Come proteggere una rete wireless dalle intrusioni.

Ci sono 4 modi di migliorare la sicurezza nelle comunicazioni all'interno di una LAN senza fili. In ordine di affidabilità crescente sono:

1. Disabilitazione della trasmissione di SSID
2. Filtri sugli indirizzi MAC
3. WEP
4. WPA

In questa nota, spieghiamo come utilizzare ciascuno dei 4 metodi con il router ADSL wireless 9106.

Osservazione importante.

E' consigliabile eseguire la configurazione del router con un pc connesso via cavo ad una delle 4 porte LAN del router, e solo successivamente passare al collegamento wireless.

I primi passi sono comuni ai quattro metodi. Aprite il navigatore (browser) e nel campo degli indirizzi inserite l'indirizzo IP del 9106. L'indirizzo predefinito é 192.168.1.1 (Fig. 1)

Fig. 1

Premete quindi il tasto "Invio". Comparirà la finestra di accesso al router (Fig. 2)

Fig. 2

Inserite nei campi vuoti il vostro nome utente e la password. Se non li avete modificati, usate quelli predefiniti che sono "admin" e "admin".
A questo punto comparirà la pagina iniziale di configurazione del router. Il suo contenuto può essere diverso a seconda della linea ADSL utilizzata. Sulla sinistra compare il menu principale delle voci di configurazione (Fig. 3)

Fig. 3

(Nota: se il router non é stato ancora configurato per la connessione ADSL, alcune voci potrebbero mancare)

Cliccate su Wireless AP. Comparirà la pagina seguente (Fig. 4)

Fig. 4

Il valore nel campo "SSID" é il nome della rete wireless. Il router ha come SSID predefinito "USR9106". Questo significa che segnalerà la propria presenza nei dintorni inviando pacchetti in cui é contenuta l'espressione "USR9106". Questa é la trasmissione (broadcast) del SSID.
Negli esempi che seguono, cambieremo il SSID predefinito nel valore "retelocale". Per fare ciò cancellate "USR9106" e inserite "retelocale" nel campo SSID, come indicato nella Figura 5.

Fig. 5

Premete quindi il tasto "Apply".

Se la scheda di rete (5416 oppure 5410) é stata installata correttamente sul vostro pc, nella barra degli

strumenti, in basso a destra, deve comparire un'icona caratteristica. Tale icona é rossa se la scheda non si é associata al 9106, mentre é verde se la scheda si é associata.

In ogni caso, cliccando due volte sull'icona, si apre la finestra della utility di configurazione, con cui potrete modificare le impostazioni relative alla scheda di rete. Cliccate, scegliendo tra le voci a sinistra, "Site Survey" per avere una panoramica delle reti wireless nelle vicinanze (Fig. 6)

Fig. 6

Nell'esempio riportato alla Figura 6, oltre al 9106, riconoscibile dal SSID "retelocale", compare un secondo dispositivo la cui intensità di segnale (strength) é più debole in quanto si trova a maggiore distanza.

Vediamo ora in dettaglio come realizzare i 4 metodi di protezione.

1. Disabilitazione della trasmissione di SSID

Alla voce

Wireless AP > Wireless Setup

del 9106, mettete una spunta nel riquadro di fianco a "Disable SSID Broadcast", come indicato nella figura seguente (Fig. 7)

Fig. 7

Premete quindi "Apply".

L'analisi successiva delle reti nei dintorni, che si esegue premendo il tasto "Refresh" nella utility, mostra che la presenza del 9106 é ora anonima (Fig. 8)

Fig. 8

Per connettervi al 9106, evidenziate col tasto sinistro del mouse la riga anonima e premete "Connect", (Fig. 8) in alto a destra. Comparirà una finestra (Fig. 9) dove va inserito il SSID nascosto. Alla voce "Profile Name" potete assegnare un nome a piacimento che servirà a identificare il profilo di configurazione memorizzato nel pc. Invece, alla voce "SSID" bisognerà obbligatoriamente inserire "retelocale"

Fig. 9

Premete quindi "Apply".

Dopo qualche secondo di negoziazione, la scheda wireless si associa al 9106, come indicato nella figura seguente (Fig. 10)

Fig. 10

Se tornate alla voce "Site Survey", vedrete che ora é comparso il SSID (che però resta invisibile agli altri pc) e, sull'estrema sinistra, il cerchietto azzurro segnala l'avvenuta associazione al 9106 (Fig. 11)

Fig. 11

2. Filtro sugli indirizzi MAC

Il secondo modo é inserire nel router dei filtri basati sull'indirizzo MAC, detto anche fisico. L'indirizzo fisico di una scheda, sia essa Ethernet o Wireless, é composto da 12 cifre hex (le cifre hex constano di tutte le cifre ordinarie più le lettere dalla A alla F). Ogni scheda di rete ha un proprio indirizzo fisico e non esistono due schede con indirizzi uguali.

Stabilire un filtro sugli indirizzi MAC significa stabilire un elenco di schede cui é permesso (oppure vietato) associarsi al router. Per prima cosa, bisognerà scoprire l'indirizzo fisico della scheda di rete wireless installata sul proprio pc.

Aprite l'interfaccia dei comandi nel pc su cui é installata la scheda wireless (per farlo, seguite il percorso Start > Esegui, nel campo "Apri" digitate "cmd" e poi premete "OK"). Nell'interfaccia dei comandi, scrivete

ipconfig -all

oppure

ipconfig /all

e poi premete il tasto "Invio". Compariranno un certo numero di dati riguardanti le schede di rete, Ethernet e Wireless. I dati che ci interessano sono contenuti nella porzione riportata nell'immagine che segue (Fig. 12)

Fig. 12

L'indirizzo che ci interessa é 00-C0-49-A8-E2-27. Tale indirizzo va poi inserito nella pagina di configurazione del 9106 raggiungibile dal percorso

Wireless AP > MAC Filter

Nella pagina che compare, scegliete "Allow" (permetti) e poi premete "Add" (aggiungi), come in Fig. 13

Fig. 13

Nella pagina successiva, inserire l'indirizzo fisico della Fig. 12 nel formato indicato alla Fig. 14

Fig. 14

Infine, premete "Apply".

Da questo momento, solo alla vostra scheda (00-c0-49-a8-e2-27) sarà consentito accedere via wireless al router (la restrizione non si applica a connessioni via cavo). Se avete altre schede, procedete come indicato sopra per ciascuna di esse.

3. WEP

La terza opzione di sicurezza é il WEP. WEP tipicamente utilizza una chiave di crittografia la cui lunghezza può essere 64 o 128 bit. Alcuni dispositivi, tra cui le schede 5410 e 5416, usate in questo esempio, arrivano a 254 bit. Tuttavia, dovendo interoperare con il 9106 che arriva solo a 128 bit, sceglieremo quest'ultima lunghezza. Sul 9106, si va allora alla pagina

Wireless AP > Security che andrà impostata come segue (Fig. 15)

Fig. 15

Premere poi il tasto "Set Encryption Keys" per raggiungere la pagina in cui vengono inserite le chiavi di crittografia (Fig. 16)

Fig. 16

La lunghezza della chiave da inserire é 13 caratteri ASCII oppure 26 cifre hex. I caratteri ASCII comprendono tutte le lettere e tutte le cifre da 1 a 9 (minuscole e maiuscole sono considerate caratteri distinti), le cifre hex comprendono tutte le cifre da 1 a 9 e le lettere dalla a alla f, senza distinzione tra maiuscole e minuscole.

Qui (Fig. 16) é stato inserito il valore ASCII "QwErTyUiOp123" a titolo di esempio. Una volta inserito, premere "Apply" (Fig. 16) A questo punto la chiave WEP é memorizzata nel router. Non é invece necessario premere "Apply" nella Fig. 15.

Osservazione sulle chiavi WEP. Nelle chiavi WEP, i primi 24 bit rappresentano il vettore di inizializzazione (IV) che viene scelto autonomamente dai dispositivi. Quindi all'utente rimangono da scegliere 104 bit, per chiavi da 128, oppure 40 bit, per chiavi da 64. Siccome un carattere ASCII é codificato da 8 bit e una cifra hex é codificata da 4 bit, ecco spiegata la lunghezza di 13 caratteri (104:8 = 13).

Come evidenziato dalla figura 16, c'é spazio per memorizzare 4 chiavi, ma può esserne usata solo una per volta. E' importante ricordare che la chiave va inserita nella stessa posizione (1, 2, 3 oppure 4) nel router e nella scheda wireless. Inserire 4 chiavi ha senso se si segue la buona norma di passare, di quando in quando, da una chiave all'altra. Questo rende più difficile il processo di decrittazione di un eventuale intruso. Come detto, il passaggio da una chiave all'altra va effettuato manualmente.

Dopo l'inserimento della chiave WEP nel router, la "Site survey" della utility della scheda di rete rivela il cambiamento avvenuto: compare un lucchetto nella colonna del SSID (Fig. 17)

Fig. 17
e nella colonna "Security" é comparsa la voce "WEP" (Fig. 18)

Fig. 18

Per permettere la comunicazione tra pc e router, bisogna ora inserire la medesima chiave nella utility di configurazione della scheda wireless. Selezionare allora con il tasto sinistro del mouse, alla Fig. 17, la voce "retelocale" e poi premere "Connect".

Comparirà la finestra della Fig. 19. Notate che la scheda di rete si é già predisposta sulla modalità WEP. Impostate allora, con l'apposito menu a tendina, Key Format = ASCII e Key Length = 128, poi scrivere la chiave nella posizione 1, come indicato in Fig. 19. Quindi, premere "Apply".

Fig. 19

Dopo qualche secondo, avviene l'associazione al 9106 e scheda di rete e router sono in grado di comunicare con la protezione della crittografia. Notate che ora nella "Site Survey", alla colonna SSID, il cerchietto azzurro ha sostituito il lucchetto (Fig. 20): ciò non significa che la crittografia non é presente, ma solo che i due dispositivi si sono associati.

Fig. 20

Osservazione importante. L'avvenuta associazione, non é di per se garanzia che router e pc sono in gradi di comunicare. Se alla figura 19 non avessimo inserito alcuna chiave crittografica, o l'avessimo inserita in maniera errata, l'associazione sarebbe avvenuta comunque. Tuttavia, lo scambio dati tra i due dispositivi sarebbe risultato impossibile.

Per assicurarci che c'é connettività, aprire l'interfaccia dei comandi sul pc (percorso: Start > Esegui e nello spazio Apri inserire cmd, poi dare OK), e digitare il seguente comando

ping 192.168.1.1

Poi premere “Invio”.
Se il router risponde (Fig. 21), significa che la chiave crittografica é stata inserita correttamente.

Fig. 21

Se non avessimo inserito alcuna chiave sul pc, sarebbe comunque avvenuta l'associazione, ma al ping non vi sarebbe stata riposta da parte del router (Fig. 22)

Fig. 22

4. WPA (WPA-PSK)

La quarta opzione di sicurezza, la migliore, é il WPA. In assenza di un server di autenticazione RADIUS, necessario per la piena applicazione del protocollo WPA, ma che raramente viene utilizzato in ambienti domestici e piccoli uffici, si dovrà scelgiere la versione WPA-PSK, che comunque rappresenta un ulteriore miglioramento rispetto a WEP.

Anche in questo caso si comincia dalla pagina di configurazione del router raggiungibile dal percorso seguente

Wireless AP > Security

La pagina web che compare, e che abbiamo già visto nella configurazine del WEP, andrà modificata nel modo seguente (Fig. 23)

Fig. 23

Nel campo "Network Authentication" é stata scelta la voce WPA-PSK dal menu a tendina. Nel campo "WPA Pre-shared Key" é stata inserita una sequenza di lettere e cifre di nove caratteri che farà da "passphrase" per l'autenticazione. Ricordate la passphrase che scegliete perché dovrete inserirla anche nella scheda di rete. La passphrase deve essere lunga da 8 a 63 caratteri e può contenere lettere e cifre, distinguendo minuscole da maiuscole.

In questo caso abbiamo inserito la combinazione "asdfghjkl" (che viene nascosta dal router). Nel campo "WPA Group Rekey Interval" va fissato un intervallo in secondi (da 0 a 99999). Inserire 100 significa che il router genera una nuova chiave di crittografia ogni 100 secondi, il che rende WPA più sicuro di WEP. Lasciare 0 in tale campo equivale ed una chiave statica e quindi non é consigliabile.
Infine, il campo "Data Encryption", propone due metodi crittografici: TKIP e AES. Se si utilizza una scheda di rete 5410 o 5416 bisogna scegliere TKIP. Premete "Apply" per salvare le modifiche.

Osservazione. La versione più recente del protocollo WPA, detta WPA2 o 802.11i, prevede la possibilità di usare il metodo di crittografia AES, particolarmente potente. Se si vuole ricorrere a questa opzione crittografica, accertarsi che AES sia supportato dalla scheda wireless.

Ora, la "Site Survey" della utility della scheda di rete produce la seguente immagine (Fig. 24)

Fig. 24

Notate che anche per WPA-PSK é presente il lucchetto nella colonna ""SSID" (Fig. 24), indice che la rete é protetta da un metodo crittografico.

Fig. 25

Tuttavia nella parte destra dello schermo, nella colonna "Security", compare WPA-PSK (Fig. 25)

Si tratta ora di consentire al pc di connettersi. Evidenziate con il tasto sinistro del mouse, nella figura 25, la riga in cui compare "retelocale" e premete il tasto "Connect", in alto a destra. Comparirà la seguente finestra (Fig. 26)

Fig. 26

Notate che la scheda di rete si é già predisposta sulla modalità WPA-PSK. Inserite nello spazio "Passphrase" la passphrase precedentemente digitata nel 9106 (asdfghjkl) e confermatela nel campo "Confirm Key". Spuntando la casella "Unmask" i caratteri risultano leggibili, in modo da evitare errori di scrittura (Fig. 27). Se la casella non fosse spuntata, comparirebbe una serie di caratteri "xxxx"

Fig. 27

Infine, premete "Apply".
Dopo qualche secondo per la negoziazione, la scheda si associa al 9106, come indicato nella Fig. 28

Fig. 28

Un nuovo esame delle reti circostanti, alla voce "Site Survey", rivela che l'associazione é avvenuta, con la comparsa del cerchietto azzurro nella colonna di sinistra (SSID) (Fig. 29). Anche in questo caso, come per il WEP, la scomparsa del lucchetto non significa che la protezione crittografica é assente: il lucchetto sarà visto dalle altre schede wireless che, prive della corretta passphrase, non sono in grado di comunicare con la rete protetta.

Fig. 29

A differenza di quanto avviene con il WEP (open authentication), WPA prevede anche un processo di autenticazione tramite la passphrase inserita. Quindi senza corretta passphrase, un eventuale intruso non é nemmeno in grado di associarsi alla rete.