Sicurezza Wi-Fi

[Albertone]

Salve a tutti.
Da alcuni mesi ho installato nella mia abitazione una rete Wi-Fi. Sono molto interessato al problema della sicurezza e vorrei sottoporvi un elenco di misure che è possibile adottare per rendere impenetrabile (in teoria) una WLAN.

1. scegliere un SSID diverso da quello impostato in fabbrica e comunque difficile da individuare

2. impostare la cifratura WEP su 128 bit

3. creare una grant access list con i MAC address dei client wireless autorizzati

4. cambiare l'indirizzo IP del router e disabilitare la funzione dhcp assegnando manualmente gli IP ai vari client

5. cambiare la password richiesta dal router per entrare nelle pagine di configurazione

6. annotare in luogo sicuro tutti i parametri di configurazione

7. effettuare un test finale cercando di penetrare la rete wireless

8. cambiare ogni due o tre mesi password e parametri vari


Detto ciò, vorrei un aiuto sul punto 4. Il mio router/gateway/firewall Intel ha un IP predefinito che è 192.0.2.1 mentre con il dhcp attivato ai vari client vengono assegnati IP in un range che va da 192.0.2.2 a 192.0.2.100.
Nel caso volessi cambiare l'IP del router potrei sceglierlo liberamente (es.345.456.746.1) oppure ci sono delleregole e dei range da rispettare?

Inoltre, assegnato al router l'indirizzo 100.34.566.1, i client devono essere tutti 100.34.566.xxx oppure posso scegliere IP totalmente diversi (es. 199.345.55.45).

Per gli esperti si tratterà di quesiti scontati ma tenete conto che fino a qualche mese fa non avevo mai visto una rete

Grazie a tutti

[gohan]

puoi usare qualsiasi indirizzo di rete, però il mio consiglio è quello di usare gli indirizzi per reti private in particolare la classe 192.168.x.x con maschera 255.255.255.0
Per l'ip del router puoi scegliere quello che ti pare all'interno della classe che ho detto, e di conseguenza anche il dhcp deve avere una classe compatibile con quella del router!

[Albertone]

Ciao gohan,
se ho ben capito mi consigli di usare indirizzi della classe C. Ho letto che questi indirizzi hanno come primo ottetto 192-223 e lasciano l'ultimo ottetto per configurare fino a 254 client. Riepilogando:

ID di rete:
1° ottetto: qualunque numero compreso tra 192 e 223
2° ottetto: un numero a piacere?
3° ottetto: un numero a piacere?

ID host:
4° ottetto: identifica il router e i singli client all'interno della rete

E così?

[gohan]

la classe C private usano 192.168.x.x

[Albertone]

Tutto chiaro...
solo una precisazione: su alcuni siti si dice che il primo ottetto degli indirizzi di classe C deve essere un numero compreso tra 192 e 223 mentre altri dicono che il primo ottetto dovrebbe essere sempre 192. Chi ha ragione?

[gohan]

attento! se si parla di classi C pubbliche è vero, ma gli indirizzi riservati per le reti private sono quelli 192.168.x.x

[Albertone]

Finalmente svelato il mistero!
Toglimi una curiosità. Gli indirizzi IP del mio router e dei miei client non sono una mia faccenda privata? Quando sono su internet mi viene assegnato un altro IP; quindi nella mia rete potrei teoricamente usare indirizzi di qualsiasi classe. Perchè dovrei accettare la convenzione e utilizzare 192.168.x.x ? Quali inconvenienti potrei avere scegliendo IP "sballati" per la mia rete casalinga? Molti consigliano proprio di utilizzare IP strani per rendere la rete più sicura.

[gohan]

io invece non capisco perchè la gente sia così restia ad accettare gli standard!
Semplicemente se metti alla tua rete una classe IP pubblica, se per caso tenti di accedere ad un sito che sta su una rete pubblica che ha il tuo stesso indirizzo, nn ci riesci.

[Albertone]

Inconveniente di non poco conto...meglio rispettare gli standard

Comunque sul tema della sucurezza wireless ho trovato un articolo in inglese veramente ben fatto. Spero vi interessi.

http://www.arstechnica.com/paedia/w/wireless-security-howto/home-802.11b-1.html

Ciao

[Albertone]

Quando si parla di WiFi security alcuni consigliano, soprattutto per piccole reti, di disattivare il dhcp e di usare ip statici. Ha senso secondo voi? Perchè così la rete dovrebbe essere più sicura?

Io comunque pensavo di raggiungere lo stesso risultato in un altro modo:

1. lascio il dhcp attivato

2. visto che ho solo 2 pc stabilisco un range di ip assegnabili che vada ad esempio da 192.168.0.2 a 192.168.0.3

3. riservo i due ip in questione ai miei due PC, specificando i nomi di questi ultimi

In questo modo anche se un estraneo si connette all'access point questo non avrà alcun ip da assegnargli e quindi l'invasore verrà respinto (a meno che il suo pc non abbia lo stesso nome di uno dei miei e questo non sia al momento connesso).

E' corretto il mio ragionamento?

[gohan]

innanzi tutto deve prima riuscire a capire il SSID e trovare le chiavi del WEP.

[Albertone]

Si potrebbe anche mettere lo sbarramento di una grant access list con mac address autorizzati e rendere così la WLAN praticamente inattaccabile In teoria...

Comunque cosa ne pensi in particolare di quanto ho detto prima sulla funzionalità dhcp?

Ciao

[gohan]

che è un'impostazione di sicurezza decisamente debole.

[Albertone]

Chiaramente si tratta di un espediente da usare insieme ad altri (WEP, SSID, grant access list, ecc.) per aumentare la sicurezza nei confronti di tentativi di intrusione di vario tipo (non solo wireless).

Certo che limitare drasticamenente il range degli indirizzi che il server dhcp può assegnare e riservare tutti gli indirizzi disponibili a computer autorizzati non mi sembra una cattiva idea... Come ti ho già detto sono in molti a proporla.

E' anche vero che l'utente comune (spesso anche aziendale) non si addentra generalmente in simili configurazioni e si accontenta quasi sempre delle impostazioni di fabbrica con tutte le opzioni di sicurezza disattivate. Con l'imminente avvento del Wi-Fi di massa anche in Italia ci sarà da divertirsi (per gli hackers intendo ): navigazione a scrocco, appropriazione di dati riservati, ecc.

[gohan]

ma già l'access list su MAC Address è già una buona barriera!
Se un possibile hacker riuscisse a passare tutti i sisstemi prima menzionati, non sarebbe di certo scoprire l'indirizzo di rete a farmarlo! non è che se il server dhcp non assegna un ip non puoi entrare in rete, basta assegnarne uno a mano.

[Albertone]

Quote:

non è che se il server dhcp non assegna un ip non puoi entrare in rete, basta assegnarne uno a mano.

Quindi in pratica se stabilisco un range di ip assegnabili dal server dhcp che tra 192.168.0.2 a 192.168.0.3 e riservo gli indirizzi in questione ai miei PC, un intrusore potrebbe comunque entrare con un altro IP come ad esempio 192.168.0.8.

In conclusione questo metodo non serve proprio a nulla. Comunque un intruso dovrebbe conoscere l'indirizzo IP del gateway predefinito per configurare il suo PC, nonchè il range di IP accettabili nella mia rete.

In pratica il metodo in questione equivale a una disattivazione del server dhcp, che rimane in vigore solo per i miei PC. Ogni altro avventore deve usare IP statici.

[gohan]

Quote:

Originally posted by "Albertone"



Quindi in pratica se stabilisco un range di ip assegnabili dal server dhcp che tra 192.168.0.2 a 192.168.0.3 e riservo gli indirizzi in questione ai miei PC, un intrusore potrebbe comunque entrare con un altro IP come ad esempio 192.168.0.8.

In conclusione questo metodo non serve proprio a nulla. Comunque un intruso dovrebbe conoscere l'indirizzo IP del gateway predefinito per configurare il suo PC, nonchè il range di IP accettabili nella mia rete.

In pratica il metodo in questione equivale a una disattivazione del server dhcp, che rimane in vigore solo per i miei PC. Ogni altro avventore deve usare IP statici.

vedo che sei sveglio e capisci al volo!