Większość włamań do sieci domowych nie wymaga „hakera z filmu” — wystarcza fabryczne hasło routera, stary standard szyfrowania lub niezabezpieczone IoT. Ten poradnik to skrócony, ale konkretny checklist: robisz krok po kroku i od razu podnosisz poziom ochrony. Każdy punkt ma dlaczego i jak.

Szybka odpowiedź — najważniejsze 6 rzeczy

1. Włącz WPA3 (albo WPA2-AES, jeśli urządzenia nie wspierają WPA3).
2. Zmień hasło administratora routera i wyłącz zdalny panel admina z Internetu.
3. Aktualizuj firmware routera i ustal automatyczne aktualizacje.
4. Oddziel Wi-Fi dla gości/IoT (osobny SSID/VLAN, bez dostępu do sieci domowej).
5. Włącz DNS-over-HTTPS (DoH) / DNS-over-TLS (DoT) oraz VPN na urządzeniach.
6. Sprawdź wycieki (DNS/IPv6/WebRTC) po włączeniu VPN.

Checklist krok po kroku

1) Hasła i konta administratora

• Zmień login/hasło admina (unikalne, min. 14 znaków, menedżer haseł).
• Wyłącz zdalny dostęp do panelu admina (WAN). Jeśli konieczny — tylko przez VPN lub allow-list IP.
• Jeżeli router wspiera konta: konto admin → do konfiguracji; konto user → do codziennego użytku.

2) Szyfrowanie i SSID

• Tryb zabezpieczeń: WPA3-Personal; fallback: WPA2-Personal (AES). Unikaj: TKIP/WEP.
• Wyłącz WPS (częsty wektor ataku).
• SSID: neutralna nazwa (bez nazwiska/adresu/modelu routera). Ukrywanie SSID nie podnosi realnie bezpieczeństwa, więc nie jest konieczne.

3) Aktualizacje i kopie konfiguracji

• Aktualizuj firmware (producent lub alternatywy typu OpenWrt — tylko gdy wiesz, co robisz).
• Włącz automatyczne aktualizacje, jeśli dostępne.
• Eksport kopii konfiguracji (po zmianach) i przechowywanie w menedżerze haseł/zaszyfrowanym sejfie.

4) Segmentacja: sieć główna, goście i IoT

Urządzenia IoT (kamery, żarówki, TV) często mają słabsze aktualizacje. Wydziel je na osobny SSID/VLAN bez dostępu do komputerów i NAS.

• SSID-Główne: laptop/PC/telefon.
• SSID-Goście: tylko Internet (włącz izolację klientów).
• SSID-IoT: tylko Internet, blokuj dostęp do sieci lokalnej.

5) DNS i prywatność

• W routerze ustaw DoT/DoH jeśli wspiera (Cloudflare 1.1.1.1, Quad9 9.9.9.9 itd.). W przeciwnym razie włącz DoH w systemie/przeglądarce.
• Na urządzeniach używaj VPN, aby szyfrować cały ruch i ukryć zapytania DNS przed operatorem/otwartą siecią.
• Rozważ blokadę złośliwych domen (DNS z filtrowaniem złośliwego ruchu).

6) IPv6, UPnP i porty

• Jeżeli nie wiesz, jak zabezpieczyć IPv6 — tymczasowo wyłącz na routerze, lub włącz i skonfiguruj zaporę IPv6.
• Wyłącz UPnP, jeśli go nie potrzebujesz (aplikacje same otwierają porty w tle).
• Port forwarding tylko świadomie (patrz: przekierowanie portów), najlepiej z dostępem przez VPN.

7) Logowanie i alerty

• Włącz logowanie zdarzeń na routerze i okresowo je sprawdzaj.
• Jeżeli router wspiera — powiadomienia e-mail przy próbach logowania/aktualizacjach.

8) Gościnne Wi-Fi i czasowe kody

• Udostępniaj gościom tylko sieć Guest, z limitem prędkości i izolacją klientów.
• W hotelu/airbnb używaj własnego VPN — sieci publiczne traktuj jak nieufne (zobacz: VPN w publicznym Wi-Fi).

9) Sprzęt i położenie routera

• Router w centralnym miejscu mieszkania, nie w szafce metalowej. Zmniejszysz martwe strefy i pokusę doświetlania „boostami”.
• Jeśli masz dużo IoT/streamingu — rozważ model klasy „AX/BE” z WPA3 i VLAN.

VPN: dlaczego to element checklisty

VPN szyfruje ruch od urządzenia do serwera — w domu utrudnia śledzenie przez operatora i dostawców DNS, a poza domem chroni w otwartych hotspotach przed podsłuchem. Dodatkowo pozwala rozdzielić aktywność służbową/prywatną (split tunneling) i testować trasy z mniejszym opóźnieniem.

Testy po wdrożeniu (5 minut)

1. Sprawdź standard szyfrowania: urządzenie powinno widzieć WPA3/WPA2-AES.
2. Po połączeniu z VPN uruchom test: wyciek DNS/IPv6 i WebRTC.
3. Odłącz IoT od sieci głównej — czy nadal działa na osobnym SSID?
4. Wejdź na routerze w logi — upewnij się, że nie ma ciągłych prób logowania.

FAQ — szybkie odpowiedzi