La sicurezza in ambito reti lan wireless

La tecnologia di connessione alla rete wireless (senza fili) è senza dubbio una delle novità più interessanti uscite negli ultimi tempi. Sono, infatti, evidenti i vantaggi in termimi di sempicità di installazione e manutenzione oltre alla vera ragione di esistere di questa tecnologia, cioè la mobilità che essa consente.

Tuttavia, alcuni importanti aspetti come la sicurezza e la protezione hanno reso estremamente cauti, se non contrari, i responsabili del settore IT circa l'introduzione di reti LAN senza fili nelle proprie organizzazioni.
Nei precedenti articoli sul wireless avevamo già fatto luce sul protocollo 802.11g e sulla funzione di un access point come collegamente fra la rete e i dispositivi connessi senza fili.
Questi access point sono muniti solitamente di un indirizzo Ip dedicato per l'amministrazione remota via SNMP *, del quale possono essere muniti anche i client connessi alla rete come palmari portatili o pc.

Quali possono essere le minacce alle reti lan wireless

Il fatto che nelle reti wireless l'informazione viaggi via etere, ossia su di un canale completamente sprotetto (l'aria), incoraggia i tentativi di intrusione.

Intercettazione e modifica di dati trasmessi

Se un hacker riesce ad avere accesso alla rete potrà porre un computer nel mezzo della comunicazione e modificare i dati trasmessi con le conseguenze che possiamo immaginare...

Divulgazione dei dati

In caso di intercettazione di dati trasmessi dalla rete un eventuale pirata potrebbe ottenere informazioni sull'ambiente IT e sulla sicurezza e attaccare altri settori protetti.

Collegamento non desiderato e furto di risorse

Qualcuno senza autorizzazione potrebbe "sfruttare" la nostra rete per connetterci ad internet e rubandoci risorse

Connessioni non desiderate con pc ospiti

Un visitatore potrebbe collegare involontariamente il proprio portatile alla nostra rete wireless (se non protetta) rischiando di trasmettere visus

Spoofing

Potendo avere accesso alla nostra rete interna, eventuali malintenzionati potrebbero inviare dati apparentemente legittimi, ad esempio un messaggio di posta elettronica di spoofing, destando pochi sospetti dato che gli amministratori di sistema, tendono in genere a guardare con minor sospetto gli elementi di origine interna.

DoS (Denial of service)

In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio. Ad esempio, l'interruzione del segnale a livello di trasmissione radio può essere realizzata con strumenti a bassa tecnologia, come un forno a microonde.

I punti deboli delle reti Lan wireless

Analizziamo alcuni valori fondamentali per la corretta configurazione di un dispositivo wireless.

SSID: Service Set Identifier

Il Service Set ID è il codice che permette la comunicazione tra i client e gli access point. Questo codice va assolutamente cambiato rispetto a quello di defalut. Il SSID viene trasmesso come testo in chiaro quando il protocollo di sicurezza per le reti wireless (WEP o WPA*) è disabilitato, permettendo all'attaccante di intercettarlo (sniffing).

Password SNMP

Non modificando la passwors public un intruso potrebbe leggere e potenzialmente manomettere dati critici. È doveroso cambiare la password degli agenti SNMP per il controllo da remoto con una chiave sicura.

Cosa fare per rendere più sicure le reti Lan wireless

Una volta esaminati i punti deboli del wireless andiamo a vedere le contromosse affrontando la configurazione di una rete Wireless attraverso il sistema di autenticazione 802.1x Peap.

Aggiornare il firmware

Bisogna utilizzare access point con firmware aggiornabile e tenere sempre l'ultima versione.

Modificare gli SSID di default

Come specificato nel punto precedente il SSID di default fa modificato usando nomi insignificanti e non descrittivi.

Disabilitare il Broadcast SSID

Qualora il nostro access point supporti il Broadcast SSID è bene disabilitarlo per evitare che gli access point mandino Beacon Frames* che contengono i SSID per la sincronizzazione automatica dei client. Il consiglio è di configurare il client manualmente con il SSID corretto per poter accedere alla rete.

Modificare le password

Come per il codice SSID è bene modificare le password degli Access point con chiavi si almeno 8 caratteri

Utilizzare chiavi WEP o Wpa

Utilizzare questi protocolli rapresenta un deterrente per gli intrusi occasionali che, dovendo catturare dai 100 Mb a 1 Gb di traffico per provare a ricavare la chiave, si scoraggeranno. È consigliabile utilizzare access point che supportino la dynamic WEP-key exchange per cambiare la chiave WEP per ogni adattatore.

Abilitare il MAC filtering

Molti access point hanno la possibilità di abilitare solo alcuni client usando come metodo discriminatorio il MAC Address* della loro scheda di rete. Alcuni Access Point permettono di fornire l'elenco dei MAC addresses abilitati attraverso una GUI (interfaccia grafica), linea di comando o RADIUS*. Potendo il MAC Address essere cambiato il MAC filtering non può essere l'unico sistema di protezione utilizzato.

Spengere l'Access Point quando non serve

I malinternzionati agiscono spesso di notte o nel fine settimana. È buona norma collegare gli AP ad un timer che li spenga quando sono inutilizzati.

Controllare l'intesità del segnale

Il segnale wireless spesso sconfina dal perimetro che vogliamo coprire offrendo ancora meglio il fianco agli intrusi. Posizionando bene dell'AP e regolando il suo segnale via software (quando l'apparecchio prevede questa funzione) si può limitare questo danno.

Cambiare le community di default di SNMP

Come specificato nel punto precedente bisogna modificare la Password SNMP

Limitare il traffico di broadcast

Èconsigliabile limitare il traffico di broadcast quando possibile, ad esempio disattivando il protocollo NetBIOS su TCP/IP dal binding con la scheda di rete Wireless per evitare diminuire i tempi di raccolta dei dati da parte di un intruso per ricavare la chiave WEP.

Proteggere i client

Proteggere i client con un firewall per impedire che intrusi leggano nel registro informazioni sul WEP o Wpa.

Non usare il DHCP

È meglio non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi, ma considerare l'utilizzo di IP statici cercando anche di evitare indirizzamenti di default facilmente intuibili come 192.168.1.0 o 192.168.0.0.

Utilizzare di una Virtual LAN separata

È consigliabile l'utilizzo di una Virtual LAN separata per il traffico wireless, separandola dalla rete intranet. Esistono varie metodologie, per unire in maniera sicura le due LAN, tra le più semplici ricordiamo l'uso di un router/swich con capacità di filtro IP o un proxy. In alcune piccole aziende e in ambienti SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un problema, queste semplici regole sono sufficienti a proteggere l'accesso wireless. In ambienti più critici, dove è necessario mantenere la confidenzialità dei dati, è necessario applicare delle regole più rigorose.