Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La tecnologia wireless ha trovato campo molto fertile in ambito lan networking e per le
configurazioni di apparati di rete, anche domestici. I motivi del succeso di questa tecnologia sono
piuttosto intuibili soprattutto se si pensa ad una rete con collegamento ad internet. Negli ambienti
domestici o, meglio ancora, SOHO*(Small Office, Home Office), l'uso dei computer portatili
diventato molto massiccio, a volte per reali esigenze, a volte anche solo moda. Fatto sta che la
possibilit di avere una connessione alla rete lan e ad internet in un'area geografica definita
rappresenta una rivoluzione che apre le porte a molti utilizzi prima impensabili. Ovunque ci si trovi
col nostro portatile o dovunque posizioniamo il nostro pc desktop, saremo connessi! Questo
spiega il successo di questo sistema anche in ambienti SOHO e domestici, anche per chi possiede
un solo PC!!
In questp oarticolo andremo a trattare la essenzialmente la scelta dei dispositivi per ottenere il
massimo dalla tecnologia wireless e per fare le scelte migliori in base alle proprie esigenze.
Se una corretta progettazione in base a specifiche esigenze scontata nel caso si debba
rispondere a restringenti requisiti aziendali, non si deve pensare che in un network senza fili in
ambiente di piccolo ufficio o domestico se ne possa fare a meno.
Il fulcro della rete wireless e l'access point, un dispositivo che comunica in modalit senza fili, con i
terminali, e si interfaccia alla sezione cablata della rete. Agendo da ponte di comunicazione tra le
periferiche wireless ed eventualmente anche tra una rete wireless e una via cavo, ogni Access Point
aggiuntivo permette di estendere il raggio di copertura della WLAN
Nella maggior parte degli ambienti SOHO, piccoli uffici o reti domestiche un solo Access point
sufficiente a coprire le esigenze logistiche e di numero di computer collegabili (al massimo circa
10).
La convivenza di pi access point nella stessa rete hanno la funzione di incrementare il raggio di
copertura del segnale e/o di offrire una copertura ad un elevato numero di client.
Per fare la scelta giusta innanzi tutto, necessario avere le idee chiare su quali siano gli standard
per reti wireless.
I protocolli Wi-Fi
IEEE (Institute Electrical Electronic Engineers) ha il compito di scoprire e standardizzare nuove
tecnologie
Si divide in commisioni, la commissione 802 si occupa delle reti LAN e MAN
Ogni commissione si divide in gruppi :
il gruppo 3 (802.3) studia, verifica e ratifica lo standard ETHERNET (reti cablate)
il gruppo 11 (802.11) studia, verifica e ratifica lo standard Wireless
il gruppo 15 (802.15) studia, verifica e ratifica lo standard Bluetooth
il gruppo 16 (802.16) studia, verifica e ratifica lo standard WiMax
Con l'arrivo dello standard 802.11g il limite teorico di velocit si portato a 54 Mbps, molto
superiore a quello del precedente 802.11b di 11Mbps, col quale risulta comunque compatibile in
quanto opera alla stessa frequenza (2,4 GHz). Lo standard 802.11a offre una velocit di 54Mbps
ma, operando alla frequenza di 5 GHz non compatibile con gli altri due (a meno di non usare una
struttura di rete dual band che opera sia a 2,4 che 5 GHz).
A parit di velocit massima l'802.11g offre la compatibilit con i client 802.11b, una portata di
segnale maggiore (pi bassa la frequenza meno essa soggetta ad attenuazione nel mezzo fisico
di trasporto) e una maggiore diffusione, mentre i dispositivi 802.11a possono contare su pi canali
sovrapposti (12 contro i 3 della banda a 2,4 GHz) potendo cos offrire una maggiore densit di
copertura nonostante la loro portata sia di un quarto inferiore a quella degli altri standard.
La scelta di un access point a doppia banda pu essere la scelta migliore nel caso si debba gestire
un elevato numero di client. Come regola generale bene non superare i 10 client sulla medesima
frequenza; per servire pi terminali, si possono affiancare pi access point in aree sovrapposte
assegnando a ciascuno un canale radio sovrapposto. In ambito 802.11g, ad esempio, si possono
affiancare configurare 3 access point operanti sui canali 1, 6, 11, in modo da offrire una banda
triplicata rispetto ad una rete con un solo access point. Anche in questo caso lo standard 802.11a
pu risultare molto utile, potendo disporre di pi canali non sovrapposti; un apparato ibrido poi
pu sfuttare entrambe le bande a patto che parte dei client possa operare a una frequenza e i
rimanenti a un'altra.
Per aumentare la portata e la velocit molti produttori sfuttano delle tecnologie proprietarie.
La scelta milgiore, per quella di rivolgersi a prodotti standard, meglio se certificati dalla Wi-Fi
Alliance (elenco prodotti certificati).
Le modalit operative di un punto di accesso di una rete
Wireless Lan
Le modalit operative di un punto di accesso Wireless Lan
Un unico punto di accesso la soluzione migliore per la maggior parte dei contesti Soho e
sicuramente di quasi tutti gli ambienti domestici. In base alla presenza o meno di altri dispositi
nella rete si decider se acquistare un access point o un router all-in.one.
Per chi non avesse chiari certi concetti bene fare prima un po' di luce prima di affrontare certi
argomenti.
Un router consente di far uscire su internet i computer di una rete alla quale anche esso
allacciato. Un access point consente di connettere ad una rete interna Lan dei terminali in modalit
wireless, svolgendo, in pratica, il lavoro che svolge un tradizionale hub o switch.
Quindi, chi ha gi una rete connessa ad internet tramite router, se vuole allacciare alla rete altri
dispositivi come pc portatili, palmari o anche altri pc desktop ma in maniera senza fili, ha bisogno
di un access point da collegare al router (tramite cavo lan) che gli "aggiunga" questi dispositivi alla
rete gi presente e che esce gi su internet.
Invece, chi non ha niente, far meglio a munirsi di un ruoter all-in-one che gli funger sia da router
per andare in internet che access point per collegare alla rete i dispositivi wireless.
Modalit di connessione
Se dobbiamo servire un'area troppo ampia per essere coperta da un solo access point, dobbiamo
valutare quale modalit operativa fa al caso nostro.
Modalit ripetitore
Modalit ripetitore
Per la scelta dei dispositivi dei client wireless la scelta pu andare su interfacce USB, Pci p Pcmpia.
Per i portatili sprovvisti di interfaccia Wlan integrata o sui quali vogliamo fare un upgrade la
soluzione migliore sicuramente quella della scheda Pcmpia.
Gli adattatori USB hanno il vantaggio di essere utilizzabili sia su portatili che su pc desktop.
L'importante che supportino l'USB 2.0 per non creare colli di bottiglia.
Le schede interne Pci sono la soluzione meno pratica in quanto si deve intervenire sul case.
Reti wireless Lan, guida passo passo alla configurazione di un
Access Point
Cenni preliminari
La configurazione di un Access Point o di un router all-in-one pu variare a seconda del modello del
dispositivo e a seconda del computer da cui si effettua la configurazione.
In questo articolo trattiamo una configurazione attraverso l'interfaccia Web in quento sempre
presente in tutte le situazione oltre ad essere intuitiva. Per poter accedere all'interfaccia Web di
configurazione bisogna conoscere l'indirizzo IP del punto di accesso. Solitamente le case produttrici
forniscono una utility per ottenere questo indirizzo, altrimenti si pu utilizzare l'indirizzo di default
fornito dal manuale. L'interfaccia del Pc deve essere configurata con un Ip appartenente alla stessa
sottorete dell'access point (es: 192.168.0.0). Se nella rete attivo un server DHCP* questa
configurazione automatica.
Verificati questi requisiti si pu accedere all'interfaccia di configurazione aprendo un browser e
digitando nella barra di navigazione l'indirizzo IP dell'Access Point.
una stringa di 32 caratteri che identifica la rete wireless ed condivisa da tutti i dispositivi della
rete. Una volta impostato il Ssid nell'acces point vi verr chiesto se abilitare o meno il broadcast
(viene inviato ad ogni dispositivo): come spiegato nell'articolo Reti wireless Lan, la sicurezza
consigliamo di non abilitarlo.
se si disabilita il broadcast bisogna inserire sulle propriet della scheda di rete wireless di ogni
client il nome di rete (numero di ssid)
3. Disabilitare il DHCP
Anche in questo caso ci troviamo di fronte alla scelta fra privilegiare la sicurezza o la semplicit di
configurazione. Come prima consigliamo di disabilitare il DHCP e di impostare manualmente i
client.
1. si avvia il browser e si digita lidirizzo dell AP
2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Lan Setup
4. si seleziona lopzione del server DHCP
5. si impostano i parametri secondo le esigenze personali
6. salvare la configurazione
Molti access point permettono di filtrare i collegamenti ai client basandosi sul MAC Address. Le
liste da impostare possono essere "bianche" (contenenti i terminali abilitati) o "nere" (contenenti i
client ritenuti non affidabili).
1. si avvia il browser e si digita lidirizzo dell AP
2. si inseriscono Nome utente e password
3. si seleziona la scheda del Setup e successivamente lopzione Wireless Settings
4. attivare la sottoscheda Access List
5. attivare lopzione Enable Access List
6. selezionare lozione Allow per inserire i dispositivi abilitati oppure Bou per inserire i
dispositivi a cui vietare laccesso
7. inserire il MAC (Media Access Control, indirizzo fisico) address del dispositivo
8. salvare la configurazione
Modalit di trasmissione
Nell'articolo Reti wireless Lan, scelta dei dispositivi avevamo affrontato le differenza dei vari
standard di trasmissione. Se stiamo configurando un Access Point conforme allo standard IEEE
802.11g, bisogna indicare la modalit di trasmissione in base al client da collegare. La modalit
Mixed Mode consente l'accesso contemporaneo a client 802.11b e 802.11g; in caso di presenza di
adattatori di generazione 802.11b per le prestazione decadranno sensibilmente. Per evitare
questo scegliere la modalit G-Only per permettere solo la comunicazione con client 802.11g ed
avere le prestazioni migliori su tutta la rete. In quest'ultima modalit non avranno accesso alla rete
wireless i sistemi Centrino di prima generazione. Se il punto di accesso opera in modalit dual band
(2,4 e 5 GHz) si possono configurare due differenti interfacce per comunicare con terminali
802.11a, 8022.11b e 802.11g.
Velocit di trasmissione
consigliabile di scegliere la velocit massima a cui pu operare l'access point. Installare l'access
point al centro dell'area che deve coprire offre dei vantaggi in quanto copre un'area maggiore ed
evita di dover utilizzare pi access point nel caso si debba coprire un'area maggiore.
In un ambito di cifratura Wep, l'accesso aperto (open system) permette a chiunque di connettersi
alla rete wi-fi, sfruttando le chiavi di cifra per la sola codifica delle trasmissioni.
Abilitando la modalit a chiave condivisa (shared key), invece, le chiavi sono utilizzate anche in fase
di accesso per autenticare il client ed eventualmente inibirlo.
Configurazione Wep
Anche se ormai obsoleto il sistema Wep, con un costante rinnovo delle chiavi pu essere un
discreto metodo di protezione. Il protocollo pu essere impostato per operare con stringhe di
codifica a 40 o 104 bit (a volte citate come 64 o 128, includendo l'header in chiaro). A stringhe pi
lunghe corrisponde una protezione maggiore. Nel sistema esadecimale le chiavi a 40 bit
corrispondono a stringhe di 10 caratteri e quelle a 104 bit a stringhe di 26 caratteri.
Per catturare una chiave WEP si pu utilizzare un software come Aircrack-ng (http://aircrack-
ng.org/doku.php), effettuare il download di Aircrack-ng, decomprimerlo, usare il programma
wzcook.exe che si trova nella cartella bin per ottenere la chiave della rete wireless.
Configurazione Wpa
Il protocollo WPA raddoppia la lunghezza del vettore di inizializzazione (parte della chiave)
arrivando a 48 bit (281.474.976.710.656 combinazioni)
Il protocollo WPA prevede la non ripetibilit del vettore di inizializzazione
Utilizza chiavi personali (una diversa per
Utilizza il protocollo Tkip (Temporal Key Integrity Protocol) e Aes WPA2 (Advanced
Encryption Standard) che prevede la variazione continua, dinamica e automatica della
chiave di cifratura master utilizzata per ogni sessione e per ogni pacchetto di dati inviato.
Punti di access o di fascia medio-alta consentono di instaurare un canale Vpn (Vitual Private
Network) sicuro. Questa configurazione necessita di un apposito software sul client. Le prestazioni
per dispositivi privi di opportune accelerazioni hardware possono vedere le prestazioni molto
penalizzate dalla codifica Vpn.
La potenza di trasmissione
Fissato dall'Etsi (Istituto Europeo per gli Standard nelle Telecomunicazioni) a 100 mW, il limite per
le trasmissioni locali su onde radio pu essere abbassato o aumentato per adattarsi alle esigenze
degli utenti. consigliabile, effettuando qualche prova, trovare il limite della potenza verso il basso,
in modo da coprire solo l'area che ci interessa, limitando cos le minacce di client non autorizzati.
Il canale di trasmissione
In situazioni che prevedono access point multipli, per evitare interferenze importante impostare
il canale di trasmissione. I sistemi di gesione centralizzata prevedono strumenti di gestione
automatica dei canali che provvedono ad evitare interferenze senza alcun intervento manuale.
Dal punto di vista della sicurezza fondamentale modificare le impostazioni di default degli
apparati di rete che offrano un'amministrazione remota.
Innanzi tutto, modificare la password di accesso amministrativo all'access point, poi disabilitare la
configurazione via internet. Una buona norma pu essere quella di abilitare l'accesso
amministrativo ai soli client connessi via cavo, o disabilitare del tutto l'interfaccia Web una volta
terminata la configurazione (a patto di poter accedere all'access point tramite porta seriale).
Reti wireless Lan, guida passo passo alla configurazione client
wireless
Guida passo passo alla configurazione di un Client wireless
Per client wireless intendiamo tutti i dispositivi che ricoprono un ruolo periferico all'interno della
struttura della rete wireless, quindi i pc, i portatili, i palmari e cos via... Nel caso di strutture con
pi punti di accesso il client deve essere configurato in maniera coerente all'access point a cui fa
riferimento. Nel caso di rete wireless peer-to-peer* bisogna impostare gli stessi parametri per tutte
le schede interessate.
Windows XP include uno strumento per la gestione di schede wireless, offrendo un'alternativa al
software di configurazione offerto dal produttore. Necessari sono i driver di periferica per
l'hardware.
Per i pc portatili equipaggiati con Intel Centrino il pacchetto driver include il software di
configurazione munito di un comodo wizard.
In questa guida per uniformint faremo riferimento al software integrato in Windows XP.
Per fare una scansione delle reti wireless disponibili sufficiente fare un doppio click
sull'interfaccia in questione. Come gi spiegato nell'articolo Reti wireless Lan, la sicurezza, verranno
rilevate solo le reti che hanno abilitato il broadcast del Ssid. Una volta rilevate le reti disponibili,
selezionare quella a cui si desidera connettersi. Se la arete non protetta da alcun protocollo di
cifratura, Windows avverte circa i potenziali rischi, altrimenti viene richiesto l'inserimento della
chiave Wep o password impostata per il sistema Wpa sul punto di accesso.
Se non viene rilevata la rete a cui desiderate connettervi o se volete creare una nuova struttura ad-
hoc, utilizzare l'installazione guidata di Windows. Inserire l'Ssid della rete e scegliere il tipo di
codifica da utilizzare per la protezione delle trasmissioni. Se ci colleghiamo ad una rete wireless
preesistente impostare la stringa manualmente, altrimenti scegliere l'assegnazione automatica.
Al fine di riutilizzare i parametri della rete wireless su altri computer, windows permette di salvarli
su un dispositivo portatile come una chiavetta USB.
Anche se la procedura guidata molto comoda pu non essere sufficente, ed consigliabile agire
manualmente su alcuni parametri.
Configurazione manuale: la sicurezza
Qualora la rete disponga di un server compatibile, Windows supporta l'autenticazione dei client
wireless attraverso lo standard 802.1x. Se il pc viene autenticato con successo sar riconosciuto
con l'account impostato sulla macchina, altrimenti come Guest.
Windows d la possililit di collegamento anche a reti con forte autenticazione, ma questo
argomento non verr trattato.
Il sistema di accesso automatico alle reti comodo ma non sicuro. consigliabile disabilitarla o
limitarla alle reti presenti dell'elenco delle preferite. Windows consente inoltre di scegliere se
collegare il PC solo a reti con infrastruttura (teoricamente pi sicure), chiedendo invece conferma
per le connessioni di tipo ad Hoc.
Parametri avanzati
Stranamente Windows prevede la gestione dei parametri avanzati non nella sezione Reti senza fili
bens nella configurazione della scheda hardware.
Tra i valori pi importanti ricordiamo la potenza di trasmissione per le reti peer-to-peer, la gestione
del risparmio energetico e la possibilit si spegnere la componente radio del Pc.
Sicurezza delle Reti wireless Lan, vulnerabilit e difese della rete
wireles
La sicurezza in ambito reti lan wireless
La tecnologia di connessione alla rete wireless (senza fili) senza dubbio una delle novit pi
interessanti uscite negli ultimi tempi. Sono, infatti, evidenti i vantaggi in termimi di sempicit di
installazione e manutenzione oltre alla vera ragione di esistere di questa tecnologia, cio la
mobilit che essa consente.
Tuttavia, alcuni importanti aspetti come la sicurezza e la protezione hanno reso estremamente
cauti, se non contrari, i responsabili del settore IT circa l'introduzione di reti LAN senza fili nelle
proprie organizzazioni.
Nei precedenti articoli sul wireless avevamo gi fatto luce sul protocollo 802.11g e sulla funzione di
un access point come collegamente fra la rete e i dispositivi connessi senza fili.
Questi access point sono muniti solitamente di un indirizzo Ip dedicato per l'amministrazione
remota via SNMP *, del quale possono essere muniti anche i client connessi alla rete come palmari
portatili o pc.
Il fatto che nelle reti wireless l'informazione viaggi via etere, ossia su di un canale completamente
sprotetto (l'aria), incoraggia i tentativi di intrusione.
Spoofing
Potendo avere accesso alla nostra rete interna, eventuali malintenzionati potrebbero inviare dati
apparentemente legittimi, ad esempio un messaggio di posta elettronica di spoofing, destando
pochi sospetti dato che gli amministratori di sistema, tendono in genere a guardare con minor
sospetto gli elementi di origine interna.
DoS (Denial of service)
In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico al limite
delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non pi in grado di
erogare il servizio. Ad esempio, l'interruzione del segnale a livello di trasmissione radio pu essere
realizzata con strumenti a bassa tecnologia, come un forno a microonde.
Password SNMP
Non modificando la password public un intruso potrebbe leggere e potenzialmente manomettere
dati critici. doveroso cambiare la password degli agenti SNMP per il controllo da remoto con una
chiave sicura.
Una volta esaminati i punti deboli del wireless andiamo a vedere le contromosse affrontando la
configurazione di una rete Wireless attraverso il sistema di autenticazione 802.1x Peap.
Aggiornare il firmware
Bisogna utilizzare access point con firmware aggiornabile e tenere sempre l'ultima versione.
Modificare le password
Come per il codice SSID bene modificare le password degli Access point con chiavi di almeno 8
caratteri
Proteggere i client
Proteggere i client con un firewall per impedire che intrusi leggano nel registro informazioni sul
WEP o Wpa.
Gli access point pubblici stanno riscuotendo un successo sempre maggiore offrendo vantaggi sia
dal punto di vista dell'utente che del gestore di locali.
Sfruttare il proprio portatile per un collegamento ad Internet fuori casa o ufficio un vantaggio
notevole per chi si muove molto o semplicemente per chi sfrutta Internet solo saltuariamente.
Per fornire questo tipo di servizio, un titolare che voglia creare un Hot Spot si deve fornire di un
Access Point con particolari caratteristiche. Prima di tutto necessario un sistema di
autenticazione, sia esso integrato al punto di accesso, sia esso gestito da un server esterno, al
quale si deve aggiungere un sistema di log dettagliato degli accessi e la possibilit di offrire ticket a
scadenza o rinnovabili. I prodotti pi completi si possono collegare a stampanti per l'emissione di
scontrini o direttamente alla cassa.
La gestione dell'autenticazione
La differenza principale tra un access point per uso privato e un Hot Spot pubblico sta nella
gestione degli accessi attraverso l'uso di connessioni a pagamento limitate nel tempo chiamate
ticket. L'autenticazione solitamente gestita attraverso metodi di reindirizzamento dell'utente che
si connette tramite l'immissione di nome utente e password. L'elenco degli account su cui
effettuare la verifica risiede o su un server esterno, detto Radius*, o nel database integrato nel
punto di accesso.
Dal punto di vista della configurazione, collegarsi ad un Hot Spot pubblico molto semplice in
quanto i parametri di connessione sono gestiti direttamente dal provider fornitore. L'utente dovr
solo immettere un nome utente e una password. Nel momento in cui si vuole utillizzare una
connessione ad internet pubblica si deve, per prendere in esame la questione della sicurezza
riducendo al minimo le trasmissioni in ingresso attraverso l'uso di un firewall, servendosi di tunnel
sicuri per l'eventuale comunicazione con la rete aziendale e disabilitando la comunicazione
attraverso altri client.