Jak zabezpieczyć router i sieć WiFi? 14 ustawień, o których musisz pamietać

Jak skonfigurować router i sieć WiFi, aby maksymalnie zwiększyć bezpieczeństwo internetu w domu czy firmie? 14 rzeczy, o których musisz pamiętać. Ponadto: kontrola rodzicielska na routerze i instrukcja, jaki router wybrać i gdzie go najlepiej postawić.

Jak zabezpieczyć router WiFi?

Router WiFi to brama do internetu. To niewielkie urządzenie, do którego podłączamy kabel sieciowy i z którego wystają czasem anteny, ma za zadanie bezprzewodowo (i przewodowo też) dać dostęp do internetu wszystkim urządzeniom w naszym domu czy firmie.

Niewiele osób jednak pamięta, że router jest też urządzeniem, które dzieli nasze domowe urządzenia od groźnego i pełnego niebezpieczeństw internetu. Oprócz rozdzielania internetu między urządzeniami jest on tarczą pomiędzy naszą wewnętrzną siecią domową lub firmową i wszystkimi naszymi urządzeniami a resztą świata.

Jak skonfigurować router, aby korzystanie z sieci było bezpieczne? Poniżej przygotowałem 14 ustawień, o których należy pamiętać, aby zabezpieczyć siebie i wszystkie urządzenia w naszej domowej lub firmowej sieci. Jakie poziomy zabezpieczeń ustawić? Jakie opcje koniecznie wyłączyć w ustawieniach? Sprawdzam!

Ponadto na koniec artykułu przygotowałem też kilka słów o kontroli rodzicielskiej na routerach oraz o tym, jaki router wybrać i gdzie go umieścić, aby zasięg WiFi był wystarczający.

Zapraszam do lektury 🙂

1. Ustaw dobre hasło do sieci WiFi

Od tego trzeba zacząć. Pierwszą i podstawową rzeczą, którą powinniśmy zrobić zaraz po podłączeniu routera, jest zmiana domyślnego hasła do WiFi.

Niezależnie, czy to domyślne hasło zostało ustanowione przez producenta urządzenia, dostawcę internetu czy montera. I niezależnie od tego, czy brzmi ono „password”, czy jest skomplikowane – musimy ustalić własne, długie unikalne i bezpieczne hasło.

Jak długie może być hasło do WiFi?

Minimalnie: 8 znaków
Maksymalnie: 63 znaki

Zachęcam do stosowania jednak jak najdłuższych haseł. Złamanie 8-znakowego hasła (WPA-2) za pomocą modułu Tesla V100 zajmie ok. 30 sekund.

A potencjalny włamywacz nie musi być nawet w pobliżu, aby łamać hasło – wystarczy, że choć na chwilę będzie w zasięgu Twojej sieci WiFi, aby później próbować na spokojnie zgadnąć Twoje hasło metodą brute force lub słownikową w warunkach domowych.

Standardowo zachęcam do wygenerowania długiego i bezpiecznego hasła w managerze haseł. Takiego, które będzie zawierało zarówno małe, jak i wielkie litery, cyfry i znaki specjalne. I takiego, które nie będzie zawierało żadnego słowa, które można znaleźć w słownikach. Sam używam i polecam 1Password, ale każdy inny menadżer haseł będzie również dobry.

2. Zmień hasło administratora

Hasło do WiFi to jednak niejedyne hasło, które trzeba ustawić na swoim routerze. Osobnym hasłem jest to, które zabezpiecza dostęp do panelu administracyjnego, w którym możesz zarządzać wszystkimi ustawieniami swojego routera i dostępu do sieci.

Tutaj nie ma co się rozpisywać – zasada jest ta sama co powyżej: Długie, bezpieczne i UNIKALNE hasło.

Unikalne hasło to takie, którego nie użyliśmy nigdzie indziej. Hasło nie powinno być nawet podobne do tego, którego używamy do sieci WiFi.

A jeśli masz taką możliwość na swoim routerze, to zmień także domyślną nazwę użytkownika (login) z admin, na jakąś bardziej fantazyjną 🙂

3. Zmień domyślną nazwę sieci

Zaraz po włączeniu routera do prądu, uruchomia się on z domyślnie wybraną nazwą sieci WiFi, zwaną czasem identyfikatorem SSID. Czasem może to być nazwa urządzenia, a innym razem może zawierać ona nazwę dostawcy internetu wraz z unikalnym numerem/kodem.

Przykłady domyślnych nazw sieci z identyfikatorem/numerem:

  • UPC0046587
  • neostrada_3de0
  • FunBox2-535A
  • Orange_Swiatlowod_8292_5GHz

Domyślną nazwę WiFi z identyfikatorem, warto zmienić ze względu na prywatność (nazwy sieci WiFi używane są do lokalizacji), a nazwę domyślną sprzętu bez identyfikatora – ze względu na bezpieczeństwo (łatwiej złamać hasło do sieci o popularnych i często używanych nazwach).

Poza tym – domyślna i niezmieniona nazwa sieci to wiadomość dla wszystkich wokół, że nie dbasz o bezpieczeństwo i nie masz wiedzy, aby zerknąć do ustawień routera i się zabezpieczyć. Taka nazwa krzyczy: „jestem łatwym celem ataku!”

Jaką nazwę sieci WiFi ustawić?

Dowolną, do 32 znaków. Najlepiej jednak, aby nie kojarzyła się wprost z Tobą (Twoje imię, nazwisko), ani adresem, pod jakim mieszkasz.

A co z ukryciem nazwy sieci WiFi? Warto?

Często routery mają taką opcję, ale szczerze mówiąc, nie widzę dla niej żadnego zastosowania związanego bezpieczeństwem.

Co prawda nazwa nie będzie się pojawiała np. W Windowsie Twoich sąsiadów, ale każdy chcący może bez problemu zobaczyć Twoją sieć WiFi z ukrytą nazwą. Nie zwiększa to bezpieczeństwa w żaden sposób, a może powodować problemy z połączeniem się przez niektóre starsze czy słabsze urządzenia (np. IoT / smart dom).

4. Zadbaj o aktualizacje

Router WiFi to sprzęt, na którym działa jakieś oprogramowanie (firmware). A każde oprogramowanie ma błędy, luki i niedoskonałości. Dlatego też podobnie jak aktualizujesz (mam nadzieję) system operacyjny komputera czy telefonu albo programy i aplikacje na nich zainstalowane, tak musisz aktualizować oprogramowanie routera.

Sprawdź opcję aktualizacji oprogramowania swojego routera po zalogowaniu w panelu administracyjnym i zobacz czy przypadkiem nie ma nowej wersji oprogramowania. Jeśli jest – zainstaluj ją czym prędzej.

Warto też raz na jakiś czas (np. raz miesiącu) sprawdzać, czy nie pojawiła się nowa wersja oprogramowania routera z kolejnymi poprawkami.

Jeżeli Twój router ma opcję samodzielnego sprawdzania, czy jest jakaś aktualizacja co jakiś czas i aktualizowania się samodzielnie – koniecznie włącz tę opcję! Zazwyczaj możesz w takim przypadku ustawić, aby aktualizacje odbywały się w godzinach nocnych, gdy nie korzystasz aktywnie s sieci.

Najnowsza wersja oprogramowania to podstawa – warto dbać o aktualizacje nie tylko routera, ale całego sprzętu, który łączy się z siecią!

5. Wybierz bezpieczny protokół

Twój router może obsługiwać różne wersje połączeń z siecią bezprzewodową. W specyfikacji sprzętu możesz znaleźć np. WiFi 4 (802.11n) WiFi 5 (dawniej: 802.11ac) WiFi 6 (dawniej: 802.11ax).

Nowsze wersje WiFi odnoszą się jednak w praktyce głównie do standardów połączenia, które przekłada się na jego szybkość i zasięg. Nie mówi jednak nic o zabezpieczeniach.

W ustawieniach swojego routera możesz znaleźć najczęściej (do wyboru) następujące rodzaje protokołów zabezpieczających sieć WiFi:

  • OWE
  • WEP
  • WPA
  • WPA2
  • WPA3

WEP to sieć niezabezpieczona praktycznie wcale i bardzo prosta do złamania (nie używaj NIGDY).

OWE to rozwiązanie wyłącznie dla otwartych, publicznych sieci WiFi (np. w parkach, muzeach), które nie są zabezpieczone żadnym hasłem.

Natomiast zasada kolejnych typów WPA jest prosta: im wyższa/nowsza wersja, tym bezpieczniej.

Do tego możesz spotkać się z dopiskami -Enterprise lub -Personal. Wersja „Enterprise” jest zawsze bardziej bezpieczna od „Personal”. Wersja Personal oznaczona jest też czasem dopiskiem -PSK czyli Pre-Shared Key (np. WPA-PSK, WPA2-PSK).

Możesz też zobaczyć przy nazwach oznaczenie TKIP i AES – to rodzaje szyfrowania, z których AES jest nowszy i bezpieczniejszy, więc zawsze warto wybrać właśnie jego. Warto wybrać sam AES także, jeśli dostępna jest wersja „mixed” czyli TKPI&AES.

Nie wszystkie urządzenia podłączane do sieci oferują obsługę najnowszych protokołów (np. WPA3), dlatego w takim przypadku możesz ustawić poziom zabezpieczeń łączący dwa protokoły (np. WPA2/WPA3 lub WPA/WPA2). Wtedy każde z urządzeń wybiera sobie, w jaki sposób chce się łączyć (nowsze – w sposób bardziej bezpieczny a starsze – mniej).

Polecam ustawić najwyższy możliwy poziom zabezpieczeń i rozważyć jego zmniejszenie dopiero wtedy, gdy któreś urządzenie nie jest się w stanie połączyć z siecią WiFi.

Poniżej lista ustawień zabezpieczeń WiFi od najbardziej bezpiecznej formy połączenia, do najmniej bezpiecznej:

  1. WPA3-Enterprise
  2. WPA3-Personal
  3. WPA2/WPA3-Personal
  4. WPA2-Enterprise
  5. WPA2-Personal
  6. WPA/WPA2-Enterprise
  7. WPA/WPA2-Personal
  8. WEP (stanowczo odradzam)

Najlepiej ustawiać po kolei i testować czy wszystkie urządzenia korzystające z WiFi działają poprawnie. Jeśli nie – stopniowo zmniejszać poziom zabezpieczeń.

6. Wyłącz WPS

Co to jest WPS? WPS (Wi-Fi Protected Setup) to funkcja routerów bezprzewodowych, która za pomocą przycisku na urządzeniu ułatwia łączenie nowych urządzeń z siecią bezprzewodową, bez konieczności podawania hasła.

Każda poprawnie skonfigurowana i zabezpieczona sieć WiFi, wymaga podania hasła, aby się z nią połączyć. Funkcja i przycisk WPS na ruterze pozwala na chwilowe otwarcie sieci dla wszystkich, aby można było dostać się do niej bez konieczności podawania hasła, za pomocą kodu PIN.

Przycisk WPS na routerze
Przycisk WPS na routerze (źródło: netia.pl)

Wygodne? Owszem.
Bezpieczne? Niezbyt.

Wspomniany PIN można łatwo złamać. Dodatkowo czasem jest on wprost podany na naklejce umieszczonej na obudowie urządzenia.

Znajdź więc w ustawieniach Twojego routera opcję WPS i ją wyłącz. A dodając do swojej sieci kolejne urządzenie, zrób to po prostu za pomocą wpisania hasła do WiFi.

7. Zmniejsz zasięg WiFi

Takiej porady niewiele osób się spodziewało. Jak to ograniczyć i zmniejszyć zasięg WiFi? A nie zwiększyć? No właśnie nie.

Jeżeli masz odpowiednio dobrany router (lub kilka routerów w sieci mesh) i sieć WiFi działa u Ciebie dobrze w całym domu, to ciekawe, jaki jest jej zasięg poza Twoim domem czy mieszkaniem…

Zasięg WiFi
Sieć 2,4 GHz ma większy zasięg niż 5 GHz (źródło: techprojournal.com)

Jeśli nie narzekasz na zasięg WiFi, to możesz pokombinować z jego zmniejszeniem, aby osoby poza Twoim domem (sąsiedzi, przechodnie, inne osoby na klatce schodowej lub w okolicy) nie mieli do niej dostępu. Bo i po co im taki dostęp?

Niektóre routery mają opcję zmiany mocy sygnału routera WiFi, z której warto skorzystać, ograniczając go do murów własnego mieszkania czy domu.

Dodatkowo jeśli wszystkie nasze urządzenia łączą się poprzez WiFi 5 GHz, możemy śmiało w ustawieniach routera wyłączyć wolniejszą sieć 2,4 GHz o większym zasięgi.

8. Ustaw odpowiednie DNSy

Co to jest DNS? Serwery DNS to specjalne usługi, które są odpowiedzialne za tłumaczenie przyjaznych i łatwych w zapamiętaniu adresów domen internetowych (np. google.pl) na adresy IP, którymi posługują się komputery, łącząc się ze sobą (np. 123.45.67.890).

Ich działanie można porównać do książki telefonicznej, gdzie pod konkretnym imieniem i nazwiskiem lub nazwą firmy mamy numer telefonu, którego nie musimy pamiętać.

Jak działa DNS?
Jak działa DNS? (źródło: jakwybrachosting.pl)

A co wspólnego z bezpieczeństwem mają DNSy? Zmieniając adresy DNS na inne niż te, które domyślnie ustawił nam nasz dostawca internetu, możemy:

  • zwiększyć nasza prywatność (nie wysyłając wszystkich odwiedzanych stron do naszego dostawy internetu lub do Google w przypadku DNSów 8.8.8.8)
  • zwiększyć bezpieczeństwo użytkowników sieci WiFi (wybierając DNSy blokujące domeny używane przez złośliwe oprogramowanie)

Więcej o serwerach DNS w kontekście bezpieczeństwa i prywatności napiszę niebawem w osobnym artykule. Dziś zasugeruję po prostu dwa rozwiązania DNS, które warto ustawić u siebie na routerze:

  1. DNSy Cloudflare
    Najszybsze w większości testów serwery DNS. Ponadto nastawione na prywatność – nie zbierają i nie trzymają o nie logów i informacji o tym, jakie strony odwiedzasz.

Adresy DNS podstawowe: 1.1.1.1 oraz 1.0.0.1
Adresy DNS blokujące malware: 1.1.1.2 oraz 1.0.0.2

  1. DNS Quad9
    Usługa DNS, która poza standardowym działaniem sprawdza wszystkie domeny pod kątem analizy zagrożeń i blokuje połączenia z adresami stron udostępniających złośliwe oprogramowanie.
    Adresy DNS: 9.9.9.9 oraz 149.112.112.112

Przy okazji: Jeżeli nasz router ma taką opcję, warto włączyć opcję DNS over HTTPS lub DNS over TLS, do łączenia się z wybranymi serwerami DNS. Zwiększy to naszą prywatność i dzięki temu nikt „po drodze” (dostawca internetu, szkoła, pracodawca itd.) nie będzie widział jakie strony WWW odwiedzamy (o jakie adresy odpytujemy serwery DNS).

9. Stwórz osobną sieć dla gości

Niektóre, lepsze routery umożliwiają stworzenie w ramach tego samego urządzenia drugiej, osobnej sieci dla gości (tzw. VLAN). Czy warto to robić? Przecież do domu wpuszczamy raczej zaufane osoby, prawda?

Nie możemy mieć jednak pewności, że każda zaufana przez nas osoba (znajomy, kolega czy nawet członek rodziny) dba o bezpieczeństwo swoich urządzeń na wystarczającym poziomie. Telefon, który chce podłączyć do naszej sieci WiFi może być zainfekowany złośliwym oprogramowaniem, o którym jego właściciel może nawet nie wiedzieć.

Ze względu na bezpieczeństwo naszej sieci i podłączonych do niej urządzeń, warto więc utworzyć osobną sieć, do której hasło możemy udostępnić naszym gościom. Uzyskają oni wtedy dostęp do internetu, ale nie będą w stanie połączyć się w żaden sposób z innymi naszymi urządzeniami (komputerami, telefonami, telewizorem, konsolą czy drukarką). Wilk syty i owca cała 🙂

Gościnna sieć WiFi (w firmie)
Gościnna sieć WiFi w firmie (źródło: salvustg.com)

Sieć dla gości ma jeszcze jedno świetne zastosowanie, o którym rzadko się mówi. Osobną sieć WiFi można stworzyć także dla urządzeń internetu rzeczy (IoT), które wymagają połączenia z siecią, a które nie słyną niestety ze zbyt dobrych zabezpieczeń.

Jeśli masz więc kamerki WiFi, odkurzacze automatyczne, smart-lodówki, telewizory, inteligentne głośniki, oczyszczacze powietrza czy inne cuda ułatwiające życie – stwórz dla nich osobną sieć WiFi. Niech nie „widzą się” one z pozostałymi urządzeniami, na których trzymasz ważne i prywatne dane (telefon, komputer, tablet). Tak będzie lepiej (i bezpieczniej) dla wszystkich.

10. Sprawdź wpisy w port forwarding i wyłącz UPnP

Przekierowanie portów (port forwarding albo port redirection) to usługa otwierająca porty, dzięki którym niektóre urządzenia w wewnętrznej sieci WiFi są widoczne w publicznym internecie dla wszystkich.

Standardowo, wszystkie sprzęty, które łączą się z WiFi są „schowane” za routerem i nie ma do nich bezpośredniego dostępu z sieci. Przekierowanie portów umożliwia pokazanie wybranych sprzętów na zewnątrz, aby można było łączyć się z nimi z internetu (korzystając z konkretnego numeru portu).

Z przekierowania portów korzystają czasem np. konsole do gier (Xbox, PlayStation – w trybie multiplayer czy podczas streamowania gier), niektóre drukarki (które chcą umożliwić drukowanie, będąc poza domem) czy kamery chcące stratować obraz wideo przez internet.

Usługa czasem przydatna, ale niezwykle niebezpieczna. Wystawiając nasze urządzenie „na zewnątrz” pozbywamy się ochrony, jaką jest nasz router i wystawiamy nasz sprzęt na ataki.

Warto więc sprawdzić, czy w zakładce z przekierowaniem portów nie ma żadnych podejrzanych wpisów, których nie dodawaliśmy samodzielnie. Jeżeli tak, warto je usunąć.

Przy okazji możemy wyłączyć usługę UPnP, która samodzielnie dodaje wspomniane przekierowania portów do naszego routera, jeśli jakieś urządzenie z naszej sieci je o to poprosi. Ze względu na bezpieczeństwo, lepiej dodawać takie przekierowania samodzielnie, gdy jest taka potrzeba, niż pozwolić sprzętom bez naszej wiedzy wystawiać się na świat.

Lepiej przy dodawaniu nowego urządzenia, które chcemy udostępnić przez internet dwa razy się zastanowić i dodać odpowiednie wpisy samodzielnie. Przecież nie robisz tego zbyt często, prawda? Instrukcje postępowania wyświetli samo urządzenie lub odeśle do swojej instrukcji.

11. Wyłącz dostęp zdalny do routera

Będąc przy temacie wystawienia urządzeń „na świat”, aby można było się do nich dostać przez internet, nie możemy pominąć samego routera, który tez często ma taką opcję.

Jeżeli nie masz potrzeby logowania się do panelu zarządzania swoim routerem będąc poza domem/firmą (a większość osób nie ma) to koniecznie wyłącz opcję dostępu zdalnego. Znajdziesz ją w panelu.

Zdalne połączenie z routerem pozwoli setkom atakujących na ciągłe próby zgadywania loginu i hasła do niego. Dodatkowo możesz nie zdążyć zaktualizować swojego sprzętu na czas, a gdy tylko pojawia się jakaś luka, cyberprzestępcy uruchamiają swoje sprzęty, aby przeszukiwały sieć w poszukiwaniu podatnych na nie sprzętów, a następnie automatycznie je atakowały. Czy warto ryzykować?

12. Włącz filtrowanie adresów MAC

Rada raczej dla chętnych i dla tych, którzy raczej niezbyt często podłączają domowe spięty do domowej lub firmowej sieci WiFi.

Każdym urządzenie posiadające kartę sieciową (a więc możliwość połączenia z Internetem) ma swój unikalny identyfikator zwany adresem MAC.

Ma on formę 12-znakowego ciągu liter i cyfr oddzielonego co 2 znaki myślnikami lub dwukropkami. Wielkość liter nie ma w nim znaczenia.

Przykład: A1:B2:C3:D4:E5:F6

Większość routerów posiada opcję filtrowania adresów MAC, czyli pozwolenia na połączenie z siecią tylko urządzeń, których adres MAC został wcześniej dodany na „białą listę” w panelu administracyjnym.

Czy to skuteczne zabezpieczenie przed włamywaczami? Adres MAC można zmienić, podszywając się tym samym pod inne urządzenie. Nie jest to więc w pełni skuteczne zabezpieczenie, ale zawsze może to być ono dodatkową kłodą rzuconą pod nogi cyberprzestępcy.

Jak sprawdzić adres MAC na komputerze?

Windows: Kliknij w menu start „Uruchom” i wpisz cmd. Następnie w linii poleceń wpisz ipconfig /all i naciśnij Enter. Adres MAC urządzenia pojawi się w pozycji „Physical Address”.

MacOS: Uruchom Terminal, wpisz polecenie ipconfig i naciśnij Enter. Adres MAC kary sieciowej pojawi się w pozycji „ether”.

Linux: Uruchom Terminal i wpisz polecenie ifconfig –a, a następnie Enter. Adres MAC zostanie wyświetlony jako „HWaddr” albo „ether” lub „lladdr”.

Na komputerach najczęściej pojawią się dwa adresy MAC: Jeden od połączenia przewodowego (kablowego), a drugi od połączenia bezprzewodowego WiFi. Nas interesuje ten drugi.

Jak sprawdzić adres MAC na telefonie?

iOS: Ustawienia -> Ogólne -> To urządzenie. MAC jest w pozycji „Adres Wi-Fi”


Android: Ustawienia -> Wi-Fi -> Ikonka trzech kropek w prawym górnym rogu -> Zaawansowane. MAC jest w pozycji „Adres MAC”

W wielu urządzeniach sieciowych i smartfonach adres MAC podany jest także w formie naklejki na pudełku obok numeru IMEI, numeru seryjnego producenta i innych.

Naklejka z MAC adresem na urządzeniu (źródło: stackoverflow.com / Shane E.)

Musisz też wiedzieć, że urządzenia od Apple z systemem iOS 14 lub nowszym (iPhone, iPad) mogą mieć włączoną opcję prywatności polegającą na losowaniu adresów MAC. Powoduje ona, że co 24 godziny smartfon lub tablet przedstawia się nowym, unikalnym adresem MAC. Jak się domyślasz – opcja ta uniemożliwia włącznie filtrowania na Twoim routerze, bo aby było ono skuteczne, trzeba by codziennie logować się do niego i zmieniać adres MAC na nowy. Bez sensu. Oczywiście opcję tę możesz wyłączyć dla swojej sieci WiFi (Ustawienia -> WiFi -> ikonka informacji przy wybranej nawie sieci i opcja „Adres prywatny”).

Jeżeli uznasz, że warto włączyć filtrowanie u siebie, to wystarczy, że znajdziesz odpowiednią opcję w panelu administracyjnym swojego routera. Przej włączeniem jej, dodaj do „białej listy” wszystkie adresy MAC urządzeń, krytym pozwalasz łączyć się z siecią.

No i po pojawieniu się w Twoich rękach nowego urządzenia, które chciałbyś podłączyć z WiFi, pamiętaj o wcześniejszym dodaniu jego adresu MAC w panelu. Inaczej nie będzie ono mogło się połączyć w Twoim routerem.

Czy warto? To już musisz ocenić samodzielnie. Ja lojalnie informuję, że większość routerów (nawet tych najtańszych i najstarszych) ma opcję filtrowania adresów MAC.

A jeśli chcesz do szybko poznać adresy MAC wszystkich urządzeń podłączonych aktualnie do Twojej sieci WiFi, bez wpisywania dziwnych komend i przeklikiwania się przez ustawienia, wystarczy, że przeczytasz kolejny punkt 🙂

13. Sprawdź listę urządzeń

Gdy już wszystko ustawione i zabezpieczone, możesz zerknąć w jedno szczególne miejsce w panelu zarządzania swoim routerem. Choć oczywiście możesz i od tego zacząć zabezpieczanie swojego sprzętu. Zerknij na listę aktualnie połączonych do routera urządzeń i sprawdź, czy nie ma na niej sprzętów, których nie znasz (np. laptop sąsiada czy ukryta kamerka WiFi).

Lista urządzeń podłączonych do WiFi na routerze Linksys
Lista urządzeń podłączonych do WiFi na routerze Linksys (źródło: techspot.com)

Jeśli na liście znajdziesz coś niepokojącego, możesz zablokować dany sprzęt (po adresie MAC, o którym pisałem wcześniej) lub po post zmienić hasło do sieci, aby pozbyć się intruza.

Listę podłączonych urządzeń możesz sprawdzać regularnie (np. przy okazji sprawdzania czy nie ma aktualizacji), aby trzymać rękę na pulsie 🙂)

14. Wyłączaj sieć WiFi, gdy jej nie używasz

I na sam koniec porada, której nie trzeba specjalnie rozwijać. Gdy nie korzystasz z sieci WiFi ani żadne urządzenia nie muszą z niej korzystać robiąc coś w tle, to po prostu wyłącz WiFi.

To niezawodny sposób na zabezpieczenie sieci domowej, z którego możesz skorzystać np. gdy gdzieś wyjeżdżasz na dłużej i nie będzie nikogo w domu. Albo i w nocy, gdy śpisz.

W niektórych routerach możesz ustawić harmonogram z dniami/godzinami, w których sieć WiFi ma działać, a w których ma zostać wyłączona. Zawsze możesz też po prostu wyjąć wtyczkę z gniazdka.

Przy okazji oszczędzisz trochę prądu 🙂

Kontrola rodzicielska na routerze

Niektóre routery mają także opcję włączenia kontroli rodzicielskiej, czyli blokowania wszystkim (lub tylko niektórym) użytkownikom dostępu do sieci lub niektórych stron WWW.

W Routerach Netgear nazywa funkcja nazywa się Circle, w Synology: „Filtrowanie sieci”, a w urządzeniach TP-Link czy wielu innych firm po prostu kontrola rodzicielska (Parental Controls).

W routerach niektórych firm (np. ASUS), opcja kontroli rodzicielskiej sprowadza się wyłącznie do zarządzania czasem dostępu do internetu (ustalania, w jakich dniach i godzinach dane urządzenie ma mieć dostęp do sieci). W innych (np. TP-Link), ustalenie dodatkowo białej i czarnej listy dozwolonych lub niedozwolonych stron internetowych, przez ręczne podanie ich adresów.

Jednak są sprzęty (np. routery Synology czy niektóre routery Netgear), które oprócz ustalania dziennych limitów czasu online czy blokowania dostępu do sieci o określonych porach, oferują także gotowe filtry pozwalające zablokować strony dla dorosłych, niektóre gry sieciowe czy hazard.

Safe Access (kontrola rodzicielska) na routerach Synology
Safe Access (kontrola rodzicielska) na routerach Synology

A jak włączyć prawdziwą ochronę rodzicielską na routerze, który nie ma takiej opcji?

Najlepszym rozwiązaniem będzie zmiana adresów DNS na takie, które domyślnie blokują znane strony WWW, które nie powinny być odwiedzane przez dzieci (np. pornografia).

O DNS-ach pisałem w jednym z wcześniejszych podpunktów. Ze swojej strony polecam do tego celu DNSy od Cloudflare w wersji „Family, które oprócz stron „dla dorosłych” blokują także strony ze złośliwym oprogramowaniem

Adresy DNS do ustawienia w routerze: 1.1.1.3 oraz 1.0.0.3

Minus takiego rozwiązania? DNSy zmieniamy dla wszystkich użytkowników routera, a nie np. tylko dla telefonu czy komputera dziecka.

Gdzie postawić router w domu?

Wróćmy jeszcze na chwilę do punktu o zmniejszeniu zasięgu sieci WiFi, w którym pisałem o ograniczeniu zasięgu fal sieci bezprzewodowej do naszych własnych czterech ścian. Jak więc ustawić router, aby mieć dobry zasięg WiFi we wszystkich pomieszczeniach?

Przede wszystkim warto wybrać router z dobrym zasięgiem (może to być np. router z anteną zewnętrzną lub kilkoma antenami) i ustawić go w centralnej części domu lub mieszkania.

Ustawiając router, warto też znaleźć miejsce w miarę odkryte. Chowanie routera za lodówką czy innym dużym, metalowym, czy grubym meblem nie jest najlepszym pomysłem, jeśli chodzi o zasięg sieci.

Router WiFi w centralnej cześci mieszkania
Router WiFi w centralnej części mieszkania = najlepszy zasięg (źródło: Tenda)

A jak ustawić anteny routera WiFi?

Tutaj nie ma jasnej odpowiedzi, bo wszystko zależy od rodzaju anten. Jednak zdecydowana większość domowych routerów korzysta z anten dookolnych, które roznoszą sygnał w każdą ze stron, prostopadle wzdłuż swojej dłuższej krawędzi.

Antena WiFi pod kątem 90 stopni
Antena WiFi pod kątem 90 stopni (źródło: countrymilewifi.com)
Antena WiFi pod kątem 45 stopni
Antena WiFi pod kątem 45 stopni (źródło: countrymilewifi.com)

Stawianie anten pionowo ma więc w większości przypadków największy sens, jednak gdy chcemy zwiększyć sygnał w jakimś konkretnym kierunku (czy na innej kondygnacji budynku), musimy pobawić się ustawieniem anten i sprawdzić co będzie najlepsze w naszych konkretnych warunkach.

Jeśli zasięg routera mimo wszystko będzie niewystarczający, warto pokusić się o dwa lub więcej urządzeń i stworzyć sieć mesh. Niestety, tańsza alternatywa, czyli reaptery WiFi (wzmacniacze) wzmacniają tylko sygnał, ale kosztem szybkości i wydajności połączenia internetowego.

Zastanawiając się gdzie najlepiej ustawić router w domu, warto też mieć na uwadze dostęp do portów LAN, czyli możliwość wpięcia się do routera kablem. Jeżeli nie zamierzasz często podpinać się do routera drogą kablową, to lepiej umieścić router tak, aby podpięcie się nie było łatwe i szybkie dla potencjalnego intruza. Może gdzieś wysoko na szafie? Router ma lepszy zasięg, gdy jest wysoko, niż nisko (np. w szafce pod TV)

Podpinając urządzenie kablem omijamy zabezpieczenia hasłem do sieci WiFi i uzyskujemy dostęp do internetu. Mając fizyczny dostęp do routera, każdy może też przytrzymać przycisk WPS (o którym pisałem wcześniej) lub guzik resetu urządzenia do ustawień fabrycznych, co usuwa wszystkie ustawienia i „zeruje” urządzenie, do którego można wejść domyślnym loginem i hasłem. Warto więc umieścić router w mniej dostępnym miejscu, aby „dobranie się” do niego nie było zbyt łatwe.

Wybierając najlepsze miejsce dla routera, musimy po prostu często pokombinować, gdy z jednej strony zależy nam na pokryciu zasięgiem WiFi całego domu, a z drugiej – na ograniczeniu go nieco, aby niepotrzebnie nie rozciągał się na wszystkich naszych sąsiadów i najbliższą okolicę.

Jaki router wybrać?

Napiszę to wprost: nie jestem znawcą sprzętu ani nie przetestowałem dziesiątek czy setek routerów, aby napisać Ci z całą pewnością, który router warto wybrać, a który nie.

Szukając bezpiecznego routera, sprawdź:

  • Czy obsługuje WiFi 6 lub chociaż WiFi 5?
  • Czy oferuje poziom zabezpieczeń WPA3?
  • Jak często producent aktualizuje oprogramowanie i przygotowuje poprawki bezpieczeństwa?
  • Czy ma wszystkie funkcję sieci dla gości (VLAN)?
  • Czy daje możliwość ograniczenia./zmniejszenia zasięgu WiFi?
  • Czy ma opcje, na których mi zależy (np. kontrola rodzicielska)?

Z poszukiwań sprzętu dla siebie, własnego researchu i doświadczeń, mogę Ci jednak polecić sprzęty dwóch firm, które dbają nie tylko o to, aby sprzęt „się sprzedał”, ale dbają też o regularne aktualizacje, rozwój oprogramowania oraz łatanie błędów, które się pojawiają. Przy tym są to też sprzęty, które już po wyjęciu z pudełka mają sporo opcji konfiguracji i zabezpieczenia połączeń sieciowych. Są to routery firm Ubiquiti i Synology.


I to tyle, jeśli chodzi o bezpieczeństwo routerów i siec WiFi. Jeśli artykuł Ci się spodobał i udało Ci się dzięki niemu zabezpieczyć dodatkowo swój router, podziel się linkiem do niego w mediach społecznościowych. Wpis na Facebooku, Twitterze, Linkedinie czy screen z adresem strony wrzucony na Instagrama pomoże mi dotrzeć z wiedzą do większej liczby osób, a na tym bardzo mi zależy. Tobie też powinno zależeć na tym, aby Twoi bliscy i znajomi byli bezpieczniejsi online 🙂

Zapisz się na bezpłatny 7-dniowy kurs e-mail:
PODSTAWY BEZPIECZEŃSTWA

i dowiedz się jak zabezpieczyć komputer, telefon i konta internetowe:

PODSTAWY BEZPIECZEŃSTWA