Oggi parliamo di Sicurezza Wi-Fi, in particolare, cerchiamo di fare chiarezza sui differenti tipi di protocolli di crittografia che abbiamo a disposizione nei nostri router (home/SOHO/enterprise). Come scegliere quello giusto senza compromettere l’equilibrio tra affidabilità della rete e sicurezza?

Questa è la lista della spesa dei protocolli di cui parleremo.

  • WPA2-PSK (TKIP)
  • WPA2-PSK (AES)
  • WPA2-PSK (TKIP/AES)

La scelta di un protocollo errato potrebbere portare a rallentare la vostra rete e rendere il vostro network insicuro.

….Come? No, non mi sono dimenticato di WPA e WEP, la cosa è voluta. Parlare di WEP e WPA oramai è inutile, sono spacciati, quindi è inutile tenerli in considerazione. Quindi spero voi non scegliate protocolli WPA e WEP nei vostri router, altrimenti vi rimando sul sito di Salvatore Aranzulla ( di cui ho massima stima), senza ritorno! :-)

Inziamo le dovute differenze.

TKIP e AES

TKIP e AES sono due tipologie di crittografia che si possono utilizzare per la nostra rete Wi-Fi. TKIP sta per “Temporal Key Integrity Protocol” questa è la soluzione al problema di sicurezza introdotta da WPA per rimpiazzare il protocollo di crittografia WEP. Purtroppo per manetenere la retrocompatibilità con l’hardware WEP si è portato dietro un sistema che ora non viene più considerato sicuro. In altre parole non utilizzatelo.

AES sta per “Advanced Encryption Standard”. Questo è un protocollo crittografico introdotto da WPA2, che ha rimpiazzato definitivamente il WPA standard. AES non è stato ideato per le reti Wi-Fi. AES esiste da molto tempo ed è considerato uno standard di sicurezza abbastanza sicuro, viene utilizzato anche in campo militare e dal governo USA (hahah…scusate :-| ) annoverato in diversi manuali prodotti da NSA.

Per esempio AES è stato usato da TrueCrypt, per criptare i dati sui dispositivi di memoria. Le uniche debolezze di questo protocollo sono la sua vulnerabilità ad un attacco di forza bruta, che è altresì prevenibile da una passphrase forte e l’offline cracking su WPA2. Entrambe le vulnerabilità dipendono dalla vostra password.

A questi due protocolli ci aggiungiamo “PSK” presente in entrambi, sta per “pre-shared key”. Questa sigla definisce la modalità di accesso alla rete. Di solito la pre-shared key è la tua passphrase crittografata (dopo un handshake tra due client). Si differenzia da WPA-Enterprise che invece usa dei server RADIUS per scambiare una chiave unica, usato di solito su network di grandi dimensioni.

Il difetto della pre-shared key, sta nel fatto che su network di grandi dimensioni condividere la chiave con ogni utilizzatore potrebbe portare a qualche problemino di scalabilità. Quindi diciamo NO! A PSK in azienda.

WPA e WPA2 questi sconosciuti

Ricapitolando TKIP è uno standard crittografico oramai vecchio usato da WPA. Il nuovo WPA2 invece utilizza AES che è uno standard più “sicuro”. In teoria i due protocolli dovrebbero essere separati ma ancora continuano a convivere magicamente insieme, creando dei problemi agli utilizzatori finali. Tutto dipende dal router. Scegliendo semplicemente WPA2 potrebbe non essere abbastanza.

Mentre WPA2 si suppone che utilizzi AES di default, per una sicurezza ottimale, su molti modelli di router esso mantiene ancora la versione TKIP per retrocompatibilità con alcuni dispositivi legacy.

In questa maniera i dispositivi WPA2 si connetteranno con i dispositivi WPA2 e i dispositivi WPA con quelli WPA, facile. Questo implica che se ci dovessimo connettere ad una WPA2 c’è la possibilità di non essere di fronte ad una WPA2-AES.

Confusi?

Facciamo chiarezza, molti dei router potrebbero avere la seguente tendina o una simile nella scelta dei protocolli di crittografia.

  • Open Network – Se avete intenzione di regalare i vostri dati e l’accesso a internet a tutto il vicinato ok. Altrimenti evitate.
  • WEP – Qualsiasi parola che sia presente nel vostro menù a tendina con queste 3 lettere, scartatela a priori. Parliamo di un protocollo ormai divenuto l’emblema dell’insicurezza.
  • WPA-PSK (TKIP) – La classica WPA con pre shared key e utilizzo di TKIP, se è stato chiaro quello che ho scritto sopra, questa è da scartare.
  • WPA-PSK (AES) – Questa opzione l’ho inserita perché esiste su alcuni modelli di router ma ha veramente poco senso. 
  • WPA2-PSK (TKIP) – Si inizia a ragionare, usa il nuovo standard WPA2 con una vecchia encryption TKIP. Poco senso, utile solo se si hanno dispositivi non compatibili con WPA2-AES. 
  • WPA2-PSK (AES) – Questa è l’opzione più sicura. Se trovate l’opzione scritta con WPA2 o WPA2-PSK probabilmente si tratta di AES.
  • WPAWPA2-PSK (TKIP/AES) – Se aggiungessimo anche Bluetooth avremmo acceso tutti i protocolli disponibili sul computer. Direi da scartare, perché mette a disposizione tutti i protocolli in modalità mixed. Ovviamente tra i protocolli ci sono anche quelli vulnerabilì e più facilmente attaccabili.

Scelta Obbligata

WPA2 è divenuta una certificazione nel 2004. Nel 2006 la certificazione WPA2 nei router diventava obbligatoria. Ogni dispositivo prodotto dopo il 2006 (8 anni fa) che ha il logo Wi-Fi supporta la WPA2.

Con molta probabilità credo che voi non abbiate un dispositivo vecchio di 10 anni che non vi permetta di abilitare di default WPA2-AES. Per fare una prova vi consiglierei di abilitare l’opzione sul router e fare un check di tutti i dispositivi in vostro possesso. Se tutto fila liscio la vostra rete ne trarrà beneficio sia in termini di sicurezza che di velocità.

Velocità e Sicurezza

La combinazione WPA e TKIP potrebbe rallentare la vostra rete. Molti router che supportano il nuovo e più veloce standard 802.11n potrebbero rallentare la loro velocità fino ad un massimo di 54mbps se abilitate le opzioni WPA o TKIP. Questo rallentamento avviene per assicurare la massima compatibilità con i dispositivi più vecchi.

Alla fine non si tratta solo e sempre di sicurezza, il vantaggio può essere tangibile.

Avete fatto delle prove? Non vi torna qualcosa in questo articolo, scrivetemi nei commenti le vostre riflessioni.