JP’s Web Place

Salve gente.

Premessa: nulla è sicuro al 100%. Dubitate sempre di chiunque vi spacci per “sicura al 100%” una qualunque cosa (probabilmente vi sta abbindolando). Al massimo, se parliamo di un contesto specifico in cui operate (casa, lavoro, …), possiamo parlare di raggiungere un certo “livello di sicurezza”, che vi siete prefissati, e che vi garantisce una certa tranquillità.

Per rendere un po’ più sicura la vostra rete wireless bastano pochi accorgimenti che, normalmente, non richiedono competenze speciali, da sysadmin.

Ve ne presento qualcuno (molto brevemente) senza soffermarmi eccessivamente su tutti i “paroloni” tecnici (viva Wikipedia!).

In ordine di difficoltà crescente:

1. nascondere il nome della rete;
2. crittazione abilitata sempre;
3. evitare di assegnare gli IP dinamicamente;
4. restringere l’accesso ai soli pc abilitati;
5. spegnere la rete wireless quando non serve.

Vediamo in dettaglio il tutto…

1) Nascondere il nome della rete

Evitate di rendere facilmente rintracciabile il “nome” (SSID o ESSID) della vostra rete wifi.

Tutti gli access point/router permettono di nascondere (o non pubblicizzare, per meglio dire) il nome della vostra rete.

In questo modo solo voi (e chi informerete della cosa) conoscerà che, sì, una rete c’è ed è attiva.

Se il SSID non viene nascosto, chiunque si trovi a tiro della vostra rete, saprà che essa esiste.

Ovviamente ci sono programmi appositi per rintracciare anche le reti “nascoste” (figuriamoci! ) ma celarne la presenza “esplicita” è un buon modo per iniziare a rendere più sicura la vostra rete: meno gente sa, meno gente può curiosare.

2) Criptatura abilitata sempre

Criptare i dati è fondamentale.

Il discorso “chi mai sarebbe interessato ai miei dati?” non regge _mai_.

Perchè? Se qualcuno sfrutta la vostra rete per i suoi comodi e, magari, combina qualche disastro, potrebbe mettervi nei guai: potreste essere perseguibili per negligenza. Inoltre non credo che vi possa piacere il sentirvi spiati/spiabili.

Di conseguenza crittare i dati è fondamentale. Ora, professionalmente parlando, c’è da dire che i vari algoritmi di cifratura impiegabili, come WEP/WPA/…, sono tutti “bucabili”, però attivarli vi garantisce un minimo _iniziale_ di tranquillità

Ossia renderete la vita più dura al potenziale classico ragazzino hacker-wannabe (che io chiamo “lo-hacker” ) che si diverte a usare a caso i programmi che trova in Rete.

Consiglio: non impostate il protocollo WEP ma passate direttamente ai protocolli WPA o WPA2, che sono un filo più sicuri (WEP ormai è un colabrodo; WPA richiede già un po’ più di lavoro).

Evitate assolutamente di disabilitare la criptatura: crittare i dati è il minimo sindacale sotto il quale non si deve mai scendere.

Se un vostro amico (chiaramente autorizzato) si rifiuta di digitare pochi semplici caratteri per accedere alla vostra rete e, anzi, vi chiede di disabilitare la criptatura “per fare più in fretta”, rispondetegli con un secco e perentorio “no!”. Piuttosto, collegatelo tramite “solido cavo di rame” al router/switch/hub.

Perchè? Magari non si verificherà nessun problema reale di sicurezza ma l’abitudine ad abbassare le difese _per pigrizia_ è sempre e solo un male. Inoltre dovrete ricordarvi di riabilitare la sicurezza quando questo vostro amico pigro se ne sarà tornato a casa!

Per quanto riguarda la password/passphrase da inserire per accedere alla rete (quella che serve a decriptare i dati), vale la solita regola, ossia sceglietene una che:

• non sia facilmente individuabile
• non sia un nome rintracciabile sul dizionario
• sia lunga almeno 8 caratteri
• contenga caratteri alfanumerici, anche “particolari” (come !’£$%&/()=?*°ç§…)

Non ha senso crittare i dati se poi il “casual hacker” accede alla vostra rete inserendo la data di nascita del vostro gatto… Così come non ha senso crittare i dati e poi distribuire a tutti la vostra password di accesso, come se fosse un biglietto da visita: al minimo dubbio, cambiatela immediatamente!

3) Evitare di assegnare gli IP dinamicamente

I router/switch/accesspoint spesso implementano un cosidetto “server DHCP“.

Questo servizio permette di assegnare dinamicamente un indirizzo IP ed altri parametri di accesso alla rete, a chi ne fa richiesta.

Se cambiate spesso computer, impostazioni o avete tanta gente che viene spesso da voi può aver senso abilitare questo servizio (pensate a dover assegnare manualmente l’IP a 20 o 30 distinte macchine!).

Al contrario, se la configurazione della vostra rete è limitata e/o cambia raramente, è conveniente disabilitare il servizio e assegnare “a mano” gli IP.

Almeno renderete un po’ più pallosa la vita al tipo che si intromette sulla vostra rete.

La Bau suggerisce: visto che l’assegnamento sarà manuale, scegliete un segmento di rete non banale invece del solito 192.168.XXX.YYY. Potete scegliere classi di indirizzi “riservati per usi speciali” come ad esempio 10.XXX.YYY.ZZZ.

Non sottovalutate questo genere di cambiamento, apparentemente secondario: lo scopo è proteggere, aumentare la sicurezza di qualcosa. Tutto ciò che, a parità di ogni altra condizione (modifica “neutra”), rende le cose meno ovvie agli occhi di un potenziale attaccante è sempre vantaggioso.

4) Restringere l’accesso ai soli pc abilitati

Ogni scheda di rete di tipo Ethernet, sia essa wired o wireless (rispettivamente “con” e “senza” filo), ha un suo numero di identificazione denominato MAC Address (Medium Access Control, da non confondersi con i computer di casa Apple).

Di fatto quel numero dovrebbe identificare univocamente una scheda di rete che comunica in rete locale.

I router/accesspoint/switch più recenti permettono di definire liste di restrizione di accesso tramite un’apposita voce nel pannello di configurazione, spesso gestito tramite un comune browser (cfr. manuale di configurazione del vostro router/accesspoint).

In altre parole potete definire una lista limitata di MAC Address (quelli delle schede di rete dei vostri pc, ovviamente) a cui è consentito accedere a Internet.

Se un potenziale hacker ottiene l’accesso alla rete wireless almeno avrà vita dura tentando di navigare: gli verrà rifiutato l’accesso a Internet.

NOTA: cambiare MAC Address a una scheda di rete nell’intento di “spacciarsi” (MAC Address Spoofing) per qualcun altro, ovviamente presente nella lista di accesso, è possibile, ma non è esattamente alla portata di tutti.

5) Spegnere la rete wireless

Le reti wireless sono da più parti “indagate” per potenziali effetti nocivi alla salute. Si parla di indagini, non di certezze quindi, almeno per ora, non ci sono prove definitive e incontrovertibili.

Però è ovvio ritenere che più una rete wireless è attiva, più la probabilità di problemi di sicurezza possa aumentare (lasciare un’auto incustodita per qualche ora è un conto, per intere settimane è un altro paio di maniche).

Ad esempio molti attacchi ai protocolli/algoritmi di criptazione si basano sulla possibilità di analizzare discrete (talvolta grandi) quantità di dati in transito: più una rete è incustodita, più si presta ad ogni genere di attività nefasta.

Consiglio: spegnete _sempre_ la rete wireless quando non la usate.

…se no chiamo Chuck Norris per farvi spegnere quel $INSULTO di un router wireless!

Seriamente, spegnere la rete wireless è la cosa più difficile da fare di tutte quelle proposte, perchè coinvolge aspetti come “pigrizia” e “negligenza” che sono “bestie dure a morire”: per certa gente accendere/spegnere uno scatolotto è estremamente seccante, anche se l’intera operazione consta nel premere un semplice pulsante (sulla “scatoletta” o nel pannello di controllo via browser) o nello staccare/riattaccare una spina (pochi secondi).

PS: dopo aver perso 1h a scrivere sta pappardella, Bau mi ha fatto notare che c’era già una miniguida al wireless, firmata da Attivissimo, che sostanzialmente dice tutto quel che ho detto (o, più precisamente, io dico tutto quello che lui dice dal 2003+ ). Pazienza… Mantengo il post, anche solo per lo sbatti. ^^