Indipendentemente da chi sia di volta in volta a pronunciarsi, è indiscutibile che il tema del Wi-Fi

è stato ed è tuttora uno dei più dibattuti. Quasi sempre la questione principale su cui ci si confronta

su questo argomento è relativa ai livelli di sicurezza della tecnologia, degli apparati o degli

standard, e ciò che varia è l’inclinazione delle opinioni a seconda di chi le esprime.

Normalmente più ottimisti i Vendor, più titubanti e conservativi gli utilizzatori.

Tuttavia, nonostante tutto l’inchiostro e tutti i convegni già spesi sulla sicurezza del Wi-Fi, c’è

probabilmente ancora spazio per qualche ulteriore riflessione nel tentativo di mettere questo

argomento in una prospettiva forse meno semplicistica del solito, che probabilmente sfaterà

qualche mito e, sperabilmente, fornirà qualche spunto per comprendere meglio quali effettivamente

siano le problematiche relative all’utilizzo delle tecnologie Wi-Fi, ma anche le relative best

practice.

 

     Sul piano tecnologico il Wi-Fi va certamente considerato come un’ulteriore evoluzione dell’affermata

tecnologia Ethernet per il trasporto di dati voce e video, in perfetto connubio con

l’Internet Protocol (IP). Un Wireless Ethernet insomma che si aggiunge agli altri tasselli di

questa evoluzione -quali l’Ethernet 10/100, il Gigabit Ethernet, il Long Reach Ethernet- come

estensione delle modalità di accesso alle reti: attraverso onde radio anziché, o meglio, a complemento

degli accessi cablati. Da un punto di vista tecnologico è quindi opportuno considerare

il Wi-Fi non tanto come un argomento a sé stante, bensì nella più ampia prospettiva dell’evoluzione

dell’internetworking e quindi come ulteriore elemento che entra a far parte di una

infrastruttura di rete, arricchendola di nuove funzionalità e servizi.

 

     L e caratteristiche funzionali, i livelli di prestazione e la relativa semplicità offerte dalle soluzioni

WLAN (Wireless LAN) sono poi alla base, non solo della loro progressiva e rapida diffusione,

ma anche dei significativi cambiamenti nel modo di lavorare, e di passare parte del nostro

tempo libero. Per quanto riguarda l’impiego in ambito professionale, semplificando e rendendo

più pervasivo l’accesso alle reti e alle risorse aziendali condivise, il Wi-Fi fornisce un contributo

determinante alla mobilità, al miglioramento della struttura dei costi e dei livelli di produttività

individuale degli utenti.

 

La SICUREZZA nel Wi-Fi

Le famigerate problematiche di Sicurezza possono essere riassunte

in due questioni fondamentali:

• la riservatezza delle connessioni , vista la possibilità

che chiunque nel raggio di copertura possa

ricevere le onde radio e intercettare i pacchetti

trasmessi;

• l’autenticazione delle connessioni , visto che,

mancando un collegamento fisico, chiunque si

trovi nella zona di copertura può tentare di attivare

un collegamento.

     C ertamente il peso relativo di queste due componenti varia in base al contesto di utilizzo che

si fa della tecnologia Wi-Fi e (sfortunatamente) non esiste un’unica regola d’oro da applicare.

Al contrario, ciò che va certamente seguito è il principio generale del mantenimento

del controllo, evitando installazioni non autorizzate e attivando i meccanismi di sicurezza

adeguati ai livelli di rischio connessi all’utilizzo che se ne farà. Per comprendere come da questo

principio possano discendere scelte anche molto differenziate, basti pensare ad applicazioni assai

diverse tra loro come ad esempio l’impiego del Wi-Fi in ambito medicale/ospedaliero per l’accesso

in corsia ai dati di cartella clinica dei pazienti, piuttosto che l’utilizzo domestico per la

consultazione delle previsioni del tempo o la prenotazione dei posti al cinema, o ancora l’aggiornamento

in tempo reale dei dati di magazzino in un ambito di automazione della logistica.

Passando quindi ad esaminare più da vicino la tecnologia, è forse opportuno soffermarsi sui

fattori che costituiscono la sicurezza della reti wireless, contestualizzando queste considerazioni

a 802.11.

802.11

    L a sicurezza dell’802.11 gravita dunque attorno ad autenticazione e cifratura.

Entrambe le implementazioni possono essere compromesse con estrema facilità e con software

liberamente disponibile sulla rete

 

In Wireless,

associarsi all’accesspoint è la scelta dell’accesspoint con in quale collegarsi, con un certo

grado di superficialità si può pensare che sia l’equivalente di collegare il cavo dal PC allo switch

nelle reti tradizionali.

 

    L’ autenticazione in un sistema Wi-Fi si basa su due modelli, quello di open authentication e

quello di shared key. Nel primo qualunque client può associarsi ad un access point, con l’unica

discriminante del SSID (Service Set Identifier), che non deve comunque essere scambiato per

un accorgimento di sicurezza in quanto viaggia in chiaro.

L’eventuale utilizzo del WEP (vedi oltre) fa sì che, successivamente alla associazione,

non sia possibile l’invio/ricezione di dati se non si conosce la chiave condivisa da client ed

accesspoint. Nel modello della shared key invece l’associazione all’accesspoint è già direttamente

subordinata alla condivisione fra client ed accesspoint di una stessa chiave.

Per associarsi il dispositivo client manda una richiesta di associazione,

alla quale l’access point risponde con un challenge inviando un testo in chiaro che il

client deve reinviargli cifrandolo con la chiave condivisa. Decifrando infine quanto ricevuto e

ottenendo nuovamente il challenge originario l’access point è quindi in grado di stabilire con

certezza che il client è effettivamente in possesso della chiave predefinita e l’associazione viene

quindi permessa.

Della confidenzialità dei dati in wireless si occupa invece il WEP, che prevede anch’esso che AP

e dispositivi client condividano la stessa chiave con cui cifrare i dati. L’algoritmo di cifratura utilizzato

è l’RC4 e secondo lo standard le chiavi di cifratura devono avere una lunghezza di 40-bit.

In effetti, quasi tutti i vendor implementano anche chiavi a lunghezza superiore, 128-bit, il

che migliorano il livello di sicurezza, anche se è stato comunque dimostrato che su una rete sufficientemente trafficata tramite l’utilizzo di strumenti liberamente disponibili su internet ed un

campionamento di frames di una quindicina di minuti è possibile risalire alla originaria chiave

di cifratura anche nel caso di chiavi a 128 bit.

Possiamo dunque dire che l’intero framework di sicurezza dell’802.11 si basa sulla chiave di cifratura

condivisa, utilizzata sia per la fase di autenticazione, sia per la cifratura a garanzia della

confidenzialità dei dati in transito. A questo proposito una ulteriore opportuna considerazione

riguarda la gestione delle chiavi.

 

Wep

La chiave WEP dev’essere - si è detto - condivisa fra accesspoint e dispositivi che vi si collegano, tuttavia lo standard 802.11 non prevede nessun metodo di distribuzione della chiave stessa. La distribuzione

manuale comporta svariati problemi. Su numeri elevati di dispositivi l’amministratore

deve farsi carico manualmente di inserire la chiave. In caso di perdita o furto di uno dei

dispositivi, a garanzia degli altri la chiave dev’essere cambiata su tutti; oltretutto il fatto che un

amministratore sia in grado di stabilire che si è reso necessario un rekeying su tutte le macchine

poiché una di esse è in mano ad estranei, dipende dalla buona volontà degli utenti di denunciare

tempestivamente l’accaduto. Si è anche già fatto riferimento al fatto che esistono strumenti

liberamente disponibili in rete per decifrare le chiavi di cifratura; questo comporta che, al

momento in cui una chiave sia (facilmente, si è visto) compromessa, nulla è dato sapere all’amministratore

di sistema circa la compromissione che impatta l’intera infrastruttura wireless.

 

Ulteriori considerazioni

Ulteriori considerazioni sulla sicurezza che è opportuno fare, sono poi quelle riguardanti le

interferenze . Altri apparecchi radio e non, come ad esempio i forni a microonde, possono trasmettere

su frequenze simili e causare interferenze agli apparati Wi-Fi, rischiando di causare

interruzioni del servizio. Anche i cosiddetti rogue access point (ovvero quegli accesspoint cioè che grazie alla economicità e facilità di installazione vengono utilizzati ad insaputa degli amministratori di rete da dipendenti dell’azienda che si danno da soli la libertà di movimento), pongono un serio problema: una implementazione di questo tipo, totalmente lasciata al singolo individuo non solo non dà alcuna garanzia di sicurezza (molto dibattuto è anche l’argomento dei defaults di installazione, che privilegiano l’immediatezza

della installazione a scapito della sicurezza), ma rischia addirittura di creare una falla nella policy di sicurezza aziendale abbassandone drasticamente il livello. Queste ultime due considerazioni piuttosto che a tecnologiche, afferiscono all’ambito organizzativo: è infatti molto importante che una policy di sicurezza stabilisca appositi ambienti dove la copertura wireless è garantita, dove è proibita, e quali devono essere gli standard minimi di sicurezza che debbano essere utilizzati in ambito wireless.

Sintetizzando, si può affermare che per un utilizzo aziendale il livello di sicurezza offerto dagli attuali standard wireless, non è sufficiente. Si rendono quindi necessarie delle estensioni allo standard a garanzia della sicurezza, a questo hanno ovviamente pensato molti, se non tutti, dei vendor di hardware per le WLAN. Si è pensato ad esempio di sfruttare il framework di autenticazione delle VPN IPSec; all’Extensible Authentication Protocol (EAP) utilizzato in congiunzione ad 802.1x, che permette di fare una autenticazione a livello 3 sfruttando framework di autenticazione più sofisticati e preesistenti come RADIUS, Dominio NT, Active Directory, LDAP, utilizzando sia password statiche che password di sessione (OTP), o certificati digitali; altri vendor hanno soluzioni specifiche che con l’utilizzo di appositi client implementano protocolli di cifratura più robusti come l’AES, o garantiscono una autenticazione più sofisticata rispetto agli standard; altre soluzioni prendono poi in considerazione il puro e semplice utilizzo di SSL, IPSec sfruttando i client già integrati nei sistemi operativi o in alcuni applicativi; in fondo il tunneling cifrato assolve esattamente al compito di attraversare in sicurezza una rete che non si ritiene sicura.

Questa via, già intrapresa dai vendor, però risolve il problema solo in modo parziale, essendo percorribile solo fintanto che si resti in ambienti basati su tecnologia di un singolo vendor, non essendo l’interoperabilità ovviamente garantita al di fuori di questo ambito. Paradossalmente possiamo forse dire che le estensioni proprietarie introducono un ulteriore livello di complessità e disomogeneità; e sicurezza e complessità sono un ossimoro.

 

Cosa fare!?!?

    Q uali sono, a questo punto, le vie realmente percorribili per chi desidera da una wireless LAN un livello di sicurezza adeguato? Estensioni proprietarie e VPN, quindi sostanzialmente due. O tre, forse. Il consorzio wi-fi ( http://wi-fi.org ) è un organismo indipendente che si fa carico di verificare l’interoperabilità di apparati fra diversi vendor, ed il risultato è molto semplice:

 

            

 

la presenza del bollino wi-fi equivale ad “interoperabilità testata e garantita”.

 Fra le altre attività del consorzio wi-fi c’è stato quello di porsi esattamente il problema della sicurezza sulla base delle considerazioni qui riassunte, indirizzando quindi questo aspetto con uno standard. Ne è derivato il WPA (Wi-fi Protected Access), che, pur non essendo uno standard IEEE, è basato sul futuro standard 802.11i.

 

WPA

A l momento in cui l’articolo è scritto questo standard è ancora in fase di sviluppo, e nell’attesa - per cercare una soluzione a breve scadenza - alcuni dei partecipanti al consorzio wi-fi hanno deciso, assieme a membri del gruppo di lavoro IEEE 802.11i, di sviluppare appunto il Wi-fi Protected Access. Il WPA incorpora dunque alcune significative tecnologie volte a migliorare il livello di sicurezza delle reti wireless, tra cui:

 

• Gestione dell’autenticazione con l’utilizzo di

    EAP/802.1x , che apre nuovi orizzonti all’autenticazione

    dei dispositivi e degli utenti, grazie all’apertura

    verso sistemi di autenticazione già consolidati

    (come RADIUS, per dirne uno)

• Temporary Key Integrity Protocol (TKIP), grazie

    al quale è possibile che il WEP processi la cifratura

    con una chiave dinamica, che essendo tale

    annulla quindi il rischio che un attaccante possa

    campionare un numero di pacchetti sufficienti e

    quindi risalire alla chiave se questa è statica per

    tutte le sessioni e per l’intera loro durata.

• Message Integrity Check (MIC), sostanziale

    miglioria a garanzia dell’integrità dei pacchetti.

    Una fondamentale caratteristica del WPA è che,

    salvo casi particolari, è possibile implementarlo

    sull’equipaggiamento già esistente, mediante un

    semplice aggiornamento del software.

 

 

Conclusione delle considerazioni..

L ungi dal voler stabilire quale sia il metodo in assoluto migliore per innalzare il livello di sicurezza delle WLAN, in alcuni casi il WEP è sufficiente(ad esempio per un saltuario uso domestico), mentre in una situazione hot-spot la VPN IPSec a carico dell’utilizzatore è probabilmente il metodo più raccomandabile, e infine, nell’attesa del rilascio dello standard 802.11i, per un uso aziendale il WPA si presenta, tutto sommato, come un buon compromesso.

Ciò che è davvero importante è dunque - e come sempre - acquisire un livello di consapevolezza dei pro e dei contro di qualunque questione, per poter godere a pieno dei primi, prendendo tutte le ragionevoli contromisure per contenere i secondi. Il Wi-Fi è indiscutibilmente una tecnologia molto flessibile, economica e soprattutto utile in molteplici contesti di utilizzo. Tuttavia, applicazioni diverse hanno implicazioni diverse, sia in termini di livello di rischio associato, sia in termini di strumenti e misure da adottare per contenerlo, e la matura adozione di questa tecnologia passa proprio dalla comprensione delle varie implicazioni associate e dalla consapevolezza che esistano anche gli strumenti e i metodi per un suo impiego sicuro. 

( ( Tipi di WLAN ) )

 

Ad-Hoc

Consente di effettuare una connessione tra due o più computer direttamente senza l’ausilio di un Access Point, si comporta come una rete P2P per essere un pò più chiari...e sinceramente è tra le meno utilizzate e addirittura sconosciute.

In tutti i computer è elencata nelle modalità di connessioni wireless e può essere utilizzata per connettere due computer domestici anche se è sempre preferibile un access point

Access Point

Senza dubbio la tipologia più diffusa..Ha molte varianti basti pensare che si può collegare un access poin ad un server o direttamente alla rete di internet (e lo pùo fare tramite router DSL o tramite ingresso Ethernet), a seconda dell’access poin si possono avere servizi di router e DHCP per la configurazione della proria rete...

La redazione di ScritchWorld è fornita di un ROUTER Wireless DHCP D-Link e di due Access Point D-Link.Il resto della rete è configurato tramite due switch che mettono in comunicazione i due server (Windows e Linux) con il resto dei computer Mac e Win, il tutto (garantiamo noi..) è compatibile e funzionante...

 

 

Extension Point

Se il cablaggio è il vostro problema questa è l’unica soluzione se dovete far comunicare un computer o una parte di una rete con il resto e siete impossibilitati fisicamente (edifici separati, impossibilità di effettuare dei lavori, o eccessiva distanza dalla rete principale), come è possibile immaginare così facendo si ha una diminuzione delle prestazioni rispetto ad una connessione diretta, ma è un minimo prezzo da pagare rispetto ai grandi vantaggi...

Per far ciò il procedimento è molto semplice soprattutto se si usano Access Point con la capacità pre-installata come quelli della D-Link (menzionati per l’ottima proporzione qualità prezzo), nella maggior parte dei casi e dei  modelli si imposta il MAC address dei due AP in modo che i due siano identificati in modo inequivocabile.

Roaming

Questo è un argomento molto particolare della connessione Wireless e sopratutto di quella riguardante i computer...

Dato che la  natura stessa del wireless è instabile, una cossessione con roaming o hand over (cioè la capacità di dare una copertura del segnale tra due acces poit continuativa senza caduta di connessione) è molto difficile se non impossibile a livelli economici in quanto proprio i portatili tendono a collegarsi all’access poin con il segnale più forte senza possibilità alcuna di decisione all’AP.

Una possibilità è quella di confondere i portatili impostando per tutti gli AP:

1. - Stesso canale di funzionamento

2. - Stesso nome di AP

3. - Stesso nome di SSID (nome del WLAN)

4. - Stessa tipologia di chiave e stessa password

 

Praticamente stiamo ingannando il portatile o qualsiasi altro dispositivo che vedrà sempre lo stesso Access Point anche se in sostanza nel momento di passaggio tra uno e l’altro avremo uno “scatto” anche se non percepibile dal computer con una possibile eccezione se siamo in fase di download di un file.

 

REFERENZE (in inglese) :

Security of the WEP Algorithm:

http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

Your 802.11 Wireless Network has No Clothes:

http://www.cs.umd.edu/~waa/wireless.pdf

Weaknesses in the Key Scheduling Algorithm of RC4:

http://www.cs.umd.edu/~waa/class-pubs/rc4_ksaproc.ps

Using the Fluhrer, Mantin, and Shamir Attack to Break Wired Equivalent

Privacy (WEP):

http://www.cs.rice.edu/~astubble/wep/wep_attack.pdf