Mettere in sicurezza una rete wireless in pochi semplici passaggi

Facciamo un breve riepilogo dei semplici interventi che, chi usa un router wireless, può mettere in campo per proteggere la propria rete. E’ ancora oggi cosa piuttosto comune, passeggiando per le grandi città come per i piccoli paesi, imbattersi in reti Wi-Fi non adeguatamente protette che, con un semplice clic del mouse consentono al “passante” di collegarsi ad Internet, di esaminare il traffico dati in transito e, talvolta, anche di “frugare” tra le risorse condivise nella LAN.
Un semplicissimo software come inSSIDer consente di stabilire quali reti wireless 802.11b/g/n sono disponibili nelle vicinanze: è sufficiente disporre di un notebook dotato di una normale scheda Wi-Fi.

Non è mancanza di spirito filantropico chiudere il router wireless impedendo le connessioni da parte delle persone non autorizzate: è una questione di sicurezza. Realtà aziendali così come semplici professionisti sono tenuti ad applicare tutta una serie di misure minime per la protezione dei dati gestiti: l’attivazione di un’adeguata protezione sull’access point o sul router Wi-Fi è sicuramente uno degli adempimenti che l’utente è tenuto ad applicare.
In commercio ci sono poi ancora molti dispositivi wireless che, nella configurazione di default, attivano l’interfaccia wireless ma non la proteggono in modo adeguato o, se lo fanno, impostano una password predefinita. Altri produttori, invece, più coscientemente, propongono una procedura passo-passo che guida l’utente, alla prima installazione del device, nella configurazione del modulo Wi-Fi.

La maggior parte dei router imposta, in modo predefinito, il broadcasting del SSID. Acronimo di service set identifier, l’SSID è il nome col quale una rete Wi-Fi si presenta ai suoi utenti. Effettuando una scansione con un software qual è inSSIDer, si otterrà l’elenco degli SSID corrispondenti alle reti wireless disponibili nei dintorni insieme con le rispettive carattaeristiche. Di default, molti router usano come SSID il nome ed il modello dello stesso dispositivo: in questo modo, chi passa nelle vicinanze del device conosce anche con quale hardware ha a che fare.

Disattivare il broadcasting dell’SSID

Il primo intervento che è consigliabile effettuare quando si è allestita una rete Wi-Fi, consiste nel disabilitare il broadcasting ovvero la diffusione del proprio SSID. Nascondendo l’identificativo della propria rete wireless non si impedirà a chi già ne conosce il nome di collegarsi ma si porrà in essere una semplice misura che terrà lontani gli “spioni” meno esperti. Anzi, è bene modificare immediatamente l’SSID di default accertandosi, dopo aver riconfigurato la rete Wi-Fi, che tutti i sistemi client autorizzati possano continuare a collegarsi.
Va detto, tuttavia, che disattivando il broadcasting dell’SSID, non si potranno più aggiungere semplicemente nuovi dispositivi alla propria rete Wi-Fi: i device che già la conoscono potranno connettersi immediatamente ma quelli che non l’hanno mai utilizzata (portatili, smartphone, netbook,…) non riusciranno a “vederla”. Per aggiungere un nuovo dispositivo e consentirgli la connessione alla rete wireless, il miglior consiglio è quello di riattivare temporaneamente il broadcasting dell’SSID.

Per disattivare o riattivare il broacasting dell’SSID è necessario accedere al pannello di configurazione del router o dell’access point facendo quindi riferimento alla sezione Wireless. L’interfaccia del pannello amministrativo di ogni router (o quanto meno dei vari vendor) può essere molto differente: le funzionalità, tuttavia, saranno sempre comuni.
Agendo sulla voce Wireless SSID Broadcast (nell’esempio l’interfaccia di amministrazione di un router Linksys) si potrà attivare o disabilitare l’annuncio dell’SSID definito poco sopra (Wireless Network Name).

Attivazione della crittografia

L’abilitazione di un algoritmo per cifrare i dati in transito sulla connessione wireless, è sicuramente uno dei passi da effettuare quando si configura una rete Wi-Fi aziendale oppure domestica. L’importante è evitare l’impiego di quegli algoritmi che sono ormai ritenuti assolutamente insicuri. A partire dal WEP che ormai non fornisce alcuna protezione dal momento che risulta “craccabile” in pochi istanti. WEP è un algoritmo, ormai abbandonato, che fu introdotto nel 1997 come parte integrante del protocollo 802.11 originario. A partire dal 2001 i crittoanalisti si concentrarono sullo studio di WEP arrivando, due anni dopo, ad evidenziare pubblicamente le debolezze dell’algoritmo. In particolare, analizzando il traffico di rete (“sniffing”) in transito sulla rete wireless, è possibile risalire alla chiave WEP nel giro di pochi minuti.

Proposto nel 2003 dalla stessa Wi-Fi Alliance, WPA è nato per sopperire alle mancanze di WEP. Una serie di studi condotti nell’ultimo biennio, hanno evidenziato come anche WPA non sia esente da problemi. Anche in questo caso, studiando il traffico cifrato scambiato tra client e router Wi-Fi, è possibile risalire alla chiave utilizzata a protezione della connessione senza fili. Va ad alcuni ricercatori giapponesi “la palma d’oro” per aver abbassato il tempo necessario per individuare la chiave crittografica di WPA. A proposito dell’attacco, abbiamo pubblicato numerosi dettagli in questo articolo risalente all’agosto 2009.

Da allora, la Wi-Fi Alliance sta consigliando di migrare, ove possibile, a WPA2. Anzi, da gennaio – come avevamo riportato in quest’articolo -, Wi-Fi Alliance, organizzazione nata nel 1999 che riunisce alcune tra le industrie leader nel settore delle comunicazioni wireless, l’algoritmo WPA non potrà essere più inserito negli access point di nuova generazione. Il divieto interesserà, dal 2012, tutte le tipologie di dispositivi wireless.

Allo stato attuale, quindi, il consiglio è quello di optare sempre – se disponibile – sull’algoritmo WPA2-AES attivandolo dalla sezione Wireless dell’interfaccia di amministrazione del router/access point. In alternativa, nel caso dei router più datati, si può ripiegare su WPA scegliendo una password adeguatamente lunga e complessa. Sempre meglio che niente. Assolutamente da evitare l’utilizzo di WEP.

La modifica dell’algoritmo crittografico da utilizzare per la connessione Wi-Fi è effettuabile sempre dal pannello di amministrazione del router accedendo all’apposita sezione (Wireless security o una voce simile).

Come si vede in figura, quello col quale abbiamo a che fare è un router che non dispone dell’algoritmo più sicuro, il WPA2. In mancanza del WPA2, si può scegliere WPA impostando una password adeguata nel campo successivo (WPA Pre-shared key).

Ove disponibile, è ovviamente meglio optare per WPA2-PSK impostando, anche qui, una password adeguatamente lunga e complessa (è caldamente consigliato specificare una parola chiave contenente caratteri alfanumerici e simboli). L’acronimo PSK sta a significare Pre-shared key ossia “chiave precedentemente condivisa“: si tratta della “parola chiave” segreta (di dimensione compresa tra 8 e 63 caratteri) utilizzata a protezione della comunicazione senza fili oltre che per effettuare il collegamento da tutti i sistemi client autorizzati.

WPA2-PSK è un’ottima soluzione per la protezione delle reti wireless domestiche, degli studi professionali e delle piccole imprese ma non è la scelta più opportuna per le realtà aziendali di più grandi dimensioni. I prodotti che usano WPA2-PSK (WPA2-Personal), utilizzano la chiave condivisa mentre quelli che impiegano WPA2-Enterprise poggiano invece su un server di autenticazione.
Nel caso di WPA2-PSK viene configurata solamente una password che è la stessa utilizzata per l’accesso alla rete wireless da parte di tutti i sistemi client. Cosa accadrebbe allorquando venisse modificata la password sul router? Cosa succederebbe se il router o l’access point Wi-Fi venissero rubati? E se un notebook venisse sottratto al proprietario con lo scopo di recuperare la password? Se la parola chiave venisse scritta, da qualche utente, su un “post-it” nel proprio ufficio?
WPA2-Enterprise risolve tutte queste problematiche. Così come il WPA2-PSK, anche WPA2-Enterprise utilizza la crittografia CCMP-AES per proteggere i dati veicolati attraverso la rete wireless con un’importante differenza: per accedere alla rete i vari client debbono essere autenticati da un sistema server. Ogni computer che intende connettersi alla rete Wi-Fi deve presentare le proprie credenziali (di solito sotto forma di nome utente e password). Il server, effettuato un controllo, darà il “via libera” oppure negherà la connessione. Questo metodo di autenticazione è chiamato 802.11X/EAP (Extensible Authentication Protocol).
E’ probabilmente l’approccio migliore per le imprese più grandi anche se, va sottolineato, non tutti i dispositivi Wi-Fi supportano lo stesso tipo di autenticazione 802.11X/EAP.
L’impiego di WPA2-Enterprise richiede ovviamente la presenza, in rete, di un server RADIUS o di un sistema Windows Server con i servizi Active Directory attivati.

Filtrare gli indirizzi MAC e cambiare la password di default

Applicare un filtro sugli indirizzi MAC

Si chiama indirizzo MAC o MAC address, in inglese, l’indirizzo univoco abbinato a ciascuna scheda di rete posta in commercio. Sebbene esso sia modificabile a livello software (ved., ad esempio, questo articolo), l’indirizzo MAC rappresenta comunque un identificativo “unico” per ciascuna scheda di rete in circolazione, comprese quelle presenti sui sistemi più integrati o sui notebook. Le prime tre coppie di cifre dell’indirizzo, da sinistra verso destra, identificano il produttore della scheda di rete. Come avevamo spiegato in questo articolo, cliccando qui potete trovare un elenco completo degli identificativi associati a tutti i produttori mondiali di schede di rete e dispositivi di comunicazione.

Tutti i router disponibili in commercio offrono di solito la possibilità di effettuare un controllo aggiuntivo per quanto riguarda la connessione wireless ossia verificare il MAC address di ogni sistema client che tenta la connessione. Inserendo, in un’apposita sezione del pannello di configurazione del router wireless, l’elenco degli indirizzi MAC dei sistemi che hanno titolo ad accedere alla rete, il router effettuerà anche questa verifica aggiuntiva. E’ una misura di sicurezza in più la cui presenza deve essere tuttavia ricordata ogniqualvolta si desideri collegare un nuovo dispositivo wireless alla rete. Se non si aggiungerà, infatti, nel pannello di amministrazione del router Wi-Fi, il giusto MAC address, il nuovo dispositivo wireless non potrà connettersi pur impostandovi la password corretta (“Pre-shared key” di WPA o WPA2).

Il MAC address della scheda di rete è spesso stampato sull’etichetta applicata fisicamente sull’hardware oppure può essere dedotto, in ambiente Windows, aprendo la finestra del prompt dei comandi (Start, Esegui…, cmd) e digitando quanto segue: IPCONFIG /all. Bisognerà quindi analizzare attentamente l’output ottenuto ed annotare l'”indirizzo fisico” indicato in corrispondenza della voce “Scheda LAN wireless Connessione alla rete wireless“.

Tale indirizzo MAC, composto da sei coppie di cifre, deve essere inserito nel pannello di amministrazione del router all’interno della sezione Wireless access o MAC address access list.

Ad esempio, l’impostazione seguente (l’interfaccia è quella di un router Linksys) consente di attivare il filtro sul MAC address (Restrict access) e di consentire l’accesso alla rete Wi-Fi solamente agli indirizzi esplicitamente indicati (Permit only).

Per specificare gli indirizzi MAC abbinati ai sistemi client autorizzati, è necessario cliccare, in questo caso, su Edit MAC address access list quindi digitarli, uno dopo l’altro, nelle apposite caselle. Consultando questo documento, si può notare come la prima scheda sia prodotta da Hon Hai Precision, la seconda da Belkin mentre la terza da AzureWave.

In ambiente Linux, per recuperare il MAC address, è sufficiente aprire una finestra terminale quindi digitare il comando ifconfig -a controllando quanto visualizzato in corrispondenza dell’indicazione HWaddr, accanto alla voce relativa all’interfaccia wireless (spesso indicata come “wlan0“).

Sui sistemi Mac OS X, basta accedere alla finestra Preferenze di sistema…, cliccare sull’icona Network, selezionare l’interfaccia wireless e cliccare sul pulsante Avanzate. Il MAC address sarà mostrato nella finestra che comparirà a video.

Modificare la password per l’accesso al pannello di amministrazione del router

Per accedere al pannello di configurazione del router o dell’access point, è sufficiente aprire il browser web quindi digitare, tipicamente, http://192.168.1.1 o http://192.168.0.1, a seconda della impostazioni di fabbrica. Apparirà così una finestra per l’inserimento del nome utente e della password per l’accesso all’interfaccia del router. Di solito l’accoppiata di credenziali impostate dal produttore è semplicissima (admin – admin, admin – guest o admin – password.

Le credenziali d’accesso all’interfaccia di amministrazione del router debbono essere modificate prima possibile. Per farlo è necessario fare riferimento alla sezione Administration dello stesso pannello di configurazione.

Controllare cosa accade nella rete con AirSnare

Tra i software più interessanti, e completamente gratuiti, per controllare ciò che accade sulla propria rete, c’è AirSnare. Il programma è sostanzialmente un software “sniffer” in grado di ispezionare tutto il traffico veicolato sulla rete locale. AirSnare è pensato esplicitamente per controllare i MAC address che si sono “affacciati” sulla propria rete locale e verificare tutte le tipologie di richieste che stanno avendo luogo (connessioni web, utilizzo della messaggistica istantanea e così via). AirSnare è prelevabile gratuitamente da questo sito web.