configurazione avanzata della connessione wireless


Panoramica Wi-FI
Questa recensione deriva da una serie di riflessioni durante i test di alcuni prodotti NetGear per citare qualche esempio.
Tali apparati, di larga diffusione nel mercato SOHO, dispongono di “tool di configurazione automatica” (punta-e-clicca) che, non sempre, sono sufficienti per risolvere piccoli problemi di installazione e configurazione che, inevitabilmente, si presentano. Possiamo asserire che, per un ottimale resa dell’apparato è, spesso, necessario sapere dove mettere mano.
Ecco il perchè di queste note “generaliste” all’approccio WI-FI.

Questa recensione non intende certo essere completa. Essa tratta, semplicemente, quegli elementi che è necessario conoscere per riuscire a mettere in piedi una connessione wireless con un minimo di conoscenza di causa. Purtroppo, quando affrontiamo questi argomenti, ci sono una gran quantità di elementi che non prenderemo in considerazione.
Tentiamo quindi di dare una visione schematica della cosa.

configurazione avanzata della connessione wireless

Per far funzionare correttamente una connessione wi-fi, servono tre elementi:

  • 1 – driver dell’apparato (Low level)
  • 2 – configurazione della connessione wireless (Data Link level)
  • 3 – configurazione dei parametri di rete

(Nota: a ben guardare, questo schema non vi ricorda almeno vagamente quello classico ISO/OSI? Beh, non è un caso.)

1 – driver dell’apparato (Low level)
Di solito viene fornito con l’apparato stesso, oppure e’ reperibile presso il sito del produttore, o, ancora, potrebbe essere sviluppato da terzi.
Ovviamente, apparati a sé stanti, quali gli Access Point, non hanno bisogno di driver. Le impostazioni degli AP avvengono di solito tramite un’interfaccia web all’AP stesso.
(AP sta per Access Point; altre volte può essere indicato WAP, per Wireless Access Point)

Giunti a questo punto, abbiamo un dispositivo che ci permette la connessione ad una rete wireless. Ora dobbiamo collegarlo a tale rete:

2 – configurazione della connessione wireless (Data Link level)
Questa parte è specifica dei sistemi wireless; volendo fare un parallelo con la rete fissa, questa parte riguarderebbe la configurazione del collegamento ethernet: velocità (10/100/1000), tipo di cavo (coassiale, doppino), eccetera.
Ma procediamo con ordine. Bisogna specificare alcuni parametri:

  • 2.a – il canale (o la frequenza)
  • 2.b – l’identificativo di rete (SSID)
  • 2.c – il modo di funzionamento (tipo di rete)
  • 2.d – la protezione

In realtà si dovrebbe considerare anche il tipo di modulazione (Physical Layer Specific), ma questa considerazione è valida al momento dell’acquisto, per verificare se l’apparato sia compatibile con altri. Per fare un esempio, si potrebbe paragonare a quando, in una rete ethernet, si controlla che le schede di rete abbiano il connettore giusto (bnc, rj45, fibra). Negli apparati wireless la cosa e’ meno evidente.

intrusi nel wirelessNota: è necessario che tutti gli apparati della stessa rete wi-fi abbiano gli stessi, identicim, parametri, altrimenti la connessione con l’apparato configurato in difetto,  non avviene. Sembra un affermazione banale, ma l’esperienza ci ha mostrato che è fin troppo facile scordarsi qualcosa o dare per scontato qualcos’altro. Meglio ricontrollare.

2.a – il canale (o la frequenza) 
La banda occupata dagli standard 802.11b e g va dai 2,4 GHz ai 2,48 GHz, ovvero la cosiddetta banda per usi Industriali, Scientifici e Medici (ISM).

Essa viene, quindi, divisa in canali:

  • Channel 01 : 2.412 GHz
  • Channel 02 : 2.417 GHz
  • Channel 03 : 2.422 GHz
  • Channel 04 : 2.427 GHz
  • Channel 05 : 2.432 GHz
  • Channel 06 : 2.437 GHz
  • Channel 07 : 2.442 GHz
  • Channel 08 : 2.447 GHz
  • Channel 09 : 2.452 GHz
  • Channel 10 : 2.457 GHz
  • Channel 11 : 2.462 GHz
  • Channel 12 : 2.467 GHz
  • Channel 13 : 2.472 GHz
  • Channel 14 : 2.484 GHz

Come si vede, c’è una corrispondenza univoca tra canale e frequenza per cui, gli stessi, risultano praticamente sinonimi.
Il canale 11 è quello usato di solito per le connessioni di tipo Managed (via Access Point), mentre per le connessioni Ad-Hoc si imposta un canale concordato in precedenza (vedi più sotto).
C’è da tenere conto anche di una certa saturazione della banda: essendo la banda ISM “libera” da vincoli, le connessioni wi-fi si ritrovano a doversi gestire una quantità di segnali spurii, quali quelli di telefoni cordless e dei forni a microonde (se questi non sono ben schermati). Se in una zona ad alta densità di popolazione, o uffici, si trovano più reti wireless, ecco che le interferenze mutue possono diventare un problema. È sufficiente un giro di wardriving per rendersi conto che oramai i centri abitati pullulano di connessioni wireless. La scelta del canale andrebbe allora un attimino meditata.

2.b – l’identificativo di rete (SSID) 
Il SSID (Service Set IDentifier), noto anche come Network Name, serve per identificare la rete wireless. Poiché i dati circolano liberamente “nell’aria”, il SSID serve all’apparato per riconoscere quali appartengono alla rete di cui fa parte e quali invece scartare (ad es. nel caso di un’altra rete wireless vicina che usi lo stesso canale).
Il BSSID (Basic SSID) identifica una singola rete (ad-hoc o con un singolo access point), mentre l’ESSID (Enhanced SSID) identifica una “rete estesa a più reti basic” (da due access point in su): permette di passare dall’una all’altra in modo trasparente tramite il meccanismo di roaming (come per i telefoni cellulari, insomma).
Il primo e’ un numero di 48 bit: nel caso vi sia un AP, sarà il MAC address dell’AP, altrimenti viene generato in modo casuale. Il secondo è una stringa di caratteri di lunghezza variabile. Va da sé che si può usare l’ESSID anche nei casi di reti con un solo AP.
L’ESSID può essere impostato su “Any“: in tal modo l’apparato si collegherà al primo AP che incontra.
Perché ciò possa avvenire, l’AP deve inviare in broacast il proprio ESSID. Ci sono considerazioni riguardanti la sicurezza (non si sa quanto valide) che consigliano di disabilitare tale funzionalità degli AP.
Di solito si configura direttamente l’ESSID.
2.c – il modo di funzionamento (tipo di rete)
Abbiamo due possibili modi di funzionamento:

  • 2.c.1 – Managed
  • 2.c.2 – Ad-Hoc (punto a punto)

2.c.1 – Managed
Una rete wireless di tipo Managed (noto anche come di tipo Infrastructure) prevede la gestione (appunto) delle connessioni da parte di un apparato: l’Access Point. Lo scenario più adatto è quello di una grande rete con più AP, ma può essere utilizzato in piccole reti con un solo AP.
Se l’apparato viene impostato sulla modalità “Any”, ciò lo porta ad effettuare una scansione dell’ambiente circostante e ad “agganciarsi” automaticamente all’AP “migliore” che incontra.
Come visto sopra, per far parte di una tale rete, bisogna impostare correttamente l’ESSID.
Tipicamente, l’Access Point non si limita a gestire la rete wireless, ma risulterà collegato ad una rete fissa, facendo da tramite tra le due (Bridge).
2.c.2 – Ad-Hoc (punto a punto)
La connessione Ad-hoc viene spesso indicata anche come Computer-a-computer, e l’idea che ci si fa è che serva per connettere tra di loro due computer. Vero. Ma non più di due. Non vero.
Si può tranquillamente realizzare una rete wireless di più punti, rete però isolata (a meno di mettersi a giostrare i pacchetti tra due interfacce su una stessa macchina, a livello di sistema operativo).

Con questa modalità è indispensabile impostare a mano la configurazione: ESSID, canale e lo standard comune (802.11b o g).
2.d – la protezione 
Qui le cose si complicano ancora un po’. Possiamo avere vari livelli di protezione:

  • 2.d.1 – basic
  • 2.d.2 – WEP 40/104
  • 2.d.3 – WPA/PSK

2.d.1 – basic
Ovvero nessuna protezione: chiunque può collegarsi (Authentication). Sono le impostazioni di fabbrica, per cui è facile per un utente non esperto dimenticarsene una volta che ha beneficiato del primo collegamneto con efficacia.
Un sistema per rinforzare la sicurezza, pur in assenza di una crittazione dei dati, può essere quello di creare una lista di filtro sugli indirizzi MAC (Media Access Control) dei dispositivi autorizzati a collegarsi all’AP (Authorization).

2.d.2 – WEP 40/104
WEP (Wired Equivalent Privacy) è un protocollo di sicurezza per la crittazione dei dati in una rete wireless 802.11.
I numerini indicano la lunghezza della chiave. Sembrano strani? In effetti la chiave sarebbe lunga 64 o 128 bit, ma i primi 24 bit rappresentano un vettore di inizializzazione che è inviato in chiaro. Il conseguente accorciamento comporta un indebolimento della sicurezza, per cui risulta relativamente semplice, con le potenze di calcolo odierne, ricostruire le chiavi, una volta raccolti un tot di dati sul traffico.

 

2.d.3 – WPA/PSK 
Per venire incontro alle richieste di sicurezza da parte del mercato, si è spinto lo sviluppo di parte dello standard 802.11i, portando alla realizzazione di WPA (Wi-Fi Protected Access).
In sintesi, rispetto al WEP vengono introdotte chiavi più lunghe, un incremento del numero delle chiavi e l’uso di un sistema di verifica dei messaggi sicuro. Il tutto rende meno fattibile la violazione del protocollo.
Le password dovrebbero essere gestite da un server di autenticazione, il che comporta costi aggiuntivi e probabilmente poco giustificati per le piccole realtà. In alternativa si usa il modo PSK (Pre Shared Key), il quale prevede la memorizzazione di una frase chiave (passphrase, comune a tutti i nodi della rete) sulla macchina col dispositivo wireless. Il problema nasce dall’uso di passphrase deboli (troppo corte o troppo semplici da indovinare), problema peraltro tipico anche delle password di accesso. La chiave viene derivata dalla passphrase da un algoritmo di codifica. Viene consigliata una passphrase di 5 parole a caso o 14 caratteri casuali, fino ad 8 parole a caso o 22 caratteri casuali per la massima forza. È consigliabile altresì cambiare la passphrase di quando in quando (ad es. per minimizzare la social engineering).
(Nota: WPA è un acronimo che ha più soluzioni.)

 

Giunti a questo punto, siamo collegati “fisicamente” alla rete wireless, ma ancora non siamo in grado di farci granché. Abbiamo bisogno di un protocollo di rete.
3 – configurazione dei parametri di rete
Qui torniamo in territori noti: ora che abbiamo configurato il collegamento wireless, possiamo passare a configurare la connessione di rete, la quale tipicamente sarà tcp/ip.
L’uso di server DHCP avviene in modo trasparente, il che, se da una parte semplifica questa parte di configurazione, comporta però un indebolimento della sicurezza (qualunque “esterno” può in tal modo venire a conoscenza di dati quali presenza e indirizzo di server DNS, stima del range degli indirizzi IP, eccetera). Da farci un pensierino.
Note: 


Wi-Fi 
Sta per Wireless Fidelity. Il termine nasce con la costituzione della Wi-Fi Alliance, che supervisiona i test sull’interoperabilità dei prodotti a standard 802.11.
Passati i test, un prodotto riceve l’etichetta di “Wi-Fi certified”.