Configurare la propria rete wi-fi con DD-WRT in modo sicuro.

La seguente guida utilizzerà l’ultima versione di DD-WRT disponibile al momento in cui scrivo (v24 RC7).

Il sistema in uso è un MacBook con OS X Leopard, le impostazioni di DD-WRT valgono comunque indipendentemente dal sistema operativo in uso.

E’ una guida per persone abbastanza paranoiche nella protezione della propria rete wireless. L’attivazione di alcune funzioni (come indicato più avanti) potrà essere evitata.

Innanzitutto, se non abbiamo già installato DD-WRT, scarichiamolo da qui. E’ importante scegliere la giusta versione in quanto DD-WRT è un software che può essere installato su una miriade di apparecchi.

Nel mio caso, ho scelto dd-wrt.v24_std_generic.bin – adatto al mio Linksys WRT54GL 1.1.

La prima cosa importante da fare è impostare una route statica per il nostro access point wireless (se messo “in cascata” ad un router ad esempio).

Personalmente ho preferito che il mio router (un NetGear DG834) continuasse a fungere da server DHCP, così ho impostato il LinkSys come “client dhcp”.

Per far questo dovremo andare in Setup -> Setup Base ed impostare la voce “Impostazioni Per L’Indirizzo Del Server (DHCP)” come DHCP Forwarder ed impostando come server DHCP l’indirizzo IP del nostro router.

DD-WRT - DHCP Forwarder

Questo ci permetterà di impostare specifiche impostazioni di QoS e traffic shaping all’interno della nostra rete se il router che abbiamo “a monte” lo permette.

Fatto questo, dedichiamoci alla sezione wireless.

La prima cosa da fare è scegliere un nome e per far questo andiamo in Wireless -> Impostazioni di Base.

Non chiamatela “Rete vostro-cognome” o qualcosa di simile. Chi avrà voglia di divertirsi senza dubbio sfrutterà a suo favore l’aver identificato a chi appartiene la rete (chiamasi social engineering). Un esempio può essere quello indicato qui sotto. “iwmiti” è l’insieme delle prime lettere di una frase di una canzone che adoro (riuscite ad indovinare di che si tratta?! :-)). Senza dubbio non avranno significato per chi rileva questo nome cercando una rete da attaccare.

DD-WRT - Wireless Base Setup

Questo aspetto non è da sottovalutare, perché indipendentemente dai protocolli di cifratura utilizzati, dare un nome “appetibile” ad un curioso è già invitarlo a tentare una intrusione.

Continuiamo analizzando gli altri punti della scheda mostrata sopra.

La “modalità wireless” è una particolarità che rende DD-WRT un prodotto completo (non tutti gli access point domestici lo permettono). E’ possibile impostare l’access point come ponte tra reti diverse o come ripetitore. Se noi vogliamo solamente creare la nostra rete casalinga, ci basterà impostare quella voce in “AP“.

“Modalità di rete wireless” indica lo standard wireless da utilizzare. Se avete apparecchi di ultima generazione (tutti i portatili degli ultimi 3 anni sicuramente) potete benissimo scegliere di restringere la modalità wireless a “Solo-G”. Questo impedirà ad apparecchi più vecchi di collegarsi alla rete. Se non siete sicuri delle specifiche dei vostri device scegliete la modalità “Mista”.

Restringere lo standard non aumenta la sicurezza in maniera particolare, semplicemente obbligherà a chi tenterà di accedere alla vostra rete di avere un apparecchio recente. Non si sa mai che il vostro “vicino curioso” si ritrovi con una vecchia schedina wi-fi che funziona solo in modalità B… 🙂

A seguire, in quella pagina troviamo “Broadcast Del SSID Wireless”. Questa è una scelta abbastanza importante. Comincio col dire che, ad esempio, l’iPod Touch con il firmware di default non rileva le reti wireless “nascoste”. So che in rete è presente un software che gli permette di aggirare il problema, ma non l’ho mai provato. Il mio MacBook con Leopard invece non ha alcun problema e – che io sappia – neanche i portatili con Windows XP/Vista dovrebbero aver problemi a collegarsi ad una rete nascosta.

Qual è il vantaggio? Una rete con SSID nascosto non verrà elencata nelle utility di selezione delle reti del sistema operativo. Se il nostro aggressore non utilizzerà software particolari, non si accorgerà neanche della presenza della nostra rete.

Va da se che almeno la prima volta la rete dovrà essere “visibile” per permettere una connessione più agevole. Dopodiché potremo impostarla come “invisibile”.

Il “canale wireless” indica infine il range di frequenze sul quale il nostro access point trasmetterà i dati. Per evitare interferenze (e dunque subire un decadimento delle prestazioni del collegamento) è bene lasciar scegliere all’access point la frequenza più libera. Se invece state impostando una rete particolare (con più access point ad esempio), potreste voler scegliere manualmente le frequenze da utilizzare (magari distanziandole il più possibile per evitare interferenze…).

Vi ricordo che ogni volta che cambieremo scheda del pannello di controllo dovremo ricordarci di cliccare quantomeno su “Salva impostazioni”.

Fatto questo, spostiamoci nel pannello Wireless -> Wireless Security.

DD-WRT - Wireless WPA Setup

In questo pannello dovremo scegliere il protocollo di cifratura da utilizzare. Nuovamente, se non abbiamo device wireless datati, possiamo scegliere con tranquillità la “WPA2 Personal”. In caso contrario abbassiamo il livello di sicurezza a “WEP” o, nel peggiore dei casi, a “Disabilitato”.

E’ importante ricordarsi che il WEP è un protocollo di cifratura ormai obsoleto ed insicuro. Nel 2001 è stato “bucato” e da allora è possibile, nel giro di poche ore ed un po’ di pazienza, riuscire ad accedere ad una rete che utilizza questo protocollo.

Va comunque considerato che il WPA2, sebbene rappresenti il miglior protocollo di cifratura attualmente disponibile, non è sempre funzionante sotto Windows. In tal caso potreste voler scegliere la voce “WPA Personal” che rappresenta comunque un buon compromesso per la sicurezza della vostra rete.

Scelto il protocollo, dovremo scegliere l’algoritmo di cifratura dell’handshaking da utilizzare. Se non avete esigenze particolari (per l’ennesima volta, dipende dai vostri device), potrete scegliere l’AES che è un algoritmo più sofisticato (e potenzialmente più sicuro) del TKIP.

Infine, cosa più importante di tutte: la password. Inutile iniziare a fare qui le solite disquisizioni su come creare una password sicura. Io personalmente sono affezionato al mio password manager, in ogni caso, vi lascio un link su tutti.

E’ importante che la password sia quanto più randomica e lunga possibile. Esistono programmi che tentano attacchi brute force per scoprirla (in parole povere: se non puoi saperla, scoprila a tentativi!).

Fatto questo, salviamo le impostazioni.

La parte di guida che segue adesso, è indicata per i più paranoici o comunque coloro che vogliono utilizzare più impostazioni possibili per rendere inaccessibile una rete ad un aggressore. Se avete seguito pedissequamente quanto detto fin qui la vostra rete è già protetta ad un livello sicuramente maggiore dell’attuale livello nazionale in cui le reti “non protette” spopolano ad ogni angolo della strada. 🙂

Tutto ciò che segue, è un gradino in più, una difficoltà in più che metteremo per far perdere la voglia “al curiosone” di tentare un attacco verso la nostra rete.

In ogni caso… andiamo avanti e spostiamoci nel pannello Wireless -> Filtro MAC.

DD-WRT - Wireless Filtro Mac Setup

A questo punto è doverosa una spiegazione. Ogni periferica hardware di rete ha una specie di “targa” chiamato indirizzo fisico (o MAC) che identifica univocamente a livello mondiale quella periferica. “Filtrare i MAC” significa dire al dispositivo quali “targhe” possono accedere alla nostra rete (un po’ come i limiti anti-inquinamento nei centri storici delle nostre città…). Se non sapete come trovare l’indirizzo MAC della vostra scheda di rete wireless, date uno sguardo qui.

DD-WRT - Tabella indirizzi MACTrovato l’indirizzo MAC dovremo aggiungerlo alla tabella come indicato nella figura qui a sinistra, ricordandoci di cliccare su “Salva impostazioni” in basso prima di chiudere la finestra.

Impostare un filtro sugli indirizzi MAC ovviamente aumenterà la sicurezza della nostra rete perché l’aggressore dovrà avere una “targa valida” per poter entrare. E’ comunque possibile, molto facilmente, falsificare l’indirizzo MAC, così non è saggio affidarsi esclusivamente al filtro MAC per proteggere la propria rete.

Se non l’abbiamo ancora fatto, possiamo anche cliccare su “Applica” in modo da applicare tutte le modifiche fatte fin ora.

Un altro aspetto da non sottovalutare per proteggere bene una rete è stabilire quando dovrà funzionare. Lasciare attiva una connessione wireless (potenzialmente accessibile, molto comodamente, al di fuori della nostra proprietà) è come non abbassare le serrande di casa quando sappiamo che dobbiamo partire. Chi vuol attaccarci avrà tutto il tempo che vuole (mattina, pomeriggio, notte…) per effettuare i suoi tentativi d’attacco.

Spegnete la rete quando non vi serve!

DD-WRT se associato ad un access point LinkSys (e non so a quale altri modelli), offre un comodo pannello di gestione raggiungibile nella scheda Wireless -> Impostazioni Avanzate.

DD-WRT - Limite tempo segnale

Selezionate le ore in cui non fate uso della vostra rete. Io ad esempio preferisco che si spenga durante la notte (meglio dormire che perder tempo su internet…) e le ore in cui sono sicuramente fuori casa. Ovviamente in base alle proprie necessità è sempre possibile effettuare delle modifiche in futuro.

Per gli access point che abbiano installato DD-WRT e non presentano questo pannello (ad esempio il firmware per gli access point FON), è pur sempre possibile spegnere il modulo “radio” tramite semplici crontab.

DD-WRT - Modifica passwordInfine, per concludere la messa in sicurezza del nostro access point, non dimentichiamoci di cambiare nome utente e password di default dal pannello Amministrazione -> Gestione: non sottovalutiamo la possibilità di un attacco dall’interno. 🙂

Per rendere ancora più difficile le cose all’aggressore lasciamo attivo solo il protocollo HTTPS per accedere al pannello di controllo: è molto probabile che il nostro simpatico curiosone tenti di collegarsi al pannello di gestione utilizzando l’HTTP, o se siamo ancora più pratici possiamo disattivare totalmente l’accesso tramite pannello web per sfruttare esclusivamente l’accesso ssh tramite console.

Vi ricordo comunque che per effettuare un backup delle impostazioni o un aggiornamento del firmware sarà necessario accedere via HTTP al pannello di gestione di DD-WRT.

Non sottovalutate la potenza di DD-WRT. Questa guida si è concentrata esclusivamente sulle impostazioni di sicurezza della rete wireless ma DD-WRT è uno strumento molto più potente e flessibile che permette di gestire memorie di massa di rete o trasformare il vostro access point in un centralino voip.

E se non sapete dove installarlo… provate a dare uno sguardo qui… non si sa mai che vi ritrovate una di quelle scatolette bianche casa casa… 😎

Emanuele

PS: in questa guida non è stato sfruttato nessun piccione viaggiatore. Ringrazio invece Paolo Nutini per la piacevole compagnia che mi ha fatto tutta la serata con il suo cd These Streets. 🙂

14 commenti » Scrivi un commento

  1. Ti scrivo sperando che possa darmi un mano per configurare il mio router Linksys WRT54GL aggiornato con firmware DD-WRT, v. 24.
    In pratica il mio problema è questo:
    la mia necessità è quella di impostare delle restrizioni di accesso ad alcuni pc della mia lan, ovvero impostare l’apertura soltanto di alcune porte ( 6/7 circa) e bloccare invece tutte le altre, il tutto per ragioni di sicurezza.
    L’opzione del firmware prevede che si possano bloccare tutti protocolli P2P e si possono anche bloccare fino a 4 range di IP.
    Però, chiaramente, avendo la necessità di lasciare aperte le 6/7 porte di mio interesse le 4 opzioni risultano poche.
    Avevo cercato di aggirare l’ostacolo provando a bloccare tutte le porte con una regola in restrizioni di accesso (dalla 1 alla 65535) e poi fare il Forwarding di quelle Porte di interesse.
    In tal modo, però, il tutto non funge. Puoi darmi qualche indicazione in merito ?
    Saluti

  2. come assegnare indirizzi fissi ai client della rete conoscendo il loro mac address ^^^^^^^????
    esempio mac ZZ:aa:aa: …. sempre 192.168.2.1

    grazie anticipatamente

  3. Lorenzo, hai provato ad andare su Restrizioni d’Accesso -> Accesso internet ed a creare in “Servizi Bloccati” una nuova regola con un range di porte che si fermi alla porta prima di quella da te necessaria? Poi creane un’altra che vada dalla porta successiva alla prossima porta che ti serve aperta… e così via. Credo che con 3-4 regole dovresti coprire tutto il range. A quel punto utilizza quelle nuove regole per regolare il traffico degli IP dei computer da controllare.
    GALACT, vai su Services -> Services. Nella sezione “Server DHCP” trovi ciò che fa al caso tuo. Clicca su “Aggiungi” per impostare nuovi IP fissi.
    Ovviamente non dimenticare di salvare le modifiche alla fine. 😉
    Ciao,
    Emanuele

  4. Grazie per la cortese risposta.
    La procedura che tu mi hai consigliato è quella che effettivamente ho seguito, per cui bloccando alcuni range di porte, in via residuale lascio aperte quelle non incluse. Ho, inoltre utilizzato diverse regole, tante quante sono quelle di mia necessità.
    In particolare, ho lasciato aperte le seguenti porte: 20-21-22-23-24-25-53-80-110-143-443-587-1863-8080.
    Ho abilitato la maggior parte dei protocolli presenti.
    La connessione è PPPoE. E’ stata abilitata anche l’opzione DHCP server con indirizzi e DNS statici (quelli telecom).
    Ebbene, con queste impostazioni alcuni siti si aprono senza problema (www.poste) mentre altri non si visualizzano proprio (www.ansa, http://www.ebay) mentre altri ancora li visualizzo parzialmente (www.google). La posta, invece, la scarico senza problemi.
    SPECIFICO CHE IL TUTTO SI VERIFICA OGNI VOLTA CHE RIAVVIO IL ROUTER POICHE’ SINO A QUANDO CIO’ NON ACCADE (ANCHE DOPO AVER IMPOSTATO LE SUDDETTE REGOLE) RIESCO A NAVIGARE REGOLARMENTE.
    Spero veramente che tu possa darmi una mano perchè non sò dove sbattermi la testa per poter risolvere questo problema.
    Grazie anticipate
    Lorenzo

  5. Ho provato a programmare lo spegnimento del modulo radio, ma senza riuscirci (da Impostazioni Avanzate/limitazioni tempo radio)….qualche suggerimento ?
    grazie.

    • Ciao liby, che versione di DD-WRT hai? Ti sei ricordato di applicare le modifiche una volta apportato le modifiche alla time-line (decolorando le ore in cui il segnale dev’essere off)?
      Ciao,
      Emanuele

  6. Ciao, ho un router wifi ddwrt vorrei creare una connessione a tempo per chi si connette, ad esempio non fargli superare 1 ora di connessione, legango il tutto al suo mac, come posso fare? Grazie in anticipo Marco

    • Ciao Marco, non ho un DD-WRT sotto mano, ma hai provato a guardare qui? Sembra che le “Access restricion policy” potrebbero fare al caso tuo…
      Ciao,
      Emanuele

  7. Ciao,
    ho fatto tutto quanto hai ben descritto nella guida ma i client non acquisiscono l’indirizzo del server DNS a meno che non lo imposto manualmente (8.8.8.8) su ogni device collegato. Se lascio fare tutto al DHCP l’indirizzo DNS è quello del gateway (192.168.100.253) ma così non sono collegato. Puoi consigliarmi qualche modifica alle impostazioni di dd-wrt?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.