Le reti Wi-fi sono indispensabili per permettere il collegamento on premises di dispositivi come tablet o smartphone, ma costituiscono di fatto un rischio non da poco per la sicurezza aziendale. Innanzitutto spesso possono essere raggiunte anche nei dintorni dell’azienda, al di fuori delle mura, poi rappresentano uno strumento fin troppo semplice per l’accesso ai dati anche da parte di ex dipendenti o ex collaboratori. Come fare dunque a garantire un accesso sicuro?
Una prima pratica molto semplice è quella di attivare una rete Wi-fi solo per gli ospiti, così da tenerli separati dalla rete aziendale e bloccare l’accesso ai server locali. In questo modo se la password di questa rete è poco sicura si limitano anche notevolmente i rischi. Tutti i dipendenti o i collaboratori che hanno solo la necessità di un accesso a Internet possono utilizzare questa rete che avrà ovviamente un SSID (l’identificativo della rete) diverso.
Ci sono router, access point e soluzioni di fascia corporate che integrano direttamente la funzionalità di rete ospite nella loro configurazione. È importante valutarla già nella fase di acquisto. Se ad esempio si sta cercando una soluzione in grado di coprire un’area ben più ampia di quella di un normale appartamento o un piccolo ufficio, sfruttando più access point gestiti in modo centralizzato, l’americana Ubiquiti (www.ubnt.com) offre una piattaforma chiamata Unifi che è particolarmente semplice da configurare e gestire e non ha costi particolarmente elevati. Con questa soluzione la rete guest è automaticamente bloccata dall’accesso alla rete locale e si possono definire policy per limitare anche l’uso di banda da parte degli ospiti. Unifi è distribuita in Italia da Sice Telecom (www.sicetelecom.it).
Naturalmente non mancano le soluzioni anche di tutti i principali produttori di dispositivi di networking, come Cisco, Netgear o D-Link. A livello di sicurezza le organizzazioni di dimensioni anche solo medio-piccole devono invece valutare necessariamente la versione Enterprise del protocollo di sicurezza Wpa. Questa sfrutta un sistema di autenticazione centralizzato chiamato Radius (Remote Authentication Dial-In User Service) che permette di utilizzare ad esempio la stessa password di Active Directory o della rete aziendale per autenticarsi sulla rete. La configurazione è certamente più complessa e richiede un server in grado di gestire questo protocollo, ma i vantaggi sono notevoli.
I dipendenti che cambiano azienda o si licenziano, per esempio, vengono immediatamente esclusi dall’accesso, senza che sia necessario procedere ogni volta al cambiamento della password di tutta la rete. Una soluzione più semplice per la gestione dell’autenticazione può essere invece l’adozione di un Captive Portal. Questa tecnologia prevede che al primo accesso a qualsiasi sito o pagina Web il gateway richieda all’utente di autenticarsi, attivando di fatto la connessione su quel dispositivo. Si tratta di fatto dello stesso sistema utilizzato in aeroporti o altri hotspot: è certamente più scomodo ma non per questo meno funzionale. Questa funzionalità può essere gestita direttamente da molti firewall, come pfSense e Kerio Control, ma anche da alcune soluzioni di Wi-fi centralizzate, come la stessa Unifi di Ubiquiti.
Davide Piumetti
Dida
I sistemi unificati per la gestione di reti Wi-fi aziendali come quello in figura permettono di creare reti ospiti e di limitare la banda utilizzata.