Sicurezza del Wi-Fi: come rendere inattaccabile la propria connessione Internet
Non importa che si tratti una rete privata o interna a un’azienda, il desiderio di avere una connessione sicura occupa il primo posto nella lista delle priorità. Le reti tradizionali con fili e cavi offrono, per via della loro essenza fisica, una certa garanzia di protezione da attacchi esterni: senza avere un accesso fisico alle linee, che logicamente passano all’interno di un edificio, gli sconosciuti non hanno modo di ascoltare o leggere conversazioni, oppure attingere a dati personali.
Chi però intende sfruttare la comodità offerta da una connessione senza fili, dovrà allora fare i conti con problemi di sicurezza concreti: qui, infatti, non c’è un cavo come veicolo di trasmissione, bensì uno spazio libero, e l’area di copertura non viene misurata con la lunghezza del cavo, ma, invece, usando la potenza del segnale. Se dunque un apparecchio manda dei dati all’interno della rete locale wireless, un eventuale ficcanaso basterà disporre di un dispositivo di ricezione che si trovi nel raggio di portata del segnale mandato. È quindi fondamentale preoccuparsi di avere una protezione per il proprio Wi-Fi, così da poter utilizzare la via di comunicazione senza cavi senza avere preoccupazioni.
Cosa si intende con “Wi-Fi” e “WLAN”?
Prima di inoltrarci nell’argomento, è necessario fare un po’ di chiarezza sui termini che vengono usati per definire la rete wireless che usiamo ogni giorno, sia da PC sia da dispositivo mobile. In generale, per riferirsi alla connessione Internet wireless, si è affermato il termine “Wi-Fi”, che tecnicamente altro non è che il nome di una tecnologia che fa uso dei collegamenti in modalità wireless, la cosiddetta WLAN, e che si basa su uno standard di trasmissione specifico (IEEE 802.11). Wireless Local Area Network, in breve Wireless LAN o WLAN, è invece il termine inglese che definisce la rete senza fili di area locale. Wi-Fi si è sviluppato come concetto generico e universale che definisce la connessione wireless a Internet, inglobando quindi anche la più specifica indicazione “WLAN”.
La WLAN viene adoperata principalmente laddove non è possibile installare un sistema di cavi per i dispositivi di rete, vuoi perché troppo difficile da realizzare o perché richiederebbe troppo impegno. Tuttavia, si opta per una LAN senza fili anche per motivi di comodità: ad esempio le connessioni wireless sono molto diffuse nel settore privato, dove rappresentano una soluzione ideale per creare un accesso a Internet nell’intera superficie abitabile senza dover montare alcun cavo. Il Wi-Fi si dimostra utile anche negli uffici, soprattutto quando sono attivi molteplici dispositivi come computer portatili, tablet o smartphone.
Si differenziano tre diverse modalità strutturali per installare una rete wireless:
- Infrastructure Basic Service Set (Infrastruttura): la struttura di questa modalità è simile a una rete mobile. Un Wireless Access Point si prende carico della coordinazione di tutti i membri di una rete e invia loro piccoli pacchetti di dati con informazioni riguardanti sui nomi delle reti, la velocità di trasmissione supportata oppure la modalità di codifica. L’access point, ovvero il dispositivo collegato alla reta cablata che permette la connessione wireless, è solitamente un router.
- Wireless Distribution System: siccome le WLAN fanno uso della stessa modalità di indirizzamento dell’ethernet, sono anche in grado di generare senza problemi connessioni a reti cablate, o ad altri tipi di rete, tramite l’access point. Collegando queste reti tra loro si aumenta l’area di copertura, motivo per cui si parla appunto di Wireless Distribution System, ovvero di sistema senza fili di interconnessione degli access point.
- Rete Ad-Hoc (Independent Basic Service Set o anche rete P2P): nelle reti Ad-Hoc manca la funzione di controllo centralizzato, per cui deve essere adottata la coordinazione dei singoli apparecchi. Queste reti sono ideali per una comunicazione veloce e diretta tra i singoli partecipanti. Tuttavia tale modalità di WLAN non conosce una reale diffusione, poiché esistono tecniche alternative molto più comuni come il Bluetooth.
I talloni d’Achille delle reti wireless
I data frame per la comunicazione delle reti vengono specificati dalle norme IEEE 802.11, ovvero un insieme di standard di trasmissione per le reti WLAN, dall’Institute of Electrical and Electronics Engineers (IEEE) di New York. Inizialmente non si dava ancora grande importanza al fattore della sicurezza: una trasmissione non codificata e nessuna necessità di autenticazione da parte dell’utente garantivano l’accesso libero alla connessione wireless a chiunque rientrasse nell’area di copertura della rete. In seguito, la richiesta di provvedimenti per la sicurezza dei Wi-Fi ha favorito lo sviluppo dei seguenti metodi di codifica e autentificazione:
- Wired Equivalent Privacy (WEP): il protocollo WEP è lo standard più vecchio per la codifica della WLAN ed è stato creato nel 1997. Propone i due procedimenti di autentificazione Open System Authentication, in cui tutti i client sono attivati, e Shared Key Authentication, in cui l’attivazione avviene tramite password. Oltre a ciò, la WEP contiene il procedimento di codifica RC4. Per via di diversi punti deboli, la WEP oggi è considerata poco sicura e superata.
- Wi-Fi Protected Access (WPA): il WPA è stato sviluppato sulla base dell’architettura WEP con l’obiettivo di rimediare ai punti deboli dello stesso procedimento. Per riuscire in questo intento, WPA funziona tramite l’utilizzo di una chiave dinamica che si basa sul Temporal Key Integrity Protocol (TKIP). Siccome anche il protocollo WPA presenta certi deficit in termini di sicurezza, è stato ufficialmente decretato che i nuovi Wireless Access Points (a partire dal 2011) e tutti i dispositivi attrezzati per la WLAN (a partire dal 2012) non possono più supportare questo tipo di protocollo.
- Wi-Fi Protected Access 2 (WPA2): Nel 2004 assieme allo standard IEEE 802.11i è stato pubblicato anche il metodo attualmente più sicuro di codifica e autentificazione WLAN, ovvero il WPA2. Al posto del TKIP, il WPA2 sfrutta il procedimento di codifica AES, decisamente più moderno. Al momento di configurare un Wi-Fi, è preferibile che adottiate il WPA2 piuttosto che i più vecchi standard WEP e WPA.
- Wi-Fi Protected Setup (WPS): per quanto riguarda lo standard WPS, non si tratta di una tecnica di trasmissione o di codifica, bensì di uno standard di sicurezza per la rete pensato per facilitare la configurazione del Wi-Fi per nuovi partecipanti alla rete. L’autentificazione avviene o premendo il pulsante WPS-PBC dell’access point, o virtualmente tramite una superficie di attivazione implementato per software, oppure infine inserendo il WPS-PIN. In alternativa esiste la possibilità di ottenere le impostazioni di rete tramite chiavetta USB oppure tramite NFC, acronimo per Near Field Communication, ossia connettività wireless bidirezionale a corto raggio.
Nonostante esista un legittimo e sicuro successore dei protocolli WEP e WPA, ovvero il WPA2, alcuni provider continuano comunque a utilizzare questi standard superati, sempre che vengano supportati dall’access point wireless, per codificare il proprio Wi-Fi. Che ciò avvenga non di proposito o per ragioni di compatibilità (per garantire l’accesso ai dispositivi più vecchi), passa in secondo piano. Di certo c’è che tali reti sono esposte a un elevato rischio di attacchi: questa negligenza rappresenta uno dei motivi per la valutazione critica della sicurezza del Wi-Fi. Ulteriori errori che invitano attacchi esterni e rendono quindi il sistema di connessione wireless una vera e propria tortura per molti utenti, sono, tra gli altri:
- Adottare nome utente e password standard nel wireless access point
- Adottare configurazioni di base poco sicure del wireless access point
- Implementazione erronea di WPA2 e WPS
In aggiunta, nonostante i provvedimenti standard per la sicurezza del Wi-Fi, le reti wireless sono comunque oggetto di consueti attacchi DoS o DDoS come anche di attacchi Evil Twin. Quest’ultimo, come dice già il nome, ovvero il “gemello cattivo”, si comporta da tale e fa entrare nella rete un falso wireless access point con un firmware speciale; in questo modo, da quel momento in poi, i membri della rete lo considerano il vero access point e lo contattano. L’Evil Twin, da parte sua, reagisce chiedendo l’autentificazione e ottiene dall’ignaro dispositivo di rete i dati di accesso per il Wi-Fi. Inoltre acquisisce anche l’indirizzo MAC del client (il cosiddetto MAC spoofing), trovando così a sua disposizione tutti i dati necessari a stabilire una connessione. Nello specifico sono minacciate da questo metodo di attacco le reti con pubblico accesso.
Rendere sicuro un Wi-Fi: un compito più arduo di quanto si possa immaginare
I punti deboli illustrati prima dimostrano quanto è importante confrontarsi con le numerose possibilità della sicurezza del Wi-Fi, poiché chi dà per scontato che con un firewall, ovvero un dispositivo software o hardware posto a protezione di un punto di interconnessione, e una password segreta ha provveduto a una protezione ottimale, dovrà successivamente ricredersi, nel caso dovesse subire un attacco mirato. Dietro a una messa in sicurezza a regola d’arte di reti wireless si nasconde molto più dell’accensione di un router, una configurazione di cinque minuti e la ricerca di una parola segreta che non sia facilmente da indovinare ma nemmeno troppo complicata da inserire. Più avvedutamente si affrontano la configurazione e la gestione, più sicura sarà la rete poi.
La base della messa in sicurezza del Wi-Fi: la corretta configurazione del wireless access point
Solitamente il wireless access point è un router e, essendo il controller della rete, rappresenta anche il pezzo più importante del puzzle in termini di sicurezza. Più precisamente, le impostazioni che adottate per componente hardware, sono decisive per il futuro della Wi-Fi: da esse dipenderà infatti il successo o l’insuccesso di un possibile attacco esterno. Questi sono i passi fondamentali per la configurazione: Passo n. 1: Create un accesso personale come amministratore Perché un access point possa essere configurato è necessario attivare i firmware, che presenteranno un’interfaccia utente su un qualsiasi browser, non appena viene richiamato l’indirizzo IP dell’access point. L’accesso a questa superficie avviene tramite un conto da amministratore per il quale esiste un nome utente e una password standard. Questi dati per il login non sono individuali, bensì sono uguali per tutti i dispositivi dello stesso modello e quindi sono anche molto semplici, come ad esempio “admin” o “1234”. Per questo motivo, all’inizio della configurazione è indispensabile assegnare dati personalizzati per l’account da amministratore, che si potranno trascrivere e conservare poi in un luogo sicuro, e, a meno che non si disponga di un adeguato password manager, non vanno assolutamente memorizzati su un PC. Passo n. 2: scegliere il WPA2 come procedimento di codifica Per codificare il proprio Wi-Fi, la scelta dovrebbe ricadere assolutamente sul WPA2, poiché entrambi i protocolli WPA e WEP sono, come già detto precedentemente, superati, quindi aumentano la probabilità di rischio in termini di sicurezza. Anche le combinazioni “WPA/WPA2” oppure “mixed” non sono consigliabili. Prendete invece in considerazione dispositivi di rete che supportino WPA2 e che sono quindi svincolati dai vecchi procedimenti di codifica. Se doveste lavorare con il WPS, è raccomandabile attivarlo solamente quando necessario. Passo n. 3: Creare una password sicura per il Wi-Fi Finora nei confronti del WPA2 sono conosciuti esclusivamente attacchi alla password, particolarmente popolari tra i cyber-criminali sono gli attacchi Brute Force e gli attacchi a dizionario, la tecnica mirata a rompere un codice cifrato o un meccanismo di autenticazione con numerosi tentativi di decifrazione del codice. Il valore di una password complessa per il Wi-Fi è dunque senza misura. Per prevenire al meglio gli algoritmi di decifrazione e le liste di parole dei tool atti a carpire l’accesso alla rete, create una password costituita possibilmente da tanti caratteri, che siano sia lettere maiuscole che minuscole, ma anche cifre e caratteri speciali. Evitate inoltre parole con un senso logico e distribuite i caratteri in maniera accidentale. Anche la password del Wi-Fi può essere conservata in un luogo sicuro, possibilmente non digitale ma fisico. Passo n. 4: Indicare un nome di rete non identificabile Un provvedimento per proteggere il proprio Wi-Fi che serve soprattutto alla sicurezza personale, è la formulazione di un Service Set Identifiers (SSID) che non sia riconducibile a qualcuno in particolare. Il SSID rappresenta la definizione della vostra rete e si presenta a chiunque sia nel raggio di portata del segnale della vostra rete. A meno che non gestiate un hotspot pubblico, dovreste evitare di indicare dati personali che rimandino alla vostra persona, azienda o posizione. Molti credono di aumentare il grado di sicurezza nascondendo il nome della rete wireless tramite un hidden SSID, tuttavia questa tecnica non rappresenta un ostacolo particolarmente insormontabile per gli hacker, e, anzi, finisce per rendere più complicata l’installazione di una connessione per i client legittimati. Se quindi nascondete il SSID del vostro Wi-Fi può addirittura succedere che alcuni dispositivi non riconoscano l’access point e di conseguenza non riescano a stabilire una connessione. Passo n. 5: Attivare l’aggiornamento automatico del firmware Per la sicurezza generale del Wi-Fi è d’obbligo che il firmware del wireless access point sia sempre aggiornato alla versione più recente. Come per ogni software, gli hacker riescono a trovare falle nella sicurezza per sfruttarli e ad esempio ottenere diritti amministrativi o inserire software dannosi. Alcuni access point posseggono una funzione di update automatica per il firmware installato, che potete attivare facilmente. Se non dovesse essere questo il caso, conviene che vi teniate regolarmente informati se esistono aggiornamenti per il vostro dispositivo per poi scaricarli manualmente e installarli.
Ottimizzare l’autenticazione con IEEE 802.1X
Relativamente al IEEE 802.1X, si tratta di un protocollo di sicurezza port-based, che concede l’accesso a client che tentano di stabilire una connessione, solo dopo che sono stati esaminai da un server di autentificazione (RADIUS) e hanno ottenuto il permesso. Il server ricorre a un elenco, definito precedentemente, che chiarifica se il client che fa richiesta può ricevere il permesso di collegarsi al wireless access point. Il procedimento di autenticazione si basa sull’Extensible Authentication Protocol (EAP), il quale supporta anche il WPA2. In questo caso si può parlare di WPA2 Enterprise, WPA2-1X o WPA2/802.1X.
Ulteriori provvedimenti sensati per la sicurezza della vostra WLAN
Una volta configurato il vostro wireless access point conformemente ai provvedimenti di sicurezza, la vostra rete senza fili potrà vantare una protezione come si deve. Tuttavia, indipendentemente dallo scopo, dopo l’installazione ci sono altri compiti da portare a termine. Siccome la maggior parte di tutte le Wi-Fi sono collegate, ad esempio, a un’ulteriore rete, solitamente l’Internet, dovreste assolutamente installare i firewall contenuti nell’access point o configurarne voi stessi, per filtrare connessioni indesiderate. Inoltre è raccomandabile prendere in considerazione l’uso di un Intrusion Detection o di un Intrusion Prevention System, in modo da riconoscere per tempo eventuali attacchi, e quindi impedirli.
Può capitare che i clienti vi chiedano l’accesso alla vostra rete Wi-Fi: è allora consigliabile operare con un SSID apposito, creato e configurato in aggiunta alla WLAN alla LAN del luogo di lavoro. In ogni caso, è necessario tenere a mente che, in quanto provider della rete, siete co-responsabili per il suo modo di utilizzo; ciò significa che ogni sorta di violazione dei diritti d’autore ricadrà direttamente su di voi. Per stare sul sicuro, conviene mantenere il controllo dell’uso della larghezza di banda e bloccare siti web poco seri tramite le impostazioni del router.
Se utilizzate un Wi-Fi in ambito professionale, si dimostreranno molto utili regolari test della sicurezza, effettuabili con l’aiuto di tool specifici. In questo modo simulate attacchi di hacker che sono attualmente diffusi e scoprite se i provvedimenti di sicurezza che avete adottato sono validi. Anche in questo caso vale la premessa, applicabile anche all’intero processo di messa in sicurezza del Wi-Fi: più procedete con coscienza e scrupolo, migliori saranno i risultati. Prendetevi l’impegno di:
- configurare il wireless access point accuratamente,
- inserire anche componenti di sicurezza aggiuntivi come l‘IEEE 802.1X, un firewall o un Intrusion Detection System,
- utilizzare reti di lavoro e per gli ospiti separatamente,
- e infine esaminare regolarmente gli aggiornamenti e la prestazione delle componenti di rete.
In questo modo l’accesso al vostro Wi-Fi sarà per gli hacker un muro praticamente invalicabile.