Salve gente.
Premessa: nulla è sicuro al 100%. Dubitate sempre di chiunque vi spacci per “sicura al 100%” una qualunque cosa (probabilmente vi sta abbindolando). Al massimo, se parliamo di un contesto specifico in cui operate (casa, lavoro, …), possiamo parlare di raggiungere un certo “livello di sicurezza”, che vi siete prefissati, e che vi garantisce una certa tranquillità.
Per rendere un po’ più sicura la vostra rete wireless bastano pochi accorgimenti che, normalmente, non richiedono competenze speciali, da sysadmin.
Ve ne presento qualcuno (molto brevemente) senza soffermarmi eccessivamente su tutti i “paroloni” tecnici (viva Wikipedia!).
In ordine di difficoltà crescente:
- nascondere il nome della rete;
- crittazione abilitata sempre;
- evitare di assegnare gli IP dinamicamente;
- restringere l’accesso ai soli pc abilitati;
- spegnere la rete wireless quando non serve.
Vediamo in dettaglio il tutto…
1) Nascondere il nome della rete
Evitate di rendere facilmente rintracciabile il “nome” (SSID o ESSID) della vostra rete wifi.
Tutti gli access point/router permettono di nascondere (o non pubblicizzare, per meglio dire) il nome della vostra rete.
In questo modo solo voi (e chi informerete della cosa) conoscerà che, sì, una rete c’è ed è attiva.
Se il SSID non viene nascosto, chiunque si trovi a tiro della vostra rete, saprà che essa esiste.
Ovviamente ci sono programmi appositi per rintracciare anche le reti “nascoste” (figuriamoci! 
) ma celarne la presenza “esplicita” è un buon modo per iniziare a rendere più sicura la vostra rete: meno gente sa, meno gente può curiosare.
2) Criptatura abilitata sempre
Criptare i dati è fondamentale.
Il discorso “chi mai sarebbe interessato ai miei dati?” non regge _mai_.
Perchè? Se qualcuno sfrutta la vostra rete per i suoi comodi e, magari, combina qualche disastro, potrebbe mettervi nei guai: potreste essere perseguibili per negligenza. Inoltre non credo che vi possa piacere il sentirvi spiati/spiabili.
Di conseguenza crittare i dati è fondamentale. Ora, professionalmente parlando, c’è da dire che i vari algoritmi di cifratura impiegabili, come WEP/WPA/…, sono tutti “bucabili”, però attivarli vi garantisce un minimo _iniziale_ di tranquillità
Ossia renderete la vita più dura al potenziale classico ragazzino hacker-wannabe (che io chiamo “lo-hacker” ) che si diverte a usare a caso i programmi che trova in Rete.
Consiglio: non impostate il protocollo WEP ma passate direttamente ai protocolli WPA o WPA2, che sono un filo più sicuri (WEP ormai è un colabrodo; WPA richiede già un po’ più di lavoro).
Evitate assolutamente di disabilitare la criptatura: crittare i dati è il minimo sindacale sotto il quale non si deve mai scendere.
Se un vostro amico (chiaramente autorizzato) si rifiuta di digitare pochi semplici caratteri per accedere alla vostra rete e, anzi, vi chiede di disabilitare la criptatura “per fare più in fretta”, rispondetegli con un secco e perentorio “no!”. Piuttosto, collegatelo tramite “solido cavo di rame” al router/switch/hub.
Perchè? Magari non si verificherà nessun problema reale di sicurezza ma l’abitudine ad abbassare le difese _per pigrizia_ è sempre e solo un male. Inoltre dovrete ricordarvi di riabilitare la sicurezza quando questo vostro amico pigro se ne sarà tornato a casa!
Per quanto riguarda la password/passphrase da inserire per accedere alla rete (quella che serve a decriptare i dati), vale la solita regola, ossia sceglietene una che:
- non sia facilmente individuabile
- non sia un nome rintracciabile sul dizionario
- sia lunga almeno 8 caratteri
- contenga caratteri alfanumerici, anche “particolari” (come !’£$%&/()=?*°ç§…)
Non ha senso crittare i dati se poi il “casual hacker” accede alla vostra rete inserendo la data di nascita del vostro gatto… Così come non ha senso crittare i dati e poi distribuire a tutti la vostra password di accesso, come se fosse un biglietto da visita: al minimo dubbio, cambiatela immediatamente!
3) Evitare di assegnare gli IP dinamicamente
I router/switch/accesspoint spesso implementano un cosidetto “server DHCP“.
Questo servizio permette di assegnare dinamicamente un indirizzo IP ed altri parametri di accesso alla rete, a chi ne fa richiesta.
Se cambiate spesso computer, impostazioni o avete tanta gente che viene spesso da voi può aver senso abilitare questo servizio (pensate a dover assegnare manualmente l’IP a 20 o 30 distinte macchine!).
Al contrario, se la configurazione della vostra rete è limitata e/o cambia raramente, è conveniente disabilitare il servizio e assegnare “a mano” gli IP.
Almeno renderete un po’ più pallosa la vita al tipo che si intromette sulla vostra rete.
La Bau suggerisce: visto che l’assegnamento sarà manuale, scegliete un segmento di rete non banale invece del solito 192.168.XXX.YYY. Potete scegliere classi di indirizzi “riservati per usi speciali” come ad esempio 10.XXX.YYY.ZZZ.
Non sottovalutate questo genere di cambiamento, apparentemente secondario: lo scopo è proteggere, aumentare la sicurezza di qualcosa. Tutto ciò che, a parità di ogni altra condizione (modifica “neutra”), rende le cose meno ovvie agli occhi di un potenziale attaccante è sempre vantaggioso.
4) Restringere l’accesso ai soli pc abilitati
Ogni scheda di rete di tipo Ethernet, sia essa wired o wireless (rispettivamente “con” e “senza” filo), ha un suo numero di identificazione denominato MAC Address (Medium Access Control, da non confondersi con i computer di casa Apple).
Di fatto quel numero dovrebbe identificare univocamente una scheda di rete che comunica in rete locale.
I router/accesspoint/switch più recenti permettono di definire liste di restrizione di accesso tramite un’apposita voce nel pannello di configurazione, spesso gestito tramite un comune browser (cfr. manuale di configurazione del vostro router/accesspoint).
In altre parole potete definire una lista limitata di MAC Address (quelli delle schede di rete dei vostri pc, ovviamente) a cui è consentito accedere a Internet.
Se un potenziale hacker ottiene l’accesso alla rete wireless almeno avrà vita dura tentando di navigare: gli verrà rifiutato l’accesso a Internet.
NOTA: cambiare MAC Address a una scheda di rete nell’intento di “spacciarsi” (MAC Address Spoofing) per qualcun altro, ovviamente presente nella lista di accesso, è possibile, ma non è esattamente alla portata di tutti.
5) Spegnere la rete wireless
Le reti wireless sono da più parti “indagate” per potenziali effetti nocivi alla salute. Si parla di indagini, non di certezze quindi, almeno per ora, non ci sono prove definitive e incontrovertibili.
Però è ovvio ritenere che più una rete wireless è attiva, più la probabilità di problemi di sicurezza possa aumentare (lasciare un’auto incustodita per qualche ora è un conto, per intere settimane è un altro paio di maniche).
Ad esempio molti attacchi ai protocolli/algoritmi di criptazione si basano sulla possibilità di analizzare discrete (talvolta grandi) quantità di dati in transito: più una rete è incustodita, più si presta ad ogni genere di attività nefasta.
Consiglio: spegnete _sempre_ la rete wireless quando non la usate.
…se no chiamo Chuck Norris per farvi spegnere quel $INSULTO di un router wireless!
Seriamente, spegnere la rete wireless è la cosa più difficile da fare di tutte quelle proposte, perchè coinvolge aspetti come “pigrizia” e “negligenza” che sono “bestie dure a morire”: per certa gente accendere/spegnere uno scatolotto è estremamente seccante, anche se l’intera operazione consta nel premere un semplice pulsante (sulla “scatoletta” o nel pannello di controllo via browser) o nello staccare/riattaccare una spina (pochi secondi).
PS: dopo aver perso 1h a scrivere sta pappardella, Bau mi ha fatto notare che c’era già una miniguida al wireless, firmata da Attivissimo, che sostanzialmente dice tutto quel che ho detto (o, più precisamente, io dico tutto quello che lui dice dal 2003+ ). Pazienza… Mantengo il post, anche solo per lo sbatti. ^^
Posted by Nemuriko on 26 Dicembre 2007 at 18:32
beh, magari già ci siamo evitamo di dare indirizzi del tipo 192.168.1.x
Posted by jp on 26 Dicembre 2007 at 18:46
Yup. Gaccie. ^^
Posted by pioniere on 26 Dicembre 2007 at 19:46
incredibile, ehi è la stessa classe di indirizzi della mia sottorete!
Posted by jp on 26 Dicembre 2007 at 20:24
chissà perchè proprio quella sottorete eh (aka “sottoreti celebri”)…
Posted by leo on 12 Maggio 2008 at 15:06
grazie per l’informazione…
però una cosa: come si spegne?
Posted by jp on 12 Maggio 2008 at 20:49
Ciao. ^^
Lieto che questo post ti sia stato utile.
Purtroppo non esiste un modo universale per spegnere le reti wireless. Alcuni router/access point permetteoo di disabilitare (=spegnere) la connessione wireless accedendo al loro pannello di configurazione via web. Altri router (quelli + vecchi e/o non di qualità) impongono di spegnere fisicamente il dispositivo tramite un apposito pulsante on-off. Altri ancora, di qualità infima, costringono a staccare letteralmente la spina.
L’unica cosa che posso dirti è che in questo caso tocca davvero leggere il manuale perchè ognuno fa le cose a modo suo.
Per quel che mi riguarda, prima di andare a nanna dedico 30 secondi per accedere via browser al mio router e disabilitare la rete wifi (levo un segno di spunta e confermo tramite apposito pulsante).
Ciao.
Posted by lorenzo on 17 Giugno 2008 at 08:39
guida utilissima grazie. vorrei farti una domanda. sai mica se esistono programmi per rilevare i computer connessi alla mia rete wireless?
ciao
buona giornata
Posted by jp on 17 Giugno 2008 at 11:19
Di solito i pannelli web dei router (ma anche le interfacce testuali tipo via telnet) forniscono un elenco dei dispositivi connessi (sia quelli via dhcp che quelli con ip fisso).
Altrimenti ti tocca usare un qualche programma per scandagliare la tua stessa rete in maniera analoga a quel che fanno gli hacker.
Un sistema grezzo consiste nel lanciare periodicamente una scansione con nmap sull’intera tua sottorete privata e vedere chi risponde.
Posted by Lino on 14 Settembre 2008 at 17:04
Buona guida, semplice, concisa e molto efficace. Complimenti!
Pero’ ho una domanda da fare per la quale non ha trovato risposta in questa guida. Ho creato una rete wireless partendo da una delle uscite di un router cablato (chiamiamola “sottorete” wireless). Mi piacerebbe che gli utenti che sono connessi al router cablato, che sta’ a monte del router wireless, non siano in grado di vedere la presenza del suddetto router wireless utilizzando la funzione di Windows Vista che permette di creare una mappa della rete.
Premetto che ho gia’ porvveduto a nascondere le macchine collegate alla sottorete rete wireless definendo un collegato di tipo “rete pubblica” in Windows per tutte le macchine che stanno sotto il router wireless ma, ciononostante, non riesco a nascondere la presenza del router wireless per tutti gli utenti che sono collegati a monte.
Spero esista un modo per farlo…
Posted by jp on 14 Settembre 2008 at 17:29
Ciao. ^^
Grazie per i complimenti.
Spero di aver compreso bene la domanda…
Io inizierei nascondendo il SSID della rete wireless (cioè il router non la diffonde), crittando i dati e impostando una lista di restrizione (via MAC Address) per soli i nodi autorizzati a usare la connessione wireless. Questo dovrebbe nascondere un filo il router e impedire l’accesso a tutti i nodi non autorizzati, inclusi i nodi della rete cablata.
Per questi ultimi nodi, quelli non presenti sulla rete wireless, metterei poi una bella regola anche sul router cablato (i router attuali spesso hanno funzionalità di filtraggio tipo firewall) per impedire che qualche furbacchione dalla rete cablata lo usi per arrivare al router wireless (che è connesso via cavo a quello cablato).
In questo modo un nodo con attivata la funzionalità di mapping di Vista non dovrebbe avere accesso al router wireless e alla rete sottostante: non può trovare la rete wireless (e/o comunque non può accedere perchè escluso dalla lista di accesso alla rete) e il router cablato gli negherebbe comunque l’accesso via filo a quello wireless.
… e spero di aver risposto bene! ^^
Ciao!
Posted by jamma on 22 Settembre 2008 at 08:33
Finalmente ho trovato spiegazioni chiare, Grazie
Una domanda: è possibile mostrare una semplice pagina html di avviso o di benvenuto quando un estraneo tenta di connettersi alla mia rete wireless? del tipo “anticamera” per poi negargli o consentirgli l’accesso tramite password?
Premetto che non intendo creare un hotspot vero e proprio.
Posted by jp on 22 Settembre 2008 at 13:56
Ciao. ^^
Di solito si utilizza un qualche meccanismo tipo un server proxy per fare quello che chiedi: in pratica chi entra in rete, si riceve sì un IP ma con quello si può arrivare solo al server proxy di accesso che richiede normalmente username/password (cioè il server proxy fa da gateway/filtro per chi si connette). Se l’autenticazione ha successo poi il server-proxy “fa passare” i pacchetti e quindi si arriva alla rete locale, a Internet, …
Di solito i router “da casa” non fanno queste cose e/o servono programmi appositi.
Spero di aver risposto.
Ciao.