Rete WiFi aperta o chiusa?

domenica 17 agosto 2008 – 16:50

Con la rapida diffusione dei router wireless una domanda cruciale che ci si pone spesso è se lasciare aperta o meno la propria rete wireless. Si, lo so, sembra una domanda retorica. In realtà non lo è, se pensiamo che fior fior di esperti di sicurezza informatica non ha problemi a condividere la propria banda, come pure alcuni famosi blogger italiani.

So anche che il 90% delle reti aperte è tale per ignoranza di chi (non) ha configurato il router, acquistandolo e accendendolo senza alcuna minima configurazione. Qui però non parliamo di questo, ma di persone che scelgono volontariamente di lasciare aperta la propria rete per permettere a visitatori, conoscenti, amici, o semplicemente a dei passanti di utilizzare la propria connessione ad internet.

Personalmente io sono per una rete aperta. Aldilà delle questioni legali, non sarebbe fantastico se in qualunque posto vi poteste trovare esistesse una rete aperta per controllare la posta? Detto questo, sappiamo anche che il mondo non è quello del Candido di Voltaire, che ci sono un sacco di persone cattive e di brutte cose, o semplicemente persone che prendono tutto senza dare nulla in cambio.

E allora come conciliare la disponibilità di banda con la sicurezza?

Un po’ ci ha pensato Fon, il cui programma consiste proprio nella condivisione dell’accesso a Internet tra gli utenti minimizzando i rischi ed evitando i leechers. Il sottoscritto è un utente Fon dagli inizi, ma vista la ristrettezza mentale italiana e la bassa diffusione, in tre anni non ho mai avuto modo di poterne usufruire.

Una possibile alternativa a Fon è proprio quella di lasciare la rete aperta. Ma è veramente così pericoloso?

Proteggersi dalle intrusioni

Supponendo che tutte le macchine collegate alla rete wireless siano aggiornate e configurate a dovere (e questo sottintende avere installato tutte le patch per il proprio SO e l’evitare condivisioni di cartelle a gogo), i propri dati sarebbero in ogni caso al sicuro. Inoltre, come sottolinea Schneier, mantenere una macchina aggiornata significa essere più sicuri anche quando si viaggia e ci si connette ad AP sconosciuti.

Le uniche “questioni aperte” a questo punto rimangono l’eavesdropping e i possibili malintenzionati.

Eavesdropping

Come noto, esistono diversi livelli di sicurezza per restringere l’accesso alle reti wireless. Grossomodo possono essere suddivisi in tre categorie:

  • Mascheramento della rete
  • Controllo di accesso
  • Crittografia

Il mascheramento della rete consiste semplicemente nell’eliminazione della trasmissione dei beacon, ovvero del segnale contenente l’SSID della rete trasmesso in broadcast. E’ il livello di protezione più basso, in quanto basta un semplice sniffing del traffico di client già associati per ricavare l’SSID della rete e connettersi.

Il controllo di accesso invece non è altro che il blocco basato sull’indirizzo MAC del client. Noto anche come blocco ACL (Access Control List), si basa sugli indirizzi MAC dei client per permettere o rifiutare la connessione. Anche qui il livello di sicurezza è molto basso, in quanto basta un semplice MAC spoofing per modificare l’indirizzo MAC di un client e quindi “ingannare” l’AP.

Il vero grosso problema di entrambe le tecniche è l’eavesdropping: i dati in ogni caso vengono trasmessi in chiaro, senza alcun tipo di protezione. Quindi, a meno di utilizzare protocolli di sicurezza di livello superiore a quello fisico o di utilizzare metodi di accesso basati sulla crittografia (WEP, WPA, WPA2), ogni singolo bit può essere catturato da un malintenzionato, che può leggere in un modo semplicissimo conversazioni IM, mail e siti visitati.

Se si decide di lasciare la propria rete aperta senza alcuna contromisura l’eavesdropping è inevitabile. Esistono tuttavia diverse tecniche, come l’utilizzo di IPsec o di semplici tunnel SSH (lasciate qualche commento se siete interessati a questo) che permettono di crittare il traffico ed evitare l’eavesdropping.

Da ultimo, le tecniche basate sulla crittografia (WEP, WPA, 802.11i/WPA2) sono più sicure, adottando esse un approccio crittografico (sono basate sulla primitiva RC4), anche se tuttavia l’implementazione pratica della WEP l’ha resa sostanzialmente insicura, mentre WPA e WPA2 sono ragionevolmente sicure se viene scelta una password adeguata.

Possibili malintenzionati

Quella dei “malintenzionati” è la carta tra le più giocate tra i detrattori del wifi libero, a partire dai governanti per scendere ai fantomatici esperti di sicurezza il cui unico scopo è di recensire antivirus e antimalware per il loro portaletto pro-windows. In ogni caso, con la grande importanza che sta assumendo Internet, è sempre maggiore anche la “quantità di danno” che si può arrecare tramite la rete.

Per evitare tali problemi è possibile aprire il proprio router permettendo solo alcune tipologie di traffico (ad esempio HTTP e IM, oppure HTTP e POP3). In tal modo si evita l’utilizzo di programmi P2P e si permette al tempo stesso la navigazione web e la ricezione di posta.

Quindi?

Come è possibile quindi conciliare tutti questi requisiti di sicurezza lasciando la propria rete aperta? La scelta che ho fatto personalmente è quella di utilizzare un router wireless Linksys WRT54GL, installare il firmware linux-based DD-WRT, e, tramite esso, attivare due reti wireless.

La prima rete è criptata con WPA2, ed è quella che utilizzo per scopi personali assieme ai miei familiari. La seconda rete, virtuale, è completamente aperta, logicamente separata dalla prima, e configurata in modo tale da isolare ogni singolo client collegato (evitando quindi che due client insicuri costituiscano un pericolo per i dati presenti su ognuno di essi) e da permettere solo alcune tipologie di traffico (HTTP, IM, POP3, SMTP, FTP, SSH).

Questo, combinato eventualmente ad una blacklist MAC per i client che regolarmente divorano troppa banda tutti i giorni (i vicini leechers), mi permette di garantire accesso pubblico e al tempo stesso proteggere la mia rete.

E voi? Come è configurata la vostra rete casalinga? Lasciate un commento per parlarne, o anche solo per maggiori informazioni sulla specifica configurazione di DD-WRT.

Tags: , , , , , , , , ,

  1. 7 risposte a “Rete WiFi aperta o chiusa?”

  2. Direi che se la chiudi devi tener ben presente se farlo con 8 o 16 caratteri, che mi dicono gli 8 essere troppo semplice; Ad ogni modo dimentichi che su certi router se si chiude la wireless danno problemi di instabilità del segnale o addirittura di segnale insufficiente. Comunque se avessi una Wifi qui, sicuramente la terrei chiusa senza tanto pensarci, anche se è impossibile che uno mi si colleghi, senza esser visto, dato che la casa più vicina è a 200 metri l.a.!

    di Mauri83 ITALY | 18 ago 2008 - 17:08

  3. @Mauri83: quello di cui parli tu è il WEP, altamente insicuro.

    di Stefano ITALY | 18 ago 2008 - 17:10

  4. Perdona la mia domanda/ignoranza, ma ti riferisci quello da 8 o da 16 caratteri?

    di Mauri83 ITALY | 18 ago 2008 - 21:40

  5. @Mauri83: entrambi.

    di Stefano ITALY | 18 ago 2008 - 22:08

  6. Un raro moto di generosità devo dire… la tua soluzione sembra quella più sicura.
    E’ sempre una questione di capacità purtroppo: limitarsi a concedere a tutti l’accesso inconsapevolmente e senza sapere come tutelarsi non mi sembra una scelta saggia.

    di http://www.pepeneroblog.com/ ITALY | 30 ago 2008 - 13:53

  7. Personalmente ritengo concettualmente un’ottima cosa la rete aperta. Nel mio edificio Fastweb non arriva e non intendo fare contratti con Telecom, che mi ha fatto “arrabbiare” troppe volte. ora sto scrivendo tramite rete aperta di “nonsochi”. Al prossimo imminente trasloco chiederò un collegamento ADSL con Router Wi-Fi e lo lascerò senz’altro aperto. La moglie non la presto, la macchina forse, ma per internet non ho problemi: cosa mi cambia se navighi con il mio router? i dati personali e sensibili non li tengo sul PC collegato ad internet! Se poi fate riferimento a router di aziende che temono lo spionaggio industriale è un altro discorso, io nel mio piccolo ho solo un PC casalingo, e se qualcuno mi chiede una informazione per strada sono ben contento di dargliela. Non temo talebani che usino il mio collegamento internet per inviare piani di terrorismo in partia, o pedofili e brigatisti. Non amo una società in cui ogniuno pensa esclusivamente a se stesso e chiede o pretende senza mai dare. Se avessi un prato privato lo lascerei senza recinto, e magari ci metterei anche una panchina per gli ospiti. Ma ne avete mai visto uno senza recinto? è un mio personalissimo concetto di civiltà.

    di Luciano ITALY | 16 set 2008 - 14:38

  1. 1 Trackback(s)

  2. 24 ago 2008: Best of Week #2 | Stefano Ubbiali ITALY

Inserisci un commento

StefanoTesti.it powered by Wordpress 2.7 - Info e Licenza - Theme by Stefano Testi (derived from PopBlue3c)