Việc giữ an toàn cho mạng gia đình có thể là một thách thức, đặc biệt khi bạn không có nhiều kiến thức chuyên sâu về hệ thống mạng. Tuy nhiên, đừng lo lắng, có nhiều điều bạn có thể tự mình thực hiện để tăng cường bảo mật mạng Wi-Fi gia đình mà không cần phải là một chuyên gia. Các cài đặt mặc định của router thường được thiết lập để thuận tiện cho người dùng, nhưng chính những cài đặt này lại tiềm ẩn nhiều rủi ro, làm giảm mức độ bảo mật tổng thể cho mạng lưới của bạn. Nếu bạn vừa nâng cấp router từ một mẫu cũ hơn, chắc hẳn bạn sẽ có rất nhiều cài đặt mới lạ cần tìm hiểu và điều chỉnh. Vậy, đâu là những cài đặt cần ưu tiên thay đổi để cải thiện bảo mật router ngay lập tức? Hãy cùng congnghetonghop.com khám phá 6 thiết lập quan trọng dưới đây để đảm bảo an toàn tối đa cho hệ thống mạng của bạn.
Hai router TP-Link Archer BE800 Wi-Fi 7 và Archer AXE300 đặt cạnh nhau, minh họa các thiết bị mạng hiện đại
1. Vô Hiệu Hóa UPnP và NAT-PMP: Cánh Cửa Mở Cho Kẻ Xâm Nhập
Để đơn giản hóa việc cấu hình mạng, nhiều giao thức và công cụ đã được tạo ra nhằm hỗ trợ các tác vụ như phát hiện thiết bị, chuyển tiếp cổng (port forwarding) và di chuyển dữ liệu giữa mạng nội bộ và internet. Universal Plug and Play (UPnP) và Network Address Translation Port Mapping Protocol (NAT-PMP) là hai trong số đó. Chúng tương tự nhau ở chỗ đều là các giao thức “không cần cấu hình” (zero-configuration), tự động cho phép các dịch vụ mở cổng riêng của chúng ra internet thông qua tường lửa của router.
Nếu bạn nhận thấy việc các dịch vụ và ứng dụng ngẫu nhiên có thể lợi dụng các giao thức không tích hợp bất kỳ phương thức xác thực nào để mở cổng cho lưu lượng truy cập internet là một ý tưởng tồi, thì bạn đã hiểu tại sao cần vô hiệu hóa hai tùy chọn này trong router của mình. UPnP sẽ ổn nếu nó chỉ giới hạn trong mạng nội bộ của bạn, nhưng nếu để nó mở ra internet thì cực kỳ nguy hiểm. NAT-PMP chủ yếu được các thiết bị Apple sử dụng trong quá khứ, tuy nhiên, việc tắt nó dường như không ảnh hưởng đến bất kỳ thiết bị hiện tại nào của tôi, cho thấy rằng có thể chúng đã chuyển sang các giao thức an toàn hơn.
Hãy tắt cả hai tùy chọn này (mặc dù nhiều router chỉ có tùy chọn cho UPnP) và kiểm tra xem có bất kỳ chương trình hoặc thiết bị nào gặp sự cố khi kết nối với máy chủ của chúng hoặc internet hay không. Nếu có, đã đến lúc bạn phải đưa ra quyết định giữa bảo mật và sự tiện lợi, và cân nhắc xem liệu bạn có thể dễ dàng thay đổi thiết bị hoặc chương trình đó bằng một giải pháp an toàn hơn hay không.
Mặt sau của router Beryl, hiển thị các cổng kết nối và nút điều khiển
2. Lựa Chọn Mã Hóa Wi-Fi Chuẩn Xác: WPA2/WPA3 Với AES
Tín hiệu Wi-Fi từ router có thể là một trong những vấn đề bảo mật lớn nhất cho mạng gia đình của bạn. Điều này một phần là do phạm vi tín hiệu không dây khá dài, cho phép tin tặc hoặc những kẻ tấn công khác có thể ở ngoài tầm nhìn trong khi vẫn “nghe lén” lưu lượng mạng của bạn. Để ngăn chặn họ, bạn cần hai yếu tố quan trọng: mã hóa để đảm bảo tín hiệu không thể đọc được bởi bất kỳ ai không có quyền truy cập vào mạng của bạn, và một khóa mạng để làm mã hóa và giải mã.
Nhiều router do nhà cung cấp dịch vụ internet (ISP) cung cấp thường được cài đặt mã hóa WEP theo mặc định, với các cài đặt mặc định cho khóa mạng (thường được tạo từ một phần địa chỉ MAC của router). Tình hình không khả quan hơn nếu bạn sở hữu router riêng hoặc đang sử dụng firmware tùy chỉnh, vì chúng thường bắt đầu mà không có bất kỳ mã hóa nào, tạo ra một mạng mở không cần xác thực.
Router TP-Link Archer BE800 sẵn sàng cài đặt cấu hình Wi-Fi
Trang cài đặt bảo mật Wi-Fi của router sẽ có nhiều tùy chọn mã hóa để bạn lựa chọn. Đối với mạng gia đình, chỉ có hai tùy chọn an toàn: WPA2+AES hoặc WPA3+AES. Chỉ vậy thôi. Đừng bao giờ để mạng không dây của bạn ở chế độ mở, WEP, WPA hoặc bất kỳ tùy chọn TKIP nào. Các loại mã hóa này chỉ mang lại cho bạn cảm giác an toàn giả tạo, vì chúng đều có thể dễ dàng bị bẻ khóa trong thời gian ngắn nhờ sức mạnh của phần cứng máy tính hiện nay. Ngoài ra, hãy đặt một mật khẩu tùy chỉnh độc đáo với ít nhất 20 ký tự ngẫu nhiên và sử dụng trình quản lý mật khẩu để lưu trữ nó, giúp bạn không cần phải ghi nhớ.
Cài đặt xác thực cuối cùng cần thay đổi là Wi-Fi Protected Setup (WPS). Tính năng này được tạo ra để giúp dễ dàng ghép nối các thiết bị mới với mạng Wi-Fi, nhưng nó lại làm suy yếu nghiêm trọng bảo mật không dây, biến các mật khẩu Wi-Fi dài thành một mã PIN bảy chữ số có thể bị tấn công brute force trong tích tắc. Hãy tắt tính năng này trên router của bạn (nếu router của bạn có, vì nhiều thiết bị mới không còn bao gồm tùy chọn này nữa).
3. Thiết Lập Mạng Khách (Guest Network): Tường Lửa Cho Thiết Bị IoT và Khách
Mặc dù hầu hết các router dân dụng không thể tạo nhiều VLAN (mạng LAN ảo) để cách ly các thiết bị mạng kém tin cậy khỏi những thiết bị chứa dữ liệu quan trọng, nhưng hầu hết các router gần đây đều có một VLAN duy nhất có thể được sử dụng cho cùng mục đích. Nó được gọi là mạng khách (guest network) và bạn sẽ tìm thấy nó trong các trang cài đặt Wi-Fi. Mạng này được thiết kế cho khách trong nhà bạn, để họ có thể truy cập internet mà không thể nhìn thấy các thiết bị mạng nội bộ của bạn, nhưng nó có thể làm được nhiều hơn thế.
Ví dụ, việc đặt tất cả các thiết bị IoT của bạn vào mạng khách sẽ giúp phần còn lại của mạng bạn an toàn hơn. Các thiết bị này thường ít nhận được các bản cập nhật firmware để khắc phục sự cố bảo mật và các lỗi khác. Bạn thậm chí có thể sử dụng mật khẩu đơn giản hơn cho mạng khách, điều này giúp kết nối các thiết bị IoT hoặc cho khách của bạn dễ dàng hơn, nhưng không làm ảnh hưởng đến bảo mật của mạng gia đình chính. Tùy thuộc vào router, bạn cũng có thể giới hạn băng thông khả dụng cho các thiết bị trên mạng khách, ngăn chúng chiếm hết băng thông kết nối từ các thiết bị khác của bạn.
Giao diện ứng dụng điện thoại hiển thị các mạng Wi-Fi khác nhau trên router Netgear, bao gồm mạng chính, mạng khách và IoT
4. Tắt Truy Cập Router Từ Xa (Remote Access): Giảm Thiểu Rủi Ro Tấn Công
Các trang quản trị của router chỉ nên được truy cập từ một thiết bị trong mạng nội bộ của bạn. Việc để các trang quản trị mở ra internet rộng lớn sẽ biến mạng gia đình của bạn thành mục tiêu, và các công cụ quét tự động được tin tặc sử dụng để tìm kiếm các thiết bị dễ bị tấn công cuối cùng sẽ tìm thấy bạn. Hãy đảm bảo rằng các trang quản trị router của bạn chỉ hoạt động từ mạng nội bộ và thay đổi tên người dùng cũng như mật khẩu từ các giá trị mặc định.
Nếu bạn thực sự cần truy cập router khi ở ngoài mạng gia đình, hãy sử dụng một giải pháp như WireGuard hoặc OpenVPN để kết nối với mạng nội bộ của bạn, để thiết bị từ xa của bạn hoạt động như thể nó đang ở nhà. Đây là cách an toàn hơn, và cũng là một kỹ năng mạng hữu ích đáng học hỏi.
5. Luôn Cập Nhật Firmware Router: Lá Chắn Đầu Tiên Chống Lại Lỗ Hổng
Nếu bạn đang sử dụng router do nhà cung cấp dịch vụ internet (ISP) cung cấp, rất có thể họ chịu trách nhiệm về các bản cập nhật và sẽ định kỳ đẩy chúng đến phần cứng của bạn để khắc phục lỗi và giúp bạn an toàn hơn. Tuy nhiên, nếu bạn đang sử dụng thiết bị mạng riêng, bạn sẽ cần phải tự mình theo dõi các bản cập nhật. Hầu hết các router Wi-Fi sẽ không tự động cập nhật, vì vậy hãy tạo thói quen kiểm tra các trang hỗ trợ của nhà sản xuất định kỳ để xem có tệp cập nhật nào không. Các router mesh tốt nhất thường tự động cập nhật, đây là một lợi ích lớn bù đắp cho mức giá cao hơn một chút của các bộ thiết bị mạng này, vì chúng liên tục khắc phục các vấn đề bảo mật, lỗi và tối ưu hóa hành vi mạng để giữ cho mạng của bạn hoạt động tối ưu.
Trang quản trị router TP-Link với tùy chọn nâng cấp firmware được đánh dấu
6. Sử Dụng Máy Chủ DNS Tùy Chỉnh: Bảo Vệ Quyền Riêng Tư và Tăng Cường Bảo Mật
Mỗi khi bạn duyệt một trang web, ví dụ như congnghetonghop.com, hoặc bất kỳ trang nào khác, các máy chủ DNS (Domain Name System) trên máy tính hoặc router của bạn sẽ dịch địa chỉ dễ đọc đó thành địa chỉ IP thực tế cần thiết để nhận dữ liệu vào trình duyệt của bạn. Hãy coi nó như một cuốn danh bạ điện thoại khổng lồ, nhưng dành cho internet, và bạn sẽ không sai khi hiểu về cái nhìn tổng quan.
Vấn đề với các máy chủ DNS mặc định mà ISP của bạn có thể cài đặt trên router là ISP kiểm soát chúng. Điều này có thể có nghĩa là ISP đang theo dõi các yêu cầu DNS của bạn và sử dụng dữ liệu để quảng cáo mục tiêu, chuyển hướng yêu cầu của bạn đến các trang web mà họ kiểm soát, hoặc chặn bạn khỏi một số phần của Internet. Không điều nào trong số đó là ổn, ngay cả khi nó hợp pháp về mặt kỹ thuật, vì vậy bạn sẽ muốn thay đổi các máy chủ DNS mà router của bạn thiết lập sang những máy chủ bạn tin cậy. Bạn không cần phải mất công tự mình lưu trữ máy chủ DNS của riêng mình, mặc dù đó là một tùy chọn. Cách dễ dàng hơn là sử dụng dịch vụ DNS tập trung vào quyền riêng tư, như 1.1.1.1 hoặc 9.9.9.9, chúng còn có thể chặn các trang web độc hại để giữ bạn an toàn hơn khi duyệt web.
Ứng dụng kiểm tra tốc độ DNS trên điện thoại Android, hiển thị kết quả kiểm tra các máy chủ DNS khác nhau
Với chỉ một vài cài đặt được tinh chỉnh, mạng gia đình của bạn sẽ trở nên an toàn hơn rất nhiều. Bảo mật mạng gia đình không nên bị đánh đổi lấy sự tiện lợi, và đó chính là điều mà nhiều cài đặt mặc định đã thảo luận ở đây gây ra khi chúng được bật. Việc tắt chúng có thể đồng nghĩa với một số cấu hình thủ công cần thiết cho các dịch vụ hoặc chương trình cụ thể, nhưng bạn có thể sẽ thấy mình không cần phải cấu hình gì nhiều vì các chương trình mới hơn đã sử dụng các cách kết nối an toàn và hiệu quả hơn thông qua router của bạn. Giữ an toàn trên internet không chỉ dừng lại ở việc thay đổi một vài cài đặt router, vì vậy, việc trau dồi các thực hành duyệt web an toàn cũng rất đáng để thực hiện. Hãy bắt đầu ngay hôm nay để tăng cường bảo mật mạng Wi-Fi gia đình và bảo vệ dữ liệu cá nhân của bạn!
