48028 Letture

Proteggere router, ecco le regole d'oro

Il router è un dispositivo elettronico che, nelle reti a commutazione di pacchetto (qual è Internet), si fa carico di instradare i pacchetti dati (routing) verso la giusta destinazione mettendo in comunicazione reti diverse.
Esistono centinaia di modelli di router: da quelli utilizzati in ambito domestico o professionale (in uffici ed aziende) a quelli che vengono utilizzati presso i provider o dalle grandi società di telecomunicazioni.

Come spiegato nell'articolo Configurare router: guida per tutti i modelli ed i provider Internet, visitando questa pagina e digitando l'indirizzo mnemonico di qualunque sito (esempio: www.google.it o www.ilsoftware.it) si otterrà l'elenco completo dei router attraversati prima di giungere sui server del sito web prescelto.

Senza scomodare un servizio web, si può utilizzare il comando TRACERT (esempio: tracert www.google.it) da prompt per verificare quanti e quali hop si attraversano prima che ogni pacchetto dati giunga a destinazione.

Proteggere router, ecco le regole d'oro

I router comunemente utilizzati in ambito aziendale e domestico integrano spesso funzionalità di modem e access point WiFi: questi dispositivi, quindi, si occupano di instradare i pacchetti dati all'interno della rete locale usando indirizzi IP privati (192.168.x.x: perché in rete locale vengono usati questi indirizzi?), sia per ciò che concerne il collegamento di dispositivi client sulle porte ethernet, sia per quelli collegati via WiFi.

Ma come proteggere il router in maniera adeguata difendendo allo stesso tempo i sistemi connessi in rete locale ed i dati in essi conservati?


Proteggere router da intrusioni ed attacchi

Proteggere il router in modo adeguato significa mettersi al riparo da attacchi che possono rappresentare una minaccia per la sicurezza dei propri dati e per il proprio portafoglio.

Sono sempre più frequenti le segnalazioni di modelli di router che contengono vulnerabilità di sicurezza. In questi casi, il router può diventare amministrabile da remoto da parte di un malintenzionato.
Nell'articolo DNS modificati sul router e redirect verso pagine malevole: come risolvere abbiamo spiegato come particolari versioni del firmware (il software preinstallato in ogni router che ne sovrintende il funzionamento) espongano il dispositivo ad attacchi da remoto.

Uno degli attacchi più gettonati si chiama DNS hijacking ed è utilizzato dagli aggressori remoti per modificare gli indirizzi dei server DNS configurati sul router.
Si tratta di un attacco veramente pericoloso perché di fatto porta tutti i sistemi client della rete locale connessi al router (quelli che richiedono al router quali DNS usare; impostazione di default nei vari sistemi operativi) ad utilizzare server DNS malevoli impostati dai criminali informatici.
Risultato? Gli utenti collegati in rete locale, da qualunque dispositivo, riterranno di visitare il vero sito web di una banca, di un social network, di una società che si occupa della gestione elettronica delle transazioni, dell'account Gmail od Outlook.com (nella barra degli indirizzi del browser apparirà l'indirizzo correttoo) quando, in realtà, si staranno visitando pagina malevole allestite da gruppi di criminali informatici con il preciso scopo di sottrarre credenziali d'accesso ed altri dati personali.

Del problema DNS hijacking abbiamo abbondantemente parlato, anche dal punto di vista tecnico, nell'articolo DNS router, come verificare le impostazioni.
Per verificare se si fosse affetti dal problema ovvero se qualcuno fosse riuscito, da remoto, a modificare i DNS impostati sul router sostituendoli con nameservers malevoli, è possibile utilizzare il tool di F-Secure citato nel medesimo articolo.

Come difendersi da questo tipo di problema? L'aggiornamento del firmware è il passaggio più consigliato.

Aggiornare il firmware del router

Una delle operazioni più efficaci per proteggere il router e scongiurare potenziali intrusioni da remoto (i criminali informatici sono soliti effettuare scansioni periodiche di gruppi di IP pubblici con l'obiettivo di individuare router vulnerabili e, di conseguenza, attaccabili) consiste nell'applicare eventuali aggiornamenti del firmware.

Per aggredire un router è possibile utilizzare diverse modalità d'attacco. A seconda delle specifiche vulnerabilità individuate nelle versioni del firmware dei vari prodotti, non è indispensabile che la funzionalità di gestione remota del router sia stata abilitata (vedere per esempio DNS modificati sul router e redirect verso pagine malevole: come risolvere e Misfortune cookie: pericolo per 12 milioni di router).

La miglior soluzione per mettersi al riparo consiste nel verificare la disponibilità di aggiornamenti del firmware sul sito web del produttore del router.
Si osservi bene la data di rilascio del firmware e il cosiddetto changelog, ossia la lista delle migliorie e delle modifiche introdotte nelle varie versioni del firmware.


Nel caso in cui fosse disponibile una nuova versione del firmware (controllare sempre che sia quella compatibile con l'esatto modello di router in proprio possesso), si dovrà accedere - da browser - al pannello di amministrazione del router (generalmente http://192.168.0.1 o http://192.168.1.1), portarsi nella sezione Firmware upgrade/update e selezionare il file contenente il firmware aggiornato (precedentemente scaricato dal sito web del produttore).
Durante l'installazione del firmware non si dovrà, per nessun motivo, interrompere la procedura di aggiornamento: diversamente si rischierebbe di mettere fuori uso il dispositivo.

Disattivare la gestione remota

Tutti i router consentono generalmente di essere gestiti da remoto. Un altro utente, cioè, può collegarsi all'interfaccia di amministrazione, prenderne il controllo ed effettuare eventuali variazioni.
Il consiglio è quello di mantenere disattivata la gestione remota del router collegandosi al pannello di amministrazione da browser e disabilitando la casella Remote management (o similare).

Proteggere router, ecco le regole d'oro

Disabilitare le risposte ICMP

È bene che il router non offra alcun indizio circa la sua effettiva connessione alla rete Internet.
Lanciando il comando PING seguito dall'IP pubblico assegnato dinamicamente (od in maniera statica) al router dall'operatore di telecomunicazioni, il router non dovrebbe possibilmente fornire risposta.
Così facendo, il router sarà di fatto "invisibile" ad utenti terzi che tentassero di verificarne la presenza in Rete.


L'abilitazione dello SPI firewall (ovvero stateful packet inspection firewall) dal pannello del router consentirà di disabilitare la risposta al comando PING. In ogni caso, l'eventuale casella ICMP (PING) dovrà essere disabilitata in corrispondenza di Remote e lasciata attiva solo per Local.
In questo modo, il router risponderà solamente alle richieste PING inviate dai sistemi connessi in rete locale e non da sistemi remoti (WAN).

Per effettuare una verifica, suggeriamo di visitare il sito DNSStuff.
Nella parte superiore della pagina, accanto a Your IP address, si potrà rilevare il proprio indirizzo IP pubblico.
Copiando tale IP nella casella IP address a questo indirizzo e cliccando su Ping, si potrà verificare se il proprio router rispondesse o meno alla richieste di PING da remoto.

Proteggere router, ecco le regole d'oro

Usare le Access Control List (ACL)

Alcuni modelli di router permettono l'utilizzo delle ACL, acronimo di Access Control List.
Si tratta di un meccanismo di sicurezza che consente di stabilire a quali utenti è accordato l'accesso al pannello di amministrazione.
Ove disponibili, le ACL permettono di fidare su di una misura di sicurezza in più. Consentendo ad esempio l'accesso all'IP 0.0.0.0 e selezionando LAN (quindi né LAN/WAN né WAN) si farà in modo che solamente i sistemi connessi alla rete locale abbiano titolo per connettersi al pannello di amministrazione del router.

Cambiare la password predefinita del router

Un'altra importante misura di sicurezza che non bisogna mai dimenticare di applicare consiste nel modificare la password di default del router. Di solito, infatti, per accedere al pannello di configurazione del router, è sufficiente digitare la coppia nome utente e password admin password oppure admin admin.


Le credenziali per l'accesso al pannello di amministrazione si possono cambiare agendo nell'apposita sezione della stessa interfaccia di amministrazione del router.

Proteggere la connessione WiFi

Un altro aspetto da non sottovalutare consiste nella corretta configurazione della connessione WiFi. Se, infatti, il router funge anche da access point WiFi, è bene proteggere adeguatamente l'accesso alla rete wireless.

Innanzi tutto, se il router dispone di due interfacce ossia può consentire la connessione di dispositivi sia sulle frequenze dei 2,4 GHz che su quelle dei 5 GHz, è bene disattivare l'interfaccia che si prevede di non utilizzare. Nell'articolo abbiamo illustrato le principali differenze tra le due bande di frequenza, sempre più spesso utilizzate in molti modelli di router WiFi.

Sia nel caso in cui si decidesse di utilizzare entrambe le bande od una soltanto, bisognerà accertarsi di proteggere adeguatamente la connessione WiFi abilitando almeno l'utilizzo dell'algoritmo WPA2-PSK (AES).
PSK è l'acronimo di pre-shared key: l'amministratore del router WiFi, infatti, deve specificare una password a protezione del collegamento wireless. Tale parola chiave (che dovrà essere digitata almeno la prima volta sui client che intendono connettersi alla WiFi) è bene sia sufficientemente lunga e complessa (utilizzare caratteri alfanumerici e qualche simbolo).

Proteggere router, ecco le regole d'oro

Nell'articolo Craccare reti WiFi: accedere alle reti WiFi protette abbiamo spiegato perché l'utilizzo dell'algoritmo di cifratura WPA2 (AES) sia ormai sempre da preferirsi.


Ove possibile, è consigliabile predisporre una rete WiFi per gli utenti guest ossia per coloro che avessero necessità di collegarsi temporaneamente via wireless al router.

Disattivare l'utilizzo di WPS

Tutti i router di più recente fattura offrono la possibilità di servirsi di WPS (Wi-Fi Protected Setup), funzionalità che permette di configurare automaticamente la connessione wireless senza digitare alcuna password.

Come spiegato dal ricercatore Stefan Viehbock, tuttavia, un attacco "brute force" può consentire di accedere ad una WiFi protetta in tempi relativamente brevi. Ogni volta che un dispositivo cerca di collegarsi via WPS, il router invia un messaggio col quale il device viene informato se le prime quattro cifre del PIN sono corrette o meno.
Poiché lo standard WPS, com'è facile verificare dall'interfaccia di amministrazione del router, usa un PIN da otto cifre e che l'ultima viene usata come checksum, anziché dover gestire 100 milioni di combinazioni (108), un aggressore, per violare la rete WiFi facente uso di WPS, dovrebbe effettuare massimo 11.000 tentativi (104 sommato a 103).

Proteggere router, ecco le regole d'oro

Il consiglio, quindi, è quello di disattivare completamente la funzionalità WPS dal pannello di configurazione del router.

Con l'obiettivo di proteggere il router e la rete locale da attacchi provenienti dall'esterno, nascondere l'SSID e filtrare gli indirizzi MAC non sono soluzioni.
Nell'articolo Trovare SSID di una rete WiFi nascosta abbiamo visto quanto sia semplice scovare l'SSID ossia la denominazione identificativa di una rete WiFi nascosta.


Egualmente, lascia il tempo che trova anche il filtraggio degli indirizzi MAC. Come spiegato nell'articolo Indirizzo MAC (Wi-Fi e Ethernet): cos'è e come trovarlo, studiando la rete WiFi è piuttosto semplice capire quali client sono connessi, rilevare il rispettivo indirizzo MAC e falsificarlo per ottenere il "via libera" per l'accesso.

Attenzione al forwarding delle porte

I criminali informatici, come accennato in precedenza, effettuano una scansione di ampi gruppi di indirizzi IP pubblici anche alla ricerca di eventuali porte aperte sul router.
Se, agendo sul pannello di amministrazione del router, si fosse deciso di inoltrare il traffico in ingresso su una determinata porta verso una o più macchine connesse in rete locale, bisognerà accertarsi che il componente server in esecuzione sui vari sistemi collegati in LAN sia sicuro, correttamente configurato e che non presenti vulnerabilità.

Nell'articolo Aprire porte sul router e chiuderle quando non più necessario abbiamo evidenziato proprio quest'aspetto.
Nel successivo approfondimento Come controllare porte aperte su router e IP pubblico, abbiamo invece presentato alcune metodologie per verificare quante e quali porte sul router risultano pubblicamente visibili da remoto.


  1. Avatar
    Michele Nasi
    04/11/2016 18.30.48
    Esattamente, la procedura dipende ovviamente dall'interfaccia di amministrazione del particolare router che si sta usando. Però la procedura è sostanzialmente quella indicata nell'articolo.
    Proprio ieri ho pubblicato la procedura relativa ai router Netgear: http://www.ilsoftware.it/articoli.asp?tag=Proteggere-la-rete-locale-e-accedere-ai-documenti-da-remoto-con-i-router-Netgear_14583" onclick="window.open(this.href);return false;
    Fai il famoso test di GRC: https://www.grc.com/x/ne.dll?bh0bkyd2" onclick="window.open(this.href);return false; Ti assicurerai che sia tutto a posto e che il router non risponda al ping da remoto.
  2. Avatar
    nuccetto
    04/11/2016 17.24.47
    Egregio Direttore, grazie per aver risposto e per fornire contestualmente a me e alla mia famiglia occasioni di riflessione , al fine di maturare responsabilmente un rapporto meno passivo con il pcdesktop (non andiamo d'accordo con i "portatili"..).Un esempio , per noi non da poco :se qui a casa come al lavoro, riusciamo -razionalmente o per intuito- a risolvere i conflitti ordinari del sistema operativo, senza ricorrere alla "lotteria" dei ripristini , lo dobbiamo solo a ilSoftware.it.
    Questo , quindi, è un ringraziamento tardivo, dovuto a Te ed allo staff per la meticolosità oserei dire etico-maniacale con cui fate informazione;anzi :formazione. Il Vs impegno rivolto ad esempio ad integrare/aggiornare articoli o recensioni di vecchia data , è una garanzia di professionalità che costa fatica e che può essere alleviata solo in minima parte dal supporto dell'automazione.

    Ho preso lucciole per lanterne,ovvio.Era sufficiente una lettura più attenta del titolo del paragrafo:"Disabilitare le risposte ICMP".
    Mi auguro quindi , data la crescente necessità di capire qualcosa in più sulla protezione , di essere almeno utile a chi -come me- incappa in un banale "qui pro quo" possedendo un router simile o uguale al mio.
    La mia errata interpretazione sul ping è addebitabile all'inversione funzionale intercorrente tra il firewall del router da Te esaminato e il firewall del mio router.
    In breve : sul mio router , nella scheda del firewall,non vi è traccia dell'opzione SPI.
    La scheda Firewall però è suddivisa in tre sezioni di configurazione: DoS Protection,PortScan Protection,Service Filtering.
    All'interno delle prime due sezioni possono essere abilitati a piacimento specifici "scudi" per noti attacchi dall'esterno (...noti al router ,io ne ho solo una vaga idea e attivandoli tutti- finora- non si riscontrano problemi).
    La sezione denominata ServiceFiltering specifica che : "I servizi sottostanti possono essere bloccati in base alle proprie esigenze"; tra i servizi trovo anche i famigerati "Ping from external network" e "ICMP from Lan" .
    Ipotizzando ,indipendentemente dalla veridicità (empirica) dei miei test sull'essere o meno "invisibile" , che la sezione Firewall /ServiceFiltering del mio router coincida con le funzioni Firewall/SPI di un router diverso dal mio , mi pare proprio che il mio abbaglio sia tutto qui : nel firewall (SPI)dell'articolo occorre appunto di-sa-bi-li-ta-re = deselezionare la casella , al fine di bloccare/impedire una risposta al ping;viceversa ,nel mio router , occorre abilitare=selezionare la casella , al fine di bloccare/impedire una risposta al ping.
    Grazie ancora.Nuccio

    Riporto , se posso , i dati del mio dispositivo (router) .D-Link - DSL G624T.Dal momento che l'aggiornamento del
    firmware è un punto cruciale e data la dismissione del supporto da parte del produttore , supponiamo sia non più rinviabile una sua sostituzione.
  3. Avatar
    Michele Nasi
    02/11/2016 19.38.26
    Ciao Nuccio,
    figurati. Nessun problema. Anzi, grazie per il commento.
    È corretto così nel senso che al ping da sistemi remoti il router è bene non risponda (a meno di non avere esigenze particolari).
  4. Avatar
    nucciox
    02/11/2016 18.40.48
    Chiedo scusa , forse -e ripeto forse in quanto è grazie a questo sito se ho imparato qualcosa sul pc-ma
    al paragrafo "Disabilitare le risposte ICMP" mi sembra essserci un'inversione involontaria.
    Leggo :
    "In ogni caso, l'eventuale casella ICMP (PING) dovrà essere disabilitata in corrispondenza di Remote e lasciata attiva solo per Local.
    In questo modo il router risponderà solamente alle richieste PING inviate dai sistemi connessi in rete locale e non da sistemi remoti (WAN)."
    Non dovrebbe essere il contrario?
    Ben lungi ,ripeto,dall'atteggiarmi a saputello; desidero solo contribuire in termini minuscoli .
    Chiedo venia se non è stato commesso nessun errore.
    Buon lavoro.Nucciox
  5. Avatar
    xmatrix83
    31/03/2015 20.34.00
    Ottimo articolo!
    Se posso contribuire, questo è specializzato per i router cisco:
    http://www.malatesta.biz/mettere-in-sicurezza-un-router-cisco/" onclick="window.open(this.href);return false;
    Saluti
Proteggere router, ecco le regole d'oro - IlSoftware.it