Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Sicurezza del router Wi-Fi

Le principali impostazioni di sicurezza offerte dai router ADSL per rendere inattaccabile la nostra rete Wireless
Le principali impostazioni di sicurezza offerte dai router ADSL per rendere inattaccabile la nostra rete Wireless
Link copiato negli appunti

La cronaca di rete ci insegna che lasciare una connessione senza fili disponibile ad accessi non autorizzati non è un comportamento consigliabile. Chiunque sarà in grado di utilizzarla, nel migliore dei casi per guardare velocemente una casella di posta elettronica, oppure se non siamo fortunati per compiere un atto illecito o navigare su siti "particolari" o ancora compromettere la rete e i computer ad essa connessi.

Se non bastasse, ricordiamoci sempre che ogni azione compiuta da un soggetto maliziosamente intrufolato nella nostra rete risulterà a tutti gli effetti compiuta da noi stessi.

Partendo da questi presupposti e dal fatto che non viviamo in un mondo ideale, andiamo a vedere quali operazioni di protezione possiamo compiere per raggiungere un livello di sicurezza adeguato. Naturalmente, l'informatica ce lo insegna, nessuna configurazione di rete è totalmente sicura e libera da intrusioni. Oltre alle possibili configurazioni utente, esistono infatti tutta una serie di fattori direttamente legati ad altri aspetti, ad esempio ai protocolli di comunicazione, che non permettono di definire una rete sicura al cento per cento.

Come raggiungere quindi un buon compromesso e avvicinarsi a questa percentuale?

Solitamente ogni router wireless propone un'interfaccia grafica di amministrazione con la quale è possibile configurare la rete domestica o d'ufficio. Gli aspetti che andremo a trattare in questo breve articolo faranno riferimento a:

  • Protezione tramite password
  • Filtraggio dei MAC-Address
  • Firewall e NAT

Certamente il primo passo è quello banale di posizionare il router e di configurare i parametri di base.

Per nulla adottata è infatti la considerazione che il modo più semplice per impedire ad altri di utilizzare la nostra rete è di renderla irraggiungibile. Per prima cosa quindi posizioniamo il router al centro dell'area che vogliamo coprire e regoliamo (molti hardware permettono di farlo) la potenza del segnale wireless in modo da coprire quanto più possibile le zone di interesse e quanto meno possibile le zone esterne all'edificio. Tra l'altro molti router WiFi offrono la possibilità di regolare progressivamente la potenza del segnale di uscita rendendo questo compito più preciso.

In secondo luogo, e questo rientra ancora nelle informazioni preliminari, configuriamo l'SSID in modo che non venga diffuso nell'etere (sarà necessario quindi impostarlo manualmente nella configurazione della scheda wireless sul computer client) e aggiorniamo il profilo di amministrazione del router sostituendo quello fornito di default dalla casa costruttrice dell'hardware. In questo caso valgono tutte le considerazioni circa la robustezza delle password, valide anche per tutti gli altri contesti applicativi.

Per quanto riguarda l'SSID questo accorgimento non è certo una sicurezza nei confronti di utenti esperti, ma impedisce ad attaccanti sprovveduti o casuali di non avere a disposizione il nome della nostra rete gratis. In altre parole una sorta di deterrente.

Il primo degli accorgimenti efficaci ai fini della sicurezza è quello che riguarda le credenziali di accesso alla rete. Esistono differenti modalità per garantire la sicurezza di una rete WiFi, tra cui le più note sono WEP, WPA e WPA2.

In funzione della loro anzianità queste tre tecnologie offrono un grado di sicurezza differente e sono più inclini ad essere bucate con facilità.

La tecnologia WEP (Wired Equivalent Privacy) è la prima ad essere stata diffusa sugli hardware di rete e utilizza un algoritmo di cifratura e una chiave di tipo statico da utilizzare per accedere alla rete locale. Le chiavi sono solitamente di 64 o 128 bit e garantiscono un livello di sicurezza minimo, non adatto per molte realtà applicative in quanto per un utente medio è relativamente semplice decifrare la password analizzando per un certo tempo il flusso di dati scambiato dalla rete.

In ogni caso la configurazione accettabile di una password WEP prevede l'inserimento di quattro chiavi formata da cinque numeri esadecimali e la scelta di quale di esse debba poi essere utilizzata. Molti router prevedono la creazione automatica di una sequenza di chiavi a partire da una passphrase da digitare in un apposito campo, come mostra la figura.

Figura 1: La protezione WEP
La protezione WEP

Lo step successivo è il WPA ( Wi-Fi Protected Access ), le cui specifiche sono contenute nello standard 802.11i, che utilizza un algoritmo di cifratura con chiave dinamica di 128 bit.

In particolare (oltre ai differenti algoritmi utilizzabili) esistono due modalità di utilizzo del WPA, rispettivamente chiamati WPA-PSK ( Wi-Fi Protected Access - Pre Shared Key ) che utilizza una chiave da inserire all'interno del router e in ogni disposivo connesso alla rete, e WPA-RADIUS ( Wi-Fi Protected Access - Remote Access Dial-Up User Service ) che utilizza il supporto di un server (RADIUS) per l'autenticazione degli utenti.

Per brevità ci concentreremo sulla prima, adeguata per l'utilizzo domestico, lasciando la seconda come implementazione per sistemi aziendali. Nella fattispecie faremo riferimento al WPA2 che, semplificando, differisce dalla prima versione per l'adozione di un diverso algoritmo per la cifratura chiamato AES ( Advanced Encryption Standard ).

L'inserimento di una password WPA2 è estremamente semplice, l'unica problema potrebbe essere l'incompatibilità con alcuni dispositivi di rete per i quali sarà necessario provvedere con altri tipi di autenticazione. È infatti sufficiente inserire una stringa alfanumerica, ricordandoci che la dimensione dovrà essere compresa tra gli 8 e i 63 caratteri.

Figura 2: La protezione WPA2
La protezione WPA2

Oltre a quanto detto fino ad ora esistono almeno altre due tecniche di semplice implementazione al fine di proteggere la nostra rete. La prima consiste nell'impedire a determinati computer, identificati da uno specifico MAC Address (l'indirizzo fisico associato ad ogni scheda di rete), di accedere alla rete. Capovolgendo il concetto, si permette l'acceso esclusivamente a specifiche schede di rete.

Prima di configurare il filtro relativo ai MAC Address è necessario chiaramente conoscere tutti gli indirizzi fisici per i quali vogliamo garantire l'accesso. Per fare questo è possibile utilizzare una moltitudine di comandi o tecniche, ad esempio a seconda del modello della scheda di rete è possibile leggere questo valore dalle proprietà della periferica presenti nel pannello "Gestione Periferiche". In ogni caso la via più rapida rimane sempre quella di aprire una console e digitare il comando: "ipconfig /all".In quest'ultimo caso avremo a disposizione, alla voce "indirizzo fisico", il MAC Address da inserire nel nostro router.

Figura 3: Il comando ipconfig
Il comando ipconfig

A questo punto dobbiamo solamente accedere al pannello di configurazione del router, che sicuramente prevede una scheda, nell'ambito dele configurazioni di sicurezza, per il filtraggio dei MAC Address Filtering ( o simile ). Solitamente la schermata è simile a quella mostrata in figura e richiede solamente l'inserimento dei MAC Address ricavati come abbiamo descritto poco fa.

Figura 4: La lista degli indirizzi MAC
La lista degli indirizzi MAC

È buona norma, per evitare ogni tipo di problemi, inserire anche gli indirizzi fisici delle schede di rete Ethernet.

Evidenziamo come l'utilizzo del filtraggio degli indirizzi fisici sia molto indicato quando la rete è piccola e poco dinamica, ovvero quando il numero di computer collegati al router rimane limitato e pressoché stabile. Chiunque venisse a casa vostra e si volesse collegare a internet dovrebbe infatti fornirvi il proprio MAC Address che dovrà poi essere correttamente configurato nel router.

L'ultima configurazione riguarda invece il firewall, ormai strumento standard presente in molti router.

Figura 5: Il controllo del Firewall
Il controllo del Firewall

Solitamente l'accensione del firewall avviene tramite una comoda casella in cui indicare semplicemente la volontà di abilitare o disabilitare questo strumento.

Il firewall è in grado di proteggere la rete da attacchi esterni, impedendo di default la connessione verso specifiche porte che non afferiscono alle operazioni principali come la navigazione. Ogni comunicazione infatti, a seconda della propria natura (esempio navigazione Web, download FTP, gioco on-line, applicazione peer-to-peer) è veicolata attraverso un'opportuna porta che ne indica la direzione.

Per questa ragione il firewall è uno strumento ideale ai fini della sicurezza, ma che potrebbe creare qualche problema quando una comunicazione "regolare" necessita di attraversare le porte chiuse dal firewall stesso. In altre parole l'utilizzo del firewall potrebbe compromettere la funzionalità delle comunicazioni relative a giochi, applicazioni (es. peer-to-peer).

Il router mette quindi a disposizione una funzione in grado di specificare in che modo rindirizzare il traffico che arriva su determinate porte ad un indirizzo IP specifico. Questa funzione è individuabile nelle schede di configurazione del router con il nome di Port Forwarding, come mostra la figura che segue.

Figura 6: Forward delle porte del router
Forward delle porte del router

Anche in questo caso la configurazione è molto semplice. È sufficiente infatti, dopo aver dato un nome alla regole di forwarding, indicare le porte che per le quali vogliamo permettere la configurazione e l'indirizzo IP destinatario della comunicazione. Ad esempio, con ciò chiudiamo questo breve articolo, se si volesse permettere ad un PC nella rete (192.168.1.100) l'utilizzo del programma peer-to-peer Emule dovremo indicare come "aperte" le porte utilizzate da questa applicazione, di solito comprese tra 4660 e 4780.

Ti consigliamo anche