Guida alla configurazione di un router Wi-Fi e di una rete wireless- Parte I
Guida alla configurazione di un router Wi-Fi e di una rete wireless
 
"Come predisporre una rete wireless Wi-Fi e gestirla in tutta sicurezza."
Sicurezza nelle reti Wireless
Questa parte dell’articolo richiederebbe da sola un articolo a sé stante ma noi cercheremo di fornire un’informazione adeguata cercando di non dilungarci troppo in discorsi tecnici.
Tratteremo tre modalità differenti per garantire la sicurezza all’interno di ambienti Wi.Fi: si tratta delle tre tecnologie WEP, WPA e WPA2. Naturalmente è importante per una rete avere un certo grado di sicurezza proporzionale al tipo ed al grado di riservatezza delle informazioni trasmesse attraverso di essa.
La tecnologia WEP ( Wired Equivalent Privacy ) è la prima originariamente sviluppata per garantire la sicurezza delle reti Wi-Fi e si avvale dello stesso algoritmo di cifratura utilizzato nelle connessioni internet sicure con protocollo SSL ( l’algoritmo RC4 ) con l’uso di una chiave di tipo statico ( una chiave di decodifica/codifica che non varia nel tempo ) di 64 o 128 bit. Gli obiettivi del WEP erano quelli di fornire un muro difensivo alla rete per consentire l’integrità dei dati, la loro codifica in moda da mantenerne la riservatezza e una barriera contro le autenticazioni di falsi utenti. Purtroppo però questa tecnologia non era in grado di mantenere le promesse fatte in partenza in quanto non sarebbe stato difficile per un malintenzionato ricavare la chiave analizzando il flusso di dati per un certo tempo. Questo problema, unito alla lentezza delle reti derivante dal suo utlizzo, ha screditato di fatto il WEP ed ha messo in moto gli sviluppatori per la ricerca di un nuovo standard di sicurezza che potesse sostituirlo senza ricorrere alla smantellamento delle reti precedentemente create con dispositivi WEP; uno standard che fosse implementabile al massimo con un semplice aggiornamento del firmware.
Dal lavoro degli esperti è nato WPA ( Wi-Fi Protected Access ), un’evoluzione del WEP le cui specifiche sono contenute nello standard 802.11i ma che è stato implementato nativamente già nei dispositivi 802.11g in seguito alla domanda di una maggiore sicurezza da parte delle aziende. WPA, a differenza di WEP, utilizza un algoritmo di criptatura dei dati ( TKIP ) con chiave dinamica ( variabile nel tempo ) di 128 bit garantendo al contempo prestazioni quasi invariati nel trasferimento degli stessi. E’ possibile abilitare la tecnologia WPA in due diverse modalità che analizziamo separatamente.
La prima è detta WPA-PSK ( Wi-Fi Protected Access – Pre Shared Key ) o anche WPA-Home ed utilizza un sistema di autenticazione che prevede l’adozione di una PSK che dovrà essere inserita all’interno del router e fornita ad ogni disposivo connesso alla rete. In questo modo però se un malintenzionato riuscisse a scoprire la vostra PSK avrebbe accesso all’intera rete. Per questo la modalità WPA-Home è consigliata sola per reti di tipo domestico che non richiedono livelli di sicurezza troppo elevati o per piccole imprese che non possono permettersi un server di autenticazione.
Infatti la seconda modalità si chiama WPA-RADIUS ( Wi-Fi Protected Access - Remote Access Dial-Up User Service ), detta anche WPA-Enterprise, ed utilizza appunto un server RADIUS per l’autenticazione degli utenti sfruttando il protocollo introdotto con lo standard 802.1x. In questo modo ogni utente che si connette alla rete deve inserire un nome utente ed una password personali che il server provvederà a verificare fornendo successivamente i servizi ella rete a coloro che avessero effettuato l’accesso correttamente. Con un server di questo tipo è possibile impostare diversi livelli di accesso alla rete in modo da permettere ad una certa classe di utenti l’uso di alcuni servizi piuttosto che altri. Questo tipo di architettura con server di autenticazione è indicata per le aziende che vogliono garantire un elevato grado di sicurezza pe r la propria rete.
WPA si è poi evoluta in WPA2 ( definito nell'emendamento 802.11i dello standard IEEE 802.11 ) che sostanzialmente si differisce per l’adozione di un diverso algoritmo per la cifratura chiamato AES ( Advanced Encryption Standard ) diversamente dal TKIP usato nel WPA e per un nuovo protocollo per lo scambio delle chiavi di decodifica tra l'access point e i client. Anche WPA2 può funzionare in due diverse modalità per coprire le esigenze degli utenti domestici o delle aziende. La tecnologia WPA2 non è però compatibile con tutti i dispositivi wireless in commercio e potrebbe quindi non essere disponibile sul vostro router o eventualmente sulle vostre schede di rete wireless. Controllate quindi se sono disponibili dei firmware aggiornati per i vostri dispositivi. Per maggiore compatibilità vale comunque il consiglio di usare il protocollo WPA che offre adeguata sicurezza a tutti gli utenti domestici e non.
Purtroppo il nostro primo articolo sulla configurazione di un router Wi-Fi e sulla creazione di una rete wireless si conclude qui. Nella prossima parte potrete trovare tutte le informazioni per configurare la vostra rete per usare le modalità di sicurezza di cui abbiamo parlato e altro ancora.
Sicurezza Wireless - segue
Ci eravamo lasciati dicendo che vi avremmo spiegato come configurare correttamente sia il router sia i vari client collegati per garantire la sicurezza della vostra rete. Ebbene ecco quanto promesso.
Dal pannello di amministrazione del vostro router accedete alla sezione "Security" ( o Sicurezza ) e selezionate la modalità che preferite a seconda delle vostre necessità.
Di seguito diamo una serie di suggerimenti su come impostare in modo corretto le varie opzioni sia sul router che sui client. Tipicamente questo tipo di impostazioni si inseriscono all’interno del software dedicato della scheda di rete wireless ma con il Service Pack 2 anche Windows XP si è dotato di una buona utilità di configurazione per le reti senza fili. Accediamo quindi alla cartella Risorse di Rete e successivamente a Connessioni di Rete. Fra le connessioni disponibili scegliamo quella wireless e dal menù accessibile tramite tasto destro del mouse selezioniamo Proprietà. Da qui selezioniamo Reti senza fili. Questa immagine rappresenta la schermata che dovreste vedere.

Nelle sezione Reti Preferite dovreste vedere anche la vostra identificata dal SSID che avete inserito all’interno del router. Selezionate la rete che volete configurare e cliccate su proprietà. Se non fosse presente la rete dovrete agiungerla manualmente. Per fare questo basta cliccare sul pulsante aggiungi che aprirà una finestra in cui dovrete inserire i vari parametri di configurazione tra cui ovviamente anche l’identificativo SSID della rete. La configurazione degli altri parametri varia a seconda delle impostazioni di sicurezza che avete inserito nel router. Analizziamo caso per caso.
WPE 64 bit ( detto anche WPE 40 bit ): nel router dobbiamo inserire 4 diverse chiavi costituite da 5 coppie di numeri esadecimali ( in base 16 ) e quindi possiamo scegliere fra 16 caratteri ( 0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f ). Dopo aver selezionato quale delle 4 chiavi utilizzare ed aver applicato i cambiamenti la configurazione dal lato router sarà completata.



Non ci resta che impostare i vari client wireless per connettersi correttamente alla rete. Come spiegato poco sopra accedete alla scheda di configurazione della vostra rete.

Inserite le varie impostazioni come nell’immagine selezionando “Condivisa” alla voce Autenticazione di rete e “WEP” alla voce Crittografia dati. Nel campo Chiave di rete inserite il codice che avete impostato nel router e come indice chiave selezionate il numero della chiave che avete configurato nel router. Nella scheda Autenticazione disattivate, se già non lo fosse, l’opzione “Abilita autenticazione IEEE 802.1x per questa rete”.
WEP 128 bit ( detto anche WPE 100 bit ): questa opzione di sicurezza si differenza da quella a 64 bit per la semplice differenza di lunghezza della chiave della rete. Invece che inserire quattro chiavi formate da 5 coppie di caratteri esadecimali stavolta dobbiamo inserire 13 coppie di cifre, sempre esadeciamali. L’immagine sotto è un esempio pratico:

La configurazione lato client è uguale a quella per la modalità WEP 64 bit. Dovete solo inserire una chiave più lunga :D.
WPA-PSK: questa modalità è molto simile alla modalità WEP 128 bit, almeno come configurazione del router. Vi basterà selezionare l’algoritmo di crittografia che preferite ( AES o TKIP ) ricordando però che non sono ancora molti i dispositivi in commercio a supportare l’algoritmo AES. Come chiave dovrete inserire un codice con un numero compreso tra 8 e 63 di caratteri alfanumerici consapevoli che più lunga è la chiave più difficile sarà per un eventuale malintenzionato riuscire a scoprirla. Ecco un esempio di configurazione:

Dal lato client le cose sono leggermente diverse rispetto alla modalità WPE. Vediamo allora come impostare correttamente i vari computer che si collegano alla nostra rete wireless.

Prima di tutto scegliamo WPA-PSK nel campo Autenticazione di rete. Scegliamo poi TKIP o AES a seconda del metodo di crittografia dei dati utilizzato nel router ed inseriamo successivamente la chiave di rete. Con la scelta dell’uso di WPA-PSK la scheda Autenticazione verrà completamente disabilitata in modo tale che non dovremmo preoccuparci di ulteriori configurazioni.
WPA-RADIUS: questa modalità richiede la configurazione di software esterni adeguati o l’uso di un server dotato di un sistema operativo che supporti le funzionalità Radius come Microsoft Windows Server. Questo argomento, vista anche la relativa necessità di configurare una rete con questo tipo di impostazione per un utente domestico, va quindi al di là degli scopi di questa guida e perciò non sarà trattata.
WPA2: anche la revisione dello standard WPA, il cosiddetto WPA2 anche conosciuto come IEEE 802.11i, prevede due diverse tipologie di funzionamento per adattarsi alle esigenze di sicurezza degli utenti domestici o delle aziende. Se vogliamo utilizzare questo standard per aumentare la sicurezza delle nostre reti wireless dobbiamo inanzitutto assicurarci che il nostro access point sia compatibile ( spesso i modelli meno recenti possono essere aggiornati tramite una revisione del firmware ). Anche dal lato client possono rendersi necessari degli aggiornamenti dei driver. In Windows XP SP2 il supporto a WPA2 si può avere installando un'apposita patch rilasciata dalla Microsoft che trovate a questo indirizzo Come per il WPA ci occupiamo solo della versione Personal ovvero quella a chiave precondivisa. Una volta installato l'aggiornamento, se la nostra scheda di rete wireless supporta WPA2 ( in caso contrario è possibile che il produttore abbia rilasciato dei driver aggiornati ) tra le opzioni di "Autenticazione di rete" compariranno WPA2 e WPA2-PSK, rispettivamente la versione Enterprise ( RADIUS ) e Personal di WPA2. Dal punto di vista della configurazione quindi non cambia molto rispetto a quanto già visto per WPA.

Il Sistema di autenticazione 802.1x
Nell'ambito della sicurezza del Wireless, la protezione WEP statica, oggi molto utilizzata da privati ed aziende, si basa si un semplice segreto condiviso (password o chiave) per l'autenticazione nella WLAN. Chiunque disponga di questa chiave segreta può accedere alla WLAN. Lo standard WEP non prevedere un metodo per l'automazione dell'aggiornamento o della distribuzione di tali chiavi, quindi è estremamente difficile modificarle periodicamente.
Un utente malintenzionato può sfruttare imperfezioni crittografiche in WEP per individuare le chiavi WEP statiche mediante strumenti elementari.
Per garantire un metodo più affidabile di autenticazione e autorizzazione, Microsoft e alcuni altri fornitori hanno proposto una struttura di protezione WLAN basata sul protocollo 802.1X. 802.1X è uno standard IEEE per l'autenticazione dell'accesso alla rete che può anche essere utilizzato per la gestione delle chiavi di protezione del traffico di rete. Il suo utilizzo non è limitato alle reti senza fili, bensì è implementata in numerosi switch di fascia alta della rete LAN cablata.
Il protocollo 802.1X richiede la presenza dell'utente di rete, di un dispositivo di accesso alla rete (o gateway) come un punto di accesso senza fili e un servizio di autenticazione e autorizzazione costituito da un server RADIUS (Remote Authentication Dial-In User Service). Il server RADIUS gestisce il processo di autenticazione delle credenziali dell'utente e di autorizzazione dell'accesso alla WLAN.
Lo standard 1X si basa su un protocollo IETF denominato EAP (Extensible Authentication Protocol) per gestire lo scambio di dati di autenticazione tra il client e il server RADIUS (inoltrati dal punto di accesso). EAP è un protocollo generico per l'autenticazione che supporta numerosi metodi di autenticazione, con password, certificati digitali o altri tipi di credenziali.
Poiché il protocollo EAP può essere inserito in un metodo di autenticazione, non esiste un tipo standard di autenticazione EAP da utilizzare. I metodi EAP applicabili ai diversi contesti possono essere vari, con tipi di credenziali e protocolli di autenticazione differenti.
Quando RADIUS viene implementato, un punto di accesso senza fili impedisce l'inoltro del traffico dei dati a una rete cablata o a un altro client senza fili senza una chiave di autenticazione valida. Di seguito è riportato il processo per l'ottenimento di una chiave di autenticazione valida:
* Quando un client senza fili entra nel raggio di azione di un punto di accesso senza fili, il punto di accesso senza fili richiede la verifica del client.
* Il client senza fili si identifica al punto di accesso senza fili, il quale inoltra le informazioni a un server RADIUS.
* Il server RADIUS richiede le credenziali del client senza fili per verificarne l'identità. Come parte della richiesta, il server RADIUS specifica il tipo di credenziali necessarie.
* Il client senza fili invia le proprie credenziali al server RADIUS.
* Il server RADIUS verifica le credenziali del client senza fili. Se le credenziali sono valide, il server RADIUS invia una chiave di autenticazione crittografata al punto di accesso senza fili.
* Il punto di accesso senza fili utilizza la chiave di autenticazione per trasmettere in modo protetto chiavi di autenticazione di sessione unicast per stazione e multicast al client senza fili.
Per risolvere i problemi dettati dalle debolezze del protocollo WEP, l'istituto IEEE sta sviluppando un nuovo standard di protezione WLAN denominato 802.11i, anche noto come RSN (Robust Security Network). La Wi-Fi Alliance, consorzio di fornitori Wi-Fi leader nel settore, ha utilizzato una prima versione della protezione 802.11i per pubblicare uno standard denominato WPA (Wi-Fi Protected Access).
La protezione WPA include un ampio sottoinsieme delle funzioni presenti in 802.11i. In questo modo la Wi-Fi Alliance è riuscita imporre la conformità a questo standard per tutte le apparecchiature che portano il logo Wi-Fi e ha consentito ai fornitori di hardware di rete Wi-Fi di offrire un'opzione di protezione avanzata di serie prima del rilascio di 802.11i. Esso raggruppa un insieme di funzioni di protezione considerate, tra le tecniche attualmente disponibili, le più affidabili per la protezione di reti WLAN.
Lo standard WPA prevede due modalità: una basata su 802.1X e sull'autenticazione RADIUS (definita semplicemente WPA) e uno schema più semplice per gli ambienti SOHO che si avvale di una chiave già condivisa (definito WPA PSK). WPA combina un sistema di crittografia avanzata con il meccanismo di autenticazione e autorizzazione affidabile di 802.1X.
Tuttavia, poiché WPA utilizza algoritmi di crittografia simili a quelli utilizzati da WEP, può essere implementato in componenti hardware esistenti con un semplice aggiornamento del firmware.
La modalità PSK di WPA consente inoltre alle piccole organizzazioni e ai privati di utilizzare una rete WLAN a chiave condivisa senza incorrere nelle vulnerabilità del WEP statico (ammesso che la chiave già condivisa in uso sia sufficientemente complessa da impedire attacchi di individuazione della password). Analogamente alla protezione WPA su base RADIUS e al WEP dinamico, vengono generate singole chiavi di crittografia per ogni client senza fili. La chiave già condivisa viene utilizzata come credenziale di autenticazione; quindi, se si dispone della chiave, si è autorizzati a utilizzare la rete WLAN e a ricevere una chiave di crittografia univoca per proteggere i dati.
Figura 1: semplice configurazione di rete WLAN


Semplice configurazione di rete WLAN
Questa figura mostra il livello più semplice di configurazione in cui i server IAS, i punti di accesso e gli altri elementi della rete interna sono connessi alla stessa LAN. Nelle installazioni più estese, la rete solitamente è suddivisa in più LAN virtuali LAN (VLAN) connesse tramite router o commutazione di livello.
Implementazione di un sistema di autenticazione 802.1x Peap
Per l'autenticazione di reti WLAN basata su password, Microsoft supporta l'utilizzo di PEAP (Protected Extensible Authentication Protocol) con MS-CHAP v2. Nella figura sotto riportata è illustrato il funzionamento dell'autenticazione 802.1X con PEAP e MS-CHAP v2.
Figura 2: autenticazione 802.1X e PEAP
Autenticazione 802.1X e PEAP per la rete LAN senza fili



Nella procedura seguente vengono descritte le modalità con cui il client effettua una richiesta, ottenendo l'accesso alla rete WLAN e quindi alla rete interna. Il numero dei passaggi corrisponde ai numeri indicati nella figura 2:
Passo 1: se il computer client è compreso nell'intervallo del punto di accesso senza fili, tenta di connettersi alla rete WLAN attiva su tale punto di accesso e individuata in base al relativo identificatore del set di servizi (SSID). Il SSID rappresenta il nome della rete WLAN e viene utilizzato dal client per identificare le impostazioni corrette e il tipo di credenziali appropriato per questa rete.
Passo 2: Il punto di accesso senza fili viene configurato in modo da consentire solo connessioni protette con l'autenticazione 802.1X. Quando il client tenta di connettersi al punto di accesso senza fili, quest'ultimo invia una richiesta al client, quindi imposta un canale con restrizioni che consente al client di comunicare solo con il server RADIUS, bloccando l'accesso al resto della rete. Il server RADIUS accetterà una connessione solo da un punto di accesso senza fili attendibile, ovvero configurato come client RADIUS nel server IAS e in grado di fornire il segreto condiviso per tale client RADIUS.
Il client tenta di eseguire l'autenticazione nel server RADIUS tramite il canale con restrizioni utilizzando l'autenticazione 802.1X. Durante la negoziazione PEAP, il client stabilisce una sessione TLS (Transport Layer Security) con il server RADIUS. L'utilizzo di una sessione TLS durante la negoziazione PEAP è finalizzato a diversi scopi:
* Consente al client di eseguire l'autenticazione del server RADIUS; pertanto il client stabilirà la sessione esclusivamente con un server in possesso di un certificato ritenuto attendibile dal client stesso.
* Protegge il protocollo di autenticazione MS-CHAP v2 dall'analisi del pacchetto.
* La negoziazione della sessione TLS genera una chiave che può essere utilizzata dal client e dal server RADIUS per stabilire chiavi principali comuni, le quali consentono di ricavare le chiavi utilizzate per la crittografia del traffico di rete WLAN.
Il client, protetto all'interno del canale PEAP, esegue l'autenticazione nel server RADIUS tramite il protocollo MS-CHAP v2 EAP. Durante questo scambio, il traffico all'interno del tunnel TLS è visibile solo al client e al server RADIUS e non viene mai esposto al punto di accesso senza fili.
Continuiamo con la descrizione del processo di autenticazione 802.1X PEAP così come rappresentato nella figura 2 pubblicata nella pagina precedente.
Passo 3: il server RADIUS controlla le credenziali del client in base alla directory. Se il client viene autenticato, il server RADIUS raccoglie le informazioni che gli consentono di decidere se autorizzare o meno il client a utilizzare la rete WLAN. Il server utilizza le informazioni della directory (ad esempio, l'appartenenza ai gruppi) e le limitazioni definite nel relativo criterio di accesso (ad esempio, l'orario in cui è consentito l'accesso alla rete WLAN) per consentire o negare l'accesso al client. Il server RADIUS inoltra tale decisione al punto di accesso.
Se è stato consentito l'accesso al client, il server RADIUS trasmette la chiave principale del client al punto di accesso senza fili. A questo punto, il client e il punto di accesso condividono i dati della chiave comune, che possono utilizzare per crittografare e decrittografare il traffico WLAN che si scambiano.
Se si utilizza il WEP dinamico per crittografare il traffico, le chiavi principali vengono utilizzate direttamente come chiavi di crittografia. È necessario modificare periodicamente tali chiavi per impedire attacchi di recupero delle chiavi WEP. Questa operazione viene eseguita dal server RADIUS forzando regolarmente il client a eseguire una nuova autenticazione e a generare un nuovo set di chiavi.
Se le comunicazioni vengono protette tramite WPA, i dati della chiave principale vengono utilizzati per ricavare le chiavi di crittografia dei dati, che vengono modificate per ogni pacchetto trasmesso. Per garantire la protezione delle chiavi, non è necessario che WPA forzi una nuova autenticazione periodica.
Passo 4: il punto di accesso esegue quindi il bridging della connessione WLAN client alla rete LAN interna, consentendo al client di comunicare liberamente con i sistemi della rete interna. A questo punto, il traffico inviato tra il client e il punto di accesso viene crittografato.
Passo 5: Se è necessario un indirizzo IP per il client, quest'ultimo può richiedere un lease DHCP (Dynamic Host Configuration Protocol) a un server della rete LAN. Dopo l'assegnazione dell'indirizzo IP, il client può iniziare a comunicare normalmente con i sistemi presenti sul resto della rete.
In una infrastruttura basata sul sistema di autenticazione 802.1x Peap (Protected Extensible authentication protocol), sarà quindi necessario implementare in rete un Server Dns, Dhcp, un Domain Controller (si prevedere l'installazione di Active Directory) ed un server CA (autorità di certificazione per il rilascio di certificati).
Prima di iniziare, è necessario verificare che nei computer client siano installati tutti gli aggiornamenti e le patch importanti. Per automatizzare l'invio delle impostazioni dei client WLAN, è possibile utilizzare i criteri di gruppo Active Directory. L'Editor criteri di gruppo di Windows Server 2003 include un insieme di impostazioni denominate Criteri di rete senza fili che consentono di configurare le impostazioni dei client speciche per le reti WLAN.
Per poter ricevere le impostazioni dei client WLAN, si presume che i computer client siano stati aggiunti al dominio e siano in grado di connettersi a una rete LAN senza fili. È possibile creare gli oggetti Criteri di gruppo mediante l'utilizzo della console GPMC (Group Policy Management Console) oppure di Utenti e computer di Active Directory.
Ecco come è possibile creare un oggetto Criteri di gruppo per client WLAN attraverso la Console Gestione Criteri di gruppo (GPMC).
Aprire la GPMC e selezionare l'oggetto del dominio in fase di configurazione. Fare clic con il pulsante destro del mouse sul dominio e scegliere Crea GPO e inserisci collegamento. Nota: l'oggetto Criteri di gruppo viene collegato a livello di dominio, pertanto le impostazioni saranno disponibili in tutti i computer del dominio. Se si preferisce, è possibile restringere l'ambito dell'oggetto Criteri di gruppo collegandolo a un'unità organizzativa di livello inferiore.
Quando viene richiesto il nome, digitare Impostazioni client WLAN. Nel riquadro di destra fare doppio clic sull'oggetto Criteri di gruppo Impostazioni client WLAN appena creato. Nel riquadro di destra verranno visualizzate le proprietà dell'oggetto Criteri di gruppo.
A questo punto fare clic sulla scheda Ambito. Nell'elenco Security Filtering selezionare Utenti Autenticati ed eliminarlo mediante il pulsante Elimina. Scegliere Aggiungi... per aggiungere un gruppo diverso. Immettere (o cercare) Impostazioni computer LAN senza fili.
Il gruppo Impostazioni computer LAN senza fili in realtà appartiene al gruppo Computer di dominio. Computer di dominio è un membro di Computer LAN senza fili che è a sua volta membro del gruppo Impostazioni computer LAN senza fili. L'oggetto Criteri di gruppo a livello di dominio consente a tutti i computer del dominio di ricevere le impostazioni dei client WLAN. Se si desidera restringere le impostazioni a un sottoinsieme più piccolo, rimuovere i computer di dominio dall'appartenenza al gruppo Computer LAN senza fili.
Per comodità, forniamo i successivi passaggi in elenco.
1. Fare clic sulla scheda Dettagli e selezionare Impostazioni configurazione utente disattivata dall'elenco a discesa Group Policies Status. Scegliere OK per confermare.
2. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo nel riquadro di sinistra e scegliere Modifica... per modificare le impostazioni dell'oggetto Criteri di gruppo.
3. All'apertura dell'Editor oggetti Criteri di gruppo, seguire il percorso Configurazione computer / Impostazioni di Windows / Impostazioni protezione / Criteri di rete senza fili (IEEE 802.11).
4. Selezionare l'oggetto Criteri di rete senza fili (IEEE 802.11) dal riquadro di spostamento, quindi scegliere Crea criterio rete senza fili dal menu Azione.
5. Utilizzare la procedura guidata per assegnare al criterio un nome come Impostazioni client WLAN per Windows XP (PEAP-WEP). Lasciare selezionata la casella di controllo Modifica proprietà, quindi scegliere Fine per chiudere la procedura guidata.
6. Fare clic sulla scheda Reti preferite, quindi scegliere Aggiungi... per aggiungere una nuova rete.
7. Nel campo Nome di rete (SSID) immettere il nome della rete senza fili.
8. Nel campo Descrizione immettere una descrizione della rete.
Nota: se è già disponibile una rete WLAN e la si intende utilizzare insieme alla rete WLAN basata su 802.1X di questa soluzione, sarà necessario ricorrere a un SSID differente per la nuova rete WLAN.
9. Fare clic sulla scheda IEEE 802.1x e selezionare PEAP (Protected EAP) dall'elenco a discesa Tipo EAP.
10. Fare clic su Impostazioni per modificare le impostazioni PEAP. Dall'elenco Autorità di certificazione principale attendibili selezionare il certificato CA principale per la CA installata come descritto poco sopra Creazione dell'autorità di certificazione della rete.
11. Selezionare Password protetta (EAP-MSCHAP v2) in Selezionare il metodo di autenticazione, quindi l'opzione Abilita riconnessione rapida.
12. Chiudere tutte le finestre delle proprietà scegliendo OK.
13. Chiudere l'Editor oggetti Criteri di gruppo e la GPMC.
Ora vediamo come si può creare un oggetto Criteri di gruppo mediante l'utilizzo di Utenti e computer di Active Directory
1. Aprire Utenti e computer di Active Directory e selezionare l'oggetto di dominio.
2. Fare clic con il pulsante destro del mouse sull'oggetto di dominio e selezionare Proprietà.
3. Fare clic sulla scheda Criteri di gruppo, quindi scegliere il pulsante Nuovo...
4. Immettere Impostazioni client WLAN per il nome dell'oggetto Criteri di gruppo.
5. Scegliere il pulsante Proprietà, quindi fare clic sulla scheda Protezione.
6. Selezionare Utenti Autenticati dall'elenco Utenti e gruppi, quindi scegliere il pulsante Elimina.
7. Scegliere Aggiungi... e immettere (o cercare) Impostazioni computer LAN senza fili. Selezionare OK.
8. Con il nome del gruppo Impostazioni computer LAN senza fili evidenziato nell'elenco Utenti e gruppi, selezionare le autorizzazioni Lettura e Applica criteri di gruppo nella colonna Consenti dell'elenco Autorizzazioni.
9. Fare clic sulla scheda Generale e selezionare Disattiva impostazioni configurazione utente. Scegliere Sì in tutti i messaggi di avviso.
10. Scegliere OK per applicare le modifiche e chiudere la finestra delle proprietà dell'oggetto Criteri di gruppo.
11. Scegliere il pulsante Modifica per modificare il criterio e seguire il percorso Configurazione computer / Impostazioni di Windows / Impostazioni protezione / Criteri di rete senza fili (IEEE 802.11).
12. Ripetere i passaggi da 4 a 13 della procedura precedente.
Conclusioni
In questo articolo abbiamo analizzato i pro e contro di un sistema di comunicazione wireless, compreso i rischi che si corrono e quali possono essere le contromisure per ridurre il volume di vulnerabilità alle quali questo tipo di tecnologia è soggetta. La soluzione di sicurezza è affidata comunque alle persone, quindi, qualsiasi prodotto sarà del tutto inutile se non si hanno delle buone politiche di amministrazione e condotta da parte degli utilizzatori della tecnologia.

La sicurezza del Wireless
Attualmente la tecnologia di connessione senza fili rappresenta uno dei settori più "caldi" del mercato IT. La maggior parte delle aziende ha già implementato reti LAN senza fili o sta esaminando i vantaggi e svantaggi legati all'uso di questa tecnologia.
I miglioramenti in termini di produttività riscontrati dagli utenti e l'attrattiva di reti che richiedono una manutenzione ridotta rappresentano vantaggi indiscutibili per i settori dell'Information Technology. Tuttavia, alcuni importanti aspetti di protezione hanno reso estremamente cauti, se non contrari, i responsabili del settore IT circa l'introduzione di reti LAN senza fili nelle proprie organizzazioni. Prima della realizzazione di una rete Wireless sarà necessario preoccuparsi della implementazione delle contromisure strategiche, ancor prima che l'infrastruttura senza fili sia utilizzabile dagli operatori.
Lo standard 802.11b/g è il preferito tra i canditati che si affacciano sul mercato delle reti wireless; i prodotti di massa attualmente in circolazione lavorano a frequenze intorno ai 2.4 GHz 3 e 11Mbps/54Mbps di banda, prestazione più o meno comparabile a quella di una rete cablata (con i classici cavi di rete).
Le reti wireless risultano essere meno dispendiose delle reti tradizionali, sia nella loro installazione/implementazione che nella loro gestione e risoluzione dei problemi. Per contro, il compromesso sta nel fattore sicurezza. Accesso point pubblici e reti molto poco sicure rappresentano l'anello debole della catena dell'intero network.
Un fattore di sicurezza basilare è la separazione di ciò che è cablato da ciò che non lo è. Ipotizzando uno scenario a norma, potremmo immaginare una rete classica blindata tra due bastioni di firewall, con quello interno che funge da connettore verso la rete wireless, più sistemi di intrusion detection che monitorano il traffico sul segmento di connessione tra firewall e access point.
L'access point stesso diventa quindi l'unico punto di contatto tra i client mobili ed il resto della rete. Esso possiede generalmente un indirizzo Ip dedicato per l'amministrazione remota via SNMP (Simple Network Management Protocol). Gli stessi client wireless, che possono essere laptop, ma anche desktop o palmari, sono muniti di agenti SNMP per la connessione remota. Ogni nodo, quindi, contiene un sensore che assicura la corretta configurazione del network.
Minacce alle reti Wireless
Esistono in realtà diversi tipi e tools di attacco sui network wireless, ed il loro numero cresce continuamente sia in quantità, sia in qualità. Ovviamente nelle reti wireless l'informazione viaggia via etere, ossia su di un canale completamente sprotetto (l'aria) che si presta bene come superficie d'attacco per molti smanettoni e cracker.
Tra i diversi tipi di attacco ricordiamo il jamming, intercettazione dati, attacchi di inserimento, brute forcing, cryptoattacck e altri. Alcuni di questi sono stati descritti nell'articolo Hacking delle reti Wireless. Il fine di questo articolo non è quello di analizzare attentamente i programmi di attacco ma studiare le misure di protezione per difendere le informazioni passanti sul canale wireless.
Iniziamo, dunque, con l'analizzare i principali pericoli che possono derivare dall'utilizzo di una rete senza fili.
Divulgazione di dati
L'intercettazione non autorizzata di trasmissioni di rete può comportare la divulgazione di dati riservati e credenziali utente non protette, nonché la potenziale acquisizione di identità. Questa vulnerabilità potrebbe consentire a utenti malintenzionati e dotati di strumenti sofisticati di raccogliere informazioni sull'ambiente IT dell'azienda e di utilizzarle per attaccare altri sistemi o dati che altrimenti non sarebbero vulnerabili.
Intercettazione e modifica di dati trasmessi
Se un pirata informatico riesce a ottenere l'accesso alla rete,questi potrà inserire un computer per intercettare e modificare i dati di rete trasmessi tra due parti autorizzate in comunicazione.
Spoofing
La disponibilità dell'accesso alla rete interna consente agli intrusi di inviare dati apparentemente legittimi, ad esempio un messaggio di posta elettronica di spoofing, in modi che non sarebbero consentiti dall'esterno. Gli utenti, inclusi gli amministratori di sistema, tendono in genere a guardare con minor sospetto gli elementi di origine interna rispetto a quelli che provengono dall'esterno della rete aziendale.
Denial of service (DoS)
Un utente malintenzionato può sferrare un attacco di tipo DoS in vari modi. Ad esempio, l'interruzione del segnale a livello di trasmissione radio può essere realizzata con strumenti a bassa tecnologia, come un forno a microonde. Gli attacchi di rete possono essere molto sofisticati e puntare verso protocolli di rete senza fili di basso livello; oppure, quelli meno sofisticati, possono avere come obiettivo il sovraccarico della rete WLAN con traffico casuale.
Collegamento non autorizzato o furto di risorse
Un intruso potrebbe utilizzare la rete aziendale come punto di accesso non autorizzato a Internet. Sebbene non sia altrettanto dannoso di altri pericoli, questo attacco può ridurre la disponibilità dei servizi per gli utenti legittimi e introdurre virus o altri problemi.
Rischi accidentali
Alcune caratteristiche delle reti LAN senza fili possono aumentare la gravità degli attacchi non intenzionali. Ad esempio, è possibile che un visitatore autorizzato avvii il proprio computer portatile senza l'intento di collegarsi alla rete, ma venga automaticamente collegato alla rete LAN senza fili. Il computer portatile del visitatore può rappresentare un punto di accesso alla rete per eventuali virus. Questo tipo di pericolo rappresenta un problema solo per reti WLAN non protette.
Reti WLAN inaffidabili
Anche se l'azienda non dispone ufficialmente di una rete LAN senza fili, potrebbe comunque sussistere il rischio che reti WLAN non gestite interferiscano con la rete aziendale. Componenti hardware WLAN di bassa qualità acquistati dai dipendenti possono esporre la rete a pericoli imprevisti.
I punti deboli delle reti Wireless
Al momento dell'acquisto, gli access point vengono distribuiti con una configurazione standard per una facile installazione ed un utilizzo immediato. Gli amministratori dovrebbero considerare i rischi derivanti dalla configurazione di default di tali apparati. Di seguito analizzeremo alcuni valori fondamentali per la corretta configurazione di un dispositivo wireless.
SSID: Server Set ID
È l'identificatore configurabile che permette ai client di comunicare con l'access point appropriato. Con una configurazione corretta, solo i client con il SSID corretto possono comunicare con lui. Quindi l'SSID lavora come una password condivisa tra access point e client e viceversa. Se non si cambia l'SSID di default queste unità possono essere facilmente compromesse. Il SSID viene trasmesso come testo in chiaro quando il WEP (protocollo di sicurezza per le reti wireless) è disabilitato, permettendo all'attaccante di intercettarlo (sniffing). La maggior parte degli access point vengono distribuiti con il WEP disabilitato. Ovviamente il WEP a 128 bit è più efficiente del 40 bit, ma comunque soggetto alle già note vulnerabilità dell'algoritmo RC4 sul quale si basa.
Password SNMP
Diversi modelli di access point utilizzano agenti SNMP per il controllo da remoto. Se la password di comunità non è configurata correttamente, un intruso potrebbe leggere e potenzialmente manomettere dati critici. In modalità standard, diversi access point sono accessibili in lettura usando la password di community "public", che in ogni caso sarebbe opportuno modificare.
Analisi delle contromisure
Dopo aver analizzato, nella prima parte di questo articolo, i pericoli più comuni cui è esposta una rete senza fili, passiamo ad analizzare alcune linee guida per la definizione di parametri di sicurezza. In un prossimo articolo affronteremo la configurazione di una rete Wireless attraverso il sistema di autenticazione 802.1x Peap.
Cambiare gli SSID di default
Il Service Set Identifier (SSID) identifica univocamente ogni punto di accesso all'interno della rete. Tramite una configurazione opportuna, soltanto i dispositivi che utilizzano la corretta SSID possono comunicare con i punti di accesso. Molti dei dispositivi hanno già preconfigurato un SSID di default: un intruso può usare questi nomi per cercare di accedere ad AP (Access Point) che hanno ancora la configurazione di fabbrica.
Utilizzare SSID non descrittivi
Usare SSID descrittivi facilita il compito di un eventuale intruso nell'individuare luoghi o aziende e nel ricavare maggiori informazioni su come entrare, ragion per cui è consigliabile utilizzare nomi anonimi o altamente scoraggianti.
Disabilitare il Broadcast SSID
Gli AP mandano ad intervalli regolari Beacon Frames per la sincronizzazione con i client, i quali contengono il SSID. Queste frames servono ai client per configurarsi automaticamente la rete di accesso, ma servono anche a potenziali aggressori durante la ricerca delle reti wireless. È auspicabile disabilitare il Broadcast SSID qualora l'AP supporti questa opzione. Il client dovrà essere configurato manualmente con il SSID corretto per poter accedere alla rete.
Cambiare le password
Come per gli SSID, è importante cambiare le password di default degli AP. È buona norma che la password sia lunga almeno otto caratteri e che includa caratteri speciali e numeri.
Aggiornare il firmware
Nella scelta di un Access Point, è preferibile orientarsi verso un apparato che abbia la possibilità di aggiornare il suo firmware. È bene pertanto assicurarsi che l'Access Point abbia l'ultimo livello di firmware consigliato dal produttore.
Chiavi WEP
Anche se è stato dimostrato che il WEP non è adeguato a proteggere una rete wireless, rappresenta comunque un deterrente per gli intrusi occasionali. Serve catturare dai 100 Mb a 1 Gb di traffico per provare a ricavare la chiave WEP, pertanto l'aggressore deve essere ben motivato per tentare l'intrusione. Cambiare spesso le chiavi WEP di crittografia sugli AP fa in modo che una rete compromessa, non lo sia a tempo indeterminato: un intruso, infatti, dovrebbe provare nuovamente a ricavare la chiave WEP, e questo dovrebbe farlo desistere da un secondo tentativo. Cambiare le chiavi WEP è abbastanza oneroso: alcuni Access Point supportano la dynamic WEP-key exchange per cambiare la chiave WEP per ogni adattatore. È consigliato controllare dal produttore degli Access Point la disponibilità di questa feature. Alcuni Access Points, ad esempio, non dispongono di questa feature, ma è possibile specificare fino a quattro differenti chiavi per facilitare il cambio periodico della chiave
Abilitare il MAC filtering
Molti produttori includono nei loro Access Point la possibilità di abilitare soltanto alcune schede di rete, usando come metodo discriminatorio il loro MAC address. Alcuni Access Point permettono di fornire l'elenco dei MAC addresses abilitati attraverso una GUI, linea di comando o RADIUS. Si suggerisce di usare la GUI o la linea di comando nel caso di implementazione con pochi AP, RADIUS in un contesto più ampio. È necessario pero' comprendere che il MAC address di una scheda puo' essere facilmente cambiato, pertanto il MAC filtering non puo' essere usato come solo metodo di protezione.
Spegnere l'AP quando non serve
Gli intrusi agiscono solitamente durante la notte e il fine settimana, ovvero quando la rete ed i sistemi non sono controllati. È consigliato, quando possibile, collegare gli Access Point ad un timer, in modo da spegnerli quando non vengono utilizzati.
Minimizzare l'intensità del segnale
Gli intrusi sfruttano il fatto che le onde radio non si possono limitare a dei luoghi ben definiti, esempio l'ufficio vendite, ma riescono ad espandersi fuori dalle mura perimetrali dall'ufficio. Da qui la definizione del nome "parking lot attack", o più semplicemente attacchi provenienti dal parcheggio. È pertanto importante scegliere un'adeguata collocazione dell'Access Point all'interno dell'edificio, in modo che il segnale sia sufficiente a garantire il collegamento solo ed esclusivamente alla zona interessata. Attraverso appositi strumenti radio o di audit, è necessario verificare che il segnale non sia visibile all'esterno del palazzo o della zona identificata. Per minimizzare l'intensità del segnale, è sufficiente non posizionare l'AP vicino alle finestre e usare antenne direzionali con basso guadagno in decibel. Alcuni AP inoltre hanno la possibilità di definire l'intensità del segnale via software
Cambiare le community di default di SNMP
Su molti AP risulta installato un agente SNMP (Simple Network Management Protocol). Se la community password non risulta correttamente configurata, un aggressore può leggere e scrivere dati di configurazione sull'AP, in maniera analoga ad altri sistemi che supportano SNMP.
Limitare il traffico di broadcast
Alcuni protocolli, in particolare il NetBIOS su TCP/IP usato da Windows, usano assiduamente i messaggi di broadcast. Questi messaggi di broadcast contribuiscono ad incrementare il valore IV del sistema WEP, minimizzando per un intruso i tempi di raccolta dei dati per ricavare la chiave WEP. È consigliabile limitare il traffico di broadcast quando possibile, ad esempio disattivando il protocollo NetBIOS su TCP/IP dal binding con la scheda di rete Wireless.
Protezione del client
Alcuni attacchi sono mirati ai client wireless in quanto vengono usati come ponte per entrare nella rete interna e per ricavare preziose informazioni. Ad esempio, alcuni client wireless scrivono in chiaro, nel registry di Windows o in un file di testo, le chiavi WEP di crittografia. È preferibile usare un personal firewall sui client in modo da ridurre i rischi di attacchi.
Non utilizzare il DHCP
È consigliabile non utilizzare il DHCP per l'assegnazione dinamica degli indirizzi, ma considerare l'utilizzo di IP statici. Anche se è un ulteriore impegno per l'amministratore, è assai utile per evitare che la rete wireless attribuisca indirizzi IP validi a chiunque voglia associarsi con l'AP. Anche se un attaccante, utilizzando uno sniffer wireless, può facilmente ricavare gli IP, il fatto di non distribuirli via DHCP rappresenta un'ulteriore barriera. Inoltre, è consigliabile evitare di usare indirizzamenti di default facilmente intuibili come 192.168.1.0 o 192.168.0.0
Uso di una VLAN separata
È consigliabile utilizzare una Virtual LAN separata per il traffico wireless, separandola dalla rete intranet. Esistono varie metodologie, per unire in maniera sicura le due LAN, tra le più semplici ricordiamo l'uso di un router/swich con capacità di filtro IP o un proxy. In alcune piccole aziende e in ambienti SOHO (Small Office, Home Office) dove la protezione della rete non rappresenta un problema, queste semplici regole sono sufficienti a proteggere l'accesso wireless. In ambienti più critici, dove è necessario mantenere la confidenzialità dei dati, è necessario applicare delle regole più rigorose.

Quanto è veloce, in realtà, il mio router WLan?
54 Mbit/s, 108 Mbit/s o perfino 300 Mbit/s.: i produttori promettono velocità inebrianti. Il trasferimento dei dati, però, non dipende soltanto dal router, ma da diversi fattori; in primo luogo, ovviamente lo standard utilizzato. Esistono la versione 802.11a che trasmette ad una velocità di 54 Mbit/s, lo standard 802.11b a 11 Mbit/s, l'802.11g a 54 Mbit, e l'802.11n che supera di 100 Mbit/s (300 Mbit/s) ed ha una copertura 4 volte maggiore. Così come spesso accade, però, i valori sono teorici. Un router Wlan conforme allo standard 802.11g, in realtà, consente un trasferimento dati parti a 15-20 Mbit/s. Un fattore molto influente è il posizionamento del router stesso. Anche l'angolo dell'antenna deve essere corretto. E' consigliabile effettuare alcune prove e verificare i risultati.
Mi conviene passare ora al nuovo standard?
Per gli utenti che principalmente navigano su Internet con uno o due computer, lo standard 802.11g è più che sufficiente, quindi non conviene spendere denaro per il nuovo formato 802.11n, perchè in tal caso il collo di bottiglia per il flusso dati non è più la rete interna, ma la connessione ADSL. Perciò, tenendo presente che la più alta connessione ad internet, al momento, è quella a 20 Mbit/s, una connessione wireless secondo lo standard 802.11g è più che sufficiente. La tecnologia 802.11n potrà essere utile per la comunicazione e il trasferimento dati all'interno della rete Wlan, ma bisognerà aggiornare tutto l'hardware, che al momento è compatibile con la versione "g".
Cosa fare quando la ricezione domestica non funziona correttamente?
In alcune abitazioni, una distanza di 20 mt sembra troppa per un collegamento wlan. Il motivo più frequente riguardo il fatto che le onde radio vengono riflesse e sono soggette ad interferenze. Una soluzione potrebbe essere quella della tecnologia Mimo (Multiple Input Multiple Output) dotata di più antenne. Se una di queste si trova in un "punto morto" (o dead spot), un'altra si occupa dell'invio e della ricezione. Affinchè questo procedimento funzioni, le antenne devono trovarsi ad una distanza reciproca pari almeno alla lunghezza dell'onda - per le wlan sono circa 12 centimetri. I dead spot non sono comunque l'unica causa di disturbo, spesso i problemi sono dovuti alle pavimentazioni di calcestruzzo e, soprattutto alle pareti di cartongesso.
Una WLan con un numero maggiore di dispositivi diventa sempre più lenta?
La velocità di trasmissione di una rete WLan non dipende soltanto da un buon collegamento radio, ma anche del numero dei dispositivi terminali (client). In Germania per la WLan sono disponibili 13 canali, che per lo standard g si estendono da 2,412 GHz a 2,472 GHz. Può succedere sia che le singole WLan si disturbino a vicenda, sia che la rete arrivi al limite delle proprie capacità. La regola è semplice: più client, più disturbi. Con un normale modello di router comunemente in commercio, in presenza di 13 client, il trasferimento dati decade in misura tale da rendere impossibile una trasmissione fluida. Se si desidera ampliare la rete WLan con un WDS (Wireless Distribution System), cioè collegare un secondo o un terzo router per aumentare la portata, si dovrebbe considerare che in tal modo si dimezza la larghezza di banda che viene usata per la trasmissione da un accesso point all'altro.
I router di produttori diversi sono compatibili tra loro?
Quando si tratta di ottenere velocità maggiori, ogni produttore segue una strada a sè. Oggi, chi desidera trasmettere un film tramite WLan, necessita di almeno 108 Mbit/s. I 54 MBit/s dello standard 802.11g, attualmente in vigore, non sono sufficienti.. Quando si acquista un nuovo dispositivo, che permette velocità più elevate ottenute con particolari accorgimenti, occorre quindi scegliere lo stesso produttore per il router e il client (pc o notebook). La situazione è simil eper quanto riguarda il nuovo standard 802.11n che, con 300 Mbits/s, promette una larghezza di banda notevole maggiore. Il problema: non è stato ancora approvato ufficialmente. Tutti i dispositivi n perciò collaborano in maniera ottimale soltanto se provengono dallo stesso produttore. In caso contrario la velocità scende immediatamente a 54 Mbit/s. Al momento dell'acquisto è bene verificare inoltre che il client e il router supportino gli stessi metodi di cifratura.
Posso far navigare altre persone gratuitamente?
Le onde radio non si fermano alla porta di casa. Sempre più utenti con tariffe flat lasciano navigare liberamente altre persone con la propria WLan, anche consapevolmente, come accade in alcuni locali pubblici o negli internet Cafè, soprattutto all'estero. Se, invece, si ha l'intenzione di inviare dati confidenziali tramite WLan e si desidera evitare intrusioni, si deve isolare la rete.
Quanto sono sicure le cifrature WEP e WPA?
Anche il codice migliore prima o poi viene violato. Il precedente standard WEP (Wired Equivalent Privacy) è ormai sorpassato e considerato da tempo non più sicuro. A causa di un bug di sicurezza nel protocollo, alcuni pacchetti di dati vengono trasmessi in modo non protetto. Lo standard WPA (WiFi Protected Acess) pone rimedio a questo problema  Tutti i nuovi router ne sono dotati. Il WPA funziona in questo modo: oltre alla password di rete definita dall'utente (possibilmente lunga e composta da lettere e numeri), il WPA genera una password temporanea e la protegge con il protocollo Tkip (Tempora Key Integrity Protocol). All'avvio della trasmissione, le due stazioni radio concordano una chiave iniziale individuale, sulla base della quale ogni pacchetto inviato riceve una chiave per la cifratura. Con questo procedimento è praticamente impossibile risalire al codice originale. Lo svantaggio rispetto al Wep: il WPA necessita di un tempo di elaborazione più lungo e produce un overhead maggiore. Ciò significa che le trasmissioni rallentano. Chi desidera la massima sicurezza però, dovrebbe dimenticarsi del WEP. Ancora più sicuro del WPA è il suo successore WPA2 che usa lo standard di cifratura AES (Advanced Encryption Standard). La versione precedente WPA si basata ancora sull'algoritmo RG4, impiegato nel WEP. Oggi le WLan con cifratura WPA2 sono considerate praticamente inattaccabili, a condizione però che l'utente abbia scelto una password sicura, che non può essere indovinata con i cosiddetti "attacchi dizionario". Una delle attività più semplici per gli hacker consiste proprio nel provare tutte le parole sensate in diverse lingue, tramite una sincronizzazione di database. Se il proprio router non supporta ancora l'ultimo metodo di cifratura, niente paura: di norma un update (aggiornamento) del firmware permette di aggiornarlo e di integrare gli ultimi standard di sicurezza.Il firmware si trova sul sito internet del produttore. Nella maggior parte dei casi è anche spiegato come effettuare l'update.

I simboli del wardriving: connessioni aperte, connessioni chiudi o nodi WEP questi sono i simboli che vengono segnati nelle strade delle città.
Posso proteggermi dall'elettrosmog causato dalla WLan?
Il fatto che le WLan trasmettano nella stessa gamma dei 2,4 GHz come le microonde può sembrare preoccupante, ma alcuni studi scientifici anche europei, hanno constatato che non sussiste alcun pericolo. Allo stato attuale delle conoscenze scientifiche, non esistono prove che i campi elettromagnetici ad alta frequenza rappresentino un rischio per la salute. Un consiglio nel caso in cui si abbiano ancora dubbi: molti router offrono la possibilità di diminuire leggermente l'intensità delle onde radio.

Collocazione di un access point
Posizione corretta: per individuare il punto migliore per l'access point, occorre un po' di pazienza: in pratica è bene effettuare alcune prove. La migliore collocazione è una parete, possibilmente in alto. Qui non ci sono PC o altri dispositivi elettrici, come telefoni cordless o forni a microonde che possono arrecare disturbo. E' opportuno orientare l'antenna in direzione obliqua verso il basso, per ottenere la maggiore copertura possibile. Se ciò non è fattibile, assicurarsi che l'access point non si trovi direttamente dietro un computer o un altro dispositivo, che emette forti radiazioni o sono presenti schermature con il telaio metallico del pc.
I disturbi che provocano disturbi: gli access point trasmettono sulla banda dei 2,4 GHz, e quindi non sono i soli. Anche i dispositivi Bluetooth, alcuni telefoni cordless e i baby monitor usano questa frequenza. Bisogna perciò posizionare l'access point lontano da tali apparecchi. E' sufficiente una distanza di due o tre metri.
Altri accorgimenti: quando il segnale non è in grado di attraversare muri e soffitti non bisogna disperare. Una soluzione potrebbe essere un'antenna direzionale che coincogli le onde radio in un'unica direzione, trasmettendo quindi il segnale anche attraverso i materiali pesanti. Lo svantaggio però è che, a causa della trasmissione unidirezionale, la copertura diminuisce. Nel caso di un pc desktop non è un problema, ma se si desidera collegare in rete un notebook, è bene usare un access point supplementare (tramite Wireless Distribution System).
Più access point: soprattutto nelle case a più piani, la potenza di trasmissione di un unico access point spesso non è sufficiente per tutto l'edificio. In tal caso occorre collegare più dispositivi, che costituiscono una grande rete WLan. Questa funzione si chiama WDS (Wireless Distribution System) ed è supportata dalla maggior parte degli apparecchi attualmente in commercio.

Proteggere la propria WLan dagli hacker
Circa il 20% di tutte le reti WLan non sono protette: gli hacker possono usarle per navigare e tutto ciò non è nemmeno illegale. Vediamo come isolare la rete wireless. La configurazione è identica per la maggior parte degli altri access point.
Configurazione della rete: per prima cosa occorre dare un nome alla rete wireless. Attraverso la maschera di inserimento del software dell'access point, è possibile deselezionare la casella di spunta che consente di rendere visibile il nome della rete wireless (SSID). Il vantaggio: possono accedervi soltanto le persone che conoscono il nome esatto.
Inserire la chiave WPA: Nella maschera relativa alla sicurezza occorre attivare la cifratura WPA. Come valore relativo alla chiave di rete WPA, occorre assegnare una password alfanumerica (ossia composta da lettere e numeri) evitando di utilizzare parole di senso compiuto o nomi di persone, cose, animali ecc. Normalmente bastano dai 15 ai 20 caratteri: troppi caratteri inseriti influiscono negativamente sulla velocità di rete.
La crittografia WEP limita l'immissione di carattere della chiave di rete a nove, meglio utilizzare la più sicura WPA.
Attivare il filtro MAC: il filtraggio Mac offre una protezione ulteriore. L'access point accetta cioè soltanto i dispositivi presenti in una lista predefinita. Gli altri vengono rifiutati, anche se effettuano il login con la password corretta. Per effettuare questa operazione occorre impartire al software l'istruzione di non accettare altri dispositivi WLAN. Chiaramente, in questo modo, la rete rimane "blindata" nei confronti di qualsiasi nuovo accesso. Nel momento in cui dovesse presentarsi la necessità di aggiungere ulteriori dispositivi, occorrerà rimuovere la limitazione, accreditarli e ripristinarla successivamente. Un piccolo sforzo per ottenere indubbiamente un livello molto più elevato di sicurezza.

Standard 802.11

Tecnologia Frequenza Capacità di trasferimento Distanza di copertura
802.11a 5 Ghz 22 Mbps a 54 Mbps 20 metri circa
802.11b 2,4 Ghz 11 Mbps 80 - 100 metri circa
802.11g 2,4 Ghz 54 Mbps 80 - 100 metri circa

Differenze tra wi-fi e wimax
Il wifi opera alla frequenza di 2,4 Ghz e non richiede alcuna licenza. Perciò, gli operatori possono coprire una stessa zona operando su tale frequenza, con il beneficio di una maggiore concorrenza ma anche con il rischio di interferenze fra i segnali dei vari operatori, che si aggiunge a quello degli antifurti e cancelli automatici che lavorano alla medesima frequenza. WiMax opera invece a 3,4/3,6 GHz, richiede il pagamento di una licenza, è più appetibile per grandi operatori e prevede la copertura in esclusiva di una determinata area geografica.
Wi-fi è l'abbreviazione di wireless fidelity ed è il nome commerciale delle reti senza fili (WLan) basate sulle specifiche IEEE 802.11. Come mezzo di trasmissione le reti Wi-Fi utilizzano le onde radio e ciò consente di coprire ambienti eterogenei nei quali le postazioni da collegare non sono necessariamente visibili tra loro in quanto separate da muri o intercapedini. Il maggior problema delle reti senza fili è la sicurezza. Poichè i dati viaggiano nell'etere e possono essere facilmente intercettati, è quindi necessario cifrarli. Lo standard di cifratura maggiormente diffuso è il Wep a 64 o 128 bit, ma si tratta di un algoritmo estremamente debole, che non è in grado di grarantire la piena sicurezza. Estensione del Wep è il Wpa, che utilizza una variante migliorata dell'algoritmo Wep e, almeno sulla carta, dovrebbe garantire livelli di sicurezza paragonabili a quelli di una normale rete Lan. Per superare anche i problemi posti dalla cifratura del WEpa, nel 2004 è stato lanciato il Wpa2 con l'obiettivo di garantire una totale sicurezza dei dati. Esiste infine un consorzio, la Wi-Fi Alliance, che si occupa di certificare tutti i dispositivi prodotti, in relazione alla loro reale compatibilità con gli standard internazionali stabiliti, e rilascia un marchio di compliance che garantisce l'interoperabilità di tutti i dispositivi presenti sul mercato.
WiMax è l'acronimo di Worldwide Interoperability for Microwave Access. Non si pone quale antagonista del Wi-Fi ma ne rappresenta una sorta di completamento. Possiamo infatti definire il WiMax come una tecnologia di rete di area metropolitana (MAN) senza fili, in grado di connettere a Internet gli Hotspot Wi-Fi e che fornirà, inoltre, un'estensione wireless alle connessioni via cavo e xDsl per l'accesso in banda larga all'ultimo miglio. Il WiMax consente, infatti, un'estensione di area lineare fino a 50 km (la distanza dovrebbe essere priva di ostacoli. Si potranno raggiungere comunque distanze fino a 8 Km se il segnale verrà riflesso). La tecnologia è in grado di supportare una velocità di trasmissione dati condivisi sino a 70 Mbit/s, un'ampiezza di banda sufficiente per servire circa un migliaio di abitazioni con Connettività xDsl da 1 Mbit/s.