Mỗi khi thiết lập lại mạng gia đình, tôi đều thực hiện một danh sách kiểm tra để đảm bảo các yếu tố bảo mật cơ bản được thiết lập. Dù là để sử dụng các bộ định tuyến Wi-Fi 7 mới nhất hay xây dựng một router và tường lửa tùy chỉnh chạy OPNsense, những bước này luôn là nền tảng vững chắc cho mọi thứ sau đó. Một phần của bảo mật mạng cũng nằm ở việc không chạy bất kỳ mối đe dọa tiềm ẩn nào trên máy tính của bạn. Hãy cẩn trọng khi tải xuống tệp từ các nguồn không xác định và luôn chú ý đến mọi cảnh báo mà SmartScreen hoặc trình duyệt của bạn có thể hiển thị.
Những biện pháp này tuy không phải là giải pháp bảo mật toàn diện, nhưng nếu không có chúng, mọi nỗ lực bổ sung để bảo vệ mạng gia đình của tôi đều trở nên vô nghĩa. Các lỗ hổng bảo mật rõ ràng nhất cần được vá trước tiên, sau đó mới đến các bước tinh chỉnh nâng cao. Những hướng dẫn này hiệu quả cho dù bạn đang kết nối dây toàn bộ hệ thống, triển khai mạng lưới mesh hay kết hợp cả hai. Ngay cả khi bộ định tuyến của bạn không có tất cả các cài đặt này, việc kiểm tra vẫn rất đáng giá, bởi nếu có, bạn sẽ tốt hơn rất nhiều khi thay đổi chúng.
1. Thay Đổi Thông Tin Đăng Nhập Mặc Định
Vì sao bạn lại không làm điều đó?
Có một bước tôi luôn thực hiện đầu tiên, ngay sau khi cắm điện cho bộ định tuyến mới. Đó là việc tôi làm trước cả khi cắm cáp vào cổng WAN để kiểm tra kết nối internet, và nó là cực kỳ thiết yếu. Hãy lưu ý: hãy thay đổi mật khẩu mặc định của bộ định tuyến trước khi bạn kết nối chúng với internet.
Đơn giản vậy thôi, một nhiệm vụ tưởng chừng nhỏ bé nhưng lại không được thực hiện thường xuyên như nó phải thế. Nếu bạn mua bộ định tuyến của riêng mình, đây là điều bạn bắt buộc phải làm. Tôi biết, đôi khi bạn không có lựa chọn hoặc kỹ thuật viên lắp đặt đã kết nối mọi thứ trước khi bạn có cơ hội, nhưng hãy hỏi họ cách đăng nhập để thay đổi mật khẩu và làm điều đó ngay trước khi họ rời đi, phòng trường hợp có sự cố và bạn cần họ hướng dẫn cách đặt lại bộ định tuyến và thử lại.
2. Kích Hoạt WPA2 Hoặc WPA3
Nói không với mã hóa kém an toàn trên Wi-Fi
Khi đang ở trong trang quản trị bộ định tuyến để thay đổi mật khẩu quản trị mặc định, tôi cũng sẽ đổi mật khẩu Wi-Fi. Từng có thời điểm, việc này là đủ để bảo vệ mạng không dây của bạn khỏi sự xâm nhập, nhưng giờ thì không còn nữa. Mặc dù bộ định tuyến của bạn có thể hỗ trợ WEP hoặc WPA/TKIP, đừng bao giờ sử dụng những phương pháp mã hóa không dây đó. Các công cụ sẵn có hiện nay có thể bẻ khóa những mật khẩu này chỉ trong vài giây, và bạn thường sẽ không biết có ai đó đang truy cập vào mạng của mình.
Cấu hình router TP-Link sử dụng WPA2 trên giao diện web
Tôi luôn sử dụng WPA3 nếu có thể, vì đây là tùy chọn mới nhất và an toàn nhất; tuy nhiên, bạn cũng có thể dùng WPA2 như một lựa chọn thay thế. Chỉ cần đảm bảo đó là AES chứ không phải TKIP, vì đây là tùy chọn an toàn hơn. Tôi cũng sẽ bật mạng khách (guest network) vì việc để khách truy cập sử dụng mạng này an toàn hơn là cung cấp cho họ mật khẩu mạng chính của bạn. Bằng cách đó, bạn có thể thay đổi mật khẩu sau khi họ rời đi, và các thiết bị chứa dữ liệu của bạn vẫn nằm trên một mạng hoàn toàn khác.
3. Cập Nhật Firmware (Và Đặt Lịch Nhắc Nhở Kiểm Tra Các Bản Cập Nhật Trong Tương Lai)
Vá các lỗ hổng bảo mật bằng bản sửa lỗi chính thức
Nếu bạn thuộc nhóm “Tôi không cập nhật firmware trừ khi có gì đó trục trặc”, thì chiếc lều bạn đang ngủ đang bị dột đấy. Bạn có thể chưa nhận ra ngay bây giờ vì trời chưa mưa, nhưng nó vẫn ở đó, và đã đến lúc thay đổi thói quen của bạn. Thời điểm tốt nhất để cập nhật firmware bộ định tuyến là ngay khi bạn nhận được nó. Thời điểm tốt thứ hai là khi bạn nhớ để kiểm tra một bản cập nhật, bởi vì mỗi bản cập nhật sẽ giúp mạng gia đình của bạn an toàn hơn một chút.
Trạng thái cập nhật firmware trên giao diện quản trị OPNsense
Các bản cập nhật firmware của bộ định tuyến khắc phục các vấn đề bảo mật nghiêm trọng, các lỗi hiệu suất khó chịu và vô số vấn đề khác. Chắc chắn, bạn có thể đợi vài ngày, đọc ghi chú vá lỗi và kiểm tra xem có ai gặp sự cố trước khi cập nhật, nhưng xin hãy thực hiện cập nhật. Điều đó tốt nhất cho tất cả mọi người. Bộ định tuyến thường bị chiếm quyền thành botnet, và các vấn đề bảo mật mà những bản cập nhật firmware này giải quyết là mục tiêu hàng đầu cho việc bị biến thành “thây ma” số.
4. Phân Đoạn Thiết Bị IoT Trên Một VLAN Riêng
Và thêm một mạng khách riêng cho khách truy cập thực sự
Mạng gia đình của tôi chỉ an toàn bằng thiết bị kém an toàn nhất trên đó, giống như bất kỳ ai khác. Và bạn biết thiết bị nào nổi tiếng là không an toàn không? Các thiết bị IoT, gần như trên mọi phương diện, và một số gần như không thể áp dụng đủ bảo mật. Đó là lý do tại sao tôi sẽ đặt chúng trên một VLAN riêng biệt, để chúng chỉ có thể giao tiếp với nhau và với các ứng dụng điều khiển chúng, chứ không thể giao tiếp với máy tính hoặc máy chủ lưu trữ của tôi.
Ngay cả khi những thiết bị đó an toàn khi tôi thêm chúng vào, không có gì đảm bảo rằng chúng sẽ duy trì trạng thái đó, dù là một vấn đề bảo mật mới được phát hiện (và không được vá), hay chúng bị xâm nhập bởi phần mềm độc hại. Bằng cách giữ chúng tách biệt khỏi mạng gia đình khác của tôi, tôi giữ dữ liệu của mình an toàn hơn và cũng ngăn chặn các tín hiệu truyền phát “ồn ào” từ các thiết bị IoT gây nhiễu cho các mạng cần độ trễ thấp hơn và băng thông lớn hơn.
5. Tắt Các Tính Năng Dễ Bị Tấn Công
Tạm biệt UPnP, NAT-PMP và WPS, bạn không còn cần thiết nữa
Tùy thuộc vào bộ định tuyến của bạn, một số tính năng có thể được bật để dễ sử dụng, nhưng điều này cũng có nghĩa là chúng dễ bị kẻ tấn công khai thác. Wi-Fi Protected Setup (WPS) cho phép bạn tham gia một mạng không dây bằng cách nhấn một nút và nhập mã PIN, nhưng điều đó làm cho mạng gia đình của bạn kém an toàn hơn vì mã PIN ngắn hơn mật khẩu Wi-Fi của bạn và dễ bẻ khóa hơn. Hãy tắt nó đi, như tôi vẫn làm, và sau đó tìm UPnP và NAT-PMP. Bạn có thể tắt chúng một cách an toàn, vì hầu hết các thiết bị và chương trình đều có những cách tốt hơn, an toàn hơn để truyền dữ liệu ra ngoài mạng gia đình của bạn. Ngay cả các thiết bị chơi game hiện đại cũng không còn quá phụ thuộc vào các giao thức này như trước nữa.
Một bộ sưu tập các máy chơi game PlayStation 5, Xbox Series X, dock Nintendo Switch và PlayStation 3
6. Trang Bị Một Tường Lửa Chuyên Dụng
Và thiết lập quyền truy cập từ xa được mã hóa
Trong nhiều năm, tôi đã dựa vào tường lửa tích hợp trong bộ định tuyến do nhà cung cấp dịch vụ internet (ISP) cung cấp để bảo vệ mạng của mình. Nhưng không còn nữa, dù tôi có một tường lửa phần cứng có sẵn hay một tường lửa tùy chỉnh được tạo từ các bộ phận cũ, tôi sẽ không thể thiếu nó. Chỉ dựa vào ISP, hoặc vào bảo mật cơ bản được cung cấp trên các bộ định tuyến tiêu dùng là chưa đủ. Việc cài đặt một tường lửa phần cứng trên mạng của bạn và để nó không được cấu hình cũng không đủ, vì quá trình tinh chỉnh quyền truy cập và các quy tắc đòi hỏi thời gian. Tuy nhiên, đó là thời gian được sử dụng tốt, nếu nó giữ cho mạng gia đình của tôi an toàn.
Và dù tôi sử dụng giải pháp truy cập từ xa tự host hay dùng Tailscale, việc có một cách an toàn, được mã hóa để truy cập mạng gia đình khi không ở nhà là một phần thiết yếu trong chiến lược bảo mật tổng thể của tôi. Nếu dữ liệu di động của tôi được mã hóa và sau đó gửi đến mạng của tôi trước khi đến người nhận dự định, tôi được bảo vệ khỏi các cuộc tấn công trung gian (man-in-the-middle attacks) hoặc các cách khác để đánh cắp dữ liệu của tôi.
Mặc dù hữu ích, những bước này chỉ là khởi đầu
Giữ cho mạng gia đình của bạn an toàn là một quá trình không ngừng phát triển, và mặc dù có những bước cơ bản phù hợp trong mọi tình huống, không phải mọi mạng sẽ an toàn sau khi hoàn thành chúng. Bạn sẽ muốn tìm hiểu sâu hơn về các bước nâng cao, bao gồm cả việc phải làm gì nếu kẻ tấn công đã ở trong mạng gia đình của bạn. Hãy nhớ rằng, cổng internet của bạn hoạt động theo cả hai hướng, và bạn muốn đảm bảo an ninh cho cả hai. Hãy bắt đầu áp dụng những mẹo này ngay hôm nay để nâng cao bảo mật cho ngôi nhà thông minh của bạn!
