« Scoprire se la propria rete wireless è protetta »

Le reti che si sviluppano su infrastrutture Wi-Fi hanno il pregio di liberare l’utilizzatore dal cavo ethernet. Benché questo sia un forte pregio, al contrario può rivelarsi il mezzo migliore per portare un attacco al “vostro castello”. La wi-fi però permette di collegarsi anche all’esterno delle mura e a seconda della potenza dell’Access point anche diverse decine di metri senza bisogno di nessun cavo. Questo può permettere a malintenzionati di starsene seduti in macchina sotto casa vostra e sfruttare la vostra connessione per compiere illeciti e spiarvi a vostra insaputa.

Questo tipo di attacco è chiamato Wardriving e permette, grazie alle imprudenze dell’installatore wi-fi, di sfruttare bug noti se non addirittura entrare nella rete senza alcun tipo di problema. Facciamo un rapido elenco di tutti i modi per tutelarsi generando una rete wireless completamente sicura.

• Avete cambiato la password di default del router? Conoscendo il nome del vostro router possono provare ad inserire la password di fabbrica, gentilmente offerte dalla rete, e se non l’avete cambiata possono entrare nell’amministrazione del router e permettersi di fare ciò che vogliono.
• Avete cambiato l’indirizzo IP della sub net di default e disabilitato l’assegnamento automatico? Chiunque tenti un attacco deve conoscere la struttura della rete, quindi ipotizzerà situazioni e configurazioni tipo. I router, quelli buoni, permettono di disabilitare la funzione DHCP e di cambiare la classica numerazione 192.168.1.1 o simili. Scegliete per il router un numero diverso da 1 o 254. Impostare un numero massimo di IP autorizzati consentendovi di avere un maggior controllo sulla rete.
  
• Avete disabilitato l’accesso remoto al router? Se non avete bisogno di un supporto esterno, sarebbe meglio disabilitare l’opzione di accesso all’amministrazione da remoto in modo che, anche da internet, nessuno possa tentare qualche attacco di tipo bruteforce o exploit al router.
• Avete cambiato l’SSID di default? L’SSID non è altro che il nome con cui sarà identificata la rete wi-fi. Scegliere un proprio nome, diverso da quello fornito dalla fabbrica, limita ulteriormente la possibilità d’attacchi.
• Avete disabilitato la propagazione del SSID? Disabilitare questa opzione è come se la vostra rete fosse invisibile a gli occhi di chi ne sta cercando una. Durante il tentativo di scansione da parte di attaccanti non ci sarebbe modo per un estraneo sapere che c’è una rete wireless: prima di attaccarvi deve sapere che esistete.
• Avete attivato il firewall del router, che impostazioni sono state messe? Un router ha un firewall che lavora a livello hardware ed è molto più efficiente di quelli software che potete installare sui computer. Proprio come accade per quelli software però, le impostazioni devono essere corrette e attive. Ricordate la regola per una corretta configurazione di un firewall: prima si blocca tutto in entrata e in uscita e poi si va ad aprire SOLO quello che ci serve.
• Avete attivato un algoritmo di criptazione preferibilmente WPA? Molte persone, soprattutto quelli non del mestiere, non inseriscono alcuna password dando libero accesso a chiunque di entrare nella rete. Questa soluzione potrebbe essere comoda ma priva di sicurezza. Personalmente consiglio WPA, WPA2, 802.1x. Qui va aperta una parentesi. Esiste anche l’algoritmo WEP, tuttavia è buggato e in pochi minuti è possibile forzare la chiave d’accesso senza conoscerla. Anche se la chiave WEP a 256 è ragionevolmente sicura, è da considerare che comunque l’algoritmo, pur essendo riconosciuto dal 100% dei prodotti, sarà a breve soppiantato completamente da protocolli più potenti e sicuri. Alcuni prodotti hardware, in special modo vecchi router o schede wi-fi, non supportano algoritmi superiori al WPA2. Tenete dunque aggiornati i driver o cambiate l’hardware dove è possibile.
• Avete abilitato il filtro dei MacAddress? Ogni computer connesso al router, sia in wi-fi che ethernet è riconosciuto tramite una “targa identificativa” rilasciata dall’azienda costruttrice. Tale identificativo è univoco e se avrete abilitato il filtro, il router permetterà l’accesso alla rete solo se il MacAddress del computer connesso a lui è nella lista bianca. Anche se è possibile cambiare il MacAddress risulta ugualmente potente come strumento perché l’attaccante dovrebbe conoscere i MacAddress autorizzati.
  

Questi sono tutti gli espedienti che potete utilizzare per proteggere al massimo la vostra rete. Potete comunque raggiungere degli ottimi risultati anche scegliendo un compromesso come: cambio password di default, dhcp attivo ma con un range massimo di indirizzi IP, firewall attivo, algoritmo wpa2 e filtro sul MacAddress.

Ogni router è diverso permettendo una o più soluzioni consigliate e magari indicati con nomi diversi. Per chi ha router castomizzati delle aziende di telefonia c’è da dire che le possibilità di personalizzazioni sono pochissime ma comunque ragionevolmente sicure.