WispOSWispOS
Guida MikroTik
Wireless e mobileBase

Sicurezza Wi-Fi: WPA2, WPA3 e obbligo del parametro country

Come configurare correttamente WPA2 e WPA3 su RouterOS v7, perché il parametro country è obbligatorio per legge e come proteggere la rete wireless da attacchi comuni.

La sicurezza di una rete Wi-Fi dipende da tre pilastri: autenticazione (chi può connettersi), cifratura (riservatezza del traffico) e conformità normativa (potenza di trasmissione conforme al paese). Su RouterOS entrambi i driver — legacy e wifiwave2 — permettono di configurare questi aspetti, ma con comandi diversi.

Perché il parametro country è obbligatorio

Ogni nazione impone limiti sulla potenza di trasmissione massima (EIRP) e sui canali utilizzabili per le reti Wi-Fi. In Italia (e in tutta l'UE) il Codice delle Comunicazioni Elettroniche e le normative ETSI fissano questi limiti. Trasmettere senza impostare country=italy significa rischiare di superare i limiti legali, interferire con altri sistemi (inclusi radar militari su canali DFS) e incorrere in sanzioni.

Impostare il country corretto (entrambi i driver)
# ── DRIVER WIFIWAVE2 ──────────────────────────────────────
/interface/wifi
set wifi1 configuration.country=Italy

# ── DRIVER LEGACY ─────────────────────────────────────────
/interface/wireless
set wlan1 country=italy

# Verificare i canali e la potenza massima consentiti
/interface/wireless info allowed-channels wlan1

WPA2-PSK: configurazione sicura

  • Usa sempre cifratura AES-CCM (TKIP è obsoleto e vulnerabile).
  • Passphrase di almeno 12 caratteri con lettere maiuscole, minuscole, numeri e simboli.
  • Non usare mai SSID e password identici o facili da indovinare.
  • Cambia la passphrase almeno una volta all'anno o dopo ogni cambio di personale.
WPA2-PSK sicuro — Driver Legacy
/interface/wireless/security-profiles
add name=clienti-secure \
  mode=dynamic-keys \
  authentication-types=wpa2-psk \
  wpa2-pre-shared-key="T0p$3cr3t2025!" \
  unicast-ciphers=aes-ccm \
  group-ciphers=aes-ccm \
  group-key-update=1h

/interface/wireless set wlan1 security-profile=clienti-secure

WPA3-PSK e Management Frame Protection (MFP)

WPA3 risolve le debolezze di WPA2 grazie al protocollo SAE (Simultaneous Authentication of Equals) che protegge da attacchi dizionario offline. La Management Frame Protection (802.11w) previene gli attacchi di deauthentication forzata. Disponibile solo sul driver wifiwave2.

WPA2+WPA3 con MFP — Driver Wifiwave2
/interface/wifi
set wifi1 \
  security.authentication-types=wpa2-psk,wpa3-psk \
  security.passphrase="T0p$3cr3t2025!" \
  security.management-protection=required \
  configuration.country=Italy
Imposta sempre management-protection=required (wifiwave2) o management-protection=required nei security profile legacy. Gli attacchi di deauthentication sono banali da eseguire e causano disconnessioni dei clienti. MFP li rende impossibili.

Altre best practice di sicurezza wireless

  • Disabilita SSID broadcast su reti di gestione (non su reti cliente, non migliora la sicurezza reale).
  • Usa VLAN separate per traffico cliente, gestione AP e infrastruttura.
  • Abilita il mac-address-filtering solo come misura aggiuntiva, non come protezione principale.
  • Monitora i log di autenticazione per individuare tentativi di accesso non autorizzati.
  • Per reti enterprise, usa WPA2/WPA3-EAP con RADIUS invece di PSK condivise.
WPA2WPA3sicurezza wirelesscountrynormativa EIRPmanagement frame protection802.11wPSKAES-CCMdeauth attack

Continua con

Bande Wi-Fi, canali e interferenze: tutto quello che devi sapereDriver Wifiwave2 (/interface/wifi) vs Legacy (/interface/wireless): differenze e migrazioneModalità wireless RouterOS: AP, Station, Bridge e WDSCAPsMAN: gestione centralizzata di più Access Point MikroTik

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS