Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

Strumenti per una postazione personale sicura

Sicurezza delle comunicazioni di accesso Wireless Wi-Fi

Le reti WiFi utilizzano come canale di comunicazione, non un cavo, ma lo spazio aereo che si estende nell'area circostante l'apparato di accesso radio (Access Point), area non precisamente delimitata. Per questo motivo, e per evitare che il nostro vicino di casa riesca ad intercettare le nostre  comunicazioni, è importante adottare tutte le misure di sicurezza per questo sistema di accesso.

Per i dispositivi wireless conformi allo standard WiFi, esistono diversi meccanismi di sicurezza che l'utente può configurare direttamente sul proprio computer, e dal proprio computer verso la stazione AP, in modo tale che sia stabilita una comunicazione protetta e controllata.

Gli elementi di base per la sicurezza delle comunicazioni WiFi sono rappresentati da:

  • impostazione di un identificativo personale per la Rete Wireless
  • impostazione di una chiave di crittografia per il traffico
  • impostazione di un meccanismo di controllo di Accesso alla rete per i soli dispositivi abilitati.

Ogni rete wireless strutturata possiede un suo identificativo, definito SSID (Service Set Identifier) che deve essere impostato su tutti i dispositivi che la compongono, ossia la stazione di Accesso AP e tutte le postazioni (personal computer, portatili, ecc.) che intendono accedere alla rete.

Ogni dispositivo Wireless in commercio appartenente ad un dato costruttore possiede per default uno stesso identificativo SSID, che è noto pubblicamente e che dovrebbe essere utilizzato solo ed esclusivamente nella fase di primo accesso e installazione della rete.
Spesso gli utenti, non sapendo che tale identificativo (SSID) in fasi di costruzione è lo stesso per tutti gli altri prodotti di quella marca, non modificano tale parametro, introducendo una vulnerabilità nella rete.
Quindi la prima operazione da fare quando si installa una rete Wireless WiFi è quella di modificare l'SSID di default sia nell'AP che sul proprio computer, impostandone uno proprio.

Per quanto riguarda l'impostazione di una chiave di crittografia per il traffico, questo elemento è fondamentale per introdurre un servizio di riservatezza per i dati scambiati tra la postazione wireless e il dispositivo di Accesso (Access Point).

La protezione minima raccomandata per un sistema WiFi è denominata WEP, acronimo di Wired Equivalent Privacy. Il WEP prevede la specifica, sugli apparati coinvolti nella comunicazione, di un numero di password variabile da 1 a 4, con lunghezza pari a 48, 112 o 240 bit corrispondenti tipicamente a 6, 14 o 30 caratteri alfanumerici.
Delle 4 password specificabili solo una per volta è utilizzata: ad esempio, è possibile configurare più password sull'access point ed utilizzarne una differente per ogni stazione, ovviamente fino ad un massimo di 4.

Benché il WEP consenta un controllo degli accessi basato su chiavi condivise e la riservatezza dei dati mediante crittografia dei pacchetti trasmessi, indipendentemente dal numero di password specificate e dalla lunghezza delle stesse, non è un meccanismo di protezione sicuro.
Un utente malintenzionato, anche se con scarse competenze, può, in pochi minuti, risalire alla chiave utilizzata per proteggere i dati e, conseguentemente, utilizzare la rete wireless e decifrarne tutti i pacchetti in transito¹.

Per fronteggiare le insidie legate all'utilizzo del WEP è opportuno utilizzare meccanismi di protezione più efficaci quali il WPA-PSK (Wireless Protected Access – Pre-Shared Key) o il WPA2-PSK (anche detti WPA/WPA2 Personal).

Proprietà AccessPoint

Entrambi i protocolli prevedono l'utilizzo di una password condivisa (i.e.: pre-shared) tra l'AP e le stazioni e prevedono meccanismi di crittografia delle informazioni più robusti rispetto al WEP.

Come in tutti gli ambiti nei quali è utilizzata una chiave d'accesso, è opportuno selezionare una password robusta e cambiarla periodicamente (e.g.: ogni 6 mesi).

Il terzo elemento di base per la configurazione di una rete wireless protetta, è rappresentato dalla definizione di una lista dei dispositivi che possono accedere alla stessa, direttamente sui dispositivi di accesso (Access Point). Questa lista viene composta inserendo gli indirizzi MAC definiti come indirizzi fisici del dispositivo di rete, relativi alle interfacce wireless dei computer o altri dispositivi che intendiamo associare alla nostra rete e che saranno gli unici per i quali l'accesso sarà consentito.

¹ Si veda l'attacco denominato Fluhrer Mantin Shamir (FMS) e, il nuovo e più efficace, attacco Korek. Entrambi gli attacchi sono basati sull'analisi statistica dei pacchetti crittografati.