PDA

Visualizza versione completa : Protezione & Privacy Piccolo prontuario per la protezione di reti Wireless



LadyHawke
01-03-10, 22: 34
Wi-fi: Una per tutti, tutti per una - parte 1




Premesse


Partendo dal presupposto che la sicurezza assoluta nelle reti Wireless non esiste, questi appunti messi insieme qua e là dalla rete indirizzano alla protezione delle piccole reti wireless casalinghe, dove il provetto "sniffer" tutto sommato si spera che sia più sprovveduto di quanto crede, e dove il buonsenso dovrebbe stare a braccetto con le tecnologie.

Questo per precisare che non ho nè voluto nè cercato di scrivere un trattato antisfondamento, ma solo una serie di consigli alla portata di tutti quelli che hanno/avranno a che fare con il loro Router.


Da premettere anche che non tutti i suggerimenti potranno essere applicabili, o applicabili contemporaneamente, dipende dalle caratteristiche e funzionalità del vostro Router/AP o da come avete impostato, con hardware e software, la vostra rete: quindi non preoccupatevi se non trovate qualche corrispondenza nel mondo reale, o se qualcosa non funziona, e cercate di capire che ogni Router è diverso nella sua configurazione, perciò stà a voi scovare dove sono e come sono identificate le varie opzioni alle quali farò riferimento, aiutandovi con il manuale di configurazione del vostro apparecchio, con eventuali Guide del produttore e con altre FAQ che si accompagneranno a questa guida





Pillola rossa o Pillola azzurra


La comodità di una rete Wireless è indubbia: niente cavi arroccati per casa, nessun limite ai PC collegati, assoluta libertà di movimento soprattutto con i notebook.
Ma a quale prezzo?
A fronte di un sistema che non offre soluzioni considerate sicure al 100%, ciò che noi possiamo fare è rendere quanto più difficile il lavoro per portare a termine un attacco, ed evitare di fare della propria rete un accesso pubblico per entrare in Internet: un pò come e la vecchia storia della porta blindata: sicuramente la si può eludere, ma visto che è un pò più complicata da espugnare, si spera, ahimè, che i ladri vadano dal nostro vicino di casa che non ce l'ha http://www.p2pforum.it/forum/images/smilies/redface.gif.
Alcune delle seguenti procedure sono volte a proteggerci da intrusioni nella nostra rete interna via wireless, per evitare violazioni di privacy e identità, altre per evitare solo il rischio di essere utilizzati come teste di ponte per sferrare attacchi su Internet nell'anonimato più completo.

Proviamo quindi a riassumere quelle che sono le misure di protezione (al limite del paranoico), applicabili alle reti wireless.



Le password


-Non utilizzate mai password ovvie come nomi di famiglia, del cane, date di nascita, dell'ultimo eroe del cinema o dei fumetti; evitate quindi anche nomi come "casa", "wireless" o "Marco", e per l'amor del cielo non usate "pippo"; meglio sarebbe non usare termini contenuti nei dizionari, e un'alternativa, visto che siamo made in Italy, potrebbe essere usare un'altra lingua: oppure usate parole lunghe, meglio se di alcun senso, misto maiuscole/minuscole e quando possibile usare caratteri ascii (non sempre vengono accettati). Cambiate spesso le password.



In Primis


- Evitate di sbandierare ai quattro venti che avete appena messo su una rete Wi-Fi :bgg2: capisco che fa molto tendenza, ma se non c'è peccato, non c'è peccatore.

-Cambiare subito la password di accesso al Pannello di Controllo del Router: queste login e password sono ricorrenti e spesso le stesse per molti modelli, quindi sono già conosciute; oltremodo sarete protetti da particolari virus che possono attaccare il vostro Router che farebbero diventare i vostri PC zombie al loro servizio: un'esempio di questi virus lo trovate qui Rimozione - Psyb0t: Virus attacca modem e router ADSL (http://www.collectiontricks.it/forum/showthread.php?t=308)

-Meglio ancora, se il vostro Router lo permette, NON optate per la configurazione da remoto (via wireless), ma scegliete di configurarlo via cavo, in modo che non sia possibile resettarlo, se vi si riesce ad entrare.

-I Router/AP hanno di solito un indirizzo IP predefinito in fabbrica. Gli intrusi conoscono questi indirizzi IP standardizzati e pertanto possono andare a colpo sicuro nel cercare di accedere al vostro dispositivo. Per questo converrebbe cambiare l'indirizzo IP del Router se questo lo permette

-Si può usare una gamma di indirizzi IP non standard. Normalmente, le reti locali usano gli indirizzi della gamma 192.168.1.x, dove x è compreso fra 0 e 254. Lo sanno tutti. Se però voi usate un'altra gamma, l'intruso è momentaneamente spiazzato: se la vostra rete locale è connessa a Internet, non potete usare una gamma di indirizzi qualsiasi, perchè andreste in conflitto con gli indirizzi usati dal resto di Internet. Sono ammessi 192.168.x.x, 10.x.x.x, e da 172.16.0.0 a 172.31.255.255.

-Posizionate possibilmente il Router/AP lontano almeno da finestre e muri esterni: la trasmissione è a 360°, quindi catturabile dall'esterno, da sopra, da sotto: la cosa migliore sarebbe schermare, ma capisco che moglie/mamma non permetteranno mai fogli metallici appesi per casa :tong2

-Spegnete la wireless quando non serve: è stupido, ma è come il backup: è ovvia l'utilità, ma non lo fa nessuno :boh



Configurazioni base


-Disabilitate il DHCP Server: questo farà sì che gli indirizzi IP sui vostri PC non saranno comodamente assegnati in automatico, ma dovrete impostare voi l'indirizzo IP su ogni macchina, riconfigurando probabilmente la rete, ma avendo un controllo più sensato degli indirizzi IP che potranno collegarsi al Router.

-Inserendo poi un Range di rete (tipo dall'indirizzo IP "x" all'indirizzo IP "y"), ristretto al numero dei vostri PC effettivamente collegati, si limiteranno ulteriormente i rischi, specialmente se non si imposteranno i soliti primi indirizzi disponibili (partendo non "da 192.168.1.1" ma, ad esempio, "da 192.168.2.50").

-Tutti i dispositivi che tentano una connessione a una LAN wireless specifica devono utilizzare lo stesso nome identificativo della rete chiamato SSID: non usare per l'SSID nomi che possano consentire di identificare facilmente la rete, e soprattutto che la rete appena scoperta è proprio la vostra. Molti ricevitori di marca inoltre, hanno nomi di fabbrica conosciuti, riconducibili al modello o al produttore, perciò sostituiteli avvalendovi dei consigli per le password

-Disabilitate il Broadcast SSID (o al contrario, abilitate Hidden SSID): questa opzione abilita/disabilita la trasmissione da parte del Router/AP del segnale di "presenza" della rete, un richiamo continuo verso eventuali dispositivi wireless che volessero inserirsi nella rete stessa: se è disabilitato, chi passa dalle vostre parti non rileva reti esistenti... occhio non vede, cuore non duole.

-Ogni scheda di rete ha un proprio "numero di serie", che si chiama MAC address. Si può impostare il Router/AP ad accettare connessioni soltanto dalle schede che hanno un determinato MAC address. Questo rende più difficile penetrare nella rete, ma non più di tanto: si può scoprire un Mac Addrress in quindici minuti: comunque è una scocciatura in più che può scoraggiare una parte di aggressori. Potete vedere il MAC Address del vostro PC da Start http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif esegui http://www.collectiontricks.it/imagesbox/collection/icon/Dx_blue.gif digitare cmd e inserire il comando "ipconfig" (senza virgolette) al prompt nella finestra DOS




Infine cifrare, cifrare e criptare


La tecnologia WEP ( Wired Equivalent Privacy ) è stata la prima originariamente sviluppata, ma non mi soffermo, poichè questa tecnologia non era in grado di mantenere le promesse e di fatto è già obsoleta

E' nato quindi WPA ( Wi-Fi Protected Access ), un'evoluzione del WEP che utilizza un algoritmo di criptatura dei dati (TKIP) con chiave dinamica di 128bit .
La modalità generalmente implementata dai dispositivi 802.11g è detta WPA-PSK (Wi-Fi Protected Access - Pre Shared Key), ed utilizza un sistema di autenticazione che prevede l'inserimento di una PSK (Pass-Key) generata automaticamente o manualmente, che dovrà essere inserita all'interno del Router/AP e nelle impostazioni wireless di ogni disposivo connesso alla rete. Attenzione che chi riece a scoprire la vostra PSK avrebbe accesso alle risorse condivise dell'intera rete, perciò seguite sempre i consigli sulle password

Un'altra modalità WPA si chiama WPA-RADIUS (Wi-Fi Protected Access - Remote Access Dial-Up User Service), detta anche WPA-Enterprise, ed utilizza appunto un server RADIUS per l'autenticazione degli utenti sfruttando il protocollo introdotto con lo standard 802.1x. Qui ogni utente che si connette alla rete deve inserire un nome utente ed una password personali che il server provvederà a verificare fornendo successivamente i servizi ella rete a coloro che ritiene abbiano effettuato l'accesso correttamente

WPA si è poi evoluta in WPA2 che differisce per l'introduzione di un diverso algoritmo per la cifratura chiamato AES. La tecnologia WPA2 fino a poco tempo fa non era però compatibile con tutti i dispositivi riceventi wireless in commercio.




The End


Se dopo tutto questo avete perso la voglia di metter su la vostra rete Wi-Fi, ripensateci pure: la valutazione dei rischi è comunque soggetta a tante e tali variabili, che nella maggior parte dei casi, e soprattutto per realtà casalinghe, possono bastare le misure minime dettate dal buon senso per stare sufficientemente tranquilli.
Sono ancora comunque parecchie le attuali reti wireless esistenti che non hanno impostato sufficienti sistemi di protezione, e vi posso assicurare nella mia piccola esperienza, che sconsideratamente ancora molti dei privati con i quali ho avuto a che fare neppure si è minimamente posto il problema :triste



FAQ

Q. Ma non si può impostare la password durante l'installazione del Router?
A. Un Router, a differenza del modem, non si installa. Scordatevi il cd rosso Alice che chiede spocchiosamente se lo metterete in verticale o in orizzontale (ma almeno ha la wifi già protetta), perchè i Routers normalmente non funzionano così: il modem permette al solo PC sul quale è installato di collegarsi ad Internet ma il suo utilizzo è passivo; al contrario il Router è il dispositivo primario e autonomo sempre connesso ad Internet, che permette a svariati altri apparecchi di fruire della sua connettività. In definitiva con un modem è nel PC che devono essere impostati i parametri della connessione e la connessione stessa, mentre con un Router questi parametri vengono impostati nel Router stesso attraverso una sua interfaccia grafica interna.

Q. Ma se non c'è installazione come si fa ad arrivare a questa interfaccia ed inserire queste impostazioni?
A. Attraverso il browser (IExplorer, Firefox etc.): i Routers hanno un indirizzo IP proprio che è poi l'eventuale punto di partenza della rete; in questo caso l'indirizzo IP funziona anche da "porta di accesso" al Pannello di Controllo del Router semplicemente inserendolo nella barra indirizzi del browser (img. 1); la porta ovviamente è blindata: all'accesso sarà chiesto di inserire nome utente e password come protezione alla manomissione del Router
Questi parametri di accesso (indirizzo IP, utente e password), sono spesso comuni a molti Router ma comunque sono generalmente indicati sotto al Router, o quanto meno all'interno del manuale (cartaceo o su CD)


http://www.collectiontricks.it/imagesbox/collection/guide/wifi0001.png






http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it)




http://www.collectiontricks.it/imagesbox/collection/icone/ct.png


Work in progress...

MarcoStraf
02-03-10, 07: 23
-Non utilizzate mai password ovvie come nomi di famiglia, del cane, date di nascita, dell'ultimo eroe del cinema o ...
Ma guarda Lady, io direi come prima cosa usatela questa benedetta password :-)

In questo momento (sto scrivendo da casa) il mio computer "vede" le connessioni WiFi di sei vicini di casa (a parte la mia), di queste solo tre sono protette da password, e solo la mia usa la crittografia WPA (ricordo che in California le case sono costruite in legno per motivi anti-sismici, per cui un router WiFi lo si vede nel suo raggio di azione)

Chi non usa la password non si e' nemmeno degnato di cambiare il nome del router, per cui vedo connessioni dal nome comune come NetGear o DLink. Insomma, questi miei vicini di casa hanno comprato il router, lo hanno connesso e non hanno cambiato nulla, lasciando tutto come da fabbrica. A loro discolpa devo dire che non sempre e' facile configurare un WiFi router, in genere ci si riesce dopo alcuni tentativi, e quando funziona uno ha paura di toccare i parametri per paura che non funzioni piu'...

Kirk78
02-03-10, 10: 21
Diciamo che più che difficile configurare un Access Point o Router WiFi è che la gente NON lo sa che chiunque nel raggio di azione può utilizzare la sua connessione! Per me dovrebbero mettere un foglio a parte con l'indicazione dei rischi di non proteggere la propria rete wireless, magari con una micro guida di come mettere almeno una semplice password!
Poi se non erro è anche "obbligatorio" fare una protezione. Mi sembra che nel codice della Privacy si <impone al titolare di un sistema informatico di utilizzare "misure di sicurezza" per il trattamento dei dati personali al fine di non incorrere in sanzioni civili, penali ed amministrative>.

Grazie Lady. Mi manca leggere e linkare nelle risposte le tue preziose guide...

LadyHawke
02-03-10, 16: 50
In effetti l'intento era poter mettere anche delle guide pratiche, ma data la vastità dei modelli di router in circolazione (che non posso certo avere disponibili), dovrò limitarmi a due o tre sperando che alcune operazioni siano abbastanza comprensibili riadattandole al proprio modello

:bai

angel_smith
04-03-10, 19: 36
L'indirizzo Ip esterno rimane sempre fisso? se riavvio il router non cambia? A breve prenderò il nokia 5800 e vorrei farmi una rete casalinga. Però l'ip vorrei che cambiasse ogniqualvolta lo accendo come succede ora con il modem di alice. Grazie per le risposte!

Kirk78
04-03-10, 22: 42
Quello dipende dal provider: ovvero se hai un IP fisso non è possibile, se lo hai "dinamico" può cambiare come no.

angel_smith
05-03-10, 14: 13
Quindi se non ho capito male viene come nell'allegato?

In questo momento ho un modem alice e ogni volta che lo accendo l'ip cambia. Se lo sostituisco con un ruoter dovrebbe essere la stessa cosa giusto? :shock

FORMATTATO
10-03-10, 11: 26
argomento molto interessante, vorrei capirne un po di più e vi pongo una domanda stupida: ma non si fa prima mettere una password alla rete wi-fi in modo tale che ai vicini gli venga chiesta la pass prima di utilizzare la mia linea?? perchè a leggere la guida sopra postata da lady ho accusato capogiri:bgg2

LadyHawke
10-03-10, 14: 11
:m: ero convinta che la guida trattasse questo argomento :shock quella di come fare la pizza ero sicura di averla postata altrove :lol:

A parte gli scherzi, il nocciolo è proprio che molte persone non si pongono il problema di mettere una password, molti neanche sanno che sarebbe decisamente meglio farlo e molti non sanno da che parte incominciare per farlo :boh

La guida doveva essere intanto una presa di coscienza rispetto al problema di avere una rete "open", e successivamente, come riesco (non avendo disponibili molti routers), di aggiungere una seconda parte con le istruzioni pratiche per inserire questa benedetta password nel Router: quasi il 50% dei nuovi utenti di reti wireles crede che il Router vada installato come un modem, e circa il 70% non sa da dove incominciare per settarlo :triste

:bai

FORMATTATO
11-03-10, 20: 01
altrove dove? ..che voglio farmi una pizza:ghgh
altra domanda:bgg2 .. che rischi corre chi usa a scrocca una linea wi-li altrui.. ??

LadyHawke
11-03-10, 23: 03
Avevo partecipato ad un interessante 3d su P2PForum sull'argomento, con interventi decisamente incisivi e ricco di fonti autorevoli: un gran bel 3d anche se piuttosto "animato" :ohoh... ricordami di linkartelo quando sarà il momento.

Comunque il "cosa si rischia" a livello pratico (inteso come pesantezza della pena),non lo so, anche perchè alle normali normative del Codice Penale forse si è aggiunto qualcosa del Decreto Pisanu (prorogato di nuovo per tutto il 2010): di fatto è sicuramente reato scroccare una rete protetta, mentre diverse sono le interpretazioni nell'ipotesi di una rete aperta; in questo caso però personalmente mi preoccuperei più essere nei panni del proprietario di quella linea se questa viene utilizzata per scopi illeciti, visto che è lui legalmente responsabile, che ha un contratto di non cessione a terzi e che dovrà dimostrare di essere estraneo a qualsivoglia strana manovra effettuata con il suo indirizzo IP

:bai

FORMATTATO
12-03-10, 10: 35
e che dovrà dimostrare di essere estraneo a qualsivoglia strana manovra effettuata con il suo indirizzo IP
ma si può dimostrare in qualche modo, perchè cosi è troppo facile per un mal intenzionato mettere nei casini il proprietario della linea..
un'altra domanda raga, a queste line wi-fi ci si può accedere anche con i cellulari che supportano la tecnologia wi-fi??

LadyHawke
22-03-10, 00: 40
E' appunto per evitare di essere messi in una posizione poco piacevole che si devono proteggere le reti wifi: dimostrare la propria estraneità sarà anche possibile, magari alla fine di una luuunga causa, ma pensa quante seccature a livello legale il malcapitato dovrà sopportare, senza contare il danno sul lato economico :triste

Si, alle wirless puoi accedere anche con cellulare/smartphone/palmare che ha la wifi integrata

:bai

FORMATTATO
22-03-10, 13: 22
ti ringrazio lady.. farò tesoro di questo topik, io ancora non possiedo un modem/router wi-fi, ma quando sarò in possesso la prima cosa che farò è criptare il segnale con l'aiuto di questo topik:sisi

FORMATTATO
29-03-10, 16: 05
un 'altra domandina, se io sono in possesso di una linea wireless scoperta e un pinco pallino qualsiasi sta ne sta usufruendo, come posso saperlo? posso accorgermene in qualche modo?

Asterix
29-03-10, 16: 37
Se entri nella configurazione del router dovresti avere una scheda dove vengono indicati i mac address degli apparati collegati, eseguendo una piccola verifca vedi se hai ospiti indesiderati

:bai

FORMATTATO
31-03-10, 15: 37
per "entrare nella configurazione del router" si intende quando si digita quella sorta di codice sulla barra indirizzi del browser?

LadyHawke
31-03-10, 15: 56
Si, ma non è un codice, è l'indirizzo IP del Router: aiutati intanto con questa http://www.collectiontricks.it/forum/showthread.php?t=1058

:bai

FORMATTATO
01-04-10, 12: 49
ho capito, grazie ancora raga..