Wi-Fi sítě: zabezpečení, řešení zahlušení a výběr správného routeru

28. 2. 2012

Sdílet

 Autor: Redakce

Mezinárodní standardizační organizace IEEE označuje soubor technických norem pro Wi-Fi sítě jako „802.11“. Následující písmeno pak označuje další verze a rozšíření.

Wi-Fi sítě

 

Prvním všeobecně rozšířeným standardem je 802.11b z roku 1999. Tato norma umožňuje komunikaci rychlostmi 1, 2, 5 a 11 Mb/s. Používá 14 kanálů ve frekvenčním spektru 2,412 – 2,484 GHz. Její největší nevýhodou je z dnešního pohledu nedostatečná úroveň zabezpečení. Heslo k síti zabezpečené metodou WEP lze dnes prolomit během několika minut.
 
V roce 2003 přišla na svět norma 802.11g, která se oproti výše zmíněné liší maximální dosažitelnou rychlostí 54 Mb/s a především nahrazuje již v té době zastaralé zabezpečení WEP novým, s názvem WPA. Zabezpečení WPA dnes existuje ve dvou verzích – TKIP a AES. S narůstajícími požadavky na bezpečnostní standardy byl vyvinut algoritmus WPA2 s AES šifrováním – ten je dostupný ve všech zařízeních od roku 2006 a v domácí sféře ho lze považovat za nejvhodnější.

 

Profesionální zabezpečení
Poslední možností zabezpečení komunikace je protokol 802.11x, který ověřuje uživatele přes RADIUS server. Pro svou složitější konfiguraci se ale toto řešení v domácích sítích nepoužívá.

Když klasická Wi-Fi stávkuje

Zejména na velkých sídlištích se může stát, že kvalita signálu bezdrátové sítě neodpovídá požadavkům. To může být způsobeno silným rušením stávajících Wi-Fi sítí v okolí. Pokud je ve vašem okolí pásmo 2,4 GHz příliš zarušené, můžete využít zařízení splňující standard 802.11a, které vysílá na frekvenci 5 GHz. Nevýhodou je, že pro tuto vlnovou délku budete potřebovat jinou anténu a kompatibilní klientská zařízení. V poslední době se však na trhu objevují zařízení, která dokážou komunikovat v obou pásmech. Jejich cena je sice o něco vyšší, odměnou vám ale bude bezproblémový chod.

 

Wi-Fi sítě

 

Nejnovějším standardem je 802.11n, který slibuje základní rychlost 150 Mb/s, pokud však použijete větší počet antén, můžete dosáhnout teoreticky až 600 Mb/s. Nevýhodou však je, že pro provoz na těchto rychlostech potřebujete větší počet kanálů (výsledný výkon je tedy velice závislý na okolním rušení).

 

Zabezpečení sítě

Aby byla vaše bezdrátová síť bezpečná, je dobré věnovat pozornost jejímu zabezpečení. Jako optimální se jeví nastavení WPA klíče s šifrováním AES. Nezapomeňte také změnit výchozí heslo k administraci routeru. Kromě přístupového hesla k vaší bezdrátové síti si můžete k vyšší bezpečnosti pomoci ještě dalšími kroky.

 

První z možností je skrytí identifikátoru sítě – SSID. V PC se tak v seznamu dostupných sítí ta vaše nebude zobrazovat. Budete-li se k této síti chtít poprvé připojit, budete muset její název zadat ručně. Nejpohodlnějším způsobem je nastavení všech PC do vaší sítě a následné skrytí SSID v konfiguraci vašeho routeru.
Dále můžete zvýšit odolnost své sítě proti nezvaným uživatelům nastavením filtru MAC adres. Filtr se hodí zejména tehdy, když váš router umí pouze slabé šifrování WEP, nic však nebrání použití i u novějších zařízení. Lze jej nastavit tak, aby akceptoval pouze zadané adresy, popřípadě aby blokovat nežádoucí MAC adresy. I s tímto filtrem si případný útočník poradí, nicméně se jedná o další překážku v cestě do vaší sítě. K odhalení nežádoucích uživatelů vám může posloužit i logovací systém routeru. Pokaždé, když se někdo pokusí připojit k vaší síti, router přidá do vlastního logu záznam a vy tak budete mít přehled o cizí aktivitě.

 

Co když je sítí moc?

Slovník
WEP  zastaralá metoda zabezpečení sítí 802.11
WPA novější náhrada zabezpečení WEP
TKIP  původní systém výměny sdílených klíčů u WPA
AES novější systém výměny sdílených klíčů u WPA2 s asymetrickým šifrováním
MAC jedinečná fyzická adresa síťového zařízení přidělená výrobcem
WPS  systém pro konfiguraci Wi-Fi připojení stiskem tlačítka na routeru a síťové kartě
SSID  zkratka používaná k označení názvu konkrétní Wi-Fi sítě
Jelikož se dnes už s bezdrátovou sítí setkáme na každém kroku, můžeme se setkat i s problémem, že je na jednom místě sítí příliš a tak spolehlivě nefunguje ani jedna. Samotná technologie Wi-Fi se tomu snaží předcházet frekvenčním oddělením jednotlivých kanálů. První, šestý a jedenáctý kanál se navzájem vůbec nepřekrývají. Na jednom místě tak můžeme provozovat tři Wi-Fi sítě, aniž bychom sledovali jejich vzájemné rušení. Každá další síť pak musí sdílet pásmo s některou z předchozích. Pokud sousední sítě nevyužívají celé frekvenční spektrum, je vhodné nastavit svůj přístupový bod tak, aby používal volný kanál.
Dalším užitečným krokem může být změna polohy přístupového bodu nebo použití směrové antény. V ČR je povoleno používat 13 kanálů a maximální výkon je Českým telekomunikačním úřadem omezen na 100 mW. Kvalitnější zařízení umožňují nastavení vysílacího výkonu. Pokud budete svou síť ladit až do takovýchto detailů, ideální je nastavit nejnižší možný vysílací výkon, při kterém ještě síť funguje k vaší spokojenosti.

 

Wi-Fi sítě

 

bitcoin_skoleni

V praxi se bohužel stává, že zejména ve větších městech si soused nastaví vyšší vysílací výkon, aby mu jeho síť fungovala, a nebere ohled na okolí. Pak může dojít k „válce antén“, kdy si ostatní pořizují silnější antény a nastavují vyšší vysílací výkon, až nakonec dospějí do stádia maximálního zarušení, kdy už síť nefunguje vůbec nikomu.

 

Výběr zařízení

Při pořizování přístupového bodu zvažte, co všechno od něj budete požadovat. Dražší modely podporují nejnovější standard 802.11n a tak vám umožní využívat vaší síť skutečně naplno. Užitečnou vlastností může být přítomnost USB portu – lze jej využít k připojení flashdisku, nebo pevného disku a centrálně sdílet data mezi všemi přístroji v síti. Většina routerů s USB portem umožní stejným způsobem sdílet i tiskárnu, nebudete tak muset nechat zapnutý počítač, aby jste mohli z jiného tisknout.
Wi-Fi sítě

 

Plánujete-li Wi-Fi router použít jako klientské zařízení pro připojení k vašemu poskytovateli internetu, je vhodnější pořídit si levnější model s 802.11g – s jednou anténou. Rovněž je potřeba dát si při výběru pozor, zda zařízení umí fungovat i v režimu klient.
Pokud plánujete hodně stahovat, mohl by se vám hodit router, do kterého lze nahrát alternativní linuxový firmware. Některé tyto firmwary umějí udržovat více současných TCP spojení, než standardní systém dodaný výrobcem, případně mohou samy stahovat na připojený disk i při vypnutém počítači. Alternativní systém rovněž často výrazně rozšíří možnosti vašeho routeru. K případnému vyzkoušení doporučuji především distribuci DD-WRT, která se mi osobně osvědčila.

 

Test bezpečnosti
Chcete-li si otestovat kvalitu zabezpečení vaší sítě nebo si prohlédnout využití jednotlivých kanálů ve vašem okolí, vyzkoušejte linuxovou distribuci BackTrack, která je k těmto účelům přímo určená.