Как сделать безопасный Wi-Fi в офисе: выбор роутера, софт и настройки

Wi-Fi — инструмент для всех процессов: приём клиентов, продажи через планшеты, удалённые совещания и управление офисными устройствами. Когда сеть работает стабильно, сотрудники успевают больше, а клиенты получают сервис без задержек.

Если Wi-Fi настроен как домашний, доступ ко внутренним ресурсам легко могут получить другие люди: подрядчики, случайные гости, соседи по бизнес-центру.

Перед тем, как начнём — словарь терминов

SSID

SSID — это название вашей Wi-Fi сети. Оно помогает устройствам найти сеть. Например, в офисе можно назвать основную сеть «Офис», а гостевую «Гости». Так сотрудники подключаются к своей сети, а посетители — к отдельной.

SSID гостевой

Отдельная сеть для гостей, чтобы они не имели доступа к внутренним данным компании. Например, клиент заходит в кафе с ноутбуком и подключается к «Гости», не видя документов и принтеров персонала.

WPA2 / WPA3

Это стандарты защиты Wi-Fi. Они шифруют данные, чтобы их нельзя было перехватить. WPA3 новее и безопаснее. Например, если сотрудник отправляет клиенту договор по Wi-Fi, шифрование защищает документ от посторонних.

802.1X

Протокол аутентификации устройств. Он проверяет, кто подключается к сети, и разрешает доступ только доверенным. Например, смартфон сотрудника автоматически подключается к сети после ввода логина и пароля, а чужой телефон — нет.

RADIUS

Сервер, который управляет доступом к сети через 802.1X. Он хранит логины и пароли сотрудников и решает, кто может подключиться. Например, когда новый сотрудник входит в сеть, сервер проверяет его данные и разрешает доступ.

VLAN

Виртуальные сегменты сети. Они разделяют трафик внутри одной физической сети. Например, бухгалтерия, отдел продаж и гости могут быть в разных VLAN, чтобы данные не смешивались.

NAC (network access control)

Система контроля устройств, которые подключаются к сети. Она проверяет, обновлён ли антивирус, включен ли брандмауэр. Например, если ноутбук сотрудника заражён вирусом, NAC не позволит ему подключиться, чтобы не заразить других.

MDM (mobile device management)

Программа для управления мобильными устройствами сотрудников. Она помогает устанавливать настройки и ограничения. Например, телефон сотрудника получает корпоративную почту и доступ к документам, а личные приложения остаются отдельными.

SIEM (security information and event management)

Система, которая собирает данные о безопасности сети и анализирует их. Например, она заметит, что кто-то пытался подключиться к гостевой сети с чужого устройства и предупредит об этом.

Контроллер AP (access point)

Устройство, которое управляет точками доступа Wi-Fi и распределяет нагрузку. Например, в большом офисе несколько точек доступа подключаются к контроллеру, чтобы сеть работала равномерно и без сбоев.

Главные угрозы для корпоративного Wi-Fi

Корпоративный Wi-Fi всегда подвержен рискам, и важно понимать, какие именно угрозы могут повлиять на работу компании и безопасность данных.

• Перехват данных и подбор пароля

Хакер может попытаться «поймать» момент подключения устройства к точке доступа и использовать этот сигнал, чтобы подобрать пароль. Если пароль простой или устаревший, взломщик быстро получит доступ к сети.

• Фальшивые точки доступа, или evil twin

Кто-то ставит точку доступа с похожим именем сети, и сотрудники могут подключиться к ней вместо настоящей. Через такую точку могут перехватываться корпоративные данные или пароли.

• Атаки на устаревшие протоколы

Например, старые версии WPA или WEP уже не считаются безопасными. Даже если сеть кажется рабочей, эти протоколы легко взломать, и злоумышленник получает доступ к трафику компании.

• Уязвимости в прошивках

Если оборудование не обновляется, в нём могут быть ошибки, через которые хакеры получают доступ к сети или меняют её настройки.

• Неавторизованные устройства

Смартфоны, ноутбуки или IoT-девайсы, которые подключаются к сети без разрешения. Они могут перегружать сеть или становиться источником утечек данных.

Распознать признаки атаки можно по нескольким простым сигналам. Падение скорости соединения, необычные имена точек доступа (BSSID), всплески трафика или аномалии в логах — всё это повод проверить сеть.

Насколько надёжен ваш корпоративный Wi-Fi

Для этого нужно провести аудит текущего состояния сети. Первое, на что обращаем внимание, — покрытие. Нужно проверить, во всех ли офисных зонах ловит сеть. Иногда сигнал слабый в углах, на кухне или в переговорных, и сотрудники теряют время на переподключение или используют личные точки доступа, что создаёт риски.

Дальше смотрим количество точек доступа и их расположение. Если точек мало или они установлены неправильно, сеть перегружается, особенно в часы пик, когда все подключены.

Следующий пункт — перегруз по пользователям. Узнайте, сколько устройств одновременно подключаются к каждой точке доступа. Если их слишком много, соединение становится нестабильным. Например, планшеты для продаж, ноутбуки сотрудников и IoT-устройства могут создавать «узкие места» в сети.

Также важно проверить текущие политики доступа. Кто и к каким ресурсам имеет доступ. Если политики устарели, сотрудники могут случайно или намеренно получить доступ к данным, к которым не должны иметь доступа.

Пароли и прошивки — ещё один момент. Старые или простые пароли легко подобрать. Прошивки точек доступа и контроллеров без обновлений могут содержать уязвимости.

Чек-лист аудита:

1. Измерить — силу сигнала в разных точках, количество подключённых устройств, скорость передачи данных.
2. Сохранить — записи подключений, ошибки аутентификации, уведомления о перегрузке точек доступа.
3. Протестировать — скорость интернета в пиковые часы, время отклика сети, стабильность соединений.

Можно за час пройтись по офису с ноутбуком или смартфоном и проверить все ключевые зоны.

Стандарты и требования к безопасности

Домашние роутеры обычно используют WPA2 Personal — это когда все подключаются по общему паролю. Для компании такой подход слишком рискованный: если пароль узнают, злоумышленник получает доступ ко всей сети.

Более надёжный вариант — WPA2/WPA3-Enterprise с аутентификацией через 802.1X и сервер RADIUS. Здесь каждый сотрудник получает индивидуальный логин и пароль. Даже если кто-то узнает один набор данных, остальные устройства остаются защищёнными.

На практике это значит, что доступ к корпоративным системам строго контролируется, а можно легко отключить одного сотрудника, не меняя пароль для всей сети.

Важно: переход на WPA3 имеет смысл, когда в сети много новых устройств, которые поддерживают этот стандарт. Он делает подключение ещё безопаснее и снижает риск перехвата трафика. При этом надо учитывать совместимость: старые ноутбуки, планшеты или IoT-девайсы могут не работать с WPA3. Поэтому в большинстве российских компаний используют смешанный режим WPA2/WPA3, чтобы одновременно защитить данные и не блокировать устройства.

Рекомендации по настройке аутентификации:

1. Для всех сотрудников используйте индивидуальные учётные записи через RADIUS.
2. Настройте политику сложных паролей и регулярной их смены.
3. Обновляйте точки доступа до последних прошивок, чтобы поддерживать WPA3 и исправлять уязвимости.
4. Ведите журнал подключений и аномалий, чтобы быстро выявлять подозрительную активность.

Сегментация сети. VLAN, гостевая сеть и зоны доверия

Разделение сети помогает контролировать доступ и повышает безопасность. Если сотрудники, гости и IoT-устройства используют одну сеть, это создаёт риск.

Для малого офиса достаточно трёх VLAN: одна для сотрудников, вторая для гостей, третья для IoT-устройств вроде принтеров или камер. Сотрудники получают полный доступ к корпоративным ресурсам, гости — только к интернету, а IoT-устройства ограничены в доступе к компьютерам.

Чтобы гостевой Wi-Fi не создавал угроз для основной сети, важно изолировать трафик. Для этого выделяют отдельную VLAN или SSID, ограничивают скорость и фильтруют ресурсы. Например, гость сможет заходить в интернет, но не получит доступ к бухгалтерским документам или внутренним серверам.

Варианты такого доступа:

• Временный пароль. Гость открывает веб-страницу, где вводит логин и пароль или соглашается с правилами. Временные пароли работают по принципу «подключился, через час или день доступ пропадёт».
• SMS или QR-код. Человек сканирует код и получает доступ, без необходимости запоминать сложные пароли.

Такой подход решает сразу две задачи: клиенты довольны удобным подключением, а компания сохраняет контроль и безопасность основной сети без сложных настроек и дополнительных затрат.

Критерии выбора оборудования

— Поддержка нужного стандарта Wi-Fi

Для современных офисов чаще выбирают Wi-Fi 6 или 6E: они быстрее, лучше справляются с большим числом подключений и обеспечивают меньшую задержку. Старый Wi-Fi 5 подойдёт для небольшого офиса с ограниченным количеством устройств.

— Количество пользователей

Если в офисе 20 сотрудников с ноутбуками и смартфонами, точка доступа должна поддерживать хотя бы 40–50 подключений, чтобы каждый мог работать без тормозов. Важно и наличие аппаратной поддержки VLAN и 802.1X, чтобы можно было разделять сеть и контролировать доступ.

Централизованное управление помогает администратору быстро менять настройки на всех точках доступа сразу. Безопасность прошивки и регулярные обновления снижают риск уязвимостей. Также учитывается SLA и поддержка производителя: чем выше уровень обслуживания, тем быстрее реагируют на проблемы.

— Мощность

Для маленького офиса до 50 м² хватит одной точки доступа, поддерживающей 30–50 пользователей. Для 200 м² и 50–70 устройств потребуются две-три точки, а для большого офиса стоит планировать несколько точек с централизованным контроллером, чтобы сигнал был равномерным и стабильным.

— Стоимость

Бюджетный вариант — недорогие роутеры вроде TP-Link EAP225 или Zyxel NWA1123, они покрывают небольшой офис, поддерживают базовую VLAN и стандарт Wi-Fi 5/6.

Оптимальный уровень — модели вроде Ubiquiti UniFi U6-Lite или TP-Link EAP660, дают больше подключений, поддержку Wi-Fi 6, удобное управление и простую интеграцию с контроллером.

Премиум — Aruba Instant On, Cisco Meraki MR или Ruckus R510, они обеспечивают высокую пропускную способность, продвинутую безопасность, централизованное управление, отчёты и SLA-поддержку.

Каждый решает свои задачи: бюджетный для базовой работы, оптимальный для средней нагрузки и премиум для крупных офисов с высокой требовательностью к скорости и безопасности.

FAQ — ответы на частые вопросы руководителей и сисадминов

Нужно ли переходить на WPA3?

Если у вас современное оборудование и все устройства поддерживают WPA3, переход стоит рассмотреть. Этот стандарт безопаснее и защищает от старых видов атак. Но если часть компьютеров или смартфонов старые, они могут просто не подключаться. В таком случае лучше использовать смешанный режим WPA2/WPA3, чтобы новые устройства работали по WPA3, а старые — по WPA2.

Сколько точек доступа нужно для офиса или магазина?

Количество зависит от площади и числа пользователей. Для малого офиса на 50–60 м² обычно хватает одной точки доступа. Если офис больше, или много сотрудников подключаются одновременно, нужно рассчитать нагрузку: каждая точка справляется примерно с 20–30 активными пользователями.

В торговой точке с большим потоком гостей имеет смысл ставить точку доступа на каждые 50–70 м² и контролировать зону покрытия.

Как часто менять пароли Wi-Fi и учёток?

Для основной сети достаточно менять пароли раз в полгода или при уходе сотрудников. Для гостевого Wi-Fi лучше использовать временные пароли или QR-коды, которые действуют день-два.

Как убедиться, что подрядчик сделал всё правильно?

Проверка проста: протестируйте сеть сами. Посмотрите скорость, зону покрытия, попробуйте подключиться как обычный сотрудник и как гость. Убедитесь, что гостевой трафик изолирован, VLAN настроены, точки доступа работают корректно. Для безопасности можно попросить подрядчика предоставить отчёт или провести базовый аудит — это даст уверенность, что всё сделано по стандартам и рекомендациям.