Quattro piccoli facili interventi di configurazione del router/access point possono aumentare la security della wireless LAN. E con il tool gratuito AirSnare si può monitorare cosa accade nella rete.
In questo articolo facciamo un breve riepilogo dei semplici interventi che, chi usa un router wireless, può mettere in campo per proteggere la propria rete.
1. Disattivare il broadcasting dell’SSID
La maggior parte dei router imposta, in modo predefinito, il broadcasting del SSID. Acronimo di service set identifier, l’SSID è il nome col quale una rete Wi-Fi si presenta ai suoi utenti. Effettuando una scansione con un software qual è inSSIDer, si otterrà l’elenco degli SSID corrispondenti alle reti wireless disponibili nei dintorni insieme con le rispettive carattaeristiche.
Di default, molti router usano come SSID il nome ed il modello dello stesso dispositivo: in questo modo, chi passa nelle vicinanze del device conosce anche con quale hardware ha a che fare.
Il primo semplice intervento che è consigliabile effettuare quando si è allestita una rete Wi-Fi, consiste nel disabilitare il broadcasting ovvero la diffusione del proprio SSID.
Nascondendo l’identificativo della propria rete wireless non si impedirà a chi già ne conosce il nome di collegarsi ma si porrà in essere una semplice misura che terrà lontani gli “spioni” meno esperti. Anzi, è bene modificare immediatamente l’SSID di default accertandosi, dopo aver riconfigurato la rete Wi-Fi, che tutti i sistemi client autorizzati possano continuare a collegarsi.
Va detto, tuttavia, che disattivando il broadcasting dell’SSID, non si potranno più aggiungere semplicemente nuovi dispositivi alla propria rete Wi-Fi: i device che già la conoscono potranno connettersi immediatamente ma quelli che non l’hanno mai utilizzata (portatili, smartphone, netbook) non riusciranno a “vederla”. Per aggiungere un nuovo dispositivo e consentirgli la connessione alla rete wireless, il miglior consiglio è quello di riattivare temporaneamente il broadcasting dell’SSID.
Per disattivare o riattivare il broacasting dell’SSID è necessario accedere al pannello di configurazione del router o dell’access point facendo quindi riferimento alla sezione Wireless dove sarà presente una voce del tipoWireless SSID Broadcast . L’interfaccia del pannello amministrativo di ogni router (o quanto meno dei vari vendor) può essere molto differente: le funzionalità, tuttavia, saranno sempre comuni.
2. Attivazione della crittografia
L’abilitazione di un algoritmo per cifrare i dati in transito sulla connessione wireless, è sicuramente uno dei passi da effettuare quando si configura una rete Wi-Fi aziendale.
L’importante è evitare l’impiego di quegli algoritmi che sono ormai ritenuti assolutamente insicuri. A partire dal WEP che ormai non fornisce alcuna protezione dal momento che risulta “craccabile” in pochi istanti. WEP è un algoritmo, ormai abbandonato, che fu introdotto nel 1997 come parte integrante del protocollo 802.11 originario.
A partire dal 2001 i crittoanalisti si concentrarono sullo studio di WEP arrivando, due anni dopo, ad evidenziare pubblicamente le debolezze dell’algoritmo. In particolare, analizzando il traffico di rete (“sniffing”) in transito sulla rete wireless, è possibile risalire alla chiave WEP nel giro di pochi minuti.
Proposto nel 2003 dalla stessa Wi-Fi Alliance, WPA è nato per sopperire alle mancanze di WEP. Una serie di studi condotti nell’ultimo biennio, ha evidenziato come anche WPA non sia esente da problemi. Anche in questo caso, studiando il traffico cifrato scambiato tra client e router Wi-Fi, è possibile risalire alla chiave utilizzata a protezione della connessione senza fili.
Da allora, la Wi-Fi Alliance sta consigliando di migrare, ove possibile, a WPA2. Anzi, da gennaio, Wi-Fi Alliance ha comunicato che l’algoritmo WPA non potrà essere più inserito negli access point di nuova generazione. Il divieto interesserà, dal 2012, tutte le tipologie di dispositivi wireless.
Allo stato attuale, quindi, il consiglio è quello di optare sempre – se disponibile – sull’algoritmo WPA2-AES attivandolo dalla sezione Wireless dell’interfaccia di amministrazione del router/access point. In alternativa, nel caso dei router più datati, si può ripiegare su WPA scegliendo una password adeguatamente lunga e complessa. Sempre meglio che niente. Assolutamente da evitare l’utilizzo di WEP.
La modifica dell’algoritmo crittografico da utilizzare per la connessione Wi-Fi è effettuabile sempre dal pannello di amministrazione del router accedendo all’apposita sezione (Wireless security o una voce simile).
Ove disponibile, è meglio optare per WPA2-PSK impostando, anche qui, una password adeguatamente lunga e complessa (è caldamente consigliato specificare una parola chiave contenente caratteri alfanumerici e simboli).
L’acronimo PSK sta a significare Pre-shared key ossia “chiave precedentemente condivisa“: si tratta della “parola chiave” segreta (di dimensione compresa tra 8 e 63 caratteri) utilizzata a protezione della comunicazione senza fili oltre che per effettuare il collegamento da tutti i sistemi client autorizzati.
WPA2-PSK è un’ottima soluzione per la protezione delle reti wireless domestiche, degli studi professionali e delle piccole imprese ma non è la scelta più opportuna per le realtà aziendali di più grandi dimensioni.
I prodotti che usano WPA2-PSK (WPA2-Personal), utilizzano la chiave condivisa mentre quelli che impiegano WPA2-Enterprise poggiano invece su un server di autenticazione.
Nel caso di WPA2-PSK viene configurata solamente una password che è la stessa utilizzata per l’accesso alla rete wireless da parte di tutti i sistemi client. Cosa accadrebbe allorquando venisse modificata la password sul router? Cosa succederebbe se il router o l’access point Wi-Fi venissero rubati?
WPA2-Enterprise risolve tutte queste problematiche. Così come il WPA2-PSK, anche WPA2-Enterprise utilizza la crittografia CCMP-AES per proteggere i dati veicolati attraverso la rete wireless con un’importante differenza: per accedere alla rete i vari client debbono essere autenticati da un sistema server.
Ogni computer che intende connettersi alla rete Wi-Fi deve presentare le proprie credenziali (di solito sotto forma di nome utente e password). Il server, effettuato un controllo, darà il “via libera” oppure negherà la connessione.
Questo metodo di autenticazione è chiamato 802.11X/EAP (Extensible Authentication Protocol).
E’ probabilmente l’approccio migliore per le imprese più grandi anche se, va sottolineato, non tutti i dispositivi Wi-Fi supportano lo stesso tipo di autenticazione 802.11X/EAP.
L’impiego di WPA2-Enterprise richiede ovviamente la presenza, in rete, di un server RADIUS o di un sistema Windows Server con i servizi Active Directory attivati.
3. Applicare un filtro sugli indirizzi MAC
Si chiama indirizzo MAC o MAC address, in inglese, l’indirizzo univoco abbinato a ciascuna scheda di rete posta in commercio. Sebbene esso sia modificabile a livello software, l’indirizzo MAC rappresenta comunque un identificativo “unico” per ciascuna scheda di rete in circolazione, comprese quelle presenti sui sistemi più integrati o sui notebook.
Le prime tre coppie di cifre dell’indirizzo, da sinistra verso destra, identificano il produttore della scheda di rete. Come avevamo scritto nell’articolo che spiega come ottenere un elenco completo delle condivisioni di rete, è disponibile una lista completa degli identificativi associati a tutti i produttori mondiali di schede di rete e dispositivi di comunicazione.
Tutti i router disponibili in commercio offrono di solito la possibilità di effettuare un controllo aggiuntivo per quanto riguarda la connessione wireless ossia verificare il MAC address di ogni sistema client che tenta la connessione.
Inserendo, in un’apposita sezione del pannello di configurazione del router wireless, l’elenco degli indirizzi MAC dei sistemi che hanno titolo ad accedere alla rete, il router effettuerà anche questa verifica aggiuntiva.
E’ una misura di sicurezza in più la cui presenza deve essere tuttavia ricordata ogniqualvolta si desideri collegare un nuovo dispositivo wireless alla rete. Se non si aggiungerà, infatti, nel pannello di amministrazione del router Wi-Fi, il giusto MAC address, il nuovo dispositivo wireless non potrà connettersi pur impostandovi la password corretta (“Pre-shared key” di WPA o WPA2).
Il MAC address della scheda di rete è spesso stampato sull’etichetta applicata fisicamente sull’hardware oppure può essere dedotto, in ambiente Windows, aprendo la finestra del prompt dei comandi (Start, Esegui…, scrivere il comando cmd
) e digitando quanto segue: IPCONFIG /all
.
Bisognerà quindi analizzare attentamente l’output ottenuto ed annotare l'”indirizzo fisico” indicato in corrispondenza della voce Scheda LAN wireless Connessione alla rete wireless.
Tale indirizzo MAC, composto da sei coppie di cifre, deve essere inserito nel pannello di amministrazione del router all’interno della sezione Wireless access o MAC address access list (il nome esatto della voce dipende ovviamente dal tipo di router) .
In ambiente Linux, per recuperare il MAC address, è sufficiente aprire una finestra terminale quindi digitare il comando ifconfig -a
controllando quanto visualizzato in corrispondenza dell’indicazione HWaddr, accanto alla voce relativa all’interfaccia wireless (spesso indicata come “wlan0“).
Sui sistemi Mac OS X, basta accedere alla finestra Preferenze di sistema…, cliccare sull’icona Network, selezionare l’interfaccia wireless e cliccare sul pulsante Avanzate. Il MAC address sarà mostrato nella finestra che comparirà a video.
4. Modificare la password per l’accesso al pannello di amministrazione del router
Per accedere al pannello di configurazione del router o dell’access point, è sufficiente aprire il browser web quindi digitare, tipicamente, http://192.168.1.1 o http://192.168.0.1, a seconda della impostazioni di fabbrica.
Apparirà così una finestra per l’inserimento del nome utente e della password per l’accesso all’interfaccia del router. Di solito l’accoppiata di credenziali impostate dal produttore è semplicissima (admin – admin, admin – guest o admin – password).
Le credenziali d’accesso all’interfaccia di amministrazione del router debbono essere modificate prima possibile. Per farlo è necessario fare riferimento alla sezione Administration dello stesso pannello di configurazione.
5. Controllare cosa accade nella rete con AirSnare
Tra i software più interessanti, e completamente gratuiti, per controllare ciò che accade sulla propria rete, c’è AirSnare. Il programma è sostanzialmente un software “sniffer” in grado di ispezionare tutto il traffico veicolato sulla rete locale.
AirSnare è pensato esplicitamente per controllare i MAC address che si sono “affacciati” sulla propria rete locale e verificare tutte le tipologie di richieste che stanno avendo luogo (connessioni web, utilizzo della messaggistica istantanea e così via).