Installazione di una rete wireless Lan: la scelta dei dispositivi

La tecnologia wireless ha trovato campo molto fertile in ambito lan networking e per le
configurazioni di apparati di rete, anche domestici. I motivi del succeso di questa tecnologia sono
piuttosto intuibili soprattutto se si pensa ad una rete con collegamento ad internet. Negli ambienti
domestici o, meglio ancora, SOHO*(Small Office, Home Office), l'uso dei computer portatili
diventato molto massiccio, a volte per reali esigenze, a volte anche solo moda. Fatto sta che la
possibilit di avere una connessione alla rete lan e ad internet in un'area geografica definita
rappresenta una rivoluzione che apre le porte a molti utilizzi prima impensabili. Ovunque ci si trovi
col nostro portatile o dovunque posizioniamo il nostro pc desktop, saremo connessi! Questo
spiega il successo di questo sistema anche in ambienti SOHO e domestici, anche per chi possiede
un solo PC!!
In questp oarticolo andremo a trattare la essenzialmente la scelta dei dispositivi per ottenere il
massimo dalla tecnologia wireless e per fare le scelte migliori in base alle proprie esigenze.

La scelta dei dispositivi per una rete lan wireless

Se una corretta progettazione in base a specifiche esigenze scontata nel caso si debba
rispondere a restringenti requisiti aziendali, non si deve pensare che in un network senza fili in
ambiente di piccolo ufficio o domestico se ne possa fare a meno.
Il fulcro della rete wireless e l'access point, un dispositivo che comunica in modalit senza fili, con i
terminali, e si interfaccia alla sezione cablata della rete. Agendo da ponte di comunicazione tra le
periferiche wireless ed eventualmente anche tra una rete wireless e una via cavo, ogni Access Point
aggiuntivo permette di estendere il raggio di copertura della WLAN
Nella maggior parte degli ambienti SOHO, piccoli uffici o reti domestiche un solo Access point
sufficiente a coprire le esigenze logistiche e di numero di computer collegabili (al massimo circa
10).
La convivenza di pi access point nella stessa rete hanno la funzione di incrementare il raggio di
copertura del segnale e/o di offrire una copertura ad un elevato numero di client.
Per fare la scelta giusta innanzi tutto, necessario avere le idee chiare su quali siano gli standard
per reti wireless.

I protocolli Wi-Fi
IEEE (Institute Electrical Electronic Engineers) ha il compito di scoprire e standardizzare nuove
tecnologie
Si divide in commisioni, la commissione 802 si occupa delle reti LAN e MAN
Ogni commissione si divide in gruppi :
il gruppo 3 (802.3) studia, verifica e ratifica lo standard ETHERNET (reti cablate)
il gruppo 11 (802.11) studia, verifica e ratifica lo standard Wireless
il gruppo 15 (802.15) studia, verifica e ratifica lo standard Bluetooth
il gruppo 16 (802.16) studia, verifica e ratifica lo standard WiMax

Gli standard di connessione per reti wireless

Standard 802.11b 802.11a 802.11g 802.11a/g 802.11n

Prime distribuzioni Tardo 1999 Tardo 2001 Met 2003 Met 2003 2006
Costo access point o
55-160 100-130 130-200 300 n.d.
router ()
Costo PC Card 30-90 100 80-130 100 n.d.
Frequenza (GHz) 2,4 5 2,4 2,4-5 n.d.
Throughput max
11 54 54 54 320
teorico (Mbps)
Throughput effettivo
4-6 15-20 15-20 15-20 n.d.
da 7 a 20 metri (Mbps)
Portata max in
ambiente chiuso 50 25 50 50 n.d.
(metri)
Tecnica di
Dsss Ofdm Ofdm Ofdm n.d.
modulazione
Compatibilit 802.11g n.d. 802.11b 802.11a,b,g n.d.
Numero max di utenti
32 64 64 128 n.d.
per AP (circa)
Numero di canali radio
3 12 3 15
non sovrapposti
ambiente alta
Utilizzi principali SOHO e uffici ovunque
aziendale interoperabilit
collaudato ed portata minore, + standard + poco diffuso in non ancora
Note
economico canali disponibili diffuso Italia ratificato
non diffuso in non ancora
Diffusione Hot Spot + diffuso + diffuso n.d.
Europa diffuso

Con l'arrivo dello standard 802.11g il limite teorico di velocit si portato a 54 Mbps, molto
superiore a quello del precedente 802.11b di 11Mbps, col quale risulta comunque compatibile in
quanto opera alla stessa frequenza (2,4 GHz). Lo standard 802.11a offre una velocit di 54Mbps
ma, operando alla frequenza di 5 GHz non compatibile con gli altri due (a meno di non usare una
struttura di rete dual band che opera sia a 2,4 che 5 GHz).
A parit di velocit massima l'802.11g offre la compatibilit con i client 802.11b, una portata di
segnale maggiore (pi bassa la frequenza meno essa soggetta ad attenuazione nel mezzo fisico
di trasporto) e una maggiore diffusione, mentre i dispositivi 802.11a possono contare su pi canali
sovrapposti (12 contro i 3 della banda a 2,4 GHz) potendo cos offrire una maggiore densit di
copertura nonostante la loro portata sia di un quarto inferiore a quella degli altri standard.
La scelta di un access point a doppia banda pu essere la scelta migliore nel caso si debba gestire
un elevato numero di client. Come regola generale bene non superare i 10 client sulla medesima
frequenza; per servire pi terminali, si possono affiancare pi access point in aree sovrapposte
assegnando a ciascuno un canale radio sovrapposto. In ambito 802.11g, ad esempio, si possono
affiancare configurare 3 access point operanti sui canali 1, 6, 11, in modo da offrire una banda
triplicata rispetto ad una rete con un solo access point. Anche in questo caso lo standard 802.11a
pu risultare molto utile, potendo disporre di pi canali non sovrapposti; un apparato ibrido poi
pu sfuttare entrambe le bande a patto che parte dei client possa operare a una frequenza e i
rimanenti a un'altra.
Per aumentare la portata e la velocit molti produttori sfuttano delle tecnologie proprietarie.
La scelta milgiore, per quella di rivolgersi a prodotti standard, meglio se certificati dalla Wi-Fi
Alliance (elenco prodotti certificati).
Le modalit operative di un punto di accesso di una rete
Wireless Lan
Le modalit operative di un punto di accesso Wireless Lan

Un unico punto di accesso la soluzione migliore per la maggior parte dei contesti Soho e
sicuramente di quasi tutti gli ambienti domestici. In base alla presenza o meno di altri dispositi
nella rete si decider se acquistare un access point o un router all-in.one.

Differenze tra access point e router wireless all-in-one

Per chi non avesse chiari certi concetti bene fare prima un po' di luce prima di affrontare certi
argomenti.
Un router consente di far uscire su internet i computer di una rete alla quale anche esso
allacciato. Un access point consente di connettere ad una rete interna Lan dei terminali in modalit
wireless, svolgendo, in pratica, il lavoro che svolge un tradizionale hub o switch.
Quindi, chi ha gi una rete connessa ad internet tramite router, se vuole allacciare alla rete altri
dispositivi come pc portatili, palmari o anche altri pc desktop ma in maniera senza fili, ha bisogno
di un access point da collegare al router (tramite cavo lan) che gli "aggiunga" questi dispositivi alla
rete gi presente e che esce gi su internet.
Invece, chi non ha niente, far meglio a munirsi di un ruoter all-in-one che gli funger sia da router
per andare in internet che access point per collegare alla rete i dispositivi wireless.

Modalit di connessione

Se dobbiamo servire un'area troppo ampia per essere coperta da un solo access point, dobbiamo
valutare quale modalit operativa fa al caso nostro.

Modalit access point

La configurazione usata pi spesso quella access

point in cui l'unit pu sfruttare il collegamento radio solo per comunicare con i cliet wireless. In
questa configurazione non possibile la comunicazione fra pi access point se non con la rete
cablata tradizionale.
Modalit bridge

Nella modalit bridge il punto di accesso pu

interagire unicamente con altri access point bridge per collegare due o pi isole cablate via
wireless.

Modalit ripetitore

La modalit ripetitore un caso particolare della

modalit bridge; essa comuinca con altri bridge senza dover necessariamente essere collegata ad
una rete cablata. Il repeater funge essenzialmente da estensore della portata del wireless.

Modalit ripetitore

La modalit wds (Wireless Distribution System),

spesso implementata dai router all-in-one, nella quale il punto di accesso sfrutta la met della
banda per comunicazioni verso i client (modalit access point) e la seconda met per connettersi
ad altri punti di accesso (bridge). Questa la modalit pi opportuna per l'impiego di pi access
point in ambienti Soho.
Un access point pu operare anche in modalit client; in questo caso il dispositivo si interfaccia alla
rete wireless come un qualunque adattatore wi-fi e pu essere utilizzato per fornire un interfaccia
wireless ai terminali che sono sprovvisti unicamente di un collegamentoEthernet (es: console
giochi)

Scelta dei dispositivi per i terminali

Per la scelta dei dispositivi dei client wireless la scelta pu andare su interfacce USB, Pci p Pcmpia.
Per i portatili sprovvisti di interfaccia Wlan integrata o sui quali vogliamo fare un upgrade la
soluzione migliore sicuramente quella della scheda Pcmpia.
Gli adattatori USB hanno il vantaggio di essere utilizzabili sia su portatili che su pc desktop.
L'importante che supportino l'USB 2.0 per non creare colli di bottiglia.
Le schede interne Pci sono la soluzione meno pratica in quanto si deve intervenire sul case.
Reti wireless Lan, guida passo passo alla configurazione di un
Access Point
Cenni preliminari

La configurazione di un Access Point o di un router all-in-one pu variare a seconda del modello del
dispositivo e a seconda del computer da cui si effettua la configurazione.
In questo articolo trattiamo una configurazione attraverso l'interfaccia Web in quento sempre
presente in tutte le situazione oltre ad essere intuitiva. Per poter accedere all'interfaccia Web di
configurazione bisogna conoscere l'indirizzo IP del punto di accesso. Solitamente le case produttrici
forniscono una utility per ottenere questo indirizzo, altrimenti si pu utilizzare l'indirizzo di default
fornito dal manuale. L'interfaccia del Pc deve essere configurata con un Ip appartenente alla stessa
sottorete dell'access point (es: 192.168.0.0). Se nella rete attivo un server DHCP* questa
configurazione automatica.
Verificati questi requisiti si pu accedere all'interfaccia di configurazione aprendo un browser e
digitando nella barra di navigazione l'indirizzo IP dell'Access Point.

1. Modifica del canale di trasmissione/ricezione dell Access Point

1. si avvia il browser e si digita lidirizzo dell AP
2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Wireless Settings
4. si seleziona il canale (1, 6 e 11 sono quelli non sovrapposti)
5. salvare la configurazione

Impostare il Ssid (Service Set Idendifier)

una stringa di 32 caratteri che identifica la rete wireless ed condivisa da tutti i dispositivi della
rete. Una volta impostato il Ssid nell'acces point vi verr chiesto se abilitare o meno il broadcast
(viene inviato ad ogni dispositivo): come spiegato nell'articolo Reti wireless Lan, la sicurezza
consigliamo di non abilitarlo.

2. Modifica del Ssid

1. si avvia il browser e si digita lidirizzo dell AP
2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Wireless Settings
4. si seleziona lopzione SSID e si digita il nuovo identificativo
5. salvare la configurazione

se si disabilita il broadcast bisogna inserire sulle propriet della scheda di rete wireless di ogni
client il nome di rete (numero di ssid)
3. Disabilitare il DHCP

Anche in questo caso ci troviamo di fronte alla scelta fra privilegiare la sicurezza o la semplicit di
configurazione. Come prima consigliamo di disabilitare il DHCP e di impostare manualmente i
client.
1. si avvia il browser e si digita lidirizzo dell AP
2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Lan Setup
4. si seleziona lopzione del server DHCP
5. si impostano i parametri secondo le esigenze personali
6. salvare la configurazione

4. Assegnare lindirizzo IP allAP

1. si avvia il browser e si digita lidirizzo dell AP
2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Lan Setup
4. si seleziona lopzione Indirizzo IP
5. salvare la configurazione

Lista di controllo degli accessi

Molti access point permettono di filtrare i collegamenti ai client basandosi sul MAC Address. Le
liste da impostare possono essere "bianche" (contenenti i terminali abilitati) o "nere" (contenenti i
client ritenuti non affidabili).
1. si avvia il browser e si digita lidirizzo dell AP
2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Wireless Settings
4. attivare la sottoscheda Access List
5. attivare lopzione Enable Access List
6. selezionare lozione Allow per inserire i dispositivi abilitati oppure Bou per inserire i
dispositivi a cui vietare laccesso
7. inserire il MAC (Media Access Control, indirizzo fisico) address del dispositivo
8. salvare la configurazione

Modalit operativa di un Access Point

Come dettagliatamente spiegato nell'articolo le modalit operative di un punto di accesso, un

access point pu operare in varie modalit (access point, bridge, ripetitore, client). La modalit
aggiuntiva Wds permette di sfruttare le caratteristiche di una configurazione access point e bridge
insieme risultando utile in contesti con pi access point. Nelle configurazioni bridge pu essere
necessario indicare il MAC Address* dei bridge a cui deve essere associato.

Modalit di trasmissione

Nell'articolo Reti wireless Lan, scelta dei dispositivi avevamo affrontato le differenza dei vari
standard di trasmissione. Se stiamo configurando un Access Point conforme allo standard IEEE
802.11g, bisogna indicare la modalit di trasmissione in base al client da collegare. La modalit
Mixed Mode consente l'accesso contemporaneo a client 802.11b e 802.11g; in caso di presenza di
adattatori di generazione 802.11b per le prestazione decadranno sensibilmente. Per evitare
questo scegliere la modalit G-Only per permettere solo la comunicazione con client 802.11g ed
avere le prestazioni migliori su tutta la rete. In quest'ultima modalit non avranno accesso alla rete
wireless i sistemi Centrino di prima generazione. Se il punto di accesso opera in modalit dual band
(2,4 e 5 GHz) si possono configurare due differenti interfacce per comunicare con terminali
802.11a, 8022.11b e 802.11g.

Velocit di trasmissione

consigliabile di scegliere la velocit massima a cui pu operare l'access point. Installare l'access
point al centro dell'area che deve coprire offre dei vantaggi in quanto copre un'area maggiore ed
evita di dover utilizzare pi access point nel caso si debba coprire un'area maggiore.

Accesso aperto o chiave condivisa

In un ambito di cifratura Wep, l'accesso aperto (open system) permette a chiunque di connettersi
alla rete wi-fi, sfruttando le chiavi di cifra per la sola codifica delle trasmissioni.
Abilitando la modalit a chiave condivisa (shared key), invece, le chiavi sono utilizzate anche in fase
di accesso per autenticare il client ed eventualmente inibirlo.

Configurazione Wep

Anche se ormai obsoleto il sistema Wep, con un costante rinnovo delle chiavi pu essere un
discreto metodo di protezione. Il protocollo pu essere impostato per operare con stringhe di
codifica a 40 o 104 bit (a volte citate come 64 o 128, includendo l'header in chiaro). A stringhe pi
lunghe corrisponde una protezione maggiore. Nel sistema esadecimale le chiavi a 40 bit
corrispondono a stringhe di 10 caratteri e quelle a 104 bit a stringhe di 26 caratteri.

Impostare il Wep sullaccess point

1. si avvia il browser e si digita lidirizzo dell AP

2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Wireless Settings
4. si selezioni lopzione relativa allattivazione del protocollo WEP
5. selezionare il tipo di chiave
6. impostare la chiave WEP

Per catturare una chiave WEP si pu utilizzare un software come Aircrack-ng (http://aircrack-
ng.org/doku.php), effettuare il download di Aircrack-ng, decomprimerlo, usare il programma
wzcook.exe che si trova nella cartella bin per ottenere la chiave della rete wireless.

Configurazione Wpa

Lo standard Wpa fornisce un livello di sicurezza molto superiore al Wep. Il sistema di

autenticazione basata sul sistema a chiave condivisa consigliabile per ambienti Soho, mentre la
modalit con server esterno adeguata a contesti aziendali che dispongono di un sistema di
autenticazione preesistente.
Nella modalit a chiave precondivisa necessario definire un segreto precondiviso tra access point
e client che viene poi utilizzato dal sistema per generare dinamicamente le vere e proprie chiavi di
codifica. L'intervallo di rinnovo delle chiavi pu essere impostato dal punto di accesso. I prodotti
aderenti allo standard Wpa2 permettono di scegliere fra il sistema di codifica Tkip e Aes
(quest'ultimo pi robusto)
Nella modalit di autenticazione tramite server esterno RADIUS possibile sfruttare il suo
database per stabilire quali client fare accedere alla rete e quali no. Sar necessario impostare l'IP
del server e la porta Tcp tramite cui comunicare.

Il protocollo WPA raddoppia la lunghezza del vettore di inizializzazione (parte della chiave)
arrivando a 48 bit (281.474.976.710.656 combinazioni)
Il protocollo WPA prevede la non ripetibilit del vettore di inizializzazione
Utilizza chiavi personali (una diversa per
Utilizza il protocollo Tkip (Temporal Key Integrity Protocol) e Aes WPA2 (Advanced
Encryption Standard) che prevede la variazione continua, dinamica e automatica della
chiave di cifratura master utilizzata per ogni sessione e per ogni pacchetto di dati inviato.

Vpn e regole speciali per la rete wireless

Punti di access o di fascia medio-alta consentono di instaurare un canale Vpn (Vitual Private
Network) sicuro. Questa configurazione necessita di un apposito software sul client. Le prestazioni
per dispositivi privi di opportune accelerazioni hardware possono vedere le prestazioni molto
penalizzate dalla codifica Vpn.

La potenza di trasmissione

Fissato dall'Etsi (Istituto Europeo per gli Standard nelle Telecomunicazioni) a 100 mW, il limite per
le trasmissioni locali su onde radio pu essere abbassato o aumentato per adattarsi alle esigenze
degli utenti. consigliabile, effettuando qualche prova, trovare il limite della potenza verso il basso,
in modo da coprire solo l'area che ci interessa, limitando cos le minacce di client non autorizzati.

Il canale di trasmissione

In situazioni che prevedono access point multipli, per evitare interferenze importante impostare
il canale di trasmissione. I sistemi di gesione centralizzata prevedono strumenti di gestione
automatica dei canali che provvedono ad evitare interferenze senza alcun intervento manuale.

L'amministrazione del punto d'accesso

Dal punto di vista della sicurezza fondamentale modificare le impostazioni di default degli
apparati di rete che offrano un'amministrazione remota.
Innanzi tutto, modificare la password di accesso amministrativo all'access point, poi disabilitare la
configurazione via internet. Una buona norma pu essere quella di abilitare l'accesso
amministrativo ai soli client connessi via cavo, o disabilitare del tutto l'interfaccia Web una volta
terminata la configurazione (a patto di poter accedere all'access point tramite porta seriale).
Reti wireless Lan, guida passo passo alla configurazione client
wireless
Guida passo passo alla configurazione di un Client wireless

Per client wireless intendiamo tutti i dispositivi che ricoprono un ruolo periferico all'interno della
struttura della rete wireless, quindi i pc, i portatili, i palmari e cos via... Nel caso di strutture con
pi punti di accesso il client deve essere configurato in maniera coerente all'access point a cui fa
riferimento. Nel caso di rete wireless peer-to-peer* bisogna impostare gli stessi parametri per tutte
le schede interessate.
Windows XP include uno strumento per la gestione di schede wireless, offrendo un'alternativa al
software di configurazione offerto dal produttore. Necessari sono i driver di periferica per
l'hardware.
Per i pc portatili equipaggiati con Intel Centrino il pacchetto driver include il software di
configurazione munito di un comodo wizard.
In questa guida per uniformint faremo riferimento al software integrato in Windows XP.

Impostazioni di Windows per la configurazione rete locale

In caso di utilizzo dell'interfaccia di Windows per la configurazione rete locale, selezionare le

propriet delle risorse di rete, quindi quelle dell'interfaccia wireless che volete utilizzare, e, dal
pannello di controllo, la scheda Reti senza fili. Selezionare Usa Windows per configurare le
impostazioni della rete senza fili. Se genera conflitti, pu essere necesario rimuovere il software di
gestione installato con i driver del produttore.

Scansione delle reti disponibili

Per fare una scansione delle reti wireless disponibili sufficiente fare un doppio click
sull'interfaccia in questione. Come gi spiegato nell'articolo Reti wireless Lan, la sicurezza, verranno
rilevate solo le reti che hanno abilitato il broadcast del Ssid. Una volta rilevate le reti disponibili,
selezionare quella a cui si desidera connettersi. Se la arete non protetta da alcun protocollo di
cifratura, Windows avverte circa i potenziali rischi, altrimenti viene richiesto l'inserimento della
chiave Wep o password impostata per il sistema Wpa sul punto di accesso.

Nuove reti: procedura guidata

Se non viene rilevata la rete a cui desiderate connettervi o se volete creare una nuova struttura ad-
hoc, utilizzare l'installazione guidata di Windows. Inserire l'Ssid della rete e scegliere il tipo di
codifica da utilizzare per la protezione delle trasmissioni. Se ci colleghiamo ad una rete wireless
preesistente impostare la stringa manualmente, altrimenti scegliere l'assegnazione automatica.
Al fine di riutilizzare i parametri della rete wireless su altri computer, windows permette di salvarli
su un dispositivo portatile come una chiavetta USB.
Anche se la procedura guidata molto comoda pu non essere sufficente, ed consigliabile agire
manualmente su alcuni parametri.
Configurazione manuale: la sicurezza

Dalle propriet dell'interfaccia di rete possibile configurare manualmente alcuni parametri. La

prima scheda riguarda l'SSID di rete, il metodi di autenticazione utilizzato e il sistema di crittografia
dei dati. Per quanto concerne il sistema di autenticazione sono selezionabili le reti aperte, quelle a
chive Wep o le specifiche Wpa Psk e con server esterno. In questa sezione del pannello di
configurazione anche possibile definire una struttura di rete ad Hoc, senza punti di accesso, per
creare una rete da computer a computer.

Configurazione manuale: autenticazione

Qualora la rete disponga di un server compatibile, Windows supporta l'autenticazione dei client
wireless attraverso lo standard 802.1x. Se il pc viene autenticato con successo sar riconosciuto
con l'account impostato sulla macchina, altrimenti come Guest.
Windows d la possililit di collegamento anche a reti con forte autenticazione, ma questo
argomento non verr trattato.

La connessione automatica alle reti senza fili

Il sistema di accesso automatico alle reti comodo ma non sicuro. consigliabile disabilitarla o
limitarla alle reti presenti dell'elenco delle preferite. Windows consente inoltre di scegliere se
collegare il PC solo a reti con infrastruttura (teoricamente pi sicure), chiedendo invece conferma
per le connessioni di tipo ad Hoc.

Parametri avanzati

Stranamente Windows prevede la gestione dei parametri avanzati non nella sezione Reti senza fili
bens nella configurazione della scheda hardware.
Tra i valori pi importanti ricordiamo la potenza di trasmissione per le reti peer-to-peer, la gestione
del risparmio energetico e la possibilit si spegnere la componente radio del Pc.
Sicurezza delle Reti wireless Lan, vulnerabilit e difese della rete
wireles
La sicurezza in ambito reti lan wireless

La tecnologia di connessione alla rete wireless (senza fili) senza dubbio una delle novit pi
interessanti uscite negli ultimi tempi. Sono, infatti, evidenti i vantaggi in termimi di sempicit di
installazione e manutenzione oltre alla vera ragione di esistere di questa tecnologia, cio la
mobilit che essa consente.
Tuttavia, alcuni importanti aspetti come la sicurezza e la protezione hanno reso estremamente
cauti, se non contrari, i responsabili del settore IT circa l'introduzione di reti LAN senza fili nelle
proprie organizzazioni.
Nei precedenti articoli sul wireless avevamo gi fatto luce sul protocollo 802.11g e sulla funzione di
un access point come collegamente fra la rete e i dispositivi connessi senza fili.
Questi access point sono muniti solitamente di un indirizzo Ip dedicato per l'amministrazione
remota via SNMP *, del quale possono essere muniti anche i client connessi alla rete come palmari
portatili o pc.

Quali possono essere le minacce alle reti lan wireless

Il fatto che nelle reti wireless l'informazione viaggi via etere, ossia su di un canale completamente
sprotetto (l'aria), incoraggia i tentativi di intrusione.

Intercettazione e modifica di dati trasmessi

Se un hacker riesce ad avere accesso alla rete potr porre un computer nel mezzo della
comunicazione e modificare i dati trasmessi con le conseguenze che possiamo immaginare...

Divulgazione dei dati

In caso di intercettazione di dati trasmessi dalla rete un eventuale pirata potrebbe ottenere
informazioni sull'ambiente IT e sulla sicurezza e attaccare altri settori protetti.

Collegamento non desiderato e furto di risorse

Qualcuno senza autorizzazione potrebbe "sfruttare" la nostra rete per connetterci ad internet e
rubandoci risorse

Connessioni non desiderate con pc ospiti

Un visitatore potrebbe collegare involontariamente il proprio portatile alla nostra rete wireless (se
non protetta) rischiando di trasmettere visus

Spoofing
Potendo avere accesso alla nostra rete interna, eventuali malintenzionati potrebbero inviare dati
apparentemente legittimi, ad esempio un messaggio di posta elettronica di spoofing, destando
pochi sospetti dato che gli amministratori di sistema, tendono in genere a guardare con minor
sospetto gli elementi di origine interna.
DoS (Denial of service)
In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico al limite
delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non pi in grado di
erogare il servizio. Ad esempio, l'interruzione del segnale a livello di trasmissione radio pu essere
realizzata con strumenti a bassa tecnologia, come un forno a microonde.

I punti deboli delle reti Lan wireless

Analizziamo alcuni valori fondamentali per la corretta configurazione di un dispositivo wireless.

SSID: Service Set Identifier

Il Service Set ID il codice che permette la comunicazione tra i client e gli access point. Questo
codice va assolutamente cambiato rispetto a quello di defalut. Il SSID viene trasmesso come testo
in chiaro quando il protocollo di sicurezza per le reti wireless (WEP o WPA*) disabilitato,
permettendo all'attaccante di intercettarlo (sniffing).

Password SNMP
Non modificando la password public un intruso potrebbe leggere e potenzialmente manomettere
dati critici. doveroso cambiare la password degli agenti SNMP per il controllo da remoto con una
chiave sicura.

Cosa fare per rendere pi sicure le reti Lan wireless

Una volta esaminati i punti deboli del wireless andiamo a vedere le contromosse affrontando la
configurazione di una rete Wireless attraverso il sistema di autenticazione 802.1x Peap.

Aggiornare il firmware
Bisogna utilizzare access point con firmware aggiornabile e tenere sempre l'ultima versione.

Modificare gli SSID di default

Come specificato nel punto precedente il SSID di default fa modificato usando nomi insignificanti e
non descrittivi.

Disabilitare il Broadcast SSID

Qualora il nostro access point supporti il Broadcast SSID bene disabilitarlo per evitare che gli
access point mandino Beacon Frames* che contengono i SSID per la sincronizzazione automatica
dei client. Il consiglio di configurare il client manualmente con il SSID corretto per poter accedere
alla rete.

Modificare le password
Come per il codice SSID bene modificare le password degli Access point con chiavi di almeno 8
caratteri

Utilizzare chiavi WEP o Wpa

Utilizzare questi protocolli rapresenta un deterrente per gli intrusi occasionali che, dovendo
catturare dai 100 Mb a 1 Gb di traffico per provare a ricavare la chiave, si scoraggeranno.
consigliabile utilizzare access point che supportino la dynamic WEP-key exchange per cambiare la
chiave WEP per ogni adattatore.

Abilitare il MAC filtering

Molti access point hanno la possibilit di abilitare solo alcuni client usando come metodo
discriminatorio il MAC Address* della loro scheda di rete. Alcuni Access Point permettono di fornire
l'elenco dei MAC addresses abilitati attraverso una GUI (interfaccia grafica), linea di comando o
RADIUS*. Potendo il MAC Address essere cambiato il MAC filtering non pu essere l'unico sistema
di protezione utilizzato.

Spengere l'Access Point quando non serve

I malinternzionati agiscono spesso di notte o nel fine settimana. buona norma collegare gli AP ad
un timer che li spenga quando sono inutilizzati.

Controllare l'intesit del segnale

Il segnale wireless spesso sconfina dal perimetro che vogliamo coprire offrendo ancora meglio il
fianco agli intrusi. Posizionando bene dell'AP e regolando il suo segnale via software (quando
l'apparecchio prevede questa funzione) si pu limitare questo danno.

Cambiare le community di default di SNMP

Come specificato nel punto precedente bisogna modificare la Password SNMP

Limitare il traffico di broadcast

consigliabile limitare il traffico di broadcast quando possibile, ad esempio disattivando il
protocollo NetBIOS su TCP/IP dal binding con la scheda di rete Wireless per evitare di diminuire i
tempi di raccolta dei dati da parte di un intruso per ricavare la chiave WEP.

Proteggere i client
Proteggere i client con un firewall per impedire che intrusi leggano nel registro informazioni sul
WEP o Wpa.

Non usare il DHCP

meglio non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi, ma considerare l'utilizzo
di IP statici cercando anche di evitare indirizzamenti di default facilmente intuibili come
192.168.1.0 o 192.168.0.0.

Utilizzare di una Virtual LAN separata

consigliabile l'utilizzo di una Virtual LAN separata per il traffico wireless, separandola dalla rete
intranet. Esistono varie metodologie, per unire in maniera sicura le due LAN, tra le pi semplici
ricordiamo l'uso di un router/switch con capacit di filtro IP o un proxy. In alcune piccole aziende e
in ambienti SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un
problema, queste semplici regole sono sufficienti a proteggere l'accesso wireless. In ambienti pi
critici, dove necessario mantenere la confidenzialit dei dati, necessario applicare delle regole
pi rigorose.
Reti wireless Lan nei locali pubblici, creazione e connessione
Le reti wireless in locali pubblici

Gli access point pubblici stanno riscuotendo un successo sempre maggiore offrendo vantaggi sia
dal punto di vista dell'utente che del gestore di locali.
Sfruttare il proprio portatile per un collegamento ad Internet fuori casa o ufficio un vantaggio
notevole per chi si muove molto o semplicemente per chi sfrutta Internet solo saltuariamente.

Creare un Hot Spot pubblico dal punto di vista del gestore

Per fornire questo tipo di servizio, un titolare che voglia creare un Hot Spot si deve fornire di un
Access Point con particolari caratteristiche. Prima di tutto necessario un sistema di
autenticazione, sia esso integrato al punto di accesso, sia esso gestito da un server esterno, al
quale si deve aggiungere un sistema di log dettagliato degli accessi e la possibilit di offrire ticket a
scadenza o rinnovabili. I prodotti pi completi si possono collegare a stampanti per l'emissione di
scontrini o direttamente alla cassa.

La gestione dell'autenticazione
La differenza principale tra un access point per uso privato e un Hot Spot pubblico sta nella
gestione degli accessi attraverso l'uso di connessioni a pagamento limitate nel tempo chiamate
ticket. L'autenticazione solitamente gestita attraverso metodi di reindirizzamento dell'utente che
si connette tramite l'immissione di nome utente e password. L'elenco degli account su cui
effettuare la verifica risiede o su un server esterno, detto Radius*, o nel database integrato nel
punto di accesso.

La gestione dei ticket

L'uso di ticket permette di gestire connesioni ad internet a tempo e a pagamento. Bisogna definire
il costo per unit di tempo e il periodo di validit. L'impiego di una stampante esterna chiaramente
semplifica queste procedure.

La gestione di Access Point multipli e la protezione della rete locale

Per poter gestire un numero elevato di client consigliabile utilizzare pi punti di accesso
centralizzando la gestione degli account. Grazie ai canali non interferenti possibile configurare 3
punti di access senza decadimento delle prestazioni.
Un Hot Spot deve, inoltre proteggere la rete locale limitando le connessioni alla comunicazione
verso internet. necessario disabilitare anche la comunicazione fra client per impedire utilizzi
abusivi della connessione.

Connettersi su Hot Spot pubblici dal punto di vista dell'utente

Dal punto di vista della configurazione, collegarsi ad un Hot Spot pubblico molto semplice in
quanto i parametri di connessione sono gestiti direttamente dal provider fornitore. L'utente dovr
solo immettere un nome utente e una password. Nel momento in cui si vuole utillizzare una
connessione ad internet pubblica si deve, per prendere in esame la questione della sicurezza
riducendo al minimo le trasmissioni in ingresso attraverso l'uso di un firewall, servendosi di tunnel
sicuri per l'eventuale comunicazione con la rete aziendale e disabilitando la comunicazione
attraverso altri client.

Ricercare un Hot Spot pubblico

Un elenco completo di luoghi pubblici che forniscono questo servizio lo possiamo vedere sul sito
http://wi-fi.jiwire.com, il portale ufficiale per gli Hot Spot certificati dalla Wi-Fi Alliance. Elenchi pi
dettagliati per il mercato italiano possiamo trovarli sui siti dei Wisp (Wireless Internet Service
Provider) come Virgilio o Freestation

Collegarsi all'Hot Spot

Molti service provider, con Tin.it, permettono di accedere al proprio portale dove acquistare
gettoni pagabili direttamente online e da utilizzaris quindi per la navigazione. In altri casi si acquista
una scheda con codice personale per poi procedere all'autenticazione. consigliabile configurare
l'interfaccia WLan per ricevere in modo dinamico l'indirizzo IP ed effettuare la scansione
automatica della rete. Chi usa adattatori fuori standard si assicuri che il collegamento non sia
limitato agli access point che sfruttino la stessa tecnologia ma includa anche i dispositivi standard
(802.11b e 802.11g).

Precauzioni per limitare gli accessi non autorizzati al proprio Pc

Per proteggersi dalle intrusioni bisogna:
Disabilitare le condivisioni di file e cartelle
Disabilitare le comunicazioni di tipo AdHoc
Utilizzare un firewall personale
In caso di collegamente alla rete aziendale, utilizzare un tunnel privato criptato (VPN)