Navigaweb

Impostazioni per blindare Router e Wi-Fi da attacchi e intrusioni

Aggiornato il: Scritto Da: - @pomhey
Passaggi fondamentali per proteggere la rete domestica da accessi non autorizzati. Come disattivare funzioni vulnerabili e navigare senza rischi

Il modem fornito dall'operatore telefonico viene solitamente estratto dalla scatola, collegato alla presa di corrente e dimenticato in un angolo della casa. I provider configurano questi apparecchi con un unico obiettivo in mente, ovvero farli funzionare subito per evitare chiamate all'assistenza clienti. La protezione della privacy e l'isolamento dalle minacce esterne passano totalmente in secondo piano. Lasciare intatte le configurazioni di fabbrica espone le telecamere interne, i computer e i dati personali a scansioni continue da parte di bot malevoli.

I dispositivi forniti in comodato d'uso nascondono spesso insidie legate a firmware obsoleti e funzioni di condivisione attivate di default. Molti operatori bloccano le interfacce per impedire agli utenti di modificare parametri avanzati, costringendo ad accontentarsi di barriere inefficaci. Riprendere il controllo del proprio hardware diventa l'unica via per evitare che la connessione di casa si trasformi in una porta spalancata su internet.

LEGGI ANCHE -> Router più potenti Wi-Fi 7, porte 10 Gigabit per Fibra ultra veloce

1) Accedere al pannello di controllo


Dopo aver connesso il modem con tutti cavi e dopo averlo accesso, dovremo accedere subito al pannello di controllo per vedere se la connessione Internet è configurata correttamente e per accedere alle impostazioni del Wi-Fi.

Per questo passaggio consigliamo sempre di utilizzare un portatile collegato via Ethernet al nuovo router, così da poter configurare il tutto senza doversi connettere alla rete Wi-Fi predefinita offerta dal dispositivo (spesso fornita senza password d'accesso e con un nome strano).

Una volta connesso un notebook via cavo Ethernet, accediamo al sistema operativo, apriamo un qualsiasi browser (va bene anche Chrome o Edge) e digitiamo uno degli indirizzi IP d'accesso nella barra degli indirizzi (in alto):
  • 192.168.1.1
  • 192.168.0.1
  • 192.168.1.254

Se non riusciamo ad accedere con uno di questi indirizzi, vi consigliamo di controllare il manuale d'uso del router per identificare l'indirizzo IP d'accesso o di usare il prompt dei comandi di Windows per scoprire l'indirizzo IP del Gateway.

L'username e la password per accedere al pannello di amministrazione del modem presenti sotto la scocca del modem o sul manuale d'uso. Di solito l'username e la password è admin-admin ma se non funzionasse possiamo consultare la lista di login e password di default per i modem.

Alcuni router fanno anche scegliere la password personale al primo avvio, così da poterne generare una più sicura al posto del semplice "admin": scegliamo una password abbastanza lunga ma che possiamo ricordare con facilità (visto che per resettarla è richiesto il reset totale del modem, con perdita di tutte le personalizzazioni).

Dopo aver inserito le credenziali giuste, ci accoglierà la schermata di benvenuto del pannello di configurazione del router.

Sostituire le credenziali di amministrazione

Wi-Fi

L'errore più diffuso consiste nel confondere la chiave della rete wireless con la password di accesso al pannello di controllo. L'etichetta incollata sotto l'apparecchio riporta quasi sempre entrambe le credenziali in chiaro. Chiunque abbia accesso fisico alla stanza, come un ospite, un corriere o un operaio, può fotografare quell'etichetta in un istante.

Una volta dentro il pannello, digitando l'indirizzo IP locale nel browser, un malintenzionato può deviare il traffico internet o aprire le porte verso l'esterno. Risulta obbligatorio cambiare immediatamente la password di amministrazione predefinita con una stringa complessa. Molti attacchi automatizzati provano le combinazioni standard dei vari produttori per prendere il controllo degli apparati domestici ed eludere i filtri di base.

Disattivare protocolli vulnerabili e porte aperte

Le comodità di connessione rapida rappresentano il tallone d'Achille delle reti moderne. Il sistema WPS, ideato per collegare le stampanti o i ripetitori premendo un pulsante, utilizza un PIN a otto cifre. I software di decrittazione impiegano pochissimi minuti per indovinare questo codice tramite attacchi di forza bruta, aggirando completamente la password principale del WiFi. L'opzione WPS va cercata nelle impostazioni wireless e spenta senza esitazioni.

Un altro servizio da spegnere immediatamente si chiama UPnP. Questa funzione permette alle applicazioni e alle console di gioco di aprire autonomamente le porte del firewall interno per comunicare con l'esterno. Un computer infetto da malware può sfruttare l'UPnP per trasformare l'apparecchio domestico in un nodo di attacco, ricevendo comandi da server remoti. Disabilitando questa voce, ogni apertura di porta dovrà essere approvata e configurata manualmente dall'utente.

Chiudere le falle delle porte USB condivise

Molti apparati moderni presentano porte USB sul retro, pensate per collegare hard disk o stampanti e condividerli con tutti i computer collegati al WiFi. I produttori implementano spesso protocolli di condivisione file obsoleti per garantire la compatibilità con i vecchi sistemi operativi. Lasciare attiva la condivisione tramite SMBv1 equivale a invitare i ransomware a crittografare ogni documento presente sui dischi di rete.

Se non si utilizza un hard disk collegato direttamente al modem, le funzioni di server Samba, FTP e Media Server DLNA vanno spente dal pannello di controllo. Mantenere attivi questi servizi senza utilizzarli espone inutilmente l'infrastruttura locale a vulnerabilità note e mai corrette dagli aggiornamenti.

Verificare l'esposizione esterna della rete

Non basta modificare le opzioni interne per avere la certezza di essere invisibili dall'esterno. Alcuni modelli lasciano attiva la risposta ai ping, permettendo a chiunque di sapere che il nostro indirizzo di rete è attivo e pronto a ricevere richieste. Per testare l'effettiva chiusura di tutte le vie di comunicazione, seguiamo la rotta di Navigaweb collegandoci a un vecchio ma insuperabile strumento di audit online.

Il sito si chiama ShieldsUP! e viene gestito dai ricercatori di Gibson Research Corporation. Premendo il pulsante di test per le porte comuni, il sistema simula una scansione aggressiva verso la nostra rete. Un risultato perfetto mostra tutti i blocchi colorati di verde, a indicare la modalità invisibile o stealth. La comparsa di blocchi rossi o blu segnala che il firewall interno sta fallendo nel respingere le connessioni esterne.

Scegliere lo standard crittografico adeguato

Il tipo di cifratura impostata per la trasmissione dei dati nell'aria determina la resistenza della rete agli intercettatori. Impostare la dicitura corretta fa la differenza tra una trasmissione blindata e una leggibile dai vicini di casa dotati di software malevoli.

  • WPA3 indica lo standard più recente ed efficace. Previene gli attacchi basati su dizionario bloccando i tentativi ripetuti di indovinare la chiave. Va selezionato obbligatoriamente se tutti gli smartphone e i computer di casa supportano le reti di nuova generazione.
  • WPA2-AES rappresenta l'alternativa sicura per i dispositivi più vecchi che non riescono ad agganciarsi al WPA3. La crittografia AES offre un livello di protezione solido, a patto di usare una frase di accesso lunga almeno sedici caratteri misti.
  • TKIP e WEP vanno evitati in ogni circostanza. Molti router economici offrono ancora la modalità mista WPA/WPA2 TKIP. Queste sigle nascondono algoritmi bucati da decenni, che rallentano drasticamente la velocità della banda e rendono la connessione intercettabile con programmi gratuiti in pochi minuti.

Isolare la domotica su una rete separata

Lampadine intelligenti, aspirapolvere robot e telecamere economiche ricevono raramente aggiornamenti dai loro produttori cinesi. Questi piccoli apparecchi diventano il bersaglio ideale per chi cerca di infilarsi nella rete principale. Fortunatamente quasi tutti i sistemi offrono l'opzione per creare una rete ospiti aggiuntiva.

Attivando questa seconda trasmissione wireless si genera un canale completamente isolato. Tutti i gadget della domotica vanno collegati in questo perimetro. Se un criminale informatico dovesse bucare il software di una presa intelligente, si ritroverebbe confinato in questo spazio virtuale separato, senza alcuna possibilità di raggiungere il computer dove conserviamo i documenti bancari o il NAS aziendale.

Filtrare i contenuti cambiando i server DNS

I provider impostano i propri traduttori di indirizzi internet per monitorare il traffico e applicare i blocchi governativi. Modificare i server DNS direttamente all'interno della configurazione LAN porta un doppio beneficio, velocizzando la risoluzione dei siti e aggiungendo uno scudo formidabile contro le truffe.

Invece di lasciare i server predefiniti, inserire gli indirizzi IPv4 e IPv6 di Quad9 garantisce un blocco preventivo dei domini pericolosi. Questo ente no-profit svizzero analizza le richieste in tempo reale e impedisce ai dispositivi di raggiungere siti noti per distribuire virus o campagne di phishing. Il filtro interviene a monte, proteggendo contemporaneamente tutti i tablet e i televisori connessi in casa senza costringere a installare applicazioni aggiuntive sui singoli device.

Per approfondire possiamo leggere le nostre guide su come configurare il modem per TIM, Fastweb, Vodafone, Wind e come effettuare configurazione per ONT e parametri di connessione in fibra ottica.

Altre impostazioni di protezione

Ora che anche le reti wireless sono pronte, utilizziamo il pannello di configurazione per configurare (dove possibile) altre impostazioni per aumentare la sicurezza delle connessioni Wi-Fi:

  • attivare la Rete Ospiti: possiamo creare un'altra rete Wi-Fi da riservare agli ospiti che giungono a casa, così da poterli connettere in una rete separata rispetto ai dispositivi privati;
  • bloccare gli indirizzi Mac: per aumentare la sicurezza possiamo anche applicare un filtro MAC Address per far connettere solo i dispositivi autorizzati;
  • Attivare nome rete invisibile: dai moderni modem possiamo anche disattivare l'invio del nome della rete (ossia l'SSID) che consente quindi di non far vedere la propria rete all'esterno (solo chi conosce il nome della rete potrà inserirlo manualmente per connettersi).
  • Disattivazione della gestione remota. Bisogna sempre verificare che opzioni chiamate Remote Management o Accesso WAN siano rigorosamente disabilitate. Il pannello delle impostazioni deve rispondere esclusivamente a chi è fisicamente connesso al cavo Ethernet o al WiFi locale.
  • Aggiornamenti firmware periodici. I modem di proprietà vanno aggiornati regolarmente scaricando i file dal sito del produttore. I dispositivi forniti dagli operatori si aggiornano da soli di notte, ma spesso queste patch chiudono falle critiche con svariati mesi di ritardo rispetto alla scoperta pubblica della vulnerabilità.

Se temiamo che qualcuno sia già entrato nella nostra rete, vi suggeriamo di leggere come vedere gli IP collegati alla rete Wi-Fi da Android o iPhone.

In un'altra guida vi abbiamo mostrato le Opzioni principali sul modem Wifi: accesso e configurazione via web che possiamo utilizzare per migliorare l'esperienza di navigazione.

In un altro articolo vi abbiamo parlato dei programmi free per la diagnostica di rete e per risolvere i problemi e come risolvere manualmente gli errori di configurazione di una rete casalinga.





Posta un commento