Jak zabezpečit síť WiFi

dne

Koupili jste si do bytu nebo do firmy přístupový bod WiFi? Jak zabezpečit přípojení do sítě, aby nikdo jiný neměl přístup k vašim počítačů nebo internetovému připojení?

Základním pravidlem zabezpečení čehokoliv je používat jiná nastavení než je od výrobce. Nebezpečnějším způsobem jak zabránit zneužití vaší bezdrátové sítě je nastavit vše jinak.

Wifi

Heslo do administrace

Po připojení zařízení je většinou nastaveno přístupové heslo do administrativních nástrojů na Admin/admin, smcadmin/admin nebo na jiné snadno odvoditelné heslo. Proto okamžitě změňte heslo a pokud možno přihlašovací účet přejmenujte.

IP adresa zařízení

Většina zařízení používá internetovou adresu 192.168.1.1, dalším krokem je změna IP adresy zařízení. Pokud máte už vaši počítačovou síť nastavenu, je třeba vybrat takovou adresu, aby nekolidovala s jinou adresou ve vaší sítí a vypnout server DHCP, který by mohl přidělovat obsazené adresy. V případě, že děláte sít novou, můžete si vybrat volné adresy i z jiného rozsahu než je 192.168.1.X. Vhodnou IP adresu si můžete vybrat podle tabulky na WikiPedii: IP Adresa. Volné adresy mohou začínat těmito rozsahy: 192.168.x.x (class C), 172.16.x.x až 172.31.x.x (class B) nebo 10.x.x.x (class A). Vyberte cokoliv jen ne standardní první adresu. Tedy 192.168.54.x místo 192.168.1.x nebo 10.0.59.x místo 10.0.0.x a podobně. Pokud změníte IP adresu a nechcete všechny adresy v sítí ručně nastavovat, je třeba upravit i server DHCP v WiFi routeru tak aby přidělovat IP tak aby byly ve stejném segmentu sítě.
Příklad:
Pokud nastavíte IP adresu zařízení na 192.168.54.45 maska 255.255.255.0, měl by DHCP server přidělovat adresy v tomto rozsahu: 192.168.54.46 – 192.168.54.254 maska 255.255.255.0. Adresy pod 192.168.54.46 si nechte volné pro případné ruční nastavení adresy pro zařízení sítě(tiskárny, servery atd.). Maska podsítě musí být u všech počítačů stejná, určuje kolik počítačů se vejde do daného segmentu. Maska 255.255.255.0 odpovídá sítí o maximálně 254 počítačích, je tedy dostatečná pro většinu aplikací. Pokud máte počítačů víc tak asi jistě zmáknete nastavit masku sám bez návodu 😉

WEP – šifrování komunikace

Nastavte si šifrovací klíč (WEP) vaší bezdrátové sítě. Pokud na to zapomenete, bude se moci do vaší sítě připojit kdokoliv.

MAC – zablokování neznámých zařízení

Dalším způsobem jak útočníkovi znepříjemnit práci je nastavit zařízení tak aby komunikovalo pouze s počítači které zná a ostatní pokusy o připojení ignorovalo. Tuhle volbu najdete obvykle v menu „Security“. MAC Adresa je unikátní číslo hardware(něco jako IMEI u mobilů). Pokud povolíte ve vaší síti jen vaše počítač, pak se nikdo cizí z jiným zařízením nepřipojí. MAC adresu zjistíte příkazem ipconfig nebo ifconfig u linuxu. Také bývá na každém zařízení nálepka s MAC adresou.

Doporučená varianta nejbezpečnějšího nastavení

  • pokud nejde router konfigurovat přes kabel ale pouze bezdrátově, zapněte nejprve šifrování, restartujte, poté změňte heslo a klíč ještě jednou a pokračujte v konfiguraci, zabráníte tak odposlechnutí hesla a ostatních parametrů konfigurace
  • použijte nestandartní adresu IP (class B je nejméně používaný)
  • vypněte DHCP server a adresu nastavte u všech PC ručně
  • nastavte dlouhý a bezpečný klíč WEP(ABCD1234 nebude to pravé)
  • nastavte zařízení tak aby reagovalo pouze na známé zařízení(MAC adresy)

Pokud použijete tohle nastavení tak vaše sít sice nebude naprosto nedobytná, ale můžete se spolehnout, že 99,9% útočníku nemá šanci.