Khi Internet mới xuất hiện và việc thiết lập mạng tại nhà còn phức tạp, mỗi thiết bị trong mạng của bạn đều có một địa chỉ IP công cộng. Điều này tạo điều kiện thuận lợi cho các máy chủ trò chơi, máy chủ FTP và các dịch vụ khác mà bạn có thể muốn sử dụng. Nhìn chung, điều này khá ổn, nhưng nó cũng đồng nghĩa với việc các thiết bị của bạn bị lộ ra ngoài Internet rộng lớn. Hơn nữa, rõ ràng là các địa chỉ IPv4 sẽ cạn kiệt nếu không có biện pháp nào được thực hiện.
Tình hình này đã dẫn đến sự ra đời của Giao thức Dịch Địa chỉ Mạng (NAT – Network Address Translation). Về cơ bản, NAT giúp các thiết bị trong mạng gia đình của bạn trông như có các IP tĩnh đối với các dịch vụ trên Internet, trong khi thực tế bạn chỉ có một địa chỉ IPv4 duy nhất của router. Tuy nhiên, việc thiết lập vẫn khá rắc rối, và đó là lúc UPnP (Universal Plug and Play) xuất hiện để tự động hóa các phần phức tạp trong việc khám phá và thiết lập mạng cho bạn.
Việc cấu hình tự động (zero-configuration) ban đầu rất tiện lợi cho người dùng, cho đến khi nó trở thành một vấn đề. Các nhà sản xuất router Wi-Fi đã tạo ra một rủi ro đáng kể khi cho phép UPnP hoạt động ở cấp độ WAN (mạng diện rộng). Khi mới được thiết kế, UPnP lẽ ra chỉ nên hoạt động trong mạng nội bộ (LAN) của bạn, điều này sẽ đảm bảo an toàn. Nhưng với quyền truy cập WAN, các thiết bị có thể được cắm vào mạng gia đình của bạn và tự động mở các cổng ra Internet mà không cần sự chấp thuận hay thậm chí là sự biết của bạn. Mặc dù một số dịch vụ cũ hơn và máy chơi game vẫn cần UPnP được bật cho chế độ nhiều người chơi, nhưng phần lớn, việc tắt tính năng này sẽ an toàn hơn.
I. UPnP: Tiện Ích Hay “Cơn Ác Mộng” Bảo Mật Mạng Gia Đình?
1. UPnP là một “cơn ác mộng” bảo mật, dù tiện lợi trong lý thuyết
Universal Plug and Play (UPnP) là một tính năng tuyệt vời, ít nhất là trên lý thuyết. Khả năng để các thiết bị trong mạng của bạn tự động tìm thấy nhau, và các máy chủ từ xa mà chúng có thể cần để trao đổi dữ liệu thiết yếu, là một kỳ công của công nghệ hiện đại. UPnP kết hợp TCP/IP, HTTP, XML và SOAP để tự động mở và đóng các cổng thông qua router và tường lửa của bạn, giúp các thiết bị có thể giao tiếp trực tiếp. Điều này hỗ trợ mọi thứ từ thiết bị IoT, loa thông minh, dịch vụ streaming cho đến máy chủ trò chơi kết nối và nhận dữ liệu mà người dùng không cần can thiệp.
Router chơi game Reyee E6 AX6000 với thiết kế hiện đại trên bàn làm việc
Chính quá trình thiết lập tự động đó lại là điểm yếu lớn nhất của UPnP. Bởi vì không có bất kỳ cơ chế kiểm soát và cân bằng nào để ngăn chặn các thiết bị hoặc phần mềm độc hại sử dụng UPnP để mở bất kỳ cổng nào chúng cần. Từ đó, chúng có thể sử dụng mạng gia đình của bạn để gửi dữ liệu cá nhân ra ngoài hoặc biến các thiết bị của bạn thành một phần của mạng botnet để tấn công các máy chủ khác. UPnP hoàn toàn không sử dụng bất kỳ hình thức xác thực nào. Điều này sẽ ổn nếu nó chỉ xử lý các thiết bị bên trong mạng LAN của bạn, nhưng nhiều router lại cho phép UPnP tiếp cận phía WAN, và đây chính là nguyên nhân gây ra nhiều rắc rối bảo mật nghiêm trọng.
2. Không kiểm soát được các cổng đang được mở
Lý do lớn nhất để tắt UPnP ngay lập tức là nó làm giảm khả năng kiểm soát của bạn đối với mạng gia đình, dữ liệu di chuyển trong mạng và dữ liệu đi vào hoặc ra khỏi mạng. Điều này giống như bạn ném chìa khóa xe cho một người giữ xe mà không có ông chủ nào giám sát để đảm bảo họ không lái xe đi chơi. Không có sự kiểm soát nào từ tường lửa, phần mềm hoặc phần cứng bảo mật khác, hay từ chính bạn để ngăn chặn UPnP kết nối với các địa chỉ IP có khả năng độc hại.
Một chiếc laptop Surface màu bạch kim đặt trên bàn gỗ, mở sẵn ứng dụng
Trước đây, các thiết bị mạng gia đình phải cân bằng giữa bảo mật và tiện lợi, nhưng mối lo ngại này không còn nữa. Các nhà phát triển có trách nhiệm đã tìm ra cách kết nối với máy chủ từ xa mà không làm lộ mạng gia đình trước các cuộc tấn công tiềm ẩn. Bạn có thể tin rằng máy chơi game của mình sẽ không gọi ra các máy chủ đáng ngờ, nhưng làm sao bạn biết mình không có phần mềm độc hại? Thiết bị IoT mà bạn cắm vào có thể dễ dàng gửi rất nhiều dữ liệu trở lại máy chủ nếu nó có một triển khai UPnP không an toàn hoặc nếu nó được thiết kế cố ý như vậy.
Ngay cả khi tất cả các thiết bị mạng của bạn không sử dụng UPnP, việc bật tính năng này trên router của bạn có thể đồng nghĩa với việc kẻ tấn công có thể xâm nhập vào mạng gia đình của bạn. Đã có rất nhiều sự cố xảy ra, biến hàng ngàn router, máy in và các thiết bị khác thành các mạng botnet để tấn công các dịch vụ Internet khác.
3. Malware lợi dụng UPnP để lây lan và tấn công
Với cách UPnP được thiết kế, việc tự động mở các cổng ra Internet rộng lớn giúp cuộc sống dễ dàng hơn cho cả nhà phát triển và người dùng. Nhưng quá trình tự động hóa đó cũng là một món hời cho tin tặc, và đã có rất nhiều trường hợp UPnP bị chứng minh là có thể bị khai thác hoặc thực sự đã được sử dụng để tấn công hệ thống. Năm 2020, Ars Technica đã báo cáo về một cuộc tấn công thử nghiệm có thể sử dụng UPnP để biến hàng triệu thiết bị thành một phần của các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Các cuộc tấn công khác đã sử dụng lỗ hổng triển khai UPnP kém trong chip Broadcom để biến 100.000 router thành mạng botnet.
Router GL.iNET Slat AX1800 chạy OpenWrt, đặt trên mặt bàn màu xám
Và nếu bạn nhớ lại năm 2019, bạn có thể nhớ một cuộc tấn công quy mô lớn vào các thiết bị Chromecast và máy in đã hiển thị các video YouTube của game thủ nổi tiếng PewDiePie. Điều đó cũng có thể xảy ra nhờ UPnP trên router cho phép máy tính phía WAN thiết lập chuyển tiếp cổng, và mặc dù nó không được thực hiện với ý đồ xấu, nhưng nó hoàn toàn có thể trở thành một vấn đề lớn.
II. Lý Do Hầu Hết Bạn Không Còn Cần UPnP Nữa
1. Các máy chơi game hiện đại đã sử dụng các phương pháp an toàn hơn
Trong những ngày đầu của game trực tuyến, máy tính của bạn kết nối trực tiếp với những người chơi khác hoặc với máy chủ trò chơi. Đây có lẽ không phải là động thái tốt nhất, vì nó mở thiết bị của bạn ra cho bất kỳ ai có thể tìm thấy địa chỉ IP của bạn, nhưng đó là cách nó hoạt động. Sau đó, NAT và UPnP xuất hiện, cả hai cùng hoạt động để giúp mạng gia đình của bạn an toàn nhất có thể trong khi vẫn có thể kết nối với máy chủ trò chơi để chơi với những người dùng khác. Tuy nhiên, đó vẫn không phải là cách an toàn nhất để làm mọi việc, vì vậy mô hình đã được thay đổi.
Quy trình khởi chạy trò chơi Minecraft ở chế độ nhiều người chơi, hiển thị các lựa chọn máy chủ
Ngày nay, hầu hết các máy chủ trò chơi sử dụng kỹ thuật NAT punching để kết nối người chơi với nhau. Phương pháp này sử dụng một máy chủ trung gian hoặc đôi khi là máy chủ relay để vượt qua NAT của từng mạng gia đình mà không cần đến UPnP hoặc port forwarding. Đôi khi, điều này có thể gặp vấn đề về kết nối, như bất kỳ ai đã chơi một tựa game Call of Duty với loại NAT Strict đều biết. Nói chung, các loại NAT Moderate hoặc Open không gặp vấn đề gì với việc NAT punching hoạt động bình thường, và điều này có nghĩa là các game thủ có thể tắt UPnP trong router của họ.
2. UPnP có thể được tắt mà không gặp vấn đề gì đáng kể
Mặc dù đúng là hàng triệu router tiêu dùng có UPnP được bật mặc định, và phần lớn trong số chúng vẫn hoạt động ổn định, nhưng đây vẫn là một rủi ro bảo mật. Trên các router cũ hơn, nó có thể cho phép kẻ tấn công bên ngoài xâm nhập vào mạng gia đình của bạn bằng cách đơn giản là sử dụng những gì UPnP được thiết kế để làm. Đây không phải lỗi của giao thức khi một số router cho phép máy tính phía WAN truy cập UPnP, nhưng việc tắt nó vẫn rất đáng làm. Mạng hiện đại sử dụng các phương pháp khác để kết nối với máy chủ từ xa, giúp mạng gia đình của bạn an toàn hơn và UPnP phần lớn không còn cần thiết nữa.
Laptop Dell XPS 14 màu bạc trên bàn làm việc, màn hình hiển thị nội dung
Nếu bạn thấy việc tắt UPnP khiến một số ứng dụng, dịch vụ hoặc thiết bị của bạn ngừng hoạt động bình thường, bạn có thể tìm hiểu xem mình cần mở cổng nào trong tường lửa để những dịch vụ đó và chỉ những dịch vụ đó mới có thể giao tiếp với thế giới bên ngoài một cách an toàn và có kiểm soát.
Kết luận: UPnP từng là một giải pháp tiện lợi cho việc thiết lập mạng tại nhà, nhưng trong bối cảnh bảo mật mạng hiện nay, nó đã trở thành một lỗ hổng nguy hiểm. Việc các nhà sản xuất bật mặc định UPnP ở cấp độ WAN khiến mạng gia đình của bạn dễ bị tấn công bởi malware, botnet và các hình thức khai thác khác, đặc biệt là khi thiếu cơ chế xác thực. Với sự phát triển của công nghệ và các giải pháp an toàn hơn cho game online như NAT punching, UPnP đã không còn quá cần thiết cho hầu hết người dùng. Để nâng cao bảo mật cho mạng gia đình, congnghemoi.net khuyến nghị bạn nên kiểm tra và tắt UPnP trên router của mình. Nếu có bất kỳ dịch vụ cụ thể nào cần mở cổng, hãy thiết lập port forwarding thủ công để đảm bảo kiểm soát tối đa và giảm thiểu rủi ro.
