Ako vas svaki put kada neko dođe u vaš dom ili kancelariju pita za lozinku za Wi-Fi, možda je vrijeme da se organizujete. Kreiranje mreže za goste (ili hotspota s ograničenjima brzine) je vrlo jednostavan način da... Omogućite pristup internetu bez narušavanja sigurnosti ili performansi vaše glavne mreže.I najbolji dio: u većini slučajeva ne morate ništa kupiti, samo se dobro upoznajte s opcijama vašeg rutera.
Pored tipične opcije "Gost WiFi" u meniju, danas gotovo svi kućni i profesionalni ruteri to omogućavaju. izolirati goste, ograničiti im propusni opseg, postaviti rasporede, ograničiti broj uređaja, pa čak i kreirati captive portalPogledajmo, smireno i detaljno, kako sve ovo funkcioniše, koje su prednosti i kako to postaviti kod kuće i u poslovnom prostoru, uključujući ključnu tačku: postavljanje... ograničenje brzine tako da vas niko ne ostavi bez propusnog opsega.
Šta je gostujuća WiFi mreža i zašto bi vas to trebalo zanimati?
Gostinska mreža je, u osnovi, druga WiFi pristupna tačka odvojena od vaše glavne mrežeIzvana izgleda kao samo još jedna WiFi mreža (sa svojim imenom i lozinkom), ali interno je ruter izoluje: uređaji koji se tamo povežu imaju pristup internetu, ali ne mogu vidjeti vaše računare, vaše mobilne telefone, vaš štampač ili vaš NAS.
Ova izolacija se može uraditi na nekoliko načina; mnogi sistemi kombinuju upotrebu zaseban SSID, drugačija VLAN mreža i opcije kao što su „Mreža za goste“ ili „Izolacija klijenta“Praktični rezultat je da gosti mogu pregledavati, koristiti društvene mreže, gledati videozapise itd., ali bez mogućnosti da "špijuniraju" dijeljene resurse ili pokreću napade na vaše uređaje.
Osim toga, moderne mreže za goste često uključuju Vrlo korisne dodatne kontrole: ograničenje brzine, ograničenje broja korisnika, sati korištenja, filtriranje weba ili čak captive portali poput onih koje vidite na aerodromima, u kafićima ili bibliotekama.
Rizici dijeljenja glavne WiFi mreže s gostima
Davanje vaše uobičajene lozinke može izgledati bezopasno, ali sa sigurnosne tačke gledišta to je ekvivalentno predajte kopiju ključeva od kuće ili poslovnog prostoraOd tog trenutka, svako ko ima taj ključ može se povezati kad god želi i, što je još gore, njihov uređaj završava na istoj mreži kao i vaš.
Taj scenario nosi nekoliko ozbiljnih opasnosti: izloženost dijeljenim datotekama, pristup štampačima ili mrežnim diskovima, ili čak kritičnoj opremi kao što su POS terminali, IP kamere ili serveriNa primjer, u restoranu, korištenje mobilnih telefona i platnih terminala kupaca na istoj mreži predstavlja znak sigurnosnih problema.
Također ne bismo trebali zaboraviti na zlonamjerni softver. Ako je mobilni telefon ili laptop vašeg gosta zaražen (a možda toga niste ni svjesni), prilikom povezivanja na vašu glavnu WiFi mrežu, taj zlonamjerni softver može pokušati da se proširi po mreži: od igraće konzole do laptopa na kojem radite ili bilo kojeg slabo zaštićenog IoT uređaja.
Konačno, tu je i problem zloupotrebe vaše veze. Ako neko koristi vašu lozinku za obavljanje ilegalnih aktivnosti (preuzimanja, napadi itd.)U istražne svrhe, ono što se pojavljuje je vaša IP adresa. To je još jedan razlog za ograničavanje ko ulazi i kako.
Prednosti korištenja gostujuće mreže s ograničenjima brzine
Postavljanje WiFi mreže za goste nije samo pitanje sigurnosti; to je također odličan način da bolje upravljajte resursima veze i održavajte kontrolu o tome šta se dešava na vašoj mreži.
Prva jasna prednost je izolacija: gostujući uređaji su organizirani u vlastitom "oboru" i Vaša lična ili korporativna oprema i interne usluge nisu dovoljne.Bez direktne komunikacije, mnogo im je teže da špijuniraju kroz dijeljene mape ili pokreću mrežne napade.
Još jedna veoma zanimljiva stvar je da gostujuća mreža ima vaša vlastita nezavisna lozinka i postavkeAko sumnjate da je lozinka procurila ili da ju je jednostavno previše ljudi isprobalo, možete je promijeniti bez potrebe da ponovo konfigurirate sve svoje uobičajene uređaje ili isključite svoj dom ili ured s mreže dok to radite.
Upit "Kreiraj hotspot s ograničenjima brzine za goste" zaista dolazi do izražaja u smislu performansi. Gotovo svi moderni ruteri to omogućavaju. Ograničite propusnost gostujuće mreže pomoću QoS-a ili specifičnih kontrola gostujuće mrežeOvo osigurava da čak i ako pola trake struji video zapise, vaš video poziv, online igra ili NAS sigurnosna kopija neće biti uništeni.
U profesionalnom okruženju možete iskoristiti i gostujuću mrežu za Primijenite filtere sadržaja, kvote prometa ili crne listeOvo sprečava nekoga da preuzme zlonamjerni softver ili pristupi problematičnim web stranicama koristeći vašu vezu, što takođe smanjuje pravni rizik za vas.
Kako korak po korak kreirati WiFi za goste na ruteru?
Kod kuće, najčešći način postavljanja gostujuće mreže je korištenje rutera samog internet provajdera ili rutera treće strane. Većina već ima posebnu opciju za ovo, iako... Tačan put menija varira u zavisnosti od modela i marke.Normalna stvar je nešto ovako:
- Otvorite preglednik na uređaju povezanom s ruterom i U adresnu traku unesite 192.168.1.1 ili 192.168.0.1Ovo su najčešće adrese; ako ne rade, u Windowsu možete pokrenuti ipconfig i pronađite zadani pristupnik.
- Prijavite se sa svojim administratorskim korisničkim imenom i lozinkom. Obično se nalaze na naljepnici ispod rutera. I, po defaultu, to su obično kombinacije poput admin/admin, admin/1234, users/1234… Idealno bi bilo da ih što prije promijenite kako biste dobili jače lozinke.
- U panelu postavki idite na odjeljak WiFi, bežični ili sličnoNa nekim uređajima je jasno prikazana opcija „Gostujuća mreža“; na drugima morate ići u menije kao što su „Napredno“, „Virtualna pristupna tačka“ ili „SSID gosta“.
- Aktivirajte gostujuću mrežu (obično postoji prekidač za uključivanje/isključivanje) i dodjeljuje jedinstveno mrežno ime (SSID) i lozinkuMnogi ruteri će automatski dodati oznake kao što su "-guest" ili "-invitados" glavnom imenu.
- Odaberite vrstu sigurnosti. Trenutno je preporučena opcija WPA2 ili, ako vaš ruter to dozvoljava, WPA3Izbjegavajte "plain" WEP ili WPA protokole, koji su zastarjeli i relativno lako se kvare.
- Odaberite opcije izolacije gosta ako se pojave, nešto poput ovoga: "Blokiraj pristup intranetu" ili "Zabrani pristup lokalnoj mreži"Ovo je ključno za sprečavanje da gostujuća mreža vidi vašu internu opremu.
- Mnogi ruteri vam omogućavaju da odaberete opseg. Za goste, 2,4 GHz je obično najkompatibilnijijer postoje stariji mobilni telefoni i uređaji koji ne podržavaju 5 GHz.
- Sačuvajte promjene i testirajte na svom mobilnom uređaju. Povežite se na novu mrežu, provjerite da li ima pristup internetu i da li ne pristupa vašim uređajima na glavnoj mreži. (na primjer, ne vidite svoje dijeljene mape ili svoj pisač).
Neki operateri, kao što su Movistar, Orange ili VodafoneTakođer nude aktivaciju WiFi mreže za goste putem vlastitih mobilnih aplikacija. U tim slučajevima, jednostavno otvorite aplikaciju (Smart WiFi, My Orange, itd.), idite na odjeljak "Moj WiFi", "Moj Livebox", "Konfiguriraj WiFi" ili sličan i Aktivirajte gostujuću mrežu promjenom imena i lozinke sa svog mobilnog uređaja.Često čak uključuju i dugmad za dijeljenje ključa putem WhatsAppa ili prikazivanje QR koda.
Kreirajte hotspot s ograničenjem brzine: kontrola propusnosti
Nakon što ste pokrenuli i pokrenuli mrežu za goste, sljedeći korak je pretvorite ga u žarišnu tačku s ograničenjem brzineDrugim riječima, Wi-Fi mreža treće strane koja neće zauzeti sav vaš propusni opseg. Tu do izražaja dolaze QoS (Quality of Service) funkcije i specifične kontrole za goste.
Na mnogim kućnim ruterima, unutar menija mreže za goste ili u odjeljku naprednih postavki, vidjet ćete opcije kao što su "Ograniči propusnost", "Kontrola propusnosti za goste" ili "Maksimalan broj klijenata"Odatle možete definirajte koliko istovremenih veza prihvatate i maksimalnu brzinu koju će imati za kretanje gore-dolje.
Uobičajeno je da se može dodijeliti određeni postotak od ukupnog iznosa. Na primjer, ako imate optički internet od 600 Mbps, možete rezervirati 100-150 Mbps za gostujuću mrežu a ostatak zadržite za svoju glavnu upotrebu. Kod nekih modela to se postiže postavljanjem apsolutnih vrijednosti (na primjer, 20 Mbps upload i 100 Mbps download), a kod drugih generičkim QoS pravilima za sve SSID-ove.
Za bar, restoran, kancelariju sa čestim posjetiocima ili Airbnb, ova opcija je neophodna: Ograničenjem brzine sprječavate da četiri osobe koje gledaju visokokvalitetni video ometaju ostale usluge.A ako vaš ruter to dozvoljava, možete ovo kombinovati sa ograničenjem broja istovremenih uređaja kako biste sprečili da neko poveže celu svoju kolekciju ličnih uređaja sa gostujućom mrežom.
Gostne mreže na ISP ruterima: praktični primjeri
Ako koristite ruter koji vam je obezbijedio vaš internet provajder, vrlo je vjerovatno da je sve ovo već unaprijed konfigurisano. Obično, Gostinska mreža dolazi integrirana, s jednostavnim asistentom kojem se može pristupiti iz preglednika ili iz aplikacije.
Za određene Movistar rutere, na primjer, najlakši način je korištenje aplikacije Smart WiFi. Odatle idite na "Moja mreža > Moj WiFi" i aktivirajte opciju "Gostujuća WiFi mreža", koja, kada je omogućena, Omogućava vam da promijenite ime i lozinku i da ih jednostavno podijelite.Kontrola brzine se obično nalazi u opcijama kvaliteta usluge ili propusnosti.
Na Orange Livebox ruterima, kompanija navodi da gostujući WiFi ima samo Pristup internetu, a ne pristup vašim kućnim računarimaMože se aktivirati putem web panela slijedeći putanju "Osnovno > Wi-Fi > Pristup za goste", odabirom nove lozinke za goste i aktiviranjem odgovarajućeg prekidača. Također se može upravljati putem aplikacije My Orange, uključujući zakazivanje, uključivanje/isključivanje ili promjenu imena.
Vodafone nudi nešto slično: iz korisničkog područja, odlaskom na "Moji proizvodi > Proizvodi i usluge > Fiber > Upravljanje WiFi-jem" Ovo omogućava pristup odjeljcima gdje možete omogućiti bežičnu mrežu za goste.Alternativno, iste funkcije mogu se pronaći na lokalnoj URL adresi rutera, često s više detalja za podešavanje ograničenja brzine ili uređaja.
Napredne opcije: VLAN-ovi, captive portali i profesionalne mreže
U okruženjima s većim prometom ili profesionalnim potrebama (velike kancelarije, hoteli, coworking prostori), obično je bolje ići korak dalje i kreirajte potpuno odvojenu gostujuću mrežu na nivou VLAN-a i firewall-aOvdje više ne govorimo samo o SSID-u kućnog rutera, već o profesionalnim pristupnim tačkama i rješenjima poput pfSense-a, OPNsense-a ili sličnih.
U ovim konfiguracijama, uobičajeno je posvetiti Jedna ili više pristupnih tačaka samo za goste, na odvojenoj VLAN mreži sa strogim pravilima zaštitnog zida (firewall-a) Ovi sistemi dozvoljavaju samo pristup internetu i blokiraju svaki pokušaj pristupa internoj mreži. Nadalje, kombiniraju se sa zaštitnim portalima: otvorenim ili poluautonomnim mrežama koje preusmjeravaju korisnika na stranicu za prijavu ili stranicu za prihvatanje uslova i odredbi prije nego što može pregledavati.
To je vrsta sistema koju vidite na aerodromima, u bibliotekama ili velikim kafićima. Captive portal vam omogućava registraciju korisnika, primjenu vremenskih ograničenja sesije, ograničavanje propusnosti po uređaju i prikaz pravnih obavještenja.Međutim, postavljanje ovih platformi obično zahtijeva znanje o mrežama ili specijaliziranu kompaniju.
Za tehnički naprednije kompanije, mogu se dodati alati za praćenje kao što su NetAlertX ili druga rješenja za analizu prometašto olakšava praćenje 24/7 šta se dešava na gostujućoj mreži: koji se uređaji povezuju, korištenje, sumnjivi obrasci itd. To je sasvim drugačiji svijet, ali vrlo zanimljiv kada gostujući WiFi prestane biti anegdotski i postane ključna usluga.
Rješenja kada vaš ruter ne podržava mreže za goste
Nemaju svi ruteri, posebno stariji ili vrlo osnovni modeli, funkciju za gostujući Wi-Fi. U tim slučajevima imate nekoliko opcija za također postaviti izoliranu pristupnu tačku s ograničenjem brzine:
- Nadogradite svoj ruter na moderniji model koji uključuje podrška za gostujuću mrežu, QoS i WPA3To je najčišće rješenje ako želite veću kontrolu nad svojom mrežom.
- Koristite sekundarni ruter kao namjensku pristupnu tačku za goste. Možete povezati drugi ruter s glavnim i konfigurirati ga, na primjer, na drugoj podmreži ili sa vlastitim NAT-omdodjeljivanjem namjenske WiFi mreže za posjetitelje. Na ovaj način, glavna LAN mreža i LAN mreža za goste ostaju odvojene.
- Odlučite se za mrežni sistem poput Google Nest WiFi-ja, Eera itd., koji obično imaju vrlo jednostavan interfejs za kreiranje i upravljanje mrežama za goste, često s ograničenjima uređaja, rasporeda i pristupa putem mobilne aplikacije.
Ako vam je ugodno s mrežama, možete koristiti i rješenja poput pfSense ili OPNsense instaliran na namjenskom računarukoji djeluje kao zaštitni zid i upravitelj više VLAN-ova. Odatle možete kreirati gostujući LAN ili VLAN s fino podešenim pravilima, ograničenjima brzine IP-a i prilagođenim captive portalima.
Najbolje prakse prilikom postavljanja WiFi mreže za goste
Kreiranje mreže je samo pola posla; da bi ona bila zaista sigurna i funkcionalna, važno je imati na umu neke vrlo specifične preporuke. Prva je Ne ostavljajte mrežu otvorenu. Niti biste ga trebali štititi smiješnom lozinkom. Samo zato što je "samo za goste" ne znači da može biti nezaštićen: vaši posjetitelji također zaslužuju da im promet bude šifriran i zaštićen.
Drugi savjet je da uvijek birate WPA2 enkripcija ili, ako je moguće, WPA3Stariji standardi poput WEP-a ili određenih WPA modova su lako ranjivi i ne bi se trebali koristiti u ozbiljnom okruženju. Omogućavanje ispravne enkripcije je jednako važno kao i korištenje jake lozinke.
Takođe je zgodan S vremena na vrijeme mijenjajte lozinku za gostujuću mrežuPogotovo ako ga koristite u poslovnom prostoru s velikim prometom. Periodično obnavljanje lozinke smanjuje vjerovatnoću da će se osobe koje ne bi trebale imati pristup nastaviti povezivati mjesecima kasnije.
Ne zaboravite provjeriti opcije za ograničenje propusnosti i maksimalan broj klijenataGostujuća mreža s neograničenom brzinom i bez ograničenja broja uređaja može umanjiti performanse glavne veze, posebno ako neko počne s velikim preuzimanjem ili streamingom visoke rezolucije.
Drugi važan aspekt je Primijenite filtere sadržaja ili blokirajte zlonamjerne stranice ako vaš ruter to dozvoljavaJedan klik na web stranicu koja sadrži zlonamjerni softver dovoljan je da zarazi uređaj, a odatle se može pokušati proširiti na druge. Nadalje, ako neko pristupi ilegalnom sadržaju, zapamtite: eksterno, IP adresa je vaša.
Konačno, toplo se preporučuje povremeno pratiti koji su uređaji povezani na vašu gostujuću mrežuIz interfejsa rutera možete pregledati listu klijenata; ako otkrijete nešto sumnjivo, možete ga isključiti, blokirati njegovu MAC adresu ili promijeniti lozinku. Alati poput Acrylic Wi-Fi Analyzer-a omogućavaju vam reviziju bežičnih mreža, pregled povezanih klijenata i otkrivanje neobičnog ponašanja, čak i ako niste direktno povezani na tu Wi-Fi mrežu.
Upravljanje gostujućom mrežom u preduzećima i kod MSP-ova
U srednjim i velikim kompanijama, ili kada MSP upravlja infrastrukturom klijenta, problem nije samo tehnički, već je i povezan sa... politika korištenja i kontrole pristupaNa primjer, kod Cisco Meraki pristupnih tačaka, uobičajeno je omogućiti gostujuću mrežu korištenjem Meraki NAT-a kako bi se spriječio ulazak prometa u internu LAN mrežu.
U ovim scenarijima, ako se koristi jedan unaprijed podijeljeni ključ (PSK), vrlo je uobičajeno da Lozinka se raspršuje i na kraju povezuje desetine ili stotine ličnih uređajaOvo prezasićuje gostujuću mrežu, nameće stroga ograničenja propusnosti i na kraju degradira iskustvo za stvarne posjetioce.
Da biste ublažili ovaj problem, postoji nekoliko strategija: česta promjena lozinke, ograničite ko zna ključ (npr. samo recepcija ili IT)Alternativno, možete koristiti mehanizme sponzorstva i portale za preuzimanje gdje ovlaštena osoba potvrđuje pristup svakog gosta. Izazov ovdje je kombinovanje upotrebljivosti i kontrole: ako bilo ko može odobriti uređaje bez mogućnosti praćenja, vraćate se na početak.
Koje god rješenje da se odabere, ključno je imati pristup evidencijama, osnovnim izvještajima i uvid u to koji se uređaji povezuju, kada i koliko troše.Bez ovih informacija, vrlo je teško opravdati sigurnosne mjere ili objasniti zašto je gostujući Wi-Fi spor. Mnoge proizvođačke cloud platforme (uključujući Meraki) nude barem statistiku i liste kupaca kako bi olakšale ovaj zadatak.
Općenito, prelazak na modele sa individualne akreditacije, vremenski ograničena validnost pristupa i jasna ograničenja brzine i uređaja To je najbolji način da se gostujuća mreža održi upotrebljivom i sigurnom tokom vremena, posebno u kancelarijama sa velikim prometom.
Sve ovo čini dobro dizajniranu WiFi mrežu za goste mnogo više od pukog "dodatnog ključa": odvajanjem prometa, izoliranjem klijenata, ograničavanjem brzine i kontrolom broja i ko se povezuje, osiguravate da vaši posjetitelji mogu udobno pretraživati internet dok vaši uređaji i glavni propusni opseg ostaju zaštićeni. Podijelite ove informacije s drugim korisnicima i pomozite im da kreiraju pristupnu tačku kod kuće.