Sieć firmowa – jak zabezpieczyć Wi-Fi i infrastrukturę

Dlaczego sieć firmowa to krytyczny element bezpieczeństwa

Sieć lokalna jest kręgosłupem każdej firmy – łączy komputery, serwery, drukarki, kamery i dziesiątki innych urządzeń. Jednocześnie jest jednym z najczęściej atakowanych elementów infrastruktury IT w sektorze MŚP. Według danych Verizon Data Breach Investigations Report, ponad 40% naruszeń bezpieczeństwa w małych firmach zaczyna się od przejęcia kontroli nad siecią lokalną lub bezprzewodową.

Typowe problemy, które widujemy w firmach:

• Router z domyślnym hasłem administratora – atakujący korzystają z publicznie dostępnych list domyślnych haseł dla konkretnych modeli urządzeń.
• Brak aktualizacji firmware – przestarzałe oprogramowanie routera zawiera znane luki bezpieczeństwa, które są aktywnie wykorzystywane przez hakerów.
• Jedna sieć dla wszystkich – komputery pracowników, goście i urządzenia IoT w jednej sieci oznaczają, że kompromitacja dowolnego urządzenia daje dostęp do całej infrastruktury.
• Słabe lub niezmieniane hasła Wi-Fi – krótkie, proste hasła do sieci bezprzewodowej można złamać w ciągu minut przy użyciu ogólnodostępnych narzędzi.

Dobra wiadomość jest taka, że większość tych problemów można wyeliminować bez dużych nakładów finansowych – potrzeba tylko wiedzy i kilku godzin pracy.

Segmentacja sieci – izoluj urządzenia, by ograniczać skutki ataków

Segmentacja sieci to podział infrastruktury na odrębne, izolowane strefy. Nawet jeśli jedno urządzenie zostanie zainfekowane, nie będzie miało swobodnego dostępu do pozostałych zasobów firmy. To jeden z najważniejszych kroków w budowaniu bezpiecznej sieci.

Zalecany podział dla typowej firmy MŚP:

1. Sieć pracownicza (VLAN 10) – komputery i laptopy pracowników, dostęp do serwerów i drukarek firmowych, najwyższy poziom zaufania.
2. Sieć gości (VLAN 20) – wyłącznie dostęp do internetu dla gości i kontrahentów, zero dostępu do zasobów wewnętrznych.
3. Sieć IoT (VLAN 30) – kamery IP, drukarki, smart TV, klimatyzatory i inne urządzenia inteligentne. Te urządzenia rzadko otrzymują aktualizacje bezpieczeństwa, dlatego muszą być ściśle izolowane.
4. Sieć serwerowa/DMZ (VLAN 40) – serwery plików, NAS, systemy ERP. Dostęp tylko dla uprawnionych pracowników i usług.

Do segmentacji sieci potrzebujesz zarządzalnego przełącznika sieciowego (ang. managed switch) oraz routera lub firewalla obsługującego VLANy – przykładowo Mikrotik, Ubiquiti UniFi lub Cisco Meraki. Jeśli Twoja obecna infrastruktura na to nie pozwala, to dobry moment na jej modernizację.

Jak skonfigurować bezpieczne Wi-Fi firmowe – krok po kroku

Konfiguracja sieci bezprzewodowej to jeden z obszarów, w którym popełnia się najwięcej błędów. Poniżej znajdziesz listę kroków, które powinieneś wykonać podczas konfiguracji lub audytu firmowego Wi-Fi.

1. Wybierz standard WPA3 – jeśli Twoje urządzenia obsługują WPA3 (Wi-Fi Protected Access 3), koniecznie go włącz. To najnowszy i najbezpieczniejszy standard szyfrowania sieci bezprzewodowej. Jeśli masz starsze urządzenia, ustaw tryb WPA2/WPA3 mieszany.
2. Ustaw silne hasło do sieci – minimum 16 znaków, kombinacja liter, cyfr i znaków specjalnych. Hasło powinno być losowe, a nie słownikowe. Zmień je przynajmniej raz w roku lub przy każdym odejściu pracownika z firmy.
3. Zmień nazwę sieci (SSID) – nie używaj nazwy firmy, modelu routera ani adresu. Neutralna nazwa utrudnia atakującemu identyfikację celu.
4. Wyłącz WPS – funkcja Wi-Fi Protected Setup jest wygodna, ale zawiera poważne luki bezpieczeństwa. Wyłącz ją bezwzględnie na każdym urządzeniu.
5. Utwórz osobną sieć dla gości – oddzielny SSID z innym hasłem, bez dostępu do zasobów wewnętrznych. Hasło gościnne możesz zmieniać co tydzień lub udostępniać jako kod QR w recepcji.
6. Ogranicz moc nadajnika – jeśli pracujesz w biurowcu, ogranicz zasięg Wi-Fi tak, by sygnał nie wychodził poza pomieszczenia firmy.

Router i firewall – pierwsza linia obrony przed atakami

Router to brama między Twoją siecią a internetem. Jego właściwa konfiguracja jest fundamentem bezpieczeństwa sieciowego. Oto co powinieneś sprawdzić i zmienić:

• Zmień domyślne dane logowania – każdy router ma fabryczny login i hasło (często admin/admin). Zmień je na silne, unikalne dane i zapisz w menedżerze haseł.
• Zaktualizuj firmware – sprawdź, czy Twój router ma najnowszą wersję oprogramowania. Wielu producentów wydaje regularne aktualizacje bezpieczeństwa. Jeśli router nie był aktualizowany od lat lub producent zakończył wsparcie – rozważ wymianę urządzenia.
• Wyłącz zdalny dostęp do panelu administracyjnego – panel routera powinien być dostępny wyłącznie z sieci lokalnej, nigdy z internetu.
• Włącz i skonfiguruj firewall – większość routerów biznesowych i prosumer ma wbudowany firewall. Skonfiguruj reguły blokujące ruch przychodzący z wyjątkiem niezbędnych portów. Dla firm przetwarzających wrażliwe dane rozważ dedykowane urządzenie UTM (Unified Threat Management) lub firewall następnej generacji (NGFW).
• Włącz filtrowanie DNS – usługi takie jak Cloudflare for Teams lub Cisco Umbrella blokują dostęp do znanych domen złośliwego oprogramowania i phishingu na poziomie DNS, zanim połączenie w ogóle zostanie nawiązane.

Dla firm potrzebujących pełnej kontroli nad ruchem sieciowym, rozwiązania klasy enterprise jak Fortinet FortiGate, Palo Alto Networks czy open-source OPNsense oferują zaawansowane funkcje przy rozsądnych kosztach wdrożenia.

Monitoring sieci – wykrywaj zagrożenia zanim wyrządzą szkody

Sama konfiguracja zabezpieczeń to za mało – musisz wiedzieć, co dzieje się w Twojej sieci na bieżąco. Monitoring pozwala wykryć ataki, nieautoryzowane urządzenia i podejrzany ruch, często zanim dojdzie do naruszenia bezpieczeństwa.

Co warto monitorować w sieci firmowej:

• Logowania do routera i firewalla – każda próba dostępu do panelu administracyjnego powinna być rejestrowana i weryfikowana.
• Lista podłączonych urządzeń – regularnie sprawdzaj, czy w sieci nie pojawiły się nieznane urządzenia. Narzędzia jak Angry IP Scanner czy Advanced IP Scanner pozwalają szybko zinwentaryzować całą sieć.
• Ruch wychodzący na nieznane adresy – złośliwe oprogramowanie często komunikuje się z serwerami Command & Control. Anomalie w ruchu sieciowym mogą wskazywać na aktywną infekcję.
• Zużycie pasma – nagły wzrost transferu danych może świadczyć o wycieku danych lub ataku DDoS wychodzącym z sieci firmowej.

Dla małych firm dobrym punktem startowym jest włączenie logowania zdarzeń na routerze i regularne przeglądanie logów. Bardziej zaawansowane rozwiązania to systemy SIEM (Security Information and Event Management) lub usługi SOC (Security Operations Center) świadczone przez zewnętrznych dostawców IT, takich jak NovaSys.

Polityka sieciowa i VPN – zasady, które muszą znać Twoi pracownicy

Nawet najlepsza konfiguracja techniczna nie pomoże, jeśli pracownicy nie znają zasad bezpiecznego korzystania z sieci firmowej. Polityka bezpieczeństwa sieciowego powinna być częścią dokumentacji IT każdej firmy.

Co powinna zawierać polityka sieciowa:

• Zakaz podłączania nieautoryzowanych urządzeń – osobiste telefony, tablety i komputery powinny trafiać do sieci gościnnej, a nie pracowniczej, chyba że są objęte polityką MDM.
• Zakaz korzystania z publicznych sieci Wi-Fi bez VPN – pracownicy pracujący zdalnie muszą używać firmowego VPN podczas łączenia się z kawiarni, hoteli czy lotnisk.
• Procedura zgłaszania podejrzanych zdarzeń – każdy pracownik powinien wiedzieć, do kogo zgłosić dziwne zachowanie sieci, nieznane urządzenie lub brak dostępu do zasobów.
• Zakaz instalowania własnych routerów i access pointów – shadow IT w sieci to poważne zagrożenie; pracownicy czasem podłączają własne urządzenia sieciowe dla wygody, nie zdając sobie sprawy z ryzyka.

VPN dla pracy zdalnej to dziś standard, a nie opcja. Rozwiązania takie jak WireGuard, OpenVPN czy komercyjne bramki VPN zapewniają szyfrowany tunel między urządzeniem pracownika a siecią firmową. Warto połączyć VPN z uwierzytelnianiem wieloskładnikowym (MFA) – nawet jeśli dane logowania zostaną skradzione, atakujący nie uzyska dostępu bez drugiego czynnika.

Potrzebujesz pomocy z konfiguracją sieci firmowej lub wdrożeniem VPN? Skontaktuj się z zespołem NovaSys – pomożemy zaprojektować i wdrożyć bezpieczną infrastrukturę dopasowaną do potrzeb Twojej firmy.