{"id":2041,"date":"2008-05-11T23:50:35","date_gmt":"2008-05-11T21:50:35","guid":{"rendered":"https:\/\/www.dreamsworld.it\/emanuele\/?p=2041"},"modified":"2018-11-12T23:27:35","modified_gmt":"2018-11-12T22:27:35","slug":"configurare-la-propria-rete-wi-fi-con-dd-wrt-in-modo-sicuro","status":"publish","type":"post","link":"https:\/\/www.dreamsworld.it\/emanuele\/2008-05-11\/configurare-la-propria-rete-wi-fi-con-dd-wrt-in-modo-sicuro\/","title":{"rendered":"Configurare la propria rete wi-fi con DD-WRT in modo sicuro."},"content":{"rendered":"

La seguente guida utilizzer\u00e0 l’ultima versione di DD-WRT<\/a> disponibile al momento in cui scrivo (v24 RC7<\/em>).<\/p>\n

Il sistema in uso \u00e8 un MacBook con OS X Leopard, le impostazioni di DD-WRT<\/em> valgono comunque indipendentemente<\/strong> dal sistema operativo in uso.<\/p>\n

E’ una guida per persone abbastanza paranoiche<\/em> nella protezione della propria rete<\/strong> wireless. L’attivazione di alcune funzioni (come indicato pi\u00f9 avanti) potr\u00e0 essere evitata.<\/p>\n

Innanzitutto, se non abbiamo gi\u00e0 installato DD-WRT<\/em>, scarichiamolo da qui<\/a>. E’ importante scegliere la giusta versione in quanto DD-WRT<\/em> \u00e8 un software che pu\u00f2 essere installato su una miriade di apparecchi<\/a>.<\/p>\n

Nel mio caso, ho scelto dd-wrt.v24_std_generic.bin<\/em> – adatto al mio Linksys WRT54GL 1.1<\/a>.<\/p>\n

La prima cosa importante da fare \u00e8 impostare una route statica<\/em> per il nostro access point wireless (se messo “in cascata”<\/em> ad un router ad esempio).<\/p>\n

Personalmente ho preferito che il mio router (un NetGear DG834<\/a>) continuasse a fungere da server DHCP<\/a>, cos\u00ec ho impostato il LinkSys<\/em> come “client dhcp”<\/em>.<\/p>\n

Per far questo dovremo andare in Setup -> Setup Base<\/em> ed impostare la voce “Impostazioni Per L’Indirizzo Del Server (DHCP)”<\/em> come DHCP Forwarder<\/em><\/strong> ed impostando come server DHCP<\/em> l’indirizzo IP del nostro router.<\/p>\n

\"DD-WRT<\/p>\n

Questo ci permetter\u00e0 di impostare specifiche impostazioni di QoS<\/a> e traffic shaping<\/a> all’interno della nostra rete se il router che abbiamo “a monte” lo permette.<\/p>\n

Fatto questo, dedichiamoci alla sezione wireless<\/strong>.<\/p>\n

La prima cosa da fare \u00e8 scegliere un nome<\/strong> e per far questo andiamo in Wireless -> Impostazioni di Base<\/em>.<\/p>\n

Non chiamatela “Rete vostro-cognome”<\/em> o qualcosa di simile. Chi avr\u00e0 voglia di divertirsi<\/em> senza dubbio sfrutter\u00e0 a suo favore l’aver identificato a chi appartiene la rete<\/strong> (chiamasi social engineering<\/a>). Un esempio pu\u00f2 essere quello indicato qui sotto. “iwmiti”<\/em> \u00e8 l’insieme delle prime lettere<\/strong> di una frase di una canzone che adoro (riuscite ad indovinare di che si tratta?! :-)). Senza dubbio non avranno significato per chi rileva questo nome cercando una rete da attaccare.<\/p>\n

\"DD-WRT<\/p>\n

Questo aspetto non \u00e8 da sottovalutare, perch\u00e9 indipendentemente dai protocolli di cifratura utilizzati, dare un nome “appetibile”<\/em> ad un curioso \u00e8 gi\u00e0 invitarlo a tentare una intrusione<\/strong>.<\/p>\n

Continuiamo analizzando gli altri punti della scheda mostrata sopra.<\/p>\n

La “modalit\u00e0 wireless”<\/em><\/strong> \u00e8 una particolarit\u00e0 che rende DD-WRT<\/em> un prodotto completo (non tutti gli access point domestici lo permettono). E’ possibile impostare l’access point come ponte tra reti diverse o come ripetitore. Se noi vogliamo solamente creare la nostra rete casalinga<\/strong>, ci baster\u00e0 impostare quella voce in “AP<\/em>“.<\/p>\n

“Modalit\u00e0 di rete wireless”<\/em><\/strong> indica lo standard wireless<\/a> da utilizzare. Se avete apparecchi di ultima generazione<\/em> (tutti i portatili degli ultimi 3 anni sicuramente) potete benissimo scegliere di restringere<\/strong> la modalit\u00e0 wireless a “Solo-G”<\/em>. Questo impedir\u00e0 ad apparecchi pi\u00f9 vecchi di collegarsi alla rete. Se non siete sicuri delle specifiche dei vostri device<\/em> scegliete la modalit\u00e0 “Mista”<\/em>.<\/p>\n

Restringere lo standard non aumenta la sicurezza in maniera particolare, semplicemente obbligher\u00e0<\/strong> a chi tenter\u00e0 di accedere alla vostra rete di avere un apparecchio recente<\/em>. Non si sa mai che il vostro “vicino curioso” si ritrovi con una vecchia schedina wi-fi che funziona solo in modalit\u00e0 B<\/em>… \ud83d\ude42<\/p>\n

A seguire, in quella pagina troviamo “Broadcast Del SSID Wireless”<\/em><\/strong>. Questa \u00e8 una scelta abbastanza<\/strong> importante. Comincio col dire che, ad esempio, l’iPod Touch<\/a> con il firmware di default non rileva le reti wireless “nascoste”. So che in rete \u00e8 presente un software che gli permette di aggirare il problema, ma non l’ho mai provato. Il mio MacBook con Leopard<\/a> invece non ha alcun problema e – che io sappia – neanche i portatili con Windows XP\/Vista<\/a> dovrebbero aver problemi a collegarsi ad una rete nascosta<\/strong>.<\/p>\n

Qual \u00e8 il vantaggio?<\/em> Una rete con SSID<\/a> nascosto non verr\u00e0 elencata<\/strong> nelle utility di selezione delle reti del sistema operativo. Se il nostro aggressore non utilizzer\u00e0 software particolari, non si accorger\u00e0<\/strong> neanche della presenza della nostra rete.<\/p>\n

Va da se che almeno la prima volta la rete dovr\u00e0 essere “visibile” per permettere una connessione pi\u00f9 agevole. Dopodich\u00e9 potremo impostarla come “invisibile”.<\/p>\n

Il “canale wireless”<\/strong><\/em> indica infine il range di frequenze<\/em> sul quale il nostro access point trasmetter\u00e0<\/strong> i dati. Per evitare interferenze (e dunque subire un decadimento delle prestazioni del collegamento) \u00e8 bene lasciar scegliere all’access point la frequenza pi\u00f9 libera. Se invece state impostando una rete particolare (con pi\u00f9 access point ad esempio), potreste voler scegliere manualmente le frequenze da utilizzare (magari distanziandole il pi\u00f9 possibile per evitare interferenze…).<\/p>\n

Vi ricordo che ogni volta che cambieremo scheda del pannello di controllo dovremo ricordarci di cliccare quantomeno su “Salva impostazioni”<\/em>.<\/p>\n

Fatto questo, spostiamoci nel pannello Wireless -> Wireless Security.<\/em><\/p>\n

\"DD-WRT<\/p>\n

In questo pannello dovremo scegliere il protocollo di cifratura<\/strong> da utilizzare. Nuovamente, se non abbiamo device wireless<\/em> datati, possiamo scegliere con tranquillit\u00e0 la “WPA2 Personal”<\/em>. In caso contrario abbassiamo il livello di sicurezza a “WEP<\/em>” o, nel peggiore dei casi, a “Disabilitato”.<\/em><\/p>\n

E’ importante ricordarsi che il WEP<\/a> \u00e8 un protocollo di cifratura ormai obsoleto ed insicuro<\/strong>. Nel 2001 \u00e8 stato “bucato” e da allora \u00e8 possibile, nel giro di poche ore ed un po’ di pazienza, riuscire ad accedere ad una rete che utilizza questo protocollo.<\/p>\n

Va comunque considerato che il WPA2<\/a>, sebbene rappresenti il miglior protocollo di cifratura attualmente disponibile<\/strong>, non \u00e8 sempre funzionante sotto Windows<\/a>. In tal caso potreste voler scegliere la voce “WPA Personal”<\/em> che rappresenta comunque un buon compromesso per la sicurezza della vostra rete.<\/p>\n

Scelto il protocollo, dovremo scegliere l’algoritmo di cifratura dell’handshaking<\/a> da utilizzare. Se non avete esigenze particolari (per l’ennesima volta, dipende dai vostri device), potrete scegliere l’AES<\/a> che \u00e8 un algoritmo pi\u00f9 sofisticato (e potenzialmente pi\u00f9 sicuro) del TKIP<\/a>.<\/p>\n

Infine, cosa pi\u00f9 importante di tutte: la password<\/strong>. Inutile iniziare a fare qui le solite disquisizioni su come creare una password sicura<\/a>. Io personalmente sono affezionato al mio password manager<\/a>, in ogni caso, vi lascio un link su tutti<\/a>.<\/p>\n

E’ importante<\/strong> che la password sia quanto pi\u00f9 randomica e lunga<\/strong> possibile. Esistono programmi che tentano attacchi brute force<\/a> per scoprirla (in parole povere: se non puoi saperla, scoprila a tentativi!<\/em>).<\/p>\n

Fatto questo, salviamo le impostazioni.<\/p>\n

La parte di guida che segue adesso, \u00e8 indicata per i pi\u00f9 paranoici<\/em> o comunque coloro che vogliono utilizzare pi\u00f9 impostazioni possibili per rendere inaccessibile una rete<\/strong> ad un aggressore. Se avete seguito pedissequamente quanto detto fin qui la vostra rete \u00e8 gi\u00e0 protetta ad un livello sicuramente maggiore dell’attuale livello nazionale<\/em> in cui le reti “non protette” spopolano ad ogni angolo della strada. \ud83d\ude42<\/p>\n

Tutto ci\u00f2 che segue, \u00e8 un gradino in pi\u00f9, una difficolt\u00e0 in pi\u00f9 che metteremo per far perdere la voglia<\/strong> “al curiosone” di tentare un attacco verso la nostra rete.<\/p>\n

In ogni caso… andiamo avanti e spostiamoci nel pannello Wireless -> Filtro MAC<\/em>.<\/p>\n

\"DD-WRT<\/p>\n

A questo punto \u00e8 doverosa una spiegazione. Ogni periferica hardware di rete ha una specie di “targa”<\/strong> chiamato indirizzo fisico<\/em> (o MAC<\/a>) che identifica univocamente a livello mondiale<\/strong> quella periferica. “Filtrare i MAC”<\/em> significa dire al dispositivo quali “targhe” possono accedere alla nostra rete (un po’ come i limiti anti-inquinamento nei centri storici delle nostre citt\u00e0…<\/em>). Se non sapete come trovare l’indirizzo MAC della vostra scheda di rete wireless, date uno sguardo qui<\/a>.<\/p>\n

\"DD-WRTTrovato l’indirizzo MAC dovremo aggiungerlo alla tabella come indicato nella figura qui a sinistra, ricordandoci di cliccare su “Salva impostazioni”<\/em> in basso prima di chiudere la finestra.<\/p>\n

Impostare un filtro sugli indirizzi MAC ovviamente aumenter\u00e0 la sicurezza della nostra rete perch\u00e9 l’aggressore dovr\u00e0 avere una “targa valida” per poter entrare. E’ comunque possibile, molto facilmente<\/strong>, falsificare<\/a> l’indirizzo MAC, cos\u00ec non \u00e8 saggio<\/strong> affidarsi esclusivamente al filtro MAC per proteggere la propria rete.<\/p>\n

Se non l’abbiamo ancora fatto, possiamo anche cliccare su “Applica”<\/em> in modo da applicare tutte le modifiche fatte fin ora.<\/p>\n

Un altro aspetto da non sottovalutare<\/strong> per proteggere bene una rete \u00e8 stabilire quando dovr\u00e0 funzionare<\/strong>. Lasciare attiva una connessione wireless (potenzialmente accessibile, molto comodamente, al di fuori della nostra propriet\u00e0) \u00e8 come non abbassare le serrande di casa quando sappiamo che dobbiamo partire. Chi vuol attaccarci avr\u00e0 tutto il tempo che vuole (mattina, pomeriggio, notte…) per effettuare i suoi tentativi d’attacco.<\/p>\n

Spegnete la rete quando non vi serve!<\/strong><\/p>\n

DD-WRT<\/em> se associato ad un access point LinkSys<\/em> (e non so a quale altri modelli), offre un comodo pannello di gestione raggiungibile nella scheda Wireless -> Impostazioni Avanzate<\/em>.<\/p>\n

\"DD-WRT<\/p>\n

Selezionate le ore<\/strong> in cui non fate uso della vostra rete. Io ad esempio preferisco che si spenga durante la notte<\/strong> (meglio dormire che perder tempo su internet…<\/em>) e le ore in cui sono sicuramente fuori casa. Ovviamente in base alle proprie necessit\u00e0 \u00e8 sempre possibile effettuare delle modifiche in futuro.<\/p>\n

Per gli access point che abbiano installato DD-WRT<\/em> e non presentano questo pannello (ad esempio il firmware per gli access point FON<\/a>), \u00e8 pur sempre possibile spegnere il modulo “radio” tramite semplici crontab<\/a>.<\/p>\n

\"DD-WRTInfine, per concludere la messa in sicurezza<\/em> del nostro access point, non dimentichiamoci di cambiare nome utente e password di default<\/strong> dal pannello Amministrazione -> Gestione<\/em>: non sottovalutiamo la possibilit\u00e0 di un attacco dall’interno<\/strong>. \ud83d\ude42<\/p>\n

Per rendere ancora pi\u00f9 difficile le cose all’aggressore lasciamo attivo solo<\/strong> il protocollo HTTPS<\/em> per accedere al pannello di controllo: \u00e8 molto probabile<\/strong> che il nostro simpatico curiosone tenti di collegarsi al pannello di gestione utilizzando l’HTTP<\/em>, o se siamo ancora pi\u00f9 pratici possiamo disattivare totalmente l’accesso tramite pannello web per sfruttare esclusivamente l’accesso ssh<\/a> tramite console.<\/p>\n

Vi ricordo comunque che per effettuare un backup delle impostazioni o un aggiornamento del firmware sar\u00e0 necessario accedere via HTTP al pannello di gestione di DD-WRT.<\/p>\n

Non sottovalutate la potenza di DD-WRT<\/a>. Questa guida si \u00e8 concentrata esclusivamente<\/strong> sulle impostazioni di sicurezza della rete wireless ma DD-WRT \u00e8 uno strumento molto pi\u00f9 potente e flessibile che permette di gestire memorie di massa di rete o trasformare<\/strong> il vostro access point in un centralino voip.<\/p>\n

E se non sapete dove installarlo… provate a dare uno sguardo qui<\/a>… non si sa mai che vi ritrovate una di quelle scatolette bianche<\/em> casa casa… \ud83d\ude0e<\/p>\n

Emanuele<\/strong><\/p>\n

PS: in questa guida non \u00e8 stato sfruttato nessun piccione viaggiatore. Ringrazio invece Paolo Nutini<\/em> per la piacevole compagnia che mi ha fatto tutta la serata con il suo cd These Streets<\/em>. \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"

La seguente guida utilizzer\u00e0 l’ultima versione di DD-WRT disponibile al momento in cui scrivo (v24 RC7). Il sistema in uso \u00e8 un MacBook con OS X Leopard, le impostazioni di DD-WRT valgono comunque indipendentemente dal sistema operativo in uso. E’ … Leggi ancora →<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[3],"tags":[2719,2732,441,1622,1179,2052],"class_list":["post-2041","post","type-post","status-publish","format-standard","hentry","category-computer","tag-cifratura","tag-dd-wrt","tag-protezione","tag-router","tag-sicurezza","tag-wireless"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts\/2041","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/comments?post=2041"}],"version-history":[{"count":0,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts\/2041\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/media?parent=2041"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/categories?post=2041"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/tags?post=2041"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}