Molti utenti PC non l’hanno ancora compreso appieno, ma per la maggior parte delle persone il router è tra i dispositivi più importanti all’interno di una un negozio o di una piccola azienda. Connette infatti molti altri device a internet e, proprio per questo, è diventato un obiettivo sempre più ambito da parte degli hacker.

Questo anche perché molti router consumer e professionali vengono venduti e utilizzati con configurazioni di default tutt’altro che sicure, hanno backdoor non documentate e si affidano a firmware caratterizzati da diverse instabilità. Molti di questi problemi non possono essere risolti direttamente dagli utenti, ma ci sono diverse operazioni da mettere in pratica per difendersi almeno da attacchi automatizzati e su larga scala. Ecco quelli che a nostro avviso sono le più importanti.

Operazioni basilari

Evitate di usare i router forniti dagli operatori telefonici

Questi router sono normalmente meno sicuri di quelli che si acquistano online o nei negozi. Diverse impostazioni non possono infatti essere modificate dall’utente e, nella maggior parte dei casi, gli aggiornamenti possono essere fatti solo dall’operatore stesso, con tutti i rischi che ne conseguono in caso di ritardi e di un supporto non all’altezza.

Cambiate la password di amministratore

La prima cosa che dovreste fare, una volta entrati nella pagina di configurazione del router tramite browser, è cambiare la password di amministratore. Quella di default infatti può essere individuata dagli hacker con il minimo sforzo e, per cambiarla, ci vuole davvero un attimo.

L’interfaccia del router non dovrebbe essere raggiungibile da internet

Per la maggior parte degli utenti gestire il router al di fuori della LAN non è necessario. Se proprio si deve ricorrere a una gestione da remoto, allora è molto meglio utilizzare una VPN per sfruttare una connessione sicura quando si deve accedere all’interfaccia del router.

Attivate l’accesso via HTTPS se possibile

Utilizzate il browser in incognito o in modalità privata quando dovete lavorare con il router, in modo da non lasciarvi dietro tracce (i cookies per esempio) e da non permettere al browser di salvare la username e la password del router.

Cambiate l’indirizzo IP della LAN se possibile

La maggior parte delle volte al router viene assegnato un indirizzo IP di default, come ad esempio 192.168.0.1. Se c’è la possibilità tra le opzioni del router, cambiate questo indirizzo in un altro, come 192.168.0.99 (basta che l’ultima cifra non corrisponda a un dispositivo già connesso al router).

Scegliete una password Wi-Fi complessa e un protocollo di sicurezza forte

WPA2 (Wi-Fi Protected Access II) è l’opzione migliore quando si parla di protocollo di sicurezza per il Wi-Fi, visto che le precedenti WPA e WEP sono facilmente vulnerabili di fronte ad attacchi di tipo brute-force. Se le opzioni del router lo permettono, create una rete wireless secondaria per ospiti proteggendola sempre tramite WPA 2 e una password lunga e complessa. Fate utilizzare ad amici e parenti questa rete al posto di quella primaria che utilizzate voi. Magari non hanno cattive intenzioni, ma i loro dispositivi connessi potrebbero essere compromessi o infettati da malware.

Disabilitate il WPS (Wi-Fi Protected Setup)

Quella del WPS è una funzione utilizzata raramente per aiutare gli utenti a creare un collegamento Wi-Fi utilizzando un PIN stampato su un’etichetta del router. Alcuni anni fa però sono state scoperte diverse vulnerabilità nell’implementazione del WPS da parte di molti produttori di router che permettevano agli hacker di penetrare nella rete. Visto che è difficile determinare quale specifico router e quale versione del firmware siano vulnerabili, è consigliabile disabilitare direttamente il WPS.

Non esagerate con i servizi

Un consiglio importante, soprattutto se non avete abilitato voi stessi questi servizi e non sapete cosa siano e cosa facciano. Servizi come Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) e HNAP (Home Network Administration Protocol) non dovrebbero essere accessibili da internet visti i rischi che comportano e dovrebbero essere disabilitati anche nella LAN qualora non fossero necessari.

Non dimenticate di tenere aggiornato il router

Cercate di tenere sempre aggiornato il firmware del vostro router. Alcuni modelli permettono di controllare il rilascio del nuovo firmware direttamente dall’interfaccia web, mentre altri offrono una funzione di aggiornamento automatico. La cosa migliore comunque sarebbe controllare con una certa regolarità il sito del produttore del router e, se fosse uscita una nuova versione del firmware per il vostro router, scaricarla e installarla manualmente.

Operazioni complesse

La segmentazione della rete può essere utilizzata per isolare i dispositivi a rischio

Alcuni router offrono l’opzione per creare delle VLAN (Virtual Local Area Network) all’interno di una più grande rete privata. Questi network virtuali possono essere sfruttati per isolare i device IoT, che come mostrato da molti ricercatori ed esperti di sicurezza sono pieni di vulnerabilità. Molti di questi dispositivi possono essere controllati tramite apposite app mobile attraverso servizi cloud esterni e quindi, avendo accesso a internet, non hanno bisogno di comunicare con lo smartphone direttamente all’interno della LAN dopo il set-up iniziale.

L’importanza dei MAC Address

Il filtraggio tramite MAC Address può tenere lontano device pericolosi dalla vostra rete Wi-Fi. Molti router permettono di decidere quali dispositivi possono accedere alla rete Wi-Fi basandosi sui loro MAC Address, un indirizzo unico per ogni dispositivo che identifica la sua scheda di rete fisica. In questo modo si può impedire a un malintenzionato di entrare nella vostra rete Wi-Fi anche se è venuto in possesso della password. Il lato negativo è che elencare tutti i dispositivi che possono accedere alla rete può diventare un carico di lavoro piuttosto pesante se si ha a che fare con network molto grandi.

I firmware custom possono essere più sicuri di quelli ufficiali

Ci sono diversi progetti e comunità sul web che offrono firmware custom per un’ampia gamma di router. OpenWRT, DD-WRT e Asuswrt-Merlin (solo per router Asus) sono tra i più frequentati e popolari. Si tratta di firmware che offrono più funzionalità avanzate e una maggior personalizzazione al router rispetto a quanto offerto dai firmware ufficiali, senza contare che queste community rilasciano tempestivamente update e aggiornamenti nel caso vengano scoperte vulnerabilità. Di contro installare un custom firmware su un router, oltre a invalidare quasi sempre la garanzia, richiede un minimo di conoscenze tecniche e, se il processo di installazione non è fatto correttamente, potrebbe rendere il router inutilizzabile.

WHITEPAPER GRATUITI