Zabezpečení Wi-Fi

Jak zabezpečit bezdrátovou Wi-Fi síť (How to secure a wireless Wi-Fi network)
Zabezpečení bezdrátové Wi-Fi sítě řeší snad každý, kdo si uvědomuje rizika úniku svých dat, které se pomocí sítě přenášejí nebo sdílejí. Čtěte dál jak můžete svoji bezdrátovou síť zabezpečit.

VPN - Virtuální privátní síť (Virtual Private Network)
Cesured and protected wireless wifi network iconZabezpečení bezdrátové Wi-Fi sítě řeší snad každý, kdo si uvědomuje rizika úniku svých dat, které se pomocí sítě přenášejí nebo sdílejí. Signál Wi-Fi sítě se šíří vzduchem a tak jej může snadno zachytit každý, kdo je v jeho dosahu. A nejen pokud je v přímém dosahu sítě. Pokud útočník nebo nezvaný host použije směrovou anténu, tak se může k vaší Wi-Fi síti připojit i na vzdálenost několika kilometrů aniž by váš signál tak daleko dosáhl. Nelze se tedy spokojit s ujištěním že máte signál pouze v kanceláři.

Co wifi síti hrozí a proč vlastně zabezpečovat?
Útok na nezabezpečenou bezdrátovou síť je velmi jednoduchý, s velkými riziky a možnými důsledky. Nejde zdaleka ale o únik dat a cenných firemních či osobních informací. Někdo může říci “my nic důležitého v séti nemáme”. Zcizení vašich dat je jen jednou z možných hrozeb. Útočník může odposlouchávat vaši komunikaci, přistupovat ke sdíleným souborům, může ovládnou jednotlivé počítače nebo další zařízení, může přistupovat na internet a využívat vaše připojení nebo dokonce vystupovat tam pod vaší identitou a způsobit tak vaším jménem i trestný čin. Odpovědnost je potom na vás. To už jsou pořádné důvodu, proč si do sítě nikoho nepustit.

Jak tedy zabezpečit bezdrátovou Wi-Fi síť?
Existují pár základních pravidel jak síť zabezpečit a vyhnout se všem bezpečnostním rizikům. Když je dodržíte, snížíte riziko na minimum. Základem ochrany je znalost alespoň základních principů bezdrátového připojení. Způsobů ochrany je více a je velmi doporučené používat jejich kombinaci a tím snížit pravděpodobnost úspěšného útoku.

Šifrování přístupu k bezdrátové síti
Šifrování je jednoznačně stěžejní, nejlepší a základní způsob zabezpečení bezdrátových sítí. Pokud je zapnuté, šifruje se veškerá komunikace, která probíhá ve vaší síti. Bez znalosti / prolomení šifrovacího klíče se nemůže útočník dostat dovnitř. Existuje více šifrovacích protokolů, je čistě na vás, který z nich si vyberete, nejlepší je WPA2.

Open - nešifrovaný přístup, do sítě se může připojit kdokoliv zcela volně
WEP (Wired Equivalent Privacy) - dnes již zastaralý, prolomený, lehce překonatelný šifrovací protokol, jehož použití se nedoporučuje (pouze pro starší zařízení, která nemají jinou možnost)
WPA (Wi-Fi Protected Access) - používaný, těžko prolomitelný šifrovací protokol
WPA2 (Wi-Fi Protected Access 2) - je nejsilnější šifrovací protokol, v případě použití silného a dlouhého hesla je v běžných podmínkách neprolomitelný, plně dostačující a doporučovaný
Heslo: Je stejně tak důležité jako použití správného šifrovacího protokolu. Mělo by být dostatečně dlouhé, neodhadnutelné a je doporučeno střídat různé znaky - číslice a velká a malá písmena; např. 642jAKzabezPeciTwiFI4573. To si ale normální člověk není schopen zapamatovat. Doporučená dálka pro opravdu bezpečná hesla je více než 15 znaků (většina běžných WiFi routerů umožňuje zadat heslo dlouhé maximálně 16 znaků), bežně ale stačí mít heslo dlouhé alespoň 8 znaků. Při použití silného a dlouhého hesla není protokol WPA2-AES v běžných podmínkách prolomitelný a je zatím považován za bezpečný.

Doporučení jak zvolit bezpečné heslo do WiFi sítě: Pokud chcete bezpečné heslo, zvolte nějaký unikátní, ale pro vás zapamatovatelné slovo nebo větu doplněné o čísla. Věta má tu výhodu, že je delší a přitom se dobře pamatuje (a platí čím delší, tím bezpečnější). ´Když tam dáte nějakou gramatickou chybu nebo odchylku, zničíte tím možnost tzv slovníkového útoku. Použití mezer pokud je dovoleno bezpečnost hesla navíc zvyšuje. Například: “skaakal PEES 5 ovees” nebo “skaakalPEES5ovees”.

Změna přihlašovací jméno a heslo
Může se zdát jako naprosto triviální, ale není nic jednoduššího než změnit přístupové jméno a heslo pro přístup do konfigurace bezdrátového zařízení (routeru, access pointu). Je doporučené změnit tovární nastavení zařízení, které je obvykle admin / admin. Pokud se útočník do vnitřní sítě dostane, je to ochrana proti tomu, aby nezískal plnou kontrolu nad zařízením a tím nad vaší počítačovou sítí. Doplňkově lze změnit jeho IP adresu routeru (výrobci nastavují defaultně 192.168.1.1., lze změnit např. na 55.88.192.168) , což může útočníkovi ztížit cestu k jeho nalezení.

Filtrování MAC adres
Každé ze zařízení, které se připojuje do počítačové sítě má svoji unikátní adresu, tzv. MAC Adresu (např. 42:61:8d:b1:82:c6). Většina wifi routerů umožňuje nastavit, zdali do sítě budou vpuštěna všechna zařízení nebo pouze ta, jejichž MAC adresu přidáte na seznam adres. Tím lze omezit riziko připojení cizího zařízení, nicméně zkušený útočník umí MAC adresu zfalšovat, takže filtrování MAC adres nepatří mezi nejúčinnější způsoby ochrany. Je také náročné na údržbu (Seznam MAC adres musíte udržovat stále udržovat) - je proto vhodný pouze pro bezdrátové sítě, kam se připojují stále stejná zařízení.

Zakázání WPS
Technologie WPS je pohodlná, ale zároveň otevírá bezpečnostní dvířka. Pokud to váš WiFi router umožňuje, možnost WPS vyplněte.

Zakázání vysílání názvu sítě (SSID)
Další možnou ochranou, která je účinná spíše proti těm jednoduchým útokům nebo pokusům o připojení nezvaných hostů v hustě obydlené části (např. kde je hodně Wi-Fi sítí) je zablokováním viditelnosti vaší sítě v seznamu nalezených sítí. Na první pohled v seznamu nalezených sítí ta vaše nebude. Nicméně i tuto ochranu může útočník zkušený obejít, respektive identifikaci vaší sítě, tzv. SSID. Doporčené je také zvolit takový název sítě, který nemůže vést k identifikaci vlastníka, provozovatele nebo typu routeru. To vše usnadňuje útok. (tedy rozhodně ne ASUS AC51U, nebo Byt 3 Novakovi)

Vytvoření virtuální privátní sítě (VPN)
Vytvoření VPN může být nadstandardním způsobem ochrany. Není to přímo ochrana a zabezpečení bezdrátové sítě, ale lze ji vytvořit nad jakoukoliv sítí, respektive uvnitř jakékoliv sítě. Pokud zkombinujete šifrování přístup k síti s VPN, bude vaše síťová komunikace v bezpečí.

Shrnutí - co je nejdůležitější při rychlém nastavení vaší sítě
Doporučení k zabezpečení bezdrátové sítě je následující:

Nutně - Zapněte šifrování k vaší síti (nejlépe WPA2)
Doplňkově - Skryjte vysílání SSID vaší sítě
Doplňkově - Změňte přihlašovací jméno a heslo na vašem bezdrátovém zařízení (routeru či access pointu) na kterém stavíte svoji síť
Doplňkově - Změňte IP adresu routeru