Wi-fi sicuro, le 8 regole per proteggere le reti senza fili

Pubblicato il: 03/05/2019
Marco Maria Lorusso

Wi-fi cos’è, wi-fi a cosa serve ma, soprattutto, come si mette al sicuro una rete senza fili? Una piccola guida pratica con le 8 regole principali che sarebbe meglio conoscere in tempi di password continuamente violate, pubblicate e rese inutili…

Wi-fi cos’è (qui la guida completa per sapere cosa è una rete Wi-Fi e a cosa serve), wi-fi a cosa serve ma, soprattutto, come si mette al sicuro una rete senza fili? La domanda è più che lecita in tempi in cui proprio le reti senza fili stanno diventando lo standard sia a livello privato che, soprattutto, enterprise.

Tempi complicati… in cui la gestione degli accessi e delle password sta conoscendo falle e rovesci clamorosi. (qui anche una preziosa guida per sapere una rete Wi-Fi come si costruisce)

Il tema è duplice, c’è da una parte un’utenza, soprattutto professionale, ormai abituata a pretendere di essere collegata, ad alta velocità, ovunque, comunque e, spesso, a costo di rinunciare a qualche dato e alla propria privacy. Dall’altra parte c’è un universo di cybercriminali che queste cose le sa meglio di tutti e, puntualmente, le usa a proprio vantaggio per rubare informazioni critiche, accedere a reti senza fili senza autorizzazione, sottrarre identità, denaro, informazioni critiche… e facendo ovviamente danni irreparabili.

C’è di più poi, c’è una storica tendenza “social” che sfrutta il fatto che i segnali Wi-Fi (qui anche una simpatica guida multimediale per sapere una rete wi-fi cos’è, come funziona e come si costruisce) vengano spesso trasmessi oltre le mura di edifici e case fino in strada. Fattore che, nel tempo, ha dato vita anche a più o meno simpatici scambi di indicazioni, anche tramite gessetti e indicazioni stradali, per “sfruttare” luoghi in cui collegarsi al web senza pagare e senza controllo… Una pericolosa deriva che, oggi, fatica a fare rima con la progressione digitale anche dei più critici e vitali processi aziendali.


wifi 640404 1920

Ecco perché, sperando di fare cosa utile, abbiamo pensato di indicare qui di seguito, le 8 regole che, secondo i più importanti esperti di sicurezza, bisogna assolutamente rispettare per cercare di mettere al sicuro la propria rete Wi-Fi aziendale e privata (qui una utile panoramica delle possibili declinazioni che il Wi-Fi può avere). Una guida pratica utile soprattutto per system integrator e reseller che, sul territorio, di trovano giorno per giorno a combattere con la bassissima percezione del rischio da parte dei propri clienti. 

Wi-Fi sicuro come proteggere il web senza fili. Prima regola: Usate bene la crittografia

Alcuni access point Wi-Fi offrono ancora lo standard di protezione WEP (Wired Equivalent Privacy) oggi fondamentalmente superato. Gli hacker possono infatti entrare in una rete protetta da WEP utilizzando una suite di hacking come Aircrack-ng in pochi minuti.
Pertanto, per evitare intrusioni, è essenziale utilizzare una variante della protezione WPA (Wi-Fi Protected Access), sia WPA che il più recente standard WPA2 (o WPA3 quando sarà possibile).

Per le aziende più piccole, può essere pratico utilizzare WPA con una chiave pre-condivisa. Ciò significa che tutti i dipendenti utilizzano la stessa password per connettersi e la sicurezza della rete dipende da loro e dalla loro capacità di non condividere la password con gli estranei.

Significa, ovviamente, anche che la password deve essere cambiata ogni volta che un dipendente lascia l'azienda. Alcuni router Wi-Fi offrono poi una funzionalità denominata Wireless Protect Setup (WPS) che fornisce un modo semplice per collegare i dispositivi a una rete wireless protetta WPA. Un sistema pratico che però può essere sfruttato dagli hacker per recuperare la password WPA, quindi è importante disabilitare WPS nelle impostazioni del router.
Nelle organizzazioni più grandi, ha più senso usare WPA in modalità enterprise, che consente a ciascun utente di avere il proprio nome utente e password per connettersi alla rete Wi-Fi.
Ciò rende il Wi-Fi e gli accessi molto più facili da gestire quando i dipendenti escono regolarmente, in quanto puoi semplicemente disabilitare gli account degli ex dipendenti; ma per utilizzare WPA in modalità aziendale è necessario appoggiarsi ad un server (noto come server RADIUS) che memorizza le informazioni di accesso per ciascun dipendente. Una visione completa delle soluzioni Wi-Fi sicuro al servizio dei più importanti target aziendali viene offerta, per esempio, da una società come Cambium Networks che proprio sulla protezione delle reti senza fili ha costruito un percorso di valore molto interessante.

 Wi-Fi sicuro come proteggere il web senza fili. Seconda regola utilizzare una password WPA sicura

Wi-Fi sicuro seconda regola… siamo al cuore della vicenda e di uno temi più critici soprattutto in questi ultimi giorni di annunci e scoperte di mega furti proprio di credenziali di accesso. Occorre infatti assicurarsi che qualsiasi password (o passphrase) che protegge la propria rete Wi-Fi sia lunga e casuale, in modo che non possa essere facilmente intercettata da un hacker determinato.

wifi 1818306 1280

 È fin troppo facile configurare qualsiasi apparecchiatura con le sue impostazioni predefinite, in particolare perché il nome e la password di amministrazione predefiniti sono spesso stampati sul router stesso per consentire un accesso e un'impostazione rapidi. Ciò significa che gli hacker proveranno innanzitutto questi per accedere alla vostra rete. La modifica del nome di accesso e della password renderà più difficile l'accesso a un criminale. Sembra una banalità ma, soprattutto, in Italia… purtroppo non lo è.

E’ possibile testare la sicurezza della propria rete protetta WPA (senza rivelare la propria password o passphrase) utilizzando alcuni servizi ad hoc. Vi verrà chiesto di fornire alcuni dati (gli stessi dati che un hacker potrebbe acquisire o "annusare" in aria con un laptop da qualsiasi punto della vostra rete) e il servizio tenterà di estrarre la tua password.

Se il servizio non ha successo, è improbabile che un hacker abbia successo. Ma se il servizio trova la vostra password, allora sapete che dovete sceglierne una più lungo e più sicura.

Tenete a mente che anche lo standard di sicurezza WPA2 difficilmente resisterà a un gruppo di hacker o hacker ben organizzato e ostinato, grazie alla falla del KRACK Wi-Fi scoperta a ottobre 2017.

Wi-Fi sicuro come proteggere il web senza fili. Terza regolacontrollare e “scovare” gli access point Wi-Fi non autorizzati



Gli access point anomali presentano un enorme rischio per la sicurezza. Questi non sono gli access point Wi-Fi "ufficiali" della vostra azienda, ma sono stati introdotti dai dipendenti (forse perché non possono ottenere un buon segnale Wi-Fi nel loro ufficio) o, in teoria, dagli hacker che sono entrati nel vostro edificio e surrettiziamente lo hanno collegato a un punto Ethernet di nascosto.

In entrambi i casi, gli access point anomali rappresentano un rischio perché non si ha alcun controllo su di essi o sul modo in cui sono configurati: ad esempio, uno potrebbe essere impostato per trasmettere l'SSID (l'identificatore di 32 caratteri per una rete wireless) e consentire a chiunque di connettersi senza fornire una password.

Per rilevare gli access point non autorizzati è necessario eseguire regolarmente la scansione degli uffici e dell'area circostante utilizzando un laptop o un dispositivo mobile dotato di software adeguato come Vistumbler (uno scanner di rete wireless) o airodump-ng. Questi programmi consentono al computer portatile di "sniffare" le onde radio per rilevare qualsiasi traffico wireless che si sposta da o verso un access point non autorizzato e consente di identificare dove si trovano. 

Wi-Fi sicuro come proteggere il web senza fili. Quarta regola: fornire una rete separata per gli ospiti

Se si desidera consentire ai visitatori di utilizzare il Wi-Fi, è consigliabile offrire una rete ospite. Ciò significa che possono connettersi a Internet senza accedere alla rete interna della vostra azienda. Questo è importante sia per ragioni di sicurezza, sia per impedire che possano inavvertitamente infettare la vostra rete con virus o altro malware.

Un modo per farlo è utilizzando una connessione Internet separata con il proprio access point wireless. In realtà, ciò è raramente necessario in quanto i router wireless più commerciali (e molti più recenti) hanno la capacità di gestire due reti Wi-Fi contemporaneamente: la rete principale e un'altra per gli ospiti (spesso con il SSID "Ospite". )
Ha senso attivare la protezione WPA sulla rete ospite, piuttosto che lasciarla aperta, per due importanti motivi. Il primo consiste nel fornire un certo livello di controllo su chi lo utilizza: è possibile fornire la password agli ospiti su richiesta e, a condizione che vengano modificati frequentemente, è possibile impedire che il numero di persone che conoscono la password aumenti troppo. Ma ancora più importante, questo protegge i vostri ospiti da altre persone sulla rete ospite che potrebbero provare a curiosare nel loro traffico. Questo perché, anche se utilizzano la stessa password WPA per accedere alla rete, i dati di ciascun utente vengono crittografati con una "chiave di sessione" diversa, che la rende sicura dagli altri ospiti.

Wi-Fi sicuro come proteggere il web senza fili. Quinta regola: nascondete il nome della vostra rete

Gli access point Wi-Fi sono solitamente configurati con impostazione predefinita per trasmettere il nome della rete wireless, noto come identificatore del set di servizi o SSID, per semplificare la ricerca e la connessione. Ma l’SSID può anche essere impostato su "nascosto" in modo che un utente debba conoscere il nome della rete prima di poterci connettere.

Dato che i dipendenti dovrebbero conoscere il nome della rete Wi-Fi della vostra azienda, non ha senso trasmetterlo in modo che chiunque altro che passa di lì possa facilmente trovarlo.

È importante notare che nascondere il vostro SSID non dovrebbe mai essere l'unica misura che prendete per proteggere la vostra rete Wi-Fi o quella dei vostri clienti, perché gli hacker che utilizzano strumenti di scansione Wi-Fi come airodump-ng possono ancora rilevare la vostra rete e il suo SSID anche quando è impostato su "nascosto."

Ma la sicurezza consiste nel fornire più livelli di protezione e nascondendo il vostro SSID o quello dei vostri clienti potreste evitare di attirare l'attenzione degli hacker opportunisti, quindi è una misura semplice che vale la pena di prendere.

hacker.jpg

Wi-Fi sicuro come proteggere il web senza fili. Sesta regola: utilizzare un firewall

I firewall hardware forniscono la prima linea di difesa contro gli attacchi provenienti dall'esterno della rete, e la maggior parte dei router hanno firewall incorporati, che controllano i dati in entrata e in uscita e bloccano qualsiasi attività sospetta. I dispositivi di solito sono impostati con impostazioni predefinite ragionevoli che garantiscono un lavoro decente. La maggior parte dei firewall esamina e capisce gli indirizzi di origine e destinazione. Queste informazioni vengono confrontate con un insieme di regole predefinite e / o create dall'utente che determinano se il pacchetto dati è legittimo o meno, e quindi se deve essere consentito o scartato.

I firewall software di solito funzionano sul desktop o sul computer portatile dell'endpoint, con il vantaggio di fornire un'idea migliore del traffico di rete che passa attraverso il dispositivo. Più che solo le porte utilizzate e dove i dati stanno andando, saprà quali applicazioni vengono utilizzate e può consentire o bloccare la capacità di quel programma di inviare e ricevere dati.

Se il firewall software non è sicuro su un particolare programma, può chiedere all'utente cosa dovrebbe fare prima di bloccare o consentire il traffico.  

Wi-Fi sicuro come proteggere il web senza fili. Settima regola abilitare l'autenticazione MAC per i propri utenti


Potete limitare l'accesso alla vostra rete wireless anche solo consentendo a determinati dispositivi di collegarsi ad essa ed escludendo il resto. Ciascun dispositivo wireless avrà un numero seriale univoco, noto come indirizzo MAC, e l'autenticazione MAC consente solo l'accesso alla rete da un insieme di indirizzi definiti dall'amministratore.

Ciò impedisce ai dispositivi non autorizzati di accedere alle risorse di rete e costituisce un ulteriore ostacolo per gli hacker che potrebbero voler penetrare nella rete.


Wi-Fi sicuro come proteggere il web senza fili. Ottava regola
usate una VPN

Una VPN o una rete privata virtuale vi aiuteranno a rimanere al sicuro, tenendo soprattutto “nascosti” ​​i vostri contenuti privati. Una VPN mantiene i vostri dati nascosti da occhi indiscreti crittografandoli. In teoria, gli hacker potrebbero penetrare nella vostra rete, o in quella dei vostri clienti, e non sarebbero ancora in grado di fare del male al vostro sistema se una VPN funzioni in modo permanente e, soprattutto, corretto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ChannelCity.it iscriviti alla nostra Newsletter gratuita.
Area Social