Verejné Wi-Fi: riziká a bezpečné správanie bez paranoje

Verejné Wi-Fi: užitočný sluha, ale nie bez rizík

Verejné Wi-Fi siete v kaviarňach, na letiskách či vo vlakoch uľahčujú život. Zároveň predstavujú kombináciu technických a organizačných rizík: slabé zabezpečenie rádiovej vrstvy, zdieľaná infraštruktúra, nevyspytateľné smerovanie cez sieť prevádzkovateľa a chýbajúce garancie kto vašu prevádzku vidí. Cieľom tohto článku je nastaviť realistické očakávania a poskytnúť praktický návod, ako sa správať bezpečne – bez paranoje a s ohľadom na súkromie.

Model hrozieb: čo vám reálne hrozí na verejnom Wi-Fi

• Evil twin / falošný AP: útočník vytvorí prístupový bod s rovnakým názvom (SSID) a odchytáva pripojenia.
• ARP/DNS spoofing v lokálnej sieti: presmerovanie prevádzky cez útočníka v rovnakej podsieti.
• Čítanie nešifrovaných protokolov: HTTP a staršie protokoly bez TLS sú zraniteľné voči odpočúvaniu a manipulácii.
• Captive portály a vložené skripty: prihlasovacie stránky môžu vkladať sledovacie či zle zabezpečené kódy.
• Bočný kanál cez metadáta: aj pri TLS unikajú domény (SNI/časť DNS), IP adresy a objemy dát, ak nepoužijete dodatočné ochrany.
• Zdieľaná LAN: zle nakonfigurované izolácie klientov umožnia prehliadanie zdieľaných priečinkov, odpočúvanie mDNS/LLMNR a podobne.

Čo už dnes výrazne znižuje riziko

• HTTPS/TLS všade: drvivá väčšina citlivých webov používa TLS; správna implementácia bráni čítaniu a úpravám obsahu.
• HSTS, certifikáty a prehliadače: automatické presmerovanie na HTTPS a validačné mechanizmy sťažujú aktívny MITM.
• Izolácia klientov na AP: mnohé hotspoty bránia priamemu L2 kontaktu medzi zariadeniami.

Poznámka: nič z uvedeného nie je všemocné. Zle nastavené siete, chybné implementácie či používateľské chyby riziko vracajú do hry.

Bezpečné správanie: zásady bez paranoje

• Nespoliehajte sa na názov siete (SSID): rovnaký SSID môže mať ktokoľvek. Vyhýbajte sa automatickému pripájaniu k otvoreným sieťam.
• Preferujte sieť s heslom: aj obyčajná WPA2/WPA3 Personal s heslom „na tabuli“ zabráni pasívnemu odpočúvaniu tretích strán. Najlepšie je WPA3 alebo WPA2-Enterprise (ak je dostupné).
• Ak je k dispozícii VPN, zapnite ju: kvalitná VPN šifruje celú prevádzku od vášho zariadenia po VPN server a skrýva ju pred lokálnou sieťou prevádzkovateľa.
• Overujte varovania prehliadača: ignorovanie chýb certifikátu je najrýchlejšia cesta k MITM.
• Minimalizujte citlivé úkony na otvorených sieťach: bankovníctvo, správa hesiel, administrácia – radšej cez mobilné dáta alebo s VPN.
• Po odchode z lokality „zabudnite“ sieť: znížite šancu automatického pripojenia k podvrhnutej kópii neskôr.

VPN a alternatívy: kedy má čo zmysel

• Komplexná VPN (WireGuard/OpenVPN/IKEv2): vhodná na verejné Wi-Fi – poskytuje integritu a dôvernosť proti lokálnej sieti.
• DoH/DoT (šifrované DNS): ak nepoužívate VPN, aspoň zašifruje DNS dotazy a sťaží lokálne presmerovanie.
• End-to-end TLS (HTTPS): absolútny základ. Aj s VPN stále potrebujete TLS pre jednotlivé služby.
• Private Relay/„Secure Wi-Fi“ služby: zjednodušené formy tunelovania v niektorých ekosystémoch. Zlepšia súkromie voči hotspotu, nie sú však náhradou za firemnú VPN.

Captive portály: ako prejsť bezpečne

1. Pripojte sa a otvorte „testovací“ neprivátny web (napr. spravodajský portál), aby sa portál vyvolal.
2. Prečítajte podmienky, sledujte, čo podpisujete. Niektoré hotspoty si nárokujú rozsiahle logovanie.
3. Po úspešnom prihlásení aktivujte VPN a až potom pristupujte k citlivým službám.

Správanie zariadenia: nastavenia, ktoré pomáhajú

• Vypnite automatické pripájanie k otvoreným sieťam: manuálne povoľte len tie, ktoré potrebujete.
• Zapnite náhodnú MAC adresu (MAC randomization): znižuje sledovateľnosť medzi hotspotmi.
• Zakážte zdieľanie a služby z lokálnej siete: vypnite SMB zdieľanie, AirDrop „Len kontakty“, vypnite UPnP/LLMNR/mDNS, ak ich nepotrebujete.
• Firewall a aktualizácie: zapnutý osobný firewall a aktuálne OS/prehliadač minimalizujú zneužiteľné povrchy.
• Pre mobil: preferujte tethering cez mobilné dáta pred pochybným Wi-Fi.

Prehliadač a aplikácie: hygiene-pack

• Rozšírenia držte na minime: rozšírenia majú prístup k údajom stránok; menej je viac.
• Izolácia profilov/okien: oddeľte pracovné a súkromné prihlásenia; znížite dopad prípadného úniku cookie.
• Blokovanie sledovačov a scriptov: rozumné blokátory znižujú riziko škodlivých injekcií na portáloch.
• Pozor na „nešifrované“ aplikácie: staršie klienty (IMAP bez TLS, FTP, telnet) na verejnom Wi-Fi nepoužívajte.

WPA2, WPA3, OWE: čo znamenajú pre vás

• WPA2/WPA3 Personal (s heslom): chránia rádiovú vrstvu pred pasívnym odpočúvaním. WPA3 je odolnejší voči offline útokom na heslo.
• WPA2-Enterprise/WPA3-Enterprise: firemné a univerzitné siete s individuálnymi prihlasovacími údajmi – výrazne lepšie než „spoločné“ heslo.
• OWE (Opportunistic Wireless Encryption): „otvorená“ sieť s individuálnym šifrovaním spojenia. Ak je dostupná, je lepšia než klasické otvorené Wi-Fi bez hesla.

Ochrana súkromia: čo vidí prevádzkovateľ hotspotu

Aj pri TLS môže prevádzkovateľ vidieť kedy a koľko dát prenášate, IP adresy cieľov a často aj domény (ak nepoužívate Encrypted Client Hello a DoH/DoT). Riešenia:

• VPN: skryje cieľové IP/domény pred hotspotom (vidí len tunel).
• DoH/DoT: ak VPN nepoužijete, aspoň zašifrujete DNS dotazy.
• Minimalizujte prihlásenia cez captive portál účtami sociálnych sietí: voľte „anonymnejšie“ prístupy, ak to podmienky umožňujú.

Firemné prostredie: odporúčaná politika

• Požadujte VPN na neznámych Wi-Fi: ideálne automatické „always-on“ profily.
• Zakážte lokálne služby: politiky firewallu, vypnuté zdieľania a prísna segmentácia.
• Edukujte používateľov: krátky návod na captive portály, varovania prehliadača a postup pri podozrení na MITM.
• Monitorujte anomálie: neštandardné relácie z exotických IP po pripojení na verejné siete.

Praktický postup: rýchly check pred pripojením

1. Skontrolujte názov siete a žiadajte heslo, ak je dostupné (WPA2/3).
2. Po pripojení spustite prehliadač, dokončite captive portál a hneď aktivujte VPN.
3. Overte, že citlivé weby bežia na HTTPS bez chýb certifikátu.
4. Po ukončení práce sieť „zabudnite“ a vypnite Wi-Fi, ak ho nepotrebujete.

Najčastejšie chyby a ako sa im vyhnúť

• Ignorovanie varovaní TLS: nikdy „nepokračujte napriek riziku“ na citlivých stránkach.
• Automatické pripájanie k otvoreným SSID: vypnite „auto-join“ pre open siete.
• Žiadna VPN pri citlivej práci: bankovníctvo a firemný prístup len s VPN alebo cez mobilné dáta.
• Nechránené zdieľania: vypnite SMB/AFP a súborové zdieľania na verejných profiloch siete.

Checklist: minimum, ktoré vás udrží v bezpečí

• Mám vypnuté automatické pripájanie k otvoreným sieťam a zapnutú náhodnú MAC.
• Po captive portáli vždy zapínam VPN; inak nepoužívam citlivé služby.
• Ignorujem otvorené Wi-Fi bez potreby a preferujem WPA2/3 alebo vlastný hotspot.
• Neignorujem varovania certifikátov a používam aktuálny prehliadač/OS.
• Po odchode sieť „zabúdam“ a Wi-Fi vypínam, keď ho nepotrebujem.

Rozumne, nie paranoidne

Verejné Wi-Fi možno používať bezpečne bez zbytočnej paranoje. Kľúčom je kombinácia moderných štandardov (TLS, WPA3), dobrých návykov (VPN, vypnuté zdieľania, overovanie varovaní) a základnej opatrnosti pri výbere sietí. S týmto prístupom zvládnete bežnú prácu na cestách s minimálnym rizikom pre bezpečnosť aj súkromie.