Utente:LoStrangolatore/Stubs/Rendere sicura una rete wireless

Wikibooks, manuali e libri di testo liberi.
Il titolo di questa voce non è corretto per via delle caratteristiche del software MediaWiki. Il titolo corretto è Rendere sicura una rete wireless.


TODO: rileggere e sostituire le fonti attuali delle note puntuali con delle fonti solide. Dopodiché spostare sul namespace nella categoria:How-to.


Introduzione[modifica]

Una rete wireless, più propriamente wireless LAN, è una rete che interconnette due o più dispositivi (come computer, telefoni cellulari, ecc.) senza fare uso di cavi di alcun tipo. Ognuno dei dispositivi è dotato di una antenna, che permette la comunicazione ricevendo e trasmettendo i dati a distanza (sotto forma di onde elettromagnetiche, ovvero variazioni del campo elettromagnetico).

Il termine wireless indica una tecnologia costruttiva ben precisa, ma si tenga presente che non è l'unica: in alternativa, si può realizzare una rete LAN anche tramite cavo.

Ambito di questa pagina[modifica]

Esistono diversi tipi di reti wireless; in questa pagina ci occuperemo di una rete che permette di collegare più computer ad Internet tramite un dispositivo comune, chiamato access point. Questo dispositivo si connette ad Internet, e i computer si connettono ad esso tramite (wireless) LAN. Il risultato finale è che i computer sono connessi ad Internet.

In definitiva, questa pagina si occupa di configurare l'access point e i computer che comunicano tra loro tramite connessione wireless.


In sintesi[modifica]

In Rete si trovano molti consigli su come rendere sicura una rete wireless. Alcuni sono efficaci, altri si rivelano solo perdite di tempo.

La lista delle operazioni necessarie e sufficienti da compiere per essere al sicuro è sorprendentemente breve:

A queste operazioni, si aggiungono alcuni consigli di buon senso, come

Crittografia[modifica]

Bisogna impostare la stessa configurazione sul computer e sull'access point; in particolare:

Questa è la protezione più importante di tutte. [3] Infatti, chi non è in grado di scoprire la chiave WPA2 non può entrare nella rete, e chi ha gli strumenti per farlo è abbastanza esperto da conoscere anche il modo di superare le altre barriere. [4]

Dettagli tecnici[modifica]

Una rete wireless può essere cifrata o no. Nel primo caso, i dati non viaggiano nell'etere così come sono: l'access point e il client trasformano i dati, prima di inviarli, e sottopongono alla trasformazione inversa i dati che ricevono. La trasformazione dipende da

  • un algoritmo, cioè la sequenza delle operazioni matematiche che trasformano i dati;
  • e una chiave privata, cioè una sequenza di caratteri, apparentemente casuale, nota solo all'access point e ai client che si desiderano come parte della rete.

I dati che viaggiano nell'etere sono espressi in una forma alterata che può essere interpretata correttamente solo dai dispositivi che conoscono l'algoritmo e la chiave corretti; tutti gli altri non possono entrare in comunicazione con l'access point. La chiave è chiamata passphrase.

Con il passare del tempo, sono stati introdotti tre diversi algoritmi di cifratura, ognuno dei quali ha soppiantato i precedenti.[5] Nell'ordine, essi sono

  • il WEP, o Wired Equivalent Privacy,
  • il WPA, o Wi-Fi Protected Access
  • il WPA2, o Wi-Fi Protected Access II. A volte indicato come l'implementazione dello standard IEEE 802.11i.

Ad oggi, i primi due risultano non sicuri, in quanto sono state scoperte delle falle che permettono di violarli in pochi minuti. Al contrario, l'algoritmo WPA2 ad oggi non risulta ancora violato, e infatti bisogna attivare il WPA2 se si vuole avere una rete wireless sicura.

Alcune caratteristiche tecniche:

  • La differenza principale tra WPA e WPA2 è che il primo usa una cifratura chiamata TKIP, che è stata violata[6][7], mentre il secondo usa una cifratura chiamata CCMP, più resistente e ad oggi non violata. Ad oggi sono ancora in commercio router che forniscono l'opzione WPA + TKIP; tuttavia, come già scritto, questa opzione risulta non sicura.[8]
  • Esistono due "versioni" del WPA2, che sono chiamate WPA2-Personal e WPA2-Enterprise, e sono destinate a usi diversi; vedere qui per maggiori informazioni.
  • Il WEP usa una chiave lunga, al massimo, 13 caratteri ASCII o, equivalentemente, 26 caratteri esadecimali. Il WPA usa una passphrase che può avere una lunghezza compresa tra 8 e 63 caratteri ASCII.[9]

Generare una chiave[modifica]

La chiave (o passphrase) dovrebbe:

  • essere più lunga possibile (per il WPA2 la lunghezza massima è 63 caratteri)
  • essere casuale
  • contenere numeri, lettere maiuscole e lettere minuscole.

La chiave dovrà essere inserita solo una volta, ovvero al momento della configurazione dell'access point e del client: non c'è bisogno di ricordarla, in quanto sarà memorizzata sul dispositivo e utilizzata in automatico ogni volta che ci si connette all'access point. Si può (e anzi si dovrebbe) salvare a parte, sul computer o su un foglio di carta, per averla a disposizione all'occorrenza.

Il modo migliore di generare la chiave è farla generare in automatico: in Rete ci sono molti siti che si occupano di generare chiavi casuali e si trovano perfino dei programmi (gratuiti) che svolgono questo compito dopo essere stati scaricati ed installati.
Si consiglia di usare un cryptographically secure pseudorandom number generator (generatore casuale sicuro dal punto di vista crittografico) perché uno pseudorandom number generator produce password che hanno maggiore probabilità di contenere più volte una stessa sequenza di caratteri, il che le rende più deboli.[10]

Accesso alle impostazioni dell'access point[modifica]

Il router viene configurato tipicamente tramite una pagina del browser accessibile con un indirizzo ben preciso, indicato nelle istruzioni. Ad es. spesso è 192.168.1.1. Come misura di sicurezza, prima di accedere alla pagina, si chiede di inserire uno username e una password, perché altrimenti coloro che possono collegarsi al router (cioè chiunque sia connesso alla rete) potrebbero richiamare questa pagina e modificare le configurazioni della rete wireless (incluse le impostazioni di sicurezza, tra cui quelle relative alla crittografia).

Lo username e la password sono tipicamente assegnati dalla casa produttrice, ed è bene cambiarli dopo l'acquisto, in modo che solo chi le conosce (in particolare la password) abbia la possibilità di riconfigurare l'access point.

Caratteristiche

La password dovrebbe:

  • essere casuale
  • contenere numeri, lettere maiuscole e lettere minuscole (e, se possibile, segni di punteggiatura).

La password non deve di certo essere lunga come la chiave WPA2.

È bene che la password sia casuale, infatti

  1. non serve spesso;
  2. si può comunque (anzi si dovrebbe) salvare a parte, sul computer o su un foglio di carta, per poterla copiare ed incollare all'occorrenza.


Fonti

Punto 7 di [11].

Wireless administration e accesso remoto[modifica]

Il cosiddetto wireless administration (su alcuni access point è chiamato gestione tramite WLAN) permette di aprire la pagina delle impostazioni dell'access point tramite connessione wireless. Disabilitarlo vuol dire permettere che tale pagina sia aperta solo tramite collegamento "wired", ovvero potrà essere aperta solo da chi ha la possibilità di collegarsi fisicamente all'access point (di solito, tramite cavo LAN).[12].
Questa soluzione è inapplicabile nel caso in cui si possiedono solo dispositivi privi di porte LAN, perché ovviamente ciò impedirebbe la modifica delle impostazioni, in futuro, qualora si rendesse necessaria.

Lo stesso discorso vale per disabilitare l'accesso remoto all'access point (che su alcuni modelli è chiamato gestione remota): vedi il punto 7 di [11]

Impostazioni specifiche dei client[modifica]

Impostazioni MS Windows[modifica]

Nota: Le procedure per eseguire le operazioni seguenti variano a seconda della versione del sistema operativo in uso. È sufficiente una ricerca su Internet per trovare materiale in quantità che illustri tali procedure.

  • Disabilitare la condivisione file e stampanti, nelle proprietà della connessione. Usa solo il "Client for Microsoft Networks". Fonte: [11], sezione "warnings"
  • Disattivare la possibilità di fare reti da computer a computer (anche chiamate reti ad hoc), a meno che, ovviamente, questa funzionalità non vi serva


Windows XP non supporta il WPA2 di default. Per averlo, bisogna

  • installare questa patch della Microsoft (richiede che il Service Pack 2 sia già installato)
  • oppure installare il SP3.


Se non si è in grado di configurare Windows per far funzionare la rete senza fili, è possibile disattivare la funzionalità automatica di gestione delle reti senza fili insita nel SO (ad es. su Windows XP si toglie la spunta alla casella "Usa Windows per configurare le impostazioni della rete senza fili") e scaricare un manager di terze parti, eventualmente open source.

Spegnere il router[modifica]

È chiaro che non è possibile entrare in una rete wireless se non c'è nulla a cui collegarsi! Quindi, un consiglio banale quanto efficace è spegnere il router o disabilitare la rete wireless quando non utilizzata, ma senza andare in paranoia: è chiaro che una pausa di mezz'ora con il router acceso non è un problema, ma se si prevede di non utilizzarlo per un giorno o due.

Navigazione sicura[modifica]

È chiaro che anche se si usa una rete wireless bisogna osservare le normali regole per una navigazione sicura in Internet.

Non serve[modifica]

Filtro indirizzi MAC[modifica]

Un indirizzo MAC è un codice univoco che identifica ognuna delle schede di rete prodotte nel mondo.

Taluni consigliano di impostare il filtro indirizzi MAC sull'access point. In questo modo, in teoria dovrebbe essere possibile limitare l'accesso solo alle schede di rete desiderate (cioè solo ai dispositivi desiderati). Questo suggerimento si rivela inefficace, per due ragioni principali.

  1. Gli indirizzi MAC possono essere clonati: molti programmi sono in grado di impostare un determinato indirizzo MAC sulla scheda di rete del dispositivo in uso, tramite pochi e semplici passi. Su Internet sono disponibili numerose guide che illustrano il procedimento per ogni sistema operativo.
  2. L'indirizzo MAC di un dispositivo collegato ad una rete wireless può essere facilmente individuato tramite un programma apposito (è sufficiente uno sniffer). Ogni pacchetto inviato sul network, che non sia stato inviato come broadcast dal router, contiene l'indirizzo MAC di uno dei dispositivi collegati.

Di conseguenza, chi è intenzionato a entrare nella rete può leggere l'indirizzo da uno di questi pacchetti e impostarlo con facilità sul proprio dispositivo, e ciò gli permette di superare il filtro MAC.

SSID Broadcasting[modifica]

Ogni rete ha un "nome", il quale è chiamato con il termine tecnico SSID. Non ci si può collegare ad una rete wireless se non si conosce questo nome; per tale motivo, alcuni consigliano di

  • disabilitare lo "SSID broadcasting"
  • cambiare il nome impostato dalla casa produttrice dell'access point, con la motivazione che serve a poco "nascondere" lo SSID se poi esso può essere facilmente dedotto una volta che si conosce la casa produttrice. (Il nome della casa produttrice viene a sua volta trasmesso sull'etere dall'access point, in automatico.)

Questo consiglio è assolutamente inutile e, anzi, può rivelarsi controproducente.[13]

Cambiare canale[modifica]

Non serve cambiare il canale (channel)

Glossario[modifica]

Per comodità, si riporta di seguito un elenco riassuntivo di termini che appaiono comunemente quando si ha a che fare con una rete wireless.

  • Wireless: la tecnologia che permette di connettere due dispositivi (computer o altri) tramite onde elettromagnetiche che viaggiano nell'aria, invece che comunicando tramite un cavo.
  • LAN: una rete la cui estensione non supera quella di un edificio, come una abitazione o un istituto.
  • Ethernet: identifica la tecnologia usata per realizzare una connessione LAN via cavo. La famiglia di standard corrispondenti è chiamata IEEE 802.3.
  • WLAN: Wireless LAN, ovvero rete LAN ottenuta tramite una tecnologia wireless. Si tratta di una rete senza fili. La famiglia di standard corrispondenti è chiamata IEEE 802.11.
  • ...

Fonti e approfondimenti[modifica]

Fonti utilizzate nella stesura di questa pagina:

Approfondimenti:

Note[modifica]

  1. In realtà, questo è opportuno non solo nel caso della rete wireless, ma anche se si usa tramite connessione wired
  2. La passphrase viene usata non per cifrare direttamente i dati, ma per cifrare una ulteriore chiave, la quale viene a sua volta usata per cifrare i dati. Vedi http://www.velocityreviews.com/forums/t374387-is-key-length-important-when-using-wpa-psk-encryption.html
  3. http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure/, sezione "How Should You Secure Your Network Then?"
  4. http://www.cocoontech.com/forums/index.php?showtopic=18969&st=15
  5. Il primo algoritmo è stato il WEP. Violato questo, fu introdotto il WPA, come una soluzione temporanea, più resistente del WEP, ma non ancora definitiva, nell'attesa che fosse completata la stesura delle specifiche tecniche che definiscono lo standard IEEE 802.11i. Completate le specifiche, ed entrato in gioco il WPA2, il WPA è stato infine deprecato.
  6. w:en:Temporal_Key_Integrity_Protocol
  7. w:en:Wired_Equivalent_Privacy
  8. w:en:Wi-Fi_Protected_Access#Security_and_insecurity_in_pre-shared_key_mode
  9. http://www.avforums.com/forums/streamers-network-music-players/1383319-wifi-internet-radio-wpa-psa-key-length-compatibility.html
  10. Alcuni link:
  11. 11,0 11,1 11,2 http://www.wikihow.com/Secure-Your-Wireless-Home-Network
  12. Vedi punto 8 di questo sito: http://www.wikihow.com/Secure-Your-Wireless-Home-Network
  13. http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure/