Progettazione, Hardening e Messa in Sicurezza di una Rete LAN

Dalla Teoria alla Pratica: Configurazione di apparati di rete per laboratori aziendali e scolastici

Elsayed Mahmoud  |  5 B-Inf  |  I.T.I.S. Enrico Mattei

Introduzione al Capolavoro

Questo progetto documenta il processo sistemistico di riconfigurazione di un apparato di rete consumer (Router TP-Link TL-WR842ND) per trasformarlo in un nodo sicuro all'interno di un'infrastruttura di laboratorio scolastico/aziendale.

L'obiettivo primario è stato passare dalla teoria studiata in classe all'applicazione pratica, implementando protocolli di sicurezza operanti su diversi strati del Modello OSI (in particolare Livello 2, Livello 3 e Livello 7) per garantire l'isolamento del traffico, la mitigazione delle vulnerabilità hardware e il filtraggio selettivo dei contenuti web.

1

Configurazione Topologica e IP Statico

La prima fase operativa ha riguardato l'accesso all'interfaccia di amministrazione dell'apparato tramite l'IP di fabbrica (192.168.0.1). Per inserire il router nella rete del laboratorio senza causare collisioni con il gateway principale, ho modificato l'indirizzamento logico.

Ho assegnato al dispositivo l'IP Statico 192.168.0.254. Questa scelta progettuale posiziona l'apparato di gestione all'estremo superiore della Subnet Mask (/24), riservando i primi indirizzi ai server e il blocco centrale ai client dinamici.

📸 [Inserire qui lo screenshot della pagina Network > LAN con l'IP 192.168.0.254]
2

Risoluzione Conflitti: Disattivazione DHCP

Spostandomi nella sezione DHCP Settings del firmware, ho modificato lo stato del servizio su Disable. Questa è un'operazione fondamentale quando si configura un Access Point secondario in cascata a un router principale (collegamento LAN-to-LAN).

Prevenzione del DHCP Spoofing e Conflitti

Mantenere attivi due server DHCP sulla stessa topologia di rete genera una grave anomalia sistemistica. I dispositivi client riceverebbero offerte IP contrastanti (DHCPOFFER), portando a gateway errati e conseguente impossibilità di instradare i pacchetti verso Internet (Livello 3 OSI compromesso).

3

Hardening Wireless e Vulnerabilità WPS

La sicurezza perimetrale della WLAN inizia dall'abbattimento della superficie di attacco. Dopo aver configurato l'algoritmo di crittografia simmetrica WPA2-PSK [AES], ho analizzato e disattivato il protocollo WPS (Wi-Fi Protected Setup).

Analisi della Vulnerabilità WPS

Il WPS utilizza un PIN di 8 cifre per l'autenticazione. Tuttavia, il router convalida il PIN dividendolo in due blocchi separati (uno da 4 cifre, uno da 3 cifre + checksum). Questo errore di design crittografico riduce le combinazioni da provare da 100.000.000 a sole 11.000.

Un attaccante che utilizza attacchi di tipo Brute Force o exploit specifici (come Pixie Dust Attack) può decifrare il PIN in poche ore e ottenere la chiave WPA2 in chiaro. La disattivazione manuale elimina questa minaccia alla radice.

4

Sicurezza Livello 2: MAC Filtering

Per implementare una rigorosa politica di controllo degli accessi fisici (Livello 2 - Data Link), ho attivato il Wireless MAC Filtering.

Selezionando l'opzione Allow, ho creato una White List aziendale. In questa lista vengono registrati esclusivamente i MAC Address delle schede di rete autorizzate. Anche se un intruso scoprisse la password WPA2-AES, la connessione verrebbe immediatamente scartata dall'Access Point in quanto l'indirizzo fisico non è presente nell'inventario autorizzato.

5

Firewall: Impostazione Policy di Default

La gestione avanzata del traffico in uscita è stata realizzata tramite le ACL (Access Control List). Nella sezione Access Control > Rule, ho spuntato la voce Enable Internet Access Control.

Come regola fondamentale, ho impostato la Default Filter Policy su Allow. Questa impostazione determina una logica operativa di tipo Blacklist: il router permette il passaggio di tutto il traffico dati ordinario, intervenendo con il blocco (Drop) esclusivamente sui pacchetti che corrispondono alle regole restrittive (Deny) che andremo a definire.

📸 [Inserire qui lo screenshot della Default Filter Policy impostata su Allow]
6

Definizione Host: Subnet Targeting

Ogni regola ACL necessita di un "Soggetto" a cui essere applicata. Nel sottomenu Host, ho definito chi subirà il blocco.

Per garantire una protezione estesa a tutto l'ambiente di laboratorio (evitando di dover inserire a mano ogni singolo dispositivo mobile o PC), ho impostato un range di indirizzi IP: da 192.168.0.2 a 192.168.0.254. Nominando questo host "Tutta_La_Rete", ho creato una Group Policy che agisce sull'intera subnet.

7

Definizione Target: Domain vs IP Filtering

Nel sottomenu Target ho censito le destinazioni da vietare (es. siti di scommesse o domini specifici come apple.com). Il router offre due modalità operative, che agiscono su livelli diversi del Modello OSI:

  1. Domain Name: Opera al Livello 7 (Applicazione). Il router intercetta le richieste DNS verso il nome del dominio digitato dall'utente.
  2. IP Address: Opera al Livello 3 (Rete). Il firewall legge l'IP di destinazione presente nell'header del pacchetto e lo scarta a prescindere dal protocollo.

Ho implementato entrambe le tipologie per analizzarne l'efficacia durante la fase di test.

8

Attivazione delle Access Control List

Tornando nel menu principale delle regole (Rule), ho completato il processo assemblando l'ACL. Ho creato una regola denominata SitiBloccati, associando l'Host globale (Tutta_La_Rete) al Target censito (es. apple).

Impostando l'azione su Deny e lo stato su Enabled, il sistema di Packet Filtering del firewall è entrato ufficialmente in funzione, garantendo la messa in sicurezza dell'ambiente di lavoro.

📸 [Inserire qui lo screenshot della tabella Rule con la regola SitiBloccati attiva]
9

Troubleshooting, Cache e Fine Tuning

L'ultima fase del Capolavoro ha richiesto spiccate capacità di Troubleshooting. Eseguendo i test pratici di navigazione, i siti vietati risultavano inizialmente ancora accessibili. Ho identificato e risolto due problematiche tecniche:

1. Il Limite del Protocollo HTTPS

Il filtraggio per Domain Name falliva perché il traffico moderno è crittografato (HTTPS su porta TCP 443). Il router non essendo in grado di eseguire la Deep Packet Inspection, non leggeva il nome del sito nel payload. Ho risolto modificando il Target: inserendo direttamente l'Indirizzo IP pubblico del server web (Livello 3), il firewall ha scartato la connessione con successo.

Inoltre, i sistemi operativi client mantengono una memoria temporanea (Cache) delle risoluzioni dei nomi a dominio. Per validare i test, è stato necessario utilizzare il prompt dei comandi per forzare i client a interrogare nuovamente la rete:

C:\Users\Elsayed> ipconfig /flushdns

Configurazione IP di Windows
Cache del resolver DNS svuotata correttamente.

C:\Users\Elsayed> ping apple.com

Esecuzione di Ping apple.com [17.253.144.10] con 32 byte di dati:
Richiesta scaduta.
Richiesta scaduta.

Glossario Tecnico del Progetto

Modello OSI
Standard architetturale per le reti di calcolatori diviso in 7 livelli. In questo progetto abbiamo operato sui Livelli 2 (Data Link), 3 (Rete) e 7 (Applicazione).
DHCP
Dynamic Host Configuration Protocol. Assegna automaticamente indirizzi IP dinamici agli host di una rete.
MAC Address
Indirizzo fisico univoco assegnato dal produttore a ogni scheda di rete (Network Interface Card).
ACL
Access Control List. Insieme di regole (Permit o Deny) applicate a un'interfaccia router per filtrare il traffico in transito.