Bezpečnost domácí sítě

Posted on by Marek Bielik
Bezpečnost domácí sítě

Proč řešit šifrování a hesla u domácí Wi-Fi

Domácí síť dnes nese nejen multimédia a hry, ale i chytrou domácnost, bankovnictví a práci na dálku. Bezpečnost Wi-Fi proto stojí na dvou pilířích: moderní šifrování a správa silných, správně nastavených hesel. Tento článek shrnuje osvědčené postupy pro přístupové body a routery, vysvětluje volbu režimů WPA, doporučuje parametry hesel a ukazuje, jak bezpečně oddělit IoT zařízení od zbytku sítě.

Standardy šifrování: WPA3, WPA2 a co vypnout

  • WPA3-Personal (SAE) – doporučené výchozí nastavení. Využívá výměnu klíčů SAE, která brání offline slovníkovým útokům. Povinně zapíná Protected Management Frames (PMF, 802.11w) a používá AES-CCMP/GCMP.
  • WPA2-Personal (AES/CCMP) – minimální akceptovatelný stupeň, pokud starší klienti nepodporují WPA3. Nikdy nepoužívejte TKIP.
  • Režim „WPA2/WPA3 Transition“ – dočasné řešení při postupné migraci; jakmile lze, přejděte na čisté WPA3.
  • WEP, WPA (TKIP) a otevřené sítězakázat. Jsou kryptograficky prolomitelné nebo nešifrované.

PMF (Protected Management Frames) – proč je důležité

PMF chrání řídicí rámce, aby nešlo snadno vynutit odpojení klienta (deauthentication/disassociation útoky). V WPA3 je povinné, u WPA2 jej zapněte jako „required“, pokud to klienti zvládnou. Zlepší to odolnost proti „evil-twin“ trikům a rušení připojení.

Nastavení SSID: název, skrytí a oddělené sítě

  • SSID pojmenujte jednoznačně, neodvozujte jej od jména či adresy. Vyhněte se modelovému názvu routeru.
  • Skrytí SSID nezvyšuje bezpečnost; rámce stejně unikají. Spíše komplikuje roaming a připojení IoT. Nechte SSID viditelné.
  • Oddělené SSID: vytvořte Guest síť a IoT síť. Zapněte pro ně Client/AP Isolation, omezte přístup do LAN a povolte jen internet.

Hesla k Wi-Fi: délka, složitost, formát

Nejsilnější vliv na bezpečnost má kvalita PSK (předsdíleného klíče) u WPA2/3-Personal.

  • Délka: minimálně 14–16 znaků; doporučeno 18–24 znaků. Dlouhé heslo poráží nutnost extrémní složitosti.
  • Forma: používejte náhodná slova (tzv. diceware) nebo náhodný generátor v password manageru. Příklad: spisovna-most-paprika-dálka-vřeteno.
  • Znaky: držte se běžné ASCII sady (písmena, čísla, pomlčky). Některá IoT zařízení špatně snáší diakritiku či exotické znaky.
  • Unikátnost: jiné heslo pro hlavní SSID, jiné pro Guest/IoT, jiné pro administraci routeru.
  • Rotace: měňte při podezření na únik, po servisním zásahu nebo jednou za 1–2 roky. U WPA3 SAE není rotace tak kritická, přesto je rozumná.

Správa hesel: kam je uložit a jak sdílet bezpečně

  • Password manager (KeePass, 1Password, Bitwarden…) – generujte a ukládejte hesla, synchronizujte mezi zařízeními.
  • QR kód pro hosty – mnoho routerů/OS umí vygenerovat QR s WPA konfigurací. Umístěte jej v domácnosti místo diktování hesla.
  • Papírová „nouzová“ záloha – uložte do obálky mimo dosah kamer a návštěvníků.

Administrace routeru: oddělené přístupové údaje a 2FA

  • Změňte výchozí admin jméno a heslo (silné, 16+ znaků). Nepoužívejte stejné heslo jako pro Wi-Fi.
  • Aktualizace firmware – zapněte automatické aktualizace, případně pravidelně kontrolujte nové verze. Opravují kritické zranitelnosti.
  • Správa z internetu – vypněte vzdálenou administraci (WAN management). Pokud nutná, použijte VPN (WireGuard) a 2FA na cloudovém účtu výrobce.
  • Protokoly – zakázat Telnet/HTTP, povolit jen HTTPS/SSH, pokud je k dispozici.

WPS, MAC filtry a další „falešná bezpečnost“

  • WPS (hlavně PIN) zakázat. Usnadňuje neautorizovaný přístup. PBC (tlačítko) rovněž raději vypněte.
  • MAC filtrování je obcházetelné (MAC lze podvrhnout). Nepovažujte jej za bezpečnostní prvek.
  • Skryté SSID – viz výše, neposkytuje reálné zabezpečení.

Segmentace: hosté a IoT pod kontrolou

Největší riziko představují levná IoT zařízení se slabou podporou aktualizací. Proto:

  • Vytvořte Guest SSID (internet only) a IoT SSID s Client Isolation a bez přístupu do domácí LAN.
  • Pokročile: použijte VLAN a firewall pravidla – IoT smí jen k internetu a případně k home hubu/mostu.
  • Potřebujete-li, aby telefon ovládal IoT v jiné síti, povolte jen mDNS/Bonjour přes mDNS repeater či specifické pravidlo, ne celé „any-any“.

Další nastavení pro silnou Wi-Fi bezpečnost

  • Šifrovací sada: AES-CCMP (WPA2), GCMP/CCMP (WPA3). Zakázat TKIP.
  • Kanály a pásma: to není přímo bezpečnost, ale stabilní signál snižuje odpojování a přihlašovací pokusy. Pásmo 5 GHz/6 GHz (Wi-Fi 6/6E) preferujte, pokud je dostupné.
  • Firewall/DoS ochrany: ponechte aktivní na routeru, vypněte UPnP pokud ho nepotřebujete.
  • Logování: zapněte základní systémové logy a uložte konfiguraci do zálohy po každé změně.

Bezpečné chování uživatelů a klientských zařízení

  • Automatické připojování: zakažte automatické připojování k „otevřeným sítím“. Preferujte jen vaše SSID.
  • Aktualizace OS a ovladačů Wi-Fi – opravují chyby v handshake a šifrovacích knihovnách.
  • Správa sdílení: na noteboocích vypněte sdílení souborů v Public/nezabezpečených profilech.
  • VPN: na cestách používejte VPN; doma není nutná kvůli šifrované Wi-Fi, ale může zjednodušit bezpečný vzdálený přístup.

Postup „15 minut k bezpečnější síti“

  1. Přihlaste se do routeru a změňte admin heslo (16+ znaků).
  2. Aktualizujte firmware na nejnovější verzi.
  3. Nastavte WPA3-Personal (SAE); pokud nejde, použijte WPA2-AES a vypněte TKIP.
  4. Zapněte PMF (u WPA2 jako required).
  5. Změňte SSID na neutrální název; ponechte viditelné.
  6. Nastavte silné Wi-Fi heslo (18–24 znaků, náhodná slova).
  7. Vypněte WPS, vzdálenou administraci z internetu a UPnP (pokud není potřeba).
  8. Vytvořte Guest a IoT síť s izolací klientů.
  9. Uložte zálohu konfigurace a QR kód pro hosty.

Rotace a incident response: co dělat při podezření na kompromitaci

  • Změňte admin heslo a zkontrolujte, zda není aktivní vzdálená správa.
  • Vygenerujte nové Wi-Fi heslo a změňte jej ve všech SSID.
  • Zkontrolujte připojená zařízení; neznámá odpojte a proveďte factory reset podezřelých IoT.
  • Aktualizujte firmware. Pokud nelze, zvažte výměnu zařízení.
  • Prohlédněte logy, zda neprobíhají opakované neúspěšné pokusy či neobvyklý provoz.

Časté mýty a omyly

  • „Skrytí SSID mě ochrání.“ Neochrání – útočník SSID odhalí z provozu klienta.
  • „MAC filtr stačí.“ Nestačí, MAC lze naklonovat během minut.
  • „Dám složité heslo, ale nechám WPS.“ WPS PIN zkratkou obejde jakékoli heslo.
  • „WPA2 s TKIP je v pořádku.“ Není – TKIP je zastaralý, držte se AES-CCMP.

Specifika pro Wi-Fi 6/6E/7

Novější standardy přinášejí vyšší kapacitu a často i lepší implementaci bezpečnostních funkcí. U Wi-Fi 6/6E/7 je běžně dostupné WPA3-Personal a kvalitnější řízení rádiových pásem. Při přechodu na 6E/7 (6 GHz) používejte čisté WPA3; starší klienti stejně 6 GHz nepodporují, takže nepotřebujete přechodový režim.

Doporučení pro malé domácí „mesh“ systémy

  • Všude jednotný bezpečnostní profil (WPA3, stejné SSID/heslo), backbone mezi uzly ideálně wired (Ethernet) – stabilnější a méně přihlašovacích cyklů.
  • Guest a IoT SSID nastavte na všech uzlech, aby platila izolace i při roamingu.

Kontrolní checklist

  • WPA3-Personal zapnuto (nebo WPA2-AES jako minimum), PMF required.
  • WPS vypnuto; vzdálená správa z WAN vypnuta; UPnP vypnuto, pokud není potřeba.
  • Silná, unikátní hesla pro SSID a administraci; hesla ve správci hesel.
  • Guest/IoT sítě izolované; IDS/Firewall pravidla aspoň základní.
  • Firmware aktuální; konfigurace zálohovaná; logy zapnuté.

Závěr

Pevné šifrování a kvalitní správa hesel tvoří základ bezpečné domácí Wi-Fi. Preferujte WPA3-Personal s PMF, používejte dlouhá náhodná hesla, vypněte WPS, oddělte hosty a IoT a udržujte zařízení aktuální. Tato kombinace minimalizuje riziko prolomení a udrží domácí síť bezpečnou i při rostoucím počtu připojených zařízení.

Related Posts

Bezpodielové spoluvlastníctvo manželov

Bezpodielové spoluvlastníctvo manželov v práve Bezpodielové spoluvlastníctvo manželov je dôležitým právnym inštitútom v oblasti manželstva a majetku. Predstavuje majetkové spoločenstvo manželov, kde manželia majú rovnaké […]

B2b vs b2c komunikácia

B2b vs b2c komunikácia

Rozdiely medzi B2B a B2C komunikáciou: Ako nastaviť osobnosť a štýl značky, písať konzistentne pre B2B/B2C a posilniť dôveru. Príklady, do’s & don’ts a udržiavanie jednotného

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *