La sicurezza in ambito reti lan wireless
La tecnologia di connessione alla rete wireless (senza fili) è senza dubbio una delle novità più interessanti uscite negli ultimi tempi. Sono, infatti, evidenti i vantaggi in termimi di sempicità di installazione e manutenzione oltre alla vera ragione di esistere di questa tecnologia, cioè la mobilità che essa consente.
Tuttavia, alcuni importanti aspetti come la sicurezza e la protezione hanno reso estremamente cauti, se non contrari, i responsabili del settore IT circa l'introduzione di reti LAN senza fili nelle proprie organizzazioni.
Nei precedenti articoli sul wireless avevamo già fatto luce sul protocollo 802.11g e sulla funzione di un access point come collegamente fra la rete e i dispositivi connessi senza fili.
Questi access point sono muniti solitamente di un indirizzo Ip dedicato per l'amministrazione remota via SNMP *, del quale possono essere muniti anche i client connessi alla rete come palmari portatili o pc.
Quali possono essere le minacce alle reti lan wireless
Il fatto che nelle reti wireless l'informazione viaggi via etere, ossia su di un canale completamente sprotetto (l'aria), incoraggia i tentativi di intrusione.
Intercettazione e modifica di dati trasmessi
Se un hacker riesce ad avere accesso alla rete potrà porre un computer nel mezzo della comunicazione e modificare i dati trasmessi con le conseguenze che possiamo immaginare...
Divulgazione dei dati
In caso di intercettazione di dati trasmessi dalla rete un eventuale pirata potrebbe ottenere informazioni sull'ambiente IT e sulla sicurezza e attaccare altri settori protetti.
Collegamento non desiderato e furto di risorse
Qualcuno senza autorizzazione potrebbe "sfruttare" la nostra rete per connetterci ad internet e rubandoci risorse
Connessioni non desiderate con pc ospiti
Un visitatore potrebbe collegare involontariamente il proprio portatile alla nostra rete wireless (se non protetta) rischiando di trasmettere visus
Spoofing
Potendo avere accesso alla nostra rete interna, eventuali malintenzionati potrebbero inviare dati apparentemente legittimi, ad esempio un messaggio di posta elettronica di spoofing, destando pochi sospetti dato che gli amministratori di sistema, tendono in genere a guardare con minor sospetto gli elementi di origine interna.
DoS (Denial of service)
In questo tipo di attacco si cerca di portare il funzionamento di un
sistema informatico al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio. Ad esempio, l'interruzione del segnale a livello di trasmissione radio può essere realizzata con strumenti a bassa tecnologia, come un forno a microonde.
I punti deboli delle reti Lan wireless
Analizziamo alcuni valori fondamentali per la corretta configurazione di un dispositivo wireless.
SSID: Service Set Identifier
Il Service Set ID è il codice che permette la comunicazione tra i client e gli access point. Questo codice va assolutamente cambiato rispetto a quello di defalut.
Il SSID viene trasmesso come testo in chiaro quando il protocollo di sicurezza per le reti wireless (WEP o WPA*) è disabilitato, permettendo all'attaccante di intercettarlo (sniffing).
Password SNMP
Non modificando la passwors public un intruso potrebbe leggere e potenzialmente manomettere dati critici. È doveroso cambiare la password degli agenti SNMP per il controllo da remoto con una chiave sicura.
Cosa fare per rendere più sicure le reti Lan wireless
Una volta esaminati i punti deboli del wireless andiamo a vedere le contromosse affrontando la configurazione di una rete Wireless attraverso il sistema di autenticazione 802.1x Peap.
Aggiornare il firmware
Bisogna utilizzare access point con firmware aggiornabile e tenere sempre l'ultima versione.
Modificare gli SSID di default
Come specificato nel punto precedente il SSID di default fa modificato usando nomi insignificanti e non descrittivi.
Disabilitare il Broadcast SSID
Qualora il nostro access point supporti il Broadcast SSID è bene disabilitarlo per evitare che gli access point mandino Beacon Frames* che contengono i SSID per la sincronizzazione automatica dei client. Il consiglio è di configurare il client manualmente con il SSID corretto per poter accedere alla rete.
Modificare le password
Come per il codice SSID è bene modificare le password degli Access point con chiavi si almeno 8 caratteri
Utilizzare chiavi WEP o Wpa
Utilizzare questi protocolli rapresenta un deterrente per gli intrusi occasionali che, dovendo catturare dai 100 Mb a 1 Gb di traffico per provare a ricavare la chiave, si scoraggeranno. È consigliabile utilizzare access point che supportino la dynamic WEP-key exchange per cambiare la chiave WEP per ogni adattatore.
Abilitare il MAC filtering
Molti access point hanno la possibilità di abilitare solo alcuni client usando come metodo discriminatorio il MAC Address* della loro scheda di rete.
Alcuni Access Point permettono di fornire l'elenco dei MAC addresses abilitati attraverso una GUI (interfaccia grafica), linea di comando o RADIUS*. Potendo il MAC Address essere cambiato il MAC filtering non può essere l'unico sistema di protezione utilizzato.
Spengere l'Access Point quando non serve
I malinternzionati agiscono spesso di notte o nel fine settimana. È buona norma collegare gli AP ad un timer che li spenga quando sono inutilizzati.
Controllare l'intesità del segnale
Il segnale wireless spesso sconfina dal perimetro che vogliamo coprire offrendo ancora meglio il fianco agli intrusi. Posizionando bene dell'AP e regolando il suo segnale via software (quando l'apparecchio prevede questa funzione) si può limitare questo danno.
Cambiare le community di default di SNMP
Come specificato nel punto precedente bisogna modificare la Password SNMP
Limitare il traffico di broadcast
Èconsigliabile limitare il traffico di broadcast quando possibile, ad esempio disattivando il protocollo NetBIOS su TCP/IP dal binding con la scheda di rete Wireless per evitare diminuire i tempi di raccolta dei dati da parte di un intruso per ricavare la chiave WEP.
Proteggere i client
Proteggere i client con un firewall per impedire che intrusi leggano nel registro informazioni sul WEP o Wpa.
Non usare il DHCP
È meglio non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi, ma considerare l'utilizzo di IP statici cercando anche di evitare indirizzamenti di default facilmente intuibili come 192.168.1.0 o 192.168.0.0.
Utilizzare di una Virtual LAN separata
È consigliabile l'utilizzo di una Virtual LAN separata per il traffico wireless, separandola dalla rete intranet. Esistono varie metodologie, per unire in maniera sicura le due LAN, tra le più semplici ricordiamo l'uso di un router/swich con capacità di filtro IP o un proxy. In alcune piccole aziende e in ambienti SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un problema, queste semplici regole sono sufficienti a proteggere l'accesso wireless. In ambienti più critici, dove è necessario mantenere la confidenzialità dei dati, è necessario applicare delle regole più rigorose.
Articoli correlati:
