Nessuno oggi sarebbe disposto a rinunciare alla comodità del WiFi aziendale. Tanto che ormai la grande maggioranza dei computer nelle imprese è composta da notebook e assai pochi, anche quando non si muovono dalla loro scrivania, sono collegati a una rete cablata.
Dal punto di vista della sicurezza questo però non è l’ideale: l’etere è un mezzo ad accesso libero e chiunque può cercare di origliare quello che si comunica in WiFi.
La sicurezza del WiFi aziendale può essere tutelata in vari modi, il più importante è certamente sfruttare le funzioni specifiche di WPA2 Enterprise.
Contrariamente alla versione Personal degli access point domestici, questa prevede una autenticazione specifica, quindi con una coppia username-password diversa, per ciascun utente. In questo modo si ha un controllo più granulare degli accessi e la compromissione di un account non significa dover cambiare la password per tutti.
Inoltre con Enterprise WPA2 ciascun utente ha una sua chiave di cifratura, quindi anche un dipendente “curioso” non potrebe decrittare il traffico degli altri.
L’unico possibile problema: per tutto questo serve attivare in rete un server Radius che gestisca le autenticazioni, magari in singergia con un sistema Active Directory. Se è troppo complesso, ci sono servizi cloud che svolgono questa funzione.
In teoria anche una configurazione come quella appena descritta è vulnerabile agli attacchi di tipo man-in-the-middle. Un hacker ostile potrebbe creare una rete-trappola con un identificativo (SSID) simile a quello lecito e attivare un finto server Radius per intercettare le credenziali di accesso di chi tentasse di collegarsi a quella rete per errore.
Per evitare questo pericolo si può configurare l’accesso WiFi aziendale perché i client verifichino l’identità del server Radius secondo il protocollo 802.1X. Il modo specifico per farlo varia a seconda del tipo di client e del sistema operativo, ma c’è sempre la possibilità di abilitare questa verifica in più.
A proposito di reti e sistemi pirata, ci sono due punti deboli poco considerati che possono portare ad accessi indesiderati nella rete. Il primo, più semplice, è l’utilizzo di SSID troppo “esplicativi”, ossia che danno informazioni sul tipo di rete o di access point a cui fanno riferimento. Questo non basta ad “aprire” la rete, certo, in generale però dare qualsiasi informazione in più ai potenziali attaccanti è pericoloso.
Gli Access point pirata
C’è poi il pericolo dei “rogue AP“, gli access point pirata. Sono access point collegati alla rete aziendale ma non installati dallo staff IT e quindi non coperti dalle applicazioni e dalle procedure di gestione. Un AP di questo tipo potrebbe essere stato installato in buona fede da un dipendente oppure proprio come mezzo per entrare via wireless nell’infrastruttura d’impresa.
Per evitare il rischio di AP “pirata” bisogna disattivare le porte di rete che non sono connesse a dispositivi autorizzati oppure attivare l’autenticazione 802.1X anche sulla rete cablata.
Alcuni access point di fascia business offrono poi funzioni per la scansione periodica dell’etere alla ricerca di altri AP attivi nelle vicinanze e sconosciuti sino a quel momento. Lo stesso fanno le soluzioni più complesse di Wireless Intrusion Detection System (WIDS) o Wireless Intrusion Protection System (WIPS).
