Eccoci qui per la seconda parte della nostra guida alla realizzazione e configurazione di una rete Wi-Fi. Per chi non avesse letto la prima parte il mio consiglio è quello di leggere prima l'articolo Guida alla configurazione di un router Wi-Fi e di una rete wireless- Parte I per non perdere eventuali passaggi fondamentali.
Se invece aveta già letto la prima parte possiamo procedere oltre. Buona lettura!
Sicurezza Wireless - segue
Ci eravamo lasciati dicendo che vi avremmo spiegato come configurare correttamente sia il router sia i vari client collegati per garantire la sicurezza della vostra rete. Ebbene ecco quanto promesso.
Dal pannello di amministrazione del vostro router accedete alla sezione "Security" ( o Sicurezza ) e selezionate la modalità che preferite a seconda delle vostre necessità ( per ulteriori informazioni potete leggere questa pagina della prima parte ).
Di seguito diamo una serie di suggerimenti su come impostare in modo corretto le varie opzioni sia sul router che sui client. Tipicamente questo tipo di impostazioni si inseriscono all’interno del software dedicato della scheda di rete wireless ma con il Service Pack 2 anche Windows XP si è dotato di una buona utilità di configurazione per le reti senza fili. Accediamo quindi alla cartella Risorse di Rete e successivamente a Connessioni di Rete. Fra le connessioni disponibili scegliamo quella wireless e dal menù accessibile tramite tasto destro del mouse selezioniamo Proprietà. Da qui selezioniamo Reti senza fili. Questa immagine rappresenta la schermata che dovreste vedere.
Nelle sezione Reti Preferite dovreste vedere anche la vostra identificata dal SSID che avete inserito all’interno del router. Selezionate la rete che volete configurare e cliccate su proprietà. Se non fosse presente la rete dovrete agiungerla manualmente. Per fare questo basta cliccare sul pulsante aggiungi che aprirà una finestra in cui dovrete inserire i vari parametri di configurazione tra cui ovviamente anche l’identificativo SSID della rete. La configurazione degli altri parametri varia a seconda delle impostazioni di sicurezza che avete inserito nel router. Analizziamo caso per caso.
WPE 64 bit ( detto anche WPE 40 bit ): nel router dobbiamo inserire 4 diverse chiavi costituite da 5 coppie di numeri esadecimali ( in base 16 ) e quindi possiamo scegliere fra 16 caratteri ( 0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f ). Dopo aver selezionato quale delle 4 chiavi utilizzare ed aver applicato i cambiamenti la configurazione dal lato router sarà completata.
Non ci resta che impostare i vari client wireless per connettersi correttamente alla rete. Come spiegato poco sopra accedete alla scheda di configurazione della vostra rete.
Inserite le varie impostazioni come nell’immagine selezionando “Condivisa” alla voce Autenticazione di rete e “WEP” alla voce Crittografia dati. Nel campo Chiave di rete inserite il codice che avete impostato nel router e come indice chiave selezionate il numero della chiave che avete configurato nel router. Nella scheda Autenticazione disattivate, se già non lo fosse, l’opzione “Abilita autenticazione IEEE 802.1x per questa rete”.
WEP 128 bit ( detto anche WPE 100 bit ): questa opzione di sicurezza si differenza da quella a 64 bit per la semplice differenza di lunghezza della chiave della rete. Invece che inserire quattro chiavi formate da 5 coppie di caratteri esadecimali stavolta dobbiamo inserire 13 coppie di cifre, sempre esadeciamali. L’immagine sotto è un esempio pratico:
La configurazione lato client è uguale a quella per la modalità WEP 64 bit. Dovete solo inserire una chiave più lunga :D.
WPA-PSK: questa modalità è molto simile alla modalità WEP 128 bit, almeno come configurazione del router. Vi basterà selezionare l’algoritmo di crittografia che preferite ( AES o TKIP ) ricordando però che non sono ancora molti i dispositivi in commercio a supportare l’algoritmo AES. Come chiave dovrete inserire un codice con un numero compreso tra 8 e 63 di caratteri alfanumerici consapevoli che più lunga è la chiave più difficile sarà per un eventuale malintenzionato riuscire a scoprirla. Ecco un esempio di configurazione:
Dal lato client le cose sono leggermente diverse rispetto alla modalità WPE. Vediamo allora come impostare correttamente i vari computer che si collegano alla nostra rete wireless.
Prima di tutto scegliamo WPA-PSK nel campo Autenticazione di rete. Scegliamo poi TKIP o AES a seconda del metodo di crittografia dei dati utilizzato nel router ed inseriamo successivamente la chiave di rete. Con la scelta dell’uso di WPA-PSK la scheda Autenticazione verrà completamente disabilitata in modo tale che non dovremmo preoccuparci di ulteriori configurazioni.
WPA-RADIUS: questa modalità richiede la configurazione di software esterni adeguati o l’uso di un server dotato di un sistema operativo che supporti le funzionalità Radius come Microsoft Windows Server. Questo argomento, vista anche la relativa necessità di configurare una rete con questo tipo di impostazione per un utente domestico, va quindi al di là degli scopi di questa guida e perciò non sarà trattata.
WPA2: anche la revisione dello standard WPA, il cosiddetto WPA2 anche conosciuto come IEEE 802.11i, prevede due diverse tipologie di funzionamento per adattarsi alle esigenze di sicurezza degli utenti domestici o delle aziende. Se vogliamo utilizzare questo standard per aumentare la sicurezza delle nostre reti wireless dobbiamo inanzitutto assicurarci che il nostro access point sia compatibile ( spesso i modelli meno recenti possono essere aggiornati tramite una revisione del firmware ). Anche dal lato client possono rendersi necessari degli aggiornamenti dei driver. In Windows XP SP2 il supporto a WPA2 si può avere installando un'apposita patch rilasciata dalla Microsoft che trovate a questo indirizzo Come per il WPA ci occupiamo solo della versione Personal ovvero quella a chiave precondivisa. Una volta installato l'aggiornamento, se la nostra scheda di rete wireless supporta WPA2 ( in caso contrario è possibile che il produttore abbia rilasciato dei driver aggiornati ) tra le opzioni di "Autenticazione di rete" compariranno WPA2 e WPA2-PSK, rispettivamente la versione Enterprise ( RADIUS ) e Personal di WPA2. Dal punto di vista della configurazione quindi non cambia molto rispetto a quanto già visto per WPA.
Filtraggio dei MAC-Address
Per completezza di questa sezione relativa alla sicurezza vogliamo inserire anche un piccolo paragrafo relativo alle opzioni di filtraggio dei MAC Address. Per chi non lo sapere il MAC Address è un codice alfanumerico che identica univocamente ogni dispositivo di rete ( schede di rete, router, ecc..). Questo ci dà la possibilità di creare un filtro per permettere l’accesso alla nostra rete solo tramite alcuni dispositivi basandoci sul loro MAC Address.
Prima di vedere come si configura questo filtro bisogna però capire come procurarci gli indirizzi MAC dei vari dispositivi che si connettono alla nostra rete. E’ possibile che a seconda della vostra scheda di rete e dei driver che avete installato sia possibile ricavare l’indirizzo accedendo alle proprietà della periferica in Gestione Periferiche ma volendo, essere più generici, sappiate che Windows mette a disposizione un comando per trovare il MAC Address di tutti i dispositivi di rete installati su un certo computer. Vediamo come usarlo.
Accedete al Prompt dei Comandi ( la finestra di MS-DOS ) e scrivete il comando
ipconfig /all
dopo di che premete Invio.
Comparirà in un istante tutta la lista dei dispositivi di rete installati e attivi sul computer corredata da numerose informazioni tra cui quella che a noi interessa in questo caso: Indirizzo fisico. Dovete prendere nota dell’indirizzo fisico della periferica di rete connessa direttamente al vostro router ( per esempio nel nostro esempio è Scheda Ethernet Connessione rete senza fili ) e ripetere l’operazione su ognuno dei computer che sono connessi alla rete.
A questo punto il più del lavoro è fatto. Accedete al pannello di configurazione del vostro router e selezionate la voce MAC Address Filtering ( o simile ). Dovrebbe apparire una schermata simile a questa:
Clicca sull'immagine per ingrandire
Cominciando dal primo ora dovrete inserire nella casella MAC Address l’indirizzo fisico dei vari dispositivi che si potranno connettere alla vostra rete. Ciccando sul pulsante Add ( o Aggiungi ) il MAC Address da voi digitato verrà inserito nel filtro. Una volta inseriti tutti i vari indirizzi dovrete abilitare il MAC Address filtering spuntando la voce corrispondente.
Attenzione: ricordatevi di inserire tutti gli indirizzi fisici, anche quelli delle schede di rete connesse tramite cavo.
Questa opzione assicura un'ottimo livello di sicurezza a discapito però della scomodità di dover aggiungere o togliere dispositivi dal filtro ogni qual volta un nuovo computer deve essere collegato alla rete, anche temporaneamente. Se avete una piccola rete e non dovete spesso collegare nuovi dispositivi sicuramente farete bene ad attivare il filtraggio.
Il firewall interno - NAT
La maggior parte dei router prevede un proprio firewall interno in grado di proteggere la rete da attacchi esterni ma che spesso crea problemi con l’uso di applicazioni che utilizzano la connessione ad internet ( giochi, programmi per il file sharing, ecc.. ). In questa sezione spiegheremo come configurare correttamente il firewall NAT del vostro router per permettere il corretto funzionamento di tali applicazioni.
Il firewall interno del router permette ala vostra rete di non essere vista all’esterno. Questo è positivo perché aumenta la sicurezza ma risulta un ostacolo se volete scambiare informazioni con altri clients nel mondo. Ogni qual volta un programma tenta di connettersi al vostro indirizzo IP esterno lo fa indirizzandosi su alcune determinate porte ( per “porta” intendiamo semplicemente una porzione di indirizzo IP. Vi basterà sapere che ogni indirizzo IP è diviso in oltre 65000 porte in modo da evitare conflitti di comunicazione tra applicazioni diverse ). Per questo il router mette a disposizione una potente funzione in grado di redirigere il traffico che arriva su determinate porte ad un indirizzo IP specifico all’interno della vostra rete. Queste operazioni rientrano nel termine inglese Forwarding e più specificatamente parleremo di Port Forwarding.
Vediamo subito esempio per chiarire le idee. Questa immagine mostra la configurazione relativa a quanto detto per la nostra rete di prova. In questo esempio sono stati inseriti i dati per consentire il corretto funzionamento del software Emule sul computer con indirizzo IP 192.168.2.2. Come potete vedere Emule richiede la configurazione di tre intervalli di porte differenti per funzionare al meglio.
Clicca sull'immagine per ingrandire
Cerchiamo di capire il significato della configurazione impostata. Emule utilizza sia il protocollo TCP sia quello UDP per la connessione ai server e ai clients ( per protocollo si intende un insieme di regole che coordinano la comunicazione tra due o più dispositivi collegati tra loro ). La prima voce, EmuleTCP, indica al router di redirigere il traffico che arriva sulla porta 4662 tramite il protocollo TCP sulla porta 4662 del computer con indirizzo IP 192.168.2.2. Lo stesso vale per le altre due voci anche se relative ad altre porte e protocolli.
Molti programmi utilizzano più di una porta ovvero un intervallo di porte. Per questo per specificare le porte sono disponibili due caselle di testo. La prima per il limite inferiore dell’intervallo mentre la seconda per il limite superiore. In questo modo tutte le porte nell’intervallo saranno interessate dalla configurazione. Ovviamente ogni programma usa delle porte diverse. Quindi se non sapete quali porte vengono usate da uno specifico software documentatevi sul sito del produttore o a questo indirizzo dove sono elencate le porte usate dai programmi più comuni.
Un’ultima indicazione è relativa alla voce Private Port. Essa rappresenta l’intervallo di porte del computer della rete interna su cui volete venga ridiretto il traffico proveniente dal router. Il più delle volte è consigliabile mantenere lo stesso intervallo usato per la voce Inbound Port.
Attenzione: Ricordatevi di cliccare sul quadratino Enable per abilitare il settaggio relativo alla riga corrispondente.
Alcuni router oltre alle funzioni di Port Forwarding mettono a disposizione un'ulteriore opzione detta Port Triggering. Se il Port Forwarding è perfetto nel caso di indirizzi IP statici o dinamici ma assegnati in base al MAC Address il Port Triggering risulta essere più adatto nel caso di IP dinamici puri. Immaginate per esempio di dover utilizzare su un dato PC un'applicazione che richiede di reindirizzare il traffico di due particolari porte. Dovete impostare il router per direzionare questo traffico sul PC in questione definito dal suo indirizzo IP. Se però il giorno dopo, per esempio, l'indirizzo IP di tale PC è cambiato ( come è probabile che sia ) il traffico per quelle porte sarà diretto verso un altro PC e la vostra applicazione non potrà più funzionare. Dovreste riconfigurare il router con il nuovo indirizzo IP. Ecco allora che vi viene in aiuto il Port Triggering. Essenzialmente svolge le stesse funzioni del Port Forwarding con il fatto che non richiede, il più delle volte, la specificazione di un indirizzo IP. Questo perchè il redizionamento avviene in automatico.
Vengono specificate delle particolari porte dette Trigger Ports e in abbinamento delle Incoming Ports. Quando del traffico passa attraverso una delle Trigger Ports verso la WAN il router attiva il forwarding del traffico che arriva sulle Incoming Ports verso il PC che ha richiesto i dati tramite le Trigger Ports. Una volta che il traffico attraverso le Trigger Ports cessa il router aspetta un certo tempo e poi disattiva il redirezionamento e chiude le Incoming Ports corrispondenti.
I vantaggi di questo tipo di modello sono chiari: maggior sicurezza rispetto al Port Forwarding in quanto le porte sono aperte solo quando serve e configurazione più semplice nel caso di indirizzi IP dinamici. Gli svantaggi? Durante il trasferimento di un grosso file per esempio la porta potrebbe chiudersi per un temporaneo inutilizzo causando l'interruzione del download oppure nelle configurazionei in cui non viene specificato l'indirizzo IP del computer su cui redirezionare i traffico ( le più frequenti ) è possibile che due PC cerchino di utilizzare contemporaneamente una stessa porta causando una corruzione dei dati ricevuti.
Filtraggio degli indirizzi IP
La maggior parte dei router mette a disposizione alcune interessanti funzioni relative all’amministrazione della connessione alla rete dei vari clients. E’ possibile per esempio impostare manualmente i servizi a cui possono accedere i singoli client specificando il loro indirizzo IP oppure ancora è possibile limitare l’uso di determinati servizi solo ad alcune ore del giorno. Vediamo come.
Tutte queste impostazioni si possono configurare dalla schermata Client IP Filtering di cui trovate un’immagine qui sotto.
Clicca sull'immagine per ingrandire
Se avete seguito con attenzione la nostra guida dovreste riuscire a configurare senza troppi problemi questa sezione. Come dite? Avete bisogno di una mano? Niente paura. Allora come abbiamo detto prima ogni applicazione ( o servizio ) utilizza delle determinate porte per comunicare con l’esterno. Quindi se volete che un client possa utilizzare per esempio la navigazione Internet solo dalle ore 12.00 alle 16.00 e dal Lunedì al Venerdì vi basterà inserire l’indirizzo IP di tale client, la porta 1080 ( quella utilizzata dalla navigazione Internet ), selezionare Both ( Entrambi ) per includere sia il protocollo TCP che UDP e impostare l’intervallo temporale come preferite. Facile vero?
Conclusioni
Con quest’ultimo argomento si conclude anche la nostra “piccola” guida all’interno del mondo delle reti Wi-Fi. Certo non vogliamo dire di aver trattato tutti gli argomenti possibili ma possiamo affermare di aver parlato di tutti quegli aspetti relativi alla configurazione e alla gestione di una rete con router wireless interessanti per un utente medio domestico o “small office”. Abbiamo anche cercato di essere generalisti senza basarci troppo su un particolare modello o dispositivo di modo che la guida fosse il più possibile valida in generale. Se comunque foste interessati all’approfondimento di alcuni degli aspetti trattati o all’aggiunta di informazioni relative ad un argomento non trattato lo staff di UpYou sarà ben felice di accontentarvi.
Alla prossima!
Articoli correlati:
 Guida alla configurazione di un router Wi-Fi e di una rete wireless- Parte I
 Una rete LAN, condivisione delle risorse e della connessione ad Internet
 Sicurezza Wireless: trovare le reti, sniffare il traffico e altri trucchi
|
