Jak zabezpečit Wi-fi síť

Používání Internetu s sebou kromě pohodlí přináší také bezpečnostní rizika. Proto je velmi důležité mít svá zařízení, která jsou k internetu připojená, důkladně zabezpečená. Zabezpečení Wi-Fi sítě je klíčovým krokem pro ochranu firemního i domácího prostředí před potenciálními hrozbami. 

Foto: Compare Fibre | Zdroj: Unsplash.com

Přestože je zabezpečení počítače základní součástí internetové bezpečnosti, samotné nestačí. Pokud chcete Internet používat opravdu bezpečně, musíte začít už zabezpečením samotného routeru a Wi-Fi sítě. Špatně nastavený a nezabezpečený router je velkou slabinou internetového připojení a může být napadnutelný takřka kýmkoliv.

Co je to Wi-Fi a jak funguje?

Wi-Fi (Wireless Fidelity) představují lokální bezdrátové sítě umožňující výměnu dat mezi připojenými zařízeními s pomocí rádiových vln. Zařízení využívající Wi-Fi se spojují na frekvenčním pásmu 2,4GHz a 5GHz. Dosah Wi-Fi se přitom může pohybovat od desítek metrů až po kilometry. Nejedná se tedy o mobilní síť, protože je připojení vždy omezeno vzdáleností od přístupového bodu.

Možnosti připojení se liší podle použité antény, místních podmínek, ale i podle použitého standardu - setkat se můžeme s označeními 802.11a/b/g/n/ac (novější protokoly jsou označeny písmenem umístěným dále v abecedě). ​​Přitom platí, že rychlost připojení klesá s rostoucí vzdáleností od přístupového bodu, až dojde k odpojení při vzdálení se z dosahu sítě. Výsledná rychlost je také ovlivněna tím, jaké standardy a jakou rychlost podporují jednotlivá zařízení.

Foto: Frederik Lipfert | Zdroj: Unsplash.com

​Abychom si ve firmě bezdrátovou Wi-Fi síť vytvořili, nejdříve potřebujeme nějaké zařízení, které toto umí. A k tomu slouží router.

Co to je router?

Router (směrovač) je zařízení, které umí propojit dvě různé počítačové sítě a následně mezi nimi routuje (směruje) datový tok. Po jeho připojení k Internetu v jeho blízkém okolí vytvoří bezdrátovou Wi-Fi síť, díky které se jednotlivá zařízení mohou pohodlně bezdrátově připojovat k Internetu.

Proč je důležité zabezpečit Wi-Fi síť?

Právě router se může v případě, že ho nezabezpečíte, stát velkou slabinou vašeho internetového připojení. V okamžiku, kdy jste připojeni k Wi-Fi, informace vyměňované mezi vaším počítačem a Internetem prakticky létají vzduchem kolem. Pokud se někomu v dosahu vaší sítě podaří na ni připojit, může tuto komunikaci odposlouchávat, aniž byste o tom tušili. V ohrožení jsou přitom všechna zařízení, která jsou k síti připojena, tedy počítače, tablety, chytré telefony, chytré televize, lokální datová uložiště i tiskárny (více o zabezpečení tiskárny).

Zabezpečení Wi-Fi můžeme v zásadě rozdělit na dvě oblasti:

Kontrola přístupu

Ke kontrole přístupu k síti slouží zabezpečení s pomocí hesla a filtrování MAC adres. V případě, že by se k vaší síti mohl připojit kdokoliv, mohl by mít teoreticky např. přístup do sdílených datových uložišť a tedy i k potenciálně citlivým firemním datům. 

Šifrování dat

Druhou oblastí zabezpečení je šifrování dat, tedy ochrana dat před "odposlechem". Přenášená data, která nejsou šifrovaná, může totiž trochu šikovný útočník pohodlně číst - ať už jde o odesílané zprávy, hesla od internetového bankovnictví či sociálních sítí. Následně např. díky neoprávněně získanému přístupu k sociálním sítím může dojít ke změně hesla k profilu útočníkem a k případnému poškození značky nevhodnými příspěvky. 

Jak vybrat router

Při výběru routeru je potřebné se zaměřit na to, jakým bezpečnostním protokolem disponuje. Tato informace je pro vás užitečná zejména v případě, že dlouhodobě používáte zastaralý router. 

Co jsou zabezpečení WEP, WPA, WPA2 a WPA3?

Pokud váš router umí pouze WEP (Wired Equivalent Privacy​), je pravděpodobné, že jeho zabezpečení prolomí i méně zdatný hacker nebo dokonce i zkušenější laik. Toto zabezpečení bylo zpochybněno už v roce 2021 a v roce 2005 FBI předvedla, jak se lze s pomocí běžných prostředků do takto chráněné sítě dostat během pár minut.

Mnohem bezpečnější je protokol WPA (Wi-Fi Protected Access​), který na rozdíl od 64bitových a 128bitových klíčů u WEP, disponuje 256bitovými klíči. Navíc kontroluje integritu zprávy, což znamená, že zjišťuje, zda nedochází k modifikaci odesílaných paketů.

V roce 2004 pak přišlo jeho vylepšení v podobě šifrovacího protokolu WPA2, který využívá šifrování AES. Toto zabezpečení dnes najdete ve většině routerů. Ani tento způsob ochrany ale není dnes neporazitelný - k jeho prvnímu prolomení došlo v roce 2018.

Nejnovějším bezpečnostním protokolem je dnes WPA3, který využívá typ šifrování zvaný Perfect Forward Secrecy. Je sice bezpečnější než jeho předchůdce, ale zatím není tak rozšířený, což znamená, že ne každé zařízení jej podporuje. 

Jak zjistit typ zabezpečení na svém routeru

Pokud si chcete ověřit, jak je na tom zabezpečení vaší sítě, klikněte ve Windows na tlačítko Start. Následně zvolte Nastavení a vyberte Síť a Internet. V levém menu vyberete Wi-fi a u sítě, ke které jste aktuálně připojeni, zvolíte Vlastnosti hardwaru.

Pokud u typ zabezpečení vidíte WPA2, můžete být celkem v klidu. Dosud se jedná o nejrozšířenější typ zabezpečení v routerech. Jeho hlavní slabinou je aktivovaná funkce WPS (Wi-Fi Protected Setup), která se používá pro připojení tiskáren a dalších zařízení s pomocí jednoduchého PIN místo složitého hesla. V případě, že aktivně WPS nepoužíváte, je lepší jej vypnout.

Jaké jsou základní kroky k zabezpečení Wi-Fi sítě?

Důkladné zabezpečení Wi-Fi sítě lze shrnout do 5 základních kroků:

  • změna přístupových údajů do administrace routeru,

  • změna názvu sítě (SSID) a nastavení složitého hesla,

  • nastavení zabezpečení a šifrování sítě,

  • ​​vypnutí WPS,

  • nastavení filtrování MAC adres (volitelné).

Než se však k prvnímu z těchto kroků dostanete, budete se muset sami dostat do administrace routeru. Jak na to?

Jak se dostat do nastavení routeru?

Do nastavení routeru se dostanete velmi jednoduše. Na kartě internetového prohlížeče zadáte do adresního řádku přístupovou IP adresu routeru, kterou najdete na štítku nalepeném na routeru. Poté budete vyzváni k tomu, abyste zadali uživatelské jméno a heslo.

Tyto údaje bývají nastaveny už z výroby, najdete je proto také v krabičce routeru nebo přímo na něm. Poté se dostanete do nastavení routeru a můžete ho začít upravovat, čímž přistoupíte k prvnímu kroku zabezpečení vaší bezdrátové sítě.

Foto: Compare Fibre | Zdroj: Unsplash.com

1. Změna přístupových údajů do administrace routeru

Jelikož uživatelské jméno a heslo bývá u routerů nastaveno už z výroby, jedná se o největší slabinu zabezpečení. Tyto údaje jsou často velmi jednoduché (například jméno admin a heslo admin). Pokud byste je nezměnili, kdokoliv by se mohl velmi snadno dostat do nastavení vašeho routeru a tam vám třeba odepřít přístup k Internetu.

Prvním krokem zabezpečení je proto právě změna těchto přístupových údajů. Vytvořte si vlastní uživatelské jméno a silné heslo, které bude pro vás snadno zapamatovatelné a zároveň bude obsahovat ideálně malá i velká písmena a číslice. Vyhněte se osobním údajům a podobným snadno uhodnutelným slovům. Zkuste si heslo vygenerovat třeba s pomocí Random Password Generator od Avastu.

2. Změna názvu sítě a nastavení složitého hesla

V dalším kroku přistupte ke změně názvu vaší bezdrátové sítě (SSID). Je to ten údaj, který označuje vaši síť v seznamu dostupných Wi-Fi sítí. Volte unikátní název a ideálně se opět vyhněte jakýmkoli osobním údajům, jako je například příjmení. SSID může mít maximálně 32 znaků.

Pokud chcete zvýšit bezpečnost vaši Wi-Fi, můžete SSID také skrýt. Síť, kterou není vidět, takřka nelze napadnout. Tuto funkci lze v nastavení routeru pohodlně zapnout, načež se vaše Wi-Fi síť nebude v seznamu dostupných sítí zobrazovat. Nezapomeňte si ale důkladně název skryté sítě zapamatovat. Budete ho potřebovat, pokud se k vaší síti bude chtít připojit někdo další. Dnes už sice existují také nástroje na odhalení skrytých sítí, spoustu případných útočníků skrytá síť ale určitě odradí, protože o ní ani nebudou vědět.

Jak zaheslovat Wi-FI?

Po změně SSID nezapomeňte změnit také přístupové heslo pro připojení k Wi-Fi. Opět musí být dostatečně silné – mělo by obsahovat malá i velká písmena, číslice a další znaky, přičemž pro vás by mělo být snadno zapamatovatelné. Z tohoto důvodu se vyhněte jménům, příjmením a podobným údajům, které lze snadno uhodnout.

Tip

V případě, že byste heslo zapomněli, můžete využít hned několik metod, jak získat a sdílet heslo k Wi-Fi. Nebojte se tedy nastavit složitější heslo.

Nikdy jako heslo k Wi-Fi nepoužívejte stejné heslo, které jste nastavili jako heslo k přístupu do administrace routeru. V určitých časových intervalech pak myslete také na pravidelnou změnu hesla na Wi-Fi.

3. Nastavení zabezpečení a šifrování sítě

Toto je další velmi důležitý bod při zabezpečování vaší Wi-Fi. Šifrování je totiž pro hackery tou největší překážkou. Pokud budete šifrovat opravdu pořádně, je šance na prolomení vaší sítě velmi malá.

Při nastavení šifrování máte typicky na výběr z několika možností – nejčastěji WEP, WPA, WPA2, případně WPA2-PSK. WEP je starý a snadno prolomitelný způsob šifrování, proto není žádoucí ho v síti používat. Novějším způsobem šifrování je WPA, které má ale také své slabiny a v dnešní době již není dostačující.

Ideálně proto v nastavení zabezpečení volte WPA2, nejlépe pak WPA2-PSK. V tomto případě se už můžete spolehnout na to, že se nikdo cizí bez znalosti hesla na vaši síť nepřipojí.

Všimněte si také toho, jaký šifrovací algoritmus vámi zvolený způsob zabezpečení používá. Jsou dvě možnosti – TKIP nebo AES. V nastavení routeru to může vypadat například takto – WPA2-PSK (AES). Tato možnost je v dnešní době ideálním způsobem zabezpečení sítě, protože TKIP je starší a méně bezpečný šifrovací protokol než AES.

4. Vypnutí WPS

V administraci routeru vyhledejte WPS či Wi-Fi Protected Setup. U routerů různých značek se bude umístění této položky lišit. Zpravidla jej najdete pod Bezdrátové připojení. Následně stačí WPS vypnout.

Toto udělejte pouze v případě, že WPS aktivně nevyužíváte např. pro připojení tiskárny k Wi-Fi a že nemáte jinou možnost, jak ji k síti připojit. V opačném případě přijdete o připojení všech zařízení, pro které jste WPS využívali.

5. Nastavení filtrování MAC adres

Abyste zvýšili bezpečnost vaší Wi-Fi sítě, můžete zvážit také nastavení filtrování MAC adres. MAC adresu má každé zařízení, které je schopné se k síti připojit.

Například na počítači MAC adresu zjistíte tak, že do příkazového řádku zadáte příkaz ipconfig /all. Ve Windows si příkazový řádek vyvoláte s pomocí funkce hledat, která je např. ve Windows 10 v podobě lupy na spodní liště. Následně stačí zadat hledat Příkazový řádek a po jeho spuštění zadat text ipconfig /all.

V nastavení routeru pak můžete nastavit specifické MAC adresy, které budou mít k vaší síti přístup. Když se pokusí připojit zařízení s nepovolenou MAC adresou, router připojení nepovolí, i kdyby zařízení znalo heslo k vaší Wi-Fi.

Nevýhodou filtrování MAC adres je pouze to, že pokud si budete chtít do sítě připojit nové zařízení nebo se u vás bude chtít na Internet připojit třeba kamarád, budete muset MAC adresu zařízení, které se chce k síti připojit, zadat do nastavení routeru ručně a tím jí povolit.

Filtrování MAC adres, ale i skrytí SSID sítě, jsou pouze doplňkovými způsoby zabezpečení sítě. Tím hlavním je ale kvalitní šifrování, proto tyto způsoby používejte vždy jen v kombinaci s ním.

Pokud však dodržíte všechny výše zmíněné kroky našeho návodu a budete je používat ve vzájemné kombinaci, bude vaše síť velmi důkladně zabezpečená a vysoce bezpečná. To však neznamená, že máte vyhráno napořád a už se nemusíte o nic starat. Dále nezapomínejte také na pravidelnou aktualizaci firmware routeru.

Jak na aktualizaci firmware routeru?

Dnes spousta lidi ani netuší, že aktualizovat je potřebné také router a jeho firmware. Firmware je totiž software, který zajišťuje funkčnost routeru a čas od času může být dostupná nová verze. Často se tak děje například v případech, kdy je ve firmware nějaká chyba, výrobce jí opraví a následně vydá novou verzi.

Pokud má váš router automatickou aktualizaci, pak se nemusíte o nic starat. Proto si to zkontrolujte a pokud touto funkcí váš router nedisponuje, pravidelně navštěvujte stránky výrobce routeru a kontrolujte, zda není k dispozici nová verze ke stažení.

Router s neaktuálním firmwarem se může snadno infikovat malwarem. Útočníci jsou dnes velmi kreativní a přes napadený router by se mohli dostat až do vašeho počítače a zavirovat ho (jak poznat zavirovaný počítač).

Pravidelná kontrolA zabezpečení

Teď už jste pro zabezpečení vaší Wi-Fi sítě udělali maximum. Nebude ale od věci se čas od času přesvědčit, že je vaše síť stále bezpečná. Dělejte proto pravidelnou kontrolu, zda k síti není připojený někdo cizí.

Údaje o připojených zařízeních lze najít buď v administraci routeru (pokud jde o kvalitnější model), nebo můžete využít některou z aplikací na skenování Wi-Fi sítí. Wi-Fi scannery vám rovnou zobrazí také MAC adresy případných nezvaných hostů, které tak budete moct ihned pomocí zakázání dané MAC adresy od vaší sítě odstřihnout.

Závěr

Důkladné zabezpečení bezdrátové sítě není zas takovým strašákem, jak na první pohled vypadá. Jak jste mohli vidět, lze ho shrnout do 5 základních kroků, které vám zaberou pouze pár minut. To je rozhodně cena, kterou se vyplatí za internetovou bezpečnost zaplatit. Abyste byli v maximálním možném bezpečí, po nastavení routeru už budete mít pouze 2 povinnosti – myslet na pravidelnou aktualizaci firmware routeru a pravidelnou kontrolu zabezpečení.

Kam dál

Jak zazipovat soubor či složku
před 6 dny, 20.2.2024

Jak zazipovat soubor či složku

Pokud jste zvyklí přikládat k e-mailu přílohu, určitě se vám někdy stalo, že příloha překročila limit velikosti. V takovém případě můžete přílohu rozdělit do více e-mailů, nahrát do cloudu, nebo soubor či složku tzv. zazipovat. V tomto článku si ukážeme, jak na to. Číst celý článek

clanek-kategorie-IT Bezpečnost
Zásady ergonomie při sezení u počítače
před 7 dny, 19.2.2024

Zásady ergonomie při sezení u počítače

Sedavé zaměstnání u počítače může být příčinou mnoha zdravotních komplikací. Abychom těmto potížím předešli, je třeba pracoviště přizpůsobit co nejvíce správnému držení těla a současně se naučit neblahý vliv naší práce vhodně kompenzovat.​ Číst celý článek

clanek-kategorie-Kancelář
Jak tisknout na textil
před 14 dny, 12.2.2024

Jak tisknout na textil

Tisk na textil se stal oblíbeným způsobem výroby unikátních kusů oblečení nejen v rámci reklamních předmětů. ​Tento druh tisku přitom není zase tak náročným úkolem, jak se na první pohled může zdát. V menších nákladech si reklamní textil zvládnete vyrobit klidně sami. Číst celý článek

clanek-kategorie-Jen Tisk
Jak vybrat kapesní mini tiskárnu na fotky
před 20 dny, 6.2.2024

Jak vybrat kapesní mini tiskárnu na fotky

Od firemních večírků, přes teambuildingy a vzdělávací akce až po služební cesty kapesní tiskárny poskytují praktické řešení pro každou příležitost, kterou chcete rychle zachytit. Díky propojení s mobilním telefonem umožňují snadný a rychlý tisk. Číst celý článek

clanek-kategorie-Tiskárny
Co je to phishing a jak jej poznat
před 24 dny, 2.2.2024

Co je to phishing a jak jej poznat

Rostoucí hrozbě phishingu je sice v posledních letech věnována zvýšená pozornost, ale mnoho lidí stále neví, jak jednotlivé podvodné taktiky spolehlivě rozpoznat a jak se proti nim bránit. Klíčovou ochranou je přitom prevence a informovanost. Číst celý článek

clanek-kategorie-IT Bezpečnost
Jak vybrat SSD či HDD disk do notebooku
před 26 dny, 31.1.2024

Jak vybrat SSD či HDD disk do notebooku

Ačkoliv dnes ukládáme nezanedbatelnou část svých dat do cloudu, dostatečně velký disk je stále nutností.​ Právě od rychlosti a velikosti počítačového uložiště se totiž odvíjí, jak svižná a pohodlná bude běžná i náročnější práce na notebooku. Číst celý článek

clanek-kategorie-Hardware