7 consigli per aumentare la sicurezza del router domestico

Quando hai acquistato (o ti hanno consegnato) il router l’hai usato subito senza configurarlo? Sappi che, con tutta probabilità, può essere esposto alle cattive intenzioni di hacker e altri malintenzionati. Qualche dispositivo indesiderato potrebbe collegarsi senza che tu lo sappia, o ci potrebbe essere una falla nella sicurezza.

Per far sì che non si verifichino dei problemi con la sicurezza della rete domestica segui questi consigli per proteggere efficacemente la tua rete wireless.

1) Accedi sempre al pannello amministrazione del router da Ethernet

Entrare nel pannello di amministrazione di un router è semplice: basta aprire un browser, digitare il suo indirizzo IP (o in alcuni casi una URL), digitare lo username e la password di admin del router.

Questa procedura va bene a meno che tu non lo stia facendo da una connessione wireless: in questo modo le credenziali di login possono essere facilmente intercettate. La connessione alla pagina di gestione del router non è cifrata, per questo motivo un dispositivo che stia spiando traffico potrebbe carpire la tua password se ti logghi in modalità wireless. Inoltre, c'è la possibilità di attacchi man-in-the-middle (in parole povere, un hacker che si introduce nel bel mezzo di una comunicazione dati, provocando potenzialmente dei grossi danni).

Se invece ti logghi sempre e solamente via cavo Ethernet puoi eliminare questo rischio. In effetti, se possibile dovresti disabilitare completamente l'accesso remoto e far sì che sia necessaria una connessione cablata per modificare qualsiasi impostazione. In questo modo, anche se un hacker riuscisse a collegarsi alla tua rete in modalità wireless non potrebbe modificare niente né tantomeno prendere il controllo.

Alcuni router possono anche essere gestiti tramite un sito fornito dal produttore. È una buona idea disabilitare questo accesso remoto per la stessa ragione. La disattivazione di queste opzioni significa che solo un dispositivo fidato presente in casa, collegato via cavo, può apportare modifiche alla tua rete.

2) Cambia le credenziali di login del router

Quando si esegue la configurazione iniziale del router, al pannello di amministrazione ci si accede tramite un nome utente e una password di default. Questa password ovviamente è diversa da quella che usi per collegare i dispositivi alla tua rete. È assolutamente indispensabile cambiare la password del router prima possibile.

Lo sapevi che esistono dei siti dove si possono cercare le credenziali di admin di default secondo il modello di router? Uno tra i più famosi è Routerpasswords.com. Ciò significa che se un hacker sa quale router stai usando e tu non hai cambiato le credenziali di admin, lui può entrarci senza tanti sforzi.

Persino non sapendo il modello esatto di router a tua disposizione, l’eventuale hacker può comunque condurre un attacco brute-force sfruttando tutte le combinazioni note per il nome utente e la password di admin. Questo problema viene aggravato dal fatto che la maggior parte dei router usano di default una combinazione non sicura. Un esempio classico è admin come nome utente e password per la password.

Per questo motivo, cambiare questa combinazione dovrebbe essere la prima cosa da fare quando si usa un  nuovo router. In alcuni modelli non si può cambiare il nome utente. Cambiando almeno la password si impedirà a chiunque riesca a collegarsi alla tua rete di provare le combinazioni più comuni per poter avere l’accesso.

3) Cambia l'SSID di default

Un'altra impostazione da cambiare subito dovrebbe essere l'SSID (ovvero il nome pubblico che appare quando guardi le reti WiFi disponibili nel posto in cui ti trovi) del router.

In molti router sono presenti degli SSID di default composti semplicemente da marca e/o modello.

Per esempio, alcuni router Linksys hanno come SSID di default nomi come Linksys-ABC123. Stessa cosa per Netgear, TP-Link e altri brand.

Se un potenziale hacker sa che tipo di router hai, sarà più facile per lui penetrare nella tua rete. E può usare quelle informazioni, per esempio, per cercare delle specifiche vulnerabilità per quello specifico modello.

4) Usa moderni standard di cifratura

La cifratura è una feature da usare assolutamente sul tuo router. Trascurare di farlo è come lasciare le porte e le finestre di casa aperte tutto il tempo, facendo sì che chiunque possa guardare e ascoltare qualsiasi cosa.

Controlla anche le impostazioni di cifratura del Wi-Fi per assicurarti di non usare un protocollo obsoleto. Lo standard più recente è il WPA3, non ancora diffuso su tutti i router. WPA2 va ancora bene, il più vecchio WPA invece non viene più utilizzato. Se quest’ultimo fosse l'unico a disposizione dovresti sostituire il router.

La protezione WPA è disponibile in due varianti: Personal (nota anche come PSK, che sta per Personal Security Key, cioè chiave personale di sicurezza) e Enterprise, usata in ambiti aziendali. In un ambiente domestico si dovrebbe utilizzare la Personal.

Mai utilizzare la WEP perché è debole e si può craccare facilmente.

Oltre a usare WPA3 o WPA2, assicurati di usare la cifratura AES, invece della TKIP. Quest'ultima è meglio di niente, ma AES è più recente e sicura, ed è meglio usare quella se disponibile. Nota che la combinazione  AES+TKIP non è consigliabile al pari della sola TKIP, per questo è meglio usare la sola AES.

Come ultima cosa, cambia la chiave WPA2/WPA (cioè la password che usi per connetterti alla tua rete wireless). Scegli una password forte che non si possa indovinare facilmente e allo stesso tempo che non sia troppo corta. Mettici un minimo di 12 caratteri intervallati da lettere Minuscole maiuscole numeri e caratteri speciali, come @ ! %$ e altri.

E dal momento che ogni tanto avrai bisogno di collegare nuovi dispositivi, cerca di non farla eccessivamente lunga e complicata.

5) Abilita il firewall del router  

Un firewall ha il compito di esaminare i dati di rete in entrata e bloccare tutto ciò che non ritiene sicuro. La maggior parte dei router incorpora dei firewall hardware: questi sono chiamati spesso firewall SPI.

Questo tipo di firewall confronta i dati di rete in ingresso con un database  e ammette solo il traffico che passa il test.

Sulla maggior parte dei router questa opzione è abilitata di default, nel caso controlla che lo sia davvero.

Tieni presente inoltre che il router da solo non è sufficiente. Ogni tanto capita che alcuni dati malevoli non vengano rilevati. Per questo motivo sarebbe meglio installare anche un firewall software come secondo livello di difesa.

6) Disabilita le opzioni WPS e UPnP

WPS, detto anche Wi-Fi Protected Setup, è uno strumento che facilita l’inserimento di nuovi dispositivi in una rete locale. Tutto ciò che devi fare e stabilire una connessione WPS dal tuo dispositivo, poi premere il pulsante WPS presente sul router per collegare il nuovo dispositivo.

WPS si può usare anche tramite PIN. Su alcuni router questo PIN non si può cambiare. E purtroppo il PIN WPS sembra anche abbastanza facile da craccare perché viene salvato come due gruppi separati composti da 4 numeri ciascuno. Qualcuno potrebbe usare il metodo Brute-Force e poi usare il PIN WPS a piacimento, se tu non sei in grado di cambiarlo.

Per questo motivo sarebbe meglio disabilitare il WPS. Si perderà un po' in comodità, ma si guadagnerà in una maggiore sicurezza.

UPnP, o Universal Plug and Play, consente a tutti i dispositivi presenti in rete di comunicare l'uno con l'altro. È indubbiamente comodo ma purtroppo è altrettanto attaccabile e bisognerebbe disabilitarlo per motivi di sicurezza.

Il maggiore svantaggio nel disabilitare l’UPnP riguarda il gaming on-line. Con l’UPnP disabilitato potresti accorgerti che alcuni giochi non funzionano correttamente. Inoltre potresti avere dei problemi con le chat vocali oppure giocando con un particolare utente.

Sia per quanto riguarda l'Upnp che per il WPS, la soluzione consiste nell' aprire le porte manualmente (port forwarding).

7) Aggiorna il firmware del router

Uno dei consigli più comuni nel campo della sicurezza Informatica è quello di tenere aggiornati tutti i dispositivi. Questa regola si applica ovviamente anche ai router. E dato che il tuo router è il dispositivo che gestisce tutto il traffico di rete in entrata in uscita, dovresti tenerlo al sicuro installando le patch più recenti.

Il firmware di un router che non viene aggiornato da tempo non va bene per due motivi:

1- Potrebbe avere dei buchi di sicurezza non risolti che sono attaccabili da hacker

2- Il firmware più recente può introdurre delle nuove feature o miglioramenti di cui può beneficiare la sicurezza complessiva.

È per questo che faresti bene a tenere aggiornato il firmware. Ogni sei mesi, per esempio, dovresti andare sul sito del produttore del tuo router per vedere se sono stati pubblicati aggiornamenti al firmware  del modello che stai utilizzando

Alcuni router permettono persino di controllare gli aggiornamenti dal pannello di amministrazione. Quando è disponibile un aggiornamento, scaricalo e applicalo alle impostazioni del tuo router.

Fortunatamente non dovresti fare questa cosa spesso perché il firmware del router viene aggiornato raramente. E se il tuo router è così vecchio che non viene aggiornato da anni, probabilmente è venuto il momento di sostituirlo.