Home Chi Sono
Servizi
WordPress Sviluppo Web Server & Hosting Assistenza Tecnica Windows Android
Blog
Tutti gli Articoli WordPress Hosting Plesk Assistenza Computer Windows Android A.I.
Contatti

Come Metto in Sicurezza la Rete Wi-Fi di Casa: Configurazione Router, DNS Sicuri e Segmentazione VLAN

Quante volte vi siete chiesti se la vostra rete Wi-Fi di casa è davvero sicura? Nella mia esperienza di System Administrator, ho visto decine di reti domestiche configurate con le impostazioni di fabbrica del router, password banali e zero segmentazione. Il risultato? Dispositivi IoT che comunicano liberamente con il PC di lavoro, DNS del provider che non filtrano nulla e porte aperte di cui nessuno si ricorda.

Ho deciso di scrivere questa guida completa perché, dopo aver messo in sicurezza la mia rete personale e quella di diversi clienti, mi sono reso conto che bastano pochi passaggi mirati per alzare drasticamente il livello di protezione. Non servono apparecchiature enterprise da migliaia di euro: con un buon router (o un firmware open source), DNS sicuri e una corretta segmentazione VLAN potete ottenere risultati professionali anche in ambiente domestico.

In questo articolo vi mostro esattamente come faccio io, passo dopo passo, dalla configurazione base del router fino alla creazione di VLAN separate per isolare i dispositivi smart dal resto della rete. Se vi occupate anche di sicurezza dei vostri siti WordPress o avete configurato Fail2Ban sui vostri server, sapete già quanto sia importante un approccio di difesa a più livelli: la rete domestica non fa eccezione.

Perché la Sicurezza della Rete Wi-Fi di Casa È Fondamentale nel 2026

Nel 2026 la casa media ha tra i 15 e i 30 dispositivi connessi: smartphone, laptop, smart TV, telecamere IP, assistenti vocali, termostati, lampadine smart e persino elettrodomestici. Ognuno di questi dispositivi è un potenziale punto di ingresso per un attaccante.

Le minacce più comuni che ho riscontrato includono:

  • Attacchi brute force sulla password Wi-Fi con strumenti come Aircrack-ng
  • DNS hijacking che reindirizza il traffico verso siti malevoli
  • Lateral movement da dispositivi IoT compromessi verso PC e NAS
  • Man-in-the-middle su reti senza crittografia adeguata
  • Accessi non autorizzati tramite WPS ancora attivo

La buona notizia è che con una configurazione corretta potete mitigare tutti questi rischi. Vediamo come.

Configurazione Sicura del Router: I Primi Passi Essenziali

Accedere al Pannello di Amministrazione e Cambiare le Credenziali

Il primo errore che vedo sempre è lasciare le credenziali di accesso predefinite al router. Collegatevi all’interfaccia di amministrazione (solitamente 192.168.1.1 o 192.168.0.1) e cambiate immediatamente:

  • Username amministratore: se il router lo permette, modificatelo da “admin” a qualcosa di personalizzato
  • Password amministratore: usate almeno 16 caratteri con maiuscole, minuscole, numeri e simboli

All’inizio non ci facevo caso nemmeno io, poi ho scoperto che esistono database online come routerpasswords.com con le credenziali predefinite di praticamente ogni modello di router in commercio. Cambiarle è il minimo indispensabile.

Aggiornare il Firmware del Router

Verificate sempre di avere l’ultima versione del firmware. I produttori rilasciano aggiornamenti che correggono vulnerabilità critiche. Nella sezione System o Administration del vostro router troverete l’opzione per il controllo e l’aggiornamento automatico del firmware.

Se il vostro router non riceve più aggiornamenti dal produttore, valutate seriamente di installare un firmware open source come OpenWrt o DD-WRT, oppure di sostituire il dispositivo con un modello ancora supportato.

Configurare la Crittografia WPA3 (o WPA2-AES come Minimo)

Nel 2026 lo standard di riferimento è WPA3-Personal (SAE). Se tutti i vostri dispositivi lo supportano, attivatelo senza esitazione. WPA3 offre:

  • Protezione contro attacchi offline a dizionario grazie al protocollo SAE
  • Forward secrecy: anche se la password viene compromessa, il traffico passato resta cifrato
  • Crittografia individuale per ogni connessione

Se avete dispositivi più vecchi che non supportano WPA3, usate la modalità WPA3/WPA2 transitional o, come minimo assoluto, WPA2-AES (mai TKIP, mai WEP).

Disabilitare WPS e Funzionalità Non Necessarie

Il Wi-Fi Protected Setup (WPS) è una comodità che rappresenta un rischio di sicurezza enorme. L’attacco Pixie Dust può craccare il PIN WPS in pochi secondi su molti router. Disabilitatelo subito.

Altre funzionalità da disabilitare se non le usate:

  • UPnP (Universal Plug and Play): apre porte automaticamente, pericolosissimo
  • Gestione remota del router da Internet
  • WAN ping response
  • SSID broadcast della rete di management (opzionale, ma consigliato)

Impostare una Password Wi-Fi Robusta

La password della rete Wi-Fi deve essere lunga almeno 20 caratteri, casuale e unica. Io uso un password manager per generarla e conservarla. Una passphrase del tipo “C4sa-M1a-R3te-S1cura-2026!” è decisamente meglio di “password123”, ma una stringa completamente casuale è ancora più sicura.

Configurazione DNS Sicuri: Bloccare le Minacce a Livello di Rete

Uno degli interventi più efficaci e sottovalutati che faccio su ogni rete domestica è la configurazione di DNS sicuri. I DNS del provider spesso non offrono alcun filtraggio e, in alcuni casi, possono essere soggetti a logging o manipolazione.

Quali DNS Sicuri Scegliere

Nella mia esperienza, questi sono i migliori DNS sicuri per uso domestico nel 2026:

  • Cloudflare 1.1.1.1 for Families: 1.1.1.2 e 1.0.0.2 (blocco malware), oppure 1.1.1.3 e 1.0.0.3 (blocco malware + contenuti adulti)
  • Quad9: 9.9.9.9 e 149.112.112.112 — eccellente threat intelligence, blocca domini malevoli noti
  • NextDNS: DNS personalizzabile con filtri granulari, gestibile da dashboard web
  • Mullvad DNS: focalizzato sulla privacy, supporta DNS-over-HTTPS e DNS-over-TLS

Configurare i DNS sul Router

Il punto chiave è impostare i DNS direttamente sul router, così tutti i dispositivi della rete li erediteranno automaticamente via DHCP. Ecco come faccio:

  1. Accedete al pannello di amministrazione del router
  2. Cercate la sezione WAN o InternetDNS Settings
  3. Disabilitate l’opzione “Ottieni DNS automaticamente dal provider”
  4. Inserite i DNS primario e secondario scelti (es. 9.9.9.9 e 149.112.112.112)
  5. Nella sezione DHCP Server, verificate che i DNS distribuiti ai client siano quelli del router stesso (l’IP del gateway)
  6. Salvate e riavviate il router

DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT)

Se il vostro router supporta DNS-over-TLS (porta 853) o DNS-over-HTTPS, attivatelo. Questo cifra le query DNS impedendo al provider o a un attaccante di vedere quali siti visitate. Router con OpenWrt supportano DoT nativamente tramite il pacchetto stubby:

opkg update && opkg install stubby

La configurazione si fa editando /etc/stubby/stubby.yml dove specificate i server upstream con supporto TLS. Chi ha familiarità con DNSSEC e Cloudflare troverà i concetti molto simili anche in ambito domestico.

Soluzione Avanzata: Pi-hole o AdGuard Home

Per un controllo totale, installo spesso un Pi-hole o un AdGuard Home sulla rete domestica. Si tratta di DNS sinkhole che filtrano pubblicità, tracker e domini malevoli prima ancora che la richiesta esca dalla rete locale.

Vi basta un Raspberry Pi o anche un container Docker su un mini-PC. Impostate l’IP del Pi-hole come DNS primario nel DHCP del router ed il gioco è fatto. Il vantaggio è enorme: statistiche dettagliate su tutte le query DNS della rete, blocklist personalizzabili e protezione per tutti i dispositivi, anche quelli su cui non potete installare software (come le smart TV).

Segmentazione VLAN: Isolare i Dispositivi per la Massima Sicurezza

Questa è la parte che fa davvero la differenza e che pochi implementano in ambito domestico. La segmentazione VLAN permette di creare reti logiche separate sullo stesso hardware fisico, isolando i dispositivi per categoria di rischio.

Perché Segmentare la Rete Domestica con le VLAN

Immaginate questo scenario: una telecamera IP economica con firmware mai aggiornato viene compromessa. Senza segmentazione, l’attaccante ha accesso diretto al vostro PC di lavoro, al NAS con i backup e a tutto il resto. Con le VLAN, la telecamera è isolata in un segmento separato e non può raggiungere gli altri dispositivi.

Nella mia rete domestica ho creato queste VLAN:

  • VLAN 1 (Management): solo il router e l’accesso di amministrazione — 192.168.1.0/24
  • VLAN 10 (Trusted): PC, laptop, smartphone personali — 192.168.10.0/24
  • VLAN 20 (IoT): telecamere, smart speaker, lampadine, termostati — 192.168.20.0/24
  • VLAN 30 (Guest): ospiti e dispositivi temporanei — 192.168.30.0/24
  • VLAN 40 (Lavoro): PC e dispositivi di lavoro, separati anche dal personale — 192.168.40.0/24

Hardware Necessario per le VLAN Domestiche

Non serve hardware costosissimo. Ecco cosa uso io:

  • Router con supporto VLAN: un dispositivo con OpenWrt, oppure un MikroTik hAP ax³, un Ubiquiti EdgeRouter o un pfSense/OPNsense su mini-PC
  • Switch managed: anche un modello economico come il TP-Link TL-SG108E (circa 30€) supporta il VLAN tagging 802.1Q
  • Access Point con supporto Multi-SSID/VLAN: dispositivi come i TP-Link EAP o gli Ubiquiti UniFi permettono di associare SSID diversi a VLAN diverse

Configurazione Pratica delle VLAN su OpenWrt

Vi mostro come configuro le VLAN sul mio router OpenWrt. Dopo aver effettuato l’accesso all’interfaccia LuCI:

  1. Andate su Network → Interfaces
  2. Create una nuova interfaccia per ogni VLAN. Ad esempio per la VLAN IoT:
    • Nome: IOT
    • Protocollo: Static address
    • Dispositivo: create un nuovo dispositivo bridge con VLAN ID 20 (es. br-lan.20)
    • Indirizzo IPv4: 192.168.20.1
    • Netmask: 255.255.255.0
  3. Nella tab DHCP Server della nuova interfaccia, abilitate il DHCP e impostate il range (es. 192.168.20.100 – 192.168.20.250)
  4. Nella tab Firewall Settings, create una nuova zona firewall dedicata (es. iot)
  5. Ripetete per ogni VLAN

Regole Firewall tra VLAN

La parte cruciale è configurare le regole firewall per controllare il traffico tra le VLAN. Ecco la logica che applico:

  • VLAN IoT → VLAN Trusted: BLOCCATO (i dispositivi IoT non devono raggiungere i PC)
  • VLAN IoT → Internet: PERMESSO (con restrizioni, solo porte necessarie)
  • VLAN Guest → qualsiasi altra VLAN: BLOCCATO
  • VLAN Guest → Internet: PERMESSO
  • VLAN Trusted → VLAN IoT: PERMESSO (posso gestire i dispositivi IoT dal mio PC)
  • VLAN Lavoro → Internet: PERMESSO (possibilmente attraverso VPN aziendale)

Su OpenWrt, queste regole si configurano in Network → Firewall → Traffic Rules. All’inizio avevo dimenticato di bloccare il traffico inter-VLAN e mi sono accorto con un port scan che la telecamera riusciva ancora a vedere il NAS. Aggiunta la regola di drop, problema risolto.

Associare SSID Wi-Fi alle VLAN

Sull’access point, create SSID separati per ogni VLAN:

  • “Casa-Trusted” → VLAN 10, WPA3, password complessa
  • “Casa-IoT” → VLAN 20, WPA2-AES (molti dispositivi IoT non supportano WPA3)
  • “Casa-Ospiti” → VLAN 30, WPA2-AES, password diversa che cambiate periodicamente

Ogni SSID viene taggato con il VLAN ID corrispondente e il traffico viene automaticamente instradato nel segmento corretto.

Misure di Sicurezza Aggiuntive che Consiglio Sempre

Filtraggio MAC Address (con Riserve)

Il filtraggio MAC non è una vera misura di sicurezza perché un MAC address si clona in pochi secondi, ma aggiunge un piccolo livello di complicazione per gli attaccanti occasionali. Lo attivo come misura complementare, mai come protezione primaria.

Monitoraggio della Rete

Installate uno strumento di monitoraggio anche basilare. Su OpenWrt uso il pacchetto nlbwmon per monitorare il traffico per host. Se notate un dispositivo IoT che genera traffico anomalo verso IP sconosciuti, è un campanello d’allarme importante.

Aggiornamento Regolare di Tutti i Dispositivi

Non basta aggiornare il router: tenete aggiornati anche tutti i dispositivi connessi. Questo vale per i dispositivi Android con le ultime patch di sicurezza, per i firmware delle telecamere IP e per qualsiasi altro dispositivo collegato alla rete.

VPN per l’Accesso Remoto

Se dovete accedere alla rete domestica da fuori, non aprite porte sul router: usate una VPN. WireGuard è la mia scelta preferita: leggero, veloce e facile da configurare su OpenWrt. La configurazione richiede pochi minuti e vi dà un tunnel cifrato verso casa senza esporre servizi su Internet.

FAQ

WPA3 è davvero necessario o basta WPA2?

WPA2-AES è ancora considerato sicuro se usate una password lunga e complessa (almeno 20 caratteri casuali). Tuttavia, WPA3 offre protezioni aggiuntive significative contro attacchi offline a dizionario e garantisce forward secrecy. Se i vostri dispositivi lo supportano, non c’è motivo di non attivarlo. Usate la modalità transitional WPA3/WPA2 per compatibilità.

Posso creare VLAN con il router del provider?

Nella maggior parte dei casi, no. I router forniti dai provider (TIM, Vodafone, Fastweb) hanno firmware molto limitati che non supportano VLAN 802.1Q. La soluzione è mettere il router del provider in modalità bridge (o modem only) e collegare un router proprio con OpenWrt, pfSense o MikroTik che gestisca il routing e le VLAN. L’investimento è minimo rispetto ai benefici ottenuti.

Quali DNS sicuri sono i migliori per la privacy?

Per la massima privacy consiglio Quad9 (9.9.9.9) che non registra gli indirizzi IP degli utenti ed è gestito da un’organizzazione no-profit svizzera, oppure Mullvad DNS che ha una policy di zero logging molto rigorosa. Se volete anche filtraggio personalizzato, NextDNS offre un ottimo compromesso tra privacy e funzionalità, con una dashboard trasparente su cosa viene loggato.

La segmentazione VLAN rallenta la rete?

No, l’impatto sulle prestazioni è trascurabile. Il VLAN tagging aggiunge solo 4 byte all’header del frame Ethernet. Il routing inter-VLAN è gestito in hardware dalla maggior parte dei router e switch moderni. Nella mia rete, con VLAN attive, raggiungo le stesse velocità che avevo con la configurazione flat.

Come faccio a usare Chromecast o AirPlay con le VLAN separate?

Questo è un problema comune perché protocolli come mDNS e SSDP funzionano solo in broadcast nel segmento locale. La soluzione è configurare un mDNS reflector (su OpenWrt si installa con opkg install avahi-daemon oppure abilitando l’opzione mDNS repeater in umdns) che inoltra i pacchetti di discovery tra VLAN selezionate, permettendo ad esempio al vostro smartphone sulla VLAN Trusted di vedere il Chromecast sulla VLAN IoT, senza aprire tutto il traffico.

Conclusione

Mettere in sicurezza la rete Wi-Fi di casa non è un’operazione da fare una volta e dimenticare: è un processo continuo che parte dalla configurazione corretta del router, passa per l’adozione di DNS sicuri e arriva alla segmentazione VLAN per isolare i dispositivi più a rischio.

Nella mia esperienza, questi tre livelli di protezione — combinati con aggiornamenti regolari e monitoraggio attivo — trasformano una rete domestica vulnerabile in un ambiente decisamente più robusto. Non dovete implementare tutto in un giorno: iniziate dalle basi (credenziali, firmware, WPA3, DNS) e poi evolvete verso la segmentazione VLAN quando vi sentite pronti.

La sicurezza è una mentalità, non un prodotto. Lo stesso approccio che applico ai server con Fail2Ban o alla protezione di WordPress vale anche per la rete di casa: difesa in profondità, livelli multipli, e nessun punto singolo di fallimento.

Se avete domande sulla configurazione o volete condividere la vostra esperienza con le VLAN domestiche, lasciate un commento qui sotto. Sarò felice di aiutarvi a trovare la soluzione migliore per il vostro caso specifico.

Share: