průvodce digitální domácností / přináší DigiZone.cz

Bezpečné WiFi není žádná věda, přesvědčte se

Stále více domácností provozuje vlastní WiFi síť, ale řada z nich není řádně zabezpečena. Připravili jsme proto několik tipů, jak ji dobře ochránit.

Průzkumy ukazují, že zabezpečení bezdrátových WiFi sítí je stále často zanedbáváno. Jako by jejich provozovatelé a uživatelé zapomínali, že k nezabezpečené WiFi síti se může připojit kdokoliv, kdo se pohybuje v jejím dosahu. Signál sítě přitom mnohdy přesahuje do okolních bytů či domů anebo na veřejné prostranství.

Riziko neoprávněného přístupu k síti je větší, než si lidé mnohdy uvědomují. V lokální síti jsou často sdíleny data a prostředky, ke kterým by neměl mít přístup nikdo nepovolaný. Narušitel v nechráněné síti má možnost snadno získat přístup ke sdíleným souborům (např. rodinným fotkám či domácímu videu), které může ze zvědavosti procházet nebo je ze zlomyslnosti smazat.

Vážnou hrozbou je také přístup ke sdílenému internetovému připojení. Narušitel si například může usurpovat kapacitu internetové přípojky, kterou by třeba zrovna potřeboval oprávněný uživatel, který si za internetové připojení řádně platí. To je ovšem ještě ten nejmenší problém, který neoprávněný přístup ke sdílení internetové přípojce může způsobit.

Velké nepříjemnosti mohou nastat, pokud narušitel zneužije internetového připojení při páchání trestné činnosti od nelegálního šíření autorským zákonem chráněného díla po vyhledávání, stahování či distribuci dětské pornografie. V případě policejního vyšetřování digitální stopy končí u internetové přípojky a zákazníka, který má smlouvu s poskytovatelem připojení.

Toho v nastíněném případě čeká přinejmenším nepříjemné vysvětlování na policii. Utrpět také může pověst, kdy jen náznak možného zapletení do dětské pornografie může mít nedozírné následky v mezilidských vztazích. I u nás již bylo zdokumentováno, že pro trestnou činnost jsou vyhledávány sdílené přípojky v nezabezpečených bezdrátových sítích.

Základem je spolehlivé šifrování a silné heslo

Základem zabezpečení WiFi sítě je šifrování bezdrátového spojení, které zamezí, aby se k síti mohl připojit kdokoliv, kdo je v jejím dosahu. Ovšem není šifrování jako šifrování. Například technologie WEP je k ochraně bezdrátové sítě již zcela nevyhovující. Sice je stále síťovými zařízeními běžně podporovaná, ale její překonání je relativně snadné.

Doporučit lze novější technologii WPA nebo ještě lépe WPA 2. Právě WPA 2 by při šifrování bezdrátového spojení mělo být volbou číslo jedna. 

Dále je třeba zvolit samotnou šifru. Na výběr je mezi TKIP a AES. Optimální kombinace pro šifrování bezdrátového spojení je WPA 2 + AES. Problémem však někdy může být kompatibilita.


Autor: Jiří Macich ml.

Kombinace WPA 2 a AES je nejvhodnějším postupem pro zašifrování bezdrátového přenosu dat, ale někdy mohou nastat problémy s kompatibilitou.

Některá starší koncová zařízení (třeba přenosné počítače) nemusí takovou úroveň zabezpečení podporovat, takže se do chráněné WiFi sítě nedovedou řádně připojit. Občas tak nezbývá, než ze zabezpečení slevit minimálně do doby, než starší zařízení nahradí novější. 

Kvůli kompatibilitě je možné bez vážnějších obav přistoupit ke kompromisu.

Kombinace WPA 2 + TKIP nebo WPA + AES lze stále považovat za bezpečné. Naproti tomu WPA + TKIP již činí bezdrátovou síť reálně zranitelnou. V nouzi je však kombinace WPA + TKIP pořád lepší než dnes už primitivní WEP. 

Radíme však nejdříve nasadit optimální kombinaci (WPA 2 + AES) a teprve v případě problémů zkoušet další varianty.

Neméně důležité je nastavení autentizace. Nejdříve je nutné vybrat si vhodnou autentizační metodu. Současný síťový hardware obvykle dává na výběr mezi WPA Personal či WPA Enterprise. 

Pro bezdrátové sítě v domácnosti či menší firmě je zcela dostačující první volba. 

U ní je nutné při přístupu do sítě ručně zadat síťové heslo nazývané též síťovým klíčem.


Autor: Jiří Macich ml.

WPA Personal přináší adekvátní autentizační metodu pro domácnosti – pro přístup k síti je třeba zadat heslo neboli klíč.

WPA Personal se někdy označuje také jako WPA-PSK nebo WPA2-PSK, jelikož používá tzv. pre-shared key (PSK), což lze volně přeložit jako předem sdílený klíč. Je to krkolomný popis skutečnosti, že každý uživatel pro úspěšný přístup k síti musí dopředu znát heslo (klíč). Oprávněným uživatelům jej tedy musí sdělit správce sítě (resp. osoba nastavující zabezpečení).

Volbu hesla (klíče) není radno podceňovat. Pokud ho lze snadno uhodnout, tak šifrování z velké části ztrácí smysl. 

Heslo by proto měla tvořit zcela náhodná změť malých a velkých písmen v kombinaci číslicemi. Požadováno je minimálně osm znaků, ale obecně platí, že čím delší heslo je, tím složitější je jeho eventuální překonání tzv. hrubou silou (stylem pokus – omyl).

WPS: pohodlí na úkor bezpečnosti?

Bezpečnostní poučky sice velí zvolit dlouhé a složité heslo, ovšem to se špatně pamatuje a není příliš praktické při připojování nového zařízení do sítě. Jsou jistě příjemnější úkony, než je zadávání dlouhé změti znaků na nepříliš přesné virtuální klávesnici na malém dotykovém displeji mobilního telefonu. Proto vznikla technologie WiFi Protected Setup – WPS.

Nabízí různé alternativní metody autentizace, díky nimž se lze k síti připojit pohodlněji než zadáváním složitého hesla. Nejčastěji k tomu slouží dvojice tlačítek. Jedno se stiskne na síťovém routeru, druhé na připojovaném zařízení, kde nemusí mít nutně hardwarovou podobu. Může se jednat o softwarové tlačítko zobrazené na displeji.

Každopádně po postupném stisknutí obou tlačítek se koncové zařízení ihned připojí k síti. 

Druhou velmi často používanou autentizační metodou je PIN uvedený např. na štítku na routeru, který stačí opsat v připojovaném mobilním zařízení. PIN je obvykle kratší a jednoduší než silní heslo (klíč), takže rovněž jde o formu jednodušší autentizace a doporučujeme ji vypnout.

Existují i další možnosti, ale tyto dvě jsou podporovány zdaleka nejčastěji. Každopádně technologie WiFi Protected Setup kalkuluje s tím, že se síťový router, na kterém je tlačítko WPS či uvedený PIN, nachází v kontrolovaném prostoru. To znamená například uvnitř bytu či kanceláře, kde by k němu měly mít přístup jen osoby oprávněné k přístupu do bezdrátové sítě.


Autor: Jiří Macich ml.

WiFi Protected Setup obvykle pro snazší připojení zařízení k zabezpečené síti používá tlačítko WPS a PIN. Doporučujeme vypnout podporu přihlašování přes PIN.

Pokud tomu tak není, je nezbytné podporu technologie WiFi Protected Setup vypnout. Obecně doporučujeme vypnout podporu přihlašování přes PIN. Ten je totiž možné zadávat při přesahu signálu WiFi sítě i mimo kontrolovaný prostor. Již byly zdokumentovány případy jeho relativně snadného překonání tzv. hrubou silou (stylem pokus – omyl).

Síť jen pro „vyvolená“ zařízení

Kdo chce dosáhnout ještě vyšší úrovně ochrany, může nastavit filtr, který do sítě nevpustí jiná než předem zvolená zařízení. Pak je nutné vytvořit seznam zařízení, která mají povolený přístup k síti (tzv. whitelist). 

Těm, která se na něm nenachází, je přístup k síti automaticky znemožněn i přes zadání správného hesla (klíče).

Zařízení jsou rozpoznávána díky jedinečnému identifikátoru, jímž je tzv. MAC adresa (též fyzická či hardwarová adresa). Do „whitelistu“ je třeba vložit adresy všech zařízení, která mají mít přístup k síti. Identifikátor ve skutečnosti nepatří celému zařízení, ale jen síťovému adaptéru. Pakliže jich má zařízení více, má zároveň i více různých adres.


Autor: Jiří Macich ml.

Druhým stupněm ochrany sítě po šifrování může být seznam zařízení oprávněných k přístupu do sítě. Zařízení umožňuje rozpoznat jejich MAC adresa.

MAC adresa je uvedena v informacích o každém síťovém adaptéru. Obvykle však již nebývá nutné její manuální zjištění a zadání. Často stačí jen z konkrétního zařízení otevřít webové administrační rozhraní síťového routeru, jež samo zjistí jeho MAC adresu, kterou pak lze vložit na seznam povolených zařízení jediným kliknutím.

Moderní trend: samostatná síť pro návštěvy

Moderní síťový hardware umožňuje vytvořit separátní bezdrátovou síť pro hosty. Tato funkce nemá dosud ustálený název, takže třeba společnost D-Link ji ve svých zařízeních označuje jako Guest Zone, zatímco například konkurenční Asus používá název Guest Network. Základní funkce se ale neliší. K čemu je tedy síť pro hosty dobrá?

Hodí se v situacích, kdy návštěva požádá, jestli by se prostřednictvím svého mobilu, tabletu či počítače nemohla připojit k internetu přes bezdrátovou síť hostitele třeba kvůli rychlému zkontrolování elektronické pošty. Síť pro hosty umožňuje této žádosti bez obav vyhovět. Slouží totiž jen pro sdílení internetového připojení. Funguje odděleně od hlavní sítě.


Autor: Jiří Macich ml.

Síť pro hosty má obvykle i vlastní nastavení zabezpečení, které může být volnější, protože síť pro hosty je oddělena od hlavní sítě.

Díky tomu není síť přístup k síti pro hosty tak choulostivý, protože neumožňuje třeba přístup k položkám, které jsou volně sdíleny v rámci hlavní sítě. 

Síť pro hosty může mít vlastní nastavení zabezpečení, takže pro rychlé přihlášení lze zvolit jednodušší heslo anebo ponechat aktivní přihlášení přes PIN díky technologii WiFi Protected Setup.

Nepodceňujte ani další možnosti předcházení problémům

Existují další dílčí postupy, které pomáhají zvýšit bezpečnost bezdrátové sítě. Prvním z nich je omezení přesahu sítě mimo kontrolované prostory, tedy například k sousedům či na veřejné prostranství. Nabízí se třeba snížení vysílacího výkonu nebo jen prosté přemístění síťového routeru zhruba doprostřed pokrývaných prostor.

Nejenže pak všesměrová anténa lépe pokrývá kýžený prostor, ale třeba oproti umístění routeru v okrajové místnosti bytu nemíří podstatná část signálu přes zeď za jeho hranice. Není radno zapomínat, že přesah sítě mohou generovat také různá doplňková zařízení pro rozšíření signálu, jako jsou tzv. extendery a opakovače.

Další poučka velí nepoužívat takový název sítě (SSID), který by mohl vést k identifikaci jejího provozovatele. Poučka platí hlavně pro městské aglomerace. Tam se lze se svou sítí, která má nějaký nic neříkající název, skrýt v záplavě jiných veřejných i soukromých sítí, takže adresný útok na konkrétní síť je složitější.

Naopak na předměstí či venkově tento postup nepřináší ovoce. Při menším počtu sítí v různých rodinných domech lze podle síly zachyceného signálu zjistit, odkud přesahuje. 

V tomto případě pomůže spíše skrytí sítě, resp. nevysílání jejího názvu (SSID). Síť se pak běžně neobjevuje v seznamu těch dostupných na koncových zařízeních. 

TVCON17


Autor: Jiří Macich ml.

Dle názvu sítě (SSID) by rozhodně neměl být identifikovatelný jeji provozovatel. Síť lze volitelně také skrýt.

Skrytí sítě ovšem nefunguje vždy, takže rozhodně nejde o náhradu jiných zabezpečovacích postupů. Jde výhradně o jejich možné doplnění. Samozřejmě, že lze zkombinovat volbu anonymního názvu sítě s jeho nevysíláním. Na fungování sítě to nemá žádný negativní vliv až na to, že při připojování nového zařízení je nutné název sítě ručně zadat stejně jako heslo (klíč).

Výše popsané kroky jsou pro konvenční zabezpečení bezdrátové sítě pro domácnosti anebo malé firmy více než dostačují. Obecně vzato důležité je především šifrování. To zabrání přístupu tradičních nezvaných hostů, jako jsou kolemjdoucí hledající bezplatné připojení k internetu. Vše ostatní je už volitelná nadstavba, ovšem vyšší obezřetnost nikdy nezaškodí.

Stručně a jasně

  1. Základem zabezpečení vaší bezdrátové sítě je spolehlivé šifrování a silné heslo – používejte WPA 2.
  2. Optimální kombinací pro šifrování bezdrátového spojení je WPA 2 + AES, ale kvůli kompatibilitě se zařízeními je možné přistoupit ke kompromisu typu: WPA 2 + TKIP (vždy zkoušejte jako druhé!), nebo WPA + AES (WPA + TKIP jen v případě nouze!).
  3. Volbu hesla (klíče) není radno podceňovat, protože pokud jde snadno uhodnout, šifrování z velké části ztrácí smysl. Pro bezdrátové sítě v domácnosti či menší firmě je zcela dostačující WPA Personal.
  4. Heslo by měla tvořit zcela náhodná změť malých a velkých písmen v kombinaci číslicemi. Požadováno je minimálně osm znaků, ale čím delší, tím lepší.
  5. WPS nabízí pohodlnější způsob připojování nového zařízení. Po postupném stisknutí obou tlačítek (na routeru a koncovém zařízení) jste připojeni k síti (doporučujeme vypnout podporu přihlašování přes PIN).
  6. Pokud chcete dosáhnout velmi vysoké úrovně ochrany, můžete nastavit filtr, který do vaší bezdrátové sítě nevpustí jiná než předem zvolená zařízení (založen je na unikátních tzv. MAC adresách).
  7. Moderní trend představuje samostatná síť pro návštěvy sloužící pouze pro sdílení internetového připojení a fungující odděleně od hlavní sítě.
  8. Zkuste i něco jiného! Ve městech nepoužívejte název sítě (SSID), který by mohl vést k snadné identifikaci jejího provozovatele. Naopak na předměstí či venkově zkuste spíše skrytí sítě, resp. nevysílání jejího názvu (SSID).
Jirka Macich

Jiří Macich ml.

Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. S redakcí DigiZone.cz spolupracuje řadu let. Píše o technologických tématech a nyní také moderuje zdejší diskuse a fórum.

2 názory Vstoupit do diskuse
poslední názor přidán 18. 3. 2014 12:57