Hai mai visto un cameriere chiederti la password del Wi-Fi del ristorante? O un cliente che si lamenta che la rete dell'ufficio è lenta perché tutti i dipendenti la usano anche per Netflix? Ecco, il problema non è solo la velocità. Ogni dispositivo che si collega alla tua rete è una potenziale porta d'ingresso per un attacco. Noi, di Meteora Web, lo vediamo ogni giorno nelle PMI che seguiamo: la rete Wi-Fi è trattata come un servizio di cortesia, non come un perimetro di sicurezza. E quando quel perimetro è bucato, i dati aziendali — fatture, contatti, password, magari anche l'ERP — diventano un buffet per chiunque sia parcheggiato fuori con un laptop.
Questa guida ti mostra come passare a WPA3, isolare le reti guest e blindare le vulnerabilità più comuni. Partiamo dal problema concreto.
Perché il Wi-Fi Aziendale è il Vero Anello Debole della Tua Sicurezza?
Immagina di avere un negozio con una porta blindata ma le finestre sempre aperte. È esattamente quello che succede quando usi la stessa rete Wi-Fi per il gestionale, le stampanti, i telefoni VoIP e il telefono del fattorino che passa a ritirare un pacco. Un solo dispositivo infetto — magari lo smartphone di un visitatore — può diventare un cavallo di Troia verso il tuo server.
Le minacce pubbliche più comuni includono:
- Evil Twin: un hotspot fasullo con lo stesso nome del tuo. L'utente si collega, tu catturi tutto.
- KRACK: vulnerabilità su WPA2 che permette di decrittare il traffico. Non è un bug del passato: molti router sono ancora su firmware vecchi.
- Sniffing passivo: se la rete non è crittata, chiunque con Wireshark legge le tue email.
- Attacchi brute-force: password deboli su WPA2 possono essere craccate in pochi minuti con strumenti come aircrack-ng.
Noi abbiamo visto un ristorante di Palermo perdere 3.000 € in una notte perché un attaccante ha clonato la rete Wi-Fi del locale, ha catturato le credenziali di un cameriere e ha usato il POS online per fare acquisti. La lezione è una: il Wi-Fi non è aria, è una porta.
Sponsored Protocol
WPA3 è Davvero Più Sicuro di WPA2?
Sì, ma non è magico. WPA3 introduce tre miglioramenti fondamentali rispetto a WPA2:
- SAE (Simultaneous Authentication of Equals): sostituisce il PSK precondiviso con uno scambio di chiavi che resiste agli attacchi offline. Anche se qualcuno cattura l'handshake, non può fare brute-force a posteriori.
- Crittografia individuale dei dati: ogni dispositivo ottiene una chiave univoca, quindi un client compromesso non espone tutto il traffico.
- Protezione contro il dictionary attack: password deboli — tipo "password123" o "nomeattività2023" — non sono più vulnerabili come su WPA2.
Ma attenzione: un router WPA3 con firmware obsoleto o password amministratore di default è come un portone blindato con la serratura di plastica. La sicurezza parte dalla configurazione, non solo dal protocollo.
Sponsored Protocol
Come Verificare se il Tuo Router Supporta WPA3
- Accedi al pannello di amministrazione del router (di solito 192.168.1.1 o 192.168.0.1).
- Cerca la sezione "Wireless" o "Wi-Fi" → "Sicurezza".
- Se vedi opzioni come "WPA3-Personal" o "WPA2/WPA3 Transitional", il tuo hardware lo supporta. Se vedi solo WPA2, controlla gli aggiornamenti firmware. Spesso i produttori aggiungono il supporto nei modelli recenti.
- Se non trovi nulla, cerca il modello su Google con "[modello] WPA3 support".
Azioni immediate: se il router ha più di 3 anni e non riceve più aggiornamenti, sostituiscilo. Non vale il rischio.
Come Configurare una Rete Guest che Non Comprometta la Rete Principale?
Separare la rete aziendale da quella ospiti non è un optional: è la differenza tra un attacco contenuto e un disastro. Ecco come farlo bene.
Passo 1: Attiva la VLAN o la Rete Separata
La maggior parte dei router moderni ha una sezione "Guest Network". Non limitarti a spuntare la casella: assicurati che la rete guest sia isolata dalla rete principale. In pratica:
- La subnet deve essere diversa (es. 192.168.1.0/24 per la principale, 192.168.2.0/24 per guest).
- Il firewall deve bloccare il traffico tra le due subnet. Su router Linux (es. OpenWrt, pfSense) puoi usare iptables o nftables.
Esempio con OpenWrt
Sponsored Protocol
# Crea una nuova interfaccia per guest
uci set network.guest=interface
uci set network.guest.proto='static'
uci set network.guest.ipaddr='192.168.2.1'
uci set network.guest.netmask='255.255.255.0'
uci commit network
# Aggiungi regole firewall per isolare
uci add firewall rule
uci set firewall.@rule[-1].name='Allow Guest to Internet'
uci set firewall.@rule[-1].src='guest'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].target='ACCEPT'
uci add firewall rule
uci set firewall.@rule[-1].name='Deny Guest to LAN'
uci set firewall.@rule[-1].src='guest'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].target='REJECT'
uci commit firewall
/etc/init.d/firewall restart
Questo codice blocca ogni collegamento dalla rete guest verso la rete principale (LAN), ma permette l'accesso a internet. Copia-incolla funzionante su router con OpenWrt.
Passo 2: Assegna una Password Robusta e Cambiala Regolarmente
Non "wifi-cliente-2024" o "ristorante123". Usa una stringa di almeno 16 caratteri con maiuscole, minuscole, numeri e simboli. La password guest dovrebbe essere cambiata ogni 3 mesi, e non deve mai coincidere con quella della rete principale.
Passo 3: Limita la Larghezza di Banda
Una rete guest senza limiti può saturare la connessione e rallentare il gestionale. Sui router moderni, imposta un limite di banda per IP guest (es. 5 Mbps in download).
Sponsored Protocol
Quali Minacce Concrete Devi Conoscere e Come Bloccarle?
Ecco tre scenari che abbiamo incontrato nei nostri progetti e come risolverli.
1. Evil Twin Attacco
Un attaccante crea un hotspot con lo stesso SSID del tuo (es. "Ristorante Da Mario Wi-Fi"). I clienti si collegano a quello, e l'attaccante vede tutto il traffico in chiaro. Come bloccarlo: abilita la protezione 802.11w (Management Frame Protection) sul router. Questo standard obbliga i dispositivi ad autenticare i pacchetti di gestione, rendendo impossibile per l'attaccante clonare la rete. In più, forma il personale a non fidarsi di SSID simili.
2. Sniffing su Rete Aperta
Anche con WPA3, se la rete guest è aperta (nessuna password), chiunque può sniffare il traffico non crittato (HTTP, email). Soluzione: non usare mai reti completamente aperte. Anche per la guest, imposta una password WPA3-Personal con SAE. Se non puoi (es. hotel che richiede login via browser), usa WPA2-Enterprise con un captive portal. Noi abbiamo implementato questa soluzione per un B&B a Sciacca: rete guest protetta, login via SMS, traffico crittato.
3. Attacchi sulla Banda 5 GHz vs 2.4 GHz
Molti router usano le stesse impostazioni di sicurezza per entrambe le bande. Se la banda 2.4 GHz è su WPA2, un attaccante può attaccare quella. Consiglio: configura entrambe le bande con WPA3-Personal. Se qualche dispositivo vecchio non lo supporta, usa la modalità "transitional" solo temporaneamente, poi aggiorna.
Sponsored Protocol
Cosa Fare Adesso
Non aspettare un attacco per agire. Ecco 5 azioni concrete da fare entro questa settimana:
- Verifica il tuo router: controlla se supporta WPA3 e se il firmware è aggiornato. Se no, sostituiscilo. Un buon router per PMI con supporto WPA3 costa dai 60 ai 150 €, un attacco informatico di media gravità costa migliaia di euro.
- Attiva WPA3-Personal e imposta una password robusta per la rete principale e per la guest. Cambia quella amministratore del router.
- Configura la rete guest isolata con subnet separata e regole firewall che bloccano l'accesso alla LAN.
- Abilita la protezione 802.11w (Management Frame Protection) per prevenire evil twin.
- Pianifica un audit semestrale: controlla dispositivi collegati, password, firmware. Noi lo facciamo per i nostri clienti con una checklist automatica, ma puoi iniziare con un foglio di calcolo.
La sicurezza Wi-Fi non è un costo, è un investimento che paga in protezione dei dati e fiducia dei clienti. Se vuoi approfondire, leggi la nostra guida pillar sulla cybersecurity per avere il quadro completo.
Per documentazione tecnica ufficiale su WPA3, consulta il sito della Wi-Fi Alliance.