Một số người có thể truy cập máy in, máy ảnh, bộ định tuyến và các thiết bị phần cứng khác được nối mạng từ Internet. Thậm chí còn có các công cụ tìm kiếm được thiết kế để tìm kiếm các thiết bị tiếp xúc như vậy. Nếu thiết bị của bạn được bảo mật, bạn sẽ không phải lo lắng về điều này.

Làm theo hướng dẫn này để đảm bảo các thiết bị nối mạng của bạn được cách ly đúng cách khỏi Internet. Nếu bạn định cấu hình mọi thứ đúng cách, mọi người sẽ không thể tìm thấy thiết bị của bạn bằng cách thực hiện tìm kiếm trên Shodan.

Bảo mật bộ định tuyến của bạn

Trên một mạng gia đình thông thường – giả sử bạn không có bất kỳ thiết bị nào khác được cắm trực tiếp vào modem – bộ định tuyến của bạn phải là thiết bị duy nhất được kết nối trực tiếp với Internet. Giả sử bộ định tuyến của bạn được định cấu hình chính xác, nó sẽ là thiết bị duy nhất có thể truy cập từ Internet. Tất cả các thiết bị khác được kết nối với bộ định tuyến của bạn hoặc mạng Wi-Fi của nó và chỉ có thể truy cập được nếu bộ định tuyến cho phép chúng.

Điều đầu tiên trước tiên: Đảm bảo bản thân bộ định tuyến của bạn được bảo mật. Nhiều bộ định tuyến có remote administration hoặc remote management các tính năng cho phép bạn đăng nhập vào bộ định tuyến của mình từ Internet và định cấu hình cài đặt của nó. Đại đa số mọi người sẽ không bao giờ sử dụng một tính năng như vậy, vì vậy bạn nên đảm bảo rằng nó đã bị vô hiệu hóa – nếu bạn đã bật tính năng này và có mật khẩu yếu, kẻ tấn công có thể đăng nhập vào bộ định tuyến của bạn từ xa. Bạn sẽ tìm thấy tùy chọn này trong giao diện web bộ định tuyến của mình, nếu bộ định tuyến của bạn cung cấp tùy chọn này. Nếu bạn cần quản lý từ xa, hãy đảm bảo bạn thay đổi mật khẩu mặc định và nếu có thể, cả tên người dùng.

Nhiều bộ định tuyến của người tiêu dùng có lỗ hổng bảo mật nghiêm trọng. UPnP là một giao thức không an toàn cho phép các thiết bị trong mạng cục bộ chuyển tiếp các cổng – bằng cách tạo các quy tắc tường lửa – trên bộ định tuyến. Tuy nhiên, trước đây chúng tôi đã đề cập đến một vấn đề bảo mật phổ biến với UPnP – một số bộ định tuyến cũng sẽ chấp nhận các yêu cầu UPnP từ Internet, cho phép bất kỳ ai trên Internet tạo các quy tắc tường lửa trên bộ định tuyến của bạn.

Kiểm tra xem bộ định tuyến của bạn có dễ bị tấn công bởi lỗ hổng UPnP này hay không bằng cách thăm ShieldsUP! trang mạng và chạy Kiểm tra Phơi sáng UPnP tức thì.

Nếu bộ định tuyến của bạn dễ bị tấn công, bạn có thể khắc phục sự cố này bằng cách cập nhật bộ định tuyến bằng phiên bản chương trình cơ sở mới nhất có sẵn từ nhà sản xuất. Nếu cách đó không hiệu quả, bạn có thể thử tắt UPnP trong giao diện bộ định tuyến hoặc mua bộ định tuyến mới không gặp sự cố này. Đảm bảo chạy lại kiểm tra trên sau khi cập nhật chương trình cơ sở hoặc tắt UPnP để đảm bảo bộ định tuyến của bạn thực sự an toàn.

Đảm bảo các thiết bị khác không thể truy cập được

Việc đảm bảo máy in, máy ảnh và các thiết bị khác của bạn không thể truy cập được qua Internet khá đơn giản. Giả sử các thiết bị này nằm sau bộ định tuyến và không được kết nối trực tiếp với Internet, bạn có thể kiểm soát xem chúng có thể truy cập được từ bộ định tuyến hay không. Nếu bạn không chuyển tiếp các cổng tới các thiết bị được nối mạng của mình hoặc đặt chúng trong một DMZ, nơi hiển thị chúng hoàn toàn với Internet, các thiết bị này sẽ chỉ có thể truy cập được từ mạng cục bộ.

Bạn cũng nên đảm bảo rằng các tính năng chuyển tiếp cổng và DMZ không làm lộ máy tính hoặc thiết bị nối mạng của bạn với Internet. Chỉ một cổng chuyển tiếp bạn thực sự cần chuyển tiếp và tránh xa tính năng DMZ – một máy tính hoặc thiết bị trong DMZ sẽ nhận tất cả lưu lượng đến, như thể nó được kết nối trực tiếp với Internet. Đây là một phím tắt nhanh giúp tránh yêu cầu chuyển tiếp cổng, nhưng thiết bị DMZd cũng mất đi các lợi ích bảo mật do đứng sau bộ định tuyến.

Nếu bạn muốn làm cho các thiết bị của mình có thể truy cập trực tuyến – có thể bạn muốn đăng nhập vào giao diện camera an ninh nối mạng từ xa và xem những gì đang diễn ra trong ngôi nhà của mình – bạn nên đảm bảo chúng được thiết lập an toàn. Sau khi chuyển tiếp các cổng từ bộ định tuyến của bạn và làm cho các thiết bị có thể truy cập được từ Internet, hãy đảm bảo rằng chúng được thiết lập với một mật khẩu mạnh không dễ đoán. Điều này nghe có vẻ hiển nhiên, nhưng số lượng máy in và máy ảnh có kết nối Internet bị lộ trực tuyến cho thấy nhiều người không dùng mật khẩu bảo vệ thiết bị của họ.

Bạn cũng có thể muốn xem xét việc không để lộ các thiết bị như vậy trên Internet và thiết lập VPN thay thế. Thay vì các thiết bị được kết nối trực tiếp với Internet, chúng được kết nối với mạng cục bộ và bạn có thể kết nối từ xa với mạng cục bộ bằng cách đăng nhập vào VPN. Bạn có thể bảo mật một máy chủ VPN dễ dàng hơn là bạn có thể bảo mật một số thiết bị khác nhau bằng máy chủ web tích hợp của riêng chúng.

Bạn cũng có thể thử các giải pháp sáng tạo hơn. Nếu bạn chỉ cần kết nối từ xa với các thiết bị của mình từ một vị trí duy nhất, bạn có thể thiết lập các quy tắc tường lửa trên bộ định tuyến của mình để đảm bảo chúng chỉ có thể được truy cập từ xa từ một địa chỉ IP duy nhất. Nếu bạn muốn chia sẻ các thiết bị như máy in trực tuyến, bạn có thể muốn thử thiết lập một cái gì đó giống như Google Cloud Print hơn là để lộ chúng trực tiếp.

Đảm bảo luôn cập nhật các thiết bị của bạn với bất kỳ bản cập nhật chương trình cơ sở nào cũng bao gồm các bản sửa lỗi bảo mật – đặc biệt nếu chúng được tiếp xúc trực tiếp với Internet.

Khóa Wi-Fi của bạn

Trong khi sử dụng, hãy nhớ khóa mạng Wi-Fi của bạn. Các thiết bị mới được kết nối mạng – từ thiết bị phát trực tuyến Google Chromecast TV đến bóng đèn hỗ trợ Wi-Fi và mọi thứ ở giữa – thường coi mạng Wi-Fi của bạn là một khu vực an toàn. Chúng cho phép mọi thiết bị trên Wi-Fi của bạn truy cập, sử dụng và định cấu hình chúng. Họ làm điều này vì một lý do rõ ràng – thân thiện với người dùng hơn khi coi tất cả các thiết bị trên mạng là đáng tin cậy hơn là nhắc người dùng xác thực tại nhà riêng của họ. Tuy nhiên, điều này chỉ hoạt động tốt nếu mạng Wi-Fi cục bộ thực sự an toàn. Nếu Wi-Fi của bạn không an toàn, bất kỳ ai cũng có thể kết nối và chiếm quyền điều khiển thiết bị của bạn. Họ cũng có thể duyệt bất kỳ tệp nào bạn đã chia sẻ trên mạng.

Đảm bảo rằng bạn đã bật cài đặt mã hóa Wi-Fi an toàn trên bộ định tuyến tại nhà của mình. Bạn nên sử dụng mã hóa WPA2 với cụm mật khẩu khá mạnh – lý tưởng là cụm mật khẩu dài hợp lý với các số và ký hiệu ngoài các chữ cái.

Có nhiều cách khác mà bạn có thể thử để bảo mật mạng gia đình của mình – từ sử dụng mã hóa WEP đến bật tính năng lọc địa chỉ MAC và ẩn mạng không dây của bạn – nhưng những thứ này không cung cấp nhiều bảo mật. Mã hóa WPA2 với cụm mật khẩu mạnh là cách để đi.


Khi tất cả đi xuống, đây là những khu bảo mật tiêu chuẩn. Bạn chỉ cần đảm bảo thiết bị của mình được cập nhật các bản vá bảo mật mới nhất, được bảo vệ bằng mật khẩu mạnh và được định cấu hình an toàn.

Đặc biệt chú ý đến mạng – không nên đặt bộ định tuyến để hiển thị các thiết bị trên Internet trừ khi chúng được định cấu hình an toàn. Ngay cả khi đó, bạn có thể muốn kết nối với chúng từ xa thông qua VPN để tăng cường bảo mật hoặc đảm bảo chúng chỉ có thể truy cập được từ các địa chỉ IP cụ thể.