Sicurezza wifi

WIFI– I suoi limiti, i pericoli e come proteggersi – A cura di Alessandro Pollio

Introduzione

La connessione wifi è più lenta di quella cablata. Le schede wireless che seguono lo standard 802.11g arrivano a 54 megabit al secondo in condizioni ottimali, mentre la connessione cablata normalmente ha una capacità di 100 megabit al secondo.

Il guaio è che le “condizioni ottimali” sono molto rare. Basta che ci siano di mezzo un paio di muri e la qualità del segnale degrada e di conseguenza la connessione rallenta drasticamente. Rimane sufficiente per navigare in Internet, ma non certo per trasferire grandi file da un computer all’altro.

L’altro problema è la portata limitata. I manuali dei produttori parlano di portate massime di 150 metri al coperto (è il caso del manuale NetGear), ma in realtà il segnale spesso e volentieri arriva a cinque-sei metri fuori dal perimetro di casa, e poi si deteriora al punto di essere inutilizzabile.

La portata viene inoltre penalizzata dal fatto che quasi tutte le attuali schede wireless lavorano a 2,4 GHz, che è la stessa frequenza sulla quale lavorano molti telefoni cordless e i forni a microonde. Se accendete uno di questi apparecchi, l’interferenza è tale che la connessione rallenta o addirittura cade.

Due apparecchi che si sono rivelati fonte inaspettata di disturbi sono le palle al plasma (quegli oggetti ornamentali costituiti da una sfera di vetro dentro la quale si formano dei piccoli fulmini), che hanno fatto collassare completamente la connessione wireless (segnale a zero), e la lavastoviglie: quando il suo motore è in funzione, la portata del segnale precipita a sei-sette metri dall’antenna dell’access point.

Tuttavia, se si rispettano e accettano questi limiti, la rete wireless è appunto una gran comodità.

Il guaio è che questa comodità comporta anche dei rischi. In ossequio alle leggi della fisica, il segnale radio della rete si diffonde per qualche decina di metri in ogni direzione, quindi anche fuori dalle mura domestiche, e quindi è intercettabile.

Vedremo qui di seguito alcuni accorgimenti, più o meno complessi, per aumentare la sicurezza della propria connessione

Cambio dell’indirizzo IP dell’access point e la sua password

Gli access point hanno di solito un indirizzo IP predefinito in fabbrica, come anche per login e password. Gli intrusi conoscono questi standard e pertanto possono andare a colpo sicuro nel cercare di accedere al vostro access point. Per questo conviene cambiare.

Controllo del MAC address

Ogni scheda di rete (wireless o meno) ha un proprio “numero di serie”, che si chiama MAC address. Gli access point possono essere impostati in modo da accettare connessioni soltanto dalle schede che hanno un certo MAC address. Questo rende molto difficile all’intruso penetrare nella rete, perché deve prima scoprire uno dei MAC address autorizzati. Non è impossibile, ma è una scocciatura che scoraggia buona parte degli aggressori. Pertanto conviene assolutamente attivare il controllo del MAC address.

 Niente DHCP

Il DHCP è un sistema che semplifica la gestione di una rete assegnando automaticamente un indirizzo IP a ogni macchina che si collega alla rete. Questo è comodo in un ambiente cablato, ma è pericoloso in un ambiente wireless, perché assegnerebbe automaticamente un indirizzo IP anche a un intruso. Bisogna quindi disabilitare il DHCP sull’access point e assegnare manualmente gli indirizzi alle singole schede wireless. Tenete presente, comunque, che un intruso abbastanza furbo è in grado di aggirare questo ostacolo (gli basta indovinare la gamma di indirizzi IP che usate, tipicamente 192.168.0.*). Ma è proprio questo il concetto: creare una serie di ostacoli che singolarmente sono superabili, ma cumulativamente sono una tale pena che l’intruso cambia aria.

Cambio dell’SSID

La rete wireless ha un suo identificativo, chiamato SSID, che le schede wireless devono conoscere per potervisi collegare. Anche l’intruso ha bisogno di conoscerlo per fare il suo sporco mestiere. Il guaio è che conoscerlo è facilissimo: la maggior parte dei dispositivi wireless è impostato in fabbrica in modo da usare, come SSID, il nome del fabbricante. Altra bella furbata. Siccome i fabbricanti non sono poi tanti, è banale per l’intruso tentarli uno per uno. Quindi un altro bastone da mettere tra le ruote dell’intruso è cambiare l’SSID, assegnandone uno poco intuitivo. Ricordate che dovete cambiare l’SSID su tutte le schede della rete e nell’access point, e che comunque l’SSID rimane intercettabile, anche se più faticosamente, quindi non usate come SSID una vostra password o altre informazioni delicate. Non usate come SSID il vostro nome o il nome della ditta.

Spegnere quando non serve

Può sembrare un consiglio abbastanza banale, ma è una di quelle contromisure così ovvie che raramente vengono prese in considerazione: spegnete la rete wireless quando non la state usando. Se la rete wireless non è in funzione, l’intruso non ha modo di usarla e ha meno tempo per tentare di entrarvi quando è accesa. Questo ha anche il vantaggio secondario di ridurre la propria esposizione alle onde radio emesse da ogni dispositivo wireless. Non risulta alcuna prova seria del fatto che questi campi elettromagnetici siano nocivi, ma nel dubbio, se si possono evitare è meglio.

Condivisioni di Windows

Se usate Windows, vi conviene mettere una password sulle risorse condivise. Le password di condivisione di alcune versioni di Windows (95, 98 e ME, per esempio) sono “bucabili” abbastanza facilmente, ma costituiscono comunque un ostacolo in più.

Sicurezza fisica

Questo è un aspetto regolarmente trascurato della sicurezza delle reti wireless. E’ importante fare in modo che il segnale radio esca il meno possibile dall’edificio. Se non c’è segnale fuori dall’edificio, l’intruso non solo non ha nulla a cui attaccarsi: non può neppure sapere che avete una rete wireless. Non è difficile bloccare il segnale radio quanto basta per renderlo inutilizzabile dall’esterno. La prima cosa da fare è collocare l’access point al centro della zona da coprire e il più lontano possibile dai muri esterni. La seconda è schermare l’access point nelle direzioni che non vi interessa coprire. Per esempio, se dovete collocare un access point vicino a un muro esterno, mettete un foglio metallico fra l’access point e il muro (anche vicino all’access point, a mo’ di paravento): rifletterà il segnale radio e gli impedirà di dirigersi verso l’esterno dell’edificio.

Infine, non dimenticate la terza dimensione. Il segnale radio non si diffonde soltanto orizzontalmente, ma anche verticalmente. Chi abita o lavora al piano superiore o inferiore è lontano, in linea d’aria, solo pochi metri dal vostro access point, e quindi ne riceve benissimo il segnale. Anche qui, il rimedio è schermare, schermare, schermare.

Trucchi evoluti

Quello che ho descritto fin qui è un approccio di base alla sicurezza delle normali reti wireless domestiche, ma si può fare molto di più. Mi limito a un breve accenno:

  • si può separare la rete cablata dalla rete wireless, interponendo fra le due reti un firewall hardware o software. Il firewall consente poi alle macchine wireless di accedere a quelle della rete cablata soltanto a determinate condizioni, che potete impostare a vostro piacimento: per esempio, potete permettere di accedere via wireless a Internet o al server Web della vostra rete cablata, ma non alle risorse condivise (dischi e stampanti).
  • si può usare una gamma di indirizzi IP non standard.

Crittografia

La cifratura dei dati in transito sulla connessione wireless è un’altra precauzione da prendere, durante la configurazione della nostra rete Wi-Fi. La scelta dell’algoritmo di crittografia più appropriato sarà da effettuare accedendo al pannello di amministrazione del router, ed entrando nell’apposita sezione relativa alle Impostazioni wireless (Wireless settings) oppure Sicurezza wireless (Wireless security).

Andrà assolutamente evitato di lasciare disabilitata (disabled) la cifratura dei dati, così come di utilizzare il protocollo WEP (Wired Equivalent Privacy) che, sebbene sia da considerarsi la precauzione minima indispensabile per impedire a un utente qualsiasi di poter accedere alla rete, risulta comunque velocemente “craccabile”. Sono stati scoperti seri difetti nell’implementazione di questo algoritmo crittografico, che permetterebbero ad un utente malintenzionato, in ascolto sulla rete wireless, di poter risalire alla chiave “segreta” nel giro di pochi minuti.

Negli anni si è palesata la necessità della revisione di questo protocollo, e nel 2003 la Wi-Fi Alliance ha rilasciato il più sicuro standard WPA (Wi-Fi Protected Access), che oggi fa parte dell’IEEE 802.11i (meglio conosciuto come WPA2). Il protocollo WPA aumenta il numero delle chiavi in uso e la loro complessità, oltre ad implementare un migliore sistema per la verifica dell’autenticità dei messaggi, a tutto beneficio della sicurezza della WLAN. Anche in questo caso, però, la sicurezza non è perfettamente garantita, in quanto alcuni ricercatori hanno dimostrato la possibilità che anche il WPA possa essere forzato, anche se in questo caso si tratterebbe di tempi nell’ordine di minuti, anzichè di secondi come nel caso del WEP).

In ogni caso il WPA sarebbe stata una soluzione temporanea, necessaria per sostituire velocemente il protocollo WEP, mentre lo standard 802.11i (WPA2) veniva ultimato. Sono state create due diverse “versioni” di questo standard: il WPA2-Personal, che utilizza il metodo PSK (Pre-Shared Key) a chiave condivisa, ed il WPA2-Enterprise, che necessita invece di un server di autenticazione. La Pre-shared key (ovvero “chiave precedentemente condivisa”) andrà impostata sul router, ed è in pratica la “password” messa a protezione della WLAN, che andrà immessa in qualsiasi client che desideri connettersi. La chiave, di lunghezza compresa tra gli 8 ed i 63 caratteri, dovrà essere decisamente “robusta” (combinazione alfa-numerica complessa, contenente anche simboli speciali, evitando qualsiasi termine di senso compiuto). Il protocollo WPA2-PSK è la migliore soluzione per la protezione di una rete wireless domestica.

Come configurare un Router e cambiare la password di default

Ogni router ha un proprio indirizzo, questo in genere corrisponde all’indirizzo 192.168.0.1, oppure 192.168.1.1, ovviamente prima di procedere dovete rintracciare tale indirizzo che può essere esposto nel manuale del vostro router, oppure su un’etichetta posta sulla parte sottostante del router stesso. Oltre all’indirizzo recuperate anche la login e password impostati di default, generalmente esposti proprio accanto l’indirizzo (tipicamente la login è “admin” e la password “admin” o “password”).

Se non hai il manuale del router clicca sul pulsante Start di Windows, recati nella sezione Tutti i programmi > Accessori e clicca sulla voce Prompt dei comandi per avviare il prompt dei comandi.

Nella finestra che si apre, digita il comando ipconfig e premi il tasto Invio della tastiera del tuo PC per ottenere la lista completa degli indirizzi relativi alla tua connessione. L’indirizzo IP del router è quella serie di numeri che vedi accanto alla voce Gateway predefinito (es. 192.168.10.1).

prompt

Da uno dei computer connessi al router, sia in modalità Wireless che cablata, apriamo il browser e digitiamo sulla barra indirizzi l’indirizzo del router, quindi avviamo il caricamento della pagina.

localhost

A questo punto, se tutto ha funzionato, si aprirà una pagina in cui ci viene chiesto di immettere i dati di login, inseriamo quelli di default e proseguiamo.

admin

Adesso siamo nella pagina di configurazione del router. Tale pagina, e la disposizione delle opzioni, variano da router a router, quindi non stupitevi se quello che trovate non corrisponde alle immagini esposte, è normale, a meno che non stiate utilizzando il nostro stesso router o uno della stessa marca.

Recati quindi nella sezione Amministrazione o Sicurezza per cambiare la password necessaria ad accedere alla configurazione del router, inserisci la nuova password e salva.

password-router

Come configurare un Router con una protezione WPA

L’opzione per attivare una protezione si trova generalmente nelle impostazioni wireless.

Una volta identificata dobbiamo scegliere un’opzione di protezione tra:

WEP (Wired Equivalent Privacy)

WPA-PSK (Wi-Fi Protected Access Pre-Shared Key)

WPA2-PSK (Wi-Fi Protected Access 2 Pre-Shared Key)

Mista: WPA-PSK+WPA2-PSK

WPA-802.1x

La protezione WEP è più diffusa e compatibile, per tale ragione è anche la più attaccata e quindi soggetta ad essere infranta, la WPA2 è un ottima soluzione, tuttavia non tutti i dispositivi sono compatibili soprattutto alcune console di gioco, quindi alla fine l’unica soluzione è andare per tentativi.

Una volta scelta l’opzione di protezione dobbiamo digitare la chiave vera e propria, questa deve contenere da un minimo di 8 caratteri ad un massimo di 63 caratteri alfanumerici, inutile dire che più caratteri utilizziamo e più sarà sicura la nostra chiave.

wpa2

Una volta impostata la chiave applichiamo le impostazioni e, se richiesto, riavviamo il router.

A questo punto la nostra connessione è finalmente protetta, questa volta, cliccando sul punto d’accesso Wireless relativo alla nostra connessione, Windows ci chiederà il codice di protezione, immettendolo potremo accedere alla rete e dunque navigare, chiunque tenti di connettersi al nostro router verrà accolto da una bella richiesta di codice, che ovviamente non avendolo, non potrà connettersi.

Come visualizzare i computer connessi alla propria rete wifi

Se per negligenza, o perché avete sottovalutato il problema, avete impiegato una password troppo facile da indovinare (o, peggio, non l’avete inserita del tutto!), la vostra rete wireless può essere rimasta senza una adeguata protezione. In tale circostanza, è possibile che qualche “scroccone” si sia collegato abusivamente.

Controllare la presenza di eventuali intrusi è comunque possibile. Basta entrare nel router e andare nell’apposito menù, a volte chiamato Client List:

client-list 

Come configurare un Router con un filtraggio dei Mac Address

  1. Collegati al pannello di controllo del tuo router

E’ la prima cosa da fare. Se hai un router puoi accedere al suo pannello di controllo esattamente come accedi ad un qualsiasi sito internet: digitando nel browser il suo indirizzo. Solitamente l’IP del router è 192.168.0.1, quindi puoi collegarti al pannello di controllo aprendo la pagina http://192.168.0.1.

Se l’IP del tuo router è differente puoi trovarlo nelle impostazioni di rete, alla voce Gateway predefinito.

Il modo più semplice per visualizzarlo è il seguente:

apri il prompt dei comandi (la finestra DOS solitamente presente in Start > Programmi > Accessori)

digita ipconfig /all e premi enter

  1. Cosa fare se viene richiesta una password

Tutti i nuovi routers hanno una password di default che viene riportata nel manuale di istruzioni. Se invece ti è stato fornito in comodato dal provider ADSL molto probabilmente non potrai accedere in quanto la gestione del dispositivo è di loro esclusiva competenza.

  1. Entra nella gestione wifi del pannello di controllo

Nel mio Linksys WRT350N accedo alla gestione delle funzionalità wifi del router tramite la voce del menu principale chiamata “Wireless”. Il sottomenù presenta, tra le altre, la voce Wireless MAC filter. E’ li che dobbiamo operare. Cerca la maschera analoga sul tuo access point. Di seguito la schermata:

mac-filter

  1. Attiva il filtro dei MAC Address

Una volta entrato nella maschera giusta devi abilitare il filtro dei MAC address. Possono essere presenti altre opzioni. Nella schermata puoi leggere Prevent o Permit Only: servono ad indicare al router se la lista che andrai a creare conterrà le periferiche da bloccare o quelle abilitate al collegamento.  La seconda opzione è quella che fa al caso nostro.

Trova i comando analoghi nel tuo pannello di controllo ed implementali come da esempio.

  1. Rileva i MAC Address di tutti i dispositivi autorizzati alla connessione

E qui dovrai “censire” tutti i cellulari, computers, laptop, smartphones ecc che vorrai abilitare alla connessione DSL di casa tua o del tuo ufficio. Anche qui non c’è una guida unica per recuperare questa informazione. Ecco alcune dritte per il recupero dei MAC Address:

iPhone: impostazioni > generali > info

Blackberry:  Menu > Opzioni > Stato

Windows: Start > Programmi > Accessori poi digita ipconfig /all (attenzione, potresti trovarne più di uno. a te serve quello della scheda wifi)

Mac: Preferenze di sistema>Network poi seleziona la scheda di rete wireless

  1. Inserisci i MAC Address nella lista

mac-list

Ora dovrai cliccare su Edit MAC Filter list ed inserire, uno ad uno, tutti i MAC Address che ti sei segnato.

Raccomandazioni

Come già ti ho accennato sul tuo router i comandi saranno diversi, cerca di ricostruire le impostazioni prendendo spunto dai miei esempi.

Una volta ultimate le operazioni solo i computers da te specificati saranno in grado di connettersi alla tua ADSL wifi.

Un eventuale intruso potrà vedere la tua connessione wifi, e magari vederla anche aperta (se non hai impostato una password WEP o WPA, ma quando tenterà il collegamento il tuo router non gli darà la disponibilità di rete impedendo il collegamento.

Wps e sua disattivazione

Il sistema Wps, introdotto da qualche anno e disponibile in quasi tutti i router più recenti, nasconde una grossa falla che permetterebbe di violare il dispositivo in pochissime ore.

Questa funzione serve per agevolare il collegamento di nuovi dispositivi alla propria rete; infatti permette di collegare qualsiasi dispositivo Wi-Fi in modi più semplici rispetto al dover inserire ogni volta la propria chiave WPA/WPA2.

Alternativamente si può scegliere di collegare un dispositivo semplicemente premendo un tasto sul router al momento della connessione.

Oppure si può definire una propria rete interna con un PIN di 8 cifre da utilizzare per collegarsi.

wps

Ed è qui che sorge il problema; un ricercatore, Stefan Viehblock, ha dimostrato che sfruttando i messaggi che il router restituisce al client ad ogni tentativo fallito si possono restringere moltissimo le combinazioni da provare, fino ad 11.000.

Qualsiasi hacker, con 11.000 tentativi, effettuabili in poche ore con un metodo brute-force, potrebbe scoprire le nostre chiavi di accesso e violare il nostro router. A dimostrazione della serietà del problema, anche il Computer Emergency Readiness Team statunitense ha diramato un comunicato in cui illustra la vulnerabilità.

Come proteggersi?

Attualmente non esiste un rimedio per tale problema. L’unica soluzione possibile è quella di disattivare il Wps agendo sulle impostazioni del proprio router.

Fortunatamente, disattivare tale funzionalità è molto semplice; vi basta accedere al pannello di configurazione del vostro router e, nelle impostazioni avanzate, disattivare il Wps.

wps-disabilitato

Configurare il router cambiandone l’indirizzo IP, disabilitando l’UPnP e il DHCP

Bisogna cercare nelle impostazioni del router  la sezione che parla della configurazione LAN, disabilitare la voce DHCP, dell’UPnP e cambiare l’indirizzo IP del router, usandone uno non standard.

Normalmente, le reti locali usano gli indirizzi della gamma 192.168.1.x, dove x è compreso fra 0 e 254 (ci sarebbe anche il 255, ma è riservato). L’intruso lo sa, e imposta la propria scheda wireless in modo da usare la medesima gamma. Se però voi usate un’altra gamma, l’intruso è spiazzato (non in eterno, ma quanto basta per rendergli la vita difficile). Basterebbe anche inserire un indirizzo del tipo 192.168.32.54. Successivamente bisogna inserire la subnet mask, di solito va bene la configurazione standard 255.255.255.0. Inserendo questa tutti gli indirizzi IP della rete dovranno avere i primi tre blocchi di numeri uguali a quelli del router, in questo caso dovranno essere del tipo 192.168.32.x

Attenzione: se la vostra rete locale è connessa a Internet, non potete usare una gamma di indirizzi qualsiasi, perché andreste in conflitto con gli indirizzi usati dal resto di Internet. Le alternative ammesse sono 192.168.x.x, 10.x.x.x, e da 172.16.0.0 a 172.31.255.255.

dhcp

Configurare il router disabilitando il broadcasting del Ssid

L’SSID (Service Set Identifier) è il nome con cui una rete wireless si “presenta” agli utenti. Quasi tutti i router in commercio hanno impostato di default il broadcasting del SSID, cioè annunciano pubblicamente il nome della rete Wi-Fi, in maniera che ai dispositivi nelle vicinanze sia possibile avere una lista delle reti disponibili in zona, dalla quale scegliere quella appropriata alla quale connettersi. Come nome di default per l’SSID viene solitamente usato la marca e/o il modello di router o access point.

E’ quindi assolutamente consigliato modificare innanzitutto il nome dell’SSID, in modo che i malintenzionati eventualmente interessati a penetrare all’interno della nostra rete non partano già da una posizione “privilegiata”, conoscendo dettagli dell’hardware al quale si stanno preparando per lanciare l’attacco.

Inoltre è preferibile disabilitare il broadcasting, ovvero l’annuncio pubblico del nome del proprio SSID. Ciò comporterà la necessità di conoscere il nome esatto della rete, prima di connettere un qualsiasi dispositivo alla WLAN. Se eventualmente questo dovesse rivelarsi un problema, magari per gli utenti meno “esperti”, potrà venir temporaneamente riattivato il broadcasting dell’SSID, almeno per permettere la prima connessione.

Per modificare le impostazioni dell’SSID sarà necessario accedere al pannello di configurazione del router, accedere alle impostazioni “Wireless”, e quindi provvedere ad immettere il nome dell’SSID (SSID Name) ed abilitare/disabilitare la trasmissione del nome dell’SSID (Allow Broadcast of SSID Name).

Per modificare le impostazioni dell’SSID sarà necessario accedere al pannello di configurazione del router, accedere alle impostazioni “Wireless”, e quindi provvedere ad immettere il nome dell’SSID (SSID Name) ed disabilitare la trasmissione del nome dell’SSID (Allow Broadcast of SSID Name).

ssid-broadcast

Configurare l’indirizzo IP statico al proprio computer

Se vuoi imparare come assegnare IP statico ed utilizzi il sistema operativo Windows 7, il primo passo che devi fare è cliccare sull’icona della rete presente nell’area di notifica di Windows (il monitorino o le tacche del segnale Wi-Fi) e selezionare la voce Apri centro connessioni di rete e condivisione nel riquadro che compare.

Nella finestra che si apre, fai click prima sulla voce Connessione alla rete locale (LAN) collocata sulla destra e poi sul pulsante Proprietà per accedere alle proprietà della connessione. Seleziona quindi, facendo doppio click su di essa, la voce Protocollo Internet versione 4 (TCP/IPv4) nella finestra che si è aperta e configura la tua connessione mettendo il segno di spunta accanto alla voce Utilizza il seguente indirizzo IP.

A questo punto, digita l’indirizzo IP statico che vuoi assegnare al computer nel campo,  il valore 255.255.255.0 nel campo Subnet mask e l’indirizzo IP del tuo router nel campo Gateway predefinito. Riporta l’indirizzo del router anche nel campo Server DNS predefinito (lascia in bianco Server DNS alternativo), metti il segno di spunta accanto alla voce Convalida impostazioni all’uscita e clicca sul pulsante OK per due volte consecutive per salvare i cambiamenti.

Condivisione di Windows 7 con password

Pannello di controllo > centro connessione reti e condivisione > modifica impostaz. di condivisione avanzate

Individua su che tipo di rete sei seduto. L’icona può essere una casa (rete domestica), un palazzo azzurro (rete aziendale) o una panchina (rete pubblica). Una volta che hai compreso su quale rete sei clicca su “modifica opzioni di condivisione avanzata” sulla sinistra. Noterai che ci sono 2 sezioni separate (ma te ne mostra una sola alla volta nel dettaglio), una per le reti domestiche ed aziendali e l’altra per quelle pubbliche. Assicurati di lavorare nella sezione che fa capo alla tua rete ed imposta i valori in figura, disattivando l’individuazione della rete se proprio non ne hai bisogno:

windows1windows2