Đảm bảo an toàn cho mạng gia đình có vẻ là một nhiệm vụ phức tạp, nhưng có những bước bạn có thể thực hiện mà không cần có kiến thức sâu rộng về mạng. Các cài đặt mặc định của router thường được thiết lập để thuận tiện cho người dùng, và một số trong số đó lại làm giảm mức độ bảo mật tổng thể của bạn. Đặc biệt, nếu bạn vừa nâng cấp router từ một mẫu cũ hơn, có lẽ bạn sẽ có nhiều cài đặt mới lạ mà bạn chưa quen để thay đổi. Nếu bạn đang tự hỏi nên thay đổi những cài đặt nào, đây chính là nơi bạn cần bắt đầu. Việc điều chỉnh những thông số này không chỉ giúp tăng cường bảo mật mạng Wi-Fi gia đình mà còn bảo vệ thông tin cá nhân khỏi các mối đe dọa tiềm ẩn.
Router TP-Link Archer BE800 Wi-Fi 7 và Archer AXE300 đặt cạnh nhau, minh họa thiết bị mạng hiện đại cần được cấu hình bảo mật đúng cách.
1. Vô hiệu hóa UPnP và NAT-PMP
Các giao thức này có thể tự động mở cổng, tạo lỗ hổng bảo mật nghiêm trọng
Thiết lập mạng có thể khá phức tạp, vì vậy nhiều giao thức và công cụ đã được tạo ra để đơn giản hóa các tác vụ như phát hiện mạng, chuyển tiếp cổng (port forwarding) và di chuyển dữ liệu giữa mạng gia đình của bạn với internet rộng lớn. Hai trong số đó là Universal Plug and Play (UPnP) và Network Address Translation Port Mapping Protocol (NAT-PMP). Cả hai đều là các giao thức không cần cấu hình, tự động cho phép các dịch vụ mở cổng riêng của chúng ra internet thông qua tường lửa của router.
Nếu bạn nhận ra rằng việc các dịch vụ và ứng dụng ngẫu nhiên có thể lợi dụng các giao thức không có phương pháp xác thực tích hợp để mở các cổng cho lưu lượng truy cập internet là một ý tưởng tồi, thì bạn đã biết tại sao mình nên vô hiệu hóa hai tùy chọn này trong router. UPnP hoàn toàn ổn nếu nó chỉ giới hạn trong mạng gia đình của bạn, nhưng để nó mở ra internet lại trở nên nguy hiểm. Còn NAT-PMP chủ yếu được sử dụng bởi các thiết bị của Apple, mặc dù việc tắt nó dường như không ảnh hưởng đến bất kỳ thiết bị nào của tôi, nên rất có thể chúng hiện đã sử dụng các giao thức khác an toàn hơn.
Hãy tắt cả hai (mặc dù nhiều router chỉ có tùy chọn cho UPnP) và kiểm tra xem bất kỳ chương trình hoặc thiết bị nào của bạn có gặp vấn đề khi kết nối với máy chủ của chúng hoặc Internet hay không. Nếu có, đã đến lúc bạn phải quyết định giữa bảo mật và tiện lợi, và liệu bạn có thể dễ dàng thay đổi thiết bị hoặc chương trình đó bằng thứ gì đó chú trọng bảo mật hơn hay không.
Mặt sau của router Gl.iNet Beryl, nơi người dùng thường tìm thấy các cổng kết nối và có thể truy cập cài đặt để vô hiệu hóa UPnP.
Hình ảnh router chơi game Reyee E6 AX6000, một ví dụ về thiết bị cần kiểm tra cài đặt UPnP và NAT-PMP để đảm bảo an toàn mạng.
2. Tránh sử dụng mã hóa Wi-Fi không an toàn
WPA2 hoặc WPA3 với AES là lựa chọn tối ưu – và hãy tắt WPS
Tín hiệu Wi-Fi từ router có thể là một trong những vấn đề bảo mật lớn nhất đối với mạng gia đình của bạn. Một phần là do phạm vi tín hiệu không dây khá dài, nên tin tặc hoặc những kẻ tấn công khác có thể nằm ngoài tầm nhìn trong khi vẫn “nghe lén” lưu lượng mạng của bạn. Để ngăn chặn họ, bạn cần sử dụng hai thứ: mã hóa để tín hiệu không thể đọc được bởi bất kỳ ai không được phép truy cập mạng của bạn, và khóa mạng để làm mã hóa và giải mã.
Nhiều router do nhà cung cấp dịch vụ internet (ISP) cung cấp thường được cài đặt mặc định với mã hóa WEP, cùng với các cài đặt mặc định cho khóa mạng (thường được tạo từ một phần địa chỉ MAC của router). Tình hình không tốt hơn nếu bạn có router riêng hoặc đang sử dụng firmware tùy chỉnh, vì những thiết bị đó thường bắt đầu mà không có bất kỳ mã hóa nào, tạo ra một mạng mở không cần xác thực.
Router TP-Link Archer BE800 sẵn sàng để cấu hình các thiết lập bảo mật Wi-Fi, bao gồm lựa chọn mã hóa WPA3.
Trang bảo mật Wi-Fi của router sẽ có nhiều cài đặt mã hóa khác nhau để bạn lựa chọn. Đối với mạng gia đình, chỉ có hai tùy chọn an toàn: WPA2+AES hoặc WPA3+AES. Chỉ vậy thôi. Đừng bao giờ để mạng không dây của bạn ở chế độ mạng mở, WEP, WPA hoặc bất kỳ tùy chọn TKIP nào. Các loại mã hóa đó mang lại cho bạn cảm giác an toàn giả tạo, vì tất cả chúng đều dễ dàng bị bẻ khóa trong thời gian ngắn nhờ sức mạnh của phần cứng máy tính hiện nay. Ngoài ra, hãy đặt một mật khẩu tùy chỉnh độc đáo với 20 ký tự ngẫu nhiên và sử dụng trình quản lý mật khẩu để lưu trữ nó, giúp bạn không phải nhớ.
Cài đặt xác thực cuối cùng cần thay đổi là Wi-Fi Protected Setup (WPS). Tính năng này được tạo ra để giúp việc ghép nối thiết bị mới vào mạng Wi-Fi trở nên dễ dàng, nhưng nó lại làm mất đi ý nghĩa của bảo mật không dây, rút gọn mật khẩu không dây dài thành mã PIN bảy chữ số mà không mất nhiều thời gian để tìm ra bằng một cuộc tấn công vét cạn. Hãy tắt tính năng này trên router của bạn (nếu router của bạn có, vì nhiều thiết bị mới không còn bao gồm tùy chọn này).
Một người đang cầm router TP-Link, gợi nhắc về việc cần kiểm tra và vô hiệu hóa tính năng WPS để tăng cường an ninh mạng.
3. Thiết lập mạng khách (Guest Network)
Cách ly các thiết bị kém an toàn và không đáng tin cậy khỏi mạng chính của bạn
Mặc dù hầu hết các router dân dụng không thể tạo nhiều VLAN để cách ly các thiết bị mạng ít đáng tin cậy hơn khỏi những thiết bị chứa dữ liệu quan trọng, hầu hết các router gần đây đều có một VLAN duy nhất có thể được sử dụng cho cùng mục đích. Đó là mạng khách (Guest Network), và bạn sẽ tìm thấy nó trong các trang cài đặt Wi-Fi. Nó được thiết kế cho khách trong nhà của bạn, để họ có thể truy cập internet mà không thể nhìn thấy các thiết bị trong mạng của bạn, nhưng nó có thể làm được nhiều hơn thế.
Ví dụ, việc đặt tất cả các thiết bị IoT của bạn vào mạng khách giúp phần còn lại của mạng an toàn hơn. Các thiết bị này thường nhận được cập nhật firmware không thường xuyên để khắc phục các vấn đề bảo mật và các lỗi khác. Bạn thậm chí có thể sử dụng một mật khẩu đơn giản hơn cho mạng khách, điều này giúp việc kết nối các thiết bị IoT hoặc cho khách của bạn dễ dàng hơn, nhưng không ảnh hưởng đến bảo mật của mạng gia đình chính. Tùy thuộc vào router, bạn cũng có thể giới hạn băng thông khả dụng cho các thiết bị trên mạng khách, giúp chúng không chiếm hết băng thông kết nối từ các thiết bị khác của bạn.
Màn hình điện thoại Android hiển thị các mạng Wi-Fi khác nhau từ router Netgear, bao gồm mạng chính, IoT và mạng khách (Guest Network), minh họa cách phân chia mạng để tăng cường bảo mật.
Màn hình điện thoại Galaxy S20 hiển thị ô nhập mật khẩu Wi-Fi, minh họa cho việc kết nối vào mạng khách với mật khẩu đơn giản hơn mà vẫn giữ an toàn cho mạng chính.
4. Vô hiệu hóa truy cập từ xa
Bạn không cần quyền quản trị router từ bên ngoài mạng gia đình
Các trang quản trị của router chỉ nên có thể truy cập được từ một thiết bị trong mạng gia đình của bạn. Việc để các trang quản trị mở ra internet rộng lớn sẽ biến mạng gia đình của bạn thành một mục tiêu, và các công cụ quét tự động được tin tặc sử dụng để tìm kiếm các thiết bị dễ bị tấn công cuối cùng sẽ tìm thấy bạn. Hãy đảm bảo rằng các trang quản trị router của bạn chỉ hoạt động từ mạng gia đình và thay đổi tên người dùng và mật khẩu từ các giá trị mặc định.
Nếu bạn thực sự cần truy cập router khi ở bên ngoài mạng gia đình, hãy sử dụng WireGuard hoặc OpenVPN để kết nối với mạng gia đình của bạn, để thiết bị từ xa của bạn hoạt động như thể nó đang ở nhà. Cách này an toàn hơn, và đó cũng là một kỹ năng mạng tốt để học.
Hình ảnh router chơi game Reyee E6 AX6000, một ví dụ về thiết bị cần kiểm tra cài đặt UPnP và NAT-PMP để đảm bảo an toàn mạng.
5. Luôn cập nhật Firmware
Cập nhật Firmware khắc phục lỗ hổng bảo mật và các lỗi khác
Nếu bạn đang sử dụng router do nhà cung cấp dịch vụ internet (ISP) cung cấp, rất có thể họ chịu trách nhiệm về các bản cập nhật và sẽ định kỳ đẩy chúng đến phần cứng của bạn để khắc phục lỗi và giữ cho bạn an toàn hơn. Nếu bạn đang sử dụng thiết bị mạng của riêng mình, bạn sẽ cần tự mình theo dõi các bản cập nhật. Hầu hết các router Wi-Fi sẽ không tự động cập nhật, vì vậy hãy tạo thói quen kiểm tra các trang trợ giúp của nhà sản xuất định kỳ để xem có bất kỳ tệp cập nhật nào không. Các router mesh tốt nhất thường tự động cập nhật, đây là một lợi ích lớn cho mức giá cao hơn một chút của các bộ mạng này, vì chúng liên tục khắc phục các vấn đề bảo mật, lỗi và tối ưu hóa hành vi mạng để giữ cho mạng của bạn hoạt động tối ưu.
Giao diện quản lý web của router TP-Link hiển thị tùy chọn nâng cấp Firmware, nhấn mạnh tầm quan trọng của việc cập nhật định kỳ để vá lỗi bảo mật.
Router Acer Predator Connect W6 đang hoạt động, tượng trưng cho các thiết bị mạng hiện đại thường có tính năng cập nhật tự động firmware để duy trì bảo mật và hiệu suất.
6. Sử dụng máy chủ DNS tùy chỉnh
Máy chủ DNS mặc định của ISP thường theo dõi hoạt động của bạn
Mỗi khi bạn duyệt một trang web, như 360congnghe.com hoặc bất kỳ trang nào khác, các máy chủ DNS trên máy tính hoặc router của bạn sẽ dịch địa chỉ dễ đọc đó thành các địa chỉ IP thực tế cần thiết để lấy dữ liệu yêu cầu vào trình duyệt của bạn. Hãy coi nó như một cuốn danh bạ điện thoại khổng lồ, nhưng dành cho internet, và bạn đã hiểu phần nào về cái nhìn tổng quan.
Vấn đề với các máy chủ DNS mặc định mà ISP của bạn có thể cài đặt trên router là ISP kiểm soát chúng. Điều này có thể có nghĩa là ISP đang theo dõi các yêu cầu DNS của bạn và sử dụng dữ liệu để quảng cáo mục tiêu, chuyển hướng yêu cầu của bạn đến các trang web mà ISP kiểm soát hoặc chặn bạn khỏi một số phần của internet. Không điều nào trong số đó là chấp nhận được, ngay cả khi nó hợp pháp về mặt kỹ thuật, vì vậy bạn sẽ muốn thay đổi các máy chủ DNS mà router của bạn thiết lập thành những máy chủ mà bạn tin tưởng. Bạn không cần phải mất công tự host máy chủ DNS của riêng mình, nhưng đó là một tùy chọn. Cách dễ hơn là sử dụng dịch vụ DNS tập trung vào quyền riêng tư, như 1.1.1.1 hoặc 9.9.9.9, chúng chặn các trang web độc hại để giữ cho bạn an toàn hơn khi duyệt web.
Ứng dụng kiểm tra DNS trên Android hiển thị tốc độ DNS, minh họa cho việc lựa chọn máy chủ DNS tùy chỉnh có thể cải thiện hiệu suất và quyền riêng tư.
Giao diện cài đặt DNS tùy chỉnh trên macOS, cho phép người dùng nhập các địa chỉ DNS như 1.1.1.1 hoặc 9.9.9.9 để bảo vệ dữ liệu duyệt web.
Với một vài điều chỉnh cài đặt, mạng gia đình của bạn sẽ được bảo mật hơn. Bảo mật mạng gia đình không nên bị đánh đổi lấy sự tiện lợi, và đó là điều mà nhiều cài đặt được thảo luận ở đây gây ra khi được bật. Tắt chúng có thể yêu cầu một số cấu hình thủ công cho các dịch vụ hoặc chương trình cụ thể, nhưng bạn có thể thấy rằng mình không cần cấu hình gì cả vì các chương trình mới hơn sử dụng các cách kết nối an toàn và tốt hơn thông qua router của bạn. Việc giữ an toàn trên internet không chỉ có nghĩa là thay đổi một vài cài đặt router, vì vậy việc tìm hiểu thêm về thực hành duyệt web tốt cũng rất đáng làm. Hãy bắt đầu kiểm tra và điều chỉnh các cài đặt router của bạn ngay hôm nay để có một mạng lưới an toàn hơn!