Ako zabezpečiť svoj router a Wi-Fi sieť: praktické tipy

Router (čítajte „rúter“; nazývaný aj smerovač) je jedno z najdôležitejších zariadení v domácnosti. Pripájajú sa cez neho medzi sebou a do internetu všetky zariadenia – od mobilov a počítačov až po televíziu či smart domácnosť. Práve preto má jeho správne nastavenie zásadný vplyv nielen na kvalitu internetového pripojenia, ale aj na bezpečnosť vašich dát a zariadení.

Mnoho ľudí však na router po zapojení už nikdy nerieši. To je škoda, pretože aj niekoľko jednoduchých úprav alebo občasných kontrol dokáže výrazne zvýšiť bezpečnosť aj spoľahlivosť celej siete a ochrániť vaše dáta a súkromie.

Dôležité je, že bez ohľadu na to, či používate router vlastný alebo dodaný Slovanetom, jeho následné zabezpečenie, zmeny nastavení, údržba a aktualizácie sú vo vašich rukách a zodpovednosti.

Napadnutý router môže napríklad:

• odpočúvať vašu dátovú sieťovú prevádzku (man-in-the-middle útok), získať vaše prihlasovacie údaje k bankovým účtom, e-mailom alebo sociálnym sieťam a poslať ich útočníkovi,

• presmerovať vás na podvodné stránky (DNS hijacking) pri pokuse navštíviť legitímnu stránku (napríklad vašej banky) a tak získať vaše citlivé údaje,

• byť zneužitý ako botnet, kedy môžu váš napadnutý router hackeri zapojiť do siete infikovaných zariadení (botnet) na uskutočnenie masívnych útokov na iné ciele (najčastejšie ide o tzv. DDoS útoky), pričom o tom ani nemusíte vedieť,

• šíriť malvér – útočník môže do vašich zariadení pripojených na napadnutý router dostať vírusy, ransomvér alebo iný škodlivý softvér,

• špehovať a narušiť vaše súkromie tým, že cez ovládaný router útočníci získajú prístup k pripojeným inteligentným zariadeniam, napríklad kamerám, a sledovať dianie vo vašej domácnosti,

• využiť vaše internetové pripojenie na nelegálnu činnosť – váš router sa môže stať komunikačným medzičlánkom a štítom pre kyberzločincov, pričom stopy po ich nezákonnej činnosti povedú k vašej IP adrese

• alebo „len“ zneužívať vaše internetové pripojenie, ak niekto len získa prístup do vašej Wi-Fi siete a využíva ju na svoje pripojenie do internetu (a aj keď by neurobil nič škodlivé, robí to na váš účet alebo tým môže znižovať rýchlosť vášho pripojenia či vyčerpať dáta, ak sú obmedzené).

Často sa dlhú dobu o napadnutí routera ani nemusíte dozvedieť. Na konci článku preto uvádzame aj niekoľko možných indikátorov, pri ktorých by ste mali spozornieť. Rizikám je však najlepšie predísť najmä osvedčenou prevenciou, používateľskou disciplínou a trochou potrebného úsilia.

Potenciálny útočník sa pritom k vášmu routeru môže dostať a napadnúť ho rôznymi spôsobmi: z internetu, cez vaše napadnuté zariadenia (počítač, mobil) v domácej sieti, bezdrôtovo cez Wi-Fi sieť a fyzicky. Všetkým sa budeme venovať v tomto prehľade tipov.

Začnite dokumentáciou a návodom

Tak ako ku každému elektronickému zariadeniu, aj k routeru vám odporúčame ako prvý krok vyhľadať si na internete podľa názvu a modelu jeho používateľský návod – najlepšie ako stiahnuteľný PDF súbor – a uložiť si ho. Potrebovať ho budete zrejme nielen v nasledujúcich krokoch kroku, ale aj v budúcnosti. Obzvlášť v prípade, ak váš router používa netypické ovládanie, pojmy, údaje či nastavenia.

Nájdite a odložte si aj adresu webovej stránky výrobcu, na ktorej sú k vášmu zariadeniu dostupné upozornenia a informácie o aktualizáciách, resp. firmvér na stiahnutie. Spravidla je to v sekcii Podpora (Support).

Ako sa dostať do nastavení routera

Ak chcete čokoľvek skontrolovať alebo zmeniť, musíte sa najprv vedieť prihlásiť do administrácie routera. Potrebovať na to budete prihlasovaciu adresu, meno a heslo (username a password), ktoré bývajú uvedené priamo na zariadení (štítku na spodnej či zadnej strane, napríklad ako Default Access) alebo v návode. Ak ste však heslo alebo aj prihlasovacie meno už menili, samozrejme použite to aktuálne.

Najčastejšie to funguje tak, že sa káblom alebo cez Wi-Fi pripojíte na svoju domácu sieť a do internetového prehliadača zadáte prihlasovaciu adresu routera. Vo väčšine prípadov ide o číselnú tzv. IP adresu 192.168.0.1 alebo 192.168.1.1, môže však byť aj doménová (slovná), napríklad tplinkwifi.net alebo podobná. Následne sa zobrazí prihlasovacia obrazovka, na ktorej zadáte administračné meno a heslo a po potvrdení sa vám zobrazí rozhranie nastavení.

Zmena prihlasovacích údajov ako základ bezpečnosti

Ak ste prihlasovacie údaje do administrácie routera nikdy nemenili, pravdepodobne ide o predvolené kombinácie, ktoré sú verejne známe (často je meno aj heslo jednoducho admin) a ich zmena by preto mala byť medzi prvými krokmi. Predvolené meno a heslo do routera predstavujú jedno z najväčších rizík. Na internete sa dajú celkom ľahko nájsť databázy obsahujúce tieto údaje pre rôzne typy zariadení a útočníci ich skúšajú ako prvé.

Zmena prihlasovacích údajov je jednoduchý, ale veľmi účinný ochranný krok. Nájdete ju typicky v sekcii nastavení nazývanej System Tools, Administration alebo Management. Ideálne je použiť silné heslo, ktoré je ťažko uhádnuteľné a nepoužívate ho inde. Ak to router umožňuje, zvážte zmeniť aj samotné používateľské meno. Nové prihlasovacie údaje si zároveň okamžite poznačte alebo odložte na miesto, kde ich nabudúce spoľahlivo nájdete a nestratíte.

Aktualizácie: nenápadná, ale dôležitá ochrana

Router má vlastný ovládací softvér, tzv. firmvér, ktorý výrobcovia priebežne aktualizujú minimálne po dobu niekoľkých rokov. Tieto aktualizácie niekedy aj vylepšujú funkcie zariadenia, ale najmä opravujú bezpečnostné chyby, ktoré by mohli byť zneužité. Práve neaktuálny firmvér patrí medzi najčastejšie cesty možného napadnutia. Zariadenie v takom prípade môže fungovať zdanlivo normálne, ale na pozadí môže vykonávať nežiadúce a nebezpečné aktivity bez vášho vedomia.

Preto sa oplatí aspoň občas skontrolovať na stránke výrobcu, či je dostupná aktualizácia firmvéru a spustiť ju, prípadne zapnúť automatické aktualizácie, ak to router umožňuje. V prípade ručnej aktualizácie postupujte podľa návodu k zariadeniu.

• Platí to aj v prípade, ak je vaše zariadenie dodané Slovanetom, ktoré ste síce dostali s aktualizovaným firmvérom a prednastavené na pripojenie, ale medzitým môže výrobca sprístupňovať novšie verzie firmvéru.

Wi-Fi sieť: najviditeľnejší a najzraniteľnejší bod

Wi-Fi sieť síce prináša pohodlie pri používaní, ale zároveň je potenciálnou vstupnou bránou pre útočníka v susednom byte alebo aj doslova z ulice. Základom je používanie zabezpečenia moderným šifrovacím protokolom buď typu WPA2 alebo ešte novšieho WPA3 (ak je dostupné) a dostatočne silného hesla pre Wi-Fi. Otvorené alebo slabo zabezpečené siete sú dnes veľmi jednoduchým cieľom.

• Bezpečný šifrovací protokol: Preto v nastaveniach routera vyhľadajte sekciu najčastejšie nazývanú Wireless LAN alebo Wi-Fi, v ktorej zvoľte vyššie uvedený typ šifrovania prístupu WPA3 prípadne WPA2. Neodporúčame starší typ WPA (bez čísla) a už vôbec nie typ WEP (najstarší a najmenej bezpečný šifrovací protokol). Ak router neponúka aspoň WPA2, radšej ho vymeňte za novší.

• Bezpečné heslo: Aj pri nastavení tohto hesla voľte dlhšie a silné heslo. Pripomíname, že ak zmeníte heslo k Wi-Fi, vaše zariadenia (mobil, notebook, TV) sa odpoja a budete ich musieť znova pripojiť použitím nového hesla. Pri mobiloch a tabletoch novšie operačné systémy umožňujú cez QR kód nové heslo ľahko „nakopírovať“ na ďalšie zariadenia.

• Nie bez hesla: V žiadnom prípade nepoužívajte Wi-Fi sieť bez hesla (tzv. otvorenú sieť).

Skontrolujte alebo zmeňte aj názov Wi-Fi siete (SSID): Prednastavený názov totiž často prezrádza typ zariadenia alebo jeho výrobcu, čo môže uľahčiť identifikáciu prípadných slabých miest. Neutrálny názov bez osobných údajov je v tomto smere bezpečnejšia voľba.

Okrem toho odporúčame vypnúť funkciu WPS (Wi-Fi Protected Setup), ktorá umožňuje jednoduché pripojenie zariadení k Wi-Fi (napr. stlačením tlačidla na routeri alebo zadaním PIN kódu) bez nutnosti poznať dlhé heslo. WPS má však vážne bezpečnostné trhliny a umožňuje útočníkom pomerne ľahko zistiť heslo k Wi-Fi.

Samostatná Wi-Fi sieť pre hostí

Ak mávate návštevy, ktoré sa u vás potrebovali pripojiť do Wi-Fi, vaše heslo sa tak môže časom „namnožiť“ na mnohé cudzie mobily. Ak sa tie stanú terčom škodlivého softvéru, útoku, či krádeže, vaše heslo do Wi-Fi prestane byť tajné. Rovnako nie je vhodné poskytovať hosťom prístup do vašej privátnej Wi-Fi siete, ak v nej používate aj zdieľanie súborov, prístup k tlačiarni či k iným zariadeniam.

Preto dáva zmysel sieť rozdeliť, ak to váš router umožňuje. V praxi to znamená vytvoriť samostatnú Wi-Fi sieť pre návštevy (Guest Network), čo moderné routery väčšinou už umožňujú. Aj v tomto prípade však nastavte pripojenie cez samostatné silné heslo.

Do domácich sietí sa okrem toho dnes často pripájajú aj zariadenia s nižšou úrovňou zabezpečenia. Kým počítače a mobily bývajú pravidelne aktualizované, smart zariadenia často nie sú. Zvážte preto, kam ich zapojiť a radšej tak, aby boli oddelené aj od hlavnej siete. Takéto rozdelenie pomáha v situáciách, keď by sa niektoré zariadenie stalo problémovým alebo bolo napadnuté. Neznamená to automaticky ohrozenie celej domácnosti, ale len konkrétnej časti siete.

Bezpečné fyzické umiestnenie routera

Pre istotu pripomíname, že možnou cestou k zneužitiu je aj fyzický prístup k routeru. Neumiestňujte ho preto v spoločných ani v neuzamknutých priestoroch mimo vášho bytu.

Pre spoľahlivosť fungovania routera je tiež dôležité, aby nebol vo veľmi tesnom uzavretom priestore alebo zakrytý. Pri prevádzke sa niekedy aj značne zahrieva a potrebuje byť dostatočne vetraný.

Ochrana pred hrozbami z internetu

Ako prvé skontrolujte, či v nastaveniach routera nemáte povolenú tzv. vzdialenú správu (Remote Management) a ak túto funkciu výslovne a vedome nepotrebujete (býva to len na pokročilé účely), okamžite ju vypnite. Z pohľadu bezpečnosti predstavuje rizikový vstupný bod.

Funkcia Firewall je naopak veľmi dôležitou a zapnite ju. Súčasné routery majú štandardne zabudovaný hardvérový firewall – nástroj, ktorý prostredníctvom NAT (Network Address Translation) a ďalších techník filtruje sieťovú prevádzku, blokuje nevyžiadané prichádzajúce pripojenia a chráni zariadenia pred internetovými útokmi. Pokročilí používatelia môžu navyše nakonfigurovať firewall na blokovanie alebo povolenie konkrétnych portov. Vlastný firewall mávajú síce aj počítače a mobily, je však dôležité mať zapnutý firewall aj v routeri.

Pokročilejší používatelia môžu okrem toho zakázať odpovedanie na tzv. ping (Packet InterNet Groper), čo je jednoduchý program alebo funkcia na preverenie spojenia medzi dvoma sieťovými zariadeniami. Aj keď tento krok nezabráni vyhľadaniu vášho zariadenia, útočníkovi ho sťaží.

Neriskujte napadnutie z vlastnej siete a zariadení

Rastúci podiel napadnutí routera sa však deje paradoxne „zvnútra“ vašej domácej siete. Ak sa akýmkoľvek spôsobom dostane do počítačov, mobilov či iných zariadení pripojených do vašej siete škodlivý softvér, ktorý dokáže špecializovane napadnúť a zneužiť váš router, môže sa to stať opäť bez viditeľných prejavov.

Aj tu platia známe preventívne bezpečnostné zásady:

• do svojej siete (Wi-Fi) pripájajte len zariadenia dôveryhodných výrobcov, pri ktorých nemusíte mať obavy, že by obsahovali škodlivý softvér alebo zraniteľnosti,

• na pripojených počítačoch, mobiloch a zariadeniach inštalujte programy a aplikácie len z overených zdrojov,

• vaše programy a aplikácie pravidelne aktualizujte, najmä čo sa týka bezpečnostných opráv,

• na svojich počítačoch ale aj mobiloch používajte antivírusový softvér, ktorý pravidelne skenuj zariadenia aj na prítomnosť malvéru, ktorý by mohol útočiť na router,

• používajte firewall aj na počítačoch, prípadne mobiloch: uistite sa, že máte zapnutý firewall (na počítači napríklad Windows Defender alebo macOS Firewall),

• a pri používaní internetu sa vyhýbajte navštevovaniu rizikových webových stránok, zadávaniu svojich citlivých a osobných údajov na neznáme a neoverené stránky, či otváraniu emailov a najmä príloh od podozrivých neznámych odosielateľov.

Pokročilejší používatelia môžu okrem toho v nastaveniach routera zvážiť:

• Povoliť do siete (Wi-Fi) prístup len pre konkrétne zariadenia podľa ich identifikátora – tzv. filter na MAC adresy. Vtedy aj keď niekto pozná heslo, bez povolenia sa s cudzím zariadením nepripojí. Toto riešenie však vyžaduje pre každé nové zariadenie manuálne vyhľadať MAC adresu a pridať ju do zoznamu. manuálne pridať. Táto ochrana navyše nie je veľmi silná, pretože odpočúvaním bezdrôtovej dátovej prevádzky sa MAC adresy dajú vyčítať a na útočnom zariadení nasimulovať.

• Aktivovať môžete prípadne aj funkciu Izolácia klientov (AP Isolation), ktorá zabráni zariadeniam pripojeným na Wi-Fi komunikovať medzi sebou (vidieť sa navzájom), čo zabráni prípadnému šíreniu malvéru z jedného zariadenia na druhé.

• Vypnúť funkciu UPnP (Universal Plug and Play), ktorá umožňuje zariadeniam automaticky otvárať porty na routeri, čo môžu zneužiť útočníci.

Pravidelná údržba a kedy spozornieť

Nasledovné ukony znižujú riziko napadnutia routera alebo môžu odhaliť podozrivé signály:

• Pravidelný reštart: Raz za čas router reštartujte (vypnite adaptér z elektrickej siete aspoň na pár sekúnd a znova ho zapnite). Vymaže sa tým medzipamäť, niekedy sa aj zrýchli prenos alebo stabilita pripojenia, ale môže sa tým aj prerušiť chod prípadného malvéru. Časté „zasekávanie sa“ chodu routera či spojenia môže byť (okrem iných možných príčin) aj sprievodným javom jeho napadnutia.

• Kontrola pripojených zariadení: V administrácii routera pravidelne kontrolujte zoznam pripojených zariadení, či tam nie je neznáme zariadenie.

• Kontrola dostupnosti aktualizácií a ich inštalácia: Je potrebná, najmä ak používate manuálne aktualizácie.

• Kontrola nastavení routera: Ak sa niektoré bezpečnostné nastavenie routera zmenilo bez vášho vedomia, mohlo to byť aj následkom aktualizácie, ale aj stopa napadnutia škodlivým softvérom.

• Kontrola zverejnených zraniteľností: Ak sa odhalia vážne zraniteľnosti routerov alebo rozsiahlejšie známe útoky, často sa to dostane aj do médií.

Vyhľadajte si preto aspoň občas výraz „zraniteľnosť“ alebo útok“ spolu s názvom vášho zariadenia a možno natrafíte na dôležitý článok //a pridajte názov vášho ako vážnych pripojených zariadení.
• Výmena zastaraného zariadenia: Ak zistíte, že pre vaše zariadenie je už vydávanie bezpečnostných aktualizácií a podpora dlhšiu dobu ukončená, zvážte jeho výmenu za novšie, ktoré môže byť okrem vyššej bezpečnosti aj výkonnejšie alebo prinášať nové užitočné funkcie.

Čo robiť v prípade problému

Mnohé kroky, ktoré môžete uobiť pri evidentom napadnutí routera alebo pri vážnom podozrení, vyplývajú aj z predchádzajúceho textu. Ide najmä o:

• skontrolujte nastavenia routera – okrem parametrov uvedených v tomto článku dávame do pozornosti skontrolovať nastavenie služieb DNS a DHCP, ktoré by mali byť uvedené podľa návodu alebo nastavovacieho protokolu dodaného Slovanetom a v prípade odlišnosti môžu indikovať napadnutie zariadenia,

• zmeňte administračné heslo a heslá pre Wi-Fi siete,

• aktualizujte firmvér,

• zvážte prísnejšie bezpečnostné nastavenia,

• vyhľadajte si na internete, či nebola odhalená zraniteľnosť alebo útoky na vaše zariadenie, prípadne zverejnené odporúčania ako postupovať,

• a ak si neviete poradiť, skúste kontaktovať zákaznícku podporu výrobcu zariadenia, resp. s niektorými problémami alebo nastaveniami vám v základnom rozsahu pomôžeme aj na linke našej Technickej podpory.