Silvicius |
|
| Per proteggere le nostre reti wireless casalinghe possiamo scegliere tra diversi metodi, vi riporto un articolo proveniente da www.wifi-ita.com che fornisce consigli per "mettere in sicurezza" la vostra rete wireless. Le reti wireless, o Wi-Fi, hanno portato una rivoluzione importante nella nostra società.
Sono molto comode, ma purtroppo molto insicure.
Questa guida vuole fornire al lettore i suggerimenti su come rendere sicuro il collegamento wireless.
Ma perché dobbiamo rendere sicura la nostra rete wireless?
Ecco alcuni motivi:
- violazione della privacy: il vostro hard disk potrebbe essere copiato e i file al suo interno essere
modificati o eliminati. Inoltre potrebbero anche essere installati programmi keystroker, che
leggono e memorizzano tutti i caratteri alfanumerici premuti da vuoi sulla tastiera (e quindi ad
esempio se avete fatto un acquisto on-line i numeri della vostra carta di credito);
- il vostro traffico di rete potrebbe essere controllato: potrebbe essere analizzato tutto il vostro
traffico di rete e le pagine web che state visitando in tempo reale, con tanto di password che
vengono inserite durante la navigazione;
- la vostra connessione potrebbe essere utilizzata per scopi illegali: la tua connessione potrebbe
essere utilizzata per scaricare illegalmente musica, film coperti da copryright oppure per la
condivisione di materiale pedo-pornografico. Infine potrebbero anche penetrare nel vostro
computer virus e malware.
Non bisogna essere degli esperti di informatica per aumentare il livello di sicurezza delle vostre reti wireless. Bisognerà soltanto seguire questa semplice e chiara guida.
ELENCO CONTROMISURE
Ecco le operazioni che dovrete eseguire per proteggere la vostra rete wireless.
- cambiare la password di amministrazione del vostro AP: la password di ogni access
point (AP) di qualsiasi marca viene impostata in fabbrica. E’ importante quindi cambiare la
password in modo che sia lunga almeno 8 caratteri contenenti numeri e lettere In questo modo
potrebbe essere scoperta semplicemente facendo una ricerca molto accurato su internet, tramite
il famoso motore di ricerca Google.
- cambiare gli SSID della vostra rete: dovremo cambiare il Service Set Identifier identifica ogni
punto di accesso all’interno della vostra rete. In altre parole l’SSID è un parametro che il router
emette su tutti i dispositivi che rientrano nel suo raggio d’azione;
- utilizzare degli SSID non descrittivi: usare degli SSID descrittivi si intende non utilizzare il vostro
nome e cognome, indirizzo e telefono perché sono informazione accessibili da chiunque.
Utilizzate piuttosto lettere e numeri in modo alternato;
- disabilitare il broadcast SSID: tutti gli access point mandano a intervalli regolari Beacon Frames
per la sincronizzazione che servono al cliente per impostare la configurazione automatica con la
vostra rete di accesso. Purtroppo contengono gli SSID che potrebbero essere catturati da degli
aggressori per eseguire una attacco alla vostra rete wireless. In altre parole, con questa
operazione disabilitiamo la funzione “Wireless Zero Configuration” che è presente su Windows
XP o altre piattaforme. In questo modo rendiamo la nostra rete wireless non sarà più visibile
nella lista delle reti disponibili;
- spegnere l’access point quando non lo si utilizza: questa è la più semplice e utile contromisura
(che serve anche a risparmiare qualche € all’anno di corrente elettrica). Se per qualche motivo
(molto particolare) non potete togliere la corrente elettrica, è sempre possibile disattivare la radio
Wireless interna del vostro router attraverso il menù del vostro access point;
- aggiornare il firmware: occorre controllare (soprattutto dopo parecchi mesi che avete comprato
il vostro access point) che il vostro access point abbia l’ultimo livello di firmare consigliato dal
produttore. Questo lo potrete controllare direttamente dal sito ufficiale del vostro prodotto;
- filtrare gli indirizzi MAC: ciascun computer collegato da una rete è identificato dall’indirizzo MAC
che funziona come marchio per ogni scheda wireless. In questo modo potremo specificare gli
indirizzi MAC al nostro router. Come facciamo a sapere quale indirizzo MAC usa la nostra
scheda wireless? E’ molto semplice:
- start -> Esegui...
- scrivere cmd
- ora che si è aperto il prompt del dos scrivere: ipconfig /all
- ora abbiamo le informazioni della nostra configurazione di rete
- l’indirizzo MAC è presente nell’ultima riga di comando chiamata indirizzo fisico
- scrivere exit per uscire dal dos e tornare a Windows;
- cambiare la community di default di SNMP: su molti access point è installato un agente SNMP
(Simple Network Management Protocol). Dobbiamo correttamente configurare la community
password, in modo da evitare che qualche aggressore possa ricavare preziose informazioni sul
vostro access point;
- non utilizzare come protezione solamente il WEP: il WEP (Wired Equivalent Privacy) è un
protocollo di sicurezza per crittografare i nostri files di rete. E’ un protocollo molto vulnerabile e
per questo dovrete utilizzare insieme al WEP anche il WPA. Il WPA (Wireless Protected Access)
è un altro protocollo di sicurezza molto più sicuro e non vulnerabile (almeno per il momento). Se
disponete di un access point un po’ vecchiotto che può solamente utilizzare il WEP, vi consiglio
di cambiarlo con uno più recente. In questo modo avrete una doppia sicurezza sulla vostra rete
wireless;
- non utilizzare il DHCP: il DHCP (Dynamic Host Configuration Protocol, ovvero protocollo IETF) è un
meccanismo che permette la distribuzione automatica degli indirizzi IP a tutti i clienti che si collegano
all’access point. In questo modo qualsiasi cliente può ottenere il vostro indirizzo IP e connettersi alla vostra
rete. Una volta disabilitato il DHCP, dobbiamo assegnare manualmente gli indirizzi IP ad ogni computer
che vogliamo collegare alla nostra rete wireless. Nell’assegnare manualmente gli indirizzi IP, non
dobbiamo utilizzare quelli di default facilmente intuibili, come per esempio 192.168.0.0 o 192.168.1.0.
Utilizziamone qualcuno di più imprevedibile, come per esempio 192.168.99.136 o 192.168.76.21;
- limitare l’intensità del segnale wireless: siccome le onde radio non si possono limitare dobbiamo
scegliere una adeguata sistemazione del nostro access point all’interno del nostro edificio in
modo da fornire un sufficiente collegamento solamente nella nostra zona che ci interessa e non
all’esterno. Questo compito risulta molto difficile e per questo vi posso consigliare di non
sistemare il vostro access point vicino a delle finestre e utilizzare delle antenne a basso
guadagno di decibel.
Inoltre, vi riporto le definizione dei due protocolli di protezione WEP e WPA, direttamente da wikipedia. WEP
Il Wired Equivalent Privacy (WEP) è parte dello standard IEEE 802.11 (ratificato nel 1999) e nello specifico é quella parte dello standard che specifica il protocollo utilizzato per rendere sicure le trasmissioni radio delle reti Wi-Fi. WEP è stato progettato per fornire una sicurezza comparabile a quelle delle normali LAN basate su cavo. Purtroppo seri difetti sono stati scoperti nella particolare implementazione dell'algoritmo crittografico utilizzato per rendere sicure le comunicazioni. Questo ha reso necessario una revisione del WEP che adesso viene considerato un sottoinsieme del più sicuro standard Wi-Fi Protected Access (WPA) rilasciato nel 2003 e facente parte dell'IEEE 802.11i (conosciuto come WPA2) definito nel giugno del 2004. Il WEP viene ritenuto il minimo indispensabile per impedire a un utente casuale di accedere alla rete locale.
Difetti
WEP usa l'algoritmo di cifratura stream RC4 per la sicurezza e utilizza il CRC-32 per verificare l'integrità dei dati. Nello specifico l'RC4 del WEP utilizza due chiavi, a 40 bit e a 104 bit. A queste vengono aggiunti 24 bit per il vettore di inizializzazione (IV Inizialization Vector) quando viene trasmesso in chiaro.
am Winget e altri (2003) segnalarono che il WEP aveva una serie di debolezze. In particolari due erano molto gravi:
La prima era che l'utilizzo del WEP era opzionale e quindi moltissimi utilizzatori non lo attivavano esponendo la propria rete locale a qualsiasi utente dotato di una scheda di rete senza fili.
La seconda debolezza era legata al fatto che il protocollo non includeva una gestione delle chiavi utilizzate per la codifica dei messaggi. Questo, insieme alla constatazione che le chiavi utilizzabili per cifrare i messaggi erano poche, esponeva il WEP a molte tipologie di attacchi.
Molti attacchi specifici vennero sviluppati per il WEP. Nell'agosto del 2001 venne pubblicato su un newsgroup dedicato alla crittografia una approfondita analisi del WEP che ne evidenziava le insicurezze derivate dalla specifica implementazione dell'RC4 utilizzata dal WEP. Quella analisi dimostrava che era possibile analizzando il traffico di rete ottenere in breve tempo (poche ore) la chiave utilizzata per cifrare la rete locale. Non molto tempo dopo apparvero su Internet i primi programmi in grado di forzare il WEP e allo stato attuale questi programmi consentono a un utente senza nessuna conoscenza specifica di forzare una rete WEP in poche ore. Il WEP ha fallito decisamente il suo obiettivo, infatti la sicurezza di una rete WEP è notevolmente inferiore a quella di un'usuale rete su cavo.
WPA
Wi-Fi Protected Access (WPA) è un protocollo per la sicurezza delle reti senza filo Wi-Fi creato per tamponare i problemi di scarsa sicurezza del precedente protocollo di sicurezza, il WEP. Studi sul WEP avevano individuato delle falle nella sicurezza talmente gravi da rendere il WEP quasi inutile. Il WPA implementa parte del protocollo IEEE 802.11i e rappresenta un passaggio intermedio per il raggiungimento della piena sicurezza. Questa verrà raggiunta quando i dispositivi implementeranno in toto lo standard IEEE 802.11i. Le certificazioni per il WPA sono iniziate nell'aprile del 2003giugno del 2004. mentre per l'IEEE 802.11i si è dovuto attendere il
WPA è progettato per utilizzare lo standard IEEE 802.1x per gestire l'autenticazione dei client e dei server e la distribuzione di differenti chiavi per ogni utente, sebbene per questioni di compatibilità supporti la precedente gestione a chiave condivisa (PSK). I dati sono cifrati col l'algoritmo di cifratura a stream RC4 con chiave a 128 bit e vettore di inizializzazione a 48 bit.
Una delle modifiche che introducono maggiore robustezza all'algoritmo è la definizione del Temporal Key Integrity Protocol (TKIP). Questo protocollo dinamicamente cambia la chiave in uso e questo combinato con il vettore di inizializzazione di dimensione doppia rispetto al WEP rende inefficaci i metodi di attacco utilizzati contro il WEP.
In aggiunta all'autenticazione e alla cifratura, il WPA introduce notevoli miglioramenti nella gestione dell'integrità. Il CRC utilizzato dal WEP non era sicuro, era possibile modificare il messaggio mantenendo coerente il CRC, anche senza conoscere la chiave. Per evitare il problema, il WPA utilizza un nuovo metodo per verificare l'integrità dei messaggi chiamato "Michael". Questo include un contatore associato al messaggio per impedire all'attaccante di ritrasmettere un messaggio che sia già stato trasmesso nella rete.
In sostanza il WPA aumenta la dimensione della chiave, il numero delle chiavi in uso, include un sistema per verificare l'autenticità dei messaggi migliore e quindi incrementa la sicurezza della WLAN, rendendola effettivamente analoga a quella di una rete su cavo. La Wi-Fi Alliance (il gruppo che gestisce lo standard Wi Fi) ha dichiarato che utilizzerà il termine WPA2 per identificare i dispositivi che avranno il pieno supporto dello standard IEEE 802.11i.
Wi-Fi Alliance ha introdotto i termini WPA(2)-Personal e WPA(2)-Enterprise per differenziare due classi di prodotti. i WPA(2)-Personal utilizzeranno il metodo PSK a chiave condivisa mentre i WPA(2)-Enterprise utilizzeranno un server di autenticazione. Questo per differenziare le due classi di sicurezza. , WPAPer domande e chiarimenti io sono qua...  |
| | |
