Làm theo 7 mẹo sau đây để bảo mật bộ định tuyến gia đình và ngăn người khác xâm nhập vào mạng Wifi của bạn.

• Bộ định tuyến hoạt động như thế nào? 
• Modem khác gì với bộ định tuyến?
• WEP, WPA, WPA2 hay WPA3: Bạn đang dùng loại bảo mật Wifi nào?
• Giải thích các loại bảo mật Wifi: WEP, WPA, WPA2 và WPA3
• 5 lý do nên tạo mạng khách trên bộ định tuyến 

Nếu bạn thiết lập và sử dụng ngay bộ định tuyến, khả năng cao là nó không được an toàn. Có thể có người dùng trộm Wifi hoặc một lỗ hổng trong phạm vi bảo mật của bạn mà bạn không hề biết.

Để giảm thiểu nguy cơ xảy ra các vấn đề an ninh mạng, từ việc hàng xóm ăn cắp Wifi đến kẻ tấn công đột nhập vào mạng của bạn, hãy làm theo các bước đơn giản sau để đảm bảo an toàn cho mạng không dây.

1. Luôn truy cập bảng quản trị bộ định tuyến bằng Ethernet

Việc đăng nhập vào bảng quản trị của bộ định tuyến cũng đơn giản như mở trình duyệt web. Bạn chỉ cần nhập địa chỉ IP của nó (hoặc đôi khi là URL) và nhập tên người dùng và mật khẩu quản trị của bộ định tuyến.

Tuy nhiên, bạn không nên làm điều này trên kết nối không dây.

Khi đăng nhập vào bảng quản trị qua kết nối không dây, các thông tin xác thực đăng nhập đó sẽ được gửi qua mạng và có khả năng bị đánh chặn. Kết nối của bạn với trang quản lý bộ định tuyến của bạn không được mã hóa, vì vậy một thiết bị đang theo dõi lưu lượng truy cập trên mạng của bạn có thể thấy mật khẩu của bạn nếu bạn đăng nhập không dây. Ngoài ra còn có khả năng xảy ra các cuộc tấn công trung gian.

Nếu bạn chỉ đăng nhập khi được kết nối bằng Ethernet, bạn có thể loại bỏ rủi ro này.

Trên thực tế, nếu có thể, bạn nên vô hiệu hóa hoàn toàn quyền truy cập từ xa và để chế độ yêu cầu kết nối có dây để chỉnh sửa bất kỳ thứ gì. Bằng cách này, ngay cả khi một tin tặc có thể kết nối không dây với mạng của bạn, chúng sẽ không thể thay đổi bất cứ điều gì.

Một số bộ định tuyến cũng cho phép bạn quản lý chúng thông qua một trang web do nhà sản xuất cung cấp. Bạn nên tắt quyền truy cập từ xa này vì lý do tương tự. Tắt các tùy chọn này có nghĩa là chỉ một thiết bị đáng tin cậy trong nhà bạn, được kết nối bằng dây cáp, mới có thể thực hiện các thay đổi đối với mạng của bạn.

2. Thay đổi thông tin đăng nhập mặc định

Mỗi bộ định tuyến đều có tên người dùng và mật khẩu kết hợp mặc định cho bảng quản trị. Đây là cách bạn đăng nhập khi thực hiện thiết lập ban đầu của bộ định tuyến. Lưu ý rằng mật khẩu này khác với mật khẩu bạn sử dụng để kết nối các thiết bị với mạng của mình.

Bạn phải thay đổi mật khẩu mặc định của bộ định tuyến  càng sớm càng tốt.

Bạn có biết rằng có những trang web cung cấp thông tin đăng nhập quản trị viên mặc định theo model bộ định tuyến không? RouterPasswords.com là một trong những trang nổi tiếng nhất. Điều này có nghĩa là nếu kẻ tấn công biết bạn có loại bộ định tuyến nào và bạn chưa thay đổi thông tin đăng nhập quản trị viên, chúng có thể đột nhập mà không phải tốn công sức gì. 

Ngay cả khi ai đó không biết bạn có bộ định tuyến nào, họ thường có thể thực hiện một cuộc tấn công bằng cách chạy qua tất cả các tổ hợp tên người dùng/mật khẩu quản trị viên đã biết. Mà hầu hết các bộ định tuyến lại thường sử dụng các tổ hợp không an toàn, chẳng hạn như “admin” cho tên người dùng và “password” cho mật khẩu.

Do đó, bạn nên thay đổi tên người dùng/mật khẩu quản trị mặc định ngay khi có thể. Trên một số kiểu máy, bạn không thể thay đổi tên người dùng. Nhưng ít nhất, việc thay đổi mật khẩu sẽ ngăn bất kỳ ai thử các mật khẩu phổ biến để đột nhập.

3. Thay đổi SSID mặc định

Một cài đặt khác mà bạn nên thay đổi ngay lập tức là SSID của bộ định tuyến (tên công khai hiển thị khi bạn đang xem các mạng Wifi đang có xung quanh mình).

Nhiều bộ định tuyến đi kèm với SSID mặc định có thể tiết lộ thương hiệu và/hoặc kiểu máy của chúng. Ví dụ: một số bộ định tuyến Linksys có SSID mặc định kiểu Linksys-XYZ123 . Điều này cũng đúng đối với các model của Cisco, Belkin, Netgear, TP-Link và nhiều model khác.

Nếu một tin tặc biết bạn có loại bộ định tuyến nào, thì việc đột nhập của họ sẽ dễ dàng hơn một chút. Chẳng hạn, họ có thể sử dụng thông tin đó để nghiên cứu các lỗ hổng với model máy cụ thể của bạn. Vì vậy bạn nên thay đổi SSID của mình ngay lập tức.

4. Sử dụng các tiêu chuẩn mã hóa hiện đại

Mã hóa là một tính năng bắt buộc phải sử dụng trên bộ định tuyến. Bỏ qua việc sử dụng mã hóa cũng giống như mở tất cả cửa sổ và cửa ra vào: bất kỳ ai quan tâm cũng có thể biết mọi thứ bạn nói và làm.

Bạn nên xem lại cài đặt mã hóa Wifi của mình để đảm bảo rằng bạn không sử dụng giao thức lỗi thời. Tiêu chuẩn Wi-Fi mới nhất tại thời điểm viết bài là WPA3, mặc dù không phải tất cả các bộ định tuyến đều có tiêu chuẩn này. WPA2 vẫn có hiệu quả, nhưng WPA ban đầu đã lỗi thời. Nếu đây là lựa chọn duy nhất của bạn, bạn nên thay thế bộ định tuyến của mình.

Bảo vệ WPA có cả Cá nhân/Personal (cũng được liệt kê là PSK , viết tắt của “personal security key” – “khóa bảo mật cá nhân”) và Doanh nghiệp/Enterprise. Loại sau là để sử dụng trong cài đặt công ty, vì vậy bạn nên sử dụng cài đặt Cá nhân ở nhà.

Bạn không bao giờ nên sử dụng mã hóa WEP vì nó yếu và dễ bị bẻ khóa. Nếu bạn chỉ có thể sử dụng WEP trên bộ định tuyến của mình, hãy sớm mua thiết bị khác để thay thế.

Ngoài việc sử dụng WPA3 hoặc WPA2, hãy đảm bảo rằng bạn đang sử dụng mã hóa AES thay vì TKIP. TKIP thì tốt hơn là không có gì, nhưng AES mới và an toàn hơn, vì vậy bạn nên sử dụng nó nếu có. Lưu ý rằng mã hóa AES + TKIP cũng kém hiệu quả như TKIP, vì vậy bạn chỉ nên dùng AES.

Cuối cùng, thay đổi khóa WPA2/ WPA của bạn (là mật khẩu được sử dụng để kết nối với mạng không dây). Đảm bảo rằng bạn chọn một mật khẩu mạnh, không quá ngắn hoặc dễ đoán. Hãy nhắm mục tiêu tối thiểu 12 ký tự với sự kết hợp hợp lý giữa chữ thường, chữ hoa, số và các ký tự đặc biệt (như @,!,%, $ Và các ký tự khác).

5. Kích hoạt Tường lửa của Bộ định tuyến

Tường lửa kiểm tra dữ liệu mạng đến và chặn bất kỳ thứ gì được coi là không an toàn. Hầu hết các bộ định tuyến đều có một số loại tính năng tường lửa tích hợp, thường được gọi là Tường lửa SPI. Nó so sánh một phần của tất cả dữ liệu mạng đầu vào với một cơ sở dữ liệu và chỉ cho phép lưu lượng truy cập nào có thể “vượt qua bài kiểm tra” của nó.

Trên hầu hết các bộ định tuyến, tính năng này sẽ được bật theo mặc định, nhưng bạn vẫn nên kiểm tra để đảm bảo rằng nó được bật. Lưu ý rằng điều này có thể ảnh hưởng đến một số trò chơi trực tuyến. Nếu có, bạn có thể vượt qua nó bằng cách sử dụng chuyển tiếp cổng (port forwarding).

Cũng cần lưu ý rằng chỉ riêng tường lửa của bộ định tuyến là không đủ. Đôi khi dữ liệu độc hại có thể đi qua mà không bị phát hiện, đó là lý do tại sao bạn nên cài đặt tường lửa phần mềm trên thiết bị của mình như một lớp bảo vệ thứ hai.

6. Tắt các tính năng WPS và UPnP

WPS, viết tắt của Wi-Fi Protected Setup (Thiết lập được bảo vệ bằng Wi-Fi), giúp bạn dễ dàng thêm thiết bị mới vào mạng.Tất cả những gì bạn phải làm là bắt đầu kết nối WPS từ thiết bị của mình, sau đó nhấn nút WPS trên bộ định tuyến để thiết lập kết nối.

Tuy nhiên, WPS cũng có một phương pháp cho phép bạn sử dụng mã PIN để kết nối các thiết bị. Trên một số bộ định tuyến, mã PIN này không thể thay đổi được. Việc bẻ khóa mã PIN WPS tương đối dễ dàng vì nó được lưu trữ dưới dạng hai bộ bốn số riêng biệt. Tin tặc có thể dễ dàng và sử dụng những con số này.

Do đó, bạn nên tắt WPS. Bạn sẽ mất đi một chút tiện lợi, nhưng việc tăng cường bảo mật là đáng giá.

UPnP, hay Universal Plug and Play, cho phép tất cả các thiết bị trên mạng của bạn giao tiếp với nhau cho bất kỳ mục đích nào. Mặc dù thuận tiện nhưng UPnP có thể bị lợi dụng và vì vậy bạn nên vô hiệu hóa nó vì lý do bảo mật.

Nhược điểm chính của việc tắt UPnP liên quan đến việc chơi game trực tuyến. Bật UPnP cho phép bảng điều khiển của bạn truy cập bất kỳ cổng nào nó cần cho các trò chơi khác nhau. Khi tắt UPnP, bạn có thể thấy rằng một số trò chơi không hoạt động bình thường; bạn cũng có thể gặp sự cố với trò chuyện thoại hoặc chơi với một người dùng cụ thể.

Như đã đề cập ở trên, chuyển tiếp cổng (port forwarding) theo cách thủ công là một giải pháp cho vấn đề này.

7. Luôn cập nhật chương trình cơ sở (firmware) của bộ định tuyến

Một trong những lời khuyên bảo mật phổ biến nhất là luôn cập nhật mọi thứ, điều này cũng áp dụng cho các bộ định tuyến. Vì bộ định tuyến của bạn là thiết bị xử lý tất cả lưu lượng mạng đến và đi, bạn nên bảo mật nó bằng cách chạy các bản vá mới nhất.

Không nên sử dụng chương trình cơ sở lỗi thời vì hai lý do:

1. Nó có thể có các lỗ hổng bảo mật chưa được vá mà những kẻ tấn công có thể lợi dụng
2. Chương trình cơ sở mới hơn có thể có các tính năng hoặc cải tiến mới có thể ảnh hưởng đến bảo mật tổng thể.

Do đó, bạn nên cập nhật chương trình cơ sở.

Vài tháng một lần, bạn nên kiểm tra trang web của nhà sản xuất bộ định tuyến để biết các bản cập nhật chương trình cơ sở cho kiểu máy của bạn. Một số bộ định tuyến thậm chí còn cho phép bạn kiểm tra các bản cập nhật ngay trong bảng quản trị. Khi có bản cập nhật, hãy tải xuống và dùng nó trong cài đặt bộ định tuyến.

Bạn không cần phải làm điều này thường xuyên vì các chương trình cơ sở của bộ định tuyến thường cũng không thường được cập nhật. Và nếu bộ định tuyến của bạn đã cũ đến mức không nhận được bản cập nhật nữa thì có lẽ đã đến lúc thay nó.

Bảo mật bộ định tuyến gia đình

Các chỉnh sửa này chỉ mất vài phút để thực hiện và trong hầu hết các trường hợp sẽ không ảnh hưởng đến khả năng sử dụng mạng của bạn. Vì vậy, hãy áp dụng 7 mẹo này để bảo mật bộ định tuyến của bạn ngay nhé!

Dịch từ: https://www.makeuseof.com/tag/7-tips-make-wireless-network-secure/

Vân Nguyễn