Jak zabezpečit WiFi síť

Zabezpečit si bezdrátovou síť je první a základní krok, který by měl neodkladně učinit každý uživatel internetu provozující domácí WiFi.

Zabezpečení bezdrátové sítě je první a základní krok, který by měl neodkladně učinit každý uživatel internetu provozující domácí WiFi. Domácí bezdrátové sítě jsou dnes už velice rozšířené, jak se lze přesvědčit i na menším sídlišti, kdy stačí chvilka, aby se člověk snadno a jednoduše připojil na něčí linku.

Poznámka: Abyste mohli nastavit vlastnosti své bezdrátové sítě, potřebujete IP adresu WiFi vysílače (WiFi routeru, AP). Tu najdete v manuálu. Do nastavení zařízení se dostanete tak, že IP adresu WiFi routeru (např. 192.168.2.1) zadáte do adresního řádku ve webovém prohlížeči (Internet Explorer, Firefox, Opera, Chrome, ...).

Problém je, že jakmile se k vám někdo tajně připojí, nejen že vám může svým chování na internetu způsobit problémy (či dokonce přes vaši IP adresu porušovat zákon), ale do rukou se mu mohou dostat i vaše dokumenty. Přitom předejít problémům se dá velice snadno, stačí chvilku věnovat zabezpečení WiFi.

Když si uživatel domů přinese WiFi router nebo přístupový bod (Access Point), musí mít na paměti, že takové zařízení je nezabezpečené a obsahuje výchozí název bezdrátové sítě (často podle značky routeru, např. Linksys). Už jen tyto dva faktory stačí k tomu, aby taková síť byla rychle napadena nezvaným hostem.

Každý router v závislosti na značce totiž obsahuje určitá společná hesla pro přístup k administrátorskému rozhraní: když se někdo cizí na vaši síť připojí, okamžitě ví IP adresu vašeho WiFi zařízení a na základě jeho názvu použije obecné heslo -- a může vám pak změnit cokoliv v nastavení WiFi zařízení (třeba odepřít přístup na internet).

Takže až prvně WiFi router zapnete, pamatujte na následující body.

• Změňte název sítě (SSID) nebo síť skryjte.
• Změňte heslo pro administraci WiFi routeru/AP.
• Filtrujte MAC adresy (není nezbytné).
• Zašifrujte síť (nezbytné a nejúčinnější).

Vlastní SSID, skryté SSID

Zkratka SSID je označením pro název sítě. Můžete si ji pojmenovat jako "Byt”, "Domacnost", "WiFi doma" nebo jakkoliv jinak. Ačkoli taková ochrana nefunguje vždy, svou síť můžete před zraky WiFi přijímačů sousedů a kolemjdoucích skrýt. Když ji skryjete, nikdo ji v seznamu dostupných WiFi sítí již neuvidí.

Následující obrázek ukazuje administrátorské rozhraní WiFi routerů značky SMC. Pod názvem SSID je políčko "Broadcast Wireless Network Name" -- pokud nastavíme "DISABLE", jméno sítě nebude v okolí viditelné.

Pamatujte však, že abyste se k takto schované síti připojili vy, budete do počítače muset zadat její přesné jméno. SSID volte tedy pro vás v co nejlépe zapamatovatelném tvaru.

Jak ale bylo řečeno, takové zabezpečení není příliš šťastné. Pokud někdo bude chtít vaši síť cíleně vypátrat, podaří se mu to. Proto ji použijte třeba v kombinaci s jinými formami zabezpečení.

Filtrování MAC adres

Dalším krokem v zabezpečení sítě je tzv. filtrování MAC adres -- jde o unikátní číslo síťové karty (nebo jiného síťového zařízení). Na WiFi routeru můžete nastavit, aby síť byla přístupná jen vašemu laptopu nebo dalším počítačům ve vaší domácnosti se specifickou adresou. Když se někdo zvenčí bude chtít na vaši WiFi připojit, router mu to nedovolí (MAC adresa jeho síťové karty v počítače je jiná).

Obrázek níže ukazuje filtrování MAC adres ve zmíněném WiFi routeru SMC. Filtr lze nastavit dvěma způsoby: 1) povolení připojení jen určitým zařízením s danými MAC adresami, 2) určité MAC adresy zakázat.

MAC adresu zjistíte tak, že ve Windows klepnete na tlačítko Start → Spustit, napíšete cmd a poté do příkazového řádku zadáte příkaz ipconfig /all. MAC adresa vaší síťové karty je tvořena unikátním řetězcem 12 znaků. (MAC adresa pod Linuxem se zjistí příkazem (zadaným s právy superuživatele) ifconfig.

Nevýhodou tohoto řešení je, že pokud k vám přijde návštěva a bude chtít brouzdat na internetu se svým notebookem, budete muset novou MAC adresu přidat na seznam povolených zařízení.

Toto řešení se nedoporučuje tehdy, má-li to být jediné zabezpečení, opět totiž není těžké ho obejít. Proto filtrování MAC adres nebo skrývání SSID používejte v kombinací se šifrováním.

Šifrování sítě

Nejspolehlivějším zabezpečením WiFi sítě před nezvanými hosty je šifrování. Když budete svou síť šifrovat (pořádně šifrovat), pravděpodobnost, že by vám někdo mohl "načerno odebírat internet" nebo se přehrabovat ve vašich dokumentech dostupných ve vnitřní síti, je mizivá.

Důrazně nedoporučujeme na routeru nastavovat šifrováni WEP, které je sice podporováno i těmi nejstaršími WiFi kartami a zařízeními, ovšem je nespolehlivé. V jeho šifrovacím mechanismu je totiž závažná díra, jež útočníkovi, který se k vám bude chtít dostat, umožní zabezpečení prolomit během chvíle.

V nastavení routeru proto raději zvolte šifrování WPA a ještě lépe WPA2. V praxi pak šifrování vypadá tak, že na routeru nastavíte heslo, síť se zašifruje, a když se k síti bude chtít přihlásit, budete vyzváni k zadání hesla (operační systém si heslo uloží, abyste ho nemuseli zadávat při každém dalším připojení). Když si síť zašifrujete pomocí WPA2, pak se k vám opravdu nikdo cizí bez znalosti hesla nepřipojí.

Pamatujte, že heslo by mělo být co možná nejdelší (delší než 8 znaků) a složené z písmen (alespoň jedno velké), číslic a speciálního znaku. Není to sice nezbytné, ale čím silnější číslo použijete, tím je pravděpodobnost prolomení zabezpečení nižší.