Cerca nel blog

domenica 25 giugno 2006

VADEMECUM PER PROTEGGERE UNA CONNESSIONE WIRELESS DAGLI ACCESSI ABUSIVI

Dalla puntata numero 9 del Podcast di Wireless-Italia estrapoliamo alcune importanti regole da seguire per proteggere le reti wireless che molto spesso vengono installate ma non messe in sicurezza. Grazie a queste semplicissime pratiche è possibile dare filo da torcere ad eventuali aggressori. E' importantissimo evitare accessi abusivi al proprio access point o wireless router, sia per questioni legate alla sicurezza dei dati presenti sulle macchine collegate, sia per una questione legata agli accessi alla rete che verrebbero effettuati sotto la responsabilità diretta dell'abbonato alla linea adsl. Fate tesoro di questa mini guida, ed imparatela a memoria, in quanto costituisce una conoscenza di base nell'installazione di una rete wireless. Scaricate, ascoltate attentamente, e diffondete la puntata n.9 del Podcast: la sicurezza è una competenza fondamentale per chiunque abbia messo in funzione una rete wireless.


25/06/2006 - Regole di base per la protezione di una rete wireless:


  1.  tenete sempre presente che una rete senza fili è per sua stessa natura sempre intercettabile e vulnerabile. Le onde radio irradiate dalle vostre antenne vengono diffuse nell'etere e possono arrivare ovunque, anche dove non vorremmo. Non sentitevi mai al sicuro al 100%, non è detto che un sistema di sicurezza considerato inespugnabile oggi non possa venire bucato domani.
  2. spegnete l'ADSL Wireless Router o l'Access Point quando non viene utilizzato: a prescindere dal fatto sia protetto o meno, eviterete di metterlo in balia di malintenzionati anche quando non lo utilizzate. Alcuni dispositivi, purtroppo non tutti, hanno inoltre la possibilità di limitare la connessione per fasce orarie, potreste quindi restringere l'accesso solamente durante le ore lavorative. Inoltre su molti Access Point è possibile impostare la potenza di trasmissione. Riducetela al minimo possibile, riducendo così all'indispensabile il campo d'azione. Se riuscirete ad abbassare la potenza senza che vengano penalizzate le prestazioni della rete wireless eviterete ulteriori connessioni abusive.
  3. disattivate l'SSID broadcast: in questo modo eviterete connessioni occasionali da parte di chi si trova nel raggio d'azione della vostra rete. Naturalmente i vostri client dovranno aver prima impostato e salvato una connessione predefinita col nome (cioè l'SSID) dell'Access Point altrimenti neppure loro potranno più connettersi.
  4. modificate la password di accesso al pannello amministrativo del vostro Access Point. Molti dispositivi nuovi hanno una password di default conosciuta dai vari tools di attacco, o addirittura disattivata. Questo per evitare l'accesso al pannello amministrativo da parte di possibili intrusi.
  5. attivate il filtro sui MAC address delle schede wireless che si vanno a connettere, infatti ogni scheda wireless unisce ai pacchetti trasmessi nell'etere un codice univoco identificativo della scheda stessa, che viene rilevato dall'access point e può essere trattato, in modo da concedere o negare la connessione ai vari client. Attenzione però, non consideratevi al sicuro una volta impostata questa lista, infatti il MAC Address, con un po di conoscenze informatiche può essere facilmente falsificato, quindi un eventuale intruso potrebbe effettuare un'incursione nella vostra rete semplicemente presentandosi sotto mentite spoglie ed avere accesso al sistema.
  6. disattivate il server DHCP dell'Access Point (o Wireless Router) e modificare l'indirizzo IP di default del dispositivo, anzi, cambiate numerazione a tutta la rete locale, se potete, e nelle impostazioni di rete dei PC che si dovranno connettere andrete ad inserire i dati manualmente, infatti, il server DHCP è quel meccanismo che permette di assegnare automaticamente gli IP a tutti i computers che si connettono. Il sistema è molto comodo per voi ma lo è anche per chi si vuole connettere abusivamente. Per quanto riguarda l'impostazione degli IP statici sull'intera rete locale utilizzate indirizzi del tipo 10.0.0.0 e netmask 255.0.0.0, in modo da rendere il più difficoltoso possibile la ricerca degli IP corretti.
  7. installate un Firewall hardware che permetta, fra le altre funzioni, di effettuare un controllo granulare su tutto quanto passa in rete, ed essere eventualmente avvisati via email attraverso una serie di alert (per esempio lo Zyxel ZyWALL 5 UTM, ma ce ne sono molti altri). Se avete pochi soldi da spendere e un pc vecchio da recuperare, potreste installarvi una distribuzione di linux fatta apposta per creare un Firewall di ottima potenza. Esistono due distribuzioni che vi posso segnalare, una si chiama IPCOP (reperibile all'indirizzo www.ipcop.org), e l'altra si chiama Endian Firewall (reperibile all'indirizzo www.efw.it). Una volta installato e configurato secondo le vostre esigenze uno di questi due sistemi operativi, avrete trasformato il pc in un potente e versatilissimo firewall. Fra le due distribuzioni Endian Firewall, pur essendo un software gratuito, è commercialmente supportato dall'azienda produttrice (che oltretutto è in provincia di Bolzano) ed offre un supporto professionale al prodotto.
  8. attivate i sistemi di trasmissione crittografica. I sistemi disponibili al momento sono il WEP, il WPA, ed il WPA2. Questi sistemi si basano su delle chiavi condivise da impostare sia sull'Access Point (e naturalmente anche sul Wireless Router) che sul PC client. Evitate accuratamente il WEP (Wired Equivalent Protocol), è il sistema più vecchio ed è già stato craccato. Il WPA (Wi-Fi Protected Access), è invece un protocollo transitorio, introdotto per arginare le falle del precedente, si basa su un sottoinsieme delle specifiche 802.11i e condivide col WEP l'algoritmo di crittazione RC4. Per utilizzo casalingo o di piccolo ufficio si implementa il WPA-PSK.
  9. Da consigliare, sempre che tutti i dispositivi della rete lo supportino, è il WPA2. E' cronologicamente il più recente, è sviluppato specificamente per fornire uno strato di sicurezza alle comunicazioni basate sullo standard 802.11, ed utilizza come algoritmo crittografico AES, che sta per Standard Avanzato di Crittazione. Ricordate di impostare sempre la chiave di crittazione più lunga e complicata possibile, senza l'esclusione di caratteri speciali e particolari.

Matteo Savoldi
Wireless-Italia di Savoldi Matteo

Nessun commento:

Posta un commento

Disclaimer

Protected by Copyscape


Il CorrieredelWeb.it è un periodico telematico nato sul finire dell’Anno Duemila su iniziativa di Andrea Pietrarota, sociologo della comunicazione, public reporter e giornalista pubblicista, insignito dell’onorificenza del titolo di Cavaliere al merito della Repubblica Italiana.

Il magazine non ha fini di lucro e i contenuti vengono prodotti al di fuori delle tradizionali Industrie dell'Editoria o dell'Intrattenimento, coinvolgendo ogni settore della Società dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che così divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete.

Da qui l’ambizione ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Il CorrieredelWeb.it oggi è un allegato della Testata Registrata AlternativaSostenibile.it iscritta al n. 1088 del Registro della Stampa del Tribunale di Lecce il 15/04/2011 (Direttore Responsabile: Andrea Pietrarota).

Tuttavia, non avendo una periodicità predefinita non è da considerarsi un prodotto editoriale ai sensi della legge n.62 del 07/03/2001.

L’autore non ha alcuna responsabilità per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone, ma si riserva la facoltà di rimuovere prontamente contenuti protetti da copyright o ritenuti offensivi, lesivi o contrari al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive.

Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio.

Eventuali detentori di diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvederà all'immediata rimozione oppure alla citazione della fonte, a seconda di quanto richiesto.

Per contattare la redazione basta scrivere un messaggio nell'apposito modulo di contatto, posizionato in fondo a questa pagina.

Modulo di contatto

Nome

Email *

Messaggio *