"Mi dai la password del Wi-Fi?" È una domanda che senti ogni volta che un cliente, un fornitore o un consulente entra in ufficio. E tu, per cortesia, dai la password della rete aziendale. Quello che forse non sai è che stai aprendo le porte della tua infrastruttura IT a chiunque. In questa guida ti spiego perché è un rischio e come risolverlo in meno di 30 minuti.
I Rischi di una Rete Unica per Tutti
Quando colleghi un dispositivo ospite alla stessa rete dei tuoi computer aziendali, stai creando una falla di sicurezza enorme. Ecco cosa può succedere:
- Accesso ai file condivisi: un ospite con il portatile infetto potrebbe vedere le cartelle di rete, i NAS, i server. Anche senza intenzioni malevole, un malware sul suo dispositivo può propagarsi.
- Scansione della rete: strumenti gratuiti permettono di mappare tutti i dispositivi connessi. Un malintenzionato può identificare stampanti, telecamere, server e cercare vulnerabilità.
- Man-in-the-middle: tecniche di intercettazione permettono di "ascoltare" il traffico di rete. Password, email, dati sensibili possono essere catturati.
- Banda condivisa: se l'ospite fa download pesanti o streaming, rallenta la connessione per tutti i dipendenti.
- Responsabilità legale: se l'ospite usa la tua connessione per attività illegali, l'indirizzo IP è il tuo.
Caso reale: un'azienda nostra cliente ha scoperto che un consulente esterno aveva collegato un portatile personale infetto da ransomware. Il malware si è propagato ai PC in rete e ha cifrato 3 server. Danno: 2 giorni di fermo e costi di ripristino. La causa? Una sola rete Wi-Fi per tutti.
La Soluzione: VLAN Separata per gli Ospiti
Una VLAN (Virtual Local Area Network) è una rete virtuale che separa logicamente i dispositivi, anche se sono collegati allo stesso hardware fisico. In pratica, puoi creare due reti Wi-Fi: una per l'azienda e una per gli ospiti, completamente isolate tra loro.
I dispositivi sulla rete ospiti:
- Possono navigare su Internet
- Non possono vedere i computer aziendali
- Non possono accedere a server, NAS o stampanti
- Hanno banda limitata per non impattare sulla produttività
Cosa Serve per Implementare una VLAN
Per creare una rete ospiti separata hai bisogno di:
- Router/Firewall con supporto VLAN: la maggior parte dei router professionali come pfSense supporta questa funzionalità. I router domestici economici spesso no.
- Access Point con supporto SSID multipli: gli access point professionali permettono di creare più reti Wi-Fi con SSID diversi, ciascuna associata a una VLAN.
- Switch gestito (opzionale): se hai cablaggio strutturato, uno switch managed permette di estendere le VLAN anche alle porte Ethernet.
Configurazione Base Router/Firewall
Vediamo i passaggi principali per configurare una rete ospiti su un firewall pfSense o dispositivi simili:
Step 1: Creare la VLAN Guest
Accedi all'interfaccia di amministrazione del firewall e crea una nuova VLAN:
- VLAN ID: 10 (o un altro numero a scelta)
- Descrizione: "Guest" o "Ospiti"
- Interfaccia parent: quella collegata agli access point
Step 2: Configurare l'Indirizzamento IP
Assegna alla VLAN Guest una subnet diversa da quella aziendale:
- Rete aziendale: 192.168.1.0/24
- Rete ospiti: 192.168.10.0/24
Abilita il DHCP server sulla VLAN Guest per assegnare automaticamente gli IP agli ospiti.
Step 3: Creare le Regole Firewall
Questa è la parte cruciale. Le regole firewall devono:
- Permettere: traffico dalla rete Guest verso Internet
- Bloccare: traffico dalla rete Guest verso la rete aziendale (192.168.1.0/24)
- Bloccare: traffico dalla rete Guest verso il management del firewall
Regola d'oro: la rete ospiti deve avere accesso SOLO a Internet, nient'altro. Blocca tutto il resto per impostazione predefinita.
Step 4: Configurare l'Access Point
Sull'access point, crea un secondo SSID (es. "Azienda-Guest") e associalo alla VLAN 10. La rete aziendale resta sulla VLAN 1 (o nativa). Ora hai due reti Wi-Fi separate che non si vedono tra loro.
Password Guest Rotante: Come Funziona
Dare la stessa password ospiti per mesi è poco sicuro. Le password tendono a diffondersi: ex collaboratori, vecchi fornitori, persone non autorizzate potrebbero ancora connettersi. La soluzione è una password rotante.
Opzione 1: Cambio Manuale Settimanale
Ogni lunedì, cambia la password della rete Guest. Stampa un foglio con la nuova password e mettilo alla reception. Semplice ed efficace per piccole realtà.
Opzione 2: Portale Captive con Voucher
I firewall professionali offrono un "captive portal": quando l'ospite si connette, viene reindirizzato a una pagina dove deve inserire un codice temporaneo. Puoi generare voucher giornalieri o a scadenza che funzionano come biglietti d'ingresso usa e getta.
Opzione 3: Integrazione con Reception
Sistemi più avanzati permettono alla reception di generare credenziali temporanee con un click, che scadono automaticamente a fine giornata o dopo un certo periodo.
Bandwidth Limiting: Proteggere la Banda Aziendale
Un ospite che guarda Netflix in 4K o scarica file pesanti può saturare la connessione e rallentare il lavoro di tutti. Per evitarlo, configura il bandwidth limiting (QoS) sulla rete Guest:
- Download massimo per dispositivo: 10-20 Mbps
- Upload massimo per dispositivo: 5-10 Mbps
- Banda totale massima per la rete Guest: 30-50% della banda disponibile
In questo modo, anche se 10 ospiti navigano contemporaneamente, la rete aziendale ha sempre banda garantita per lavorare.
Best Practice per la Sicurezza della Rete Ospiti
Isolamento Client-to-Client
Abilita l'isolamento tra client sulla rete Guest. Questo impedisce che due dispositivi ospiti possano comunicare tra loro. Ogni ospite vede solo Internet, non gli altri ospiti.
Logging e Monitoraggio
Attiva il logging del traffico sulla rete Guest. In caso di problemi o attività sospette, avrai traccia di chi era connesso e cosa faceva. Questo è importante anche per la compliance e la sicurezza aziendale.
SSID Nascosto (Opzionale)
Puoi scegliere di non trasmettere il nome della rete Guest. Gli ospiti dovranno chiedere sia il nome della rete che la password. Questo riduce le connessioni non autorizzate, ma può essere scomodo.
WPA3 se Disponibile
Se i tuoi access point supportano WPA3, usalo. È più sicuro di WPA2 e protegge meglio le connessioni, anche sulla rete ospiti.
Checklist Rapida: Rete Ospiti in 30 Minuti
- ✅ Verifica che router e access point supportino VLAN
- ✅ Crea VLAN 10 "Guest" sul firewall
- ✅ Configura subnet separata (es. 192.168.10.0/24)
- ✅ Abilita DHCP sulla VLAN Guest
- ✅ Crea regole firewall: permetti Internet, blocca rete interna
- ✅ Configura secondo SSID sull'access point
- ✅ Imposta bandwidth limiting (opzionale ma consigliato)
- ✅ Abilita isolamento client-to-client
- ✅ Testa: un dispositivo guest non deve vedere la rete aziendale
- ✅ Documenta la configurazione e pianifica cambio password periodico
Non hai hardware adeguato? Se il tuo router non supporta VLAN, potrebbe essere il momento di passare a un firewall professionale. Digital Combines può consigliarti la soluzione più adatta alla tua realtà e configurarla per te.
Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Pescantina, Zevio, Soave, Sant'Ambrogio di Valpolicella, San Pietro in Cariano e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.