La connessione WiFi è la connessione senza fili del PC o di altri device attraverso un router. Per evitare intrusioni indesiderate o altri problemi, bisogna mantenere alto il livello di sicurezza della rete WiFi.
Infrastruttura della rete WiFi adatta
La prima cosa da fare alla creazione di una
rete senza fili è di posizionare intelligentemente i punti di accesso secondo la zona che si vuole coprire. Tuttavia non è raro che la zona effettivamente coperta sia molto più estesa del voluto, nel qual caso si può ridurre la potenza della stazione di accesso per adattare la sua portata alla zona di copertura.
Evitare i valori di default
Alla prima installazione di un
punto di accesso, questo è configurato con dei valori di default, compresa la password dell'amministratore. Molti amministratori in erba considerano che, dal momento in cui la
rete funziona, è inutile modificare la configurazione del punto di accesso. Tuttavia con le impostazioni predefinite la sicurezza è minima. È importante quindi connettersi all'interfaccia di amministrazione (solitamente via interfaccia web su una
porta specifica della stazione di accesso) soprattutto per definire una password di amministrazione.
D'altra parte, per connettersi ad un punto di accesso è indispensabile conoscere l'identificativo di rete (
SSID). Inoltre si consiglia vivamente di modificare il nome di default della rete e di disattivare la diffusione (
broadcast) di quest'ultimo sulla rete. Il cambiamento di SSID di default è ancora più importante dato che può fornire ai
pirati degli elementi di informazione sulla marca o il modello del punto di accesso utilizzato.
Il filtraggio degli indirizzi MAC
Ogni
adattatore di rete (nome generico per la
scheda di rete) ha un indirizzo fisico proprio (detto
MAC). Questo indirizzo è rappresentato da 12 cifre
esadecimali raggruppate per coppie e separate da trattini.
I punti di accesso permettono generalmente nella loro interfaccia di configurazione di gestire una lista di diritti di accesso (dett
ACL) basata sugli indirizzi MAC delle apparecchiature autorizzate a connettersi alla rete senza fili.
Questa precauzione un po' limitativa permette di arginare gli accessi alla rete ad un certo numero di terminali. Dall'altro lato questo non risolve il problema della
privacy degli scambi.
WEP - Wired Equivalent Privacy
Per rimediare al problema della privacy degli scambi sulle
reti wireless, lo standard
802.11 integra un meccanismo semplice di codifica dei dati, si tratta del WEP, Wired equivalent privacy.
Il
WEP è un
protocollo incaricato della
codifica del frame 802.11 tramite l'algoritmo simmetrico
RCA con delle chiavi di una lunghezza di 64 bit o
128 bit. Il principio del WEP consiste nel definire in un primo tempo una
chiave segreta di 40 o 128 bit. Questa chiave segreta deve essere dichiarata a livello del punto di accesso e dei clienti.
La chiave serve a creare un numero pseudo-casuale di una lunghezza uguale alla lunghezza del frame. Ogni
trasmissione di dati è quindi codificata usando il numero pseudo-casuale come maschera grazie ad uno
0 esclusivo tra il numero pseudo-casuale e il frame.
La
chiave di sessione condivisa da tutte le stazioni è statica, cioè per usare molte stazioni WiFi è necessario configurarle usando la stessa chiave di sessione. Così la conoscenza della chiave è sufficiente per decifrare le comunicazioni. Inoltre, 24 bit della chiave servono solamente per l'inizializzazione, il che significa che solo 40 bit della chiave dei 64 bit servono realmente a codificare e 104 bit per la chiave di 128 bit.
Nel caso della chiave a 40 bit, un
attacco forzato (cioè provando tutte le possibili chiavi) può portare in fretta il
pirata a trovare la chiave di sessione. Poi una falla trovata da Fluher, Mantin e Shamir riguardo alla generazione della chiave pseudo-casuale rende possibile la scoperta della chiave di sessione memorizzando 100 MB a 1 GB di traffico creato intenzionalmente.
Il WEP non è quindi sufficiente per garantire una reale privacy dei dati. Si consiglia quindi di porre almeno in essere una protezione WEP a 128 bit per assicurare un livello di privacy minimo ed evitare in questo modo il 90% dei rischi di
intrusione.
Migliorare l'autenticazione
Per gestire più efficacemente le autenticazioni, le
autorizzazioni e la gestione degli account degli utenti (in inglese
AAA per
Authentication, Authorization, and Accounting) è possibile ricorrere ad un
server RADIUS (
Remote Authentication Dial-In User Service). Il protocollo
RADIUS (definito dagli
RFC 2865 e 2866), è un sistema
client/server che permette di gestire in maniera centralizzata gli account degli utenti e i permessi di accesso associati.
Configurazione di una VPN
Per tutte le comunicazioni che hanno bisogno di un alto livello di sicurezza, è preferibile ricorrere ad una codifica forte dei dati creando una
rete privata virtuale (VPN).
Foto: © Pixabay.