Zabezpieczenie routera i sieci Wi-Fi w domu

Router to brama między twoją domową siecią a resztą internetu. Każde urządzenie w domu — telefon, laptop, telewizor, lodówka z Wi-Fi — przechodzi przez niego. Jeśli ktoś przejmie twój router, ma wgląd w cały ruch sieciowy, może przekierować cię na fałszywe strony banku i podsłuchać niezaszyfrowaną komunikację.

Tymczasem większość domowych routerów w Polsce ma nadal fabryczne hasło administratora lub tak samo proste jak „admin123”. Kilka kroków pozwoli ci to zmienić.

---

Krok 1 — Zaloguj się do panelu routera

Zanim cokolwiek zmienisz, musisz wiedzieć, jak wejść do panelu administracyjnego.

Jak znaleźć adres panelu:

• Otwórz przeglądarkę i wpisz 192.168.1.1 lub 192.168.0.1 — jeden z tych adresów działa na większości routerów
• Alternatywnie: na Windows wpisz ipconfig w wierszu poleceń i sprawdź „Brama domyślna”
• Na Mac: System Preferences → Sieć → zaawansowane → TCP/IP → Router

Domyślne dane logowania: Najczęściej to admin/admin, admin/password lub dane wydrukowane na naklejce pod routerem. Wyszukaj w Google model swojego routera + „default password”.

---

Krok 2 — Zmień hasło administratora

Fabryczne hasło administratora jest znane publicznie. Każdy, kto dostanie się do twojej sieci (przez Wi-Fi lub przez lukę w routerze), może zalogować się do panelu bez twojej wiedzy.

Jak zmienić: w panelu routera poszukaj sekcji Administracja, System, Zarządzanie lub Hasło admina. Ustaw hasło minimum 16 znaków — możesz użyć menedżera haseł → Co to jest menedżer haseł? Jak działa i czy warto?.

Dodatkowe zalecenie: wyłącz zarządzanie panelem przez internet (WAN). Opcja ta pozwala administrować routerem zdalnie — ale też otwiera go na ataki z całego internetu. Chyba że faktycznie potrzebujesz zarządzać routerem spoza domu, wyłącz tę funkcję.

---

Krok 3 — Zmień hasło do sieci Wi-Fi

Słabe hasło Wi-Fi to zaproszenie dla sąsiadów i osób przejeżdżających obok. Badania pokazują, że wiele domowych sieci Wi-Fi używa prostych haseł lub imion i dat urodzin.

Minimalne wymagania dla hasła Wi-Fi:

• Minimum 12 znaków
• Litery, cyfry, znaki specjalne
• Nie jako imię, data ani nazwa sieci

Gdzie ustawić: panel routera → sekcja Wi-Fi lub WLAN → Ustawienia bezpieczeństwa.

---

Krok 4 — Wybierz właściwy protokół szyfrowania

W ustawieniach Wi-Fi znajdziesz opcję protokołu bezpieczeństwa. Hierarchia od najlepszego:

1. WPA3 — najnowszy, najsilniejszy. Jeśli wszystkie twoje urządzenia go obsługują, używaj.
2. WPA2 z AES (CCMP) — nadal bezpieczny, standard. Jeśli routeru nie ma WPA3, to właśnie ta opcja.
3. WPA2/WPA3 Mixed — tryb kompatybilności dla sieci z mieszanymi urządzeniami. Dobra opcja przejściowa.
4. WPA z TKIP — stary, podatny, nie używaj.
5. WEP — kompletnie złamany, można go odblokować w ciągu minut. Jeśli masz WEP, zmień router.

Gdzie ustawić: panel → Wi-Fi → Bezpieczeństwo lub Uwierzytelnianie.

---

Krok 5 — Aktualizacja firmware routera

Producenci routerów regularnie wypuszczają aktualizacje firmware łatające luki bezpieczeństwa. Problem: większość użytkowników nigdy nie aktualizuje routera.

Jak zaktualizować:

1. W panelu routera poszukaj sekcji Aktualizacja firmware, Upgrade lub Software Update
2. Sprawdź czy jest opcja automatycznych aktualizacji — jeśli jest, włącz ją
3. Jeśli nie — zapamiętaj żeby sprawdzać co kilka miesięcy

Alternatywnie: na stronie producenta (np. tp-link.com, asus.com) wpisz model routera i pobierz najnowszy firmware.

---

Krok 6 — Sieć dla gości (Guest Network)

Sieć dla gości to osobna sieć Wi-Fi z dostępem do internetu, ale bez dostępu do twojej sieci lokalnej. Twoje komputery, NAS, drukarki — są niewidoczne dla urządzeń podłączonych do sieci gości.

Po co to robić?

• Goście i sąsiedzi nie widzą twoich urządzeń w sieci
• Urządzenia IoT (telewizory, kamery, inteligentne żarówki) — trzymaj je na sieci gości. Wiele z nich ma słabe zabezpieczenia i długo nie dostaje aktualizacji
• Segregacja sieci: nawet jeśli ktoś przejmie urządzenie IoT, nie ma dostępu do laptopów

Gdzie włączyć: panel → Wi-Fi → Sieć gości lub Guest Network. Ustaw osobne hasło, włącz izolację klientów.

---

Krok 7 — Zmień DNS na filtrujący

Domyślne serwery DNS to serwery twojego operatora (Orange, Play, Plus, T-Mobile) lub Polkomtela. Możesz je zmienić na serwery, które blokują złośliwe domeny i ewentualnie treści dla dorosłych.

Cloudflare (1.1.1.1) — najszybszy, nie blokuje treści, tylko złośliwe domeny:

• Podstawowy DNS: 1.1.1.1
• Zapasowy DNS: 1.0.0.2

Cloudflare Family (1.1.1.3) — blokuje treści dla dorosłych + złośliwe domeny:

• Podstawowy DNS: 1.1.1.3
• Zapasowy DNS: 1.0.0.3

NextDNS — zaawansowany, własne listy blokowania, raporty ruchu, bezpłatny do 300 000 zapytań/mies.: nextdns.io

Gdzie ustawić: panel → LAN lub DHCP → serwery DNS lub DNS preferowany.

---

Krok 8 — Wyłącz zbędne funkcje

Routery mają wiele funkcji, które mogą być wektorem ataku, gdy są zbędne:

WPS (Wi-Fi Protected Setup) — wygodna funkcja pozwalająca łączyć urządzenia przyciskiem zamiast hasłem. Znana luka bezpieczeństwa — można ją atakować metodą brute force i złamać w godziny. Wyłącz, chyba że aktywnie używasz.

UPnP (Universal Plug and Play) — pozwala urządzeniom w sieci automatycznie otwierać porty do internetu. Wygodne dla gier online i niektórych aplikacji, ale też ryzyko. Wiele złośliwego oprogramowania korzysta z UPnP. Jeśli nie grasz online i nie wiesz co to jest — wyłącz.

Zdalne zarządzanie (Remote Management) — dostęp do panelu routera z internetu. Wyłącz.

SSH/Telnet — dostęp konsoli do routera. Wyłącz jeśli nie używasz.

---

Jak sprawdzić bezpieczeństwo swojego routera

Router Security Checker: Wejdź na router.utopia.pl — darmowe narzędzie od polskich badaczy bezpieczeństwa, sprawdza podstawowe problemy z konfiguracją routera.

Shields Up: Wejdź na grc.com/x/ne.dll?bh0bkyd2 — skanuje otwarte porty na twoim adresie IP.

Fing (aplikacja mobilna): Skanuje sieć lokalną i pokazuje wszystkie podłączone urządzenia. Jeśli widzisz nieznane urządzenie — zmień hasło Wi-Fi i sprawdź, co to jest.

---

Specyfika routerów od polskich operatorów

Jeśli masz router od Orange (Livebox), Play, Plus lub T-Mobile, zwykle masz ograniczony dostęp do zaawansowanych ustawień. Operatorzy blokują niektóre opcje.

W takiej sytuacji możesz:

• Ustawić router operatora w tryb bridge/modem i podłączyć własny router
• Lub skorzystać z dostępnych ustawień (zmiana hasła Wi-Fi i admina jest zwykle możliwa)

Własny router (np. TP-Link Archer AX55, ASUS RT-AX88U) daje pełną kontrolę i długie wsparcie firmware.

Więcej o bezpieczeństwie całej sieci domowej: → Jak zabezpieczyć smartfon — Android i iPhone, → Szyfrowanie dysku — BitLocker vs VeraCrypt

---

Co zrobić teraz?

1. Zaloguj się do routera (192.168.1.1 lub 192.168.0.1) i sprawdź, czy masz fabryczne hasło admina — zmień je natychmiast.
2. Sprawdź protokół Wi-Fi — upewnij się, że masz WPA2 z AES lub WPA3. Jeśli masz WEP lub WPA z TKIP — zmień.
3. Zmień DNS na Cloudflare (1.1.1.1) — chroni przed złośliwymi domenami i może przyspieszyć przeglądanie.
4. Stwórz sieć dla gości i przenieś na nią wszystkie urządzenia IoT (telewizor, kamera, żarówki).
5. Wyłącz WPS i zdalne zarządzanie — o ile ich nie używasz.
6. Sprawdź aktualizacje firmware — i włącz automatyczne, jeśli są dostępne.