TIP#794: Jak zabezpečit domácí Wi-Fi proti nezvaným hostům

Čas se postupně podívat na další podstatné tipy, týkající se WiFi. Trochu tomu pomůže to, že mám půjčený D-Link DIR-879, což je dvoupásmový Wi-Fi Router vypadají poněkud jako UFO. Takže mohu zkoušet a experimentovat a testovat a nemusím kvůli tomu likvidovat VDSL/WiFi router co je poněkud potřeba k práci.

Začneme tím nejpodstatnějším – Pokud máte doma zavedený Internet, tak máte také nejspíš domácí WiFi. Ať už přímo z routeru co vás připojuje k Internetu (ADSL/VDSL, kabel, atd) nebo pomoci samostatného Wi-Fi routeru. Pokud máte větší byt či dům, možná máte těch routerů víc, jeden nestačí k pokrytí kvalitním signálem.

Je důležitě, velmi důležité, vědět, že všechny vaše Wi-Fi routery musí být dostatečně zabezpečené, aby se na ně nemohl připojit někdo bez vašeho vědomí. Důvody jsou v zásadě dva hlavní, aby se nedostal do vaši domácí sítě a nemohl se pokoušet napadnout vaše počítače. A aby nevyužíval vaše internetové připojení – v tom základním případě by ho prostě zahltil, v tom horším případě třeba využil pro kriminální aktivity.

2017-05-22 20.42.27.png

1) Zaheslovat administrační rozhraní

Nejdůležitější a první krok – nastavte si vlastní heslo pro přístup k administraci/správě routeru. Od výrobce každý router přichází s veřejně známými  přihlašovacími údaji, takže je nesmírně důležité si nastavit vlastní. Administrační rozhraní routeru otevřete v prohlížeči na IP adrese routeru, což je také IP adresa přes kterou se připojené zařízení dostává dál (do Internetu).

Heslo k administraci samozřejmě v žádném případě nedávejte stejné, jako heslo k připojení na WiFi. Nezapomeňte, že „heslo“ by mělo být dostatečně neodhadnutelné a zároveň zapamatovatelné a napsatelné na mobilních zařízeních. Takže víc než heslo zkuste použít nějakou dobrou kombinaci slov a číslic.

Pokud váš router podporuje zapnutí https (šifrované) připojení k administraci, je určitě dobré toto zapnut. Zda si administrační rozhraní necháte na klasickém portu 80 nebo přesunete na nějaký jiný je vcelku jedno, případný útočník ho tak jako tak najde.

Některé routery  umožňují pro přístup definovat uživatele a jejich unikátní přihlašovací jméno (ID) a heslo. Což může být poměrně užitečné, stejně jako to, že je vhodné změnit nejenom výchozí heslo, ale i ID  (jméno) pod kterým se router spravuje. Pokud je to tedy možné.

TIP: Pokud se vám při nastavování routeru podaří něco zkazit, tak každý router má možnost uvést do výchozího (továrního) nastavení. Což mimochodem znamená i to, že WiFi routery by neměly být volně přístupné. Kdokoliv by je mohl „resetnout“, ale také by se k nim mohl kdokoliv připojit přes klasický Ethernetový kabel. Co ale také routery umí je, že si konfiguraci můžete uložit a v případě potřeby ji obnovit.

2017-05-22 20.46.20.png

2) Ověřte zda má router aktuální firmware

Dnešní routery už umí (a DIR-879 od D-linku ano) zkontrolovat zda není k dispozici aktualizace firmware. Ty starší vyžadují abyste si aktualizaci firmware našli na webu výrobce a aktualizaci udělali ručně. Jakkoliv to možná nevypadá, tohle je dost podstatné – novější firmware řeší často bezpečnostní nedostatky.

Ověřovat aktualizace firmware byste mimochodem měli čas od času znovu. S routery je to stejné jako s vaším počítačem, mobilem či tabletem. Potřebují aktualizovat. Což může znamenat i to, že byste měli sledovat informace o vašem routeru od výrobce. Pokud to tedy je možné.

TIP: Řešíte Jak si pořídit domů Internet, když nemůžete mít pevnou linku, kabel ani bezdrát? Tento tip poradí.

3) Nastavit WPA2

Další zásadní a důležité:  Nastavte WPA2 pro připojování zařízení – pokud byste byli v pokušení  používat WEP, tak opravdu ne. Je starý, dávno překonaný, zneužitelný. Pokud je možnosti WPA2, tak ta správná je WPA2/AES.

POZOR! V říjnu 2017 byla objevena zásadní zranitelnost u WPA2 (viz Děravé WPA2 umožňuje šmírovat i měnit přenášená data) a pokud výrobci routerů neposkytnou opravy, je WPA2 v nebezpečnosti prakticky na úrovní WEP.

2017-05-22 20.49.53.png

4) Nastavit vlastní SSID

SSID je jméno WiFi sítě, pomocí něj síť poznáte a připojíte se na ni. Od výrobce přichází váš router s nějakým předdefinovaným SSID a je nutné ho změnit na něco vlastního. Ideálně ještě takového, aby to pro někoho náhodně se pohybujícího v okolí neumožňovalo jasně vidět, že patří právě k vám.

TIP: Pokud máte některý z novějších vícepásmových routerů, tak máte dvojici SSID (viz Co je to WiFi? A co znamenají všechna ta 802.něco?) U některých routerů je jedno SSID použito pro obě sítě, u některých jsou přednastavené dvě různé SSID. S některými zařízeními (typicky iPhone/iPad) budete mít velké potíže, pokud necháte shodné SSID pro 2.4Mhz/5MHz WiFI sítě.

Volitelné a místy užitečné může být skrytí SSID (název vaší WiFi sítě). Sice se pak budete muset připojovat zadáním jména, ale cizí lidé v okolí neb budou mít poněkud znesnadněnou pozici. Zjistit se ale stejně dá a není to až tak složité – zneviditelnit SSID rozhodně nepatří mezi prvky ochraňující vaši WiFi. U některých zařízení (opět iOS) navíc toto může způsobovat zbytečné problémy. Tady viz Mám znemožnit viditelnost SSID? Jak najdu skryté WiFi sítě? (Wi-Fi mýty)

SSID nemůžete zvolit stejné, jako SSID nějakého jiného routeru v dosahu (výjimkou je jedno SSID pro dvě sítě v témže routeru, ale o tom je zmínka jinde).

5) Nastavit heslo (či hesla) pro jednotlivá SSID

Pokud nastavíte hesla pro jednotlivá SSID příliš krátká, může vám je někdo časem poměrně snadno rozlousknout, takže na to pamatujte. Jak už to tak s hesly bývá, tak názory na vhodnou délku se liší, ale většinou se pohybují okolo 14 znaků. Každé SSID ale musí mít heslo a rozhodně tam nesmí zůstat něco, co přišlo od výrobce.

Heslo pro připojení k WiFi v žádném případě nedávejte stejné jako heslo pro administraci.

5) Vypnout WPS

Vypněte WPS protože to znamená, že se vám na Wi-Fi může připojit opět někdo cizí (a ne, nemusí přijít k vám a použít tlačítko). Na první pohled působí WPS jako užitečné (nemusíte zadávat hesla, stačí zmáčknou knoflík), ale riziko je značné. Mimochodem, Apple iOS vůbec WPS nepodporuje a jako důvod uvádějí právě bezpečnost.

6) Omezte možnost správy vašeho routeru

Pokud váš Wi-Fi router umožňuje vzdálenou správu (remote administration/management), tak je dobré toto vypnout. Stejně tak je dobré vypnout UPnP a NAT-PMP pokud to váš router umí a má aktivní (případný test routeru na UPnP napadnutelnost můžete zkusit přes ShieldsUP).

V routeru můžete najít ještě dost věcí, které je vhodné zakázat – PING, Telnet, SSH či HNAP.  To že váš router nebude odpovídat na ping je užitečné v tom, že ho nebude tak snadné najít.

Pokud je to možné, tak vypněte možnost správy routeru z WiFi sítí. Zůstane tak možnost připojit se ke správě routeru jen z ethernetového kabelu. Je to sice trochu nepříjemnost, ale může to zamezit tomu že se někdo bude pokoušet dostat do routeru z WiFi sítě.

2017-05-22 21.01.04.png

7) Použité DNS servery je vhodné hlídat a klidně nastavit vlastní

Pokud chcete. můžete si ověřit nastavení vašeho routeru co se přidělené IP adresy týče, ale hlavně co se používaného DNS serveru týče. Nevyžádaná změna DNS serveru v routeru může znamenat, že vám bude někdo podvrhovat IP adresy, takže tohle se vyplatí čas od času kontrolovat. Užitečné pomůcky mohou v tomto ohledu být www.dnsleaktest.com a whoer.net

Od věci nemusí být použít vlastní DNS servery a nikoliv ty přidělené vaším ISP (poskytovatelem připojení k Internetu). Můžete využít  Google DNS (8.8.8.8 a 8.8.4.4) nebo další, viz K čemu se hodí veřejné DNS jako Google DNS či Open DNS

8) Pro návštěvníky je dobré použít režim hosta (guest)

Některé routery umí režim hosta (Guest network) a je vhodné něco takového používat pro návštěvy, kterým pouze chcete umožnit přístup k Internetu. Pokud má režim hosta nějaká další nastavení, je dobré omezit všechno co je jenom možné.

TIP: Router sice vypínat nebudete, ale i tak je dobré si přečíst Je nechávání zapnuté WiFi nebezpečné?

9) Můžete zkusit využít filtrování MAC adres

Pokud chcete zabezpečit mírně víc, využijte filtraci MAC adres. Budete sice na WiFi routeru muset vždy přidat ručně MAC adresu každého povoleného zařízení, ale bude to znamenat, že nikdo cizí se prostě nepřipojí. Spolehnout se na to ale nemůžete, mírně zkušený si prostě změní MAC adresu na některou z těch vašich. Apple iOS používá mimochodem náhodné MAC adresy pro některé věci, takže s filtrací MAC adres můžete poněkud narazit. Podrobněji viz Mám používat filtrování MAC adres v routeru? (Wi-Fi mýty)

2017-05-22 21.03.54.png

10) Monitorujte, kdo používá váš router

Čas od času se dívejte kdo/co je připojený – dělá se to většinou v administraci routeru a uvidíte tam IP adresy, názvy zařízení, od kdy jsou připojené.  Dá se to řešit i zvenčí (třeba pomoci aplikace fing pro iOS/Android), ale pokud to umí přímo váš router, tak je to ta lepší varianta. Viz například Co je to WiFi/Packet Sniffer a kde si ho můžu opatřit a co bych o tom měl vědět?

TIP: Máte doma starší router a už na něj nejsou aktualizace nebo snad i zlobí? Je dost možné, že vám pomůže tento tip: Co je to OpenWrt a jak to může oživit váš starý router?

11) Ověřte správné nastavení použitého kanálu

Stejně tak se občas podívejte jaké další WiFi sítě jsou v okolí a jestli se příliš nepřekrývají kanály. Viz Jak zjistím na jaký kanál dát WiFi? Jak se podívám na WiFi okolo? a sice by to měl umět váš router, tedy vybrat správný kanál, ale občas pomůže ruční zásah.

Pokud chcete omezit dosah vašeho routeru, tak můžete využít toho, že 5 GHz WiFi má menší dosah, než původní klasické 2.4 GHz. U dvoupásmových routerů tak můžete 2.4 GHz vypnout a používat jenom 5 GHz. Pokud potřebujete naopak dosah posílit, tak mrkněte do  Co je to WiFi Extender a WiFi Mesh? A jak to dělá, že prodlouží dosah vaší WiFi sítě?

TIP V tipu Je bezpečné používat neznámé WiFI? se dočtete něco o tom, že připojovat se na naznámé WiFi sítě nemusí být dobrý nápad. Pokud jste pokročilí a zkušení, můžete si zprovoznit nějakou tu volně přístupnou WiFi coby past.

V Praktické tipy týkající se WiFi routerů. Množství užitečných tipů případně najdete ještě různorodé menší tipy týkající se Wi-Fi routerů. Ale z hlediska zabezpečení je to v tomto tipu snad všechno co je nutné či vhodné zmínit. Pokud něco postrádáte, dejte vědět.

Reklamy