Di seguito gli interventi pubblicati in questa sezione, in ordine cronologico.
 
 

Le reti wireless sono per natura più vulnerabili delle reti di computer che utilizzano i cavi. Infatti nel caso di una rete cablata è necessario un collegamento fisico di un computer via cavo, mentre per le reti wireless basta dotare il proprio computer di scheda wi-fi e antenna.
Proprio a causa della semplice vulnerabilità delle reti wireless è bene premunirsi e proteggerle per quanto possibile.
Per fare questo esistono vari modi ma io vi metto solo i principali:
- WPA ( Wi-Fi Protected Access )
- WEP ( Wired Equivalent Privacy )
- MAC address control
- Disabilitazione del DHCP
- Cambio dell’SSID

Tra questi ovviamente ci sono quelli piu o meno efficaci. Niente comunque si presume essere sicuro al 100%.

In breve :
Il WPA è un protocollo per la sicurezza delle reti senza filo Wi-Fi creato per tamponare i problemi di scarsa sicurezza del precedente protocollo di sicurezza, il WEP. WPA è progettato per gestire l'autenticazione dei client e dei server e la distribuzione di differenti chiavi per ogni utente. Una delle modifiche che introducono maggiore robustezza all'algoritmo è la definizione del Temporal Key Integrity Protocol (TKIP).
Questo protocollo cambia dinamicamente la chiave in uso e questo combinato con il vettore di inizializzazione di dimensione doppia rispetto al WEP rende inefficaci i metodi di attacco utilizzati contro il WEP.
Il WEP è, detto molto molto alla buona, simile al WPA ma usa chiavi di cifratura più corte.
Per quanto riguarda il MAC address control si può dire che è abbastanza efficace . Dunque, ogni scheda di rete (wireless o meno) ha un proprio "numero di serie", che si chiama appunto MAC address.
Gli access point possono essere impostati in modo da accettare connessioni soltanto dalle schede che hanno un certo MAC address. Questo rende molto difficile all'intruso penetrare nella rete, perché deve prima scoprire uno dei MAC address autorizzati.
Non è impossibile, ma è una scocciatura che scoraggia buona parte degli aggressori.
Pertanto conviene assolutamente attivare il controllo del MAC address.
Il DHCP ( anche qui spiegato molto alla buona) è un sistema che semplifica la gestione di una rete assegnando automaticamente un indirizzo IP a ogni macchina che si collega alla rete. Questo è comodo in un ambiente cablato, ma è pericoloso in un ambiente wireless, perché assegnerebbe automaticamente un indirizzo IP anche a un intruso.Dovete anche tenere presente che, comunque, un intruso abbastanza furbo è in grado di aggirare questo ostacolo (gli basta indovinare il range di indirizzi IP che usate, tipicamente 192.168.0.*).
Per quanto riguarda SSID (e poi passo alle cose un più interessanti ) la questione è che la rete wireless ha un suo identificativo (l’SSID) che le schede wireless devono conoscere per potervisi collegare. Anche il nostro simpatico intruso ha bisogno di conoscerlo per fare il suo sporco mestiere (lo str**o ). Il ‘’guaio’’ è che conoscerlo è facilissimo: nella maggior parte dei dispositivi wireless è impostato in fabbrica in modo da usare, come SSID, il nome del fabbricante e Siccome i fabbricanti non sono poi tanti, è banale per l'intruso tentarli uno per uno.

Solitamente lo schema piu conosciuto e banale di attacco a una rete è il seguente




- Access Point (AP) : è l’access point di cui vogliamo conoscere la chiave per riuscire ad entrare nella rete.

- Target Client (TC) : è un client collegato all’access point.

- Sniffing Client (SC) : è uno dei pc dell’attaccante. Questo si occuperà di sniffare quanto più traffico possibile. Questo traffico verrà registrato sull’hard disk (non tutto il contenuto dei pacchetti ma solo alcune informazioni come i IV). Svolge un ruolo passivo.

- Attacking Client (AC) : è un client che si occuperà di “stimolare” il giusto traffico nella rete. Svolge un ruolo attivo.

In realtà il WEP Cracking può essere fatto anche con un solo computer.

Ma ora passiamo alle cose belle….Ci sono tanti modi per trovare le reti e non solo….
Infatti esistono molti programmi,quasi tutti free, per giocare con le reti (ovviamente in modo legale).
Questi programmi sono a disposizione di tutti, non siete gli unici a poterli utilizzare, non sono nuovi e non sono per superesperti di computer. Preciso che entrare abusivamente in una rete senza autorizzazione è un reato punibile dalla legge, quindi provate solo sulla vostra rete per testarne la sicurezza, o magari fatevi fare una delibera per il test dal proprietario della rete.

Ma veniamo al dunque…..

NetStumbler è un semplicissimo tool che permette di trovare una rete WI-FI nelle vostre vicinanze. E’ in grado di Indicarvi il nome ESSID, la potenza del segnale espressa in db e se la rete è protetta da chiave WEP oppure WPA.( www.netstumbler.com )Se ora volete testare la vostra protezione WEP, in ambiente Windows,è importante e utile iniziare a cercare di individuare cosa passa sulla rete (e le informazioni sono tante anche se non sembra ).Un programma come Airodump vi permette di sniffare la rete e cioè di catturare i pacchetti durante la trasmissione.( www.cr0.net:8040/code/network/aircrack ). Una volta che avete fatto girare un po il programmino avrete un dump dei pacchetti su quella rete ma dobbiamo trovare il modo di analizzarli ed estrarne ciò che più ci interessa (la password ecc).

Altri link che vi consiglio sono:

www.tomshw.it/business.php?guide=20070804 per chi usa linux

www.airtightnetworks.net/home/resources/knowledge-center/caffe-latte.html

• Server RADIUS
  
• Captive Portal per il supporto del web login su reti wireless e wired.
  
• Gestione del QoS (Quality of Service) e traffic shaping per il controllo del traffico su reti congestionate.
  
• HTTP Proxy con antivirus open source ClamAV
• Supporto per la funzionalità di Wireless Access Point con Multi SSID utilizzando schede di rete WiFi basate sui chipset Atheros.
  
• VPN host-to-lan
  
• VPN lan-to-lan
  
• Router con route statiche e dinamiche
  
• Bridge 802.1d con protocollo Spanning Tree
  
• Firewall Packet Filter e Stateful Packet Inspection (SPI)
  
• Controllo mediante Firewall e Classificatore QoS del traffico di tipo File sharing P2P;
• NAT per utilizzare sulla LAN indirizzi di classi private mascherandoli sulla WAN con indirizzi pubblici;
• TCP/UDP port forwarding (PAT) per creare Virtual Server,
  
• Server DNS multizona
  
• Server DHCP multi subnet
• Virtual LAN applicabili sulle interfacce Ethernet, sulle VPN lan-to-lan,
  
• Client PPPoE per la connessione alla WAN tramite linee ADSL, DSL e cavo (richiede MODEM adeguato);
• Client DNS dinamico
  
• Server e client NTP (Network Time Protocol)
  
• Server syslog
  
• Autenticazione Kerberos 5
  
• Autorizzazione LDAP, NIS e RADIUS;
• Autorità di certificazione X.509 per l'emissione e la gestione di certificati elettronici;
• Integrazione tra sistemi Unix e domini Windows Active Directory
• Gestione completa via Web e/o console SSH

• Server SMTP e IMAP
  
• Autenticazione tramite Smart Card con protocollo PKINIT
  

Rispondo con notevole ritardo a Luca che ha commentato il 02/04 il post sul DD-WRT e la Fonera. L'installazione del firmware sul router Linksys WRT54GL è fattibile; verifica però prima la versione del tuo hardware leggendo la targhetta riportata sotto l'apparato (vedi figura sotto)

In questo veloce post vi propongo una fotogallery dedicata ad Eolo (la mia connettività broadband wireless su tecnologia Hyperlan) realizzata con Autoviewer, un visualizzatore free di immagini in flash, integrabile con Adobe Lightroom e Picasa. Lo potete scaricare gratuitamente qui http://www.airtightinteractive.com/projects/autoviewer .. consigliato!

Ecco la galleria... diciamo che è un modo "alternativo" per proporvi alcuni scorci delle mie zone. Alcune foto sono mie, altre (quelle più acrobatiche) sono state prese dal sito di NGI ... Buona visione!

Avviso che questo è un post tecnico.. vi rimando ai prossimi per le "patacate" del periodo pasquale...

In questo periodo per lavoro ho avuto modo di affrontare l’argomento ISCSI e storage condivisi su network TCP/ IP. In ambito lavorativo abbiamo adottato un sistema professionale brandizzato HP su base Windows Storage Server 2003 (ovviamente su hardware dedicato e con costi non abbordabili per un uso domestico): ho quindi affrontato una ricerca per ottenere un risultato equivalente, sempre su base Windows (2000 professional e server, XP Pro e 2003 Server). Ma prima di descrivervi i risultati dei miei studi, una breve panoramica sulla tecnologia: Internet -SCSI (ISCSI appunto) è un protocollo standard per incapsulare i tipici comandi SCSI all’interno di pacchetti TCP/IP e che consente il trasporto blocchi di dati su reti IP. ISCSI è di norma utilizzato per realizzare Storage Area Networks (SANs) IP based. Il principale vantaggio di questa soluzione è la possibilità di creare storage a basso costo, caratterizzate da buone prestazioni di I/O (comunque dipendenti dalle perfomance della rete TCP/IP sottostante), anche su lunghe distanze (in LAN o WAN) sfruttando una normalissima rete Ethernet (ovviamente meglio se fast o gigabit) anziché collegamenti dedicati (canali scsi o fiber channels) tra gli storage e i server.

Nell’architettura due sono i ruoli svolti: il ruolo ISCSI target è detenuto dall’host di rete dove si vuole sharare un device o dello spazio disco (tipicamente nel nostro ambito casalingo un serverino/pc con un po’ di spazio disco da donare alla rete) . Sulla macchina che svolge il ruolo di target deve essere in esecuzione un software iSCSI target , in grado di supportare una buona varietà di device fisici/virtuali connessi alla macchina. Il secondo ruolo è quello di ISCSI client (initiator) ovvero la macchina che deve connettersi al target per ottenere l’accesso ad un device condiviso (per esempio dello spazio disco). L’ ISCSI initiator consente l’accesso a differenti e molteplici device target ISCSI. La comunicazione tra ISCSI target e ISCSI initiator è effettuata su una normale rete TCP/IP (LAN o internet, anche su link geografici).

Ecco i principali pro di questa soluzione:

• · costi ridotti di realizzazione

• · semplicità e scalabilità, su reti TCP/IP (LAN, WAN, internet) anche protette da firewall

• · semplice realizzazione di soluzioni di disaster recovery e replicazione dei dati remota

• · integrazione possibile con i normali canali SCSI

Stanti queste premesse, l’obiettivo da raggiungere era quello realizzare un ISCSI target a costo modico su sistema Windows, senza per forza utilizzare le versioni Storage Server di 2003. Risultato raggiunto il prodotto StarWind (scaricabile gratuitamente in versione “personal”, previo registrazione, qui http://www.rocketdivision.com/wind.html) . Il prodotto nella forma “personal” è gratuita, funzione bene, è di semplice installazione e permette di testare la tecnologia ISCSI in casa a costo zero: unico limite di questa versione il limite di un solo accesso client contemporaneo al device ISCSI condiviso da target (un solo client alla volta può aprire la connessione sul device). Di fatto però i costi relativamente contenuti delle licenze “full” lo rendono appetibile anche in ambito professionale dove magari c’è l’esigenza di integrare una architettura server/client già esistente con soluzioni SAN su ISCSI.

Qui vi pubblico un piccolo manualetto sull’uso del prodotto, frutto delle mie prove.

Eureka! Come vedete dallo splash sopra pubblicato, dopo un bel po' di tentativi (e qualche sacramento tirato ) sono riuscito a caricare sul routerino di FON (Fonera modello 2100) il firmware open souce (linux based) DD-WRT 24 RC 6.2. Il piccolo router nasce con preinstallato una versione brandizzata FON del firmware Open-WRT per l'uso specifico entro al comunità FON.

L'hardware del router è prodotto da Accton ha le seguenti specifiche niente male:

Fonera Model 2100

• CPU: Atheros AR531X_COBRA - MIPS 4KEc V6.4 - 183.50 mhz
• RAM: Hynix hy57v281620etp-h - 16 MB
• Flash: ST(84) H - 25P64V6P - MYS 636 - 8 MB
• Ethernet: (1x) Altima AC101 (10/100 Mbit/s) [Auto-MDI(X)]
• Wireless: IEEE 802.11b / 802.11g (up to 54 Mbps)
• Antenna Connector: RP-SMA Connector (Reverse SMA)
• Antenna Omni-Directional detachable antenna (2dBi)
• Dimensions: 93.5 mm x 25.5 mm x 70 mm (excluding antenna)
• Powersupply Input: 100-240V ~ 50-60 Hz 0.3A. Output: 5V DC, 2.0A Output
• Power Consumption: 4 Watt
• Reset Switch

Dopo anni di sofferenze, lentezze e modem 56k oggi è arrivata la larga banda anche a casa mia; ma differenza della maggior parte di voi a me è arrivata direttamente dal cielo (e non è una metafora!), grazie alla tecnologia hyperlan e al servizio Eolo di NGI . Ragazzi, oggi è un giorno storico: il primo post sul blog ad alta velocità direttamente da casa mia senza più fili, telefonate o schede umts! Tutto flat, e a banda piena a 3 Mbps!
Sono le prime ore di utilizzo, ma non c'è che dire la prima impressione è ottima... come corre!! Ecco i primissimi dati sul campo:

Connessione EOLO 3M/512k, banda minima garantita 256 kb/s / 95%, antenna ad alto guadagno, router broadband Linksys WRT54G. Test effettuati da portatile collegato wireless al router (scheda G, 54 Mbps) apparecchi su piani diversi della casa.

Status antenna e BTS (antenna remota cui sono collegato)



Test "spot" della velocità (download) dal sito intel



Test ripetuti (down e up) su sito http://www.speedtest.net/

primo (mentre era in corso download della iso di Ubuntu 7.10 dal sito ufficiale - vedere splash successivi)



ecco il download di Ubuntu in corso (386 kB/sec di picco, mai sotto 200 kB/sec)



Successivo test della connessione a banda scarica (qui mi sa che la bts era particolarmente scarica )



Ed ecco infine una foto della "mia porta verso il mondo internet "
(BTS NGI di Monte San Salvatore - Lago Maggiore - NO - foto da forum NGI )



Direi che ad occhi ci siamo: banda piena, scarsa latenza!! A breve un test e un reportage più approfondito!

... oggi il futuro è entrato prepotente a casa mia ....