Ilustrace kybernetické bezpečnosti s notebookem a varovným symbolem STOP.
184

Domácí Wi-Fi bereme jako elektřinu ve zdi. Zapneme router, připojíme mobil, televizi, tablet i notebook a dál to neřešíme. Jenže Wi-Fi je vstupní brána do celé sítě, a často i do práce, kamer a chytré domácnosti.

Proto má smysl dívat se na ni střízlivě. Bez strašení, ale také bez iluzí. Když zůstane slabé heslo, staré šifrování a neudržovaný router, útočník to nemá těžké. A právě na to se teď podíváme.

Jak se útočník dostane do špatně zabezpečené Wi-Fi

Muž hackující Wi-Fi s ikonou zámku a signálem na pozadí.

Většina útoků na Wi-Fi nevypadá jako filmová scéna s blikajícími obrazovkami. Častěji jde o známé slabiny, které lidé nechají zapnuté roky. Staré nastavení, pohodlné přihlašování, výchozí údaje nebo heslo, které si pamatuje i sousedův syn.

Útočník navíc nemusí být génius. Mnoho nástrojů je běžně dostupných a pracují s tím, co lidé zanedbají sami. K tomu patří i falešné přihlašovací stránky, které napodobí správu routeru nebo captive portál. Uživatel zadá údaje sám, protože stránka vypadá důvěryhodně.

Nejsnazší cesta dovnitř často nevede přes složitý útok, ale přes pohodlnost uživatele.

Nejslabší místo bývá heslo, které jde uhodnout za chvíli

Hesla typu jméno dítěte, adresa, datum narození nebo telefonní číslo působí nevinně. Jenže právě tohle bývá první okruh pokusů. Stejně špatně dopadá i krátká kombinace typu 12345678 nebo wifi1234.

Silné heslo není kouzlo. Má být dlouhé a pro cizího člověka neodhadnutelné. Lepší je věta nebo spojení několika nesouvisejících slov doplněných čísly a znaky. Takové heslo se hůř láme a přitom se dá zapamatovat.

Problém bývá i v tom, že stejné heslo lidé použijí pro Wi-Fi i pro správu routeru. Když pak unikne z jiné služby, otevře dveře i doma. Jeden klíč ke všem dveřím zní pohodlně, ale bezpečné to není.

Staré zabezpečení a zapnuté WPS dělají z routeru snadný cíl

Když router běží na starším typu zabezpečení, útočník má práci snazší. Staré režimy už dávno nepatří do provozu, přesto je stále vídáme. Někdy proto, že zařízení nikdo nenastavil, jindy proto, že po letech nikdo nezkontroloval, co vlastně běží.

Podobně problematické je WPS. Na první pohled je to lákavé. Stisknete tlačítko a zařízení se připojí skoro samo. Pohodlí při prvním párování ale může znamenat slabinu, která v síti zůstane dlouho.

Do toho připočtěte neaktualizovaný firmware. Router pak připomíná staré dveře s novým nátěrem. Zvenku vypadá v pořádku, ale zámek už dávno neplní svou práci.

Co hrozí po prolomení Wi-Fi, a proč nejde jen o pomalý internet

Když se někdo dostane do Wi-Fi, nejde jen o to, že vám spadne rychlost. To je ten nejmírnější dopad. Horší je, že cizí člověk stojí uvnitř vaší digitální domácnosti a rozhlíží se, co může otevřít dál.

Rizika útoku na vaši domácí síť

V síti dnes nebývá jen notebook a telefon. Často tam visí kamery, chytré zásuvky, televize, tiskárna, NAS úložiště a někdy i platební terminál nebo firemní notebook. Každé takové zařízení je další dveře, které může zkusit otevřít.

Cizí člověk se nemusí připojit na Wi-Fi. Stačí, když se dostane na router

Dnes už nejde jen o to, jestli se vám někdo připojí na domácí Wi-Fi z ulice. Ve většině případů je reálnější scénář jiný. Útočník se snaží dostat na router nebo zařízení v síti vzdáleně přes internet.

Pokud je router špatně nastavený, má slabé heslo do administrace, zastaralý firmware nebo otevřené služby, může se stát vstupní bránou do celé sítě. A v tu chvíli je jedno, jestli je útočník o dům vedle, nebo na druhém konci světa.

Po získání přístupu už útočník nehledá jen „zábavu“. Zkouší slabá hesla v zařízeních, otevřené porty a špatně zabezpečené služby. Starší tiskárna, kamera bez změněného hesla nebo špatně nastavené úložiště pak mohou posloužit jako další krok.

U chytré domácnosti je riziko ještě citlivější. Kamera v chodbě, dětská chůvička nebo záznamové zařízení nejsou jen technika. Jsou to kousky soukromí. A jakmile se k nim dostane cizí člověk na dálku, nejde už o pomalé Wi-Fi, ale o to, že vám někdo může „vidět domů“.

Dalším problémem je právní odpovědnost. Pokud někdo zneužije vaši přípojku nebo zařízení k nelegální činnosti, první stopa často vede k vám. A i když se situace dá vysvětlit, stojí to čas, energii a zbytečné komplikace.

Napadená Wi-Fi může ohrozit i práci z domu a firemní data

Domácí síť dnes často funguje jako malá kancelář. Přes stejný router běží videohovory, přístupy do firemních systémů, sdílené složky i cloudové účty. Když je síť slabě chráněná, riziko se nepřenáší jen na domácnost, ale i na zaměstnavatele nebo klienty.

Stačí jeden notebook bez dobrého oddělení od zbytku sítě a problém je na světě. Vedle pracovního zařízení může být připojená levná kamera, starý televizor a pár chytrých zásuvek. Pokud je všechno v jedné síti, hranice mezi prací a běžnou domácností mizí.

To pak bolí dvakrát. Jednou kvůli soukromí, podruhé kvůli provozu. Výpadky, nestabilita a ztráta důvěry ve vlastní síť dokážou z obyčejného pracovního dne udělat dlouhý boj.

Jak síť zabezpečit tak, aby útok měl co nejtěžší

Dobrá zpráva je prostá. Ve většině domácností se dá úroveň ochrany zlepšit během jednoho večera. Nemusíte být správce sítě. Stačí pár správných voleb a ochota se do routeru jednou za čas podívat.

Základ tvoří silné heslo do administrace, moderní šifrování WPA3 a vypnuté zbytečné zkratky. Stejně důležité je pravidelně aktualizovat firmware a oddělit hosty i IoT zařízení od hlavní sítě.

Pět nastavení, která má smysl zkontrolovat hned dnes

Těchto pět bodů zvládne běžný uživatel bez velké teorie:

  1. Nejdůležitější je, aby správa routeru nebyla dostupná z internetu. Vypněte vzdálenou správu (remote management), omezte otevřené porty a nenechávejte zapnuté služby, které nepotřebujete.
  2. Zkontrolujte šifrování. Pokud router umí WPA3, zapněte ho. Když ne, použijte správně nastavené WPA2.
  3. Vypněte WPS. Je pohodlné, ale zbytečně otevírá další cestu.
  4. Změňte výchozí jméno a heslo administrace routeru. Tohle lidé nechávají překvapivě často.
  5. Projděte seznam připojených zařízení a aktualizujte firmware. Když vidíte něco cizího, řešte to hned.

Krátká kontrola má velký efekt. A když si jednou za měsíc otevřete správu routeru, často odhalíte problém dřív, než se projeví nahlas.

Proč jsme v naší síti přestali používat produkty od společnosti TP-Link

Tahle část není útok na značku ani snaha o laciný soud. TP-Link prodává hodně zařízení a v řadě domácností fungují. My jsme ale při správě sítí došli k tomu, že pro naše nasazení a pro klienty, kteří chtějí klidný provoz, jsme začali volit jiné řešení.

Rozhodnutí vychází z praxe. Sledujeme bezpečnost, chování firmware, délku podpory, přehlednost správy i stabilitu pod zátěží. A právě v těchto oblastech jsme u různých modelů naráželi na příliš velkou nevyrovnanost.

Rozhodla praxe, ne logo na krabici

Marketing umí vypadat hezky. V provozu ale poznáte všechno rychle. Záleží na tom, jak zařízení zvládá aktualizace, jak se chová po měsících běžného provozu a zda se dá rozumně spravovat i ve chvíli, kdy je v síti více prvků.

U TP-Linku jsme v některých případech řešili méně přesvědčivou konzistenci mezi modely, různou kvalitu firmware a menší důvěru v dlouhodobou správu. Pro běžné použití to nemusí být vždy problém. Jenže když nesete odpovědnost za síť u klienta, nechcete sázet na to, že to snad nějak dopadne.

Naší prioritou je klidný provoz. Proto dáváme přednost technice, u které máme lepší zkušenost s podporou, bezpečnostními opravami a celkovou předvídatelností.

Co sledujeme u routerů a přístupových bodů dřív, než je někam nasadíme

Nejdřív nás zajímá, jak výrobce přistupuje k aktualizacím a jak dlouho zařízení podporuje. Pak řešíme správu. Musí být přehledná, rychlá a bez zbytečných kompromisů. Dále sledujeme stabilitu při větším počtu zařízení, možnost oddělit hosty a IoT síť a také to, jak snadno se dá celá síť udržovat.

Důležitá je i segmentace. Chceme mít možnost oddělit pracovní notebooky, chytrou domácnost a návštěvy. Když to zařízení neumí dobře nebo to dělá neohrabaně, v praxi to bývá problém.

Nakonec rozhoduje důvěra. Ne ta reklamní, ale ta provozní. Pokud technika dlouhodobě šetří čas, drží nastavení a nevytváří zbytečné riziko, má u nás místo. Pokud ne, hledáme jinou cestu.

Slabá Wi-Fi se často neprolomí kvůli jedné velké chybě. Spíš kvůli směsi maličkostí, slabému heslu, starému nastavení a routeru, na který se roky nesáhlo. A právě tahle směs bývá nejdražší.

Dobře zabezpečená síť přitom nemusí být složitá. Když se správně nastaví, pravidelně kontroluje a dává smysl i po stránce pokrytí, funguje tiše a spolehlivě. Pokud si chcete vlastní Wi-Fi prověřit nebo navrhnout bezpečné mesh řešení, podívejte se na https://www.marekstejskal.cz/wi-fi-mesh/ nebo se rovnou ozvěte.

Zavolejte nám