Jak stworzyć bezpieczny dla firmy i wygodny dla jej gości dostęp gościnny?

Jak stworzyć bezpieczny dla firmy i wygodny dla jej gości dostęp gościnny?

Autor: Bartosz Dzirba

Tym razem chciałbym podzielić się moim zdaniem kilkoma interesującymi informacjami dotyczącymi dostępu gościnnego do sieci bezprzewodowej.

Wiele firm i instytucji obok tradycyjnego połączenia typu LAN korzysta również z sieci WiFi, jako sposobu dostępu do internetu. I tutaj naturalnie trudno się temu dziwić. Korzyści są oczywiste: takie rozwiązanie jest po prostu znacznie wygodniejsze (za wyjątkiem przypadków, gdzie przesyłamy bardzo duże objętościowo pliki). Klient WiFi jest mobilny, może swobodnie chodzić po biurze, nie jest ‘przypięty’ kablem do jednego pokoju, nie musi też pamiętać o podłączaniu i odłączaniu kabla ethernetowego za każdym razem kiedy oddala się z laptopem od swojego biurka, czy np. zmienia salę konferencyjną.
Wszystko to, co opisałem powyżej sprawiło, że bezprzewodowy dostęp do internetu jest najdogodniejszy dla klientów i gości odwiedzających rozmaite placówki.

Z punktu widzenia bezpieczeństwa najlepiej byłoby zaprojektować cały system tak, aby oddzielić gości od pracowników firmy, co można zapewnić np. rozgłaszając dwa osobne SSID. Dodatkowo przydałoby się mieć możliwość kontroli w szczególności nad siecią dla gości, do której przecież może podłączyć się każdy, niekoniecznie mający uczciwe zamiary.
Idea działania dostępu gościnnego jest bardzo prosta. Gość przychodzący do firmy podczas zazwyczaj obowiązkowej wizyty na recepcji, legitymuje się i zgłasza chęć uzyskania dostępu do internetu. Wówczas generowane jest dla niego tymczasowe konto z losowo wygenerowaną nazwą użytkownika i hasłem. Klient otrzymuje te dane np. w postaci wydrukowanego biletu dostępowego. Warto wspomnieć, że utworzenie biletu i jego wydrukowanie to zazwyczaj kwestia jednego kliknięcia (pod warunkiem, że zintegrujemy system dostępu gościnnego np. z wewnętrznym systemem rejestracji działającym w firmie).

Osoba, która otrzyma taki bilet podłącza się do widocznej sieci bezprzewodowej np. Wifi_guest i próbuje otworzyć wybraną przez siebie stronę internetową. W tym momencie pojawia się właśnie Captive Portal, w którym należy podać dane z otrzymanego biletu. Po zalogowaniu się jesteśmy automatycznie przekierowywani na wcześniej wybraną przez siebie stronę internetową. Konto, z którego korzystamy jest tymczasowe i może być aktywne np. przez 8 godzin od momentu otrzymania biletu. W ten sposób zabezpieczamy się w dużej mierze przed nieautoryzowanym dostępem osób trzecich. Dodatkowo można ruch z sieci gości przepuścić przez serwer proxy i dokładnie monitorować odwiedzane strony. W takiej konfiguracji możemy łatwo wydobyć informacje o gościach, adresach MAC urządzeń, z których korzystali oraz dokładnych logach generowanego przez nich ruchu, jednocześnie zapewniając separację od sieci WiFi dla pracowników. Cały system można wdrożyć kompleksowo razem z drukarkami biletów rozmieszczonymi przy wejściach do firmy oraz integracją z systemem rejestracji.


Innym rozwiązaniem, które może być skuteczne w przypadku mniejszych firm jest zastosowanie np. Portalu Gościnnego tj. panelu administracyjnego dla pracowników firmy, którzy za jego pomocą na życzenie klienta mogą ręcznie generować bilety dostępowe np. w formacie .pdf i drukować je na lokalnej drukarce.
Przedstawione rozwiązania pozwalają na optymalne rozplanowanie dostępu do sieci WiFi. Dzięki nim nasi goście mają dostęp do Internetu, a z drugiej strony my możemy mieć pewność, że z sieci skorzystają tylko te osoby, które autoryzowaliśmy i tylko w taki sposób, na jaki im zezwalamy.

Podsumowując: solidność, funkcjonalność, wygoda dla użytkownika i bezpieczeństwo sieci firmowej to elementy, dzięki którym takie rozwiązania zyskały ogromną popularność na całym świecie.