Việc giữ an toàn cho mạng gia đình đôi khi có vẻ phức tạp, nhưng có những điều bạn hoàn toàn có thể thực hiện để nâng cao bảo mật mà không cần kiến thức chuyên sâu về mạng. Các cài đặt mặc định của router thường được cấu hình để thuận tiện cho người dùng, nhưng chính những cài đặt này lại có thể làm giảm mức độ an toàn tổng thể. Đặc biệt, nếu bạn vừa nâng cấp lên một mẫu router mới, hẳn sẽ có nhiều tùy chọn cài đặt mà bạn chưa quen thuộc. Nếu bạn đang băn khoăn không biết nên thay đổi những cài đặt nào, đây là những điểm bạn nên bắt đầu.
Router TP-Link Archer BE800 Wi-Fi 7 và Archer AXE300
1. Vô hiệu hóa UPnP và NAT-PMP: Hai giao thức tiềm ẩn rủi ro bảo mật
UPnP và NAT-PMP: Tiện lợi đi kèm nguy hiểm khó lường
Việc thiết lập mạng có thể phức tạp, vì vậy nhiều giao thức và công cụ đã được tạo ra để đơn giản hóa các tác vụ như khám phá mạng, chuyển tiếp cổng (port forwarding) và truyền dữ liệu giữa mạng nội bộ của bạn với internet. Trong số đó có Universal Plug and Play (UPnP) và Network Address Translation Port Mapping Protocol (NAT-PMP). Cả hai đều là các giao thức “zero-configuration” (không cần cấu hình), tự động cho phép các dịch vụ mở các cổng riêng của chúng ra internet thông qua tường lửa của router.
Nếu bạn nhận thấy việc cho phép các dịch vụ và ứng dụng ngẫu nhiên có thể tự động mở cổng cho lưu lượng truy cập internet mà không có bất kỳ phương thức xác thực nào tích hợp là một ý tưởng tồi tệ, thì bạn đã hiểu tại sao cần tắt hai tùy chọn này trong router của mình. UPnP hoàn toàn ổn nếu nó chỉ giới hạn trong mạng nội bộ, nhưng việc để nó mở ra internet tiềm ẩn nhiều nguy hiểm. NAT-PMP chủ yếu được sử dụng bởi các thiết bị Apple, tuy nhiên, việc tắt nó thường không ảnh hưởng đến hoạt động của các thiết bị hiện đại, vì rất có thể chúng đã chuyển sang sử dụng các giao thức an toàn hơn.
Hãy tắt cả hai (mặc dù nhiều router chỉ có tùy chọn UPnP) và kiểm tra xem có bất kỳ chương trình hoặc thiết bị nào gặp sự cố khi kết nối với máy chủ hoặc internet hay không. Nếu có, bạn sẽ phải cân nhắc giữa bảo mật và sự tiện lợi, và liệu bạn có thể dễ dàng thay thế thiết bị hoặc chương trình đó bằng một giải pháp an toàn hơn hay không.
Mặt sau của router Beryl
2. Tránh sử dụng mã hóa Wi-Fi lỗi thời và tắt WPS
WPA2/WPA3 với AES: Tiêu chuẩn vàng cho bảo mật Wi-Fi
Tín hiệu Wi-Fi từ router có thể là một trong những vấn đề bảo mật lớn nhất đối với mạng gia đình của bạn. Một phần là do phạm vi tín hiệu không dây khá dài, nên tin tặc hoặc kẻ tấn công có thể ở ngoài tầm nhìn trong khi vẫn theo dõi lưu lượng mạng của bạn. Để ngăn chặn họ, bạn cần sử dụng hai yếu tố: mã hóa để tín hiệu không thể đọc được bởi bất kỳ ai không được phép trên mạng của bạn, và một khóa mạng để làm mã hóa và giải mã.
Nhiều router do nhà cung cấp dịch vụ internet (ISP) cung cấp thường được cài đặt mặc định với mã hóa WEP, cùng với các cài đặt mặc định cho khóa mạng (thường được tạo từ một phần địa chỉ MAC của router). Tình hình cũng không khá hơn nếu bạn sử dụng router của riêng mình hoặc firmware tùy chỉnh, vì những loại này thường bắt đầu mà không có mã hóa nào, tạo ra một mạng mở không yêu cầu xác thực.
Router TP-Link Archer BE800 sẵn sàng cấu hình
Trang cài đặt bảo mật Wi-Fi của router sẽ có nhiều tùy chọn mã hóa để bạn lựa chọn. Đối với mạng gia đình, chỉ có hai tùy chọn an toàn: WPA2+AES hoặc WPA3+AES. Tuyệt đối không bao giờ để mạng không dây của bạn ở chế độ mở, WEP, WPA hoặc bất kỳ tùy chọn TKIP nào. Các loại mã hóa này chỉ mang lại cảm giác an toàn giả tạo, vì chúng đều dễ dàng bị bẻ khóa trong thời gian ngắn nhờ sức mạnh của phần cứng máy tính hiện nay. Ngoài ra, hãy đặt một mật khẩu tùy chỉnh độc đáo với 20 ký tự ngẫu nhiên và sử dụng trình quản lý mật khẩu để lưu trữ nó, giúp bạn không cần phải ghi nhớ.
Cài đặt xác thực cuối cùng cần thay đổi là Wi-Fi Protected Setup (WPS). Tính năng này được tạo ra để giúp dễ dàng kết nối các thiết bị mới với mạng Wi-Fi, nhưng nó lại làm suy yếu nghiêm trọng bảo mật không dây. WPS rút gọn các mật khẩu không dây dài thành một mã PIN gồm bảy chữ số, có thể dễ dàng bị tấn công vét cạn (brute-force attack) trong thời gian ngắn. Hãy tắt tính năng này trên router của bạn (nếu router của bạn có tùy chọn này, vì nhiều thiết bị mới đã không còn tích hợp WPS nữa).
3. Thiết lập mạng khách (Guest Network) để cách ly thiết bị
Mạng khách: Lá chắn cho thiết bị IoT và người dùng không tin cậy
Trong khi hầu hết các router dân dụng không thể tạo nhiều VLAN để cô lập các thiết bị mạng ít đáng tin cậy hơn khỏi những thiết bị chứa dữ liệu quan trọng, thì hầu hết các router gần đây đều có một VLAN duy nhất có thể được sử dụng cho cùng mục đích. Đó chính là mạng khách (guest network), và bạn sẽ tìm thấy nó trong các trang cài đặt Wi-Fi. Mạng này được thiết kế để khách ghé thăm nhà bạn có thể truy cập internet mà không thể nhìn thấy các thiết bị trong mạng nội bộ của bạn, nhưng nó còn có thể làm được nhiều điều hơn thế.
Router Netgear với Wi-Fi IoT, Khách và tiêu chuẩn hiển thị trên điện thoại Android
Ví dụ, việc đặt tất cả các thiết bị IoT của bạn vào mạng khách giúp phần còn lại của mạng bạn an toàn hơn. Các thiết bị này thường nhận được các bản cập nhật firmware không thường xuyên để khắc phục các vấn đề bảo mật và lỗi khác. Bạn thậm chí có thể sử dụng mật khẩu đơn giản hơn cho mạng khách, giúp việc kết nối thiết bị IoT hoặc cho khách của bạn dễ dàng hơn, nhưng không làm ảnh hưởng đến bảo mật của mạng gia đình chính. Tùy thuộc vào router, bạn cũng có thể giới hạn băng thông dành cho các thiết bị trên mạng khách, ngăn chặn chúng chiếm dụng toàn bộ băng thông kết nối từ các thiết bị khác của bạn.
4. Vô hiệu hóa truy cập router từ xa
Quản lý router: Giới hạn trong mạng nội bộ để tránh rủi ro
Các trang quản trị của router chỉ nên được truy cập từ một thiết bị trong mạng gia đình của bạn. Việc để các trang quản trị mở ra internet sẽ biến mạng gia đình bạn thành mục tiêu, và các công cụ quét tự động của tin tặc để tìm kiếm các thiết bị dễ bị tấn công cuối cùng sẽ tìm thấy bạn. Hãy đảm bảo rằng các trang quản trị router của bạn chỉ hoạt động từ mạng nội bộ và thay đổi tên người dùng cùng mật khẩu mặc định.
Nếu bạn thực sự cần truy cập router khi ở ngoài mạng gia đình, hãy sử dụng một giải pháp như WireGuard hoặc OpenVPN để kết nối với mạng gia đình của bạn. Bằng cách đó, thiết bị từ xa của bạn sẽ hoạt động như thể nó đang ở nhà. Điều này không chỉ an toàn hơn mà còn là một kỹ năng mạng hữu ích để học hỏi.
Router gaming Reyee E6 AX6000
5. Luôn cập nhật Firmware cho Router
Firmware mới: Lá chắn bảo mật và hiệu năng tối ưu
Nếu bạn đang sử dụng router do ISP cung cấp, rất có thể họ chịu trách nhiệm về các bản cập nhật và sẽ định kỳ đẩy chúng đến phần cứng của bạn để khắc phục lỗi và giữ cho bạn an toàn hơn. Nếu bạn đang sử dụng thiết bị mạng của riêng mình, bạn sẽ cần tự mình theo dõi các bản cập nhật. Hầu hết các router Wi-Fi sẽ không tự động cập nhật, vì vậy hãy tạo thói quen kiểm tra các trang hỗ trợ của nhà sản xuất định kỳ để xem có tệp cập nhật nào không. Các router mesh tốt nhất thường tự động cập nhật, đây là một lợi ích lớn so với mức giá cao hơn một chút của các bộ thiết bị mạng này, vì chúng liên tục khắc phục các vấn đề bảo mật, lỗi và tối ưu hóa hoạt động mạng để giữ cho mạng của bạn hoạt động tối ưu.
Trang truy cập web của router TP-Link hiển thị tùy chọn nâng cấp Firmware
6. Sử dụng máy chủ DNS tùy chỉnh
Thay thế DNS của ISP: Bảo vệ quyền riêng tư và tăng tốc độ duyệt web
Mỗi khi bạn truy cập một trang web, chẳng hạn như caphecongnghe.com, hoặc bất kỳ trang nào khác, các máy chủ DNS trên máy tính hoặc router của bạn sẽ dịch địa chỉ dễ đọc đó thành địa chỉ IP thực tế cần thiết để nhận dữ liệu vào trình duyệt của bạn. Hãy coi nó như một cuốn danh bạ điện thoại khổng lồ, nhưng dành cho internet, và bạn sẽ không cách xa lắm khái niệm tổng thể.
Vấn đề với các máy chủ DNS mặc định mà ISP của bạn có thể cài đặt trên router là ISP của bạn kiểm soát chúng. Điều này có thể có nghĩa là ISP đang theo dõi các yêu cầu DNS của bạn và sử dụng dữ liệu để nhắm mục tiêu quảng cáo, chuyển hướng yêu cầu của bạn đến các trang web mà họ kiểm soát, hoặc chặn bạn khỏi một số phần của internet. Tất cả những điều đó đều không ổn, ngay cả khi về mặt kỹ thuật là hợp pháp, vì vậy bạn sẽ muốn thay đổi các máy chủ DNS mà router của bạn thiết lập thành những máy chủ mà bạn tin tưởng. Bạn không cần phải mất công tự lưu trữ máy chủ DNS của riêng mình, nhưng đó là một lựa chọn. Dễ dàng hơn là sử dụng một dịch vụ DNS tập trung vào quyền riêng tư, như 1.1.1.1 hoặc 9.9.9.9, giúp chặn các trang web độc hại để giữ cho bạn an toàn hơn khi duyệt web.
Ứng dụng DNS Test trên Android hiển thị tốc độ DNS
Với một vài cài đặt được điều chỉnh, mạng gia đình của bạn sẽ an toàn hơn. Bảo mật mạng gia đình không nên bị đánh đổi lấy sự tiện lợi, và đó là điều mà nhiều cài đặt được thảo luận ở đây gây ra khi được bật. Việc tắt chúng có thể yêu cầu cấu hình thủ công cho một số dịch vụ hoặc chương trình cụ thể, nhưng bạn có thể thấy rằng bạn không cần phải cấu hình bất cứ điều gì vì các chương trình mới hơn sử dụng các cách kết nối an toàn và hiệu quả hơn thông qua router của bạn. Giữ an toàn trên internet không chỉ có nghĩa là thay đổi một vài cài đặt router, vì vậy việc cập nhật các thực hành duyệt web tốt cũng rất đáng làm.