Wi-fi Search Networking PDF

Grazie ai prezzi contenuti,alle prestazioni in conti-nuo miglioramento e so-

prattutto alla grande como-dità di poter evitare l'installa-zione di cavi, le reti wirelessbasate sullo standard Wi-Fi(WLAN) stanno riscuotendoun grande successo non sol-tanto presso gli utenti resi-denziali, più interessati aivantaggi di una installazionepoco "invasiva" sugli ambien-ti domestici, ma anche in am-bito professionale, dove lamaturità di questa tecnolo-gia, con prestazioni ormaistabili e convincenti e con si-stemi di sicurezza sempre piùperfezionati, ne fa una alter-nativa realistica alla "classi-ca" rete wired, in molte situa-zioni tipiche.

È però importante sottoli-neare che sia la sicurezza, siail buon funzionamento di unarete wireless dipendono stret-tamente da una corretta e ra-gionata configurazione logicadi tutti i suoi componenti, enon soltanto da una buona in-stallazione di apparecchi edriver software.

In questo corso vedremocome installare e gestire unarete Wi-Fi di medie dimensio-ni. Nella prima puntata pas-siamo in rassegna gli stan-dard, i componenti - veri epropri "mattoni" costitutividella rete - e le tipologie di re-te realizzabili.

A chi serve una retewireless?

Il campo d'impiego in cui ilWi-Fi è impiegabile con van-taggio è assai ampio.

Per certe applicazioni, co-me l'offerta di connettività In-ternet a pagamento in aree at-trezzate o luoghi pubblici el'accesso a larga banda in mo-bilità, il Wi-Fi è addirittura lavera e propria tecnologia abi-litante e non semplicementeun miglioramento. Si trattaquindi non di un "lusso", madi uno strumento di lavoroessenziale, il cui corretto fun-zionamento può essere indi-spensabile per il business mo-del di un'azienda.

Per altre applicazioni di re-te, come l'accesso alla LANaziendale dalle postazioni fis-se, la tecnologia wireless rap-presenta solo un migliora-mento della fruibilità e dellapraticità, grazie all'elimina-zione dei cavi e al fatto disvincolare l'ubicazione deiterminali da quella delle pre-se di rete.

Di conseguenza è possibilerisparmiare sul cablaggiostrutturato dell'edificio, chepuò diventare meno capillareo, al limite, sparire del tutto:anche in un locale non attrez-zato è possibile rendere di-sponibile l'accesso alla rete aqualunque postazione, senzainvestire "in rame" e senzagrandi perdite di tempo pergli interventi di installazioneche una rete fissa richiede.

Il vantaggio di costo e ditempo non deve essere sotto-valutato. Per rendersene con-to si può considerare l'esem-pio della rete telefonica fissa,per il cui completamento nelsecolo scorso servirono di-versi decenni e investimenticolossali. In epoca più recen-

te, invece, gli operatori di te-lefonia mobile, dovendo piaz-zare antenne in numero e luo-go opportuni, hanno potutoraggiungere la coperturacompleta nel giro di pochi an-ni e con investimenti relativa-mente più modesti. Soprattut-to, una volta effettuato l'inve-stimento, tutta l'area copertadal segnale risulta permanen-temente servita dalla rete,mentre nel caso della rete fis-sa l'edificazione di nuovi sta-bili continuerà a richiedereinvestimenti in canalizzazioni,centraline e cavi.

Naturalmente le reti wire-less hanno anche delle con-troindicazioni. Non sono adat-te a situazioni che richiedanodi rendere disponibile concontinuità una banda eleva-tissima a un gran numero dipostazioni di lavoro ravvici-nate. Infatti, le più veloci tec-nologie di rete wireless dispo-nibili sul mercato di massa ar-

rivano a una velocità massi-ma nominale di 125 Mbps,con un throughput tipico note-volmente più basso: almenoun ordine di grandezza in me-no di quello che è possibile fa-re con tecnologie di rete fissa.

Per quanto riguarda poi ilnumero di postazioni che èpossibile servire, va conside-rato che la banda viene con-divisa fra tutte le postazionicollegate a un determinato ac-cess point, come accadrebbese fossero postazioni di retefissa tutte collegate a unostesso hub. Di conseguenza,maggiore è il numero delle po-stazioni e peggiori saranno leprestazioni viste dal singoloutente: si può mitigare questoeffetto attivando più accesspoints su canali radio diversi,ma anche il numero di canaliè limitato (11 canali in USA; 13canali nelle aree europee cheapplicano lo standard ETSI,come l'Italia, mentre in Fran-

PC Open Aprile 200680

Creare Reti wireless 1a lezione

� Mobile

Reti Wi-FiStandard e componentiAnalisi dell’architettura e delle tipologie di una wireless LAN,con qualche suggerimento utile per assemblare un apparatoche si adatti alle proprie esigenze di Marco Mussini

Lezione 1La rete wireless: struttura, standard eprincipali componenti- Tipologie di WLAN- Standard di trasmissione- Tecnologie di accelerazione- Criteri per il progetto dellarete e la scelta degli apparati

Lezione 2Creare e usare la rete- Configurazione di accesspoint, router e altri dispositivifissi

- Configurazione degliadattatori client

- Condivisione di stampanti ealtre periferiche

Lezione 3Sicurezza e troubleshooting- Protezioni WEP, WPA, WPA2- Configurazione di una retesicura

- Riconoscere e risolvere iproblemi più comuni:insufficiente intensità disegnale, saturazione deicanali

IL CALENDARIO DELLE LEZIONI�

cia sono autorizzati solo 4 ca-nali e in Spagna, addirittura, ilnumero scende a 2).

Architettura di funzionamentoe componenti

L'access pointUn access point è un dispo-

sitivo che fa da "centro" di unarete Wi-Fi e, al tempo stesso,funziona da punto di intercon-nessione fra la rete wired equella wireless (figura 1).

Di conseguenza, esso con-sente ai dispositivi dellaWLAN di comunicare fra di lo-ro e con quelli della LAN e vi-ceversa. Nei confronti dellaWLAN, inoltre, un accesspoint centralizza importantifunzioni di sicurezza: è sul-l'AP, per esempio, che si im-postano eventuali filtri sulMAC address dei client colle-gabili.

Un access point “puro",normalmente, acquisisce unindirizzo per sé (o glielo sipuò assegnare staticamente),ma non rientra fra i suoi com-piti quello di distribuire a suavolta indirizzi ai client dellasua rete: per ottenere un indi-rizzo dinamico, i client WLANnon si rivolgono all'AP, ma loattraversano per raggiungereil DHCP server. Di conseguen-za la configurazione di un ac-

cess point è piuttosto sempli-ce, poiché riguarda quasiesclusivamente funzioni ine-renti il funzionamento dellaWLAN: identificazione, filtri disicurezza, opzioni per la com-patibilità.

L'installazione fisica di unaccess point è un'operazionebanale, come si può peraltrointuire dalla linearità del pan-nello posteriore (figura 2): leuniche connessioni richiestesono l'alimentazione e la con-nessione Ethernet alla LAN.

Se tutti i dispositivi della re-te sono di tipo wireless, l'ac-cess point può essere con-nesso, via cavo Ethernet, di-rettamente al modem a bandalarga (ADSL o HAG) (figura 3).

In alternativa, se accantoalla WLAN esiste una LAN, almodem sarà tipicamente col-legato un router, e a questosaranno collegati la LAN el'access point, come se que-st'ultimo fosse un secondotronco di LAN.

Il wireless router Un wireless router è un di-

spositivo altamente integratoche fornisce sia le funzioni diaccess point, sia quelle di rou-ter (figura 4), per la condivisio-ne dell'accesso Internet; quasisempre sono presenti anche

funzioni di firewall e di Ether-net switch, con un certo nume-ro di porte disponibili per atte-stare tratti di LAN wired. Leunità più sofisticate possonoprevedere anche una funzionedi print server o di file server,grazie alla possibilità di con-nettere direttamente al wire-less router (di solito via USB)una stampante o un discoesterno che saranno poi condi-visi sia sulla LAN, sia sullaWLAN. Questo elimina la ne-cessità di avere un PC perma-nentemente acceso per assol-vere al ruolo di host per questeperiferiche.

Come si vede, un dispositi-vo wireless router giustificaampiamente il maggior costograzie al gran numero di fun-zioni integrate e gestite in mo-do centralizzato, e alla conse-guente semplificazione dellarete e della sua configurazio-ne. L'unico svantaggio è forserappresentato dal fatto che,ove comparisse un nuovo epiù performante standard Wi-Fi non installabile come sem-plice firmware upgrade, si sa-rebbe costretti a cambiaretutto il dispositivo.

Con la soluzione a compo-

nenti discreti (router e accesspoint separati) basterebbecambiare il solo access point(figura 5 e 6).

Soluzioni con modem ADSLintegrato

Ai tipi di dispositivo appenadescritti (access point e wire-less router) è normalmente af-fiancato un modem a larga ban-

da (DSL, satellite o fibra ottica)per l'accesso Internet. Nel casospecifico dell'ADSL, alcuni mo-delli factotum integrano anchequesta funzione, semplifican-do ancor più la rete e consen-tendo una gestione ancor piùintegrata e unificata (figura 7).



Lo U.S. Robotics 5451 è un access point802.11g con tecnologia MAXg perraggiungere una velocità di 125 Mbps

1

Le connessioni dell'access point US Robotics MAXg 5451

2

3

Esteriormente il Wireless Router 5461si differenzia dall'access point per lapresenza degli indicatori di attività sulle 4porte LAN switch e sulla stampante di rete

4

Le connessioni fisiche del WirelessMAXg Router 5461. Oltre alla portaEthernet destinata alla connessioneInternet, qui compaiono 4 porteEthernet per la LAN e una portaUSB host per la stampante dacondividere in rete

5

Un wireless router spesso integra funzioni di switch Ethernet con un certo numero diporte; nel caso del MAXg 5461, inoltre, esso svolge anche un ruolo di Printer Server.Di conseguenza l'unità è in grado, da sola, di giocare il ruolo di "centro nevralgico" diuna rete mista LAN/WLAN di piccole/medie dimensioni

6

L'access point è l'anello di congiunzione fra una rete wireless e una LAN; nel caso piùsemplice può essere connesso direttamente al modem per l'accesso a Internet

Il MAXg 9108 è un dispositivo checoncentra funzioni di modem ADSL2+ adalta velocità, firewall, router, switch a 4porte, access point a 125 Mbps e PrinterServer USB

7Fo

to:co

rtes

ia U

.S. R

obot

ics



La stazione clientLe postazioni client in tec-

nologia Wi-Fi possono esserebasate su vari tipi diversi diadattatori di rete.

Le macchine desktop pos-sono far uso di schede PCI, ingenere con il leggero fastidiodell'antenna esterna (figura 8),oppure di adattatori su portaUSB. Questi ultimi presentanospesso il problema dell'ingom-bro, che rende difficile l'acces-so alle altre porte USB circo-stanti, costringendo a usareun cavetto di prolunga. Alcunimodelli USB sono dotati di unosnodo per alleviare il proble-ma; il modello MAXg 5421 diU.S. Robotics propone addirit-tura uno snodo a due gradi dilibertà per una flessibilità an-cora maggiore (figura 9).

Per quanto riguarda i por-tatili, alcuni modelli, come isistemi Centrino, integranodirettamente nel chipset lacircuiteria necessaria; neglialtri è possibile aggiungere lafunzionalità Wi-Fi installandouna scheda nello slot PCM-CIA (figura 10) oppure unadattatore USB, assai menopratico a causa della sporgen-za nettamente maggiore.

Due le possibilità per i pal-mari: Wi-Fi integrato oppuresu scheda (in formato CF oSD). La prima opzione è net-tamente preferibile, in quantola scheda generalmente spor-ge di diversi millimetri peresporre l'antenna, rischiandodi rompersi in caso di urti;

inoltre, l'installazione di unascheda Wi-Fi nello slot pre-giudica la possibilità di instal-lare anche un'espansione dimemoria flash.

Gli adattatori USB richiedo-no che la porta USB del PC ab-bia una velocità adeguata alleprestazioni della rete wireless.Con una porta USB 1.1 sono di-sponibili 12 Mbps di banda,adeguati per reti 802.11b (11Mbps), ma largamente insuffi-cienti per le più veloci 802.11g,magari con accelerazione a125 Mbps. Per avere il massi-mo delle prestazioni sui PC piùvecchi è quindi preferibile usa-re schede PCMCIA, per i por-tatili, o PCI, per i desktop.

Per quanto riguarda i porta-tili, l'unico svantaggio della cir-cuiteria per rete wireless inte-grata nel chipset sta nel fattodi non essere aggiornabile: glistandard Wi-Fi progredisconoin modo rapido e continuo, el'unico modo per mantenersiaggiornati è quello di usareschede di rete sostituibili.

Tipologie di rete wirelessRete wireless ad hoc o peer-to-peer

Tecnicamente, questo tipodi rete si chiama IndependentBasic Service Set (IBSS): i com-puter appartenenti alla rete adhoc possono comunicare fra

loro direttamente (figura 11). Ilvantaggio di questo schema èl'economicità, dato che non oc-corre avere un access point: apatto di saper configurare cor-rettamente gli indirizzi dellemacchine interessate, quindi,si tratta dell'equivalente di unanormale rete wired in cui uncerto numero di PC è collegatoa un hub di rete, oppure atte-stati su uno stesso tronco diLAN (oppure, due PC sono con-nessi fra loro direttamente daun cavo Ethernet di tipo cross).

Qualora occorra una inter-connessione con una rete fissa,ad esempio per avere un ac-cesso Internet, occorrerà cheuna delle stazioni facenti partedell'IBSS disponga di una se-conda scheda di rete attestatasulla rete fissa, e che questastazione provveda a fare da"bridge" per interconnettere laWLAN IBSS alla LAN. In Win-dows questo può essere otte-nuto usando la CondivisioneAccesso a Internet (InternetConnection Sharing, ICS).

Rete con access point (BSS) Le reti wireless in cui un

certo numero di stazioni de-vono comunicare fra loro ma

anche con macchine collegatealla rete wired, nonché even-tualmente disporre dell'uscitaverso Internet, sono realizza-bili in modo più appropriatofacendo ricorso alla topologiaBasic Service Set (BSS), comu-nemente definita Infrastructu-re Mode (figura12).

In questa topologia, un ac-cess point attestato sulla LANsi occupa di fare da bridge frala rete WLAN e la LAN. Ognistazione client si collega di-rettamente con l'access point;questa connessione è dettaassociazione. Lato WLAN l'ac-cess point si comporta piùcome un hub che come unoswitch: la banda è infatti con-divisa fra tutte le stazioni col-legate, poiché lavorano tuttesu uno stesso canale. Questofatto può essere sfruttato percostruire una rete multi-infra-structure (Extended ServiceSet, ESS) in cui, con una op-portuna disposizione e confi-gurazione degli access point,è possibile coprire uniforme-mente un'area troppo grandeda gestire con un solo accesspoint. Nelle zone di confine, incui arriva il segnale di due opiù access point, non ci sa-ranno interferenze, purchéquesti ultimi vengano fatti la-vorare su canali diversi.

Una variante interessante èquella in cui N access pointvengono usati per coprireesattamente la stessa area (na-turalmente, lavorando su ca-nali diversi). In questo modo,la banda complessivamentedisponibile per le stazioni inrete viene moltiplicata per N:se i client vengono distribuitiin modo uniforme fra i canali

Le schede interne Wi-Fi PCI per desktopsono quasi sempre dotate di connettoreper antenna esterna

8

Il MAXg 5421 di US Robotics è un adattatore Wi-Fi 125 Mbps su porta USB dotato diuno snodo a due gradi di libertà che consente di orientare al meglio l'antenna e dirisolvere conflitti di spazio fra periferiche USB adiacenti

9

La modalità ad hoc, o IBSS, è la piùsemplice e non richiede di possedere unaccess point.

Nel modo Infrastructure le stazioni della rete comunicano fra loro e con la rete wiredattraverso un access point che fa da bridge fra la WLAN e la LAN

11

12

La soluzione più pratica per aggiungere aun notebook la funzione Wi-Fi è l'aggiuntadi una scheda PCMCIA

10



gestiti dai vari access point,si avrà un'allocazione ottima-le della capacità della rete (fi-gura 13).

Rete in roaming (DS ed ESS)Nella configurazione ESS, le

specifiche 802.11 prevedonola possibilità per le stazioniclient di fruire di un servizio di"roaming" fra le aree coperteda access point diversi, sequesti sono supportati da unDistribution System (DS) consi-stente nella rete che li inter-connette e negli appositi pro-tocolli funzionanti su di essa. IlDS si occupa di garantire cheun frame Ethernet pervengaeffettivamente al destinatario,e tiene traccia degli sposta-menti della stazione mobile daun ESS all'altro, aggiornandoautomaticamente l'associazio-ne quando necessario.

Rete con router (accesso condiviso alla rete)

Nel caso della rete BSS conaccess point, quest'ultimo puòessere connesso direttamenteal modem a larga banda: inquesto caso, l'accesso Inter-net viene reso disponibile atutte e sole le stazioni clientdella rete wireless, le quali sirivolgono direttamente al mo-dem per ottenere un indirizzo.

Se però vi è necessità diavere anche una LAN wired,oppure se il provider ISP con-cede l'uso di un solo indirizzo,allora la configurazione piùadatta è quella in cui al mo-

dem broadband si collega di-rettamente solo un router e aquest'ultimo, sul lato interno,si collegheranno sia la LANwired, sia l'access point. Saràil router a occuparsi in modotrasparente (NAT) della con-divisione dell'indirizzo IP frale postazioni client ed, even-tualmente, di migliorare la si-curezza della rete locale nelsuo complesso (LAN+WLAN)da attacchi provenienti da In-ternet, fungendo da firewallhardware.

Si noti che le funzioni di rou-ter e di access point possonoessere implementate anche daun unico apparecchio, il già ci-tato wireless router.

Standard per la trasmissionewireless: IEEE 802.11b,11g, 11n

Il funzionamento delle retiwireless è regolato da stan-dard che assicurano la com-patibilità dei dispositivi che lirispettano. Questi standardappartengono alla famiglia802.11 e sono proposti da ap-posite commissioni dell'IEEE(Institute of Electrical and Elec-tronics Engineers), designateda una lettera che viene appe-sa come suffisso al codice del-lo standard. Così, per quanto

concerne le varie velocità ditrasmissione, esistono a oggitre standard ufficiali.

Il primo a essere implemen-tato (e ancor oggi l'unico sup-portato dai palmari) èl'802.11b per reti a 11 Mbpsoperanti sulla banda frequen-za dei 2.4 GHz, ratificato nel1999. Quasi contemporaneoera l'802.11a, poco diffuso inItalia, che raggiungeva i 54Mbps, ma sulla banda dei 5GHz. Infine, nel 2003 compar-ve l'802.11g, grazie al qualeera possibile operare a 54 Mb-ps sulla stessa bandadell'802.11b, i 2.4 GHz.

È attualmente al lavoro ilcomitato 802.11n, istituito ainizio 2004, che secondo ilcharter si prefigge lo scopo didefinire uno standard (evolu-zione del vetusto 802.11b) chegarantisca un throughput dialmeno 100 Mbps; le indiscre-zioni parlano di un obiettivo di200 Mbps o più di velocità no-minale, ma soprattutto di so-luzioni che dovrebbero garan-tire che la banda netta effetti-vamente resa allo strato ditrasporto sia molto vicina aquella massima teorica allostrato fisico.

Le principali tecnologie di accelerazione proprietariee la futura evoluzionepossibile degli standard

Non ci sono dubbi sul fattoche la velocità, reale o anchesolo promessa, costituisceuno degli argomenti che più in-fluenzano la scelta del prodot-to Wi-Fi. Per questo, accanto aibit rate "normali" garantiti da-gli standard 802.11b e802.11a/g (rispettivamente, 11Mbps e 54 Mbps), si sono mol-tiplicate le soluzioni proprie-tarie per aumentare le presta-zioni. Si tratta di sistemi retro-compatibili con gli standardpreesistenti, tuttavia vale ingenere la regola secondo cuiper poter godere appieno dei

benefici delle tecnologie di ac-celerazione è necessario cheentrambi gli "estremi" dellatratta radio ne siano dotati, emagari anche che preferibil-mente siano della stessa mar-ca (o almeno siano basati sul-lo stesso chipset).

Un'altra restrizione presen-te con alcuni standard e tec-nologie di accelerazione stanel fatto che se fra i client diun access point ad alta velo-cità ce n'è anche uno solo abassa velocità (la cosiddettasituazione mixed mode), alloral'access point sarà costrettoad adeguarvisi per consentir-gli la connessione, con il risul-tato di rallentare in pari misu-ra anche tutti gli altri client.

Le tecnologie di accelera-zione proposte finora sul mer-cato sono quattro:• da 11 Mbps a 22 Mbps (in

genere indicata come 802.11b+). Introdotta, fra i primi,dal chipset Texas Instru-ments, si basa sull'uso dellatecnologia PBCC (Packet Bi-nary Convolutional Code)per ottenere una correzioned'errore più efficace e, diconseguenza, una bandamaggiore o una minor sensi-bilità alla distanza.

• da 54 Mbps a 100 Mbps (Tur-bo Wireless). Questa tecno-logia aumenta le prestazionigrazie alla packet aggrega-tion (pacchetti da 4.000 by-tes, anziché 1.500 bytes),con un buon comportamen-to anche in mixed mode esenza occupare canali ag-giuntivi. (figura 14)

• da 54 Mbps a 108 Mbps (ingenere indicata 802.11g+, Su-per G, e così via). Disponibilead esempio sul chipset Athe-ros, si basa sull'applicazionedel PBCC al normalenetworking a 54 Mbps, e an-che sull’aggregazione di duecanali adiacenti per ottenereun sostanziale raddoppiodella banda. Quest’ultimo

Per aumentare la banda complessivamente disponibile, o per aumentare il numero distazioni servibili, è possibile impiegare più access point nella stessa area, acondizione di farli lavorare su canali diversi

13

Con la packet aggregation, usata dalle tecnologie 100 Mbps e 125 Mbps, lo stratofisico è in grado di gestire pacchetti lunghi fino a 4.000 byte anziché 1.500 byte, conun aumento di efficienza

14



accorgimento in particolareè un po’ invadente sullospettro radio, e riduce il nu-mero di canali disponibiliper altri dispositivi Wi-Fi (fi-gure 15 e 16).

• da 54 Mbps a 125 Mbps. (Hi-gh Speed Mode, Afterburner,MaxG), supportata ad esem-pio dai chipset Broadcom e

Texas Instruments, fa uso ditecniche quali la packet ag-gregation e il frame burstingper sfruttare in modo più ef-ficiente il canale radio. (figu-ra 17).

Un discorso a parte merita latecnologia MIMO (Multiple In-put/Multiple Output), che do-vrebbe venire integrata nel fu-

turo standard 802.11n ancorain via di definizione. Questo si-stema fa uso di antenne multi-ple sia per la trasmissione, siaper la ricezione; uno schemache consente al ricevente di ri-costruire meglio il segnalesfruttando l'antenna diversityper compensare gli effetti diechi e riflessioni. Inoltre, acondizione che ricevitore etrasmettitore dispongano ditante sezioni radio indipen-denti quante sono le antenne,diventa possibile anche tra-smettere contemporaneamen-te flussi di dati diversi sullastessa frequenza (Spatial Divi-sion Multiplexing), con l'effettodi aumentare la banda com-plessiva. Cresce anche, però, edi molto, la complessità cir-cuitale e quindi il costo, in mi-sura almeno pari al beneficioprestazionale.

Così, al momento, in attesadello standard 802.11n, i pro-duttori si dividono fra quelliche hanno deciso di lanciarecomunque dei prodotti cheimpiegano la tecnologia MIMO(i cosiddetti prodotti pre-N), ealtri che hanno preferito foca-lizzarsi sull'ottimizzazione del-le tecnologie di accelerazionebasate sul collaudato e maturo802.11g, che assicurano fra l'al-tro un più che favorevole rap-porto prezzo/prestazioni.

Come sceglierel'apparato giusto

Dovendo realizzare la pro-pria rete wireless, sarà anzi-tutto importante tener contodi alcune condizioni al con-torno che possono guidare ilprogetto della rete e aiutarenella scelta dei componentida acquistare.

Esistenza di una LAN wiredSe si dispone già di una rete

Ethernet cablata, con accesso

Internet condiviso e serverDHCP per la distribuzione de-gli indirizzi, e si desidera ag-giungere la copertura Wi-Finon tanto per servire stazioniclient fisse, ma ad esempioper offrire il servizio wirelessin sale riunioni, per i laptopdei partecipanti, oppure nelmagazzino, per terminali mo-bili, allora potrà essere suffi-ciente acquistare uno o piùaccess point da interconnet-tere alla LAN wired nei puntipiù opportuni.

Sarà importante verificareche in prossimità degli am-bienti da coprire siano già di-sponibili prese di rete; in casocontrario, se non fosse possi-bile allestirne qualcuna doveserve, si potranno installaredei wireless range extenderper portare la coperturaWLAN anche lontano dalleporte di rete fissa esistenti.

Esistenza di altre LANWireless nelle vicinanze

Prima di installare la pro-pria WLAN sarà bene effet-tuare una piccola "ricognizio-ne dell'etere" per rilevare lapresenza di reti Wi-Fi in am-bienti circostanti. Bisogna te-nere conto, infatti, che ognirete WiFi utilizza uno o più ca-nali e che il numero totale dicanali disponibili è limitato a13 (in Europa).

Le reti 802.11g con accele-razione proprietaria a 108 Mb-ps utilizzano addirittura duecanali, in un modo che può li-mitare sensibilmente lo spet-tro utilizzabile da altre reti wi-reless nei paraggi.

Alimentazione degli access point

L'alimentazione di un ac-cess point può creare qualchedifficoltà se, come è consiglia-bile fare, l'unità viene installa-ta in posizione elevata in pros-simità del soffitto, lontano daprese elettriche. In questi casi,può tornare utile la tecnologiaPower over Ethernet (PoE), conla quale è possibile portare l'a-limentazione necessaria all'ac-cess point sullo stesso cavoEthernet Categoria 5 utilizzatoper i dati.(figura 18).

Tipo di connessione a Internet

Qualora si decida di con-centrare in un unico disposi-tivo wireless router tutte lefunzioni di firewall, condivi-

Definizione degli standard Standard Prestazioni nominali (banda dati teorica), Banda di frequenza

"raw throughput" radio impiegata802.11a 54 Mbps 5 GHz802.11b 11 Mbps

22 Mbps con accelerazione ("802.11b+") 2.4 GHz802.11g 54 Mbps

108 Mbps con accelerazione ("802.11g+")125 Mbps con accelerazione 2.4 GHz

802.11n Circa 200 Mbps;(ancora in fase il throughput utile effettivo si avvicinerà molto al valore teorico 2.4 GHzdi definizione)

L'allocazione standard dell'802.11g si basa su canali di 22 MHz spaziati di 5 MHz; letecnologie 54, 100 e 125 Mbps usano un singolo canale

15

La tecnologia 108 Mbps fa uso di channel aggregation per aumentare la banda: ciò sottrae canali ad altri dispositivi in funzione nella stessa area

16

Con il Frame Bursting usato dalla tecnologia 125 Mbps, lo spazio fra frame successiviviene fortemente ridotto

17



sione accesso Internet, ac-cess point, printer server eEthernet switch, e se si dispo-ne di una connessione largabanda di tipo DSL, sarà op-portuno valutare se optareper un modello che con unprezzo solo lievemente mag-giore integra anche il modemADSL/ADSL2+.

Se, invece, per scelta dell'I-SP il modem DSL deve esserequello di tipo proprietario for-nito in comodato d'uso, op-pure se la connessione all'ISPè di tipo diverso (fibra ottica,satellite, ISDN, CDN, PDH, ...)sarà necessario mantenereseparate le due funzioni mo-dem e network hub.

Dimensione e caratteristichedegli ambienti da coprire

Le prestazioni di unaWLAN dipendono fortementedal livello di intensità dei se-gnali ricevuti dalle stazioniclient. Ogni parete che sifrappone fra access point eterminale attenua la potenzaradio ricevuta, degradando lavelocità operativa.

L'ambiente ideale (al chiu-

so) è naturalmente l'openspace di pianta approssimati-vamente circolare, con ac-cess point installato al cen-tro, condizioni difficilmenterispettate; se, invece, lo sta-bile è suddiviso in stanze conpareti spesse e la pianta hauna forma per lo più lineare, èimprobabile che con un sin-golo access point dotato diantenna omnidirezionale sipossa riuscire a coprirlo inte-gralmente con efficienzauniforme.

La soluzione più sempliceconsiste nell'installazione didue o più access point, se so-no disponibili prese di retefissa ben posizionate a cuicollegarli, oppure semplice-mente nell'installazione diuno o più wireless range ex-tender, fino a coprire tutto lospazio richiesto.

Gli extender, che si com-portano come vere e proprieprolunghe di copertura wire-less, funzionano in collabora-zione con access point o wi-reless router che supportanolo standard WDS (Wireless Di-stribution System) (figura 19).

Tipo di applicazioni e di traffico sulla rete

Molto importante per l’ef-fettuazione di una correttavalutazione del fabbisogno dibanda è una riflessione sul ti-po di uso che gli utenti faran-no delle risorse in rete.

Se l'utilizzo prevalente èquello della posta elettronica,accesso web e occasionaleutilizzo di stampanti condivi-se, la natura del traffico saràdiscontinua, con picchi in-tensi ma brevi. In queste con-dizioni, se il numero di termi-nali non è troppo alto, il pro-blema non è tanto il through-put “sustained”, ma quello dipicco. Una soluzione adegua-ta potrà essere, quindi, un ac-cess point singolo operantecon la tecnologia più velocedisponibile, in modo tale dapoter gestire con la massimarapidità i burst di traffico ge-nerati dai client, poiché è im-probabile che tali picchi siverifichino contemporanea-mente.

Se invece la natura del traf-fico è di tipo più continuo eregolare, con consumo di ban-da medio-alto (download,multimedia streaming, filesharing, accesso database),non si potrà più fare grandeaffidamento su considerazio-ni statistiche: tutte le stazioniclient competono costante-mente nell'accesso alla rete.

In questa situazione lapriorità non è tanto quella diservire velocemente i picchi,ma quella di aumentare almassimo la banda complessi-va disponibile, installandopiù access point (non rangeextenders) in modo da massi-mizzare la capacità della rete.Per dirla con una metaforastradale: non tanto (o non so-lo) alzare i limiti di velocità,

ma raddoppiare o triplicare ilnumero delle corsie.

Numero di stazionida servire

Se il numero dei PC da ser-vire è molto elevato, vale lapena di considerare la possi-bilità di installare due o an-che tre access point nellastessa zona (operanti su ca-nali diversi) per aumentarela banda disponibile com-plessiva e ripartire il carico direte su tre WLAN indipenden-ti. Questa è una situazioneabbastanza comune nel casodei luoghi pubblici attrezzaticon hot spots.

L'installazione di accesspoint indipendenti aiuta an-che nelle situazioni di elevatocarico, in cui le applicazioniusate generano con conti-nuità un elevato volume ditraffico. Tuttavia, se le posta-zioni di lavoro sono fisse e vi-cine fra loro e hanno requisitidi questo tipo, va detto che lasoluzione wireless non è lapiù appropriata nè la più eco-nomica per gestire situazionisimili: molto meglio affidarsi auna rete cablata e alla sua ca-pacità ben maggiore.

Esigenze di sicurezzaNella III puntata affrontere-

mo in modo approfondito iltema della sicurezza, di im-portanza cruciale per le retiwireless.

Qui ci limitiamo a segnala-re che, dal punto di vista del-la checklist per la scelta degliapparati, sarà opportuno op-tare per prodotti che suppor-tano standard crittograficiadeguati all'importanza deidati da gestire: se per una re-te domestica dedicata all'in-trattenimento può anche ba-stare il modesto livello di si-curezza degli standard WEP(meglio se a 128 bit o più),per applicazioni professiona-li e aziendali è certamentemeglio esigere il supportoper i ben più sicuri standardWPA e WPA2.

Altre funzioni assai utili perla sicurezza, da considerarecome misure coadiuvanti enon sostitutive rispetto aWEP e WPA/WPA2, sono il fil-traggio dei pacchetti in baseal MAC address, la disattiva-zione del broadcast del SSID el'utilizzo di uno schema802.1x basato su server di au-tenticazione di rete. �

Una soluzione PoE è composta da un'unità injector e uno splitter: i due moduli vannocollegati con un semplice cavo Categoria 5 lungo fino a 100 metri circa, chetrasporterà dati e alimentazione all'unità access point

18

Un range extender come il MAXg 5441 riceve dall’access point i segnali indeboliti dalla distanza, e li ripropone amplificati nei propridintorni consentendo il collegamento a dispositivi altrimenti troppo lontani dall’access point

19

“Puro" o combinato confunzioni di router emagari anche di prin-

ter server e modem xDSL, l'ac-cess point (fig.1) è il compo-nente basilare di tutte le retiwireless non banali gestite inmodo centralizzato e con nu-mero di client medio-alto.

Si tratta delle reti operantinel cosiddetto infrastructuremode in cui ogni stazioneclient, equipaggiata con unaopportuna scheda di rete wi-reless, si collega su un canaleprestabilito a una stazione fis-sa - l'access point - che funzio-na da hub di rete wireless econsente innanzitutto la co-municazione wireless fra tutti iclient e assicura, se prevista,anche l'interconnessione conla rete fissa per consentire l'u-scita verso Internet.

L'installazione fisica dell'ac-cess point non desta perples-sità dal punto di vista del ca-blaggio ma è utile dedicare ladovuta attenzione al posizio-namento fisico dell'unità. In-fatti il buon funzionamentodella rete dipende dalla stabi-lità delle associazioni che iclient formano con la stazionebase ed essa a sua volta di-pende dalla potenza di segnalericevuta. Chiaramente la po-tenza rilevata da ciascunamacchina client sarà tanto mi-nore quanto maggiore sarà ladistanza di quel particolareclient dall'access point.

È necessario fare in modoche le stazioni più lontane noncaptino un livello di segnalecosì basso da rendere instabi-le l'associazione e inaccettabi-li le prestazioni.

Per ottimizzare il funziona-mento generale di una rete "in-frastructure mode" sarà quin-

di importante posizionare l'ac-cess point vicino al "baricen-tro" della popolazione client enon semplicemente nel centrogeometrico dell'area da essaoccupata.

Per esempio, se le stazioniclient sono distribuite in modoirregolare come nella situazio-ne rappresentata in figura 2,dove sono presenti un gruppopiuttosto concentrato (in bas-so) e alcune postazioni più"sparse" (in alto), posizionarel'access point nel centro geo-metrico, come in figura 3, nonè la scelta migliore in quantosolo una minoranza dei clientcade entro il raggio di coper-tura efficace, mentre un altrogruppo si trova a una distanzache rende a malapena possibi-le il collegamento e un terzogruppo, il più numeroso, è difatto fuori portata.

Posizionando l'accesspoint nel "baricentro" dellapopolazione, ossia vicino algruppo prevalente, riusciamoinvece a servire almeno que-ste stazioni con ottima inten-sità di segnale; le stazioni piùlontane potranno essere ser-vite da un secondo accesspoint (figura 4).

Questioni simili si pongonoanche qualora la popolazioneclient da servire sia numerosae relativamente ben distribui-ta nell'ambiente, ma con deilocali comunque troppo ampiper poter essere coperti da ununico access point anche seubicato nel baricentro, e conun numero dei client talmentealto che la banda degli accesspoint sarebbe condivisa fratroppi utilizzatori, con uninaccettabile degrado di pre-stazioni. In questo caso è pos-sibile, per esempio, procedere

per gradi, assicurando primala copertura di segnale me-diante un adeguato numero eposizionamento di accesspoint e poi sovrapponendouno o più access point sup-plementari per ripartire me-glio la domanda di banda.

Naturalmente le frequenzedi lavoro degli access pointoperanti in aree sovrappostedovranno essere scelte in mo-do tale da evitare conflitti edinterferenze.

Se uffici o abitazioni vicinioccupano già quasi tutti i ca-nali Wi-Fi, oppure se non èpossibile passare cavi per col-legare alla rete wired tutti gliaccess point installati, la solu-zione appena descritta, conaccess points multipli e fre-quenze differenziate, non saràapplicabile.

Sarà comunque possibilegestire una rete estesa utiliz-zando dei particolari apparatinoti come range extenders che,

PC Open Maggio 200680


� Mobile

Reti Wi-FiCreare e usare la reteInstallazione e configurazione di access point, router e altri dispositivi fissi







IL CALENDARIO DELLE LEZIONI

�

L'access point è ilcomponente dibase di ogni retewireless di tipoInfrastructure.Esistono siaaccess point"puri", comequello quirappresentato, siamodelli integraticon funzioni diRouter, modemxDSL, switch,firewall e printserver

1

di Marco Mussini

collocati nella periferia delcampo di copertura radio diun access point, laddove il li-vello di potenza ricevuto èprossimo al limite minimo ne-cessario per permettere l'as-sociazione, ne amplificano ilsegnale migliorando la coper-tura wireless nel proprio in-torno (figura 5).

Questi dispositivi non ri-chiedono connessione Ether-net (se non per la configura-zione iniziale, prima di esseremessi in servizio); una volta inesercizio si "accontentano"della sola alimentazione, il chesemplifica l'installazione fisicadato che è sufficiente la vici-nanza di una presa di corrente.

I range extenders lavoranosullo stesso canale dell'accesspoint per il quale fanno da ri-petitori, pertanto aiutano adaggirare il problema dell'occu-pazione dei canali garantendola copertura radio su un'areamolto più estesa, anche se, adifferenza della soluzione ba-sata su access point multipli,non possono assicurare un au-mento di banda complessivadisponibile.

È bene ricordare che perchél'architettura basata su "ac-cess point + range extenders"possa funzionare, è necessarioche sia il primo sia i secondisupportino lo standard Wire-less Distribution System (WDS).Inoltre gli apparati in gioco de-vono lavorare tutti sullo stes-so canale e con le stesse chia-vi crittografiche. È invece con-sentito che a ogni range exten-der venga assegnato un ESSIDdiverso; questo facilita il rico-noscimento della sorgente di

segnale in quelle stazioniclient che si trovano in una zo-na coperta sia dall'accesspoint sia dal range extender.

Nel collocare l'access pointsi deve anche tener conto delfatto che la distanza non è l'u-nico fattore responsabile del-l'attenuazione del segnale os-servata dal client.

Numero, spessore e perfinomateriale delle pareti da attra-versare giocano un ruolo mol-to importante. Le pareti divi-sorie sottili in legno o carton-gesso hanno l'assorbimentopiù modesto, mentre vetro,mattoni, marmo, calcestruzzoe ferro, in questo ordine, pro-vocano un'attenuazione viavia crescente, ma in generalequalunque oggetto solido in-contrato dal segnale comportaun'assorbimento maggiore diquello che caratterizza la pro-pagazione libera in aria.

Per ridurre la probabilitàche degli oggetti come mobili,divisori e suppellettili si inter-pongano fra l'antenna dell'ac-cess point e quella del client, èconsigliabile installare l'accesspoint in posizione elevata,possibilmente vicino al soffit-to; evidentemente questo puòcomportare complicazioni perquanto riguarda l'alimentazio-ne e la connessione di rete fis-sa, che in genere sono dispo-nibili a livello del pavimento odei tavoli.

Configurazione Access Point. Gli access points US Robo-

tics MAXg sono forniti con unacomoda utility per Windowsche ne facilita l'identificazioneuna volta che siano stati colle-

gati alla LAN Ethernet per la fa-se di prima configurazione.

Innanzitutto, se il PC su cuigira l’utility è equipaggiato dipiù di una scheda di rete, si de-ve scegliere quella sulla qualedovrà essere condotta la ri-cerca dell'access point: se stia-mo configurando l'accesspoint per la prima volta, essonon sarà ancora raggiungibilevia Wi-Fi, ma solo dalla LAN wi-red. Selezioniamo la scheda direte opportuna e scegliamoAvanti. Dopo una fase di ricer-ca che può durare anche unaquindicina di secondi, verran-no elencati i dispositivi rileva-ti. Scegliamo dall'elenco l'ac-cess point giusto in base alsuo MAC address (che andràconfrontato, per riscontro,con quello riportato sull'eti-chetta apposta sotto la basedell'apparecchio). Premendoancora Avanti, l’utility si pre-dispone a lanciare un webbrowser aperto sull'interfac-cia di configurazione dell'ac-cess point in questione.

L'interfaccia di controllo delMAXg 5451 si articola in varieschede tematiche: Status, Log,

Security, Wireless, LAN e Devi-ce (figura 6). Le impostazionida effettuare per prime si tro-vano nella scheda Security, do-ve abbiamo innanzitutto lapossibilità di definire il login ela password per l'accesso am-ministrativo. Vi è poi la sezio-ne dedicata alle impostazionicrittografiche di sicurezza. Lalinea MAXg supporta tutte letecnologie di sicurezza Wi-Fipiù recenti, incluse WPA eWPA2. In generale è preferibileadottare proprio una di questedue opzioni, per garantirsi lamassima protezione, tuttaviamolte schede di rete di vec-chia concezione non le sup-portano; in tale situazione, pergarantire l'interoperabilità conesse, sarebbe necessario sele-zionare l'obsoleto algoritmo diprotezione WEP.

A seconda dello schemacrittografico prescelto, le im-postazioni secondarie cambie-ranno: in particolare, per WEPè richiesta l'immissione di al-meno una delle 4 chiavi di ci-fratura, espressa o in hex o co-me stringa; per WPA e WPA2 èinvece prevista una più como-



3

Per gestire una rete estesa si possono utilizzare i range extenders che collocati nellaperiferia del campo di copertura radio di un access point ne amplificano il segnale

5

2 4

In questa situazione le stazioni client sono distribuite in modo irregolare. L'access point nel centro non è la scelta migliore, meglio vicino al gruppo prevalente



da modalità basata su passph-rase. Questa può avere unalunghezza compresa fra 8 e 63caratteri.

Un'ulteriore misura di pro-tezione, efficace soprattuttocome prima linea di difesa, èl'attivazione del filtro sul MACaddress dei client. Grazie aquesta opzione è possibile ri-fiutare connessioni da client"sconosciuti" all'access point.Per la configurazione non è ne-cessario conoscere e immette-re i MAC address delle schededi rete da abilitare, in quanto ilMAXg 5451 prevede una co-moda funzione Allow CurrentClients che elenca automatica-mente tutti i MAC address deiclient collegati in quel mo-mento.

Basterà controllare la lista epremere Save per completarel'intera operazione.

Nella scheda Wireless tro-viamo un'altra impostazionebasilare: quella relativa alNetwork Name, o SSID (ServiceSet Identifier). Questo identifi-catore è necessario per distin-guere le varie reti Wi-Fi ope-ranti in una stessa zona; devepertanto essere scelto in mo-do univoco per ogni AccessPoint.

La sua conoscenza è neces-saria al client per connettersialla rete desiderata. Quandoun client Wi-Fi è attivo in unaregione dove è presente consufficiente intensità il segnaledi due o più reti, tipicamente ilsistema operativo o l’utility diamministrazione delle reti wi-reless mostrerà l'elenco degliSSID di tali reti per facilitare lascelta (figura 7).

Proprio per questa ragione,una misura di protezione spes-so usata è quella di disattivareil broadcast dell'SSID. In que-sto modo, infatti, la rete rima-ne operativa e chi conosce l'S-SID può collegarvisi, ma a unattaccante risulta leggermentepiù difficile accorgersi dellapresenza della rete e tentare diconnettervisi, dato che il suonome non comparirebbe nelmenu di selezione.

Sempre nella scheda Wire-less è poi presente un'opzioneper stabilire in modo selettivoa quali Access Point sia con-sentito comportarsi da RangeExtenders in base allo stan-dard WDS; se attivata, questarestrizione richiede l'immis-sione del MAC address del di-spositivo interessato.

Per l'utilizzo di reti wirelessin un contesto di distribuzionedi contenuti multimediali instreaming è essenziale potercontare su un servizio a bandagarantita. Per questo esiste lostandard 802.11e che permet-te di definire e assicurare deiben precisi livelli di servizio(Quality of Service) grazie a unsistema di priorità fra i flussidati: si parla quindi di WirelessMultimedia Enhancements. Ap-posite opzioni avanzate con-sentono di regolare questoservizio.

Il pannello delle opzioni Wi-reless è completato da una se-rie di regolazioni concernentiil livello di potenza radio, il ca-nale Wi-Fi da usare, l'attivazio-ne della modalità 54 Mbps, l'at-tivazione della tecnologia diaccelerazione, nonché alcuniparametri avanzati che nor-

malmente non è necessariomodificare. La scheda LAN dàaccesso a un'unica, importan-te regolazione. Anche se dalpunto di vista della comunica-zione fra WLAN e LAN l'AccessPoint funziona da intermedia-rio trasparente, esso è un di-spositivo che deve essere am-ministrabile da remoto e perquesto necessita di un proprioindirizzo di rete.

Qui si stabilisce quindi sel'AP debba aspettarsi di poteracquisire tale indirizzo da unDHCP server presente sullaLAN (tipicamente integratonel router o nel modem xDSL)oppure se gli si debba asse-gnare un indirizzo statico.

L'ultima scheda, Device,concentra cinque opzioni am-ministrative, per riavviare l'Ac-cess Point, per aggiornarne ilfirmware sostituendolo conuna versione più recente sca-ricata dal sito US Robotics, persalvare le impostazioni e perrecuperarle, o infine per ripri-stinare le impostazioni di fab-brica.

Il wireless routerDal punto di vista del ca-

blaggio, un wireless router co-me il MAXg 5461 prevede unnumero piuttosto elevato diporte in quanto funge al tem-po stesso da switch di reteEthernet a 4 porte, da routercon connessione Ethernet ver-so il modem xDSL o fibra e daprinter server con presa USB,oltre a svolgere un ruolo di ac-cess point e firewall. Lo sche-ma di connessione minimoprevede un cavo Ethernet ver-so il modem broadband perl'uscita su Internet e, almenoper la prima configurazione,un secondo cavo Ethernet ver-so un PC con LAN card wired,oltre naturalmente all'alimen-tazione.

Dal punto di vista del fun-zionamento come accesspoint, ovviamente, valgono an-cora tutte le considerazionigià espresse a proposito delposizionamento in funzionedella distribuzione delle sta-zioni client. Va solo osservato

L’interfaccia di controllo dell’access point di U.S. Robotics MAXg 5451

6

La schermata di selezione della rete wireless sotto Windows XP SP1

7

Il wireless routerMAXg 5461 è undispositivoaltamenteintegrato che allefunzioni di WLANaccess pointaffianca quelle dirouter, firewall,LAN switch eprinter server, iltutto coninterfaccia dicontrollocentralizzata

8



che a differenza dell'accesspoint, che per la rete wired èsolo un client come un altro epuò essere collegato dovun-que ci sia una presa di rete, ilwireless router deve interfac-ciarsi sia con la rete locale, neicui confronti funziona da cen-tro di interconnessione, siacon il modem broadband.

Pertanto la sua collocazioneottimale dal punto di vista delcablaggio è nei dintorni delmodem, magari in un armadiodi derivazione a cui affluisca-no i cavi di rete verso le posta-zioni client: non necessaria-mente tale posizione sarà an-che la più favorevole rispettoalla dislocazione dei client neilocali da coprire.

Configurazione del RouterAnche nelle schermate e

nelle impostazioni dell'inter-faccia di configurazione e con-trollo il wireless router ricalca,almeno per quanto riguarda lefunzioni WLAN, quanto de-scritto a proposito dell'accesspoint.

Vi sono però numerose altrefunzioni da tenere sotto con-trollo attraverso varie scher-mate di configurazione speci-fiche. Vediamo quali.

Diciamo subito che le impo-stazioni fondamentali dinetworking del MAXg 5461 sieffettuano con estrema sem-plicità attraverso un wizard atre fasi. Una volta effettuati icollegamenti Ethernet con ilmodem DSL e con il PC e acce-so il dispositivo, dal PC localeè sufficiente aprire il sito al-l'indirizzo 192.168.2.1. Apparela schermata di benvenuto delwizard (figura 9), dove il pul-sante Start dà accesso alla pri-ma fase, dedicata all'imposta-zione della connessione latoInternet. Se i collegamenti so-no stati effettuati corretta-mente e se il modem broad-

band è impostato per distri-buire in DHCP un indirizzo alrouter (è l'impostazione piùcomune), le impostazioni ap-propriate vengono rilevate edeffettuate automaticamentedal MAXg 5461. In caso con-trario ci sarà chiesto di speci-ficare anzitutto il tipo di con-nessione Internet e l'eventualeMAC address che è necessariopresentare al modem broad-band per poter uscire su Inter-net; se occorre è possibile an-che specificare un indirizzo IPe un hostname ben precisi.

Premendo il pulsante Next siaccede alla seconda fase delwizard, in cui si impostano iparametri fondamentali per larete wireless: il nome della re-te (ossia il suo SSID) e la pas-sphrase da cui sarà derivata lachiave di autenticazione perWPA/WPA2. Questo è infatti ilsistema di cifratura più sicuro,preselezionato in fabbrica.

È comunque possibile di-sattivare del tutto la sicurezzaoppure cambiare il tipo di ci-fratura in seguito, dopo la con-clusione del wizard, acceden-do alla normale interfaccia dicontrollo.

La terza ed ultima fase delwizard richiede di impostarelogin e password per l'accessoamministrativo alla macchina.Ogni successivo accesso al-l'interfaccia di controllo webdel wireless router richiederàautenticazione da effettuarsicon questi dati. È quindi con-sigliabile scegliere una pas-sword adeguatamente "forte"ma anche annotare in luogo si-curo queste informazioni, ascanso di dimenticanze.

Al termine del wizard la con-figurazione minima è completae il wireless router è già in fun-zione (figura 10). Il pulsanteContinue facilita il primo ac-cesso all'interfaccia di con-trollo standard, che come già

detto assomiglia molto a quel-la dell'access point "puro". Cilimiteremo quindi a descriver-ne le parti specifiche per ilMAXg 5461.

Una volta superato il con-trollo d'accesso immettendologin e password si presenta laschermata introduttiva, chepresenta una sinossi con l'i-dentificazione del dispositivoe di tutte le principali impo-stazioni relative alla security,alla WLAN, alla connessioneInternet e alla LAN, nonché unelenco dei client attualmentecollegati sia sulla WLAN siasulla LAN con l'indicazione deirispettivi MAC address, IP ad-dress e hostnames. È riportatoanche lo stato dell'eventualestampante USB collegata alrouter e sono indicati indirizzoe porta da usare per configu-rare l'accesso a tale stampantedai PC della rete.

Nella seconda scheda, Log,è possibile attivare o disatti-vare la traccia cronologica(log) degli eventi salienti ri-guardanti l'attività del router el'access point: essenzialmente,le connessioni accettate e

quelle rifiutate. È inoltre pos-sibile configurare il dispositi-vo perché mandi automatica-mente il log a un indirizzo direte (che deve corrisponderea una macchina con installatoun apposito software).

La scheda Internet gestiscegli aspetti della connettivitàlato ISP via broadband mo-dem. Le opzioni presenti con-sentono di scegliere fra indi-rizzo statico o dinamico, di im-postare una eventuale rete pri-vata virtuale (VPN) basata sutunneling punto-punto, di as-segnare un hostname e unMAC address specifico al rou-ter, di consentire l'accesso am-ministrativo da Internet anzi-ché solo dalla LAN/WLAN e diimpostare eventuali regole dirouting statico. Quando, comeavviene nella maggior partedei casi, il provider Internetprevede l'assegnazione di unIP address dinamico, di fattonon occorre modificare questeopzioni perché il MAXg 5461 siautoconfigura senza richiede-re alcun intervento, come ab-biamo visto nella prima fasedel wizard.

La schermata di benvenuto del wizard che aiuta ad impostare il router

9

A questo punto la configurazione minima è completa e il wireless router è in funzione

10

La scheda Firewall consente di limitare l’accesso ad Internet di applicazioni o servizi

11



La scheda Firewall (figura11) consente di limitare l'ac-cesso a Internet da parte dicerte applicazioni o servizi incerte fasce orarie o in certegiornate. Sono inoltre presentile funzionalità di Port Trigge-ring - utile soprattutto peraprire una "breccia" tempora-nea nel firewall ad uso di certigiochi e di certe applicazionicome alcuni client di InstantMessaging - e Port Forwarding,utile per ridirigere verso unparticolare client della LANcerti tipi di traffico provenien-te da Internet. Si può infine de-finire una cosiddetta Demilita-rized Zone (DMZ), ossia un PCche pur trovandosi fisicamen-te connesso alla LAN o WLANverrà trattato dal router comese fosse esposto direttamentea Internet, senza alcun filtro.Una DMZ è utile, per esempio,per gestire un sito Web su unPC della rete locale senza do-ver per questo complicare i ca-blaggi per interporre fisica-mente tale PC fra l'ISP e il rou-ter.

Nella scheda Wireless ritro-viamo impostazioni già vistenel caso dell'Access Point.

Sono però presenti alcuneopzioni aggiuntive, come Ac-cess Point Isolation, che inibi-sce la condivisione di file estampanti nell'ambito della re-te wireless consentendo aiclient esclusivamente l'acces-so Internet (utile per Internetcafé e altri hot spot pubblici),e Bridge mode, con cui l'ac-cess point integrato nel MAXg5461 sarà programmato percollegarsi esclusivamente conun altro access point: sarannorifiutate connessioni direttedai client al wireless router. Lafunzione Bridge è sfruttabile,ad esempio, per creare senzafili una interconnessione fradue LAN cablate preesistenti.

Adattatori client:PC Card informato PCMCIA

La soluzione più pratica peraggiungere il supporto Wi-Fi aun notebook che non ne sia giàprovvisto è sicuramente l'ag-giunta di una scheda di rete ditipo PCMCIA, da inserire nel-l'apposito slot. Questa solu-zione comporta una leggerasporgenza dalla sagoma del

portatile, comunque di entitànettamente inferiore a quellache caratterizza gli adattatoriUSB. La parte sporgente, checontiene l'antenna, serve an-che per ospitare uno o dueLED che monitorano il funzio-namento: nel caso della MAXg5411 troviamo un primo LEDche indica l'avvenuta connes-sione e un secondo LED chesegnala l'effettivo traffico datiin corso.

Un vantaggio di questo tipodi schede è proprio quello dilasciare libere le preziose por-te USB che sui portatili spessoscarseggiano. Lo slot PCMCIA,invece, è presente su tutti ilaptop e, a differenza di quan-to accadeva un tempo, di soli-to rimane inutilizzato, vistoche ormai qualsiasi modellointegra modem, scheda di reteEthernet, interfacce USB equalche volta anche Firewire:tutte periferiche che in passa-to si potevano aggiungere soloinserendo una scheda PCM-CIA.

La scheda PCMCIA è una so-luzione nettamente miglioredell'adattatore USB nel caso diportatili di vecchio modello incui le porte USB sono ancoradi tipo 1.1. Infatti la banda rag-giungibile con adattatori USBWi-Fi ad alta velocità come ilMAXg 5421 è di 125 Mbps; an-che se il throughput tipico è in-feriore a questo valore, unaconnessione USB 1.1 (12 Mb-ps) appare del tutto insuffi-ciente a gestire il flusso di datie costringe a "sprecare" buonaparte delle prestazioni che l'a-dattatore di rete permettereb-be di raggiungere.

L'unico reale svantaggio del-la scheda PCMCIA rispetto aun adattatore USB sta nel fattoche non può essere riutilizza-ta, all'occorrenza, su un desk-top, se non con un adattatorePCI-PCMCIA di difficile reperi-bilità e che potrebbe non ga-rantire perfetta compatibilità. Iprezzi sempre più abbordabilidella componentistica Wi-Fi,

comunque, rendono l'aspettoeconomico meno rilevanteche in passato.

Installazione PC Card L'operazione si porta a ter-

mine in pochi minuti. L'accor-gimento essenziale è il solito:effettuare prima l'installazio-ne di software e driver e poi in-serire la scheda Wi-Fi nelloslot di espansione.

A questo punto verrà rico-nosciuta la scheda e sarannotrovati e installati i driver:ignorare l'eventuale avviso diWindows relativo alla man-canza della firma digitale sele-zionando Continua.

Al termine dell'installazionesarà richiesto di riavviare Win-dows, dopodiché si passerà al-la fase di configurazione, cheavviene nello stesso modo pertutti e tre i tipi di adattatoriclient (ne parliamo in sezione aparte).

Adattatore USBQuesto formato è il più uni-

versale, essendo utilizzabilecon qualunque PC disponga diuna connessione USB. Il fun-zionamento ideale si ottienecollegandolo a una porta USB2.0, anche se rimane possibileutilizzarlo anche con una piùantiquata porta USB 1.1.

Quest'ultima però non di-spone di una banda sufficientea reggere il flusso di dati rag-giungibile con le tecnologie diaccelerazione adottate da pro-dotti come il MAXg 5421, cheal pari degli altri adattatoridella sua gamma è in grado dilavorare alla velocità nominaledi 125 Mbps sulla tratta radio.

Abbiamo verificato che il 5421,anche se collegato a una portaUSB 1.1, non degrada "volon-tariamente" la modalità di la-voro Wi-Fi per rientrare nei li-miti di banda che caratterizza-no le porte USB di vecchio tipo(12 Mbps). Il collegamento ra-dio con l'access point o (in ca-so di modalità ad hoc) con l'al-tro PC viene infatti stabilitocomunque secondo lo stan-dard di velocità più elevatosupportato dalla controparte.La "strozzatura" dovuta all'e-ventuale uso di una porta USB1.1 potrà farsi sentire sola-mente qualora il throughputeffettivo della connessione(che è sempre inferiore allavelocità nominale) superi i 12Mbps e lo stesso faccia il traf-fico effettivamente scambiato.Nella navigazione Web questoè oggi estremamente improba-bile, mentre nell'utilizzo in retelocale, per condividere file estampanti, lo scenario potreb-be verificarsi. Va comunquetenuto conto del fatto che inuna rete Wi-Fi con numerosiutenti la banda disponibile vie-ne condivisa fra i client con-temporaneamente attivi sullarete ed è quindi improbabileche ognuno di essi "veda" sta-bilmente, tutta per sé, unabanda efficace molto maggioredei 12 Mbps che la USB 1.1 è ingrado di gestire.

In genere gli adattatori Wi-Fidi tipo USB hanno dalla loroparte una più facile reperibi-lità nei negozi e un prezzo "sustrada" spesso inferiore aquello di prodotti equivalentiin formato PCMCIA: due con-seguenze del fatto che il mer-cato degli adattatori USB è in-dubbiamente più vasto, pro-prio in ragione della maggiorversatilità di questo formato.

Dal punto di vista della pra-ticità d'uso rileviamo comemolti adattatori USB presenti-no il problema di una sagomaingombrante che può rendereproblematica l'installazione suquei PC nei quali le porte USBrisultino troppo ravvicinate(succede sia nei notebook sianel pannello posteriore dei de-sktop); in questi casi per riu-

Una scheda Wi-Fi informato PCMCIA. Sitratta dellasoluzione ideale peraggiungere lafunzionalità diwireless networkingad un PC portatile

12

Il MAXg 5421 da125 Mbps è unadattatore di rete Wi-Fi in formato USB

13



scire a collegare l'adattatoresenza dover rinunciare a usareuna porta adiacente può esse-re necessario attrezzarsi conun cavetto di prolunga USB,spesso fornito con il prodotto.

Una soluzione più praticaprevede che l'adattatore di re-te USB disponga di uno snodoche consenta da un lato diorientare l'antenna in modo ta-le da captare un segnale piùforte, dall'altro di non rendereinaccessibile la porta USBadiacente.

Il MAXg 5421 adotta sul con-nettore un originale snodo adue gradi di libertà che con-sente l'installazione anche sul-le porte USB più... recondite epermette un orientamento ot-timale dell'antenna, eliminan-do nel contempo il fastidio didover ricorrere a scomodi ca-vetti di prolunga.

Installazione adattatore USBLa procedura segue il clas-

sico copione di qualsiasi peri-ferica USB che richieda l'in-stallazione di un driver: primasi procede all'installazione delsoftware fornito su CD ROM epoi si collega l'adattatore auna porta USB. Come nel casoPCMCIA, sarà richiesto unriavvio e potrà apparire unmessaggio di Windows relati-vo alla mancanza di firma digi-tale sul driver: ignorarlo pre-mendo Continua e terminarel'installazione.

Scheda PCIQuesta soluzione è l'esatto

equivalente per sistemi desk-top della soluzione PCMCIAper i notebook. L'installazioneè "solida" e stabile, con lascheda che sparisce all'inter-no della macchina (antennaesclusa) e non occupa prezio-se porte USB; il funzionamentoavviene alla massima velocitàconsentita dalle condizioni ra-

dio, senza rischi di "strozzatu-re" che caratterizzano invecegli adattatori Wi-Fi USB se usa-ti su porte USB 1.1. Per PC ob-soleti, privi di porte USB 2.0, lascheda PCI rappresenta quindila scelta più semplice.

L'antenna orientabile è fis-sata al retro della scheda conun connettore filettato checonsente di smontarla per fa-cilitare l'installazione nel com-puter; spesso è prevista an-che la possibilità di collegarlain posizione diversa, peresempio più elevata, interpo-nendo un cavo di prolunga,oppure di sostituirla con unaantenna a maggior guadagnoper migliorare la stabilità delcollegamento in zone periferi-che dell'area coperta dall'ac-cess point.

Installazione scheda PCI Dopo aver effettuato l'in-

stallazione del software verràrichiesto di spegnere il PC eprocedere all'installazione fi-sica della scheda su uno slotPCI libero.

Al riavvio la scheda verrà ri-levata e il necessario driversarà automaticamente instal-lato. Ignorare, in questa fase,l'eventuale avviso di Windowscirca l'assenza di firma digitalesul driver.

Configurazionedegli adattatoriclient

Windows XP dispone di unasua interfaccia di gestione del-le reti wireless che si attivaqualora sia stata riconosciutala presenza di una scheda direte Wi-Fi e questa sia priva diuno specifico software di ge-stione fornito dal produttore.In caso contrario, per evitareconflitti, l'interfaccia si disatti-va automaticamente e delegala gestione e il monitoraggio

della scheda di rete a talesoftware (figura 15).

È il caso delle schede dellaserie MAXg, che dispongonodi una comoda utility proprie-taria in cui tutte le regolazioninecessarie e quelle avanzatevengono concentrate in ununico "pannello di controllo"richiamabile da un'icona in-stallata nell'area di notificadella barra di stato del desk-top (figura 16).

Oltre a questa utility di con-figurazione generale, utilizza-bile per ritocchi alle imposta-zioni successivi alla prima in-stallazione o per passare facil-mente da una rete all'altra, èprevista una procedura guida-ta per la prima configurazione,che viene eseguita automati-camente al termine della fasedi installazione per tutti e tre itipi di adattatore Wi-Fi clientdella serie MAXg. Le imposta-zioni richieste sono quelle dibase; è sufficiente scegliere daun elenco la rete wireless a cuisi intende collegarsi, oppureimmetterne manualmente l'S-SID; si sceglie poi il tipo di tec-nologia di sicurezza da attiva-re - per esempio WEP, WPA,WPA2 - e, a seconda della scel-ta fatta, si dovranno poi inse-rire le eventuali chiavi critto-grafiche necessarie per l'ac-cesso. Al termine, se le impo-stazioni immesse sono corret-te, nell'area di notifica un ap-posito messaggio segnaleràl'avvenuta connessione alla re-te (figura 17).

Condivisione di stampantiEsistono due opzioni princi-

pali per condividere una stam-pante in una rete wireless. Ac-canto alla soluzione classica,in cui la stampante è collegataa un PC (per esempio con Win-dows XP) e questo PC è confi-gurato per condividerla in re-te, esiste anche la possibilità

di scegliere modelli di stam-pante dotati internamente discheda di rete oppure equi-paggiati con un adattatoreesterno, spesso definito wire-less printer server, collegabilealla porta parallela o USB dellastampante: questa soluzionepermette di vedere la stam-pante in rete direttamente, evi-tando di dover tenere sempreacceso il PC a cui sono colle-gate.

Il Wireless Router MAXg5461 integra direttamente que-sta funzione, in quanto graziealla sua porta USB è possibilecollegargli direttamente lastampante da condividere inrete, anche in questo caso sen-za bisogno di tenere acceso unPC solo per farlo funzionare daprinter server.

Nella prossima puntata ana-lizzeremo le questioni di sicu-rezza e prestazioni concernen-ti l'utilizzo delle WLAN percondividere file e stampanti. �

Una scheda informato PCI come laMAXg 5417 è lasoluzione ideale perconnettere allaWLAN unapostazione fissa

14

L'interfaccia dicontrollo diWindows XP perschede di retewireless sidisattivaautomaticamentese rileva lapresenza di unostrumentoequivalentefornito dalproduttore dellascheda di rete

15

Il messaggio chenotifica l’avvenutaconnessionealla rete

17

Gli adattatori client MAXg sonoconfigurabili, in caso di necessità, daquesta pratica utility "tutto in uno"raggiungibile dalla barra di stato diExplorer

16

Nelle reti wireless devonoessere affrontati e gestitigli stessi problemi di si-

curezza di una normale retecablata, più uno del tutto spe-cifico per questo tipo di reti: ilrischio di intercettazione daparte di terminali che si trova-no semplicemente nelle vici-nanze dei locali dell'organizza-zione che possiede la rete.

Infatti, in una normale retelocale Ethernet, supponendodi aver adeguatamente sbarra-to la strada ad accessi da In-ternet per mezzo di firewall ealtre misure complementari,la cattura del traffico circolan-te sulla LAN richiederebbe ilcollegamento fisico con un di-spositivo di rete o l'installa-zione di una derivazione daun cavo di rete. Inoltre, a se-conda della struttura della re-te, la porzione di traffico com-plessivo catturabile dipendedal punto in cui fisicamente sieffettua il collegamento o lacaptazione. In una topologia direte wired basata su un Ether-

net switch che fa da centrostella, collegato con cavi indi-viduali a ogni singola posta-zione, collegarsi allo switch oa uno di questi cavi consentedi captare fondamentalmenteil solo traffico che origina otermina sul PC attestato all'e-stremità della tratta interessa-ta (più il traffico broadcast).Risulta quindi difficile, in unarete del genere, catturare tuttoil traffico fra un PC e l'altro del-la LAN.

Con una LAN wireless(WLAN) invece questo è pos-sibile (almeno da un punto divista fisico ed elettromagneti-co) da qualunque punto dell'a-rea coperta con sufficiente po-tenza dal segnale Wi-Fi emessodall'access point o dalle sche-de di rete delle altre macchineche partecipano alla WLAN.

A condizione di trovarsisemplicemente entro una di-stanza non eccessiva dall'ac-cess point e dalle postazioni dilavoro, tenuto conto anchedelle pareti e degli altri osta-

coli alla propagazione radioche provocano un'attenuazio-ne del livello di campo rileva-bile, il PC dell'intruso potreb-be captare tutto il trafficoscambiato fra l'access point euno qualunque degli host del-la rete wireless.

Questo richiede che tale PCdisponga di una scheda di retewireless capace di funzionarein "promiscuous mode": sitratta di una modalità operati-va nella quale la scheda di re-te passa al sistema operativolocale non solamente i pac-chetti ricevuti che risultanodiretti al proprio MAC address(e che quindi è legittimo pren-dere in considerazione) matutti quelli captati.

In tal modo, un appositoprogramma (sniffer) potràesaminare anche i pacchettidestinati ad altri host e maga-ri memorizzarli, per riesami-narli con comodo fuori linea.

Uno sniffer freeware davveroeccellente è, per esempio,Ethereal (fig. 1).

Quasi tutte le schede wire-less possono funzionare in"promiscuous mode": quandoquesto non è possibile, si trat-ta generalmente di una restri-zione del driver. Può anche es-servi una restrizione impostadal sistema operativo, tale percui l'attivazione del promi-scuous mode viene consentitasolamente all'utente ammini-stratore della macchina. Su unsistema come un PC tuttavia ilproblema di procurarsi privi-legi amministrativi non costi-tuisce certo un ostacolo.

Il rilevamento della presen-za nella WLAN di un PC in"promiscuous mode", per indi-viduare eventuali attaccanti,non è purtroppo impresa faci-le: esistono tecniche basatesul riconoscimento del trafficospurio che a volte questi PC

PC Open Giugno 200682


� Mobile

Reti Wi-FiRendere sicure le wireless LANTutorial sulle varie tipologie di protezione. Ecco come riconoscere e risolvere i problemi più comuni







IL CALENDARIO DELLE LEZIONI

�

Ethereal (www.ethereal.com) è un eccellente sniffer di rete gratuito di impiegogenerale. Utile sia per chi indaga su sospette intrusioni, sia per chi le effettua

1

di Marco Mussini

Videocorsoallegato

a PC Open

sono portati a emettere, manon sono né di semplice im-piego né di efficacia garantita.L'unica difesa efficace è la pre-venzione.

Oltre al rischio delle inter-cettazioni, le WLAN presenta-no anche il rischio di intromis-sioni temporanee anche dibreve durata, finalizzate o acausare danno e disservizioalla rete attaccata o - minacciapiù sottile ma non meno seria- a sfruttare la WLAN violatasolo per accedere gratis, attra-verso essa, ad Internet. Que-sto accesso non autorizzato aInternet potrebbe a sua voltaessere finalizzato a sferrare at-tacchi a siti Internet. Così, finoa dimostrazione del contrario,gli attacchi o comportamentiilleciti apparirebbero prove-nienti da un host appartenen-te alla WLAN violata, con pos-sibili conseguenze per chi ne èamministratore, responsabilesicurezza e legittimo utilizza-tore.

In una WLAN installata in unedificio isolato e abbondante-mente distante dal perimetrodella proprietà il segnale po-trebbe anche non arrivare al-l'esterno con un'intensità suf-ficiente per intercettazioni edintromissioni: in questo caso ilrischio descritto sarebbe me-no grave (non si dimentichicomunque che l'attaccante po-trebbe impiegare un'antennaad altissimo guadagno e cap-tare ancora utilmente segnaliormai debolissimi).

Lo scenario nel quale l'am-piezza della proprietà è tale dagarantire una sufficiente atte-nuazione di segnale già entro isuoi confini è però pratica-mente irreale. Nella stragran-de maggioranza delle situazio-ni, le reti WLAN sono installatein appartamenti e uffici ubica-ti in luoghi ad alta densità abi-tativa. In queste situazioni,tutto quello che separa i pro-pri locali da quelli dei poten-ziali cracker è in genere unasemplice parete non scherma-ta: ci vuole ben altro per atte-nuare il segnale Wi-Fi portan-dolo a livelli che rendano im-possibile l'intercettazione.

Senza adeguate misure disicurezza, in conclusione, latecnologia Wi-Fi sarebbe asso-lutamente incompatibile conun utilizzo professionale o an-che solo personale.

Per questo esistono tecno-logie che proteggono i datiscambiati via etere da inter-cettazioni ed accessi non au-torizzati. Queste contromisuresono basate sia su tecnichecrittografiche (WEP, WPA,WPA2) sia su semplici accorgi-menti prudenziali in grado diaumentare il grado di sicurez-za se usati in sinergia con leprime.

Protezioni WEP,WPA, WPA2WEP (Wired EquivalentPrivacy)

La tecnologia WEP (fig. 2) èla più vecchia forma di prote-zione crittografica del trafficoWi-Fi ed è infatti supportata datutti i dispositivi 802.11x. WEPutilizza uno schema di cifratu-ra basato sull'algoritmo RC4 esull'impiego di chiavi a 64, 128o 256 bit; come al solito, achiavi di lunghezza maggiorecorrisponde una sicurezzamaggiore.

Tuttavia WEP, a causa di al-cune caratteristiche del proto-collo su cui si basa, non offreuna sicurezza sufficientemen-te alta per mettere al riparodati di grande importanza: ri-sale ormai ad alcuni anni fa lanotizia della scoperta di meto-di per scoprire la chiave se-greta WEP analizzando unaquantità sufficiente di trafficoWLAN (dell'ordine di 1-2 milio-ni di pacchetti). Questo richie-

de di captare pacchetti per untempo sufficientemente lungo:in caso di traffico elevato pos-sono bastare poche ore.

Questo tempo cresce al cre-scere della lunghezza dellachiave usata, tuttavia esistonoschemi di attacco attivi neiquali con opportune tecnichesi inducono gli host dellaWLAN a produrre traffico ad-dizionale, abbreviando di fattoil tempo richiesto per la sco-perta delle chiavi.

Il principale punto di debo-lezza del WEP è legato all'in-sufficiente lunghezza del co-siddetto Initialization Vector(IV). Si tratta di una sequenzadi 24 bit pseudocasuali, ognivolta diversi, che vengono af-fiancati ai bit forniti dalla chia-ve al fine di costruire una chia-ve complessiva che abbia al-meno una parte immune da ri-petizioni. Lo scopo dell'ag-giunta di questa parte è quellodi contrastare gli attacchi al-l'algoritmo RC4 che sarebberofacilitati da un utilizzo ripetiti-vo delle stesse chiavi. Così,per esempio, quando si parladi "WEP a 128 bit" in realtà lachiave è formata da due parti:104 bit provengono dalla chia-ve impostata dall'utente, men-tre 24 bit rappresentano l'Ini-tialization Vector.

Purtroppo 24 bit corrispon-dono a "solo" 16.777.216 com-binazioni: troppo poche perabbassare a sufficienza la pro-babilità di un riutilizzo dellastessa chiave entro un tempolimitato.

La contromossa consistenel cambiare molto frequente-mente la chiave WEP, ma l’e-sperienza insegna che per pi-grizia, per negligenza o persemplice mancanza di tempo,sono molti gli utenti e gli am-ministratori di rete che non lofanno sufficientemente spes-so. Peggio ancora, perduraspecialmente in ambito dome-stico la pericolosa abitudine diinstallare una WLAN senza at-tivare alcun tipo di protezionecrittografica su di essa.

Data la provata fragilità delWEP come schema di prote-zione Wi-Fi, va senz’altro rac-comandata l'adozione di stan-dard più sicuri ed avanzatiquali WPA e il recentissimoWPA2. Questo potrebbe ri-chiedere un upgrade degli ap-parati di rete più vecchi, se ca-paci di supportare solo il “ve-tusto” WEP.

WPA (Wireless ProtectedAccess)

In considerazione delle de-bolezze dello standard WEP,(fig. 3) l'IEEE diede inizio ai la-vori per un nuovo standardche assicurasse una adeguatasicurezza nelle WLAN. L'atti-vità del comitato 802.11iavrebbe portato, nel giugno2004, alla ratifica della bozzadi standard omonimo. Nel frat-tempo, però, la Wi-Fi Alliance,di cui sono membri molti pro-duttori di dispositivi Wi-Fi,standardizzava fin dal 2003una soluzione intermedia chegià di per sè garantiva un saltodi qualità rispetto al WEP, eche numerosi prodotti si af-frettarono ad adottare: il WPA.

Nel sistema WPA le comuni-cazioni sono protette ancoramediante crittografia RC4, macon importanti miglioramentirispetto allo schema WEP.

Innanzitutto viene usatauna chiave di 128 bit abbinatacon un Initialization Vector(IV) la cui lunghezza è stataportata da 24 a 48 bit: que-st'ultima misura di sicurezzada sola rende circa 16 milionidi volte più improbabile che siripeta un determinato valoredi IV, e quindi rende propor-zionalmente più difficili gli at-tacchi basati sul rilevamentodi tale circostanza.

Nel WPA l'RC4 è inoltre af-fiancato dal Temporal Key In-tegrity Protocol (TKIP), unoschema di cambiamento pe-riodico automatico delle chia-vi di cifratura che rispetto alWEP rende molto più difficiligli attacchi statistici che ten-



3

2

WEP (Wired Equivalent Privacy) fu laprima forma di protezione crittograficaimpiegata sulla tratta radio delle reti Wi-Fi. Non offre una protezione sufficiente:un attaccante competente e attrezzatopuò violarla nel giro di qualche orasemplicemente ascoltando il traffico

WPA (Wi-Fi Protected Access) elimina oriduce in modo netto tutte le debolezzeconosciute del WEP e garantisce unasicurezza finalmente adeguata



tano di scoprire la chiave ba-sandosi sull'analisi di brani dicomunicazione sufficiente-mente lunghi.

Il protocollo TKIP usato dalsistema WPA introduce inol-tre misure di protezione ag-giuntive contro l'alterazioneintenzionale dei pacchetti ascopo di attacco.

Appena questa circostanzaviene rilevata, le chiavi vengo-no immediatamente cambiatein modo automatico.

Oltre alla confidenzialità,anche l'integrità dei messaggiè tutelata molto meglio inWPA. Il WEP fa uso di un con-trollo basato su codice a ri-dondanza ciclica, o Cyclic Re-dundancy Check (CRC), relati-vamente facile da falsificare. Intal modo, pur non conoscendole chiavi di cifratura WEP, èpossibile alterare il contenutodi un pacchetto e adeguare ilCRC in modo tale che il pac-chetto sembri valido e che l'al-terazione non venga scoperta.Inoltre il sistema usato da WEPprotegge il contenuto dei pac-chetti, ma non il loro header.

WPA invece protegge l'inte-ro pacchetto (header+conte-nuto), impiegando un robustosistema Message IntegrityCheck (MIC) che si basa suchecksum crittografico da 8byte. L'utilizzo di un check-sum crittografico assicura cherisulti assolutamente arduoper l'attaccante riuscire a tro-vare un messaggio che dia luo-go a un checksum uguale, per-mettendo di falsificare il pac-chetto senza essere scoperto.

Altro miglioramento di fon-damentale importanza rispet-to al WEP consiste nel fattoche fra gli "ingredienti" delMIC vi è anche un contatoreche assume valori diversi perogni frame: ciò dà modo al ri-cevente di controllare se ilpacchetto ricevuto fa parte diuna sequenza integra. Questoespediente evita che un attac-cante possa semplicementememorizzare un certo insiemedi pacchetti captati e succes-sivamente rispedirli per cau-sare confusione e disserviziooppure per ottenere la ripeti-zione di una azione (replay at-tack).

Sempre a proposito dellechiavi crittografiche usate bi-sogna sottolineare il fatto chementre in WEP la chiave è lastessa per tutti gli utenti (ho-st) della rete e per tutti i pac-

chetti, in WPA è previsto cheogni host possa utilizzare unachiave specifica. Tale chiavedeve essere distribuita alleparti interessate da un serverdi autenticazione sicuro, co-me RADIUS.

In ambito domestico o neipiccoli uffici (Small Office-Ho-me Office: SOHO) tale infra-struttura di sicurezza potreb-be mancare; in questo caso sifa uso invece di un più sempli-ce schema basato su una chia-ve concordata in precedenza(pre-shared key, PSK).

WPA2 (802.11i)Il sistema WPA2 (fig. 4) è

una implementazione comple-ta dello standard ufficiale IEEE802.11i e differisce da WPAprincipalmente per il fatto cheoffre l'opzione di attivare un al-goritmo crittografico ancorapiù sicuro dell'RC4, precisa-mente l'Advanced EncryptionStandard (AES), successoredell'obsoleto Data EncryptionStandard (DES). AES garanti-sce una sicurezza molto mag-giore del DES, grazie non soloalle chiavi di 128 bit anziché 56bit, ma anche per le proprietàcrittografiche dell'algoritmo.AES è qui usato in modalitàCCMP, che prevede la conca-tenazione dei blocchi critto-grafati per ostacolare la critta-nalisi statistica o comparativadei singoli pacchetti.

Grazie all'AES la protezionedelle comunicazioni miglioranotevolmente, ma l'ovvia pre-condizione per il suo uso èche le schede di rete e gli ac-cess point in gioco siano tuttidi tipo compatibile con questosistema più avanzato.

Altre misure di protezioneDisattivazione dellatrasmissione SSID

Ogni rete Wi-Fi è caratteriz-zata da un identificatore chene rappresenta il nome pub-blico. Questo identificatore èdenominato SSID (Service SetIdentifier) ed è una stringa lun-ga fino a 32 caratteri. La cono-scenza dell'SSID della rete ènecessaria, come quella dellechiavi crittografiche, per po-tersi connettere (con l'unicaeccezione delle reti intenzio-nalmente configurate come"open" per agevolare l'accessopubblico).

Per facilitare il rilevamentodelle reti, normalmente gli ac-cess point "strillano" in conti-nuazione il proprio SSID; unterminale client può così cap-tare gli SSID delle reti esistentie presentare all'utente un me-nu delle possibilità di connes-sione. Il lato negativo di que-sta indubbia comodità è unaiuto che di fatto viene datoagli eventuali attaccanti: senzala conoscenza dell'SSID infattil'analisi diventa più difficile.Ecco perché la disabilitazionedella trasmissione dell'SSID daparte degli access point puòrappresentare una misura coa-diuvante per la sicurezza dellaWLAN (fig. 5). Va da sé chechiunque intenda collegarsi al-la rete dovrà in qualche modoconoscerne l'SSID.

Autenticazione di rete 802.1x

Lo standard IEEE 802.1x pre-scrive come debba avvenire iltransito dei messaggi di au-tenticazione EAP su una retewireless. EAP (ExtensibleAuthentication Protocol) non èaltro che un metodo genericoper supportare vari possibilimetodi di autenticazione peraccesso a una risorsa di rete. Ènato originariamente per ge-neralizzare la procedura di au-tenticazione usata nel proto-collo PPP su cui si basano mol-ti schemi di connessione dial-in.

Con EAP (e quindi con802.1x) l'autenticazione nel-l'accesso alla rete avviene av-valendosi dell'intermediazio-ne di un soggetto terzo: il ser-

4

La sigla WPA2 identifica convenzionalmente i prodotti che implementano lo standardufficiale 802.11i. Attualmente il WPA2 assicura la migliore combinazione possibile disicurezza e interoperabilità in ambito wireless

5

La disattivazione del broadcast dell'SSID contribuisce a ostacolare gli attacchi daparte degli hacker occasionali

6

Impostare un filtro sui MAC address delle schede di rete a cui è consentito associarsicon l'access point è un'altra misura utile per tenere alla larga gli intrusi



ver di autenticazione, che de-ve essere considerato "fidato"sia dal client sia dal server.WPA e WPA2 (802.11i) preve-dono, nella loro adozione piùcompleta e rigorosa, l'uso di802.1x per l'autenticazione nel-la fase iniziale dell'associazio-ne.

Filtraggio dell'indirizzo MACUn'ultima tecnica di difesa,

(fig. 6) non particolarmente si-cura ma pur sempre utile co-me prima linea di contrasto,consiste nel configurare l'ac-cess point in modo tale che ac-cetti solamente pacchetti in-viati da determinati indirizzifisici MAC di rete. Tutto il traf-fico originato da un terminalela cui scheda di rete non abbiaun MAC compreso fra quelli"conosciuti" sarà semplice-mente ignorato.

Si tratta di un sistema effi-ciente, perché richiede po-chissime risorse di calcolo(specialmente rispetto alle ela-borazioni richieste da un algo-ritmo crittografico), ma tutt'al-tro che sicuro, perché molteschede di rete possono essereconfigurate con un MAC diver-so da quello di fabbrica, al finedi "spacciarsi" per schede "co-nosciute" e ottenere così l'ac-cesso all'access point.

Riconoscere e risolvere i problemi più comuni

Assumendo che l'accesspoint o wireless gateway sianoinstallati e attivi e che l'instal-lazione hardware e softwaredella scheda di rete Wi-Fi siastata completata con succes-so, è ancora possibile che siverifichino problemi o malfun-zionamenti nel collegamento.Vediamo come riconoscere edaffrontare i più comuni.

Impossibile associarsiall'Access Point

La circostanza è solitamen-te segnalata da un lampeggio odalla mancata accensione del-la spia di collegamento sullascheda di rete.• Verificare che l'SSID impo-

stato sulla scheda di rete sia

uguale a quello dell'AccessPoint.

• Verificare che la scheda direte sia impostata in moda-lità Infrastructure e non AdHoc.

• Se in zona sono presenti piùAccess Point, assicurarsi diaver selezionato quello giu-sto. Controllare anche chenella zona non vi siano ac-cess point operanti sullostesso canale del proprio ein caso affermativo riconfi-gurarlo perché lavori su unaltro canale.

• Verificare che le impostazio-ni relative alla velocità di tra-smissione (11 o 54 Mbps, ac-celerazione sì/no) sianouguali nei due sistemi, o al-meno che la scheda facciauso di una velocità non su-periore a quella supportatadall'access point.

• Verificare che le chiavi crit-tografiche impostate sullascheda di rete e sull'accesspoint siano identiche. Atten-zione al CAPS LOCK e allayout di tastiera italiana/in-glese!

Insufficiente intensità di segnale

Quasi tutte le schede di reteWi-Fi sono fornite con una uti-lity di configurazione che con-sente di verificare facilmente illivello di segnale rilevato. L'in-dicazione può essere mostrataper mezzo di un'icona nell'areadi notifica (fig. 8) della quale disolito sono significativi il colo-re o la forma. Generalmente,sorvolando l'icona appare untooltip con spiegazioni piùdettagliate, come lo stato diassociazione, la potenza di se-gnale, il nome (SSID) della retea cui ci si trova collegati, l'in-dirizzo IP ottenuto e la velo-cità nominale alla quale staoperando il link (fig. 9).

Ulteriori dettagli possonoessere ottenuti aprendo la uti-lity di configurazione fornitadal produttore (fig. 10). In ge-nere tale utility è raggiungibileda un menu contestuale asso-ciato all'icona di stato.

Se l'intensità di segnale è tal-

Configurazione di una rete sicuraEcco una possibile "checklist" per scegliere e configurare glielementi della propria WLAN in modo tale da garantirsiun'adeguata sicurezza in base agli standard vigenti.La maggior parte delle indicazioni sono specifiche per le WLAN;altre rappresentano consigli mutuati dalle buone consuetudini intema di sicurezza delle LAN in generale.

• Procurarsi elementi attivi di rete(wireless gateway, access point,schede di rete, repeatereccetera) che supportino lostandard WPA2 (o per lo meno lostandard WPA) e configurarli tuttiin modo tale da usarlo.

• Cambiare immediatamente lapassword per l'accessoamministrativo all'access point oal wireless gateway,scegliendone unaadeguatamente "resistente".

• Se il wireless gateway o l'accesspoint supportano un log delleconnessioni riuscite e fallite,attivarlo. In situazioni sospette ciò permetterà indagini più facili.

• Se è prevista la possibilità di autorizzare l'accesso da remotoall'interfaccia amministrativa di access point e wirelessgateway, abilitarlo solamente se davvero necessario.

• Se sull'access point o sul wireless gateway è presente unafunzione per la regolazione della potenza di trasmissione radio,sfruttarla per ridurre la potenza al minimo livello compatibilecon un buon funzionamento delle stazioni client. Ciò eviterà chel'area coperta dal segnale abbia un'estensione eccessiva e"sconfini" troppo al di là del perimetro dei locali da coprire,diminuendo così i rischi di intercettazione.

• Se è presente una funzione per regolare la frequenza dimodifica automatica delle chiavi crittografiche usate da WPA eWPA2 (Key Rotation), attivarla fissando il periodo a un valoreragionevole.

• Se possibile, utilizzare la modalità 802.1x per l'autenticazioneanziché la più semplice PSK.

• Se richiesto dallo schema di protezione crittografica prescelto,scegliere una passphrase di adeguata lunghezza, noncontenente parole del vocabolario e contenente invece un buonnumero di caratteri speciali.

• Stabilire un piano per una modifica a intervalli regolari di tuttele password usate per la sicurezza del sistema.

• Disattivare il broadcast dell'SSID in modo tale da ostacolare ilrilevamento e l'identificazione della WLAN.

• Attivare il MAC filtering in modo tale da accettare associazioniesclusivamente dai MAC address delle schede di reteconosciute.

• Se la WLAN è usata soltanto per rendere disponibile l'accessoverso Internet e non per condividere dischi e stampanti fra i PCdella rete locale, sfruttare la funzione Access Point Isolationdell'access point (se supportata) per imporre tale restrizione.

• Se, viceversa, la WLAN deve servire principalmente per iltraffico intranet e non per l'uscita su Internet, con poche e benidentificate eccezioni, utilizzare la funzione Internet AccessControl per stabilire precisamente chi possa "uscire" e quando.

• Se il wireless gateway supporta funzionalità di firewall, statefulpacket inspection, ecc. attivarle.

• Prestare attenzione ai PC della rete equipaggiati con scheda Wi-Fi e al tempo stesso collegati alla rete wired: il rischio è quellodi allineare la sicurezza della rete complessiva al livello dellameno sicura delle due.

7

Scegliere o ammodernare glielementi attivi della propria WLANè un investimento in sicurezza. Lalinea MAXg di US Robotics, adesempio supporta tutti i più recentistandard di crittografia

Appositeiconevisualizzate

nell'area di notifica monitorano lo statodelle connessioni Wi-Fi. L'icona a sinistrasi riferisce alla gestione Windows; laseconda e la terza sono esempi di iconevisualizzate da driver proprietari

8



mente bassa da impedire l'as-sociazione, è certamente ne-cessario agire per migliorare lecondizioni di campo: riposizio-nare l'access point elevandoloe ubicandolo in posizione equi-distante dai client, eliminareoggetti metallici nei suoi din-torni, installare un range ex-tender, installare un secondoaccess point, usare antenne adalto guadagno su client e/o ac-cess point, e così via.

L'associazione riesce, ma lealtre macchine della WLANnon risultano visibili

Questo problema può essereprovocato da varie cause. • L'access point potrebbe non

essere correttamente collega-to alla LAN.

• L'access point, per qualchemotivo, potrebbe rifiutarci l'in-dirizzo IP (massimo numerodi connessioni già raggiunto,filtro MAC abilitato che esclu-de la nostra scheda Wi-Fi,DHCP disabilitato e altri anco-ra).

• L'access point potrebbe a suavolta non essere riuscito a ot-tenere un proprio indirizzo IP,o a ottenerne per i propriclient (DHCP server di retenon operativo; access pointda riavviare). Ci si può accorgere di trovar-

si in uno di questi ultimi due ca-si notando che la utility di statoriporta come indirizzo "0.0.0.0"(fig. 11), oppure il messaggio"Connettività limitata o assen-te", oppure ancora un intermi-nabile "Acquisizione indirizzodi rete in corso" che non sfocia

mai in una condizione di nor-malità.

Altre possibili cause di tipopiù generale sono:• le impostazioni del wireless

gateway (con denominazionivariabili a seconda del pro-duttore: per esempio "AccessPoint Isolation") potrebberoaver esplicitamente escluso lavisibilità reciproca delle mac-chine partecipanti alla WLAN

• Sul PC client potrebbero nonessere state abilitate le funzio-ni "client per reti Microsoft" e"condivisione file e stampanti"sulla scheda di rete Wi-Fi (fig.12).

• Il PC potrebbe non aver otte-nuto alcun indirizzo essere im-postato per usare un indirizzoIP statico anziché riceverneuno dinamicamente all'attodella connessione (fig. 13).

L’associazione riesce e lemacchine della LAN sonoraggiungibili, ma èimpossibile uscire su Internet

Di solito questo accade perproblemi estranei alla trattaradio: potrebbe trattarsi di unerrato collegamento dell'ac-cess point al router oppurepotrebbe essere caduta la con-nessione dial-up del modembroadband.

È anche possibile che l'accesspoint o wireless gateway sianostati esplicitamente configuratiper impedire a determinati indi-

rizzi IP della rete di uscire su In-ternet, oppure che sia attiva sul-l'access point una qualche op-zione di controllo parentale chescatta a un certo orario inter-rompendo l'uscita su Internetper una o più macchine.

L'associazione riesce e sonoraggiungibili sia la LAN siaInternet, ma le prestazionisono molto basse

Se l'intensità di segnale radiorilevata dalla utility di configu-razione è indicata come "scar-sa" o "bassa" (fig. 14), il link Wi-Fi sarà costretto a operare a ve-locità ridotta. In questo casoprovare anzitutto ad avvicinareil client all'access point, fino aottenere un'indicazione di li-vello segnale migliore, e con-trollare se le prestazioni mi-gliorano. In caso affermativo sipotrà concludere che il proble-ma era da attribuirsi esclusiva-mente all'intensità di campo in-sufficiente: un possibile rime-dio sarà l'installazione di un'an-tenna ad alto guadagno, oppu-re lo spostamento dell'accesspoint o ancora l'installazione diun secondo access point più vi-cino o di un range extender.

Se invece le prestazioni sonobasse nonostante il livello disegnale sia buono, potrebbeesserci una condizione di con-gestione della rete per eccessi-vo numero di client. In questocaso si potrebbe installare unsecondo access point (non unrange extender) operante suun altro canale radio (che an-drà scelto in modo tale chenon coincida con un canale giàusato da qualche altro accesspoint nelle vicinanze!), e atte-stare metà dei client della retesu di esso per meglio equili-brare il carico di traffico.

Il numero di canali utilizzatidalla tecnologia Wi-Fi è limitato(varia fra 11 e 13 nella maggiorparte del mondo) e pone un li-mite insormontabile al numerodi access point che possonooperare contemporaneamentenella stessa zona. Per evitareuna precoce "saturazione deicanali", è importante ammini-strare saggiamente ubicazione,numero e canale di lavoro degliaccess point. Non sempre èconsigliabile evitare l'uso diprodotti con tecnologie di ac-celerazione, come la 108 Mbps,che si basano sull'aggregazionedi più canali radio (il che con-tribuisce a un rapido esauri-mento dei canali disponibilinella zona). Per stare sul sicuroè preferibile usare prodotti chefanno invece un uso più effi-ciente di un singolo canalestandard, come nel caso delletecnologie 100 e 125 Mbpsadottate da US Robotics.

Infine, la lentezza potrebbeessere dovuta a cause LAN enon Wi-Fi: rete fissa congestio-nata per altro tipo di traffico,connessione broadband che"zoppica", PC della rete infesta-ti da worm che consumano labanda. Per diagnosticare que-sta situazione è consigliabileprendere uno o più dei seguen-ti provvedimenti:• rendere sicuri con anti-

malware, antispyware e anti-virus tutti i PC della rete especialmente quelli interes-sati dal fenomeno delle basseprestazioni di rete;

• utilizzare uno sniffer di rete(per esempio l'ottimo freewa-re Ethereal, www.ethereal.com) per verificare se vi siadel traffico anomalo fra il PC"rallentato" e il resto della re-te, anche quando il PC si tro-vi in "quiete"

• se tutti i PC della rete risulta-no lenti e non solo uno in par-ticolare, riavviare la connes-sione dial up del broadbandmodem

• provare a riavviare l'accesspoint, il wireless gateway, ilrouter, lo switch di rete, il mo-dem broadband. �

L'iconarelativa a unaschedadi retevisualizzagene-ralmente

un tooltip con informazioni supplementarirelative a stato, velocità nominale,indirizzo IP, SSID e altro

9

Nella utility di configurazione fornita dalproduttore della scheda sono riportatiulteriori dettagli sulla qualità del link

10

Nella scheda Proprietà, sottoschedaGenerale, relativa alla scheda di rete Wi-Fi è necessario abilitare Client per retiMicrosoft per poter "vedere" gli altri PCdella rete, e Condivisione file estampanti per reti Microsoft se questoPC deve condividere file e stampanti

12

Se comeindirizzoIP dellaschedaWi-Fi èriportato0.0.0.0 equestasituazione

dura per più di qualche secondo,potrebbero esserci problemi difunzionamento con il server DHCP

11

Per fare in modo che il PC acquisisca unindirizzo IP dinamico automaticamente dalwireless gateway o dal router (attraversol'access point) è necessario impostare leproprietà TCP/IP come in figura

13

Se illivello disegnaleradio ètroppodebole, ilfunzio-namento

della WLAN potrebbe dare un throughputanche sensibilmente inferiore allavelocità nominale indicata

14

Wi-fi Search Networking PDF

Documents

Transcript of Wi-fi Search Networking PDF