Guest WiFi za podjetja: kako brez tveganja za interno omrežje
Guest WiFi za podjetja je najpogostejša varnostna luknja, ker ni pravilno ločen od notranjega omrežja. Poglejmo, kako ga postaviti pravilno.
Guest WiFi za podjetja ni le storitev za obiskovalce – v nepravilno postavljeni obliki je ena največjih varnostnih lukenj MSP okolij. Ta članek predstavi, kako v pisarni postaviti gostoljubno, a varno omrežje, ki obiskovalcem daje internet, notranje sisteme pa ohrani zaklenjene.
Najpogostejše napake, ki jih vidimo v praksi
- Isti Wi-Fi za zaposlene in goste (»MojoPodjetje-WiFi« z geslom, ki ga poznajo vsi).
- Ločen SSID, a v istem VLAN-u kot uporabniki – gosti vidijo tiskalnike, NAS in dele Active Directory-ja.
- Brez captive portala in brez omejitve časa/pasovne širine.
- Geslo se ne menja mesece ali leta, tudi po tem, ko obiskovalec ni več pri hiši.
Pravilna arhitektura: VLAN segmentacija
Osnova je stroga ločitev prometa na požarnem zidu z VLAN segmentacijo. Priporočena minimalna postavitev:
| VLAN | Namen | Dostop |
|---|---|---|
| 10 – Users | Zaposleni | Do strežnikov, tiskalnikov, interneta |
| 20 – Servers | Strežniki | Interno, kontrolirano |
| 30 – Guest | Obiskovalci | Samo internet, ne notranje |
| 40 – IoT | Kamere, senzorji | Ločeno, brez interneta |
| 50 – VoIP | Telefoni | QoS, ločeno |
Na požarnem zidu (pfSense, OPNsense, FortiGate, Sophos) postavimo pravila: iz Guest VLAN je dovoljen samo promet proti internetu, vse ostalo je zavrnjeno.
Captive portal: prijava, obvestilo in beleženje
Captive portal je stran, ki jo obiskovalec vidi pred dostopom do interneta. Namen:
- Sprejem pogojev uporabe (pravna zaščita podjetja).
- Vpis imena in e-pošte (opcijsko, za marketing).
- Časovna omejitev seje (npr. 8 ur).
- Beleženje dostopa za morebitne pravne postopke.
Captive portal je vgrajen v UniFi, pfSense, Aruba Instant On, Meraki – ni potrebe po ločeni licenci.
Politike, ki jih priporočamo
- Pasovna širina: omejena na 5–10 Mbit/s na napravo, da gosti ne požrejo linije.
- Rate limiting: največ 30 sočasnih naprav (za manjše pisarne).
- Blokada P2P in torrent prometa.
- DNS filter (npr. Cloudflare Family, Quad9): blokira malware in neprimerne vsebine.
- Rotacija gesla avtomatično vsak mesec, ali WPA3 z SAE (bolj varno kot skupno geslo).
WPA3 in ločena gesla: konec obdobja »skupnega gesla«
Novi access pointi (UniFi U6, Aruba, Cisco) podpirajo WPA3-SAE Personal, ki daje vsakemu klientu edinstven šifrirni ključ tudi z istim geslom. To pomeni, da tudi če napadalec pozna geslo, ne more prisluškovati prometu drugih naprav.
Postavimo varen poslovni WiFiNačrtujemo VLAN-e, postavimo access pointe in captive portal ter zagotovimo pravno skladnost.Kaj z GDPR pri captive portalu
Če v captive portalu zbirate e-poštne naslove ali imena, to je obdelava osebnih podatkov. Potrebujete: (1) jasno pravno podlago (privolitev), (2) vpis v evidenco dejavnosti obdelav, (3) rok hrambe (priporočamo 30–90 dni za dnevnike, e-pošte samo če imate namen uporabe).
- Ali potrebujem ločen access point za goste?
- Ne. Sodobni AP-ji (UniFi, Aruba, Meraki) omogočajo več SSID-jev na eni napravi, pri čemer je vsak SSID lahko vezan na svoj VLAN. En AP torej brez težav servisira zaposlene in goste ločeno.
- Ali gosti vidijo drug drugega v omrežju?
- Če vklopite 'Client Isolation' na SSID-ju, ne. To je priporočena nastavitev za guest omrežje.
- Kakšno hitrost zagotoviti gostom?
- Priporočamo 5–10 Mbit/s na napravo – dovolj za video klic in brskanje, premalo za HD streaming velike množice. Prilagodite glede na hitrost internetne linije.
- Ali potrebujem posebno licenco za captive portal?
- V odprtokodnih rešitvah (pfSense, OPNsense) in UniFi je vključen v osnovi. Meraki in nekateri Cisco produkti zahtevajo licenco.
- Koliko stane postavitev za manjšo pisarno?
- Če imate managed switch in en sodoben AP, je postavitev VLAN-ov in captive portala okoli 8–12 ur svetovalnega dela. Če je infrastruktura zastarela, se prišteje strošek opreme.
Sorodne objave
WireGuard ali OpenVPN: kateri poslovni VPN izbrati
WireGuard vs OpenVPN je danes ključno vprašanje pri postavitvi poslovnega VPN. Poglejmo, kdaj se izplača kateri in kaj to pomeni za MSP.
Omrežja & varnostZaščita pred ransomware: 7 ukrepov, ki resnično delujejo
Zaščita pred ransomware ni kupovanje 'antivirusa'. Preberite 7 realnih ukrepov, ki ustavijo večino napadov na slovenska MSP podjetja.
Omrežja & varnostZamenjava omrežnega switcha: kdaj, kako in kaj kupiti
Zamenjava omrežnega switcha ni luksuz – zastareli switch upočasnjuje vse. Poglejmo znake, opcije in kaj kupiti za slovenski MSP.
