Jak zabezpečit domácí WiFi síť

WiFi sítě jsou stále oblíbenější a nezřídka se do nastavování pouští i úplní začátečnící, kteří o počítačích moc neví a o WiFi už vůbec ne. Zabezpečení WiFi sítě přitom není nijak složité, stačí jen chtít. Zabezpečení zabere míň času než napsat email na Seznamu a určitě se to oplatí. Důvodů proč si nastavit šifrování na domácím WiFi je hned několik:

1. Krádež internetové konektivity – do vaší domu nebo ulice se přistěhují noví lidé. Ještě ani nemají pořádně vybavený sůj byt a už se shanějí po internetu. První co udělají tak vytáhnou notebook a začnou hledat nějaky Free hotspot (přístupový WiFi bod s internetem zdarma). Žádný nenajdou a tak se začkou připojovat na ostatní sítě které chytnou. A ejhle, síť s SSID „franta“ nemá žádné zabezpečení, zkusím to. Připojí se a ještě dostane IP adresu, bránu a DNS přidělený z DHPC serveru, jak snadné.
2. Odposlouhávání WiFi sítě – pokud někdo zatouží po vašem hesle pro přístup na FTP nebo na email, není nic jednoduššího než si stáhnout program na sledování WiFi sítí a data si ze vzduchu „odchytnout“. Potom si jen v „odchycených“ datech vyhledá potřebné informace a přístup na vás WebServer má plně pod kountrolou.
3. Krádeže dat z vašeho počítače – pevné počítače máte propojené kabelem a v klidu si sdílíte soukromé i pracovní dokumenty na drátové síti. Po připojení na WiFi router si útočník nebo jen zvědavý soused může soubory vklidu přetáhnout k sobe a vklidu si je prohlížet. Opravdu o to stojíte?

Tak hurá do zabezpečení

Změna hesla pro přístup do správy WiFi routeru

V domácnostech slouží jako přistupový bod nejčastěji obyčejný WiFi router. Ten se nastavuje pomocí webové správy. Webová správa je chráněna pomocí přihlašovací obrazovky na které musíte vypnit uživatelské jméno a heslo. Po úspěšném zadaní údajů je vám zpřístupněno veškeré nastavení WiFi routeru. Pokud se k této stránce útočník dostane, není pro něho žádný problém si na internetu zjístit, jaké uživatelské jméno a heslo je ve WiFi routeru zadané výrobcem (tyto údaje jsou ve všech vyrobených kusech stejné). Nejčastěji bývá uživatelské jméno admin a heslo admin, 1234 nebo bývá úplně bez hesla. Změňte si tedy heslo a pokud to WiFi router umožňuje, tak i uživatelské jméno. Heslo by se v tomto případě mělo skládat alespoň z písmen a číslic. V žádném případě nepoužívejte v heslo slovo, které je možné najít ve slovníku. Slovníky jsou nejčastěji používány k prolomení hesla. Uživatelské jméno změňte z admin např. na  router, pristup nebo něco podobného, čím složitější, tím lépe zabezpečené, ale zase to nepřehánějte. Heslo by jste měli být schopni při dalším nastavovaní alespoň opsat z papíru! Heslo zmeňte z 1234 např. na su1tej9hes (super 1 tajný 9 heslo). Můžete taky využít generátoru hesel.

Zabezpečení přenášených dat pomocí šifrování WEP / WPA / WPA2

Ze všeho nejdůležitější je šifrování dat. Pro přirovnání: Je to jako by jste si na auto dali nalepku “ pozor alarm“, uvnitř by blikala červená letka a auto by bylo odemknuté. Šifrování je jako zamknout auto a ostatní nastavení jsou jen ty „nálepky“. Ve WiFi routerech máte na výběr z několika druhů šifrování. WEP je starší a dnes již zřítka kdy používané šifrování. Důvodem je nižká úroveň zabezpečení. Pokud se bude útočník trochu snažit, tuto šifru vám za pomocí nastrojů dostupných na internetu snadno prolomí a získá tak přístup do sítě. Proto je mnohem lepší použít šifrování WPA či WPA2. K prolomení šifrování WPA a WPA2 klíčů vám nepomuže ani žádný program z internetu.

Další dopňkové zabezopečení

Pokud se vám předchozí zabezpečení zdá nedostatečné a chcete něco víc, mužete využít dalších tipů na zvýšení zabezpečení WiFi sítě. Ty už však budou na úkor vašeho pohodlí a zvýšení bezpečnosti bude jen minimální. Je tedy na vás, jestli si chcete domácí WiFi síť zabezpečit na 100% nebo vám stačí „jen“ 99%.

Skrytí SSID vysílacího AP

Někdy pojmenované také jako „Disable SSID Broadcast“. SSID je název sítě, který se zobrazí při hledání dostupných WiFi sítí. Tento název je však možné skrýt. Tato funkce se jmenuje Hide SSID. Můžete se setkat taky s pojmenováním „Disable SSID Broadcast“. Po jejim aktivování se při zobrazovení dostupných WiFi sítí zobrazí jen síť bez názvu, nebo se v seznamu dostupných sítí neukáže vubec. Název sítě (SSID) si tedy budete muset pamatovat a přo připojení ho musíte zadávat ručně.

Na obrázku je sít s názvem wifidoma se skrytým SSID (druhý řádek bez názvu) a druhá síť wifidoma2 se zobrazeným SSID. Ke skenování jsem použit program NetStumbler.

Omezení přístupu pomocí filtrace MAC adres – MAC filter

Každé síťové zařízení ma svoji unikátní MAC adresu. Ta je v zařízení nastavena už při výrobě zařízení. Můžeme tedy aktivovat funkci MAC filter a definovat pouze MAC adresy zařízení, které mají mít do sítě přístup. MAC adresa lze poměrně snadno změnit. Jakmile útočník zjístít MAC adresu vašeho PC, může si ji nastavit do svého počítače a přihlásít se. To se mu však povede až po prolomení šífrovacího klíče.
MAC adresu zjistíte tak, že ve Windows do Spustit zadáte cmd, dáte enter a poté napíšete ipconfig /all. Pokud máte v PC více síťových karet, budete tam mít i více MAC adres. Do MAC filtru musíte zadat MAC adresu síťové karty, přes kterou jste připojení.

Výpis informací o síťových kartách v počítači s operačním systémem Windows XP.

Vypnout DHCP a přidělit statické IP adresy

DHCP je síťová služba, která automaticky počítačům přiděluje IP adresy. Ve WiFi routeru nastavíte DHCP server a na PC si v nastavení síťového připojení nastavíte Získat IP adresu ze serveru DHCP automaticky a Získat adresu server DNS automaticky. Služba DHCP tedy přiděluje IP adresu automaticky, což může útočníkovy jedině pomoci pro připojení na internet. DHCP mu přidělí IP a bránu do internetu a má to zase o něco snažší.