Kategorie: Svět IT

Jak zabezpečit domácí WiFi síť

Jak zabezpečit domácí WiFi síť

Dneska má doma většina uživatelů WiFi routr. Spousta uživatelů však stále neví jak jej zabezpečit.

Jelikož bydlím v panelovém domě, často si všímám, kdo v okolí má zabezpečenou WiFi síť a kdo ne. Pořád se setkávám s tím, že plno okolních sítí je nezabezpečených a dá se na ně snadno připojit či odposlouchávat jejich provoz. Proto bych dnes rád popsal, jak jednoduše zabezpečit domácí WiFi síť. Budu popisovat zabezpečení zařízení TP-LINK, které mám doma.

 

Skrytí SSID

SSID neboli název sítě. Tento název sítě je možné veřejně vysílat (zobrazovat ostatním zařízením), nebo je možné jej skrýt. V takovém případě se do vaší sítě může připojit pouze, ten kdo zná název vaší sítě. V dnešní době se však skryté SSID dá snadno odhalit, takže samotné skrytí je nedostačující.

Nastavení SSID

Odškrknutím Enable SSID Broadcast, zajistíte nevysílání názvu vaší sítě, ostatním uživatelům.

 

Filtrování MAC adres

Každá síťová karta (LAN, WiFi, Bluetooth) má svoje unikátní výrobní číslo, nazývající se MAC (Media Access Control) adresa. Nastavením filtrování MAC adres, dosáhnete toho, že se na routr připojí pouze to zařízení, které má uloženou MAC adresu v databázi routru. MAC adresu je nutné zadat do levnějších routrů ručně. MAC adresa je šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např. 01-02-0A-3B-4C-DF nebo 01:02:0A:3B:4C:DF). 

Jak zjistit MAC adresu vašeho zařízení?

Pokud jde o počítač nebo notebook je hned několik možností. Já osobně používám příkazovou řádku. Do příkazového řádku zadáte příkaz ipconfig /all, vyjedou vám veškeré informace o vašich síťových kartách počítače. Vyhledáte pouze MAC adresy adaptéru, který budete chtít do routru zapsat.

Poté musíte povolit filtrování MAC adres v routru.

 A adresy tam ručně zadat.

Pokud jste vše udělali dobře, tak se teď na vaši síť připojí pouze zařízení, která osobně zadáte do databáze routru. 

Poznámka: Pokud doma přistupujete k WiFi z mobilu nebo tabletu, jejich MAC adresy musí být taky v databázi!

 

Šifrování

Jeden z nejdůležitějších bodů, je však šifrování. Tak jako SSID i MAC adresa se dnes dá snadno zjistit a tak obejít tuto ochranu. 

Nejhorší řešení je „ Open system nebo Sdílený klíč a zabezpečení komunikace pomocí WEP-64 nebo WEP-128. Obě tyto šifrování jsou velice snadno prolomitelná. Pokud však váš routr nepodporuje jiné šifrování, pak si zvolte alespoň silné heslo. Doporučuje se 15+ znaků. Nejlepším řešení by však bylo, koupit si lepší zařízení, které podporuje silnější šifrování. Optimální zabezpečení pro domácí síť je WPA-PSK nebo silnější WPA2-PSK (Pre Sharedk Key). Šifrování nejlépe pomocí TKIP (Temporal Key Integrity Protocol) nebo lépe AES (Advanced Encryption Standard). 

 

Posledním krokem je ve Windowsu zvolit stejné parametry pro připojení k síti.

 

Závěr

Těchto pár jednoduchých kroků vám může pomoci zabezpečit domácí síť. Není to 100% ochrana, ale rozhodně lepší než síť nechat veřejně přístupnou. Tyto ochrany může prolomit pouze člověk, který se vám bude snažit záměrně do sítě nabourat a i tak mu dosti znepříjemníte snažení možná se vám podaří jej úplně odradit nebo zastavit. Ne každý je natolik zběhlý, aby si s těmito překážkami poradil. Dále bych doporučil investovat do zařízení, která podporují co možná největší stupeň ochrany vašich sítí. Ke generování hesel použijte některý z volně dostupných nástrojů na internetu. Heslo si není třeba pamatovat, stačí si jej někde zapsat. Také neuškodí jednou za čas heslo změnit.

Ale snad ze všeho nejdůležitější je změnit si přístupové údaje routru. Nick a heslo admin/admin vám zaručí, že za pár minut či hodin totálně ztratíte kontrolu nad svým zařízením.

 

Článek má pokračování v dalším díle Jak zabezpečit domácí WiFi síť II.

Komentáře rss


, WPA odpovědět
Ani klasický WPA už není tak těžké prolomit. Dají se na to objednat služby na stránkách, kde na velkých mašinách vám na objednávku heslo prolouskají. u WPA2 to lze samozřejmě taky, ale je to geometricky náročnější...

Z toho plyne, nejlépe WPA2
, - odpovědět
Opravdu super článek!

Krok v závěru (změna jména uživatele a defautlního hesla) je jeden z nejdůležitějších, protože i to super zabezpečení bude v případě jména a hesla admin úplně k ničemu jelikož útočník se do zařízení nabourá během několika málo sekund.

Dále se mi docela osvědčilo zapnutí filtrování IP adres a zapnutí přidělování IP adres pomocí DHCP s vazbou na MAC adresu. A taky není špatné vybrat jinou třídu sítě než například klasické Cčko (klidně i subnet) což může útočníka docela zmást když nedostane IP adresu a nastaví si nějakou vlastní.