VnReview
Hà Nội

8 bước tăng cường bảo mật cho router WiFi

Các chuyên gia bảo mật vừa phát hiện ra mỗi lỗi nghiêm trọng cho phép bất kì ai cũng có thể truy cập vào router D-link mà không cần tên người dùng hay mật khẩu. Chắc chắn đây sẽ không phải là lỗ hổng bảo mật cuối cùng trên router, và bạn cần thực hiện nhiều bước để tự bảo vệ mình.

bảo vệ router

Tắt tính năng truy cập từ xa

Các model router thường có giao diện web, cho phép bạn tùy chỉnh mạng của mình thông qua trình duyệt. Các router sẽ có một máy chủ ảo riêng, và trang web dùng để điều chỉnh thiết bị thường chỉ được truy cập từ trong mạng nội bộ của router này.

bảo vệ router

Tuy vậy, phần lớn các model router có mặt trên thị trường đều có tính năng truy cập từ xa ("remote access"), cho phép bạn truy cập router từ bất cứ nơi nào. Kể cả nếu bạn đã thiết lập tên người dùng và mật khẩu, nếu router của bạn bị mắc lỗi tương tự như D-Link, bất kì ai cũng có thể truy cập vào router của bạn mà không cần đăng nhập. Nếu bạn tắt tính năng truy cập từ xa, bạn sẽ được bảo vệ khỏi các vụ tấn công router từ Internet.

Để tắt tính năng này đi, hãy mở giao diện web của router và tìm một trong các mục "Remote Access", "Remote Administration" hoặc "Remote Management". Thông thường, tính nay này được tắt theo mặc định, song để đảm bảo chắc chắn hãy kiểm tra lại.

Cập nhật firmware

bảo vệ router

Cũng giống như hệ điều hành, trình duyệt và bất kì phần mềm nào khác mà chúng ta sử dụng, các phần mềm cho router không phải là hoàn hảo. Các bản firmware của router vẫn còn rất nhiều lỗ hổng an ninh. Các nhà sản xuất có thể thường đưa ra các bản cập nhật firmware cho router của mình, mặc dù các model cũ có thể bị ngừng hỗ trợ trong một khoảng thời gian tương đối ngắn.

Điều không may là firmware router thường không có tính năng tự động cập nhật như Windows và các trình duyệt mà chúng ta sử dụng. Bạn sẽ phải kiểm tra trang web của các nhà sản xuất để tìm xem có bản cập nhật firmware mới nào hay không, rồi cài đặt chúng một cách thủ công thông qua giao diện web của router. Hãy luôn luôn kiểm tra để đảm bảo rằng router của mình có firmware mới nhất.

Thay đổi tên người dùng và mật khẩu mặc định

bảo vệ router

Phần lớn các model router đều có tên người dùng và mật khẩu khá dễ đoán: "admin" – "admin". Nếu một người nào đó có thể truy cập vào router của bạn thông qua tính năng truy cập từ xa, hoặc khi họ kết nối vào mạng Wi-fi của họ, việc đăng nhập và chỉnh sửa các thiết lập của router là rất dễ dàng.

Nhằm tránh được điều này, hãy thay đổi mật khẩu trên router để khác với mặc định Một vài router thậm chí còn cho phép bạn thay đổi tên người dùng. Hãy lựa chọn tên tài khoản và mật khẩu khó đoán để tự bảo vệ mình.

Bảo vệ mạng Wi-fi khỏi các kết nối không hợp pháp

Nếu một người nào đó có thể truy cập vào mạng Wi-fi của bạn, họ có thể sẽ thử thay đổi cài đặt trên router, hoặc làm những việc làm gây hại như thăm dò các file chia sẻ cá nhân của bạn hoặc thậm chí là dùng mạng của bạn để thực hiện các tấn công phạm pháp. Nói chung, sử dụng mạng Wi-fi mở luôn là một lựa chọn tồi.

bảo vệ router

Nhằm tránh tình trạng này, hãy đảm bảo rằng kết nối Wi-fi của bạn được bảo mật. Điều này tương đối đơn giản: hãy sử dụng mã hóa WPA2 và đặt một câu mật khẩu có độ dài, độ phức tạp hợp lý. Đừng sử dụng mã hóa WEP hoặc những câu mật khẩu quá đơn giản như "password".

Tắt tính năng UPnP

Giao thức UPnP giúp đem lại nhiều tính năng hữu ích, trong đó tính năng có lẽ được nhiều người sử dụng nhất là kết hợp UPnP và torrent để tải tốc độ cao mà không cần forward port. Tuy vậy, UPnP cũng là một tính năng chứa đầy những lỗ hổng bảo mật: có tới hàng chục triệu router trên thế giới sẵn sàng đáp ứng các yêu cầu UPnP từ Internet, và thông qua giao thức này, hacker có thể chỉnh sửa thông tin trên router của bạn theo ý chúng. Không chỉ có vậy, các ứng dụng Flash có thể sử dụng UPnP để mở thêm cổng kết nối, khiến cho máy tính của bạn thành một pháo đài… mở rộng cửa. Nhìn chung, cũng giống như nhiều tính năng khác, UPnP đã đánh đổi tính bảo mật để lấy sự tiện dụng.

bảo vệ router

Bạn được khuyến cáo tắt UPnP trên router thông qua giao diện web của router. Nếu bạn sử dụng các phần mềm cần forward port, ví dụ như BitTorrent, máy chủ cho các trò chơi và các chương trình liên lạc, bạn nên forward port một cách thủ công.

Đăng xuất khỏi giao diện web của router sau khi đã tùy chỉnh xong

Các lỗi XSS (mã chạy trên nhiều trang) đã bị phát hiện trên router. Một router bị mắc lỗi này có thể bị chiếm quyền điều khiển bởi một trang web độc, cho phép trang web này thay đổi thông số của router khi bạn đang đăng nhập (vào router). Nếu router đang sử dụng mật khẩu và tên người dùng mặc định, việc chiếm quyền điều khiển của các trang web độc sẽ là rất dễ dàng.

Ngay cả khi bạn đã thay đổi mật khẩu của router, về mặt lý thuyết các trang web vẫn có thể sử dụng phiên đăng nhập (bắt đầu khi bạn đăng nhập và kết thúc khi bạn đăng xuất khỏi router) của bạn để truy cập vào router.

Nhằm tránh tình trạng này, hãy đăng xuất khỏi trang điều khiển của router ngay sau khi bạn cài đặt xong. Nếu bạn không thể làm điều này, bạn cũng nên xóa cookie trên trình duyệt. Khả năng bạn bị tấn công theo hướng này là tương đối thấp, nhưng đăng xuất khỏi trang điều khiển của router là một bước đơn giản và không tốn thời gian để tự bảo vệ mình.

Thay địa chỉ IP mạng nội bộ của router

Nếu bạn là một người cực kỳ kỹ tính, bạn có thể cân nhắc thay đổi địa chỉ IP mặc định của router trên mạng nội bộ. Địa chỉ IP mặc định của router là 192.168.0.1, và bạn có thể thay đổi địa chỉ này thành 192.168.0.X, trong đó X < 255. Nếu firmware của router có lỗ hổng bảo mật, hoặc trong trường hợp một đoạn mã độc từ trình duyệt cố gắng lây lan ra mạng nội bộ thông qua các địa chỉ IP mà mã độc đã dự đoán được từ trước, việc thay đổi địa chỉ IP của router sẽ giúp giảm nguy cơ bảo mật tiềm tàng.

bảo vệ router

Bước bảo vệ này không phải là thực sự cần thiết, do những người có khả năng truy cập vào mạng của bạn hoặc máy vi tính của bạn vẫn sẽ có thể tìm ra địa chỉ IP mới của router một cách tương đối dễ dàng.

Sử dụng firmware của bên thứ 3 cho router

bảo vệ router

Sử dụng firmware của bên thứ 3 cũng là một lựa chọn bảo mật dành cho bạn. Khi sử dụng firmware của bên thứ 3 (ví dụ như DD-WRT hoặc OpenWRT), bạn sẽ không phải chịu rủi ro từ các back-door (lỗ hổng bảo mật do các nhà sản xuất tự thiết lập để sử dụng khi cần thiết). Dĩ nhiên, firmware do các bên thứ 3 sản xuất cũng sẽ có những lỗ hổng tiềm tàng của riêng mình. Hãy cân nhắc và sử dụng khi cần thiết.

Nhìn chung, router, modem, access point và nhiều thiết bị mạng khác đang dần trở thành một trong những vấn đề bảo mật trầm trọng nhất của thời đại mới: chúng không được vá bảo mật thường xuyên, chúng kết nối trực tiếp với Internet, các nhà sản xuất ngừng hỗ trợ router sau một thời gian khá ngắn, chưa kể tới rất nhiều lỗ hổng như UPnP và các loại back-door dễ khai thác. Do đó, việc thực hiện các biện pháp tự bảo vệ mình là tối cần thiết.

Lê Hoàng

Theo HowToGeek

Chủ đề khác