In questa inervista ci raccontano come hanno messo a punto una tecnica per effettuare Multiuser OFDMA packet capture, ricostruendo i dati trasmessi a ciascun client secondo le RU assegnate a ciascun client dall’AP. Quest’analisi non era possibile in precedenza, se non per la porzione di dati destinati a una singola STA, oppure attraverso funzionalità proprietarie dell’access point.
I ricercatori hanno sviluppato strumenti open source applicabili a hardware commerciale di largo consumo, usando i risultati dell’analisi per valutare l’efficienza dei diversi chipset nel programmare il traffico multiutente.
Tra le fonti citate nello studio, il lavoro pionieristico di Gjermund Raaen, attivo membro della comunità professionale WLAN globale.
Qualche domenica fa mi trovavo su un vagone della metropolitana di una città europea. Ero seduto in testa ed ho aperto il mio analizzatore Wi-Fi preferito per vedere se c’era qualcosa di interessante.
Oltre ai soliti hotspot personali dei passeggeri, ho notato 2 SSID che comparivano sempre sugli stessi canali 104,116,132 5GHz. Il treno si muoveva tra le stazioni, e le due reti comparivano con diversi BSSID a intensità ora crescente, ora decrescente, seguendo il movimento del treno: si trovavano probabilmente lungo la linea. Ero seduto proprio dietro alla cabina del conducente, e mi separavano dai binari in fronte al treno una parete di metallo e il parabrezza della cabina: questo spiega il basso RSSI (al più, -73dBm).
Molti AP a diverso RSSI, due soli SSID: Blue e Red
Da una prima analisi della traccia, si tratta di access point Westermo Netarec, installati in buon numero, a distanza regolare lungo il tunnel, con due reti (Blue e Red) che suggeriscono i due binari nei due sensi di marcia. Sono configurati con intenzione solo su quei 3 canali, larghezza 20 MHz, generazione 802.11a (1999) con minimum basic rate 6 Mbps e max rate 54 Mbps.
Il Country Code è D0, che viene decodificato come All, e tra i canali supportati (ma non utilizzati) vi sono alcuni cabali non consentiti in Europa come 68, 96, 144, 148, 169, tutti con max Tx Power 20dBm (per alcuni di essi ETSI prescrive max 23 dBm, per altri 14 dBm). In ogni caso questi AP usano solo i 3 canali citati sopra, entro i limiti di trasmissione europei, ed è tutto in regola. La rete è protetta con WPA2 Personal.
Deciso a saperne di più, ho configurato il mio dispositivo di packet capture preferito sui 3 canali 5GHz 104,116,132 lasciando correre la cattura per un po’ di fermate. La sera ho esaminato con calma i pcap con Wireshark.
Beacon e broadcast frames
Westermo Neratec è un’azienda svizzera di impianti per la comunicazione industriale e ferroviaria. Gli AP lungo il tunnel trasmettono beacon e quasi esclusivamente data frame in broadcast.
Un solo dispositivo Westermo Neratec si associa a multipli AP lungo il percorso.
Regolarmente, un certo mac address Westermo Neratec, sempre il medesimo, si associa alla rete ed è certamente un dispositivo installato a bordo treno. Qui sopra si notano le association request, sempre verso DCS-Red, il SSID nel senso di marcia del mio treno.
beacon, probe, association e 4-Way Handshake
Il dispositivo di bordo esegue la consueta discovery (il sistema è sicuramente ottimizzato per ascolare e inviare probe solo sui canali configurati), si associa e completa il 4-way handshake (EAPOL frames), e scambia dati con l’AP, talvolta unicast e più spesso broadcast.
Siamo davanti a un sistema di segnalazione ferroviario, che trasmette informazioni continue a tutti i treni (broadcast data frames), e scambia pochi byte di dati con il treno in movimento (unicast data frame).
Il sistema è configurato per l’efficienza: il roaming ottimizzato sui 3 canali è rapido nella discovery e nel rekeying, le modulazioni basse sono robuste (6Mpps MBR) anche in un ambiente con alto multipath. Forse un po’ datato, ma semplice e senza fronzoli.
Il nome della rete è sempre in chiaro nell’Association Request
Dal punto di vista della sicurezza, nascondere il nome della rete nei beacon sarebbe inutile (lo si ricava facilmente dall’Association Request) e controproducente (renderebbe complesso il troubleshooting e la manutenzione). WPA2 Personal con cifratura CCMP AES è resistente agli attacchi brute force se la PSK è complessa e lunga (e la precisione della configurazione lo fa pensare).
Il Wi-Fi è una tecnologia integrante delle nostre società complesse, capace di gestire comunicazioni critiche per la sicurezza e il funzionamento di infrastrutture urbane ad alta densità di informazioni. Adottare frequenze di libero uso consente risultati di qualità a costi contenuti, con un beneficio addizionale per la collettività.
Disclaimer
L’analisi qui presentata ha scopi di ricerca, insegnamento e divulgazione. E’ stata effettuata a partire da segnali, dati e informazioni di pubblico dominio, in aree accessibili al pubblico, utilizzando esclusivamente strumenti passivi di misurazione radio, conformi alla normativa europea ETSI e certificati CE, disponibili sul mercato di largo consumo. I dati presentati fanno parte del protocollo IEEE802.11 e sono componente intrinseca universalmente osservabile del funzionamento delle reti Wi-Fi. Le frequenze radio usate per il servizio RLAN sono definite a livello europeo e armonizzate in Italia sotto l’autorità del MIMIT all’interno del PNRF.
Francesca Meneghello e Lorenzo Galati Giordano sono tra gli autori del paper “Wi-Fi: Twenty-Five Years and Counting“, 2025 (pdf): una panoramica dei grandi temi del Wi-Fi con attenzione allo sviluppo di 802.11bn (Wi-Fi8), il cui rilascio è previsto nel 2028.
In meno di 40 pagine il paper è una survey completa e agile, adatta al professionista di rete esperto e a chi si sta avvicinando all’argomento, magari preparando la certificazione CWNA.
In questa intervista parliamo di bassa latenza e alta affidabilità, multiutenza, Multi Link Operation (MLO) e Multi AP Coordination (MAPC) e molto altro con due ospiti appassionati ed esperti: Francesca Meneghello (Università degli Studi di Padova) e Lorenzo Galati Giordano (Nokia Bell Labs).
Intervista di Jan Reister del 15/10/2025. Ringrazio Giovanni Geraci (Nokia Standards e Universitat Pompeu Fabra), coordinatore dello studio, per aver facilitato questo incontro.
uno strumento/sonda Wi-Fi 7 open source per smartphone
prodotto e distribuito professionalmente
con un ecosistema aperto di app
Cos’è: uno strumento accessibile chi fa reti Wi-Fi. pensato per l’uso accoppiao a un telefono, Wi-Fi7 e 6GHz, parla con diverse app e con hardware di terze parti.
Quando: annunciato a WLPC Praga 2024, l’evento di lancio è stato ieri, 30 luglio 2025.
Chi: sviluppato da una comunità di appassionati, prodotto professionalmente da Oscium, distribuito in USA e UK (per ora).
Quanto: circa 500€
WLAN Pi Go è l’ultima iterazione di una famiglia di sonde open source basate su Raspberry Pi. Il Go nasce dai tentativi di collegare una Intel BE200 Wi-Fi7 via USB-C a un telefono. Man mano si è aggiunto un Raspberry Pi Compute Module 4, una porta USB-C per un analizzatore di spettro (Oscium Wi-Spy o Lucid) e un magnete MagSafe per accoppiarlo al retro di un telefono.
Comunica con diverse app per iOS, Android, Mac e Windows realizzate da Intuitibits (Adrian Granados), Oscium, Hamina.
Il Go è un punto di svolta per il progetto WLAN Pi, che è riuscito a realizzare uno strumento per l’uso mobile, completamente gestito da un telefono. Le dimensioni contenute permettono di eseguire analisi Wi-Fi, packet capture e altre attività professionali in ogni occasione senza strumenti complessi, pesanti e costosi.
La produzione è stata affidata a Oscium. Ciò ha permesso di realizzare un hardware robusto e professionale, prodotto su scala sufficiente per soddisfare la domanda.
Funzionalità principali:
analizzatore Wi-Fi tri-banda e Wi-Fi 7
packet capture
test di connettività
profiler delle capacità dei client
L’ecosistema di app, e la possibilità per chiunque di svilupparne di nuove, aggiunge valore allo strumento e, al contempo alle applicazioni che vi si interfacciano. Le applicazioni con cui il Go parla sono per il momento:
Airtool Pi, app iOS di full packet capture per sensori Linux;
WiFi Explorer Pi, in beta su iOS, app di analisi Wi-Fi;
WiFi Explorer Pro (Mac e Windows), analizzatori Wi-Fi che supportano sonde Linux e Android;
Oscium Metageek per Windows
Hamina Onsite, app professionale per survey Wi-Fi
Telefoni: sebbene le foto sul sito siano tutte di iPhone serie Pro, il Go è compatibile con qualsiasi iPhone supportato da Apple, e con smartphone Android che supportino Ethernet over USB-C (OTG) ed eroghino abbastanza corrente.
Alternative: ci sono diversi dispositivi e software su varie fasce di prezzo, le cui funzionalità non si sovrappongono mai al 100% con il WLAN Pi Go. E viceversa, il Go non fa tutto quello che altre sonde professionali fanno.
un telefono WI-Fi 6E o 7 e l’app Analiti: un analizzatore Wi-Fi completo di speed test ed export dei file pcap (solo beacon) – è la mia scelta preferita per portabilità e costo;
Hamina: il Nomad, prodotto da Oscium per Hamina, è un dispositivo specializzato di analisi e survey, ed è anche compatibile con le app di Intuitibits per fare packet capture; molto maneggevole e leggero; è la mia altra scelta preferita;
WiFiMan Wizard di Ubiquiti: piccolo, leggero, solo dual-band, ma dal prezzo accessibile;
Netally Aircheck G3, Etherscope nXG, Cyberscope: sono già dispositivi Android specializzati e professionali (anche nel costo), abbastanza maneggevoli;
Ekahau: il Sidekick2 (abbastanza maneggevole) e le sue app fanno (quasi) tutto e bene: survey, packet capture, analisi Wi-Fi e di spettro;
Sidos: il Wand è un ottimo dispositivo per survey, con un complemento di app molto promettenti; maneggevole;
Usi già un WLAN Pi o simile? Cosa pensi delle alternative? Lascia un messaggio nei commenti, o meglio ancora rispondi in mailing list!
Héloïse Gollier e Mathy Vanhoef hanno pubblicato un nuovo attacco alle reti Wi-Fi protette chiamato evocativamente “SSID Confusion”.
Riassunto: attacco di nicchia con impatto limitato per ora, ma molto interessante per capire come funziona la sicurezza Wi-Fi.
Dettagli: L’attacco si basa sulla mancata protezione del SSID con 802.11w (Protected Management rames), protezione che viene introdotta parzialmente in 802.11be (Wi-Fi 7). Quando un’ente usa lo stesso metodo di autenticazione e le stesse credenziali (es. 802.1X PEAP, o EAP-TLS) su due o più reti diverse (es. TrustedNet e WrongNet), è possibile indurre un client che intende connettersi a TrustedNet, a connettersi a WrongNet senza errori, visualizzando il SSID TrustedNet sul dispositivo.
Lo scenario è la segmentazione delle reti per banda o per livello di sicurezza, ad esempio un SSID rete24 su 2.4 GHz e uno rete5 su 5 GHz, con la stessa autenticazione WPA2 Enterprise dietro.
Oppure, un SSID rete-legacy con PMF disabilitato e un SSID rete-moderna con PMF mandatorio.
Tramite un rogue AP Multi-Channel Man-in-the-Middle (MC-MitM) si può indurre un client a connettersi a una rete differente dalla desiderata, che potrebbe avere un livello d scurezza più basso.
Gli autori citano esplicitamente il mondo eduroam nelle università come un contesto realistico.
La spiegazione tecnica è che dove lo SSID non contribuisce alla creazione della PMK (Pairwise Sesson key da cui derivano le chiavi temporanee di sessione, PTK), le PTK possono essere riusate indifferentemente anche su un diferente SSID che usi la stessa autenticazione. Laddove invece lo SSID viene usato per la creazione della PMK, l’attacco non è possibile.
WPA2 Enterprise e un flavor di WPA3 Personal (SAE-loop) sono vulnerabili, WPA2 Personal e l’altro flavor di WPA3 Personal (SAE-const) sono immuni.
La difesa semplice consiste nel non usare la stessa autenticazione su due reti diverse, per esempio usando passphrase diverse su due reti WPA3 Personal (fin qui è logico), o due metodi EAP differenti, es PEAP e EAP-TTTLS (non è sempre immediato e praticabile).
La difesa complessa è l’inclusione dell’autenticazione forte del SSID in 802.11, e la certificazione obbligatoria da parte della Wi-Fi Alliance.
Valutazione: Dobbiamo considerare l’impatto di questo attacco rispetto agli scenari in cui è possibile: usare la stessa passphrase in due reti WPA3 Personal è certamente cattiva pratica, ma nel caso di 802.1X l’impatto dell’attacco va confrontato con i benefici della segmentazione delle reti (per livelli di sicurezza e capacità dei client).
I libri che mi sono stati utili e che continuo a consultare. Acquistali nella tua libreria preferita, o cercali in biblioteca: https://opac.sbn.it/.
Pagina in aggiornamento, segnala nuove cose nei commenti.
Le basi
CWNA Certified Wireless Network Administrator Study Guide: Exam CWNA-108, 6th Edition / David D. Coleman, David A. Westcott; ISBN: 978-1-119-73453-6 February 2021 1088 Pages – il manuale di riferimento per passare da zero a cento e affacciarsi sul mondo delle WLAN 802.11
Sicurezza
CWSP Certified Wireless Security Professional Study Guide: Exam CWSP-205, 2nd Edition / David D. Coleman, David A. Westcott, Bryan E. Harkins; ISBN: 978-1-119-21109-9 September 2016 696 Pages – datato ma ancora molto valido, ovviamente mancano WPA3 e OWE, che arrivano nel 2018;
CWDP Certified Wireless Design Professional Official Study Guide / Shawn M. Jackman, Matt Swartz, Marcus Burton, Thomas W. Head; Wiley, 2011; ISBN: 9780470769041 – molto datato (risale a 802.11n) ma ancora valido nei metodi; per bibliofili.
Aruba Very High Density 802.11ac Networks Validated Reference Design / Chuck Lukaszewski, Clark Vitek, Liang Li; 2015; Aiheads Community – eccellente documentazione per capire e progettare reti wi-fi in ambienti ad alta densità di utenti: conferenze, convegni, aule, auditorium, stadi e luoghi pubblici.
Analisi
CWAP Certified Wireless Analysis Professional Official Study Guide / David A. Westcott, David D. Coleman, Peter Mackenzie, Ben Miller; Wiley, 2011; ISBN: 9780470769034 – datato (risale a 802.11n), ma ancora molto attuale, è la migliore introduzione all’analisi di protocollo disponibile a oggi.
Next generation wireless LANs : 802.11n and 802.11ac / Eldad Perahia, Robert Stacey; seconda edizione; Cambridge : Cambridge University Press, 2013; 452 p. ; 26 cm. [SBN: 9781107016767 – molto tecnico e approfondito volume su PHY e MAC; testo fondamentale per capire come funziona 802.11e perché.
Wi-Fi 6 : protocol and network / Susinder R. Gulasekaran, Sundar G. Sankaran; Boston ; London : Artech House, 2021; xiii, 227 p. : ill. ; 24 cm; ISBN: 9781630818425 – volume denso e originale su PHY e MAC, eccezionale per comprendere i fondamenti e le scelte ingegneristiche in 802.11
802.11n : a survival guide / Matthew S. Gast; O’Reilly, 2013; XVI, 123 p. ; 24 cm.; ISBN: 9781449312046 – molto datato, ma affronta in modo graduale e accessibile PHY e MAC di WIFI4; per bibliofili
802.11ac : a survival guide / Matthew S. Gast; O’Reilly, 2013; XVI, 133 p. : ill. ; 24 cm; ISBN: 9781449343149- datato, affronta in modo graduale e accessibile PHY e MAC di WIFI5; per bibliofili
I manuali Certitrek di preparazione agli esami di certificazione sono un caso a parte. Sono tecnicamente corretti, ma un po’ sconclusionati. L’assenza di strumenti editoriali rende difficile usarli come manuali di reference, e i tanti refusi richiedono grande abilità di interpretazione.
Abbiamo condiviso una lista di materiale per il Laboratorio WPA3 che abbiamo tenuto al Workshop GARR – grazie a tutti i partecipanti che lo hanno reso un successo. Poiché ne abbiamo parlato spesso ed è di interesse pubblico, eccola qui. – Marco e Jan
Libri
Il manuale base di riferimento per reti wi-fi (1100 pagine!) è:
Wireshark lo conosciamo tutti. Per analizzare catture 802.11 è consigliabile usare un profilo fatto apposta, con colori, colonne ed elementi in evidenza: WLANProfessionals Master Profiles è una raccolta dei principali profili, che andrà installata in Wireshark come spiega Metageek.
Wifi Explorer Pro è un analizzatore wi-fi. Per Mac, commerciale, una versione Windows in beta è uscita in queste settimane, è il software più usato nella comunità wi-fi. 50% di sconto per chi lavora in università ed enti di ricerca ed ha una email *.edu, o per noi italiani, scrivere alla pagina di contatto indicando la nostra email, il sito dell’istituzione (pagine in inglese) e richiesta di sconto. Sono attenti e rispondono.
Wifi Analyzer altro analizzatore wi-fiPer Windows e Mac, commerciale, molto ben fatto.
Analiti Speed Test Wi-Fi Analyzer Per Android, gratuito + funzioni a pagamento (economicissimo), fa moltissime cose tra cui analisi degli Information Element dei beacon e salvataggio in formato pcapng.
Airport Utility per Apple iOS/MacOS, offre limitate informazioni sulle reti wi-fi visibili, ma almeno è gratuito.
Social Networks
Linkedin è un buon canale per restare in contatto e tenersi aggiornati.
Twitter era un buon canale per restare in contatto e tenersi aggiornati.
WLCP – Wireless LAN Professionals Conference è un evento annuale su più località (Nord e Sud America, Europa), i video interessantissimi delle presentazioni vengono tutti pubblicati sul canale Youtube dopo 15 giorni dalla conferenza. Altamente consigliato.
