Sicurezza wifi

[Jena73]

Ciao a tutti, forse è un argomento trito e ritrito ma non ho trovato nulla di esaustivo in merito. Mi servirebbe un decalogo (o anche di più!!) di tutte le precauzioni da prendere durante l'installazione di una rete wifi. Ad esempio inserimento del mac address, disabilitazione del SSID del network, utilizzo del wpa-psk etc... grazie a tutti!!!

[wgator]

Ciao,

ehm... hehe... scrivere tutto lo scibile sui sistemi di protezione wireless mi verrebbe il crampo dello scrittore

Potresti iniziare così:

- inventati un SSID complicato, lungo e formato da lettere numeri e caratteri speciali e disabilitane la trasmissione. In questo modo (in teoria) solo chi lo conosce entra
- punta principalmente sulla chiave WPA-PSK possibilmente preferisci AES a TKIP se il router lo consente. Anche in questo caso puoi usare una passkey lunga (fino a 63 caratteri) e complessa, con molti caratteri speciali; no alt+numero, caratteri speciali da tastiera altrimenti potrebbero non essere riconosciuti
- bene l'associazione dei soli MAC address noti e utilizzati dalla tua rete ma solo come protezione accessoria. Gli indirizzi fisici si "spoofano" in pochi secondi
- limita la potenza del router e/o del/degli access point in modo che sia coperta solo l'area di tuo interesse
- anche la password di accesso al router va impostata con attenzione
- non usare per il router, quindi per la rete i soliti indirizzi IP che usano tutti (192.168.0.1, 192.168.1.1, 10.0.0.2 e simili)
Un bel 172.17.212.243 sarebbe molto "trendy"
- naturalmente disabilita il DHCP

Se mi viene in mente altro te lo faccio sapere

[Jena73]

grazie 1000 per le info.. è già un ottimo inizio!! magari metto anche qualche testa d'aglio intorno al router... giusto per un ulteriore sicurezza

[Stev-O]

aggiungo che l'aes lo supportano pochi router e per quanto riguarda la potenza di trasmissione tenerla + bassa del massimo consentito può portare ad un rovescio spiacevole della medaglia, specie se sei un po' defilato come postazione

Ma cambiare gli ip interni è così indispensabile? voglio dire... una volta che si ha accesso al router si vedono cmq: la cosa migliore da fare a mio parere è assicurarsi che dall'esterno si sia invisibili il + possibile, senza risposte a ping (stealth mode), senza smnp pubblici (molti rauters di default purtroppo l'hanno) e senza interfacce login aperte all'esterno. Cio' vale sia per router con reti wireless che cablate.

[ a dire il vero i 172.ecc sono i terzi nell'ordine che mi verrebbe in mente di provare a cercare ]

[tidav]

Posto che una connessione wireless non si vede a distanza di km e che al massimo la possono vedere i vicini di casa io dico che a meno che non si abbia un hacker come vicino di casa bastano 3 accorgimenti :

1) Disabilitare l'essid broadcast
2) abitilitare il mac filtering
3) imporre la chiave di criptazione wpa-psk

In questo modo un normale pettegolo vicino di casa non entrerà mai .
Se invece per vicino di casa abbiamo un vero hacker che per motivi strani ce l'ha proprio con noi allora siamo fregati in ogni caso

Saluti

[Stev-O]

e in ogni caso sapresti nome cognome e soprannome....

[tidav]

Quote:

Originariamente inviato da Stev-O

e in ogni caso sapresti nome cognome e soprannome....

...e quindi lui saprebbe cosa vuol dire prendersi una mazzata in testa ...

[wgator]

Ciao,

in ogni caso già con una buona chiave wps-psk si garantisce un notevole livello di sicurezza: personalmente (ho provato parecchie volte) non riesco a trovarla se non avendo accesso diretto al router. Non usare il semplice WEP perchè quello lo becco quasi sempre ma non è facile come si racconta in giro... bisogna lavorare parecchio

N.B.
queste prove le ho fatte solo sulle mie reti!

Ribadisco e quoto questo passaggio di Stev-O:

senza smnp pubblici (molto rauters di default purtroppo l'hanno) e senza interfacce login aperte all'esterno

E' importante controllare che non sia attivo SNMP verso l'esterno e che non si possa accedere all'interfaccia del router tramite Internet

[tidav]

Quote:

Originariamente inviato da wgator

Ciao,

in ogni caso già con una buona chiave wps-psk si garantisce un notevole livello di sicurezza: personalmente (ho provato parecchie volte) non riesco a trovarla se non avendo accesso diretto al router. Non usare il semplice WEP perchè quello lo becco quasi sempre ma non è facile come si racconta in giro... bisogna lavorare parecchio

N.B.
queste prove le ho fatte solo sulle mie reti!

Ribadisco e quoto questo passaggio di Stev-O:

senza smnp pubblici (molto rauters di default purtroppo l'hanno) e senza interfacce login aperte all'esterno

E' importante controllare che non sia attivo SNMP verso l'esterno e che non si possa accedere all'interfaccia del router tramite Internet

E come si può accedere all'interfaccia del router se non tramite internet ? Tu intendi che si abbia una chiave di accesso alla schermata di log del router ?

Ciao

[Jena73]

scusate ma io riesco ad accedere all'interfaccia del router solo tramite la mia lan locale. Se il mio router ha per esempio un classico ip 192.168.1.1 e lo digito dall'ufficio ovviamente non mi collegherò mai o sbaglio? idem se digito il mio ip pubblico che ho in quel momento..

[wgator]

Ciao,

mi riferisco alla "gestione remota"
Molti router, spuntando una casellina che spesso è indicata con "attiva gestione remota" permettono di accedere all'interfaccia di configurazione tramite web. In pratica, da qualunque angolo della terra digiti http://tuo_ip_pubblico (questo, insomma )

E' chiaro che viene richiesta la password, ma è fortemente sconsigliato attivare questa opzione, se qualcuno riesce ad entrare, diventa padrone della rete

[Stev-O]

Quote:

Originariamente inviato da tidav

E come si può accedere all'interfaccia del router se non tramite internet ? Tu intendi che si abbia una chiave di accesso alla schermata di log del router ?

Ciao

internet = wan (rete pubblica, ip pubblico dato dall'isp, esterna al router)
intranet = Lan (rete privata, ip privato arbirario, interna al router)

nel router si disabilitil'accesso da remoto, consentendolo solo agli ip della lan o da una sola postazione

[Dreadnought]

Difficile bucare il wpa psk, puoi bruteforzarlo, ma se la password è lunga ci impieghi mesi.

Il piu' sicuro è wpa con server radius, con quello non puoi nemmeno intercettare i 2 pacchetti uno crittato e uno no durante il pre sharing del sistema PSK.

[tidav]

Per wgator e Stev-O,sarebbe quello nell'immagine .png allegata, giusto ?

Però immagino che di deafult tale opzione sia disabilitata per tutti i router, almeno nel mio è disabilitata di default...

ciao

[tidav]

Quote:

Originariamente inviato da Dreadnought

Difficile bucare il wpa psk, puoi bruteforzarlo, ma se la password è lunga ci impieghi mesi.

Il piu' sicuro è wpa con server radius,con quello non puoi nemmeno intercettare i 2 pacchetti uno crittato e uno no durante il pre sharing del sistema PSK.

Però questo di solito è per uso enterprise non per utenti home, no ?

Ciao

[Stev-O]

dovrebbe servire nelle reti ad accesso individuale tipo atenei biblio areoporti (se le reti sono suffcientemente sicure, perchè a volte ti trovi anche reti aperte con trasmissione ssid che dicono anche "welcome"...)

Quote:

Per wgator e Stev-O,sarebbe quello nell'immagine .png allegata, giusto ?

Però immagino che di deafult tale opzione sia disabilitata per tutti i router, almeno nel mio è disabilitata di default...

si è quella

[dadotratto]

Quote:

Originariamente inviato da Stev-O

e in ogni caso sapresti nome cognome e soprannome....

come faresti a sapere il suo nome e cognome?

[Stev-O]

non può essere molto lontano, un vicino di casa in grado di effettuare l'operazione dovrebbe restringere di molto le indagini...