Trong suốt quá trình sử dụng Internet, tôi đã trải nghiệm nhiều loại router khác nhau, từ những chiếc router do nhà cung cấp dịch vụ Internet (ISP) cung cấp với các dịch vụ bị khóa chặt, cho đến những thiết bị tôi đã giữ lại lâu hơn mức cần thiết. Tuy nhiên, trên mọi router mà tôi có thể thay đổi cài đặt, tôi luôn thực hiện một loạt các điều chỉnh bảo mật cốt lõi trước khi bắt đầu sử dụng Internet. Những cài đặt cơ bản này có vai trò quan trọng trong việc tăng cường bảo mật mạng gia đình của bạn, giúp ngăn chặn truy cập từ các botnet, các cuộc tấn công tự động và nhiều mối đe dọa khác.
Dù bạn đang cân nhắc mua một router mới hay muốn tiếp tục sử dụng thiết bị hiện tại, những cài đặt bảo mật này là điều bắt buộc. Nếu bạn chưa từng thực hiện bất kỳ điều chỉnh nào trong số này, thì không bao giờ là quá muộn để bắt đầu. Hầu hết các cài đặt bảo mật này còn có khả năng ngăn chặn truy cập ngay cả khi một phần mềm độc hại nào đó đã xâm nhập vào mạng của bạn. Chúng cũng không giới hạn ở bất kỳ nhà sản xuất router hoặc phiên bản Wi-Fi cụ thể nào. Vì vậy, đừng lo lắng nếu bạn chưa có router Wi-Fi 7; bạn vẫn có thể áp dụng các cài đặt này để làm cho mạng của mình an toàn hơn đáng kể.
1. Thay Đổi Mật Khẩu Đăng Nhập Mặc Định Của Router
Đừng Bao Giờ Để Thông Tin Đăng Nhập Router Với Mật Khẩu Mặc Định
Dù bạn có được router từ đâu, rất có thể nó đang sử dụng một mật khẩu mặc định cực kỳ dễ đoán và kém an toàn. Gần như chắc chắn đó sẽ là một sự kết hợp như admin / 123456 hoặc tương tự, bởi vì các nhà sản xuất router thường thiết lập phần cứng của họ với các cài đặt mặc định dễ dàng để quá trình cài đặt trở nên thuận tiện hơn cho người dùng hoặc kỹ thuật viên. Sự kết hợp tên người dùng và mật khẩu mặc định này cần được xem như một tin nhắn tự hủy chứ không phải là một lá chắn bảo mật hàng ngày.
Điều đầu tiên tôi thay đổi trước khi điều chỉnh các cài đặt Wi-Fi, và thường là trước khi cắm router vào cổng Internet, chính là thông tin đăng nhập mặc định. Bằng cách này, ngay khi router được kết nối với thế giới bên ngoài, nó sẽ không thể bị quét cổng tự động (port-scanned), bị đăng nhập trái phép và trở thành một phần của botnet. Nếu bạn chỉ có thể làm một điều gì đó để tăng cường bảo mật router, thì hãy làm ơn thay đổi thông tin đăng nhập mặc định này.
2. Cập Nhật Firmware Cho Router
Khắc Phục Các Lỗ Hổng Bảo Mật Nhanh Chóng Bằng Bản Nâng Cấp Firmware
Giao diện cập nhật firmware FreshTomato trên router ASUS RT-AC66U
Sau khi thiết lập thông tin đăng nhập duy nhất, bước tiếp theo là cập nhật firmware của router. Bạn không thể biết chiếc router đó đã nằm trên kệ bao lâu, và có thể đã có rất nhiều lỗi bảo mật nghiêm trọng được khắc phục trong khoảng thời gian đó. Nếu router của bạn sử dụng ứng dụng di động, quy trình này sẽ rất đơn giản, thường thì ứng dụng sẽ tự động thông báo và bắt đầu quá trình cập nhật chỉ với vài thao tác. Nếu không, hãy truy cập trang hỗ trợ của router trên trang web của nhà sản xuất và tải xuống firmware mới nhất.
Bạn có thể sẽ phải đăng nhập vào giao diện web (web GUI) của router, điều hướng đến phần cập nhật, sau đó tải lên tệp firmware, để thiết bị tự động cập nhật và khởi động lại. Việc này sẽ giúp bảo vệ router của bạn khỏi các cuộc tấn công zero-day (tấn công khai thác lỗ hổng chưa được biết đến), đồng thời có thể khắc phục một số lỗi về tính năng hoặc thậm chí bổ sung các tính năng mới.
3. Thay Đổi Tên Mạng (SSID) và Mật Khẩu Wi-Fi
Tên Mạng và Mật Khẩu Mặc Định Thường Rất Dễ Đoán Hoặc Dễ Bị Lộ
Tiếp theo là thay đổi tên mạng (SSID) và mật khẩu Wi-Fi mặc định sang một cái gì đó an toàn hơn. Đây là một trong những cài đặt quan trọng nhất bên trong router của bạn, vì các giá trị mặc định thường được tạo ra từ SSID hoặc địa chỉ MAC, hoặc thậm chí là một chuỗi ký tự dễ đoán hơn nhiều. Hãy sử dụng một tên SSID duy nhất để hàng xóm của bạn không vô tình cố gắng kết nối vào mạng của bạn, và tôi khuyên bạn không nên đặt tên quá hài hước, mặc dù bạn có thể làm vậy nếu muốn. Nhiều router có thể ẩn SSID, nhưng tôi không khuyến nghị sử dụng tính năng này. Nó gây bất tiện khi bạn cố gắng kết nối các thiết bị của mình, và bất kỳ ai quét mạng Wi-Fi đều có thể dễ dàng tìm thấy nó.
Hầu hết các router hiện nay thường kết hợp các băng tần 2.4GHz, 5GHz (và 6GHz nếu có) vào một SSID duy nhất, nhưng nếu không, sẽ có một tùy chọn gọi là Smart Connect để thực hiện điều đó. Và quan trọng nhất, hãy sử dụng một mật khẩu Wi-Fi dài, vì điều đó luôn đảm bảo an toàn hơn. Mật khẩu không nhất thiết phải chứa chữ hoa, số hoặc ký tự đặc biệt, và thực tế là bạn không nên sử dụng ký tự đặc biệt trong cả SSID hoặc mật khẩu vì chúng có thể gây ra một số vấn đề tương thích.
4. Thiết Lập Mã Hóa Mạnh Nhất Có Thể
Hầu Hết Các Router Mới Sẽ Hỗ Trợ WPA3, Trong Khi Các Thiết Bị Cũ Hơn Có Thể Là WPA2-AES
Giao diện cài đặt Wi-Fi của router TP-Link Archer BE800 Wi-Fi 7 trên trình duyệt web
Khi thay đổi SSID và mật khẩu khỏi các giá trị mặc định, việc sử dụng giao thức bảo mật mạnh nhất có sẵn là vô cùng quan trọng. Hầu hết các router hiện đại sẽ được thiết lập với chuẩn WPA3, mặc dù bạn có thể sử dụng WPA2-AES hoặc WPA3+WPA2 nếu cần khả năng tương thích với các thiết bị cũ hơn. Dù bạn chọn tùy chọn nào trong số đó, tuyệt đối không sử dụng WEP hoặc WPA-TKIP, vì những chuẩn này rất dễ bị bẻ khóa chỉ trong vài phút, và bạn có thể coi như mạng Wi-Fi của mình không có mật khẩu vậy.
5. Vô Hiệu Hóa Quản Lý Từ Xa, UPnP và WPS
Đừng Để Mọi Nỗ Lực Bảo Mật Khác Trở Nên Vô Nghĩa
Người dùng đang cầm một router TP-Link
Nếu router của tôi có tính năng truy cập từ xa để quản lý (còn gọi là WAN administration), đó cũng là một trong những điều đầu tiên tôi thay đổi. Tôi không biết bạn thế nào, nhưng số lần tôi cần thay đổi cài đặt router khi không có ở nhà là rất ít, và ngay cả khi có, tôi thà VPN vào mạng để đăng nhập như thể tôi đang ở nhà. Đây là một lỗ hổng bảo mật không cần thiết đổi lấy sự tiện lợi, mà tôi cảm thấy thường được bật mặc định để các kỹ thuật viên ISP có thể đăng nhập. Hầu hết thời gian, bạn không cần điều đó xảy ra.
Một số router tôi từng sử dụng, như bộ mesh Eero của tôi, chỉ cho phép thay đổi cài đặt thông qua ứng dụng, và khi đó tính năng quản lý WAN vẫn được bật vì không có tùy chọn để tắt nó. Tôi thực sự hy vọng rằng Eero có một đường hầm bảo mật an toàn trở lại router trong trường hợp đó.
Các cài đặt cuối cùng tôi thay đổi trên bất kỳ router nào phụ thuộc vào việc chúng có tồn tại hay không. WPS (Wi-Fi Protected Setup) có một nút trên router giúp kết nối Wi-Fi đơn giản, vì nó sử dụng mã PIN ngắn thay vì mật khẩu Wi-Fi đã được bạn chọn kỹ lưỡng. Điều đó có nghĩa là việc bẻ khóa nó không cần nhiều công sức, và một tính năng được thiết kế để tiện lợi lại trở thành một lỗ hổng bảo mật lớn mà bạn nên bịt lại.
Nếu router của bạn có UPnP (Universal Plug and Play) hoặc NAT-PMP (NAT Port Mapping Protocol) được bật, chúng cũng có thể được tắt. Một lần nữa, đây từng là những công cụ hữu ích, nhưng sau đó các nhà sản xuất router lại quyết định bật chúng ở cấp độ WAN, cho phép các thiết bị cấu hình sai hoặc độc hại mở cổng thông qua tường lửa của bạn và cho phép lưu lượng truy cập đi vào. Bạn sẽ an toàn hơn nếu không sử dụng chúng, và các công nghệ mạng hiện đại không còn phụ thuộc vào chúng như các thiết bị cũ.
Mọi Router Mới Tôi Sử Dụng Đều Được Áp Dụng Các Thay Đổi Này Trước Tiên
Dù tôi đang sử dụng thiết bị mạng cấp độ prosumer, một router OPNsense tự xây dựng với nhiều sức mạnh plugin, hay một mạng mesh, việc thay đổi các cài đặt này trước khi làm bất cứ điều gì khác mang lại cho tôi một nền tảng bảo mật vững chắc để xây dựng. Không phải router nào cũng có mọi tùy chọn này, vì WPS và NAT-PMP gần như đã bị loại bỏ, và việc quản trị dựa trên ứng dụng của các router khác khiến việc quản trị WAN ít nguy hiểm hơn. Nhưng nếu bạn bắt đầu với danh sách này và thay đổi hoặc vô hiệu hóa càng nhiều tùy chọn càng tốt, mạng gia đình của bạn sẽ an toàn hơn đáng kể ngay từ đầu. Hãy luôn kiểm tra và cập nhật các cài đặt bảo mật cho router để bảo vệ dữ liệu và sự riêng tư của bạn. Bạn đã thực hiện bao nhiêu trong số các cài đặt này? Hãy chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới!
