Wi-Fi: zabezpečujeme domácí bezdrátovou síť
2. díl
V tomto díle si povíme, jak zabezpečit domácí Wi-Fi síť během několika málo minut.
Přehled následujících bezpečnostních opatření není vyčerpávající, a nemusíte je ani všechny realizovat. Dokonce se domníváme, že k dostatečnému zabezpečení vaší domácí Wi-Fi sítě postačí, když provedete první tři.
1. Změňte defaultní jméno a heslo do administračního rozhraní
Defaultní hesla jsou uvedena v manuálu, jsou pro všechna zařízení od daného výrobce většinou stejná, dají se najít na internetu a jsou veřejně známá, a proto je útočník vyzkouší jako první. Ponechávat jako výchozí jméno/heslo dvojici admin/admin není opravdu dobrý nápad.
2. Aktivujte WPA2/PSK a použijte silný klíč
Protokol WPA2/PSK je poměrně bezpečný, ale musíte zadat i komplexní heslo, protože jinak by se útočník mohl pokusit heslo prolomit hrubou silou pomocí nějakého nástroje.
3. Nepoužívejte WPS
Wi-Fi protected setup, zkr. WPS je služba, kterou podporují některé Wi-Fi routery a koncová zařízení, která slouží ke snadnému a bezpečnému připojení do Wi-Fi sítě zadáním 8místného PINu přiděleného routeru, který je napsán na jeho spodní straně. Bohužel jsou k dispozici nástroje, které umí tento PIN snadno prolomit a tak se dostat i k WPA2 heslu. Řešením je tuto službu zakázat anebo nahrát alternativní firmware bez této funkce.
4. Přestaňte vysílat jméno své sítě
Pokud nebudete jméno své sítě pravidelně vysílat do prostoru, nebudete se do vaší sítě někdo snažit připojovat nebo uhádnout heslo, jen proto, že ji vidí v seznamu dostupných Wi-Fi sítí. Vy se ke své síti snadno připojíte, protože její jméno znáte a navíc ve Windows můžete využít vlastnosti „Připojit i pokud síť nevysílá“. Pravda je, že většina hackovacích nástrojů útočníkovi SSID ukáže i tak. Smysl potlačení SSID spočívá hlavně a pouze v tom, že se snižuje pravděpodobnost detekce sítě různými metodami „war-drivers“ a některými nástroji (např. Netstubmler).
5. Přejmenujte svou síť
Změňte přednastavené jméno sítě, tzv. SSID, které je pro všechna zařízení daného výrobce většinou stejné, lze ho dohledat v manuálu a na internetu a pokud útočník narazí na síť, která nese toto výchozí jméno, zaútočí na ní, protože ho hned napadne, že taková síť nebude nejspíš vůbec zabezpečena.
6. Zapněte filtrování MAC adres
Tím umožníte připojení do vaší Wi-Fi sítě jen těm zařízením, která mají MAC adresu, která je uvedena v seznamu povolených adres. Toto opatření není moc účinné, protože MAC adresa si útočník může na svém zařízení snadno změnit a tak se vydávat za někoho jiného. Smyslem této ochrany je opět zejména to (podobně jako u potlačování SSID výš), že útočníkovi patrně nebude stát za to trápit se s falšováním své MAC adresy, a že se zaměří na jiný, snadnější cíl.
7. Nepoužívejte DHCP
Přidělujte statické IP adresy. Toto opatření je prakticky k ničemu, protože pokud se útočník dostane do sítě, tak si může IP adresu nastavit sám.
8. Wireless Client Isolation
Zabraňujeme jednomu klientovi komunikovat s ostatními klienty v síti. Měli byste aktivovat pouze, pokud je komunikace v rámci vaší WLAN nežádoucí.
Závěr: Všechna výše uvedená opatření lze snadno realizovat na většině domácí routerů a neměli byste mít s jejich nastavením žádný problém. Zároveň je pravda, že některá z nich jsou založena security-through-obscurity přístupu a skutečného útočníka neodradí, jen ho nepatrně zpomalí.

ČERMÁK, Miroslav. Wi-Fi: zabezpečujeme domácí bezdrátovou síť – 2. díl. Online. Clever and Smart. 2012. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/wi-fi-zabezpecujeme-domaci-bezdratovou-sit-2-dil/. [cit. 2025-02-10].
Štítky: Wi-Fi
K článku “Wi-Fi: zabezpečujeme domácí bezdrátovou síť
2. díl” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Ještě bych doplnil, zakažte UPnP a zakažte vzdálenou správu přes WAN port a pokud musí být, dejte si tam jen jedu IP, ze které se připojujete…. Dále v LAN doporučuji krom vypnutýho DHPC změnit i řadu sítě ( 192.168.44.20-50 třeba ) :)