TƯỜNG LỬA

Firewall (tường lửa) là gì?

Firewall hay còn gọi là tường lửa, là một thuật ngữ trong chuyên ngành mạng máy
tính. Nó là một công cụ phần cứng hoặc phần mềm hoặc là cả 2 được tích hợp vào hệ
thống để chống lại sự truy cập trái phép, ngăn chặn virus… để đảm bảo nguồn thông
tin nội bộ được an toàn, tránh bị kẻ gian đánh cắp thông tin.

Nói ngắn gọn và dễ hiểu hơn thì Firewall chính là ranh giới bảo mật giữa bên trong và
bên ngoài của một hệ thống mạng máy tính.

Có mấy loại Firewall?

Firewall thì được chia ra làm 2 loại đó là: Personal firewall và Network firewall.

+ Personal Firewall: Loại này được thiết kế để bảo vệ một máy tính trước sự truy
cập trái phép từ bên ngoài.

Bên cạnh đó thì Personal Firewall còn được tích hợp thêm tính năng như theo dõi các
phần mềm chống virus, phần mềm chống xâm nhập để bảo vệ dữ liệu.

Một số Personal Firewall thông dụng như: Microsoft Internet connection firewall,

Symantec personal firewall, Cisco Security Agent….

Loại Firewall này thì thích hợp với cá nhân bởi vì thông thường họ chỉ cần bảo vệ
máy tính của họ, thường được tích hợp sẵn trong máy tính Laptop, máy tính PC..
+ Network Firewalls: Được thiết kế ra để bảo vệ các host trong mạng trước sự tấn
công từ bên ngoài.

Chúng ta có các Appliance-Based network Firewalls như Cisco PIX, Cisco ASA,

Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall.

Hoặc một số ví dụ về Software-Base firewalls include Check Point’s Firewall,

Microsoft ISA Server, Linux-based IPTables.

=> Điểm khác nhau giữa 2 loại Firewall này đó là số lượng host được Firewall bảo vệ.
Bạn hãy nhớ 1 điều là Personal firewall chỉ bảo vệ cho một máy duy nhất,
còn Network firewall lại khác, nó sẽ bảo vệ cho cả một hệ thống mạng máy tính.

Trong đó, hệ thống Network Firewall được cấu tạo bởi các thành phần chính như
sau:

1. Bộ lọc Packet (Packet- Filtering Router)

2. Cổng ứng dụng ( đó là Application-Level Gateway hay Proxy Server).
3. Cổng mạch (Circuite Level Gateway).
Các bạn nhìn vào sơ đồ bên dưới là có thể hình dung ra được 2 loại Firewalls trên:

Nhiệm vụ chính của Firewall?

Firewall hỗ trợ máy tính kiểm soát luồng thông tin giữa Intranet và Internet, Firewall
sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài, những người
nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạn truy cập
những dịch vụ bên ngoài của những người bên trong hệ thống.

Mình lấy ví dụ như giới hạn trang Facebook, tất cả những người trong hệ thống sẽ
không thể truy cập vào được mạng xã hội này. Sau đây là một số nhiệm vụ chính của
Firewall:

 Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin
chỉ có trong mạng nội bộ.
 Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong.
  Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.
 Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép).
 Kiểm soát truy cập của người dùng.
 Quản lý và kiểm soát luồng dữ liệu trên mạng.
 Xác thực quyền truy cập.
 Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng.
 Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng),
giao thức mạng.
 Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống
mạng.
 Firewall hoạt động như một Proxy trung gian.
 Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
 Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc,
việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.
 Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn muốn. Ví
dụ như Facebook Messenger, Skype, Zalo…

Những nhược điểm và hạn chế của Firewall?

Không cái gì là toàn diện cả, tuy Firewall cung cấp nhiều tính năng hữu ích để bảo vệ
người dùng, song nó vẫn có những nhược điểm như:

+ Firewall không thể bảo vệ các mối nguy hiểm từ bên trong nội bộ. Tác hại thì khỏi
cần nói các bạn cũng đã biết, nếu một ai trong công ty có ý đồ xấu, muốn phá hoại thì
Firewall cũng đành bó tay.

+ Firewall không có đủ thông minh để có thể đọc và hiểu từng loại thông tin và tất
nhiên là nó không thể biết được đâu là nội dung tốt và đâu là nội dung xấu. Mà đơn
thuần Firewall chỉ hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồn thông tin
không mong muốn nhưng phải xác định rõ các thông số địa chỉ.

+ Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn công đó không
“đi qua” nó. Ví dụ cụ thể đó là Firewall không thể chống lại một cuộc tấn công từ một
đường dial-up, hoặc là sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp ra đĩa
mềm.

+ Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent
attack). Khi có một số ứng dụng hay phần mềm.. được chuyển qua thư điện tử (ví dụ
như Gmail, Yahoo mail…), nó có thể vượt qua Firewall vào trong mạng được bảo vệ.

+ Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó,
do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để
mã hóa dữ liệu để có thể thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên,
chúng ta không thể phủ nhận một điều rằng Firewall vẫn là giải pháp hữu hiệu được
áp dụng khá rộng rãi hiện nay.

MÃ HÓA DỮ LIỆU

Mã hóa dữ liệu là gì?

Mã hóa dữ liệu là chuyển dữ liệu từ dạng này sang dạng khác hoặc sang dạng code
mà chỉ có người có quyền truy cập vào khóa giải mã hoặc có mật khẩu mới có thể
đọc được nó. Dữ liệu được mã hóa thường gọi là ciphertext, dữ liệu thông thường,
không được mã hóa thì gọi là plaintext.
Hiện tại, mã hóa dữ liệu là một trong những phương pháp bảo mật dữ liệu phổ biến và
hiệu quả nhất, được nhiều tổ chức, cá nhân tin tưởng. Thực chất việc mã hóa dữ liệu
sẽ không thể nào ngăn việc dữ liệu có thể bị đánh cắp, nhưng nó sẽ ngăn việc người
khác có thể đọc được nội dung của tập tin đó, vì nó đã bị biến sang thành một dạng ký
tự khác, hay nội dung khác.
Có hai loại mã hóa dữ liệu chính tồn tại: mà hóa bất đối xứng, còn được gọi là mã hóa
khóa công khai, và mã hóa đối xứng.

Chức năng chính của mã hóa dữ liệu

Mục đích của việc mã hóa dữ liệu là bảo vệ dữ liệu số khi nó được lưu trữ trên các hệ
thống máy tính và truyền qua Internet hay các mạng máy tính khác. Các thuật toán mã
hóa thường cung cấp những yếu tố bảo mật then chốt như xác thực, tính toàn vẹn và
không thu hồi. Xác thực cho phép xác minh nguồn gốc của dữ liệu, tính toàn vẹn
chứng minh rằng nội dung của dữ liệu không bị thay đổi kể từ khi nó được gửi đi.
Không thu hồi đảm bảo rằng người người không thể hủy việc gửi dữ liệu.
Quá trình mã hóa sẽ biến nội dung sang một dạng mới, vì thế sẽ tăng thêm một lớp
bảo mật cho dữ liệu. Như vậy cho dù dữ liệu của bạn bị đánh cắp thì việc giải mã dữ
liệu cũng vô cùng khó khăn, tốn nhiều nguồn lực tính toán và cần rất nhiều thời gian.
Với những công ty, tổ chức thì việc sử dụng mã hóa dữ liệu là điều cần thiết. Điều này
sẽ tránh được những thiệt hại khi những thông tin mật nếu vô tình bị lộ ra ngoài, cũng
khó lòng giải mã ngay lập tức.
Hiện nay có rất nhiều ứng dụng tin nhắn đều sử dụng mã hóa nhằm bảo mật tin nhắn
cho người dùng. Chúng ta có thể kể đến Facebook, WhatApps với loại mã hóa sử
dụng được gọi là End-to-End.
Quá trình mã hóa dữ liệu
Dữ liệu hoặc plaintext được mã hóa với một thuật toán mã hóa và một key mã hóa,
tạo ra một ciphertext. Dữ liệu sau khi mã hóa chỉ có thể xem được dưới dạng ban đầu
nếu giải mã với các key chính xác.
Mã hóa đối xứng sử dụng cùng một khóa bí mật để mã hóa và giải mã dữ liệu. Mã hóa
đối xứng nhanh hơn nhiều so với mã hóa bất đối xứng, vì khi mã hóa bất đối xứng
người gửi phải trao đổi khóa mã hóa với người nhận trước khi người nhận có thể giải
mã dữ liệu. Vì các công ty cần phải phân phối một cách an toàn và quản lý số lượng
lớn các khóa, nên hầu hết các dịch vụ mã hóa dữ liệu cũng nhận thấy điều này và đều
sử dụng mã hóa bất đối xứng để trao đổi khóa bí mật sau khi sử dụng một thuật toán
đối xứng để mã hóa dữ liệu.
Thuật toán mã hóa bất đối xứng còn được gọi là mã hóa khóa công khai, sử dụng 2
khóa khác nhau, một công khai và một riêng tư. Chúng ta sẽ tìm hiểu về hai khóa này
trong phần tiếp theo.

XÁC THỰC

Xác thực (Authentication) là gì?

Xác thực/ Định danh (authentication) là một hành động nhằm thiết lập hoặc chứng
thực một cái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai
báo do người đó đưa ra hoặc về vật đó là sự thật.

Như đã biết, RESTful web service sử dụng HTTP protocol như một phương tiện giao
tiếp và HTTP request là stateless protocol. Tức là server không lưu giữ bất kỳ thông
tin nào của client, server xử lý các request một cách độc lập, không phụ thuộc vào
trạng thái hay kết quả của request trước.

Như hình bên dưới, do server không lưu giữ bất kỳ thông tin nào của request trước.
Nên mỗi request gửi lên server đều phải phải chứng thực lại, mặc dù là request của
cùng một user đã được chứng thực.
Một trong những cách để giải quyết vấn đề này là mỗi request client gửi lên đều gửi
kèm thông tin đã chứng thực trước đó.
Authentication được thực hiện như thế nào?
Dấu hiệu nhận biết
Một số dấu hiện nhận biết quá trình chứng thực có thể được thực hiện hay không là: ở
mỗi request, client sẽ gửi kèm thông tin chứng thực lên server như username/
password, một chuỗi chứa thông tin mã hóa (token, api key), một chuỗi random
(session_id). Chúng thường được gửi kèm với trong HTTP request như: query string
trong URL, Header (Cookie header, Authorization header, Custom header), Body
(Form field, Hidden field,…)

Quá trình authentication

Để có được dấu hiệu nhận dạng phía trên, ta cần có sự thống nhất trước giữa người
dùng và ứng dụng để ứng dụng của chúng ta có thể nhận dạng được người dùng.

Về cơ bản thì một quá trình authentication sẽ gồm 2 bước:

 Xác thực một user (thường là request đầu tiên).

 Lưu giữ đăng nhập (cho các request phía sau).

Một quá trình authentication sẽ bao gồm 3 phần:

 Sinh ra dấu hiệu: đây là việc chúng ta quyết định xem dùng dấu hiệu gì, tạo ra
dấu hiệu đó như thế nào. Một quá trình authentication có thể có sự xuất hiện của
nhiều dấu hiệu, ví dụ username/password, user token, api key,… Các dấu hiệu
này sẽ có cách sinh ra khác nhau, quy ước sử dụng khác nhau.
 Lưu trữ dấu hiệu: Đây là việc ứng dụng sẽ quyết định lưu trữ dấu hiệu này ở
đâu, ở cả server và client, thông qua vị trí nào trên HTTP request,…
  Kiểm tra dấu hiệu: Đây là việc ứng dụng của chúng ta kiểm tra lại tính hợp lệ
của dấu hiệu, đối chiếu xem dấu hiệu này có hợp lệ hay không và của người
dùng nào,…

Phía trên ảnh là ví dụ quá trình authentication, trong đó mỗi request tùy thuộc vào
thông tin đầu vào sẽ được xử lý qua 1 hoặc nhiều phần của quá trình authentication.

SỬ DỤNG WIFI AN TOÀN

Luôn truy cập bảng điều khiển admin bằng Ethernet

Đăng nhập vào bảng điều khiển admin của router chỉ đơn giản là mở trình duyệt web,
nhập địa chỉ IP (hoặc đôi khi là URL), rồi đến tên người dùng và mật khẩu admin
router. Mọi thứ đều ổn, miễn là bạn không làm như vậy trên một kết nối không dây.
Khi đăng nhập vào bảng quản trị admin qua mạng không dây, những thông tin đăng
nhập đó sẽ được gửi qua mạng và có khả năng bị chặn giữa chừng. Nếu bạn chỉ đăng
nhập khi được kết nối bằng Ethernet, bạn có thể loại bỏ rủi ro này.
Trên thực tế, bạn nên vô hiệu hóa hoàn toàn quyền truy cập từ xa và yêu cầu kết nối
có dây để điều chỉnh mọi thứ. Bằng cách này, ngay cả khi tin tặc can thiệp vào kết nối
không dây và phá vỡ mật khẩu của bạn, chúng cũng không thể thay đổi bất cứ điều gì.

Thay đổi tên mạng (SSID)

Đây là một biện pháp rất đơn giản, thay đổi tên mạng mặc định. Kẻ tấn công biết tên
mặc định mà các nhà sản xuất bộ định tuyến (router) và ISP sử dụng. Nếu họ có thể
tìm ra loại bộ định tuyến bạn đang sử dụng chỉ bằng cách nhìn vào tên mạng của bạn
và có thể tấn công vào chính xác bộ định tuyến dễ dàng hơn nhiều. Nó tiết kiệm cho
họ cả thời gian và công sức.
Thêm vào đó, loại thông tin này mở ra “cánh cửa” cho những cuộc tấn công tinh vi
hơn, tấn công firmware cụ thể của bộ định tuyến. Kẻ tấn công có thể khai thác trực
tiếp firmware và có khả năng tiếp cận nhiều hơn và một cách kín đáo hơn nếu họ chỉ
tìm ra mật khẩu của bạn.

Thay đổi tên người dùng và mật khẩu

Cũng tương tự như cách bảo mật ở trên, bạn cần thay đổi tên người dùng và mật khẩu
của người dùng quản trị mạng.
Những kẻ tấn công biết được tên và mật khẩu mặc định và họ sẽ thử những thứ đó
trước. Đừng nghĩ rằng bạn thông minh chỉ bằng cách thay đổi mật khẩu hoặc thay đổi
một ký tự. Kẻ tấn công có một công cụ có thể kiểm tra hàng nghìn cách kết hợp mật
khẩu và tên người dùng một cách nhanh chóng.
Thay đổi tên người dùng quản trị thành một cái gì đó hơi khó đoán. Mật khẩu phải là
một cụm mật mã. Điều đó có nghĩa là nó phải là một cụm từ chứa ít nhất một hoặc
nhiều từ không có nghĩa. Ngoài ra bạn cũng nên sử dụng chữ viết hoa, số, và một vài
ký tự đặc biệt.

Thay đổi địa chỉ IP mặc định của router

Vì lý do bảo mật, tốt nhất bạn nên thay đổi IP mặc định của router (địa chỉ IP bạn
nhập vào trình duyệt của mình để kết nối với router), giúp nó có khả năng chống theo
dõi tốt hơn.
1. Trong khi đăng nhập với quyền admin, hãy tìm tùy chọn Network
Configuration hoặc thứ gì đó tương tự.
2. Thay đổi một hoặc cả hai số cuối cùng của địa chỉ IP trong trường LAN IP
Address. Ví dụ: bạn có thể thay đổi IP mặc định là 192.168.200.01 trên router của
mình thành 192.168.200.36 (địa chỉ IP thực trên router của bạn sẽ khác).
3. Nhấp vào Apply hoặc Save và đợi router của bạn khởi động lại.

Sử dụng mã hóa mạnh

Mã hóa là một tính năng bắt buộc phải sử dụng trên tất cả các router. Bỏ qua việc sử
dụng mã hóa cũng giống như để tất cả các cửa ra vào và cửa sổ trong nhà luôn mở.
Mọi thứ bạn nói hoặc làm đều có thể được nhìn và nghe thấy bởi bất cứ ai.
Nếu bạn không sử dụng mã hóa cho mạng không dây của mình thì bạn đã phạm một
sai lầm lớn. Trên thực tế, nếu bạn đang sử dụng mã hóa, bạn vẫn có thể mắc lỗi.
Không phải tất cả mã hóa được tạo ra đều như nhau. Đảm bảo bạn đã chọn đúng cài
đặt.
Nghiêm túc thì chỉ mất khoảng 30 giây để kích hoạt mã hóa trong cài đặt router. Và
khi làm như vậy, hãy đảm bảo bạn sử dụng chế độ WPA2 nếu nó có sẵn, hoặc không
thì hãy sử dụng WPA Personal. Dù thế nào đi nữa cũng đừng sử dụng mã hóa WEP,
vì nó yếu và dễ bị bẻ khóa.

Chọn "WPA2 Personal" cho mạng của bạn. Sẽ rất tốt nếu bạn có thể thiết lập phiên
bản doanh nghiệp, nhưng nó thực sự không dễ dàng trừ khi bạn đã có một số kinh
nghiệm với nó.
Đối với thuật toán mã hóa, chọn AES, không dùng TKIP. AES cung cấp mã hóa
mạnh mẽ hơn và rất khó khai thác. TKIP chỉ được chọn như là một lựa chọn để tương
thích ngược, và nếu bạn thực sự cần TKIP, hãy cập nhật thiết bị của bạn.

Chọn mật khẩu mạnh

Mật khẩu mà bạn sử dụng để đăng nhập vào mạng cũng cần phải mạnh và nó cần phải
khác với mật khẩu dành cho tài khoản quản trị viên. Chọn mật khẩu dài, bao gồm ít
nhất một từ ít được dùng, số và các ký tự đặc biệt. Mật khẩu của bạn phải dài ít nhất
mười lăm ký tự.

Thay đổi mật khẩu WiFi

Ngay cả khi mật khẩu Wi-Fi của bạn cực kỳ mạnh, bạn cần phải thay đổi nó. Giống
như bất kỳ mật khẩu nào, bạn nên thường xuyên thay đổi những cụm từ mới. Điều đó
không có nghĩa là bạn cần phải thay đổi mật khẩu của mình mỗi ngày, nhưng cứ vài
tháng một lần là một ý tưởng không tồi.

Thiết lập cài đặt DHCP Reservation (địa chỉ IP tĩnh)

Đối với hầu hết các mạng, router có thể được giữ ở cài đặt DHCP mặc định. Điều này
có nghĩa là router sẽ tự động cung cấp địa chỉ IP cho các client được kết nối với mạng
, do đó, bạn loại bỏ bớt được công việc quản lý IP.
Nếu bạn dự định kết nối máy chủ hoặc bất kỳ thiết bị nào bạn có thể truy cập từ bên
ngoài mạng của mình, tùy chọn tốt nhất là cấu hình cài đặt DHCP Reservation. Điều
này đơn giản có nghĩa là bạn đang nói với router rằng một thiết bị cụ thể luôn sử
dụng địa chỉ IP tĩnh cụ thể, địa chỉ này được dành riêng cho nó.
Ví dụ, địa chỉ IP của router có thể là 192.168.1.1. Vì vậy, bạn có thể cung cấp
cho email server của mình một địa chỉ IP là 192.168.1.2. Bạn cũng có thể cung cấp
cho thiết bị thứ ba, chẳng hạn như web server, địa chỉ IP là 192.168.1.3, v.v...

Vô hiệu hoá mạng khách

Mạng khách có thể là một con dao hai lưỡi. Đảm bảo chắc chắn, khách của bạn không
đăng nhập và truy cập vào toàn bộ mạng của bạn, và họ không sử dụng mật khẩu của
bạn. Tuy nhiên, nếu mạng khách không có mật khẩu, bạn vẫn đang mở rộng cho bất
cứ ai muốn kết nối. Về cơ bản, bạn đang cho kẻ tấn công có cơ hội truy cập vào mạng
của bạn.
Ngoại lệ duy nhất ở đây là nếu bạn có thể tạo một mật khẩu riêng dành cho mạng
khách. Nếu mạng khách của bạn có cùng cấp độ bảo mật như mạng chính thì không
sao. Nếu không, vô hiệu hóa nó và nếu bạn không tin tưởng khách của bạn, hãy thay
đổi mật khẩu khi họ rời đi.

Bật tường lửa

Không phải mọi bộ định tuyến đều có tường lửa đã được cài sẵn, nhưng nếu máy của
bạn có, hãy bật nó. Tường lửa có thể đóng vai trò là hàng phòng thủ đầu tiên của bạn.
Chúng được thiết kế đặc biệt để quản lý và lọc lưu lượng truy cập vào và ra khỏi
mạng của bạn và có thể khóa các truy cập thông qua các cổng không được sử dụng.

Sử dụng VPN
Bạn sẽ không ngăn những người hàng xóm của bạn xâm nhập vào mạng của bạn bằng
VPN, nhưng bạn có thể ngăn chặn các cuộc tấn công từ bên ngoài khu vực gần nhất
theo cách đó.
Khi sử dụng VPN, đầu tiên hãy kết nối với máy chủ VPN, sau đó kết nối với Internet
bên ngoài. Tất cả lưu lượng truy cập đều đến từ VPN, bao gồm bất kỳ thông tin nào
về mạng máy tính nội bộ của bạn bởi vì VPN tạo các mạng nội bộ ảo. Trong khi kết
nối với chúng, máy tính của bạn ở trên cả mạng nội bộ vật lý và mạng ảo. Internet chỉ
có thể nhìn thấy mạng ảo.
VPN có thêm lợi ích từ việc ẩn danh một phần lưu lượng truy cập của bạn. Một VPN
sẽ không làm bạn hoàn toàn vô danh trên mạng, nhưng nó chắc chắn sẽ giúp ích.

Tắt WPS

WPS là viết tắt của Wifi Protected Setup. Đây là một hệ thống kết nối với mạng wifi
đã được mã hóa mà không cần nhập mật khẩu. Có một số điểm khác biệt, nhưng tất cả
đều tương đối giống nhau.
Mặc dù về lý thuyết WPS có thể hoạt động tốt nhưng thực tế nó không thực sự tốt như
vậy. WPS có thể gây ra một số lỗ hổng bảo mật. Nó được bật theo mặc định trên hầu
hết các bộ định tuyến. Nếu bạn cảm thấy không cần WPS, có thể vô hiệu hoá nó và
đóng những lỗ hổng bảo mật này.

Quản lý firmware của bộ định tuyến

Giống như máy tính, bộ định tuyến có một hệ điều hành. Tuy nhiên, nó không tự động
cập nhật các bản cập nhật bảo mật như máy tính, do vậy bạn cần phải tự cập nhật nó.
Một số bộ định tuyến có thể tải bản cập nhật firmware từ Internet. Đối với những bộ
định tuyến khác, bạn phải tự tải chúng xuống và tải lên bộ định tuyến từ máy tính của
bạn.
Giống như với máy tính, bản cập nhật thường bao gồm các bản sửa lỗi bảo mật quan
trọng. Nếu bạn không cập nhật, những kẻ tấn công sẽ lợi dụng những lỗi bảo mật này
để tấn công bạn. Bạn không cần phải làm điều này thường xuyên, chỉ cần kiểm tra cập
nhật hàng tháng hoặc lâu hơn.
Nếu có một chút kiến thức về công nghệ, bạn có thể xem xét sử dụng firmware bộ
định tuyến nguồn mở tùy chỉnh. Có một vài công cụ thực sự tuyệt vời mà bạn có thể
tải lên bộ định tuyến của mình và nó thường được cập nhật nhanh và nhiều tính năng
hơn. Nếu chưa bao giờ làm điều này trước đây, hãy cẩn thận vì bạn có thể phá hủy bộ
định tuyến.

Tắt quản lý từ xa/dịch vụ không cần thiết

Nhiều bộ định tuyến có các dịch vụ quản lý từ xa. Trong một số bộ định tuyến, các
dịch vụ này được kích hoạt mặc định. Đừng nhầm lẫn ở đây. Đây không phải là giao
diện web mà bạn sử dụng để quản lý bộ định tuyến từ bên trong mạng, các dịch vụ từ
xa cho phép bạn quản lý nó từ bên ngoài. Điều đó có nghĩa là kẻ tấn công từ Internet
mở có thể truy cập vào giao diện quản lý bộ định tuyến của bạn. Không có nhiều lý do
thực tế tại sao bạn cần phải quản lý bộ định tuyến của mình từ bên ngoài mạng, vì vậy
bạn sẽ không bỏ lỡ nhiều thứ nếu tắt dịch vụ nguy hiểm tiềm ẩn này.
Có những dịch vụ khác mà bộ định tuyến đi kèm với nó là không cần thiết. Ví dụ, một
số bộ định tuyến đi kèm với SSH hoặc Telnet được kích hoạt theo mặc định. Không
có lý do gì cả, đặc biệt là vì bạn có thể sử dụng giao diện web của bộ định tuyến. Một
số bộ định tuyến thậm chí có FTP và Samba được bật theo mặc định để chia sẻ tệp.
Cả hai đều có thể khiến kẻ tấn công mạng dễ dàng hơn. Nếu bạn có chúng, hãy tắt
chúng đi.

Lọc địa chỉ MAC

Tất cả các thiết bị đều có một địa chỉ MAC (Media Access Control) duy nhất, được sử
dụng để giao tiếp với một phân đoạn mạng.
Bằng cách lọc địa chỉ MAC của từng thiết bị, bạn có thể tăng cường bảo mật cho
mạng của mình. Bạn có thể thực hiện việc này bằng cách thêm địa chỉ MAC cho tất
cả các thiết bị của mình vào tùy chọn router không dây, đảm bảo rằng chỉ những thiết
bị đã được lọc mới có thể tạo kết nối với mạng.
Bạn thường có thể tìm thấy địa chỉ MAC trong menu Network Settings trên thiết bị
của mình hoặc bằng cách đi tới Command Prompt, nhập "getmac" và
nhấn Enter. Kết quả nhận được sẽ tương tự như sau:

Tìm địa chỉ MAC

1. Trong khi đăng nhập vào router, hãy tìm tùy chọn MAC Filtering và nhấp vào nó.
Tùy chọn MAC Filtering có thể được liệt kê dưới dạng MAC Filter, Network
Filter, Network Access, Access Control hoặc một cái gì đó tương tự. Nó có thể nằm
trong menu Wireless, Security hoặc Advanced.
2. Nhấp vào tùy chọn để thêm MAC Filter mới. Nút rất có thể sẽ là biểu tượng có nội
dung "Add" hoặc dấu cộng (+) hoặc một cái gì đó tương tự.
3. Nhập địa chỉ MAC của từng thiết bị trong mạng mà bạn muốn lọc ra.
Nếu bạn quan tâm đến chủ đề bảo mật hoặc bạn đã đọc một bài báo như thế này trước
đây, bạn có thể tự hỏi tại sao một số điều không được nhắc đến. Một câu hỏi hay! Địa
chỉ IP tĩnh, lọc MAC và ẩn SSID đều bị bỏ qua vì chúng đã được chứng minh là
không hoạt động. Chắc chắn, bạn có thể ngăn cản một số can thiệp ở mức độ nhẹ,
nhưng đối với các công cụ đúng, không có thủ thuật nào trong số này có hiệu quả.
Bạn nên đầu tư thời gian và nỗ lực của mình khi nó đạt được kết quả như mã hóa và
đặt mật khẩu mạnh.