Zabezpečení připojení k internetu

Začněme od základu, a to zabezpečením internetového připojení. Průměrná domácnost dnes nemá na internet připojený pouze počítač, ale i chytré telefony, tablety, chytré televize, herní konzole, domácí disková uložiště a pomalu již přibývají chytrá zařízení jako dětské chůvičky připojené na internet, IP kamery nebo chytré LED žárovky.

Většina zařízení obsahuje naše cenná data, jako jsou fotografie, videozáznamy, dokumenty, hudba a filmy. Některá zařízení zase mohou monitorovat náš soukromý život – IP kamery, dětské chůvičky a dnes i chytré televizory. A naše soukromí, tedy i soukromí našich dětí, včetně našich dat je třeba řádně chránit. Pokud toto soukromí může být narušeno právě z internetu, je třeba se zaměřit na zařízení, které je naši domácnost schopno k internetu připojit. A tím je povětšinou router.

Běžný uživatel router vnímá jako krabičku s anténkou, která dokáže vytvořit Wi-Fi síť, ale toto zařízení je mnohem sofistikovanější a není zas tak těžké je dobře nastavit ani pro průměrného uživatele.

Router je zařízení, které propojuje dvě různé počítačové sítě

a routuje (směruje) mezi nimi datový tok.

Router je zařízení, které propojuje dvě různé počítačové sítě a routuje (směruje) mezi nimi datový tok. Právě nezabezpečený router může být prostředkem k neoprávněnému průniku do počítačové sítě v naší domácnosti. Jakmile útočník skrze náš router do naší domácí počítačové sítě pronikne, může např. sledovat skrze IP kamery náš soukromý život, krást a zneužívat naše data, nebo z našeho internetového připojení může dále páchat trestnou činnost.

Jak router zabezpečit?

Změnit přístupové údaje do administrace

Základním prvkem je zabezpečit přístup do nastavení routeru, tzv. administrace. Do nastavení se uživatel dostane tak, že v internetovém prohlížeči zadá přístupovou IP adresu (nejčastěji 192.168.0.1 nebo 10.0.0.138 – nalezneme na štítku nalepeném na routeru) a je vyzván k zadání uživatelského jména a hesla, jako by se přihlašoval do svého emailového účtu. Právě zde se nachází Achillova pata routeru. Většina routerů má tyto údaje z výroby nastaveno stejně – uživatelské jméno: admin a heslo: admin. A tohoto umí útočníci velice dobře využít. Po přihlášení do administrace routeru je to první věc, kterou je třeba změnit.

ROUTER (1) - přihlášení — Do adresového řádku internetového prohlížeče vložíme IP adresu routeru. Tu nalezneme na štítku nalepeném na spodní straně routeru nebo v návodu k použití.

ROUTER (2) - Gateway — V Gateway vyplníme uživatelské jméno (admin) a heslo (admin).

ROUTER (9) - Změna hesla do administrace — V nastavení routeru, položka Maintenance – Account, zadáme stávající heslo, poté dvakrát nové heslo a potvrdíme tlačítkem SUBMIT.

Změnit název vysílané sítě a hesla

V sekci nastavení Wi-Fi sítě je třeba zadat jméno vysílané Wi-Fi sítě, tzv. SSID a hesla. Jak vytvořit silné heslo je obsahem této publikace a název vysílané Wi-Fi (SSID) je zcela na fantazii uživatele (je vhodné se vyhnout např. příjmení nebo jiným osobním údajům).

Komunikaci na síti je třeba ještě zabezpečit a zašifrovat

V současné době volíme způsob WPA2-PSK (Wi-Fi Protected Access II) s AES (Advanced Encryption Standard) šifrováním. Všechny starší způsoby zabezpečení – WPA (Wi-Fi Protected Access) nebo WEP (Wired Equivalent Privacy) – lze paušálně vnímat jako již prolomené a nedoporučují se užívat.

Velké množství routerů dnes nabízí vysílat dvě Wi-Fi zároveň. Tuto možnost je vhodné využít např. pro přátele. Domácí osoby budou užívat první z nastavených Wi-Fi sítí s přístupem ke sdíleným dokumentům a přátelé budou moci využívat připojení k internetu z druhé vysílané Wi-Fi sítě, avšak bez přístupu ke sdíleným dokumentům.

ROUTER (10) - Zmena SSID, PSW, KEY — V nastavení routeru, položka Basic – WLAN, do SSID zadáme název vysílané Wi-Fi, v položce Security zadáme WPA2-PSK, heslo ke své Wi-Fi síti zadáme do WPA pre-shared key a způsob šifrování v položce WPA encryption ponecháme AES, poté potvrdíme tlačítkem SUBMIT.

Zvážit filtrování zařízení, která se mohou připojit

Popsané zabezpečení lze doplnit tzv. filtrováním MAC adres. Každé zařízení, které je schopno se připojit na Wi-Fi síť, má své unikátní „výrobní“ číslo nazývající se MAC adresa (MAC – Media Access Control) a vypadá např. takto: 00-11-09-95-26-FE. Do nastavení routeru zapíšeme MAC adresy všech užívaných zařízení a zapneme filtraci. Router poté připojí jen ta zařízení, která budou mít MAC adresu zapsanou v seznamu. Ostatní zařízení nebudou připojena ani v případě, že dotyčný uživatel bude znát heslo k Wi-Fi síti.

ROUTER (11) - Filtrace MAC adresy 1 — V nastavení routeru, položka Basic – WLAN, záložka WLAN Filtering, zvolíme Blacklist nebo Whitelist a vyplníme požadovanou MAC adresu, poté potvrdíme tlačítkem SUBMIT.

ROUTER (12) - Filtrace MAC adresy 2 — Požadovaná MAC adresa je zapsána v paměti routeru.

Vysílat 2 Wi-Fi sítě najednou

Pokud váš router umožňuje vysílat 2 Wi-Fi sítě zárověň, využijte toho. Jedna Wi-Fi síť bude sloužit pro úzký okruh domácích uživatelů, kteří budou mít přístup do sdílených složek připojených zařízení nebo NAS disku (SSID1: DOMACI). Druhá Wi-Fi bude sloužit pouze k připojení hostů k internetu, avšak bez možnosti vstupu do domácí sítě. Cenná data tak budou chráněna před případnými zvědavci.

Aktualizovat firmware

Jednou za čas zkontrolujeme webové stránky výrobce routeru, zda pro něj nebyla vydána nová verze firmwaru. Firmware je software (program), který zajišťuje funkčnost routeru. Pokud se v tomto softwaru nachází chyba (která může být využita útočníky), výrobce ji opraví a vydá tzv. novou verzi firmwaru. Jeho aktualizaci je vhodné přenechat zkušenějším uživatelům.