Working languages:English to Italian
German to Italian
 | October 2008 |  | | S | M | T | W | T | F | S |
|---|
| | | | 1 | 2 | 3 | 4 | | 5 | 6 | 7 | 8 | 9 | 10 | 11 | | 12 | 13 | 14 | 15 | 16 | 17 | 18 | | 19 | 20 | 21 | 22 | 23 | 24 | 25 | | 26 | 27 | 28 | 29 | 30 | 31 | | |
|
| | Translation services for your business! VAT ID 09245260154 | | | Freelancer/Company,  Verified member | | | Blue Board: Microwide | | | Translation, Website localization, Software localization |  | | Specializes in: | | IT (Information Technology) | Computers (general) | | Computers: Systems, Networks | Computers: Hardware | | Computers: Software | Media / Multimedia | | Photography/Imaging (& Graphic Arts) | Internet, e-Commerce | | Telecom(munications) | Marketing / Market Research |
| Also works in: | | Surveying | Retail | | Genealogy | Electronics / Elect Eng | | Printing & Publishing | Business/Commerce (general) | | Advertising / Public Relations | Journalism | | Automation & Robotics | Automotive / Cars & Trucks | | Engineering (general) | Astronomy & Space | | Economics | Engineering: Industrial | | Environment & Ecology | Human Resources | | Management | Military / Defense | | Other | Aerospace / Aviation / Space | | Science (general) |
| | | Questions answered: 638, Questions asked: 52 Easy / 186 PRO, PRO-level points: 1263 | | | lt_3 employees | | | 1988 | | | Euro (eur), U. S. dollars (usd) | | | Document translation , Localization, Technical writing, Translation | | | Microsoft Excel <= 2004, Microsoft PowerPoint <= 2004, Microsoft Word <= 2004, SDL/TRADOS 2007, SDL Trados 7, ABBYY FineReader OCR, SDLX Lite | | | http://www.microwide.it,  CV/Resume | | | Sample translations submitted: 5| English to Italian: Localization into Italian of the 'COLT Telecom' website - Telecom(munications) | Source text - English
http://www.colt.net/uk/en | Translation - Italian
http://www.colt.net/it/it | | English to Italian: Localization into Italian of the 'Universal Document Converter' website | Source text - English
http://www.print-driver.com | Translation - Italian
http://it.print-driver.com | | English to Italian: Use a VPN for Wireless Security (PC Magazine article) | Source text - English
Use a VPN for Wireless Security
Protect yourself from inherent AP risks
Picture a well-dressed woman standing in your company's lobby, chatting with your receptionist. Now imagine her laptop equipped with wireless sniffer software, sucking up all of your confidential documents and email messages. Or picture an enterprising young man who, just for kicks, has decided to set up on his laptop a rogue DHCP server, which diligently hands out invalid IP addresses to all of your desktop clients. With just a few thousand dollars worth of off-the-shelf computer hardware and software, an intruder can wreak havoc on your wireless network if you haven't taken the appropriate precautions to secure it properly. And after someone has gotten inside your network, you can't do much except unplug your wireless Access Point (AP) and clean up the damage.
Anyone can install wireless APs—even people outside your IT organization. If your organization is large, you might never know that some manager purchased a wireless AP from a discount store and hooked it into the network, just so his employees can wander around the office with their laptops. And this scenario might not even be happening in your building; it might be happening in a remote office, creating a gaping security hole in your organization's network. By nature, APs are a security problem—unless they're still in the box, wrapped in plastic and Styrofoam. However, by using your AP's security capabilities in conjunction with Microsoft Routing and Remote Access Service (RRAS), you can protect yourself from the inherent risks.
Wireless Security with Existing Equipment
You'll find many documents on the Internet about how to secure a wireless network by using nothing more than the equipment that your wireless manufacturer provides. Procedures for doing so vary from manufacturer to manufacturer, but a couple of common techniques are worth mentioning. Primarily, you should consider implementing both Wired Equivalent Privacy (WEP) and authorized media access control (MAC) lists, if your equipment offers these features.
WEP. Wireless networks' built-in encryption capabilities have been broken. Regardless of whether you use 40-bit WEP or 128-bit WEP, an intruder can decode the WEP key that you use for your network. As shocking as that revelation might be, even more shocking is the number of wireless networks that don't even use WEP. During a recent exercise in Washington, DC, I spent a mere 20 minutes worth of scanning for wireless networks and found more than 40 wireless APs, as Figure 1, page 60, shows—and hardly any of them were using encryption. Most people take the time to name their wireless network, simplifying even further the task of determining who's running an open network. I've obscured most of the network names in Figure 1, but 90 percent of the general public would recognize some of the names that I saw. (No, I didn't go past the White House.) If you don't plan to use WEP, you should at least avoid giving your network a descriptive name.
Although WEP has been broken, you can use it as a starting point for your network security to discourage people from attempting to enter your network. Some newer firmware revisions from wireless equipment manufacturers improve WEP security, making your WEP key much more difficult—if not impossible—to decode. So don't forget to upgrade the firmware on all your devices.
Authorized MAC lists. Some wireless APs let you build a table of authorized MAC addresses—the unique fingerprints of wireless NICs—into the AP. If an unauthorized wireless NIC attempts to associate with your wireless AP, the AP rejects it. This extra step takes a bit of effort because you'll need to manually add each card to the authorized MAC table. However, doing so adds an extra layer of security to your wireless implementation.
Security
Wireless networking's core deficiencies are in the areas of authentication and encryption. Wireless APs generally perform very little, if any, user authentication. If a user is within range of your AP and you're not using any type of security, he or she is connected to your network. WEP provides some value but has numerous inherent flaws. So here's a pop quiz: Which type of networking technology can authenticate users coming from an untrusted space and encrypt their communication so that someone listening can't intercept it? The answer is a VPN.
A VPN solves wireless networking's current deficiencies. Granted, getting connected becomes a bit more difficult for your users. But if you've already invested time in building a VPN infrastructure for your mobile users to access your organization's network, installing a VPN to authenticate wireless users is a relatively simple process.
Let's take a look at a fictional corporate network, before and after using a VPN to secure wireless connections. Figure 2 shows a network diagram of a typical wireless implementation, with the wireless AP behind the corporate firewall. Even after you spend tens of thousands of dollars on firewall equipment to keep untrusted connections out of the network, this type of implementation opens up a big hole within the trusted network space. Imagine a bank vault door at your front entrance but a rickety old screen door at your side entrance. Guess which point of entry an intruder will choose?
Figure 3 shows a secure method of implementing a wireless AP: behind a VPN server. This type of implementation provides high security for your wireless network implementation without adding significant overhead for your users. For extra protection, you might try moving the VPN server to sit in front of your firewall, but because APs are typically location-dependent, this approach won't work for everyone.
If you have more than one wireless AP in your organization, I recommend running them all into a common switch, then connecting the VPN server to the same switch. Then, your desktop users won't need to have multiple VPN dial-up connections configured on their desktops. They'll always be authenticating to the same VPN server no matter which wireless AP they've associated with.
VPN Server Setup
Ready to get started? Let's talk about the hardware you'll need to complete this project. First, you'll need a server to act as your VPN gateway device and control who gets into your trusted network. The machine doesn't need to be a super-powerful server. A high-end desktop might even suffice (depending on the number of wireless users you plan to support), although for such a crucial function, I prefer to use a low-end server-class device.
You need to install two NICs on the VPN gateway server, one for your untrusted wireless network and one for the trusted internal network. If you've implemented a VPN for Internet-based users, you'll be familiar with this process. Plug the wireless AP—and nothing else—directly into the untrusted network interface. Anyone associating with your wireless AP will be able to reach only your VPN server's untrusted interface and any client workstations associated with the AP. The VPN server becomes the gateway into your internal network, deciding who passes through and who gets rejected.
To communicate with your VPN server's untrusted interface, your wireless users must have an untrusted IP address assigned to them. If your wireless AP has DHCP server capabilities, you can configure the AP to hand out untrusted IP addresses to anyone who associates with it. (I recommend this approach.) If your wireless AP doesn't have DHCP server capabilities, you can install the DHCP service on your VPN server and configure it to hand out untrusted IP addresses only on the untrusted interface.
For example, let's assume that the untrusted network comprises the range of IP addresses from 172.16.30.0/24 (with a mask of 255.255.255.0) and that the wireless AP will freely hand out an IP address in this range to any device that asks for one. Also, assume that your VPN server's untrusted network interface has an IP address of 172.16.30.10.
For your internal network, assume that your organization has used the IP address range of 10.100.0.0/16 throughout the organization (with a mask of 255.255.0.0). For the network segment to which the VPN server is connected, assume that the IP addresses are in the 10.100.30.0/24 range and that the VPN server will have an IP address of 10.100.30.10 assigned to the trusted interface.
At this point, if you've inserted the VPN server between your wireless AP and the rest of your network, a wireless user can associate with your wireless AP—and that's about all. The next step is to configure the VPN server so that it can properly authenticate your users and permit authenticated users into your internal network.
To begin installing VPN capabilities on the server, select Start, Programs, Administrative Tools, Routing and Remote Access. When the Microsoft Management Console (MMC) Routing and Remote Access snap-in appears, right-click the server name in the left pane and select Configure and Enable Routing and Remote Access. Doing so will start the Routing and Remote Access Server Setup Wizard.
Microsoft has simplified the installation of a VPN server (compared with what Windows NT 4.0 involves), so walking through the wizard's screens is fairly easy. Let's take a look at each screen, starting with the Common Configurations screen, which Figure 4 shows. Choose to set up a VPN server by selecting Virtual private network (VPN) server. Click Next to proceed to the Remote Client Protocols screen, which Figure 5 shows. This screen is a bit puzzling—it doesn't serve much purpose. The wizard provides a list of protocols and asks you to ensure that all the protocols you need to support for your clients are installed on the server. If you select No, I need to add protocols, the wizard doesn't let you reconfigure your network settings. It simply quits. You also can't deselect protocols on this screen—for example, to disallow IPX over your VPN. So, if you have the correct protocols installed on your system, select Yes, all of the available protocols are on this list and click Next.
You typically implement VPNs with the Internet acting as the untrusted connection. Therefore, the next wizard screen, Internet Connection, which Figure 6 shows, asks which NIC points to your Internet connection. In this case, consider Internet to be synonymous with wireless and select the appropriate network interface. In this example, I've chosen the interface with the IP address 172.16.30.10, which is the address I defined for the connection to my untrusted (wireless) network. Click Next.
To let your wireless users communicate on your internal network, you'll need to give them an IP address within your internal network space. Some administrators like to use their primary DHCP server for this task—with or without the use of the DHCP relay agent—but I prefer to have my VPN server hand out addresses. Doing so simplifies troubleshooting should problems arise down the road.
If you want your VPN gateway server to allocate internal IP addresses to your wireless users, select From a specified range of addresses on the IP Address Assignment screen, which Figure 7 shows, then click Next. Selecting this option takes you to a wizard screen on which you can define ranges of addresses that your VPN server can hand out. Click New on that screen to access a dialog box in which you can add the appropriate IP address range to use, as Figure 8 shows. Click Next to go to the final wizard screen, which asks whether you want to use a Remote Authentication Dial-In User Service (RADIUS) server for authentication. Assuming you want to use your standard Active Directory (AD) or legacy NT domain database for authentication, answer No, I don't want to set this server up to do RADIUS now, then click Next. You've now finished your VPN server setup.
VPN Client Setup
To test your new VPN server implementation, you'll want to set up a wireless workstation or laptop and test each part of your connectivity—from the wireless AP to the VPN server on the untrusted side to your organization's trusted network.
If you boot your test station with the wireless NIC connected, you should associate with your AP. You can check your wireless manufacturer's drivers to see which AP you've associated with. Or, if you're using Windows XP, the OS should tell you which wireless AP you're connected to. Verify that your test workstation is receiving an untrusted TCP/IP address from either the DHCP service in your AP (if you've configured it to do so) or from your VPN server (if you installed DHCP).
If your test workstation has successfully obtained an untrusted IP address, you can ping the VPN server's untrusted interface by using the Ping command at a command prompt. Doing so verifies proper wireless connectivity from the workstation, through the wireless AP, and to the VPN server's untrusted interface. If you get a successful ping response, everything is working properly so far. If you don't get a ping response, troubleshoot the problem before going any further.
Now is the time to establish a VPN connection into your internal network. From the XP or Windows 2000 desktop, select Start, Settings, Network and Dial-up Connections, then double-click Add New Connection. Doing so launches the Network Connection Wizard, which prompts you for information about the connection you want to make. On the Network Connection Type screen, which Figure 9 shows, you specify a VPN connection by selecting Connect to a private network through the Internet. Click Next.
The next wizard screen prompts you for the DNS name or IP address of the VPN server you want to connect to. You probably won't have DNS name resolution available to a wireless user who hasn't been properly authenticated yet, so use the IP address of your VPN server's untrusted interface—172.16.30.10, in my example—and click Next.
The final two wizard screens are simple, asking whether you want to make this connection available only for yourself or for all users, and whether you want to share the connection with other users. Answer the questions appropriately for your situation.
Now, the fun begins. Start the DUN connection and provide an appropriate set of username and password credentials in the logon box. (The VPN server needs to verify that your user account has been granted dial-in access.) Your system establishes the VPN tunnel to your VPN server, which in turn authenticates you against the AD database or against the local accounts database. After you're properly authenticated, the VPN server allocates your test workstation a trusted IP address and starts routing your traffic to the internal network. You can verify this routing by running Ipconfig on your test workstation and checking the IP addresses that have been assigned. You should see one untrusted address and one trusted address.
Congratulations! You now have a fully functional VPN-protected wireless network that you can start rolling out to your end-user community.
Mobile Madness
You might wonder what happens to laptop users who move around the office and move from one AP to another. Because each AP gives out a specific scope of untrusted addresses, the untrusted IP address of a user who changes APs will also change. RRAS attempts to set up a secure VPN tunnel for communication with your user's device, so it won't be too keen on a device that suddenly changes its IP address. Therefore, the VPN tunnel will break. However, if you select the Redial if line is dropped option when you define your client VPN connection profile, you can be sure that Windows will try to reestablish the connection whenever it's lost.
Don't Just Plug It In
Wireless networks require particularly careful implementation. Because they're so easy to set up, the temptation is to simply plug them in and walk away. However, you should never connect a wireless AP to your network and leave it in its default configuration. If you do so, you might as well run some Ethernet cables out your office windows into the street, because you're effectively opening up your network to anyone within a few hundred feet of your office who has a wireless NIC.
Can you rest assured that your wireless data is secure within the type of implementation this article has described? I've spoken with some extremely security-conscious organizations—you know, the kind with armed guards who carry real guns and are trained to use them—and those organizations are using a VPN to protect their wireless networks. Of course, every situation is different, but if companies like that trust a VPN to secure their wireless communication, that's good enough for me.
| Translation - Italian
Usare una VPN per ottenere la sicurezza wireless
Ottenere una protezione dai rischi correlati all'uso degli AP.
Immaginatevi, nell'atrio della vostra azienda, una signora ben vestita che sta chiacchierando con la receptionist. Adesso immaginate che il suo laptop sia dotato di un software sniffer wireless, in grado di risucchiare tutti i vostri messaggi e-mail e i documenti riservati. Oppure immaginatevi un giovane intraprendente che, per puro divertimento, abbia deciso di installare sul suo laptop un server DHCP (Dynamic Host Configuration Protocol) fasullo, il quale diligentemente passa indirizzi IP non validi a tutti i vostri client desktop. Spendendo soltanto poche migliaia di dollari per l'acquisto di normale software e hardware per computer, un intruso può creare problemi enormi sulla vostra rete wireless se non avete preso le precauzioni appropriate per renderla sicura. Dopo che qualcuno sia riuscito a introdursi nella vostra rete, non resta molto da fare - se non scollegare il vostro AP (Access Point) wireless e fare il conto dei danni.
Chiunque può installare degli AP wireless - anche persone che si trovano al di fuori della vostra organizzazione IT. Se la vostra è una grande azienda, potreste non sapere nemmeno che qualche manager ha acquistato un AP wireless in un negozio a prezzi scontati e lo ha agganciato alla rete, semplicemente per consentire ai suoi sottoposti di spostarsi per l'ufficio con il laptop. Magari questo scenario potrebbe non accadere nemmeno nel vostro edificio; potrebbe accadere invece in un ufficio remoto, spalancando una falla nella sicurezza di rete della vostra azienda. Per loro natura, gli AP rappresentano un problema per la sicurezza - a meno che siano ancora nella loro confezione, ben avvolti da plastica e cellophane. In ogni caso, sfruttando le capacità di sicurezza del vostro AP congiuntamente al servizio Microsoft RRAS (Routing and Remote Access Service), è possibile proteggersi dai rischi correlati.
Sicurezza wireless con le attrezzature già esistenti
Su Internet si possono trovare molti documenti che spiegano come rendere sicura una rete wireless usando nient'altro che le attrezzature fornite dal vostro produttore di dispositivi wireless. Le procedure che permettono di ottenere questo risultato sono variabili da produttore a produttore, ma è opportuno citare un paio di tecniche comuni. In primo luogo, si dovrebbe valutare l'opportunità di implementare lo schema WEP (Wired Equivalent Privacy) e liste MAC (Media Access Control) autorizzate - sempre che le vostre attrezzature offrano queste funzionalità.
WEP. Le capacità di crittografia incorporate nelle reti wireless sono ormai state violate. Indipendentemente dal fatto che si utilizzi uno schema WEP a 40 o 128 bit, gli intrusi possono decodificare la chiave WEP che usate per la vostra rete. Questa rivelazione sarà forse sconvolgente, ma è ancora più sconvolgente il numero di reti wireless che addirittura non usa nemmeno il WEP. In un recente esperimento che abbiamo deciso di effettuare a Washington, abbiamo dedicato solo venti minuti alla scansione delle reti wireless e abbiamo individuato più di quaranta AP wireless, come indica la figura 1. Nessuno usava la crittografia. Oltre a ciò, la maggior parte della gente si prende il tempo necessario per assegnare un nome alla propria rete wireless, semplificando ancora di più il compito di stabilire a chi appartiene una data rete aperta. Nella figura 1 abbiamo oscurato la maggior parte dei nomi delle reti, ma il 90 per cento del pubblico generico potrà riconoscere alcuni dei nomi che abbiamo individuato (no, non siamo passati davanti alla Casa Bianca). Se non intendete usare il WEP, dovreste almeno evitare di assegnare un nome descrittivo alla vostra rete.
Anche se il WEP è stato violato, lo si può utilizzare come punto di partenza per la propria sicurezza, in modo da scoraggiare i potenziali intrusi dal tentare di introdursi nella rete. Alcune recenti revisioni del firmware che sono state introdotte dai produttori di dispositivi wireless consentono di migliorare la sicurezza WEP, rendendo la chiave WEP molto più difficile - se non impossibile - da decodificare. In conseguenza, non bisogna dimenticare di effettuare l'aggiornamento del firmware in tutti i dispositivi.
Liste MAC autorizzate. Alcuni AP wireless permettono di creare al proprio interno una tabella con indirizzi MAC autorizzati - ovvero le impronte digitali univoche delle schede NIC (Network Interface Card) wireless. Se una scheda NIC wireless non autorizzata dovesse cercare di associarsi all'AP wireless, quest'ultimo la rifiuterebbe. Questa fase aggiuntiva richiede un po' di lavoro, dal momento che bisogna aggiungere manualmente l'indirizzo di ogni scheda alla tabella con gli indirizzi MAC autorizzati. L'operazione consente tuttavia di aggiungere un ulteriore strato di sicurezza alla propria implementazione wireless.
Sicurezza
Le limitazioni centrali del networking wireless sono nell'area dell'autenticazione e della crittografia. In genere, gli AP wireless effettuano un'autenticazione molto blanda degli utenti - sempre che la effettuino. Se un utente è nel raggio d'azione dell'AP e la vostra azienda non usa nessun tipo di sicurezza, si ritroverà collegato alla vostra rete. Lo schema WEP offre qualche possibilità, ma è caratterizzato da numerosi difetti. Ecco allora un bel quiz: "Quale tipo di tecnologia di networking permette di autenticare gli utenti provenienti da uno spazio considerato non di fiducia e codificarne le comunicazioni in modo che qualcuno che sia in ascolto non possa intercettarle?". La risposta è: una VPN (Virtual Private Network).
L'uso di una VPN permette di eliminare gli attuali punti deboli del networking wireless. Certo: effettuare la connessione diventa un po' più difficile per gli utenti. In ogni caso, se avete già dedicato del tempo alla creazione di un'infrastruttura VPN per i vostri utenti mobili, al fine di consentire loro l'accesso alla rete dell'azienda, l'installazione di una VPN per autenticare gli utenti wireless sarà relativamente semplice.
Prendiamo in considerazione una rete aziendale fittizia, prima e dopo l'uso di una VPN per rendere sicure le connessioni wireless. La figura 2 mostra il diagramma di rete di una tipica implementazione wireless, con l'AP wireless dietro il firewall aziendale. Anche dopo aver speso decine di migliaia di dollari per l'acquisto di dispositivi firewall volti a mantenere fuori dalla rete le connessioni untrusted (non di fiducia), questo tipo di implementazione apre una grossa falla all'interno del vostro spazio di rete trusted (di fiducia). È un po' come aver installato una porta blindata da caveau bancario sull'ingresso principale, ma lasciare una traballante porta in legno sull'entrata di servizio. Provate a indovinare quale sarà il punto di ingresso scelto da un intruso?
La figura 3 indica un metodo sicuro per l'implementazione di un AP wireless: dietro un server VPN. Questo tipo di implementazione offre una sicurezza elevata alla rete wireless, senza aggiungere un sovraccarico significativo per gli utenti. Per ottenere un'ulteriore protezione, si potrebbe provare a spostare il server VPN per posizionarlo davanti al firewall; in ogni caso, dal momento che tipicamente gli AP sono dipendenti dalla posizione, questo approccio non potrà andare bene per tutti.
Se in azienda usate più di un AP wireless, vi consigliamo di collegarli tutti a uno switch comune, poi connettere al medesimo switch anche il server VPN. In questo caso, gli utenti desktop non avranno bisogno di aver configurato sui propri desktop molteplici connessioni dial-up VPN. Saranno sempre autenticati sul medesimo server VPN, indipendentemente dall'AP wireless al quale sono associati.
Configurazione del server VPN
Siete pronti per partire? Esaminiamo l'hardware di cui avete bisogno per completare questo progetto. In primo luogo ci vuole un server che dovrà agire da dispositivo gateway VPN e controllare chi può entrare nella vostra rete trusted. Questa macchina non dovrà necessariamente essere un server superpotente. Può andare bene anche un desktop di fascia alta (a seconda del numero di utenti wireless che intendete supportare); in ogni caso, per una funzione così cruciale, preferiamo usare un dispositivo di classe server di fascia bassa.
Si dovranno inoltre installare sul server gateway VPN due schede NIC: una per la rete wireless untrusted e l'altra per la rete interna trusted. Se avete implementato una VPN per gli utenti Internet, avrete già familiarità con questa procedura. Collegate l'AP wireless - e null'altro - direttamente all'interfaccia della rete untrusted. Chiunque si associ all'AP wireless potrà raggiungere soltanto l'interfaccia untrusted del server VPN e le eventuali workstation client associate all'AP. Il server VPN diventa il gateway alla rete interna, che decide chi può passare e chi invece verrà rifiutato.
Affinché possano comunicare con l'interfaccia untrusted del server VPN, agli utenti wireless deve venire assegnato un indirizzo IP untrusted. Se l'AP wireless offre le capacità di server DHCP, potrete configurarlo in modo da fornire indirizzi IP untrusted a chiunque sia associato all'AP stesso (consigliamo di seguire questo approccio). Se invece l'AP wireless non dispone delle capacità di server DHCP, potrete installare il servizio DHCP sul server VPN e configurarlo per fornire indirizzi IP untrusted unicamente all'interfaccia untrusted.
Per esempio, facciamo l'ipotesi che la rete untrusted comprenda la gamma di indirizzi IP 172.16.30.0/24 (con mask di 255.255.255.0) e che l'AP wireless possa fornire liberamente un indirizzo IP in questa gamma a qualsiasi dispositivo che chiede un indirizzo. Facciamo inoltre l'ipotesi che l'interfaccia di rete untrusted del server VPN usi l'indirizzo IP 172.16.30.10.
Per la rete interna, facciamo l'ipotesi che per tutta l'azienda venga usata la gamma di indirizzi IP 10.100.0.0/16 (con mask di 255.255.0.0). Per il segmento di rete al quale è connesso il server VPN, ipotizziamo che gli indirizzi IP appartengano alla gamma 10.100.30.0/24 e che il server VPN disponga dell'indirizzo IP 10.100.30.10 assegnato all'interfaccia trusted.
A questo punto, se il server VPN è stato inserito tra l'AP wireless e il resto della rete, un utente wireless potrà associarsi all'AP wireless - ed è tutto. La fase successiva consiste nella configurazione del server VPN, in modo che possa autenticare appropriatamente gli utenti e consentire a quelli autenticati di entrare nella rete interna.
Per cominciare l'installazione delle capacità VPN sul server, selezionare Start, Programs, Administrative Tools, Routing and Remote Access. Quando viene visualizzato lo snap-in MMC (Microsoft Management Console) Routing and Remote Access, fare un clic destro sul nome del server nel riquadro di sinistra e selezionare Configure and Enable Routing and Remote Access. Questa operazione lancia la procedura guidata Routing and Remote Access Server Setup.
Microsoft ha semplificato l'installazione di un server VPN (rispetto a quanto viene richiesto da Windows NT 4.0); in conseguenza, l'uso delle varie schermate di questa procedura guidata risulta piuttosto semplice. Diamo un'occhiata a ciascuna schermata, iniziando da quella chiamata Common Configurations che viene indicata dalla figura 4. Scegliere di configurare un server VPN, selezionando Virtual private network (VPN) server. Premere Next in modo da passare alla schermata Remote Client Protocols, indicata dalla figura 5. Questa schermata risulta un po' sconcertante, dal momento che non serve a molto. La procedura guidata fornisce una lista di protocolli e chiede di accertarsi che siano installati sul server tutti i protocolli che dovete supportare per i vostri client. Se selezionate No, I need to add protocols, la procedura guidata non consente di riconfigurare le impostazioni di rete. Semplicemente termina la propria esecuzione. Su questa schermata non è possibile nemmeno deselezionare i protocolli - per esempio, se desiderate disattivare l'IPX sulla vostra VPN. In conseguenza, se avete installato i protocolli corretti nel sistema, selezionate Yes, all of the available protocols are on this list e premete Next.
Di solito, le VPN vengono implementate con Internet che funge da connessione untrusted. In conseguenza, la schermata successiva della procedura guidata - Internet Connection, indicata dalla figura 6 - chiede quale scheda NIC punti alla vostra connessione Internet. Nel nostro caso, dobbiamo considerare Internet come sinonimo di wireless e selezionare l'interfaccia di rete appropriata. In questo esempio abbiamo scelto l'interfaccia con indirizzo IP 172.16.30.10, ovvero l'indirizzo che è stato definito per la connessione alla rete untrusted (wireless). Premere Next.
Al fine di consentire agli utenti wireless di comunicare sulla rete interna, si dovrà fornire loro un indirizzo IP entro lo spazio di rete interno. Alcuni amministratori preferiscono usare il server DHCP primario per questa operazione - con o senza l'uso del relay agent DHCP; noi invece preferiamo fare in modo che sia il server VPN a fornire gli indirizzi. Ciò semplifica la risoluzione degli eventuali problemi che potrebbero manifestarsi in seguito.
Se desiderate fare in modo che il server gateway VPN allochi gli indirizzi IP interni agli utenti wireless, selezionate From a specified range of addresses sulla schermata IP Address Assignment indicata dalla figura 7, poi premete Next. La scelta di questa opzione provoca la visualizzazione di una schermata in corrispondenza della quale è possibile definire la gamma degli indirizzi che possono essere forniti dal server VPN. Premere New su questa schermata, in modo da accedere a una finestra di dialogo nella quale è possibile aggiungere la gamma appropriata di indirizzi IP da utilizzare, come indica la figura 8. Premere Next per passare alla schermata finale della procedura guidata, che vi chiederà se desiderate usare un server RADIUS (Remote Authentication Dial-In User Service) per l'autenticazione. Nell'ipotesi che si desideri usare per l'autenticazione la propria Active Directory standard o un database di domini NT legacy, selezionare No, I don't want to set this server up to do RADIUS now, poi premere Next. A questo punto avete completatola configurazione del server VPN.
Configurazione del client VPN
Per sottoporre a test la nuova implementazione del server VPN, è opportuno configurare un laptop o una workstation wireless e sottoporre a test ogni porzione della connettività - dall'AP wireless fino al server VPN sul lato untrusted della rete trusted dell'azienda.
Se la macchina di test viene avviata con la scheda NIC wireless già collegata, dovreste associarvi automaticamente all'AP. Potete controllare i driver forniti dal vostro produttore wireless per vedere a quale AP siete associati. In alternativa, se usate Windows XP, il sistema operativo dovrebbe comunicarvi a quale AP wireless siete connessi. Controllate che la workstation di test riceva un indirizzo TCP/IP untrusted dal servizio DHCP nell'AP (se è stato configurato per questa operazione), oppure dal server VPN (se avete installato il protocollo DHCP).
Se la workstation di test ha ottenuto con successo un indirizzo IP untrusted, potete fare ping sull'interfaccia untrusted del server VPN usando il comando Ping in corrispondenza di un prompt dei comandi. Questa operazione permette di verificare l'appropriata connettività wireless dalla workstation, attraverso l'AP wireless e verso l'interfaccia untrusted del server VPN. Se si ottiene una risposta ping positiva, ciò significa che per il momento tutto funziona in modo appropriato. Se invece non si ottiene nessuna risposta ping, prima di procedere sarà necessario risolvere il problema.
Adesso è giunto il momento di instaurare una connessione VPN nella rete interna. Dal desktop di Windows XP o Windows 2000, selezionare Start, Settings, Network and Dial-up Connections, poi fare un doppio clic su Add New Connection. Questa operazione attiva la procedura guidata Network Connection Wizard, che chiede le informazioni sulla connessione che si desidera effettuare. In corrispondenza della schermata Network Connection Type, indicata dalla figura 9, è necessario specificare una connessione VPN selezionando Connect to a private network through the Internet. Premere Next.
La schermata successiva della procedura guidata chiede il nome DNS o l'indirizzo IP del server VPN al quale ci si desidera connettere. La risoluzione dei nomi DNS non sarà probabilmente disponibile per un utente wireless che non sia ancora stato autenticato appropriatamente; in conseguenza, usare l'indirizzo IP dell'interfaccia untrusted del server VPN - nel nostro esempio, 172.16.30.10 - e premere Next.
Le due schermate finali della procedura guidata sono piuttosto semplici e chiedono se si desidera rendere disponibile questa connessione soltanto a se stessi oppure a tutti gli utenti, e se si desidera condividere la connessione con altri utenti. Rispondete a queste domande in modo appropriato per la vostra situazione.
Adesso comincia il divertimento. Avviate la connessione DUN (Dial-Up Networking) e, nella finestra di logon, fornite una serie appropriata di credenziali con nome-utente e password (il server VPN dovrà verificare che al vostro account utente sia stato accordato l'accesso dial-in). Il sistema crea il tunnel VPN verso il server VPN, che a sua volta vi autentica nei confronti del database Active Directory o del database di account locale. Dopo aver effettuato correttamente l'autenticazione, il server VPN alloca un indirizzo IP trusted alla vostra workstation di test e comincia a instradare alla rete interna il vostro traffico. Potete verificare questo instradamento eseguendo Ipconfig sulla workstation di test e controllando gli indirizzi IP che sono stati assegnati. Dovreste vedere un indirizzo untrusted e un indirizzo trusted.
Congratulazioni! A questo punto avete una rete wireless completamente funzionale e protetta tramite VPN, che potete incominciare a rendere disponibile alla comunità degli utenti finali.
La mania del mobile
Magari vi state chiedendo che cosa succede agli utenti dei laptop che si spostano per l'ufficio passando da un AP all'altro. Dal momento che ciascun AP fornisce uno scope specifico di indirizzi untrusted, cambia anche l'indirizzo IP untrusted di un utente che cambia AP. Dal momento che il servizio RRAS cerca di creare un tunnel VPN sicuro per le comunicazioni con il dispositivo dell'utente, questo servizio non sarà troppo entusiasta di un dispositivo che improvvisamente cambia indirizzo IP. In conseguenza, il tunnel VPN verrà interrotto. Se però è stata selezionata l'opzione Redial if line is dropped nel momento in cui si ha definito il profilo di connessione VPN del client, si può star certi che Windows cercherà di instaurare nuovamente la connessione tutte le volte che dovesse cadere.
Non basta collegarsi
Le reti wireless hanno bisogno di un'implementazione particolarmente attenta. Dal momento che sono così facili da installare, la tentazione è quella di collegarsi semplicemente e cominciare a muoversi. In ogni caso, non si dovrebbe mai connettere un AP wireless alla rete e lasciarlo nella configurazione di default. Comportarsi così è un po' come calare dei cavi Ethernet fuori dalle finestre dell'ufficio fino al marciapiede, dal momento che state praticamente aprendo la vostra rete a chiunque sia nelle vicinanze dell'ufficio e disponga di una scheda NIC wireless.
Si può avere la certezza che i dati wireless sono sicuri usando il tipo di implementazione descritta da questo articolo? Abbiamo parlato con alcune aziende estremamente attente alla sicurezza - il tipo di aziende che usa guardie armate con pistole vere, e addestrate a usarle; tutte queste aziende usano una VPN per proteggere le proprie reti wireless. Ovviamente, ogni situazione è diversa dalle altre; se però aziende come queste accordano la propria fiducia a una VPN per rendere sicure le comunicazioni wireless, per noi è sufficiente.
| | English to Italian: Configuring Basic 802.11b Security (Windows & .NET Magazine article) | Source text - English
Configuring Basic 802.11b Security
Once a novelty of tech-savvy users, 802.11b wireless devices have taken the residential scene by storm and have even found their way into many organizations—despite negative publicity about inherent security vulnerabilities. These devices have charmed users, who simply plug them in, dismissing—or not understanding—the concept of intrusion. The devices are cheap, offer decent performance, and are easy to set up. However, 802.11b devices can leave your network open to attack.
I don't recommend deploying bare-bones 802.11b devices directly into networks that contain sensitive data and demand tightly controlled access. However, given the popularity of these devices, every IT administrator needs to know the basic security principles behind every 802.11b device. You're probably also ready for a primer that shows you how to use Windows XP's Wireless Zero Configuration service—or third-party drivers, if necessary—to configure your wireless client.
Ease of Use
The 802.11b protocol, which uses the 2.4GHz frequency, provides service as fast as 11Mbps and offers rudimentary authentication and encryption mechanisms. (The 802.11a and 802.11g protocols provide service as fast as 54Mbps.) Unfortunately, out of the box, these devices are typically configured without built-in security mechanisms enabled. And with an Access Point (AP) and NIC price of less than $200 combined, the devices are painless for non-IT departments to purchase and plug into the corporate LAN. This plug-and-play approach is the reason for much of 802.11b's popularity. Many vendors offer the ability to simply plug in the AP, plug in the wireless NIC (USB or PC Card), insert the driver CD-ROM when prompted, and presto—you have an AP-based wireless network. In this article, I focus primarily on the prolific sub-$200 equipment that you'll probably find popping up in your network. (Many more robust—and expensive—solutions offer advanced security and management features that are better suited for an enterprise deployment.)
The 802.11b devices work in two modes: ad hoc and infrastructure. Ad hoc mode is a peer-to-peer mode in which computers with 802.11b wireless NICs can talk directly to one another. (Access is generally restricted to computers configured in ad hoc mode.) Infrastructure mode requires an AP, a network device that acts as a bridge between your wired LAN and your wireless users. In infrastructure mode, many users can use one AP. Also, with some models, you can overlap the coverage areas of multiple APs to create a mesh across your campus that users can roam. (Roaming across subnets is a tricky endeavor that less expensive devices don't generally support.)
Active Breach and Passive Listening
To understand 802.11b's weaknesses, think of your wireless network as a typical wired LAN. Imagine a potential intruder accessing your wireless network by simply plugging his or her computer into your Ethernet switch. This scenario is close to what you're permitting if you leave the basic security features of 802.11b disabled. An intruder's access to your network could be twofold: First, the intruder could access any system available to your wireless users on your LAN; second, the intruder could use your IP network to access the Internet.
An intruder doesn't need to physically breach your network to cause damage. He or she can passively listen to your wireless traffic and sniff corporate secrets (e.g., passwords). If you occupy a building with other tenants, those tenants could feasibly identify your network and set up a device to silently log all wireless traffic for later analysis. Such passive reconnaissance is impossible to detect electronically.
Authentication and Encryption
The 802.11b protocol provides basic authentication and encryption mechanisms, with which you can protect your wireless network against external threats. Authentication validates you as a legitimate wireless client before the AP permits access to the network. Encryption protects the data stream between the wireless adapter and the AP, preventing casual eavesdroppers from poaching your traffic. Both of these processes use a key or secret that the wireless user and the AP share. This shared secret can validate the user and encrypt the data. Widely available hacker programs can decipher these keys, so you need to rotate your keys regularly and frequently. Rotating keys involves changing the Wired Equivalent Privacy (WEP) key on every wireless client and each AP. Unfortunately, most 802.11b products (particularly the less expensive solutions) don't offer effective key management, and key rotation can be cumbersome. (For more secure alternatives to 802.11b's built-in security, see "Related Articles in Previous Issues.") The emerging 802.1x standard provides stronger port authentication through dynamic and session-based keys. For more information about 802.1x authentication, see the sidebar "A Glimpse at 802.1x Authentication."
Define Your SSID
To begin configuring basic 802.11b security, you first need to define your wireless network's service set identifier (SSID). The SSID, which is set on every wireless client and AP, defines the logical network for the group of wireless network devices that share that particular SSID. Be careful: Some vendors market the SSID as a type of security. A NETGEAR FAQ, for example, states that "the SSID is a common password unique to each wireless network," which might literally be true but not in the traditional sense of a password. NETGEAR's device broadcasts this SSID, which XP picks up as an available network, as Figure 1, page 70, shows. Obtaining the SSID is the first step toward gaining access to (or hacking into) a wireless network.
Many vendors use a default SSID for their devices, and I recommend that you set your SSID to a name that uniquely describes the deployment. (However, use discretion: Using the name Finance WLAN for a wireless LAN—WLAN—that serves the accounting department might draw unwanted attention.) If possible, disable your AP's broadcasting of your SSID. Check your AP's documentation to determine whether your AP will let you disable SSID broadcasting. Eavesdroppers will then have a tougher time finding your network.
The WEP Key
The WEP static network key is similar to IP Security's (IPSec's) preshared key—it's a shared secret between two wireless devices that want to communicate with each other (e.g., wireless client to AP). WEP uses a network key, 40 or 104 bits in length, for authentication and data encryption. Confusing matters, vendors might specify a 40-bit key as 64 bits in length or a 104-bit key as 128 bits. In each set, the systems are the same; the actual key lengths are 40 bits and 104 bits, respectively. The remaining 24 bits are for an initialization parameter that isn't user configurable.
Most systems support a hexadecimal network key, but some support an ASCII key—important to remember if you're mixing vendor products. You can store four keys in an 802.11b wireless device and set the key index to specify the active key. The key index also varies according to vendor: Some vendors prefer to number the key index 03, whereas others use 14.
The 802.11b standard specifies that the network key be installed on each network device independent of the wireless medium. Most vendors require the user to install the keys manually (or store them on the wireless device). Therefore, most users must type a key into their AP and type the same key into their wireless client. An example of a 128-bit WEP hex key is AB 02 1F 1A 93 2C DF FF 71 AB 29 F5 D9. (Encryption and decryption use the same key.) Inexpensive 802.11b systems don't offer a slick means of managing these keys. Imagine running around to your wireless users and typing in this key—and imagine changing it frequently! (Remember that regular and frequent key rotation is important to maintaining security in your basic 802.11b WLAN.)
I recommend using 128-bit encryption. If both your AP and wireless adapter support ASCII keys, consider them an alternative to the more difficult-to-remember hex keys. Also, consider devices that support automatic key management, although such devices are typically more expensive and often proprietary in nature.
Open System or Shared Key
Authentication is the process of validating a user or system before communication can occur; 802.11b connections support Open System and Shared Key authentication. Open System authentication, as its name implies, permits any wireless device to communicate with another wireless device.
Shared Key authentication uses the WEP network key to authenticate the client. The process is simple: The AP sends the wireless client a clear-text challenge; the client uses the network key to encrypt the challenge, then sends it back to the AP. If the client uses the wrong key, or no key, the AP denies access to the user. Although Shared Key authentication keeps unauthorized devices from associating with your AP, both the encrypted and unencrypted challenges are vulnerable to eavesdropping, which makes deciphering the WEP key easier. However, Shared Key authentication prevents random unauthorized users from connecting to your AP. So unless your AP supports a stronger (probably proprietary) authentication mechanism, and until we're all using 802.1x (or its future superior), I recommend that you use 802.11b's Shared Key authentication. However, you need to understand this weakness and remember to rotate your WEP keys frequently.
Set Up a Secure AP
Inexpensive APs that strictly adhere to the 802.11b feature set might offer 64-bit or 128-bit WEP and Shared Key or Open System authentication. (Some vendors might extend security features—for example, by limiting the media access control—MAC—address of specific authorized wireless NICs.)
AP configuration varies according to vendor, but you can count on following these basic steps:
Physically connect the AP to the LAN, and—if the AP supports direct cable management—connect the USB or serial cable to the management computer. Otherwise, you might use HTTP/HTTPS, Telnet, SNMP, or a vendor-specific network client to manage your AP. For maximum security, consider using a direct connection or a secure protocol (e.g., HTTPS, if your AP supports it) for managing your AP.
Load the AP management software onto the management computer. Run your management software and scan for the AP. If you have other APs on the network from the same vendor, you might also see them. (These APs are often denoted by their configured name, SSID, or MAC address.) Some vendors configure the AP's IP address to a default static address (e.g., 192.168.1.1), whereas others default to DHCP. So, to connect to it, you might need to change your management computer's IP address so that it's on the same subnet (e.g., 192.168.1.2) or be sure it can communicate with a DHCP server. After you successfully connect to the AP, follow the AP management software's documentation to change the AP's IP address to be on your LAN.
Because the AP is likely set with a common set of users and passwords, you need to change the default Administrator password and review any other default users who can manage the AP. (For example, some APs allow guest access for remote management.)
Select a descriptive word for your wireless network and set your SSID (or Extended SSID—ESSID—depending on the model of your AP) to this word. Every wireless client that wants to be a part of this logical network must use the same SSID. Figure 2 shows an AP setup screen in which the ESSID is set to Blackstatic.
Enable Shared Key authentication. Figure 3 shows the setup of an AP with Shared Key authentication enabled.
Enable WEP. Specify the hex network key. (Some AP models support ASCII keys in addition to hex keys.) Write down the network key; for static basic WEP implementations, you'll need to enter this key manually on every machine. The 802.11b standard supports four network keys, which are indexed. Some devices require you to enter the three other network keys (thereby defining all four). To specify the default (active) key, refer to your AP management software documentation for instructions about how to set the index to that key.
You've now completed basic security configuration for an 802.11b AP. Remember that some proprietary solutions add extra security features beyond the basic 802.11b specification, so be sure to check your vendor's documentation. Now, it's time to use Wireless Zero Configuration services or third-party drivers to configure the client. The steps to do so are similar. For the Wireless Zero Configuration example, I used an Intel 2011 wireless NIC. For the third-party driver example, I used an SMC SMC2632W wireless NIC. Both communicate with NET-GEAR's ME102 AP. These products are popular, inexpensive 802.11b solutions that you might see in home or workgroup implementations.
Wireless Zero Configuration Steps
Wireless Zero Configuration, which promises to centralize and sanitize wireless configuration in XP, is a service that's installed and started by default on all XP machines. When you install a wireless card that supports Wireless Zero Configuration, you don't need to install any third-party drivers. You need only to install the supported card (PC Card or USB) onto your computer, and Windows automatically installs the drivers and attempts to connect to an available AP. To use Wireless Zero Configuration to get up and running, follow these steps:
Insert the card into the computer. XP might prompt you to install drivers, although the Intel 2011 card didn't prompt me. In fact, after I plugged in this card, XP silently installed the necessary drivers. I viewed progress in XP pop-up balloons. The first balloon notified me that the new hardware was ready to use. The second balloon notified me that a new wireless network was available.
If you didn't configure your wireless AP for Shared Key authentication and WEP, XP automatically connects to your network. Remember that anyone else can just as easily attach to your network!
You can check the Microsoft Hardware Compatibility List (HCL) to ensure that your wireless device supports Wireless Zero Configuration—not all of them do. Devices that have proprietary features will likely require specific drivers. Another way to check for Wireless Zero Configuration support is to go ahead and install the card—if XP prompts you to install drivers, your card might not support Wireless Zero Configuration. After you install the card, open Network Connections and look for a Wireless Network Connection icon next to your adapter. Right-click the icon (or the icon of the NIC that you know is wireless), and click Properties. If your network connection adapter's Properties dialog box contains a new Wireless Networks tab, as Figure 4 shows, your card supports Wireless Zero Configuration. If it doesn't, you'll need to use the card's third-party drivers to manage it.
Connect to the network. Next to the system tray, you should see a balloon stating that a new wireless network is available. Click the balloon to access the Wireless Networks dialog box. In this dialog box, you can enter your network key, connect to your network, and perform advanced configuration. Because you've locked down the AP, you need to manually configure the client. To do so, in the Wireless Network dialog box, click Advanced, which takes you to the Wireless Network Connection Properties dialog box's Wireless Networks tab.
If you don't see the balloon next to the system tray, you can access the advanced-configuration options manually. Open Network Connections, right-click the wireless adapter, and click Properties. On the Wireless Networks tab, you'll see fields for your Available networks and Preferred networks. A preferred network is a wireless network that you can configure to automatically connect to in the future. If you've already configured your AP, you might see the SSID name under Available networks. (Many APs broadcast the SSID name, and Microsoft's Wireless Zero Configuration service uses it to help with configuration. These are two reasons you shouldn't rely on your SSID as a part of your security.)
Configure your network connection and configure 802.11b security. Under Preferred networks, select your network's SSID and click Properties. If you don't see any networks listed, click Add to access the Wireless Network Properties dialog box, which Figure 5 shows. Because basic 802.11b devices don't support automatic key management, you need to clear the The key is provided for me automatically check box. You can now configure the WEP network-key settings. Select both the Data encryption (WEP enabled) and Network Authentication (Shared mode) check boxes. (Shared mode is synonymous with Shared Key authentication.) Enter your WEP network key and specify its format, length, and index. The key index tells the system which of the four keys it should use. Click OK.
XP will now automatically find and connect to your wireless AP. Repeat this process for each of your wireless clients. (The 802.1x protocol will centralize and streamline much of this process, providing a higher level of authentication security and requiring less management.)
Third-Party Driver Steps
The steps for configuring a third-party driver are similar to those that comprise the Wireless Zero Configuration setup.
Insert the card into the computer and install its latest drivers. Some wire-less adapters install proprietary client-configuration software. Look in your system tray or Start menu for any adapter-specific utilities. You might also be able to access some of the configuration settings through the adapter's Properties sheet. In XP and Windows 2000, open Network Connections, right-click the wireless NIC's icon, and select Properties. Click Configure to configure the wireless adapter.
Maneuver to the dialog box that includes a tab on which you can enter the SSID. (The field might also be called ESSID or Network Name.) Enter the name with which you configured the AP. Figure 6 shows an example of an SMC card configured to connect to the Blackstatic SSID network.
Navigate to the tab on which you configure WEP settings. Enable WEP and specify the key length and the WEP key. Figure 7 shows the SMC's Encryption tab: Click OK and exit the dialog box.
No Choice
The 802.11b protocol provides built-in security mechanisms that organizations typically—and unfortunately—deploy in a disabled state. Particularly guilty are non-IT or nontechnical departments. You need to seek out any rogue 802.11b deployments and lasso them into alignment with your entire WLAN infrastructure. Even if you have a basic deployment, you must review the security requirements of your WLAN attached network, remembering that unauthorized access to the WLAN will likely permit trespass to the network to which it's connected. Most large organizations will want to add security measures to the basic 802.11b built-in security features, which alone are simply weak and subject to compromise. However, these fast, cheap devices are popular and will continue to sprout up everywhere. You need to understand how to properly configure your wireless devices for basic security—particularly in environments in which isolated networks or dedicated firewalls are impossible.
| Translation - Italian
Configurare una sicurezza 802.11b di base
Mentre qualche tempo fa erano di moda unicamente tra gli utenti più esperti dal punto di vista tecnico, adesso i dispositivi wireless 802.11b sono molto diffusi e hanno trovato la propria strada all'interno di molte organizzazioni - malgrado la pubblicità negativa sulle loro vulnerabilità dal punto di vista della sicurezza. Questi dispositivi sono particolarmente affascinanti per gli utenti, che semplicemente li collegano, trascurando - o non capendo - il concetto di intrusione. Questi dispositivi sono economici, offrono prestazioni decorose e sono facili da configurare. In ogni caso, i dispositivi 802.11b possono lasciare aperta la vostra rete nei confronti degli attacchi.
Vi sconsigliamo di implementare direttamente dei dispositivi di base 802.11b nelle reti che contengano dei dati delicati e richiedano un accesso strettamente controllato. Data la popolarità di questi dispositivi, tutti gli amministratori IT devono tuttavia conoscere i principi di sicurezza che stanno alla base di ogni dispositivo 802.11b. Probabilmente siete pronti anche per un articolo che spieghi come usare il servizio Wireless Zero Configuration di Windows XP - oppure dei driver di terze parti, se è necessario - al fine di configurare il client wireless.
Facilità d'uso
Il protocollo 802.11b, che usa la frequenza di 2,4 GHz, offre un servizio alla velocità massima di 11 Mbps accompagnato da rudimentali meccanismi di autenticazione e crittografia (i protocolli 802.11a e 802.11g offrono invece un servizio alla velocità massima di 54 Mbps). Purtroppo, nella configurazione standard, questi dispositivi vengono tipicamente configurati senza attivare i meccanismi di sicurezza incorporati. Con un prezzo combinato di AP (Access Point) e scheda NIC (Network Interface Card) inferiore a 200 dollari, per i dipartimenti non-IT è facile acquistare questi dispositivi e collegarli alla LAN aziendale. Questo approccio plug-and-play è la causa di buona parte della popolarità dello standard 802.11b. Molti produttori offrono la possibilità di collegare semplicemente l'AP, di inserire la scheda NIC wireless (USB o PC Card), di inserire il CD-ROM quando richiesto e - subito! - ecco una rete wireless basata su AP (molte soluzioni più robuste - e più costose - offrono una sicurezza più avanzata e funzionalità di gestione più adatte alle implementazioni di tipo enterprise).
I dispositivi 802.11b operano in due modalità: ad hoc e di infrastruttura. Quella ad hoc è una modalità peer-to-peer, dove i computer con schede NIC wireless 802.11b possono dialogare reciprocamente (l'accesso è di solito limitato ai computer configurati in modalità ad hoc). La modalità di infrastruttura richiede invece l'uso di un AP (Access Point): un dispositivo di rete che agisce da bridge tra la LAN cablata e gli utenti wireless. Nella modalità di infrastruttura, molti utenti possono usare un singolo AP. Inoltre, con alcuni modelli è possibile sovrapporre le aree di copertura di molteplici AP in modo da creare un reticolato che si estenda a tutta l'area aziendale, dove gli utenti si potranno muovere in roaming (il roaming attraverso le subnet è piuttosto complesso e non viene in genere supportato dai dispositivi meno costosi).
Violazioni attive e ascolto passivo
Per capire i punti deboli del protocollo 802.11b, bisogna pensare alla propria rete wireless come a una tipica LAN cablata. Si immagini un potenziale intruso che accede alla rete wireless collegando semplicemente il suo computer a uno dei vostri switch Ethernet. Questo scenario si avvicina a ciò che state rendendo possibile se lasciate disattivate le funzionalità di sicurezza di base del protocollo 802.11b. L'accesso dell'intruso alla vostra rete può essere duplice: in primo luogo, potrebbe accedere a qualsiasi sistema disponibile agli utenti wireless sulla rete; secondariamente, potrebbe usare la vostra rete IP per accedere a Internet.
Per creare danni, l'intruso non ha bisogno di violare fisicamente la rete: può ascoltare passivamente il traffico wireless e "sniffare" dei segreti aziendali (come le password). Se condividete l'edificio con altri inquilini, questi ultimi possono plausibilmente identificare la vostra rete e configurare un dispositivo che effettui silenziosamente il logging di tutto il traffico wireless, in modo da poterlo analizzare in un secondo tempo. È impossibile rilevare elettronicamente questa perlustrazione passiva.
Autenticazione e crittografia
Il protocollo 802.11b mette a disposizione dei meccanismi di base per autenticazione e crittografia, attraverso i quali è possibile proteggere la propria rete wireless dalle minacce esterne. L'autenticazione vi convalida come client wireless legittimo prima che l'AP consenta l'accesso alla rete. La crittografia protegge il flusso dei dati tra l'adattatore wireless e l'AP, impedendo che ascoltatori occasionali possano intercettare il vostro traffico. Entrambi questi processi usano una chiave o segreto che viene condiviso dall'utente wireless e dall'AP. Questo segreto condiviso può convalidare l'utente e crittografare i dati. Dal momento che alcuni programmi per hacker diffusamente disponibili permettono di decifrare queste chiavi, è opportuno ruotarle regolarmente e spesso. La rotazione delle chiavi coinvolge la modifica della chiave WEP (Wired Equivalent Privacy) su ogni client wireless e su ogni AP. Purtroppo, la maggior parte dei prodotti 802.11b (soprattutto le soluzioni meno costose) non offrono un'efficace gestione delle chiavi e la rotazione di queste ultime può risultare scomoda (per alcune alternative più sicure alla sicurezza incorporata del protocollo 802.11b, fare riferimento al riquadro intitolato "Articoli correlati pubblicati sui numeri precedenti"). Lo standard emergente 802.1x offre un'autenticazione più forte delle porte, attraverso chiavi dinamiche e basate sulla sessione. Per maggiori informazioni sull'autenticazione 802.1x, fare riferimento al riquadro intitolato "Un rapido sguardo all'autenticazione 802.1x".
Definire il proprio SSID
Per iniziare la configurazione della sicurezza 802.11b di base, per prima cosa bisogna definire l'identificatore SSID (Service Set Identifier) della propria rete wireless. Il SSID, che viene impostato su ogni client wireless e su ogni AP, definisce la rete logica per il gruppo di dispositivi di rete wireless che condividono quel particolare SSID. Bisogna tuttavia prestare una particolare attenzione: alcuni produttori commercializzano il SSID quale tipo di sicurezza. Una FAQ di NETGEAR, per esempio, afferma che "Il SSID è una password comune, univoca per ogni rete wireless" - cosa che letteralmente potrebbe essere anche vera, ma non nel senso tradizionale di password. Il dispositivo di NETGEAR trasmette questo SSID, che XP raccoglie come rete disponibile, nel modo indicato dalla figura 1. L'ottenimento del SSID rappresenta il primo passo verso la possibilità di ottenere l'accesso a una rete wireless (o di introdurvisi illegalmente).
Molti produttori usano un SSID di default per i loro dispositivi; raccomandiamo di impostare il proprio SSID su un nome che descriva l'implementazione in modo univoco (bisogna tuttavia usare una certa discrezione: l'uso del nome Finance WLAN per una WLAN - Wireless Local Area Network - che serve il dipartimento di contabilità potrebbe attirare un'attenzione indesiderata). Se possibile, disattivare il broadcasting del proprio SSID da parte dell'AP. Controllare la documentazione dell'AP in modo da verificare se il dispositivo consente di disattivare il broadcasting del SSID. In questo caso, gli ascoltatori indiscreti avranno delle difficoltà per trovare la vostra rete.
La chiave WEP
La chiave di rete statica WEP è simile alla chiave pre-condivisa del protocollo IPSec (Internet Protocol Security) - si tratta di un segreto condiviso tra due dispositivi wireless che desiderano comunicare reciprocamente (per esempio, il client wireless e l'AP). Lo schema WEP usa una chiave di rete, con lunghezza di 40 o 104 bit - per l'autenticazione e la crittografia dei dati. Per confondere ulteriormente la situazione, i produttori potrebbero specificare una chiave da 40 bit indicando una lunghezza di 64 bit, oppure una chiave da 104 bit indicando una lunghezza di 128 bit. In entrambi questi gruppi, i sistemi sono tutti uguali; le lunghezze effettive delle chiavi sono rispettivamente di 40 e 104 bit. I restanti 24 bit servono per un parametro di inizializzazione che non è configurabile dall'utente.
Mentre la maggior parte dei sistemi supporta una chiave di rete esadecimale, alcuni supportano una chiave ASCII - un fattore importante da tenere presente se si usano prodotti di diverse case produttrici. È possibile archiviare quattro chiavi in un dispositivo wireless 802.11b e impostare l'indice delle chiavi per specificare quella attiva. Anche l'indice delle chiavi varia a seconda del produttore: per l'indice, alcuni preferiscono usare la numerazione 0-3, mentre altri usano la numerazione 1-4.
Lo standard 802.11b specifica che la chiave di rete deve essere installata su ogni dispositivo, indipendentemente dal medium wireless. La maggior parte dei produttori richiede all'utente di installare manualmente le chiavi (o di archiviarle nel dispositivo wireless). In conseguenza, la maggior parte degli utenti deve digitare una chiave nell'AP e inserire la stessa chiave anche nel client wireless. Un esempio di chiave esadecimale WEP a 128 bit è AB 02 1F 1A 93 2C DF FF 71 AB 29 F5 D9 (la codifica e la decodifica usano la medesima chiave). I sistemi 802.11b poco costosi non offrono nessun mezzo comodo per gestire queste chiavi. Immaginate di dovervi recare presso tutti i vostri utenti wireless per inserire questa chiave - e immaginate di doverla cambiare spesso! Si ricordi infatti che una rotazione regolare e frequente delle chiavi è importante per mantenere la sicurezza nelle WLAN 802.11b di base.
Raccomandiamo di usare la crittografia a 128 bit. Se l'AP e l'adattatore wireless supportano entrambi le chiavi ASCII, consideratele come una valida alternativa alle chiavi esadecimali, che sono più difficili da ricordare. Inoltre, prendete in considerazione dei dispositivi che supportino la gestione automatica delle chiavi, anche se queste unità sono tipicamente più costose e spesso hanno una natura proprietaria.
Open System o Shared Key
L'autenticazione è il processo di convalida di un utente o un sistema prima che possano avvenire delle comunicazioni; le connessioni 802.11b supportano l'autenticazione Open System e l'autenticazione Shared Key. L'autenticazione Open System, come implica il nome, permette a qualsiasi dispositivo wireless di comunicare con un altro dispositivo wireless.
L'autenticazione Shared Key usa invece la chiave di rete WEP per autenticare il client. Il processo è semplice: l'AP invia al client wireless un challenge come testo in chiaro; il client usa la chiave di rete per crittografare il challenge e successivamente lo re-invia all'AP. Se il client usa la chiave sbagliata, o se non usa nessuna chiave, l'AP rifiuta l'accesso all'utente. Anche se l'autenticazione Shared Key impedisce ai dispositivi non autorizzati di associarsi al vostro AP, i challenge crittografati e non restano vulnerabili all'ascolto indiscreto - e ciò facilita la decifrazione della chiave WEP. In ogni caso, l'autenticazione Shared Key impedisce agli utenti casuali non autorizzati di connettersi al vostro AP. In conseguenza, a meno che quest'ultimo supporti un meccanismo di autenticazione più forte (e probabilmente proprietario) - e fino a quando non useremo tutti il protocollo 802.1x (o le sue future evoluzioni) - consigliamo di usare l'autenticazione Shared Key del protocollo 802.11b. In ogni caso, è indispensabile conoscerne i punti deboli e ricordare di ruotare frequentemente le chiavi WEP.
Configurare un AP sicuro
L'insieme delle funzionalità offerte dagli AP poco costosi e strettamente aderenti allo standard 802.11b potrebbe comprendere l'autenticazione Open System o Shared Key e lo schema WEP a 64 o 128 bit (alcuni produttori potrebbero estendere le funzionalità di sicurezza, per esempio, limitando l'indirizzo MAC - Media Access Control - delle schede NIC wireless specifiche autorizzate).
La configurazione degli AP varia a seconda del produttore, ma si può sempre contare sulle seguenti fasi di base:
1. Connettere fisicamente l'AP alla LAN; se l'AP supporta la gestione diretta dei cavi, connettere al computer di gestione il cavo USB o seriale. In caso contrario, per gestire l'AP si potrebbe usare un client HTTP/HTTPS, Telnet, SNMP (Simple Network Management Protocol), oppure un client di rete specifico al produttore. Al fine di ottenere la massima sicurezza, per la gestione dell'AP è opportuno considerare l'uso di una connessione diretta o di un protocollo sicuro (per esempio, l'HTTPS - se il vostro AP lo supporta).
2. Caricare il software di gestione dell'AP sul computer di gestione. Eseguirlo ed effettuare una scansione per individuare l'AP. Se nella rete vengono usati altri AP dello stesso produttore, potrete vederli elencati (questi AP vengono spesso denotati dal loro nome configurato, dal SSID, o dall'indirizzo MAC). Alcuni produttori configurano l'indirizzo IP dell'AP su un indirizzo statico di default (per esempio, 192.168.1.1), mentre altri usano come default il protocollo DHCP (Dynamic Host Configuration Protocol). In conseguenza, per connettersi, potrebbe essere necessario cambiare l'indirizzo IP del computer di gestione in modo che si trovi sulla stessa subnet (per esempio, 192.168.1.2), oppure accertarsi che possa comunicare con un server DHCP. Dopo aver connesso l'AP, seguire quanto indicato dalla documentazione del suo software di gestione per modificare il suo indirizzo IP in modo che appartenga alla vostra LAN.
3. Dal momento che probabilmente l'AP è configurato con un insieme comune di utenti e password, bisogna cambiare la password Administrator di default e controllare tutti gli altri eventuali utenti di default che possono gestire l'AP (per esempio, alcuni AP consentono l'accesso guest per la gestione remota).
4. Scegliere una parola restrittiva per la rete wireless e impostare su di essa il SSID (o l'ESSID - Extended Service Set Identifier - a seconda del modello del vostro AP). Ogni client wireless che vuole far parte di questa rete logica dovrà usare lo stesso SSID. La figura 2 mostra la schermata di setup di un AP dove l'ESSID è impostato su Blackstatic.
5. Attivare l'autenticazione Shared Key. La figura 3 mostra il setup di un AP con attivata l'autenticazione Shared Key.
6. Attivare lo schema WEP. Specificare la chiave di rete ed esadecimale (alcuni modelli di AP supportano anche chiavi ASCII, oltre a quelle esadeci |
| | |
The translation workplace 
Company profile