Trong suốt quá trình sử dụng Internet, từ những chiếc router do nhà cung cấp dịch vụ (ISP) khóa chặt các tùy chỉnh đến những thiết bị đã gắn bó quá lâu, tôi luôn có một bộ các cài đặt bảo mật cốt lõi mà mình phải thay đổi trước khi bắt đầu sử dụng mạng. Những cài đặt này đóng vai trò cực kỳ quan trọng trong việc tăng cường bảo mật mạng gia đình, cắt đứt quyền truy cập của các botnet, các cuộc tấn công tự động và nhiều mối đe dọa khác.
Nếu bạn đang tìm mua một chiếc router mới hoặc chỉ đơn giản là muốn nâng cao bảo mật cho thiết bị hiện có, những cài đặt này là điều bắt buộc. Chưa bao giờ là quá muộn để bắt đầu áp dụng chúng, bởi lẽ hầu hết các thiết lập bảo mật này cũng sẽ ngăn chặn truy cập nếu đã có phần mềm độc hại nào đó xâm nhập vào mạng của bạn. Chúng không giới hạn ở bất kỳ nhà sản xuất router hoặc phiên bản Wi-Fi cụ thể nào. Vì vậy, đừng lo lắng nếu bạn không có router Wi-Fi 7 mới nhất; bạn vẫn có thể áp dụng các cài đặt này để làm cho mọi thứ an toàn hơn.
Hệ thống mạng gia đình với router và các thiết bị chuyên dụng, tượng trưng cho an ninh mạng
1. Thay Đổi Thông Tin Đăng Nhập Mặc Định Của Router
Đừng bao giờ giữ nguyên mật khẩu quản trị mặc định!
Bất kể bạn mua router từ đâu, rất có thể nó đi kèm với một cặp tên người dùng và mật khẩu mặc định cực kỳ dễ đoán. Chắc chắn đó sẽ là một cái gì đó như admin / 123456 hoặc tương tự, bởi vì các nhà sản xuất router thường thiết lập cấu hình mặc định dễ dàng để quá trình cài đặt trở nên mượt mà hơn cho người dùng hoặc kỹ thuật viên. Cặp tên người dùng và mật khẩu mặc định đó nên được coi như một thông điệp tự hủy từ các tổ chức tình báo, chứ không phải là một lá chắn bảo mật hàng ngày.
Điều đầu tiên tôi thay đổi, thậm chí trước cả khi tôi điều chỉnh cài đặt Wi-Fi và thường là trước khi cắm router vào cổng Internet, chính là thông tin đăng nhập mặc định. Bằng cách đó, một khi router được kết nối với thế giới bên ngoài, nó sẽ không thể bị quét cổng tự động, bị đăng nhập và biến thành một phần của mạng botnet. Nếu bạn không làm gì khác, làm ơn hãy thay đổi thông tin đăng nhập mặc định này.
Thiết bị Raspberry Pi minh họa cho việc các thiết bị công nghệ thường có mật khẩu mặc định yếu
2. Cập Nhật Firmware Router Thường Xuyên
Vá lỗi bảo mật và nâng cao hiệu suất chỉ với một bản cập nhật
Sau khi có thông tin đăng nhập độc đáo, bước tiếp theo là cập nhật firmware. Bạn không thể biết chiếc router đó đã nằm trên kệ bao lâu rồi, và có thể đã có bất kỳ số lượng lỗi bảo mật nghiêm trọng nào đã được vá trong thời gian đó. Nếu router của bạn sử dụng một ứng dụng di động, quá trình này sẽ đơn giản, và thường thì ứng dụng sẽ thông báo và bắt đầu quá trình chỉ với vài thao tác. Nếu không, hãy tìm trang hỗ trợ cho router của bạn trên trang web của nhà sản xuất và tải xuống firmware mới nhất.
Bạn có thể sẽ phải đăng nhập vào giao diện web (web GUI) của router và điều hướng đến phần cập nhật, sau đó tải lên tệp, để thiết bị tự cập nhật và khởi động lại. Việc này sẽ giúp bảo vệ chống lại các cuộc tấn công zero-day, có thể sửa một số lỗi với các tính năng hoặc thậm chí bổ sung các tính năng mới.
Giao diện firmware tùy chỉnh FreshTomato trên router ASUS RT-AC66U, minh họa quá trình cập nhật phần mềm router
Router Acer Predator Connect W6 với đèn trạng thái sáng, biểu trưng cho thiết bị cần cập nhật firmware bảo mật
3. Đổi Tên SSID và Mật Khẩu Wi-Fi Mạnh Mẽ
Tránh những rắc rối không đáng có từ tên và mật khẩu mặc định
Tiếp theo là thay đổi tên SSID (tên mạng Wi-Fi) và mật khẩu Wi-Fi mặc định thành một cái gì đó an toàn hơn. Đây là một trong những cài đặt quan trọng nhất bên trong router của bạn, vì các giá trị mặc định thường được tạo ra từ SSID hoặc địa chỉ MAC, hoặc thậm chí là một cái gì đó dễ đoán hơn nhiều.
Hãy sử dụng một tên SSID độc đáo để hàng xóm của bạn không vô tình cố gắng kết nối vào mạng của bạn. Tôi không khuyến khích bạn cố gắng đặt tên SSID quá hài hước, mặc dù bạn có thể làm vậy nếu muốn. Nhiều router có thể ẩn SSID, nhưng tôi không khuyên dùng tính năng này. Nó sẽ gây phiền toái khi bạn cố gắng kết nối các thiết bị của chính mình, và bất kỳ ai quét các mạng Wi-Fi vẫn có thể dễ dàng tìm thấy nó.
Ngày nay, hầu hết các router đều kết hợp các băng tần 2.4GHz, 5GHz (và 6GHz nếu có) thành một SSID duy nhất. Nhưng nếu router của bạn không làm vậy, sẽ có một tùy chọn gọi là Smart Connect để thực hiện điều đó. Và hãy sử dụng mật khẩu Wi-Fi dài, vì nó luôn an toàn hơn. Mật khẩu không nhất thiết phải chứa chữ cái viết hoa, số, hoặc ký tự đặc biệt, và trên thực tế, không nên sử dụng ký tự đặc biệt trong cả SSID lẫn mật khẩu vì chúng có thể gây ra một số vấn đề tương thích.
Màn hình điện thoại Galaxy S20 đang nhập mật khẩu Wi-Fi, nhấn mạnh tầm quan trọng của mật khẩu mạnh
4. Thiết Lập Mã Hóa Mạnh Nhất Hiện Có
WPA3 là lựa chọn hàng đầu, hoặc WPA2-AES nếu cần tương thích
Trong khi thay đổi SSID và mật khẩu khỏi các giá trị mặc định, việc sử dụng giao thức bảo mật mạnh nhất hiện có là rất quan trọng. Hầu hết các router hiện đại sẽ được thiết lập cho WPA3, mặc dù bạn có thể sử dụng WPA2-AES hoặc WPA3+WPA2 nếu cần khả năng tương thích với các thiết bị cũ hơn. Dù bạn chọn tùy chọn nào trong số đó, tuyệt đối không sử dụng WEP hoặc WPA-TKIP, vì những giao thức này có thể dễ dàng bị bẻ khóa chỉ trong vài phút, và khi đó mạng Wi-Fi của bạn cũng gần như không có mật khẩu nào cả.
Giao diện cài đặt Wi-Fi của router TP-Link Archer BE800 Wi-Fi 7 trên trình duyệt web, hiển thị tùy chọn mã hóa bảo mật
5. Vô Hiệu Hóa Quản Lý Từ Xa, UPnP và WPS
Loại bỏ những lỗ hổng bảo mật không cần thiết
Nếu router của tôi có tính năng truy cập từ xa để quản lý, hay còn gọi là WAN administration, đó cũng là một trong những điều đầu tiên cần thay đổi. Tôi không rõ bạn thế nào, nhưng số lần tôi cần thay đổi cài đặt router khi không ở nhà là rất ít. Và ngay cả khi cần, tôi thà dùng VPN để kết nối vào mạng và đăng nhập như thể đang ở nhà. Quản lý từ xa là một lỗ hổng bảo mật không cần thiết được bật mặc định chỉ để tiện lợi cho các kỹ thuật viên ISP, và bạn không cần điều đó xảy ra trong hầu hết các trường hợp.
Một số router tôi từng dùng, như bộ mesh Eero của tôi, chỉ cho phép thay đổi cài đặt qua ứng dụng, và tính năng quản lý WAN vẫn bật vì không có chỗ để tắt. Tôi hy vọng Eero đã thiết lập một đường hầm bảo mật cho router trong trường hợp đó.
Một người đang cầm router TP-Link, tượng trưng cho việc quản lý và cấu hình các thiết lập bảo mật mạng
Các cài đặt cuối cùng tôi thay đổi trên bất kỳ router nào phụ thuộc vào việc chúng có tồn tại hay không. WPS (Wi-Fi Protected Setup) có một nút trên router giúp kết nối Wi-Fi đơn giản, vì nó sử dụng mã PIN ngắn thay vì mật khẩu Wi-Fi phức tạp bạn đã chọn. Điều đó có nghĩa là việc bẻ khóa nó không tốn chút công sức nào, và những gì được thiết kế như một tính năng tiện lợi lại trở thành một lỗ hổng bảo mật lớn mà bạn nên vá lại.
Nếu router của bạn có bật UPnP (Universal Plug and Play) hoặc NAT-PMP, bạn cũng nên tắt chúng. Một lần nữa, đây từng là những công cụ hữu ích, nhưng sau đó các nhà sản xuất router quyết định bật chúng ở cấp độ WAN, cho phép các thiết bị được cấu hình kém hoặc độc hại mở cổng xuyên qua tường lửa của bạn và cho phép lưu lượng truy cập đi vào. Bạn sẽ an toàn hơn nếu không sử dụng chúng, và mạng hiện đại không còn phụ thuộc vào chúng như các thiết bị cũ.
Mặt sau của router GL.iNet Beryl, minh họa các cổng kết nối và nút điều khiển có thể liên quan đến UPnP
Hình ảnh router gaming Reyee E6 AX6000, một thiết bị có thể cần vô hiệu hóa NAT-PMP để tăng cường bảo mật
Một người đang cầm router TP-Link, tượng trưng cho việc quản lý và cấu hình các thiết lập bảo mật mạng
Mọi router mới tôi sử dụng đều được thực hiện những thay đổi này trước tiên
Dù tôi đang sử dụng thiết bị mạng chuyên nghiệp dành cho người dùng cá nhân (prosumer), một router OPNsense tự xây dựng với nhiều tiện ích mở rộng, hay một hệ thống mạng mesh, việc thay đổi những cài đặt này trước tiên sẽ mang lại cho tôi một nền tảng bảo mật vững chắc để xây dựng. Không phải router nào cũng có tất cả các tùy chọn này, vì WPS và NAT-PMP đang dần bị loại bỏ, và quản trị dựa trên ứng dụng của một số loại router khác khiến quản trị WAN ít nguy hiểm hơn. Tuy nhiên, nếu bạn bắt đầu với danh sách này và thay đổi hoặc vô hiệu hóa càng nhiều cài đặt càng tốt, mạng gia đình của bạn sẽ an toàn hơn một chút ngay từ đầu. Hãy bắt đầu ngay hôm nay để bảo vệ không gian kỹ thuật số của bạn khỏi những mối đe dọa tiềm ẩn!
