giovedì 25 dicembre 2014

Alzare le difese del modem/router

Le reti locali (LAN) di piccole dimesioni diffuse in ambito domestico e SOHO (Small Office Home Office, ossia i piccoli uffici), in genere prevedono un modem che fornisce l'accesso alla rete ADSL (per i più fortunati la rete in fibra ottica) ed un router cui si collegano i dispositivi per accedere ad Internet e/o altri dispositivi da condividere in rete (per esempio un NAS). Spesso modem e router sono integrati in un unico dispositivo (il modem-router) che costituisce la prima difesa (ma non l'unica) della rete domestica dalle minacce provenienti da Internet.

Preferire un modem/router di proprietà

I modem-router forniti in comodato d'uso dagli ISP (Interner Service Provider, i fornitori della connessione ad Internet) spesso non consentono la configurazione di alcune opzioni avanzate (per esempio la scelta dei DNS preferiti) perché non le prevedono oppure perché sono inaccessibili agli utenti finali. La soluzione è acquistare un nuovo modem-router che sostituisca completamente quello dell'ISP, oppure un router con interfaccia WAN-Ethernet (senza modem) da collegare in cascata al modem dell'ISP (in questo modo l'apparato dell'ISP fornirà la connessione ADSL/fibra, ma la rete locale verrà gestita dal vostro router).

Configurare utente/password di amministrazione

Per quanto incredibile, molti utenti commettono l'errore più banale: dimenticano di cambiare le credenziali di amministrazione. Normalmente si accede al modem/router con un indirizzo IP predefinito come http://192.168.1.1 (o simili a questo, l'indirizzo dipende dall'apparecchio e viene indicato nel manuale di istruzioni), quindi occorre inserire il nome utente e la password di accesso. La coppia user/password predefinita di solito è facilissima da indovinare: admin/admin oppure admin/password. I costruttori più avveduti inseriscono una password di amministrazione pseudocasuale (da lèggere sul fondo del router dopo averlo girato, ove può trovarsi una eventuale password pseudocasuale per la connessione WiFi); anche in questo caso non si è al sicuro, poiché gli hacker più esperti potrebbero scoprire la procedura di generazione delle password e violare ugualmente il sistema. Il messaggio da recepire è: se non modificate le credenziali di accesso lasciate aperta una voragine di sicurezza (è come uscire di casa lasciando le chiavi della porta inserite nella serratura: ognuno può entrare e fare i propri comodi). Quindi è essenziale cambiare il nome utente e definire una password di accesso sicura.

Aggiornare il firmware del dispositivo

Il funzionamento del modem/router è governato dal firmware, un mini-sistema operativo (spesso a base Linux) che viene periodicamente aggiornato per aggiungere funzioni o migliorare quelle esistenti e, soprattutto, per correggere bug di sistema e falle di sicurezza. Modem/router come il Netgear DGN2200-100PES hanno un pulsante dedicato nell'interfaccia di amministrazione che esegue la procedura in modo completamente automatico: basta premere il pulsante e l'apparecchio si connette ai server della casa produttrice, esegue il download del firmware più recente e provvede all'aggiornamento in modo automatico (il firmware stesso controlla periodicamente se esistono nuovi aggiornamenti, ma poi è l'utente a decidere se procedere all'aggiornamento). Anche senza la procedura di upgrade automatico, l'aggiornamento è ugualmente semplice da eseguire:
  • annotare marca e modello (ed eventuale versione) del modem/router;
  • connettersi alla pagina Web del supporto tecnico del dispositivo e scaricare il firmware più recente (nel caso si tratti di un archivio compresso, come un file .zip, basta estrarre il file del firmware);
  • accedere all'interfaccia di amministrazione del modem/router ed entrare nella sezione di aggiornamento del firmware;
  • in tale sezione ci sarà un pulsante di upload (caricamento sul dispositivo): premendolo si aprirà una finestra da cui selezionare il file del firmware precedentemente scaricato.
  • Attendere la fine dell'aggiornamento e poi riavviare il modem/router.
È sufficiente controllare una volta al mese eventuali nuovi rilasci del firmware.

Firewall integrato e firewall di sistema, evitare le DMZ

Quasi tutti i modem/router, includono un firewall (abilitato in modo predefinito), che blocca gli attacchi di tipo DoS (Denial of Service, negazione del servizio); tali attacchi non permettono di trafugare i dati ma mandano in crash il modem/router e di consegunza la rete locale. Quindi occorre evitare di disabilitare il firewall incorporato nel router.

I firewall più avanzati permettono di abilitare una o più DMZ (DeMilitarized Zone, zona demilitarizzata), ossia una porzione della LAN accessibile all'esterno, definita in base agli indirizzi IP locali dei dispositivi da "esporre"; una DMZ può essere usata per realizzare rapidamente (ma in modo non molto sicuro) un piccolo server pubblico. Per avere un livello di sicurezza più elevato occorre evitare di definire le DMZ. In caso di necessità di "apertura" all'esterno, esistono tecniche molto più sicure ed efficaci come port forwarding, port triggering (una versione evoluta del precedente) e virtual server (server virtuali). Se avete bisogno di aprire un canale di comunicazione con l'esterno per la vostra LAN ed il modem/router permette solo le DMZ (ma non i meccanismi più evoluti), è il caso di acquistarne uno più avanzato.

Il firewall incorporato nel modem/router non è sufficiente, bisogna installarne anche uno "classico". Il firewall integrato infatti protegge essenzialmente da attacchi esterni, ma è inutile contro minacce provenienti dall'interno della LAN: una pendrive USB contenente malware ed inserita in uno dei computer in rete oppure uno smartphone infetto connesso alla LAN possono comprometterne la sicurezza. La soluzione è quella di installare un firewall software su ogni computer in rete, affiancato da un buon antivirus; per i sistemi Windows un'ottima soluzione è costituita da Comodo Firewall e Avira Antivirus, entrambi gratuiti ed in grado di garantire un buon livello di protezione.
È sconsigliabile affidarsi al firewall interno di Windows, poiché, in modo simile ai firewall integrati, esso protegge solo da tentativi di intrusione provenienti dall'esterno, ma non esegue il monitoraggio delle richieste di connessione che vengono dal sistema stesso (ciò lascia aperta la strada ad eventuali spyware che potrebbero trasmettere dati riservati all'esterno).
Per quanto riguarda Linux, tutte le distribuzioni includono un firewall completo, ma bisogna controllare che sia attivo (non sempre lo è) ed opportunamente configurato (non tutte le distribuzioni hanno il firewall interno preconfigurato).

Controllare la vulnerabilità del protocollo UPnP

Lo Universal Plug&Play (UPnP) è un meccanismo che permette alle applicazioni di aprire porte di comunicazione con l'esterno in modo autonomo (per esempio è sfruttato dal noto client BitTorrent µTorrent). UPnP è un protocollo standard di comunicazione che, in genere, è abilitato in modo predefinito nei modem/router. Sono state scoperte alcune debolezze di UPnP che mettono a rischio la sicurezza, per cui è bene verificare la robustezza dell'implementazione UPnP nel nostro dispositivo. Il test si può eseguire connettendosi al sito http://upnp-check.rapid7.com/ e premendo il pulsante <Scan My Router>.
Test UPnP
Se UPnP è ben implementato nel dispositivo al termine del test si otterrà un messaggio di conferma, in caso contrario l'UPnP è potenziale fonte di vulnerabilità, quindi sarebbe bene disabilitarlo all'interno del modem/router.
Test UPnP OK
Aggiornamento del 27 Agosto 2017: l'utility on-line è stata rimossa dal sito precedentemente citato in quanto circa un anno dopo dalla scrittura di questo articolo, è stata scoperta una sua vulnerabilità, per cui gli autori hanno ritenuto prudente ritirarla. Chi ha ancora bisogno di funzionalità simili al tool ritirato, può usare Metasploit e/o Nexpose. I modem-router moderni hanno tutti (o quasi) i firmware aggiornati per proteggere il protocollo UPnP: se avete un modem-router obsoleto (orientativamente tutti quelli con firmware che risalga al 2014 e/o anni precedenti) il miglior suggerimento è quello di acquistarne un modello nuovo, per esempio tutti i nuovi modelli Netgear sono protetti.

Sicurezza delle connessioni Wi-Fi

La prima (banale) considerazione da fare che se non esistono dispositivi della rete locale che usano il Wi-Fi per connettersi, è preferibile disabilitarlo completamente. Non è raro trovare modem/router collegati ad un singolo computer con un normale cavo Ethernet di tipo RJ45; l'assenza di dispositivi wireless da connettere (smartphone, tablet ecc.) rende inutile mantenere attiva la connessione Wi-Fi, azzerando il pericolo di intrusioni abusive nella rete. Il Wi-Fi si può disabilitare del tutto premendo un apposito tasto fisico sul modem/router oppure, in assenza di questo, disabilitandolo dal pannello di amministrazione del dispositivo (spegnere il Wi-Fi farà consumare meno elettricità e scaldare meno il dispositivo).

Quando è attiva una connessione Wi-Fi è indispensabile abilitare un protocollo di protezione wireless; ad oggi, la scelta obbligata (ed anche il "minimo sindacale") è il protocollo WPA2 (Wi-Fi Protected Access 2) con cifratura AES (Advanced Encryption Standard). Se avete un modem/router che supporta solo l'obsoleto WEP (Wired Equivalent Privacy) o il vecchio WPA (prima versione) dovete assolutamente cambiare il modem/router.

In ambito aziendale si usa l'autenticazione con protocollo 802.1x/RADIUS, che gestisce gli accessi attraverso un server esterno dedicato.
In ambito domestico invece, il modo più comune (e comodo) per l'autenticazione Wi-Fi richiede la definizione di una chiave precodivisa (PSK, Pre-Shared Key) all'interno del modem/router; tale chiave che dovrà essere inserita dai dispositivi che vogliono connettersi al momento di effettuare la prima connessione (la chiave verrà memorizzata in forma cifrata nelle impostazioni di rete wireless del dispositivo che si connette). La chiave PSK dovrebbe essere scelta seguendo le regole fondamentali per definire una password sicura.
WPA2 setup
USARE L'ACCESSO GUEST
La funzionalità di accesso guest (o account guest) consente di creare una rete separata con credenziali di accesso (nome della rete e password) differenti da quella principale. La nuova rete permette ad eventuali ospiti di connettersi ad Internet senza accedere ai dispositivi della rete principale. In assenza di tale meccanismo, bisogna esporre la chiave precondivisa per connettere gli ospiti ma in seguito, per ragioni di sicurezza, la chiave PSK dovrà essere cambiata: ciò comporterebbe la necessità di riconfigurare l'accesso di tutti i dispositivi della LAN connessi in Wi-Fi, un fastidio che può essere evitato usando l'accesso guest.

Usare le liste di controllo degli accessi

Molti modem/router permettono di definire una ACL (Access Control List, lista di controllo degli accessi) basate sugli indirizzi MAC (MAC Address, MAC=Media Access Control) dei dispositivi della LAN.
Un MAC-Address è un indirizzo fisico unico non modificabile (è "inciso" direttamente nell'hardware), assegnato dal produttore di una scheda di rete o wireless. Si tratta di un indirizzo formato da 12 caratteri esadecimali, quindi ci sono 1216=184 884 258 895 036 416 (quasi 185 milioni di miliardi) possibili indirizzi MAC; gli indirizzo sono del tipo 12:34:56:78:90:AB (al posto dei due punti ci può essere un trattino). Ogni produttore ha un intervallo di indirizzi fisici riservati, che può assegnare alle proprie schede di rete/wireless in modo unico a livello globale: infatti dall'indirizzo MAC si può risalire a produttore, marca, modello e numero di serie della scheda.

Una ACL è semplicemente una lista di MAC-Address a cui è consentito l'accesso alla LAN e rende quasi impossibile l'intrusione a computer esterni, i cui MAC-Address sono sicuramente diversi. Il "quasi" tuttavia è d'obbligo, poiché per un hacker esperto non è difficile "presentarsi" con un MAC-Address fittizio; per lo stesso motivo, l'uso di una ACL per limitare l'accesso al Wi-Fi deve essere abbinato alla protezione WPA2+AES.

Usare il filtraggio dei contenuti ed il controllo parentale

Alcuni modem/router offrono, oltre alla difesa dalle intrusioni, forme di protezione per alcune categorie di utenza, per esempio i bambini. Tali opzioni ricadono generalmente sotto la denominazione Parental Control (controllo parentale) o Content Filtering (filtraggio del contenuto). Nei modem/router con tali opzioni, viene presentata una lista dei client collegati alla rete e l'amministratore del dispositivo decide quali regole devono seguire i client; per esempio, può decidere che il computer usato da un bambino possa connettersi solo a determinati orari. Nei modem/router più evoluti è possibile decidere le regole di connessione mediante content filtering statico oppure content filtering dinamico.

CONTENT FILTERING STATICO
Con il filtraggio statico si può definire:
  • l'accesso basato su whitelist (lista bianca, si consente l'accesso solo a siti Web presenti in una lista definita dall'amministratore);
  • il divieto di accesso basato su blacklist (lista nera, si vieta l'accesso a siti Web contenuti in una lista definita dall'amministratore);
  • una serie di parole chiave che non possono comparire nell'URL (indirizzo) del sito da raggiungere.
CONTENT FILTERING DINAMICO
Il content filtering dinamico permette di stabilire regole di accesso/divieto come nel caso del content filtering statico ed in più consente di indicare argomenti e categorie di contenuti da vietare. Per esempio, si può impedire al computer usato da un bambino la connessione (accidentale e non) a siti pornografici o di gioco d'azzardo on-line. Al momento della connessione ad un URL (indirizzo):
  • il modem/router si collega ad un server contenente elenchi aggiornati di siti e portali classificati per categoria;
  • verifica se l'URL è negli elenchi delle categorie vietate: se lo è, la connessione viene impedita, altrimenti è consentita.
Con lo stesso metodo, sui luoghi di lavoro può essere inibita la connessione a siti e portali che parlano di sport o di news (notizie), in modo da impedire "distrazioni".

Usare server DNS alternativi

Abbiamo discusso nell'articolo "Impostare i DNS nel modem-router" l'opportunità di configurare server DNS diversi da quelli forniti dall'ISP. In questa sede ci basta ricordare che servizi DNS alternativi coem OpenDNS o Comodo Secure DNS consentono la protezione automatica da siti Web noti per ospitare malware. Server DNS come Norton ConnectSafe prevedono anche il filtraggio dei contenuti a vari livelli (lo fa anche OpenDNS, previa registrazione al sito).

Proteggere fisicamente il modem/router da guai elettrici

Il modem/router è un'apparecchiature delicata, particolarmente vulnerabile alle anomalie che possono verificarsi nell'impianto elettrico. Se possibile, bisognerebbe collegarlo ad un UPS (Uninterruptible Power Supply, ossia un gruppo di continuità) che lo protegga da sovratensioni, sottotensioni ed altre anomalie elettriche. Poiché la maggior parte degli UPS è dotata di protezione della linea telefonica, è consigliabile collegare anche il doppino telefonico all'UPS e da questo far partire un nuovo doppino verso il modem/router: in questo modo l'apparecchio è protetto dagli sbalzi di tensione provocati da fulmini che colpiscono la linea telefonica e si propagano per decine di chilometri.

Se hai trovato utile l'articolo considera la possibilità di offrire un modesto contributo. Grazie di cuore per il tuo sostegno.
Donazione

POTREBBE INTERESSARTI ANCHE…


Torna alla sezione Reti e Internet