Jak zabezpečit Wi-fi síť

Používání Internetu s sebou kromě pohodlí přináší také bezpečnostní rizika. Proto je velmi důležité mít svá zařízení, která jsou k internetu připojená, důkladně zabezpečená. Zabezpečení Wi-Fi sítě je klíčovým krokem pro ochranu firemního i domácího prostředí před potenciálními hrozbami. 

Foto: Compare Fibre | Zdroj: Unsplash.com

Přestože je zabezpečení počítače základní součástí internetové bezpečnosti, samotné nestačí. Pokud chcete Internet používat opravdu bezpečně, musíte začít už zabezpečením samotného routeru a Wi-Fi sítě. Špatně nastavený a nezabezpečený router je velkou slabinou internetového připojení a může být napadnutelný takřka kýmkoliv.

Co je to Wi-Fi a jak funguje?

Wi-Fi (Wireless Fidelity) představují lokální bezdrátové sítě umožňující výměnu dat mezi připojenými zařízeními s pomocí rádiových vln. Zařízení využívající Wi-Fi se spojují na frekvenčním pásmu 2,4GHz a 5GHz. Dosah Wi-Fi se přitom může pohybovat od desítek metrů až po kilometry. Nejedná se tedy o mobilní síť, protože je připojení vždy omezeno vzdáleností od přístupového bodu.

Možnosti připojení se liší podle použité antény, místních podmínek, ale i podle použitého standardu - setkat se můžeme s označeními 802.11a/b/g/n/ac (novější protokoly jsou označeny písmenem umístěným dále v abecedě). ​​Přitom platí, že rychlost připojení klesá s rostoucí vzdáleností od přístupového bodu, až dojde k odpojení při vzdálení se z dosahu sítě. Výsledná rychlost je také ovlivněna tím, jaké standardy a jakou rychlost podporují jednotlivá zařízení.

Foto: Frederik Lipfert | Zdroj: Unsplash.com

​Abychom si ve firmě bezdrátovou Wi-Fi síť vytvořili, nejdříve potřebujeme nějaké zařízení, které toto umí. A k tomu slouží router.

Co to je router?

Router (směrovač) je zařízení, které umí propojit dvě různé počítačové sítě a následně mezi nimi routuje (směruje) datový tok. Po jeho připojení k Internetu v jeho blízkém okolí vytvoří bezdrátovou Wi-Fi síť, díky které se jednotlivá zařízení mohou pohodlně bezdrátově připojovat k Internetu.

Proč je důležité zabezpečit Wi-Fi síť?

Právě router se může v případě, že ho nezabezpečíte, stát velkou slabinou vašeho internetového připojení. V okamžiku, kdy jste připojeni k Wi-Fi, informace vyměňované mezi vaším počítačem a Internetem prakticky létají vzduchem kolem. Pokud se někomu v dosahu vaší sítě podaří na ni připojit, může tuto komunikaci odposlouchávat, aniž byste o tom tušili. V ohrožení jsou přitom všechna zařízení, která jsou k síti připojena, tedy počítače, tablety, chytré telefony, chytré televize, lokální datová uložiště i tiskárny (více o zabezpečení tiskárny).

Zabezpečení Wi-Fi můžeme v zásadě rozdělit na dvě oblasti:

Kontrola přístupu

Ke kontrole přístupu k síti slouží zabezpečení s pomocí hesla a filtrování MAC adres. V případě, že by se k vaší síti mohl připojit kdokoliv, mohl by mít teoreticky např. přístup do sdílených datových uložišť a tedy i k potenciálně citlivým firemním datům. 

Šifrování dat

Druhou oblastí zabezpečení je šifrování dat, tedy ochrana dat před "odposlechem". Přenášená data, která nejsou šifrovaná, může totiž trochu šikovný útočník pohodlně číst - ať už jde o odesílané zprávy, hesla od internetového bankovnictví či sociálních sítí. Následně např. díky neoprávněně získanému přístupu k sociálním sítím může dojít ke změně hesla k profilu útočníkem a k případnému poškození značky nevhodnými příspěvky. 

Jak vybrat router

Při výběru routeru je potřebné se zaměřit na to, jakým bezpečnostním protokolem disponuje. Tato informace je pro vás užitečná zejména v případě, že dlouhodobě používáte zastaralý router. 

Co jsou zabezpečení WEP, WPA, WPA2 a WPA3?

Pokud váš router umí pouze WEP (Wired Equivalent Privacy​), je pravděpodobné, že jeho zabezpečení prolomí i méně zdatný hacker nebo dokonce i zkušenější laik. Toto zabezpečení bylo zpochybněno už v roce 2021 a v roce 2005 FBI předvedla, jak se lze s pomocí běžných prostředků do takto chráněné sítě dostat během pár minut.

Mnohem bezpečnější je protokol WPA (Wi-Fi Protected Access​), který na rozdíl od 64bitových a 128bitových klíčů u WEP, disponuje 256bitovými klíči. Navíc kontroluje integritu zprávy, což znamená, že zjišťuje, zda nedochází k modifikaci odesílaných paketů.

V roce 2004 pak přišlo jeho vylepšení v podobě šifrovacího protokolu WPA2, který využívá šifrování AES. Toto zabezpečení dnes najdete ve většině routerů. Ani tento způsob ochrany ale není dnes neporazitelný - k jeho prvnímu prolomení došlo v roce 2018.

Nejnovějším bezpečnostním protokolem je dnes WPA3, který využívá typ šifrování zvaný Perfect Forward Secrecy. Je sice bezpečnější než jeho předchůdce, ale zatím není tak rozšířený, což znamená, že ne každé zařízení jej podporuje. 

Jak zjistit typ zabezpečení na svém routeru

Pokud si chcete ověřit, jak je na tom zabezpečení vaší sítě, klikněte ve Windows na tlačítko Start. Následně zvolte Nastavení a vyberte Síť a Internet. V levém menu vyberete Wi-fi a u sítě, ke které jste aktuálně připojeni, zvolíte Vlastnosti hardwaru.

Pokud u typ zabezpečení vidíte WPA2, můžete být celkem v klidu. Dosud se jedná o nejrozšířenější typ zabezpečení v routerech. Jeho hlavní slabinou je aktivovaná funkce WPS (Wi-Fi Protected Setup), která se používá pro připojení tiskáren a dalších zařízení s pomocí jednoduchého PIN místo složitého hesla. V případě, že aktivně WPS nepoužíváte, je lepší jej vypnout.

Jaké jsou základní kroky k zabezpečení Wi-Fi sítě?

Důkladné zabezpečení Wi-Fi sítě lze shrnout do 5 základních kroků:

  • změna přístupových údajů do administrace routeru,

  • změna názvu sítě (SSID) a nastavení složitého hesla,

  • nastavení zabezpečení a šifrování sítě,

  • ​​vypnutí WPS,

  • nastavení filtrování MAC adres (volitelné).

Než se však k prvnímu z těchto kroků dostanete, budete se muset sami dostat do administrace routeru. Jak na to?

Jak se dostat do nastavení routeru?

Do nastavení routeru se dostanete velmi jednoduše. Na kartě internetového prohlížeče zadáte do adresního řádku přístupovou IP adresu routeru, kterou najdete na štítku nalepeném na routeru. Poté budete vyzváni k tomu, abyste zadali uživatelské jméno a heslo.

Tyto údaje bývají nastaveny už z výroby, najdete je proto také v krabičce routeru nebo přímo na něm. Poté se dostanete do nastavení routeru a můžete ho začít upravovat, čímž přistoupíte k prvnímu kroku zabezpečení vaší bezdrátové sítě.

Foto: Compare Fibre | Zdroj: Unsplash.com

1. Změna přístupových údajů do administrace routeru

Jelikož uživatelské jméno a heslo bývá u routerů nastaveno už z výroby, jedná se o největší slabinu zabezpečení. Tyto údaje jsou často velmi jednoduché (například jméno admin a heslo admin). Pokud byste je nezměnili, kdokoliv by se mohl velmi snadno dostat do nastavení vašeho routeru a tam vám třeba odepřít přístup k Internetu.

Prvním krokem zabezpečení je proto právě změna těchto přístupových údajů. Vytvořte si vlastní uživatelské jméno a silné heslo, které bude pro vás snadno zapamatovatelné a zároveň bude obsahovat ideálně malá i velká písmena a číslice. Vyhněte se osobním údajům a podobným snadno uhodnutelným slovům. Zkuste si heslo vygenerovat třeba s pomocí Random Password Generator od Avastu.

2. Změna názvu sítě a nastavení složitého hesla

V dalším kroku přistupte ke změně názvu vaší bezdrátové sítě (SSID). Je to ten údaj, který označuje vaši síť v seznamu dostupných Wi-Fi sítí. Volte unikátní název a ideálně se opět vyhněte jakýmkoli osobním údajům, jako je například příjmení. SSID může mít maximálně 32 znaků.

Pokud chcete zvýšit bezpečnost vaši Wi-Fi, můžete SSID také skrýt. Síť, kterou není vidět, takřka nelze napadnout. Tuto funkci lze v nastavení routeru pohodlně zapnout, načež se vaše Wi-Fi síť nebude v seznamu dostupných sítí zobrazovat. Nezapomeňte si ale důkladně název skryté sítě zapamatovat. Budete ho potřebovat, pokud se k vaší síti bude chtít připojit někdo další. Dnes už sice existují také nástroje na odhalení skrytých sítí, spoustu případných útočníků skrytá síť ale určitě odradí, protože o ní ani nebudou vědět.

Jak zaheslovat Wi-FI?

Po změně SSID nezapomeňte změnit také přístupové heslo pro připojení k Wi-Fi. Opět musí být dostatečně silné – mělo by obsahovat malá i velká písmena, číslice a další znaky, přičemž pro vás by mělo být snadno zapamatovatelné. Z tohoto důvodu se vyhněte jménům, příjmením a podobným údajům, které lze snadno uhodnout.

Tip

V případě, že byste heslo zapomněli, můžete využít hned několik metod, jak získat a sdílet heslo k Wi-Fi. Nebojte se tedy nastavit složitější heslo.

Nikdy jako heslo k Wi-Fi nepoužívejte stejné heslo, které jste nastavili jako heslo k přístupu do administrace routeru. V určitých časových intervalech pak myslete také na pravidelnou změnu hesla na Wi-Fi.

3. Nastavení zabezpečení a šifrování sítě

Toto je další velmi důležitý bod při zabezpečování vaší Wi-Fi. Šifrování je totiž pro hackery tou největší překážkou. Pokud budete šifrovat opravdu pořádně, je šance na prolomení vaší sítě velmi malá.

Při nastavení šifrování máte typicky na výběr z několika možností – nejčastěji WEP, WPA, WPA2, případně WPA2-PSK. WEP je starý a snadno prolomitelný způsob šifrování, proto není žádoucí ho v síti používat. Novějším způsobem šifrování je WPA, které má ale také své slabiny a v dnešní době již není dostačující.

Ideálně proto v nastavení zabezpečení volte WPA2, nejlépe pak WPA2-PSK. V tomto případě se už můžete spolehnout na to, že se nikdo cizí bez znalosti hesla na vaši síť nepřipojí.

Všimněte si také toho, jaký šifrovací algoritmus vámi zvolený způsob zabezpečení používá. Jsou dvě možnosti – TKIP nebo AES. V nastavení routeru to může vypadat například takto – WPA2-PSK (AES). Tato možnost je v dnešní době ideálním způsobem zabezpečení sítě, protože TKIP je starší a méně bezpečný šifrovací protokol než AES.

4. Vypnutí WPS

V administraci routeru vyhledejte WPS či Wi-Fi Protected Setup. U routerů různých značek se bude umístění této položky lišit. Zpravidla jej najdete pod Bezdrátové připojení. Následně stačí WPS vypnout.

Toto udělejte pouze v případě, že WPS aktivně nevyužíváte např. pro připojení tiskárny k Wi-Fi a že nemáte jinou možnost, jak ji k síti připojit. V opačném případě přijdete o připojení všech zařízení, pro které jste WPS využívali.

5. Nastavení filtrování MAC adres

Abyste zvýšili bezpečnost vaší Wi-Fi sítě, můžete zvážit také nastavení filtrování MAC adres. MAC adresu má každé zařízení, které je schopné se k síti připojit.

Například na počítači MAC adresu zjistíte tak, že do příkazového řádku zadáte příkaz ipconfig /all. Ve Windows si příkazový řádek vyvoláte s pomocí funkce hledat, která je např. ve Windows 10 v podobě lupy na spodní liště. Následně stačí zadat hledat Příkazový řádek a po jeho spuštění zadat text ipconfig /all.

V nastavení routeru pak můžete nastavit specifické MAC adresy, které budou mít k vaší síti přístup. Když se pokusí připojit zařízení s nepovolenou MAC adresou, router připojení nepovolí, i kdyby zařízení znalo heslo k vaší Wi-Fi.

Nevýhodou filtrování MAC adres je pouze to, že pokud si budete chtít do sítě připojit nové zařízení nebo se u vás bude chtít na Internet připojit třeba kamarád, budete muset MAC adresu zařízení, které se chce k síti připojit, zadat do nastavení routeru ručně a tím jí povolit.

Filtrování MAC adres, ale i skrytí SSID sítě, jsou pouze doplňkovými způsoby zabezpečení sítě. Tím hlavním je ale kvalitní šifrování, proto tyto způsoby používejte vždy jen v kombinaci s ním.

Pokud však dodržíte všechny výše zmíněné kroky našeho návodu a budete je používat ve vzájemné kombinaci, bude vaše síť velmi důkladně zabezpečená a vysoce bezpečná. To však neznamená, že máte vyhráno napořád a už se nemusíte o nic starat. Dále nezapomínejte také na pravidelnou aktualizaci firmware routeru.

Jak na aktualizaci firmware routeru?

Dnes spousta lidi ani netuší, že aktualizovat je potřebné také router a jeho firmware. Firmware je totiž software, který zajišťuje funkčnost routeru a čas od času může být dostupná nová verze. Často se tak děje například v případech, kdy je ve firmware nějaká chyba, výrobce jí opraví a následně vydá novou verzi.

Pokud má váš router automatickou aktualizaci, pak se nemusíte o nic starat. Proto si to zkontrolujte a pokud touto funkcí váš router nedisponuje, pravidelně navštěvujte stránky výrobce routeru a kontrolujte, zda není k dispozici nová verze ke stažení.

Router s neaktuálním firmwarem se může snadno infikovat malwarem. Útočníci jsou dnes velmi kreativní a přes napadený router by se mohli dostat až do vašeho počítače a zavirovat ho (jak poznat zavirovaný počítač).

Pravidelná kontrolA zabezpečení

Teď už jste pro zabezpečení vaší Wi-Fi sítě udělali maximum. Nebude ale od věci se čas od času přesvědčit, že je vaše síť stále bezpečná. Dělejte proto pravidelnou kontrolu, zda k síti není připojený někdo cizí.

Údaje o připojených zařízeních lze najít buď v administraci routeru (pokud jde o kvalitnější model), nebo můžete využít některou z aplikací na skenování Wi-Fi sítí. Wi-Fi scannery vám rovnou zobrazí také MAC adresy případných nezvaných hostů, které tak budete moct ihned pomocí zakázání dané MAC adresy od vaší sítě odstřihnout.

Závěr

Důkladné zabezpečení bezdrátové sítě není zas takovým strašákem, jak na první pohled vypadá. Jak jste mohli vidět, lze ho shrnout do 5 základních kroků, které vám zaberou pouze pár minut. To je rozhodně cena, kterou se vyplatí za internetovou bezpečnost zaplatit. Abyste byli v maximálním možném bezpečí, po nastavení routeru už budete mít pouze 2 povinnosti – myslet na pravidelnou aktualizaci firmware routeru a pravidelnou kontrolu zabezpečení.

Kam dál

Jak nastavit přístup k PC přes vzdálenou plochu
před 25 dny, 25.6.2024

Jak nastavit přístup k PC přes vzdálenou plochu

Použití vzdálené plochy a ovládání PC na dálku není v současnosti ani zdaleka tak náročným a technickým úkolem, jako tomu bylo v minulosti. Existuje totiž hned několik způsobů, které vám umožní pohodlně nastavit přístup. Jaké to jsou a jak vzdálenou plochu zprovoznit? Číst celý článek

clanek-kategorie-IT Bezpečnost
Jak na odblokování tiskárny
před 1 měsícem, 18.6.2024

Jak na odblokování tiskárny

Rozhodli jste se pořídit si neoriginální náplň a po jejím vložení do tiskárny jste zjistili, že v ní nefunguje? Příčinou tohoto jevu je ve většině případů samotná tiskárna, která po aktualizaci firmware používání neoriginálních náplní blokuje. Číst celý článek

clanek-kategorie-Tiskárny
Jak zjistit teplotu CPU a GPU
před 1 měsícem, 7.6.2024

Jak zjistit teplotu CPU a GPU

Je váš počítač hlučnější, než v minulosti býval, případně na první pohled více „topí“ a pracuje pomaleji? Na svědomí to může mít příliš vysoká teplota procesoru nebo grafické karty. Jak ale aktuální teplotu grafické karty a procesoru zjistit? Číst celý článek

clanek-kategorie-Hardware
Co obnáší tisk na jedlý papír
před 2 měsíci, 28.5.2024

Co obnáší tisk na jedlý papír

Tisk na jedlý papír je dnes již neodmyslitelnou součástí potravinářského průmyslu. Co všechno však tato technologie obnáší? Můžete jedlý papír potisknout i ve firmě? A co k tomu budete potřebovat? V následujícím článku všechny dotazy zodpovíme. Číst celý článek

clanek-kategorie-Jen Tisk
Jak otevřít soubory RAR a ZIP
před 2 měsíci, 23.5.2024

Jak otevřít soubory RAR a ZIP

Každému, kdo občas posílá přes e-mail větší přílohy, se už někdy stalo, že přijatá příloha byla v komprimována do souboru .rar či .zip. V následujícím článku vám proto ukážeme, jak otevřít .rar nebo .zip soubor ve chvíli, kdy k vám opravdu dorazí. Číst celý článek

clanek-kategorie-IT Bezpečnost
Nejčastější typy sociálního inženýrství
před 2 měsíci, 10.5.2024

Nejčastější typy sociálního inženýrství

Sociální inženýrství jako netechnická forma útoku využívá slabiny lidské psychiky. Existuje přitom mnoho metod, které se pod tento termín dají zařadit - od triků postavených na nepozornosti uživatele přes manipulace až po využívání lidské důvěřivosti. Číst celý článek

clanek-kategorie-IT Bezpečnost