Hoe tuig je een veilig gastennetwerk op?

Elk bedrijf verwelkomt gasten die gebruik willen maken van wifi. Deze gasten laten inloggen op het bedrijfsnetwerk levert ernstige beveiligingsrisico’s op. Bied gasten daarom een apart netwerk aan. Hoe zet je zo’n gastennetwerk op?

Er zijn verschillende redenen om een gastennetwerk op te zetten. ‘Veel bedrijven krijgen tegenwoordig bezoek van mensen die behoefte hebben aan een internetverbinding’, stelt Jan Mulder, expert op het gebied van draadloze verbindingen.

Dat kunnen bijvoorbeeld klanten zijn die een afspraak hebben en tijdens het wachten even hun mail of een website willen bekijken. Sommige klanten willen bovendien iets online laten zien of delen met jouw medewerkers.

Daarnaast zijn er bijvoorbeeld vertegenwoordigers of externe medewerkers die over een tijdelijke internetverbinding moeten beschikken om hun werk te kunnen doen. En als bedrijf in de hospitality wil je dat je gasten over een goede internetverbinding kunnen beschikken.

Zeker bij hotels en campings is dat tegenwoordig min of meer een vereiste om nog normaal zaken te kunnen doen. ‘Een gratis wifi-verbinding hoort in feite net zo zeer bij de basisvoorzieningen als een televisie of warm water’, aldus Mulder.

Risico’s gasten op bedrijfsnetwerk

Voor al deze gasten is het handig en veilig als ze kunnen inloggen op een separaat netwerk. ‘Ten eerste weet je immers natuurlijk niet wat er allemaal draait op hun mobiele devices’, aldus Mulder. ‘Als je deze mensen toelaat op je eigen bedrijfsnetwerk, neem je dus ontoelaatbare risico’s op besmetting met virussen en andere malware.’

‘Daarbij weet je van sommige gasten niet precies in hoeverre je ze kunt vertrouwen. Dat betekent dat ze directe toegang tot jouw netwerk mogelijk kunnen misbruiken om gevoelige informatie te bekijken of zelfs te downloaden. Dat wil je uiteraard tegen elke prijs voorkomen.’

Verschillenden soorten gasten

Zeker de wat grotere bedrijven zullen reeds beschikken over een professionele router die de mogelijkheid biedt een apart gastnetwerk in te richten. ‘Normaal gesproken biedt zo’n professionele router inderdaad voldoende mogelijkheden’, aldus Mulder. ‘Het kan echter zo zijn dat je als bedrijf veel gasten met een verschillende status verwelkomt.’

‘Naast de klanten en vertegenwoordigers heb je dan bijvoorbeeld ook freelance medewerkers die af en toe langs komen. In dat geval zou je de ene gast alleen willen toestaan om te browsen, terwijl een ander bijvoorbeeld ook in staat moet zijn om videomateriaal te streamen, bijvoorbeeld voor een presentatie. Als dat regelmatig voorkomt en er ook sprake is van veel verschillende soorten gastgebruik, zou je kunnen overwegen een Radius-server aan te schaffen.’

Gebruikersvoorwaarden voor diverse gasten

Met zo’n Radius-server (Remote Authentication Dial In User Service) kun je heel specifiek allerlei accounts instellen en die allemaal hun eigen gebruikersvoorwaarden meegeven. ‘Daarbij wordt voor elke individuele gebruiker de identiteit vastgesteld,’ aldus Mulder, ‘en dat betekent ook dat alle gebruikers moeten inloggen.’

Die oplossing is echter lang niet altijd noodzakelijk. ‘Met een beetje uitgebreide Virtual LAN-router, die je waarschijnlijk al in je serverruimte hebt staan om je eigen netwerk mee in de lucht te houden, kom je echt al een heel eind’, verzekert Mulder.

‘Daarbij moet je je allereerst afvragen welke mogelijkheden je je gasten wilt bieden. Vaak zal dat niet verder gaan dan de mogelijkheid om te kunnen browsen op het internet. Dat kun je gewoon redelijk eenvoudig instellen op je router. Je kunt dan gewoon aanvinken welke protocollen al dan niet worden ondersteund. Zo zullen veel bedrijven ervoor kiezen alleen http-requests te ondersteunen, en bijvoorbeeld geen downloads via een p2p-protocol mogelijk te maken.’

Beschikbare bandbreedte bepalen

Vervolgens moet worden bepaald hoeveel bandbreedte wordt toegewezen aan het gastnetwerk. ‘Dat hangt onder meer af van de vraag hoeveel mensen je tegelijk toegang wilt geven, en hoe snel je eigen internetverbinding is’, aldus Mulder. ‘Zo zou je er bij een verbinding van 100 Mb/s bijvoorbeeld voor kunnen kiezen 80 Mb/s voor je eigen werkzaamheden te reserveren, en 20 Mb/s voor je gasten te reserveren.’

‘Dat hangt echter van veel factoren af. In het geval van een hotel is dat bijvoorbeeld waarschijnlijk omgedraaid. Overigens heb je in Nederland nog veel bedrijven, met name op industrieterreinen, waar 100 Mb/s niet eens te krijgen is tegen redelijke kosten. In dat geval zullen je gasten zich dus echt met een beperkte verbinding tevreden moeten stellen.’

Bereik van gastnetwerk uitstippelen

Na bepalen van de gewenste bandbreedte kijk je welk bereik het gastnetwerk moet hebben. Daarbij kun je gebruikmaken van reeds aangesloten access points. ‘Dan moeten die echter wel zijn voorzien van twee radio’s en ethernet-aansluitingen’, vult Mulder aan.

‘Bij de wat luxere modellen tref je al een 5Ghz en een 2,4 GHz zender aan. In dat geval is het het handigst voor je eigen netwerk het 5Ghz-gedeelte te kiezen. Niet ieder apparaat ondersteunt dat nog, en dus is er kans dat binnenlopende klanten daar niets mee kunnen. Bovendien is de mogelijk ondersteunde bandbreedte een stuk groter.’

Als dat niet mogelijk is, moeten er nieuwe access points met nieuwe bekabeling aangebracht worden. Dit kan voor ongeveer 100 euro per nieuw access point worden gerealiseerd.

Lees ook: