Một nhà nghiên cứu bảo mật gần đây đã phát hiện ra một cửa hậu trong nhiều bộ định tuyến D-Link, cho phép bất kỳ ai truy cập bộ định tuyến mà không cần biết tên người dùng hoặc mật khẩu. Đây không phải là vấn đề bảo mật bộ định tuyến đầu tiên và sẽ không phải là vấn đề cuối cùng.
Để tự bảo vệ mình, bạn nên đảm bảo rằng bộ định tuyến của mình được định cấu hình an toàn. Đây không chỉ là kích hoạt mã hóa Wi-Fi và không lưu trữ mạng Wi-Fi mở .
Tắt quyền truy cập từ xa
Bộ định tuyến cung cấp giao diện web, cho phép bạn định cấu hình chúng thông qua trình duyệt. Bộ định tuyến chạy một máy chủ web và cung cấp trang web này khi bạn đang sử dụng mạng cục bộ của bộ định tuyến.
Tuy nhiên, hầu hết các bộ định tuyến đều cung cấp tính năng “truy cập từ xa” cho phép bạn truy cập giao diện web này từ mọi nơi trên thế giới. Ngay cả khi bạn đặt tên người dùng và mật khẩu, nếu bạn có bộ định tuyến D-Link bị ảnh hưởng bởi lỗ hổng này, bất kỳ ai cũng có thể đăng nhập mà không cần bất kỳ thông tin xác thực nào. Nếu bạn đã tắt quyền truy cập từ xa, bạn sẽ an toàn trước những người truy cập từ xa vào bộ định tuyến của bạn và giả mạo bộ định tuyến.
Để thực hiện việc này, hãy mở giao diện web của bộ định tuyến và tìm tính năng “Truy cập từ xa”, “Quản trị từ xa” hoặc “Quản lý từ xa”. Đảm bảo tính năng này bị vô hiệu hóa - theo mặc định, tính năng này sẽ bị tắt trên hầu hết các bộ định tuyến, nhưng bạn nên kiểm tra.
Cập nhật chương trình cơ sở
Giống như hệ điều hành, trình duyệt web và mọi phần mềm khác mà chúng tôi sử dụng, phần mềm bộ định tuyến không hoàn hảo. Phần mềm cơ sở của bộ định tuyến - về cơ bản là phần mềm chạy trên bộ định tuyến - có thể có lỗi bảo mật. Các nhà sản xuất bộ định tuyến có thể phát hành các bản cập nhật chương trình cơ sở để sửa các lỗ hổng bảo mật như vậy, mặc dù họ nhanh chóng ngừng hỗ trợ cho hầu hết các bộ định tuyến và chuyển sang các mẫu tiếp theo.
Rất tiếc, hầu hết các bộ định tuyến không có tính năng tự động cập nhật như Windows và các trình duyệt web của chúng tôi - bạn phải kiểm tra trang web của nhà sản xuất bộ định tuyến để biết bản cập nhật chương trình cơ sở và cài đặt thủ công qua giao diện web của bộ định tuyến. Kiểm tra để đảm bảo rằng bộ định tuyến của bạn đã cài đặt chương trình cơ sở mới nhất.
Thay đổi thông tin đăng nhập mặc định
Nhiều bộ định tuyến có thông tin đăng nhập mặc định khá rõ ràng, chẳng hạn như mật khẩu "quản trị viên". Nếu ai đó có được quyền truy cập vào giao diện web của bộ định tuyến của bạn thông qua một số loại lỗ hổng bảo mật hoặc chỉ bằng cách đăng nhập vào mạng Wi-Fi của bạn, thì sẽ dễ dàng đăng nhập và giả mạo cài đặt của bộ định tuyến.
Để tránh điều này, hãy thay đổi mật khẩu của bộ định tuyến thành mật khẩu không phải mặc định mà kẻ tấn công không thể dễ dàng đoán được. Một số bộ định tuyến thậm chí còn cho phép bạn thay đổi tên người dùng mà bạn sử dụng để đăng nhập vào bộ định tuyến của mình.
Khóa quyền truy cập Wi-Fi
LIÊN QUAN: Đừng có ý thức sai về bảo mật: 5 cách không an toàn để bảo mật Wi-Fi của bạn
Nếu ai đó giành được quyền truy cập vào mạng Wi-Fi của bạn, họ có thể cố gắng giả mạo bộ định tuyến của bạn - hoặc chỉ làm những việc xấu khác như rình mò các lượt chia sẻ tệp cục bộ của bạn hoặc sử dụng kết nối của bạn với nội dung có bản quyền đã tải xuống và khiến bạn gặp rắc rối. Chạy mạng Wi-Fi mở có thể nguy hiểm.
Để tránh điều này, hãy đảm bảo Wi-Fi của bộ định tuyến của bạn được bảo mật. Điều này khá đơn giản: Đặt nó để sử dụng mã hóa WPA2 và sử dụng cụm mật khẩu an toàn hợp lý. Đừng sử dụng mã hóa WEP yếu hơn hoặc đặt một cụm mật khẩu rõ ràng như “mật khẩu” .
Tắt UPnP
LIÊN QUAN: UPnP có phải là một rủi ro bảo mật không?
Một loạt các lỗ hổng UPnP đã được tìm thấy trong các bộ định tuyến của người tiêu dùng. Hàng chục triệu bộ định tuyến tiêu dùng phản hồi các yêu cầu UPnP từ Internet, cho phép những kẻ tấn công trên Internet cấu hình bộ định tuyến của bạn từ xa. Các ứng dụng Flash trong trình duyệt của bạn có thể sử dụng UPnP để mở các cổng, khiến máy tính của bạn dễ bị tấn công hơn. UPnP khá không an toàn vì nhiều lý do.
Để tránh các sự cố dựa trên UPnP, hãy tắt UPnP trên bộ định tuyến của bạn thông qua giao diện web của nó. Nếu bạn sử dụng phần mềm cần chuyển tiếp cổng - chẳng hạn như ứng dụng khách BitTorrent, máy chủ trò chơi hoặc chương trình truyền thông - bạn sẽ phải chuyển tiếp các cổng trên bộ định tuyến của mình mà không cần dựa vào UPnP.
Đăng xuất khỏi giao diện web của bộ định tuyến khi bạn hoàn tất việc định cấu hình nó
Một số bộ định tuyến đã tìm thấy các lỗ hổng về kịch bản trang chéo (XSS). Một bộ định tuyến có lỗ hổng XSS như vậy có thể bị kiểm soát bởi một trang web độc hại, cho phép trang web đó định cấu hình cài đặt khi bạn đang đăng nhập. Nếu bộ định tuyến của bạn đang sử dụng tên người dùng và mật khẩu mặc định, thì trang web độc hại sẽ rất dễ dàng để có được quyền truy cập.
Ngay cả khi bạn đã thay đổi mật khẩu của bộ định tuyến, về mặt lý thuyết, một trang web vẫn có thể sử dụng phiên đăng nhập của bạn để truy cập bộ định tuyến của bạn và sửa đổi cài đặt của nó.
Để ngăn chặn điều này, chỉ cần đăng xuất khỏi bộ định tuyến của bạn khi bạn đã định cấu hình xong - nếu bạn không thể làm điều đó, bạn có thể muốn xóa cookie của trình duyệt. Đây không phải là điều gì đó quá hoang tưởng, nhưng đăng xuất khỏi bộ định tuyến của bạn khi bạn sử dụng xong là một việc nhanh chóng và dễ dàng.
Thay đổi địa chỉ IP cục bộ của bộ định tuyến
Nếu bạn thực sự hoang tưởng, bạn có thể thay đổi địa chỉ IP cục bộ của bộ định tuyến. Ví dụ: nếu địa chỉ mặc định của nó là 192.168.0.1, bạn có thể thay đổi nó thành 192.168.0.150. Nếu bản thân bộ định tuyến dễ bị tấn công và một số loại tập lệnh độc hại trong trình duyệt web của bạn cố gắng khai thác lỗ hổng tập lệnh trang web chéo, truy cập vào các bộ định tuyến dễ bị tấn công tại địa chỉ IP cục bộ của chúng và giả mạo chúng, cuộc tấn công sẽ thất bại.
Bước này không hoàn toàn cần thiết, đặc biệt là vì nó sẽ không bảo vệ khỏi những kẻ tấn công cục bộ - nếu ai đó trên mạng hoặc phần mềm đang chạy trên PC của bạn, họ có thể xác định địa chỉ IP của bộ định tuyến của bạn và kết nối với nó.
Cài đặt chương trình cơ sở của bên thứ ba
Nếu bạn thực sự lo lắng về bảo mật, bạn cũng có thể cài đặt chương trình cơ sở của bên thứ ba nhu la DD-WRT hoặc là OpenWRT . Bạn sẽ không tìm thấy các cửa sau khó hiểu được nhà sản xuất bộ định tuyến thêm vào trong các chương trình cơ sở thay thế này.
Các bộ định tuyến dành cho người tiêu dùng đang trở thành một cơn bão hoàn hảo về các vấn đề bảo mật - chúng không được cập nhật tự động với các bản vá bảo mật mới, chúng được kết nối trực tiếp với Internet, các nhà sản xuất nhanh chóng ngừng hỗ trợ chúng và nhiều bộ định tuyến của người tiêu dùng dường như đầy lỗi mã dẫn đến khai thác UPnP và các cửa hậu dễ khai thác. Bạn nên thực hiện một số biện pháp phòng ngừa cơ bản.
Tín dụng hình ảnh: Nuscreen trên Flickr
