Wi-Fi sítě: zabezpečení, řešení zahlušení a výběr správného routeru

Prvním všeobecně rozšířeným standardem je 802.11b z roku 1999. Tato norma umožňuje komunikaci rychlostmi 1, 2, 5 a 11 Mb/s. Používá 14 kanálů ve frekvenčním spektru 2,412 – 2,484 GHz. Její největší nevýhodou je z dnešního pohledu nedostatečná úroveň zabezpečení. Heslo k síti zabezpečené metodou WEP lze dnes prolomit během několika minut.

 

V roce 2003 přišla na svět norma 802.11g, která se oproti výše zmíněné liší maximální dosažitelnou rychlostí 54 Mb/s a především nahrazuje již v té době zastaralé zabezpečení WEP novým, s názvem WPA. Zabezpečení WPA dnes existuje ve dvou verzích – TKIP a AES. S narůstajícími požadavky na bezpečnostní standardy byl vyvinut algoritmus WPA2 s AES šifrováním – ten je dostupný ve všech zařízeních od roku 2006 a v domácí sféře ho lze považovat za nejvhodnější.

Zejména na velkých sídlištích se může stát, že kvalita signálu bezdrátové sítě neodpovídá požadavkům. To může být způsobeno silným rušením stávajících Wi-Fi sítí v okolí. Pokud je ve vašem okolí pásmo 2,4 GHz příliš zarušené, můžete využít zařízení splňující standard 802.11a, které vysílá na frekvenci 5 GHz. Nevýhodou je, že pro tuto vlnovou délku budete potřebovat jinou anténu a kompatibilní klientská zařízení. V poslední době se však na trhu objevují zařízení, která dokážou komunikovat v obou pásmech. Jejich cena je sice o něco vyšší, odměnou vám ale bude bezproblémový chod.

Nejnovějším standardem je 802.11n, který slibuje základní rychlost 150 Mb/s, pokud však použijete větší počet antén, můžete dosáhnout teoreticky až 600 Mb/s. Nevýhodou však je, že pro provoz na těchto rychlostech potřebujete větší počet kanálů (výsledný výkon je tedy velice závislý na okolním rušení).

Aby byla vaše bezdrátová síť bezpečná, je dobré věnovat pozornost jejímu zabezpečení. Jako optimální se jeví nastavení WPA klíče s šifrováním AES. Nezapomeňte také změnit výchozí heslo k administraci routeru. Kromě přístupového hesla k vaší bezdrátové síti si můžete k vyšší bezpečnosti pomoci ještě dalšími kroky.

První z možností je skrytí identifikátoru sítě – SSID. V PC se tak v seznamu dostupných sítí ta vaše nebude zobrazovat. Budete-li se k této síti chtít poprvé připojit, budete muset její název zadat ručně. Nejpohodlnějším způsobem je nastavení všech PC do vaší sítě a následné skrytí SSID v konfiguraci vašeho routeru.

Dále můžete zvýšit odolnost své sítě proti nezvaným uživatelům nastavením filtru MAC adres. Filtr se hodí zejména tehdy, když váš router umí pouze slabé šifrování WEP, nic však nebrání použití i u novějších zařízení. Lze jej nastavit tak, aby akceptoval pouze zadané adresy, popřípadě aby blokovat nežádoucí MAC adresy. I s tímto filtrem si případný útočník poradí, nicméně se jedná o další překážku v cestě do vaší sítě. K odhalení nežádoucích uživatelů vám může posloužit i logovací systém routeru. Pokaždé, když se někdo pokusí připojit k vaší síti, router přidá do vlastního logu záznam a vy tak budete mít přehled o cizí aktivitě.

Jelikož se dnes už s bezdrátovou sítí setkáme na každém kroku, můžeme se setkat i s problémem, že je na jednom místě sítí příliš a tak spolehlivě nefunguje ani jedna. Samotná technologie Wi-Fi se tomu snaží předcházet frekvenčním oddělením jednotlivých kanálů. První, šestý a jedenáctý kanál se navzájem vůbec nepřekrývají. Na jednom místě tak můžeme provozovat tři Wi-Fi sítě, aniž bychom sledovali jejich vzájemné rušení. Každá další síť pak musí sdílet pásmo s některou z předchozích. Pokud sousední sítě nevyužívají celé frekvenční spektrum, je vhodné nastavit svůj přístupový bod tak, aby používal volný kanál.

Dalším užitečným krokem může být změna polohy přístupového bodu nebo použití směrové antény. V ČR je povoleno používat 13 kanálů a maximální výkon je Českým telekomunikačním úřadem omezen na 100 mW. Kvalitnější zařízení umožňují nastavení vysílacího výkonu. Pokud budete svou síť ladit až do takovýchto detailů, ideální je nastavit nejnižší možný vysílací výkon, při kterém ještě síť funguje k vaší spokojenosti.

V praxi se bohužel stává, že zejména ve větších městech si soused nastaví vyšší vysílací výkon, aby mu jeho síť fungovala, a nebere ohled na okolí. Pak může dojít k „válce antén“, kdy si ostatní pořizují silnější antény a nastavují vyšší vysílací výkon, až nakonec dospějí do stádia maximálního zarušení, kdy už síť nefunguje vůbec nikomu.

Při pořizování přístupového bodu zvažte, co všechno od něj budete požadovat. Dražší modely podporují nejnovější standard 802.11n a tak vám umožní využívat vaší síť skutečně naplno. Užitečnou vlastností může být přítomnost USB portu – lze jej využít k připojení flashdisku, nebo pevného disku a centrálně sdílet data mezi všemi přístroji v síti. Většina routerů s USB portem umožní stejným způsobem sdílet i tiskárnu, nebudete tak muset nechat zapnutý počítač, aby jste mohli z jiného tisknout.

Plánujete-li Wi-Fi router použít jako klientské zařízení pro připojení k vašemu poskytovateli internetu, je vhodnější pořídit si levnější model s 802.11g – s jednou anténou. Rovněž je potřeba dát si při výběru pozor, zda zařízení umí fungovat i v režimu klient.

Pokud plánujete hodně stahovat, mohl by se vám hodit router, do kterého lze nahrát alternativní linuxový firmware. Některé tyto firmwary umějí udržovat více současných TCP spojení, než standardní systém dodaný výrobcem, případně mohou samy stahovat na připojený disk i při vypnutém počítači. Alternativní systém rovněž často výrazně rozšíří možnosti vašeho routeru. K případnému vyzkoušení doporučuji především distribuci DD-WRT, která se mi osobně osvědčila.