Sieć gościnna Wi-Fi w firmie – jak ją bezpiecznie skonfigurować
Klient czekający na spotkanie, serwisant sprzętu czy kontrahent z laptopem – każdy z nich prędzej czy później poprosi o hasło do Wi-Fi. Jeśli podajesz im to samo hasło co pracownikom, otwierasz drzwi do firmowych zasobów osobom, których nie kontrolujesz.
Dlaczego jedna sieć dla wszystkich to zły pomysł
Wielu małych firm wciąż korzysta z jednego routera i jednego SSID dla wszystkich – pracowników, drukarek, kamer i gości. To wygodne, ale niebezpieczne. Urządzenie gościa, nawet zainfekowane bez jego wiedzy, znajduje się w tej samej podsieci co serwer plików, drukarka sieciowa czy stacje robocze księgowości.
- Gość (celowo lub nie) może zeskanować sieć i znaleźć udostępnione zasoby
- Zainfekowany laptop kontrahenta może rozprzestrzenić złośliwe oprogramowanie w sieci lokalnej
- Nie masz kontroli nad tym, ile pasma zużywa ruch gościa kosztem pracy firmy
- W razie incydentu trudno ustalić, czyje urządzenie było źródłem problemu
Rozwiązaniem jest rozdzielenie ruchu już na poziomie sieci – tak, by goście mieli dostęp wyłącznie do internetu, a firmowe zasoby pozostały dla nich niewidoczne.
VLAN i izolacja klientów – fundament bezpiecznej sieci gościnnej
Podstawą jest utworzenie osobnego VLAN-u dla ruchu gościnnego, odseparowanego od VLAN-u firmowego na poziomie przełącznika i routera. Większość biznesowych punktów dostępowych (Ubiquiti, TP-Link Omada, MikroTik, Cisco Meraki) pozwala na to bez dodatkowych inwestycji sprzętowych.
- Utwórz dedykowany VLAN dla sieci gościnnej (np. VLAN 20) z osobną pulą adresów IP
- Skonfiguruj reguły firewalla blokujące ruch między VLAN gościnnym a VLAN firmowym w obu kierunkach
- Włącz izolację klientów (client isolation) w ramach samej sieci gościnnej, żeby urządzenia gości nie widziały się nawzajem
- Ogranicz VLAN gościnny wyłącznie do ruchu do internetu, bez dostępu do drukarek, NAS-a czy paneli administracyjnych
Jeśli firma korzysta z segmentacji sieci opartej o VLAN-y dla innych celów, warto potraktować sieć gościnną jako jeszcze jeden segment w tej samej logice – z najniższym poziomem zaufania.
Konfiguracja SSID i captive portala krok po kroku
Sam VLAN to jedno, ale goście muszą też mieć wygodny i kontrolowany sposób logowania. Oto typowy scenariusz wdrożenia:
- Utwórz osobny SSID, np. NazwaFirmy-Goscie, wyraźnie odróżnialny od sieci firmowej
- Przypisz ten SSID do VLAN-u gościnnego skonfigurowanego wcześniej
- Włącz captive portal – stronę powitalną wymagającą akceptacji regulaminu lub podania kodu dostępu
- Ustaw automatyczną rotację hasła gościnnego, np. co tydzień lub co miesiąc
- Ogranicz pasmo dla sieci gościnnej, aby nie konkurowała z ruchem biznesowym
- Wyłącz możliwość zarządzania punktem dostępowym z poziomu sieci gościnnej
Dobrą praktyką jest też wygenerowanie osobnego kodu QR z danymi logowania, który można wydrukować i powiesić w sali konferencyjnej – to eliminuje konieczność dyktowania hasła i ogranicza literówki.
Zarządzanie dostępem, logowaniem i limitami
Sieć gościnna nie powinna być zestawem i zapomnianym elementem infrastruktury. Warto na bieżąco kontrolować, kto i jak z niej korzysta.
- Limity czasowe – sesja gościa wygasa automatycznie po kilku godzinach, wymuszając ponowne logowanie
- Limity urządzeń – ogranicz liczbę jednoczesnych połączeń na jeden kod dostępu
- Logi połączeń – zachowuj podstawowe logi (adres MAC, czas połączenia) na wypadek incydentu bezpieczeństwa
- Filtrowanie treści – zablokuj dostęp do stron o wysokim ryzyku poprzez filtrowanie DNS na poziomie sieci gościnnej
- Osobna nazwa i hasło dla różnych stref – recepcja, sala konferencyjna i serwisanci mogą mieć osobne kody z różnymi poziomami dostępu
W firmach z dużym ruchem gości warto rozważyć integrację z systemem monitoringu IT, aby anomalie w sieci gościnnej (np. nagły skok transferu danych) trafiały do tej samej konsoli co alerty z sieci firmowej.
Najczęstsze błędy przy wdrażaniu sieci gościnnej
Nawet dobrze zaplanowana sieć gościnna traci sens, jeśli popełnimy podstawowe błędy konfiguracyjne:
- Ustawienie tego samego hasła na miesiące lub lata bez rotacji
- Brak faktycznej izolacji VLAN – SSID jest osobny, ale ruch i tak trafia do tej samej podsieci
- Pozostawienie domyślnych danych logowania do panelu administracyjnego routera, dostępnego teoretycznie także z sieci gościnnej
- Brak aktualizacji firmware urządzeń sieciowych, co czyni je podatnymi na znane luki
- Udostępnianie hasła gościnnego pracownikom jako zapasowego Wi-Fi na ich prywatne telefony
Regularny przegląd konfiguracji sieci gościnnej powinien być elementem szerszego audytu infrastruktury IT w firmie, a nie jednorazowym zadaniem przy zakupie routera.
| Parametr | Sieć firmowa | Sieć gościnna |
|---|---|---|
| VLAN | Dedykowany, pełny dostęp do zasobów | Osobny, wyłącznie ruch do internetu |
| Dostęp do zasobów wewnętrznych | Tak (serwery, drukarki, NAS) | Brak |
| Izolacja klientów | Zwykle wyłączona | Zalecana - włączona |
| Rotacja hasła | Rzadka, powiązana z polityką haseł | Częsta, np. co tydzień lub miesiąc |
| Limit pasma | Priorytet dla ruchu biznesowego | Ograniczony |
| Logowanie i monitoring | Pełne logi i integracja z SIEM | Podstawowe logi połączeń |
Skonfigurujemy bezpieczną sieć w Twojej firmie
NovaSys zaprojektuje i wdroży segmentację sieci wraz z bezpieczną strefą gościnną, dopasowaną do wielkości i specyfiki Twojej firmy we Wrocławiu.