Guida Come proteggere al meglio la propria rete Wi-Fi

CrashTest

Utente Gold
29 Dicembre 2013
584
36
208
309
Nonostante le reti wireless abbiano una serie di vantaggi, la loro natura le rende “più vulnerabili” delle reti cablate: i segnali wireless emessi dalle antenne vengono diffusi ovunque, sono in grado di attraversare le pareti e raggiungere le strade. Proteggere le proprie reti wireless non è solo una prerogativa delle realtà aziendali ma anche dei consumatori domestici e delle piccole aziende. Vediamo dunque quali sono gli aspetti fondamentali da considerare per mantenere più sicura la propria rete wireless.

Cifratura del traffico
Quando configuri il tuo modem o access point assicurati di attivare la cifratura della rete. Ci sono differenti metodi di cifratura, i più comuni sono: WEP, WPA e WPA2.
WEP è stato il primo vero e proprio metodo di cifratura per le reti wireless e supportava le reti 802.11a/b/g. Usava una chiave condivisa di 40 bit per cifrare i dati scambiati tra il client e l’access point ma dal momento in cui si è scoperto che questo sistema è di per sé debole si è passati a WPA e WPA2. Questi sistemi sono stati creati per sopperire alle lacune di WEP quindi sono anch’essi compatibile con le reti 802.11a/b/g. WPA utilizza come protocollo di cifratura TKIP che introduce rispetto a WEP alcune features interessanti, ad esempio ogni pacchetto possiede una propria chiave di cifratura che cambia da pacchetto a pacchetto e l’integrità dei dati viene controllata con un nuovo algoritmo chiamato Michael, e quando si verifica che una quantità anomala di pacchetti fallisce il controllo di integrità il sistema provvede a fornire una nuova chiave. Tuttavia però, essendo che il sistema WPA è stato creato con lo scopo di sostituire WEP tramite un aggiornamento mantenendo dunque una solida compatibilità hardware ha anche mantenuto alcune vulnerabilità e per questo si è deciso di passare a WPA2/WPA-PSK. La differenza sostanziale con il vecchio WPA è la scelta di introdurre due nuovi protocolli che hanno sostituito TKIP: CCMP e AES che tutt’oggi sono considerati tra i più sicuri per svolgere questo tipo di lavoro.
Voglio precisare che affinché WPA2 svolga bene il suo lavoro l’utente deve scegliere delle chiavi pre-condivise (meglio conosciute come “password”) robuste, quindi sarebbe opportuno scegliere password quanto più lunghe possibile entro un massimo di 63 caratteri facendo attenzione ad utilizzare anche numeri e caratteri speciali. Inoltre, anche se raramente viene specificato, il sistema WPA2 (o WPA-PSK) usa come salt per la generazione delle chiavi proprio l’SSID della rete, quindi al momento della configurazione del modem conviene cambiare il nome di default della rete scegliendone uno personalizzato usando le stesse regole citate per la password. Ovviamente cambiare il nome della rete non è fondamentale ma aiuta a prevenire attacchi bruteforce basati su liste costruite con altri salt.


SSID Broadcast e Rete Chiusa
Nei sistemi di “reti aperte”, gli Access Points diffondono il loro nome (A.K.A. SSID) un certo numero di volte per secondo permettendo così di essere individuati mediante una semplice scansione. Negli scenari familiari (o lavorativi), dove i membri della famiglia (o i dipendenti) dovrebbero conoscere il nome della rete, potrebbe non essere necessario diffondere il nome della rete in broadcast quindi si può optare per una cosiddetta “rete chiusa” dove gli access point non segnalano il loro SSID e gli utenti devono quindi conoscere il nome completo della rete affinché possano associare il loro dispositivo. È importante notare che in ogni caso, nascondere la propria rete wireless non è una vera e propria azione preventiva in quanto alcuni tools come airodump-ng che effettuano scansioni più approfondite, sono in grado di rilevare i frame che i clients della rete inviano all’access point e questi frames contengono necessariamente il nome della rete. Attraverso però dei forti algoritmi di cifratura possiamo aggiungere un livello di privacy alla nostra rete rendendo più difficile la vita a chi cerca di spoofare il nostro traffico. La sicurezza nel nascondere il nome della nostra rete sta nell’avere più “livelli” di protezione e nascondendo il tuo SSID puoi evitare di attrarre l’attenzione di hackers opportunistici. Per motivi di privacy è consigliabile non dare alla rete il nome di un familiare o dipendente.

Filtraggio MAC
Ogni dispositivo che si connette ad una rete Wireless (o più in generale ad una rete qualsiasi) ha un numero identificativo univoco chiamato “indirizzo fisico” oppure MAC (Media Access Control). Questo indirizzo è un numero lungo in totale 48 bit, è diviso in sei ottetti dei quali i primi tre identificano il produttore e i restanti tre identificano il numero seriale di quel componente. Questo indirizzo viene assegnato dal produttore con la prerogativa di essere unico e persistente. A questo strumento puoi limitare le persone (più specificamente i device) che possono connettersi alla tua rete e tagliare fuori tutti gli altri.

Grazie a questo indirizzo possiamo “autenticare” gli utenti in base al loro MAC address. Quando un utente cerca di associare il suo dispositivo ad un Access Point, il MAC address deve essere nella lista degli indirizzi autorizzati altrimenti l’associazione viene negata, alternativamente è possibile stilare una lista di indirizzi non autorizzati.
Dobbiamo ricordarci però che questo “filtro” non è sinonimo di garanzia: un indirizzo MAC può essere cambiato via software; mentre può tenere lontana la gente curiosa non riesce comunque ad evitare attacchi da gente determinata. In linea generale viene usato dagli amministratori di rete per limitare temporaneamente gli accessi ai dispositivi che hanno comportamenti anomali all’interno della rete (e.g.: generano un flusso di dati superiore alla norma oppure inviano pacchetti sospetti).


Password amministratore
Solitamente i modem e/o gli access point vengono forniti con una password di default che permette di accedere al pannello di controllo con i diritti di amministratore. È di vitale importanza scegliere anche qui una password molto robusta (diversa da quella usata per l’accesso alla rete e la cifratura) che sia quindi quanto più lunga possibile e contenente numeri e caratteri speciali. Lo scopo di questo intervento è non dare la possibilità alla gente che ha accesso (legittimo o meno) alla vostra rete di accedere anche al pannello di controllo: il cuore della vostra rete.

Condivisione di file
Se non hai la necessità di condividere file e cartelle attraverso la rete è consigliabile disabilitare il file sharing sul proprio computer. Qualora invece ce ne fosse la necessità: non condividere mai l’intero hard disk tramite file sharing. Condividi una singola cartella creata ad hoc all’interno della quale metti tutti i file da condividere possibilmente cifrati con metodi e password robusti. In ogni caso è preferibile non condividere file contenenti dati sensibili.

Sebbene questi consigli coprano gli aspetti principali sulla sicurezza della vostra rete, possono costituire il minimo indispensabile. È possibile dotare la propria rete di molti altri strumenti quali firewall, VPN, DMZ e metodi di autenticazione/cifratura che permettano di avere maggiore sicurezza a scapito però di un notevole aumento della complessità della propria rete che richiederebbe l’intervento di un esperto per essere installata e manutenuta.