Cinque consigli per usare un notebook Wi-Fi

Spesso gli utenti aziendali che si collegano a Internet via Wi-Fi utilizzano AP sconosciuti o non usano VPN protette. Le aziende possono scoraggiare questi comportamenti rischiosi istruendo i dipendenti circa le minacce del Wi-Fi e facendo rispettare le policy di sicurezza che impediscono i collegamenti pericolosi. Di seguito alcuni consigli per una connessione in sicurezza.

1. Disabilitare il bridging della rete
Ogni dispositivo che è collegato simultaneamente a più di una rete può potenzialmente trasmettere il traffico tra i vari network. Windows Internet Connection Sharing (ICS) facilita questa operazione (per esempio, lasciando che un peer Wi-Fi ad-hoc condivida la connessione Lan Ethernet del vostro notebook). Le aziende possono indurre gli utenti a disabilitare i collegamenti inutilizzati, ma, francamente, molti utenti si dimenticano di farlo o proprio non ne vogliono sapere di farlo.

Un modo per evitare il bridging consiste nel definire profili hardware di Windows che permettano un’unica interfaccia. Per esempio, il caricamento del sistema con un profilo “office” consente il collegamento Ethernet del notebook ma disabilita la connessione Wi-Fi, oppure effettuando il boot del sistema con un profilo “hotspot” si può avere abilitato il collegamento Wi-Fi e disabilitato quello Ethernet. I profili hardware  possono essere fastidiosi e non impediscono agli utenti di abilitare manualmente altre connessioni, ma sono semplici da configurare, facili da  selezionare e disponibile su ogni notebook Windows.

Un altro metodo consiste nel definire regole di interfacciamento che possono essere fatte rispettare dagli agenti di sicurezza mobili sui laptop e sui PDA. Alcuni esempi in questo senso sono Endpoint Security Suite di Senforce, Mobile Edge Device Security di Trust Digital e Mobile Guardian di Credant. Questi agenti fanno molto più che permettere o negare l’uso del Wi-Fi, di Ethernet, di Bluetooth e delle interfacce 3G. Ma il concetto è semplice: usate un agente lato client per far rispettare una policy di sicurezza configurata centralmente quando i dispositivi mobili sono utilizzati fuori dell’ufficio.

2. Usare in modo sicuro una VPN esterna all’azienda 
Le imprese non hanno alcun controllo sulle misure di sicurezza usate per proteggere il traffico Wi-Fi nelle reti domestiche o negli hot spot pubblici. L’unico modo per assicurare la protezione dei dati business over-the-air, indipendentemente dalla modalità di accesso usata, è di richiedere la sicurezza della VPN o dello strato di applicazione. L’uso di una VPN esterna all’azienda non rappresenta un problema quando gli impiegati se ne avvalgono per accedere alla rete aziendale. Le difficoltà nascono quando tale VPN è usata per qualsiasi altro scopo, perché in questo caso bisogna impedire che NetBIOS invii delle informazioni all’hot spot e la navigazione in chiaro nella parte pubblica di Internet.

Un modo per consentire l’uso di una VPN esterna all’azienda è di lanciare un client VPN allo start-up, richiedere i privilegi amministrativi per bloccare questo client e definire le regole della VPN che impediscono lo split del tunneling (ovvero, forzare tutto il traffico verso una qualsiasi destinazione tramite il tunneling della VPN). Ma gli utenti potrebbero non apprezzare questo metodo, soprattutto a causa della difficoltà di usare Internet negli hotel, negli aeroporti, nei business center e in altre sedi pubbliche di accesso che richiedono il login Web prima che possa essere lanciato il tunnel della VPN. Alcuni client di VPN supportano eccezioni del login o script che permettono di ovviare a questo problema.

Un altro metodo è quello di  legare il vostro client VPN al client di accesso remoto, usando le policy per lanciare il client VPN non appena il login è completato, concludendo automaticamente il collegamento se non si riescono ad attivare il client o il tunnel della VPN. In questo modo, possono essere collegati ai clienti VPN molti sistemi per la gestione dell’accesso remoto o della connessione Wi-Fi, come per esempio iPass Connect, Fiberlink Extend360 e PCTEL Roaming Client. Di nuovo, la gestione centralizzata di policy è la base per consentire un collegamento sicuro on-the-road.

3. Impedire i collegamenti ad-hoc
La maggior parte degli utenti sarebbe sorpresa di scoprire che si è collegata a una connessione ad-hoc peer-to-peer. Alcune di queste connessioni sono intenzionali – per condividere i file fra i colleghi, per esempio – ma la maggior parte non lo è. Windows XP consente l’utilizzo dell’ad-hoc in due modi: in primo luogo, l’uso di default del servizio Wireless Zero Configuration permette ai  client di collegarsi a ogni rete wireless disponibile, ad-hoc o access point (AP); secondariamente, se un client di XP si è precedentemente associato a un AP con un prestabilito nome della rete (SSID), proverà a riassociare ogni dispositivo a quel SSID – persino un peer ad-hoc che pretende di essere “linksys” o un altro comune SSID home oppure hot spot.

Un modo semplice per bloccare i collegamenti ad-hoc è di riconfigurare XP (o qualsiasi collegamento Wi-Fi usato al posto di WZC) affinché si associ soltanto agli Infrastructure Mode SSID. Nelle aziende che usano Windows Active Directory per l’amministrazione di laptop e desktop, questo cambiamento può essere applicato alle chiavi di registro relative a WZC tramite Windows Group Policy Objects. Per ottenere lo stesso risultato, le aziende che non usano WZC possono avvalersi di tool di terze parti per la creazione di policy relative ai connection manager Wi-Fi. Anche se ciò non può espressamente impedire agli utenti di abilitare la modalità ad-hoc, eviterà però tutti quei collegamenti ad-hoc involontari.

4. Controllare le associazioni della WLAN
Quando hanno un accesso libero a Internet, gli utenti possono sorprendentemente mostrare una notevole quantità di interessi. Di nuovo, i comuni default tendono a promuovere l’associazione con un qualsiasi SSID (conosciuto o meno). Peggio, connection manager come WZC non fanno alcuna differenza tra i vari access point e associano ogni AP proposto a un dato SSID a meno che non siano prese particolari misure. Questo rende difficile per gli utenti sapere se si sono associati con l’AP voluto o con un falso AP oppure un evil twin.

È richiesto un passaggio per l’autenticazione 802.1X del server RADIUS all’interno della WLAN a cui ci si vuole collegare. Quando un client si associa a un AP che usa 802.1X con Extensible Authentication Protocol (EAP), e che quindi supporta l’autenticazione reciproca, l’utente può verificare il certificato digitale dello stesso server RADIUS. I client dovrebbero essere configurati per associarsi soltanto con SSID conosciuti/predisposti e per validare il certificato del server quando viene usato un SSID che può supportare 802.1X. Questo protocollo è più adatto a essere impiegato nelle WLAN aziendali, ma è supportato anche da alcuni hot spot.

5. Deployment della sicurezza negli endpoint Wi-Fi
Naturalmente, l’uso di un notevole numero di soluzioni per risolvere singolarmente ogni minaccia non consente di tenere completamente sotto controllo la sicurezza degli endpoint Wi-Fi né di rafforzarli adeguatamente. Per colmare questa mancanza, parecchi fornitori di agenti wireless di intrusion detection/prevention host-resident propongono prodotti che verificano, analizzano e persino bloccano le attività del client Wi-Fi. Esempi in questo senso sono SAFE di AirTight Networks, Personal di AirDefense, EndPoint di Highwall e RFprotect EndPoint di Network Chemistry. Alcuni agenti per gli endpoint Wi-Fi possono essere usati in modalità standalone dai singoli utenti e dalle piccole imprese, altri possono essere integrati con i sistemi di intrusion prevention wireless aziendali al fine di creare un unico punto di controllo per l’uso delle connessioni Wi-Fi on site e off site.

La verifica e il controllo del Wi-Fi non sono un sostituto delle attività di configurazione della sicurezza ma possono aiutarvi a individuare i collegamenti pericolosi e a intraprendere le adeguate misure per bloccarli.

Questa voce è stata pubblicata in Trucchi e Consigli per il Pc. Contrassegna il permalink.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...