Veřejné Wi-Fi: rizika a zásady bezpečného používání

Veřejné Wi-Fi: užitečný sluha, ale ne bez rizik

Veřejné Wi-Fi sítě v kavárnách, na letištích či ve vlacích usnadňují život. Současně představují kombinaci technických a organizačních rizik: slabé zabezpečení radiové vrstvy, sdílená infrastruktura, nepředvídatelné směrování přes síť provozovatele a chybějící záruky kdo vidí váš provoz. Cílem tohoto článku je nastavit realistická očekávání a poskytnout praktický návod, jak se chovat bezpečně – bez paranoie a s ohledem na soukromí.

Model hrozeb: co vám reálně hrozí na veřejném Wi-Fi

• Evil twin / falešný AP: útočník vytvoří přístupový bod se stejným názvem (SSID) a zachycuje připojení.
• ARP/DNS spoofing v lokální síti: přesměrování provozu přes útočníka ve stejné podsíti.
• Čtení nešifrovaných protokolů: HTTP a starší protokoly bez TLS jsou zranitelné vůči odposlechu a manipulaci.
• Captive portály a vložené skripty: přihlašovací stránky mohou vkládat sledovací nebo špatně zabezpečené kódy.
• Boční kanál přes metadata: i při TLS unikají domény (SNI/část DNS), IP adresy a objemy dat, pokud nepoužijete dodatečné ochrany.
• Sdílená LAN: špatně nakonfigurovaná izolace klientů umožní prohlížení sdílených složek, odposlech mDNS/LLMNR a podobně.

Co dnes výrazně snižuje riziko

• HTTPS/TLS všude: drtivá většina citlivých webů používá TLS; správná implementace brání čtení a úpravám obsahu.
• HSTS, certifikáty a prohlížeče: automatické přesměrování na HTTPS a validační mechanismy ztěžují aktivní MITM útoky.
• Izolace klientů na AP: mnohé hotspoty brání přímému L2 kontaktu mezi zařízeními.

Poznámka: nic z uvedeného není všemocné. Špatně nastavené sítě, chybné implementace či uživatelské chyby riziko vracejí do hry.

Bezpečné chování: zásady bez paranoie

• Nespoléhejte na název sítě (SSID): stejný SSID může mít kdokoli. Vyhýbejte se automatickému připojování k otevřeným sítím.
• Preferujte síť s heslem: i obyčejná WPA2/WPA3 Personal s heslem „na tabuli“ zabrání pasivnímu odposlechu třetích stran. Nejlepší je WPA3 nebo WPA2-Enterprise (pokud je dostupné).
• Pokud je k dispozici VPN, zapněte ji: kvalitní VPN šifruje celý provoz od vašeho zařízení po VPN server a skrývá ho před lokální sítí provozovatele.
• Ověřujte varování prohlížeče: ignorování chyb certifikátu je nejrychlejší cesta k MITM útoku.
• Minimalizujte citlivé úkony na otevřených sítích: bankovnictví, správa hesel, administrace – raději přes mobilní data nebo s VPN.
• Po odchodu z lokality „zapomeňte“ síť: snížíte šanci automatického připojení k podvržené kopii později.

VPN a alternativy: kdy má co smysl

• Komplexní VPN (WireGuard/OpenVPN/IKEv2): vhodná na veřejné Wi-Fi – poskytuje integritu a důvěrnost vůči lokální síti.
• DoH/DoT (šifrované DNS): pokud nepoužíváte VPN, alespoň zašifruje DNS dotazy a ztíží lokální přesměrování.
• End-to-end TLS (HTTPS): absolutní základ. I s VPN stále potřebujete TLS pro jednotlivé služby.
• Private Relay/„Secure Wi-Fi“ služby: zjednodušené formy tunelování v některých ekosystémech. Zlepší soukromí vůči hotspotu, nejsou však náhradou za firemní VPN.

Captive portály: jak projít bezpečně

1. Připojte se a otevřete „testovací“ neprivátní web (např. zpravodajský portál), aby se portál vyvolal.
2. Přečtěte podmínky, sledujte, co podepisujete. Některé hotspoty si nárokují rozsáhlé logování.
3. Po úspěšném přihlášení aktivujte VPN a až potom přistupujte k citlivým službám.

Chování zařízení: nastavení, která pomáhají

• Vypněte automatické připojování k otevřeným sítím: manuálně povolte jen ty, které potřebujete.
• Zapněte náhodnou MAC adresu (MAC randomization): snižuje sledovatelnost mezi hotspoty.
• Zakažte sdílení a služby z lokální sítě: vypněte SMB sdílení, AirDrop „Pouze kontakty“, vypněte UPnP/LLMNR/mDNS, pokud je nepotřebujete.
• Firewall a aktualizace: zapnutý osobní firewall a aktuální OS/prohlížeč minimalizují zneužitelné plochy.
• Pro mobil: preferujte tethering přes mobilní data před pochybým Wi-Fi.

Prohlížeč a aplikace: hygienický balíček

• Rozšíření držte na minimu: rozšíření mají přístup k datům stránek; méně je více.
• Izolace profilů/oken: oddělte pracovní a soukromá přihlášení; snížíte dopad případného úniku cookie.
• Blokování sledovačů a skriptů: rozumné blokátory snižují riziko škodlivých injekcí na portálech.
• Pozor na „nešifrované“ aplikace: starší klienti (IMAP bez TLS, FTP, telnet) na veřejném Wi-Fi nepoužívejte.

WPA2, WPA3, OWE: co znamenají pro vás

• WPA2/WPA3 Personal (s heslem): chrání radiovou vrstvu před pasivním odposlechem. WPA3 je odolnější proti offline útokům na heslo.
• WPA2-Enterprise/WPA3-Enterprise: firemní a univerzitní sítě s individuálními přihlašovacími údaji – výrazně lepší než „společné“ heslo.
• OWE (Opportunistic Wireless Encryption): „otevřená“ síť s individuálním šifrováním spojení. Pokud je dostupná, je lepší než klasické otevřené Wi-Fi bez hesla.

Ochrana soukromí: co vidí provozovatel hotspotu

I při TLS může provozovatel vidět kdy a kolik dat přenášíte, IP adresy cílů a často i domény (pokud nepoužíváte Encrypted Client Hello a DoH/DoT). Řešení:

• VPN: skryje cílové IP/domény před hotspotem (vidí pouze tunel).
• DoH/DoT: pokud VPN nepoužijete, alespoň zašifrujete DNS dotazy.
• Minimalizujte přihlášení přes captive portál účty sociálních sítí: volte „anonymnější“ přístupy, pokud to podmínky umožňují.

Firemní prostředí: doporučená politika

• Požadujte VPN na neznámých Wi-Fi: ideálně automatické „always-on“ profily.
• Zakažte lokální služby: politiky firewallu, vypnutá sdílení a přísná segmentace.
• Vzdělávejte uživatele: krátký návod na captive portály, varování prohlížeče a postup při podezření na MITM.
• Monitorujte anomálie: nestandardní relace z exotických IP po připojení na veřejné sítě.

Praktický postup: rychlá kontrola před připojením

1. Zkontrolujte název sítě a vyžádejte heslo, pokud je dostupné (WPA2/3).
2. Po připojení spusťte prohlížeč, dokončete captive portál a ihned aktivujte VPN.
3. Ověřte, že citlivé weby běží na HTTPS bez chyb certifikátu.
4. Po skončení práce síť „zapomeňte“ a vypněte Wi-Fi, pokud ji nepotřebujete.

Nejčastější chyby a jak se jim vyhnout

• Ignorování varování TLS: nikdy „nepokračujte navzdory riziku“ na citlivých stránkách.
• Automatické připojování k otevřeným SSID: vypněte „auto-join“ pro open sítě.
• Žádná VPN při citlivé práci: bankovnictví a firemní přístup jen s VPN nebo přes mobilní data.
• Nechráněná sdílení: vypněte SMB/AFP a souborová sdílení na veřejných profilových sítích.

Checklist: minimum, které vás udrží v bezpečí

• Mám vypnuté automatické připojování k otevřeným sítím a zapnutou náhodnou MAC.
• Po captive portálu vždy zapínám VPN; jinak nepoužívám citlivé služby.
• Ignoruji otevřené Wi-Fi bez potřeby a preferuji WPA2/3 nebo vlastní hotspot.
• Neignorují varování certifikátů a používám aktuální prohlížeč/OS.
• Po odchodu síť „zapomínám“ a Wi-Fi vypínám, když ji nepotřebuji.

Rozumně, nikoli paranoidně

Veřejné Wi-Fi lze používat bezpečně bez zbytečné paranoie. Klíčem je kombinace moderních standardů (TLS, WPA3), dobrých návyků (VPN, vypnuté sdílení, ověřování varování) a základní opatrnosti při výběru sítí. S tímto přístupem zvládnete běžnou práci na cestách s minimálním rizikem pro bezpečnost i soukromí.