Router là cánh cửa kết nối giữa Mạng Cục Bộ (LAN) của bạn và thế giới Internet rộng lớn. Theo lẽ tự nhiên, nó phải là tuyến phòng thủ đầu tiên cho quyền riêng tư và an ninh mạng của bạn. Tuy nhiên, hầu hết các router, ngay cả những mẫu cao cấp hay được tùy biến với OPNsense, đều được thiết lập để ưu tiên khả năng kết nối trực tuyến thay vì bảo vệ quyền riêng tư người dùng. Dù việc tuân theo một danh sách kiểm tra cơ bản về các bản sửa lỗi bảo mật có thể giúp mạng của bạn an toàn hơn, nhưng đó mới chỉ là một phần nhỏ trên hành trình bảo vệ quyền riêng tư khi duyệt web. Để đạt được hiệu quả tối ưu, có một số thay đổi quan trọng mà tôi luôn thực hiện mỗi khi thiết lập một router mới. Thay đổi lớn nhất trong số đó là cài đặt máy chủ DNS tự host, cho phép mã hóa truy vấn DNS. Nếu không, Nhà cung cấp Dịch vụ Internet (ISP) hoặc Google có thể theo dõi các yêu cầu DNS của bạn và sử dụng dữ liệu đó cho quảng cáo nhắm mục tiêu, điều mà không ai mong muốn. Bên cạnh các biện pháp bảo mật router, bạn cũng có thể áp dụng một số thủ thuật trên thiết bị của mình để bảo vệ quyền riêng tư, chẳng hạn như tắt tính năng đo từ xa trên Windows hoặc sử dụng các trình duyệt ưu tiên quyền riêng tư.
1. Tự Host Máy Chủ DNS Riêng Để Chặn Theo Dõi Từ ISP
Quyền riêng tư từ thiết kế: Không để ISP theo dõi
Không có gì ngạc nhiên khi ISP của bạn, Google, MSN và có thể mọi trang web bạn truy cập đều đang theo dõi bạn. Thật đáng lo ngại khi thông tin cá nhân của chúng ta dễ dàng bị sử dụng cho quảng cáo nhắm mục tiêu và nhiều mục đích khác. Tuy nhiên, khi nhận thức được điều này, bạn có thể lập kế hoạch các biện pháp đối phó để giảm thiểu lượng thông tin nhận dạng bị rò rỉ trong quá trình sử dụng Internet.
Đó là lý do tại sao điều đầu tiên tôi thay đổi trên bất kỳ router nào là máy chủ DNS, cụ thể là chuyển sang máy chủ DNS mà tôi tự host. Điều này có thể là Unbound, Technitium, hoặc Pi-hole được thiết lập với DNSCrypt. Đây là một điều không thể bỏ qua vì các yêu cầu DNS được mã hóa sẽ ngăn ISP theo dõi. Nếu bạn đang sử dụng hệ thống mạng lưới Eero, Eero Secure cũng cung cấp các bản ghi DNS được mã hóa (lọc tất cả các yêu cầu DNS đi, ngay cả những yêu cầu không được trỏ đến máy chủ DNS của Eero), nhưng bạn phải chấp nhận việc Amazon chịu trách nhiệm về điều đó, và đây là một điểm trừ lớn đối với nhiều người.
Bạn không nhất thiết phải sử dụng DNSCrypt; DNS-over-TLS (DoT) và DNS-over-HTTPS (DoH) cũng hoạt động nếu máy chủ DNS của bạn hỗ trợ chúng. Bạn cũng nên đảm bảo hỗ trợ DNSSEC để trình phân giải DNS của bạn có thể tin cậy các kết quả mà nó nhận được. Nếu không được mã hóa, bất kỳ ai trên mạng Wi-Fi cục bộ của bạn, ISP và các nhà cung cấp trung chuyển đều có thể xem dữ liệu chứa trong các truy vấn và phản hồi DNS của bạn. Dữ liệu này bao gồm cổng UDP được sử dụng, địa chỉ IP và URL liên quan, liệu có lưu lượng HTTPS nào xảy ra hay không (được chỉ ra khi truy cập các trang khác trên URL đó), và nhiều hơn nữa.
Các truy vấn DNS không được mã hóa có thể bị chiếm quyền, điều này thường được ISP thực hiện để chuyển hướng người dùng đến các trang quảng cáo hoặc chặn nội dung mà họ không muốn họ xem. Bất kỳ tường lửa nào trên tuyến đường cũng có thể chặn, chặn hoặc sửa đổi lưu lượng DNS, vì vậy việc mã hóa nó bằng DoT hoặc DoH là rất cần thiết cho quyền riêng tư trên web. Các dịch vụ như Cloudflare DNS và Quad9 hỗ trợ mã hóa và có chính sách không lưu nhật ký, do đó danh tính của bạn được giữ riêng tư. Và vì bạn đang chạy trình phân giải DNS, bạn có thể chặn các trình theo dõi đã biết, các tên miền độc hại và thậm chí cả quảng cáo.
2. Vô Hiệu Hóa UPnP, NAT-PMP và WPS: Các Lỗ Hổng Bảo Mật Nguy Hiểm
Các tính năng dễ bị tấn công làm mất đi quyền riêng tư mạng của bạn
Tôi không biết bạn thế nào, nhưng đối với tôi, quyền riêng tư cũng có nghĩa là không để “cánh cửa” mở cho kẻ tấn công xâm nhập. Thật không may, nhiều router dân dụng có các tính năng được bật theo mặc định, khiến kẻ tấn công dễ dàng xâm phạm quyền riêng tư của mạng gia đình bạn. Đây cũng là những điều nằm trong danh sách các cài đặt tôi cần thay đổi.
May mắn thay, Wi-Fi Protected Setup (WPS) không còn phổ biến trên hầu hết các thiết bị mới hơn. Tuy nhiên, nó vẫn còn tồn tại và là một cách dễ dàng để kẻ tấn công bẻ khóa mật khẩu Wi-Fi của bạn, bởi vì mã PIN sáu chữ số dễ đoán hơn nhiều so với một mật khẩu dài. Hãy tắt WPS, sau đó tắt UPnP và NAT-PMP (nếu router của bạn hỗ trợ chúng). Các tính năng này giúp bất kỳ thiết bị IoT nào trong mạng của bạn, có thể đã bị kéo vào mạng botnet bởi phần mềm độc hại, dễ dàng mở cổng ra Internet.
Router TP-Link được cầm trên tay, biểu tượng cho việc kiểm soát và bảo mật mạng gia đình.
3. Cô Lập Mạng Khách (Guest Network) Để Bảo Vệ Mạng Chính
Mạng khách không nên tương tác với phần còn lại của mạng hoặc thiết bị của bạn
Ngay cả khi bạn không thiết lập VLAN cho các thiết bị IoT của mình để chúng không thể truy cập dữ liệu trên các máy tính chính, bạn vẫn nên tạo một mạng khách cho bất kỳ khách truy cập nào muốn sử dụng Internet. Đây là một phần của việc trở thành một chủ nhà tốt, nhưng bạn không phải hy sinh quyền riêng tư của mình bằng cách cung cấp mật khẩu mạng Wi-Fi chính.
Để mạng khách thực sự hiệu quả, bạn sẽ cần bật Client Isolation hoặc AP Isolation (tùy thuộc vào cách nhà sản xuất router đặt tên), để bất kỳ thiết bị khách nào cũng không thể nhìn thấy thiết bị của bạn hoặc kết nối với nhau. Mạng khách đơn giản là để họ không tốn dung lượng dữ liệu di động khi ở nhà bạn. Bạn cũng có thể thêm giới hạn băng thông để đảm bảo tất cả khách của bạn đều có dịch vụ Internet ổn định, và xóa mạng này sau khi mọi người về, để họ không thể kết nối lại trừ khi bạn biết họ sẽ sử dụng nó.
Giao diện cài đặt router hiển thị tùy chọn tạo mạng khách, minh họa bước cô lập mạng để tăng cường bảo mật.
4. Tắt Hỗ Trợ Thiết Bị Cũ: Nâng Cao Chuẩn Bảo Mật Wi-Fi
Nếu không an toàn, tôi sẽ không cho phép nó trên mạng của mình
Wi-Fi đã phát triển đáng kể kể từ khi ra đời, và mạng gia đình của bạn sẽ không còn riêng tư nếu bạn vẫn kết nối các thiết bị cũ. Các giao thức cũ này bao gồm WEP, WPA và TKIP, và chúng không nên được sử dụng trên router gia đình của bạn. Bảo mật Wi-Fi tốt nhất bạn có thể sử dụng là WPA3 với AES, điều bạn nên tìm kiếm khi lên kế hoạch mua router tiếp theo.
Tuy nhiên, cũng điều quan trọng là phải tìm kiếm bất kỳ thiết bị nào bạn có thể đang sử dụng mà không thể dùng WPA3. Bất kỳ thứ gì sử dụng mã hóa WEP hoặc TKIP đều mang lại cảm giác an toàn giả tạo, vì các công cụ bẻ khóa Wi-Fi có thể tấn công brute-force chúng chỉ trong vài phút. WPA3 bao gồm các tính năng loại bỏ cách kẻ tấn công có thể tìm ra mật khẩu dựa trên dữ liệu bắt tay (handshake data) hoặc buộc thiết bị ra khỏi mạng để liên tục lấy dữ liệu bắt tay mà chúng cần.
Kích hoạt WPA3 trên bất kỳ router Wi-Fi mới nào là một trong những điều đầu tiên tôi sẽ làm. Việc này rất dễ thực hiện vì nó được thực hiện cùng lúc với việc thêm mật khẩu Wi-Fi và chọn các băng tần không dây được sử dụng. Tôi cũng sẽ tắt hỗ trợ 802.11a/b/g/n vì gần như mọi thiết bị trên mạng của tôi đều sử dụng Wi-Fi 5 trở lên, và tôi đã thay thế hầu hết các thiết bị chỉ sử dụng 2.4GHz. Điều đó không trực tiếp làm cho mạng riêng tư hơn, nhưng nó cho tôi biết những thiết bị cũ nào tôi thực sự nên thay thế, vì chúng thường sử dụng các phương pháp không an toàn làm chậm phần còn lại của mạng.
Ổ cắm thông minh TP-Link Kasa Smart Wi-Fi Plug Mini màu trắng, đại diện cho các thiết bị IoT và tầm quan trọng của việc cập nhật chuẩn bảo mật.
Bảo vệ dữ liệu và mạng của bạn là một nhiệm vụ không ngừng nghỉ, khi các công ty và cá nhân liên tục tạo ra những cách mới để truy cập dữ liệu của chúng ta. Điều quan trọng là phải hiểu lý do đằng sau việc tắt các cài đặt mặc định hoặc cài đặt phần mềm mới, bởi vì các công cụ có thể thay đổi, nhưng những nguyên tắc cơ bản thì không. Mã hóa là tốt, nhưng nó cần được sử dụng ở mọi mắt xích, từ trình duyệt web đến các yêu cầu DNS và mọi phân đoạn mạng ở giữa. Các phương pháp bảo vệ quyền riêng tư vật lý cũng có những đối tác kỹ thuật số, và việc tìm ra những phương pháp phù hợp với bạn quan trọng hơn là sử dụng những lựa chọn phổ biến nhất. Và trên hết, hãy thường xuyên kiểm tra để xem liệu các phương pháp định danh kỹ thuật số mới có được phát triển hay không và cách để vượt qua chúng.
Máy tính xách tay Samsung Galaxy Chromebook hiển thị một trang web, tượng trưng cho việc bảo vệ dữ liệu cá nhân khi duyệt web.
Bạn đã áp dụng những cài đặt nào để tăng cường quyền riêng tư và bảo mật cho router gia đình mình? Hãy chia sẻ kinh nghiệm và ý kiến của bạn trong phần bình luận bên dưới, hoặc tìm hiểu thêm các bài viết chuyên sâu về bảo mật mạng trên chiasethuthuat.com!
