Với vai trò là một chuyên gia về mạng và công nghệ, tôi đã có kinh nghiệm sử dụng rất nhiều bộ định tuyến (router) khác nhau trong suốt quá trình sử dụng internet của mình. Từ những router do nhà cung cấp dịch vụ internet (ISP) cung cấp với các dịch vụ bị khóa chặt, cho đến những thiết bị tôi đã giữ lại lâu hơn mức cần thiết. Tuy nhiên, trên mọi router mà tôi có thể thay đổi cài đặt, tôi luôn thực hiện cùng một loạt các thiết lập bảo mật cốt lõi trước khi bắt đầu sử dụng internet. Những cài đặt cơ bản này có vai trò quan trọng trong việc tăng cường an ninh mạng gia đình, cắt đứt quyền truy cập của các botnet, các cuộc tấn công tự động và nhiều mối đe dọa khác.
Cho dù bạn đang tìm mua một router mới hay muốn tiếp tục sử dụng thiết bị hiện tại, những cài đặt bảo mật này là điều bắt buộc phải làm. Nếu bạn chưa từng thực hiện bất kỳ thay đổi nào trong số này, thì không bao giờ là quá muộn để bắt đầu, vì hầu hết các thiết lập bảo mật này cũng sẽ giúp ngăn chặn truy cập nếu có điều gì đó đã xâm nhập vào mạng của bạn. Chúng cũng không giới hạn ở bất kỳ nhà sản xuất router cụ thể nào hay phiên bản Wi-Fi nào. Vì vậy, đừng lo lắng nếu bạn không sở hữu một router Wi-Fi 7; bạn vẫn có thể áp dụng các cài đặt này để làm cho mạng của mình an toàn hơn rất nhiều.
5. Thay Đổi Thông Tin Đăng Nhập Mặc Định
Tuyệt đối không để mật khẩu quản trị mặc định
Bất kể bạn mua router từ đâu, rất có thể nó đi kèm với một mật khẩu mặc định tệ hại, dễ đoán và cực kỳ nguy hiểm. Gần như chắc chắn nó sẽ là một cái gì đó như admin / 123456, bởi vì các nhà sản xuất router xây dựng phần cứng của họ với các cài đặt mặc định dễ dàng để làm cho quá trình cài đặt trở nên mượt mà hơn cho người dùng hoặc kỹ thuật viên. Tổ hợp tên người dùng và mật khẩu mặc định đó nên được coi như một thông điệp tự hủy từ IMF, chứ không phải là một bức tường thành bảo mật hàng ngày.
Điều đầu tiên tôi thay đổi, thậm chí trước cả khi tôi cắm router vào cổng internet, chính là thông tin đăng nhập mặc định. Bằng cách đó, một khi router được kết nối với thế giới bên ngoài, nó sẽ không thể bị tự động quét cổng, đăng nhập và trở thành một phần của mạng botnet. Nếu bạn không làm gì khác, xin vui lòng thay đổi chi tiết đăng nhập mặc định này.
4. Cập Nhật Firmware
Khắc phục lỗ hổng bảo mật bằng một bản nâng cấp nhanh chóng
Giao diện cài đặt firmware FreshTomato tùy chỉnh trên router ASUS RT-AC66U
Sau khi có thông tin đăng nhập độc đáo, bước tiếp theo là cập nhật firmware. Bạn không thể biết router đó đã nằm trên kệ bao lâu rồi, và có thể đã có bất kỳ số lượng lỗi bảo mật nghiêm trọng nào đã được khắc phục trong thời gian đó. Nếu router của bạn sử dụng một ứng dụng di động, quá trình này sẽ rất đơn giản, và thường thì ứng dụng sẽ tự động thông báo cho bạn và bắt đầu quá trình chỉ với vài lần chạm. Nếu không, hãy tìm trang hỗ trợ cho router của bạn trên trang web của nhà sản xuất và tải xuống firmware mới nhất.
Bạn có thể sẽ phải đăng nhập vào giao diện người dùng web (web GUI) và điều hướng đến phần cập nhật, sau đó tải tệp lên, để router cập nhật và khởi động lại. Việc này sẽ giúp bảo vệ chống lại các cuộc tấn công zero-day và có thể khắc phục một số lỗi tính năng hoặc thậm chí thêm các tính năng mới.
3. Thay Đổi SSID và Mật Khẩu Wi-Fi
Các thiết lập mặc định thường tệ hoặc dễ đoán
Tiếp theo là thay đổi SSID (tên mạng Wi-Fi) và mật khẩu Wi-Fi mặc định thành một cái gì đó an toàn hơn. Đây là một trong những cài đặt quan trọng nhất bên trong router của bạn, vì các giá trị mặc định thường được tạo ra từ SSID hoặc địa chỉ MAC, hoặc thậm chí là một cái gì đó dễ đoán hơn. Hãy sử dụng một tên SSID độc đáo, để hàng xóm của bạn không vô tình cố gắng kết nối vào mạng của bạn. Tôi không khuyến khích việc cố gắng tạo ra tên SSID quá hài hước, nhưng bạn có thể làm nếu muốn. Nhiều router có thể ẩn SSID, nhưng tôi không khuyên dùng tính năng này. Nó gây phiền phức khi bạn cố gắng kết nối các thiết bị của chính mình, và bất kỳ ai quét mạng Wi-Fi vẫn có thể dễ dàng tìm thấy nó.
Hầu hết các router hiện nay đều kết hợp các băng tần 2.4GHz, 5GHz (và 6GHz nếu có) thành một SSID duy nhất, nhưng nếu không, sẽ có một tùy chọn gọi là Smart Connect để làm điều đó. Và hãy sử dụng mật khẩu Wi-Fi dài, bởi vì điều đó luôn an toàn hơn. Mật khẩu không nhất thiết phải sử dụng chữ in hoa, số hoặc ký tự đặc biệt, và trên thực tế, không nên sử dụng ký tự đặc biệt trong cả SSID và mật khẩu vì chúng có thể gây ra vấn đề tương thích.
2. Thiết Lập Mã Hóa Mạnh Nhất Hiện Có
Với hầu hết router mới là WPA3, nhưng router cũ có thể là WPA2-AES
Thiết lập cài đặt Wi-Fi trên giao diện web của router TP-Link Archer BE800 Wi-Fi 7
Trong khi thay đổi SSID và mật khẩu khỏi các cài đặt mặc định, việc sử dụng giao thức bảo mật mạnh nhất hiện có là rất quan trọng. Hầu hết các router hiện đại sẽ được thiết lập cho WPA3, mặc dù bạn có thể sử dụng WPA2-AES hoặc WPA3+WPA2 nếu bạn cần khả năng tương thích với các thiết bị cũ hơn. Dù bạn chọn tùy chọn nào trong số đó, đừng bao giờ sử dụng WEP hoặc WPA-TKIP, vì chúng dễ dàng bị bẻ khóa chỉ trong vài phút, và bạn có thể coi như không có bất kỳ mật khẩu nào trên Wi-Fi của mình.
1. Vô Hiệu Hóa Quản Lý Từ Xa, UPnP và WPS
Đừng để những nỗ lực bảo mật khác trở nên vô ích
Người dùng cầm trên tay router TP-Link, minh họa cho việc truy cập và cấu hình thiết bị mạng
Nếu router của tôi có tính năng truy cập từ xa để quản lý, còn gọi là quản trị WAN (WAN administration), thì đó cũng là một phần của những thay đổi đầu tiên cần thực hiện. Cá nhân tôi không biết về bạn, nhưng số lần tôi cần thay đổi cài đặt router khi không ở nhà là rất thấp. Ngay cả khi tôi cần, tôi thà thiết lập một mạng riêng ảo (VPN) để truy cập vào mạng và đăng nhập như thể tôi đang ở nhà. Quản lý từ xa là một lỗ hổng bảo mật không cần thiết chỉ vì sự tiện lợi, và tôi cảm thấy nó thường được bật mặc định để kỹ thuật viên ISP có thể đăng nhập. Bạn không cần điều đó xảy ra trong hầu hết các trường hợp.
Một số router tôi đã sử dụng, như bộ kit mesh Eero của tôi, chỉ cho phép tôi thay đổi cài đặt thông qua ứng dụng, và sau đó tính năng quản trị WAN vẫn được bật vì không có chỗ để tắt nó. Tôi hy vọng rằng trong trường hợp đó, Eero có một đường hầm bảo mật trở lại router.
Các cài đặt cuối cùng tôi thay đổi trên bất kỳ router nào phụ thuộc vào việc chúng có tồn tại hay không. WPS (Wi-Fi Protected Setup) có một nút trên router giúp kết nối Wi-Fi đơn giản, vì nó sử dụng một mã PIN ngắn thay vì mật khẩu Wi-Fi đã chọn kỹ càng của bạn. Điều đó có nghĩa là không cần bất kỳ nỗ lực nào để bẻ khóa, và tính năng được thiết kế để tiện lợi này lại là một lỗ hổng bảo mật lớn mà bạn nên bịt lại.
Nếu router của bạn có bật UPnP (Universal Plug and Play) hoặc NAT-PMP (NAT Port Mapping Protocol), chúng cũng có thể được tắt. Một lần nữa, đây là những công cụ hữu ích, nhưng sau đó các nhà sản xuất router đã quyết định bật chúng ở cấp độ WAN, cho phép các thiết bị được cấu hình kém hoặc độc hại mở cổng thông qua tường lửa của bạn và cho phép lưu lượng truy cập đi vào. Bạn sẽ an toàn hơn nếu không sử dụng chúng, và mạng hiện đại không còn phụ thuộc vào chúng như các thiết bị cũ hơn.
Mỗi router mới tôi dùng đều được áp dụng những thay đổi này trước khi tôi làm bất cứ điều gì khác
Dù tôi đang sử dụng thiết bị mạng chuyên nghiệp, một router OPNsense tự xây dựng với vô số plugin mạnh mẽ, hay một hệ thống mạng mesh, việc thay đổi những cài đặt này trước khi làm bất cứ điều gì khác đều mang lại cho tôi một nền tảng bảo mật vững chắc để xây dựng trên đó. Không phải mọi router đều có mọi tùy chọn này, vì WPS và NAT-PMP phần lớn đã được loại bỏ, và việc quản trị dựa trên ứng dụng của các router khác làm cho quản trị WAN ít nguy hiểm hơn. Nhưng nếu bạn bắt đầu với danh sách này và thay đổi hoặc vô hiệu hóa càng nhiều càng tốt, mạng gia đình của bạn sẽ an toàn hơn một chút ngay từ đầu.
