Doporučená nastavení Wi-Fi routerů a přístupových bodů

Pro dosažení nejlepšího zabezpečení, výkonu a spolehlivosti Wi-Fi routerů, základnových stanic nebo přístupových bodů při používání s produkty Apple pro ně doporučujeme tato nastavení.

Informace v tomto článku jsou určeny zejména správcům sítí a uživatelům, kteří spravují svou vlastní síť. Informace o připojení k síti Wi-Fi najdete v těchto článcích:

• Připojení Macu k Wi-Fi

• Připojení iPhonu nebo iPadu k Wi-Fi

• Připojení Apple Vision Pro k Wi-Fi

Informace o ochraně soukromí a bezpečnostních varováních týkající se Wi-Fi

Pokud vaše zařízení Apple zobrazuje varování o ochraně soukromí nebo o slabém zabezpečení Wi-Fi sítě, znamená to, že by tato síť mohla útočníkovi umožnit zjištění informací o vašem zařízení. Pokud síť Wi-Fi spravujete sami, doporučujeme nastavit Wi-Fi router tak, aby splňoval nebo překračoval bezpečnostní standardy uvedené v tomto článku. Pokud síť Wi-Fi nespravujete, můžete na uvedená nastavení upozornit správce sítě.

Nastavení routeru

Před změnou nastavení zálohujte stávající nastavení routeru pro případ, že byste je potřebovali obnovit. Zkontrolujte také, že je firmware vašeho routeru aktuální, a nainstalujte nejnovější aktualizace softwaru pro vaše zařízení Apple. Po změně nastavení možná budete muset zapomenout záznam sítě na každém zařízení, které se k síti dříve připojilo. Zařízení pak při opětovném připojení k síti použije nová nastavení routeru.

Chcete-li zajistit, aby se vaše zařízení Apple mohla spolehlivě a bezpečně připojovat k vaší síti, použijte tato nastavení důsledně na každý Wi-Fi router a přístupový bod a na každé pásmo dvoupásmového, třípásmového nebo vícepásmového routeru:

• Bezpečnost

• Název sítě (SSID)

• Skrytá síť

• Filtrování MAC adres

• Automatické aktualizace firmwaru

• Režim vysílání

• Pásma

• Kanál

• Šířka kanálu

• DHCP

• Doba zapůjčení DHCP

• NAT

• WMM

• Server DNS

Nastavení zabezpečení definuje typ ověřování a šifrování používaný routerem a úroveň ochrany soukromí pro data přenášená v jeho síti. Ať už si vyberete jakékoli zabezpečení, vždy nastavte pro připojení k síti silné heslo.

• WPA3 Personal je nejnovější a nejbezpečnější protokol, který je v současné době k dispozici pro Wi-Fi zařízení. Funguje se všemi zařízeními, která podporují Wi-Fi 6 (802.11ax), a některými staršími.

• WPA2/WPA3 Transitional je smíšený režim, který používá protokol WPA3 Personal pro zařízení, která ho podporují, a současně umožňuje starším zařízením místo toho používat protokol WPA2 Personal (AES).

• WPA2 Personal (AES) je vhodný, pokud nemůžete použít některý z bezpečnějších režimů. V takovém případě také vyberte AES jako typ šifrování, pokud je k dispozici.

Slabé zabezpečení, které byste neměli na routeru používat

Nevytvářejte sítě se staršími, zastaralými bezpečnostními protokoly ani se k nim nepřipojujte. Protokoly již nejsou bezpečné, snižují spolehlivost a výkonnost sítě a způsobují, že zařízení zobrazují bezpečnostní varování:

• WPA/WPA2 mixed

• WPA Personal

• WEP, včetně WEP Open, WEP Shared, WEP Transitional Security Network nebo Dynamic WEP (WEP s 802.1X)

• TKIP, včetně jakéhokoli nastavení, jehož název TKIP obsahuje

Stejně tak se důrazně nedoporučují nastavení, která vypínají zabezpečení úplně, jako například None, Open nebo Unsecured (Žádné, Otevřené nebo Bez zabezpečení). Vypnutí zabezpečení zakáže jak ověřování, tak šifrování, a umožňuje komukoli připojit se k vaší síti, používat její sdílené prostředky (včetně tiskáren, počítačů a chytrých spotřebičů), používat připojení k internetu a monitorovat webové stránky, které navštívíte, a další data přenášená přes síť nebo internetové připojení. Je to rizikové, i když zabezpečení vypnete jen dočasně nebo vytvoříte síť pro hosty.

SSID (Service Set Identifier) je název, který vaše síť používá k oznamování své přítomnosti jiným zařízením. Je to název, který uživatelé v okolí uvidí v seznamu dostupných sítí Wi-Fi na svém zařízení.

• Všechny routery ve vaší síti by měly používat stejný název pro každé pásmo, které podporují. Pokud sítě v pásmech 2,4 GHz, 5 GHz nebo 6 GHz pojmenujete jinak, zařízení se nemusí spolehlivě připojovat k vaší síti, ke všem routerům ve vaší síti nebo ke všem dostupným pásmům vašich routerů. Pokud váš router poskytuje síť Wi-Fi 6E, která nepoužívá stejný název pro všechna pásma, zařízení Apple, která podporují Wi-Fi 6E, identifikují takovou síť jako s omezenou kompatibilitou.

• Použijte pro vaši síť jedinečný název. Nepoužívejte běžné ani výchozí názvy jako např. linksys, netgear, dlink, wireless nebo 2wire. Mohlo by se stát, že zařízení, která se připojují do vaší sítě, s větší pravděpodobností narazí na jiné sítě se stejným názvem a automaticky se k nim budou pokoušet připojit.

Router lze nakonfigurovat tak, aby skryl svůj název sítě (SSID). Některé routery mohou používat zavádějící termíny „closed“ (uzavřená), což znamená skrytou síť, a „broadcast“ (vysílání), což znamená, že síť není skrytá.

Skrytí názvu sítě neskryje síť před nalezením ani ji nezabezpečí proti neoprávněnému přístupu. A kvůli způsobu, jakým zařízení vyhledávají sítě Wi-Fi a připojují se k nim, může použití skryté sítě odhalit informace, které lze použít k identifikaci vás a skrytých sítí, které používáte, jako je například domácí síť. Pokud je zařízení připojeno ke skryté síti, může se kvůli tomuto riziku zobrazit upozornění o ochraně soukromí.

Chcete-li zabezpečit přístup ke své síti, použijte místo toho odpovídající nastavení zabezpečení.

Je-li tato funkce zapnutá, můžete router nastavit tak, aby se k síti mohla připojit pouze zařízení s konkrétními MAC adresami. Neměli byste však na tuto funkci spoléhat jako na jedinou ochranu před neoprávněným přístupem, a to z těchto důvodů:

• Nezabrání pozorovatelům sítě v monitorování nebo zachycení provozu v síti.

• MAC adresy lze snadno kopírovat, předstírat (tzv. spoofing) nebo měnit.

• Některá zařízení Apple používají pro každou Wi-Fi síť jinou MAC adresu, aby lépe chránila soukromí uživatelů.

Chcete-li zabezpečit přístup ke své síti, použijte místo toho odpovídající nastavení zabezpečení.

Pokud je to možné, nastavte router tak, aby automaticky nainstaloval aktualizace softwaru a firmwaru, jakmile budou k dispozici. Tyto aktualizace mohou zpřístupnit nová nastavení zabezpečení a poskytovat další důležitá vylepšení stability, výkonu a zabezpečení routeru.

Nastavení vysílání, která se určují nezávisle pro pásma 2,4 GHz, 5 GHz a 6 GHz, určují verze standardu Wi-Fi, které router používá pro bezdrátovou komunikaci. Novější verze nabízejí lepší výkon a podporu více zařízení současně.

Obvykle je nejlepší povolit každý režim, který váš router podporuje, než jen podmnožinu těchto režimů. Všechna zařízení, včetně starších, se pak mohou připojit pomocí nejrychlejšího režimu, který podporují. Současně to pomáhá snížit rušení ze sousedních starších sítí a zařízení.

Wi-Fi pásmo je jako ulice, kterou mohou proudit data. Více pásem poskytuje větší kapacitu přenosu dat a větší výkon vaší sítě.

Každé pásmo vašeho routeru je rozděleno do několika nezávislých komunikačních kanálů, podobných pruhům na dálnici. Pokud nastavíte automatický výběr kanálu, router vybere nejlepší Wi-Fi kanál za vás.

Pokud router nepodporuje automatický výběr kanálů, vyberte kanál, který ve vašem síťovém prostředí funguje nejlépe. Záleží to na rušení Wi-Fi ve vašem prostředí, zejména od blízkých routerů a zařízení, která používají stejný kanál. Pokud máte více routerů, nastavte každý na jiný kanál, zejména pokud jsou blízko sebe.

Šířka kanálu určuje, jak velké „potrubí“ je k dispozici pro přenos dat. Širší kanály jsou rychlejší, ale náchylnější k rušení a častěji kolidují s jinými zařízeními.

• Nastavení 20 MHz pro pásmo 2,4 GHz pomáhá předcházet problémům s výkonem a spolehlivostí, zejména v blízkosti jiných Wi-Fi sítí a zařízení využívajících pásmo 2,4 GHz, například i zařízení Bluetooth.

• Nastavení Automatická šířka nebo Všechny šířky v pásmech 5 GHz 6 GHz zajišťuje nejlepší výkon a kompatibilitu se všemi zařízeními. Bezdrátové rušení nepředstavuje v těchto pásmech takový problém.

DHCP (Dynamic Host Configuration Protocol) přiřazuje IP adresy zařízením v síti. Každá IP adresa identifikuje zařízení v síti a umožňuje mu komunikovat s dalšími zařízeními v síti a na internetu. Síťové zařízení potřebuje IP adresu, podobně jako telefon potřebuje telefonní číslo.

V každé síti může být jen jeden server DHCP. Pokud je server DHCP zapnutý na více než jednom zařízení, například na kabelovém modemu a routeru, konflikty adres mohou některým zařízením zabránit v připojení k internetu nebo používání síťových zdrojů.

Doba zapůjčení DHCP je doba, po kterou má zařízení rezervovanou IP adresu, která mu byla přidělena.

Wi-Fi routery mají obvykle k dispozici omezený počet IP adres, které mohou přiřadit zařízením v síti. Když se tento počet vyčerpá, router nemůže přiřazovat IP adresy novým zařízením, což jim znemožní komunikovat s jinými zařízeními v síti a na internetu. Zkrácení doby zapůjčení DHCP umožňuje routeru rychleji získat zpět a znovu přiřadit nepoužívané IP adresy.

NAT (překlad síťových adres) překládá mezi adresami na internetu a adresami ve vaší síti. NAT si můžete představit jako podnikové poštovní oddělení, které přeposílá zásilky adresované celé firmě do kanceláří jednotlivých zaměstnanců v budově.

Obecně povolte NAT jen v routeru. Pokud NAT povolíte na více než jednom zařízení, například na kabelovém modemu a routeru, může výsledný „dvojitý překlad“ způsobit, že zařízení ztratí přístup k určitým prostředkům v síti nebo na internetu.

WMM (Wi-Fi multimedia) upřednostňuje určitý síťový provoz a zvyšuje výkon vybraných síťových aplikací, například přenosu videa a hlasu. Všechny routery, které podporují Wi-Fi 4 (802.11n) nebo novější, by měly mít ve výchozím nastavení WMM povolené. Vypnutí WMM může ovlivnit výkon a spolehlivost zařízení v síti.

Aby mohla zařízení snadno přistupovat k webovým stránkám na internetu, potřebují server DNS (Domain Name System), který převádí názvy domén (například apple.com) na IP adresy. Ve výchozím nastavení router používá server DNS vašeho poskytovatele internetového připojení (ISP). Pokud je nakonfigurováno použití jiného serveru DNS, budou vaše zařízení ve výchozím nastavení při připojení k síti routeru používat tento server.

Pokud vás zařízení upozorní, že síť blokuje šifrovaný přenos DNS, můžete nadále používat nakonfigurovaný server DNS. Názvy webových stránek a dalších serverů, ke kterým vaše zařízení přistupuje v síti, jsou ale nešifrované, a proto je mohou monitorovat a zaznamenávat jiná zařízení v síti. Další informace vám poskytne váš poskytovatel internetového připojení nebo jiný poskytovatel DNS, nejprve ale vyzkoušejte tato řešení: Zkontrolujte, že je váš software aktuální a vašenastavení zabezpečení je nakonfigurováno podle doporučení. Restartujte zařízení. Restartujte router. Zapomeňte záznam sítě Wi-Fi a pak se k ní znovu připojte.

Funkce, které mohou ovlivnit připojení Wi-Fi

Tyto funkce mohou ovlivnit optimální způsob nastavení routeru nebo zařízení, která se k němu připojují.

Soukromá adresa Wi-Fi

Pokud se připojujete k Wi-Fi síti z iPhonu, iPadu, Apple Watch nebo Apple Vision Pro, přečtěte si další informace o používání soukromých Wi-Fi adres na těchto zařízeních.

Polohové služby

Ujistěte se, že máte v zařízení pro Wi-Fi síť zapnuté polohové služby, protože předpisy v každé zemi nebo oblasti definují povolené Wi-Fi kanály a intenzitu bezdrátového signálu. Polohové služby pomáhají zajistit, aby vaše zařízení mohlo spolehlivě zjišťovat zařízení v okolí a připojovat se k nim a aby dosahovalo odpovídajícího výkonu při používání Wi-Fi připojení nebo funkcí závislých na Wi-Fi připojení, jako je AirPlay nebo AirDrop.

Mac se systémem macOS Ventura nebo novějším

1. Zvolte nabídku Apple  > Nastavení systému a na bočním panelu klikněte na Zabezpečení a soukromí.

2. Vpravo klikněte na Polohové služby.

3. V seznamu aplikací a služeb sjeďte dolů a vedle položky Systémové služby klikněte na tlačítko Podrobnosti.

4. Zapněte „Sítě a bezdrátové připojení“ a klikněte na Hotovo.

Mac se systémem macOS Monterey nebo starším

1. Zvolte nabídku Apple  > Předvolby systému a klikněte na Zabezpečení a soukromí.

2. Klikněte na ikonu zámku v rohu okna a zadejte heslo správce.

3. Na kartě Soukromí vyberte Polohové služby a zvolte Zapnout polohové služby.

4. V seznamu aplikací a služeb sjeďte dolů a vedle položky Systémové služby klikněte na tlačítko Podrobnosti.

5. Vyberte Sítě a bezdrátové připojení (nebo Wi-Fi sítě) a klikněte na Hotovo.

iPhone, iPad a Apple Vision Pro

1. Přejděte do nabídky Nastavení > Soukromí a zabezpečení > Polohové služby.

2. Zapněte volbu Polohové služby.

3. Přejděte na konec seznamu a klepněte na Systémové služby.

4. Zapněte Sítě a bezdrátové připojení (nebo Wi-Fi sítě).

Automatické připojení k bezdrátovým sítím mobilního operátora

Wi-Fi sítě mobilního operátora jsou veřejné sítě vytvořené vaším operátorem a jeho partnery. iPhone a ostatní mobilní zařízení Apple je považují za známé sítě a automaticky se k nim připojují.

Pokud se v nastavení Wi-Fi zobrazuje pod názvem sítě vašeho operátora varování o soukromí, vaše mobilní identita by mohla být odhalena, pokud by se vaše zařízení připojilo k nebezpečnému hotspotu předstírajícímu síť Wi-Fi vašeho operátora. Abyste se tomuto riziku vyhnuli, můžete zabránit tomu, aby se váš iPhone nebo iPad automaticky připojoval k síti Wi-Fi vašeho operátora:

1. Přejděte do Nastavení > Wi-Fi.

2. Klepněte na tlačítko informací vedle sítě bezdrátového operátora.

3. Vypněte automatické připojování.