La connessione WiFi è la connessione senza fili del PC o di altri device attraverso un router. Per evitare intrusioni indesiderate o altri problemi, bisogna mantenere alto il livello di sicurezza della rete WiFi.
La prima cosa da fare alla creazione di una rete senza fili è di posizionare intelligentemente i punti di accesso secondo la zona che si vuole coprire. Tuttavia non è raro che la zona effettivamente coperta sia molto più estesa del voluto, nel qual caso si può ridurre la potenza della stazione di accesso per adattare la sua portata alla zona di copertura.
Alla prima installazione di un punto di accesso, questo è configurato con dei valori di default, compresa la password dell'amministratore. Molti amministratori in erba considerano che, dal momento in cui la rete funziona, è inutile modificare la configurazione del punto di accesso. Tuttavia con le impostazioni predefinite la sicurezza è minima. È importante quindi connettersi all'interfaccia di amministrazione (solitamente via interfaccia web su una porta specifica della stazione di accesso) soprattutto per definire una password di amministrazione.
D'altra parte, per connettersi ad un punto di accesso è indispensabile conoscere l'identificativo di rete (SSID). Inoltre si consiglia vivamente di modificare il nome di default della rete e di disattivare la diffusione (broadcast) di quest'ultimo sulla rete. Il cambiamento di SSID di default è ancora più importante dato che può fornire ai pirati degli elementi di informazione sulla marca o il modello del punto di accesso utilizzato.
Ogni adattatore di rete (nome generico per la scheda di rete) ha un indirizzo fisico proprio (detto MAC). Questo indirizzo è rappresentato da 12 cifre esadecimali raggruppate per coppie e separate da trattini.
I punti di accesso permettono generalmente nella loro interfaccia di configurazione di gestire una lista di diritti di accesso (dett ACL) basata sugli indirizzi MAC delle apparecchiature autorizzate a connettersi alla rete senza fili.
Questa precauzione un po' limitativa permette di arginare gli accessi alla rete ad un certo numero di terminali. Dall'altro lato questo non risolve il problema della privacy degli scambi.
Per rimediare al problema della privacy degli scambi sulle reti wireless, lo standard 802.11 integra un meccanismo semplice di codifica dei dati, si tratta del WEP, Wired equivalent privacy.
Il WEP è un protocollo incaricato della codifica del frame 802.11 tramite l'algoritmo simmetrico RCA con delle chiavi di una lunghezza di 64 bit o 128 bit. Il principio del WEP consiste nel definire in un primo tempo una chiave segreta di 40 o 128 bit. Questa chiave segreta deve essere dichiarata a livello del punto di accesso e dei clienti.
La chiave serve a creare un numero pseudo-casuale di una lunghezza uguale alla lunghezza del frame. Ogni trasmissione di dati è quindi codificata usando il numero pseudo-casuale come maschera grazie ad uno 0 esclusivo tra il numero pseudo-casuale e il frame.
La chiave di sessione condivisa da tutte le stazioni è statica, cioè per usare molte stazioni WiFi è necessario configurarle usando la stessa chiave di sessione. Così la conoscenza della chiave è sufficiente per decifrare le comunicazioni. Inoltre, 24 bit della chiave servono solamente per l'inizializzazione, il che significa che solo 40 bit della chiave dei 64 bit servono realmente a codificare e 104 bit per la chiave di 128 bit.
Nel caso della chiave a 40 bit, un attacco forzato (cioè provando tutte le possibili chiavi) può portare in fretta il pirata a trovare la chiave di sessione. Poi una falla trovata da Fluher, Mantin e Shamir riguardo alla generazione della chiave pseudo-casuale rende possibile la scoperta della chiave di sessione memorizzando 100 MB a 1 GB di traffico creato intenzionalmente.
Il WEP non è quindi sufficiente per garantire una reale privacy dei dati. Si consiglia quindi di porre almeno in essere una protezione WEP a 128 bit per assicurare un livello di privacy minimo ed evitare in questo modo il 90% dei rischi di intrusione.
Per gestire più efficacemente le autenticazioni, le autorizzazioni e la gestione degli account degli utenti (in inglese AAA per Authentication, Authorization, and Accounting) è possibile ricorrere ad un server RADIUS (Remote Authentication Dial-In User Service). Il protocollo RADIUS (definito dagli RFC 2865 e 2866), è un sistema client/server che permette di gestire in maniera centralizzata gli account degli utenti e i permessi di accesso associati.
Per tutte le comunicazioni che hanno bisogno di un alto livello di sicurezza, è preferibile ricorrere ad una codifica forte dei dati creando una rete privata virtuale (VPN).
Foto: © Pixabay.