WPA e WPA2, blindate quella rete….
Autore: Nicola De Carne
13 Ott
Spesso in modo più o meno provocatorio consigliamo ai clienti che abbiano forti esigenze di sicurezza sulle reti di utilizzare il cavo e lasciar perdere il WI-Fi.
Lo facciamo un po’ per sdrammatizzare e un po’, soprattutto, perchè non crediamo in chi afferma che il wireless può essere sicuro come un cavo grazie alle tecnologie “hard” di criptaggio come il WPA e il WPA2.
Quello che abbiamo sempre consigliato a chi pur avendo esigenze di sicurezza stringenti non vuole rinunciare alla mobilità nella propria azienda o altro luogo di lavoro, è di dotare la rete wireless di una VPN così da avere un ambiente con standard di criptaggio sicuramente elevati.
D’avanti a queste affermazioni siamo stati sempre guardati un po’ di sbieco dai nostri interlocutori e da molti consulenti di sicurezza che hanno fatto del WPA e del WPA2 una bandiera all’insegna della garanzia e della sicurezza dei propri dati, spendendo termini come : “la sua rete sarà come una cassaforte…”.
Un paio di giorni fa, una società moscovita, la ElcomSoft, specializzata in sistemi per il decriptaggio delle password, ha rilasciato un applicativo in GPU che, attraverso l’utilizzo di una scheda di accellerazione video della NVidia, è in grado di decriptare piuttosto velocemente le reti protette con WPA e WPA2.
Nel lungo articolo apparso su ItWire, David Hobson, Managing Director della Global Secure Systems, una delle più importanti società specializzate nella sicurezza dei dati in UK, ha ammesso che in effetti questi protocolli di criptaggio considerati “hard” non sono in realtà molto sicuri e anche lui conferma che in caso di esigenza di sicurezza stringente è consigliabile l’uso di una VPN.
Sulle reti wireless, essendo appunto onde radio nell’etere, garantire la sicurezza è molto difficile e per la maggior parte dei casi ritengo che le problematiche di sicurezza vengano sollevate più per complicare la vita e alzare i costi che per reali esigenze.
Chiaramente non posso far altro che essere d’accordo con Hobson nel ribadire un’attenta analisi delle proprie reali esigenze e li’ dove veramente necessario, un’attenta valutazione delle relative soluzioni possibili.
Seguici
Aggiungi a
WiFighters by Wi-Next is licensed under a Creative Commons Attribuzione-Non commerciale-Condividi allo stesso modo 2.5 Italia License.
7 Responses per "WPA e WPA2, blindate quella rete…."
La soluzione WPA/WPA2 con MAC access list come la vedi?
E’ sicuramente una soluzione molto solida ma al contempo molto rigida, ma d’altronde il livello di sicurezza è sempre inversamente proporzionale alla sua usabilità.
Penso potrebbe essere interessante prevedere diversi livelli di sicurezza in base al servizio che si vuole predisporre.
In un’azienda ad esempio prevederei un livello open garden o al massimo con WEP per gli ospiti e un livello “blindato” con WPA/WPA2 con MAC access list o meglio appunto con una VPN.
Concordo pienamente.
Grazie per la risposta! Ciao
ricollegandomi al discorso del Mac access list.
Premetto che io sono ancora molto diffidente verso il WiFi, ma al tempo stesso ne sono molto attratto.
Il Mac Address list permette di collegare interfacce di rete WiFi strettamente autorizzate. Quindi in (molta) teoria nessuno potrebbe collegarsi e quindi spulciare in samba o approfittare nel nostro router.
Ma…il traffico non viene trasmesso in modalità broadcast (si dice cosi’?)? Anche se l’accesso è limitato alla Mac A.L. mi vien da pensare che cmnq sniffando il traffico con una qualsiasi scheda WiFi, si possa venire tranquillamente in possesso dei dati che sono circolati “in aria”.
Le mie sono supposizioni, in realtà è meglio che mi illuminiate
Ciao, usando solo la MAC list senza un criptaggio in effetti sarebbe piuttosto semplice intercettare i dati. Abbinare la MAC list con la WPA/WPA2 dovrebbe consentirti in teoria sonni più tranquilli…a meno che qualcuno non scarichi il software dei russi :).
A meno di applicazioni molto sensibili, per le quali consiglierei tranquillamente di optare per il cavo, sono piuttosto scettico sull’uso di sistemi di sicurezza “hard” come questi perchè ho visto che l’usabilità ne viene fortemente penalizzata e di conseguenza l’affezione verso lo strumento da parte dell’utilizzatore.
Come lo dicevo sempre, il prezzo della sicurezza deve sempre essere adeguato allo prezzo di oggetto che proteggi. Per me e’ inutile di mettere come la porta della casa una porta di cassaforte bancaria. Anche qua, con i bravi ragazzi russi che hanno _pubblicato_ che usano GPU per fare brute force di WPA e’ la stessa storia. Per un utente di casa ( io a casa uso WEP con chiave ttttt ) puo’ essere un overhead implementare tutti questi protezioni. Per la banca non c’e’ altro ma mettere cavo, separare a segmenti e criptare 3 volte il traffico. E’ tutto una questione di bilancio.
Per invece una rete di accesso aperto a pubblico, una WPA2/EAP e’ il compromisso, qua non si tratta di sicurezza ma da una privacy banale.
Pero’ mi sembra che abbiamo gia’ parlato con te di questo
Ciao, sono assolutamente d’accordo, il problema come sempre è applicare la tecnologia in modo coerente con l’esigenza che si deve soddisfare senza preclusioni date da convincimenti tecnologici o ancora peggio necessità commerciali.
E poi sui discorsi sicurezza e privacy tu sei il master
Lascia una risposta