Jelikož bydlím v panelovém domě, často si všímám, kdo v okolí má zabezpečenou WiFi síť a kdo ne. Pořád se setkávám s tím, že plno okolních sítí je nezabezpečených a dá se na ně snadno připojit či odposlouchávat jejich provoz. Proto bych dnes rád popsal, jak jednoduše zabezpečit domácí WiFi síť. Budu popisovat zabezpečení zařízení TP-LINK, které mám doma.
Skrytí SSID
SSID neboli název sítě. Tento název sítě je možné veřejně vysílat (zobrazovat ostatním zařízením), nebo je možné jej skrýt. V takovém případě se do vaší sítě může připojit pouze, ten kdo zná název vaší sítě. V dnešní době se však skryté SSID dá snadno odhalit, takže samotné skrytí je nedostačující.
Odškrknutím Enable SSID Broadcast, zajistíte nevysílání názvu vaší sítě, ostatním uživatelům.
Filtrování MAC adres
Každá síťová karta (LAN, WiFi, Bluetooth) má svoje unikátní výrobní číslo, nazývající se MAC (Media Access Control) adresa. Nastavením filtrování MAC adres, dosáhnete toho, že se na routr připojí pouze to zařízení, které má uloženou MAC adresu v databázi routru. MAC adresu je nutné zadat do levnějších routrů ručně. MAC adresa je šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např. 01-02-0A-3B-4C-DF nebo 01:02:0A:3B:4C:DF).
Jak zjistit MAC adresu vašeho zařízení?
Pokud jde o počítač nebo notebook je hned několik možností. Já osobně používám příkazovou řádku. Do příkazového řádku zadáte příkaz ipconfig /all, vyjedou vám veškeré informace o vašich síťových kartách počítače. Vyhledáte pouze MAC adresy adaptéru, který budete chtít do routru zapsat.
Poté musíte povolit filtrování MAC adres v routru.
A adresy tam ručně zadat.
Pokud jste vše udělali dobře, tak se teď na vaši síť připojí pouze zařízení, která osobně zadáte do databáze routru.
Poznámka: Pokud doma přistupujete k WiFi z mobilu nebo tabletu, jejich MAC adresy musí být taky v databázi!
Šifrování
Jeden z nejdůležitějších bodů, je však šifrování. Tak jako SSID i MAC adresa se dnes dá snadno zjistit a tak obejít tuto ochranu.
Nejhorší řešení je „ Open system“ nebo „Sdílený klíč“ a zabezpečení komunikace pomocí WEP-64 nebo WEP-128. Obě tyto šifrování jsou velice snadno prolomitelná. Pokud však váš routr nepodporuje jiné šifrování, pak si zvolte alespoň silné heslo. Doporučuje se 15+ znaků. Nejlepším řešení by však bylo, koupit si lepší zařízení, které podporuje silnější šifrování. Optimální zabezpečení pro domácí síť je WPA-PSK nebo silnější WPA2-PSK (Pre Sharedk Key). Šifrování nejlépe pomocí TKIP (Temporal Key Integrity Protocol) nebo lépe AES (Advanced Encryption Standard).
Posledním krokem je ve Windowsu zvolit stejné parametry pro připojení k síti.
Závěr
Těchto pár jednoduchých kroků vám může pomoci zabezpečit domácí síť. Není to 100% ochrana, ale rozhodně lepší než síť nechat veřejně přístupnou. Tyto ochrany může prolomit pouze člověk, který se vám bude snažit záměrně do sítě nabourat a i tak mu dosti znepříjemníte snažení možná se vám podaří jej úplně odradit nebo zastavit. Ne každý je natolik zběhlý, aby si s těmito překážkami poradil. Dále bych doporučil investovat do zařízení, která podporují co možná největší stupeň ochrany vašich sítí. Ke generování hesel použijte některý z volně dostupných nástrojů na internetu. Heslo si není třeba pamatovat, stačí si jej někde zapsat. Také neuškodí jednou za čas heslo změnit.
Ale snad ze všeho nejdůležitější je změnit si přístupové údaje routru. Nick a heslo admin/admin vám zaručí, že za pár minut či hodin totálně ztratíte kontrolu nad svým zařízením.
Článek má pokračování v dalším díle Jak zabezpečit domácí WiFi síť II.
Komentáře
Zasílate odpověď ke stávajícímu příspěvku (zrušit).
Z toho plyne, nejlépe WPA2
Krok v závěru (změna jména uživatele a defautlního hesla) je jeden z nejdůležitějších, protože i to super zabezpečení bude v případě jména a hesla admin úplně k ničemu jelikož útočník se do zařízení nabourá během několika málo sekund.
Dále se mi docela osvědčilo zapnutí filtrování IP adres a zapnutí přidělování IP adres pomocí DHCP s vazbou na MAC adresu. A taky není špatné vybrat jinou třídu sítě než například klasické Cčko (klidně i subnet) což může útočníka docela zmást když nedostane IP adresu a nastaví si nějakou vlastní.