Sicurezza rete - Router con IP statici

[_indianajones]

Ciao a tutti!

Vi espongo il mio quesito...

Al lavoro ho una rete wifi con le seguenti impostazioni nel router:

WPA2/AES
IP statici

Ho il sospetto che abbiano crackato la pass della rete con brute force.
Probabilmente il router ha la funzione WPS attivata, ma nei vari menù di configurazione non vi è traccia di ciò e quindi non saprei come disattivarla.
A quanto ho capito leggendo in giro per la rete, con questa funzionalità attiva il brute force è fattibile.

Fermo restando che adottando una password lunga e con caratteri speciali il problema verrebbe risolto (o almeno il brute force sarebbe più difficile),
la mia domanda è la seguente:

l'impostazione degli IP fissi impedisce all'intruso di navigare attraverso la nostra rete? In altre parole, l'intruso riesce in qualche modo a risalire all'indirizzo del gateway e quindi a configurare la connessione con IP statico (per tentativi)?

Ho escluso l'utilizzo del filtraggio dei mac address per 2 motivi: il massimo dei mac filtrati dal router è inferiore ai PC della rete ed inoltre è misura facilmente eludibile.


Grazie

[Totocellux]

[...]
l'impostazione degli IP fissi impedisce all'intruso di navigare attraverso la nostra rete? In altre parole, l'intruso riesce in qualche modo a risalire all'indirizzo del gateway e quindi a configurare la connessione con IP statico (per tentativi)?
[...]

no, non lo impedirebbe in quanto è anche facile risalire all'IP del gateway e alla subnet, a mappare
l'intera tua rete e a scovare gli IP non utilizzati.

Non hai però dato l'indicazione più importante, marca e modello del router che stai utilizzando.

A prescindere un consiglio: se si hanno tutti questi (leciti) dubbi sulla insicurezza intrinseca di una
rete WiFi, la soluzione è solamente quella di una rete cablata e ben protetta (peraltro con delle
incognite anche in questo caso), con tutti gli annessi e connessi del caso.

[_indianajones]

Grazie per la pronta risposta

Il router, o meglio l'access point, è un d-link... ma ora non mi ricordo il modello...

D'accordissimo sul fatto che la rete cablata sarebbe la cosa migliore... tuttavia abbiamo la necessità di spostarci con i notebook all'interno dell'azienda.

Male che vada potremmo cambiare l'access point con un modello che non abbia la funzione WPS.

Per curiosità... come potrebbero scoprire il gateway? esistono programmi che lo fanno? Vorrei provare io stesso (sulla mia rete ovviamente) per mostrare al mio capo la vulnerabilità della rete.

Il problema è che oggi giorno non occorre essere esperti informatici per "sferrare" questi attacchi... ormai lo fanno anche i ragazzini con lo smartphone...

[frakka]

Per attivare l'accesso tramite WPS mi pare sia necessario premere un pulsante sull'AP, non mi pare che sia "sempre attivo", o sbaglio? Comunque è una funzione che si può disabilitare.

Esistono sistemi di cifratura della rete più sicuri del classico WPA, ad esempio con cifratura basata su certificati, ma richiedono implementazioni decisamente non banali.

[_indianajones]

In alcuni AP c'è il pulsante WPS... ma non in tutti... L'AP che uso a casa (d-link 605L) non ha tale pulsante... e nemmeno il libretto d'istruzioni parla di questa funzione... eppure dal pannello di configurazione dell'AP posso abilitare o meno il WPS. Cosa che non riesco a trovare nell'AP dell'ufficio.

[_indianajones]

Dunque... l'AP in questione è un D-link modello DAP-2553...

In teoria non dovrebbe supportare il WPS... però provando con un Tablet (android) ad accedere alla rete, compare nelle proprietà della connessione "WPS disponibile"...

[Totocellux]

per quanto riguarda il DIR-605L, se è vero che il manuale utente ufficiale revision 1.0 del
25 gennaio 2012, parla chiaramente del supporto WPS e ne visualizza, a pagina 53, il
particolare del pulsante:

http://www.dlink.com/-/media/Consume..._Manual_US.pdf

direi che c'è qualcosa da rivedere.

Per ciò che concerne il DAP-2553, D-Link non dichiara in alcun modo il supporto WPS.

Se appare la voce nel software del web-server integrato, con ogni probabilità è un refuso di
un firmware analogo, sviluppato per un diverso modello, ma in qualche modo simile
nell'architettura hardware al tuo.

[frakka]

Ho lo stesso AP, magari ci do uno sguardo stasera.

[_indianajones]

per quanto riguarda il DIR-605L, se è vero che il manuale utente ufficiale revision 1.0 del
25 gennaio 2012, parla chiaramente del supporto WPS e ne visualizza, a pagina 53, il
particolare del pulsante:

http://www.dlink.com/-/media/Consume..._Manual_US.pdf

direi che c'è qualcosa da rivedere.

Mannaggia... non mi ero mai accorto di quel pulsante... così tutto nero si confonde...

Nella documentazione contenuta nella confezione non vi è traccia del WPS...

Per ciò che concerne il DAP-2553, D-Link non dichiara in alcun modo il supporto WPS.

Se appare la voce nel software del web-server integrato, con ogni probabilità è un refuso di
un firmware analogo, sviluppato per un diverso modello, ma in qualche modo simile
nell'architettura hardware al tuo.

Dev'essere proprio come dici tu...

Grazie

[Totocellux]

non c'è di che, siamo qui appositamente

L'importante è averti in qualche modo dato ausilio