Prima che qualcuno ti spii o utilizzi la tua offerta internet in maniera silente, vorresti sapere come proteggere una rete WiFi. Quando è venuto il tecnico a installarti il modem per l’ADSL o la Fibra ottica (FTTN, FTTB, FTTC, FTTS, FTTP o FTTH), eri contentissimo. Ti disse: “Lascia tutto così com’è e non preoccuparti”. La password del WiFi te l’ha appiccicata sotto al modem e ti ha persino attivato il famoso WPS, ovvero quel pulsante speciale che “scavalca” l’inserimento della chiave di sicurezza. Nulla di più comodo, non è vero? Così dice lui, ma si sa “fidarsi è bene, non fidarsi è meglio”.
Non appena se n’è andato, ne hai approfittato per controllare in rete. Dopo qualche ricerca, hai scoperto che hacker e cracker riescono facilmente a craccare le reti WiFi. Inoltre, hai letto che esistono dei calcolatori di password predefinite per i modem più conosciuti, come ad esempio quelli forniti dai provider internet TIM (ex Telecom Italia), Fastweb, Tiscali, Vodafone e altri.
Preso dal panico, hai cercato subito come proteggere una rete WiFi e, fortunatamente, sei capitato quaggiù. Nella guida seguente, difatti, ho inserito tutte le procedure che consentono di rendere impenetrabile l’accesso a una rete WiFi. Premetto che non c’è bisogno di un modem router specifico, può essere prodotto da qualsiasi azienda, sia TIM, Fastweb, Vodafone, Technicolor, TP-Link, Netgear, Draytek, MikroTik, Cisco, Linksys, ASUS, D-Link, Tomson, Ubiquity Networks, Zyxel, HP, US Robotics, IBM o un’altra. L’importante è che il suo firmware disponga delle funzioni che sto per rivelarti. Molti modem router forniti dagli ISP, purtroppo, hanno un firmware limitato e non consentono di effettuare tutte le procedere elencate.
Ti consiglio di provare a configurare il tuo router attuale. Poi, se vedi che non ha molte di queste funzioni o diventa instabile, cambialo. Detto ciò, non resta che cominciare.
Come proteggere una rete Wi-Fi
Quando ti chiedi come proteggere una rete WiFi, la prima cosa che devi fare è prenderti del tempo. Le configurazioni che stai per modificare sono di varia difficoltà. Però, indubbiamente, ti servirà del tempo per applicarle tutte. Se hai esperienza nell’ambito dell’IT e del networking parti avvantaggiato, ma anche per te non sarà così veloce la faccenda. Quindi, per evitare errori, che potrebbero comportare l’inutilizzo del router, ti consiglio effettuare queste procedure senza fretta.
Ciò premesso, di seguito trovi tutti i procedimenti che ti permetteranno di proteggere una rete WiFi. Più ne applichi, più sarà sicura la tua rete wireless. Tutte le configurazioni descritte, puoi effettuarle collegandoti al router, tramite l’interfaccia web o dalla console. Se lo fai via web, trova l’indirizzo IP del gateway prima. Di solito è 192.168.0.1
o 192.168.1.1
, ma non è detto. Su macOS lo trovi aprendo il Terminale e digitando netstat -nr | grep default
. Se hai Linux, lo individui sempre tramite Terminale, ma eseguendo il comando ip route | grep default
. Se hai Windows, invece, puoi reperirlo dal Prompt dei comandi (cmd), scrivendo ipconfig
. Non appena l’hai trovato, collegati ad esso via browser, inserisci nome utente e password predefiniti e inizia le configurazioni. Dunque, buona lettura.
Indice
- Collegamento di un router in cascata
- Disattivare WPS e PIN WPS
- Nascondere SSID
- Cambiare SSID
- Cambiare password WiFi e crittografia
- Modificare le credenziali di accesso al router
- Rete Guest protetta e isolata
- Filtro degli indirizzi MAC
- Disattivazione automatica del WiFi
- Ridurre la potenza delle antenne wireless
- Creazione di VLAN isolate
- Configurazione del Firewall
- Bloccare gli accessi remoti e lasciare attiva la VPN
- Disattivare Telnet e SSH
- Disattivare il DHCP
- Aggiornamento periodico del firmware del router
- Vedere chi è connesso al proprio WiFi
Collegamento di un router in cascata
Prima di spiegarti come proteggere una rete WiFi efficacemente, ti ricordo che sarebbe meglio collegare un router in cascata al modem. Cioè, router e modem dovrebbero essere due apparecchi distinti.
Potresti mettere il modem in modalità bridge o in DMZ, cosicché il router possa gestire tutte le connessioni evitando il doppio NAT e altri problemi. Facendo ciò, sfrutteresti il Firewall avanzato del router, che risulterà essere un Access Point WiFi (AP) molto più sicuro rispetto al classico modem. Per ulteriori informazioni, leggi la mia guida su come collegare router a modem.
Disattivazione WPS e PIN WPS
La prima procedura da applicare quando ci si chiede come proteggere una rete WiFi, è la disattivazione del WPS e del PIN WPS. Forse non lo sai, ma gli hacker e i cracker riescono facilmente a entrare nei modem router più comuni. Usano programmi del tipo Aircrack-ng e sistemi operativi come Kali Linux per eseguire attacchi di brute force. Riescono a farlo grazie a delle schede di rete wireless capaci di iniettare.
Uno degli attacchi più comuni, è quello correlato al WPS. Sfruttano le vulnerabilità del WPS per indovinare il PIN WPS e dopo la password del WiFi. Per farlo, deautenticano un client connesso, catturano l’handshake e lo decriptano usando vari worldlist (dizionari delle password). Ecco, in questi wordlist, reperibili facilmente online, ci sono spesso i PIN WPS predefiniti, così come le password originali dei router più comuni.
Di solito, il PIN WPS non viene modificato, pertanto si presume che sia più facile da craccare. Inoltre, esso è composto da soli numeri, che vanno generalmente dalle 4 alle 8 cifre. Dal momento che esso e il tasto WPS servono esclusivamente per far connettere dispositivi senza inserire la password, puoi disattivarlo senza pensarci troppo. Non credo sia un problema per il tuo amico o per te inserire la password WiFi una sola volta, in quanto poi verrà memorizzata.
Ricapitolando, è buona norma disattivare il WPS e il PIN WPS. Per farlo, vai nella sezione Wireless del router e metti su Off entrambe le opzioni. Quando hai fatto, riavvia il router e prova a connetterti tramite WPS. Il tasto WPS, adesso, dovrebbe risultare inutilizzabile, così come il PIN WPS.
Nascondere SSID
Quando hai chiesto a un tuo amico come proteggere una rete WiFi, ti avrà suggerito di nascondere il suo SSID. Ebbene, ci sono varie leggende che circolano in rete sul cosiddetto Broadcast SSID. Tra le tante, si dice in giro che alcuni router nascondono la rete wireless, il canale utilizzato e le relative frequenze 2.4 Ghz o 5 Ghz. Non è assolutamente vero. Gli unici router che fanno questo si chiamano router sprovvisti del WiFi oppure router con il WiFi spento.
Tutti i router con il WiFi acceso trasmettono un segnale wireless, è cosa certa. Altrimenti, i computer e i dispositivi che utilizzi come farebbero a captare la rete wireless nascosta? Perciò, non pensare che nascondendo il SSID nessuno riesca a individuarlo. Anzi, tutt’altro. Così facendo, invoglierai hacker e cracker ad entrare in quel network, perché se è nascosto potrebbe significare che “lì dentro c’è qualcosa di importante”. Dunque, ti consiglio di lasciar perdere. Se invece vuoi farlo ugualmente, segui la guida su come nascondere nome rete WiFi per ulteriori informazioni.
Cambiare SSID
Una cosa utile da fare quando ci si domanda come proteggere una rete WiFi, è cambiare il SSID. Anziché nasconderlo, potresti variare il nome predefinito con un altro a tuo piacimento. In questo modo, chi vede la rete nella zona, non saprà quale modem router possiedi. Per altro, non potrà conoscere il tuo provider internet. Di conseguenza, non potrà sfruttare le vulnerabilità conosciute.
Per cambiare SSID, vai nelle impostazioni Wireless e trova i settaggi correlati alle frequenze 2.4 Ghz e 5Ghz (nel caso di router AC). In entrambe le sezioni, potrai modificare il nome della rete WiFi. Dopo averlo fatto, riavvia il router.
Cambiare la password WiFi e crittografia
Quando ti chiedi come proteggere una rete WiFi, variare la password della rete wireless è d’obbligo. Non lasciare che la password rimanga quella appiccicata sotto al modem router. Per altro disattiva il codice QR correlato ad essa (se fosse presente). Puoi fare tutto ciò nelle impostazioni Wireless del router. Sotto la voce SSID, ci sarà indubbiamente l’opzione Cambia password. Cliccala, inserisci la vecchia chiave di cifratura e digita quella nuova impostando come crittografia AES e come protezione crittografata WPA2. Mi raccomando, prediligi password lunghe, composte da lettere maiuscole e minuscole, numeri, simboli e caratteri speciali. Per ulteriori informazioni, leggi come creare password sicure online e come cambiare password WiFi router.
Modificare le credenziali di accesso al router
Un altro metodo di sicurezza da utilizzare quando ci si chiede come proteggere una rete WiFi, è la modifica delle credenziali di accesso al router. Il nome utente e la password predefiniti sono uguali per tutti. Quindi, vai nelle impostazioni di Amministrazione e provvedi a sostituirli. Anche in questo caso, prediligi password complesse. Non utilizzare le parole admin, 1111, 0000, password o 12345678. Altrimenti, fai prima a lasciare quella di default. Per ulteriori informazioni, leggi come cambiare password al router.
Rete Guest protetta e isolata
Passando alla parte più complicata di come proteggere una rete WiFi, si può procedere con la creazione di una Rete Guest sicura e isolata. Ti avranno detto che il tuo modem router dispone di una rete Ospiti, che ti consente di far collegare gli amici senza che possano vedere il tuo network. Molto spesso, però, queste reti wireless sono sprotette, quindi sono aperte a tutti. Se così fosse, imposta una password WPA2-AES complessa e difficile da indovinare. Poi, collegati alla rete wireless e verifica se effettivamente non è possibile accedere al tuo network.
Infine, abilita l’isolamento di ogni client sulla rete Guest. L’opzione dovrebbe chiamarsi AP isolation. Grazie ad essa, chi è collegato alla rete Guest non potrà vedere gli altri client connessi alla stessa rete wireless. Saranno tutti isolati e potranno soltanto accedere a internet. È un’ottima impostazione di sicurezza per i gestori di un negozio o un albergo che desiderano creare un Hotspot wireless per i loro clienti.
Filtro degli indirizzi MAC
Ora che stai capendo come proteggere una rete WiFi, passiamo al difficile. Procedi configurando il filtro dei MAC address. Come già saprai, iPad, iPhone, smartphone Android e qualsiasi altro dispositivo o computer con scheda di rete Ethernet o Wireless integrata dispone di un indirizzo MAC. Si tratta di un indirizzo univoco che, se non viene modificato a livello software, non può cambiare. Individuando quello di ogni dispositivo nel tuo network, puoi creare una whitelist di MAC address sul router. In questo modo, anche se qualcuno riesce a scoprire la password WiFi avrà “le mani legate”, perché non riuscirà comunque a collegarsi. Il router lo rifiuterà, perché l’indirizzo MAC del dispositivo che sta utilizzando non è nella whitelist.
Il filtro degli indirizzi MAC è una delle migliori funzioni che consente davvero di proteggere una rete WiFi. Perciò, se il tuo modem router non ce l’ha, ti consiglio di comprarne uno nuovo, magari performante ed economico. Dai un’occhiata ai router Mikrotik ad esempio, di qualità ed economici, anche se un pò difficili da configurare. Se sei uno “smanettone” è ciò che fa per te, fidati.
Disattivazione automatica del WiFi
Un’altra procedura valida da applicare quando ci si domanda come proteggere una rete WiFi, è la disattivazione automatica del’interfaccia Wireless. Quando sei fuori casa o vai via dall’ufficio, se non ci sono altre persone che lo stanno utilizzando, potresti impostare uno spegnimento automatico del WiFi. Così facendo, se ad esempio qualcuno sta effettuando un attacco di brute force sulla tua rete wireless, gli farai cascare la connessione. Di conseguenza, l’hacker o il cracker dovrà ricominciare da capo l’attacco di brute force.
Non ha senso che il WiFi rimanga acceso se non lo stai utilizzando. E se sei incerto di farlo per via degli aggiornamenti notturni automatici, lasciali perdere. Quando devi aggiornare il firmware del router, scarica personalmente il firmware dal sito ufficiale del produttore. Poi, verifica il download effettuando il MD5 Checksum e, solo se trovi corrispondenza, procedi ad effettuare l’upgrade. Così, eviterai anche eventuali attacchi man in the middle, conosciuti con l’acronimo MIM, MITM o MITMA.
È anche vero però che non tutti i router consentono di schedulare lo spegnimento automatico. Se hai un router che supporta WRT, fai il flash di Advanced Tomato, Open-WRT o DD-WRT. Tali firmware permettono di proteggere una rete WiFi in questo modo. In caso contrario, controlla il manuale.
Ridurre la potenza delle antenne wireless
Quando ti chiedi come proteggere una rete WiFi, devi sapere anche quanto è ampio il raggio d’azione della rete wireless. Dovresti regolare la sua potenza in base ai metri quadrati della casa o dell’ufficio. Che senso ha che il segnale wireless della tua rete WiFi si propaghi anche nelle case dei tuoi vicini? Nessuno, anzi, sarebbe meglio che non ci arrivasse proprio. Dunque, controlla la potenza del segnale wireless e provvedi a regolare i dBi delle antenne. Se anche l’impostazione più bassa genera un segnale wireless troppo forte, cambia le antenne mettendone un paio meno potenti, quindi con meno dBi.
Così facendo, puoi proteggere una rete WiFi in modo efficace, perché ridurrai automaticamente anche i Beacon frame che vengono trasmessi. In questo modo, sarà più difficile per gli hacker e i cracker effettuare lo sniffing dei pacchetti di rete della WLAN. In parole più semplici, sarà più difficile per loro intercettare la tua rete wireless. Per ulteriori informazioni sui beacon frame, puoi leggere questa pagina di Wikipedia (in inglese).
Se stai cercando un access point per proteggere una rete WiFi con questa funzione, prova i prodotti Ubiquity Networks, in particolare l’UniFi AP AC Pro. Tali AP regolano la potenza dei dBi emessi in automatico. Riescono a farlo calcolando la distanza dei client connessi.
Creazione di VLAN isolate
Se ti stai chiedendo come proteggere una rete WiFi e non hai o non vuoi utilizzare la Rete Guest, potresti creare delle VLAN isolate. Si tratta di LAN virtuali identificate da uno specifico e univoco ID. Grazie ad esse, puoi segmentare e riconoscere il traffico di rete. Puoi utilizzarle ad esempio per dividere una rete aziendale, ma anche una complessa rete domestica. Ovviamente, per isolarle dovrai avvalerti del Firewall.
Per creare le VLAN e suddividere le porte switch o le reti wireless, è necessario conoscere a fondo l’argomento. Inoltre, bisogna disporre di un router, di un access point o di uno switch managed che sappia interpretare tale traffico e che supporti lo standard IEEE 802.1q per il VLAN trunking.
Configurazione del Firewall
La parte più importante quando ci si chiede come proteggere una rete WiFi, è la configurazione del Firewall. Il Firewall è l’arma più potente di un router. Innanzitutto abilitalo se non lo hai ancora fatto. Dopodiché, lascia attive tutte le regole predefinite e aggiungine altre secondo le tue esigenze. Ad esempio, potresti impedire l’accesso all’interfaccia web del router a chi si connette tramite WiFi, permettendo ugualmente ad essi di navigare in internet. Blocca con un drop tutte le porte in input, tranne TCP 53, UDP 53 e UDP 67, correlate rispettivamente a DNS e DHCP. Inoltre, potresti bloccare tutte le porte TCP e UDP che non utilizzi, in input, in output e in forward. Però, ricordati di eventuali connessioni remote attive, come le VPN (vedi sotto).
Se il router non ti permette di configurare il firewall o gli script contenenti regole iptables, cambialo senza pensarci due volte. Il firewall dev’essere personalizzabile, altrimenti sarà difficile proteggere una rete WiFi e l’intero network efficacemente.
Bloccare gli accessi remoti e lasciare attiva la VPN
Ora che ti ho detto come proteggere una rete WiFi con il Firewall, potresti chiederti se è sicuro avere il router che fa da server VPN. Ebbene, avere attiva una Virtual Private Network è utile e ciò non significa esporre il router a internet, quindi al mondo intero. Configurando ad esempio un server VPN con OVPN, ovvero con OpenVPN, si può creare una VPN gratuita e sicura che rimane attiva su una determinata porta TCP o UDP, come ad esempio la 1194. La connessione è protetta dai certificati SSL (installati su server e client). Per altro, si possono usare anche chiavi RSA a 2048 bit o a 4096 bit per generare la CA (Certificate Authority), quasi impossibili da decriptare.
Comunque, per proteggere una rete WiFi devi più che altro bloccare gli accessi remoti che mirano alla pagina di login del modem. Un hacker, collegandosi da remoto, potrebbe riuscire ad entrare nel modem router sfruttando una sua vulnerabilità, mediante exploit insomma. Così facendo, potrebbe reperire la password del WiFi e dopo collegarsi indisturbatamente al tuo network.
Per evitare tutto ciò, devi disabilitare l’accesso remoto. Se non trovi un’opzione specifica, applica il blocco con il Firewall. Le connessioni remote vengono effettuate tramite un indirizzo IP pubblico statico o un DynDNS. Quindi, è sufficiente creare una regola che blocca l’accesso alla Web GUI ai client che provengono da un determinato indirizzo IP o nome host.
Disattivare Telnet e SSH
Sempre parlando di accessi all’interfaccia web del router, quando ti chiedi come proteggere una rete WiFi, dovresti anche disattivare Telnet e SSH. I protocolli di rete Telnet e SSH permettono di accedere al router usando il Terminale con Linux e Mac, e utilizzando Putty o il Prompt dei comandi con Windows. Consentono di connettersi eseguendo i comandi telnet
e ssh
. La connessione avviene sulla porta TCP 23 per Telnet e sulla porta TCP 22 per SSH.
Il router dovrebbe prevedere la disattivazione di questi accessi nella sezione Amministrazione. Comunque, se non ci fosse un’opzione, potresti avvalerti del Firewall. Configura un drop in input delle porte tcp 22 e tcp 23 per l’interfaccia wlan. Facendo ciò, chi si connetterà al tuo WiFi non potrà sfruttare questi protocolli per entrare nel router.
Disattivare il DHCP
Un altro metodo che puoi usare quando ti domandi come proteggere una rete WiFi, è quello che prevede la disattivazione del DHCP. Il server DHCP fa sì che i dispositivi si connettano automaticamente al network, perché assegna ad essi un indirizzo IP dinamico. Se lo spegni, tutti i dispositivi collegati dovranno avere un indirizzo IP statico. Altrimenti, non verranno agganciati al network e di conseguenza non funzioneranno.
Ti consiglio di disabilitarlo solo se sai quello che stai facendo e se nella tua rete wireless non viene utilizzato pesantemente il server DHCP. Se intendi procedere, segui la guida su come disattivare DHCP router. Poi, consulta le procedure per assegnare IP statico al Mac, configurare IP statico su Windows, impostare IP statico su iPhone, impostare IP statico su Android e assegnare IP statico alla stampante.
Aggiornamento periodico del firmware del router
L’ultima procedura che devi utilizzare quando ti chiedi come proteggere una rete WiFi, è l’aggiornamento periodico del firmware del router. Tutti i router hanno un firmware, ossia un software che esegue delle funzioni secondo le specifiche dell’apparecchio. Gli aggiornamenti del firmware risolvono spesso bug e vulnerabilità.
Per evitare che chi viene a conoscenza di queste vulnerabilità le sfrutti per accedere al tuo router, devi necessariamente aggiornarlo. Tali aggiornamenti, sono di fondamentale importanza per non essere hackerati su Windows, Linux, macOS, Android o iOS.
Perciò, non appena esce un’update, controlla il changelog, crea il backup della configurazione ed esegui l’aggiornamento. Mi raccomando, non aspettare troppo tempo. Finché il produttore supporta il router, continua ad aggiornarlo. Dopodiché, installa firmware di terze parti più recenti o cambialo.
Vedere chi è connesso al proprio WiFi
Ora che sai come rendere sicura una rete WiFi e lo hai fatto, chiediti spesso come vedere chi è connesso al mio WiFi. Pur avendo adottato tutte le misure di sicurezza, qualcuno potrebbe riuscire ad intrufolarsi nel tuo network. Ricorda, nessuna rete è a prova di hacker. Pertanto, non dimenticarti di controllare la lista dei dispositivi connessi al router e i relativi MAC address. Solo così rimarrai al sicuro.