Progettare una rete wireless: il problema dei canali
Aggiungere un secondo access point a caso in un edificio può peggiorare le prestazioni invece di migliorarle. Se due AP usano lo stesso canale o canali che si sovrappongono, interferiscono l’uno con l’altro — esattamente come avere due persone che parlano contemporaneamente nella stessa stanza.
Canali in banda 2.4 GHz: solo 3 non sovrapposti
La banda 2.4 GHz va da 2.400 GHz a 2.484 GHz ed è suddivisa in canali da 22 MHz di larghezza, con un passo di 5 MHz. Il risultato: i canali adiacenti si sovrappongono.
In un edificio con più AP in banda 2.4 GHz: il piano terra usa CH 1, il primo piano CH 6, il secondo CH 11, il terzo di nuovo CH 1. In questo modo AP “sovrapposti” (verticalmente vicini) usano canali diversi.
Canali in banda 5 GHz: molta più libertà
La banda 5 GHz offre canali da 20 MHz con una spaziatura tale che non si sovrappongono. Sono disponibili fino a 24 canali non sovrapposti (dipende dalla regolamentazione locale). Si possono anche aggregare canali da 40/80/160 MHz per aumentare la velocità.
| Larghezza canale | Canali disponibili (EU) | Throughput massimo 802.11ac |
|---|---|---|
| 20 MHz | Molti (UNII-1, UNII-2, UNII-3) | 433 Mbps per flusso |
| 40 MHz | Metà | 900 Mbps per flusso |
| 80 MHz | Pochi | 1.7 Gbps per flusso |
| 160 MHz | Rarissimi (interferenza radar) | 3.5 Gbps per flusso |
Copertura e roaming: il cell overlap
Per garantire il roaming fluido tra un AP e il successivo, le celle adiacenti devono sovrapporsi di circa il 15–20% in area. Troppa sovrapposizione → interferenze. Troppo poca → zone cieche dove il client perde la connessione prima di associarsi al nuovo AP.
Prima di installare AP in un edificio grande o critico, si esegue un site survey: si mappano le interferenze esistenti, si misura l’attenuazione del segnale attraverso pareti e pavimenti, e si pianifica la posizione ottimale degli AP. Strumenti come Ekahau o NetSpot automatizzano questa analisi.
Sicurezza Wi-Fi: dall’WEP al WPA3
Un segnale radio che si propaga oltre le mura del tuo edificio è un canale aperto: chiunque con la giusta scheda può riceverlo. La crittografia è l’unica barriera tra la tua rete e un attaccante con un laptop nel parcheggio.
Evoluzione dei protocolli di sicurezza
Usa RC4 con chiave a 40 o 104 bit + IV (Initialization Vector) di 24 bit statico. L’IV breve si ripete rapidamente → attaccante può raccogliere abbastanza pacchetti per derivare la chiave in meno di un minuto con strumenti come aircrack-ng. Completamente compromesso dal 2001.
Patch di emergenza per WEP: sostituisce RC4+IV con TKIP (Temporal Key Integrity Protocol) che genera una nuova chiave per ogni pacchetto. Manteneva la compatibilità hardware con WEP. Anch’esso vulnerabile nel 2008 (attacco Beck-Tews su TKIP).
Riprogettato da zero: usa AES-CCMP (Advanced Encryption Standard in modalità CCM) al posto di TKIP. Sicuro se la password è robusta. Vulnerabilità nota: KRACK (Key Reinstallation Attack, 2017) — mitigato con aggiornamenti firmware. Vulnerabile anche agli attacchi dizionario offline sulla 4-way handshake.
- SAE (Simultaneous Authentication of Equals): sostituisce il 4-way handshake WPA2. Basato su Dragonfly key exchange — protegge dagli attacchi dizionario offline anche con password deboli.
- Forward Secrecy: ogni sessione usa chiavi derivate indipendenti. Catturare il traffico oggi non compromette sessioni future anche se la password viene scoperta.
- 192-bit security suite per ambienti enterprise.
- Protected Management Frames obbligatori: mitiga gli attacchi di deauthentication.
Autenticazione Enterprise: 802.1X e RADIUS
In ambiente aziendale la singola password condivisa (PSK — Pre-Shared Key) è inadeguata: se un dipendente lascia l’azienda bisogna cambiare la password per tutti. La soluzione è l’autenticazione per singolo utente tramite credenziali personali.
L’AP fa da proxy: non gestisce le credenziali direttamente, le passa al server RADIUS. Solo dopo l’OK del RADIUS sblocca la porta al client.
Il protocollo EAP (Extensible Authentication Protocol) definisce il meccanismo di autenticazione e può usare vari metodi: EAP-TLS (certificati client — il più sicuro), PEAP (tunnel TLS + username/password), EAP-TTLS. La scelta del metodo EAP dipende dal bilanciamento tra sicurezza e semplicità di gestione.
Principali attacchi alle reti Wi-Fi
| Attacco | Come funziona | Contromisura |
|---|---|---|
| Evil Twin | L’attaccante crea un AP con lo stesso SSID della rete legittima. I client si connettono all’AP malevolo: tutto il traffico transita dall’attaccante. | WPA3 Enterprise + 802.1X, certificati server, VPN |
| Deauthentication Attack | Invia frame 802.11 deauth spoofed verso un client. Il client si disconnette (management frames non erano autenticati in WPA2). | WPA3 con Protected Management Frames obbligatori (PMF) |
| KRACK (2017) | Forza la reinstallazione delle chiavi durante il 4-way handshake WPA2, permettendo la decrittazione e la ritrasmissione di traffico. | Aggiornare firmware AP e client OS, usare WPA3 |
| PMKID Attack | Ottiene il PMKID dall’AP senza catturare la 4-way handshake. Permette attacchi offline su WPA2-PSK senza client connessi. | Password lunga e casuale (16+ caratteri), WPA3-SAE |
| Attacco dizionario | Cattura la 4-way handshake WPA2 e prova password offline con wordlist (hashcat, aircrack-ng). | Password > 20 caratteri, passphrase, WPA3-SAE |
Best practice: checklist di sicurezza Wi-Fi
- Usa WPA3 (o WPA2 se i dispositivi non supportano WPA3)
- Password di almeno 20 caratteri, mista, generata casualmente
- Aggiorna il firmware dell’AP regolarmente
- Crea una rete ospiti separata (SSID + VLAN dedicata)
- Abilita i Protected Management Frames
- In azienda: usa 802.1X/RADIUS e non PSK
- Usare WEP o WPA (TKIP) — sono rotti
- Lasciare la password di default dell’AP
- Usare il nome del router come SSID (rivela il modello)
- Mettere IoT e PC sulla stessa rete
- Fidarsi della sicurezza per “oscurità” (nascondere SSID non serve)
- Trascurare gli aggiornamenti firmware — KRACK era patchabile
La rete ospiti deve essere completamente isolata dalla rete principale: SSID diverso, VLAN separata, nessun accesso ai dispositivi interni. Un ospite (o un dispositivo IoT compromesso) sulla rete principale ha accesso a tutti i tuoi file e dispositivi.
- In banda 2.4 GHz si usano solo i canali 1, 6, 11 per AP adiacenti (non sovrapposti). La banda 5 GHz offre molti più canali e meno interferenze.
- La copertura tra celle adiacenti deve sovrapporsi del 15–20% per garantire il roaming fluido senza zone cieche.
- Sicurezza Wi-Fi: WEP rotto dal 2001, WPA obsoleto, WPA2-AES accettabile ma aggiornare sempre, WPA3 è lo standard attuale (SAE, forward secrecy, PMF obbligatori).
- 802.1X/EAP + RADIUS: autenticazione enterprise per singolo utente, senza PSK condivisa. L’AP fa da proxy verso il server RADIUS.
- Attacchi principali: evil twin, deauth, KRACK, PMKID attack. Le contromisure universali sono: WPA3, password lunga, firmware aggiornato, segregazione ospiti/IoT.