VLAN segmentace: základní stavební kámen bezpečné hotelové sítě
Největší bezpečnostní chybou hotelových sítí je sdílení jedné sítě pro hosty, personál i interní systémy (PMS, POS, IP kamery). Pokud se do takové sítě dostane malware z notebooku hosta, může ohrozit celou hotelovou infrastrukturu.
VLAN (Virtual Local Area Network) segmentace řeší tento problém logickým oddělením provozu na úrovni síťových switchů a routerů. Každý segment komunikuje pouze s tím, s čím má komunikovat — a nic víc.
Doporučená VLAN architektura pro hotel
Internet pro hosty. Plná izolace od ostatních VLANů. Client isolation zapnuta (hosté se nevidí navzájem). Bandwidth limit 20–50 Mbps na klienta. Captive portal ověření při připojení.
Síť pro zaměstnance. Přístup k PMS, tiskárnám, POS systémům. WPA3-Enterprise nebo certifikáty. Bez přístupu do guest VLANu a naopak.
Chytrá TV, termostaty, dveřní zámky, IP telefony. Minimální oprávnění — komunikace povolena jen k PMS serveru a internetu (update firmware). Žádný přístup do guest nebo staff VLANu.
IP kamery, CCTV systém. Kompletně izolovaná síť. Přístup pouze z bezpečnostní pracovní stanice a NVR serveru. Žádné WiFi zařízení.
Správa síťových zařízení (switche, AP, router, firewall). Přístupná pouze z konkrétních IP adres správce. SSH only, bez Telnetu.
Captive portal: ověření hosta a splnění zákonných povinností
Captive portal je webová stránka, která se zobrazí hostovi po připojení k WiFi před tím, než získá přístup k internetu. V hotelech plní několik funkcí najednou:
- Identifikace hosta: Propojení WiFi přístupu s rezervací (číslo pokoje + příjmení). Splnění povinnosti logování dle zákona o elektronických komunikacích.
- Souhlas s podmínkami: Host odsouhlasí acceptable use policy — zákonná ochrana hotelu před zneužitím sítě.
- Marketing a branding: Captive portal může zobrazit uvítací zprávu, nabídky hotelu nebo požádat o souhlas s newsletter odběrem.
- Kontrola přístupu: Automatické odpojení po check-outu, omezení počtu zařízení na pokoj, časová omezení přístupu.
Bandwidth throttling: férovost pro všechny hosty
Bez bandwidth throttlingu (omezení přenosové rychlosti) může jeden host s aktivním torrent klientem pohltit 80 % celkové kapacity internetového připojení hotelu. Throttling zajišťuje, že každý host dostane spravedlivý díl.
| Typ hotelu | Doporučený limit/klient | Kapacita uplinku (100 pokojů) |
|---|---|---|
| Budget / hostel | 5–10 Mbps | 500 Mbps–1 Gbps |
| 3* hotel | 10–20 Mbps | 1–2 Gbps |
| 4* hotel | 20–50 Mbps | 2–5 Gbps |
| 5* hotel / luxury | 50–100 Mbps | 5–10 Gbps |
QoS (Quality of Service) pravidla navíc umožňují prioritizaci citlivých služeb: videohovory a streaming mají přednost před stahováním — i v limitu 20 Mbps tak host zažije plynulý Zoom call.
GDPR a logování přístupu k WiFi
Zákon o elektronických komunikacích (transponující EU směrnici) ukládá provozovatelům WiFi sítí povinnost uchovávat záznamy o přístupu pro případné potřeby orgánů činných v trestním řízení. Zároveň GDPR reguluje, jak tato data zpracovávat.
Co logovat a jak dlouho uchovávat
- Logovat: MAC adresa zařízení, čas připojení/odpojení, přidělená IP adresa, identifikátor hosta (číslo pokoje)
- Logovat NESMÍTE: Obsah komunikace (prohlížené weby, e-maily) bez zákonného důvodu — to je odposlech
- Retenční doba: Typicky 6–12 měsíců (konzultujte s právníkem dle jurisdikce)
- Zabezpečení logů: Šifrované úložiště, přístup pouze oprávněným osobám, pravidelná záloha
- Informační povinnost: Hosté musí být informováni o logování v rámci podmínek captive portalu
WPA3: proč je nový standard klíčový pro hotely
WPA2 (standard od roku 2004) má několik zásadních zranitelností — zejména KRACK attack a offline dictionary attacks. WPA3 (od roku 2018) tyto problémy řeší:
SAE (Simultaneous Authentication of Equals)
Nahrazuje PSK handshake — eliminuje offline útoky hrubou silou na WiFi heslo. Kritické pro guest WiFi s veřejně dostupným heslem.
Forward Secrecy
Kompromitace jednoho session klíče neodhalí historická data. Každé připojení hosta má unikátní šifrovací klíč.
Enhanced Open (OWE)
Šifrování i na otevřených sítích bez hesla — ideální pro lobby hotspot, kde nechcete po hostech heslo.
WPA3-Enterprise 192-bit
Armádní šifrování pro staff síť. S certifikáty místo hesel — nejbezpečnější varianta pro přístup k PMS a finančním datům.
Doporučená hardware řešení pro hotelové WiFi
Výběr hardware závisí na velikosti hotelu, rozpočtu a požadavcích na správu. Nejlepší volby pro hotelový segment:
Ubiquiti UniFi
Nejlepší poměr cena/výkonCloudová správa (UniFi Network Controller), výborný monitoring, snadná konfigurace VLANů a captive portalu. AP U6 Pro doporučujeme pro hotelové koridory a pokoje.
Cena AP: 4 000–8 000 Kč/ks | Vhodné pro: 10–200 pokojů
Cisco Meraki
Enterprise volbaCloudová správa s pokročilou analytiku návštěvnosti, SLA reporting, integrovaný firewall. Vyšší cena, ale kompromisní TCO pro větší hotely.
Cena AP: 15 000–30 000 Kč/ks + licence | Vhodné pro: 50+ pokojů, řetězce
Aruba (HPE) Instant On
Střední segmentJednoduchá cloudová správa bez licenčních poplatků, dobrý výkon v hustém prostředí. Ideální pro malé a střední hotely s omezeným IT personálem.
Cena AP: 5 000–12 000 Kč/ks | Vhodné pro: 10–80 pokojů
Závěr: checklist pro bezpečný guest WiFi
- VLAN segmentace: guest, staff, IoT, security, management — každý v izolovaném segmentu
- Client isolation zapnuta na guest VLANu — hosté se nevidí navzájem
- Captive portal s ověřením hosta, acceptable use policy a GDPR souhlasem
- Bandwidth throttling a QoS pro férovost přístupu a prioritizaci citlivého provozu
- Logování přístupu dle zákonných požadavků, šifrované úložiště, definovaná retenční politika
- WPA3 na guest i staff sítích — minimum WPA2 s AES šifrováním
- Pravidelné aktualizace firmware AP a síťových zařízení (min. 1x měsíčně)
- Monitoring sítě v reálném čase — alerts při anomáliích a výpadcích
Správně nakonfigurovaný guest WiFi je nenápadný základ hotelového zážitku — funguje bezproblémově, hosté si ho nevšimnou, ale zapamatují si ho, pokud selže. Investice do správné konfigurace a kvalitního hardware je jednou z nejlepších investic do zákaznické spokojenosti, kterou hotel může udělat.