Ecco una possibile “checklist” per scegliere e configurare gli elementi della propria WLAN in modo tale da garantirsi un’adeguata sicurezza in base agli standard vigenti.
La maggior parte delle indicazioni sono specifiche per le WLAN; altre rappresentano consigli mutuati dalle buone consuetudini in tema di sicurezza delle LAN in generale.
Procurarsi elementi attivi di rete (wireless gateway, access point, schede di rete, repeater eccetera) che supportino lo standard WPA2 (o per lo meno lo standard WPA) e configurarli tutti in modo tale da usarlo.
Cambiare immediatamente la password per l’accesso amministrativo all’access point o al wireless gateway, scegliendone una adeguatamente “resistente”.
Se il wireless gateway o l’access point supportano un log delle connessioni riuscite e fallite, attivarlo. In situazioni sospette ciò permetterà indagini più facili.
Se è prevista la possibilità di autorizzare l’accesso da remoto all’interfaccia amministrativa di access point e wireless gateway, abilitarlo solamente se davvero necessario.
Se sull’access point o sul wireless gateway è presente una funzione per la regolazione della potenza di trasmissione radio, sfruttarla per ridurre la potenza al minimo livello compatibile con un buon funzionamento delle stazioni client. Ciò eviterà che l’area coperta dal segnale abbia un’estensione eccessiva e “sconfini” troppo al di là del perimetro dei locali da coprire, diminuendo così i rischi di intercettazione.
Se è presente una funzione per regolare la frequenza di modifica automatica delle chiavi crittografiche usate da WPA e WPA2 (Key Rotation), attivarla fissando il periodo a un valore ragionevole.
Se possibile, utilizzare la modalità 802.1x per l’autenticazione anziché la più semplice PSK.
Se richiesto dallo schema di protezione crittografica prescelto, scegliere una passphrase di adeguata lunghezza, non contenente parole del vocabolario e contenente invece un buon numero di caratteri speciali.
Stabilire un piano per una modifica a intervalli regolari di tutte le password usate per la sicurezza del sistema.
Disattivare il broadcast dell’SSID in modo tale da ostacolare il rilevamento e l’identificazione della WLAN.
Attivare il MAC filtering in modo tale da accettare associazioni esclusivamente dai MAC address delle schede di rete conosciute.
Se la WLAN è usata soltanto per rendere disponibile l’accesso verso Internet e non per condividere dischi e stampanti fra i PC della rete locale, sfruttare la funzione Access Point Isolation dell’access point (se supportata) per imporre tale restrizione.
Se, viceversa, la WLAN deve servire principalmente per il traffico intranet e non per l’uscita su Internet, con poche e ben identificate eccezioni, utilizzare la funzione Internet Access Control per stabilire precisamente chi possa “uscire” e quando.
Se il modem router wifi supporta funzionalità di firewall, stateful packet inspection, ecc. attivarle.
Prestare attenzione ai PC della rete equipaggiati con scheda WiFi e al tempo stesso collegati alla rete wired: il rischio è quello di allineare la sicurezza della rete complessiva al livello della meno sicura delle due.
Tommaso Svaldi è un esperto di casa e giardino che gestisce un blog online dove pubblica guide dettagliate su vari argomenti. Le guide di Tommaso sono apprezzate dai suoi lettori per la loro semplicità, chiarezza e precisione. Ogni guida fornisce informazioni dettagliate, passo dopo passo, per aiutare i lettori a completare progetti di costruzione o di manutenzione in modo efficace ed efficiente.