Với kinh nghiệm sử dụng qua nhiều thiết bị định tuyến (router) khác nhau, từ những chiếc router bị khóa chặt tính năng của nhà cung cấp dịch vụ Internet (ISP) cho đến những mẫu đã lỗi thời, tôi luôn thực hiện cùng một bộ cài đặt bảo mật ngay trước khi bắt đầu sử dụng mạng. Những thiết lập cơ bản này đóng vai trò quan trọng trong việc tăng cường an ninh cho mạng gia đình, giúp ngăn chặn sự xâm nhập của botnet, các cuộc tấn công tự động và nhiều mối đe dọa khác.
Nếu bạn đang tìm mua một chiếc router mới hoặc muốn cải thiện độ an toàn cho thiết bị hiện có, những cài đặt bảo mật dưới đây là điều bắt buộc. Ngay cả khi bạn chưa từng thực hiện bất kỳ thay đổi nào, cũng không bao giờ là quá muộn để bắt đầu. Hầu hết các biện pháp này đều có thể giúp ngăn chặn quyền truy cập nếu mạng của bạn đã bị xâm nhập. Chúng cũng không giới hạn ở bất kỳ nhà sản xuất router hoặc phiên bản Wi-Fi cụ thể nào, vì vậy đừng lo lắng nếu bạn không có router Wi-Fi 7; bạn vẫn có thể áp dụng các cài đặt này để tăng cường bảo mật cho mạng của mình.
Một giá đỡ mạng với thiết bị mạng và đèn LED RGB
5. Thay Đổi Thông Tin Đăng Nhập Mặc Định
Đừng Bao Giờ Để Mật Khẩu Quản Trị Viên Ở Chế Độ Mặc Định
Bất kể bạn mua router từ đâu, rất có thể nó đang sử dụng một mật khẩu mặc định cực kỳ tệ. Gần như chắc chắn sẽ là một sự kết hợp đơn giản như admin / 123456 hoặc tương tự, bởi vì các nhà sản xuất router thường cài đặt mặc định dễ đoán để quá trình cài đặt trở nên thuận tiện hơn cho người dùng hoặc kỹ thuật viên. Thông tin đăng nhập mặc định này nên được xử lý như một thông điệp tự hủy, không phải là bức tường bảo mật hàng ngày của bạn.
Điều đầu tiên tôi thay đổi, thậm chí trước cả khi thiết lập Wi-Fi và thường là trước khi cắm router vào cổng Internet, chính là thông tin đăng nhập mặc định. Bằng cách này, ngay khi router kết nối với thế giới bên ngoài, nó sẽ không thể bị quét cổng tự động, bị đăng nhập và trở thành một phần của botnet. Nếu bạn chỉ có thể làm một điều gì đó để bảo mật router, xin hãy thay đổi thông tin đăng nhập mặc định. Đây là bước quan trọng nhất để bảo vệ thiết bị khỏi các cuộc tấn công tự động.
Raspberry Pi với M2 HAT màu đỏ, nằm trên một bề mặt kim loại
4. Cập Nhật Firmware Cho Router
Khắc Phục Các Lỗ Hổng Bảo Mật Với Một Bản Nâng Cấp Nhanh Chóng
Sau khi đã có thông tin đăng nhập duy nhất, bước tiếp theo là cập nhật firmware. Bạn không thể biết chiếc router đó đã nằm trên kệ bao lâu, và có thể đã có rất nhiều lỗi bảo mật nghiêm trọng được vá trong thời gian đó. Nếu router của bạn sử dụng ứng dụng di động, quá trình này sẽ rất đơn giản, thường thì ứng dụng sẽ tự động thông báo và bắt đầu quá trình cập nhật chỉ với vài thao tác. Nếu không, hãy tìm trang hỗ trợ của router trên website nhà sản xuất và tải về phiên bản firmware mới nhất.
Bạn có thể sẽ phải đăng nhập vào giao diện web (GUI) của router, tìm đến phần cập nhật, sau đó tải lên tệp firmware, đợi quá trình cập nhật hoàn tất và khởi động lại. Việc này sẽ giúp bảo vệ router khỏi các cuộc tấn công zero-day, đồng thời có thể khắc phục một số lỗi về tính năng hoặc thậm chí bổ sung các tính năng mới. Cập nhật firmware thường xuyên là một trong những cách hiệu quả nhất để giữ cho thiết bị mạng của bạn an toàn và hoạt động ổn định.
Ảnh chụp màn hình phần mềm FreshTomato custom firmware trên router ASUS RT-AC66U
3. Thay Đổi SSID và Mật Khẩu Wi-Fi
Tên và Mật Khẩu Mặc Định Thường Dễ Đoán Hoặc Kém An Toàn
Bước tiếp theo là thay đổi SSID (tên mạng Wi-Fi) và mật khẩu Wi-Fi mặc định sang một cái gì đó an toàn hơn. Đây là một trong những cài đặt quan trọng nhất trên router của bạn, vì các giá trị mặc định thường được tạo ra từ SSID hoặc địa chỉ MAC, hoặc thậm chí là một chuỗi rất dễ đoán. Hãy sử dụng một tên SSID độc đáo để hàng xóm không vô tình cố gắng kết nối vào mạng của bạn. Tôi không khuyến khích việc đặt tên gây hài hước, nhưng bạn có thể làm nếu muốn. Nhiều router có thể ẩn SSID, nhưng tôi không khuyên dùng tính năng này. Nó gây phiền phức khi bạn cố gắng kết nối các thiết bị của mình, và bất kỳ ai quét mạng Wi-Fi vẫn có thể dễ dàng tìm thấy nó.
Ngày nay, hầu hết các router đều kết hợp các băng tần 2.4GHz, 5GHz (và 6GHz nếu có) vào một SSID duy nhất. Nếu không, sẽ có tùy chọn như “Smart Connect” để làm điều đó. Và hãy sử dụng một mật khẩu Wi-Fi dài, vì nó luôn an toàn hơn. Mật khẩu không nhất thiết phải chứa chữ hoa, số hoặc ký tự đặc biệt, trên thực tế, bạn không nên sử dụng các ký tự đặc biệt trong cả SSID và mật khẩu vì chúng có thể gây ra sự cố tương thích với một số thiết bị cũ.
Ảnh chụp màn hình điện thoại Galaxy S20 hiển thị giao diện nhập mật khẩu Wi-Fi
2. Thiết Lập Mã Hóa Mạnh Nhất Hiện Có
Với Router Mới Là WPA3, Nhưng Các Thiết Bị Cũ Hơn Có Thể Là WPA2-AES
Khi thay đổi SSID và mật khẩu khỏi các giá trị mặc định, việc sử dụng giao thức bảo mật mạnh nhất hiện có là cực kỳ quan trọng. Hầu hết các router hiện đại sẽ được thiết lập với WPA3, mặc dù bạn có thể sử dụng WPA2-AES hoặc WPA3+WPA2 nếu cần khả năng tương thích với các thiết bị cũ hơn. Dù bạn chọn tùy chọn nào trong số đó, tuyệt đối không sử dụng WEP hoặc WPA-TKIP, vì chúng có thể dễ dàng bị bẻ khóa chỉ trong vài phút. Sử dụng các giao thức này gần như tương đương với việc không đặt mật khẩu cho Wi-Fi của bạn.
WPA3 mang lại các cải tiến đáng kể về bảo mật so với WPA2, bao gồm mã hóa mạnh hơn và bảo vệ chống lại các cuộc tấn công brute-force tốt hơn. Đảm bảo rằng bạn đã chọn tùy chọn bảo mật cao nhất mà router và tất cả thiết bị của bạn hỗ trợ để tối ưu hóa an toàn mạng không dây.
Các cổng phía sau của máy chủ Lenovo ThinkServer SR250 V2
1. Vô Hiệu Hóa Quản Lý Từ Xa, UPnP và WPS
Đừng Để Công Sức Bảo Mật Khác Của Bạn Trở Nên Vô Nghĩa
Nếu router của tôi có tính năng truy cập từ xa để quản lý, hay còn gọi là WAN administration (quản trị qua mạng diện rộng), đó cũng là một trong những điều đầu tiên cần thay đổi. Tôi không biết bạn thế nào, nhưng số lần tôi cần thay đổi cài đặt router khi không ở nhà là rất ít. Ngay cả khi cần, tôi thà dùng VPN để kết nối vào mạng và đăng nhập như thể tôi đang ở nhà. Quản lý từ xa là một lỗ hổng bảo mật không cần thiết đổi lấy sự tiện lợi, mà tôi cảm thấy thường được bật mặc định để các kỹ thuật viên ISP có thể đăng nhập. Trong hầu hết các trường hợp, bạn không cần điều đó xảy ra.
Một số router tôi từng dùng, như bộ Eero mesh của tôi, chỉ cho phép tôi thay đổi cài đặt qua ứng dụng, và khi đó, quản trị WAN vẫn được bật vì không có chỗ để tắt. Tôi hy vọng rằng Eero có một kênh an toàn được mã hóa để kết nối về router trong trường hợp đó.
Mặt sau của router Beryl màu xanh đen
Một cài đặt khác tôi thay đổi trên bất kỳ router nào, nếu chúng tồn tại, là WPS (Wi-Fi Protected Setup). WPS có một nút trên router giúp việc kết nối Wi-Fi đơn giản hơn, vì nó sử dụng mã PIN ngắn thay vì mật khẩu Wi-Fi mà bạn đã chọn cẩn thận. Điều đó có nghĩa là nó gần như không tốn công sức nào để bẻ khóa, và thứ được thiết kế như một tính năng tiện lợi lại là một lỗ hổng bảo mật nghiêm trọng mà bạn nên bịt kín.
Nếu router của bạn có UPnP (Universal Plug and Play) hoặc NAT-PMP (NAT Port Mapping Protocol) được bật, chúng cũng có thể được tắt. Một lần nữa, đây từng là những công cụ hữu ích, nhưng sau đó các nhà sản xuất router đã quyết định bật chúng ở cấp độ WAN, cho phép các thiết bị được cấu hình kém hoặc độc hại mở cổng xuyên qua tường lửa của bạn và cho phép lưu lượng truy cập đi vào. Bạn sẽ an toàn hơn nếu không sử dụng chúng, và mạng hiện đại không còn phụ thuộc vào chúng như các thiết bị cũ hơn. Vô hiệu hóa UPnP và WPS là những bước quan trọng để bảo vệ mạng gia đình khỏi các mối đe dọa bên ngoài.
Một người đang cầm chiếc router TP-Link màu trắng trên tay
Tăng Cường Bảo Mật Mạng Gia Đình Ngay Hôm Nay
Dù tôi đang sử dụng thiết bị mạng chuyên nghiệp, một router OPNsense tự xây dựng với nhiều tiện ích mở rộng mạnh mẽ, hay một hệ thống mạng mesh, việc thay đổi các cài đặt này trước tiên luôn mang lại cho tôi một nền tảng bảo mật vững chắc để xây dựng. Không phải router nào cũng có tất cả các tùy chọn này, vì WPS và NAT-PMP phần lớn đã được loại bỏ dần, và việc quản trị thông qua ứng dụng trên một số thiết bị khác làm cho quản trị WAN ít nguy hiểm hơn. Tuy nhiên, nếu bạn bắt đầu với danh sách này và thay đổi hoặc vô hiệu hóa càng nhiều cài đặt càng tốt, mạng gia đình của bạn sẽ an toàn hơn đáng kể ngay từ đầu. Hãy dành chút thời gian để thực hiện những điều chỉnh này, đảm bảo trải nghiệm sử dụng Internet của bạn luôn được bảo vệ tối ưu.