Jak ochránit svou Wi-Fi před sousedy a zvědavci?

wifi_zabezpeceni_ico

S nástupem přenosné elektroniky, jako jsou notebooky, tablety, chytré telefony a další zařízení, roste zájem široké veřejnosti o bezdrátové připojení k Internetu. Přeci jen tahat za notebookem síťový kabel není zrovna pohodlné, nemluvě o tom, že telefony a tablety připojení klasického síťového konektoru ani neumožňují. V domácnostech se tak stále častěji objevují Wi-Fi routery, zprostředkovávající konektivitu po domě či bytě. Výrobci se na jedné straně snaží zjednodušit úvodní nastavení tak, aby si s ním poradil i naprostý laik, na straně druhé to však často vede k situacím, kdy je bezdrátová síť zabezpečena slabě, nebo dokonce vůbec. V tomto článku se vám pokusíme poradit, co můžete udělat pro lepší zabezpečení vaší Wi-Fi, čímž ochráníte také všechna připojená zařízení a na nich uložená data.

Wi-Fi router je alfou a omegou

Než se pustíme do zabezpečování, musíme si ujasnit některé základní pojmy. Tím prvním je Wi-Fi router či hub, což je v rámci bezdrátové sítě nejdůležitější zařízení. Je zodpovědný za připojení všech zařízení, konektivitu k síti a především hlídá a spravuje uživatelem zvolená nastavení. Tato malá krabička, vybavená zpravidla jednou či více anténami, se obvykle připojuje kabelem k modemu či síťové zásuvce poskytovatele internetového připojení, na straně druhé komunikuje se všemi připojenými zařízeními. Pokud tedy například na telefonu, připojenému k Wi-Fi routeru, zadáte v prohlížeči adresu www.svetandroida.cz, je tento požadavek následně předám routeru, který ho pošle přes síť vašeho poskytovatele dál. Následně se postará o to, aby přijatá data obdrželo právě to zařízení, které si je vyžádalo. Pochopení alespoň základních principů a nastavení je tedy klíčem k udržení rychlé a bezpečné domácí sítě.

Wi-Fi router je alfou a omegou celé sítě Wi-Fi router je alfou a omegou celé sítě

Dalším důležitým termínem, na který ve článku narazíte, je MAC adresa. Jedná se o jedinečný identifikátor každé síťové karty, ať už klasické ethernetové, nebo bezdrátové. V podstatě si ji můžete představit jako sériové číslo, které je u každého telefonu, tabletu, notebooku, počítače a síťového prvku jiné. MAC adresa je stabilní, nemění se (byť je možné ji na některých zařízeních manuálně změnit či “klonovat” z jiného zařízení) a je tak jednoznačným identifikátorem. Skládá se ze sekvence šesti dvouciferných čísel v šestnáctkové soustavě – například 6C-FA-49-62-9E-50.

Proti tomu IP adresa, kterou připojená zařízení dostávají od Wi-Fi routeru, se může v průběhu času měnit. IP adresa slouží k tomu, aby router věděl, se kterým zařízením komunikuje a kam má poslat přijatá data – tedy aby mohl odesílat správná data na správné místo. Příkladem IP adresy je 192.168.1.10.

Podívejte se, kdo je ve vaší síti

Teď tedy máte obecný přehled o tom, jak funguje vaše domácí síť, a víte, že každé připojené zařízení je jednoznačně identifikovatelné pomocí jedinečné MAC adresy. Pojďme se tedy podívat na to, jak zjistíte, kdo respektive co je připojeno k síti přes váš router.

Poměrně rychlou cestou, jak zjistit informace o připojených zařízeních, je síťový skener – aplikace, která zkontroluje zadaný rozsah IP adres a vypíše seznam nalezených zařízení. Síťové skenery jsou k dispozici i pro Android, konkrétněji si zde ukážeme tři aplikace:

Všechny výše uvedené nástroje fungují víceméně podobně: spustíte síťový skener, který otestuje rozsah IP adres a vypíše seznam zařízení, která na jeho požadavek odpověděla. Zde se skrývá malý háček: řadu zařízení lze nastavit tak, aby na podobné požadavky neodpovídala (jedná se o tzv. zákaz odpovídání na ping). Nastavení přitom není nijak obtížné a výsledkem je to, že se daný notebook či počítač ve výpisu prostě neobjeví. Stejně tak nenajdete zařízení, která se připojují jen jednou za čas (například meteorologická stanice NetAtmo) a v době skenování jsou odpojená. To, že síťový skener nenašel žádné podezřelé zařízení, tedy neznamená, že tam není či nebylo někdy předtím.

Podstatně věrohodnějším a jistějším informačním zdrojem by měla být administrace vašeho Wi-Fi routeru, kde byste měli nalézt skutečně všechna zařízení, která ho používají. Co budete potřebovat?

  1. Znát IP adresu Wi-Fi routeru.
  2. Vědět přihlašovací údaje do webové administrace.
  3. Zjistit, ve které sekci najdete potřebné informace.

Zjištění IP adresy Wi-Fi routeru

Pojďme postupně projít jednotlivé úkoly. Wi-Fi adresu routeru zjistíte poměrně snadno. Pokud je k routeru připojen například počítač či notebook s Windows, stačí spustit Příkazový řádek a zadat příkaz ipconfig nebo ipcfg. Zajímat vás bude položka označená jako Výchozí brána – to by měla být IP adresa všeho routeru.

Zjištění IP adresy výchozí brány Zjištění IP adresy výchozí brány

Další možností je zjistit tento údaj ze zařízení s Androidem. Poměrně rychlou a spolehlivou cestou je aplikace Network Info II, která je v Obchodě Play k dispozici zdarma. Po instalaci stačí program spustit, přejít na záložku WiFi a podívat se na adresu u položky Gateway.

Network Info II
Network Info II

Přihlášení k administraci Wi-Fi routeru

IP adresu výchozí brány pak zadejte do webového prohlížeče (pohodlnější to bude na notebooku či počítači). Měla by se vám otevřít stránka s přihlášením, čímž se dostáváme kde druhému bodu našeho postupu.

Přihlášení k bezdrátovému routeru Přihlášení k bezdrátovému routeru

Máte v podstatě tři možnosti:

  • Přihlašovací údaje jste změnili a znáte je – v takovém případě se přihlaste. Dostanete se do webové administrace.
  • Přihlašovací údaje jste nikdy nezměnili – výchozí jméno a heslo pro přihlášení byste měli najít buď v návodu k danému zařízení, nebo na Internetu. Rozhodně doporučujeme přihlašovací údaje k routeru změnit, protože v opačném případě si ho každý, komu se povede dostat do vaší sítě, bude moci nastavit, jak bude chtít.
  • Přihlašovací údaje neznáte a ty výchozí nefungují – v takovém případě patrně nebude jiná cesta, než provedení restartu zařízení do továrního nastavení. Postup byste měli najít v návodu či na webu. Počítejte ale s tím, že pravděpodobně bude nutné celé zařízení znovu nastavit.

Kontrola připojených zařízení

Předpokládáme, že jste se nakonec s menšími či většími obtížemi dostali do webové administrace routeru. Zde je nutné upozornit, že výrobci a často i jednotlivé modely mají jinak provedenou administraci. Nelze tedy přesně položku po položce vypisovat, na co máte klepnout a jak změnit tu či onu položku. Další postup tedy považujte jen za obecný přehled, který by vás měl postrčit správným směrem.

Místem, které by vás mělo zajímat, je výpis připojených zařízení. V našem případě jsme ho našli v sekci Wireless-Wireless Statistics. Zde by měla být vypsána všechna aktuálně připojená zařízení, včetně těch, která se “neozývají” síťovým skenerům.

Seznam připojených zařízení Seznam připojených zařízení

Další údaje jsme pak našli po povolení statistik v sekci Maintenance-System Tools-Statistics, kde byla prezentována IP adresa, MAC adresa a přenesené pakety. Výhodou těchto statistik je, že se zde promítnou a uloží i zařízení, která jsou v okamžiku kontroly odpojená.

Nyní byste tedy měli mít přehled o tom, kolik zařízení bylo či je k routeru připojeno. Již z toho můžete poznat, zda se ve vaší síti objevili nějací vetřelci – pokud máte například telefon, tablet, notebook a stolní počítač, měl by maximální počet zaznamenaných zařízení být čtyři.

Dalším doporučeným krokem je porovnání MAC adres zařízení proti seznamu v routeru. Na Androidu zjistíte MAC adresu síťové karty snadno: stačí vstoupit do systémového nastavení, přejít do sekce Wi-Fi, pokračovat přes kontextovou nabídku do Pokročilé a zde se podívat na položku Adresa MAC.

Na notebooku či počítači s Windows zjistíte MAC adresu tak, že spustíte příkazový řádek a zadáte příkaz ipconfig /all. Jednou z vypsaných položek by měla být Fyzická Adresa, což je právě námi hledaný údaj.

Zjištění MAC adresy pod Windows Zjištění MAC adresy pod Windows

Postupně takto můžete projít a “proškrtat” seznam zařízení, která se připojila k vašemu Wi-Fi routeru. Pokud nějaké přebývá, zavzpomínejte v první řadě, zda jste třeba nesdělili heslo k domácí bezdrátové síti partnerce, návštěvě, členům rodiny či sousedům. Jste-li si skálopevně jisti, že nikoli, pouvažujte ještě nad tím, zda vaši Wi-Fi nepoužívá nějaké chytré zařízení, jako například meteostanice, chytré žárovky a podobně.

Jak zabezpečit domácí Wi-Fi

Kde začít se zabezpečením domácí sítě a tím i všech připojených zařízení a gadgetů? V první řadě je vhodné nastavit bezpečnost a heslo pro připojení. Jestliže provozujete svou Wi-Fi bez hesla, doslova si říkáte o to, aby se vám k ní připojil kdekdo. To by možná ani tak nevadilo, jestliže chcete poskytovat a sdílet své připojení i s náhodnými kolemjdoucími, je ale vhodné vzít v úvahu možná rizika. Pokud je někdo připojen k vaší síti, může se pokusit o přístup k dalším připojeným zařízením. Samozřejmě i zde mu budou v cestě stát různé formy zabezpečení, nicméně pokud například na počítači nepoužíváte dostatečně silné heslo, může být přístup k vašim soukromým dokumentům otázkou několika sekund až minut. Dalším faktorem, který je dobré zvážit, je trestní odpovědnost. Pokud totiž někdo použije vaší Wi-Fi k nekalým praktikám (například z ní bude psát rasistické či jiné texty do diskuzí, stahovat nelegální software atd.), pak první, za kým půjde policie, budete právě vy, respektive majitel internetové přípojky. Dobře míněný úmysl poskytovat internetové připojení všem se tak snadno může obrátit proti vám.

Nastavte si úroveň zabezpečení

Konfiguraci zabezpečení a hesla k bezdrátové síti byste měli najít buď v zabezpečení (Security), nebo v nastavení bezdrátové sítě (Wireless Network). Zde budete mít na výběr z několika typů zabezpečení – WEP nedoporučujeme v žádném případě, protože je snadno prolomitelný. WPA/WPA2 je na tom o něco lépe. V ideálním případě pak doporučujeme nastavit WPA-PSK/WPA2-PSK. Dobře važte také zvolené heslo – pokud například použijete jméno člena rodiny či domácího mazlíčka, je pravděpodobné, že ho někdo uhodne. Neměli byste jako heslo nastavovat ani žádné běžné slovo – existuje totiž metoda “slovníkového útoku,” kdy se útočník zkouší do sítě dostat právě postupným zkoušením všech možných slov. Doporučujeme volit silné heslo, skládající se z kombinace velkých a malých písmen, čísel a speciálních znaků, přičemž platí, že čím je heslo delší, tím lépe! Dlouhé heslo je základem obrany proti útokům, kdy útočník postupně zkouší všechny možné kombinace čísel a písmen.

Nastavte si silné a bezpečné heslo Nastavte si silné a bezpečné heslo

Pokud máte důvodné podezření, že se k vaší zabezpečené síti připojuje někdo, kdo v ní nemá co dělat, prvním odvetným krokem, který provedete, by měla být právě změna hesla. Pamatujte i na to, že uložené heslo je například z počítače s Windows poměrně snadné vytáhnout, takže pokud měl či má někdo přístup například k vašemu notebooku, mohl si přihlašovací údaje zjistit.

Povolte přístup jen vybraným zařízením

Většina routerů umožňuje takzvané “filtrování MAC adres,” díky kterému je možné vybraným zařízením povolit nebo naopak zakázat přístup k síti. Pokud váš router nabízí obě možnosti, bude na vás, jestli budete postupně zakazovat objevující se MAC adresy, nebo jestli si vytvoříte seznam zařízení, která do sítě smí. O něco praktičtější je ale druhý způsob, nicméně budete muset zjistit MAC adresy všech notebooků, počítačů, telefonů, tabletů a dalších gadgetů, využívajících připojení k Internetu. V průběhu času navíc bude nutné seznam aktualizovat, aby se nová zařízení dostala na síť.

Tuto volbu najdete v administraci zpravidla pod položkou MAC filtering, která se obvykle nalézá v sekci Security. Dobře si pohlídejte nastavený režim – zda zadané adresy blokujete, nebo naopak povolujete!

Jedním z problémů, na který v praxi narazíte, je zadávání MAC adres zařízení vašich návštěv – jinak se totiž k Internetu nedostanou ani se znalostí hesla. Pro tyto účely jsou ideální routery, na kterých můžete spustit dvě nezávislé Wi-Fi – jednu “domácí,” zabezpečenou heslem a filtrem, a druhou “pro návštěvy,” která bude vyžadovat pouze heslo (navíc toto heslo bude jiné, než používáte vy). Takové routery však spadají do vyšší cenové kategorie.

Řekněme si upřímně, že filtrování MAC adres je sice poměrně spolehlivou metodou, nicméně ani tento způsob zabezpečení není zcela 100%. MAC adresu zařízení lze totiž změnit pomocí softwaru, takže pokud někdo zjisti tento údaj například z vašeho telefonu, může si stejnou nastavit na svém notebooku. Dá se říci, že pokud má někdo takové schopnosti, že dokáže obejít 128bitové WPA heslo, pak změna MAC adresy pro něj nebude absolutně žádný problém. Bezpečné heslo je tedy mnohem důležitější než filtrování MAC.

Schovejte svou bezdrátovou síť

Poslední tip vás ochrání před náhodnými zvědavci, nicméně pokročilejší uživatele od pokusu o útok neodradí. Začněme od píky: když necháte telefon či tablet vyhledat dostupné bezdrátové sítě, dostanete jako výsledek jejich seznam. Z něj si jednu vyberete, zadáte heslo, a buď jste vpuštěni, nebo odmítnuti. Existuje poměrně jednoduchá cesta, jak v tomto seznamu nefigurovat – stačí vypnout vysílání názvu SSID.

Tuto možnost byste měli najít v administraci jako volbu Enable SSID Broadcast v sekci pro nastavení bezdrátové sítě (Wireless Settings). Pokud ji deaktivujete, přestane se vaše Wi-Fi zobrazovat ve výpisech okolních bezdrátových sítí.

Schovejte svou bezdrátovou síť Schovejte svou bezdrátovou síť

Jak se pak ale k takové Wi-Fi připojíte? Na Androidu vstoupíte do systémového nastavení, přejdete do sekce Wi-Fi a u kontextové nabídky vyberete Přidat síť.

Následně zadáte název sítě, zvolíte typ zabezpečení a zadáte přístupové heslo. Po uložení by se telefon měl k dané síti sám připojit.

Ani zde ale neexistuje 100% jistota, že tímto opatřením ochráníte svou síť před pokusy o připojení – nalezení skryté sítě je ve skutečnosti poměrně triviální: stačí použít nástroje, jako jsou inSSIDer, NetStumbler či Kismet. Skrytí SSID navíc může vyústit v problémy s připojením, které můžete zaznamenat především na starších operačních systémech. Například systém Windows se automaticky pokusí připojit k méně upřednostňované síti, která vysílá svůj název, místo upřednostňované sítě se skrytým SSID. Mnohá zařízení pak připojení k bezdrátové síti se skrytým SSID ani neumí.

Skrytí SSID je tedy spíše prostou ochranou před laickými sousedy, kteří se nebudou snažit připojit k vaší Wi-Fi na základě jejího názvu. Pokročilejší uživatelé však takovou Wi-Fi snadno objeví.

Další možnosti

Pokud máte router s pokročilejšími možnostmi, můžete v nastavení najít omezení šířky pásma pro zařízení připojená k síti. To je většinou určeno pro použití ke kontrole, kdy a jak mohou děti přistupovat k Internetu, ale můžete také nastavit obecné limity pro všechna zařízení. Každý nový přístroj, který se připojuje k síti, bude tedy moci využít jen určitý podíl šířky pásma nebo přenést jen určitý objem dat.

Jak chráníte svou Wi-Fi vy?

Doufáme, že tento malý průvodce poskytl několik užitečných možností a řešení, která by měla vaši domácí síť udělat o něco bezpečnější. Pokud máte vlastní zkušeností se zabezpečením sítě, neváhejte se podělit o své rady, tipy a řešení v komentářích pod tímto článkem.

Zdroj: androidauthority.com.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (14)