I principali protocolli, qualche consiglio e la convivenza con la rete cablata
Rispetto ad una rete locale tradizionale (con i fili), una rete wireless (senza fili) ha due punti deboli in più: il mezzo trasmissivo non delimitabile, quindi a disposizione di chiunque voglia entrare nella rete e la procedura di accesso. Una volta stabiliti questi parametri, il ramo di rete wireless è a tutti gli effetti un ramo di rete, che può essere collegato ad una rete locale con le consuete procedure. Installazione e crittografia, questa con i relativi protocolli, sono questioni specifiche del wireless; router, firewall e Vpn sono questioni comuni a tutte le reti, quindi vanno viste pensando a una simbiosi con la rete cablata. Questo articolo fa riferimento a nozioni generali sulle reti wireless, riassunte negli articoli Wireless: i componenti e Wireless: progettare la rete.
Installazione: aria, SSid
Non c’è modo di impedire selettivamente l’uso dell’aria come mezzo trasmissivo. Ovviamente sarebbe possibile inserire in zona un dispositivo che rende impossibile l’uso delle onde radio, ma il disturbo agirebbe su tutti gli utenti, desiderati o indesiderati.
Quasi sempre i sistemi wireless permettono di scegliere tra una impostazione personalizzata ed una automatica o preimpostata. Il primo esempio riguarda le password: mai lasciare quelle preimpostate, che sono ben note ai malfattori. Questa è un’operazione semplice che può esser fatta da chiunque.
In alcuni
casi, invece, per fare la scelta corretta bisogna rivolgersi ad un esperto:
scelte occasionali, sebbene dettate dal buon senso, vanno evitate. In questa
categoria di attenzioni vanno inclusi i settaggi di fabbrica, che se sono
semplici all’installazione lo sono anche per l’accesso dell’hacker. Questi
settaggi vanno quindi identificati e personalizzati.
In particolare, nelle reti wifi va specificato il Service Set Identifier, una stringa alfanumerica di venti caratteri che identifica la rete. Funge da identificativo di sicurezza per il tipo di accesso alla rete. Per segnalare a eventuali clienti la presenza dell’acces point o della rete, la stringa Ssid può essere comunicata a tutti a intervalli di tempo regolari. Questa scelta facilita la connessione di nuovi utenti indipendentemente dal fatto che siano desiderati o indesiderati.
In particolare, conoscendo l’Ssid di una rete è possibile
portare attaccchi alla rete.
Infine va fatto notare che l’Ssid fornisce un meccanismo per “segmentare” la rete wireless: trasmettendo un Ssid diverso per ciascuna sottorete logica, infatti, è possibile suddividere la rete totale in molteplici rami, serviti da uno o più access point, sfruttando i diversi canali di trasmissione disponibili.
Sicurezza: Wep, Wpa, Wpa2
Storicamente il primo sistema è stato Wep, Wired equivalent privacy, che usava un algoritomo RC4 a 64 bit, poi divenuti 128. Fu sostituito con il più sicuro Wpa, Wifi protected access, che usava un Tkip a 128+64. Infine dal 1° settembre 2004 è disponibile la versione definitiva della 802.11i, detta Wpa2, che può implementare anche Aes.
Acquistando oggi è opportuno chiedere prodotti con certificazione Wpa2, i cui sistemi cooperano con i precedenti.
Router, firewall e Vpn
Una rete wifi sicura dovrebbe avere un router. Questo componente smista i dati dall’esterno verso l’interno: gli indirizzi dei dispositivi interni alla rete non sono direttamente raggiungibili dall’esterno, quindi non sono attaccabili. Inoltre il router è un dispositivo dedicato (anche detto embedded), la cui sicurezza è intrinsecamente maggiore di quella di un dispositivo di uso generale quale un qualsiasi elaboratore personale.
Ulteriore sicurezza si ottiene con l’adozione di un firewall. Non è specifico del wireless, ma è importante per isolare il ramo wifi dalla rete cablata. Se sulla rete ci sono dati in transito, il firewall legge mittente e destinatario, li confronta con liste di accesso e permette o nega il passaggio dei dati. A seconda delle circostanze può adottare più d’un comportamento (cancellazione, reinvio, quarantena ed altri) sempre più spesso affidate all’approccio Spi, Stateful Packet Inspection.
Sempre parlando di convivenza tra la rete cablata e quella senza fili può essere utile attivare una rete privata virtuale o Vpn. Avendo due o più reti locali e/o wireless lontane tra loro ma facenti parte della stessa azienda o divisione, per connetterle tra loro senza spendere cifre enormi si può usare una rete pubblica come se fosse privata. In pratica il software identifica e riconosce solo i dati degli utenti registrati al suo interno, anche se sulla rete fisica transita molto altro materiale.
Dettaglio: RC4, Tkip, Aes
La cifratura è un meccanismo di codifica e decodifica. La sicurezza sta nella complessità della codifica, e si misura in gran parte per il numero di bit, in minor parte per il protocollo adottato.
La necessità della cifratura sorge una volta giunti al dispositivo di ricezione, detto access point. I dati sono alterati in modo che possano esser letti solo a chi ha la decodifica. Chi volesse accedere alla rete senza autorizzazione dovrebbe avere la chiave di decodifica, oppure deve mettere su un sistema di decrittazione a forza bruta, consistente nel provare tutte le possibili decodifiche ammesse dal sistema. Si tratta d’una strada percorribile ma costosa in termini di risorse, quindi perpetrata solo in caso di attacchi contro una rete specifica: si può star tranquilli che i normali hacker, desiderosi solo di farsi una passeggiata tra i dati altrui, non si cimenteranno nell’impresa.
Semplificando la trattazione consideriamo solo le tre alternative principali.
Le chiavi Wep sono RC4 a 64 o 128 bit, ma di fatto agiscono come se avessero 40 o 104 bit. Tkip è un più robusto RC4 a 128+64 bit (128 di crittazione e 64 di autenticazione). Infine Aes è un algoritmo a 128, 192 o 256 bit.
Esiste una forma di compatibilità da Aes a Tkip (o
equivalenti) e giù a Rc4. Infatti la crittazione è piuttosto pesante in termini
di potenza dell’elaboratore, per cui è possibile che la specifica elettronica
debba ricorrere ad un protocollo meno impegnativo.
