← Blog

Guest WiFi za podjetja: kako brez tveganja za interno omrežje

Guest WiFi za podjetja je najpogostejša varnostna luknja, ker ni pravilno ločen od notranjega omrežja. Poglejmo, kako ga postaviti pravilno.

VitalIT ekipa··3 min branja·Omrežja & varnost

Guest WiFi za podjetja ni le storitev za obiskovalce – v nepravilno postavljeni obliki je ena največjih varnostnih lukenj MSP okolij. Ta članek predstavi, kako v pisarni postaviti gostoljubno, a varno omrežje, ki obiskovalcem daje internet, notranje sisteme pa ohrani zaklenjene.

Najpogostejše napake, ki jih vidimo v praksi

  • Isti Wi-Fi za zaposlene in goste (»MojoPodjetje-WiFi« z geslom, ki ga poznajo vsi).
  • Ločen SSID, a v istem VLAN-u kot uporabniki – gosti vidijo tiskalnike, NAS in dele Active Directory-ja.
  • Brez captive portala in brez omejitve časa/pasovne širine.
  • Geslo se ne menja mesece ali leta, tudi po tem, ko obiskovalec ni več pri hiši.

Pravilna arhitektura: VLAN segmentacija

Osnova je stroga ločitev prometa na požarnem zidu z VLAN segmentacijo. Priporočena minimalna postavitev:

VLANNamenDostop
10 – UsersZaposleniDo strežnikov, tiskalnikov, interneta
20 – ServersStrežnikiInterno, kontrolirano
30 – GuestObiskovalciSamo internet, ne notranje
40 – IoTKamere, senzorjiLočeno, brez interneta
50 – VoIPTelefoniQoS, ločeno

Na požarnem zidu (pfSense, OPNsense, FortiGate, Sophos) postavimo pravila: iz Guest VLAN je dovoljen samo promet proti internetu, vse ostalo je zavrnjeno.

Captive portal: prijava, obvestilo in beleženje

Captive portal je stran, ki jo obiskovalec vidi pred dostopom do interneta. Namen:

  • Sprejem pogojev uporabe (pravna zaščita podjetja).
  • Vpis imena in e-pošte (opcijsko, za marketing).
  • Časovna omejitev seje (npr. 8 ur).
  • Beleženje dostopa za morebitne pravne postopke.

Captive portal je vgrajen v UniFi, pfSense, Aruba Instant On, Meraki – ni potrebe po ločeni licenci.

Politike, ki jih priporočamo

  1. Pasovna širina: omejena na 5–10 Mbit/s na napravo, da gosti ne požrejo linije.
  2. Rate limiting: največ 30 sočasnih naprav (za manjše pisarne).
  3. Blokada P2P in torrent prometa.
  4. DNS filter (npr. Cloudflare Family, Quad9): blokira malware in neprimerne vsebine.
  5. Rotacija gesla avtomatično vsak mesec, ali WPA3 z SAE (bolj varno kot skupno geslo).

WPA3 in ločena gesla: konec obdobja »skupnega gesla«

Novi access pointi (UniFi U6, Aruba, Cisco) podpirajo WPA3-SAE Personal, ki daje vsakemu klientu edinstven šifrirni ključ tudi z istim geslom. To pomeni, da tudi če napadalec pozna geslo, ne more prisluškovati prometu drugih naprav.

Postavimo varen poslovni WiFiNačrtujemo VLAN-e, postavimo access pointe in captive portal ter zagotovimo pravno skladnost.

Kaj z GDPR pri captive portalu

Če v captive portalu zbirate e-poštne naslove ali imena, to je obdelava osebnih podatkov. Potrebujete: (1) jasno pravno podlago (privolitev), (2) vpis v evidenco dejavnosti obdelav, (3) rok hrambe (priporočamo 30–90 dni za dnevnike, e-pošte samo če imate namen uporabe).

Ali potrebujem ločen access point za goste?
Ne. Sodobni AP-ji (UniFi, Aruba, Meraki) omogočajo več SSID-jev na eni napravi, pri čemer je vsak SSID lahko vezan na svoj VLAN. En AP torej brez težav servisira zaposlene in goste ločeno.
Ali gosti vidijo drug drugega v omrežju?
Če vklopite 'Client Isolation' na SSID-ju, ne. To je priporočena nastavitev za guest omrežje.
Kakšno hitrost zagotoviti gostom?
Priporočamo 5–10 Mbit/s na napravo – dovolj za video klic in brskanje, premalo za HD streaming velike množice. Prilagodite glede na hitrost internetne linije.
Ali potrebujem posebno licenco za captive portal?
V odprtokodnih rešitvah (pfSense, OPNsense) in UniFi je vključen v osnovi. Meraki in nekateri Cisco produkti zahtevajo licenco.
Koliko stane postavitev za manjšo pisarno?
Če imate managed switch in en sodoben AP, je postavitev VLAN-ov in captive portala okoli 8–12 ur svetovalnega dela. Če je infrastruktura zastarela, se prišteje strošek opreme.
#guest wifi za podjetja#vlan segmentacija#captive portal#poslovni wifi#kibernetska varnost