\\ Home Page : Articolo : Stampa
Hardening della rete WI-FI
Di Admin (del 21/03/2006 @ 19:25:44, in SICUREZZA INFORMATICA, linkato 24258 volte)

Salve a tutti,
oggi nelle nostre case è possibile creare una rete wi-fi casalinga per avere più computers collegati, senza
stendere fastidiosi cavi che farebbero incavolare le mogli e le madri.
Basta acquistare un router-modem wi-fi e collegarlo alla nostra adsl, poi acquistare delle
chiavette USB wi-fi da attaccare ai computer, se avete i notebook col wi-fi integrato,
chiaramente andremo a risparmiare su quest'ultimo acquisto.
Il più è fatto! Adesso basta usare la ricerca reti wireless di windows xp e agganciarsi al
nostro router, in pochi clicks siamo su internet...che bello!
Ma la sicurezza?
Ricordiamo che stiamo navigando facendo passare i nostri dati via etere,
e che la nostra adsl è raggiungibile via radio, se qualcuno fa del wardriving(cioè gira con un computer portatile
cercando reti wi-fi aperte), si collega alla nostra adsl e poi di lì può cominciare a fare azioni illecite usando la
nostra onesta linea.
Che cosa comporta?
Bhè immaginiamo alcune azioni illecite:
1) Pedopornografia
2) E-mail minatorie
3) Pirateria informatica varia
tutto riconducibile al nostro indirizzo IP, intestato a noi, quindi ne siamo responsabili legalmente.
Allora che si fa? Si torna alla vecchia ed affidabile rete via cavo ethernet?
Ma no...basta effettuare alcuni accorgimenti:
1) Usiamo una password lunga per accedere al sistema operativo del nostro router
2) Usiamo una password di accesso alla rete wi-fi (WEP o WPA in seguito approfondiremo)
3) Usiamo l'accesso tramite MAC address alla rete.

Ma adesso analizziamo le parolacce su indicate:

Il Gateway (router) deve supportare quattro tipi differenti di regolazioni di sicurezza per la vostra rete.
Il Wi-Fi Protected Access (WPA) Pre-Shared key, WPA Remote Access Dial In User Service (RADIUS), RADIUS, ed il Wire Equivalence Protection (WEP). 

Pre-Shared key WPA:  Ci sono due opzioni di crittografia per la Pre-Shared key WPA, TKIP ed AES.
TKIP sta per Temporal Key Integrity Protocol.
TKIP utilizza un metodo più forte di encrytption e comprende il codice di integrità del messaggio (MIC) per assicurare la protezione contro i hackers.
AES sta per al sistema avanzato di crittografia, che utilizza una crittografia di dati simmetrica del blocco a 128-Bit.
Per Usare WPA Pre-Shared Key, si digita una parola d'accesso nel campo chiave WPA lunga fra gli 8 e 63 caratteri.
Potete anche fornire un tempo di intervallo di rinnovamento della chiave del gruppo fra 0 e 99.999 secondi.
WPA RADIUS: WPA RADIUS utilizza un server esterno RADIUS per realizzare l'autenticazione dell'utente.
Per usare il WPA RADIUS, si scrive l'indirizzo IP del server RADIUS, la porta di default del RADIUS SERVER è per default la 1812. 
RADIUS:  usa un server RADIUS per l'autenticazione o WEP per la crittografia di dati.
Per utilizzare il RADIUS, si scrive l'indirizzo IP del server RADIUS in seguito si seleziona il livello di crittografia (64 o 128) per WEP ed una  passphrase (frase password). 
WEP:  Ci sono due livelli della crittografia di WEP, 64-bit e di 128-bit, più alto è il livello di crittografia, il più sicura sarà la vostra rete, tuttavia, la velocità è sacrificato ai livelli elevati di crittografia.

Così abbiamo ben protetto l'accesso alla nostra rete wi-fi, chiaramente è consigliabile usare il WPA, poichè gli hackers hanno bisogno di diversi giorni per bucare il WPA, mentre per il WEP ci si mette un paio d'ore.

Allora come poterci completamente blindare?
Con l'accesso ristretto dal MAC address!
Un computer collegato ad una rete su IP/Ethernet ha due indirizzi: uno è l'indirizzo fisico della scheda di rete ed è chiamato MAC address, mentre il secondo è l'indirizzo IP.

- L'indirizzo fisico o MAC Address, teoricamente, dovrebbe essere un indirizzo unico e non sostituibile, assegnato dal costruttore della scheda di rete, che è conservato in una porzione di memoria della scheda stessa.
I produttori di schede hanno un "intervallo" di indirizzi fisici da assegnare alle proprie schede, che identificano univocamente solo e solo quella scheda di rete a cui l'indirizzo specifico è stato assegnato.
Se si è dei mattoidi della pirateria si può, con particolari software, modificare la ROM della scheda di rete e modificare il MAC address.
Ma ammesso che qualcuno lo faccia ed ammesso che sappia la lista di MAC adress autorizzati dal router (ma come lo dovrebbe scoprire?), potrebbe comunque non giungere a niente, poichè se nella nostra lan vi è un'altra scheda di rete con lo stesso MAC address ci sarebbe con conflitto di instradamento ed entrambe le due schedi di rete non riuscirebbero a ricevere pacchetti.
Il MAC address è necessario per permettere di spedire e ricevere data in una rete Ethernet, indipendentemente dal tipo di protocollo che viene utilizzato sulla rete.

Ma come faccio a sapere il mio MAC address?
Semplice: START --> ESEGUI --> SCRIVETE CMD --> poi nella finestra DOS scrivete "ipconfig /all" ed avrete sia l'indirizzo IP che il MAC del vostro computer.
Chiaramente così se viene un ospite a trovarvi non basterà cedergli la password ma dovrete autorizzare il suo MAC address da router per farlo navigare sulla vostra ADSL.
Adesso però siamo al sicuro...e senza fili ; - )

NBS di Giovanni Bassetti
Consulente Information Security
Socio CLUSIT e AIPSI
http://www.nannibassetti.com/
Cell. +39-3476587097