Il router è il dispositivo elettronico più importante di una casa, poiché funge da punto di connessione tra una rete locale e Internet, controllando ciò che può entrare e uscire.
Proteggere la rete Wi-Fi domestica è importante perché contiene informazioni personali e sensibili che, se non protette, possono diventare accessibili a persone non autorizzate ed essere utilizzate per rubare dati personali o lanciare attacchi informatici, compromettendo la sicurezza e la privacy dei dispositivi connessi e delle attività online.
Il router domestico
Purtroppo, la maggior parte dei router forniti dai provider di servizi Internet (ISP) come parte del contratto sono progettati e costruiti con un occhio di riguardo al budget, non all’efficacia e alla sicurezza.
Anche i dispositivi più performanti spesso sono caratterizzati da configurazioni predefinite poco sicure o addirittura da backdoor di servizio e firmware difettosi.
In genere, tutti i router moderni includono la funzionalità di firewall, con caratteristiche e impostazioni che variano da produttore a produttore.
In alcuni casi, l’utente non può nemmeno vedere le impostazioni del firewall o modificare le configurazioni.
Dal momento che il firewall è un dispositivo che permette di monitorare il traffico in entrata e in uscita nella rete, garantendone la sicurezza, è necessario che sia adeguatamente equipaggiato e abilitato a svolgere correttamente il suo lavoro per evitare che persone non autorizzate e con losche intenzioni abbiano accesso al Wi-Fi domestico.
Leggere attentamente le clausole contrattuali
Molte aziende inseriscono nei contratti di lavoro, nella Policy di utilizzo o nella Policy di sicurezza IT una sezione in cui si riservano il diritto di scansionare qualsiasi cosa sia connessa alla rete aziendale per mantenerla sicura.
Con la diffusione dell’homeworking in seguito alla pandemia di COVID-19, molti dipendenti hanno iniziato a connettersi alla rete aziendale dalle loro abitazioni.
Di conseguenza, le aziende hanno cominciato a utilizzare dei software per effettuare il Penetration Test (PT) e la scansione delle porte per sondare le reti esterne alla ricerca di vulnerabilità e potenziali minacce.
Ora, la domanda è: sono autorizzati a farlo? Se è scritto in una polizza o in un documento contrattuale che regola il vostro lavoro e che vi è stato notificato in caso di modifiche, allora sì, possono farlo.
In assenza di tale dichiarazione, no, non possono. Anche se le intenzioni sono buone e volte a garantire la sicurezza, è comunque illegale effettuare port scanning e penetration test su una rete privata senza il preventivo consenso dell’utente.
Ecco perché è importante leggere attentamente le clausole scritte in piccolo.
Tuttavia, anche se l’azienda è autorizzata ad applicare queste misure di sicurezza, è opportuno che invii un breve comunicato al dipendente in cui viene spiegato che verrà effettuata una scansione remota benigna sulla propria rete per verificare che sia sufficientemente sicura per connettersi alla rete aziendale.
Purtroppo, però, spesso queste informazioni non vengono fornite.
Come rendere il router più sicuro
Indipendentemente da chi sta cercando di entrare, cosa potete fare per rafforzare le vostre difese e rendere il vostro router il più inespugnabile possibile?
Ciò che si può fare dipende dal produttore e dal modello del router, ma nel seguente elenco troverete certamente qualcosa che vi aiuterà a rendere la vostra rete più sicura.
1. Il router del vostro ISP è adatto?
In generale, i router forniti dagli ISP sono meno sicuri di quelli venduti, spesso dagli stessi produttori, direttamente ai consumatori.
Le backdoor hard-coded sono comuni e le patch di sicurezza e gli aggiornamenti del firmware appaiono spesso molto più tardi rispetto alle correzioni e alle patch per i modelli venduti ai privati.
Questo perché il firmware dei router forniti dagli ISP è personalizzato per quel provider e necessita di patch personalizzate.
Nulla vi impedisce di acquistare un router di migliore qualità e di utilizzarlo al posto di quello dell’IPS, che potrete comunque conservare come riserva.
Se avete un problema con la banda larga, per capire se dipende dal router o dell’infrastruttura esterna, potete inserire il router dell’ISP e vedere se il problema si risolve. In caso affermativo, il problema è del router; in caso contrario, il problema è esterno.
2. Cambiare la password di amministrazione predefinita
Poiché molti router escono dalla fabbrica con password di amministratore predefinite, diventa molto facile per i cyber-criminali accedere alla rete e perpetrare i loro attacchi.
Il loro software di scansione cercherà di identificare la marca e il modello del router, esaminando i metadati nelle risposte del dispositivo alle loro indagini, e troverà le credenziali admin predefinite.
Pertanto, è importante cambiare la password preimpostata con una più solida e sicura non appena si collega il router per configurarlo. O, ancora meglio, con una passphrase costituita da un insieme di parole e stringhe alfanumeriche.
E già che ci siete, assicuratevi che l’interfaccia web dell’amministratore non sia accessibile da Internet. Non sarete voi ad amministrare in remoto il router, quindi non datene la possibilità a nessun altro.
Leggi anche: Statistiche sulla cybersecurity
3. Utilizzate un router che supporti le VPN
Se avete davvero bisogno di accedere da remoto al vostro router, utilizzate un modello che supporti le VPN (Virtual Private Network – Rete virtuale privata).
Limitate le connessioni VPN a quelle presenti in un elenco di indirizzi IP approvati o in un range sicuro.
Quindi, se sapete che potreste aver bisogno di accedere al router tramite VPN dal vostro ufficio, aggiungete il vostro ufficio agli indirizzi IP inseriti nella whitelist.
Anche quando ci si connette al router dall’interno della rete, è buona norma utilizzare la navigazione anonima, la modalità in incognito o qualsiasi altro nome utilizzato dal browser per la navigazione in incognito.
In questo modo, il browser non memorizzerà le credenziali o gli indirizzi IP che altri potrebbero utilizzare sul vostro computer per raggiungere il router.
Inoltre, non lasciate mai che il browser ricordi le credenziali del router, ma inseritele manualmente quando necessario o, al massimo, memorizzatele su un gestore di password protetto.
5. Accettare solo connessioni da un indirizzo IP specifico
È possibile impostare alcuni router in modo che accettino le connessioni solo da specifici indirizzi IP, rifiutando gli altri.
In questo caso, utilizzate un indirizzo IP che non faccia parte del pool del Dynamic Host Configuration Protocol (DHCP). Se il computer perde il suo indirizzo IP o il lease e gli viene assegnato un nuovo indirizzo IP – dal router! – non sarà possibile accedere.
6. Utilizzare una password Wi-Fi solida
Scegliete una password Wi-Fi robusta e utilizzate l’impostazione di crittografia più avanzata del vostro dispositivo.
I router più recenti potrebbero supportare il Wi-Fi Protected Access 3 (WPA3), ma la maggior parte si limita al Wi-Fi Protected Access 2 (WPA2).
Leggi anche: Proteggere il tuo smartphone: consigli essenziali per salvaguardare la tua vita digitale
7. Disattivare il WPS
Il compito del Wi-Fi Protected Setup (WPS) era di semplificare l’impostazione del Wi-Fi e la connessione alle reti Wi-Fi per gli utenti non esperti.
Veniva utilizzato raramente e presentava una vulnerabilità che consentiva ai criminali informatici di compromettere le reti Wi-Fi.
Per risolvere il problema sono state distribuite patch e correzioni, ma non tutti i modelli sono stati patchati e non tutti i produttori hanno risolto il bug.
Pertanto, è più sicuro disattivarlo e utilizzare una connessione cablata per la configurazione.
8. Disattivare i servizi che non si usano
I router supportano ogni tipo di protocollo e di connessione, ma se non vi servono è meglio disattivarli.
Meno porte e finestre ci sono in un edificio, più è difficile per un ladro entrare. Lo stesso vale per il router!
Chiudete tutte le porte e aprite solo quelle che utilizzate. Meno tipi di connessione accetta, più sarete al sicuro.
È possibile disattivare servizi come Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) e Home Network Administration Protocol (HNAP).
9. Non utilizzare la gestione del router basata sul cloud
Se il router lo supporta, disattivatelo per evitare che si colleghi con il cloud del produttore.
In questo modo aggiungerete un ulteriore livello di sicurezza, consentendo al router di essere amministrato localmente.
10. Applicare regolarmente le patch al router
In genere, un computer o uno smartphone riceve patch e correzioni per rivolvere potenziali vulnerabilità quando vengono individuate.
Lo stesso processo avviene anche per il router. Nella maggior parte dei dispositivi si tratta di un processo manuale, ma alcuni modelli possono essere impostati in modo da verificate periodicamente la presenza di aggiornamenti.
Se dovete eseguire gli aggiornamenti manualmente, controllate la pagina web di supporto del produttore del vostro router almeno una volta al mese.
Leggi anche: Perché dovresti sempre distruggere i tuoi dati
11. Controllo dell’accesso Wi-Fi
Molti router consentono di configurare un elenco di identità di dispositivi chiamato indirizzi MAC (Media Access Control).
Dal momento che i MAC sono unici per ogni dispositivo collegato in rete, solo quelli riconosciuti e autorizzati potranno connettersi al vostro Wi-Fi.
Se il router lo consente, configurate un Wi-Fi ospite per i visitatori. In questo modo i visitatori potranno accedere a Internet senza rivelare o esporre altri dispositivi della rete.
12. Segmentare la rete
Alcuni router di fascia consumer hanno la possibilità di configurare reti locali virtuali (VLAN) all’interno di altre reti.
Ad esempio, è possibile isolare i dispositivi Internet of Things (IoT) dal resto della rete.
13. Modificare le impostazioni DNS
Modificate le impostazioni DNS (Domain Name System, ossia un sistema che assegna nomi ai nodi della rete) in modo da non utilizzare i valori predefiniti forniti dal vostro ISP.
I servizi più affidabili che si possono utilizzare sono:
- OpenDNS: 208.67.220.220 o 208.67.222.222
- Google DNS: 8.8.8.8 o 8.8.4.4
- Cloudflare: 1.1.1.1 o 1.0.0.1
14. Considerare un firmware personalizzato per il router
Gli utenti più esperti potrebbero prendere in considerazione la possibilità di eliminare completamente il firmware del produttore e sostituirlo con un’alternativa gratuita e open-source.
In genere si tratta di versioni basate su Linux o Berkeley Software Distribution (BSD), quindi più sicure, complete e facilmente configurabili rispetto al firmware predefinito del produttore, supportando spesso anche i protocolli VPN in modo nativo.
Attenzione però: il “flashing” del firmware richiede competenze tecniche per essere eseguito correttamente. Se lo si esegue su un router entro il suo ciclo di supporto, si invalida la garanzia. E, nel peggiore dei casi, si rischia di “bloccare” il dispositivo, rendendolo totalmente inutilizzabile.
Pertanto, assicuratevi di sapere cosa state facendo prima di procedere o di chiedere la necessaria assistenza tecnica.
In conclusione
Dal momento che il router è il punto di collegamento tra l’utente e il mondo esterno è importante prestare la massima attenzione e adottare le dovute cautele per garantire la sicurezza del web.
A seconda delle vostre esigenze di rete e di connettività, della marca del modello, della flessibilità delle impostazioni del firewall e del vostro livello di competenza tecnica, mettete in pratica il maggior numero possibile di queste misure di sicurezza per proteggere la vostra abitazione dagli attacchi digitali.