Logo Tom's Hardware

Wireless

Siamo giunti alla fine di questa serie di articoli, dedicati alla creazione di una rete di produzione multimediale. In questo ultimo capitolo ci occuperemo del wireless e del tunnel VPN.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Wireless

A quel punto, l''ultimo pezzo mancante del puzzle fu la configurazione del Wireless. Per coprire le necessità temporanee utilizzai un Access Point collegato ad uno degli switch. Una volta iniziato il festival tutti avrebbero sfruttato appieno la propria fetta di rete, decisi quindi che il sistema necessitava di tutta la flessibilità possibile. Non avevo modo di sapere chi si fosse collegato in un determinato momento. Forse Clint "L'uomo senza nome" Eastwood sarebbe passato nelle vicinanze godendosi una passeggiata col suo PowerMac wireless e avrebbe potuto diventare aggressivo se non avesse trovato una rete performante.

Esistono due principali metodologie di codificazione wireless dei dati: WEP e WPA.

Nel periodo in cui stavo lavorando alla rete, WEP esisteva in due configurazioni: a 64 bit con 10 cifre esadecimali oppure a 128 bit, con 26 cifre esadecimali.WEP così come PPTP, divenne molto popolare grazie alla bassa potenza di calcolo necessaria all'elaborazione dei suoi dati, alla limitata ampiezza di banda richiesta e alla sua enorme diffusione. A differenza di PPTP comunque, la sua diffusione non rappresenta un vero e proprio vantaggio perchè è pari a quella di WPA.

Esistono due tipi di autenticazione WPA (Wi-Fi Protected Access): una in cui si assegna una chiave condivisa (PSK) identica e funzionante per l'intero gruppo di client Wireless, come quelli presenti sulla nostra rete; la seconda invece prevede un server che assegni una chiave individuale ad ogni singolo client. L'utilizzo di una singola PSK per un intero gruppo di utenti espone la rete Wireless allo stesso tipo di vulnerabilità WEP. TKIP (Temporal Key Integrity Protocol) è un protocollo di crittografia di livello superiore, in cui le chiavi vengono cambiate in modo casuale durante l'uso.

Decisi quindi di implementare un sistema WPA TKIP PSK, piuttosto che il meno popolare (solo dal punto di vista della sicurezza) WEP, mentre allo stesso tempo difendevo la scelta del quartier generale di configurare una VPN PPTP meno sicura. Il motivo era che nessuno conosceva, o avrebbe potuto mai immaginare, l'esistenza del tunnel VPN che avevamo creato o di una rete di tali dimensioni; comunque, chiunque in città avrebbe potuto andare alla ricerca di una connessione Internet gratuita. Anche senza la trasmissione dell'SSID, era sicuro che qualcuno prima o poi fosse capitato con la sua copia di Netstumbler nella zona coperta dal nostro segnale Wireless. WEP era troppo diffuso e altrettanto facile da intercettare.

La configurazione o la connessione a un server RADIUS avrebbe rappresentato solo una perdita di tempo. Alla fine qualsiasi cacciatore Wi-Fi poteva essere tenuto facilmente alla larga con una codifica TKIP forte. Divenne semplicemente una questione di scelta della miglior disposizione fisica degli Access Point, di condividere le chiavi e lasciar liberi gli utenti.

Figura 5: Disposizione degli Access Point

Lo schema in Figura 5 mostra la disposizione fisica finale degli Access Point Cisco per la rete Wireless. Ne posizionai uno in ogni angolo della stanza più uno nel mezzo della stanza server. Disabilitai le funzioni DHCP su tutti gli AP, poichè le funzioni del servizio venivano già gestite dal Controller di Dominio/Server DHCP. Assegnai semplicemente un indirizzo IP statico agli Access Point, abilitai la codificazione WPA TKIP e condivisi la chiave con le persone che ne avevano bisogno.

Ad un certo punto, al culmine del festival, decisi di intraprendere un ulteriore passo verso un livello di sicurezza migliore, filtrando gli accessi dei client in base ai loro indrizzi MAC... giusto per sentirmi più sicuro. Vorrei far notare, a coloro che hanno già aperto il box dei commenti e sono pronti ad attaccarmi che, si, sono conscio sia molto semplice camuffare gli indirizzi MAC ma comunque, il mio unico intento fu quello di scoraggiare chiunque fosse stato pronto ad intrufolarsi sulla rete senza permesso. Chi vuole intenzionalmente accedere ad una rete wireless particolare di solito è ben equipaggiato e può rompere una chiave WEP in pochi minuti, ma quando si trovano di fronte ad una rete wireless fortemente codificata, con TKIP PSK e filtri MAC, sono più propensi a mollare il colpo e a cercare reti WEP o altre più "aperte".

Leggi altri articoli