WI-FI OSPITI VS AZIENDALE: COME SEPARARE BENE IN 30 MINUTI

"Mi dai la password del Wi-Fi?" È una domanda che senti ogni volta che un cliente, un fornitore o un consulente entra in ufficio. E tu, per cortesia, dai la password della rete aziendale. Quello che forse non sai è che stai aprendo le porte della tua infrastruttura IT a chiunque. In questa guida ti spiego perché è un rischio e come risolverlo in meno di 30 minuti.

I Rischi di una Rete Unica per Tutti

Quando colleghi un dispositivo ospite alla stessa rete dei tuoi computer aziendali, stai creando una falla di sicurezza enorme. Ecco cosa può succedere:

Caso reale: un'azienda nostra cliente ha scoperto che un consulente esterno aveva collegato un portatile personale infetto da ransomware. Il malware si è propagato ai PC in rete e ha cifrato 3 server. Danno: 2 giorni di fermo e costi di ripristino. La causa? Una sola rete Wi-Fi per tutti.

La Soluzione: VLAN Separata per gli Ospiti

Una VLAN (Virtual Local Area Network) è una rete virtuale che separa logicamente i dispositivi, anche se sono collegati allo stesso hardware fisico. In pratica, puoi creare due reti Wi-Fi: una per l'azienda e una per gli ospiti, completamente isolate tra loro.

I dispositivi sulla rete ospiti:

Cosa Serve per Implementare una VLAN

Per creare una rete ospiti separata hai bisogno di:

Configurazione Base Router/Firewall

Vediamo i passaggi principali per configurare una rete ospiti su un firewall pfSense o dispositivi simili:

Step 1: Creare la VLAN Guest

Accedi all'interfaccia di amministrazione del firewall e crea una nuova VLAN:

Step 2: Configurare l'Indirizzamento IP

Assegna alla VLAN Guest una subnet diversa da quella aziendale:

Abilita il DHCP server sulla VLAN Guest per assegnare automaticamente gli IP agli ospiti.

Step 3: Creare le Regole Firewall

Questa è la parte cruciale. Le regole firewall devono:

Regola d'oro: la rete ospiti deve avere accesso SOLO a Internet, nient'altro. Blocca tutto il resto per impostazione predefinita.

Step 4: Configurare l'Access Point

Sull'access point, crea un secondo SSID (es. "Azienda-Guest") e associalo alla VLAN 10. La rete aziendale resta sulla VLAN 1 (o nativa). Ora hai due reti Wi-Fi separate che non si vedono tra loro.

Password Guest Rotante: Come Funziona

Dare la stessa password ospiti per mesi è poco sicuro. Le password tendono a diffondersi: ex collaboratori, vecchi fornitori, persone non autorizzate potrebbero ancora connettersi. La soluzione è una password rotante.

Opzione 1: Cambio Manuale Settimanale

Ogni lunedì, cambia la password della rete Guest. Stampa un foglio con la nuova password e mettilo alla reception. Semplice ed efficace per piccole realtà.

Opzione 2: Portale Captive con Voucher

I firewall professionali offrono un "captive portal": quando l'ospite si connette, viene reindirizzato a una pagina dove deve inserire un codice temporaneo. Puoi generare voucher giornalieri o a scadenza che funzionano come biglietti d'ingresso usa e getta.

Opzione 3: Integrazione con Reception

Sistemi più avanzati permettono alla reception di generare credenziali temporanee con un click, che scadono automaticamente a fine giornata o dopo un certo periodo.

Bandwidth Limiting: Proteggere la Banda Aziendale

Un ospite che guarda Netflix in 4K o scarica file pesanti può saturare la connessione e rallentare il lavoro di tutti. Per evitarlo, configura il bandwidth limiting (QoS) sulla rete Guest:

In questo modo, anche se 10 ospiti navigano contemporaneamente, la rete aziendale ha sempre banda garantita per lavorare.

Best Practice per la Sicurezza della Rete Ospiti

Isolamento Client-to-Client

Abilita l'isolamento tra client sulla rete Guest. Questo impedisce che due dispositivi ospiti possano comunicare tra loro. Ogni ospite vede solo Internet, non gli altri ospiti.

Logging e Monitoraggio

Attiva il logging del traffico sulla rete Guest. In caso di problemi o attività sospette, avrai traccia di chi era connesso e cosa faceva. Questo è importante anche per la compliance e la sicurezza aziendale.

SSID Nascosto (Opzionale)

Puoi scegliere di non trasmettere il nome della rete Guest. Gli ospiti dovranno chiedere sia il nome della rete che la password. Questo riduce le connessioni non autorizzate, ma può essere scomodo.

WPA3 se Disponibile

Se i tuoi access point supportano WPA3, usalo. È più sicuro di WPA2 e protegge meglio le connessioni, anche sulla rete ospiti.

Checklist Rapida: Rete Ospiti in 30 Minuti

  1. ✅ Verifica che router e access point supportino VLAN
  2. ✅ Crea VLAN 10 "Guest" sul firewall
  3. ✅ Configura subnet separata (es. 192.168.10.0/24)
  4. ✅ Abilita DHCP sulla VLAN Guest
  5. ✅ Crea regole firewall: permetti Internet, blocca rete interna
  6. ✅ Configura secondo SSID sull'access point
  7. ✅ Imposta bandwidth limiting (opzionale ma consigliato)
  8. ✅ Abilita isolamento client-to-client
  9. ✅ Testa: un dispositivo guest non deve vedere la rete aziendale
  10. ✅ Documenta la configurazione e pianifica cambio password periodico

Non hai hardware adeguato? Se il tuo router non supporta VLAN, potrebbe essere il momento di passare a un firewall professionale. Digital Combines può consigliarti la soluzione più adatta alla tua realtà e configurarla per te.

Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Pescantina, Zevio, Soave, Sant'Ambrogio di Valpolicella, San Pietro in Cariano e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.

METTI IN SICUREZZA LA TUA RETE

Vuoi configurare una rete ospiti separata ma non hai l'hardware adatto o preferisci affidarti a professionisti? Possiamo aiutarti a progettare e implementare la soluzione più adatta.