25/06/2006 - Regole di base per la protezione di una rete wireless:
- tenete sempre presente che una rete senza fili è per sua stessa natura sempre intercettabile e vulnerabile. Le onde radio irradiate dalle vostre antenne vengono diffuse nell'etere e possono arrivare ovunque, anche dove non vorremmo. Non sentitevi mai al sicuro al 100%, non è detto che un sistema di sicurezza considerato inespugnabile oggi non possa venire bucato domani.
- spegnete l'ADSL Wireless Router o l'Access Point quando non viene utilizzato: a prescindere dal fatto sia protetto o meno, eviterete di metterlo in balia di malintenzionati anche quando non lo utilizzate. Alcuni dispositivi, purtroppo non tutti, hanno inoltre la possibilità di limitare la connessione per fasce orarie, potreste quindi restringere l'accesso solamente durante le ore lavorative. Inoltre su molti Access Point è possibile impostare la potenza di trasmissione. Riducetela al minimo possibile, riducendo così all'indispensabile il campo d'azione. Se riuscirete ad abbassare la potenza senza che vengano penalizzate le prestazioni della rete wireless eviterete ulteriori connessioni abusive.
- disattivate l'SSID broadcast: in questo modo eviterete connessioni occasionali da parte di chi si trova nel raggio d'azione della vostra rete. Naturalmente i vostri client dovranno aver prima impostato e salvato una connessione predefinita col nome (cioè l'SSID) dell'Access Point altrimenti neppure loro potranno più connettersi.
- modificate la password di accesso al pannello amministrativo del vostro Access Point. Molti dispositivi nuovi hanno una password di default conosciuta dai vari tools di attacco, o addirittura disattivata. Questo per evitare l'accesso al pannello amministrativo da parte di possibili intrusi.
- attivate il filtro sui MAC address delle schede wireless che si vanno a connettere, infatti ogni scheda wireless unisce ai pacchetti trasmessi nell'etere un codice univoco identificativo della scheda stessa, che viene rilevato dall'access point e può essere trattato, in modo da concedere o negare la connessione ai vari client. Attenzione però, non consideratevi al sicuro una volta impostata questa lista, infatti il MAC Address, con un po di conoscenze informatiche può essere facilmente falsificato, quindi un eventuale intruso potrebbe effettuare un'incursione nella vostra rete semplicemente presentandosi sotto mentite spoglie ed avere accesso al sistema.
- disattivate il server DHCP dell'Access Point (o Wireless Router) e modificare l'indirizzo IP di default del dispositivo, anzi, cambiate numerazione a tutta la rete locale, se potete, e nelle impostazioni di rete dei PC che si dovranno connettere andrete ad inserire i dati manualmente, infatti, il server DHCP è quel meccanismo che permette di assegnare automaticamente gli IP a tutti i computers che si connettono. Il sistema è molto comodo per voi ma lo è anche per chi si vuole connettere abusivamente. Per quanto riguarda l'impostazione degli IP statici sull'intera rete locale utilizzate indirizzi del tipo 10.0.0.0 e netmask 255.0.0.0, in modo da rendere il più difficoltoso possibile la ricerca degli IP corretti.
- installate un Firewall hardware che permetta, fra le altre funzioni, di effettuare un controllo granulare su tutto quanto passa in rete, ed essere eventualmente avvisati via email attraverso una serie di alert (per esempio lo Zyxel ZyWALL 5 UTM, ma ce ne sono molti altri). Se avete pochi soldi da spendere e un pc vecchio da recuperare, potreste installarvi una distribuzione di linux fatta apposta per creare un Firewall di ottima potenza. Esistono due distribuzioni che vi posso segnalare, una si chiama IPCOP (reperibile all'indirizzo www.ipcop.org), e l'altra si chiama Endian Firewall (reperibile all'indirizzo www.efw.it). Una volta installato e configurato secondo le vostre esigenze uno di questi due sistemi operativi, avrete trasformato il pc in un potente e versatilissimo firewall. Fra le due distribuzioni Endian Firewall, pur essendo un software gratuito, è commercialmente supportato dall'azienda produttrice (che oltretutto è in provincia di Bolzano) ed offre un supporto professionale al prodotto.
- attivate i sistemi di trasmissione crittografica. I sistemi disponibili al momento sono il WEP, il WPA, ed il WPA2. Questi sistemi si basano su delle chiavi condivise da impostare sia sull'Access Point (e naturalmente anche sul Wireless Router) che sul PC client. Evitate accuratamente il WEP (Wired Equivalent Protocol), è il sistema più vecchio ed è già stato craccato. Il WPA (Wi-Fi Protected Access), è invece un protocollo transitorio, introdotto per arginare le falle del precedente, si basa su un sottoinsieme delle specifiche 802.11i e condivide col WEP l'algoritmo di crittazione RC4. Per utilizzo casalingo o di piccolo ufficio si implementa il WPA-PSK.
- Da consigliare, sempre che tutti i dispositivi della rete lo supportino, è il WPA2. E' cronologicamente il più recente, è sviluppato specificamente per fornire uno strato di sicurezza alle comunicazioni basate sullo standard 802.11, ed utilizza come algoritmo crittografico AES, che sta per Standard Avanzato di Crittazione. Ricordate di impostare sempre la chiave di crittazione più lunga e complicata possibile, senza l'esclusione di caratteri speciali e particolari.
Wireless-Italia di Savoldi Matteo
Nessun commento:
Posta un commento