Jak zabezpečit domácí Wifi router / síť - WPA / WEP

MyEgo.cz

home foto blogy mywindows.cz kontakt

Jak zabezpečit domácí Wifi router / síť - WPA / WEP

Bezpečnost 28.04.08

Domácí Wifi router je dnes zcela běžná věc, podobně jako před pár lety 56kbps modem. Řada lidí ovšem stále používá zcela nedostatečné zabezpečení Wifi, a poskytuje tak přístup k internetu (a případně i ke svým datům) zcela zdarma i sousedům, dělají prostě takového nedobrovolného providera třeba celému paneláku.

Tento článek by měl popsat základní zapezpečení Wifi sítě pro laiky.

Schování SSID

SSID neboli název sítě je možné veřejně vysílat, popřípadě jej schovat, takže se připojí automaticky jen ten, kdo jej zná. Nejedná se ve skutečnosti o žádné seriózní zabezpečení, protože SSID se dá odhalit během 2 sekund, ale přesto to může někoho odradit.

Na routeru nastavte volbu "Hide SSID?" na "Yes".

Pokud máte schované SSID, musíte si ve Windows Vista zvolit možnost "Připojit i pokud síť nevysílá" pro automatické vytvoření spojení:

schované SSID

Specifikace MAC adres pro přístup

Každá síťová karta (LAN, Wifi, Bluetooth) má svoje unikátní výrobní číslo, nazývající se MAC (Media Access Control) adresa. Protože doma většinou máte jen několik málo počítačů, a návštěvy se často s notebookem nepřipojují, můžete na routeru nastavit omezení pro připojení jen na MAC adresy těchto vašich počítačů.

Ve Windows Vista se podívejte na Wifi připojení:

stav Wifi připojení

A po kliknutí na Podrobnosti se vám zobrazí MAC adresa (fyzická adresa) vaší síťové karty:

MAC adresa karty

Následně tuto MAC adresu (a adresu dalších počítačů) vložte ve vašem routeru do sekce "Access Control" a nastavte "MAC Access Mode" na "Access" (což povolí přístup jen specifikovaným MAC adresám).

Nastavení kanálu (channel)

Pokud váš router disponuje funkcí "AP Scan", tak se podívejte, jaké jsou sítě v okolí. Je nutné mít rozdílné SSID od sousedů, a je více než vhodné nemít stejný kanál, ba ani kanál v rozsahu +1 či -1 od Wifi kanálu souseda.

Číslo kanálu může nabývat hodnot 1 až 13, a pokud jeden soused jede na "2" a druhý na "13", nastavte ten váš třeba na "10" či "8".

Nastavení zabezpečení / šifrování

Nejdůležitější je ovšem nastavení zabezpečení komunikace. Veškeré dříve uvedené metody jsou pouze doplňující, i MAC adresa se dá snadno zfalšovat a zjistit z vaší předchozí komunikace s AP.

Nejhorší řešení je "Open system" či "Shared key" a "zabezpečení" komunikace pomocí WEP-64 či WEP-128. Obě tyto metody šifrování jsou mimořádně snadno prolomitelné, i když jsou stále lepší než zcela otevřená síť. Pokud máte starou Wifi kartu, která podporuje pouze WEP, zapněte alespoň tento, a zvolte si silné heslo. Nechte si je vygenerovat třeba zde (a zvolte si 15+ znaků). Nicméně doporučoval bych koupit si za 500 Kč lepšího Wifi klienta, který podporuje WPA(2).

Optimální pro domácí zabezpečení je WPA-PSK a silnější WPA2-PSK (tedy WPA zabezpečení s Pre-Shared Key), a šifrování alespoň pomocí TKIP (Das Temporal Key Integrity Protocol) či nejlépe AES (Advanced Encryption Standard).

Pokud váš router i karta podporuje WPA2-PSK, zvolte si je, jinak použijte WPA-PSK, a jako šifrování AES, pokud AES nějaké zařízení neumí, tak TKIP. Opět si nechte vygenerovat silné heslo (třeba 30+ znaků), a poznamenejte si je na vašem PC třeba do aplikace KeePass. Uvedené heslo si nemusíte pamatovat z hlavy…

Ve Windows Vista si následně zvolte stejné parametry:

Wifi nastavení na Vista

Další nastavení routeru

Na routeru samozřejmě zapněte firewall (SPI - Stateful Packet Inspection), DoS protection, vypněte "Web Access from WAN", vypněte Sambu a FTP (pokud ji nepoužíváte).

Mimořádně důležité je změnit si jméno a heslo administrátora na router, klasické admin/admin znamená, že router za pár hodin či minut nemusíte už vůbec kontrolovat vy.

Přestože máte firewall na routeru, ponechte si samozřejmě zapnutý firewall i na PC strojích (postačí kontrola příchozích připojení).

Občas je vhodné podívat se na vašem routeru na otevřená Wifi připojení, změnit heslo administrátora, a samozřejmě Pre-Shared Key pro WPA(2). Nemusíte to dělat každý den, ale jednou za dva týdny bych změnu doporučoval.

Závěr

Pro naprosto dostatečné zabezpečení domácí sítě použijte uschování SSID, filtr na MAC adresu (ACCEPT), správné zvolení channel, a samozřejmě šifrování WPA2-PSK/AES.

network devices ve Vista

Komentáře

  1. 1 Eduard Veleba 28.04.08, 01:04:31
    FB

    Pěkný článek, jen mi přijde trošku zbytečné schovávat SSID, protože pokud na té síti kdokoliv komunikuje, stejně se ta síť dá bez problému najít (např. Kismetem v Linuxu, případně nejspíš taky NetStumblerem ve Windows). Je ale pravda, že ve "obyčejném" scanování vidět nebude.

    Druhá věc je zabezpečení pomocí MAC adres, to je taky víceméně k ničemu, protože MAC adresa se dá změnit jedním příkazem (jiná věc je to, že ne každý to umí)

    WPA2 je velmi dobrá volba (zatím jsem neslyšel o tom, že by jí v reálném čase někdo dokázal prolomit), ale možná ještě lepší volba je nechat AP zcela otevřené, klienty ale nikam nepustit, pouze na jeden jediný port, kde běží endpoint nějaké dobře šifrované VPNky, která používá certifikáty/klíče (např. OpenVPN) - to je ještě spolehlivější, než WPA2. Jiná věc je to, že to pak musí širovat procesor místo té WiFi karty, takže je to menší výkonový propad (v dnešní době dual-core procesorů to ale není nic, čeho by si člověk všiml).

  2. 2 Pavel VYCHODIL 28.04.08, 01:04:55
    FB

    Sám mám šifrováno WPA2-PSK pro svoji síť, ale k providerovi se připojuji na 5GHz WiFi zcela nechráněn :-))
    Síť mého providera je rozsáhlá a celá otevřená. Jen MAC adresa. Trpěliví asi u nás mají FreeNet, jen vědět na koho sosat.

    Nevím, zda je zátěž AP od MikroTiku taková při použití WPA, ale je fakt, že já mám zátěž procesoru AP 15% bez šifrování a 40% s WPA2-PSK AES šifrováním a to jsou připojené jen 3 kompy.

  3. 3 Kočica Daniel 28.04.08, 02:04:29
    FB

    MAC adresu jde změnit bez problémů. Jenže odkud by jí asi útočník získal když ho router do sítě nepustí :)

  4. 4 Eduard Veleba 28.04.08, 02:04:53
    FB

    [2] Bohužel, spousta takyposkytovatelů na bezpečnost dneska z vysoka kašle. Jsou asi tři věci, co s tím člověk může dělat: 1. minimalizovat nebezpečí používáním šifrovaných protokolů - to naráží na to, že u některých služeb/poskytovatelů služeb to prostě nejde, protože to nepodporují, 2. buzerovat poskytovatele, aby nějaké šifrování zavedl - to naráží na to, že se na Vás nejspíš vykašle, muselo by se dát dohromady dost zákazníků, navíc to znamená všem zákazníkům překonfigurovat WiFi spojení nebo dokonce vyměnit WiFi karty, nebo 3. si udělat šifrovaný tunel někam do netu a směrovat to tamtudy a to zase naráží na to, že by člověk musel mít někde server.. Jednoduché řešení není.

  5. 5 Melčák Jiří 28.04.08, 02:04:53
    FB

    Nemáte někdo nějaký výborný tip na wifi router s klasickým RJ45 vstupem a 4-portovým switchem? ;)

  6. 6 Eduard Veleba 28.04.08, 02:04:54
    FB

    [3] Pokud mu chybí už jen ta MAC adresa (resp. překonal šifrování nebo šifrování není), může si ji bez problémů odposlechnout

  7. 7 Eduard Veleba 28.04.08, 03:04:08
    FB

    [5] Pokud Vám nejde primárně o cenu, ale o kvalitu, hoďte do svého oblíbeného vyhledávače "routerboard"

  8. 8 Radek Hulán 28.04.08, 03:04:10
    FB

    [7] trošku overkill na domácí použití, tam stačí levný Asus 500gP.

  9. 9 Melčák Jiří 28.04.08, 03:04:13
    FB

    [8] Ano, už jsem se na něj koukal včetně recenze na tomto serveru. Myslím, že ten mi bohatě postačí. Produkt se prodává i v novější verzi 2, ale podle toho, co jsem teď přečetl, tak jednička je kvalitnější...

  10. 10 Aleš Tichý 28.04.08, 03:04:39
    FB

    [5] bez nějakýho velkýho přemýšlení jsem před vánoci pořídil Netgear WGR614 v7, aby mladá mohla netit na vánočním noťasu přes WiFi. Kabelovka -> kabelTVmodem -> router -> po kabelu já s PC -> po WiFi mladá s NTB. šlape jak hodinky, pokud nemá výpadky kabelovka :-)[5]

  11. 11 Jirka Koroptev 28.04.08, 03:04:48
    FB

    Přehledně napsaný článek. Já jsem wi-fi řešil asi před rokem. Původně jsem si myslel, že zabezpečení nebude nutné. Bohužel. Moc nechápu, že lidi ze stejného baráku, které znám většinou osobně, mi změnili během 5 minut běhu administrátorské heslo. Tak jsem nastavil WEP ( např. http://arstechnica.com/news.ars/post/20070404-new-attack-cracks-wep-in-record-time.html... ) - po asi 2 dnech jsem zaznamenával stále horší chování sítě. Pomalá rychlost i pomalá odezva. Takže jsem zainvestoval a šifruji WPA2. To by mělo být snad neprolomitelné ve zbytku času, který zbývá vesmíru a zatím to tak je.

  12. 12 Pavel Flajšhans 29.04.08, 11:04:12
    FB

    [6] Pokud používáte WPA a znáte PSK pro přihlášení k AP, tak stejně neodposlechnete MAC adresy ostatních přihlášených zařízeních. Šifruje se i MAC adresa v paketech.

  13. 13 Libor Foltýnek 29.04.08, 12:04:29
    FB

    Jen taková perlička. V našem domě jsou zdi natolik plné železa, že mám problém se signálem na mobilu, natož pak, aby se použitelný signál routru dostal k sousedům :)
    Kdo má řešení, jak nejlépe zašifrovat spojení, když používám PDA s Windows Mobile 5, sem s ním! Neumí to totiž ty nejsilnější šifry, pokud jsem něco nepřehlédl :-(

  14. 14 Doležal Juraj 29.04.08, 05:04:36
    FB

    [3] MAC adresa ide v broadcastoch ako plain text. Je to v poradí druhá najjednoduchšia forma bezpečnosti wifi.
    Treba rozlišovať bezpečnosť autentizácie/autentifikácie, kde dojde len k overeniu lusera a dáta nie sú šifrofané, a šifrovanie dát najlepšie s časovo premenným kľúčom.
    Čiže pre prvý prípad RADIUS server, po druhé WPA2+AES.
    A mikrotik + WPA? 4% Mám load.

  15. 15 Luděk Sladký 04.05.08, 06:05:12
    FB

    V článku chybí zmínka o funkci WCN (Windows Connect Now), která je obsažena v XP SP2 a Vistě. Stačí se k routeru připojit kabelem, nastavit PIN, pokud chcete vyexportovat nastavení na USB disk a pak se připojovat k routeru pomocí PINu. Zabezpečení routeru provedou Windows. Je to nějaká vymoženost Microsoftu.

  16. 16 josef tomek 26.09.08, 02:09:15
    FB

    Pekny clanek. Reaguji na schovavani SSID, MAC filtering a volbu kanalu. Tohle vsecko se da velice jednoduse obejit, jak uz psal clovek v prvnim prispevku, a ja jen dodavam, ze byt ne kazdy to umi, neni vubec obtizne se to naucit nebo na to najit nekde na webu kucharku. Jen pro demonstraci jednoduchosti, ja jsem nasel napriklad tyto stranky, kde je to vsecko i vcetne obrazku:

    How to crack WEP with Intel PRO/Wireless 3945ABG
    http://www.maxi-pedia.com/how+to+crack+WEP+with+intel+PRO+wireless+3945ABG...

    How to break MAC filtering (wifi security)
    http://www.maxi-pedia.com/how+to+break+MAC+filtering...

  17. 17 Tomáš Večerka 10.01.14, 09:01:00
    FB

    Dobry den mám dotaz je tomu asi 8 měsícu a jeden pán nám zabezpečoval wifi a ted tám máme heslo a já to heslo zapomněl a stratil lístek kde bylo napsaný je možnost jak ho vygenerovat spět a nebo něco podobnýho děkuju