Sicurezza degli accessi Wi-Fi: come garantire la riservatezza dei dati

Articolo header

Sicurezza degli accessi Wi-Fi: è necessario comprendere al meglio quali siano gli standard e le misure di protezione per garantire la riservatezza dei dati trasmessi e non permettere l'accesso a soggetti non autorizzati.


In questo tempo di iperconnessione dove molti oggetti sono connessi alla rete (sia quella domestica che quella aziendale) in modalità senza fili (wireless) è necessario comprendere al meglio quali siano gli standard e le misure di protezione per garantire la riservatezza dei dati trasmessi e non permettere a soggetti non autorizzati l’intromissione nella rete stessa.

IoT, Smartphone, PC, Mediaplayer, Network Storage (insieme di dischi connessi direttamente in rete e resi disponibili), impianti di videosorveglianza ed anti-intrusione, sono tutti dispositivi che legittimamente devono potersi connettere alla rete ma spesso non dispongono di una connessione cablata. Ecco allora che tranne alcuni protocolli specifici utilizzati soprattutto in ambienti industriali, tutti questi device utilizzano la rete wifi per scambiarsi dati e dialogare con i servizi più evoluti ai quali tutti facciamo riferimento.

Un esempio sono le stazioni Alexa che tipicamente per connettersi ad internet utilizzano la rete wifi domestica, oppure Smart-TV che permettono di visualizzare contenuti via internet connettendosi sempre tramite rete wifi, o ancora i mediaplayer (sistemi in grado di riprodurre contenuti multimediali locali o remoti) che attraverso la rete wifi permettono di vedere un film o ascoltare brani musicali su device presenti in stanze diverse e magari contemporaneamente da più utilizzatori.

Poichè l’ambiente radio è un ambiente di tipo aperto, è possibile per chiunque sia nella zona di copertura radio wifi captare i segnali trasmessi. E’ indubbio quindi hche vi siano diversi aspetti aspetti legati alla sicurezza.

Vediamo in breve quali sono le principali tecniche di sicurezza implementate in una rete wifi.

Autenticazione

Per autenticazione intendiamo la procedura con la quale si verifica che una stazione (un dispositivo) che tenta l’accesso alla rete sia autorizzato a farlo.

Crittografia

Intendiamo la procedura con la quale si rendono non comprensibili le informazioni trasmesse via radio, a meno che non si possieda un’opportuna chiave di decifratura.

MAC filtering

Con questa procedura un Access Point (punto di accesso alla rete) può consentire (allowed) o bloccare (blocked) l’accesso alla WLAN (rete locale wireless) a client (stazioni) che abbiano un determinato indirizzo MAC (l’indirizzo MAC è l’indirizzo fisico della scheda di rete composto da 12 simboli esadecimali, e non si deve confondere con l’indirizzo IP che invece è  un indirizzo logico assegnato al device per dialogare con gli altri presenti nella stessa rete tramite uno switch, o in altre reti tramite un router).

Il MAC-Filtering non fornisce una protezione forte poichè se si conosce un indirizzo MAC valido è possibile impiegare la tecnica dello spoofing, ovvero configurare questo MAC come virtuale in modo da utilizzarlo per accedere alla rete indebitamente.

Queste procedure sono però considerate opzionali dallo standard IEEE 802.11 (standard che definisce le reti wireless riconosciuto internazionalmente), poichè per definizione l’accesso alla rete wifi dovrebbe essere di tipo plug and play e non necessitare di configurazioni particolari.

Su questa base però è necessaria, per di proteggere i dati in transito sulla rete e impedire l’accesso non autorizzato, l’adozione di alcuni   importanti strumenti di sicurezza implementabili via software (si tratta infatti di protocolli software) nelle reti wireless. Vediamoli brevemente.

WEP (Wired Equivalent Privacy)

Prevede principalmente due tipi di autenticazione:

  • OPEN SYSTEM (sistema aperto): non necessita di alcuna autenticazione
  • SHARED KEY (a chiave condivisa): in questo caso l’access point effettua l’autenticazione dei client sulla base della chiave di cifratura  WEP (Cyphering Key).

Viene solitamente impiegata una crittografia a chiave statica normalmente a 64 o 128 bit, che viene preconfigurata sull’access-point e su ciascun client che debba accedere alla rete. 

Lo standard WEP fornisce una protezione debole in quanto, essendo la chiave di cifratura statica, può essere ricostruita tramite appositi software, monitorando le comunicazioni in rete per un certo periodo di tempo. Un altro problema può essere dato dal fatto che l’access point autentica il client ma non viceversa (ovvero il client non esegue alcuna verifica sull’autenticità dell’access point), pertanto il client non può sapere se si collega all’access point della rete desiderata oppure ad un rogue access point (detto anche evil twin) ovvero un access point fasullo che non esegue alcuna connessione alla rete legittima ed invece può compiere azioni che vanno dal disturbo (i client non riusciranno a collegarsi alla rete legittima) sino al dirottamento del traffico client su reti illegittime con lo scopo di carpire informazioni.

WEP dinamico, L.E.A.P.

Il WEP dinamico è stata una soluzione transitoria non standard, in cui la crittografia WEP viene affiancata all’autenticazione tramite un server RADIUS a cui l’access point reindirizza tutte le richieste di accesso. Nella versione LEAP (Lightweight EAP), la chiave di cifratura WEP viene cambiata ad intervalli regolari rieffettuando la connessione.

WPA (WIFI Protected Access)

Si tratta di uno standard per l’autenticazione e la crittografia che consente di ovviare al problema della sicurezza WEP. Le sue caratteristiche sono:

  • Mutua Autenticazione tra Access Point e Client
  • Crittografia TKIP (Temporal Key Integrity Protocol)

Esistono poi due versioni di standard WPA:

WPA-PSK (WPA Pre Shared Key), detto anche WPA Personal: viene utilizzato tipicamente in piccolo reti in quanto non richiede la presenza di un server di autenticazione Radius. Per il suo funzionamento, tipicamente, è sufficiente configurare una password (o passphrase) nell’access point e nei client, che costituisce la chiave principale (master key o pre-shared key) utilizzata per l’autenticazione mutua tra client e access point, nonchè come punto di partenza per generare le chiavi crittografiche vere e proprie che cambiano continuamente. Per evitare che venga ricostruita la chiave di crittografia catturando un certo numero di pacchetti trasmessi (come avviene nel WEP), si può ridurre il tempo di rinnovo della chiave stessa (key renewal) ad un valore inferiore a quello di default (tipicamente 600 secondi) portandolo ad esempio a 120 secondi o anche meno.

WPA Enterprise: in questo caso l’autenticazione viene effettuata da un server Radius a cui l’access point reindirizza tutte le richieste di accesso dei client. Qui lo standard di autenticazione utilizzato è l’802.1X/EAP (Extensible Authentication Protocol). Di questo protocollo di autenticazione EAP sono state definite diverse implementazioni, tra cui ricordiamo:

  • LEAP: Lightweight Extensible Authentication Protocol
  • EAP-TLS: EAP Tunneled Transport Layer Security
  • PEAP: Protected EAP 

WPA2

Costituisce la diretta evoluzione dello standard WPA ed introduce una forma di crittografia maggiormente evoluta denominate AES (Advanced Encryption Standard).

WPA3

Dopo ben quattordici anni dal rilascio di WPA, è stato rilasciato ufficialmente nel 2018 dalla Wi-Fi Alliance il WPA3. Ciò è avvenuto principalmente perchè il WPA2 aveva mostrato alcune fragilità e fronte di attacchi brute force (attacchi in cui si cerca di forzare brutalmente l’accesso utilizzando dei generatori di password), specie nel caso in cui si utilizzavano password deboli.

Le caratteristiche di WPA3 sono tra le altre:

  • Cifra tutto il traffico tra i client e l’Access Point, anche nelle reti aperte (nelle reti in cui l’accesso avviene senza utilizzo di password), come ad esempio nei luoghi pubblici, per garantire la riservatezza dei dati anche nei confronti degli altri client locali.
  • Irrobustisce la fase di Handshake iniziale per la connessione dei client all’Access Point (che si era rivelata estremamente debole nel wpa2-personal), sostituendola con l’algoritmo SAE (Simultaneous Authentication of Equals) per la mutua autenticazione tra client e access point.
  • Semplifica il processo di connessione in rete dei client del mondo IoT (tipicamente privi di display) utilizzando il metodo del QR code, ovvero tramite scansione con uno smartphone del codice di sicurezza QR.
  • Usa in modalità Enterprise una versione Military Grade dell’algoritmo di cifratura AES a 192 bit (maggiormente strong rispetto all’algoritmo AES tradizionale.

Il nuovo standard WPA3 è gradualmente introdotto nel mercato grazie alla retrocompatibilità degli access point di ultima generazione WAP3 che permettono ad un client di connettersi anche in modalità WPA2 (questo poichè molti client non sono ancora in grado di effettuare connessioni WPA3 pure).

Nel 2019 sono state scoperte alcune falle anche di questo standard che però sembrano essersi risolte con l’utilizzo di Password lunghe e complesse, rendendo quindi questo standard il maggiormente affidabile allo stato attuale.

Alcuni suggerimenti di sicurezza

Nelle reti semplici e che non dispongono di server Radius per autenticazione dei client, per irrobustire la sicurezza occorrerà tenere conto delle seguenti best practices:

  • Cambiare l’SSID (ovvero il norme visibile della rete wifi) impostato di default sull’access point e disabilitare il broadcast del SSID (ovvero il fatto che la rete sia visibile da chiunque durante il processo di scansione della scheda di rete). In quest’ultimo caso l’SSID andrà impostato manualmente sul client, procedendo alla configurazione manuale della rete come indicato nelle linee guida del sistema operativo running sul client.
  • Utilizzare WPA2 con crittografia AES e se possibile diminuire il tempo di rotazione della chiave di crittografia ad un minimo di 120 secondi.
  • Nel caso in cui solamente alcuni client predefiniti abbiano autorizzazione ad accedere alla rete wifi, occorrerà abilitare il MAC Filtering, in modo da permettere l’accesso ai soli client le cui schede di rete abbiano l’indirizzo MAC specificato come allowed nel filtro configurato sull’access point.
  • Far si che la copertura wifi sia il più possibile confinata all’area di interesse, evitando che possa “sbordare” in aree adiacenti, permettendo a chiunque con semplice scansione il rilevamento.
  • Cambiare la password di accesso per la configurazione degli access point scegliendone una sufficientemente robusta (con lunghezza minima 8 caratteri composti da lettere minuscole, maiuscole, numeri e caratteri speciali).
  • In ultimo è necessario definire una politica di assegnazione degli indirizzi IP ai client coerente con le esigenze do connessione, come anche una politica di assegnazione delle vlan (subnet logiche che segmentano la rete globale) che consenta ai client wifi di accedere solamente alle risorse di rete di cui necessitano (network segregation).

Queste informazioni, che non hanno la pretesa di essere un manuale tecnico, offrono la possibilità di comprendere a chi non è tecnico del mestiere come funzionano i mezzi di sicurezza e di autenticazione nelle reti wireless e quali possano essere le best practice da mettere in campo per garantire una buona sicurezza anche nelle reti semplici.

Considerando, per quanto detto in apertura, che le reti wireless sono onnipresenti e spesso in alcune organizzazioni sono le uniche reti presenti ci sembra utile che soprattutto chi esercita professione di DPO possa avere conoscenze base per potersi confrontare con gli implementatori ed i manutentori della rete aziendale.

Vale la pena ricordare che le reti radio sono le più facili da utilizzare per compiere data breach di qualsiasi tipo o comunque per generare disservizi da cui possono anche nascere fughe o violazioni di dati (sia personali che di business) è pertanto utile, per non dire necessario, che un DPO possa comprendere come è configurata la rete della sua organizzazione e possa fornire consulenza sulle best practice da utilizzare sia in termini di standard che di configurazione.

Se poi il DPO riveste la posizione in ambienti dove si trattano dati particolari (ad esempio presidi sanitari, case di cura, laboratori, etc..) è ancor più importante che vengano utilizzati standard strong (ad esempio WPA3) e vengano implementate regole di filtraggio degli indirizzi mac, come anche si provveda ad una corretta segregazione a mezzo vlan (non un’unica rete wifi) che possa fornire anche una segregation of duty (principio del privilegio minimo) di cui parleremo successivamente.

Articolo a cura del Gruppo Cyber Security del Comitato Scientifico di ASSO DPO

Altre news