Ktoś przekazał Ci ten newsletter? Zapisz się tutaj..

NSSletter 047 - 14/05/2024

Discord Na Styku Sieci | Archiwum NSSletter | Wersja webowa

Cześć i czołem 👋

Trzy krótkie ogłoszenia na wstępie:

1. Poprawiliśmy widoczność naszych maili w Twojej skrzynce. Od tego wydania temat maila zawsze będzie zaczynać się od "🌐 [NSS <numer_wydania>]",
2. Od następnego tygodnia NSSletter będzie przychodził z adresu redakcja@nastykusieci.pl,
3. Lubisz pogadać o sieciach z kolegami z branży? Zapraszamy na nasz serwer Discord.

A teraz zapraszamy do lektury. Poniżej znajdziesz najnowsze treści dla sieciowców głodnych wiedzy.

10 najlepszych praktyk dla Guest Wi-Fi

Łukasz Kowalski

Na łamach „Na Styku Sieci” mogłeś już się dowiedzieć czym jest koncepcja i architektura Guest Wi-Fi. Zastanawiałeś się kiedyś jakie są najlepsze znane Ci praktyki budowania sieci bezprzewodowych typu Guest Wi-Fi?

Znajdziesz tu 10 wskazówek w zwięzłej formie, które będziesz mógł szybko sobie przyswoić. Wskazówki dobrano w taki sposób, żeby były możliwe jak najmniej zależne od użytego producenta sprzętu sieciowego.

Wytyczne te pozwolą zaprojektować i wdrożyć sieć Guest Wi-Fi, z której zadowolony będzie zarówno klient, jak i Ty sam.

1. Zabezpiecz dostęp przy użyciu Captive Portal

Bezpieczeństwo przede wszystkim. Użycie Captive Portal wraz z Voucherami jest obecnie najlepszym możliwym rozwiązaniem do wykorzystania w sieci Guest Wi-Fi. Każda osoba chcąca podłączyć się do tej sieci będzie musiała zawnioskować o przydzielenie Vouchera z dedykowanymi danymi logowania.

2. Przygotuj regulamin dostępu do sieci

W obecnych czasach musimy akceptować wszelkiego rodzaju regulaminy, które wymagane są z punktu widzenia obowiązującego prawa. Przygotuj regulamin, w którym dokładnie wskażesz obowiązki i prawa użytkownika sieci Guest Wi-Fi, opiszesz zasady dostępu do tej sieci, zaznaczysz konsekwencje nieprzestrzegania regulaminu itp. Użytkownik powinien móc uzyskać dostęp do Internetu tylko wtedy, gdy zaakceptuje przytoczony regulamin.

3. Zablokuj dostęp do wybranych zasobów Internetu

Ponownie kwestia bezpieczeństwa. Zablokuj dostęp do wybranych stron internetowych, które powszechnie znane są z infekowania użytkowników złośliwym oprogramowaniem, ataków hakerskich, łamania prawa itp. Dzięki temu zwiększysz bezpieczeństwo zarówno użytkownika, jak i operatora sieci Guest Wi-Fi. W końcu wszelkie nieprawidłowości wykonane przez użytkownika będą powiązane z publicznym adresem IP należącym do firmy udostępniającej sieć dla gości.

4. Mianuj Guest Ambassadora

Wyznacz osobę lub grupę osób, które będą pełnić rolę Guest Ambasadora, zwanego także Lobby Userem. Rola ta polega na zarządzaniu Voucherami, akceptacji wniosków o dostęp do sieci, usuwaniu użytkowników z bazy w szczególnych przypadkach itp.

5. Ustaw limit czasowy dla Voucherów

Ustaw limit czasowy dla Voucherów, po którym zostaną one automatycznie dezaktywowane i usunięte z systemu. Dzięki temu nie będziesz musiał pamiętać o usuwaniu użytkowników z bazy oraz unikniesz manualnej i powtarzalnej pracy. Dobrą praktyką jest przygotowanie kilku rodzajów Voucherów, spośród których użytkownik wybierze jeden najlepszy dla siebie, np. kilkugodzinny, jednodniowy, trzydniowy, miesięczny, roczny, itp.

6. Wykorzystaj narzędzia wspomagające Guest Wi-Fi

Baza użytkowników / voucherów może być przechowywana na WLAN Controllerze. Jednak w przypadku dużej sieci zarządzanie taką bazą staje się mocno problematyczne. Rozważ wykorzystanie dodatkowych narzędzi wspomagających zarządzenie Voucherami, stroną Captive Portal itp. Do dyspozycji są np. Cisco Identity Services Engine, Aruba ClearPass, a także inni zewnętrzni dostawcy rozwiązań Guest Wi-Fi.

7. Wymagaj DHCP

Wymagaj, aby użytkownicy podłączeni do sieci Guest Wi-Fi mogli używać tylko adresów IP przydzielonych im przez serwer DHCP. Ostatnia rzecz, jaką chcemy mieć w naszej sieci, to użytkownik ze statycznie ustawionym adresem IP , takim samym jak brama domyślna w tej sieci. Wielu producentów sprzętu sieciowego udostępnia funkcję, która sprawdza, czy dany użytkownik pomyślnie uzyskał dzierżawę DHCP.

8. Zablokuj ruch między użytkownikami

Użytkownicy podpięci do sieci Guest Wi-Fi powinni mieć dostęp tylko do Internetu lub wybranych zasobów w sieci lokalnej. Zdecydowanie należy zablokować możliwość komunikacji między użytkownikami – poprzez utworzenie specjalnych list ACL lub użycie wbudowanej funkcjonalności na WLAN Controllerze.

9. Ogranicz ilość ruchu dla pojedynczego użytkownika

Znajdź i przeanalizuj możliwe sposoby wykorzystania sieci Guest Wi-Fi przez użytkowników w Twojej sieci, a następnie na tej podstawie zaplanuj górny limit przepustowości łącza dla pojedynczego użytkownika. Dzięki temu będziesz mieć większą kontrolę nad ruchem i unikniesz wysycenia łącza przez jedno urządzenie.

10. Monitoruj sieć

Prowadź proaktywny monitoring sieci Guest Wi-Fi, sprawdzaj raporty utylizacji łącza internetowego oraz puli adresów IP (bajecznie proste korzystając z dedykowanych narzędzi wspomnianych w punkcie 6.), znajduj potencjalne luki bezpieczeństwa, blokuj kolejne niebezpieczne strony internetowe oraz kontroluj system płatności za dostęp do Internetu w przypadku gdy taki posiadasz

Czytaj cały artykuł "Guest Wi-Fi – koncepcja i architektura" →

VXLAN vs VRF Lite

Dobre porównanie technologii wirtualizacji sieci VXLAN oraz VRF Lite. Zawiera opis ich zastosowań oraz różnice w działaniu w obszarach takich jak skalowalność i możliwości segmentowania sieci.

Wprowadzenie do Nornir

Ansible to świetny framework do automatyzacji zadań związanych z zarządzaniem sieciami, ale wymaga użycia jego własnej składni. Dlatego też warto zapoznać się z Nornirem, który pozwala realizować podobne funkcjonalności bezpośrednio z poziomu Pythona.

Więcej tego typu znalezisk znajdziesz na naszym Twitterze (X).

Chcesz podzielić się z kimś tym wydaniem NSSlettera?
Wystarczy, że skopiujesz i wkleisz link poniżej:

Do zobaczenia za tydzień 👋

Pozdrawiam,
Damian Michalak

P.S. Pamiętaj żeby wpaść na nasz Discord!