Ngày nay, hầu hết mọi thiết bị đều được trang bị các tính năng “thông minh”, nhưng các thiết bị nhà thông minh hay IoT (Internet of Things) lại đứng đầu danh sách về mức độ hữu ích thực tế. Tuy nhiên, những thiết bị này thường có danh tiếng kém về bảo mật, khiến nhiều người băn kho khoăn về cách thêm chúng vào mạng gia đình một cách an toàn. Ngay cả một bóng đèn thông minh hay cảm biến nhiệt độ tưởng chừng vô hại cũng có thể là mối đe dọa tiềm tàng. May mắn thay, bạn có thể giảm thiểu rủi ro này bằng cách luôn cập nhật phần mềm và giữ chúng cách xa phần còn lại của mạng chính.
Thường thì, giải pháp tốt nhất được khuyến nghị là giữ các thiết bị IoT trên mạng riêng của chúng, tốt nhất là sử dụng VLAN, để chúng không thể giao tiếp với các thiết bị khác của bạn. Lời khuyên này vẫn đúng, ngay cả khi các thiết bị IoT ngày nay đang dần có danh tiếng tốt hơn về bảo mật. Tôi đã không chọn cách thiết lập một mạng khách (guest network) đơn giản, gán tất cả thiết bị IoT vào đó rồi coi như xong. Thay vào đó, tôi đã sử dụng một bộ định tuyến (router) cũ, gán cho nó một dải địa chỉ mạng con (subnet) mới hoàn toàn tách biệt với mạng chính. Đồng thời, tôi tắt băng tần 5GHz trên router này để nó chỉ hoạt động với kết nối 2.4GHz. Vì hầu hết các thiết bị IoT chỉ sử dụng 2.4GHz, và ngay cả những thiết bị hỗ trợ 5GHz vẫn có khả năng hoạt động trên băng tần kép, việc này đã giải phóng dung lượng cho mạng Wi-Fi chính của tôi, một điều vô cùng tuyệt vời.
Bóng đèn thông minh Nanoleaf Essentials A19 màu đỏ, minh họa thiết bị IoT cần bảo mật
Tại sao cần tách biệt thiết bị IoT ra khỏi mạng chính?
Các thiết bị IoT có thể vô cùng tiện dụng, giúp ngôi nhà của chúng ta thông minh hơn và tự động hóa nhiều tác vụ. Tuy nhiên, chúng cũng tiềm ẩn rủi ro bảo mật đáng kể và đã từng bị lợi dụng để tạo ra các botnet như Mirai, được sử dụng để tấn công DDoS nhiều mục tiêu trên toàn thế giới vào năm 2016. Được xây dựng với các linh kiện giá thành thấp, công suất thấp, chúng thường sử dụng Wi-Fi 2.4GHz để kết nối, điều này có thể gây ra vấn đề về kết nối trên các router hiện đại sử dụng cùng một tên mạng (SSID) cho các băng tần 2.4GHz, 5GHz và 6GHz. Vì vậy, việc đặt các thiết bị IoT vào một mạng riêng biệt, dù là trên VLAN hay mạng khách, là một lời khuyên thiết thực. Nhưng có một lựa chọn khác đáng cân nhắc.
Đó là đặt chúng trên một router chuyên dụng, với một mạng con (subnet) riêng. Việc này còn tốt hơn nếu bạn có một router cũ, giống như tôi đang sử dụng, vì bạn có thể yên tâm tắt băng tần 5GHz (nếu nó có) và chỉ sử dụng băng tần 2.4GHz cho mạng IoT của mình. Điều này cũng cho phép bạn tắt 2.4GHz trên router chính đang cung cấp mạng cho gia đình, giúp nó không phải hoạt động quá sức và không tạo thêm nhiễu sóng Wi-Fi cho bạn hoặc hàng xóm.
Thêm điểm cộng nếu router đó có thể được cài đặt lại với firmware tùy chỉnh như DD-WRT hoặc OpenWrt. Khi đó, bạn sẽ có được một tường lửa tốt hơn và hỗ trợ VLAN, cả hai đều rất hữu ích khi bạn muốn phân tách hoàn toàn các thiết bị trên router cũ khỏi phần còn lại của mạng gia đình. Bạn thậm chí có thể chặn hoàn toàn các thiết bị IoT giao tiếp với internet, điều này giúp bạn an toàn hơn, mặc dù nó có thể gây ra vấn đề về khả năng điều khiển. Cần lưu ý rằng các giao thức cục bộ như Zigbee không cần internet để hoạt động và có thể được điều khiển dễ dàng qua Home Assistant. Đây là một lý do mạnh mẽ để thiết lập chúng và là một trong những lý do chính tôi có Home Assistant trong một máy ảo trên NAS của mình.
Router ASUS RT-AX57 AX3000 Wi-Fi 6, có thể dùng làm router chuyên dụng cho IoT
Lợi ích kép: Mạng an toàn hơn và tốc độ cao hơn
Trong khi bảo mật tổng thể của mạng gia đình là yếu tố quan trọng nhất, đó không phải là lợi ích duy nhất của việc sử dụng một router cũ để kết nối tất cả các thiết bị IoT của tôi. Nhiều thiết bị IoT liên tục tạo ra một lượng lớn lưu lượng broadcast, unicast và multicast không cần thiết, gửi đến mọi thiết bị trên mạng. Luồng gói tin broadcast “ồn ào” đó không chỉ làm chậm mạng Wi-Fi mà còn có thể tạo thêm tải cho router của bạn.
Nhưng bằng cách chuyển tất cả lưu lượng này sang mạng con riêng của nó, nó sẽ biến mất khỏi mạng Wi-Fi mà phần lớn các thiết bị của tôi đang kết nối. Các thiết bị kết nối Ethernet như NAS của tôi cũng không bị “tấn công” bởi nhiễu broadcast. Kết quả là một mạng nhanh hơn cho máy tính xách tay, máy tính để bàn, máy chơi game và các thiết bị phát trực tuyến, khiến mọi người trong nhà đều hài lòng hơn.
Người dùng nhập mật khẩu Wi-Fi trên Galaxy S20, thể hiện kết nối thiết bị thông minh
Tầm quan trọng của tường lửa trong bảo mật IoT
Mặc dù việc đặt các thiết bị IoT không dây trong nhà thông minh của tôi (cùng với các dongle và hub Ethernet, USB liên quan) vào một router riêng biệt, được khóa chặt, là một động thái thông minh, nhưng điều đó không ngăn cản router đó giao tiếp với các thiết bị khác. Mặc dù bạn có thể đặt cổng Ethernet kết nối với cổng WAN của router IoT vào một VLAN để nó không thể giao tiếp với bất kỳ thiết bị nào khác, nhưng không phải router nào cũng hỗ trợ điều này.
Cách dễ dàng hơn là tận dụng tường lửa tích hợp hoặc một tường lửa phần cứng nếu bạn có, và thiết lập một quy tắc để chặn mọi lưu lượng đến từ router “bên trong” hoặc router kết nối IoT. Điều này ngăn chặn bất kỳ thiết bị IoT độc hại hoặc được cấu hình kém nào giao tiếp với mạng gia đình của bạn, và giữ cho mọi thứ liên quan đến IoT không giao tiếp bên ngoài mạng con của nó. Bạn cũng nên tắt UPnP trên cả hai router để tăng cường bảo mật.
Thiết bị tường lửa phần cứng Firewalla Gold Pro, giải pháp bảo vệ mạng IoT hiệu quả
Việc đặt các thiết bị IoT của tôi trên một router cũ, với một mạng con khác, là một ý tưởng tuyệt vời để giúp mạng Wi-Fi gia đình của tôi dễ sử dụng hơn cho các thành viên khác trong gia đình. Tôi có thể tắt băng tần 2.4GHz trên router chính, và sau đó nó chỉ quản lý một số lượng nhỏ các thiết bị 5GHz và 6GHz, giúp tăng “thời gian trên không” (airtime) cho các thiết bị này. Hơn nữa, việc này an toàn hơn khi chúng không thể kết nối với NAS hoặc các thiết bị khác chứa dữ liệu cá nhân của tôi, loại bỏ một bề mặt tấn công lớn. Tôi chưa chặn hoàn toàn tất cả các thiết bị IoT khỏi internet, nhưng đó là mục tiêu tiếp theo. Bất kỳ thiết bị nào tôi không thể điều khiển cục bộ sẽ được thay thế bằng những thiết bị có khả năng đó.
Bạn đã từng nghĩ đến việc tách biệt mạng cho các thiết bị IoT của mình chưa? Hãy chia sẻ kinh nghiệm và ý kiến của bạn trong phần bình luận bên dưới nhé!