95710 Letture

Mettere in sicurezza una rete wireless in pochi semplici passaggi

Facciamo un breve riepilogo dei semplici interventi che, chi usa un router wireless, può mettere in campo per proteggere la propria rete. E' ancora oggi cosa piuttosto comune, passeggiando per le grandi città come per i piccoli paesi, imbattersi in reti Wi-Fi non adeguatamente protette che, con un semplice clic del mouse consentono al "passante" di collegarsi ad Internet, di esaminare il traffico dati in transito e, talvolta, anche di "frugare" tra le risorse condivise nella LAN.
Un semplicissimo software come inSSIDer consente di stabilire quali reti wireless 802.11b/g/n sono disponibili nelle vicinanze: è sufficiente disporre di un notebook dotato di una normale scheda Wi-Fi.

Non è mancanza di spirito filantropico chiudere il router wireless impedendo le connessioni da parte delle persone non autorizzate: è una questione di sicurezza. Realtà aziendali così come semplici professionisti sono tenuti ad applicare tutta una serie di misure minime per la protezione dei dati gestiti: l'attivazione di un'adeguata protezione sull'access point o sul router Wi-Fi è sicuramente uno degli adempimenti che l'utente è tenuto ad applicare.
In commercio ci sono poi ancora molti dispositivi wireless che, nella configurazione di default, attivano l'interfaccia wireless ma non la proteggono in modo adeguato o, se lo fanno, impostano una password predefinita. Altri produttori, invece, più coscientemente, propongono una procedura passo-passo che guida l'utente, alla prima installazione del device, nella configurazione del modulo Wi-Fi.


La maggior parte dei router imposta, in modo predefinito, il broadcasting del SSID. Acronimo di service set identifier, l'SSID è il nome col quale una rete Wi-Fi si presenta ai suoi utenti. Effettuando una scansione con un software qual è inSSIDer, si otterrà l'elenco degli SSID corrispondenti alle reti wireless disponibili nei dintorni insieme con le rispettive carattaeristiche. Di default, molti router usano come SSID il nome ed il modello dello stesso dispositivo: in questo modo, chi passa nelle vicinanze del device conosce anche con quale hardware ha a che fare.

Disattivare il broadcasting dell'SSID

Il primo intervento che è consigliabile effettuare quando si è allestita una rete Wi-Fi, consiste nel disabilitare il broadcasting ovvero la diffusione del proprio SSID. Nascondendo l'identificativo della propria rete wireless non si impedirà a chi già ne conosce il nome di collegarsi ma si porrà in essere una semplice misura che terrà lontani gli "spioni" meno esperti. Anzi, è bene modificare immediatamente l'SSID di default accertandosi, dopo aver riconfigurato la rete Wi-Fi, che tutti i sistemi client autorizzati possano continuare a collegarsi.
Va detto, tuttavia, che disattivando il broadcasting dell'SSID, non si potranno più aggiungere semplicemente nuovi dispositivi alla propria rete Wi-Fi: i device che già la conoscono potranno connettersi immediatamente ma quelli che non l'hanno mai utilizzata (portatili, smartphone, netbook,...) non riusciranno a "vederla". Per aggiungere un nuovo dispositivo e consentirgli la connessione alla rete wireless, il miglior consiglio è quello di riattivare temporaneamente il broadcasting dell'SSID.


Per disattivare o riattivare il broacasting dell'SSID è necessario accedere al pannello di configurazione del router o dell'access point facendo quindi riferimento alla sezione Wireless. L'interfaccia del pannello amministrativo di ogni router (o quanto meno dei vari vendor) può essere molto differente: le funzionalità, tuttavia, saranno sempre comuni.
Agendo sulla voce Wireless SSID Broadcast (nell'esempio l'interfaccia di amministrazione di un router Linksys) si potrà attivare o disabilitare l'annuncio dell'SSID definito poco sopra (Wireless Network Name).

Attivazione della crittografia

L'abilitazione di un algoritmo per cifrare i dati in transito sulla connessione wireless, è sicuramente uno dei passi da effettuare quando si configura una rete Wi-Fi aziendale oppure domestica. L'importante è evitare l'impiego di quegli algoritmi che sono ormai ritenuti assolutamente insicuri. A partire dal WEP che ormai non fornisce alcuna protezione dal momento che risulta "craccabile" in pochi istanti. WEP è un algoritmo, ormai abbandonato, che fu introdotto nel 1997 come parte integrante del protocollo 802.11 originario. A partire dal 2001 i crittoanalisti si concentrarono sullo studio di WEP arrivando, due anni dopo, ad evidenziare pubblicamente le debolezze dell'algoritmo. In particolare, analizzando il traffico di rete ("sniffing") in transito sulla rete wireless, è possibile risalire alla chiave WEP nel giro di pochi minuti.

Proposto nel 2003 dalla stessa Wi-Fi Alliance, WPA è nato per sopperire alle mancanze di WEP. Una serie di studi condotti nell'ultimo biennio, hanno evidenziato come anche WPA non sia esente da problemi. Anche in questo caso, studiando il traffico cifrato scambiato tra client e router Wi-Fi, è possibile risalire alla chiave utilizzata a protezione della connessione senza fili. Va ad alcuni ricercatori giapponesi "la palma d'oro" per aver abbassato il tempo necessario per individuare la chiave crittografica di WPA. A proposito dell'attacco, abbiamo pubblicato numerosi dettagli in questo articolo risalente all'agosto 2009.

Da allora, la Wi-Fi Alliance sta consigliando di migrare, ove possibile, a WPA2. Anzi, da gennaio - come avevamo riportato in quest'articolo -, Wi-Fi Alliance, organizzazione nata nel 1999 che riunisce alcune tra le industrie leader nel settore delle comunicazioni wireless, l'algoritmo WPA non potrà essere più inserito negli access point di nuova generazione. Il divieto interesserà, dal 2012, tutte le tipologie di dispositivi wireless.

Allo stato attuale, quindi, il consiglio è quello di optare sempre – se disponibile – sull'algoritmo WPA2-AES attivandolo dalla sezione Wireless dell'interfaccia di amministrazione del router/access point. In alternativa, nel caso dei router più datati, si può ripiegare su WPA scegliendo una password adeguatamente lunga e complessa. Sempre meglio che niente. Assolutamente da evitare l'utilizzo di WEP.


La modifica dell'algoritmo crittografico da utilizzare per la connessione Wi-Fi è effettuabile sempre dal pannello di amministrazione del router accedendo all'apposita sezione (Wireless security o una voce simile).


Come si vede in figura, quello col quale abbiamo a che fare è un router che non dispone dell'algoritmo più sicuro, il WPA2. In mancanza del WPA2, si può scegliere WPA impostando una password adeguata nel campo successivo (WPA Pre-shared key).


Ove disponibile, è ovviamente meglio optare per WPA2-PSK impostando, anche qui, una password adeguatamente lunga e complessa (è caldamente consigliato specificare una parola chiave contenente caratteri alfanumerici e simboli). L'acronimo PSK sta a significare Pre-shared key ossia "chiave precedentemente condivisa": si tratta della "parola chiave" segreta (di dimensione compresa tra 8 e 63 caratteri) utilizzata a protezione della comunicazione senza fili oltre che per effettuare il collegamento da tutti i sistemi client autorizzati.

WPA2-PSK è un'ottima soluzione per la protezione delle reti wireless domestiche, degli studi professionali e delle piccole imprese ma non è la scelta più opportuna per le realtà aziendali di più grandi dimensioni. I prodotti che usano WPA2-PSK (WPA2-Personal), utilizzano la chiave condivisa mentre quelli che impiegano WPA2-Enterprise poggiano invece su un server di autenticazione.
Nel caso di WPA2-PSK viene configurata solamente una password che è la stessa utilizzata per l'accesso alla rete wireless da parte di tutti i sistemi client. Cosa accadrebbe allorquando venisse modificata la password sul router? Cosa succederebbe se il router o l'access point Wi-Fi venissero rubati? E se un notebook venisse sottratto al proprietario con lo scopo di recuperare la password? Se la parola chiave venisse scritta, da qualche utente, su un "post-it" nel proprio ufficio?
WPA2-Enterprise risolve tutte queste problematiche. Così come il WPA2-PSK, anche WPA2-Enterprise utilizza la crittografia CCMP-AES per proteggere i dati veicolati attraverso la rete wireless con un'importante differenza: per accedere alla rete i vari client debbono essere autenticati da un sistema server. Ogni computer che intende connettersi alla rete Wi-Fi deve presentare le proprie credenziali (di solito sotto forma di nome utente e password). Il server, effettuato un controllo, darà il "via libera" oppure negherà la connessione. Questo metodo di autenticazione è chiamato 802.11X/EAP (Extensible Authentication Protocol).
E' probabilmente l'approccio migliore per le imprese più grandi anche se, va sottolineato, non tutti i dispositivi Wi-Fi supportano lo stesso tipo di autenticazione 802.11X/EAP.
L'impiego di WPA2-Enterprise richiede ovviamente la presenza, in rete, di un server RADIUS o di un sistema Windows Server con i servizi Active Directory attivati.


  1. Avatar
    Michele Nasi
    12/12/2010 11:52:19
    Ciao Jeremy, per quanto riguarda il comando ifconfig hai assolutamente ragione. Si è trattato però di un errore di battitura :oops: che ho immediatamente provveduto a correggere. Non sono d'accordo, invece, sull'appunto relativo a Windows che in questo caso mi pare un po' "off topic" dal momento che si parla di suggerimenti di tipo generico per mettere in sicurezza una rete Wi-Fi. I migliori auguri di buone feste anche a te! :wink:
  2. Avatar
    jeremy
    12/12/2010 10:20:21
    Interessante articolo, anche se devo rimarcare un errore grossolano ovvero voi dite: "In ambiente Linux, per recuperare il MAC address, è sufficiente aprire una finestra terminale quindi digitare il comando ipconfig -a controllando quanto visualizzato in corrispondenza dell'indicazione HWaddr." In realtà il comando giusto su un OS GNU/Linux è ifconfig che mostra tutte le schede di rete di un pc e cioè sia quelle Ethernet che quelle Wireless: è da ricercare quella poi configurata per la connessione wireless spesso chiamata wlan0. Infatti per controllare lo stato della connessione wireless è bene dare anche iwconfig che mostra se si riesce a pingare correttamente il proprio router. Magari dando anche qui un ping -c3 indirizzo router ovvero 192.ecc. E da qui si può poi controllare la propria connessione Internet provando magari a pingare google.it ,di cui ecco un esempio dal mio Ubuntu: ping -c3 http://www.google.it PING http://www.l.google.com (74.125.232.112) 56(84) bytes of data. 64 bytes from 74.125.232.112: icmp_seq=1 ttl=53 time=47.9 ms 64 bytes from 74.125.232.112: icmp_seq=2 ttl=53 time=48.5 ms 64 bytes from 74.125.232.112: icmp_seq=3 ttl=53 time=47.0 ms --- http://www.l.google.com ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 10245ms rtt min/avg/max/mdev = 47.067/47.866/48.564/0.615 ms Inoltre voi dite: "Se non si aggiungerà, infatti, nel pannello di amministrazione del router Wi-Fi, il giusto MAC address, il nuovo dispositivo wireless non potrà connettersi pur impostandovi la password corretta ("Pre-shared key" di WPA o WPA2)." Infatti nel mio caso utilizzo una debole chiave wep che anche craccandola non si riesce a fare nulla poiché sul mio router ho impostato come unico dispositivo autorizzato la mia scheda rete wi-fi, di cui (come sicurezza aggiuntiva) ho modificato pure il Mac Address! Infatti nel mio caso anche Aircrack-ng fa cilecca! Il tutto per dire che l'articolo è scritto sicuramente bene, ma denota delle lacune non trascurabili, a mio modesto avviso ed inoltre non pone l'accento sul fatto che la sicurezza in un OS Windows resta, in generale, pur sempre una chimera. Saluti e Buon Natale.
Mettere in sicurezza una rete wireless in pochi semplici passaggi - IlSoftware.it