Một nhà nghiên cứu bảo mật gần đây đã phát hiện ra một cửa hậu trong nhiều bộ định tuyến D-Link, cho phép bất kỳ ai truy cập vào bộ định tuyến mà không cần biết tên người dùng hoặc mật khẩu. Đây không phải là vấn đề bảo mật bộ định tuyến đầu tiên và sẽ không phải là vấn đề cuối cùng.

Để tự bảo vệ mình, bạn nên đảm bảo rằng bộ định tuyến của mình được định cấu hình an toàn. Điều này không chỉ đơn thuần là kích hoạt mã hóa Wi-Fi và không lưu trữ mạng Wi-Fi mở.

Tắt quyền truy cập từ xa

Bộ định tuyến cung cấp giao diện web, cho phép bạn định cấu hình chúng thông qua trình duyệt. Bộ định tuyến chạy một máy chủ web và cung cấp trang web này khi bạn sử dụng mạng cục bộ của bộ định tuyến.

Tuy nhiên, hầu hết các bộ định tuyến đều cung cấp remote access tính năng cho phép bạn truy cập giao diện web này từ mọi nơi trên thế giới. Ngay cả khi bạn đặt tên người dùng và mật khẩu, nếu bạn có bộ định tuyến D-Link bị ảnh hưởng bởi lỗ hổng này, bất kỳ ai cũng có thể đăng nhập mà không cần bất kỳ thông tin xác thực nào. Nếu bạn đã tắt quyền truy cập từ xa, bạn sẽ an toàn trước những người truy cập từ xa vào bộ định tuyến của bạn và giả mạo nó.

Để thực hiện việc này, hãy mở giao diện web bộ định tuyến của bạn và tìm kiếm Remote Access, Remote Administration, hoặc Remote Management đặc tính. Đảm bảo rằng nó bị vô hiệu hóa – nó sẽ bị tắt theo mặc định trên hầu hết các bộ định tuyến, nhưng nó tốt để kiểm tra.

Cập nhật chương trình cơ sở

Giống như hệ điều hành, trình duyệt web và mọi phần mềm khác mà chúng tôi sử dụng, phần mềm bộ định tuyến không phải là hoàn hảo. Phần sụn bộ định tuyến – về cơ bản là phần mềm chạy trên bộ định tuyến – có thể có lỗi bảo mật. Các nhà sản xuất bộ định tuyến có thể phát hành các bản cập nhật chương trình cơ sở để sửa các lỗ hổng bảo mật như vậy, mặc dù họ nhanh chóng ngừng hỗ trợ cho hầu hết các bộ định tuyến và chuyển sang các mẫu tiếp theo.

Thật không may, hầu hết các bộ định tuyến không có tính năng tự động cập nhật như Windows và các trình duyệt web của chúng tôi – bạn phải kiểm tra trang web của nhà sản xuất bộ định tuyến để biết bản cập nhật chương trình cơ sở và cài đặt nó theo cách thủ công thông qua giao diện web bộ định tuyến. Kiểm tra để đảm bảo rằng bộ định tuyến của bạn đã cài đặt chương trình cơ sở mới nhất.

Thay đổi thông tin đăng nhập mặc định

Nhiều bộ định tuyến có thông tin xác thực đăng nhập mặc định khá rõ ràng, chẳng hạn như mật khẩu admin. Nếu ai đó có quyền truy cập vào giao diện web bộ định tuyến của bạn thông qua một số loại lỗ hổng bảo mật hoặc chỉ bằng cách đăng nhập vào mạng Wi-Fi của bạn, sẽ dễ dàng đăng nhập và giả mạo cài đặt bộ định tuyến.

Để tránh điều này, hãy thay đổi mật khẩu của bộ định tuyến thành mật khẩu không phải là mật khẩu mặc định mà kẻ tấn công không thể dễ dàng đoán được. Một số bộ định tuyến thậm chí còn cho phép bạn thay đổi tên người dùng mà bạn sử dụng để đăng nhập vào bộ định tuyến của mình.

Khóa quyền truy cập Wi-Fi

CÓ LIÊN QUAN: Đừng có ý thức sai về bảo mật: 5 cách không an toàn để bảo mật Wi-Fi của bạn

Nếu ai đó giành được quyền truy cập vào mạng Wi-Fi của bạn, họ có thể cố gắng giả mạo bộ định tuyến của bạn – hoặc chỉ làm những việc xấu khác như rình mò các lượt chia sẻ tệp cục bộ của bạn hoặc sử dụng kết nối của bạn để tải xuống nội dung có bản quyền và khiến bạn gặp rắc rối. Chạy một mạng Wi-Fi mở có thể nguy hiểm.

Để tránh điều này, hãy đảm bảo Wi-Fi của bộ định tuyến của bạn được bảo mật. Điều này khá đơn giản: Đặt nó để sử dụng mã hóa WPA2 và sử dụng cụm mật khẩu an toàn hợp lý. Không sử dụng mã hóa WEP yếu hơn hoặc đặt một cụm mật khẩu rõ ràng như password.

Tắt UPnP

CÓ LIÊN QUAN: UPnP có phải là một rủi ro bảo mật không?

Một loạt các lỗ hổng UPnP đã được tìm thấy trong các bộ định tuyến của người tiêu dùng. Hàng chục triệu bộ định tuyến tiêu dùng phản hồi các yêu cầu UPnP từ Internet, cho phép những kẻ tấn công trên Internet cấu hình bộ định tuyến của bạn từ xa. Các ứng dụng Flash trong trình duyệt của bạn có thể sử dụng UPnP để mở các cổng, khiến máy tính của bạn dễ bị tấn công hơn. UPnP khá không an toàn vì nhiều lý do.

Để tránh các sự cố dựa trên UPnP, hãy tắt UPnP trên bộ định tuyến của bạn thông qua giao diện web của nó. Nếu bạn sử dụng phần mềm cần chuyển tiếp cổng – chẳng hạn như máy khách BitTorrent, máy chủ trò chơi hoặc chương trình truyền thông – bạn sẽ phải chuyển tiếp các cổng trên bộ định tuyến của mình mà không cần dựa vào UPnP.

Đăng xuất khỏi giao diện web bộ định tuyến khi bạn hoàn tất việc định cấu hình nó

Một số bộ định tuyến đã tìm thấy các sai sót về kịch bản trang chéo (XSS). Một bộ định tuyến có lỗ hổng XSS như vậy có thể bị kiểm soát bởi một trang web độc hại, cho phép trang web đó định cấu hình cài đặt trong khi bạn đăng nhập. Nếu bộ định tuyến của bạn đang sử dụng tên người dùng và mật khẩu mặc định của nó, thì trang web độc hại sẽ rất dễ xâm nhập truy cập.

Ngay cả khi bạn đã thay đổi mật khẩu bộ định tuyến của mình, về mặt lý thuyết, một trang web vẫn có thể sử dụng phiên đăng nhập của bạn để truy cập bộ định tuyến của bạn và sửa đổi cài đặt của nó.

Để ngăn chặn điều này, chỉ cần đăng xuất khỏi bộ định tuyến của bạn khi bạn đã cấu hình xong – nếu bạn không thể làm điều đó, bạn có thể muốn xóa cookie trình duyệt của mình. Đây không phải là điều gì đó quá hoang tưởng, nhưng đăng xuất khỏi bộ định tuyến của bạn khi bạn sử dụng xong là một việc nhanh chóng và dễ dàng.

Thay đổi địa chỉ IP cục bộ của bộ định tuyến

Nếu bạn thực sự hoang tưởng, bạn có thể thay đổi địa chỉ IP cục bộ của bộ định tuyến. Ví dụ: nếu địa chỉ mặc định của nó là 192.168.0.1, bạn có thể thay đổi nó thành 192.168.0.150. Nếu bản thân bộ định tuyến dễ bị tấn công và một số loại tập lệnh độc hại trong trình duyệt web của bạn cố gắng khai thác lỗ hổng tập lệnh trên nhiều trang web, truy cập các bộ định tuyến dễ bị tấn công tại địa chỉ IP cục bộ của chúng và giả mạo chúng, cuộc tấn công sẽ thất bại.

Bước này không hoàn toàn cần thiết, đặc biệt là vì nó sẽ không bảo vệ khỏi những kẻ tấn công cục bộ – nếu ai đó trên mạng hoặc phần mềm của bạn đang chạy trên PC của bạn, họ sẽ có thể xác định địa chỉ IP bộ định tuyến của bạn và kết nối với nó.

Cài đặt chương trình cơ sở của bên thứ ba

Nếu bạn thực sự lo lắng về bảo mật, bạn cũng có thể cài đặt chương trình cơ sở của bên thứ ba nhu la DD-WRT hoặc OpenWRT. Bạn sẽ không tìm thấy các cửa sau bị che khuất do nhà sản xuất bộ định tuyến thêm vào trong các chương trình cơ sở thay thế này.


Các bộ định tuyến tiêu dùng đang trở thành một cơn bão hoàn hảo về các vấn đề bảo mật – chúng không được cập nhật tự động với các bản vá bảo mật mới, chúng được kết nối trực tiếp với Internet, các nhà sản xuất nhanh chóng ngừng hỗ trợ chúng và nhiều bộ định tuyến tiêu dùng dường như chứa đầy mã xấu dẫn đến Khai thác UPnP và các cửa hậu dễ ​​khai thác. Thật thông minh để thực hiện một số biện pháp phòng ngừa cơ bản.

Tín dụng hình ảnh: Nuscreen trên Flickr

Rate this post