Prima ancora di capire come un router ben configurato possa proteggere la rete locale di casa o del piccolo ufficio, è importante accertare che il router stesso non sia fonte di vulnerabilità . Essendo infatti questo dispositivo il centro della rete, un problema di sicurezza si ripercuoterebbe automaticamente su tutti i dispositivi collegati sulla Lan.
Tra le pratiche da mettere in campo immediatamente vi è la più banale, ma spesso sottovalutata: cambiare le credenziali di accesso all’interfaccia di amministrazione del router. Molti utenti si concentrano su aspetti di sicurezza avanzati per poi lasciare invariati nome utente e password impostati di default dal produttore. Questa scelta lascia ai potenziali malintenzionati una facile strada di accesso al router dal momento che spesso i parametri in questione sono facilissimi da indovinare (admin/admin, admin/password e simili) o possono facilmente essere ricavati scaricando i manuali d’uso dell’apparato.
Anche nel caso in cui il produttore imposti nome utente e password con valori pseudo-casuali al momento della configurazione di fabbrica, è sempre opportuno procedere alla modifica personalizzata, nel caso in cui l’hacker scopra l’algoritmo di generazione delle password.
Le regole per la creazione di una password sicura esulano dagli scopi di questo articolo, ma non è mai troppo banale ricordare come i nomi propri o dei propri cari, le date di nascita o le password troppo corte siano tra le scelte meno opportune.
L’amministrazione da remoto è una funzione che molti router mettono a disposizione degli utenti per consentire l’accesso al dispositivo attraverso Internet quando non ci si trova sul posto. Può essere molto utile in ambito aziendale per fornire assistenza a distanza, ma costituisce una potenziale porta aperta verso gli attacchi di malintenzionati e va per questo configurata con attenzione.
Una buona norma è ad esempio quella di cambiare la porta di accesso al pannello di controllo: indicando una porta differente rispetto alle classiche 80 o 8080 si fornisce un minimo di mascheratura per l’accesso da remoto. Per contattare il router su una porta differente (ad esempio 1234) sarà sufficiente indicare nel browser l’indirizzo IP pubblico seguito dai due punti e dalla porta scelta (ad esempio https://80.76.128.36:1234). Per cifrare le comunicazioni durante il controllo remoto è bene abilitare, se disponibile, l’accesso tramite protocollo sicuro Https.
Alcuni router permettono poi di indicare uno o più indirizzi IP remoti ai quali concedere l’accesso a distanza; le richieste provenienti da indirizzi differenti sono bloccate.
L’aggiornamento del firmware è un aspetto a cui prestare particolare attenzione: come un normale computer, anche il router è dotato di un proprio “sistema operativo”, spesso basato su core Linux. I produttori rilasciano costanti aggiornamenti per i modelli sul mercato, sia per aggiungere nuove funzioni sia, e soprattutto in questo contesto, per riparare eventuali falle che possono mettere a rischio la stabilità e la sicurezza del sistema.
I router più avanzati dispongono di un meccanismo di controllo automatico degli aggiornamenti: a intervalli periodici interrogano i server della casa madre e verificano la disponibilità di update, avvisando poi l’utente che può quindi scaricare la nuova versione e installarla.
Se il vostro router non dispone di questa funzione è invece importante controllare personalmente sul sito di supporto del produttore eventuali rilasci. Un check mensile può essere sufficiente.
Simone Zanardi
[box type=”shadow” ]
Speciale sicurezza
➜ Come proteggere il router per una rete sicura
➜ Come configurare il firewall contro gli attacchi
➜ Come gestire le comunicazioni: oltre il firewall
➜ Come controllare gli accessi Internet dalla Lan
➜ Come evitare gli accessi Wi-Fi non autorizzati alla rete
[/box]