Wanneer een bezoeker om het wifi-wachtwoord vraagt, wil je ja zeggen – maar niet ten koste van je interne systemen, bestanden of toestellen. De oplossing is een apart gast-wifinetwerk: een afzonderlijke verbinding die bezoekers internettoegang geeft zonder dat ze ook maar in de buurt komen van je intern netwerk. Het sleutelwoord is gescheiden. Een extra wifinetwerk aanmaken is niet voldoende. Zonder de juiste configuratie kan gastverkeer nog steeds plaatsen bereiken waar het niet thuishoort. Dit artikel legt uit waarom die scheiding belangrijk is, hoe netwerksegmentatie werkt en wat er concreet nodig is om alles correct in te stellen.
Waarom is gast-wifi op hetzelfde netwerk een veiligheidsrisico?
Wanneer gasttoestellen hetzelfde netwerk delen als je interne systemen, zijn de risico’s reëel:
- Onbeheerde toestellen maken verbinding naast bedrijfssystemen
- Interne diensten zoals bestandsopslag en printers worden zichtbaar voor buitenstaanders
- Het risico op ongewenste toegang of misbruik van netwerkbronnen neemt aanzienlijk toe
Gastverkeer gescheiden houden van interne systemen is standaardpraktijk in professionele IT-omgevingen, en dat is niet zonder reden.
Hoe werkt netwerksegmentatie in de praktijk?
Een VLAN (Virtual Local Area Network) is de technische basis voor die scheiding. Het maakt het mogelijk om verschillende soorten netwerkverkeer apart te houden, zelfs wanneer ze dezelfde fysieke infrastructuur delen.
In de praktijk ontstaan zo twee afzonderlijke zones:
- Intern netwerk: toegang tot bedrijfssystemen, toestellen en applicaties
- Gastnetwerk: alleen internettoegang, zonder verbinding met interne bronnen
Firewalls en switches dwingen de regels tussen die zones af, zodat het verkeer te allen tijde gecontroleerd en beperkt blijft.
Wat heb je nodig voor een correcte configuratie?
Een correct gesegmenteerde gast-wifi-omgeving heeft doorgaans drie componenten nodig:
- Netwerkinfrastructuur die segmentatie ondersteunt, zoals managed switches
- Draadloze access points die meerdere netwerken (SSID’s) kunnen uitzenden
- Een firewall of security gateway om de scheiding en toegangsregels af te dwingen
De juiste configuratie hangt af van je bestaande infrastructuur en de grootte van je omgeving. Dat is precies waarom de meeste bedrijven dit laten instellen door een managed IT-partner in plaats van het zelf te proberen.
Wat is een captive portal en heb je er een nodig?
Een captive portal is de inlog- of toegangspagina die bezoekers te zien krijgen wanneer ze verbinding maken met je gastnetwerk. Het is een veelgebruikte aanvulling waarmee je:
- Kunt bepalen wie toegang krijgt en wanneer
- Gebruiksvoorwaarden kunt instellen
- De sessieduur of bandbreedte kunt beperken
- Zicht houdt op wie er verbonden is
Een captive portal is niet verplicht, maar het voegt een nuttige controlelaag toe aan je gastnetwerk.
FAQ
Kan ik mijn bestaande router gebruiken voor gast-wifi?
Basisrouters bieden soms een gastnetwerkoptie, maar dat betekent niet altijd dat er sprake is van volledige netwerksegmentatie. Een correct gesegmenteerde configuratie vereist doorgaans extra instellingen of infrastructuur.
Mogen medewerkers het gastnetwerk gebruiken?
Sommige organisaties gebruiken aparte netwerken voor zakelijke en persoonlijke toestellen. Of dat zinvol is, hangt af van het intern beleid.
Is een captive portal verplicht?
Nee, maar het is een praktisch hulpmiddel om gastentoegang op een gecontroleerde manier te beheren.
Hoe complex is de implementatie?
Dat hangt af van je huidige omgeving. Voor de meeste kmo’s is dit geen doe-het-zelf-project. Een managed IT-partner beoordeelt je bestaande configuratie en stelt alles correct in op basis van wat er al aanwezig is.
