Trong những ngày đầu của Internet, khi việc thiết lập mạng tại nhà còn phức tạp, mọi thiết bị trong mạng của bạn đều có một địa chỉ IP công khai. Điều này tạo điều kiện thuận lợi cho các máy chủ trò chơi, máy chủ FTP và các dịch vụ khác hoạt động. Mặc dù tiện lợi, nhưng điều này cũng có nghĩa là các thiết bị của bạn bị phơi bày ra Internet rộng lớn và quan trọng hơn là địa chỉ IPv4 sẽ cạn kiệt nếu không có giải pháp nào được đưa ra.
Tình trạng này đã dẫn đến sự ra đời của Network Address Translation (NAT), công nghệ giúp các thiết bị trong mạng gia đình của bạn có vẻ như có địa chỉ IP tĩnh đối với các dịch vụ trên Internet, trong khi thực tế bạn chỉ có một địa chỉ IPv4 duy nhất cho router của mình. Tuy nhiên, việc cấu hình NAT vẫn còn khá phức tạp, và đó là lúc UPnP (Universal Plug and Play) xuất hiện để tự động hóa phần khám phá và thiết lập mạng, mang lại sự tiện lợi “cắm và chạy” cho người dùng.
Tuy nhiên, sự tiện lợi “zero-configuration” này lại trở thành một vấn đề lớn, khi các nhà sản xuất router Wi-Fi đã cho phép UPnP hoạt động ở cấp độ WAN (mạng diện rộng). Ban đầu, UPnP được thiết kế để chỉ hoạt động trong mạng nội bộ (LAN) của bạn, giúp bảo mật hơn. Nhưng với quyền truy cập WAN, các thiết bị có thể tự ý mở các cổng kết nối thẳng ra Internet mà không cần sự cho phép hoặc kiến thức của bạn. Mặc dù một số dịch vụ cũ và máy chơi game vẫn cần UPnP để chơi nhiều người, nhưng việc tắt UPnP (vô hiệu hóa UPnP) hiện nay được coi là an toàn hơn cho hầu hết người dùng.
UPnP: Sự Tiện Lợi Nguy Hiểm Trên Mạng Gia Đình
UPnP ra đời để đơn giản hóa cấu hình mạng
Universal Plug and Play (UPnP) về lý thuyết là một tính năng tuyệt vời. Khả năng để các thiết bị trong mạng của bạn tự động tìm thấy nhau, và tìm đến các máy chủ từ xa mà chúng cần để trao đổi dữ liệu thiết yếu, là một kỳ công của công nghệ hiện đại. Nó kết hợp các giao thức như TCP/IP, HTTP, XML và SOAP để tự động mở và đóng các cổng thông qua router và tường lửa của bạn, cho phép các thiết bị giao tiếp trực tiếp. Điều này hỗ trợ mọi thứ từ thiết bị IoT, loa thông minh, dịch vụ streaming cho đến máy chủ game kết nối và nhận dữ liệu mà người dùng không cần bất kỳ thao tác nào.
Router kích hoạt UPnP mặc định vì lợi ích của nhà sản xuất
Quá trình “zero setup” đó cũng chính là điểm yếu lớn nhất của UPnP, bởi vì nó không có bất kỳ cơ chế kiểm tra và cân bằng nào để ngăn chặn các thiết bị hoặc phần mềm độc hại sử dụng UPnP để mở bất kỳ cổng nào chúng muốn, sau đó sử dụng mạng gia đình của bạn để gửi dữ liệu ra ngoài hoặc biến các thiết bị của bạn thành một mạng botnet để tấn công các máy chủ khác. UPnP hoàn toàn không sử dụng xác thực, điều này sẽ không thành vấn đề nếu nó chỉ xử lý các thiết bị bên trong mạng LAN của bạn. Tuy nhiên, nhiều router lại cho phép UPnP tiếp xúc với phía WAN (Internet), và điều đó gây ra mối hiểm họa bảo mật nghiêm trọng.
Nếu bạn tắt tính năng UPnP, mạng gia đình của bạn sẽ trở nên an toàn hơn rất nhiều. Bạn có thể nhận thấy một hoặc hai thiết bị hoặc dịch vụ gặp vấn đề sau đó, nhưng việc thiết lập chuyển tiếp cổng (port forwarding) thủ công cho từng dịch vụ cụ thể đó sẽ đơn giản và an toàn hơn nhiều so với việc để toàn bộ mạng của bạn bị kiểm soát bởi bất cứ ai.
Hình ảnh một router gaming Reyee E6 AX6000 với đèn LED xanh dương nổi bật, thể hiện thiết bị mạng hiện đại
4 Lý Do Chính Bạn Nên Vô Hiệu Hóa UPnP Ngay Hôm Nay
1. Một cơn ác mộng bảo mật (dù lý thuyết là tuyệt vời)
Như đã đề cập, UPnP có một điểm yếu chết người: nó không yêu cầu bất kỳ hình thức xác thực nào khi một thiết bị hoặc ứng dụng yêu cầu mở một cổng. Điều này có nghĩa là nếu một thiết bị trong mạng của bạn bị nhiễm phần mềm độc hại hoặc một thiết bị IoT được thiết kế kém bảo mật, nó có thể dễ dàng sử dụng UPnP để mở các cổng ra Internet mà bạn không hề hay biết. Từ đó, tin tặc có thể truy cập vào mạng nội bộ của bạn, lấy cắp dữ liệu, hoặc biến thiết bị của bạn thành một phần của mạng botnet để thực hiện các cuộc tấn công DDoS lớn hơn.
2. Không kiểm soát các cổng được mở
Lý do lớn nhất để tắt UPnP ngay lập tức là vì nó làm giảm đáng kể khả năng kiểm soát của bạn đối với mạng gia đình, dữ liệu di chuyển trong đó và dữ liệu ra vào mạng. Nó giống như việc bạn đưa chìa khóa ô tô cho người giữ xe, nhưng không có ông chủ nào giám sát để đảm bảo họ không đi “cưỡi ngựa” vui vẻ. Không có sự kiểm soát từ tường lửa, phần mềm hoặc phần cứng bảo mật khác, hay từ chính bạn để ngăn nó kết nối với các địa chỉ IP có khả năng độc hại.
Trong quá khứ, thiết bị mạng gia đình phải cân bằng giữa bảo mật và sự tiện lợi, nhưng điều này không còn cần thiết. Các nhà phát triển có trách nhiệm đã tìm ra cách kết nối với máy chủ từ xa mà không làm lộ mạng gia đình trước các cuộc tấn công tiềm ẩn. Bạn có thể tin rằng máy chơi game của mình sẽ không gọi đến các máy chủ độc hại, nhưng làm sao bạn biết mình không có phần mềm độc hại? Thiết bị IoT bạn cắm vào có thể gửi rất nhiều dữ liệu về bất cứ đâu nếu nó có triển khai UPnP không an toàn hoặc nếu nó được thiết kế cố ý theo cách đó. Ngay cả khi tất cả các thiết bị mạng của bạn không sử dụng UPnP, việc bật nó trong router cũng có thể khiến kẻ tấn công xâm nhập vào mạng gia đình của bạn. Đã có rất nhiều sự cố như vậy, biến hàng ngàn router, máy in và các thiết bị khác thành mạng botnet để tấn công các dịch vụ Internet khác.
Router GL.iNet Slat AX1800 chạy OpenWRT, minh họa cho các thiết bị mạng gia đình có thể bị tấn công qua UPnP
3. Mã độc lợi dụng UPnP để lây lan
Với cách UPnP được thiết kế, việc tự động mở cổng ra Internet rộng lớn giúp cả nhà phát triển và người dùng dễ dàng hơn. Nhưng quá trình tự động đó cũng là một lợi thế cho tin tặc, và có rất nhiều trường hợp UPnP đã được chứng minh là có thể bị khai thác hoặc thực sự đã được sử dụng để tấn công các hệ thống. Năm 2020, Ars Technica đã báo cáo về một cuộc tấn công thử nghiệm có thể sử dụng UPnP để thu hút hàng triệu thiết bị vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Các cuộc tấn công khác đã sử dụng lỗ hổng UPnP được triển khai kém trong chip Broadcom để biến 100.000 router thành một mạng botnet.
Và nếu bạn nhớ lại năm 2019, có lẽ bạn còn nhớ một cuộc tấn công quy mô lớn vào các thiết bị Chromecast và máy in đã phát video YouTube của game thủ nổi tiếng PewDiePie. Cuộc tấn công đó cũng được thực hiện nhờ UPnP trên router cho phép máy tính phía WAN thiết lập chuyển tiếp cổng. Mặc dù không phải là một hành động độc hại, nhưng nó hoàn toàn có thể trở thành một vấn đề lớn.
4. Bạn (có lẽ) không cần nó nữa
Trong những ngày đầu của game trực tuyến, máy tính của bạn kết nối trực tiếp với những người chơi khác hoặc với máy chủ game. Đây có lẽ không phải là cách tốt nhất vì nó làm lộ thiết bị của bạn với bất kỳ ai có thể tìm thấy địa chỉ IP của bạn. Sau đó, NAT và UPnP ra đời, cả hai đều phối hợp để làm cho mạng gia đình của bạn an toàn nhất có thể trong khi vẫn có thể kết nối với máy chủ game để chơi với những người dùng khác. Tuy nhiên, đó vẫn không phải là cách an toàn nhất, vì vậy mô hình này đã được thay đổi.
Màn hình giao diện game Minecraft ở chế độ nhiều người chơi (Multiplayer), minh họa cho trải nghiệm chơi game online hiện đại không cần UPnP
Ngày nay, hầu hết các máy chủ game sử dụng NAT punching để kết nối người chơi với nhau. Công nghệ này sử dụng một máy chủ trung gian hoặc đôi khi là máy chủ chuyển tiếp để vượt qua NAT của từng mạng gia đình mà không cần UPnP hay chuyển tiếp cổng (port forwarding). Đôi khi, điều này có thể gặp vấn đề về kết nối, như bất kỳ ai đã chơi Call of Duty với loại NAT Strict đều biết. Nói chung, các loại NAT Moderate hoặc Open không gặp vấn đề gì khi NAT punching hoạt động bình thường, và điều này có nghĩa là game thủ có thể tắt UPnP trong router của họ.
Mặc dù hàng triệu router tiêu dùng có UPnP được bật mặc định và phần lớn trong số đó vẫn hoạt động bình thường, nhưng nó vẫn là một rủi ro bảo mật. Trên các router cũ hơn, nó có thể cho phép kẻ tấn công bên ngoài xâm nhập vào mạng gia đình của bạn bằng cách lợi dụng chính những gì UPnP được thiết kế để làm. Đây không phải lỗi của giao thức mà là do một số router cho phép máy tính phía WAN truy cập UPnP, nhưng dù sao thì việc tắt nó vẫn rất đáng làm. Kết nối mạng hiện đại sử dụng các phương pháp khác để kết nối với máy chủ từ xa, giúp mạng gia đình của bạn an toàn hơn, và UPnP phần lớn không còn cần thiết nữa. Nếu bạn nhận thấy việc tắt nó làm cho một số ứng dụng, dịch vụ hoặc thiết bị của bạn ngừng hoạt động bình thường, bạn có thể tìm hiểu xem mình cần mở cổng nào trong tường lửa để chỉ những dịch vụ đó mới có thể giao tiếp với thế giới bên ngoài.
UPnP mang lại sự tiện lợi đáng kể trong việc tự động hóa cấu hình mạng, nhưng chính sự tiện lợi đó đã biến nó thành một lỗ hổng bảo mật nghiêm trọng. Với việc thiếu cơ chế xác thực và khả năng tiếp xúc với phía Internet (WAN), UPnP tiềm ẩn nguy cơ bị lợi dụng bởi phần mềm độc hại và các cuộc tấn công mạng, biến mạng gia đình của bạn thành mục tiêu hoặc thậm chí là công cụ tấn công. Trong bối cảnh công nghệ hiện đại đã cung cấp các giải pháp kết nối an toàn hơn, đặc biệt là trong lĩnh vực gaming online, việc vô hiệu hóa UPnP trên router là một bước đi cần thiết để tăng cường bảo mật cho mạng gia đình của bạn. Nếu có bất kỳ dịch vụ nào yêu cầu mở cổng, bạn luôn có thể cấu hình chuyển tiếp cổng (port forwarding) thủ công một cách có kiểm soát. Hãy kiểm tra cài đặt router của bạn ngay hôm nay để bảo vệ dữ liệu và thiết bị của mình khỏi các mối đe dọa tiềm ẩn!
