Wi-Fi je v moderní kanceláři stejně základní infrastrukturou jako elektřina. A právě proto je její bezpečnosti věnována překvapivě malá pozornost. Typický stav v mnoha firmách: jeden SSID pro všechno, heslo sdílené s návštěvami, WPA2-Personal s heslem, které nikdo nezměnil od instalace. Tento přístup je v dnešní době neakceptovatelný.
Wi-Fi bezpečnostní audit, který SecureOn.cz provádí, odhaluje v 80 % případů alespoň jednu kritickou zranitelnost bezdrátové sítě. Nejčastější nálezy: sdílená síť pro zaměstnance a hosty, chybějící 802.1X autentizace, nechráněné management rámce nebo nedetekované rogue přístupové body.
Segmentace bezdrátové sítě: Základ správné architektury
Každá firemní Wi-Fi infrastruktura by měla mít alespoň tři oddělené SSID, každé na vlastní VLAN s příslušnými firewall pravidly:
Korporátní SSID (Corporate)
Výhradně pro firemní zařízení. Přístup autentizovaný přes 802.1X/RADIUS na základě identity zařízení (certifikát) nebo uživatele (doménové přihlašovací údaje). Tato síť má plný přístup k interním systémům.
- Protokol: WPA3-Enterprise nebo WPA2-Enterprise (přechod na WPA3 kde je to možné).
- Autentizace: 802.1X s EAP-TLS (certifikáty) nebo PEAP-MSCHAPv2 (doménové přihlašovací údaje).
- Pouze zařízení splňující bezpečnostní politiku (NAC kontrola: patch status, EDR nainstalován).
Hostovská SSID (Guest)
Pro návštěvy, dodavatele a osobní zařízení zaměstnanců. Přístup pouze na internet, veškerá komunikace s interní sítí blokována. Hostovský portál (captive portal) pro registraci s časovým omezením přístupu.
- Protokol: WPA3-Personal nebo WPA2-Personal s rotací hesla (minimálně měsíčně).
- Klient-to-klient komunikace (AP isolation) zakázána — hosté se nemohou navzájem útočit.
- Rate limiting: omezení šířky pásma na uživatele.
- DNS filtrování: blokování škodlivých domén i na hostovské síti.
IoT SSID
Pro smart TV, tiskárny, IP kamery, klimatizace a další zařízení internetu věcí. Tato zařízení mají typicky zastaralý firmware a špatnou bezpečnost — musí být striktně izolovaná.
- Přístup pouze k nezbytným interním systémům (například tiskárna k print serveru), vše ostatní blokováno.
- AP isolation povinná — IoT zařízení nesmí komunikovat mezi sebou.
- Monitoring anomálií: jakýkoliv pokus o komunikaci mimo povolený rozsah je alert.
WPA3 vs. WPA2: Proč na přechodu záleží
WPA2 s pre-shared key (PSK) má zásadní slabinu: offline brute-force útok. Útočník zachytí 4-way handshake při připojování klienta a následně crackovává heslo offline bez jakéhokoliv kontaktu se sítí. Moderní GPU jsou schopny testovat miliardy kombinací za sekundu. Krátká nebo slovníková hesla jsou náchylná na prolomení.
WPA3-Personal tento problém řeší protokolem SAE (Simultaneous Authentication of Equals, také známý jako Dragonfly). SAE zabraňuje offline brute-force útokům — každý pokus o přihlášení vyžaduje interakci se sítí. Navíc WPA3 poskytuje Forward Secrecy: i kdyby útočník zachytil historický provoz a prolomil heslo, nedokáže zpětně dešifrovat zachycenou komunikaci.
Kdy WPA2, kdy WPA3?
- WPA3-Enterprise je preferovaný pro korporátní sítě s moderním hardwarem (přístupové body z roku 2020+).
- Pokud máte starší zařízení bez podpory WPA3, WPA2-Enterprise s 802.1X je stále bezpečná alternativa pro korporátní síť.
- WPA2-Personal (PSK) je pro korporátní síť nevhodný — přejděte na WPA2-Enterprise nebo WPA3.
- Pro guest síť je WPA3-Personal nebo WPA2-Personal akceptovatelný při dodržení ostatních bezpečnostních opatření (AP isolation, separace).
802.1X a RADIUS: Autentizace na podnikové úrovni
802.1X je standard pro autentizaci přístupu k síti. Klient (supplicant) se musí autentizovat vůči RADIUS serveru, než obdrží přístup do sítě. Toto je zásadní rozdíl oproti sdílenému heslu: každý uživatel nebo zařízení má vlastní identitu.
Komponenty 802.1X infrastruktury
- Supplicant: klientský software na zařízení (vestavěný v Windows, macOS, Linux, iOS, Android).
- Authenticator: přístupový bod (AP) nebo switch, který řídí přístup na základě rozhodnutí RADIUS serveru.
- RADIUS server: ověřuje přihlašovací údaje vůči adresáři (Active Directory, LDAP). Populární řešení: FreeRADIUS (open-source), Microsoft NPS, Cisco ISE, Aruba ClearPass.
EAP metody — která je nejbezpečnější?
- EAP-TLS: autentizace klientským certifikátem. Nejbezpečnější varianta — heslo nelze zcizit, protože se nepoužívá. Vyžaduje PKI infrastrukturu (certifikační autoritu).
- PEAP-MSCHAPv2: autentizace doménovými přihlašovacími údaji uvnitř TLS tunelu. Bezpečnější než PSK, ale náchylný na útoky při špatné konfiguraci (nevalidace serverového certifikátu).
- EAP-TTLS: podobný PEAP, podporuje více vnitřních autentizačních metod.
Doporučení: pro nové implementace zvolte EAP-TLS s PKI, pro přechod z PSK je PEAP-MSCHAPv2 dobrým mezikrokem. Vždy validujte serverový certifikát RADIUS serveru na klientovi — bez toho je PEAP zranitelný vůči evil twin útoku.
Rogue AP detekce a PMF (Protected Management Frames)
Rogue přístupové body
Rogue AP je neautorizovaný přístupový bod v síti. Může jít o:
- Zaměstnanec, který si přinesl vlastní router a zapojil ho do sítě (neúmyslné bezpečnostní riziko).
- Evil twin AP — útočník nastaví AP se stejným SSID jako firemní síť a láká klienty k připojení.
- Kompromitovaný AP v dodavatelském řetězci nebo po fyzickém přístupu útočníka.
Detekce rogue AP by měla být automatizovaná. Moderní Wi-Fi kontrolery (Cisco Meraki, Aruba, Ruckus) sledují rádiové prostředí a alertují na neautorizované AP. Klíčové: detekce musí rozlišovat mezi sousedními legitimními sítěmi a skutečnými rogue AP ve vaší síti.
PMF (Protected Management Frames)
Management rámce Wi-Fi (deauthentication, disassociation) jsou historicky nešifrované a nechráněné. Útočník je může falšovat a odpojovat klienty ze sítě — klasický deauth útok používaný pro DoS nebo nucení klientů připojit se na evil twin AP.
PMF (802.11w) management rámce kryptograficky chrání. WPA3 vyžaduje PMF povinně. Pro WPA2 sítě povolte PMF v konfiguraci přístupových bodů (minimum "optional", ideálně "required" pro korporátní SSID).
Metodika Wi-Fi bezpečnostního auditu
Wi-Fi audit by měl zahrnovat tyto fáze:
- Pasivní průzkum: skenování rádiového prostředí, inventarizace SSID, identifikace protokolů a šifrování, detekce rogue AP.
- Aktivní testování autentizace: ověření, zda jsou správně nakonfigurovány certifikáty RADIUS, testování EAP metod a konfigurace klientů.
- Testování segmentace: ověření, zda hostovská síť nemá přístup k interním zdrojům, AP isolation test.
- Evil twin simulace: vytvoření falešného AP a ověření, zda se klientské zařízení správně chová (odmítne připojení nebo zobrazí varování).
- Fyzická bezpečnost: kontrola přístupu k management portům AP, fyzické umístění AP (dostupné pro neoprávněné osoby?).
Výsledkem auditu je report s konkrétními nálezy, jejich závažností (CVSS skóre) a doporučeními pro nápravu. SecureOn.cz provádí Wi-Fi bezpečnostní audity s využitím profesionálních nástrojů (Aircrack-ng, Wireshark, Kismet, specializovaný hardware) a zkušených penetračních testerů.
Závěr: Wi-Fi bezpečnost není volitelný doplněk
Bezdrátová síť je vstupní bod do vaší firemní infrastruktury, který se fyzicky rozprostírá za zdmi budovy. Správná segmentace, silná autentizace přes 802.1X a pravidelné bezpečnostní audity jsou základní hygienou, nikoliv nadstandartem. Implementace těchto opatření je dosažitelná pro firmy všech velikostí a výrazně snižuje riziko průniku přes bezdrátovou síť.