VLAN segmentace: základní stavební kámen bezpečné hotelové sítě
Největší bezpečnostní chybou hotelových sítí je sdílení jedné sítě pro hosty, personál i interní systémy (PMS, POS, IP kamery). Pokud se do takové sítě dostane malware z notebooku hosta, může ohrozit celou hotelovou infrastrukturu.
VLAN (Virtual Local Area Network) segmentace řeší tento problém logickým oddělením provozu na úrovni síťových switchů a routerů. Každý segment komunikuje pouze s tím, s čím má komunikovat - a nic víc.
Doporučená VLAN architektura pro hotel
Internet pro hosty. Plná izolace od ostatních VLANů. Client isolation zapnuta (hosté se nevidí navzájem). Bandwidth limit 20-50 Mbps na klienta. Captive portal ověření při připojení.
Síť pro zaměstnance. Přístup k PMS, tiskárnám, POS systémům. WPA3-Enterprise nebo certifikáty. Bez přístupu do guest VLANu a naopak.
Chytrá TV, termostaty, dveřní zámky, IP telefony. Minimální oprávnění - komunikace povolena jen k PMS serveru a internetu (update firmware). Žádný přístup do guest nebo staff VLANu.
IP kamery, CCTV systém. Kompletně izolovaná síť. Přístup pouze z bezpečnostní pracovní stanice a NVR serveru. Žádné WiFi zařízení.
Správa síťových zařízení (switche, AP, router, firewall). Přístupná pouze z konkrétních IP adres správce. SSH only, bez Telnetu.
Captive portal: ověření hosta a splnění zákonných povinností
Captive portal je webová stránka, která se zobrazí hostovi po připojení k WiFi před tím, než získá přístup k internetu. V hotelech plní několik funkcí najednou:
- Identifikace hosta: Propojení WiFi přístupu s rezervací (číslo pokoje + příjmení). Splnění povinnosti logování dle zákona o elektronických komunikacích.
- Souhlas s podmínkami: Host odsouhlasí acceptable use policy - zákonná ochrana hotelu před zneužitím sítě.
- Marketing a branding: Captive portal může zobrazit uvítací zprávu, nabídky hotelu nebo požádat o souhlas s newsletter odběrem.
- Kontrola přístupu: Automatické odpojení po check-outu, omezení počtu zařízení na pokoj, časová omezení přístupu.
Bandwidth throttling: férovost pro všechny hosty
Bez bandwidth throttlingu (omezení přenosové rychlosti) může jeden host s aktivním torrent klientem pohltit 80 % celkové kapacity internetového připojení hotelu. Throttling zajišťuje, že každý host dostane spravedlivý díl.
| Typ hotelu | Doporučený limit/klient | Kapacita uplinku (100 pokojů) |
|---|---|---|
| Budget / hostel | 5-10 Mbps | 500 Mbps-1 Gbps |
| 3* hotel | 10-20 Mbps | 1-2 Gbps |
| 4* hotel | 20-50 Mbps | 2-5 Gbps |
| 5* hotel / luxury | 50-100 Mbps | 5-10 Gbps |
QoS (Quality of Service) pravidla navíc umožňují prioritizaci citlivých služeb: videohovory a streaming mají přednost před stahováním - i v limitu 20 Mbps tak host zažije plynulý Zoom call.
GDPR a logování přístupu k WiFi
Zákon o elektronických komunikacích (transponující EU směrnici) ukládá provozovatelům WiFi sítí povinnost uchovávat záznamy o přístupu pro případné potřeby orgánů činných v trestním řízení. Zároveň GDPR reguluje, jak tato data zpracovávat.
Co logovat a jak dlouho uchovávat
- Logovat: MAC adresa zařízení, čas připojení/odpojení, přidělená IP adresa, identifikátor hosta (číslo pokoje)
- Logovat NESMÍTE: Obsah komunikace (prohlížené weby, e-maily) bez zákonného důvodu - to je odposlech
- Retenční doba: Typicky 6-12 měsíců (konzultujte s právníkem dle jurisdikce)
- Zabezpečení logů: Šifrované úložiště, přístup pouze oprávněným osobám, pravidelná záloha
- Informační povinnost: Hosté musí být informováni o logování v rámci podmínek captive portalu
WPA3: proč je nový standard klíčový pro hotely
WPA2 (standard od roku 2004) má několik zásadních zranitelností - zejména KRACK attack a offline dictionary attacks. WPA3 (od roku 2018) tyto problémy řeší:
SAE (Simultaneous Authentication of Equals)
Nahrazuje PSK handshake - eliminuje offline útoky hrubou silou na WiFi heslo. Kritické pro guest WiFi s veřejně dostupným heslem.
Forward Secrecy
Kompromitace jednoho session klíče neodhalí historická data. Každé připojení hosta má unikátní šifrovací klíč.
Enhanced Open (OWE)
Šifrování i na otevřených sítích bez hesla - ideální pro lobby hotspot, kde nechcete po hostech heslo.
WPA3-Enterprise 192-bit
Armádní šifrování pro staff síť. S certifikáty místo hesel - nejbezpečnější varianta pro přístup k PMS a finančním datům.
Doporučená hardware řešení pro hotelové WiFi
Výběr hardware závisí na velikosti hotelu, rozpočtu a požadavcích na správu. Nejlepší volby pro hotelový segment:
Ubiquiti UniFi
Nejlepší poměr cena/výkonCloudová správa (UniFi Network Controller), výborný monitoring, snadná konfigurace VLANů a captive portalu. AP U6 Pro doporučujeme pro hotelové koridory a pokoje.
Cena AP: 4 000-8 000 Kč/ks | Vhodné pro: 10-200 pokojů
Cisco Meraki
Enterprise volbaCloudová správa s pokročilou analytiku návštěvnosti, SLA reporting, integrovaný firewall. Vyšší cena, ale kompromisní TCO pro větší hotely.
Cena AP: 15 000-30 000 Kč/ks + licence | Vhodné pro: 50+ pokojů, řetězce
Aruba (HPE) Instant On
Střední segmentJednoduchá cloudová správa bez licenčních poplatků, dobrý výkon v hustém prostředí. Ideální pro malé a střední hotely s omezeným IT personálem.
Cena AP: 5 000-12 000 Kč/ks | Vhodné pro: 10-80 pokojů
Závěr: checklist pro bezpečný guest WiFi
- VLAN segmentace: guest, staff, IoT, security, management - každý v izolovaném segmentu
- Client isolation zapnuta na guest VLANu - hosté se nevidí navzájem
- Captive portal s ověřením hosta, acceptable use policy a GDPR souhlasem
- Bandwidth throttling a QoS pro férovost přístupu a prioritizaci citlivého provozu
- Logování přístupu dle zákonných požadavků, šifrované úložiště, definovaná retenční politika
- WPA3 na guest i staff sítích - minimum WPA2 s AES šifrováním
- Pravidelné aktualizace firmware AP a síťových zařízení (min. 1x měsíčně)
- Monitoring sítě v reálném čase - alerts při anomáliích a výpadcích
Správně nakonfigurovaný guest WiFi je nenápadný základ hotelového zážitku - funguje bezproblémově, hosté si ho nevšimnou, ale zapamatují si ho, pokud selže. Investice do správné konfigurace a kvalitního hardware je jednou z nejlepších investic do zákaznické spokojenosti, kterou hotel může udělat.