Sieć gościnna w firmie - 3 proste kroki zwiększające bezpieczeństwo

Posiadanie sieci WiFi dla gości jest moim zdaniem tak samo oczywiste, jak posiadanie ekspresu do kawy. Czy zdarzyło się Wam kiedykolwiek, że zaproszony do firmy gość zapytał o dostęp do firmowej sieci bezprzewodowej? Jeśli tak – to czy bez wahania podzieliliście się z nim Waszym hasłem do firmowego WiFI? Mam nadzieję, że nikt z Was tego nie zrobił… 

Tak jak wspomniałem na wstępie – gościnna sieć bezprzewodowa jest w firmie niezbędna. Ale nie możemy naiwnie wierzyć w to, że nasi kontrahenci lub klienci, którzy się do niej podłączają, mają doskonale zabezpieczone komputery i smartfony. Musimy tutaj zastosować zasadę ograniczonego zaufania, gdyż zawsze najważniejsze jest bezpieczeństwo naszych danych i naszej infrastruktury IT.

Po pierwsze i najważniejsze, sieć dla gości musi być oddzielona od sieci dla pracowników. Dlaczego? A to dlatego, że nasi goście mogą przypadkiem pobrać złośliwe oprogramowanie, a po połączeniu do naszej sieci firmowej może się ono przedostać na nasze komputery. Oczywistym jest to, że mamy firewall, nasza sieć jest podzielona na segmenty, a może mamy również system klasy NAC – ale czy jest zasadne pozostawianie takiej otwartej furtki?  

Po drugie, nie umieszczajmy nazwy sieci gościnnej i hasła do niej na tablicy w recepcji. Nigdy nie wiemy kto użyje tej wiedzy. Czy będzie to nasz gość, a może ktoś przebrany za kuriera? Taka osoba może później skorzystać z naszej infrastruktury, aby przeprowadzić włamanie do innej firmy. Chyba nie muszę tłumaczyć, że analiza danych po włamaniu wskaże skąd nastąpił atak. Trudno będzie wytłumaczyć policji, że nie jest to nasza sprawka i nie mamy pojęcia kto to zrobił. Dlatego sugeruję, aby skorzystać z mechanizmu kont czasowych. W wielkim skrócie wygląda to tak, że osoba chcąca skorzystać Internetu może otrzymać dostęp do sieci gościnnej na określony przez nas czas, a my będziemy wiedzieli kto to był i co robił. W przypadku jakiejkolwiek sytuacji podbramkowej będziemy mogli udzielić pełnej i wyczerpującej informacji organom ścigania.

Po trzecie, skonfigurujmy tak gościnną sieć bezprzewodową, aby prócz punktów dostępowych nie korzystała z żadnych firmowych zasobów. Myślę tu przede wszystkim o serwerze DNS. Skierujmy naszych gości na ogólnodostępne serwery DNS Google (8.8.8.8) lub Cloudflare (1.1.1.1). Możemy też użyć płatnych rozwiązań i skorzystać z mechanizmów filtrowania zapytań DNS np. Cisco Umbrella potrafiących nawet uniemożliwić naszym gościom pobieranie materiałów chronionych prawem autorskim.

Podsumowując – przysłowiowa polska gościnność i bezpieczeństwo naszej sieci mogą iść w parze. Trzeba jednak pamiętać o dobrych praktykach, a powyżej znajduje się klika z nich.

MB