Il WiFi aziendale è un punto di accesso critico alla rete dell’organizzazione. Una rete wireless mal configurata non è solo una fonte di prestazioni scadenti: è una porta aperta alle minacce. Ospiti non autorizzati che accedono alla rete interna, dispositivi IoT non sicuri che condividono lo stesso segmento dei server, dipendenti che si collegano da reti non protette: questi scenari, molto più comuni di quanto si pensi, possono compromettere l’intera sicurezza aziendale.

In questo articolo approfondiamo come progettare un WiFi aziendale sicuro attraverso VLAN, gestione degli accessi ospiti e segmentazione della rete.

Perché il WiFi aziendale è un vettore di attacco sottovalutato

A differenza della rete cablata, il Wi-Fi trasmette dati via onde radio: chiunque si trovi nel raggio del segnale può tentare di intercettare o connettersi alla rete. Gli attacchi più comuni includono: evil twin (punto di accesso fasullo che si finge la rete aziendale), intercettazione del traffico su reti aperte o con crittografia debole, e accesso non autorizzato attraverso password Wi-Fi condivise o mai cambiate.

La situazione peggiora nelle aziende che hanno una sola rete wireless condivisa tra dipendenti, ospiti, stampanti, telecamere IP e dispositivi IoT. Un attaccante che riesce ad accedere a questa rete — o un dispositivo IoT compromesso — ha visibilità su tutto: server, NAS, gestionale, postazioni di lavoro.

VLAN: la base della segmentazione della rete WiFi aziendale

Le VLAN (Virtual Local Area Network) permettono di segmentare logicamente la rete in zone separate, anche se fisicamente condividono la stessa infrastruttura. In un contesto WiFi aziendale, la segmentazione tramite VLAN consente di creare reti distinte per:

  • Dipendenti: rete principale con accesso alle risorse aziendali interne (server, NAS, stampanti di rete).
  • Ospiti e visitatori: rete separata con accesso solo a Internet, isolata dalla rete aziendale.
  • Dispositivi IoT: telecamere IP, sensori, dispositivi smart — isolati in una VLAN dedicata per limitare i danni in caso di compromissione.
  • Management: rete dedicata alla gestione degli apparati di rete (switch, access point, firewall), accessibile solo agli amministratori IT.
  • Voice over IP (VoIP): rete dedicata ai telefoni IP, per garantire qualità del servizio e sicurezza.

Gestione degli accessi ospiti: come farlo correttamente

La rete ospiti è spesso l’anello più debole della sicurezza WiFi aziendale. Non basta avere un SSID separato: la rete ospiti deve essere configurata per:

  • Isolamento client: i dispositivi connessi alla rete ospiti non devono poter comunicare tra loro (client isolation).
  • Separazione dalla rete interna: traffico ospiti instradato direttamente a Internet senza accesso alle risorse aziendali.
  • Autenticazione: portale captive con accettazione delle condizioni d’uso, eventualmente con credenziali temporanee.
  • Bandwidth limiting: limitare la banda disponibile per gli ospiti per evitare che saturino la connessione aziendale.
  • Logging degli accessi: registrazione per fini di compliance e sicurezza.

Protocolli di sicurezza Wi-Fi: cosa usare e cosa evitare

WPA3 è lo standard di sicurezza Wi-Fi più recente e raccomandato: offre crittografia più robusta e protezione contro gli attacchi di dizionario. WPA2-Enterprise (802.1X) è la soluzione ottimale per le reti aziendali: ogni dipendente si autentica con le proprie credenziali di dominio, eliminando la password Wi-Fi condivisa. WEP e WPA sono obsoleti e vulnerabili: vanno eliminati immediatamente da qualsiasi infrastruttura aziendale.

Monitoraggio e gestione centralizzata del WiFi aziendale

Un Wi-Fi sicuro non è solo questione di configurazione iniziale: richiede monitoraggio continuo. Le soluzioni di gestione centralizzata (controller Wi-Fi o piattaforme cloud-based come Cisco Meraki, Ubiquiti UniFi, HPE Aruba) permettono di visualizzare in tempo reale i dispositivi connessi, rilevare access point non autorizzati (rogue AP), applicare policy coerenti su tutta la rete e gestire gli aggiornamenti firmware degli access point.

Nemesi IT progetta e implementa reti WiFi aziendali sicure per PMI e uffici strutturati: dalla segmentazione VLAN alla configurazione WPA2/WPA3-Enterprise, dalla gestione degli accessi ospiti al monitoraggio proattivo. Ogni rete è diversa: analizziamo la tua infrastruttura e definiamo l’architettura più sicura ed efficiente per il tuo contesto.

FAQ — Domande frequenti

Un rogue AP è un punto di accesso non autorizzato connesso alla rete aziendale — installato da un dipendente inconsapevole o da un attaccante — che bypassa le misure di sicurezza della rete. Si contrasta con il wireless intrusion detection (WIDS), funzionalità disponibile nelle piattaforme di gestione Wi-Fi enterprise che rileva automaticamente access point non autorizzati.

Dipende dalla complessità dell’ambiente, ma una configurazione tipica prevede almeno: VLAN dipendenti, VLAN ospiti, VLAN IoT/stampanti, VLAN management. In ambienti più complessi si aggiungono VLAN VoIP, VLAN server e VLAN per sistemi di sicurezza fisica (telecamere, controllo accessi).

WPA3 è supportato da tutti i dispositivi prodotti dopo il 2018 e obbligatorio per la certificazione Wi-Fi 6 (802.11ax). Dispositivi più vecchi potrebbero non supportarlo. In ambienti misti si può configurare la rete in modalità WPA2/WPA3 transition, che supporta entrambi gli standard contemporaneamente.

Il protocollo 802.1X (WPA2/WPA3-Enterprise) richiede che ogni utente si autentichi con le proprie credenziali individuali (di Active Directory o LDAP) invece di una password condivisa. Questo elimina i problemi legati alla condivisione delle password Wi-Fi, permette di revocare l’accesso di un singolo dipendente senza cambiare la password dell’intera rete e garantisce piena tracciabilità degli accessi.

La segmentazione della rete Wi-Fi tramite VLAN non è un’operazione isolata: fa parte di una progettazione più ampia dell’infrastruttura di networking aziendale, in cui switch, access point, firewall e policy di accesso devono lavorare in modo coordinato.

Affrontare questo tema in modo strutturato significa inserirlo all’interno di una strategia di cyber security che consideri tutti i vettori di attacco, dalla rete wireless agli endpoint, fino alla gestione delle identità.

Articoli simili