1. Từ Chối Mặc Định Mọi Lưu Lượng Truy Cập Đến (Default Deny)
Quy tắc tường lửa đầu tiên mà tôi luôn thiết lập là một quy tắc đơn giản nhưng lại định hình cấu trúc cho mọi quy tắc khác: từ chối mặc định tất cả lưu lượng truy cập đến. Bạn có thể thấy điều này kỳ lạ, nhưng trên một mạng gia đình, không có lý do gì để cho phép các kết nối đến không được yêu cầu – hoàn toàn không có.
Các kết nối đến do một ứng dụng trên thiết bị trong mạng gia đình yêu cầu dữ liệu từ máy chủ bên ngoài là chấp nhận được, miễn là bạn tin tưởng ứng dụng hoặc thiết bị đó. Hãy coi các gói dữ liệu internet như những “ma cà rồng thông tin” – chúng sẽ không vào trừ khi được mời một cách rõ ràng.
Điều đó có nghĩa là bạn sẽ có một hệ thống phân cấp các quy tắc tường lửa tương tự như sau:
- Quy tắc chống giả mạo (Anti-spoofing rules): Cấp độ quy tắc cao nhất lọc tất cả lưu lượng nhưng chỉ cho phép các gói tin từ các nguồn hợp lệ đi qua.
- Quy tắc truy cập người dùng (User access rules): Thiết lập quy tắc cho những gì người dùng có thể làm, chẳng hạn như HTTP cho truy cập web, 443 cho VPN, v.v.
- Quy tắc truy cập quản lý (Management access rules): Các quy tắc cho phép công cụ và địa chỉ quản trị đến tiếp theo để chỉ các nguồn đáng tin cậy mới có thể tương tác với cấu hình và giám sát của tường lửa.
- Quy tắc từ chối dịch vụ cụ thể (Service-specific denial rules): Chặn các dịch vụ không cần thiết hoặc dễ bị tấn công, và chặn theo địa lý (Geo-blocks), giúp giảm nhiễu và các vector tấn công.
- Quy tắc từ chối chung (Catch-all deny rule): Loại bỏ tất cả lưu lượng không khớp với các quy tắc tường lửa trước đó đã cho phép rõ ràng đi qua.
Ví dụ, với Uncomplicated Firewall (UFW) trên các hệ thống Linux, bạn có thể bắt đầu với:
Cấu hình UFW ví dụ
ufw default reject incoming
ufw default allow outgoing
ufw default deny routedĐiều này ngăn chặn các cuộc tấn công lười biếng hoặc tự động cố gắng khai thác các cổng hoặc dịch vụ mở trên mạng của bạn. Bề mặt tấn công càng nhỏ, càng tốt. Và đừng quên chặn cả IPv4 và IPv6.
2. Lọc Dựa Trên DNS (Chặn GeoIP)
Việc một số quốc gia chịu trách nhiệm cho phần lớn các cuộc tấn công mạng, ransomware, lừa đảo (phishing) và các mối đe dọa internet khác là một thực tế. Đủ nhiều để một số tùy chọn tường lửa loại trừ cụ thể các dải IP từ các quốc gia đó khỏi các kết nối đến mạng của bạn. Dù bạn đang chạy OPNsense, pfSense hay một giải pháp tường lửa khác, việc thiết lập chặn GeoIP là rất hợp lý và bạn sẽ muốn chặn lưu lượng truy cập đến hoặc đi từ mạng gia đình của mình. Lý do là bạn không bao giờ biết liệu có điều gì độc hại đã tồn tại trên mạng của mình hay không, và bạn không muốn ransomware hoặc phần mềm độc hại “gọi về nhà”.
Minh họa mạng vệ tinh quanh Trái Đất thông qua Iridium Communications.
Chặn GeoIP không hoàn hảo nếu chỉ đứng một mình, vì kẻ tấn công có thể giả mạo địa chỉ IP để trông như đến từ các quốc gia an toàn hơn. Tuy nhiên, đây là một bước đi dễ dàng và hiệu quả trong phương pháp bảo mật đa lớp, hoạt động tốt để giảm thiểu các mục tiêu dễ bị tấn công mà nhiều kẻ tấn công nhắm đến.
Đối với OPNsense hoặc nhiều tường lửa khác, bạn sử dụng cơ sở dữ liệu MaxMind GeoIP để thực hiện điều này. Bạn sẽ cần đăng ký và tạo một khóa cấp phép (miễn phí), sau đó thêm nội dung sau vào trường cài đặt GeoIP (tìm thấy tại Firewall > Aliases > GeoIP Settings trên bảng điều khiển OPNsense):
https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=My_License_key&suffix=zipĐiều này sẽ tải xuống danh sách và cho phép bạn từ chối bất kỳ lưu lượng IP nào từ các khu vực đó.
3. Phân Đoạn Mạng (VLAN cho Thiết Bị IoT)
Việc giữ các thiết bị IoT (Internet of Things) của bạn trên một phân đoạn mạng riêng biệt luôn là một ý tưởng hay. Các thiết bị tiêu thụ ít điện năng này thường thiếu khả năng hoặc không gian để chạy các tính năng bảo mật mà máy tính của bạn không thể thiếu, và bạn không muốn chúng gây ra sự cố. Ngay cả khi chúng không phải là mối lo ngại về bảo mật (mặc dù chúng là), chúng thường làm đầy mạng của bạn bằng các gói tin broadcast, unicast và multicast, những gói tin này đi đến mọi thiết bị trên mạng của bạn, làm chậm mọi thứ cho tất cả mọi người.
Cấu trúc quy tắc ví dụ:
LAN: Cho phép kết nối đi, chặn kết nối đến từ IoT VLAN
IoT: Cho phép kết nối đi ra internet, chặn kết nối đi đến LAN trừ các dịch vụ được ủy quyềnCùng với việc đặt các thiết bị IoT đó vào một VLAN riêng, bạn vẫn có thể muốn chúng có thể kết nối internet để cập nhật hoặc điều khiển dựa trên đám mây. Nếu bạn đang sử dụng Home Assistant để điều khiển nhà thông minh của mình, bạn có thể muốn đặt nó vào VLAN đó và có một bộ quy tắc tường lửa khác cho lưu lượng của Home Assistant có thể đi giữa VLAN IoT và mạng gia đình của bạn.
4. Cài Đặt Fail2Ban
Mọi quy tắc tường lửa thông minh trên thế giới cũng không thể ngăn cản kẻ tấn công đăng nhập đơn giản qua cổng quản lý. Bạn có thể làm cho việc đó khó khăn hơn nhiều, trước tiên bằng cách đảm bảo rằng các trang quản lý không thể truy cập được bên ngoài mạng gia đình của bạn, nhưng sau đó bạn có thể thêm Fail2Ban để tăng cường bảo vệ.
Thiết lập một container Fail2Ban
Plugin này dành cho tường lửa của bạn theo dõi nhật ký các dịch vụ quan trọng và tìm kiếm các mẫu bất thường nằm ngoài phạm vi bạn đã đặt. Sau đó, nó sẽ chặn bất kỳ địa chỉ IP nào đang có hành vi đáng ngờ. Nếu bạn đã từng bị khóa khỏi một tài khoản trực tuyến vì gõ sai mật khẩu quá nhiều lần, bạn sẽ hiểu cách plugin này hoạt động. Một điểm khởi đầu tốt cho việc chặn là 5 lần đăng nhập thất bại trong vòng 10 phút, sau đó là thời gian cấm đối với những người vi phạm lần đầu hoặc nếu họ quay lại.
5. Chặn Các Cổng Đi Không Cần Thiết
Khi xây dựng một tường lửa an toàn, việc bắt đầu với nguyên tắc “ít đặc quyền nhất” luôn là tốt nhất. Đừng tin tưởng bất kỳ thứ gì trên mạng của bạn, dù là thiết bị hay chương trình, cho đến khi bạn biết nó tương đối an toàn và cần nới lỏng các hạn chế một chút. Chặn các cổng đi theo mặc định là một ý tưởng hay, giúp giảm số lượng cổng mà một thiết bị độc hại có thể sử dụng để “gọi về nhà”. Nhưng bạn sẽ cần cân bằng điều này với nhu cầu của mạng gia đình để giao tiếp với internet, bao gồm việc mở các cổng chuẩn mà nhiều thiết bị máy tính dựa vào.
Ảnh chụp màn hình ứng dụng Firewalla phủ lên thiết bị Firewalla Gold Pro
Một số cổng phổ biến bao gồm:
- HTTP/HTTPS (cổng 80 và 443): dùng cho duyệt web.
- FTP (cổng 21): Giao thức truyền tệp.
- SMTP (cổng 25): Giao thức truyền thư đơn giản cho email đi.
- SSH (cổng 22): Secure Shell để quản trị thiết bị từ xa an toàn.
- DNS (cổng 53): Hệ thống tên miền được sử dụng để phân giải tên miền.
- DHCP (cổng 67): Giao thức cấu hình máy chủ động để cấp phát địa chỉ IP.
- NTP (cổng 123): Giao thức thời gian mạng.
- VoIP (cổng 56): Voice over Internet Protocol được sử dụng cho các cuộc gọi điện thoại.
Bạn sẽ cần một số cổng này được mở, nhưng một vài cổng thường được sử dụng bởi các hệ thống bị xâm nhập, như Cổng 25, thường được dùng để gửi thư rác, Cổng 53 để chiếm quyền điều khiển bản ghi DNS của bạn, và Cổng 445, là cổng SMB (Server Message Block). Chặn ba cổng này sẽ giúp bạn và những người dùng internet khác an toàn hơn.
Nền Tảng Vững Chắc Cho Mọi Tường Lửa Cá Nhân
Các quy tắc tường lửa luôn thay đổi và điều chỉnh để đáp ứng hoặc vượt qua mức độ của các kẻ tấn công hiện có. Những cài đặt này sẽ giúp bạn an toàn hơn, nhưng chúng không phải là tất cả những cài đặt duy nhất bạn nên có trên tường lửa để bảo vệ mạng gia đình của mình. Có rất nhiều plugin bảo mật bổ sung cho bất kỳ tường lửa toàn diện nào để làm cho mạng của bạn an toàn hơn nữa. Hãy chủ động tìm hiểu và cập nhật kiến thức bảo mật thường xuyên để giữ vững phòng tuyến kỹ thuật số của bạn.
