Router của bạn chính là cánh cửa kết nối giữa Mạng cục bộ (LAN) và thế giới Internet rộng lớn, do đó nó nên là tuyến phòng thủ đầu tiên cho quyền riêng tư của bạn. Tuy nhiên, các router thông thường, thậm chí cả những router tùy chỉnh chạy OPNsense, đều được thiết lập để giúp bạn truy cập internet chứ không phải để bảo vệ quyền riêng tư. Ngay cả khi bạn thực hiện một danh sách kiểm tra cơ bản về các bản vá bảo mật, mạng của bạn sẽ an toàn hơn, nhưng đó mới chỉ là một phần để giúp việc duyệt web của bạn riêng tư hơn.
Để đạt được điều đó, có một vài điều tôi luôn thay đổi mỗi khi thiết lập một router mới. Điều quan trọng nhất trong số này là thiết lập một máy chủ DNS tự lưu trữ có khả năng mã hóa DNS. Nếu không, Nhà cung cấp dịch vụ Internet (ISP) của bạn (hoặc Google) có thể xem các yêu cầu DNS của bạn và sử dụng dữ liệu đó cho quảng cáo được nhắm mục tiêu, điều mà không ai mong muốn. Có một số điểm trùng lặp với các biện pháp bảo mật tốt, và cũng có những điều bạn có thể thực hiện trên thiết bị của mình để bảo vệ quyền riêng tư, như tắt tính năng gửi dữ liệu Telemetry hay sử dụng trình duyệt tập trung vào quyền riêng tư.
1. Tự host máy chủ DNS riêng (Giải pháp DNS mã hóa)
Bảo vệ quyền riêng tư với DNS mã hóa, loại bỏ sự theo dõi của ISP
Không có gì đáng ngạc nhiên khi ISP của bạn đang theo dõi bạn, cũng như Google, MSN và có thể mọi trang web bạn truy cập. Ít nhất thì việc thông tin cá nhân của chúng ta dễ dàng bị sử dụng cho quảng cáo nhắm mục tiêu và các mục đích khác là điều đáng lo ngại. Tuy nhiên, khi biết điều đó, bạn có thể lên kế hoạch các biện pháp đối phó để giảm thiểu lượng thông tin nhận dạng bị rò rỉ khi bạn sử dụng internet.
Đó là lý do tại sao điều đầu tiên tôi thay đổi trên bất kỳ router nào là các máy chủ DNS, cụ thể là chuyển sang máy chủ DNS mà tôi tự lưu trữ. Đó có thể là Unbound, Technitium, hoặc Pi-hole được thiết lập với DNSCrypt, nhưng đây là điều không thể bỏ qua vì các yêu cầu DNS được mã hóa sẽ ngăn ISP theo dõi. Nếu bạn có một hệ thống Wi-Fi lưới Eero, Eero Secure cũng cung cấp cho bạn các bản ghi DNS được mã hóa (lọc tất cả các yêu cầu DNS gửi đi, ngay cả những yêu cầu không được trỏ tới máy chủ DNS của Eero), nhưng bạn phải chấp nhận việc Amazon chịu trách nhiệm về điều đó, và đó là một trở ngại lớn đối với nhiều người.
Bạn không nhất thiết phải sử dụng DNSCrypt; DNS-over-TLS (DoT) và DNS-over-HTTPS (DoH) cũng hoạt động nếu máy chủ DNS của bạn hỗ trợ chúng. Bạn cũng sẽ muốn có hỗ trợ DNSSEC để trình phân giải DNS của bạn có thể tin cậy vào các kết quả mà nó nhận được. Nếu không được mã hóa, mọi người trên mạng Wi-Fi cục bộ của bạn, ISP của bạn và các nhà cung cấp dịch vụ trung chuyển đều có thể xem dữ liệu chứa trong các truy vấn và phản hồi DNS của bạn, bao gồm cổng UDP được sử dụng, địa chỉ IP và URL liên quan, liệu có lưu lượng HTTPS nào xảy ra hay không (được chỉ ra khi truy cập các trang khác trên URL đó), v.v.
Các truy vấn DNS không được mã hóa có thể bị tấn công, điều này thường được ISP thực hiện để chuyển hướng người dùng đến các trang quảng cáo hoặc chặn nội dung mà họ không muốn họ xem. Bất kỳ tường lửa nào trên đường truyền cũng có thể chặn, ngăn chặn hoặc sửa đổi lưu lượng DNS, vì vậy việc giữ nó được mã hóa bằng DoT hoặc DoH là rất cần thiết cho quyền riêng tư trên web. Các dịch vụ như Cloudflare DNS và Quad9 hỗ trợ mã hóa trong khi vẫn có chính sách không lưu nhật ký, giúp danh tính của bạn được giữ kín. Và vì bạn đang chạy trình phân giải DNS, bạn có thể chặn các trình theo dõi đã biết, tên miền chứa mã độc và thậm chí cả quảng cáo.
2. Vô hiệu hóa UPnP, NAT-PMP và WPS
Loại bỏ các lỗ hổng bảo mật tiềm ẩn trên router
Tôi không biết bạn thế nào, nhưng đối với tôi, quyền riêng tư cũng có nghĩa là không để “cánh cửa” mở cho những kẻ tấn công nhìn ngó. Thật không may, nhiều router phổ thông có các tính năng được bật theo mặc định, khiến kẻ tấn công dễ dàng xâm phạm quyền riêng tư của mạng gia đình bạn, và những tính năng đó cũng nằm trong danh sách những điều tôi cần thay đổi.
Người dùng cầm router TP-Link, biểu tượng cho việc bảo mật mạng gia đình
May mắn thay, Wi-Fi Protected Setup (WPS) không còn tồn tại trên hầu hết các thiết bị mới hơn. Tuy nhiên, nó vẫn khả dụng và tạo ra một cách dễ dàng để kẻ tấn công bẻ khóa mật khẩu Wi-Fi của bạn, vì mã PIN sáu chữ số dễ bị tấn công hơn nhiều so với một mật khẩu dài. Hãy tắt nó đi, sau đó tắt UPnP và NAT-PMP (nếu router của bạn hỗ trợ), bởi vì chúng khiến bất kỳ thiết bị IoT nào trong mạng của bạn, có thể đã bị kéo vào mạng botnet bởi phần mềm độc hại, dễ dàng mở cổng ra internet.
3. Cách ly mạng khách (Guest Network)
Đảm bảo an toàn cho mạng chính khỏi khách truy cập
Ngay cả khi bạn không chạy VLAN cho các thiết bị IoT của mình để chúng không thể truy cập dữ liệu trên máy tính chính của bạn, bạn vẫn nên thiết lập một mạng khách cho bất kỳ khách truy cập nào muốn sử dụng internet của bạn. Đây là một phần của việc làm chủ nhà tốt, nhưng bạn không phải hy sinh quyền riêng tư của mình bằng cách cung cấp mật khẩu mạng Wi-Fi chính.
Giao diện cấu hình router để tạo mạng khách riêng biệt và cách ly
Để điều này thực sự hiệu quả, bạn sẽ muốn bật tính năng Client Isolation hoặc AP Isolation (tùy thuộc vào cách nhà sản xuất router của bạn đặt tên), để bất kỳ thiết bị khách nào cũng sẽ không thể nhìn thấy các thiết bị của bạn hoặc kết nối với nhau. Mạng khách đơn giản là để họ không phải sử dụng hết dữ liệu di động khi ở nhà bạn, và bạn có thể thêm giới hạn băng thông để đảm bảo tất cả khách của bạn đều có dịch vụ chấp nhận được, và xóa mạng khi mọi người về nhà, để họ không thể kết nối với mạng của bạn trừ khi bạn biết họ đang sử dụng nó.
4. Tắt hỗ trợ thiết bị cũ (Legacy Device Support)
Loại bỏ các giao thức Wi-Fi không an toàn
Wi-Fi đã phát triển đáng kể kể từ khi ra đời, và mạng gia đình của bạn sẽ không riêng tư nếu bạn vẫn còn các thiết bị cũ được kết nối. Các giao thức cũ này bao gồm WEP, WPA và TKIP, và chúng không nên được sử dụng trên router gia đình của bạn. Bảo mật Wi-Fi tốt nhất bạn có thể sử dụng là WPA3 với AES, mà bạn nên tìm kiếm khi lên kế hoạch mua router tiếp theo.
Ổ cắm thông minh Kasa Wi-Fi Plug Mini, minh họa thiết bị IoT cần được bảo mật
Tuy nhiên, điều quan trọng là phải tìm kiếm bất kỳ thiết bị nào bạn có thể không thể sử dụng WPA3. Bất cứ thứ gì sử dụng mã hóa WEP hoặc TKIP đều khiến bạn có cảm giác an toàn giả tạo vì các công cụ bẻ khóa Wi-Fi có thể phá vỡ chúng trong vài phút. WPA3 bao gồm các tính năng loại bỏ cách thức kẻ tấn công có thể tìm ra mật khẩu dựa trên dữ liệu bắt tay hoặc buộc các thiết bị rời khỏi mạng để liên tục lấy dữ liệu bắt tay mà chúng cần.
Bật WPA3 trên bất kỳ router Wi-Fi mới nào là một trong những điều đầu tiên tôi làm, và rất dễ thực hiện vì nó được thực hiện cùng lúc với việc thêm mật khẩu Wi-Fi và chọn băng tần không dây nào đang được sử dụng. Tôi cũng sẽ tắt hỗ trợ 802.11a/b/g/n vì hầu hết mọi thiết bị trên mạng của tôi đều sử dụng Wi-Fi 5 trở lên, và tôi đã thay thế hầu hết các thiết bị chỉ sử dụng 2.4GHz. Điều đó không làm cho nó riêng tư hơn, nhưng nó cho tôi thấy những thiết bị cũ hơn mà tôi thực sự nên thay thế, vì chúng thường sử dụng các phương pháp không an toàn làm chậm phần còn lại của mạng của tôi.
Những bước này mới chỉ là khởi đầu để giữ thông tin của bạn riêng tư trực tuyến
Giữ dữ liệu và mạng của bạn riêng tư là một nhiệm vụ không ngừng khi các công ty và cá nhân tạo ra những cách thức mới để truy cập dữ liệu của chúng ta. Điều cần thiết là phải biết lý do tại sao phải tắt các cài đặt mặc định hoặc cài đặt phần mềm mới, vì các công cụ thay đổi, nhưng các nguyên lý cơ bản thì không. Mã hóa là tốt, nhưng nó cần được sử dụng ở mọi phần của chuỗi, từ trình duyệt web đến các yêu cầu DNS, và mọi phân đoạn mạng ở giữa. Các phương pháp bảo mật vật lý cũng có những đối tác kỹ thuật số, và việc tìm ra những phương pháp phù hợp với bạn quan trọng hơn việc sử dụng các tùy chọn phổ biến nhất. Và trên hết, hãy thường xuyên kiểm tra xem liệu các phương pháp thu thập dấu vân tay số mới đã được phát triển hay chưa và cách để vượt qua chúng.
Máy tính Samsung Galaxy Chromebook hiển thị trang web, tượng trưng cho việc bảo vệ dữ liệu trực tuyến
Để cập nhật thêm các thủ thuật công nghệ hữu ích và bảo mật mạng, đừng quên theo dõi 123thuthuat.com! Hãy chia sẻ bài viết này để giúp mọi người bảo vệ quyền riêng tư trực tuyến của mình nhé!
