Wi-Fi: zabezpečujeme domácí bezdrátovou síť
2. díl

wi-fi-secure
V tomto díle si povíme, jak zabezpečit domácí Wi-Fi síť během několika málo minut.

Přehled následujících bezpečnostních opatření není vyčerpávající, a nemusíte je ani všechny realizovat. Dokonce se domníváme, že k dostatečnému zabezpečení vaší domácí Wi-Fi sítě postačí, když provedete první tři.

1.   Změňte defaultní jméno a heslo do administračního rozhraní

Defaultní hesla jsou uvedena v manuálu, jsou pro všechna zařízení od daného výrobce většinou stejná, dají se najít na internetu a jsou veřejně známá, a proto je útočník vyzkouší jako první. Ponechávat jako výchozí jméno/heslo dvojici admin/admin není opravdu dobrý nápad.

2.   Aktivujte WPA2/PSK a použijte silný klíč

Protokol WPA2/PSK je poměrně bezpečný, ale musíte zadat i komplexní heslo, protože jinak by se útočník mohl pokusit heslo prolomit hrubou silou pomocí nějakého nástroje.

3.   Nepoužívejte WPS

Wi-Fi protected setup, zkr. WPS je služba, kterou podporují některé Wi-Fi routery a koncová zařízení, která slouží ke snadnému a bezpečnému připojení do Wi-Fi sítě zadáním 8místného PINu přiděleného routeru, který je napsán na jeho spodní straně. Bohužel jsou k dispozici nástroje, které umí tento PIN snadno prolomit a tak se dostat i k WPA2 heslu. Řešením je tuto službu zakázat anebo nahrát alternativní firmware bez této funkce.

4.   Přestaňte vysílat jméno své sítě

Pokud nebudete jméno své sítě pravidelně vysílat do prostoru, nebudete se do vaší sítě někdo snažit připojovat nebo uhádnout heslo, jen proto, že ji vidí v seznamu dostupných Wi-Fi sítí. Vy se ke své síti snadno připojíte, protože její jméno znáte a navíc ve Windows můžete využít vlastnosti „Připojit i pokud síť nevysílá“. Pravda je, že většina hackovacích nástrojů útočníkovi SSID ukáže i tak. Smysl potlačení SSID spočívá hlavně a pouze v tom, že se snižuje pravděpodobnost detekce sítě různými metodami „war-drivers“ a některými nástroji (např. Netstubmler).

5.   Přejmenujte svou síť

Změňte přednastavené jméno sítě, tzv. SSID, které je pro všechna zařízení daného výrobce většinou stejné, lze ho dohledat v manuálu a na internetu a pokud útočník narazí na síť, která nese toto výchozí jméno, zaútočí na ní, protože ho hned napadne, že taková síť nebude nejspíš vůbec zabezpečena.

6.   Zapněte filtrování MAC adres

Tím umožníte připojení do vaší Wi-Fi sítě jen těm zařízením, která mají MAC adresu, která je uvedena v seznamu povolených adres. Toto opatření není moc účinné, protože MAC adresa si útočník může na svém zařízení snadno změnit a tak se vydávat za někoho jiného. Smyslem této ochrany je opět zejména to (podobně jako u potlačování SSID výš), že útočníkovi patrně nebude stát za to trápit se s falšováním své MAC adresy, a že se zaměří na jiný, snadnější cíl.

7.   Nepoužívejte DHCP

Přidělujte statické IP adresy. Toto opatření je prakticky k ničemu, protože pokud se útočník dostane do sítě, tak si může IP adresu nastavit sám.

8.   Wireless Client Isolation

Zabraňujeme jednomu klientovi komunikovat s ostatními klienty v síti. Měli byste aktivovat pouze, pokud je komunikace v rámci vaší WLAN nežádoucí.

Závěr: Všechna výše uvedená opatření lze snadno realizovat na většině domácí routerů a neměli byste mít s jejich nastavením žádný problém. Zároveň je pravda, že některá z nich jsou založena security-through-obscurity přístupu a skutečného útočníka neodradí, jen ho nepatrně zpomalí.

Která opatření považujete pro zabezpečení domácí Wi-Fi sítě za nezbytná?

Zobrazit výsledky

Nahrávání ... Nahrávání ...
Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Wi-Fi: zabezpečujeme domácí bezdrátovou síť – 2. díl. Online. Clever and Smart. 2012. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/wi-fi-zabezpecujeme-domaci-bezdratovou-sit-2-dil/. [cit. 2025-02-10].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. jirka

    Ještě bych doplnil, zakažte UPnP a zakažte vzdálenou správu přes WAN port a pokud musí být, dejte si tam jen jedu IP, ze které se připojujete…. Dále v LAN doporučuji krom vypnutýho DHPC změnit i řadu sítě ( 192.168.44.20-50 třeba ) :)


K článku “Wi-Fi: zabezpečujeme domácí bezdrátovou síť
2. díl” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: