Wi-Fi в офисе: как разделить гостевую и рабочую сеть и защитить 1С

Каждый раз, когда я прихожу к новому клиенту и смотрю на сетевую инфраструктуру, примерно в семи случаях из десяти вижу одно и то же: один роутер, один Wi-Fi, все устройства в одной подсети — и рабочие ноутбуки, и 1С-сервер, и телефон курьера, которому дали пароль от Wi-Fi. Это не катастрофа прямо сейчас. Но это катастрофа, которая ждёт своего момента. Расскажу, как это исправить без больших вложений и зачем вообще этим заниматься.

Почему это важно, даже если у вас 15 человек

У нас в практике есть несколько клиентов, которые искренне удивляются, когда я начинаю разговор про сегментацию сети. «Евгений, ну что там делить — небольшой офис, один роутер, всё работает». Работает. До поры до времени.

Расскажу, как это выглядит изнутри. Приезжает к вам партнёр на переговоры. Спрашивает пароль от Wi-Fi. Вы ему даёте — нормальная, человеческая ситуация. Он подключается. И теперь его ноутбук находится в той же сети, что 1С, бухгалтерские базы, сетевой принтер и файловая папка с договорами. Не потому что он злоумышленник. Просто так устроена ваша сеть, и никому в голову не пришло это поменять.

Малый бизнес часто считает, что проблемы с безопасностью — это для крупных корпораций. Там деньги, там хакеры, там интересно. А у нас что красть? Удивитесь. База клиентов бухгалтерской фирмы, договоры подрядчиков, медицинские карты пациентов клиники — это всё очень ликвидный товар на чёрном рынке. Плюс шифровальщики не выбирают жертву по масштабу — они ищут открытые сетевые папки и шифруют всё подряд.

Что реально может пойти не так: не теория, а практика

Самый распространённый сценарий — не целенаправленный взлом, а случайное заражение. У гостя на ноутбуке вирус-шифровальщик, который ещё не проявился активно. Он подключился к вашей сети. Вирус начал сканировать подсеть в фоне, нашёл сетевую папку с документами или открытый SMB-ресурс, зашифровал всё за двадцать минут. Это не фантастика из учебника — в 2023 и 2024 годах мы разбирали два таких случая у клиентов, которые пришли к нам уже после того, как всё случилось. В одном случае потеряли три дня работы, в другом — часть базы 1С без бэкапа.

Есть и менее очевидные риски. Windows-машины в одной сети с неизвестными устройствами — это потенциальные атаки через протоколы NetBIOS и SMB. Сетевой МФУ, доступный всем в подсети — кто-то может отправить на него задание или залезть в веб-интерфейс (у большинства офисных принтеров там по умолчанию вообще нет пароля, проверьте свой прямо сейчас). Ещё вариант: случайный ARP-спуфинг позволяет перехватить трафик в подсети — и для этого не нужны специальные знания, есть готовые инструменты, которые скачиваются за пять минут.

Меня иногда спрашивают: «Но у нас же все честные люди, зачем это?» Дело не в честности конкретного человека. На ноутбуке вполне приличного и доброжелательного гостя может быть что угодно — от трояна, которого он сам не знает, до агрессивного рекламного ПО, рассылающего пакеты по всей подсети. Защита от гостей — это не про недоверие к людям, это про контроль над собственной инфраструктурой. Принципиальная разница.

Как работает сегментация: объясняю без айтишного жаргона

Представьте, что ваш офис — это здание. Рабочая сеть — внутренние помещения: бухгалтерия, серверная, переговорная с документами. Гостевая сеть — это холл на входе. Гость может зайти в холл, воспользоваться интернетом, но дверь в бухгалтерию для него закрыта. Вот это и есть сегментация. Физически оборудование одно, логически — две разные, изолированные друг от друга сети.

Технически это реализуется через VLAN — виртуальные локальные сети. Гостевые устройства получают IP-адреса из отдельного диапазона, попадают в отдельный сегмент, у которого есть выход в интернет — и никакого доступа к рабочим ресурсам. Роутер выступает пограничником: пускает трафик гостя в интернет, но блокирует любую попытку достучаться до рабочей подсети 192.168.1.x. Правило простое и жёсткое.

На современных точках доступа — Zyxel, Keenetic Business, Ubiquiti UniFi, MikroTik — всё это настраивается штатными средствами без каких-то дополнительных покупок. Большинство устройств поддерживают несколько SSID одновременно: один Wi-Fi для сотрудников, другой для гостей. Разные пароли, разные сети, одно физическое железо. Никакой экзотики и никаких дополнительных расходов на оборудование сверх того, что уже стоит в шкафу.

Оборудование: что выбрать и сколько это стоит

Дам конкретные ориентиры, хотя без аудита давать точные рекомендации сложно. Для небольшого офиса до 15–20 человек в одном помещении хватит одной управляемой точки доступа. Zyxel NWA50AX стоит около 7 000–9 000 рублей, Ubiquiti UniFi U6 Lite — 12 000–15 000 рублей. Обе поддерживают несколько SSID, VLAN, изоляцию клиентов. К ним нужен управляемый коммутатор — это важно, дешёвый неуправляемый свитч из Ситилинка за 1 500 рублей для нормального VLAN не подойдёт.

Если офис больше или распределён по этажам — нужен контроллер и несколько точек. Ubiquiti UniFi в этом плане удобен: одно веб-приложение управляет всей инфраструктурой, гостевой портал настраивается в несколько кликов, изоляция клиентов включается галочкой. MikroTik — дешевле, гибче, но требует заметно больше знаний при настройке. Не каждый специалист берётся с ним уверенно, имейте это в виду при выборе подрядчика.

Важный момент про роутер. Дешёвые домашние устройства уровня TP-Link Archer за 2 000–3 000 рублей формально поддерживают гостевую сеть, но реализация там куцая: изоляция от основной сети работает, а вот тонкие правила firewall между сегментами уже не настроишь. Для офиса от 10 человек я бы не экономил. Keenetic Giga или Hero — от 6 000 до 10 000 рублей — нормальный выбор с хорошим интерфейсом и полноценным функционалом. MikroTik hEX S — около 5 500 рублей — если есть кому его грамотно настроить.

Как выглядит нормальная настройка: что мы делаем у клиентов

Первый шаг — аудит того, что есть. Смотрим оборудование, количество точек доступа, наличие управляемых коммутаторов. Это важно, потому что без managed switch нормальный VLAN не поднять на уровне проводной сети. Дальше смотрим, как расположены рабочие места, есть ли переговорные с проводными портами — это отдельная история, про которую скажу чуть позже.

Дальше проектируем адресацию. Рабочая подсеть — допустим, 192.168.10.0/24. Гостевая — 192.168.20.0/24. На роутере создаём два интерфейса, два DHCP-сервера и правило firewall: трафик из гостевой подсети в рабочую — запрещён. Трафик из гостевой подсети в интернет — разрешён. На MikroTik это пять строк в разделе firewall filter, на Keenetic — через визард в веб-интерфейсе. Ничего сложного, но сделать нужно руками, само не настроится.

Отдельно, если нужно, настраиваем гостевой портал — страницу, которую видит гость при подключении, с логотипом компании, условиями использования и кнопкой «принять». Это не обязательно, но выглядит профессионально и снимает ряд вопросов при проверках. Ubiquiti UniFi делает такой портал красиво, без программирования, за двадцать минут. В конце — проверка: подключаемся к гостевому Wi-Fi и пытаемся пропинговать рабочие машины. Не должно работать. Если работает — настройка неверная.

Частые ошибки, которые мы находим у клиентов

Первая и самая обидная: купили роутер с поддержкой гостевой сети, включили её — и решили, что всё готово. Смотришь настройки, а там «гостевая сеть» — просто другой SSID в той же подсети, без реальной изоляции. Трафик гостя спокойно ходит к рабочим машинам. Такое встречается на некоторых прошивках бюджетных роутеров. Всегда проверяйте: подключитесь к гостевой сети и попробуйте открыть веб-интерфейс рабочего принтера. Если открылся — вас обманули, причём даже не злонамеренно, просто никто не проверил.

Вторая ошибка — забыть про проводные подключения. Разделили Wi-Fi, молодцы. А коммутатор в переговорной? Там порт, в который любой может воткнуть ноутбук патч-кордом. Если порт не привязан к гостевому VLAN — гость в рабочей сети, минуя весь ваш Wi-Fi. Это особенно актуально для переговорных комнат и зон ресепшна. Порты для гостевых подключений нужно помещать в гостевой VLAN на уровне коммутатора. Отдельная небольшая задача, о которой часто забывают.

Третья ошибка — слабый пароль на рабочей сети. Или, ещё хуже, пароль написан на стикере рядом с точкой доступа. Разделение сетей не поможет, если пароль от рабочего Wi-Fi знает весь бизнес-центр. WPA2 с паролем минимум 12 символов — базовый минимум. Лучше WPA3, если оборудование поддерживает — большинство устройств последних трёх лет уже умеют. И никаких стикеров.

Две истории из практики: когда это реально помогло

Первая история — бухгалтерская фирма, 12 человек, Москва. Обратились к нам после того, как у них зашифровали базу 1С:Предприятие. Восстановили из бэкапа — спасибо, что он был, хотя и трёхдневной давности. Потеряли три дня работы, клиентам объяснялись. Разбирались с причиной долго. Оказалось, приходящий курьер регулярно подключался к Wi-Fi, его ноутбук был заражён шифровальщиком. Один SSID, одна подсеть, 1С-сервер на Windows Server 2016 в той же сети. Всё остальное — дело техники для вируса. После инцидента мы поставили им UniFi AP, подняли два VLAN, настроили изоляцию, прописали правила firewall. Курьеры теперь в гостевой сети. 1С и файловый сервер — в рабочей. Обошлось это в районе 18 000 рублей вместе с работой. Дёшево по сравнению с тем, что могло бы быть.

Вторая история — небольшой медицинский центр, восемь врачей и администрация. Задача была немного другая: по 152-ФЗ персональные данные пациентов должны быть защищены, а в зоне ожидания пациенты сидели с телефонами и хотели интернет. Подключать их к рабочей сети, где медицинская информационная система и электронные карты — нельзя категорически, это буква закона. Решение: три сети — рабочая (сотрудники, МИС, касса), административная (регистратура, МФУ), гостевая (пациенты, только интернет). MikroTik CRS326 как коммутатор, Ubiquiti U6 Pro как точка доступа. Потом они без проблем прошли проверку по персональным данным — в том числе потому что сегментация была задокументирована и реально работала.

Вот такие вещи реально работают. Не нужно строить военную сеть с IPS, IDS и собственным SOC-центром за несколько миллионов рублей. Нужно сделать базовую гигиену: разделить то, что должно быть разделено. Это занимает один рабочий день при наличии нормального оборудования и обходится в 15 000–40 000 рублей в зависимости от сложности и количества точек доступа. Это меньше, чем стоит один день простоя офиса.

Частые вопросы

Нужно ли покупать отдельный роутер для гостевой сети?
Нет, отдельное оборудование не нужно. Одна точка доступа транслирует несколько SSID одновременно — рабочий и гостевой. Разделение происходит на уровне VLAN и правил маршрутизатора. Вы платите только за настройку, а не за дополнительное железо.

Как проверить, что гостевая сеть настроена правильно и изоляция реально работает?
Подключитесь к гостевому Wi-Fi со смартфона или ноутбука и попробуйте открыть веб-интерфейс рабочего принтера или пропинговать IP-адрес рабочей машины. Если ничего не открывается и пинг не проходит — изоляция работает. Также проверьте, что интернет из гостевой сети работает нормально. Это занимает три минуты и даёт однозначный ответ.

Влияет ли сегментация на скорость интернета или работу 1С?
Нет. VLAN-сегментация работает на уровне коммутации и маршрутизации внутри сети, на скорость интернет-канала это не влияет никак. На работу 1С тоже: сервер остаётся в рабочей подсети и продолжает работать ровно так же, как раньше. При желании можно ограничить полосу для гостевой сети — например, не более 10 Мбит/с, чтобы гости не съедали весь канал.

Как часто менять пароль от гостевой сети?
Зависит от интенсивности посещений. Если ежедневно бывают новые люди — раз в месяц нелишним будет. Если гостей немного — раз в квартал достаточно. Некоторые системы, например Ubiquiti UniFi, умеют выдавать временные коды с ограниченным сроком — это удобнее, чем менять пароль вручную и потом рассылать его всем заново.