In ambito consumer e Soho il router svolge tipicamente anche il ruolo di access point Wi-Fi ed è quindi al suo interno che vanno configurate le politiche di accesso alla rete wireless. Per garantire la massima sicurezza al network evitando l’accesso da parte di client non autorizzati è innanzitutto indispensabile selezionare il protocollo di protezione adeguato.
Oggigiorno la scelta è obbligata: Wpa2 con algoritmo crittografico Aes (Advanced Encryption Standard); supportato ormai dalla totalità dei router e dei dispositivi client, il Wpa di seconda generazione garantisce infatti un livello di protezione nettamente superiore rispetto al Wpa originale e all’ormai totalmente insicuro Wep.
Per quanto riguarda l’autenticazione degli utenti, il Wpa2 può essere configurato in modo da appoggiarsi a un server esterno che gestisca gli account singoli (attraverso i protocolli 802.1x/Radius) o attraverso un più semplice meccanismo a Psk (Pre-Shared Key, chiave precondivisa). Quest’ultima opzione, effettivamente più comoda da utilizzare nelle piccole reti, richiede però particolare attenzione nella scelta della password che deve essere sufficientemente complessa per evitare attacchi di tipo brute force. Inoltre, è sempre bene cambiare la password di sistema a intervalli periodici.
Molti router supportano procedure Wps (Wireless Protected Setup) per semplificare la configurazione del canale Wi-Fi sicuro; si tratta di sistemi di sincronizzazione che prevedono la pressione contestuale di pulsanti (hardware o software) su client e router, o l’inserimento di codici provvisori per l’inizializzazione del canale. Quale che sia il metodo di configurazione scelto, il livello di protezione dipende comunque dal protocollo di sicurezza adottato.
Il limite principale dei protocolli di autenticazione basati su password condivisa è che se questa viene in qualche modo esposta al personale non autorizzato, è necessario cambiarla e quindi riconfigurare tutti i client. Per evitare questo tipo di problemi, molti router offrono la possibilità di definire un accesso guest; essenzialmente si crea un secondo access point virtuale al quale vengono applicati criteri di autenticazione e protezione dedicati. L’accesso guest, inoltre, consente tipicamente la navigazione su Internet, ma non il collegamento ad altri client e server sulla rete locale.
La sicurezza della rete Wi-Fi passa innanzitutto dalla scelta del protocollo
di protezione più avanzato, ovvero il Wpa2.
I router che supportano l’accesso guest permettono di creare un profilo alternativo per consentire il collegamento da parte di client ospiti.
Un filtro sugli indirizzi Mac è un buon coadiuvante per aumentare la sicurezza, ma non è infallibile contro gli hacker più esperti.
Se il vostro router lo consente, potete inoltre abilitare l’accesso guest con autenticazione di tipo hot spot. In questo caso l’utente che inizia una sessione di navigazione viene accolto dal browser con una schermata di login all’interno del quale inserisce le credenziali fornite dall’amministratore. Questi dati di autenticazione sono personali e una volta terminata la sessione possono essere disabilitati dall’amministratore senza che questo influenzi altri account, né tantomeno l’accesso primario non guest.
Un ulteriore precauzione per rendere ancora più sicura la connessione Wi-Fi alla rete consiste nella creazione di una Acl (Access Control List) basata sugli indirizzi Mac dei dispositivi. In questo modo solo i device presenti sulla lista hanno diritto di collegamento. Si tratta di un sistema molto efficace per evitare accessi non autorizzati da parte di utenti comuni, anche se per i più esperti non è difficile presentarsi sulla rete con un Mac address fittizio. Per questo le liste Acl vanno utilizzate comunque in abbinamento a un robusto sistema di autenticazione e codifica.
Simone Zanardi
[box type=”shadow” ]
Speciale sicurezza
➜ Come proteggere il router per una rete sicura
➜ Come configurare il firewall contro gli attacchi
➜ Come gestire le comunicazioni: oltre il firewall
➜ Come controllare gli accessi Internet dalla Lan
➜ Come evitare gli accessi Wi-Fi non autorizzati alla rete
[/box]