Používání Internetu s sebou kromě pohodlí přináší také bezpečnostní rizika. Proto je velmi důležité mít svá zařízení, která jsou k internetu připojená, důkladně zabezpečená. Zabezpečení Wi-Fi sítě je klíčovým krokem pro ochranu firemního i domácího prostředí před potenciálními hrozbami.
Přestože je zabezpečení počítače základní součástí internetové bezpečnosti, samotné nestačí. Pokud chcete Internet používat opravdu bezpečně, musíte začít už zabezpečením samotného routeru a Wi-Fi sítě. Špatně nastavený a nezabezpečený router je velkou slabinou internetového připojení a může být napadnutelný takřka kýmkoliv.
Wi-Fi (Wireless Fidelity) představují lokální bezdrátové sítě umožňující výměnu dat mezi připojenými zařízeními s pomocí rádiových vln. Zařízení využívající Wi-Fi se spojují na frekvenčním pásmu 2,4GHz a 5GHz. Dosah Wi-Fi se přitom může pohybovat od desítek metrů až po kilometry. Nejedná se tedy o mobilní síť, protože je připojení vždy omezeno vzdáleností od přístupového bodu.
Možnosti připojení se liší podle použité antény, místních podmínek, ale i podle použitého standardu - setkat se můžeme s označeními 802.11a/b/g/n/ac (novější protokoly jsou označeny písmenem umístěným dále v abecedě). Přitom platí, že rychlost připojení klesá s rostoucí vzdáleností od přístupového bodu, až dojde k odpojení při vzdálení se z dosahu sítě. Výsledná rychlost je také ovlivněna tím, jaké standardy a jakou rychlost podporují jednotlivá zařízení.
Abychom si ve firmě bezdrátovou Wi-Fi síť vytvořili, nejdříve potřebujeme nějaké zařízení, které toto umí. A k tomu slouží router.
Router (směrovač) je zařízení, které umí propojit dvě různé počítačové sítě a následně mezi nimi routuje (směruje) datový tok. Po jeho připojení k Internetu v jeho blízkém okolí vytvoří bezdrátovou Wi-Fi síť, díky které se jednotlivá zařízení mohou pohodlně bezdrátově připojovat k Internetu.
Více informací se o problematice dozvíte v článku Jak vybrat Wi-Fi router.
Právě router se může v případě, že ho nezabezpečíte, stát velkou slabinou vašeho internetového připojení. V okamžiku, kdy jste připojeni k Wi-Fi, informace vyměňované mezi vaším počítačem a Internetem prakticky létají vzduchem kolem. Pokud se někomu v dosahu vaší sítě podaří na ni připojit, může tuto komunikaci odposlouchávat, aniž byste o tom tušili. V ohrožení jsou přitom všechna zařízení, která jsou k síti připojena, tedy počítače, tablety, chytré telefony, chytré televize, síťová datová uložiště typu NAS i tiskárny (více o zabezpečení tiskárny).
Zabezpečení Wi-Fi můžeme v zásadě rozdělit na dvě oblasti:
Ke kontrole přístupu k síti slouží zabezpečení s pomocí hesla a filtrování MAC adres. V případě, že by se k vaší síti mohl připojit kdokoliv, mohl by mít teoreticky např. přístup do sdílených datových uložišť a tedy i k potenciálně citlivým firemním datům.
Druhou oblastí zabezpečení je šifrování dat, tedy ochrana dat před "odposlechem". Přenášená data, která nejsou šifrovaná, může totiž trochu šikovný útočník pohodlně číst - ať už jde o odesílané zprávy, hesla od internetového bankovnictví či sociálních sítí. Následně např. díky neoprávněně získanému přístupu k sociálním sítím může dojít ke změně hesla k profilu útočníkem a k případnému poškození značky nevhodnými příspěvky.
Při výběru routeru je potřebné se zaměřit na to, jakým bezpečnostním protokolem disponuje. Tato informace je pro vás užitečná zejména v případě, že dlouhodobě používáte zastaralý router.
Pokud váš router umí pouze WEP (Wired Equivalent Privacy), je pravděpodobné, že jeho zabezpečení prolomí i méně zdatný hacker nebo dokonce i zkušenější laik. Toto zabezpečení bylo zpochybněno už v roce 2021 a v roce 2005 FBI předvedla, jak se lze s pomocí běžných prostředků do takto chráněné sítě dostat během pár minut.
Mnohem bezpečnější je protokol WPA (Wi-Fi Protected Access), který na rozdíl od 64bitových a 128bitových klíčů u WEP, disponuje 256bitovými klíči. Navíc kontroluje integritu zprávy, což znamená, že zjišťuje, zda nedochází k modifikaci odesílaných paketů.
V roce 2004 pak přišlo jeho vylepšení v podobě šifrovacího protokolu WPA2, který využívá šifrování AES. Toto zabezpečení dnes najdete ve většině routerů. Ani tento způsob ochrany ale není dnes neporazitelný - k jeho prvnímu prolomení došlo v roce 2018.
Nejnovějším bezpečnostním protokolem je dnes WPA3, který využívá typ šifrování zvaný Perfect Forward Secrecy. Je sice bezpečnější než jeho předchůdce, ale zatím není tak rozšířený, což znamená, že ne každé zařízení jej podporuje.
Pokud si chcete ověřit, jak je na tom zabezpečení vaší sítě, klikněte ve Windows na tlačítko Start. Následně zvolte Nastavení a vyberte Síť a Internet. V levém menu vyberete Wi-fi a u sítě, ke které jste aktuálně připojeni, zvolíte Vlastnosti hardwaru.
Pokud u typ zabezpečení vidíte WPA2, můžete být celkem v klidu. Dosud se jedná o nejrozšířenější typ zabezpečení v routerech. Jeho hlavní slabinou je aktivovaná funkce WPS (Wi-Fi Protected Setup), která se používá pro připojení tiskáren a dalších zařízení s pomocí jednoduchého PIN místo složitého hesla. V případě, že aktivně WPS nepoužíváte, je lepší jej vypnout.
Firewall slouží k monitorování a filtrování síťového provozu mezi zařízeními nebo i sítěmi na základě definovaných pravidel. Na rozdíl od šifrování nechrání data při přenosu, ale rozhoduje o tom, která komunikace bude povolena a která bude blokována (směrem dovnitř i ven ze sítě).
Zatímco routery staré zhruba 5 až 10 let fungovaly z pohledu firewallu hlavně jako jednoduchá bariéra založená na NAT a základní stavové kontrole (SPI), která blokovala nevyžádaná spojení podle IP adres a portů, dnešní zařízení jdou výrazně dál.
Moderní routery kombinují stavový firewall s pokročilejší analýzou provozu. Často sledují chování komunikace, částečně rozpoznávají aplikace a dokážou reagovat i na podezřelé aktivity, včetně neobvyklé odchozí komunikace. Jinými slovy, starší firewall pouze rozhodoval, co pustit dovnitř, zatímco ten současný se snaží pochopit, co se v síti skutečně děje, a podle toho aktivně zasahovat.
Správně nakonfigurovaný (a moderní) firewall tak tvoří kritickou první linii obrany proti skenování portů, DoS útokům a pokusům o neautorizovaný přístup, čímž efektivně izoluje zařízení v lokální síti.
Důkladné zabezpečení Wi-Fi sítě lze shrnout do 5 základních kroků:
změna přístupových údajů do administrace routeru,
změna názvu sítě (SSID) a nastavení složitého hesla,
nastavení zabezpečení a šifrování sítě,
vypnutí WPS,
nastavení filtrování MAC adres (volitelné).
Než se však k prvnímu z těchto kroků dostanete, budete se muset sami dostat do administrace routeru. Jak na to?
Do nastavení routeru se dostanete velmi jednoduše. Na kartě internetového prohlížeče zadáte do adresního řádku přístupovou IP adresu routeru, kterou najdete na štítku nalepeném na routeru. Poté budete vyzváni k tomu, abyste zadali uživatelské jméno a heslo.
Tyto údaje bývají nastaveny už z výroby, najdete je proto také v krabičce routeru nebo přímo na něm. Poté se dostanete do nastavení routeru a můžete ho začít upravovat, čímž přistoupíte k prvnímu kroku zabezpečení vaší bezdrátové sítě.
Jelikož uživatelské jméno a heslo bývá u routerů nastaveno už z výroby, jedná se o největší slabinu zabezpečení. Tyto údaje jsou často velmi jednoduché (například jméno admin a heslo admin). Pokud byste je nezměnili, kdokoliv by se mohl velmi snadno dostat do nastavení vašeho routeru a tam vám třeba odepřít přístup k Internetu.
Prvním krokem zabezpečení je proto právě změna těchto přístupových údajů. Vytvořte si vlastní uživatelské jméno a silné heslo, které bude pro vás snadno zapamatovatelné a zároveň bude obsahovat ideálně malá i velká písmena a číslice. Vyhněte se osobním údajům a podobným snadno uhodnutelným slovům. Zkuste si heslo vygenerovat třeba s pomocí Random Password Generator od Avastu.
V dalším kroku přistupte ke změně názvu vaší bezdrátové sítě (SSID). Je to ten údaj, který označuje vaši síť v seznamu dostupných Wi-Fi sítí. Volte unikátní název a ideálně se opět vyhněte jakýmkoli osobním údajům, jako je například příjmení. SSID může mít maximálně 32 znaků.
Pokud chcete zvýšit bezpečnost vaši Wi-Fi, můžete SSID také skrýt. Síť, kterou není vidět, takřka nelze napadnout. Tuto funkci lze v nastavení routeru pohodlně zapnout, načež se vaše Wi-Fi síť nebude v seznamu dostupných sítí zobrazovat. Nezapomeňte si ale důkladně název skryté sítě zapamatovat. Budete ho potřebovat, pokud se k vaší síti bude chtít připojit někdo další. Dnes už sice existují také nástroje na odhalení skrytých sítí, spoustu případných útočníků skrytá síť ale určitě odradí, protože o ní ani nebudou vědět.
Po změně SSID nezapomeňte změnit také přístupové heslo pro připojení k Wi-Fi. Opět musí být dostatečně silné – mělo by obsahovat malá i velká písmena, číslice a další znaky, přičemž pro vás by mělo být snadno zapamatovatelné. Z tohoto důvodu se vyhněte jménům, příjmením a podobným údajům, které lze snadno uhodnout.
V případě, že byste heslo zapomněli, můžete využít hned několik metod, jak získat a sdílet heslo k Wi-Fi. Nebojte se tedy nastavit složitější heslo.
Nikdy jako heslo k Wi-Fi nepoužívejte stejné heslo, které jste nastavili jako heslo k přístupu do administrace routeru. V určitých časových intervalech pak myslete také na pravidelnou změnu hesla na Wi-Fi.
Toto je další velmi důležitý bod při zabezpečování vaší Wi-Fi. Šifrování je totiž pro hackery tou největší překážkou. Pokud budete šifrovat opravdu pořádně, je šance na prolomení vaší sítě velmi malá.
Při nastavení šifrování máte typicky na výběr z několika možností – nejčastěji WEP, WPA, WPA2, případně WPA2-PSK. WEP je starý a snadno prolomitelný způsob šifrování, proto není žádoucí ho v síti používat. Novějším způsobem šifrování je WPA, které má ale také své slabiny a v dnešní době již není dostačující.
Ideálně proto v nastavení zabezpečení volte WPA2, nejlépe pak WPA2-PSK. V tomto případě se už můžete spolehnout na to, že se nikdo cizí bez znalosti hesla na vaši síť nepřipojí.
Všimněte si také toho, jaký šifrovací algoritmus vámi zvolený způsob zabezpečení používá. Jsou dvě možnosti – TKIP nebo AES. V nastavení routeru to může vypadat například takto – WPA2-PSK (AES). Tato možnost je v dnešní době ideálním způsobem zabezpečení sítě, protože TKIP je starší a méně bezpečný šifrovací protokol než AES.
V administraci routeru vyhledejte WPS či Wi-Fi Protected Setup. U routerů různých značek se bude umístění této položky lišit. Zpravidla jej najdete pod Bezdrátové připojení. Následně stačí WPS vypnout.
Toto udělejte pouze v případě, že WPS aktivně nevyužíváte např. pro připojení tiskárny k Wi-Fi a že nemáte jinou možnost, jak ji k síti připojit. V opačném případě přijdete o připojení všech zařízení, pro které jste WPS využívali.
Abyste zvýšili bezpečnost vaší Wi-Fi sítě, můžete zvážit také nastavení filtrování MAC adres. MAC adresu má každé zařízení, které je schopné se k síti připojit.
Například na počítači MAC adresu zjistíte tak, že do příkazového řádku zadáte příkaz ipconfig /all. Ve Windows si příkazový řádek vyvoláte s pomocí funkce hledat, která je např. ve Windows 10 v podobě lupy na spodní liště. Následně stačí zadat hledat Příkazový řádek a po jeho spuštění zadat text ipconfig /all.
V nastavení routeru pak můžete nastavit specifické MAC adresy, které budou mít k vaší síti přístup. Když se pokusí připojit zařízení s nepovolenou MAC adresou, router připojení nepovolí, i kdyby zařízení znalo heslo k vaší Wi-Fi.
Nevýhodou filtrování MAC adres je pouze to, že pokud si budete chtít do sítě připojit nové zařízení nebo se u vás bude chtít na Internet připojit třeba kamarád, budete muset MAC adresu zařízení, které se chce k síti připojit, zadat do nastavení routeru ručně a tím jí povolit.
Filtrování MAC adres, ale i skrytí SSID sítě, jsou pouze doplňkovými způsoby zabezpečení sítě. Tím hlavním je ale kvalitní šifrování, proto tyto způsoby používejte vždy jen v kombinaci s ním.
Pokud však dodržíte všechny výše zmíněné kroky našeho návodu a budete je používat ve vzájemné kombinaci, bude vaše síť velmi důkladně zabezpečená a vysoce bezpečná. To však neznamená, že máte vyhráno napořád a už se nemusíte o nic starat. Dále nezapomínejte také na pravidelnou aktualizaci firmware routeru.
Dnes spousta lidi ani netuší, že aktualizovat je potřebné také router a jeho firmware. Firmware je totiž software, který zajišťuje funkčnost routeru a čas od času může být dostupná nová verze. Často se tak děje například v případech, kdy je ve firmware nějaká chyba, výrobce jí opraví a následně vydá novou verzi.
Pokud má váš router automatickou aktualizaci, pak se nemusíte o nic starat. Proto si to zkontrolujte a pokud touto funkcí váš router nedisponuje, pravidelně navštěvujte stránky výrobce routeru a kontrolujte, zda není k dispozici nová verze ke stažení.
Router s neaktuálním firmwarem se může snadno infikovat malwarem. Útočníci jsou dnes velmi kreativní a přes napadený router by se mohli dostat až do vašeho počítače a zavirovat ho (jak poznat zavirovaný počítač).
Teď už jste pro zabezpečení vaší Wi-Fi sítě udělali maximum. Nebude ale od věci se čas od času přesvědčit, že je vaše síť stále bezpečná. Dělejte proto pravidelnou kontrolu, zda k síti není připojený někdo cizí.
Údaje o připojených zařízeních lze najít buď v administraci routeru (pokud jde o kvalitnější model), nebo můžete využít některou z aplikací na skenování Wi-Fi sítí. Wi-Fi scannery vám rovnou zobrazí také MAC adresy případných nezvaných hostů, které tak budete moct ihned pomocí zakázání dané MAC adresy od vaší sítě odstřihnout.
Pokud máte např. firmu či kavárnu, dává smysl dle principů Modelu nulové důvěry vytvořit samostatnou síť pro návštěvy, což brání tomu, aby ohrožené zařízení mělo přístup k citlivým datům. Pro pokročilejší možnosti zabezpečení typu WPA3, detekce vniknutí, blokování škodlivých domén apod. už ale možná budete muset pořídit nový router.
Důkladné zabezpečení bezdrátové sítě není zas takovým strašákem, jak na první pohled vypadá. Jak jste mohli vidět, lze ho shrnout do 5 základních kroků, které vám zaberou pouze pár minut. To je rozhodně cena, kterou se vyplatí za internetovou bezpečnost zaplatit. Abyste byli v maximálním možném bezpečí, po nastavení routeru už budete mít pouze 2 povinnosti – myslet na pravidelnou aktualizaci firmware routeru a pravidelnou kontrolu zabezpečení.
Autor článku
Vystudoval Informační management na VUT v Brně a v současnosti pokračuje ve vzdělávání studiem MBA programu Management a kybernetická bezpečnost na CEVRO univerzitě. Baví ho technologie, modernizace a to, že může být součástí projektů, které firmu posouvají dál.
Celní orgány v České republice v průběhu let 2025 a 2026 zabavily přibližně 7 200 padělaných tonerových kazet pro laserové tiskárny HP. Kazety mířily na evropský trh a mohly skončit i ve vaší tiskárně. Jak se to stalo, proč je to nebezpečné a jak se chránit? Číst celý článek
Při nákupu stolního počítače je snadné přeplatit za výkon, který nikdy nevyužijete. Rozdíl mezi rozumnou a zbytečnou investicí přitom často tkví v jediné komponentě. Podívejte se, jak se orientovat v cenách procesorů, grafických karet, pamětí i úložišť. Číst celý článek
Firewall rozhoduje o tom, jaká komunikace se do vašeho zařízení dostane a co naopak zůstane zablokované. V článku se proto podíváme na to, jak firewall funguje, kde se s ním běžně setkáte a proč je lepší jej nechat většinou zapnutý. Číst celý článek
Při výběru HP ZBook zjistíte, že řada se dále dělí do několika podřad, které se mezi sebou liší zaměřením, výbavou i výkonem. Následující článek vám pomůže se v tomto dělení zorientovat a vybrat stroj, který bude nejlépe odpovídat vašim nárokům. Číst celý článek
Tradiční bezpečnostní model „hrad a příkop“ přestává v době cloudu, práce na dálku a sofistikovaných útoků stačit. Model nulové důvěry (Zero Trust Architecture) tento přístup obrací naruby - nikomu a ničemu automaticky nedůvěřuje a každý přístup ověřuje. Číst celý článek
Letní vedra dnes již nejsou výjimkou, ale pravidlem. V kancelářích, kde se kumuluje teplo od lidí, počítačů, tiskáren i slunce proudícího přes prosklené plochy, může teplota během pár hodin vystoupat nad hranici, kdy klesá soustředění a roste únava. Číst celý článek
