Prostřednictvím špatně nakonfigurovaného Wi-Fi routeru se mohou hackeři dostat do vaší sítě a k vašim datům. Rozdělení sítě a naše další tipy vám pomohou zajistit dokonalé zabezpečení.
V jednom se výrobci antivirových systémů a bezpečnostních řešení shodnou: zařízení internetu věcí, jako jsou IP kamery nebo třeba po internetu ovládané vytápění, představují zásadní bezpečnostní riziko. Mnoho z nich je totiž nedokonale zabezpečeno a vystaveno útokům hackerů. I velké firmy, jako je třeba Philips, neustále objevují bezpečnostní mezery ve svých produktech - v tomto případě v systému inteligentního osvětlení Hue.
Obecně nedokonalé zabezpečení zařízení internetu věcí má hned několik příčin. Obvykle je ale problém v tom, že mezi výrobci neexistuje žádný konsensus, jak tato zařízení zabezpečit. Sami uživatelé s tím přitom moc nezmohou, jelikož na IoT zařízeních například není možné instalovat antivirové programy. Jednou z možností může být vytvoření vysoce zabezpečené sítě, na úrovni profesionálního podnikového prostředí. Pro domácí uživatele je ale takové řešení nepraktické a příliš drahé. Proto vám ukážeme několik tipů, jak oddělit a dobře zabezpečit bezdrátovou síť pro zařízení internetu věcí s použitím běžného Wi-Fi routeru. Po tipech na spolehlivé zabezpečení vaší domácí sítě vám ještě předvedeme, jak si vyzkoušet simulovaný hackerský útok na váš Wi-Fi router.
Dokonalá ochrana domácího Wi-Fi routeru
Úspěšné útoky na rozhraní mezi vaší domácí sítí a internetem jsou pro hackery obzvlášť výhodné. Získají totiž přístup k vaší kompletní síťové komunikaci. Právě proto je třeba s kontrolou a nastavením zabezpečení začít u vašeho domácího routeru.
Zabezpečení administračního rozhraní
Obrovskou chybou v zabezpečení domácí sítě je používání výchozích administrátorských hesel k Wi-Fi routerům. Situaci ale moc nezlepšila ani inovace výrobců, kdy ke každému zařízení přiřazují individuální heslo. S hackerskými nástroji, jako je Hydra, nebo jednoduše na webové stránce, jako je routerpasswords. com, je pro útočníky relativně snadné získat přístup ke správě vašeho Wi-Fi routeru a tím i k celé síti. Ochrana je ale velmi snadná: prostě si jen nastavte vlastní, dostatečně silné administrátorské heslo.
Postup změny výchozího administrátorského hesla se u různých modelů Wi-Fi routerů od různých výrobců liší. Pokud ale výrobce síťových zařízení myslí na bezpečnost dat svých zákazníků, vyžádá si nový router změnu administrátorského hesla hned při své úvodní instalaci. Abyste administrátorské heslo mohli změnit kdykoli později, je třeba se nejdříve připojit k webovému rozhraní vašeho Wi-Fi routeru a zde najít příslušnou položku nastavení. Pro připojení k administračnímu rozhraní vašeho routeru je třeba znát jeho IP adresu ve vaší domácí síti. Nejčastěji jde o adresu 192.168.1.1, ale může být i jiná. K jejímu zjištění použijte klávesovou zkratku [Win] + [R] a do okna »Spustit« zadejte »cmd«. Klepnutím na [Enter] otevřete okno příkazového řádku a zde zadejte příkaz »ipconfig/all«. Zobrazí se výpis všech síťových připojení, ve kterém najdete adresu vašeho routeru označenou jako »Default Gateway«. U mnoha routerů najdete adresu webového rozhraní a výchozí administrátorské jméno a heslo na štítku přilepeném na zařízení a samozřejmě také v návodu. Běžní uživatelé přistupují do administrátorského rozhraní Wi-Fi routeru spíše výjimečně, takže nic nebrání tomu, použít opravdu dlouhé heslo. Deset a více znaků v kombinaci písmen a číslic by mělo stačit i proti útokům hrubou silou, proti kterým není většina běžných Wi-Fi routerů nijak chráněna.
Skrytí názvu Wi-Fi sítě a její zašifrování
Dalším důležitým krokem je změna hesla k Wi-Fi síti. Také v tomto případě začali výrobci dodávat Wi-Fi routery s individuálními hesly k bezdrátové síti, ale nespoléhejte se na ně. Krátká hesla navíc mohou relativně snadno podlehnout útokům hrubou silou. Proto opět použijte silné (dlouhé) heslo kombinující písmena a číslice. Raději nepoužívejte speciální znaky (typicky pomlčky), protože jejich interpretace může být v některých zařízeních nestandardní a připojení těchto zařízení k bezdrátové síti by pak nebylo možné.
Přestože v článku na straně 28 píšeme o možnosti prolomení WPA2 šifrování a odposlechu síťové komunikace, není aktuálně lepší možnost, než použít právě tento standard. Navíc řada výrobců své Wi-Fi routery již ošetřila aktualizací firmwaru. Použijte proto vždy WPA2 šifrování a dostatečně dlouhé heslo. Zabezpečení své domácí Wi-Fi pak můžete zvýšit ještě tím, že před potenciálními útočníky skryjete název sítě, označovaný jako SSID (Service Set Identifier). Možnost skrytí SSID se v administračním rozhraní routerů zpravidla nachází právě u nastavení způsobu šifrování a hesla k Wi-Fi síti. Dlužno říci, že samotné skrytí SSID bezpečnost vaší Wi-Fi sítě přímo nezvýší, ale případným útočníkům dává signál, že se o bezpečnost svých dat opravdu staráte a že je mohou čekat ještě zásadnější překážky.
Výsledkem je, že než aby marnili svůj čas a úsilí, vrhnou se spíše na snadněji napadnutelné cíle. Pro vás bude skrytí názvu vaší bezdrátové sítě znamenat jen malou komplikaci během připojování nových zařízení, jelikož kromě hesla k Wi-Fi budete muset zadat i její název. Nastavení SSID má ještě jeden efekt spojený s bezpečností. Pokud totiž ponecháte výchozí název Wi-Fi sítě přednastavený výrobcem, mohou z něj útočníci snadno rozpoznat typ routeru a pak ke svému útoku zneužít známé, neošetřené bezpečnostní mezery ve firmwaru daného zařízení.
Deaktivace nepotřebných funkcí routeru
Současné Wi-Fi routery lze snadno nastavit tak, abyste měli k jejich konfiguraci přístup odkudkoli na světě - prostřednictvím počítače nebo libovolného mobilního zařízení, připojeného k internetu. Nevýhodou je, že taková možnost připojení otevírá příležitosti i pro kybernetické útočníky, využívající bezpečnostních mezer ve stále komplexnější softwarové výbavě Wi-Fi routerů. Dobře zvažte, zda je pro vás možnost vzdálené administrace nezbytná, nebo jestli se bez ní, v zájmu vyššího zabezpečení vaší sítě, obejdete. I Wi-Fi routery bez speciálních aplikací či služeb pro vzdálenou správu často umožňují omezit přístup k administračnímu rozhraní pouze na zařízení připojená k vaší místní síti.
Pamatujte na to, že administrační rozhraní přístupné po internetu má i mnoho zařízení internetu věcí. Například zmíněná chytrá světa Philips Hue lze ovládat i prostřednictvím webového portálu my.meethue.com, zatímco třeba IP kamery, routery a další zařízení výrobce D-Link lze na dálku ovládat přes portál mydlink.com. Možnost vzdáleného ovládání těchto zařízení přes web je jistě praktická, ale s nedostatečným zabezpečením, například v podobě slabého hesla, může být zásadním bezpečnostním rizikem.
Omezení přístupu zařízení k Wi-Fi
Pokud útočníci nějakým způsobem (třeba útokem hrubou silou) získají heslo k vaší Wi-Fi síti, zbývá vám ještě další linie obrany. Jde o tzv. filtrování MAC adres, tedy unikátních identifikátorů všech zařízení se síťovým rozhraním. Router pak pustí do sítě jen ta zařízení, jejichž MAC adresy má uloženy jako důvěryhodné. Funkci filtrování MAC adres má naprostá většina Wi-Fi routerů a její nastavení je velmi snadné. Filtrování MAC adres ale aktivuje až ve chvíli, kdy máte k vaší síti připojena všechna používaná zařízení - ať už po Ethernetu, nebo přes Wi-Fi. Jednoduše povolíte všechny jejich MAC adresy a nebudete je muset jednotlivě vypisovat. Samozřejmě je kdykoli později možné přidávat další zařízení na základě jejich MAC adresy, kterou najdete nejčastěji na štítku přímo na zařízení. Také lze další zařízení autorizovat poté, co filtrování MAC adres v administračním rozhraní na krátkou dobu deaktivujete.
Další možností, jak se mohou nová zařízení připojit k vaší síti, je funkce WPS. Ta je sice velmi praktická (nemusíte zadávat heslo pro připojení k Wi-Fi), ale zároveň je považována za potenciálně nebezpečnou. Proto vám doporučujeme ji v administračním rozhraní Wi-Fi routeru vypnout (pokud to firmware vašeho zařízení umožňuje).
Rozdělení sítě
Většina Wi-Fi routerů dnes umožňuje vytvořit více samostatných, navzájem zcela oddělených bezdrátových sítí. Tato funkce je typicky nazývána jako síť pro hosty a výborně se hodí pro připojení zařízení internetu věcí tak, aby případný útočník nemohl manipulovat s dalšími zařízeními ve vaší síti. Zařízení připojená k síti pro hosty totiž mají přístup k internetu, ale už nikoli k počítačům, smartphonům nebo třeba datovým úložištím připojeným k vaší domácí síti. Proto je vhodné připojit k síti pro hosty třeba po internetu ovládané elektrické zásuvky, termostaty či jiná podobná zařízení, u kterých není žádoucí datová komunikace s ostatními zařízeními ve vaší síti.
Přístup k internetu a místní síti lze ve většině Wi-Fi routerů řídit také na základě profilů nastavení nebo funkcí tzv. rodičovské kontroly. Zde pak můžete určit, že mohou daná zařízení komunikovat třeba jen po místní síti, a nikoli po internetu.
Vytvoření profesionální sítě prostřednictvím DD-WRT
Poradit si můžete i v situaci, kdy máte Wi-Fi router bez funkce oddělení sítí nebo možnosti nastavení profilů pro řízení síťového připojení různých zařízení. Nemusíte si hned pořizovat nový router, ale můžete vylepšit svoje stávající zařízení. Použít k tomu můžete alternativní open-source firmware DD-WRT, který si pro svůj Wi-Fi router můžete stáhnout z webu dd-wrt.com. Použijte zde odkaz »Router Database« a na následující stránce zkuste vyhledat váš router podle jeho výrobce a modelového označení. Pokud bude pro vaše zařízení k dispozici alternativní firmware DD-WRT (podporovány jsou stovky modelů od desítek různých výrobců), stáhněte si jej a nahrajte do vašeho Wi-Fi routeru stejným způsobem, jako kdybyste aktualizovali originální firmware stažený ze stránek výrobce.
Firmware DD-WRT je velmi dobře vybavený, takže nabízí i funkci virtuálních Wi-Fi sítí, prostřednictvím kterých mohou zařízení komunikovat pouze s internetem, ale nikoli s lokální sítí a zařízeními, která jsou k ní připojena. V DD-WRT je také možné na bázi profilů přesně řídit síťovou komunikaci jednotlivých koncových zařízení. Obecně je nastavení DD-WRT poněkud složitější než administrace běžných Wi-Fi routerů, ale o to širší jsou možnosti konfigurace.
Simulovaný hackerský útok
Při plánování útoku na váš počítač si hackeři nejdříve zjistí, jaké slabiny v zabezpečení má vaše síť, a následně tyto mezery využijí jako bránu k vašim datům. Můžete zkusit to samé a pak před stejným typem útoku svou síť zabezpečit. Na internetu za tímto účelem existuje hned několik důvěryhodných služeb, které vám pomohou otestovat zabezpečení vaší sítě a odhalit její slabiny. Jednu z takových služeb najdete i na adrese grc.com.
Na této stránce použijte nabídku »Services« a volbu »ShieldsUP!«. Na následující stránce pak klikněte na tlačítko »Proceed« a okamžik počkejte na výsledek bezpečnostního testu. Výsledek se zobrazí jako přehled otevřených portů, u kterých snadno zjistíte (použijte k tomu vyhledávač Google), jaké zařízení se za nimi skrývá. Když zjistíte alespoň základní informace o zařízení, můžete pokračovat vyhledáváním názvu zařízení ve spojení s číslem otevřeného portu. Jakmile zjistíte podrobnosti, můžete přístup k internetu přes otevřený port zablokovat.
Přehledy odhalených bezpečnostních mezer
I pro velké softwarové firmy je často problém rychle připravit, otestovat a mezi uživatele distribuovat záplaty na nově odhalené bezpečnostní mezery. Aktuální jsou například obrovské bezpečností potíže výrobce procesorů Intel, stejně jako mezera KRACK v šifrování WPA2. V případě menších vývojářských firem je situace často ještě horší a žádná oprava k zákazníkům ani nedorazí. Pro informace o aktuálních bezpečnostních mezerách v různých softwarových (a potažmo tedy i hardwarových) produktech můžete navštívit stránky americké bezpečnostní organizace CERT (us-cert.gov), stejně jako Národního CSIRT České republiky (csirt.cz).
Pokud se nějaká z odhalených bezpečnostním mezer týká i některého z vašich zařízení a není pro ni zatím k dispozici oprava od výrobce, máte několik možností, jak postupovat. Především je třeba zvážit, jaké povahy a jak nebezpečná odhalená mezera skutečně je (například u zmíněného KRACK útoku příliš velké nebezpečí nehrozí). Někdy například k dokonalé ochraně stačí jen zakázat vzdálenou správu zařízení nebo jeho přístup k domácí síti. Vždy byste ale měli sledovat webové stránky daného výrobce, zda již uvolnil bezpečnostní záplatu či nový firmware.
Jestliže ale budete následovat tipy z našeho článku, vytvoříte pro případné útočníky dosti nepřátelské prostředí, jehož nástrahy se jim velmi pravděpodobně nebude chtít překonávat - najdou si pro svůj útok dostatek jiných, méně chráněných cílů.
***
Miliardy potenciálních cílů útoků
Během následujících let vzroste počet prodaných zařízení internetu věcí pro běžné uživatele na téměř 13 miliard. Podle bezpečnostních expertů je mnoho z nich málo odolných proti kybernetickým útokům.
Počet v milionech kusů
2016 3 963
2017* 5 244
2018* 7 036
2020* 12 863 *Odhad
Zdroj: Statista
Foto popis| Omezení přístupu Pomocí filtrování MAC adres můžete povolit přístup k síti jen autorizovaným zařízením - všechna ostatní budou automaticky blokována.
Foto popis| Skrytí názvu Wi-Fi sítě není bezpečnostním prvkem samo o sobě, ale spíše dalším krokem, jak potenciálním útočníkům naznačit, že se o bezpečnost vašich dat opravdu zajímáte.
Foto popis| Pokud jej skutečně nutně nepotřebujete, zakažte externí přístup k administraci vašeho Wi-Fi routeru po internetu. Otevřené porty slouží jako brána pro hackery.
Foto popis| Zakažte vzdálený přístup Ovládání světel Philips Hue po internetu je zajímavou funkcí, ale také bezpečnostním rizikem. Rozmyslete si, zda nebudete raději světla ovládat jen v prostředí vaší místní sítě.
Foto popis| Pravidla pro každé zařízení Mezi běžné funkce Wi-Fi routerů dnes patří možnost nastavení síťových pravidel pro každé z připojených zařízení 1 . Ještě detailnější pravidla pro připojení k internetu lze definovat pomocí funkcí rodičovské kontroly 2 . Pro hackery je složité taková omezení překonat.
Foto popis| Mnoho funkcí za málo peněz TP-Link TL-WR94ON je jedním z nejlevnějších Wi-Fi routerů, do kterých lze instalovat open-source firmware DD-WRT s rozsáhlou nabídkou funkcí a nastavení.
Foto popis| Alternativní firmware DD-WRT je k dispozici pro stovky různých modelů Wi-Fi routerů od desítek výrobců. Stáhnout si jej můžete na webu dd-wrt.com.
Foto popis| Vlastní síť pro IoT I základní modely Wi-Fi routerů dnes nabízejí funkci pro vytvoření bezdrátové sítě pro hosty. Jelikož je taková síť zcela oddělena od ostatních počítačů v síti, hodí se i pro připojení zařízení internetu věcí.
Foto popis| Informace o bezpečnostních mezerách Pomocí nástroje ShieldsUP! 1 můžete prověřit otevřené porty ve vašem Wi-Fi routeru. Bezpečnostní organizace po celém světě, včetně například i českého CSIRT, monitorují odhalené bezpečnostní mezery v softwaru a hardwaru 2 .
O autorovi| FABIAN VON KEUDELL, RADEK KUBEŠ, autor@chip.cz