Negli ultimi tempi il wireless si definitivamente affermato, e da chicca tecnologica per pochi, è diventato un prodotto consumer di alta diffusione.
E’ un sistema che presenta molti vantaggi: non dover cablare tutto, e navigare dalla poltrona preferita (o seduti altrove :D) sono sicuramente belle comodità.
Purtroppo utilizzare onde radio invece di cavi introduce diversi problemi di sicurezza. Ad aggravare la situazione contribuisce il fatto che le configurazioni di default di questi dispositivi sono completamente “aperte”, in modo da favorire gli utenti meno esperti.
E qui le filosofie di pensiero sono due: c’è chi cerca di blindare il più possibile la propria rete, perché non desidera “ospiti”, e chi invece è contento di regalare un poco della propria banda ai navigatori di passaggio. Regolatevi secondo la vostra coscienza, ma non tralasciate comunque di proteggere i PC della vostra rete tramite firewall personali e password “forti” sulle risorse condivise, specialmente se optate per il secondo scenario.
Considerate anche il fatto che, a fronte di attività illegali commesse tramite il vostro abbonamento, potrebbe essere difficile dimostrare la vostra estraneità.
Vediamo una serie di precauzioni da adottare per tentare di rendere la connessione la più sicura possibile.
La guida è orientata agli utenti “casalinghi”, perché non prende in considerazione la sicurezza dell’accesso alla rete locale. (VPN, RADIUS, DMZ ecc ecc).
L’intento è di spiegare quali fattori influenzano l’accesso alla rete wireless, evidenziando la “quantità di sicurezza” che ciascuna azione aggiunge. Nulla è più pericoloso di un senso di falsa protezione che in realtà non esiste.
Ci sono alcune cose che i puristi ritengono opinabili, tipo il filtro del MAC address, ma secondo la mia personale convinzione è meglio una serratura debole che nessuna serratura; l’importante è avere coscienza dei limiti di questi sistemi di protezione.
Tanto per iniziare parafrasiamo un noto motto, e teniamolo sempre ben presente: “L’unico access point sicuro è l’access point spento.”
Ci sono diversi accorgimenti che si possono prendere; malgrado alcuni siano deboli, la combinazione di diversi sistemi rende più noioso e lungo il tentativo di intromettersi nel vostro traffico, e di conseguenza scoraggia l’aggressore; quindi il suggerimento è di usarne il più possibile.
- Spegnere l’AP se non viene utilizzato – Può sembrare banale, ma è inutile introdurre una possibile falla nella rete quando non ve ne è bisogno, quindi staccate la spina quando non utilizzate il wireless. Alcuni apparati permettono di stabilire le fasce orarie durante le quali l’accesso è disabilitato per chiunque; nel caso di apparecchi utilizzati in ufficio, può essere utile restringere l’accesso alle sole ore lavorative.
- Filtrare il MAC address – Tutti gli apparati consentono di “whitelistare” l’elenco degli indirizzi MAC ai quali concedere accesso. Benché questo sia un parametro facilmente falsificabile (“spoofabile”, in gergo), vale la regola elencata prima: più fastidi ci sono per l’aggressore, meglio è.
- SSID – Service Set IDentifier, in parole povere il “nome” della vostra rete wireless. Potete cambiare il nome di default (noto), ma serve solo se disattivate il broadcast del SSID. In pratica è inutile cambiarlo se il vostro access point continua a urlarlo ai quattro venti. Non condivido questo particolare passo, poichè non è conforme alle specifiche 802.11. In ogni caso è un parametro trasmesso in chiaro, quindi facilmente sniffabile
- Password – Cambiate la password di default dell’access point, ripeto CAMBIATE LA PASSWORD DI DEFAULT. Le password di fabbrica sono note a tutti, se non le cambiate il vostro apparecchio puù essere preda di chiunque riesca a collegarsi al suo indirizzo IP.
- Indirizzi IP – Cambiate l’indirizzo IP di default del dispositivo, in quanto facilmente reperibile dai malintenzionati.
E cambiate numerazione a tutta la rete locale, se potete. La numerazione di classe C privata degli indirizzi IP consente 65.536 client contro i possibili 16.777.216 della classe A, quindi usate per la vostra rete locale indirizzi del tipo 10.0.0.0 netmask 255.0.0.0, in modo da aumentare il numero di tentativi per trovare gli indirizzi giusti. - Disattivare DHCP – E’ inutile offrire agli intrusi un indirizzo IP pronto per essere utilizzato, disattivate il servizio e utilizzate IP statici per i vostri client.
- Crittografia – Ci sono diverse modalità per crittografare i pacchetti che viaggiano via etere:
WEP (Wired Equivalent Protocol), è il sistema più datato e soffre di una vulnerabilità che lo rende facilmente craccabile tramite strumenti a disposizione di qualunque ragazzino un po’ sveglio. Da usare solo come ultima risorsa.
WPA – In ambito casalingo si usa la versione WPA – PSK. Un protocollo più sicuro che si basa su un algoritmo più robusto di WEP, utilizzatelo e scegliete la passfrase più lunga e complicata possibile. Sufficientemente sicuro (per ora).
WPA2 – E’ nuovo, supportato solo dagli apparecchi più recenti. Credo sia quello adottato dal Pentagono. Naturalmente è il migliore. - Molti apparati consentono il controllo della potenza di uscita dell’access point. Non ha senso raggiungere il palazzo di fronte, se dovete coprire una sola stanza. Riducete la potenza al minimo possibile, senza penalizzare le prestazioni.
Una volta presi questi accorgimenti avete fatto il massimo possibile. Se siete sfortunati e qualcuno si accanisce contro di voi, una volta collegato alla vostra rete wireless ha lo stesso accesso alle risorse di un host collegato via cavo, quindi non dimenticate di proteggere le cartelle condivise tramite password efficaci.
Commenti
99 risposte a “Rendere sicura (?) una rete wireless casalinga”
ottimo tutorial!
F.
Tra un mese il wireless sar� realt� anche a casa mia; grazie per queste indicazioni che torneranno sicuramente utili. Un vero blog di pubblica utilit�! Grazie.
Ho salvato le tue preziose indicazioni per quando (tra qualche mese) metter� il wireless a casa.
Grazie!!
Oooohhh! (meraviglia e stupore): le risposte che cercavo in tempo reale (sar� un’estensione occulta?!?)
Grazie davvero.
brubis
Spezzo una lancia a favore del WiFi aperto, come lo tengo io. Non mi costa niente dato che pago un fisso mensile, e i PC della rete casalinga sono protetti QB.
Casi di attivit� illegali commesse tramite il WiFi di un utente ignaro non mi risultano. Esiste la possibilit� remota, certo, ma sono disposto a correre il rischio.
😉
Gaspar, � una scelta accettabilissima.
L’importante � essere come te: consapevoli. La rete aperta deve essere una scelta, bisogna aver valutato ed accettato i rischi.
La maggior parte delle reti sprotette sono da imputare all’ignoranza (nel senso etimologico del termine) dei suoi proprietari.
Detto questo, fino a novembre anche la mia rete � stata aperta. 🙂
Dopo circa due anni di WiFi io ho optato per la soluzione scelta a suo tempo da Zuck: http://www.devolo.com.
Provateli e non vi dovrete piu’ preoccupare di nulla!
Caro Andrea,
permettimi di aggiungere anche i miei due cent al tuo elaborato:
1)- Per chi usa WPA, si consiglia di settare la key renegeration ad un valore di 60 secondi o di 30 secondi addirittura (se siete paranoici sulla sicurezza della vostra rete). Questo parametro, come dice il nome permette di cambiare le chiavi in automatico sulla connessione alla scadenza del tempo prestabilito. Considerate 30 come un valore limite, sotto la connassione diventa insffidabile e prona alle disconnessioni. Devo dire che bisogna essere molto bravi e dotati degli strumenti adatti per scoprire le chiavi in un tempo inferiore ai due minuti….
2)- Se possibile restringete la compatibilit� di connessione alla sola piattaforma che volete connettere. Voglio dire, se avete un router a 54Mb/s, e un pc con la scheda di rete a 54Mb/s, settate il router in modo da non consentire l’accesso a sistemi a 11Mb/s. Il parametro da settare si chiama generalmente 54g protection e deve essere impostato ad OFF (no AUTO), � generalmente associato ad un altro parametro chiamato 54G mode, che deve essere settato a OFF o High Performance (nomi e sintassi dipendono dal tipo di router.
3)- usate se possibile un fixed rate a 54Mb/s, non usate impostazioni automatiche che permettano al router di scendere in velocit� per consentire connessioni a client pi� deboli o lontani.
4)- Io preferisco usare sempre lo stesso canale, e tenerlo sempre occupato. una volta che lo occupo io, nessun altro pu� sovrapporsi, almeno nel range vicino al router, questo evita che i soliti noti si piazzino con un router settato simile al tuo con il tuo stesso ssid al limite del tuo settore, ma con antenne ad alto guadagno. I tuoi client cercano di collegarsi al segnale pi� forte (questo secondo router), il quale, non solo accetta tutte le connessioni in ingresso, ma fa anche finta di autenticarle secondo il metodo precelto (WEP, WPA, o persino radius). Naturalmente gli utenti pensano di essere connessi ad internet e non si accorgono di nulla, ma vi hanno appena clonato tutte la chiavi di accesso, e costruire un nuovo “virtual adapter” con le caratteristiche di una delle macchine appena clonate, � un lavoro di mezz’ora. Questo � uno dei metodi preferiti (� quasi l’ultimo in ordine di tempo….) per entrare nelle aziende e copiare dati aziendali sensibili.
5)- Gi� detto dal nostro Andrea in un precedente post… Utilizzate una subnet diversa per consentire l’accesso ad internet di client wireless (ospiti) rispetto a quella che utilizzate per i sistemi della vostra rete locale. Chi accede al wireless per Internet non vede la rete locale….
Gi�, ma voi forse a casa usate il vostro sistema informatico senza crearvi tanti problemi, perch� tanto il pc � uno strumento quasi ludico, pertanto, non ci tenete:
I dati dell’internet banking
I vostri resoconti bancari
I numeri dei bancomat e delle carte di credito
Le password dei vs. sistemi di posta aziendali
Non ci leggete posta aziendale sensibile
Non scrivete lettere alle/ai Vs. Amanti… (non le mogli o i mariti ufficiali…)
Il punteggio massimo mai fatto giocando ad asteroids e space invaders
ma soprattutto…
vivete in italia, un paese nel quale dovete aver paura di una sola cosa: che qualcuno usi la vostra connessione ad internet, per scaricare da internet innumerevoli quantit� di dati, non proprio moralmente etici, e che una bella mattina alle 6, vi sveglino i carabinieri, con l’immorale accusa di aver trafficato materiale xxx xxx xxx-rated.
State tranquilli, riuscirete ad uscirne in qualche mese… giornali e pubblicit� a parte…
Credetemi… � gi� successo… qu� in italia… (Andrea forse tu lo conosci pure….)
Vi prego di vedere questo post come costruttivo, e non come una “sparata”… Tra Piazza De Ferrari a Genova, a Piazza della Vittoria, sempre a Genova, diciamo un kilometro a piedi, forse meno, ci sono (a seconda del percorso) 8 ottime reti wireless, completamente aperte, appartenenti ad Studi professionali, Geometri, Avvocati, Notai, persino Negozi. Questi signori non sanno purtroppo i rischi che corrono. Se volete veramente ridere: la cosa � talmente nota che ci sono un sacco di persone che vanno a lavorare nei bar all’ora di pranzo con il portatile (addirittura con SKYPE aperto)… Peccato che siano tutti abusivi……
Se volete un parere “ufficiale”
http://www.nsa.gov/snac/wireless/I332-008R-2005.pdf
Complimenti per l’articolo, veramente utile !!! 🙂
Vorrei sapere come si fa a cambiare l’indirizzo IP di default del dispositivo e l’indirizzi della rete… con che criterio si procede ?
Ringrazio anticipatamente quanti mi risponderanno.
Andrea dice: “La maggior parte delle reti sprotette sono da imputare all�ignoranza (nel senso etimologico del termine) dei suoi proprietari.”
Ed anche al menefreghismo di chi vende l’hardware. Alla fine dei conti informare il cliente dei rischi della wireless dovrebbe portare vantaggi ad entrambi (soprattutto se il cliente non sa dove mettere mani). Dove vivo io parecchia gente compra gioiellini all’ultimo grido solo per fare moda: e la comodit� di non avere cavi per internet deve fare parecchia tendenza visto che nel mio “quartiere” (in tutto il paese ci sono diecimila anime scarse) ho beccato una decina di wireless liberissime.
Luigi: non � che si possa spiegare cos�, in due parole….
Per fortuna a ste cose ci pensa MisterN ( � il suo
lavoro spero bene … 😉 ) …troppo comodo il wireless!
Qui tecnologici quali siamo non poteva mancare !
Beggi, c’� qualcuno di altrettanto disponibile come te che abbia scritto un tutorial passo per passo per chi usa il mac? Perch� su questa cosa sono un po’ ‘tardo’, io…
Macubu, se ti riferisci a questo post, le raccomandazioni sono indipendenti dal sistema operativo e dalla marca degli apparecchi. Le procedure da mettere in atto sono diverse per ciascun modello di access point.
Se usi un Airpor Extreme o Express dovrebbe essere abbastanza semplice, come da tradizione “melosa”. A giorni ti sapr� dire, comunque. 😀
anch’io spezzo una lancia a favore del wifi aperto; sono stato in vacanza in giappone (dopo il numero degli internet point e’ ridicolo e i prezzi altissimi) e sono andato avanti a forza di “wardriving”. 😀
ovviamente non facevo niente di illecito: inet, blog, flickr e skype sostanzialmente.
qui a casa non uso nessuna cifratura, ma faccio ricorso ad uno shaping della banda per evitare che chi mi “scrocca” l’adsl non si metta a scaricare 24h su 24.
4mb per navigare sono piu’ che sufficienti per N postazioni…
Gaspar ha detto: “Casi di attivit� illegali commesse tramite il WiFi di un utente ignaro non mi risultano. Esiste la possibilit� remota, certo, ma sono disposto a correre il rischio.”
Non sono concorde con quanto da te spresso, ci sar� un motico se nel 2005 sono cresciute esponenzialmente le attivit� di wardriving,o no?
Come giustamente dice Andrea Beggi, l’importante � essere consapevoli di quello che si sta facendo, io aggiungerei che se si � pienamente consapevoli si capisce immediatamente il motivo per cui lasciare un open-key � delittuoso.
Giusto per fare un esempio, in Italia vige il decreto Urbani (spero che tutti noi conosciamo il testo di quel maledetto decreto), beh se per te il l rischio di una salatissima multa o, addirittura, della gabbia � accettabile…
aggiungerei anche queste che avevo trovato tempo fa:
http://blog.html.it/archivi/2005/10/06/10-suggerimenti-per-la-sicurezza-del-wifi.php
personalmente ho adottato tutte queste contromisure.
per gaspar: occhio che qualsiasi cosa passa su rete wireless aperta � sniffabile con un programmino. in pratica un utente pu� ricostruire tutto il tuo percorso di navigazione, password, ecc ecc. ovvio che � un reato, ma siamo in italia… poi ognuno � libero di rischiare come vuole. 😉
WPA � l’unica “sicurezza” oggi, con opportuni accorgimenti (lunghezza pwd, tempo di rigenerazione).
WEP � un termine che non dovrebbe nemmeno essere pronunciato per la pesante insicurezza ormai nota anche ai bambini.
ps: grazie macbirra per le importanti annotazioni! 😉
il problema dello sniffing c’e’ ed e’ per questo che normalmente uso ethernet per compiere operazioni “rischiose” dal punto di vista della sicurezza, tipo ebanking, ebay, paypal e via dicendo.
io sono al V piano, non ho ancora controllato se il segnale si riesce a prendere anche dalla strada (in giappone fortunatamente gli edifici sono bassi in molti quartieri… :D) ma penso di no. il rischio di sniffing per opera dei miei vicini (che conosco) e’ tendente a zero, quindi non me ne preoccupo troppo.
per “rispondere” a stefano e alberto, a mio avviso, si arriva ad un punto oltre il quale si dovrebbe dire “basta!”; non posso vivere in maniera tale da dovermi sempre chiedere se c’e’ qualche legge malata che impone (o che punisce o che rende estremamente pericoloso) compiere una certa azione.
se ritengo accettabile che il mio vicino mi scrocchi adsl, faro’ in modo (se possibile) di impedire il download frenetico (e quindi possibili violazioni di legge) per tutelare la mia fedina pensale e la mia velocita’ di connessione.
e se mai verro’ arrestato perche’ il mio vicino scaricava piccoli jpg con immagini pedofili, un buon avvocato mi salvera’ dall’accusa di diffusione di materiale pedopornografico.
se ho una falce in giardino e sono daccordo che quelli del mio condominio ne facciano uso, non posso preoccuparmi che uno di loro ne faccia uso per uccidere qualcuno, solo perche’ qualche imbecille di deputato ha fatto una legge sulla tutela dei costruttori di falci; qualsiasi avvocato comunque mi salverebbe dall’accusa di responsabilita’ oggettiva per omicidio, solo per aver lasciato incustodita una falce.
cavolo, non stiamo parlando di armi da fuoco.
e’ il motivo per cui, Urbani o meno, continuo ad usare il p2p e a non comprare cd originali (sony, coldplay e quantaltro) che abusano della bonta’ (e ignoranza/ingenuita’) dell’utente e dell’utente stesso; e questo succede perche’ non c’e’ nessuna legge $NomeDeputatoIlluminato che protegge i poveri cristi di utenti normali dagli abusi commessi da (alcune) aziende.
e’ il motivo per cui uso la libreria libdecss per vedere i DVD regolarmente acquistati con il mio sistema operativo preferito.
e sara’ il motivo per cui (se mai mi riuscira’) faro’ hacking se una qualche TLC impedira’ il traffico VoIP sulla rete, solo perche’ lede i suoi interessi,come fatto in non so quale paese.
scusate il post lungo, ma, come altre volte ho espresso su questo blog, dobbiamo arrivare ad un punto di coscienza tale da ribellarci a queste cose. e’ una fortuna confrontarsi con “geek” in zona ed e’ una delusione constatare che siamo ancora troppo pochi; ogni volta che si parla di qualche abuso (come i cd sony) purtroppo rimangono esclusivo appannaggio di noi nerd e le persone “comuni” non se ne preoccupano mai perche’ “e’ roba da nerd… ma chi se ne frega dei rutchit sul mio windowsME!” e a fare da spalla a Cortiana per i brevetti sul software siamo in 10.
saluti
Caro orangeek,
sono totalmente concorde con quanto hai detto, diciamo che la logica del tuo discorso non fa una piega.
Tralasciando il complicato discorso della legislazione e del rispetto che i cittadini (in uno stato di diritto) dovrebbero avere per essa, io sono fortemente convinto che sarebbe stupido non sfruttare le mie conoscenze individuali per levarmi dei potenziali gravi problemi venturi (vedi il tuo esempio delle immagini).
Purtroppo spesso si lasciano passare tante cosa per una giustificatissima svogliatezza di dover badare/pensare a tutte le variabili che potenzialmente possono intervenire in una situazione. Personalmente in questo sono molto paranoico e preferisco farmi il mazzo (magari imparando qualcosa di nuovo) e tentare di annullare tutti i rischi, piuttosto che dire in futuro qualcosa del tipo: “ah cazzo, se avessi…”
Ovviamente � un parere personale 😉
Dibattito, dibattito! 😉
L’uso temporaneo di una WiFi aperta io lo assimilerei all’uso temporaneo di una presa elettrica in luogo pubblico: perfettamente legittimo e tollerabile, fintanto che non lo usi per farti il bucato tutti i giorni… Per il resto ha gi� argomentato mirabilmente Orangeek, e sottoscrivo in pieno.
Quello che non mi piace � spaventare (o spaventarsi) con battute tipo “carabinieri in casa” quando una cosa del genere in Italia (ma sospetto nel mondo) non � mai successa. Ripeto: mai.
Ma naturalmente ognuno � libero di avere le paranoie che vuole. Le cose per� vanno dette come sono: lasciare il proprio WiFi aperto non � delittuoso. Non ancora.
Bah se non ricordo male ho letto di gente a cui la polizia postale si � presentata in casa, non ho ancora letto dell’applicazione specifica di tutte le pene del decreto Urbani, ma delle visite postpol si…
Ora non ho sottomano i link in quanto sto usando il notebook, dopo da casa li posto 🙂
Per quanto riguarda la WiFi, beh che dire…se ne fai, come hai detto nel tuo ultimo post, un “uso temporaneo” cambia totalmente il mio ragionamento. Forse non era cos� scontato che intendessi tutte quelle migliaia di persone che nella sola Milano lasciano 24h su 24h acceso un hot spot open-key. Questo per me � davvero delittuoso 🙂
Io non sono contrario a concedere parte della mia banda per un uso temporaneo, ormai la connessione ad internet dovrebbe essere considerata una commodity come l’elettricit� o l’aria condizionata.
Per riprendere il paragone di Gaspar, come non avrei problemi a “imprestare” una presa elettrica al mio vicino di tanto in tanto, allo stesso modo potrei concedere la connessione, ma vorrei solo saperlo.
Si dovrebbe poter mettere un messaggio nel SSID che dica: “Vuoi usare questa rete? Chiedimelo?”.
Sto vaneggiando?
io sono uno di quelli che lascia openwifi 24h/24… 😉
e voglio lasciarlo cosi’: vi assicuro che l’esperienza in giappone (con la carenza di inet point di cui parlavo) e’ stata traumatica da un lato e incredibile dall’altro. andavamo in giro col laptop in braccio(chiuso ma acceso) e kismet lanciato, con la sintesi vocale che ci avvisava delle reti trovate e la gente si girava quando sentiva “le vocine”! se ci ripenso mi piego in due dalle risate. una volta a kyoto siamo andati in giro per un’ora e mezzo per scoprire (vedi foto su flickr! :D)
1. la stazione dei pompieri a pochi passi dalla stazione ha wifi aperto
2. c’e’ un seattle best coffee ancora piu’ vicino
tornando in topic, per quanto mi riguarda, di solito ho pieno rispetto delle leggi (in linea teorica, non parlo di limiti di velocita’ in moto o quant’altro) e per me la legalita’ e’ un valore, ma a volte c’e’ bisogno di muovere qualcosa dal basso.
Io al vicino gli ho fatto arrivare un cavo, dalla mia cucina al suo salotto. E’ pi� pratico!
😉
In risposta ad Andrea: beh sinceramente l’idea di quell’SSID mi pare un po’ bizzarra qui in Italia, magari in qualche altro paese si potrebbe anche attuare 😀
In risposta ad orangeek: scusami, ma in un’ottica di citt� completamente coperte da WiFi il discorso cambia radicalmente. Sarebbe bello arrivare un giorno con WiMax per tutti e rotture di balle per nessuno…ma finch� non ci si arriva, non sar� di certo io a regalare la mia banda e, potenzialmente, le mie chiappe 🙂
In risposta ad Gaspar: eheh molto meglio cos�, hai risparmiato al vicino una trentina di euri per la scheda pci 🙂
In risposta ad Gaspar: eheh molto meglio cos�, hai risparmiato al vicino una trentina di euri per la scheda pci :)…
ma quanto hai speso per il cavo??
io durante l’erasmus dovetti tirare circa 25m di ethernet tra due balconi dello studentato… e spesi circa 30 euro! 😀
Eeheh beh dipende da dove lo prendi, ci sono anche qui pusher grossisti che fanno grandi prezzi 😀
Orangeek: ho investito a suo tempo in una crimpatrice 😉
ragazzi, io ho solo detto che non mi va di avere la rete aperta e di farci passare i miei dati personali. detto questo, quando devo usare applicazioni critiche, mi metto al desktop e uso la lan via cavo, che � “firewallata” dalla rete wireless.
sono sicuro che sotto di me c’� solo brava gente. e il mio segnale non credo arrivi alla strada, visto che abito all’8 piano, ma sicuramente al 5 piano arriva, perch� il mio vicino per qualche tempo ha navigato aggratis.
per quanto riguarda “l’apertura”, sono con voi nell’animo, ma vorrei veramente poter avere un sistema come quello che propone andrea. chiedi e puoi navigare. come negli hotel, per dire.
in attesa che la wireless o la connettivit� sia una comodity. come lo � in germania, per dire, perfino nei piccoli centri.
[…] Andrea Beggi ha scritto un utilissimo post sul WiFi, in particolare su alcuni accorgimenti per renderlo sicuro. Tra le righe dell’articolo e, in modo più evidente, tra i commenti si è sviluppata una bellissima discussione sull’opportunità di tenere aperto a tutti il proprio Access Point offrendo una parte della propria banda, magari limitata, a chi passa in zona. […]
Cancella il WEP tra le possibilit�: praticamente proteggere una rete col WEP � come lasciarla aperta, ma con in pi� il fastidio di doversi scrivere la chiave.
domanda per macbirra:
nel mio AccessPoint ci sono 3 timer:
ReAuthentication Timer (default 1800 sec)
Idle Timeout (default 3600 sec)
WPA Group Key Update Timer (default 1800 sec)
Immagino che l’ultimo sia quello da portare a 60 sec; ma gli altri a cosa servono? Come li devo settare?
Per nOvellO:
ReAuthentication timer (default 1800 sec): In una rete 802.1x l’amministratore pu� abilitare la ri-autenticazione periodica dei client, e specificare l’intervallo quando questa debba avvenire. Quanto la il processo di Re-Authentication v� in timeout, l’Authenticator manderr� una EAP-Request/Identity per re-iniziare il processo di authenticazione del client in oggetto. Per esempio, supponendo che tu abbia uno Zyxel, che usa la loro implementazione AP 802.1x, se non specifichi un tuo periodo predeterminato per re-authenticare il client, il numero di secondi tra ogni tentativo di authenticazione sar� di 1800 secondi, ci�� di 30 minuti. In pratica: se non hai un server RADIUS in casa, non ti importa nulla di questo parametro, semplicemente ignoralo.
Idle Timeout (default 3600 sec): questo � pi� semplice, ecco infatti cosa dice la RFC 3580, sezione 3.12: in qualunque media IEEE 802, diverso da 802.11, il media � sempre settato a “on” (acceso). Come risultato, l’Idle Timeout � tipicamente usato solo con media wireless, come l’ 802.11…. Spiegazione dell’arcano… � possibile per una device wireless, finire fuori dal range (portata) del proprio access point. In questo caso Idle Timeout rappresenta il tempo massimo che questa device pu� rimanere idle (senza connessione, chiaramente vista dal punto di vista dell’acccess point…)
la spiegazione di ci� � descritta nella RFC 2865, sezione 5.2.8: tradotta letteralmente… “Questo attributo setta il numero massimo di secondi consecutivi di connessione latente permessi al device utente, prima della terminazione della sessione. L’attributo � mandato dal server al client in modalit� Access-Accept oppure Access-Challenge
in ambienti RADIUS questo parametro � tipicamente settato a cinque minuti (quasi uno standard industriale), non utilizzando RADIUS, semplicemente ignora questo parametro.
In ultima cosa (sigh!) non sempre il parametro WPA Group Key Update Timer portato ad un valore basso (60 secondi) funziona perfettamente… ci possono essere alcune combinazioni AP -> wireless device che possono essere critiche per alcune applicazioni (io ho avuto problemi inizialmente con un flusso dati musicali “incostante” in streaming, usando la rete wireless per sonorizzare parti diverse del mio appartamento. Ho risolto il problema passando da wpa a wpa2, ma ricordo a tutti che il passaggio da wpa a wpa2, NON � un semplice upgrade di firmware del router, ma � necessario un hardware diverso, per cui, se il vs. router non supporta WPA2 nativo, � praticamente impossibile fare un upgrade…
spero di essere stato utile.
per Gaspar:
you wrote>>> Quello che non mi piace � spaventare (o spaventarsi) con battute tipo �carabinieri in casa� quando una cosa del genere in Italia (ma sospetto nel mondo) non � mai successa. Ripeto: mai.
Non penso, non ho, n� avevo l’intenzione di spaventare nessuno. Ripeto, non � questo il luogo dove si possono fare nomi e luoghi di persone ed eventi che sono ancora sotto inchiesta, ma ti posso assicurare che avendo conosciuto queste persone personalmente, persone che ritengo degnissime ed assolutamente estranee ai fatti imputati, ho potuto conoscere l’estremo disagio personale a cui sono state sottoposte, disagio che hanno dovuto sopportare, non solo presso il luogo di lavoro, ma soprattutto nel rapporto con i familiari, gli amici (li chiamano amici…), i vicini, e i commenti della gente “ignorante” che addittava tali come i peggiori criminali mai esistiti sulla faccia della terra.
Mi dispiace che tu od alti abbiate pensato che io abbia voluto “sparare sulla folla”. Non ne era mia intenzione. Spero di avere spiegato meglio il mio commento nel post, sul quale “specifico commento” vorrei aver esaurito le parole.
Grazie a tutti per la pazienza
per Orangegeek:
Purtroppo non posso condividere il tuo “amore” per il wardriving, purtroppo sono uno di quelli che lo deve combattere, per mestiere e per altri motivi.
Internet purtroppo non � ancora una commodity, ci sono aziende che pagano banda passante per svolgere attivit� complesse o sensibili, che potrebbero essere danneggiate da elementi esterni. Non � come sedersi per terra all’areoporto, vicino ad una presa di corrente per poter ricaricare il portatile tra un volo long haul ed un’altro, difficile fare dei danni alla rete elettrica dell’aeroporto.
Qu� si tratta di collegarsi volontariamente a dei sistemi dei quali non si � legittimi utenti, e sfruttarne le risorse. Forse il paragone non � adatto, ma � come se nel vostro garage condominiale andasta a succhiare mezzo litro di benzina da ogni macchina solo perch� tutte hanno le chiavi nel cruscotto, e il tappo di pu� aprire. Forse questo paragone � troppo crudo, ma esprime il mio disappunto, che ripeto � solo personale, e motivato dal fatto che sono lavorativamente coinvolto nell’evitare che questo accada.
Detto fatto ognuno pu� e deve fare quello che vuole, ho voluto solo chiarire come la penso.
Se sono all’estero e mi devo connettere mi appoggio alle aziende per le quali lavoro, oppure compro minuti di connessione. Se le comunicazioni sono personali e non aziendali le pago di tasca mia. Io credo a questi principi, sar� una razza in estinzione, forse… ma sono contento cos�, non mi lamento. Non si entra in casa d’altri solo perch� la porta � aperta.
Ciao!
@macbirra:
il mio nick e’ orangeek e non orangegeek…! 😀
scherzi a parte, due cose.
1. esattamente di cosa stiamo parlando per cio’ cui ti riferisci riguardo arresti ed indagini? i reati, intendo…
2. capisco il punto di vista tuo sulla “legalita’ ” del wardriving e in linea generale sono daccordo. in giappone (dove ovviamente ne ho fatto uso, anche se ora spieghero’ in che modo) se avevamo a portata un inet caffe’ (o un seattle best coffee o un maledetto starbucks con collegamento wifi) usavamo quello, ma purtroppo non sono cosi’ frequenti (non parliamone poi in italia).
il mio wardriving constava principalmente in vedere con kismet quali fossero le reti non criptate (niente sniffing), provare a collegarmi (niente clonazione dei mac address, niene filtraggio dei pacchetti) e verificare che potessi uscire su inet, lanciare firefox, skype e Uploadr. Se gli ip erano nascosti e non c’era dhcp, provavo con classi a caso e rizzati.
spesso dovevamo rinunciare perche’ i test sopracitati non portavano a soluzione.
gli esempi che fai da paragonare al wardriving non sono cosi’ calzanti, perche’ non privo di niente nessuno (la benzina ad esempio, anche se poca) e soprattutto non violo la liberta’ di nessuno.
Io personalmente la vedo come usare un viottolo privato (che nessuno dei proprietari ha chiuso) per prendere una scorciatoia, avendo cura che nessuno mi veda.
l’asfalto lo consumo anch’io un po’ e non pago i costi di manutenzione (scroccare banda e collegamento inet), non mi faccio vedere da nessuno perche’ de facto non e’ legale (in realta’ per il giappone, non e’ proprio cosi’… ci vedevano in mezzo alla strada con un portatile in mano! 😀 ), me ne approfitto perche’ nessuno ha messo la catena (criteri di protezione delle reti wifi), ne traggo un vantaggio accorciando la strada (risparmiando i soldi dell’internet point).
i tuoi esempi mi sembrerebbero piu’ calzanti se si parlasse di utilizzo losco del wardriving (decriptare wep, sniffing dei pacchetti, clonazione dei mac), cosi’ come mi incazzerei se qualcuno rompesse la catena del mio viottolo condominiale!
ciao a tutti. ieri mi sono imbattutto col mio pc in una rete senza fili NON PROTETTA, presente evidentemente nella zona in cui vivo. domanda: � illegale sfruttare la rete per navigare? ripeto: la rete non richiedeva password, er� magari non si pu� lo stesso utilizzarla.
grazie tutti.
diego
Macbirra: non ti credo.
Tu hai conosciuto personalmente degli eventi, con inchieste, imputazioni, disagi sul posto di lavoro, addirittura “i commenti della gente ignorante”: ovvero praticamente di dominio pubblico, e nessun giornale ne ha parlato? Nessun sito web?
Per favore, non prendermi in giro. Grazie per la comprensione.
[…] Il sistema e’ senza dubbio molto comodo, liberandoci dai fili, ma porta anche notevoli problemi di sicurezza. Sicuramente una rete casalinga normale, rispetto ad un’azienda, non ha particolari necessita’ in ambito di sicurezza e privacy, ma ci tengo comunque a segnalarvi l’interessantissima guida scritta da Andrea Beggi proprio a questo proposito. […]
Per Orangeeek:
Scusa il mispell del nome…
Per Gaspar:
Ho riflettuto un paio di giorni se risponderti o no, ma un commento lo faccio ancora.
Questi eventi non sono recenti, per� la giustizia, talvolta, impiega molto tempo per chiudere un caso. Chi, come e quando, non sono related all’argomento di questo blog.
Chi mi conosce sa che io non scherzo mai su questi argomenti, ma su tutto il resto praticamente s�…
Se ti senti preso in giro dalla mia espressione “narrativa” dei fatti, non posso fare altro che ringraziarti: la prossima volta ci penser� bene prima di esprimermi cos� liberamente, bisogna pensare talvolta anche ai propri interlocutori. Indi per cui… mi “moderer� da solo”….
Per Orangeek….
Non l’ho fatto apposta lo giuro… � uscita una “e” di troppo.
…..
@macbirra:
no problem,Sir! 😀
macbirra, continuo a non crederti; specie adesso che scopro si tratterebbe di eventi “non recenti”…
Ma mettaimo che ti credo: mettiamo che una volta, tanto tempo fa, una singola persona si � trovata i carabinieri in casa.
E allora? Quel singolo episodio � motivo sufficiente per blindare la tua connessione e negarti il piacere di offrirla gratis al passante bisognoso? Per la remotissima improbabile possibilit� che capiti anche a te?
A me sembra paranoia. A me sembra che ci siano molte pi� probabilit� che tu, domattina alle 09:41, venga colpito dal fulmine. E io non vado in giro consigliando a tutti di vivere in una gabbia di Faraday.
io sono dell’opinione che, indipendentemente da quanto sia recente l’episodio indicato da macbirra, l’importante sia che le persone siano coscienti.
anche se l’episodio in questione e’ vecchio, ne faccio tesoro; avendo un po’ piu’ di dettagli (non e’ una richiesta a macbirra, ma una constatazione), sarebbe meglio per valutare se quanto successo a questi sfortunati possa essere applicato anche al mio caso o ad altri analoghi.
Sicuramente la presenza di un precedente giudiziario (anche nel nostro paese, dove non fa diritto), dovrebbe quantomeno spingere le persone interessate ad approfondire la questione e a valutare possibili conseguenze.
personalmente ho chiesto parere ad un parente avvocato! 😀
con questo pero’ non smentisco quando detto prima (sul totale soggiogarsi a leggi inique), ma ripeto che a mio avviso la cosa fondamentale sia essere coscienti delle potenziali implicazioni.
come detto nel commento sopra, mi sono informato con un parente avvocato (grazie emasp!). purtroppo so’ caz*i, come direbbe Girardi.
le fattispecie per le quali mi sono informato sono relative al:
– lasciare libera la propria rete wifi e permettere ad altri di collegarsi per utilizzi leciti (navigazione) o illeciti (pedopornografia)
– collegarsi deliberatamente a reti wireless aperte, con o senza coscienza del problema, in assenza di qualsiasi tipo di segnalazione di copertura wifi (non vale quindi a Fiumicino, ad esempio, ma vale al bar sotto casa se ci colleghiamo all’adsl di quello del piano di sopra)
le conseguenze possono essere distinte in quelle relative al diritto civile [1] e al diritto penale [2].
[1]
queste sono le piu’ semplici: sostanzialmente si tratta di violazione del contratto che si ha con il proprio provider di connettivita’ che, nel 99,99% dei casi, impedisce di condividere la connessione tra piu’ computer (salvo i contratti ad hoc per, ad esempio, 5 computer; in assenza di questo, comunque, la maggior parte delle persone che possiedono router, desktop e portatile, sono in violazione) o, peggio, tra piu’ unita’ abitative o nuclei familiari. Mentre puo’ esserci, e c’e’, un occhio di riguardo verso chi collega tre pc in casa con l’adsl standard che in teoria lo impedisce, c’e’ il pugno di ferro per chi fa un contratto di adsl e fa collegare tutto il pianerottolo del palazzo. in questo caso, infatti, gli interessi della tlc sono “molto a rischio” e quindi si arrabbiano.
ergo: far collegare qualcunaltro che non sia fratello o babbo, tramite wireless, wepped o meno, o tramite 30m di ethernet, e’ in violazione del contratto di adsl e possiamo essere portati in tribunale da telecom o altro provider. non si va in carcere, comunque!
dal punto di vista di chi scrocca adsl la questione e’ la medesima, ovviamente.
[2]
qui purtroppo va ancora peggio.
fermo restando quanto gia’ detto da macbirra, i rischi sono varii.
A. chi si collega alla nostra rete wireless non protetta, scarica materiale pedopornografico. un episodio simile (anche se non legato a wireless) e’ successo proprio ad un cliente del mio parente. ti arriva la polizia postale alle zero quattro zero zero di mattina, ti sequestra tutto e apre un fascicolo di indagine. non c’e’ dubbio che l’innocente avra’ vita facile nel dimostrare di non essere un pedofilo, ma rimane il problema del procedimento penale a carico che dura, nella migliore delle ipotesi, anni. le conseguenze nella vita familiare, sociale in generale e lavorativa sono purtroppo ovvie e drammatiche.
B. facciamo collegare cani et porci alla nostra rete wireless ma nessuno compie atti illeciti (ricordiamoci che, purtroppo, e’ molto difficile verificare la cosa in tempo reale, quindi dobbiamo fidarci). l’ipotesi di reato potrebbe essere concorso in furto (alla telecom sempre) o truffa (quest’ultima non ho capito bene perche’ sinceramente).
C. noi ci colleghiamo a reti wireless non protette in zone non pubblicizzate (in mezzo alla strada). le ipotesi di reato ascrivibili potrebbero essere quella di violazione di sistema informatico e/o furto (di collegamento adsl).
Purtroppo risulta chiaramente che la scelta di rendere la propria rete wifi aperta debba essere estremamente consapevole dati i rischi che si corrono.
ho tenuto a scrivere i risultati di questa piccola indagine legale (ovviamente ampiamente opinabile da chiunque, per carita’!) per evitare (ah, come sono eroico) che nessuno faccia il partigiano senza conoscere le leggi di rappresaglia.
ad ognuno la scelta!
Grazie, Orangeek. Sono informazioni molto utili. In pratica: non condividere e non usare reti condivise.
Che schifo.
gia’, che schifo.
personalmente pensavo a qualcosa per aggirare il problema… ma temo che si possa configurare un’ipotesi di elusione della legge e quindi perseguibile… 🙁
qualcosa tipo settare tutti la stessa chiave wep; ovviamente aderirebbero solo le persone interessate al progetto e rendere disponibile la propria rete per “gli altri utenti” del progetto stesso.
[…] Ok, regalare la propria banda ad utenti di passaggio sotto casa è una bella cosa. A volte è una scelta llibera, altre inconsapevole. Così come è inconsapevole la scelta che ha fatto un utente X della mia zona che ha deciso di redere libero anche l’accesso al router! Per i neofiti del settore leggete qui come fare a chiudere la porta di casa (c’è anche un’interessante discussione sul Wi-Fi aperto/chiuso). Non potendo dire chi è il peccatore nè potendo fornire delle prove materiali (anche se forse metto su il video del login fra qualche giorno), questo post è solo uno dei tanti appunti che, spero, mi possa far fare due risate quando me lo rileggerò. […]
Bellissimo articolo..e bellissimo blog..faccio i complimenti..e vi faccio una domanda…semplice semplice..
Ho notato che la velocit� di navigazione (misurata con speedometer) risulta minore con wifi 802.11g che con cavo ethernet…� normale? o devo suppore episodi di “wardriving”?