Hướng dẫn bảo mật mạng và router tại nhà an toàn hơn

  • Bakco
  • 27/08/2020
  • Comments Off on Hướng dẫn bảo mật mạng và router tại nhà an toàn hơn
  • Góc tư vấn

Không phải tất cả các vấn đề bảo mật của router đều có thể được xử lý từ phía người dùng. Tuy vậy, có nhiều việc bạn có thể làm để bảo vệ thiết bị của mình khỏi các cuộc tấn công.

Ảnh minh họa. Nguồn Internet

Ảnh minh họa. Nguồn Internet

Router là một trong những thiết bị điện tử quan trọng nhất tại nhà nhưng nhiều người dùng máy tính không nhận ra tầm quan trọng của nó. Nó kết nối tất cả các thiết bị của người dùng với nhau và với thế giới Internet. Chính vì thế, nó là mục tiêu tấn công hàng đầu của tin tặc (hacker).

Thật không may, những bộ định tuyến dành cho gia đình và doanh nghiệp nhỏ thường đi kèm với rất nhiều cấu hình mặc định kém bảo mật, chứa những tài khoản cửa hậu (backdoor account) bí mật, chạy các dịch vụ lỗi thời (legacy service) và có firmware (phần mềm dành cho phần cứng) chứa nhiều lổ hổng bảo mật rất cơ bản. Một vài trong số những vấn đề này không thể được xử lý ở phía người dùng nhưng có nhiều việc bạn có thể thực hiện để ít nhất bảo vệ các thiết bị của bạn khỏi những cuộc tấn công tự động, quy mô lớn.

Đừng để bộ định tuyến của bạn trở thành mục tiêu dễ dàng tấn công của hacker.

1. Nhng thao tác cơ bn

– Hn chế s dng router được cung cp bi nhà mng (ISP). Những router này thường kém an toàn hơn những thiết bị được các nhà sản xuất bán cho người dùng. Chúng thường được nhúng các tài khoản hỗ trợ từ xa (hard-coded credential) người dùng không thể thay đổi và các bản vá lỗi (patch) cho các phiên bản firmware tuỳ chỉnh của chúng thường tụt hậu rất xa so với các bản vá cho các lổ hổng tương tự được phát hành bởi các nhà sản xuất router.

– Đi mt khu qun tr mc đnh. Hầu hết các bộ định tuyến đều có mật khẩu quản trị mặc định và những kẻ tấn công liên tục tìm cách xâm nhập vào thiết bị sử dụng các tài khoản công khai này. Sau khi bạn kết nối vào giao diện quản lý router ở lần đầu tiên thông qua trình duyệt – bạn sẽ tìm thấy địa chỉ IP mặc định để truy cập vào trang quản trị router ở mặt dưới của thiết bị hoặc trong sách hướng dẫn sử dụng – hãy chắc chắn việc đầu tiên bạn làm là đổi mật khẩu quản trị mặc định cho nó.

– Tt chc năng truy cp trang web qun lý router t xa thông qua Internet. Đối với hầu hết người dùng, việc quản lý router bên ngoài mạng LAN (Local Area Network) là không cần thiết. Nếu cần quản trị từ xa, bạn hãy xem xét đến việc sử dụng một giải pháp kết nối VPN (Vitural Private Network) để tạo kênh kết nối an toàn vào mạng nội bộ và sau đó truy cập vào giao diện quản trị router.

– Ngay c bên trong mng LAN, bn cũng nên gii hn đa ch IP (Internet Protocol) có th qun lý router. Nếu tuỳ chọn này có sẵn, tốt nhất bạn chỉ nên cho phép một địa chỉ IP nào đó không nằm trong dãy IP được gán cho các máy tính thông qua DHCP (Dynamic Host Configuration Protocol).

Ví dụ, bạn có thể cấu hình để máy chủ DHCP của router cấp phát các địa chỉ IP nằm trong dãy từ 192.168.0.1 đến 192.168.0.50 và sau đó cấu hình để chỉ cho phép địa chỉ IP 192.168.0.53 có thể truy cập vào giao diện quản lý web của router. Khi cần kết nối vào router, bạn chỉ việc gán địa chỉ IP này cho máy tính theo cách thủ công.

– Bt giao thc HTTPS đ truy cp vào giao din qun lý router, nếu có, và luôn luôn đăng xut khi bn đã xong vic. Hãy mở trình duyệt của bạn ở chế độ ẩn danh/riêng tư (Ingocnito Mode hay Private Mode) khi làm việc với router để trình duyệt không lưu lại các cookie của phiên làm việc (session) và đừng bao giờ cho phép trình duyệt lưu tên đăng nhập (username) và mật khẩu (password) quản trị router.

– Đi đa ch IP mng LAN ca router nếu có th. Hầu hết các bộ định tuyến đều được gán địa chỉ đầu tiên trên một netblock (một dãy các địa chỉ IP được Cơ quan đăng ký Internet khu vực (RIR) cấp phát cho một tổ chức nào đó trong một khu vực cụ thể trên thế giới) được định trước, chẳng hạn 192.168.0.1.

Nếu được cung cấp tuỳ chọn này, bạn hãy đổi nó thành 192.168.0.99 hoặc một địa chỉ khác dễ nhớ hơn và không thuộc dãy IP được cấp phát bởi DHCP.

– Đt mt khu WiFi tht phc tp và s dng giao thc bo mt mnh nht có th. WPA2 (Wi-Fi Protected Access II) là sự lựa chọn phù hợp nhất trong trường hợp này, vì các chuẩn cũ hơn như WPA và WEP thường dễ bị tấn công bằng phương thức brute-force. Nếu router có cung cấp tuỳ chọn này, bạn hãy tạo một mạng khách không dây, cũng được bảo mật bằng giao thức WPA2 và mật khẩu mạnh. Cho phép khách hoặc bạn bè sử dụng mạng khách riêng biệt đó thay vì mạng chính của bạn. Họ có thể không có ý định tấn công hệ thống của bạn nhưng các thiết bị của họ có thể bị xâm nhập hoặc bị nhiễm phần mềm độc hại.

– Vô hiu hoá WPS (Wi-Fi Protected Setup). Đây là chức năng hiếm khi được sử dụng và được thiết kế để giúp người dùng cài đặt mạng dễ dàng hơn bằng cách sử dụng mã PIN được in trên thân thiết bị. Tuy nhiên, một lổ hổng nghiêm trọng đã được tìm thấy trên rất nhiều các thiết bị có trang bị WPS trong những năm gần đây cho phép hacker có thể dễ dàng xâm nhập hệ thống mạng của người dùng. Bởi việc việc xác định dòng router và phiên bản firmware bị dính lổ hổng này là rất khó, tốt nhất bạn nên tắt nó trên các bộ định tuyến có hỗ trợ. Thay vào đó, bạn có thể kết nối với router thông qua dây mạng và truy cập vào trang quản lý của nó và, chẳng hạn, cấu hình giao thức WPA2 cho WiFi và đặt lại mật khẩu (không cần đến WPS).

– Hn chế s lượng dch v được router s dng đ kết ni Internet đến mc thp nht. Điều này đặc biệt đúng nếu bạn vẫn chưa tự mình kích hoạt những dịch vụ đó và không biết chúng là gì. Các dịch vụ như Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell), và HNAP (Home Network Administration Protocol) không nên được phép truy cập từ Internet vì chúng có thể để lộ các lổ hổng bảo mật nghiêm trọng. Bạn cũng nên tắt chúng trong mạng nội bộ nếu thấy chúng không cần thiết. Các dịch vụ trực tuyến như Shields UP được cung cấp bởi Gibson Research Corporation (GRC) có khả năng quét địa chỉ IP công khai (public) của router của bạn để tìm ra các cổng mở (open port). Shields Up cũng có thể quét UPnP riêng biệt.

– Luôn cp nht firmware mi nht cho router. Một số router cho phép bạn kiểm tra cập nhật firmware trực tiếp từ giao diện quản lý web của nó trong khi những thiết bị khác thậm chí còn có cơ chế cập nhật firmware tự động. Đôi khi, những cơ chế tự động này có thể bị lỗi do các nhà sản xuất thay đổi máy chủ. Do vậy, việc kiểm tra thường xuyên các bản cập nhật firmware mới cho router của bạn trên trang web của nhà sản xuất là rất cần thiết.

2. Nhng thao tác nâng cao

– Phân đoạn mạng (network segmentation) trong mạng máy tính là việc chia một mạng máy tính thành hai hay nhiều mạng con (subnetwork), mỗi mạng con được gọi là một segment. Ưu điểm của sự chia tách như vậy chủ yếu là để cải thiện hiệu suất và tăng cường an ninh.

Network segmentation có th được s dng đ cô lp các thiết b nguy him. Một số bộ định tuyến dành cho gia đình và doanh nghiệp nhỏ cung cấp sẵn tuỳ chọn này giúp người dùng tạo các mạng LAN ảo (VLAN – Virtual Local Area Network) bên trong một mạng riêng (private network) lớn hơn. Những mạng LAN ảo này có thể được sử dụng để cô lập các thiết bị vạn vật kết nối (IoT – Internet of Things), vốn được các nhà nghiên cứu liên tục cảnh báo là chứa đầy các lỗ hổng bảo mật.

Rất nhiều thiết bị IoT có thể được điều kiển bởi ứng dụng smartphone thông qua dịch vụ đám mây bên ngoài, miễn là chúng có kết nối Internet, những thiết bị này không nhất thiết phải giao tiếp trực tiếp với smartphone trên mạng nội bộ kể từ lần cài đặt đầu tiên.

Các thiết bị IoT thường đưa các giao thức quản trị kém bảo mật vào mạng nội bộ vì vậy một kẻ tấn công có thể dễ dàng xâm nhập vào những thiết bị như vậy từ một máy tính đã bị nhiễm phần mềm độc hại, nếu cả hai nằm trên cùng một mạng.

– Chn đa ch MAC đ các thiết b gi mo không th kết ni vào mng WiFi ca bn. Rất nhiều bộ định tuyến cho phép bạn giới hạn thiết bị nào được phép kết nối mạng WiFi dựa trên địa chỉ MAC của thiết bị. Kích hoạt chức năng này có thể ngăn chặn những kẻ tấn công khỏi việc kết nối vào mạng WiFi ngay cả khi chúng đã có mật khẩu. Yếu điểm của chức năng này là việc phải liệt kê địa chỉ MAC của tất cả các thiết bị hợp lệ và đưa nó vào danh những thiết bị được phép kết nối (whitelist) theo cách thủ công có thể là gánh nặng quản trị đối với các mạng lớn.

– Kết hp port forwarding vi IP filtering. Port forwarding (Chuyển tiếp mạng) là quá trình chuyển tiếp một port (cổng) cụ thể nào đó từ mạng này đến mạng khác. Kỹ thuật chuyển tiếp này cho phép người dùng bên ngoài có thể truy cập vào mạng nội bộ bằng cách sử dụng cổng đó từ bên ngoài thông qua bộ định tuyến đã mở chức năng Biên dịch địa chỉ mạng (NAT –  Network Address Translation).

IP filtering (Chặn IP) cũng tương tự như MAC filtering nhưng thay vì chặn địa chỉ MAC, IP filtering sẽ chặn địa chỉ IP.

Những dịch vụ chạy trên một máy tính được kết nối với một router không thể được kết nối từ Internet trừ khi các điều kiện (rule) port forwarding được chỉ định trên router. Một số phần mềm sẽ tìm cách mở port tự động thông qua UPnP, vốn dĩ không phải lúc nào cũng an toàn. Nếu UPnP bị vô hiệu hoá, các điều kiện này có thể được thêm bằng tay và một vài router cung cấp tuỳ chọn để chỉ định địa chỉ IP nguồn hoặc netblock có thể kết nối đến một cổng cụ thể để sử dụng một dịch vụ nhất định bên trong mạng này.

Ví dụ, nếu bạn muốn truy cập máy chủ FTP trên máy tính tại nhà từ nơi làm việc, bạn có thể tạo một điều kiện port forwarding cho cổng 21 (FTP) trên router của bạn nhưng chỉ cho phép các kết nối từ netblock IP của công ty bạn.

– Firmware tuỳ biến có th an toàn hơn firmware mc đnh ca nhà sn xut. Có rất nhiều dự án tuỳ biến firmware cộng đồng dựa trên nền tảng Linux cung cấp firmware cho hàng loạt router dành cho người dùng cá nhân. OpenWRT, DD-WRT và Asuswrt-Merlin (chỉ dành cho router Asus) chỉ là một vài trong số rất nhiều các dự án phổ biến dạng như vậy. Các firmware này thường cung cấp nhiều tính năng nâng cao và nhiều tuỳ chỉnh hơn firmware mặc định của nhà sản xuất và các nhà tuỳ biến chúng thường phát hành bản vá lỗi nhanh hơn so với các nhà cung cấp.

Bởi vì đây là những gói phần mềm dành cho những người đam mê, số lượng thiết bị được chúng hỗ trợ thấp hơn nhiều so với firmware được cung cấp bởi các nhà sản xuất. Tuy vậy, cũng chính điều đó làm cho các cuộc tấn công quy mô lớn trở nên ít hơn.

Tuy vậy, có một điều điều quan trọng bạn cần phải nhớ là việc tải và cài đặt phần mềm tuỳ biến cho một bộ định tuyến cần có kiến thức kỹ thuật nhất định. Ngoài ra, việc này sẽ làm thiết bị mất bảo hành và nếu thực hiện không đúng cách, bạn có thể làm thiết bị không thể sử dụng được nữa.