Cel projektu
U klienta, u którego rozpoczynaliśmy wdrażanie kompleksowej opieki informatycznej, jednym z naszych pierwszych działań było zapewnienie bezpiecznego systemu WiFi.
Klient posiada 23 placówki dostępne publiczne. Sieć WiFi była zabezpieczona tylko prostym hasłem (WPA2) i klucz do sieci był dotychczas powszechnie znany. Sieć WiFi nie była objęta żadnymi obostrzeniami. Była jedynie odseparowana od sieci produkcyjnej klienta. W efekcie każdy mógł bez ograniczeń korzystać z dostępu do Internetu. Niestety w przeszłości zdarzyły się sytuacje, że sieć ta została wykorzystana do dokonania cyberprzestępstwa. Zabezpieczenie jej było kluczowe.
Zaproponowaliśmy bezpieczne i nowoczesne rozwiązanie oparte na kontrolerze TP-Link Omada OC300 i o access point’y TP-Link EAP660 HD, co umożliwiło:
- stworzenie oddzielnej, szyfrowanej sieci WiFi dla pracowników w standardzie WPA Enterprise IEE 802.1X w oparciu o serwer autoryzacji Windows Network Policy Server
- uruchomienie sieci publicznej (typu guest) na wydzielonym VLAN’ie, odseparowanym od sieci pracowniczej, do której dostęp możliwy jest w oparciu o portal voucherów.
Jak przebiegało wdrożenie?
Prace zaczęliśmy od wymiany starych switchy i montażu nowych access pointów. Skonfigurowaliśmy kontroler Omada OC300 oraz przygotowaliśmy środowisko serwerowe.
Sieć pracownicza – maksymalne bezpieczeństwo
Dla pracowników stworzyliśmy osobną sieć WiFi, która korzysta z jednego z najbezpieczniejszych metod uwierzytelniania EAP-TLS. Jest szeroko stosowana w środowiskach korporacyjnych, gdzie bezpieczeństwo jest priorytetem. Ta metoda używa certyfikatów cyfrowych do wzajemnego uwierzytelniania klienta i serwera, co eliminuje ryzyko ataków. Dzięki temu:
- dostęp do tej sieci mają tylko komputery z odpowiednimi certyfikatami,
- wszystkie dane przesyłane między klientem a serwerem są zaszyfrowane,
- nie istnieje ryzyko „wycieku hasła”.
Do obsługi autoryzacji wykorzystaliśmy serwer Windows Network Policy Server (NPS), pełniący funkcję serwera RADIUS. W środowisku Active Directory wdrożyliśmy polityki GPO, które automatycznie instalują certyfikaty na komputerach pracowników, co sprawia, że połączenie z WiFi odbywa się automatycznie i bez potrzeby wpisywania czegokolwiek.
Jak działa WPA Enterprise z EAP-TLS?
Sieć gościnna – kontrolowany dostęp przez voucher
Dla gości i klientów uruchomiliśmy otwartą sieć WiFi z tzw. portalem voucherowym. Jak to działa?
- Po połączeniu z siecią, użytkownik widzi stronę logowania,
- Aby uzyskać dostęp do Internetu, musi wpisać jednorazowy kod (voucher),
- Kody mają ograniczony czas działania i mogą być użyte tylko raz lub określoną liczbę razy,
- Administrator widzi, kto i kiedy korzystał z sieci.
Dodatkowo:
- sieć działa na oddzielnym VLAN’ie, co oznacza, że jest fizycznie oddzielona od sieci pracowniczej,
- zostały zablokowane niestandardowe porty, aby zapobiec nadużyciom,
- wdrożono ograniczenie prędkości (traffic shaping), co zabezpiecza placówki przed przeciążeniem łącza.
Efekt końcowy – bezpieczeństwo i pełna kontrola
Dzięki wdrożeniu:
- sieć pracownicza jest w pełni zabezpieczona, bez potrzeby używania haseł, z szyfrowaną komunikacją,
- goście korzystają z Internetu tylko za zgodą, a każdy dostęp jest rejestrowany,
- firma zyskała pełną kontrolę i bezpieczeństwo, eliminując ryzyko nieautoryzowanego dostępu czy działań naruszających prawo.
To rozwiązanie idealnie sprawdzi się w firmach i instytucjach, które mają wiele lokalizacji i chcą mieć pewność, że ich sieć WiFi działa bezpiecznie, stabilnie i zgodnie z najlepszymi praktykami.
Jeśli chcesz wdrożyć podobne rozwiązanie w swojej firmie – skontaktuj się z nami. Chętnie pomożemy!
Marcin Pietrzak
Administrator IT w Support Online
