Trong suốt quá trình sử dụng internet của mình, tôi đã trải nghiệm nhiều loại router khác nhau, từ những thiết bị bị giới hạn tính năng của nhà cung cấp dịch vụ internet (ISP) cho đến những chiếc router mà tôi đã giữ lại sử dụng quá lâu. Tuy nhiên, trên mỗi router có thể tùy chỉnh cài đặt, tôi luôn thay đổi cùng một bộ cài đặt bảo mật cốt lõi trước khi bắt đầu sử dụng internet. Những thiết lập quan trọng này đóng vai trò lớn trong việc củng cố an ninh mạng gia đình, giúp cắt đứt quyền truy cập từ các botnet, tấn công tự động và nhiều mối đe dọa khác. Việc tối ưu hóa các cài đặt bảo mật router Wi-Fi không chỉ bảo vệ dữ liệu cá nhân mà còn đảm bảo trải nghiệm trực tuyến ổn định và an toàn cho mọi thành viên trong gia đình.
Cho dù bạn đang tìm kiếm một router mới hay muốn tiếp tục sử dụng thiết bị hiện tại, những cài đặt bảo mật này là điều bắt buộc. Nếu bạn chưa từng thực hiện bất kỳ thay đổi nào trong số này, thì không bao giờ là quá muộn để bắt đầu. Hầu hết các cài đặt bảo mật router Wi-Fi này cũng sẽ giúp ngăn chặn truy cập nếu đã có thứ gì đó xâm nhập vào mạng của bạn. Chúng cũng không giới hạn ở bất kỳ nhà sản xuất router hoặc phiên bản Wi-Fi cụ thể nào. Vì vậy, đừng lo lắng nếu bạn không có router Wi-Fi 7 mới nhất; bạn vẫn có thể áp dụng các cài đặt này để tăng cường bảo mật cho mạng của mình.
Tủ mạng với thiết bị công nghệ và ánh sáng RGB
1. Thay Đổi Thông Tin Đăng Nhập Mặc Định
Đừng Bao Giờ Để Mật Khẩu Quản Trị Viên Ở Chế Độ Mặc Định!
Dù bạn mua router từ đâu, thiết bị đó gần như chắc chắn sẽ có một cặp tên người dùng và mật khẩu mặc định cực kỳ tệ hại. Hầu hết các nhà sản xuất router thường thiết lập các thông số mặc định dễ đoán như admin / 123456 để đơn giản hóa quá trình cài đặt cho người dùng hoặc kỹ thuật viên. Tuy nhiên, sự tiện lợi này lại trở thành một lỗ hổng bảo mật nghiêm trọng. Thông tin đăng nhập mặc định này cần được xem xét như một tin nhắn tự hủy từ phim điệp viên, chứ không phải là một lá chắn an ninh mạng hàng ngày.
Điều đầu tiên tôi thay đổi trước khi tùy chỉnh cài đặt Wi-Fi, và thường là trước khi cắm router vào cổng internet, là thông tin đăng nhập mặc định của nó. Bằng cách này, ngay khi router được kết nối với thế giới bên ngoài, nó sẽ không thể bị quét cổng tự động, bị đăng nhập và biến thành một phần của botnet. Nếu bạn chỉ có thể làm một điều để tăng cường bảo mật router Wi-Fi, xin hãy thay đổi ngay thông tin đăng nhập mặc định này. Đây là bước nền tảng để bảo vệ mạng gia đình khỏi các mối đe dọa trực tuyến phổ biến.
Thiết bị Raspberry Pi được trang bị M2 HAT
2. Cập Nhật Firmware Cho Router
Vá Lỗ Hổng Bảo Mật Nhanh Chóng Với Bản Nâng Cấp Firmware
Sau khi đã thiết lập thông tin đăng nhập độc nhất, bước tiếp theo là cập nhật firmware cho router. Bạn không thể biết chiếc router đó đã nằm trên kệ bao lâu, và trong khoảng thời gian đó, có thể đã xuất hiện nhiều lỗi bảo mật nghiêm trọng đã được khắc phục qua các bản cập nhật. Nếu router của bạn sử dụng một ứng dụng di động, quá trình cập nhật sẽ rất đơn giản, thường sẽ có thông báo và bạn chỉ cần thực hiện vài thao tác là xong. Nếu không, hãy tìm trang hỗ trợ của router trên trang web của nhà sản xuất và tải xuống firmware mới nhất.
Bạn có thể sẽ phải đăng nhập vào giao diện web (web GUI) của router, tìm đến phần cập nhật (update section), sau đó tải lên tệp firmware, để thiết bị tự cập nhật và khởi động lại. Việc này sẽ giúp bảo vệ router khỏi các cuộc tấn công zero-day, khắc phục các lỗi tính năng và thậm chí có thể bổ sung các tính năng mới. Cập nhật firmware định kỳ là một phần không thể thiếu trong việc duy trì bảo mật router Wi-Fi và hiệu suất mạng tối ưu.
Giao diện phần mềm tùy chỉnh FreshTomato trên router ASUS RT-AC66U
3. Thay Đổi Tên Mạng (SSID) Và Mật Khẩu Wi-Fi
Tên Mạng Và Mật Khẩu Mặc Định Thường Rất Dễ Đoán Hoặc Dễ Bị Lộ
Tiếp theo là thay đổi tên mạng SSID và mật khẩu Wi-Fi mặc định thành một cái gì đó an toàn hơn. Đây là một trong những cài đặt quan trọng nhất bên trong router của bạn, vì các giá trị mặc định thường được tạo ra từ SSID hoặc địa chỉ MAC, hoặc thậm chí là một thứ gì đó dễ đoán hơn. Hãy sử dụng một tên SSID độc đáo để hàng xóm của bạn không kết nối nhầm vào mạng của bạn. Tôi không khuyến khích việc đặt tên gây cười, nhưng bạn có thể làm nếu muốn. Nhiều router có thể ẩn SSID, nhưng tôi không khuyến nghị sử dụng tính năng này. Nó gây bất tiện khi bạn cố gắng kết nối với các thiết bị của chính mình, và bất kỳ ai quét các mạng Wi-Fi vẫn có thể dễ dàng tìm thấy nó.
Ngày nay, hầu hết các router kết hợp các băng tần 2.4GHz, 5GHz (và 6GHz nếu có) thành một SSID duy nhất. Nhưng nếu router của bạn không làm vậy, sẽ có một tùy chọn gọi là Smart Connect để thực hiện điều đó. Và hãy sử dụng mật khẩu Wi-Fi dài, vì nó luôn an toàn hơn. Mật khẩu không nhất thiết phải chứa chữ cái viết hoa, số hoặc ký tự đặc biệt, và thực tế là không nên sử dụng ký tự đặc biệt trong cả SSID và mật khẩu vì chúng có thể gây ra sự cố tương thích. Việc thay đổi và đặt mật khẩu Wi-Fi mạnh mẽ là một yếu tố cốt lõi để nâng cao bảo mật router Wi-Fi.
Màn hình nhập mật khẩu Wi-Fi trên điện thoại Galaxy S20
4. Thiết Lập Chuẩn Mã Hóa Mạnh Nhất Hiện Có
Với Router Mới Là WPA3, Router Cũ Hơn Là WPA2-AES
Trong khi thay đổi SSID và mật khẩu từ các giá trị mặc định, việc sử dụng giao thức bảo mật mạnh nhất hiện có là vô cùng quan trọng. Hầu hết các router hiện đại sẽ được cấu hình cho WPA3. Tuy nhiên, bạn có thể sử dụng WPA2-AES hoặc WPA3+WPA2 nếu cần tương thích với các thiết bị cũ hơn. Dù bạn chọn tùy chọn nào trong số đó, tuyệt đối không sử dụng WEP hoặc WPA-TKIP. Những chuẩn này rất dễ bị bẻ khóa chỉ trong vài phút, và việc sử dụng chúng chẳng khác nào không đặt mật khẩu cho Wi-Fi của bạn.
WPA3 cung cấp khả năng bảo vệ tốt hơn chống lại các cuộc tấn công brute-force và các kỹ thuật bẻ khóa khác, đồng thời nâng cao quyền riêng tư cá nhân ngay cả trên các mạng công cộng. Đảm bảo rằng bạn đã chọn chuẩn mã hóa mạnh nhất mà router và các thiết bị của bạn hỗ trợ là một bước thiết yếu để tối ưu bảo mật router Wi-Fi và bảo vệ thông tin liên lạc của bạn.
Cài đặt Wi-Fi trên giao diện web của router TP-Link Archer BE800 Wi-Fi 7
5. Vô Hiệu Hóa Quản Lý Từ Xa, UPnP Và WPS
Đừng Để Mọi Nỗ Lực Bảo Mật Khác Trở Nên Vô Nghĩa
Nếu router của tôi có tính năng truy cập từ xa để quản lý, hay còn gọi là WAN administration, đó cũng là một trong những thứ đầu tiên cần thay đổi. Tôi không rõ bạn thì sao, nhưng số lần tôi cần thay đổi cài đặt router khi không có ở nhà là rất ít. Ngay cả khi cần, tôi thà VPN vào mạng và đăng nhập như đang ở nhà còn hơn. Đây là một lỗ hổng bảo mật không cần thiết vì sự tiện lợi, mà tôi cảm thấy bị bật mặc định để kỹ thuật viên ISP có thể đăng nhập. Bạn không cần điều đó xảy ra trong hầu hết các trường hợp.
Một người đang cầm router TP-Link
Một số router tôi từng dùng, như bộ mesh Eero của tôi, chỉ cho phép tôi thay đổi mọi thứ qua ứng dụng. Trong trường hợp đó, quản trị WAN vẫn được bật vì không có chỗ để tắt. Tôi hy vọng rằng Eero có một đường hầm bảo mật trở lại router trong trường hợp đó.
Các cài đặt cuối cùng tôi thay đổi trên bất kỳ router nào phụ thuộc vào việc chúng có tồn tại hay không. WPS (Wi-Fi Protected Setup) có một nút trên router giúp kết nối Wi-Fi đơn giản, vì nó sử dụng mã PIN ngắn thay vì mật khẩu Wi-Fi bạn đã chọn kỹ lưỡng. Điều đó có nghĩa là việc bẻ khóa nó không tốn chút công sức nào. Tính năng được thiết kế để tiện lợi này lại là một lỗ hổng bảo mật lớn mà bạn nên khắc phục ngay.
Mặt sau của router Gl.iNet Beryl
Nếu router của bạn có UPnP (Universal Plug and Play) hoặc NAT-PMP (NAT Port Mapping Protocol) được bật, chúng cũng có thể được tắt đi. Một lần nữa, đây là những công cụ hữu ích, nhưng sau đó các nhà sản xuất router đã quyết định bật chúng ở cấp độ WAN. Điều này cho phép các thiết bị được cấu hình kém hoặc độc hại mở các cổng thông qua tường lửa của bạn và cho phép lưu lượng truy cập đi vào. Bạn sẽ an toàn hơn nếu không sử dụng chúng, và mạng hiện đại không còn phụ thuộc vào chúng như các thiết bị cũ. Vô hiệu hóa các tính năng này là một bước quan trọng để tăng cường bảo mật router Wi-Fi của bạn.
Hình ảnh một router chơi game Reyee E6 AX6000
Kết Luận
Dù tôi đang sử dụng thiết bị mạng cấp prosumer, một router OPNsense tự chế với nhiều sức mạnh plugin, hay một mạng mesh, việc thay đổi các cài đặt này trước khi làm bất cứ điều gì khác đều mang lại cho tôi một nền tảng bảo mật vững chắc để xây dựng. Không phải mọi router đều có mọi tùy chọn này, vì WPS và NAT-PMP chủ yếu đã được loại bỏ dần, và quản trị dựa trên ứng dụng của các router khác có nghĩa là quản trị WAN ít nguy hiểm hơn. Nhưng nếu bạn bắt đầu với danh sách này và thay đổi hoặc vô hiệu hóa càng nhiều cài đặt càng tốt, mạng gia đình của bạn sẽ an toàn hơn một chút ngay từ đầu. Hãy chủ động tối ưu bảo mật router Wi-Fi để bảo vệ không gian kỹ thuật số của bạn.
Bạn đã từng thay đổi những cài đặt nào trên router của mình? Hãy chia sẻ kinh nghiệm và ý kiến của bạn trong phần bình luận bên dưới!