rilasciato il più sicuro standard WPA (Wi-Fi Protected Access), che oggi fa parte dell'IEEE 802.11i (meglio conosciuto come WPA2). Il protocollo WPA aumenta il numero delle chiavi in uso e la loro complessità, oltre ad implementare un migliore sistema per la verifica dell'autenticità dei messaggi, a tutto beneficio della sicurezza della WLAN. Anche in questo caso, però, la sicurezza non è perfettamente garantita, in quanto alcuni ricercatori hanno dimostrato la possibilità che anche il WPA possa essere forzato, anche se in questo caso si tratterebbe di tempi nell'ordine di minuti, anzichè di secondi come nel caso del WEP).

In ogni caso il WPA sarebbe stata una soluzione temporanea, necessaria per sostituire velocemente il protocollo WEP, mentre lo standard 802.11i (WPA2) veniva ultimato. Sono state create due diverse "versioni" di questo standard: il WPA2-Personal, che utilizza il metodo PSK (Pre-Shared Key) a chiave condivisa, ed il WPA2-Enterprise, che necessita invece di un server di autenticazione.

La Pre-shared key (ovvero "chiave precedentemente condivisa") andrà impostata sul router, ed è in pratica la "password" messa a protezione della WLAN, che andrà immessa in qualsiasi client che desidereri connettersi. La chiave, di lunghezza compresa tra gli 8 ed i 63 caratteri, dovrà essere decisamente "robusta" (combinazione alfa-numerica complessa, contenente anche simboli speciali, evitando qualsiasi termine di senso compiuto). Il protocollo WPA2-PSK è la migliore soluzione per la protezione di una rete wireless domestica, e comunque di tutte quelle realtà dove non è disponibile un server Radius per l'autenticazione autenticazione, per le quali è invece preferibile il WPA2-Enterprise.

Il WPA2-Enterprise ha un'importante differenza, rispetto al WPA2-Personal: per accedere alla rete i client dovranno ottenere l'autenticazione attraverso un server Radius, oppure un server Windows con i servizi Active Directory attivati. Questo metodo di autenticazione, conosciuto anche come 802.11X/EAP (Extensible Authentication Protocol), è probabilmente la soluzione migliore, anche se non tutte le schede di rete Wi-Fi supportano questo tipo di autenticazione.

MAC address

Quasi tutti i router presenti in commercio danno la possibilità di implementare un livello di sicurezza aggiuntivo, oltre a quelli fin qui accennati, e riguardanti il filtro sull'indirizzo MAC (Media Access Control). Il MAC è un codice di 48 bit, che identifica in maniera univoca ogni scheda di rete esistente al mondo.

Accedendo al pannello di amministrazione del router, identificare la sezione relativa alle Impostazioni wireless(Wireless settings) oppure Sicurezza wireless (Wireless security). Qui dovrebbe essere presente la possibilità di immettere la Lista del controllo di accesso (Access List, Wireless Station Access List), immettendo gli indirizzi MAC dei computer esplicitamente autorizzati (Permit) a connettersi alla rete wireless.

N.B.: Una volta attivato questo ulteriore controllo, non sarà possibile creare nessuna nuova connessione alla WLAN, pur conoscendo la Pre-shared key, senza che preventivamente sia stato aggiunto l'indirizzo MAC del client.

L'indirizzo MAC delle interfacce di rete viene solitamente riportato sull'etichetta apposta direttamente sull'hardware. Se questa non dovesse essere presente, sarà necessario:

• sistema Windows: lanciare il comando ipconfig /all dal prompt dei comandi;
• sistema Mac OS X, accedere alle Preferenze di sistema, cliccare su Network, selezionare l'interfaccia wireless e cliccare sul pulsante Avanzate;
• sistema Linux, lanciare il comando ifconfig -a da terminale.

Le precauzioni appena accennate dovrebbero essere considerate il primo passo, per porre la propria rete Wi-Fi in sicurezza. Non dobbiamo mai dimenticare che i segnali radio, essendo diffusi nell'etere, potrebbero essere intercettati da malintenzionati, eventualmente presenti nelle vicinanze. Non si tratta dunque di spirito filantropico, ma semplicemente di ovvie precauzioni atte alla tutela dei dati presenti in rete.