Gastnetwerk vs. bedrijfsnetwerk: hoe richt je wifi veilig in voor je KMO?

Gastnetwerk vs. bedrijfsnetwerk: hoe richt je wifi veilig in voor je KMO?

Gastnetwerk vs. bedrijfsnetwerk: hoe richt je wifi veilig in voor je KMO?

Een klant komt binnen en vraagt het wifi-wachtwoord. Je geeft het. Vijf minuten later zit diezelfde persoon op dezelfde verbinding als je medewerkers, met toegang tot dezelfde printers, servers en gedeelde mappen. Niet omdat je dat wou, maar omdat je nooit een apart gastnetwerk hebt ingesteld.

 

Dit scenario speelt zich elke dag af in kantoren, praktijken en winkels door heel België. Het is een van de meest onderschatte beveiligingsrisico’s voor KMO’s. In deze blog leggen we uit wat het verschil is tussen een gastnetwerk en een bedrijfsnetwerk, waarom die scheiding cruciaal is en hoe je het praktisch aanpakt.

Wat is het verschil tussen een gastnetwerk en een bedrijfsnetwerk?

Een bedrijfsnetwerk is het interne netwerk waarop je medewerkers werken: ze hebben toegang tot servers, gedeelde bestanden, printers, interne toepassingen en bedrijfssoftware. Het is de ruggengraat van je dagelijkse werking.

 

Een gastnetwerk is een apart draadloos netwerk dat losgekoppeld is van het bedrijfsnetwerk. Gasten, klanten, leveranciers of flexwerkers krijgen toegang tot het internet, maar zien het interne netwerk niet en kunnen er niet bij. Ze surfen, bellen en werken via hun eigen verbinding, zonder dat je bedrijfsdata ook maar in de buurt komt.

 

 

Gastnetwerk

Bedrijfsnetwerk

Toegang

Alleen internet

Internet + interne systemen

Zichtbaarheid

Ziet bedrijfsnetwerk niet

Volledige toegang tot interne resources

Gebruikers

Klanten, leveranciers, bezoekers

Medewerkers

Beveiliging

Gebrandmuurde omgeving

Volledig beveiligd, strikt beheerd

Bandbreedte

Beperkt instelbaar

Prioriteit voor bedrijfsverkeer

Waarom is de scheiding zo belangrijk?

Een open of slecht geconfigureerd netwerk is een van de gemakkelijkste ingangen voor een cyberaanval. Wanneer gasten en medewerkers op hetzelfde netwerk zitten, zijn er drie concrete risico’s:

 

  • Malware-verspreiding: een bezoeker met een geïnfecteerd toestel kan via het netwerk malware verspreiden naar jouw systemen. Zonder scheiding merkt de firewall dat niet op tijd.
  • Ongewenste toegang tot bedrijfsdata: op een ongesegmenteerd netwerk zijn gedeelde mappen, printers en servers zichtbaar voor iedereen die verbonden is. Dat is een ernstig datalekrisico, zeker in het licht van GDPR.
  • NIS2-compliance: bedrijven die onder de NIS2-richtlijn vallen, zijn verplicht om passende netwerksegmentatie toe te passen. Een apart gastnetwerk is een van de basismaatregelen die verwacht worden.

Het goede nieuws: de meeste professionele routers en access points ondersteunen een gastnetwerk standaard. Het is een kwestie van de juiste configuratie.

Hoe richt je een veilig gastnetwerk in voor je KMO?

1. Maak een aparte SSID aan

Een SSID is de naam van je wifi-netwerk. Maak een tweede SSID aan die uitsluitend voor gasten bestemd is, met een andere naam dan je bedrijfsnetwerk. Zo is het voor iedereen duidelijk welk netwerk voor wie bedoeld is. Geef het gastnetwerk een neutrale naam zonder vermelding van je bedrijfsnaam of locatie.

 

2. Segmenteer via VLAN

Een VLAN (Virtual Local Area Network) zorgt ervoor dat het gastnetwerk en het bedrijfsnetwerk volledig gescheiden zijn op netwerkniveau, ook al gebruiken ze dezelfde fysieke apparatuur. Verkeer van gasten kan het interne netwerk niet bereiken, zelfs als iemand dat zou proberen. Dit vereist een managed switch en professionele configuratie, wat een goede reden is om een IT-partner in te schakelen.

 

3. Beperk de bandbreedte voor gasten

Gasten die grote bestanden downloaden of video streamen, kunnen de bandbreedte van je bedrijfsnetwerk belasten. Stel een maximum in voor het gastnetwerk, zodat je medewerkers altijd voldoende bandbreedte hebben voor videovergaderingen, cloudapplicaties en VoIP-telefonie.

 

4. Schakel WPA3-encryptie in

WPA3 is de meest recente en veiligste wifi-encryptiestandaard. Activeer die op zowel je bedrijfsnetwerk als je gastnetwerk. Oudere toestellen ondersteunen soms nog alleen WPA2, wat ook aanvaardbaar is, maar vermijd WPA en zeker open netwerken zonder wachtwoord.

 

5. Wijzig het gastnetwerkwachtwoord regelmatig

Een oud wachtwoord kan jarenlang in omloop zijn bij vroegere bezoekers, leveranciers of ex-medewerkers. Wijzig het wachtwoord van je gastnetwerk minstens eens per kwartaal. Bij professionele wifi-systemen kan je ook een tijdslimiet instellen of een captive portal gebruiken waarbij gasten voorwaarden accepteren voor toegang.

Wie heeft toegang tot welk netwerk?

Een duidelijke toewijzing voorkomt verwarring en versterkt de beveiliging:

 

Gebruiker

Netwerk

Reden

Medewerkers

Bedrijfsnetwerk

Toegang tot interne systemen en bestanden

Bezoekers en klanten

Gastnetwerk

Alleen internet, geen toegang tot bedrijfsdata

Leveranciers en technici

Gastnetwerk

Tijdelijke toegang, geen interne blootstelling

IoT-apparaten (printer, camera, scanner)

Apart IoT-segment

Kwetsbare toestellen afschermen van beide netwerken

Persoonlijke smartphones medewerkers

Gastnetwerk of apart BYOD-netwerk

Persoonlijke toestellen horen niet op het bedrijfsnetwerk

Conclusie

Een apart gastnetwerk is geen luxe voor grote bedrijven, het is een basisvereiste voor elke KMO die online actief is. Het beschermt je bedrijfsdata, voorkomt malware-verspreiding en helpt je voldoen aan GDPR en NIS2. De technische ingreep is beperkt als je beschikt over de juiste apparatuur en een goede configuratie. Wie dat liever uitbesteedt, kan dit onderdeel laten opnemen in een managed netwerkbeheer-contract.

 

Wil je meer weten over hoe je een veilig en stabiel bedrijfsnetwerk opzet? Lees onze complete gids: Zakelijk internet en netwerkbeheer voor KMO’s: alles wat je moet weten.

Wil je weten hoe veilig jouw netwerk vandaag is?

Veel KMO’s ontdekken pas dat hun gastnetwerk en bedrijfsnetwerk vermengd zijn wanneer er iets misgaat. Onze netwerkspecialisten bekijken je huidige opstelling en adviseren je op maat. Neem contact op voor een vrijblijvend gesprek en zet vandaag de eerste stap naar een veiliger netwerk.

Veelgestelde vragen (FAQ) over een gast- en bedrijfsnetwerk

Is een apart gastnetwerk verplicht voor een KMO?

Wettelijk verplicht is het niet voor alle sectoren, maar het is een aanbevolen maatregel onder de NIS2-richtlijn en een standaard GDPR-vereiste als je met persoonsgegevens werkt. Bovendien eisen veel cyberverzekeraars een gedocumenteerd netwerksegmentatiebeleid. Praktisch gezien is het voor elke KMO die bezoekers ontvangt simpelweg een basisvereiste.

Op een correct geconfigureerd gastnetwerk: nee. Het gastnetwerk is via VLAN volledig gescheiden van het bedrijfsnetwerk. Gasten zien de interne systemen niet en kunnen er niet bij. Op een slecht geconfigureerd of ongesegmenteerd netwerk is dat helaas wel mogelijk, wat een serieus beveiligingsrisico vormt.

Een gangbare instelling is 20 tot 30 procent van de totale bandbreedte reserveren voor het gastnetwerk. Zo kunnen bezoekers vlot surfen en videovergaderen zonder dat je medewerkers hinder ondervinden. De exacte instelling hangt af van het aantal verwachte gasten en de totale bandbreedte van je internetverbinding.

Voor een eenvoudig gastnetwerk op een consumentenrouter volstaat soms een instelling in het beheerpaneel. Voor een correct gesegmenteerd netwerk met VLAN, managed switches en professionele access points heb je echter technische kennis nodig. Een IT-partner zorgt voor een correcte configuratie die ook stand houdt bij firmware-updates en uitbreidingen.

Drie snelle checks: probeer zelf vanuit het gastnetwerk toegang te krijgen tot een gedeelde map op het bedrijfsnetwerk. Controleer of het gastnetwerk een sterk wachtwoord heeft en WPA2 of WPA3-encryptie gebruikt. En kijk of er een bandbreedte-limiet ingesteld is. Twijfel je? Laat een IT-partner een netwerkscan uitvoeren.

Deel deze post:

Andere posts

Laat je ontzorgen door de IT-services van Com-One

Neem contact met ons op voor een vrijblijvend voorstel op maat!
Foto van Camille
Scroll naar boven