VietNetwork.Vn

Một nhà nghiên cứu bảo mật đã từng phát hiện ra một cửa hậu trong nhiều bộ định tuyến D-Link, cho phép bất kỳ ai truy cập vào bộ định tuyến mà không cần biết tên người dùng hoặc mật khẩu. Đây không phải là vấn đề bảo mật bộ định tuyến đầu tiên và sẽ không phải là vấn đề cuối cùng.


Để tự bảo vệ mình, bạn nên đảm bảo rằng bộ định tuyến của mình được định cấu hình an toàn. Điều này không chỉ đơn thuần là bật mã hóa Wi-Fi và không lưu trữ mạng Wi-Fi mở.

1. Tắt quyền truy cập từ xa

Bộ định tuyến cung cấp giao diện web, cho phép bạn định cấu hình chúng thông qua trình duyệt. Bộ định tuyến chạy một máy chủ web và cung cấp trang web này khi bạn đang sử dụng mạng cục bộ của bộ định tuyến.

Tuy nhiên, hầu hết các bộ định tuyến đều cung cấp tính năng " truy cập từ xa " cho phép bạn truy cập giao diện web này từ mọi nơi trên thế giới. Đôi khi trục trặc hoặc sự cố phần sụn đã xảy ra khiến các bộ định tuyến có kích hoạt quyền truy cập từ xa dễ bị tấn công. Nếu bạn đã tắt quyền truy cập từ xa, bạn sẽ an toàn trước những người truy cập từ xa vào bộ định tuyến của bạn và giả mạo nó.

Để thực hiện việc này, hãy mở giao diện web của bộ định tuyến và tìm tính năng "Truy cập từ xa", "Quản trị từ xa" hoặc "Quản lý từ xa". Đảm bảo rằng nó đã bị vô hiệu hóa - nó sẽ bị tắt theo mặc định trên hầu hết các bộ định tuyến, nhưng bạn nên kiểm tra.


2. Cập nhật chương trình cơ sở

Giống như hệ điều hành, trình duyệt web và mọi phần mềm khác mà chúng tôi sử dụng, phần mềm bộ định tuyến không hoàn hảo. Phần sụn của bộ định tuyến - về cơ bản là phần mềm chạy trên bộ định tuyến - có thể có lỗi bảo mật. Các nhà sản xuất bộ định tuyến có thể phát hành các bản cập nhật chương trình cơ sở để khắc phục các lỗ hổng bảo mật như vậy, mặc dù họ nhanh chóng ngừng hỗ trợ cho hầu hết các bộ định tuyến và chuyển sang các mẫu tiếp theo.

Hầu hết các bộ định tuyến mới hơn đều có tính năng tự động cập nhật như Windows và các trình duyệt web của chúng tôi. Tuy nhiên, nếu bộ định tuyến của bạn cũ hơn một chút, bạn có thể phải kiểm tra trang web của nhà sản xuất bộ định tuyến để biết bản cập nhật chương trình cơ sở và cài đặt thủ công thông qua giao diện web của bộ định tuyến. Kiểm tra để đảm bảo rằng bộ định tuyến của bạn đã cài đặt chương trình cơ sở mới nhất.


3. Thay đổi thông tin đăng nhập mặc định

Nhiều bộ định tuyến có thông tin xác thực đăng nhập mặc định khá rõ ràng, chẳng hạn như mật khẩu "quản trị viên". Nếu ai đó có quyền truy cập vào giao diện web của bộ định tuyến của bạn thông qua một số loại lỗ hổng hoặc chỉ bằng cách đăng nhập vào mạng Wi-Fi của bạn, thì sẽ dễ dàng đăng nhập và giả mạo cài đặt của bộ định tuyến.

Để tránh điều này, hãy thay đổi mật khẩu của bộ định tuyến thành mật khẩu không phải là mật khẩu mặc định mà kẻ tấn công không thể dễ dàng đoán được. Một số bộ định tuyến thậm chí còn cho phép bạn thay đổi tên người dùng mà bạn sử dụng để đăng nhập vào bộ định tuyến của mình.


4. Khóa quyền truy cập Wi-Fi

Nếu ai đó giành được quyền truy cập vào mạng Wi-Fi của bạn, họ có thể cố gắng giả mạo bộ định tuyến của bạn - hoặc chỉ làm những việc xấu khác như rình mò các lượt chia sẻ tệp cục bộ của bạn hoặc sử dụng kết nối của bạn để tải xuống nội dung có bản quyền và khiến bạn gặp rắc rối. Chạy một mạng Wi-Fi mở có thể nguy hiểm.

Để tránh điều này, hãy đảm bảo Wi-Fi của bộ định tuyến của bạn được bảo mật. Điều này khá đơn giản: Đặt nó để sử dụng mã hóa WPA2 hoặc WPA3 và sử dụng cụm mật khẩu an toàn hợp lý. Không sử dụng mã hóa WEP yếu hơn hoặc đặt một cụm mật khẩu rõ ràng như "mật khẩu".


5. Tắt UPnP

Một loạt các lỗ hổng UPnP đã được tìm thấy trong các bộ định tuyến của người tiêu dùng. Hàng chục triệu bộ định tuyến tiêu dùng phản hồi các yêu cầu UPnP từ Internet, cho phép những kẻ tấn công trên Internet cấu hình bộ định tuyến của bạn từ xa. Các ứng dụng Flash trong trình duyệt của bạn có thể sử dụng UPnP để mở các cổng, khiến máy tính của bạn dễ bị tấn công hơn. UPnP khá không an toàn vì nhiều lý do.

Để tránh các sự cố dựa trên UPnP, hãy tắt UPnP trên bộ định tuyến của bạn thông qua giao diện web của nó. Nếu bạn sử dụng phần mềm cần chuyển tiếp cổng - chẳng hạn như máy khách BitTorrent, máy chủ trò chơi hoặc chương trình truyền thông - bạn sẽ phải chuyển tiếp các cổng trên bộ định tuyến của mình mà không cần dựa vào UPnP.


6. Đăng xuất khỏi giao diện web của bộ định tuyến khi bạn đã hoàn tất việc định cấu hình nó

Một số bộ định tuyến đã tìm thấy các sai sót về kịch bản trang chéo (XSS). Một bộ định tuyến có lỗ hổng XSS như vậy có thể bị kiểm soát bởi một trang web độc hại, cho phép trang web đó định cấu hình cài đặt trong khi bạn đăng nhập. Nếu bộ định tuyến của bạn đang sử dụng tên người dùng và mật khẩu mặc định, thì trang web độc hại sẽ rất dễ dàng. để có được quyền truy cập.

Ngay cả khi bạn đã thay đổi mật khẩu của bộ định tuyến, về mặt lý thuyết, một trang web vẫn có thể sử dụng phiên đăng nhập của bạn để truy cập bộ định tuyến của bạn và sửa đổi cài đặt của nó.

Để ngăn chặn điều này, chỉ cần đăng xuất khỏi bộ định tuyến của bạn khi bạn đã định cấu hình xong - nếu bạn không thể làm điều đó, bạn có thể muốn xóa cookie trình duyệt của mình. Đây không phải là điều quá hoang tưởng, nhưng đăng xuất khỏi bộ định tuyến của bạn khi bạn sử dụng xong là một việc nhanh chóng và dễ dàng thực hiện.

7. Thay đổi địa chỉ IP cục bộ của bộ định tuyến

Nếu thực sự hoang tưởng, bạn có thể thay đổi địa chỉ IP cục bộ của bộ định tuyến. Ví dụ: nếu địa chỉ mặc định của nó là 192.168.0.1, bạn có thể thay đổi nó thành 192.168.0.150. Nếu bản thân bộ định tuyến dễ bị tấn công và một số loại tập lệnh độc hại trong trình duyệt web của bạn cố gắng khai thác lỗ hổng tập lệnh trang web chéo, truy cập các bộ định tuyến dễ bị tấn công tại địa chỉ IP cục bộ của chúng và giả mạo chúng, cuộc tấn công sẽ thất bại.

Bước này không hoàn toàn cần thiết, đặc biệt là vì nó sẽ không bảo vệ khỏi những kẻ tấn công cục bộ - nếu ai đó trên mạng hoặc phần mềm của bạn đang chạy trên PC của bạn, họ có thể xác định địa chỉ IP của bộ định tuyến của bạn và kết nối với nó.


8. Cài đặt chương trình cơ sở của bên thứ ba

Nếu thực sự lo lắng về bảo mật, bạn cũng có thể cài đặt chương trình cơ sở của bên thứ ba như DD-WRT hoặc OpenWRT. Bạn sẽ không tìm thấy các cửa sau che khuất được nhà sản xuất bộ định tuyến thêm vào trong các chương trình cơ sở thay thế này.

Nếu bạn cảm thấy có tham vọng đặc biệt, bạn thậm chí có thể xây dựng bộ định tuyến của riêng mình bằng cách sử dụng máy tính cũ (hoặc mới) sử dụng thẻ giao diện mạng cao cấp và phần mềm như pfSense hoặc OPNsense.


Bộ định tuyến tiêu dùng đã được cải thiện đáng kể trong mười năm qua. Chúng thường có các bản cập nhật firmware tự động, nhiều bộ định tuyến hiện buộc người dùng phải thay đổi mật khẩu mặc định của mình, chúng có nhiều tính năng hơn và các giao thức bảo mật mới chắc chắn vượt trội hơn các giao thức cũ. Bất chấp tất cả các cải tiến, bộ định tuyến (và bộ kết hợp modem-bộ định tuyến ) vẫn là mục tiêu chính cho các cuộc tấn công độc hại, đặc biệt nếu bảo mật của bạn còn lỏng lẻo. Hãy tự làm một việc - dành 15 phút và đảm bảo rằng bạn đang làm mọi thứ có thể để giữ an toàn cho mạng của mình.