1.

Zaktualizuj oprogramowanie układowe (Firmware) routera

Dlaczego: Producenci regularnie wydają łatki bezpieczeństwa eliminujące luki, które hakerzy wykorzystują do przejęcia kontroli nad siecią.

Jak to zrobić:

Zaloguj się do panelu administracyjnego routera (zazwyczaj 192.168.1.1 lub 192.168.0.1).
Przejdź do sekcji 'Administracja' lub 'Aktualizacja systemu'.
Pobierz i zainstaluj najnowszą dostępną wersję oprogramowania.

Warunek ukończenia: Router wyświetla komunikat o posiadaniu najnowszej wersji oprogramowania.

2.

Zmień domyślne hasło administratora routera

Dlaczego: Fabryczne hasła (np. 'admin', 'password') są powszechnie znane i stanowią pierwszy cel ataków typu brute-force.

Jak to zrobić:

W ustawieniach routera znajdź zakładkę 'System' lub 'Hasło administratora'.
Ustaw unikalne hasło o długości min. 12 znaków (użyj menedżera haseł, np. Bitwarden).
Nie myl hasła administratora z hasłem do Wi-Fi.

Warunek ukończenia: Logowanie do panelu routera wymaga nowego, silnego hasła.

3.

Wyłącz funkcje UPnP oraz WPS

Dlaczego: UPnP pozwala urządzeniom automatycznie otwierać porty w zaporze, co jest 'autostradą' dla złośliwego oprogramowania. WPS posiada luki pozwalające na łatwe złamanie hasła Wi-Fi.

Jak to zrobić:

W ustawieniach zaawansowanych routera znajdź sekcję 'UPnP' i ustaw ją na 'Disabled'.
Znajdź sekcję 'WPS' i również ją wyłącz.

Warunek ukończenia: Obie funkcje są oznaczone jako wyłączone w panelu sterowania.

4.

Utwórz oddzielną sieć dla gości (Guest Network) dla urządzeń IoT

Dlaczego: Jeśli inteligentna żarówka zostanie zhakowana, izolacja sieci uniemożliwi atakującemu dostęp do Twojego laptopa czy dysku NAS.

Jak to zrobić:

Włącz funkcję 'Guest Network' w routerze.
Ustaw osobny identyfikator SSID (np. 'Dom_Smart') i silne hasło.
Koniecznie zaznacz opcję 'Isolate Clients' lub 'Block access to local network'.

Warunek ukończenia: Urządzenia w sieci gościnnej nie mogą 'pingować' urządzeń w sieci głównej.

5.

Włącz szyfrowanie WPA3 lub WPA2-AES

Dlaczego: Starsze standardy (WEP, WPA) są podatne na szybkie złamanie. WPA3 to obecnie najbezpieczniejszy standard szyfrowania Wi-Fi.

Jak to zrobić:

W ustawieniach bezprzewodowych wybierz tryb 'WPA3-SAE' lub 'WPA2-PSK (AES)'.
Unikaj trybów mieszanych (TKIP), które obniżają bezpieczeństwo.

Warunek ukończenia: Wszystkie sieci Wi-Fi w domu korzystają z nowoczesnego szyfrowania.

6.

Zmień fabryczne hasła we wszystkich urządzeniach smart

Dlaczego: Kamery i czujniki często mają domyślne hasła typu '1234', które są skanowane przez botnety IoT (np. Mirai).

Jak to zrobić:

Przejdź przez każde urządzenie (kamera, żarówka, termostat) w dedykowanej aplikacji mobilnej.
Ustaw unikalne hasło dla każdego urządzenia.

Warunek ukończenia: Każde urządzenie posiada inne, silne hasło zapisane w menedżerze haseł.

7.

Włącz uwierzytelnianie dwuskładnikowe (2FA) na kontach producentów

Dlaczego: Nawet jeśli haker pozna Twoje hasło do konta (np. Xiaomi, Philips Hue), nie zaloguje się bez kodu z Twojego telefonu.

Jak to zrobić:

Wejdź w ustawienia profilu w aplikacji producenta.
Wybierz 'Bezpieczeństwo' -> 'Weryfikacja dwuetapowa'.
Użyj aplikacji autoryzacyjnej (np. darmowy Aegis lub Google Authenticator) zamiast SMS.

Warunek ukończenia: Logowanie do aplikacji smart home wymaga potwierdzenia drugim składnikiem.

8.

Wyłącz dostęp zdalny (Cloud) dla zbędnych urządzeń

Dlaczego: Wiele urządzeń komunikuje się z serwerami w Chinach lub USA bez potrzeby. Ograniczenie dostępu do sieci lokalnej zmniejsza ryzyko ataku z zewnątrz.

Jak to zrobić:

Jeśli urządzenie działa przez standard Matter lub HomeKit lokalnie, zablokuj mu dostęp do internetu na poziomie routera (funkcja 'Parental Control' lub 'Firewall').

Warunek ukończenia: Urządzenia działają lokalnie, ale nie mają połączenia z serwerami zewnętrznymi.

9.

Przeprowadź skanowanie portów sieciowych

Dlaczego: Pozwala to sprawdzić, czy router nie wystawia niebezpiecznych usług na świat zewnętrzny.

Jak to zrobić:

Pobierz darmowe narzędzie (np. Advanced Port Scanner lub Nmap).
Przeskanuj swój publiczny adres IP (sprawdzisz go na 'whatismyip.com').
Wszystkie porty powinny być 'Closed' lub 'Filtered', chyba że świadomie coś udostępniasz.

Warunek ukończenia: Raport skanowania nie wykazuje nieoczekiwanych otwartych portów.

10.

Skonfiguruj filtrowanie DNS (np. AdGuard Home lub Pi-hole)

Dlaczego: Blokuje komunikację z serwerami śledzącymi i znanymi domenami złośliwego oprogramowania na poziomie całej sieci.

Jak to zrobić:

Możesz użyć darmowych serwerów DNS (np. Quad9: 9.9.9.9) lub postawić własny serwer na tanim mikrokomputerze.
Wpisz adresy DNS w ustawieniach WAN routera.

Warunek ukończenia: Zapytania DNS z Twojej sieci są filtrowane pod kątem bezpieczeństwa.

Bezpieczeństwo smart home

Projekt-Plan