Professional Documents
Culture Documents
Mobile
Reti Wi-Fi
Standard e componenti
Analisi dell’architettura e delle tipologie di una wireless LAN,
con qualche suggerimento utile per assemblare un apparato
che si adatti alle proprie esigenze di Marco Mussini
razie ai prezzi contenuti, Per certe applicazioni, co- te, invece, gli operatori di te- rivano a una velocità massi-
Architettura
di funzionamento
e componenti
10 11
Mobile
Reti Wi-Fi
Creare e usare la rete di Marco Mussini
2 3 4
In questa situazione le stazioni client sono distribuite in modo irregolare. L'access point nel centro non è la scelta migliore, meglio vicino al gruppo prevalente
collocati nella periferia del segnale in quelle stazioni gati alla LAN Ethernet per la fa- Security, Wireless, LAN e Devi-
campo di copertura radio di client che si trovano in una zo- se di prima configurazione. ce (figura 6). Le impostazioni
un access point, laddove il li- na coperta sia dall'access Innanzitutto, se il PC su cui da effettuare per prime si tro-
vello di potenza ricevuto è point sia dal range extender. gira l’utility è equipaggiato di vano nella scheda Security, do-
prossimo al limite minimo ne- Nel collocare l'access point più di una scheda di rete, si de- ve abbiamo innanzitutto la
cessario per permettere l'as- si deve anche tener conto del ve scegliere quella sulla quale possibilità di definire il login e
sociazione, ne amplificano il fatto che la distanza non è l'u- dovrà essere condotta la ri- la password per l'accesso am-
segnale migliorando la coper- nico fattore responsabile del- cerca dell'access point: se stia- ministrativo. Vi è poi la sezio-
tura wireless nel proprio in- l'attenuazione del segnale os- mo configurando l'access ne dedicata alle impostazioni
torno (figura 5). servata dal client. point per la prima volta, esso crittografiche di sicurezza. La
Questi dispositivi non ri- Numero, spessore e perfino non sarà ancora raggiungibile linea MAXg supporta tutte le
chiedono connessione Ether- materiale delle pareti da attra- via Wi-Fi, ma solo dalla LAN wi- tecnologie di sicurezza Wi-Fi
net (se non per la configura- versare giocano un ruolo mol- red. Selezioniamo la scheda di più recenti, incluse WPA e
zione iniziale, prima di essere to importante. Le pareti divi- rete opportuna e scegliamo WPA2. In generale è preferibile
messi in servizio); una volta in sorie sottili in legno o carton- Avanti. Dopo una fase di ricer- adottare proprio una di queste
esercizio si "accontentano" gesso hanno l'assorbimento ca che può durare anche una due opzioni, per garantirsi la
della sola alimentazione, il che più modesto, mentre vetro, quindicina di secondi, verran- massima protezione, tuttavia
semplifica l'installazione fisica mattoni, marmo, calcestruzzo no elencati i dispositivi rileva- molte schede di rete di vec-
dato che è sufficiente la vici- e ferro, in questo ordine, pro- ti. Scegliamo dall'elenco l'ac- chia concezione non le sup-
nanza di una presa di corrente. vocano un'attenuazione via cess point giusto in base al portano; in tale situazione, per
I range extenders lavorano via crescente, ma in generale suo MAC address (che andrà garantire l'interoperabilità con
sullo stesso canale dell'access qualunque oggetto solido in- confrontato, per riscontro, esse, sarebbe necessario sele-
point per il quale fanno da ri- contrato dal segnale comporta con quello riportato sull'eti- zionare l'obsoleto algoritmo di
petitori, pertanto aiutano ad un'assorbimento maggiore di chetta apposta sotto la base protezione WEP.
aggirare il problema dell'occu- quello che caratterizza la pro- dell'apparecchio). Premendo A seconda dello schema
pazione dei canali garantendo pagazione libera in aria. ancora Avanti, l’utility si pre- crittografico prescelto, le im-
la copertura radio su un'area Per ridurre la probabilità dispone a lanciare un web postazioni secondarie cambie-
molto più estesa, anche se, a che degli oggetti come mobili, browser aperto sull'interfac- ranno: in particolare, per WEP
differenza della soluzione ba- divisori e suppellettili si inter- cia di configurazione dell'ac- è richiesta l'immissione di al-
sata su access point multipli, pongano fra l'antenna dell'ac- cess point in questione. meno una delle 4 chiavi di ci-
non possono assicurare un au- cess point e quella del client, è L'interfaccia di controllo del fratura, espressa o in hex o co-
mento di banda complessiva consigliabile installare l'access MAXg 5451 si articola in varie me stringa; per WPA e WPA2 è
disponibile. point in posizione elevata, schede tematiche: Status, Log, invece prevista una più como-
È bene ricordare che perché possibilmente vicino al soffit-
l'architettura basata su "ac- to; evidentemente questo può 5
cess point + range extenders" comportare complicazioni per
possa funzionare, è necessario quanto riguarda l'alimentazio-
che sia il primo sia i secondi ne e la connessione di rete fis-
supportino lo standard Wire- sa, che in genere sono dispo-
less Distribution System (WDS). nibili a livello del pavimento o
Inoltre gli apparati in gioco de- dei tavoli.
vono lavorare tutti sullo stes-
so canale e con le stesse chia- Configurazione Access Point.
vi crittografiche. È invece con- Gli access points US Robo-
sentito che a ogni range exten- tics MAXg sono forniti con una
der venga assegnato un ESSID comoda utility per Windows
diverso; questo facilita il rico- che ne facilita l'identificazione Per gestire una rete estesa si possono utilizzare i range extenders che collocati nella
noscimento della sorgente di una volta che siano stati colle- periferia del campo di copertura radio di un access point ne amplificano il segnale
6 7
L’interfaccia di controllo dell’access point di U.S. Robotics MAXg 5451 La schermata di selezione della rete wireless sotto Windows XP SP1
9 10
La schermata di benvenuto del wizard che aiuta ad impostare il router A questo punto la configurazione minima è completa e il wireless router è in funzione
che a differenza dell'access band è impostato per distri- detto assomiglia molto a quel- quelle rifiutate. È inoltre pos-
point, che per la rete wired è buire in DHCP un indirizzo al la dell'access point "puro". Ci sibile configurare il dispositi-
solo un client come un altro e router (è l'impostazione più limiteremo quindi a descriver- vo perché mandi automatica-
può essere collegato dovun- comune), le impostazioni ap- ne le parti specifiche per il mente il log a un indirizzo di
que ci sia una presa di rete, il propriate vengono rilevate ed MAXg 5461. rete (che deve corrispondere
wireless router deve interfac- effettuate automaticamente Una volta superato il con- a una macchina con installato
ciarsi sia con la rete locale, nei dal MAXg 5461. In caso con- trollo d'accesso immettendo un apposito software).
cui confronti funziona da cen- trario ci sarà chiesto di speci- login e password si presenta la La scheda Internet gestisce
tro di interconnessione, sia ficare anzitutto il tipo di con- schermata introduttiva, che gli aspetti della connettività
con il modem broadband. nessione Internet e l'eventuale presenta una sinossi con l'i- lato ISP via broadband mo-
Pertanto la sua collocazione MAC address che è necessario dentificazione del dispositivo dem. Le opzioni presenti con-
ottimale dal punto di vista del presentare al modem broad- e di tutte le principali impo- sentono di scegliere fra indi-
cablaggio è nei dintorni del band per poter uscire su Inter- stazioni relative alla security, rizzo statico o dinamico, di im-
modem, magari in un armadio net; se occorre è possibile an- alla WLAN, alla connessione postare una eventuale rete pri-
di derivazione a cui affluisca- che specificare un indirizzo IP Internet e alla LAN, nonché un vata virtuale (VPN) basata su
no i cavi di rete verso le posta- e un hostname ben precisi. elenco dei client attualmente tunneling punto-punto, di as-
zioni client: non necessaria- Premendo il pulsante Next si collegati sia sulla WLAN sia segnare un hostname e un
mente tale posizione sarà an- accede alla seconda fase del sulla LAN con l'indicazione dei MAC address specifico al rou-
che la più favorevole rispetto wizard, in cui si impostano i rispettivi MAC address, IP ad- ter, di consentire l'accesso am-
alla dislocazione dei client nei parametri fondamentali per la dress e hostnames. È riportato ministrativo da Internet anzi-
locali da coprire. rete wireless: il nome della re- anche lo stato dell'eventuale ché solo dalla LAN/WLAN e di
te (ossia il suo SSID) e la pas- stampante USB collegata al impostare eventuali regole di
Configurazione del Router sphrase da cui sarà derivata la router e sono indicati indirizzo routing statico. Quando, come
Anche nelle schermate e chiave di autenticazione per e porta da usare per configu- avviene nella maggior parte
nelle impostazioni dell'inter- WPA/WPA2. Questo è infatti il rare l'accesso a tale stampante dei casi, il provider Internet
faccia di configurazione e con- sistema di cifratura più sicuro, dai PC della rete. prevede l'assegnazione di un
trollo il wireless router ricalca, preselezionato in fabbrica. Nella seconda scheda, Log, IP address dinamico, di fatto
almeno per quanto riguarda le È comunque possibile di- è possibile attivare o disatti- non occorre modificare queste
funzioni WLAN, quanto de- sattivare del tutto la sicurezza vare la traccia cronologica opzioni perché il MAXg 5461 si
scritto a proposito dell'access oppure cambiare il tipo di ci- (log) degli eventi salienti ri- autoconfigura senza richiede-
point. fratura in seguito, dopo la con- guardanti l'attività del router e re alcun intervento, come ab-
Vi sono però numerose altre clusione del wizard, acceden- l'access point: essenzialmente, biamo visto nella prima fase
funzioni da tenere sotto con- do alla normale interfaccia di le connessioni accettate e del wizard.
trollo attraverso varie scher- controllo.
mate di configurazione speci- La terza ed ultima fase del 11
fiche. Vediamo quali. wizard richiede di impostare
Diciamo subito che le impo- login e password per l'accesso
stazioni fondamentali di amministrativo alla macchina.
networking del MAXg 5461 si Ogni successivo accesso al-
effettuano con estrema sem- l'interfaccia di controllo web
plicità attraverso un wizard a del wireless router richiederà
tre fasi. Una volta effettuati i autenticazione da effettuarsi
collegamenti Ethernet con il con questi dati. È quindi con-
modem DSL e con il PC e acce- sigliabile scegliere una pas-
so il dispositivo, dal PC locale sword adeguatamente "forte"
è sufficiente aprire il sito al- ma anche annotare in luogo si-
l'indirizzo 192.168.2.1. Appare curo queste informazioni, a
la schermata di benvenuto del scanso di dimenticanze.
wizard (figura 9), dove il pul- Al termine del wizard la con-
sante Start dà accesso alla pri- figurazione minima è completa
ma fase, dedicata all'imposta- e il wireless router è già in fun-
zione della connessione lato zione (figura 10). Il pulsante
Internet. Se i collegamenti so- Continue facilita il primo ac-
no stati effettuati corretta- cesso all'interfaccia di con-
mente e se il modem broad- trollo standard, che come già La scheda Firewall consente di limitare l’accesso ad Internet di applicazioni o servizi
Mobile
Reti Wi-Fi
Rendere sicure le wireless LAN
Tutorial sulle varie tipologie di protezione.
Ecco come riconoscere e risolvere i problemi più comuni di Marco Mussini
Videocorso
allegato
elle reti wireless devono net switch che fa da centro 1
N essere affrontati e gestiti
gli stessi problemi di si-
curezza di una normale rete
stella, collegato con cavi indi-
viduali a ogni singola posta-
zione, collegarsi allo switch o
a PC Open
cablata, più uno del tutto spe- a uno di questi cavi consente
cifico per questo tipo di reti: il di captare fondamentalmente
rischio di intercettazione da il solo traffico che origina o
parte di terminali che si trova- termina sul PC attestato all'e-
no semplicemente nelle vici- stremità della tratta interessa-
nanze dei locali dell'organizza- ta (più il traffico broadcast).
zione che possiede la rete. Risulta quindi difficile, in una
Infatti, in una normale rete rete del genere, catturare tutto
locale Ethernet, supponendo il traffico fra un PC e l'altro del-
di aver adeguatamente sbarra- la LAN.
to la strada ad accessi da In- Con una LAN wireless
ternet per mezzo di firewall e (WLAN) invece questo è pos-
altre misure complementari, sibile (almeno da un punto di
la cattura del traffico circolan- vista fisico ed elettromagneti-
te sulla LAN richiederebbe il co) da qualunque punto dell'a-
collegamento fisico con un di- rea coperta con sufficiente po-
spositivo di rete o l'installa- tenza dal segnale Wi-Fi emesso
Ethereal (www.ethereal.com) è un eccellente sniffer di rete gratuito di impiego
zione di una derivazione da dall'access point o dalle sche- generale. Utile sia per chi indaga su sospette intrusioni, sia per chi le effettua
un cavo di rete. Inoltre, a se- de di rete delle altre macchine
conda della struttura della re- che partecipano alla WLAN. coli alla propagazione radio Uno sniffer freeware davvero
te, la porzione di traffico com- A condizione di trovarsi che provocano un'attenuazio- eccellente è, per esempio,
plessivo catturabile dipende semplicemente entro una di- ne del livello di campo rileva- Ethereal (fig. 1).
dal punto in cui fisicamente si stanza non eccessiva dall'ac- bile, il PC dell'intruso potreb- Quasi tutte le schede wire-
effettua il collegamento o la cess point e dalle postazioni di be captare tutto il traffico less possono funzionare in
captazione. In una topologia di lavoro, tenuto conto anche scambiato fra l'access point e "promiscuous mode": quando
rete wired basata su un Ether- delle pareti e degli altri osta- uno qualunque degli host del- questo non è possibile, si trat-
la rete wireless. ta generalmente di una restri-
Questo richiede che tale PC zione del driver. Può anche es-
IL CALENDARIO DELLE LEZIONI disponga di una scheda di rete
wireless capace di funzionare
servi una restrizione imposta
dal sistema operativo, tale per
Lezione 1 - Configurazione degli in "promiscuous mode": si cui l'attivazione del promi-
La rete wireless: adattatori client tratta di una modalità operati- scuous mode viene consentita
struttura, standard e - Condivisione di stampanti e va nella quale la scheda di re- solamente all'utente ammini-
principali componenti altre periferiche te passa al sistema operativo stratore della macchina. Su un
- Tipologie di WLAN locale non solamente i pac- sistema come un PC tuttavia il
- Standard di trasmissione Lezione 3 chetti ricevuti che risultano problema di procurarsi privi-
- Tecnologie di accelerazione Sicurezza e troubleshooting diretti al proprio MAC address legi amministrativi non costi-
- Criteri per il progetto della - Protezioni WEP, WPA, WPA2 (e che quindi è legittimo pren- tuisce certo un ostacolo.
rete e la scelta degli apparati - Configurazione di una rete dere in considerazione) ma Il rilevamento della presen-
sicura tutti quelli captati. za nella WLAN di un PC in
Lezione 2 - Riconoscere e risolvere i In tal modo, un apposito "promiscuous mode", per indi-
Creare e usare la rete problemi più comuni: programma (sniffer) potrà viduare eventuali attaccanti,
- Configurazione di access insufficiente intensità di esaminare anche i pacchetti non è purtroppo impresa faci-
point, router e altri dispositivi segnale, saturazione dei destinati ad altri host e maga- le: esistono tecniche basate
fissi canali ri memorizzarli, per riesami- sul riconoscimento del traffico
narli con comodo fuori linea. spurio che a volte questi PC
2 Lo scenario nel quale l'am- de di captare pacchetti per un WPA (Wireless Protected
piezza della proprietà è tale da tempo sufficientemente lungo: Access)
garantire una sufficiente atte- in caso di traffico elevato pos- In considerazione delle de-
nuazione di segnale già entro i sono bastare poche ore. bolezze dello standard WEP,
suoi confini è però pratica- Questo tempo cresce al cre- (fig. 3) l'IEEE diede inizio ai la-
mente irreale. Nella stragran- scere della lunghezza della vori per un nuovo standard
de maggioranza delle situazio- chiave usata, tuttavia esistono che assicurasse una adeguata
ni, le reti WLAN sono installate schemi di attacco attivi nei sicurezza nelle WLAN. L'atti-
in appartamenti e uffici ubica- quali con opportune tecniche vità del comitato 802.11i
ti in luoghi ad alta densità abi- si inducono gli host della avrebbe portato, nel giugno
tativa. In queste situazioni, WLAN a produrre traffico ad- 2004, alla ratifica della bozza
tutto quello che separa i pro- dizionale, abbreviando di fatto di standard omonimo. Nel frat-
pri locali da quelli dei poten- il tempo richiesto per la sco- tempo, però, la Wi-Fi Alliance,
ziali cracker è in genere una perta delle chiavi. di cui sono membri molti pro-
semplice parete non scherma- Il principale punto di debo- duttori di dispositivi Wi-Fi,
ta: ci vuole ben altro per atte- lezza del WEP è legato all'in- standardizzava fin dal 2003
nuare il segnale Wi-Fi portan- sufficiente lunghezza del co- una soluzione intermedia che
dolo a livelli che rendano im- siddetto Initialization Vector già di per sè garantiva un salto
possibile l'intercettazione. (IV). Si tratta di una sequenza di qualità rispetto al WEP, e
Senza adeguate misure di di 24 bit pseudocasuali, ogni che numerosi prodotti si af-
WEP (Wired Equivalent Privacy) fu la sicurezza, in conclusione, la volta diversi, che vengono af- frettarono ad adottare: il WPA.
prima forma di protezione crittografica tecnologia Wi-Fi sarebbe asso- fiancati ai bit forniti dalla chia- Nel sistema WPA le comuni-
impiegata sulla tratta radio delle reti Wi-
Fi. Non offre una protezione sufficiente: lutamente incompatibile con ve al fine di costruire una chia- cazioni sono protette ancora
un attaccante competente e attrezzato un utilizzo professionale o an- ve complessiva che abbia al- mediante crittografia RC4, ma
può violarla nel giro di qualche ora che solo personale. meno una parte immune da ri- con importanti miglioramenti
semplicemente ascoltando il traffico Per questo esistono tecno- petizioni. Lo scopo dell'ag- rispetto allo schema WEP.
logie che proteggono i dati giunta di questa parte è quello Innanzitutto viene usata
sono portati a emettere, ma scambiati via etere da inter- di contrastare gli attacchi al- una chiave di 128 bit abbinata
non sono né di semplice im- cettazioni ed accessi non au- l'algoritmo RC4 che sarebbero con un Initialization Vector
piego né di efficacia garantita. torizzati. Queste contromisure facilitati da un utilizzo ripetiti- (IV) la cui lunghezza è stata
L'unica difesa efficace è la pre- sono basate sia su tecniche vo delle stesse chiavi. Così, portata da 24 a 48 bit: que-
venzione. crittografiche (WEP, WPA, per esempio, quando si parla st'ultima misura di sicurezza
Oltre al rischio delle inter- WPA2) sia su semplici accorgi- di "WEP a 128 bit" in realtà la da sola rende circa 16 milioni
cettazioni, le WLAN presenta- menti prudenziali in grado di chiave è formata da due parti: di volte più improbabile che si
no anche il rischio di intromis- aumentare il grado di sicurez- 104 bit provengono dalla chia- ripeta un determinato valore
sioni temporanee anche di za se usati in sinergia con le ve impostata dall'utente, men- di IV, e quindi rende propor-
breve durata, finalizzate o a prime. tre 24 bit rappresentano l'Ini- zionalmente più difficili gli at-
causare danno e disservizio tialization Vector. tacchi basati sul rilevamento
alla rete attaccata o - minaccia Purtroppo 24 bit corrispon- di tale circostanza.
più sottile ma non meno seria dono a "solo" 16.777.216 com- Nel WPA l'RC4 è inoltre af-
- a sfruttare la WLAN violata Protezioni WEP, binazioni: troppo poche per fiancato dal Temporal Key In-
solo per accedere gratis, attra-
verso essa, ad Internet. Que-
WPA, WPA2 abbassare a sufficienza la pro-
babilità di un riutilizzo della
tegrity Protocol (TKIP), uno
schema di cambiamento pe-
sto accesso non autorizzato a stessa chiave entro un tempo riodico automatico delle chia-
Internet potrebbe a sua volta WEP (Wired Equivalent limitato. vi di cifratura che rispetto al
essere finalizzato a sferrare at- Privacy) La contromossa consiste WEP rende molto più difficili
tacchi a siti Internet. Così, fino La tecnologia WEP (fig. 2) è nel cambiare molto frequente- gli attacchi statistici che ten-
a dimostrazione del contrario, la più vecchia forma di prote- mente la chiave WEP, ma l’e-
gli attacchi o comportamenti zione crittografica del traffico sperienza insegna che per pi- 3
illeciti apparirebbero prove- Wi-Fi ed è infatti supportata da grizia, per negligenza o per
nienti da un host appartenen- tutti i dispositivi 802.11x. WEP semplice mancanza di tempo,
te alla WLAN violata, con pos- utilizza uno schema di cifratu- sono molti gli utenti e gli am-
sibili conseguenze per chi ne è ra basato sull'algoritmo RC4 e ministratori di rete che non lo
amministratore, responsabile sull'impiego di chiavi a 64, 128 fanno sufficientemente spes-
sicurezza e legittimo utilizza- o 256 bit; come al solito, a so. Peggio ancora, perdura
tore. chiavi di lunghezza maggiore specialmente in ambito dome-
In una WLAN installata in un corrisponde una sicurezza stico la pericolosa abitudine di
edificio isolato e abbondante- maggiore. installare una WLAN senza at-
mente distante dal perimetro Tuttavia WEP, a causa di al- tivare alcun tipo di protezione
della proprietà il segnale po- cune caratteristiche del proto- crittografica su di essa.
trebbe anche non arrivare al- collo su cui si basa, non offre Data la provata fragilità del
l'esterno con un'intensità suf- una sicurezza sufficientemen- WEP come schema di prote-
ficiente per intercettazioni ed te alta per mettere al riparo zione Wi-Fi, va senz’altro rac-
intromissioni: in questo caso il dati di grande importanza: ri- comandata l'adozione di stan-
rischio descritto sarebbe me- sale ormai ad alcuni anni fa la dard più sicuri ed avanzati
no grave (non si dimentichi notizia della scoperta di meto- quali WPA e il recentissimo
comunque che l'attaccante po- di per scoprire la chiave se- WPA2. Questo potrebbe ri-
trebbe impiegare un'antenna greta WEP analizzando una chiedere un upgrade degli ap- WPA (Wi-Fi Protected Access) elimina o
ad altissimo guadagno e cap- quantità sufficiente di traffico parati di rete più vecchi, se ca- riduce in modo netto tutte le debolezze
tare ancora utilmente segnali WLAN (dell'ordine di 1-2 milio- paci di supportare solo il “ve- conosciute del WEP e garantisce una
ormai debolissimi). ni di pacchetti). Questo richie- tusto” WEP. sicurezza finalmente adeguata