Trong suốt quá trình sử dụng internet, tôi đã trải nghiệm nhiều loại router khác nhau, từ những chiếc router nhà mạng với các dịch vụ bị khóa chặt đến những thiết bị tôi dùng lâu hơn mức cần thiết. Tuy nhiên, trên mọi router mà tôi có thể thay đổi cài đặt, tôi luôn thực hiện cùng một loạt các thiết lập bảo mật cốt lõi trước khi bắt đầu sử dụng internet. Những cài đặt này đóng vai trò quan trọng trong việc tăng cường an ninh mạng gia đình của bạn, giúp ngăn chặn botnet, các cuộc tấn công tự động và nhiều mối đe dọa khác.
Nếu bạn đang tìm mua một chiếc router mới hoặc muốn tiếp tục sử dụng thiết bị hiện tại, những cài đặt bảo mật này là điều bắt buộc. Nếu bạn chưa từng thực hiện bất kỳ thay đổi nào, thì không bao giờ là quá muộn để bắt đầu. Hầu hết các cài đặt bảo mật này cũng sẽ giúp chặn quyền truy cập nếu đã có phần mềm độc hại xâm nhập vào mạng của bạn. Chúng không bị giới hạn bởi bất kỳ nhà sản xuất router hoặc phiên bản Wi-Fi cụ thể nào, vì vậy đừng lo lắng nếu bạn không có router Wi-Fi 7; bạn vẫn có thể áp dụng các cài đặt này để làm cho mọi thứ an toàn hơn.
Tủ mạng gia đình với thiết bị router và switch 10GbE, tượng trưng cho hệ thống mạng hiện đại và cần bảo mật.
1. Thay Đổi Thông Tin Đăng Nhập Mặc Định
Đừng Bao Giờ Giữ Mật Khẩu Quản Trị Mặc Định
Dù bạn mua router từ đâu, nó gần như chắc chắn sẽ đi kèm với một mật khẩu mặc định “tồi tệ, khủng khiếp, vô dụng”. Hầu như luôn là một thứ gì đó như admin / 123456, bởi vì các nhà sản xuất router xây dựng phần cứng của họ với các cài đặt mặc định dễ dàng để quá trình cài đặt trở nên mượt mà hơn cho người dùng hoặc kỹ thuật viên. Tổ hợp tên người dùng và mật khẩu mặc định đó nên được coi như một thông điệp tự hủy, chứ không phải là một thành trì bảo mật hàng ngày.
Điều đầu tiên tôi thay đổi trước khi chỉnh sửa cài đặt Wi-Fi, và thường là trước khi cắm router vào cổng internet, chính là thông tin đăng nhập mặc định. Bằng cách đó, một khi nó được kết nối với thế giới bên ngoài, nó không thể bị quét cổng tự động, bị đăng nhập và biến thành một phần của mạng botnet. Nếu bạn không làm gì khác, làm ơn hãy thay đổi thông tin đăng nhập mặc định này.
Bo mạch Raspberry Pi với M2 HAT, minh họa một thiết bị IoT có thể dễ bị tấn công nếu không thay đổi mật khẩu mặc định.
2. Cập Nhật Firmware Thường Xuyên
Vá Lỗi Bảo Mật và Nâng Cao Hiệu Suất Với Bản Nâng Cấp Nhanh Chóng
Giao diện phần mềm FreshTomato tùy chỉnh trên router ASUS RT-AC66U, minh họa việc cập nhật firmware.
Khi đã có thông tin đăng nhập duy nhất, bước tiếp theo là cập nhật firmware. Bạn không thể biết chiếc router đó đã nằm trên kệ bao lâu, và có thể đã có bất kỳ số lượng lỗi bảo mật nghiêm trọng nào được vá trong thời gian đó. Nếu router của bạn sử dụng ứng dụng, quá trình này sẽ đơn giản và thường thì nó sẽ thông báo cho bạn và bắt đầu quá trình chỉ với vài thao tác. Nếu không, hãy tìm trang hỗ trợ cho router của bạn trên trang web của nhà sản xuất và tải xuống firmware mới nhất.
Bạn có thể sẽ phải đăng nhập vào giao diện web (web GUI) và điều hướng đến phần cập nhật, sau đó tải tệp lên, cho phép nó cập nhật và khởi động lại. Việc này sẽ giúp bảo vệ chống lại các cuộc tấn công zero-day và có thể khắc phục một số lỗi với các tính năng hoặc thậm chí bổ sung các tính năng mới.
Router Acer Predator Connect W6 với đèn báo hiệu, thiết bị cần được cập nhật firmware định kỳ để đảm bảo bảo mật.
3. Thay Đổi Tên Mạng (SSID) và Mật Khẩu WiFi Mạnh
Tên và Mật Khẩu Mặc Định Thường Kém An Toàn
Tiếp theo là thay đổi tên mạng (SSID) và mật khẩu Wi-Fi mặc định thành một cái gì đó an toàn hơn. Đây là một trong những cài đặt quan trọng nhất bên trong router của bạn, vì các giá trị mặc định thường được tạo từ SSID hoặc địa chỉ MAC, hoặc một thứ gì đó thậm chí còn dễ đoán hơn. Hãy sử dụng một tên SSID duy nhất để hàng xóm của bạn không vô tình cố gắng kết nối vào mạng của bạn, và tôi không khuyến khích cố gắng đặt tên vui nhộn, nhưng bạn có thể làm vậy nếu muốn. Nhiều router có thể ẩn SSID, nhưng tôi không khuyên dùng tính năng này. Nó gây khó chịu khi bạn cố gắng kết nối với các thiết bị của chính mình, và bất kỳ ai quét mạng Wi-Fi cũng có thể dễ dàng tìm thấy nó.
Hầu hết các router hiện đại ngày nay kết hợp các băng tần 2.4GHz, 5GHz (và 6GHz nếu bạn có) thành một SSID duy nhất, nhưng nếu không, sẽ có một tùy chọn gọi là Smart Connect để làm điều đó. Và hãy sử dụng một mật khẩu Wi-Fi dài, vì nó luôn an toàn hơn. Mật khẩu không nhất thiết phải sử dụng chữ hoa, số hoặc ký tự đặc biệt, và trên thực tế, không nên sử dụng ký tự đặc biệt trong cả SSID và mật khẩu vì nó có thể gây ra sự cố.
Màn hình nhập mật khẩu Wi-Fi trên điện thoại Samsung Galaxy S20, minh họa việc kết nối an toàn sau khi đổi mật khẩu.
4. Thiết Lập Mã Hóa Mạnh Nhất Hiện Có
WPA3 Là Lựa Chọn Hàng Đầu, Tránh Xa WEP/WPA-TKIP
Màn hình cài đặt Wi-Fi trên trình duyệt của router TP-Link Archer BE800 Wi-Fi 7, cho thấy tùy chọn mã hóa WPA3.
Trong khi thay đổi SSID và mật khẩu khỏi các giá trị mặc định, việc sử dụng giao thức bảo mật mạnh nhất hiện có là rất quan trọng. Hầu hết các router hiện đại sẽ được thiết lập cho WPA3, mặc dù bạn có thể sử dụng WPA2-AES hoặc WPA3+WPA2 nếu bạn cần tương thích với các thiết bị cũ hơn. Bất kể bạn chọn tùy chọn nào, đừng sử dụng WEP hoặc WPA-TKIP, vì những giao thức này dễ dàng bị bẻ khóa trong vài phút, và bạn thà không đặt mật khẩu Wi-Fi còn hơn.
Mặt sau của máy chủ Lenovo ThinkServer SR250 V2 với các cổng kết nối, nhấn mạnh tầm quan trọng của bảo mật đầu cuối.
5. Vô Hiệu Hóa Quản Lý Từ Xa, UPnP và WPS
Đóng Các Cổng Rủi Ro Tiềm Ẩn, Tăng Cường Bảo Mật
Người dùng đang cầm router TP-Link, tượng trưng cho việc kiểm soát và cấu hình bảo mật thiết bị mạng.
Nếu router của tôi có tính năng truy cập từ xa để quản lý, hay còn gọi là WAN administration, đó cũng là một trong những điều đầu tiên tôi thay đổi. Tôi không biết bạn thế nào, nhưng số lần tôi cần thay đổi cài đặt router khi không ở nhà là rất thấp, và ngay cả khi có, tôi thà dùng VPN để truy cập vào mạng và đăng nhập như thể tôi đang ở nhà. Đó là một lỗ hổng bảo mật không cần thiết đổi lấy sự tiện lợi mà tôi cảm thấy thường được bật mặc định để kỹ thuật viên ISP có thể đăng nhập, và bạn không cần điều đó xảy ra trong hầu hết các trường hợp.
Một số router tôi từng dùng, như bộ mesh Eero của tôi, chỉ cho phép tôi thay đổi mọi thứ qua ứng dụng, và khi đó WAN administration vẫn được bật vì không có chỗ nào để tắt nó. Tôi hy vọng rằng trong trường hợp đó, Eero có một kênh được bảo mật trở lại router.
Mặt sau của router GL.iNet Beryl, minh họa các cổng kết nối và nút điều khiển, liên quan đến quản lý và bảo mật thiết bị.
Các cài đặt cuối cùng tôi thay đổi trên bất kỳ router nào tùy thuộc vào việc chúng có tồn tại hay không. WPS có một nút trên router giúp kết nối Wi-Fi đơn giản, vì nó sử dụng một mã PIN ngắn thay vì mật khẩu Wi-Fi bạn đã chọn cẩn thận. Điều đó có nghĩa là không cần nỗ lực nào để bẻ khóa, và tính năng tiện lợi này lại là một lỗ hổng bảo mật nghiêm trọng mà bạn nên bịt lại.
Nếu router của bạn có UPnP hoặc NAT-PMP được bật, chúng cũng có thể được tắt. Một lần nữa, đây từng là những công cụ hữu ích, nhưng sau đó các nhà sản xuất router đã quyết định bật chúng ở cấp độ WAN, cho phép các thiết bị được cấu hình kém hoặc độc hại mở các cổng qua tường lửa của bạn và cho phép lưu lượng truy cập vào. Bạn an toàn hơn khi không sử dụng chúng, và mạng hiện đại không còn dựa vào chúng như các thiết bị cũ.
Router chơi game Reyee E6 AX6000, một thiết bị cần được cấu hình tắt các tính năng như UPnP để tăng cường bảo mật.
Cho dù tôi đang sử dụng thiết bị mạng chuyên nghiệp, một router OPNsense tự xây với nhiều sức mạnh plugin, hay một mạng mesh, việc thay đổi các cài đặt này trước khi làm bất cứ điều gì khác đều mang lại cho tôi một nền tảng bảo mật vững chắc để xây dựng. Không phải mọi router sẽ có tất cả các tùy chọn này, vì WPS và NAT-PMP hầu hết đã được loại bỏ, và việc quản trị dựa trên ứng dụng của một số loại khác làm cho quản trị WAN ít nguy hiểm hơn. Nhưng nếu bạn bắt đầu với danh sách này và thay đổi hoặc vô hiệu hóa càng nhiều càng tốt, mạng gia đình của bạn sẽ an toàn hơn một chút ngay từ đầu.
Dù bạn đang sở hữu một chiếc router cũ hay mới, việc dành vài phút để thực hiện 5 cài đặt bảo mật này là một khoản đầu tư xứng đáng cho sự an tâm của bạn. Đừng để mạng gia đình của mình trở thành mục tiêu dễ dàng cho những kẻ tấn công mạng. Hãy hành động ngay hôm nay để bảo vệ thông tin cá nhân và dữ liệu quan trọng của bạn. Nếu có bất kỳ thắc mắc nào về việc cấu hình, hãy chia sẻ ý kiến của bạn ở phần bình luận bên dưới!
