Sieć gościnna Wi-Fi w firmie – jak ją bezpiecznie skonfigurować

Klient czekający na spotkanie, serwisant sprzętu czy kontrahent z laptopem – każdy z nich prędzej czy później poprosi o hasło do Wi-Fi. Jeśli podajesz im to samo hasło co pracownikom, otwierasz drzwi do firmowych zasobów osobom, których nie kontrolujesz.

Dlaczego jedna sieć dla wszystkich to zły pomysł

Wielu małych firm wciąż korzysta z jednego routera i jednego SSID dla wszystkich – pracowników, drukarek, kamer i gości. To wygodne, ale niebezpieczne. Urządzenie gościa, nawet zainfekowane bez jego wiedzy, znajduje się w tej samej podsieci co serwer plików, drukarka sieciowa czy stacje robocze księgowości.

  • Gość (celowo lub nie) może zeskanować sieć i znaleźć udostępnione zasoby
  • Zainfekowany laptop kontrahenta może rozprzestrzenić złośliwe oprogramowanie w sieci lokalnej
  • Nie masz kontroli nad tym, ile pasma zużywa ruch gościa kosztem pracy firmy
  • W razie incydentu trudno ustalić, czyje urządzenie było źródłem problemu

Rozwiązaniem jest rozdzielenie ruchu już na poziomie sieci – tak, by goście mieli dostęp wyłącznie do internetu, a firmowe zasoby pozostały dla nich niewidoczne.

VLAN i izolacja klientów – fundament bezpiecznej sieci gościnnej

Podstawą jest utworzenie osobnego VLAN-u dla ruchu gościnnego, odseparowanego od VLAN-u firmowego na poziomie przełącznika i routera. Większość biznesowych punktów dostępowych (Ubiquiti, TP-Link Omada, MikroTik, Cisco Meraki) pozwala na to bez dodatkowych inwestycji sprzętowych.

  1. Utwórz dedykowany VLAN dla sieci gościnnej (np. VLAN 20) z osobną pulą adresów IP
  2. Skonfiguruj reguły firewalla blokujące ruch między VLAN gościnnym a VLAN firmowym w obu kierunkach
  3. Włącz izolację klientów (client isolation) w ramach samej sieci gościnnej, żeby urządzenia gości nie widziały się nawzajem
  4. Ogranicz VLAN gościnny wyłącznie do ruchu do internetu, bez dostępu do drukarek, NAS-a czy paneli administracyjnych

Jeśli firma korzysta z segmentacji sieci opartej o VLAN-y dla innych celów, warto potraktować sieć gościnną jako jeszcze jeden segment w tej samej logice – z najniższym poziomem zaufania.

Konfiguracja SSID i captive portala krok po kroku

Sam VLAN to jedno, ale goście muszą też mieć wygodny i kontrolowany sposób logowania. Oto typowy scenariusz wdrożenia:

  1. Utwórz osobny SSID, np. NazwaFirmy-Goscie, wyraźnie odróżnialny od sieci firmowej
  2. Przypisz ten SSID do VLAN-u gościnnego skonfigurowanego wcześniej
  3. Włącz captive portal – stronę powitalną wymagającą akceptacji regulaminu lub podania kodu dostępu
  4. Ustaw automatyczną rotację hasła gościnnego, np. co tydzień lub co miesiąc
  5. Ogranicz pasmo dla sieci gościnnej, aby nie konkurowała z ruchem biznesowym
  6. Wyłącz możliwość zarządzania punktem dostępowym z poziomu sieci gościnnej

Dobrą praktyką jest też wygenerowanie osobnego kodu QR z danymi logowania, który można wydrukować i powiesić w sali konferencyjnej – to eliminuje konieczność dyktowania hasła i ogranicza literówki.

Zarządzanie dostępem, logowaniem i limitami

Sieć gościnna nie powinna być zestawem i zapomnianym elementem infrastruktury. Warto na bieżąco kontrolować, kto i jak z niej korzysta.

  • Limity czasowe – sesja gościa wygasa automatycznie po kilku godzinach, wymuszając ponowne logowanie
  • Limity urządzeń – ogranicz liczbę jednoczesnych połączeń na jeden kod dostępu
  • Logi połączeń – zachowuj podstawowe logi (adres MAC, czas połączenia) na wypadek incydentu bezpieczeństwa
  • Filtrowanie treści – zablokuj dostęp do stron o wysokim ryzyku poprzez filtrowanie DNS na poziomie sieci gościnnej
  • Osobna nazwa i hasło dla różnych stref – recepcja, sala konferencyjna i serwisanci mogą mieć osobne kody z różnymi poziomami dostępu

W firmach z dużym ruchem gości warto rozważyć integrację z systemem monitoringu IT, aby anomalie w sieci gościnnej (np. nagły skok transferu danych) trafiały do tej samej konsoli co alerty z sieci firmowej.

Najczęstsze błędy przy wdrażaniu sieci gościnnej

Nawet dobrze zaplanowana sieć gościnna traci sens, jeśli popełnimy podstawowe błędy konfiguracyjne:

  • Ustawienie tego samego hasła na miesiące lub lata bez rotacji
  • Brak faktycznej izolacji VLAN – SSID jest osobny, ale ruch i tak trafia do tej samej podsieci
  • Pozostawienie domyślnych danych logowania do panelu administracyjnego routera, dostępnego teoretycznie także z sieci gościnnej
  • Brak aktualizacji firmware urządzeń sieciowych, co czyni je podatnymi na znane luki
  • Udostępnianie hasła gościnnego pracownikom jako zapasowego Wi-Fi na ich prywatne telefony

Regularny przegląd konfiguracji sieci gościnnej powinien być elementem szerszego audytu infrastruktury IT w firmie, a nie jednorazowym zadaniem przy zakupie routera.

Sieć firmowa a sieć gościnna – kluczowe różnice konfiguracji
ParametrSieć firmowaSieć gościnna
VLANDedykowany, pełny dostęp do zasobówOsobny, wyłącznie ruch do internetu
Dostęp do zasobów wewnętrznychTak (serwery, drukarki, NAS)Brak
Izolacja klientówZwykle wyłączonaZalecana - włączona
Rotacja hasłaRzadka, powiązana z polityką hasełCzęsta, np. co tydzień lub miesiąc
Limit pasmaPriorytet dla ruchu biznesowegoOgraniczony
Logowanie i monitoringPełne logi i integracja z SIEMPodstawowe logi połączeń

Skonfigurujemy bezpieczną sieć w Twojej firmie

NovaSys zaprojektuje i wdroży segmentację sieci wraz z bezpieczną strefą gościnną, dopasowaną do wielkości i specyfiki Twojej firmy we Wrocławiu.

Zapytaj o wsparcie IT Bezpłatna konsultacja