Mỗi khi thiết lập lại mạng gia đình, tôi đều tuân thủ một danh sách kiểm tra nghiêm ngặt để đảm bảo các biện pháp bảo mật mạng gia đình cơ bản được triển khai. Dù là sử dụng những bộ định tuyến Wi-Fi 7 mới nhất hay tự xây dựng một hệ thống định tuyến và tường lửa tùy chỉnh chạy OPNsense, những bước này luôn là nền tảng vững chắc cho mọi cấu hình tiếp theo.
Việc bảo mật mạng cũng bao gồm việc không chạy bất kỳ mối đe dọa tiềm ẩn nào trên máy tính của bạn. Hãy luôn cẩn trọng khi tải xuống tệp từ các nguồn không đáng tin cậy và chú ý đến bất kỳ cảnh báo nào mà SmartScreen hoặc trình duyệt của bạn có thể hiển thị.
Những bước này, dù không phải là một giải pháp bảo mật hoàn chỉnh, nhưng lại vô cùng cần thiết. Nếu không có chúng, mọi nỗ lực bổ sung để tăng cường an ninh mạng gia đình đều trở nên vô nghĩa. Các lỗ hổng bảo mật rõ ràng nhất cần được vá ngay lập tức, sau đó mới đến các bước tinh chỉnh sâu hơn. Dù bạn đang sử dụng mạng có dây, mạng lưới Mesh, hay một sự kết hợp nào đó, các mẹo này đều hữu ích. Thậm chí nếu bộ định tuyến của bạn không có tất cả các cài đặt này, việc kiểm tra vẫn rất đáng giá, vì nếu có, việc thay đổi chúng sẽ giúp bạn an toàn hơn rất nhiều.
Thiết lập phòng lab tại nhà với Proxmox, minh họa cho việc bảo mật mạng gia đình
1. Thay Đổi Thông Tin Đăng Nhập Mặc Định Của Router
Tại sao bạn lại không làm vậy?
Có một bước tôi luôn thực hiện trước bất kỳ bước nào khác, đó là điều đầu tiên được làm ngay khi bộ định tuyến mới được cắm điện. Tôi sẽ thực hiện nó trước cả khi cắm cáp vào cổng WAN để kiểm tra internet, và nó thực sự rất cần thiết: Hãy thay đổi mật khẩu mặc định của router trước khi bạn kết nối nó với internet.
Đây là một nhiệm vụ đơn giản nhưng thường xuyên bị bỏ qua. Nếu bạn mua một bộ định tuyến mới, đây là điều bắt buộc phải làm. Tôi biết, đôi khi bạn không có lựa chọn hoặc kỹ thuật viên lắp đặt đã kết nối mọi thứ trước khi bạn có cơ hội. Nhưng hãy hỏi họ cách đăng nhập để thay đổi mật khẩu và làm điều đó ngay trước khi họ rời đi, phòng trường hợp có sự cố và bạn cần họ hướng dẫn cách đặt lại router và thử lại.
Bo mạch Raspberry Pi với M2 HAT, biểu tượng của các thiết bị IoT cần thay đổi mật khẩu mặc định
2. Kích Hoạt WPA2 Hoặc WPA3 Cho Wi-Fi Của Bạn
Không sử dụng mã hóa kém an toàn trên Wi-Fi
Khi tôi đang ở trong trang quản trị router để thay đổi mật khẩu quản trị mặc định, tôi cũng sẽ thay đổi mật khẩu Wi-Fi. Từng có thời điểm, việc này là đủ để bảo vệ mạng không dây khỏi sự xâm nhập, nhưng giờ thì không còn nữa. Mặc dù router của bạn có thể hỗ trợ WEP hoặc WPA/TKIP, đừng sử dụng chúng làm phương pháp mã hóa không dây. Các công cụ có sẵn có thể bẻ khóa những mật khẩu này trong vài giây, và thường bạn sẽ không hề biết có ai đó đang truy cập mạng của mình.
Giao diện quản lý router TP-Link đang cấu hình chuẩn bảo mật Wi-Fi WPA2
Tôi luôn sử dụng WPA3 nếu có thể, vì đây là tùy chọn mới nhất và an toàn nhất; tuy nhiên, bạn cũng có thể sử dụng WPA2 làm lựa chọn thay thế. Chỉ cần đảm bảo đó là AES chứ không phải TKIP, vì đó là tùy chọn an toàn hơn. Tôi cũng sẽ bật mạng khách (guest network) vì việc cho phép khách truy cập sử dụng mạng này an toàn hơn là cung cấp cho họ mật khẩu mạng chính của bạn. Bằng cách đó, bạn có thể thay đổi mật khẩu sau khi họ rời đi, và các thiết bị chứa dữ liệu của bạn vẫn nằm trên một mạng hoàn toàn khác.
Router Wi-Fi TP-Link Archer AXE75 và kết quả kiểm tra tốc độ, nhấn mạnh tầm quan trọng của router hỗ trợ WPA3
3. Cập Nhật Firmware (Và Đặt Lời Nhắc Kiểm Tra Các Bản Cập Nhật Tương Lai)
Vá các lỗ hổng bảo mật bằng các bản sửa lỗi chính thức
Nếu bạn thuộc nhóm “Tôi không cập nhật firmware trừ khi có sự cố”, thì lều bạn đang ngủ đang bị rò rỉ đấy. Bạn có thể chưa nhận ra điều đó ngay bây giờ vì trời chưa mưa, nhưng lỗ hổng vẫn ở đó, và đã đến lúc thay đổi thói quen của mình. Thời điểm tốt nhất để cập nhật firmware router là ngay khi bạn mua về. Thời điểm tốt thứ hai là khi bạn nhớ để kiểm tra cập nhật, bởi vì mỗi bản cập nhật sẽ làm cho mạng gia đình của bạn an toàn hơn một chút.
Giao diện quản trị OPNsense hiển thị trạng thái cập nhật firmware, ví dụ về việc nâng cấp phần mềm định tuyến
Các bản cập nhật firmware router khắc phục các vấn đề bảo mật nghiêm trọng, các sự cố hiệu suất khó chịu và vô số vấn đề khác. Chắc chắn, bạn có thể đợi vài ngày, đọc ghi chú bản vá và kiểm tra xem có ai gặp vấn đề gì không trước khi cập nhật, nhưng hãy làm ơn cập nhật. Điều đó tốt cho tất cả mọi người. Các bộ định tuyến thường bị chiếm quyền thành botnet, và các vấn đề bảo mật mà các bản cập nhật firmware giải quyết là mục tiêu hàng đầu cho việc biến thành “zombie”.
Router Acer Predator Connect W6, minh họa cho các thiết bị cần cập nhật firmware định kỳ để tăng cường bảo mật
4. Phân Đoạn Thiết Bị IoT Trên VLAN Riêng
Và thêm mạng khách cho những vị khách thực sự
Mạng gia đình của tôi an toàn chỉ bằng thiết bị kém an toàn nhất trên đó, giống như bất kỳ ai khác. Và bạn biết thiết bị nào nổi tiếng là không an toàn không? Các thiết bị IoT, hầu như trên toàn bộ. Một số thậm chí gần như không thể áp dụng đủ bảo mật. Đó là lý do tại sao tôi sẽ đặt chúng trên một VLAN (mạng LAN ảo) riêng biệt, để chúng chỉ có thể giao tiếp với nhau và với các ứng dụng điều khiển chúng, chứ không phải với máy tính hoặc máy chủ lưu trữ của tôi.
Ngay cả khi những thiết bị đó an toàn khi tôi thêm chúng vào, không có gì đảm bảo rằng chúng sẽ duy trì như vậy, cho dù một vấn đề bảo mật có được phát hiện (và không được vá), hay chúng bị tấn công bởi phần mềm độc hại. Bằng cách giữ chúng cách xa mạng gia đình khác, tôi giữ dữ liệu của mình an toàn hơn và cũng ngăn các tín hiệu phát sóng ồn ào từ các thiết bị IoT can thiệp vào các mạng được hưởng lợi từ độ trễ thấp hơn và băng thông lớn hơn.
Bóng đèn thông minh Nanoleaf Essentials màu đỏ, ví dụ về thiết bị IoT cần được cô lập trong VLAN riêng
5. Tắt Các Tính Năng Dễ Bị Tổn Thương
Tạm biệt UPnP, NAT-PMP và WPS, bạn không còn cần thiết nữa
Tùy thuộc vào bộ định tuyến của bạn, một số tính năng có thể được bật để dễ sử dụng, nhưng điều này cũng có nghĩa là chúng dễ bị kẻ tấn công khai thác. Wi-Fi Protected Setup (WPS) cho phép bạn tham gia mạng không dây bằng cách nhấn một nút và nhập mã PIN, nhưng điều đó làm cho mạng gia đình của bạn kém an toàn hơn vì mã PIN ngắn hơn mật khẩu Wi-Fi của bạn và dễ bẻ khóa hơn. Hãy tắt nó đi, như tôi vẫn làm, sau đó tìm kiếm UPnP và NAT-PMP. Bạn có thể tắt chúng một cách an toàn, vì hầu hết các thiết bị và chương trình đã có những cách an toàn hơn, tốt hơn để truyền dữ liệu ra ngoài mạng gia đình của bạn.
Bộ sưu tập các máy chơi game console (PlayStation 5, Xbox Series X, Nintendo Switch), minh họa thiết bị có thể lợi dụng UPnP
Mặt sau của router Beryl, minh họa vị trí các cổng kết nối và các tính năng bảo mật cần kiểm tra
6. Trang Bị Tường Lửa Riêng Và Thiết Lập Truy Cập Từ Xa An Toàn
Và thiết lập truy cập từ xa được mã hóa
Trong nhiều năm, tôi đã dựa vào tường lửa tích hợp trong bộ định tuyến do nhà cung cấp dịch vụ internet (ISP) cung cấp để bảo mật mạng của mình. Nhưng giờ thì không còn nữa, dù tôi có một tường lửa phần cứng có sẵn hay tự tùy chỉnh một cái từ các linh kiện cũ, tôi sẽ không thể thiếu nó. Chỉ dựa vào ISP, hoặc vào bảo mật cơ bản được cung cấp trên các bộ định tuyến tiêu dùng là không đủ. Cũng không đủ khi chỉ cài đặt một tường lửa phần cứng trên mạng của bạn và để nó không được cấu hình, vì quá trình tinh chỉnh quyền truy cập và các quy tắc đòi hỏi thời gian. Tuy nhiên, đó là thời gian được đầu tư xứng đáng nếu nó giữ cho mạng gia đình của tôi an toàn.
Và dù tôi sử dụng giải pháp truy cập từ xa tự host hay sử dụng Tailscale, việc có một cách an toàn, được mã hóa để truy cập mạng gia đình khi không có mặt vật lý là một phần thiết yếu trong chiến lược bảo mật tổng thể của tôi. Nếu dữ liệu di động của tôi được mã hóa và sau đó gửi đến mạng của tôi trước khi đến người nhận dự định, tôi được bảo vệ khỏi các cuộc tấn công man-in-the-middle hoặc các cách khác để lấy cắp dữ liệu của tôi.
Màn hình laptop Windows 11 hiển thị cài đặt tường lửa Windows, ví dụ về giải pháp bảo vệ hệ thống
Dù hữu ích, những bước này chỉ là khởi đầu
Giữ cho mạng gia đình của bạn an toàn là một quá trình không ngừng phát triển, và mặc dù có những bước cơ bản phù hợp với mọi tình huống, không phải mạng nào cũng sẽ an toàn sau khi hoàn thành chúng. Bạn sẽ cần đi sâu vào các bước nâng cao hơn, bao gồm cả những việc cần làm nếu kẻ tấn công đã xâm nhập vào mạng gia đình của bạn. Hãy nhớ rằng, cổng internet của bạn hoạt động theo cả hai hướng, và bạn muốn đảm bảo an ninh trên cả hai hướng đó. Bảo vệ thông tin và dữ liệu cá nhân là trách nhiệm không thể lơ là trong thế giới kỹ thuật số ngày nay. Hãy bắt đầu ngay để xây dựng một môi trường mạng gia đình an toàn hơn!