Buone pratiche sulla sicurezza della rete



Documenti analoghi
Wi-Fi, la libertà di navigare in rete senza fili. Introduzione.

IT Security 3 LA SICUREZZA IN RETE

Collegamenti. Sistemi operativi supportati. Installazione della stampante. Collegamenti

Proteggiamo il PC con il Firewall di Windows Vista

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

Creare una Rete Locale Lezione n. 1

Interfaccia KNX/IP Wireless GW Manuale Tecnico

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Lo scenario: la definizione di Internet

DUAL MODE guida_alb :00 Pagina 1 GUIDA PER LA CONFIGURAZIONE E L USO DEL SERVIZIO

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

FRITZ!WLAN Repeater 300E. Come estendere la copertura della rete Wi-Fi

Prima di iniziare l installazione, controlla che tutte le parti necessarie siano presenti. La scatola dovrebbe contenere:

Guida per l accesso alla rete dati Wireless Windows Vista

Una minaccia dovuta all uso dell SNMP su WLAN

Domande frequenti su Phoenix FailSafe

INDIRIZZI IP AUTORIZZATI

Tornado 830 / 831. ADSL Router - 4 port Ethernet switch - Wireless G - Access Point - Firewall - USB printer server

ICARO Terminal Server per Aprile

Windows XP Istruzioni rete wired per portatili v1.0

DWL-122 Adattatore USB Wireless a 2.4GHz

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

Div. : Descrizione - Tipologia Apparati o servizi Data / rev. Uso. Area Tecnica Manuale configurazione - Linksys E / 01 Pubblico

Firewall e Abilitazioni porte (Port Forwarding)

Internet gratuita in Biblioteca e nei dintorni

Simulazione seconda prova Sistemi e reti Marzo 2016

Dal protocollo IP ai livelli superiori

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

Networking Wireless con Windows XP

Configurazione WAN (accesso internet)

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

I COMPONENTI DI UNA RETE

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Identità e autenticazione

Configurazione del Sistema Operativo Microsoft Windows XP per accedere alla rete Wireless dedicata agli Ospiti LUSPIO

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

NAVIGAORA HOTSPOT. Manuale utente per la configurazione

Guida per l utente di PrintMe Mobile 3.0

LevelOne FAQ WBR-6802 Come configurare la modalità station/client. Versione 1.0 del 06/12/2012

IP Camera senza fili/cablata. Guida d installazione rapida (Per MAC OS) ShenZhen Foscam Tecnologia Intelligente Co., Ltd

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Indice generale. Introduzione...xiii. Nota del revisore...xvii. Introduzione alle reti...1. Introduzione alle reti wireless...11

Guida per l accesso alla rete dati Wireless Windows XP

Guida per l accesso alla rete dati Wireless Windows 2000

Internet Wireless in Biblioteca

FAQ Dell Latitude ON Flash

NAS 224 Accesso remoto Configurazione manuale

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

2.1 Configurare il Firewall di Windows

Rete Mac -Pc. Mac Os X Dove inserire i valori (IP, Subnetmask, ecc) Risorse di Rete (mousedx-proprietà)>

SIEMENS GIGASET S685 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Guida rapida alla Webconferencing

Wi-Pie Social Network Punti di accesso alla Rete Internet Manuale d'uso

Guida di Pro PC Secure

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

Contenuto del pacchetto

WiFi: Connessione senza fili. di Andreas Zoeschg

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

Interfaccia KNX/IP - da guida DIN KXIPI. Manuale Tecnico

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

FPf per Windows 3.1. Guida all uso

TeamViewer 9 Manuale Wake-on-LAN

Guida Rapida all Installazione WLN10 e WLN10HS Server Wireless NMEA

Installazione del software Fiery per Windows e Macintosh

Sistema di accesso ad internet tramite la rete Wireless dell Università di Bologna (aggiornato al )

Serie Server di Rete Multifunzione USB

La sicurezza nelle reti wireless (Wi Fi) Dott. Ing. Antonio Tringali per ArsLogica Sistemi Srl

Booster Box. Manuale utente. FAPr-hsp 5110

Guida al servizio wireless dell'univda

Sistema di accesso ad internet tramite la rete Wireless dell Università di Bologna

1) GESTIONE DELLE POSTAZIONI REMOTE

MANUALE PARCELLA FACILE PLUS INDICE

Assegnamento di un indirizzo IP temporaneo a dispositivi Barix

P-660HW-D Series. Guida Rapida g Wireless Gateway ADSL porte. Versione /2006 Edizione 1

Internet Wireless in Biblioteca

IP Camera senza fili/cablata. Guida d installazione rapida (Per Windows OS) ShenZhen Foscam Tecnologia Intelligente Co., Ltd

Vodafone Device Manager. La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro

Reti di Calcolatori. Il software

LaCie Ethernet Disk mini Domande frequenti (FAQ)

Sistema di accesso ad internet tramite la rete Wireless dell Università di Bologna

Finanziamenti on line -

Installazione di GFI Network Server Monitor

Sistema di gestione Certificato MANUALE PER L'UTENTE

Guida alla configurazione

SIEMENS GIGASET C450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Maschere di sottorete a lunghezza variabile

PROGETTO Wi-FED con il contributo di:

Il tuo manuale d'uso. SONY ERICSSON Z550I

Domande e risposte su Avira ProActiv Community

I M P O S T A R E U N A C C O U N T D I P O S T A C O N M O Z I L L A T H U N D E R B I R D

Guida alla registrazione on-line di un DataLogger

Come fare per impostare e installare il DIR. Passo1: Spegnere e scollegare il modem via cavo o DSL, operazione necessaria.

Dispositivi di rete. Ripetitori. Hub

UTILIZZO DEL SOFTWARE MONITOR

Hardware delle reti LAN

Manuale di configurazione CONNECT GW

Transcript:

LIBRO BIANCO Buone pratiche sulla sicurezza della rete 2015 CEDIA

INDICE 01 Ambito di applicazione 3 02 Introduzione 4 03 Proteggere il router da un attacco dalla WAN (internet) 5 04 Proteggere la LAN e i singoli dispositivi 6 05 Proteggere la rete wireless 7 SSID 7 Sicurezza nelle reti 802.11 e 802.11x 7 Filtro MAC ID 7 Filtro del traffico 8 06 Autenticazione 9 Autenticazione aperta 9 PSK 9 07 Protocolli di sicurezza Wireless 10 WEP normale 10 WPA Versione 1 e 2 10 Gestire la forza del segnale 10 08 Conclusioni 11 09 Riferimenti per informazioni 12 Corsi di formazione CEDIA 12 Certificazione CISCO 12 Appendice A: Standard dei sistemi Wireless 13 Appendice B: Progettazione e realizzazione di una soluzione wireless 14 Appendice C: Abbreviazioni utilizzate in questo documento: 15

01 AMBITO DI APPLICAZIONE Ogni system integrator (ESC) responsabile delle reti dei propri clienti deve affrontare la tematica della sicurezza della rete. Non è sufficiente lasciare semplicemente i dispositivi con le impostazioni di default e sperare che vada tutto bene, infatti così facendo si potrebbe esporre le reti dei clienti, così come l hardware e i dati in essi presenti, ad attacchi nocivi e potenzialmente molto distruttivi. Il presente documento non deve essere visto come una guida completa alla sicurezza della rete, ma come un orientamento per un approccio pragmatico. Chi è intenzionato ad attaccare una rete, spesso ne cerca una che ha una scarsa protezione. Seguendo queste linee guida, i system integrator potranno ridurre la probabilità che potenziali aggressori cerchino di attaccare la rete di un cliente, e in alcuni casi riusciranno addirittura a impedire che gli aggressori sappiano dell esistenza della rete. Questo documento stabilisce le buone pratiche per la realizzazione di un sistema di sicurezza per una rete locale wireless (WLAN) in ambito residenziale in base agli standard IEEE 802.11x e 802.3. Il documento parte dal presupposto che si utilizzi un router fra la WAN (internet) e la LAN (rete locale). Ciò può avvenire nella forma di un modem/router DSL o di un router collegato a un modem via cavo. Questo documento illustrerà la sicurezza di una rete in tre sezioni: 1 Proteggere il router da un attacco proveniente dalla WAN (internet) 2 Proteggere tutte le reti wireless 3 Proteggere la LAN e i singoli dispositivi 2015 CEDIA 3

02 INTRODUZIONE Uno dei principali vantaggi dell utilizzo di una rete wireless è la facilità e convenienza a collegare i dispositivi. Ma è lì che si nasconde una delle sue maggiori insidie. Nella maggior parte dei casi, non appena si collega al modem il router integrato o l access point, gli utenti della rete wireless all interno del raggio d azione richiederanno immediatamente che venga loro concessa la connettività, sia internamente, sia verso internet. Purtroppo, questa facilità di connessione e il fatto che le informazioni sono trasmesse attraverso l aria rendono la rete vulnerabile a possibili intercettazioni e attacchi. Se possibile, non usare la sicurezza WEP perché è uno standard di cifratura debole che può essere facilmente soggetto a attacchi. Non comunicare a nessuno, salvo il cliente, la password amministratore. Con la connettività senza fili, all aggressore non serve connettersi fisicamente con il computer o con altri dispositivi della rete per avere accesso alla rete stessa. L aggressore può accedere alla rete da qualsiasi luogo entro il raggio di trasmissione. Una volta avuto accesso alla rete, l aggressore può insinuarsi nei servizi internet, entrare nei computer della rete per danneggiare file o sottrarre informazioni personali e private. Queste vulnerabilità nella rete wireless richiedono la configurazione manuale delle funzionalità di sicurezza incorporate, concepite per contribuire a difendere la WLAN da eventuali aggressioni. Molte di queste procedure sono semplici passaggi che dovrebbero essere eseguiti nel corso della prima configurazione del dispositivo wireless, oltre alle altre configurazioni di sicurezza più avanzate. Prima di passare a una trattazione più dettagliata sui vari aspetti della sicurezza di una rete, ecco alcune indicazioni su cosa fare e cosa non fare quando si configura un access point (AP): Spegnere il router wireless quando non è in uso. Se possibile, usare una sicurezza WPA o WPA2 nel router wireless. Disattivare la trasmissione SSID. Modificare sempre il nome utente e la password dell amministratore impostata di default. Se possibile, evitare di usare il filtro MAC ID poiché può risultare laborioso inserire tutti gli indirizzi ed è comunque soggetto all attacco degli hacker. 4 2015 CEDIA

03 PROTEGGERE IL ROUTER DA UN ATTACCO DALLA WAN (INTERNET) Di default, la maggior parte dei dispositivi forniranno una prestazione conforme alle proprie specifiche. Tuttavia è essenziale affrontare i seguenti punti: Scegliere un router sicuro. Anche se non è necessario utilizzare dispositivi costosi impiegati nelle reti aziendali in ambito residenziale, è fondamentale fare le seguenti considerazioni: - VPN (Virtual Private Network) è un metodo molto più sicuro. Se si usa una VPN, accertarsi che siano utilizzate password molto robuste. Si raccomanda inoltre l utilizzo di un dispositivo hardware impiegato nelle reti aziendali come endpoint VPN. Questa funzionalità è integrata nella maggior parte dei router aziendali. - Il router deve avere un firewall integrato. - Il router deve essere aggiornato al più recente firmware. Valutare la possibilità di includerlo come voce da mettere in conto tra i costi di manutenzione. - Valutare l uso di un prodotto di distribuzione limitata e quindi non facilmente disponibile sul mercato. Spesso questi dispositivi sono più sicuri. Modificare sempre il nome utente e la password dell amministratore impostate di default sul router. A meno che voi o il cliente non abbiate un esigenza prioritaria e specifica in questo senso, disattivate la possibilità, per il router, di essere configurato dalla sua porta WAN (internet). Questa funzionalità è presente nella maggior parte dei router. Se il vostro router supporta questa funzionalità, disattivate Rispondere a ping da internet. In questo modo per un potenziale aggressore sarà più difficile identificare da internet la vostra rete. Accertatevi che sia disattivata la funzionalità DMZ, a meno che non ne sia specificamente richiesto l utilizzo. (La funzionalità DMZ apre il firewall del router a tutto il traffico e lo instrada a uno specifico indirizzo IP nella rete locale.) Quando si richiede l accesso a dispositivi e servizi sulla LAN a partire dalla WAN (internet): - NAPT (port forwarding) è il metodo meno sicuro. Qualsiasi aggressore da internet potrà facilmente accedere al dispositivo aperto. Potenzialmente, se riesce ad aprire un varco nella sicurezza di questo dispositivo, l aggressore potrebbe avere accesso a tutta la rete. Inoltre, tutto il traffico su questa connessione non è cifrato mentre è collegato a internet. Se lo si utilizza, accertarsi che siano usate password molto robuste in tutti i dispositivi aperti. 2015 CEDIA 5

04 PROTEGGERE LA LAN E I SINGOLI DISPOSITIVI La maggior parte dei router è preimpostata per usare gli indirizzi compresi nell intervallo di classe C quando sono emessi indirizzi DHCP. Anche se l indirizzo di classe C (192.168.x.x) è del tutto adeguato, si valuti la possibilità di modificare la sottorete nelle impostazioni di default (ad es. da 192.168.1.x a 192.168.75.x). Accertarsi che nessuna presa di rete LAN sia accessibile dall esterno della proprietà. Assicurarsi che il software per la scansione antivirus e la protezione su internet siano aggiornati automaticamente e che la loro integrità sia periodicamente verificata. Occupatevi del cliente. Istruite il cliente, spiegategli i potenziali rischi che potrebbero derivare da: - Apertura di e-mail provenienti da fonti sconosciute - Download di file provenienti da fonti sconosciute - Software di rete peer-to-peer (ad es. software come LimeWire e Torrent) - Apertura di file provenienti da fonti non fidate (ad es. da un CD o da unità flash USB) - Messaggi di phishing che chiedono all utente di divulgare password e informazioni personali 6 2015 CEDIA

05 PROTEGGERE LA RETE WIRELESS SSID L SSID è utilizzato per identificare la WLAN. Tutti i dispositivi che desiderano far parte della WLAN devono usare lo stesso SSID. Per permettere un rilevamento agevole della WLAN da parte dei clienti, si trasmette l SSID. È possibile disattivare la funzionalità di trasmissione dell SSID. Se l SSID non è trasmesso, i clienti wireless avranno bisogno di una configurazione manuale di questo valore. Si definisce come wireless host (STA) un dispositivo che contiene una scheda di rete wireless (componente hardware di un computer che collega un computer a una rete di computer) e un client software wireless. Il client software permette all hardware di far parte della WLAN. Fra i dispositivi STA ci sono palmari, ipod, portatili, pc desktop, stampanti, proiettori, telefoni Wi-Fi e tutta una serie di altri dispositivi collegabili a una rete wireless. Affinché un STA possa collegarsi alla WLAN, la configurazione client deve corrispondere a quella dell access point (AP). Ciò comprende l SSID, le impostazioni di sicurezza e le informazioni sul canale qualora il canale sia stato impostato manualmente nell AP. Queste impostazioni sono specificate nel client software che gestisce la connessione del cliente. Il client software wireless solitamente è integrato nel sistema operativo del dispositivo, ma può essere anche una utility del software indipendente, scaricabile in wireless, specificamente progettata per interagire con la scheda di rete wireless. Di default, l AP trasmetterà l SSID, quindi non basta cambiare il nome per aumentare la sicurezza. Una volta rinominato l SSID, si deve disattivare la funzionalità di trasmissione. Così, si scherma in modo efficace la WLAN dalla vista del pubblico, rendendo più difficile il tentativo di collegarsi alla rete. Ma questo non proteggerà completamente la rete, in quanto l SSID è trasmesso a chiare lettere fra i dispositivi della rete e questi segnali possono essere intercettati. Molti strumenti software gratuiti rilevano la presenza di reti wireless nel tentativo di catturare ed esaminare l intestazione (header) del pacchetto dati, permettendo all hacker di ottenere le informazioni necessarie per entrare nella rete. Per proteggere la vostra WLAN è necessario eseguire varie operazioni insieme. SICUREZZA NELLE RETI 802.11 E 802.11X Le considerazioni fondamentali per gli standard 802.11 e 802.11x prevedono quanto segue: Modificare sempre l SSID, il nome utente e la password di default impostate dal produttore. Valutare la possibilità di non trasmettere l SSID. Il fatto di non trasmettere l SSID impedirà a un hacker qualsiasi di vedere la rete e di cercare di collegarsi ad essa. Uno svantaggio è che l SSID dovrà essere inserito manualmente in ogni nuovo dispositivo autorizzato che desidera accedere alla rete wireless. Inserito l SSID una prima volta, non sarà necessario inserirlo nuovamente ad ogni accesso futuro. Alcuni AP permettono un account guest. Se si utilizza un account guest, si deve accertare che questo sia protetto allo stesso livello delle altre reti. Accertarsi che tutti i dispositivi della rete supportino il metodo di sicurezza scelto. Tutti i metodi di sicurezza si scontrano con sovraccarichi della banda larga che riducono il throughput (la quantità di dati trasportati dalla rete nell unità di tempo). WPA2 è lo standard più recente sulla sicurezza e andrebbe usato ogni qualvolta sia possibile. La tecnologia di sicurezza (WEP, WPA, e WPA2) dovrebbe essere la stessa per tutti i dispositivi. Ogni qualvolta sia possibile, prima utilizzare la tecnologia più recente (WPA2) e iniziare a lavorare a ritroso finché non si trova una tecnologia compatibile supportata da tutti i dispositivi. FILTRO MAC ID Il filtro indirizzi Media Access Control (MAC) è uno dei primi metodi di sicurezza per un AP. Si basa sul fatto che quasi ogni dispositivo collegabile in rete in tutto il pianeta ha un unico indirizzo. I dispositivi sono definiti dal loro MAC. Questo indirizzo può essere aggiunto a una tabella di indirizzi che l AP potrà accettare. Se l indirizzo non è nella tabella, di default sarà bloccato. I filtri MAC ID limiteranno l accesso a 2015 CEDIA 7

05 PROTEGGERE LA RETE WIRELESS un elenco predefinito di dispositivi. A volte è l unico metodo di sicurezza che funziona con determinati dispositivi, in quanto i dispositivi in sé e per sé non hanno nessuna configurazione di sicurezza. Uno dei deficit del filtro MAC ID è che è laborioso inserire tutti gli indirizzi MAC nel vostro AP. Inoltre un hacker sarà in grado di rilevare l indirizzo MAC e quindi fingerà che il proprio indirizzo sia il vostro e così entrerà nella vostra rete. Se ci sono molto dispositivi che intendono entrare nella rete, ogni indirizzo MAC di questi dispositivi dovrà essere registrato in ogni WAP. Il processo può risultare laborioso, poiché il MAC di ogni dispositivo deve essere caricato nella banca dati. Tuttavia la maggior parte dei router integrati (con AP) è in grado di interrogare la rete per verificare la presenza di dispositivi collegati, quindi raccogliere gli indirizzi MAC e permettere all installatore di autorizzare o bloccare individualmente ciascun dispositivo. Un hacker insistente magari non si lascerà scoraggiare, infatti un indirizzo MAC convalidato potrebbe essere clonato in un dispositivo esterno, vanificando così questa procedura di autenticazione automatica. FILTRO DEL TRAFFICO I sistemi di filtraggio del traffico possono controllare il traffico in entrata o in uscita dalla rete. Possono essere usati per autorizzare o bloccare il traffico in arrivo o in partenza per uno specifico indirizzo MAC o IP. È possibile controllare specifiche applicazioni utilizzando numeri di porta. Ad esempio, il filtro del traffico può essere usato per bloccare il traffico Telnet destinato al server di autenticazione, impedendo che un accesso non autorizzato cerchi di riconfigurare i parametri. 8 2015 CEDIA

06 AUTENTICAZIONE L autenticazione è la procedura che permette l accesso mediante l utilizzo di credenziali preimpostate, per lo più un nome utente e una password. In una rete wireless, l autenticazione deve avvenire prima che il cliente abbia il permesso di connettersi alla WLAN. Questo processo non impedirà che i pacchetti siano intercettati, ma garantirà un notevole livello di sicurezza contro un hacker qualsiasi. I due metodi più frequenti di autenticazione wireless sono l autenticazione aperta e le chiavi precondivise (PSK). AUTENTICAZIONE APERTA Di default, i dispositivi wireless non richiedono l autenticazione, si tratta quindi di autenticazione aperta. Questa andrebbe usata soltanto in reti pubbliche come quelle di scuole, bar, aeroporti, ecc. PSK Mediante l utilizzo della PSK, un dispositivo che intende connettersi alla rete invia una richiesta all AP e l AP risponde con una richiesta di verifica. Il dispositivo, poi, utilizza la sua PSK (che deve corrispondere alla chiave presente nell AP) per cifrare la richiesta di verifica e quindi la restituisce all AP. L AP confronta la risposta cifrata con la richiesta di verifica originaria e, se corrisponde, il processo di collegamento continua. Se è attivato anche il filtro indirizzi MAC, si deve prima eseguire l autenticazione. 2015 CEDIA 9

07 PROTOCOLLI DI SICUREZZA WIRELESS I protocolli di sicurezza si basano sul minimo comune denominatore. Le reti con dispositivi di vecchia generazione potrebbero non essere in grado di gestire i protocolli di cifratura più recenti. Se si è in dubbio, utilizzare il protocollo più universale, il Wired Equivalent Privacy (WEP), per verificare la procedura processo di sicurezza della rete, e quindi fare l upgrade al protocollo del livello più alto possibile. WEP NORMALE WEP è stata la prima tecnologia di cifratura a essere sviluppata. Attenzione alle passphrase WEP perché sono facili da individuare per gli hacker. Dato che la lunghezza è fissata come standard (64-bit [10 caratteri ASCII] o 128-bit [26 caratteri ASCII]), un hacker riesce facilmente a restringere il campo per la sua aggressione e crackare la password più velocemente. Con un numero sufficiente di dati, l hacker può usare un software che analizza il traffico wireless per identificare la chiave WEP (che è usata per cifrare i dati e non cambia). Se si utilizza una chiave WEP, deve essere robusta, anche se non c è molta differenza fra il tempo che ci vuole per crackare una chiave robusta e il tempo che ci vuole per crackarne una debole. WPA VERSIONE 1 E 2 Il Wi-Fi Protected Access (WPA) e il più recente Wi- Fi Protected Access 2 (WPA2) sono molto più sicuri della WEP poiché usano tecniche di cifratura diverse. Inoltre, utilizzano un intervallo per la password invece di un intervallo prestabilito come nella WEP. Con WPA e WPA2, una password può essere lunga fra gli 8 e i 63 caratteri ASCII, a piacere. La maggior parte dei nuovi dispositivi supporta lo standard WPA2, e molti produttori permettono che i propri dispositivi siano compatibili con WPA. Ad esempio, potete configurare il vostro AP per WPA2, ma se il cliente supporta soltanto WPA, ricadrà automaticamente in quello standard. Come in ogni sistema di cifratura, WPA e WPA2 richiedono maggiore overhead e larghezza di banda più che la WEP ma i benefici della WPA superano le preoccupazioni legate a un eventuale sovraccarico. robusta. Negli ultimi anni, tuttavia, gli aggressori hanno escogitato metodi per aprire varchi. WPA2 PSK. Per ottenere il marchio Wi-Fi, un nuovo prodotto deve supportare WPA2. Se tutti i dispositivi di una rete wireless supportano WPA2 PSK, si deve usare quello standard. Purtroppo alcuni prodotti attuali e molti prodotti di vecchia generazione non supportano né WPA né WPA2. Se nella rete ci sono dispositivi che non supportano WPA2, si valuti la possibilità di inserire i dispositivi non conformi in una VLAN a parte, che ha accesso limitato al resto della rete. GESTIRE LA FORZA DEL SEGNALE La rete non può essere attaccata se non c è nessun segnale wireless. Inoltre, al diminuire della forza del segnale, diminuisce anche il throughput della rete. Nel cercare un equilibrio fra l esigenza di avere un segnale forte all interno della proprietà e l esigenza di ridurre al minimo la forza del segnale al di fuori della proprietà, si deve considerare quanto segue: L uso di antenne wireless direzionali permette di mantenere un segnale forte entro i limiti della proprietà, mentre riduce al minimo il segnale al di fuori dei limiti della proprietà. Molti WAP riescono a operare con potenza di trasmissione ridotta. Il momento migliore per configurare le soluzioni di cui sopra è dopo che il cliente ha traslocato e la proprietà è completamente arredata. Il metodo WPA PSK è molto più sicuro del WEP poiché utilizza un Temporal Key Integrity Protocol (TKIP), che cambia continuamente la chiave usata per cifrare i dati. Per dare inizio alla connessione si usa una PSK. Questa deve essere una password 10 2015 CEDIA

08 CONCLUSIONI La sicurezza è uno dei fattori primari da considerare quando si progetta una rete wireless, oltre alla gestibilità, alla scalabilità, alle prestazioni e all interoperabilità. Per la loro convenienza e flessibilità, le reti wireless stanno diventando onnipresenti nel settore degli impianti elettronici residenziali. È essenziale che il personale sia al corrente delle minacce esistenti e sia opportunamente istruito per avviare le necessarie misure di sicurezza per difendere la rete, i dati e i dispositivi del cliente da ogni accesso non autorizzato. Se le configurazioni sono errate, la rete potrebbe essere esposta ad accessi esterni e le prestazioni generali della rete potrebbero diminuire. Si raccomanda che il personale che occupa ruoli chiave riceva un opportuna formazione e sia certificato. CEDIA University e i produttori del settore offrono molti corsi sulla progettazione, l installazione e la configurazione. 2015 CEDIA 11

09 RIFERIMENTI PER INFORMAZIONI CORSI DI FORMAZIONE CEDIA CEDIA offre tutta una serie di corsi per fornirvi le conoscenze e le competenze pratiche che vi permetteranno di configurare in modo sicuro i dispositivi di un ambiente IP integrato in un abitazione: EST233 Networking per tecnici EST243 IP per tecnici (laboratorio pratico) EST333 Networking avanzato (laboratorio pratico) EST350 Networking e workshop sull IP per integratori (laboratorio pratico) EST253 Tecnologie per reti wireless ESD341 Progettazione di reti Ethernet CERTIFICAZIONE CISCO I corsi di formazione e certificazione Cisco rappresentano la prosecuzione ideale dei corsi CEDIA per tutti coloro che desiderano applicare le buone pratiche imprenditoriali nella fase di progettazione e di configurazione di reti su larga scala nelle abitazioni. Con l aumento delle richieste concorrenti di banda larga per streaming, video-conferenza, sistemi di controllo a bassa latenza e accesso sicuro, le certificazioni Cisco diventeranno presto un must nel bagaglio di competenze delle aziende che si occupano di impianti elettronici in ambito residenziale. 12 2015 CEDIA

APPENDICE A: STANDARD DEI SISTEMI WIRELESS È stata sviluppata una serie di standard per garantire che i dispositivi wireless possano comunicare. Questi descrivono lo spettro RF usato, le velocità di trasmissione dati, come sono trasmesse le informazioni, e molto altro ancora. La principale associazione che si occupa di stabilire standard tecnici per reti wireless è l Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 è lo standard che regolamenta l ambiente WLAN. Sono presenti quattro emendamenti allo standard IEEE 802.11 che descrivono caratteristiche diverse per 802.11a, 802.11b, 802.11g e 802.11n. Ci si riferisce a queste tecnologie come Wi-Fi. Stesso raggio d azione dell 802.11b Retrocompatibile con 802.11b 802.11n: Tecnologie a 2,4 e a 5 GHz Estende il raggio d azione e la velocità di trasmissione dati Retrocompatibile con le apparecchiature 802.11g e 802.11b esistenti (la bozza dello standard descrive come supportare l 802.11a) La Wi-Fi Alliance è incaricata dell esecuzione di test sui dispositivi WLAN di diversi venditori. Il logo Wi-Fi su un dispositivo significa che l apparecchiatura dovrebbe essere compatibile. 802.11a: Utilizza lo spettro di frequenze a 5 GHz Non compatibile con lo spettro a 2,4 GHz; dispositivi b/g/n 802.11 Il raggio d azione rappresenta circa il 33% di quello dell 802.11 b/g Relativamente costoso da implementare rispetto ad altre tecnologie Sempre più difficile trovare apparecchiature conformi a 802.11a 802.11b: Primo fra le tecnologie a 2,4 GHz Velocità di trasmissione massima di 11 Mbps Raggio d azione di circa 46 m in spazi chiusi/96 m in spazi aperti 802.11g: Tecnologie a 2,4 GHz Velocità di trasmissione massima aumenta fino a 54 Mbps 2015 CEDIA 13

APPENDICE B: PROGETTAZIONE E REALIZZAZIONE DI UNA SOLUZIONE WIRELESS Determinare il layout, il raggio d azione e l ambito di applicazione del dispositivo Larghezza della banda: Quanti utenti sono previsti contemporaneamente? Quali applicazioni sono previste? Copertura: Sarà necessario espandere il raggio d azione? Limitazioni strutturali: Determinare il tipo di costruzione (rilevare potenziali impedimenti per il segnale). Definire nome, password amministratore, SSID, protocolli di sicurezza wireless e autenticazione. Semplice checklist (lista di controllo) per la configurazione Cambiare le impostazioni default di fabbrica, compresa la password amministratore. Cambiare l SSID e disattivare la trasmissione. Abilitare l autenticazione con il massimo livello compatibile di cifratura. Utilizzare il filtro indirizzi MAC. Eseguire verifiche sull impianto e su apparecchiature già esistenti. Costruire un modello di installazione e di sicurezza Determinare l ubicazione delle apparecchiature. Determinare quali sono le apparecchiature più appropriate. Determinare lo standard wireless. Documentare la configurazione del router/dell AP. Definire nome, password amministratore, SSID, protocolli di sicurezza wireless e autenticazione. Semplice checklist (lista di controllo) per la configurazione Cambiare le impostazioni default di fabbrica, compresa la password amministratore. Cambiare l SSID e disattivare la trasmissione. Abilitare l autenticazione con il massimo livello compatibile di cifratura. Utilizzare il filtro indirizzi MAC. Costruire un modello di installazione e di sicurezza Determinare l ubicazione delle apparecchiature. Determinare quali sono le apparecchiature più appropriate. Determinare lo standard wireless. Documentare la configurazione del router/dell AP. 14 2015 CEDIA

APPENDICE C: ABBREVIAZIONI UTILIZZATE IN QUESTO DOCUMENTO: AP Access Point (punto d accesso wireless) ISP Internet Service Provider (provider servizi internet) LAN Local Area Network (rete area locale) MAC Media Access Control (controllo di accesso media) PSK Pre-shared Key (chiave precondivisa) SSID Service Set Identifier (identificatore set di servizi) VLAN Virtual Local Area Network (rete area locale virtuale) WPA Wi-Fi Protected Access (accesso protetto Wi-Fi) VPN Virtual Private Network (rete privata virtuale) WAN Wide Area Network (rete geografica) WAP Wireless Access Point (punto d accesso wireless) WEP Wired Equivalent Privacy (privacy equivalente alla rete cablata) TKIP Temporal Key Integrity Protocol (protocollo di integrità a chiave temporanea) STA client di rete wireless, come un portatile o un palmare 2015 CEDIA 15

Unit 2, Phoenix Park, St Neots, Cambridgeshire, PE19 8EP, United Kingdom +44 (0)1480 213 744 info@cedia.co.uk www.cedia.co.uk

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back