Technologie

Jak správně zabezpečit domácí Wi-Fi síť před nezvanými hosty

56 roky ago

1. Začněte u routeru: změňte výchozí přístupy a aktualizujte firmware

První místo, kam by měl zamířit každý uživatel, je administrace routeru. Výrobci dodávají zařízení s výchozím uživatelským jménem a heslem, která jsou u mnoha modelů veřejně dohledatelná. Pokud zůstanou beze změny, útočník se může do správy sítě dostat během několika minut, a to i bez znalosti domácí Wi-Fi hesla.

Bezpečný postup je jednoduchý: přihlaste se do administrace routeru, změňte přihlašovací údaje a nastavte silné heslo o délce alespoň 12 až 16 znaků. Ideální je kombinace velkých a malých písmen, číslic a symbolů. Heslo by nemělo být totožné s tím, které používáte k Wi-Fi připojení.

Stejně důležitý je firmware. Routery dostávají aktualizace, které opravují bezpečnostní chyby, zlepšují stabilitu i kompatibilitu. U starších zařízení bývá problém, že výrobce už podporu ukončil. V praxi to znamená, že router bez aktualizací může zůstat zranitelný i několik let. Kontrolu aktualizací je vhodné provádět minimálně jednou za tři měsíce.

  • změňte výchozí administrátorské heslo hned po instalaci,
  • zapněte automatické aktualizace, pokud je router podporuje,
  • u starších modelů zvažte výměnu zařízení, pokud výrobce nevydává záplaty,
  • správu routeru povolte jen z domácí sítě, ne z internetu.

2. Silné Wi-Fi heslo a správné šifrování rozhodují o bezpečnosti

Samotná Wi-Fi síť by měla být chráněna moderním šifrováním. V současnosti je standardem WPA3, případně WPA2-AES, pokud starší zařízení WPA3 nepodporují. Naopak je vhodné vyhnout se zastaralým režimům jako WEP nebo WPA s TKIP, které jsou dnes prolomené nebo snadno napadnutelné.

Heslo k Wi-Fi má být dostatečně dlouhé a náhodné. Krátká slova, datum narození nebo název domácnosti jsou slabá volba. V praxi se doporučuje alespoň 14 znaků, u běžné domácnosti klidně i více. Důvod je prostý: delší heslo výrazně prodlužuje čas potřebný k jeho prolomení.

Pokud máte větší domácnost nebo časté návštěvy, vyplatí se oddělit hlavní síť od hostovské. Hostovská síť umožní návštěvám připojení k internetu, ale ne k vašim zařízením, jako jsou tiskárny, NAS, chytré televize nebo kamery. Tím snižujete riziko, že se cizí zařízení dostane dál do domácí infrastruktury.

  • používejte WPA3 nebo WPA2-AES,
  • heslo měňte při podezření na únik nebo po odchodu většího počtu hostů,
  • aktivujte hostovskou síť pro návštěvy,
  • zakážte sdílení přístupu přes neověřené QR kódy nebo veřejně dostupné screenshoty hesel.

3. Vypněte zbytečné funkce, které útočníkům usnadňují práci

Řada routerů nabízí funkce, které jsou pohodlné, ale z bezpečnostního hlediska rizikové. Typickým příkladem je WPS (Wi-Fi Protected Setup). Umožňuje snadné připojení stiskem tlačítka nebo PINem, ale právě PIN varianta byla v minulosti opakovaně zneužívána. Pokud WPS nepotřebujete, je rozumné ho vypnout.

Další slabinou bývá vzdálená správa routeru z internetu. Tato funkce má smysl jen ve specifických případech, například pro firemní správu nebo pokročilé uživatele. V domácnosti ji většinou není důvod ponechávat zapnutou. Stejně tak je vhodné zkontrolovat, zda router neumožňuje staré a nezabezpečené protokoly.

Praktickým příkladem je situace, kdy domácí síť obsluhuje několik chytrých zařízení. Pokud router nabízí možnost izolace klientů nebo oddělené sítě pro IoT, vyplatí se ji využít. Chytrá žárovka nebo levná IP kamera totiž často nemají tak kvalitní zabezpečení jako notebook nebo telefon. Když je od hlavní sítě oddělíte, snížíte dopad případného kompromitování jednoho zařízení.

  • vypněte WPS, pokud ho skutečně nepotřebujete,
  • zakážte vzdálenou administraci z internetu,
  • zvažte oddělení IoT zařízení do samostatné sítě,
  • nepovolujte otevřený přístup k routeru přes neznámé aplikace třetích stran.

4. Sledujte, kdo je v síti připojený, a kontrolujte podezřelá zařízení

Bezpečnost Wi-Fi není jednorázové nastavení, ale průběžná kontrola. V administraci routeru bývá seznam připojených zařízení, kde vidíte názvy, MAC adresy i IP adresy. Ten je dobré kontrolovat pravidelně, například jednou za měsíc nebo vždy po delší nepřítomnosti doma.

Pokud se v seznamu objeví neznámé zařízení, neznamená to automaticky útok, ale je potřeba jednat. Může jít o nový telefon v domácnosti, chytrou televizi nebo zařízení hosta. Pokud si však neznámý přístroj neumíte vysvětlit, změňte Wi-Fi heslo a zkontrolujte i administrátorský přístup. U některých routerů je možné podezřelé zařízení rovnou zablokovat.

Užitečné je také sledovat spotřebu dat a chování sítě. Náhlé zpomalení, neobvyklý provoz v noci nebo výpadky připojení mohou signalizovat problém. Některé moderní routery umí posílat upozornění do mobilní aplikace při připojení nového zařízení. To je praktické zejména v domácnostech s více uživateli.

  • kontrolujte seznam připojených zařízení v administraci routeru,
  • porovnávejte známé názvy zařízení s reálnými přístroji v domácnosti,
  • při podezření změňte heslo a restartujte router,
  • využijte notifikace o nových připojeních, pokud je router podporuje.

5. Myslete i na bezpečnost mobilů, počítačů a chytré domácnosti

Dobře zabezpečená Wi-Fi sama o sobě nestačí, pokud jsou připojená zařízení zranitelná. Útočník se často nesnaží proniknout přímo do routeru, ale využije slabinu v notebooku, telefonu nebo chytré televizi. Proto je důležité aktualizovat i koncová zařízení a používat antivirovou ochranu tam, kde dává smysl.

U domácí chytré domácnosti platí jednoduché pravidlo: čím méně zařízení má přístup k hlavní síti, tím lépe. Pokud například robotický vysavač nebo kamera potřebují jen internet, není důvod, aby viděly na pracovní notebooky nebo úložiště s dokumenty. Oddělená síť, silná hesla a pravidelné aktualizace jsou v tomto směru základ.

Praktický příklad: domácnost má router, dva telefony, dva notebooky, chytrou televizi a šest IoT zařízení. Pokud všechna zařízení běží v jedné síti bez omezení, jakýkoli kompromitovaný prvek může posloužit jako vstupní bod dál. Když domácnost rozdělí síť na hlavní a hostovskou, vypne WPS a ponechá IoT odděleně, zmenší útokovou plochu výrazně bez velkých nákladů.

  • aktualizujte operační systém i aplikace na všech zařízeních,
  • používejte dvoufázové ověření u účtů navázaných na domácí síť,
  • oddělte pracovní zařízení od zařízení pro zábavu a IoT,
  • při prodeji nebo likvidaci routeru vždy proveďte reset do továrního nastavení.

6. Kdy je čas vyměnit router a jak nastavit domácí režim bezpečněji

Ne každý router už splňuje současné bezpečnostní požadavky. Pokud zařízení nepodporuje WPA2-AES nebo WPA3, nemá aktualizace firmwaru, nebo je starší než několik let a výrobce už ho neudržuje, je na místě výměna. Novější modely obvykle nabízejí lepší zabezpečení, přehlednější správu i stabilnější výkon při více připojených zařízeních.

U větších domácností pomůže také kvalitní umístění routeru. Signál by neměl zbytečně unikat daleko za hranice bytu nebo domu. V některých případech pomůže snížit vysílací výkon na rozumnou úroveň, aby se síť zbytečně nešířila do okolí. To je praktické zejména v bytových domech, kde je v dosahu mnoho cizích sítí.

Pokud chcete bezpečnost řešit systematicky, nastavte si jednoduchý režim kontroly: jednou měsíčně projít seznam zařízení, jednou za čtvrt roku zkontrolovat aktualizace a při každém větším zásahu do sítě ověřit, zda zůstalo zapnuté jen to, co skutečně používáte. V domácí síti platí stejná zásada jako u zámku u dveří: čím méně zbytečných funkcí a čím lépe udržovaný systém, tím menší riziko nezvaných hostů.