Andrea Beggi

Everything you need is already inside.

Rendere sicura (?) una rete wireless casalinga

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Wireless NetworkNegli ultimi tempi il wireless si definitivamente affermato, e da chicca tecnologica per pochi, è diventato un prodotto consumer di alta diffusione.
E’ un sistema che presenta molti vantaggi: non dover cablare tutto, e navigare dalla poltrona preferita (o seduti altrove :D) sono sicuramente belle comodità.
Purtroppo utilizzare onde radio invece di cavi introduce diversi problemi di sicurezza. Ad aggravare la situazione contribuisce il fatto che le configurazioni di default di questi dispositivi sono completamente “aperte”, in modo da favorire gli utenti meno esperti.

E qui le filosofie di pensiero sono due: c’è chi cerca di blindare il più possibile la propria rete, perché non desidera “ospiti”, e chi invece è contento di regalare un poco della propria banda ai navigatori di passaggio. Regolatevi secondo la vostra coscienza, ma non tralasciate comunque di proteggere i PC della vostra rete tramite firewall personali e password “forti” sulle risorse condivise, specialmente se optate per il secondo scenario.
Considerate anche il fatto che, a fronte di attività illegali commesse tramite il vostro abbonamento, potrebbe essere difficile dimostrare la vostra estraneità.
Vediamo una serie di precauzioni da adottare per tentare di rendere la connessione la più sicura possibile.
La guida è orientata agli utenti “casalinghi”, perché non prende in considerazione la sicurezza dell’accesso alla rete locale. (VPN, RADIUS, DMZ ecc ecc).
L’intento è di spiegare quali fattori influenzano l’accesso alla rete wireless, evidenziando la “quantità di sicurezza” che ciascuna azione aggiunge. Nulla è più pericoloso di un senso di falsa protezione che in realtà non esiste.
Ci sono alcune cose che i puristi ritengono opinabili, tipo il filtro del MAC address, ma secondo la mia personale convinzione è meglio una serratura debole che nessuna serratura; l’importante è avere coscienza dei limiti di questi sistemi di protezione.
Tanto per iniziare parafrasiamo un noto motto, e teniamolo sempre ben presente: “L’unico access point sicuro è l’access point spento.”
Ci sono diversi accorgimenti che si possono prendere; malgrado alcuni siano deboli, la combinazione di diversi sistemi rende più noioso e lungo il tentativo di intromettersi nel vostro traffico, e di conseguenza scoraggia l’aggressore; quindi il suggerimento è di usarne il più possibile.

  • Spegnere l’AP se non viene utilizzato – Può sembrare banale, ma è inutile introdurre una possibile falla nella rete quando non ve ne è bisogno, quindi staccate la spina quando non utilizzate il wireless. Alcuni apparati permettono di stabilire le fasce orarie durante le quali l’accesso è disabilitato per chiunque; nel caso di apparecchi utilizzati in ufficio, può essere utile restringere l’accesso alle sole ore lavorative.
  • Filtrare il MAC address – Tutti gli apparati consentono di “whitelistare” l’elenco degli indirizzi MAC ai quali concedere accesso. Benché questo sia un parametro facilmente falsificabile (“spoofabile”, in gergo), vale la regola elencata prima: più fastidi ci sono per l’aggressore, meglio è.
  • SSID – Service Set IDentifier, in parole povere il “nome” della vostra rete wireless. Potete cambiare il nome di default (noto), ma serve solo se disattivate il broadcast del SSID. In pratica è inutile cambiarlo se il vostro access point continua a urlarlo ai quattro venti. Non condivido questo particolare passo, poichè non è conforme alle specifiche 802.11. In ogni caso è un parametro trasmesso in chiaro, quindi facilmente sniffabile
  • Password – Cambiate la password di default dell’access point, ripeto CAMBIATE LA PASSWORD DI DEFAULT. Le password di fabbrica sono note a tutti, se non le cambiate il vostro apparecchio puù essere preda di chiunque riesca a collegarsi al suo indirizzo IP.
  • Indirizzi IP – Cambiate l’indirizzo IP di default del dispositivo, in quanto facilmente reperibile dai malintenzionati.
    E cambiate numerazione a tutta la rete locale, se potete. La numerazione di classe C privata degli indirizzi IP consente 65.536 client contro i possibili 16.777.216 della classe A, quindi usate per la vostra rete locale indirizzi del tipo 10.0.0.0 netmask 255.0.0.0, in modo da aumentare il numero di tentativi per trovare gli indirizzi giusti.
  • Disattivare DHCP – E’ inutile offrire agli intrusi un indirizzo IP pronto per essere utilizzato, disattivate il servizio e utilizzate IP statici per i vostri client.
  • Crittografia – Ci sono diverse modalità per crittografare i pacchetti che viaggiano via etere:
    WEP (Wired Equivalent Protocol), è il sistema più datato e soffre di una vulnerabilità che lo rende facilmente craccabile tramite strumenti a disposizione di qualunque ragazzino un po’ sveglio. Da usare solo come ultima risorsa.
    WPA – In ambito casalingo si usa la versione WPA – PSK. Un protocollo più sicuro che si basa su un algoritmo più robusto di WEP, utilizzatelo e scegliete la passfrase più lunga e complicata possibile. Sufficientemente sicuro (per ora).
    WPA2 – E’ nuovo, supportato solo dagli apparecchi più recenti. Credo sia quello adottato dal Pentagono. Naturalmente è il migliore.
  • Molti apparati consentono il controllo della potenza di uscita dell’access point. Non ha senso raggiungere il palazzo di fronte, se dovete coprire una sola stanza. Riducete la potenza al minimo possibile, senza penalizzare le prestazioni.

Una volta presi questi accorgimenti avete fatto il massimo possibile. Se siete sfortunati e qualcuno si accanisce contro di voi, una volta collegato alla vostra rete wireless ha lo stesso accesso alle risorse di un host collegato via cavo, quindi non dimenticate di proteggere le cartelle condivise tramite password efficaci.

99 Commenti

Andrea | #

La connessione alla rete locale certamente pi lenta. Per quanto riguarda la navigazione, non certamente la connessione wireless il collo di bottiglia, quindi non dovrebbero esserci differenze.

Augustus | #

Scusate ma ora quelli ke fanno wardriving e hanno un computer con wirless integrato possono fare a meno dell’adattatore wi-fi usb? O forse hanno solo bisogno di un’antenna pi potente per ricevere il segnale…

Sickbrain | #

Io mi devo avvicinare ancora al mondo wifi, e per tale motivo volevo dei consigli:
-dovrei aqcuistare un modem router adsl che mi permetta di far navigare un massimo di 5 pc/mac, anche non contemporaneamente, ma che abbia comunque anche le classice prese di rete; esiste oppure no? Consigli a riguardo?
– un modem route adsl wi-fi funziona come un modem route “classico”, quindi basta attaccarlo alla linea tele-adsl e distribuisce il segnale?

Scusate l’ignoranza a riguardo 🙂

p.s. Ottima la ricetta per le trenette al pesto, un p mi mancano…
Bye.

Andrea | #

Sickbrain, il 99% dei router con AP integrato fanno tuttle quelle cose l.

Giovanni | #

Se volessi io fare dello sniffing nella mia rete privata wireless, quale programma mi consiglieresti; e se puoi darmi anche alcune dritte sull’uso di tale programma perchè non l’ho mai fatto
grazie anticipatamente

filippo d'errico | #

Salve a tutti!
Ho un dubbio che persiste. Sono collegato via wireless dal pc del mio padrone di casa, la domanda che mi pongo è: potrebbe questo signore introdursi dal suo pc nel mio ed interferire come vuole?
Ultimamente mi è apparsa sul desktop una vecchia immagine di scuola in B/N che non esiste sul mio pc e che non riesco più a togliere, tra l’altro non posso neanche cambiare sfondo. Come diamine è possibile una cosaccia del genere?

Manuel | #

BUin giorno
Vorrei chiedere se qualcuno sa dirmi come fare a criptare la mia rete wireless, che ha un modem fornito da telecom
e un ruter wi-fi che ho acquistato io…ora il problema è che telecom fornisce, come chiave wep, 13 caratte ri e come chiave wap, 24 e il mio ruter ne vuole o 10, per la protezione a 64 bit o 26 per l’altra a 128 bit.
come posso fare?? mi affido al sapere altrui
grazie

guerrierodellaluce | #

un amico venutomi a trovare e’ riuscito a visualizzare i nomi dei pc in rete…paura

di qui il mio interessamento,l’articolo mi sembra valido,provo a fare modifiche e commento nuovamente,se si puo’…..

ciro | #

perké nn si riesce a sfruttare internet in una rete non protetta?? tutto è libero tutto è aperto ma proprio le pagine web non si aprono … perké? c’è forse bisogno di qualche programma??

stefano | #

salve ragazzi, a breve dovrei comprarmi un pc port,e pensavo anche io di farmi a casa un collegamento wifi, in modo tale da poter usare il pc sia in un’altra stanza e sia da un altro piano (sempre se è possibile)… parlando con un amico me l’ha sconsigliato a priori dicendomi che se anche ” cerco di proteggerlo” ci sono tanti programmini che tolgono le eventuali password 🙁 io non so + che fare… io pensavo di prendere un access point da collegare alla scheda di rete e di “accendere” solo quando ho la necess di usare il pc portat… cosa mi consigliate?

Keit | #

Complimenti,interessante.. io voglio barricare la mia rete :P!

Nuccio | #

Il miko problema è un altro. Da qualche giorno non riescopiù a navigare in wifi in quanto nei pressi della mia casa, c’è un segnale, (scusa la terminologia ma non sono troppo ferrato sull’argomento) che copre il mio collegamento wifi. Contratto fastweb easy. Cosa posso fare?

max | #

posso accorgermi se qualcuno naviga con la mia connessione wireless ?

cesare | #

ciao! a tutti! io non capisco molto di tutto questo, soltanto vorrei sapere si e un delito usare internet con la connesione rete senza fili? io ho il portatile e mi collego a internet practimanete gratis. il pc automaticamente cerca una rete e si e libera si collega. e un delito questo????….auitatemi vi prego!….grazie

Cristian | #

Salve a tutti sono arrivato qui per caso cercando un modo di configurare la mia sidebar con i feed(NON CI CAPISCO NULLA DI BLOG, E MI RENDO CONTO CHE TUTTI I TUTORIAL SONO SCRITTI CONSIDERANDO CHE LìUTENTE SAPPIA GIA COSA FARE, e quelli come me che non lo sanno si agganciano al tram) cmq, detto cio’ invece di wireless lan me ne intendo tant’e’ che qui in brasile dove sto vivendo mi diverto ad aprirle….
Ora vi dico le statistiche da ethical hacking
Una wireless lan a 64 bit di cifratura WEP—–> si apre mediamente in 3-4 ore….
128 bit wep —–> 6-7 ore
256 bit WEP —-> (eh si si aprono anche quelle) l’ho aperta in 10 ore…..
La WPA sicuramente è piu protetta, si apre anche quella, dipende pero’ molto dalla fortuna, dalla potenza del tuo segnale, e quando viene fatto l’handshaking, tu devi stare li a ” sentire”, puo’ durare 5 minuti, fino a 24 ore…molto vale dalla fortuna ma si apre anche quella…

CONSIGLIONE ONE ONE!
Se volete davvero essere sicuri, io da ethical hacker, vi consiglio esclusivamente di comprare accessori e router, che supportano WPA2 al mondo ancora nessuno è riuscito ad aprire con crittografia WPA2…..

Percio’ se volete sicurezza, e non farvi fregare passwd, chat con amanti e quant’altro……WPA2 e chi avesse un tutorial in italiano o inglese dalla A alla Z su wordpress….Bhe’ mi faccia sapere, come si dice in brasiliano, Agradeço!

paolo | #

Paolo da vicenza, ho installato linea wireless tramite ditta
e4a di castelnovo di isola vicentina (vi)il contratto stipulato è di 780 kbit in download,come tutti vorrei scaricare un po’ di musica con vari programmi ma non riesco perchè continuo a perdere la conessione ti dirò di più alla mattina riesco a scaricare qualche cosa pomeriggio sera niente per cortesia risp. sul mio indirizzo di posta elettronica grazie

vale | #

ho qualche vicino stronzo che si aggunge nel mio ruter delle porte, come posso proteggermi, serve qualche programma

Alessandro | #

Abilitando la crittografia (WEP o WPA) si rallenta quella che è la velocità tra hosts e router?

FRANCESCO | #

????????? Tutto bello e giusto quello che avete detto ma sembrano le parole di zio BILL tipo…. adesso questo sistema oprerativo sarà inattaccabile!!!!! e poi lo riducono una groviera!!! La questione non è così elementare infatti basta un utente con una bella d-link con chip atheros e moddata con una bella antenna da qualche db e Linux SLAX con gli opportuni tool installati ed un simpatico UTENTE che scarica P2P e quindi fa volare un bel pò di pacchetti nell’ aria per parecchie ore che poi verranno filtrati e decodificati!!!!
Per quanto riguarda la cara FBI americana ha dimostrato con un video suggestivo come riuscivano a bucare un rete aziendale di un multinazionale in 10 minuti comodamente seduti in macchina!!!!! Io ho visto ad un linux day delle cose davvero brutte…. quindi se usate il paypal etc….. seguite l’ unico consiglio valido SPEGNETE l’ AP!!!!

Andrea | #

Se la transazione è su https, puoi sniffare quello che vuoi, ma non te ne fai nulla…

Alberto | #

avete mai pensato a passare al protocollo 802.11a a 5Ghz???
io l’ho fatto, e data la bassissima reperibilita’ dell’ hw con protocollo a in italia mi sento, relativamente,+ tranquillo

denis | #

ieri ho fatto l’esperimento con la mia rete wireless, da una scheda di rete scaricavo all’impazzata, producendo un intenso traffico con l’AP, con l’altra sniffavo i pacchetti IVs che poi davo in pasto ad aircrack, su linux kubuntu.
mi ci sono volute 12 ore di sniffing con traffico dati intenso.
la chiave wep da 128, con caratteri alfabetici, numerici e speciali, ha ceduto dopo 162mila pacchetti IVs.
ora d’accordo che ha ceduto dimostrando la debolezza, ma è difficile pensare che qualcuno si piazzi sotto casa del comune cittadino a sniffare per ore e ore, sperando in un intenso traffico, altrimenti finiscono per essere giorni.
con cosa, poi, il laptop su una macchina? ma che batteria ha? la ricarica dall’accendisigari? sicuramente con l’auto accesa e fermo per ore attira l’attenzione.
secondo me il normale cittadino che usa il wep a 128, non divulga l’essid, filtra i mac e disabilita dhcp, può stare “statisticamente” tranquillo.
differente è il discorso di un’azienda, o di uno studio di professionista, nel qual caso si può invece prospettare un interessamento diretto e specifico (spionaggio per esempio).
saluti
p.s: 12 ore di download…ho scaricato 15 differenti live cd di linux, ma vi immaginate il tipo al bar che non si vuole schiodare dal tavolino per continuare a sniffare?!

daniela | #

Salve,
purtroppo sono sufficientemente poco introdotta nella cosa per poter rendere operativi i chiari consigli offerti. Ho un router DLINK_wireless e lavoro in casa e da qualche tempo il segnale ADSL è debolissimo o assente. Sicuramente qualcuno ne usufruisce. Questo problema si è presentato in occasione del mio cambio casa. Ho provato ad entrare nel router seguendo alcuni passaggi mirati alla protezione trovati su Internet ma le voci non appaiono le stesse quindi ci rinuncio. Ringrazio il Tutorial che sicuramente è per persone che sanno muoversi.
Complimenti ugualmente!. Daniela

Philip J Fry | #

Salve,
Una domanda per un esperto:
Ho una rete wireless a casa e oltre al PC ho connesso la PS3, quest’ultima però mi da un problema, si disconnette da sola ogni tanto senza apparente motivo.
Dopo un lungo pomeriggio di fatiche sono riuscito a capire che dipende dal “ReAuthentication Timer” della protezione WPA-PSK. Il problema è che appena c’è questo controllo la PS3 di disconnette inesorabilmente.
Per quello che ho potuto vedere il massimo impostabile come intervallo è 9999, volevo sapere se è possibile mettere infinito (magari 0?), cioè che non me lo faccia più dopo la prima volta.
Grazie.

Backtrack ;-P | #

Anche io lascio un commento, salve a tutti..
Quello detto nel tutoria è verissimo ma nn rende sicura al 100% la propria rete interna, anche io sono per l’open (e sinceramente nn ho problemi a procurarmelo) cmq assicuratevi di nn utilizzare criptazione wep ma almeno wpa a 128bit (ovvero una parola lunga sensa senso che utilizzi anche numeri, una parola alfanumerica, sconsigliate date d nascite nomi e appellativi) questo ritarderà notevolmente il tentato crack di un professionista..baci&abbracci..

edoardo | #

ho realizzato tante volte reti Lan, ma senza cavi mai.
farò tesoro dei consigli che ho letto su questo sito.
spero di proteggere bene la rete dei miei futuri clienti. da oggi proporrò anche reti wireless
grazie.

dolly | #

Ho un piccolo quesito da proporre..vista la mia ignoranza in materia… Ho una rete aperta qui vicino,credo un ufficio…beh, mi ci collego.. domanda: e’ un reato?? un grazie a tutti voi! ciao

bendi89 | #

ciao volevo sapere se potevo creare una rete ad hoc fra il portatile wireless e la ps3 per collegarmi ad internet da quest’ultima

maurizio livio gasperoni | #

gentile signore,
apprezzo moltissimo il suo tentativo di rendere edotti i profani della necessità e possibilità, per chiunque di proteggere una rete senza fili ma, sinceramente…non si capisce un tubo. non tutti gli utenti sono così evoluti da districarsi fra tutte quelle sigle. sarebbe stato molto più proficuo ed efficace dire “dove cliccare e cosa modificare”.

Andrea | #

Gentile Maurizio,
grazie per l’osservazione.Premesso che non è possibile redigere una guida universale poiché ciascun dispositivo è diverso dagli altri, il post si rivolge per forza di cose ad una utenza più tecnica. La sicurezza è una cosa seria e come tale va presa con le pinze. E’ meglio non improvvisare e, nel dubbio, chiedere a chi è più esperto.
Mi dispiace che il mio articolo non le sia stato utile, può facilmente chiarire il significato di termini e acronimi consultando Wikipedia (ad esempio).

ivan manotti | #

Ciao, vorrei sapere come posso collegarmi all’impianto wireless di mia zia che abita a 50m metri da casa mia.
mi ha dato la pw , anche se avvolte (per motivi ideologici) la lascia non protetta , pero’ da casa mia il mio pc non riesce a “sentirla” ..
ora nel suo palazzo tutti la usano, e io emio fratello che siamo i nipoti non riesciamo!!!
c’è un’antenna da collegeare al mio pc, per poter fargli sentire il wireless di mia zia???
grazie
ps se puo’ rispondermi via mail ,te ne sarei grata

DIDO | #

URGENTISSIMO: DITEMI COME SI FA PER PASSARE DA UNA RETE WLAN NON PROTETTA A UNA RETE WLAN PROTETTA. AIUTATEMI PERCHè CI SONO ALCUNI CONDOMINI CHE UTILIZZANO LA MIA RETE VISTO CHE HO IL ROOTER(SI SCRIVE COSì?). AIUTOOOOOOOOOOOOOOOOOOOO!

DIDO | #

RISPONDETE, è URGENTE!!!!!!!

ORiON | #

Ciao, si parla sempre che è facile entrare in una rete Wireless se non è protetta a dovere bla bla….ma in ostanza come si fa? Io anche se vedo una rete disopnibile ma ha anche solo una chiave di accesso sarei già tagliato fuori. Come fate voi a vedere, entrare ecc.? Premetto che è una pura curiosità da informatico e basta, nessuna intenzione illegale.
Ciao grazie!

stefano | #

La mia zona non è coperta dalla ADSL quindi sono stato costretto a fare un contratto con una azienda che mi ha portato la ADSL wi-fi tramite una antenna sopra la casa. Ora vorrei crearmi una mia rete domestica wireless, volevo chiedervi di cosa ho bisogno? Premetto che dall ‘antenna mi scende un cavo di rete che attualmente si collega direttamente al scheda di rete del mio pc. Ringrazio anticipatamente.

Alessandra | #

Stefano,
se ti arriva un cavo ethernet e ti da la connessione ADSL al pc, è come se tu avessi in casa un modem ADSL con porta Ethernet. Per creare una rete wireless domestica devi acquistare un router wireless. Sceglilo con sicurezza WPA2.
Un semplice access point non va bene nel tuo caso. Neanche un router wireless ADSL. Il router wireless di cui hai bisogno ha una porta WAN nella quale colleghi il cavo di rete che ti arriva in casa, e poi, a seconda delle porte che offre, puoi collegare sia pc cablati che wireless.

cirio | #

penso che oltre a questi consigli di carattere generale, ci voglia una presa di coscienza dei reali pericoli che si possono incorrere, ad esempio lasciando in chiaro la propia chiave wep-wpa ecc in un file sul desktop..

Tatiana | #

Scusate, una domanda…anche io cerco di istallare la rete wireless però quando voglio connettermi mi chiede una specie di codice per navigare su una rete sicura..la domanda è dove devo cercarlo questo codice! e c’è l’ho già?!

dario | #

Bei consigli. Ma come attuarli. Perchè non spiegare passo per passo come fare? Ho girato internet e tutti usano sti paroloni grossi, ma nessuno spiega passo passo come fare.

Riccardo | #

io abito in una casa di tre piani la linea telefonica si trova a pian terreno e vorrei fare una linea wi-fi , la mia domanda è cosa devo comperare ? riesco a comunicate anche con l’ultimo piano dove ho un computer con ci riesco ,quanti metri di raggio fa ? e in altezza ? ti ringrazio per una tua risposta
ciao da Riccardo faedesfa@yahoo.it

Calidreaming | #

ieri ho installato il mio bel modem-router wifi netgear con pwd WEP e oggi guarda un pò navigavo lentissimo.
stacco tutto e lascio acceso solo il router e noto che la spia del WiFi lampeggia, chiaramente qualche simpaticone aveva inziato a scroccare la connessione a piene mani.
Ho rifatto tutto da capo con la WPA-Psk e sembra reggere, ma domani ricontrollo seguendo le istruzioni trovate qui sperando di blindare ancora meglio la mia rete.
grazie