Progettiamo una rete WiFi casalinga

La tecnologia del WiFi mi ha sempre interessato, ma ho capito fin da subito che le problematiche di sicurezza a cui si va incontro con una progettazione superficiale, sono immense. E' un argomento davvero difficile da approfondire, ma mi è piaciuto questo articolo "A More Secure Home WiFi Design" che vi traduco sintetizzando un po' come al solito...

Mi vado convincendo che le reti wireless casalinghe siano progettate male e capisco anche perchè i produttori di queste attrezzature ne siano complici!

Penso che ci sia un modo migliore di costruire una rete wireless che garantisca di mantenere il sistema sicuro, mentre gli utenti navighino in Internet.

Questo post è organizzato in tre parti:

1. Le falle presenti nel modo attuale di progettare il WiFi
2. Un design WiFi migliore
3. Configurazioni avanzate

WiFi è rotto

Se avete fatto ciò che comunemente si fa per implementare un router wireless, avrai seguito questi passi:

1. Fase di design - “Vorrei navigare in internet e vedere la TV allo stesso tempo. Prenderò un router WiFi per sostituire il mio router.”
2. Fase di scelta dell' hardware - “Quale scegliere?”
3. Fase di realizzazione - “Scollego il vecchio router, collego il nuovo... cerco la connessione WiFi…Fatto!”

Quello che avete realizzato è simile a questo:

In pratica hai dato accesso completo alla tua rete a chiunque abbia una scheda di rete wireless e sia nelle vicinanze. Potresti tirare un lungo cavo fuori dalla tua porta di ingresso e metterci una insegna al neon che dice “Accesso ad Internet Gratuito”! Posso solo augurarti che nessuno nelle vicinanze stia utilizzando Slurpr.

E' terrificante verificare che più del 40% delle reti wireless rilasciate oggi è configurato in questo modo.

Ci sono quattro aree primarie di debolezze presenti in questo progetto:

1. Configurazione della connessione WiFi
2. Configurazione del Firewall
3. Accesso ad Internet
4. Accesso alla rete

Diamo uno sguardo più approfondito a questi punti.

1. Configurazione della connessione WiFi

La maggior parte dei firewall wireless sono disegnate per essere facili da configurare, non sicure. Questo perchè i produttori di hardware non venderebbero un prodotto che il consumatore non fosse in grado di configurare o usare. Poichè la sicurezza nel WiFi è ben oltre la comprensione della maggior parte degli utenti, viene spesso trascurata. Non è insolito trovare connessioni WiFi con:

• SSID trasmesso in Broadcast
  
• Codice SSID di default
  
• SSID che identifica la rete
• Nussun o debole criptaggio
• Nessuna autenticazione con indirizzo MAC
• Autenticazione senza shared key (chiave condivisa) o con certificato
• Connessione settata in modo adhoc

2. Configurazione del Firewall

Come per la connessione WiFi, anche il firewall spesso è configurato con la minore quantità di parametri di sicurezza, in modo che sia facilmente usabile. Molti sistemi sono configurati con:

• Default admin password
• DHCP attivo
  
• Large DHCP zone
• Default subnet mask (sottorete ip)
  
• Nessuna criptazione SSL
• Aprire una console per admin su una porta esterna
  
• Senza monitorare con file di log

Tutto ciò pone dei problemi di sicurezza.

3. Consentire l'accesso libero ad Internet

Chiunque capiti nella vostra rete wireless potrà avere un completo accesso ad Internet. Questo potrebbe non essere preso come un problema all'inizio, ma ci sono alcune cose da considerare:

1. Se hai una banda limitata in upload e download da parte del tuo provider Internet, potresti dover pagare un canone mensile maggiore se qualcuno fa uso intensivo di software p2p per fare enormi download di dati
2. La maggior parte degli ISP per contratto vieta di condividere la la connessione ad internet con altri. Quindi se imposti una connessione wireless con libero accesso ad internet potresti violare il contratto e quindi perdere la stessa connessione.
3. Se qualcuno usa la tua connessione ad Internet per compiere attività illegali (es. accedere a siti di pedofili) la polizia potrebbe verificare la proprietà della connessione ad internet tramite l'indirizzo IP e incolparvi per dei reati che non avete commesso.

4. Libero accesso alla rete

L'aspetto più fastidioso del progettare una rete WiFi design è che essa bypassa la cosa che il vostro firewall dovrebbe fare: tenere gli altri lontani dalla vostra rete locale. La connessione wireless in effetti fa accedere consente a chi la usa di appartenere alla stessa rete che ospita il tuo sistema “sicuro”. E se tu non sei attento a proteggere il tuo PC, come non lo sei stato nel progettare la tua rete wireless, potrai capire bene che i tuoi dati personali sono in serio pericolo di furto.

Un design migliore per il WiFi

Ho speso del tempo pensando come migliorare la sicurezza della tua rete WiFi e ho abbozzato questa soluzione che ti aiuterà a mettere le cose al sicuro eliminando le vulnerailità maggiori di cui abbiamo parlato. La soluzione comprende:

1. Mettere in sicurezza la connessione WiFi
2. Mettere in sicurezza il firewall wireless
3. Limitare l'accesso ad Internet a utenti pre-definiti
4. Separare i computer della rete casalinga dagli utenti ad accesso wireless

La cosa simpatica è che molte di queste operazioni possono essere fatte senza costi aggiuntivi perchè basta usare l'hardware che già possiedi.

E la soluzione è sufficientemente flessibile da consentirti di fornire accesso Internet a utenti WiFi con un minimo costo aggiuntivo.

1. Mettere in sicurezza la connessione WiFi

Questa è la parte più importante dell'intero processo. Se configuri bene questa caratteristica, potri eliminare i rischi maggiori per la tua rete. Segui queste indicazioni:

1. Utilizza il criptaggio WPA2 per tutte le comunicazioni
2. Assicurati di usare certificati o chiavi condivise per il criptaggio
3. Non divulgare il tuo SSID in broadcast. Dovresti farlo solo in fase di test
4. Cambia il tuo SSID in qualcosa di oscuro tipo 89cyr65g6vwe . Ovviamente non usare il SSID di default che proviene dal fornitore dell'hardware o peggio informazioni quali il tuo telefono, cognome, indirizzo...
5. Usa l'autenticazione con indirizzo MAC per assicurarti che solo alcuni specifici sistemi possano accedere al link WiFi
   
6. Usa la modalità infrastructure, non quella adhoc, per la connessione
   

Fatte queste configurazioni siamo al sicuro? No. E' possibile avere accesso alla connessione WiFi se si conoscono le seguenti informazioni:

• La tua chiave WPA2
• Il tuo SSID
• Il tuo indirizzo MAC

La persona che vuole accedere deve inoltre sapere come modificare il proprio indirizzo MAC della scheda wireless. Non è impossibile, ma ci vuole troppo lavoro per accedere alla rete di qualcuno.

E' molto importante usare la modalità infrastructure per la connessione. Deve essere settata nel firewall e nella scheda di rete wireless. In questo modo non sarà possibile usare la scheda di rete del tuo portatile come ponte wireless per accedere alla tua rete.

2. Mettere al sicuro il Wireless Firewall

Il passo successivo è mettere al sicuro il firewall wireless. E' importante perchè se permetti di violare il tuo firewall, tutte le altre misure di sicurezza possono essere forzate senza che tu neanche te ne accorga.

Assicurati di effettuare i seguenti passi:

1. Cambia la password di amministratore (root o admin password)
   
2. Utilizza criptaggio SSL per tutte le connessioni web tra firewall e i tuoi sistemi
3. Blocca ogni gestione esterna delle interfacce
4. Disabilita il protocollo DHCP o almeno settalo ad un range bassissimo cioè a uno o due indirizzi IP, impostando anche gli indirizzi DHCP riservati
5. Cambia la sottorete di default della fabbrica
6. Crea una piccola subnet interna. Utilizza una sotto maschera a 28 (2555.255.255.240) o 29 (2555.255.255.248) bit per limitare la tua rete a 14 o 6 hosts rispettivamente
7. Non consentire il ping sull'interfaccia esterna
8. Effettua il log di tutte le attività, preferibilmente su una periferica esterna
9. Mantieni un backup della configurazione in caso accada qualcosa al firewall e la configurazione salti
   

Il lato negativo che in questo modo dovrai configurare manualmente le tue periferiche WiFi per poterti collegare, ma è il prezzo da pagare per la sicurezza della rete.

3. Limitare l'accesso ad Internet

Con la configurazione precedente non hai in effetti elimnato l'accesso ad internet per chiunque non abbia l'autorizzazione. Per accedere ad Internet, un cracker dovrebbe conoscere le seguenti informazioni:

• Il tuo SSID
• La chiave WPA2
• Il tuo MAC address
• La tua subnet e subnet mask: cioè rete ip (es. 192.168.1.1 ) e sotto rete (255.255.255.0)
  
• Un indirizzo IP statico disponibile
• Il nome del tuo provider Internet per ottenere le impostazioni dei DNS

4. Segmentare la rete

Con la rete casalinga dietro il firewall, siete protetti non solo dagli utenti su Internet ma anche da persone che abbiano informazioni a sufficienza per tentare una connessione WiFi. E' importante proteggere i sistemi di rete e assicurarsi che non vengano violati.

Per fortuna, molte persone stanno aggiornando il loro router fisso con uno wireless, quindi basta poco per integrare il secondo router nel loro ambiente di rete.

Una controindicazione a questa semplice configurazione è che se vuoi accedere a delle risorse condivise sulla rete, devi apportare delle modifiche come spiegato nella sezione successiva.

Configurazioni avanzate

Questo è solo la punta di un iceberg. Puoi apportare diverse modifiche alla configurazione per ottenere una maggiore sicurezza o una migliore flessibilità. Alcune idee comprendono:

• Realizzare accesso VPN alle risorse dietro il firewall con soluzioni SSH o SSL VPN
• Aggiungere un proxy web per accedere ad internet tramite autenticazione (username e password)
• Implementare protocollo IPSec per tutte le comunicazioni sulla rete

Conclusioni

Molte delle configurazioni predefinite delle apparecchiature WiFi lasciano molto a desiderare riguardo a sicurezza, ma un piccolo sforzo nella pianificazione può permetterti di costruire una infrastruttura molto più sicura senza costi aggiuntivi.