Khi internet còn ở giai đoạn sơ khai và việc thiết lập mạng gia đình là một công việc phức tạp, mọi thiết bị trong mạng của bạn đều có một địa chỉ IP công khai. Điều này giúp các máy chủ game, máy chủ FTP và các dịch vụ khác mà bạn muốn sử dụng dễ dàng truy cập. Mặc dù nhìn chung điều này khá ổn, nhưng nó cũng đồng nghĩa với việc các thiết bị của bạn bị phơi nhiễm với internet rộng lớn hơn và địa chỉ IPv4 sẽ cạn kiệt nếu không có giải pháp.
Điều này đã dẫn đến sự ra đời của Công nghệ Dịch địa chỉ mạng (NAT – Network Address Translation). NAT về cơ bản làm cho các thiết bị trong mạng gia đình của bạn trông giống như có IP tĩnh đối với các dịch vụ trên internet, trong khi thực tế bạn chỉ có một địa chỉ IPv4 duy nhất của bộ định tuyến. Tuy nhiên, việc thiết lập vẫn còn phức tạp, vì vậy UPnP (Universal Plug and Play) xuất hiện để tự động hóa phần khám phá mạng phức tạp đó cho bạn.
Cấu hình “zero-configuration” (không cần cấu hình) là một lợi ích lớn cho người dùng, cho đến khi nó trở thành vấn đề. Các nhà sản xuất bộ định tuyến Wi-Fi đã tạo ra một vấn đề khi cho phép UPnP hoạt động ở cấp độ WAN (mạng diện rộng). Khi mới được thiết kế, UPnP lẽ ra phải chỉ giới hạn trong mạng nội bộ của bạn, điều này sẽ giữ an toàn cho bạn. Nhưng với quyền truy cập WAN, các thiết bị có thể được cắm vào mạng gia đình của bạn và mở cổng trực tiếp ra internet mà không cần sự chấp thuận hoặc kiến thức của bạn. Mặc dù một số dịch vụ cũ hơn và máy chơi game vẫn cần bật UPnP để chơi multiplayer, nhưng (hầu hết) an toàn hơn nếu bạn tắt nó đi.
UPnP là “Cơn Ác Mộng” Bảo Mật (Dù Có Vẻ Hấp Dẫn)
Các nhà sản xuất router thường bật UPnP theo mặc định vì nó giúp công việc của họ dễ dàng hơn
Universal Plug and Play (UPnP) là một tính năng tuyệt vời, về mặt lý thuyết. Khả năng để các thiết bị trong mạng của bạn tự động tìm thấy nhau và các máy chủ từ xa mà chúng cần để trao đổi dữ liệu thiết yếu là một kỳ công của công nghệ hiện đại. Nó kết hợp TCP/IP, HTTP, XML và SOAP để tự động mở và đóng các cổng thông qua bộ định tuyến và tường lửa của bạn, cho phép các thiết bị giao tiếp trực tiếp. Điều này giúp mọi thứ từ thiết bị IoT đến loa thông minh, dịch vụ truyền phát và máy chủ game kết nối và nhận dữ liệu mà không cần người dùng can thiệp.
Chính quá trình thiết lập tự động đó cũng là điểm yếu lớn nhất của UPnP, bởi vì nó không có cơ chế kiểm tra và cân bằng nào để ngăn chặn các thiết bị hoặc phần mềm độc hại sử dụng UPnP để mở bất kỳ cổng nào chúng cần và sử dụng mạng gia đình của bạn để gửi dữ liệu ra ngoài hoặc biến các thiết bị của bạn thành một mạng botnet để tấn công các máy chủ khác. UPnP hoàn toàn không sử dụng bất kỳ cơ chế xác thực nào, điều này sẽ không thành vấn đề nếu nó chỉ xử lý các thiết bị bên trong mạng LAN của bạn. Tuy nhiên, rất nhiều bộ định tuyến lại cho phép UPnP truy cập từ phía WAN, và đây chính là nguyên nhân của mọi rắc rối.
Nếu bạn tắt UPnP đi, mạng gia đình của bạn sẽ an toàn hơn. Bạn có thể nhận thấy một hoặc hai thiết bị hoặc dịch vụ gặp vấn đề sau đó, nhưng việc thiết lập chuyển tiếp cổng (port forwarding) thủ công cho từng dịch vụ cụ thể đó tương đối đơn giản, thay vì để toàn bộ mạng của bạn bị kiểm soát bởi bất cứ thứ gì.
Mất Kiểm Soát Hoàn Toàn Các Cổng Mạng
Điều này chấp nhận được nếu bạn tin tưởng thiết bị, nhưng nếu đó là một thiết bị IoT hoặc bị nhiễm mã độc thì sao?
Lý do lớn nhất để tắt UPnP ngay bây giờ là nó ngay lập tức làm giảm quyền kiểm soát của bạn đối với mạng gia đình, dữ liệu di chuyển trong đó và dữ liệu ra vào mạng. Điều này hơi giống việc bạn ném chìa khóa ô tô cho một người đỗ hộ xe, nhưng không có ai giám sát UPnP để đảm bảo rằng họ không đi “joyriding” (lái xe bừa bãi). Hoàn toàn không có sự kiểm soát nào từ tường lửa của bạn, phần mềm hoặc phần cứng bảo mật khác, hay từ chính bạn để ngăn UPnP kết nối với các địa chỉ IP tiềm ẩn nguy hiểm.
Đã từng có thời điểm, thiết bị mạng gia đình phải cân bằng giữa bảo mật và sự tiện lợi, một vấn đề ít được quan tâm hơn. Tuy nhiên, điều này không còn cần thiết nữa, vì các nhà phát triển có trách nhiệm đã tìm ra cách kết nối với các máy chủ từ xa mà không làm phơi nhiễm mạng gia đình với các cuộc tấn công tiềm tàng. Bạn có thể tin rằng máy chơi game của mình sẽ không kết nối với các máy chủ đáng ngờ, nhưng làm sao bạn biết mình không bị nhiễm mã độc? Thiết bị IoT mà bạn vừa cắm vào có thể đang gửi rất nhiều dữ liệu về đâu đó nếu nó có triển khai UPnP không an toàn hoặc nếu nó được cố tình thiết kế như vậy.
Ngay cả khi tất cả các thiết bị mạng của bạn không sử dụng UPnP, việc chỉ bật tính năng này trong bộ định tuyến cũng có thể đồng nghĩa với việc kẻ tấn công có thể xâm nhập vào mạng gia đình của bạn. Đã có rất nhiều sự cố xảy ra khi hàng ngàn bộ định tuyến, máy in và các thiết bị khác bị biến thành mạng botnet để tấn công các dịch vụ internet khác.
Mã Độc Lợi Dụng UPnP Để Lây Lan
Vì không sử dụng xác thực, UPnP thường bị tội phạm mạng lợi dụng
Với cách UPnP được thiết kế, việc tự động mở các cổng ra internet rộng lớn giúp cuộc sống dễ dàng hơn cho cả nhà phát triển và người dùng. Nhưng quy trình tự động đó cũng là một lợi ích lớn cho tin tặc, và có rất nhiều trường hợp UPnP đã được chứng minh là có thể khai thác, hoặc thực sự đã được sử dụng để tấn công các hệ thống. Vào năm 2020, Ars Technica đã báo cáo về một cuộc tấn công thử nghiệm có thể sử dụng UPnP để biến hàng triệu thiết bị thành nạn nhân của các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Các cuộc tấn công khác đã sử dụng UPnP được triển khai kém trong chip Broadcom để biến 100.000 bộ định tuyến thành một mạng botnet.
Và nếu bạn nhớ lại năm 2019, bạn có thể nhớ một cuộc tấn công quy mô lớn vào các thiết bị Chromecast và máy in đã hiển thị các video YouTube của game thủ nổi tiếng PewDiePie. Điều đó cũng có thể thực hiện được nhờ UPnP trên bộ định tuyến cho phép các máy tính phía WAN thiết lập chuyển tiếp cổng. Mặc dù cuộc tấn công đó không có ý định gây hại, nhưng nó hoàn toàn có thể trở thành một vấn đề lớn.
Hầu Hết Bạn (Có Thể) Không Cần UPnP Nữa
Các máy chơi game hiện đại sử dụng các phương pháp an toàn hơn để chơi game nhiều người
Trong những ngày đầu của game online, máy tính của bạn kết nối trực tiếp với những người chơi khác hoặc với máy chủ game. Đây có lẽ không phải là cách tốt nhất, vì nó khiến thiết bị của bạn bị phơi nhiễm với bất kỳ ai có thể tìm thấy địa chỉ IP của bạn, nhưng đó là cách mọi thứ diễn ra. Sau đó là NAT và UPnP, cả hai đều hoạt động cùng nhau để làm cho mạng gia đình của bạn an toàn nhất có thể trong khi vẫn có thể kết nối với máy chủ game để chơi với những người dùng khác. Tuy nhiên, đó vẫn không phải là cách an toàn nhất để thực hiện, vì vậy mô hình đã được thay đổi.
Hướng dẫn khởi chạy Minecraft ở chế độ nhiều người chơi, minh họa cho việc kết nối game online
Ngày nay, hầu hết các máy chủ game sử dụng phương pháp NAT punching để kết nối người chơi với nhau. Phương pháp này sử dụng một máy chủ trung gian hoặc đôi khi là một máy chủ chuyển tiếp để vượt qua NAT của từng mạng gia đình mà không cần UPnP hoặc chuyển tiếp cổng. Đôi khi, điều này có thể gặp sự cố khi kết nối, như bất kỳ ai đã chơi một tựa game Call of Duty với loại NAT “Strict” đều biết. Nhìn chung, các loại NAT “Moderate” hoặc “Open” không gặp vấn đề gì với NAT punching, và điều này có nghĩa là game thủ có thể tắt UPnP trong bộ định tuyến của họ.
UPnP thường có thể được tắt mà không gặp vấn đề gì
Mặc dù đúng là hàng triệu, hàng triệu bộ định tuyến tiêu dùng đều bật UPnP theo mặc định, và phần lớn trong số đó vẫn hoạt động bình thường, nhưng nó vẫn là một rủi ro bảo mật. Trên các bộ định tuyến cũ hơn, nó có thể cho phép kẻ tấn công bên ngoài xâm nhập vào mạng gia đình của bạn chỉ bằng cách sử dụng chính chức năng mà UPnP được thiết kế để làm. Không phải lỗi của giao thức khi một số bộ định tuyến cho phép máy tính phía WAN truy cập UPnP, nhưng việc tắt nó đi vẫn rất đáng giá. Các công nghệ mạng hiện đại sử dụng các phương pháp khác để kết nối với máy chủ từ xa nhằm giữ an toàn hơn cho mạng gia đình của bạn, và UPnP phần lớn đã không còn cần thiết nữa. Nếu bạn thấy việc tắt nó khiến một số ứng dụng, dịch vụ hoặc thiết bị của bạn ngừng hoạt động bình thường, bạn có thể tìm hiểu những cổng nào bạn có thể cần kích hoạt trong tường lửa của mình để chỉ những dịch vụ đó mới có thể giao tiếp với thế giới bên ngoài.
Hãy kiểm tra ngay cài đặt router của bạn và chia sẻ ý kiến của bạn về UPnP trong phần bình luận bên dưới nhé!
