Trong những ngày đầu sơ khai của Internet, khi việc thiết lập mạng tại nhà còn là một thách thức phức tạp, mỗi thiết bị trên mạng của bạn đều có một địa chỉ IP công khai. Điều này giúp dễ dàng triển khai các máy chủ game, FTP server và nhiều dịch vụ khác. Mặc dù tiện lợi, nhưng hệ thống này tiềm ẩn rủi ro về việc thiết bị bị lộ ra ngoài Internet và quan trọng hơn là vấn đề cạn kiệt địa chỉ IPv4.
Để giải quyết vấn đề này, Công nghệ Dịch địa chỉ Mạng (NAT) đã ra đời. Về cơ bản, NAT giúp các thiết bị trong mạng gia đình của bạn trông giống như có IP tĩnh đối với các dịch vụ trên Internet, trong khi thực tế bạn chỉ có một địa chỉ IPv4 duy nhất cho router. Tuy nhiên, việc cấu hình NAT vẫn khá phức tạp, và đó là lúc UPnP (Universal Plug and Play) xuất hiện để tự động hóa quá trình khám phá và thiết lập mạng một cách liền mạch.
Zero-configuration (không cần cấu hình) là một lợi ích lớn cho người dùng, cho đến khi nó trở thành một vấn đề. Các nhà sản xuất router Wi-Fi đã tạo ra một lỗ hổng bảo mật nghiêm trọng khi cho phép UPnP hoạt động ở cấp độ WAN (mạng diện rộng). Ban đầu, UPnP được thiết kế để chỉ hoạt động trong mạng nội bộ (LAN) của bạn, giúp duy trì an toàn. Nhưng với quyền truy cập WAN, các thiết bị có thể tự động mở cổng trực tiếp ra Internet mà không cần sự chấp thuận hay thậm chí là sự biết của bạn. Mặc dù một số dịch vụ cũ và console chơi game vẫn yêu cầu bật UPnP cho chế độ chơi mạng, nhưng để an toàn hơn, bạn (gần như luôn) nên tắt nó đi.
UPnP: Tính năng “Cắm và Chạy” tiện lợi nhưng tiềm ẩn rủi ro bảo mật nghiêm trọng
Vì sao các nhà sản xuất router thường bật UPnP mặc định?
Universal Plug and Play (UPnP) là một tính năng tuyệt vời về mặt lý thuyết. Khả năng cho phép các thiết bị được kết nối mạng tự động tìm thấy nhau, và các máy chủ từ xa mà chúng cần để trao đổi dữ liệu thiết yếu, là một bước tiến vượt bậc. UPnP kết hợp TCP/IP, HTTP, XML và SOAP để tự động mở và đóng các cổng thông qua router và tường lửa của bạn, cho phép các thiết bị giao tiếp trực tiếp. Điều này giúp mọi thứ từ thiết bị IoT, loa thông minh, dịch vụ streaming cho đến máy chủ game kết nối và nhận dữ liệu mà người dùng không cần bất kỳ thao tác cấu hình nào.
Chính quy trình cài đặt “zero setup” (không cần thiết lập) này cũng là điểm yếu lớn nhất của UPnP, bởi vì nó không có bất kỳ cơ chế kiểm tra hoặc cân bằng nào để ngăn chặn các thiết bị độc hại hoặc phần mềm sử dụng UPnP để mở bất kỳ cổng nào cần thiết và lợi dụng mạng gia đình của bạn để gửi dữ liệu ra ngoài hoặc kết hợp các thiết bị của bạn thành một mạng botnet để tấn công các máy chủ khác. UPnP hoàn toàn không sử dụng bất kỳ hình thức xác thực nào, điều này sẽ không thành vấn đề nếu nó chỉ xử lý các thiết bị trong mạng LAN của bạn. Tuy nhiên, nhiều router lại cho phép UPnP tiếp xúc với phía WAN, và đó chính là nguồn gốc của rắc rối lớn.
Tắt UPnP sẽ giúp mạng gia đình của bạn an toàn hơn. Bạn có thể nhận thấy một hoặc hai thiết bị hoặc dịch vụ gặp sự cố sau đó, nhưng việc cấu hình chuyển tiếp cổng (port forwarding) thủ công cho từng dịch vụ cụ thể đó tương đối đơn giản, thay vì để toàn bộ mạng của bạn bị kiểm soát bởi bất cứ thứ gì.
Mất kiểm soát mạng: Nguy cơ từ thiết bị IoT và Malware
Hậu quả của việc thiếu kiểm soát cổng mạng
Lý do lớn nhất để tắt UPnP ngay lập tức là nó làm giảm đáng kể khả năng kiểm soát của bạn đối với mạng gia đình, dữ liệu di chuyển trong đó, và dữ liệu đi vào hoặc ra khỏi mạng. Điều này giống như việc bạn ném chìa khóa xe cho người phục vụ, nhưng không có ông chủ nào giám sát UPnP để đảm bảo họ không lái xe đi chơi. Đó là tất cả. Không có sự kiểm soát từ tường lửa, các phần mềm hoặc phần cứng bảo mật khác của bạn, hay từ chính bạn để ngăn chặn nó kết nối với các IP có khả năng không an toàn.
Đã từng có thời điểm, thiết bị mạng gia đình phải cân bằng giữa bảo mật và sự tiện lợi, một mối lo ngại ít được quan tâm. Tuy nhiên, điều này không còn cần thiết nữa, vì các nhà phát triển có trách nhiệm đã tìm ra cách kết nối với máy chủ từ xa mà không làm lộ mạng gia đình trước các cuộc tấn công tiềm ẩn. Bạn có thể tin rằng máy chơi game của mình sẽ không gọi ra các máy chủ không đáng tin cậy, nhưng làm sao bạn biết rằng mình không có phần mềm độc hại? Thiết bị IoT mà bạn vừa cắm vào có thể dễ dàng gửi rất nhiều dữ liệu trở lại bất cứ đâu nếu nó có triển khai UPnP không an toàn hoặc nếu nó được thiết kế cố ý như vậy.
Ngay cả khi tất cả các thiết bị mạng của bạn không sử dụng UPnP, chỉ việc bật nó trên router cũng có thể đồng nghĩa với việc kẻ tấn công có thể xâm nhập vào mạng gia đình của bạn. Đã có rất nhiều vụ việc như vậy xảy ra, biến hàng ngàn router, máy in và các thiết bị khác thành botnet để tấn công các dịch vụ internet khác.
Malware và các cuộc tấn công mạng lợi dụng UPnP để lây lan
UPnP: Công cụ đắc lực của tội phạm mạng
Với cách thiết kế của UPnP, việc tự động mở cổng ra Internet rộng lớn giúp cuộc sống dễ dàng hơn cho cả nhà phát triển và người dùng. Nhưng quy trình tự động đó cũng là một “món hời” cho các hacker, và có rất nhiều trường hợp UPnP đã được chứng minh là có thể bị khai thác, hoặc thực sự đã được sử dụng để tấn công các hệ thống. Vào năm 2020, Ars Technica đã báo cáo về một cuộc tấn công proof-of-concept có thể sử dụng UPnP để biến hàng triệu thiết bị thành botnet để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Các cuộc tấn công khác đã sử dụng các triển khai UPnP kém trong chip Broadcom để biến 100.000 router thành botnet.
Nếu bạn nhớ lại năm 2019, có thể bạn sẽ nhớ một cuộc tấn công quy mô lớn vào các thiết bị Chromecast và máy in, hiển thị các video YouTube của game thủ nổi tiếng PewDiePie. Cuộc tấn công đó cũng có thể thực hiện được nhờ UPnP trên router cho phép các máy tính phía WAN thiết lập chuyển tiếp cổng. Mặc dù nó không được thực hiện một cách độc hại, nhưng rất dễ dàng để biến nó thành một vấn đề lớn.
UPnP đã trở nên lỗi thời đối với hầu hết các nhu cầu hiện nay
Các giải pháp chơi game trực tuyến hiện đại an toàn hơn
Trong những ngày đầu của game online, máy tính của bạn thường kết nối trực tiếp với những người chơi khác hoặc với máy chủ game. Đây có lẽ không phải là cách tốt nhất, vì nó làm lộ thiết bị của bạn cho bất kỳ ai có thể tìm thấy địa chỉ IP của bạn. Sau đó, NAT và UPnP ra đời, cả hai đều phối hợp để làm cho mạng gia đình của bạn an toàn nhất có thể, trong khi vẫn có thể kết nối với máy chủ game để chơi với những người dùng khác. Tuy nhiên, đó vẫn không phải là cách an toàn nhất, vì vậy mô hình đã được thay đổi.
Giao diện khởi động chế độ nhiều người chơi trong Minecraft
Ngày nay, hầu hết các máy chủ game sử dụng kỹ thuật NAT punching để kết nối người chơi với nhau. Kỹ thuật này sử dụng một máy chủ trung gian hoặc đôi khi là máy chủ relay để vượt qua NAT của mỗi mạng gia đình mà không cần UPnP hoặc chuyển tiếp cổng. Đôi khi, điều này có thể gặp vấn đề về kết nối, như bất kỳ ai đã chơi một tựa game Call of Duty với loại NAT Strict đều biết. Nhìn chung, các loại NAT Moderate hoặc Open không gặp vấn đề gì khi NAT punching hoạt động bình thường, và điều này có nghĩa là game thủ có thể tắt UPnP trong router của họ.
Tại sao bạn có thể tắt UPnP mà không gặp vấn đề lớn?
Mặc dù đúng là hàng triệu router dân dụng đang bật UPnP theo mặc định và đại đa số chúng vẫn hoạt động bình thường, nhưng đây vẫn là một rủi ro bảo mật tiềm tàng. Trên các router cũ hơn, UPnP có thể cho phép kẻ tấn công bên ngoài xâm nhập vào mạng gia đình của bạn chỉ bằng cách sử dụng chính chức năng mà UPnP được thiết kế để làm. Không phải lỗi của giao thức khi một số router cho phép máy tính phía WAN truy cập UPnP, nhưng việc tắt nó vẫn rất đáng giá. Công nghệ mạng hiện đại sử dụng các phương pháp khác để kết nối với máy chủ từ xa, giúp mạng gia đình của bạn an toàn hơn, và UPnP phần lớn là không cần thiết nữa. Nếu bạn thấy việc tắt UPnP khiến một số ứng dụng, dịch vụ hoặc thiết bị của bạn ngừng hoạt động bình thường, bạn có thể tìm hiểu những cổng nào bạn cần mở trong tường lửa của mình để chỉ những dịch vụ đó mới có thể giao tiếp với thế giới bên ngoài.
Lời khuyên từ 123thuthuat.com: Bảo mật mạng gia đình là yếu tố then chốt trong thế giới công nghệ hiện nay. Việc chủ động tìm hiểu và cấu hình các tính năng như UPnP sẽ giúp bạn bảo vệ dữ liệu cá nhân và thiết bị của mình khỏi các mối đe dọa tiềm ẩn. Hãy kiểm tra cài đặt router của bạn ngay hôm nay để đảm bảo an toàn tối đa! Bạn có muốn tìm hiểu thêm về các mẹo bảo mật mạng khác không? Hãy để lại bình luận bên dưới hoặc chia sẻ bài viết này để nâng cao nhận thức cộng đồng nhé!
