הגדרות מומלצות עבור נתבי Wi-Fi ונקודות גישה

לאבטחה, ביצועים ואמינות מיטביים, אנו ממליצים על ההגדרות הבאות לנתבי ה-Wi-Fi, תחנות הבסיס או נקודות הגישה המשמשים את מוצרי Apple. 

מאמר זה מיועד בראש ובראשונה למנהלי רשת ולאחרים שמנהלים רשת משלהם. אם אתם מנסים להצטרף לרשת Wi-Fi, ייתכן שאחד מהמאמרים הבאים יוכל לעזור:

מידע על אזהרות הקשורות לפרטיות ולאבטחה
אם במכשיר Apple מוצגת הודעת אזהרה הקשורה לפרטיות או לאבטחה לא מספקת ברשת Wi-Fi, רשת זו עלולה לחשוף מידע על המכשיר. Apple ממליצה להתחבר לרשתות Wi-Fi העומדות בתקני האבטחה המפורטים במאמר זה או בתקנים מחמירים יותר.

לפני שינוי ההגדרות בנתב

  1. גבו את הגדרות הנתב למקרה שתצטרכו לשחזר אותן.
  2. עדכנו את התוכנה במכשירים. פעולה זו חיונית כדי להבטיח שהמכשירים יכללו את עדכוני האבטחה החדשים ביותר ויפעלו היטב זה עם זה.
    • ראשית, התקינו את עדכוני הקושחה החדשים ביותר לנתב.
    • לאחר מכן, עדכנו את התוכנה במכשירים האחרים, כגון ב-Mac וב-iPhone או ב-iPad.
  3. ייתכן שיהיה צורך לגרום לכל מכשיר שהצטרף בעבר לרשת לשכוח את הרשת כדי להבטיח שהמכשיר ישתמש בהגדרות החדשות של הנתב בעת ההצטרפות מחדש לרשת.

 


הגדרות הנתב

כדי להבטיח שהמכשירים יוכלו להתחבר לרשת בצורה מאובטחת ומהימנה, יש להחיל הגדרות אלו באופן עקבי על כל נתבי ה-Wi-Fi ונקודות הגישה, ועל כל תחום תדרים כאשר מדובר בנתב עם שני תחומי תדרים, שלושה תחומי תדרים או כל נתב אחר עם מספר תדרים.

אבטחה

 הגדירו ל-WPA3 Personal לאבטחה משופרת
      הגדירו ל-WPA2/WPA3 Transitional לתאימות עם מכשירים ישנים יותר

הגדרת האבטחה מגדירה את סוג האימות וההצפנה המשמשים את הנתב ואת רמת ההגנה על הפרטיות של הנתונים שעוברים ברשת שלו. ללא קשר להגדרה שתבחרו, חשוב תמיד להגדיר סיסמה חזקה לצורך הצטרפות לרשת.

  • WPA3 Personal הוא הפרוטוקול החדש והמאובטח ביותר הקיים כיום עבור מכשירי Wi-Fi. הוא פועל עם כל המכשירים התומכים ב-Wi-Fi 6‏ (802.11ax), ובכמה מכשירים ישנים יותר.
  • WPA2/WPA3 Transitional הוא מצב מעורב המשתמש ב-WPA3 Personal עם מכשירים התומכים בפרוטוקול זה, ובמקביל מאפשר גם למכשירים ישנים יותר להשתמש ב-WPA2 Personal‏ (AES)‏.
  • פרוטוקול האבטחה WPA2 Personal‏ (AES) מתאים כאשר אי אפשר להשתמש באחד מהמצבים המאובטחים יותר. במקרה כזה, אם יש אפשרות כזו בחרו גם ב-AES כסוג ההצפנה או הקידוד.

הגדרות אבטחה חלשות שיש להימנע מהן בנתב

אל תצרו רשתות שנעשה בהן שימוש בפרוטוקולי אבטחה מיושנים אשר יצאו משימוש, וגם אל תצטרפו לרשתות כאלה. פרוטוקולים אלה כבר אינם מאובטחים, הם מפחיתים את המהימנות ואת הביצועים של הרשת והם גורמים למכשיר להציג הודעת אזהרה הקשורה לאבטחה:

  • מצבים מעורבים של WPA/WPA2
  • WPA Personal
  • WEP, לרבות WEP Open‏, WEP Shared‏, WEP Transitional Security Network או Dynamic WEP ‏(WEP עם 802.1X)
  • TKIP, לרבות כל הגדרת אבטחה עם האותיות TKIP בשמה

בנוסף, מאוד לא מומלץ להשתמש בהגדרות שמשביתות את האבטחה, כגון None (ללא), Open (פתוח) או Unsecured (ללא אבטחה). כיבוי האבטחה משבית את האימות ואת ההצפנה ומאפשר לכל אחד להצטרף לרשת, לגשת למשאבים המשותפים שלה (כולל מדפסות, מחשבים ומכשירים חכמים), להשתמש בחיבור לאינטרנט ולעקוב אחר האתרים שבהם אתם מבקרים ואחר נתונים אחרים המשודרים דרך הרשת או החיבור לאינטרנט. הסיכון קיים גם אם משביתים את האבטחה באופן זמני או יוצרים 'רשת אורחים'.

 

שם הרשת (SSID)

 הגדירו לשם יחיד וייחודי (תלוי רישיות)

שם רשת ה-Wi-Fi, או ה-SSID (מזהה ערכת שירות), הוא השם שמשמש את הרשת כדי לפרסם את נוכחותה למכשירים אחרים. זהו גם השם שהמשתמשים בקרבתה רואים ברשימת הרשתות הזמינות במכשיר שלהם.

השתמשו בשם הייחודי לרשת והקפידו לוודא שכל הנתבים ברשת משתמשים באותו שם לכל תחומי התדרים שבהם הם תומכים. לדוגמה, אל תשתמשו בשמות נפוצים או בשמות ברירת מחדל, כגון linksys, ‏netgear, ‏dlink, ‏wireless או 2wire, ואל תתנו לתחומי התדרים 2.4GHz ו-5GHz שמות שונים.

אם לא תקפידו לבצע הנחיה זו, ייתכן שמכשירים לא יתחברו באופן אמין לרשת, לכל הנתבים ברשת, או לכל תחומי התדרים הזמינים של הנתבים. בנוסף, תגבר הסבירות שמכשירים שמצטרפים לרשת ייתקלו ברשתות אחרות בשם זהה וינסו להתחבר אליהן אוטומטית.

 

רשת מוסתרת

 הגדירו למושבת

ניתן להגדיר נתב כך שיסתיר את שם הרשת שלו (SSID). הנתב עלול להשתמש באופן שגוי במצב closed (סגור) במקום במצב מוסתר, ובמצב broadcast (משדר) במקום במצב גלוי.

הסתרת שם הרשת אינה מונעת את זיהויה ואינה מאבטחת אותה מפני גישה לא מורשית. בגלל הדרך שבה מכשירים מחפשים רשתות Wi-Fi ומתחברים אליהן, שימוש ברשת מוסתרת עשוי לחשוף מידע שמאפשר לזהות אתכם ואת הרשתות המוסתרות שבהן אתם משתמשים, למשל את הרשת הביתית. כאשר אתם מחוברים לרשת מוסתרת, ייתכן שהמכשיר יציג אזהרת פרטיות בגלל סיכון זה לפרטיות.

כדי לאבטח את הגישה לרשת, עדיף להשתמש בהגדרת האבטחה המתאימה.

 

סינון כתובות MAC, אימות, בקרת גישה

 הגדירו למושבת

כאשר תכונה זו מופעלת, ניתן להגדיר את הנתב כך שיאפשר רק למכשירים עם כתובות MAC (בקרת גישה למדיה) ספציפיות להצטרף לרשת. אסור לסמוך על תכונה זו כדי למנוע גישה בלתי מורשית לרשת מהסיבות הבאות:

כדי לאבטח את הגישה לרשת, עדיף להשתמש בהגדרת האבטחה המתאימה.

 

עדכוני קושחה אוטומטיים

 הגדירו לפעיל

במידת האפשר, הגדירו את הנתב להתקנה אוטומטית של עדכוני תוכנה וקושחה מיד עם פרסומם. עדכוני קושחה יכולים להשפיע על הגדרות האבטחה שעומדות לרשותכם והם מספקים שיפורים חשובים נוספים ליציבות, לביצועים ולאבטחה של הנתב.

 

מצב רדיו

 הגדירו ל-All (הכל) (מועדף) או ל-Wi-Fi 2 עד Wi-Fi 6 (‏802.11a/g/n/ac/ax)

הגדרות אלה, שזמינות בנפרד עבור תחומי התדרים 2.4GHz ו-5GHz, קובעות באילו גרסאות של תקן ה-Wi-Fi הנתב ישתמש עבור תקשורת אלחוטית. הגרסאות החדשות יותר מציעות ביצועים טובים יותר ותומכות במכשירים רבים יותר במקביל.

בדרך כלל עדיף לאפשר את כל המצבים שהנתב מציע ולא קבוצת משנה של מצבים אלה. כך יוכלו כל המכשירים, כולל מכשירים ישנים יותר, להתחבר באמצעות אות הרדיו המהיר ביותר שבו הם תומכים. דבר זה מסייע גם בהפחתת הפרעות מרשתות ומכשירים מדור קודם בקרבת מקום.

 

תחומי תדרים

הפעלת כל תחומי התדרים שבהם הנתב תומך

תחומי התדרים של רשת ה-Wi-Fi הם כמו רחוב שבו הנתונים יכולים לזרום. תחומי תדרים נוספים מספקים לרשת קיבולת נתונים גבוהה יותר וביצועים טובים יותר. 

 

ערוץ

 הגדירו לאוטומטי

כל תחום תדרים של הנתב מחולק לערוצי תקשורת עצמאיים מרובים, כמו נתיבים ברחוב. כאשר ההגדרה של בחירת הערוץ מכוונת לבחירה אוטומטית, הנתב בוחר את ערוץ ה-Wi-Fi הטוב ביותר עבורכם.

אם הנתב אינו תומך בבחירת ערוצים אוטומטית, בחרו בערוץ עם הביצועים הטובים ביותר בסביבת הרשת שלכם. הביצועים עשויים להשתנות בהתאם להפרעות ה-Wi-Fi בסביבת הרשת, שעשויות לכלול הפרעות מנתבים וממכשירים אחרים המשתמשים באותו ערוץ. אם יש לכם מספר נתבים, הגדירו כל אחד מהם כך שישתמש בערוץ אחר, במיוחד אם הם קרובים זה לזה.

 

רוחב הערוץ

 הגדירו ל-20MHz עבור תחום התדרים 2.4GHz
      הגדירו לאוטומטי או לכל רוחבי הערוצים (20MHz, ‏40MHz, ‏80MHz) עבור תחום התדרים 5GHz

רוחב הערוץ מציין את גודל "הצינור" שזמין להעברת נתונים. ערוצים רחבים הם מהירים יותר אך גם רגישים יותר להפרעות, והסבירות שיפריעו למכשירים אחרים גבוהה יותר.

  • רוחב ערוץ של 20MHz לתחום התדרים 2.4GHz מסייע במניעת בעיות של ביצועים ואמינות, במיוחד בקרבת רשתות Wi-Fi אחרות ומכשירים שפועלים בתחום התדרים 2.4GHz, כולל מכשירי Bluetooth.
  • בחירה במצב האוטומטי או בכל רוחבי הערוצים לתחום התדרים 5GHz מבטיחה ביצועים ותאימות ברמה הגבוהה ביותר לכל המכשירים. בתחום התדרים 5GHz הפרעות אלחוטיות אינן מהוות בעיה בדרך כלל.

 

DHCP

 הגדירו לפעיל, אם הנתב הוא שרת ה-DHCP היחיד ברשת

DHCP (פרוטוקול תצורה של מארח דינמי) מקצה כתובות IP למכשירים ברשת. כל כתובת IP מזהה מכשיר ברשת ומאפשרת לו לתקשר עם מכשירים אחרים ברשת ובאינטרנט. מכשיר שמתחבר לרשת צריך כתובת IP בדיוק כמו שטלפון צריך מספר טלפון.

ברשת צריך להיות שרת DHCP אחד בלבד. אם DHCP מופעל ביותר ממכשיר אחד, למשל הן במודם הכבלים והן בנתב, התנגשויות בין כתובות עלולות למנוע ממכשירים מסוימים להתחבר לאינטרנט או להשתמש במשאבי הרשת.

 

משך ההקצאה של ה-DHCP

 הגדירו ל-8 שעות לרשתות ביתיות או משרדיות ולשעה לנקודות חמות או לרשתות אורחים

משך ההקצאה של ה-DHCP הוא משך הזמן שכתובת IP שהוקצתה למכשיר שמורה לאותו מכשיר.

לנתבי Wi-Fi בדרך כלל יש מספר מוגבל של כתובות IP שהם יכולים להקצות למכשירים ברשת. אם אין יותר כתובות, הנתב לא יכול להקצות כתובות IP למכשירים חדשים, ומכשירים אלה לא יכולים לתקשר עם מכשירים אחרים ברשת ובאינטרנט. קיצור משך ההקצאה של ה-DHCP מאפשר לנתב לבטל ולהקצות מחדש במהירות רבה יותר כתובות IP ישנות שכבר אינן בשימוש.

 

NAT

 הגדירו לפעיל אם הנתב הוא המכשיר היחיד המספק NAT ברשת

NAT (תרגום כתובת רשת) מתרגם את כתובות האינטרנט לכתובות ברשת ולהיפך. כדי להבין את ה-NAT תארו לעצמכם את מחלקת הדואר של חברה שמעבירה דברי דואר שנשלחו לכתובת של החברה למשרדי העובדים בתוך הבניין.

בדרך כלל, יש לאפשר את ה-NAT רק בנתב. אם ה-NAT מופעל ביותר ממכשיר אחד, למשל הן במודם הכבלים והן בנתב, התוצאה היא "NAT כפול" שעשוי לגרום למכשירים לאבד גישה למשאבים מסוימים ברשת או באינטרנט.

 

WMM

 הגדירו לפעיל

התכונה WMM (מולטימדיה Wi-Fi) מתעדפת את תעבורת הרשת כדי לשפר את הביצועים של מגוון יישומי רשת, כגון וידאו וקול. בכל הנתבים שתומכים ב-Wi-Fi 4‏ (802.11n) ואילך התכונה WMM כבר מופעלת בדרך כלל כברירת מחדל. השבתת WMM יכולה להשפיע על הביצועים ועל האמינות של מכשירים ברשת.

 

 


תכונות מכשירים שיכולות להשפיע על חיבורי ה-Wi-Fi

התכונות הבאות עשויות להשפיע על אופן הגדרת הנתב או על המכשירים המתחברים אליו. 

כתובת Wi-Fi פרטית

אם אתם מתחברים לרשת Wi-Fi מ-iPhone, ‏iPad, ‏iPod touch או Apple Watch, קבלו מידע על שימוש בכתובות Wi-Fi פרטיות ב-iOS 14, ‏iPadOS 14 ו-watchOS 7.

שירותי מיקום

ודאו שהתכונה 'שירותי מיקום' במכשיר פועלת עבור רשת ה-Wi-Fi מכיוון שהתקנות בכל מדינה או אזור מגדירות את הערכים המותרים לגבי ערוצי Wi-Fi ולגבי עוצמת האות האלחוטי. 'שירותי מיקום' מסייעים לוודא שהמכשיר יכול "לראות" מכשירים אחרים בסביבה ולהתחבר אליהם בצורה מהימנה וכן שהביצועים שלו טובים בעת שימוש ב-Wi-Fi או בתכונות שמבוססות על Wi-Fi, כגון AirPlay או AirDrop.

ב-Mac:

  1. פתחו את תפריט Apple‏  > 'העדפות המערכת' ולאחר מכן לחצו על 'אבטחה ופרטיות'.
  2. לחצו על המנעול בפינת החלון, ולאחר מכן הזינו את סיסמת מנהל המערכת.
  3. בלשונית 'פרטיות', בחרו 'שירותי מיקום', ואחר כך בחרו 'הפעל את ״שירותי מיקום״'.
  4. גללו אל תחתית רשימת האפליקציות והשירותים, ולאחר מכן לחצו על הלחצן 'פרטים' לצד 'שירותי מערכת'.
  5. בחרו רשת Wi-Fi ולחצו על 'סיום'.

ב-iPhone‏, ב-iPad או ב-iPod touch‏:

  1. עברו אל 'הגדרות' > 'פרטיות' > 'שירותי מיקום'.
  2. הפעילו את 'שירותי מיקום'.
  3. גללו לתחתית הרשימה והקישו על 'שירותי מערכת'.
  4. הפעילו את האפשרות 'רשתות ותקשורת אלחוטית' (או 'תקשורת אלחוטית').

הצטרפות אוטומטית בעת שימוש ברשתות Wi-Fi של מפעילים סלולריים

רשתות Wi-Fi של מפעילים סלולריים הן רשתות ציבוריות שהוקמו על ידי המפעילים הסלולריים ושותפיהם. ה-iPhone או המכשירים הסלולריים האחרים של Apple מתייחסים אליהן כאל רשתות מוכרות ומתחברים אליהן אוטומטית.

אם מופיעה "אזהרת פרטיות" תחת שם הרשת של המפעיל בהגדרות ה-Wi-Fi, התחברות של המכשיר לנקודה חמה זדונית המתחזה לרשת ה-Wi-Fi של המפעיל הסלולרי עלולה לגרום לחשיפת הזהות הסלולרית שלכם. כדי למנוע אפשרות זו, ניתן למנוע מה-iPhone או מה-iPad להתחבר אוטומטית לרשת ה-Wi-Fi של המפעיל הסלולרי:

  1. עברו אל 'הגדרות' > Wi-Fi.
  2. הקישו על לצד הרשת האלחוטית של המפעיל הסלולרי.
  3. כבו את האפשרות 'הצטרפות אוטומטית'.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: