WiFi-netwerk opzetten voor in een wachtkamer

eerlijk antwoord? Ik denk niet dat je momenteel de juiste persoon bent om dit aan te leggen.

Essentiele basiskennis om dit goed in een privacy gevoelige omgeving (en dat is bij een huisarts altijd) aan te leggen ontbreekt momenteel. Beter kun je je gaan inlezen en in een thuissituatie gaan uitproberen (en bijleren)

BramVroy schreef op woensdag 1 februari 2017 @ 16:21:
[...]

Ik zit echter met enkele vragen:
- is het plaatje dat ik hierboven schets zinnig? Is het thuisnetwerk dan goed afgeschermd? (Printers, aangesloten apparaten)
- in hoeverre kan je het gastnetwerk beheren per gebruiker? Is het met andere woorden mogelijk om een downloadlimiet in te stellen? Of een tijdslimiet? Het zou jammer zijn mocht de buurman het netwerk gaan gebruiken! Een downloadsnelheidlimiet op dat nieuwe netwerk zou ook al leuk zijn.
- moeten er in de praktijk instellingen veranderen aan netwerk A en B, of is dit iets dat wel out-of-the-box zou moeten werken?

Ik heb overigens al heel wat opgezocht maar ik zie termen als subnetting en DHCP maar ik geraak er niet wijzer uit. Al deze websites lijken oplossingen te suggereren die me moeilijk lijken voor wat het eigenlijk is - of ben ik daar mis in?

Als ik de vragen die je hebt zie zou ik bovenal voorstellen: bedank hem voor de opdracht en raad hem aan een professional in te schakelen. Hij weet overduidelijk niet waar hij aan begint en jij lijkt welwillend maar zeker niet ter zake deskundig te zijn. Als je je moet inlezen in subnetting en DHCP, weet je misschien iets over computers, maar niet eens de eerste basisbeginselen van netwerken. Dat is geen kritiek, slechts een constatering. Hij heeft iemand nodig die dat wel doet.

Belangrijkste wat ontbreekt is toch wel het besef dat hij niet enkel thuis van gasten moet scheiden, maar bovenal een waterdichte scheiding moet hebben tussen zijn zakelijke systemen en zowel thuis als gasten. Een huisarts behandelt de meest gevoelige persoonsgegevens denkbaar (medische dossiers). Ik ken de specifieke BE wetgeving niet, maar hij zal de plicht hebben te voorkomen dat onbevoegden die inzien. Dat betekent dat overige gezinsleden er ook niet bij moeten kunnen (laat staan dat evt spy/ransomware op de computer van zoonlief toegang ertoe kan krijgen)

Aangezien huisartsen doorgaans geen netwerk engineers zijn en iedere huisarts tegen deze problematiek aan zal lopen, zal een vereniging van huisartsen of soortgelijke vakorganisatie hoogstwaarschijnlijk richtlijnen en mogelijk ook een kant-en-klare software/netwerkpakket voor huisartsen beschikbaar hebben. Dat lijkt me eerste plek om te beginnen.


Gesteld dat dat alles er niet is, wat mij hoogst zou verbazen, wil je drie volledig gescheiden netwerken hebben die toch dezelfde internetverbinding delen. Dat kun je met VLANs realiseren. Ik ken de Telenet-router in kwestie niet, maar betwijfel of een gemiddelde consumentenrouter dit kan opzetten. Je zult dus een aparte router nodig hebben. Omdat deze achter de modem zal moeten hangen, kun je vervolgens ook niet meer de door Telenet geleverde modemrouter voor WiFi thuis gebruiken (want dat zal aan de WAN-zijde van deze nieuwe router hangen).

Vervolgens heb je het over Powerline (PLC). Als backbone. Dat is al voor een guestnetwork onvoorspelbaar, laat staan dat de systemen van de praktijk zelf erover moeten draaien. Trek een netwerkkabel, of laat dat doen door iemand die dat beroepsmatig doet. Kost weinig, scheelt achteraf veel gedonder.

Dan de AP's. Het is prima mogelijk om vanuit een enkele AP meerdere VLANs te bedienen met eigen SSID's, maar wederom zal dat niet bij de standaardfunctionaliteit van een consumentenrouter/AP horen. Je hebt hier twee keuzes:
- AP's plaatsen die meerder VLANs ondersteunen en per VLAN eigen SSID kunnen uitzenden. Denk aan de Ubiquti UniFi AP's.
- Eenvoudigere AP's nemen en per poort op de switch waar ze in zitten de relevante VLANs configureren. Mogelijk iets goedkoper, maar op totaalplaatje scheelt het weinig als je kwalitatief fatsoenlijke AP's neemt en het beperkt je flexibiliteit sterk. Daarom zou ik de eerste optie aanraden.

Tenslotte toegang gastnetwerk per gebruiker. Dat kan uitstekend via WPA2-Enterprise, oftewel 802.11x geregeld worden. Radius AAAA server draaien (wat hopelijk op de VLAN-capabele router kan) en dan de AP's daarnaar verwijzen voor de guest network.

Nu, als je al moet inlezen op subnetting en DHCP zal bovenstaande grotendeels Chinees zijn. Daarom ga je beter op zoek naar iemand die dat wel begrijpt voor deze klus. En liefst iemand die bovendien bekend is met zowel wetgeving als practische systemen voor huisartsen in BE.

Hoe is momenteel de scheiding tussen patientgegevens en privezaken gelegd? In Belgie zal eenzelfde soort wetgeving gelden met betrekking tot datalekken en privacy als in Nederland, een netwerkontwerp zou daar rekening mee moeten houden. Guest netwerk is dan een lagere prioriteit naar mijn mening.

Op zich hoeft het geen rocket science te zijn maar eigenlijk zou je hier drie netwerken moeten scheiden prive, zakelijk en gasten. Hiervoor heb je een router nodig die met vlans kan omgaan en AP die dat ook kan en indien noodzakelijk switch die met vlans kan omgaan. Ubiquty heeft hier betaalbaar spul voor.
Maar zoals hierboven al gezegd ken je beperkingen. Als hij voor het zakelijke netwerk een separate provider heeft kan je het wel proberen risico is een stuk kleiner.