הגדרות מומלצות עבור נתבים אלחוטיים ונקודות גישה
לצורך אבטחה, ביצועים ואמינות מיטביים, אנו ממליצים על ההגדרות הבאות לתחנות הבסיס, לנקודות הגישה או לנתבים האלחוטיים המשמשים את מוצרי Apple.
המידע במאמר זה מיועד בראש ובראשונה למנהלי רשת ולאחרים שמנהלים רשת משלהם. לקבלת מידע על אופן ההצטרפות לרשת אלחוטית, עיינו במאמרים הבאים במקום זאת:
מידע על אזהרות הקשורות לפרטיות ולאבטחה ברשת אלחוטית
אם במכשיר Apple מוצגת הודעת אזהרה הקשורה לפרטיות או לאבטחה לא מספקת ברשת אלחוטית, רשת זו עלולה לחשוף מידע על המכשיר. אם אתם מנהלים את הרשת האלחוטית, אנחנו ממליצים לעדכן את ההגדרות של הנתב האלחוטי כך שיעמדו בתקני האבטחה המפורטים במאמר זה או אף יעלו עליהם. אם אינכם מנהלים את הרשת האלחוטית, הפנו את תשומת לבו של מנהל הרשת להגדרות אלה.
הגדרות הנתב
כדי לשנות את הגדרות הנתב, לעדכן את הקושחה שלו או לשנות את סיסמת הרשת האלחוטית, השתמשו בדף התצורה או ביישום שסופקו על ידי יצרן הנתב. לקבלת עזרה, עיינו בתיעוד הנלווה לנתב, פנו ליצרן שלו או התייעצו עם מנהל הרשת.
לפני שינוי ההגדרות, גבו את ההגדרות הקיימות של הנתב למקרה שתצטרכו לשחזר אותן. כמו כן, ודאו שהקושחה של הנתב מעודכנת, והתקינו את עדכוני התוכנה האחרונים עבור מכשירי Apple. לאחר שינוי ההגדרות, ייתכן שיהיה עליכם לשכוח את הרשת בכל מכשיר שהצטרף לרשת בעבר. לאחר מכן, המכשיר ישתמש בהגדרות החדשות של הנתב בעת הצטרפות מחדש לרשת.
כדי להבטיח שמכשירי Apple יוכלו להתחבר לרשת בצורה מאובטחת ומהימנה, יש להחיל הגדרות אלו באופן עקבי בכל הנתבים האלחוטיים ונקודות הגישה, ולכל תחום תדרים כאשר מדובר בנתב עם שני תחומי תדרים, שלושה תחומי תדרים או כל נתב אחר עם מספר תדרים:
אבטחה |
|---|
הגדירו ל-WPA3 Personal לאבטחה משופרת, או הגדירו ל-WPA2/WPA3 Transitional לתאימות עם מכשירים ישנים יותר. |
הגדרת האבטחה מגדירה את סוג האימות וההצפנה המשמשים את הנתב ואת רמת ההגנה על הפרטיות של הנתונים שעוברים ברשת שלו. ללא קשר להגדרה שתבחרו, חשוב תמיד להגדיר סיסמה חזקה לצורך הצטרפות לרשת.
WPA3 Personal הוא הפרוטוקול החדש והמאובטח ביותר הקיים כיום עבור מכשירי Wi-Fi. הוא פועל עם כל המכשירים התומכים ב-רשת אלחוטית 6 (802.11ax), ובכמה מכשירים ישנים יותר.
WPA2/WPA3 Transitional הוא מצב מעורב המשתמש ב-WPA3 Personal עם מכשירים התומכים בפרוטוקול זה, ובמקביל מאפשר למכשירים ישנים יותר להשתמש ב-WPA2 Personal (AES) במקום זאת.
פרוטוקול האבטחה WPA2 Personal (AES) מתאים כאשר אי אפשר להשתמש באחד מהמצבים המאובטחים יותר. במקרה כזה, אם יש אפשרות כזו בחרו גם ב-AES כסוג ההצפנה או הקידוד.
הגדרות אבטחה חלשות שיש להימנע מהן בנתב
אל תצרו רשתות שנעשה בהן שימוש בפרוטוקולי אבטחה מיושנים אשר יצאו משימוש, וגם אל תצטרפו לרשתות כאלה. פרוטוקולים אלה כבר אינם מאובטחים, הם מפחיתים את המהימנות ואת הביצועים של הרשת, והם גורמים למכשיר להציג הודעת אזהרה הקשורה לאבטחה:
מצבים מעורבים של WPA/WPA2
WPA Personal
WEP, לרבות WEP Open, WEP Shared, WEP Transitional Security Network או Dynamic WEP (WEP עם 802.1X)
TKIP, לרבות כל הגדרת אבטחה עם האותיות TKIP בשם
בנוסף, מאוד לא מומלץ להשתמש בהגדרות שמשביתות את האבטחה, כגון None (ללא), Open (פתוח) או Unsecured (ללא אבטחה). כיבוי האבטחה משבית את האימות ואת ההצפנה ומאפשר לכל אחד להצטרף לרשת, לגשת למשאבים המשותפים שלה (כולל מדפסות, מחשבים ומכשירים חכמים), להשתמש בחיבור לאינטרנט ולעקוב אחר האתרים שבהם אתם מבקרים ואחר נתונים אחרים המשודרים דרך הרשת או החיבור לאינטרנט. הסיכון קיים גם אם משביתים את האבטחה באופן זמני או יוצרים 'רשת אורחים'.
שם הרשת (SSID) |
|---|
הגדירו לשם יחיד וייחודי (תלוי-רישיות) עבור כל התדרים. |
ה-SSID (מזהה ערכת שירות) הוא השם שמשמש את הרשת כדי לפרסם את נוכחותה למכשירים אחרים. זהו השם שהמשתמשים בקרבתה רואים ברשימת הרשתות האלחוטיות הזמינות במכשיר שלהם.
ודאו שכל הנתבים ברשת משתמשים באותו שם עבור כל תדר שבו הם תומכים. אם תתנו שמות שונים לתדרים 2.4GHz, 5GHz או 6GHz, ייתכן שהמכשירים לא יתחברו באופן אמין לרשת שלכם, לכל הנתבים ברשת או לכל התדרים הזמינים של הנתבים. אם הנתב מספק רשת אלחוטית 6E שאינה משתמשת באותו שם עבור כל התדרים, מכשירי Apple שתומכים ברשת אלחוטית 6E יזהו את הרשת כבעלת תאימות מוגבלת.
השתמשו בשם ייחודי לרשת שלכם. אל תשתמשו בשמות נפוצים או בשמות ברירת מחדל, כגון linksys, netgear, dlink, wireless או 2wire. אחרת, תגבר הסבירות שמכשירים שמצטרפים לרשת ייתקלו ברשתות אחרות בשם זהה וינסו להתחבר אליהן אוטומטית.
ניתן להגדיר נתב כך שיסתיר את שם הרשת שלו (SSID). הנתב עלול להשתמש באופן שגוי במצב closed (סגור) במשמעות של מצב מוסתר, ובמצב broadcast (משדר) במשמעות של מצב גלוי.
הסתרת שם הרשת אינה מונעת את זיהויה ואינה מאבטחת אותה מפני גישה לא מורשית. בגלל האופן שבו מכשירים מחפשים רשתות אלחוטיות ומתחברים אליהן, שימוש ברשת מוסתרת עשוי לחשוף מידע שמאפשר לזהות אתכם ואת הרשתות המוסתרות שבהן אתם משתמשים, למשל את הרשת הביתית. כאשר אתם מחוברים לרשת מוסתרת, ייתכן שהמכשיר יציג אזהרת פרטיות בגלל סיכון זה לפרטיות.
כדי לאבטח את הגישה לרשת, יש להשתמש בהגדרת האבטחה המתאימה במקום זאת.
סינון כתובות MAC, אימות או בקרת גישה |
|---|
הגדירו ללא פעיל. |
כאשר תכונה זו מופעלת, ניתן להגדיר את הנתב כך שיאפשר רק למכשירים עם כתובות MAC (בקרת גישה למדיה) ספציפיות להצטרף לרשת. אסור לסמוך על תכונה זו כדי למנוע גישה בלתי מורשית לרשת מהסיבות הבאות:
היא לא מונעת ממשקיפי רשת לנטר או ליירט תנועה ברשת.
אפשר להעתיק, לזייף (להתחזות) או לשנות כתובות MAC בקלות.
כדי להגן על פרטיות המשתמשים, מכשירי Apple מסוימים משתמשים בכתובת MAC שונה עבור כל רשת אלחוטית.
כדי לאבטח את הגישה לרשת, יש להשתמש בהגדרת האבטחה המתאימה במקום זאת.
עדכוני קושחה אוטומטיים |
|---|
הגדירו לפעיל. |
במידת האפשר, הגדירו את הנתב להתקנה אוטומטית של עדכוני תוכנה וקושחה מיד עם פרסומם. עדכונים אלה עשויים להשפיע על הגדרות האבטחה
מצב רדיו |
|---|
הגדירו ל-All (הכל) (המצב העדיף) או הגדירו ל-Wi-Fi 2 through Wi-Fi 6 (רשת אלחוטית 2 עד רשת אלחוטית 6) ואילך. |
הגדרות מצב רדיו, הזמינות בנפרד עבור תדרים 2.4GHz, 5GHz ו-6GHz, קובעות באילו גרסאות של תקן רשת אלחוטית הנתב ישתמש לתקשורת אלחוטית. הגרסאות החדשות יותר מציעות ביצועים טובים יותר ותומכות במכשירים רבים יותר במקביל.
בדרך כלל עדיף לאפשר את כל המצבים שהנתב מציע ולא קבוצת משנה של מצבים אלה. כך יוכלו כל המכשירים, כולל מכשירים ישנים יותר, להתחבר באמצעות אות הרדיו המהיר ביותר שבו הם תומכים. דבר זה מסייע גם בהפחתת הפרעות מרשתות וממכשירים מדור קודם בקרבת מקום.
תחומי תדרים |
|---|
הפעילו את כל תחומי התדרים שבהם הנתב תומך. |
תחומי התדרים של הרשת האלחוטית הם כמו רחוב שבו הנתונים יכולים לזרום. תחומי תדרים נוספים מספקים לרשת קיבולת נתונים גבוהה יותר וביצועים טובים יותר.
ערוץ |
|---|
הגדירו לאוטומטי. |
כל תחום תדרים של הנתב מחולק לערוצי תקשורת עצמאיים מרובים, כמו נתיבים ברחוב. כאשר ההגדרה של בחירת הערוץ מכוונת לבחירה אוטומטית, הנתב בוחר את ערוץ ה-Wi-Fi הטוב ביותר עבורכם.
אם הנתב אינו תומך בבחירת ערוצים אוטומטית, בחרו בערוץ עם הביצועים הטובים ביותר בסביבת הרשת שלכם. הביצועים עשויים להשתנות בהתאם להפרעות לרשת האלחוטית בסביבת הרשת, שעשויות לכלול הפרעות מנתבים וממכשירים אחרים המשתמשים באותו ערוץ. אם יש לכם מספר נתבים, הגדירו כל אחד מהם כך שישתמש בערוץ אחר, במיוחד אם הם קרובים זה לזה.
רוחב הערוץ |
|---|
הגדירו ל-20MHz עבור תחום התדרים 2.4GHz. הגדירו לאוטומטי או לכל רוחבי הערוצים עבור תחומי התדרים 5GHz ו-6GHz. |
רוחב ערוץ מציין את גודל ה"צינור" הזמין להעברת נתונים. ערוצים רחבים הם מהירים יותר אך גם רגישים יותר להפרעות, והסבירות שיפריעו למכשירים אחרים גבוהה יותר.
רוחב ערוץ של 20MHz לתחום התדרים 2.4GHz מסייע במניעת בעיות של ביצועים ואמינות, במיוחד בקרבת רשתות Wi-Fi אחרות ומכשירים שפועלים בתחום התדרים 2.4GHz, כולל מכשירי Bluetooth.
בחירה במצב אוטומטי או בכל רוחבי הערוצים לתחומי התדרים 5GHz ו-6GHz מבטיחה ביצועים ותאימות ברמה הגבוהה ביותר לכל המכשירים. בתחומי התדרים האלה, הפרעות אלחוטיות אינן מהוות בעיה בדרך כלל.
DHCP |
|---|
הגדירו לפעיל אם הנתב הוא שרת ה-DHCP היחיד ברשת. |
DHCP (פרוטוקול תצורה של מארח דינמי) מקצה כתובות IP למכשירים ברשת. כל כתובת IP מזהה מכשיר ברשת ומאפשרת לו לתקשר עם מכשירים אחרים ברשת ובאינטרנט. מכשיר שמתחבר לרשת צריך כתובת IP בדיוק כמו שטלפון צריך מספר טלפון.
ברשת צריך להיות שרת DHCP אחד בלבד. אם DHCP מופעל ביותר ממכשיר אחד, למשל במודם הכבלים וגם בנתב, התנגשויות בין כתובות עלולות למנוע ממכשירים מסוימים להתחבר לאינטרנט או להשתמש במשאבי הרשת.
משך ההקצאה של ה-DHCP |
|---|
הגדירו ל-8 שעות עבור רשתות ביתיות או משרדיות. הגדירו לשעה אחת עבור נקודות חמות או 'רשתות אורחים'. |
משך ההקצאה של ה-DHCP הוא משך הזמן שכתובת IP שהוקצתה למכשיר שמורה לאותו מכשיר.
לנתבים אלחוטיים בדרך כלל יש מספר מוגבל של כתובות IP שהם יכולים להקצות למכשירים ברשת. אם אין יותר כתובות, הנתב לא יכול להקצות כתובות IP למכשירים חדשים, ובכך הוא מונע ממכשירים אלה לתקשר עם מכשירים אחרים ברשת ובאינטרנט. קיצור משך ההקצאה של ה-DHCP מאפשר לנתב לבטל ולהקצות מחדש במהירות רבה יותר כתובות IP ישנות שכבר אינן בשימוש.
NAT |
|---|
הגדירו לפעיל אם הנתב הוא המכשיר היחיד המספק NAT ברשת. |
NAT (תרגום כתובת רשת) מתרגם את כתובות האינטרנט לכתובות ברשת ולהיפך. כדי להבין את ה-NAT תארו לעצמכם את מחלקת הדואר של חברה שמעבירה דברי דואר שנשלחו לכתובת של החברה למשרדי העובדים בתוך הבניין.
בדרך כלל, יש לאפשר את ה-NAT רק בנתב. אם ה-NAT מופעל ביותר ממכשיר אחד, למשל במודם הכבלים וגם בנתב, התוצאה היא "NAT כפול" שעשוי לגרום למכשירים לאבד גישה למשאבים מסוימים ברשת או באינטרנט.
WMM |
|---|
הגדירו לפעיל. |
התכונה WMM (מולטימדיה Wi-Fi) מתעדפת את תעבורת הרשת כדי לשפר את הביצועים של מגוון יישומי רשת, כגון וידאו וקול. בכל הנתבים שתומכים ב-Wi-Fi 4 (802.11n) ואילך, התכונה WMM כבר מופעלת בדרך כלל כברירת מחדל. השבתת WMM יכולה להשפיע על הביצועים ועל האמינות של מכשירים ברשת.
שרת DNS |
|---|
המשיכו להשתמש בשרת ה-DNS המוגדר כברירת מחדל, או ציינו שרת ראשי או משני אחר. |
כדי לגשת בקלות לאתרים באינטרנט, מכשירים זקוקים לשרת DNS (מערכת שמות דומיין) כדי לתרגם שמות דומיין (כגון apple.com) לכתובות IP. כברירת מחדל, הנתב משתמש בשרת ה-DNS של ספק שירותי האינטרנט (ISP). אם הוא מוגדר לשימוש בשרת DNS אחר, המכשירים ישתמשו בשרת זה כברירת מחדל כאשר הם מחוברים לרשת של הנתב.
אם מוצגת במכשיר אזהרה שלפיה הרשת חוסמת תעבורת DNS מוצפנת, תוכלו להמשיך להשתמש בשרת ה-DNS שהוגדר, אבל השמות של אתרי אינטרנט ושל שרתים אחרים שאליהם המכשיר ניגש ברשת אינם מוצפנים ולכן מכשירים אחרים ברשת יכולים לנטר אותם ולרשום אותם. תוכלו לפנות לספק שירותי האינטרנט או לספק DNS אחר לקבלת מידע נוסף, אך נסו תחילה את הפתרונות הבאים: ודאו שהתוכנה שלכם מעודכנת וגם הגדרת האבטחה מוגדרת בהתאם להמלצה. הפעילו את המכשיר מחדש. הפעילו מחדש את הנתב. שכחו את הרשת האלחוטית והצטרפו אליה מחדש.
תכונות שיכולות להשפיע על החיבורים האלחוטיים
התכונות הבאות יכולות להשפיע על אופן הגדרת הנתב או על המכשירים המתחברים אליו.
כתובת רשת אלחוטית פרטית
אם אתם מתחברים לרשת אלחוטית מ-iPhone, מ-iPad, מ-Apple Watch או מ-Apple Vision Pro, תוכלו לקבל מידע נוסף על השימוש בכתובות של רשתות אלחוטיות פרטיות במכשירים אלה.
שירותי מיקום
ודאו שהתכונה 'שירותי מיקום' במכשיר פועלת עבור הרשת האלחוטית, מכיוון שהתקנות בכל מדינה או אזור מגדירות את הערכים המותרים לגבי ערוצים אלחוטיים ולגבי עוצמת האות האלחוטי. 'שירותי מיקום' מסייעים לוודא שהמכשיר יכול לזהות מכשירים אחרים בסביבה ולהתחבר אליהם בצורה מהימנה, וכן שהביצועים שלו טובים בעת שימוש ב-רשת אלחוטית או בתכונות שמבוססות על רשת אלחוטית, כגון AirPlay או AirDrop.
Mac עם macOS Ventura ואילך
בחרו בתפריט Apple > 'הגדרות המערכת', ואחר כך לחצו על 'פרטיות ואבטחה' בסרגל הצד.
לחצו על 'שירותי מיקום' בצד שמאל.
גללו אל תחתית רשימת האפליקציות והשירותים, ולאחר מכן לחצו על הלחצן 'פרטים' לצד 'שירותי מערכת'.
הפעילו את האפשרות 'רשתות ותקשורת אלחוטית', ואחר כך לחצו על 'סיום'.
Mac עם macOS Monterey או גרסה קודמת
בחרו בתפריט Apple > 'הגדרות המערכת', ולאחר מכן לחצו על 'אבטחה ופרטיות'.
לחצו על המנעול
בפינת החלון, ולאחר מכן הזינו את סיסמת מנהל המערכת שלכם.בלשונית 'פרטיות', בחרו 'שירותי מיקום', ואחר כך בחרו 'הפעל את ״שירותי מיקום״'.
גללו אל תחתית רשימת האפליקציות והשירותים, ולאחר מכן לחצו על הלחצן 'פרטים' לצד 'שירותי מערכת'.
בחרו באפשרות 'רשתות ותקשורת אלחוטית' (או 'תקשורת אלחוטית'), ואחר כך לחצו על 'סיום'.
iPhone, iPad ו-Apple Vision Pro
עברו אל 'הגדרות' > 'פרטיות ואבטחה' > 'שירותי מיקום'.
הפעילו את 'שירותי מיקום'.
גללו לתחתית הרשימה והקישו על 'שירותי מערכת'.
הפעילו את האפשרות 'רשתות ותקשורת אלחוטית' (או 'תקשורת אלחוטית').
הצטרפות אוטומטית בעת שימוש ברשתות אלחוטיות של מפעילים סלולריים
רשתות Wi-Fi של מפעילים סלולריים הן רשתות ציבוריות שהוקמו על ידי המפעילים הסלולריים ושותפיהם. ה-iPhone או המכשירים הסלולריים האחרים של Apple מתייחסים אליהן כאל רשתות מוכרות ומתחברים אליהן אוטומטית.
אם מופיעה אזהרת פרטיות תחת שם הרשת של המפעיל בהגדרות האלחוט, התחברות של המכשיר לנקודה חמה זדונית המתחזה לרשת האלחוטית של המפעיל הסלולרי עלולה לגרום לחשיפת הזהות הסלולרית שלכם. כדי למנוע אפשרות זו, ניתן למנוע מה-iPhone או מה-iPad להתחבר אוטומטית לרשת ה-רשת אלחוטית של המפעיל הסלולרי:
עברו אל 'הגדרות' > Wi-Fi.
הקישו על כפתור המידע
לצד הרשת של המפעיל הסלולרי.כבו את האפשרות 'הצטרפות אוטומטית'.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.
