Một số lưu ý khi cấu hình bảo mật cho router wifi
Router wifi (hay bộ định tuyến wifi), là thiết bị mạng thường được lắp đặt trong các hộ gia đình, văn phòng, bệnh viện và nhiều khu vực khác. Router wifi cho phép người dùng chia sẻ kết nối internet với các thiết bị khác như laptop, điện thoại và máy tính bảng hoặc đơn giản là tạo lập một mạng LAN không dây.
Trên thị trường hiện nay có nhiều hãng sản xuất Router Wifi như TP-Link, Totolink, Asus, Buffalo, Draytek, Linksys, Tenda, D-Link.… Có rất nhiều tiêu chí để lựa chọn một Router Wifi phù hợp với yêu cầu sử dụng như: giá thành, thương hiệu, chuẩn kết nối, phạm vi phát sóng, độ bảo mật,…
Đối với các chuyên gia hoặc những người dùng quan tâm nhiều đến vấn đề đảm bảo an toàn, bảo mật khi sử dụng mạng wifi thì vấn đề cấu hình bảo mật cho thiết bị này được thực hiện ngay từ lúc bắt đầu sử dụng thiết bị. Dưới đây là một số gợi ý giúp cấu hình cho thiết bị Router Wifi nhằm đảm bảo an toàn.
Tắt bỏ tính năng WPS
Wifi Protected Setup (WPS) là chuẩn cho phép thiết bị khách kết nối đến Router Wifi một cách dễ dàng mà không cần nhập mật khẩu. Năm 2012, lỗ hổng liên quan đến WPS được công bố, cho phép tấn công mã PIN.
Vị trí nút bấm WPS trên Router Wifi
Rất dễ tìm ra nút bấm WPS trên một số thiết bị Router Wifi để kích hoạt tính năng này. Thực tế, trên hầu hết các thiết bị Router Wifi thì tính năng này được kích hoạt mặc định.
Các phần mềm được tích hợp sẵn trong bộ công cụ Kali Linux cho phép tấn công mã PIN, như: Reaver thực hiện tấn công trong khoảng thời gian từ 2 đến 10 tiếng, Pixiewps attack khai thác mã PIN trên một số Router Wifi cho kết quả thành công sớm hơn.
Nếu Router Wifi của bạn hỗ trợ WPS thì việc tắt tính năng này sẽ giúp bạn tránh được tấn công phổ biến như đã nêu ở trên.
Loại bỏ việc hỗ trợ băng tần 2.4 GHz
Băng tần 2.4 GHz chỉ được sử dụng cho mạng Wifi cho đến năm 2013, sau đó nó được thay thế bằng băng tần 5 GHz. Hiện nay, các Router Wifi đều hỗ trợ cả 2 băng tần này. Tuy nhiên, có rất nhiều thiết bị, phần mềm cho phép tấn công lên mạng wifi sử dụng băng tần 2.4 GHz. Người dùng cần loại bỏ việc hỗ trợ bằng tần 2.4 GHz và ưu tiên sử dụng 5 GHz.
Chỉ cho phép kết nối bằng chuẩn 802.11ac
Năm 2008, chuẩn Wifi 802.11ac được phát triển và chính thức công bố vào tháng 12/2013. Wifi 802.11ac cung cấp khả năng truyền tải tốc độ cao sử dụng băng tần 5 GHz. Một Router Wifi được thiết đặt sử dụng băng tần 5 GHz với chuẩn 802.11ac có thể được xem là an toàn với các công cụ tấn công hiện có.
Sử dụng chuẩn bảo mật WPA2/WPA3
Hầu hết, các Router Wifi hiện nay đều hỗ trợ các phương thức bảo mật cơ bản và người dùng cần phải sử dụng một phương thức bảo mật nào đó để tránh gặp phải các rắc rối trong quá trình sử dụng mạng wifi.
Một số chuẩn bảo mật cho mạng Wifi
WEP là một chuẩn bảo mật được giới thiệu từ năm 1999 nhưng sau năm 2003 nó không được sử dụng phổ biến do đã bị tấn công một cách dễ dàng. Các chuẩn bảo mật khác lần lượt được giới thiệu là WPA, WPA2 TKIP, WPA2 AES và WPA3 với mức độ an toàn lần lượt đc đánh giá là yếu, yếu, trung bình và cao.
Làm yếu tín hiệu wifi
Khoảng cách phát sóng rất quan trọng đối với mạng wifi, tuy nhiên nó lại làm tăng khả năng bị tấn công. Tất cả các tấn công lên Router Wifi đều cần phải có mức độ tín hiệu tốt để có thể thực hiện thành công. Tuy nhiên, một số Router Wifi cho phép chỉnh mức độ tín hiệu. Trong phạm vi sử dụng, người dùng nên điều chỉnh mức độ tín hiệu để giảm thiểu các nguy cơ hệ thống wifi bị tấn công.
Thay đổi thông tin đăng nhập mặc định
Tất cả các Router Wifi đều sử dụng một tài khoản mặc định cho phép người sử dụng truy cập vào trình quản trị để chỉnh sửa và cấu hình thiết bị. Thông thường, tài khoản quản trị được đặt rất đơn giản, dễ nhớ. Việc thiết lập lại thông tin đăng nhập là việc làm cần thiết giúp đảm bảo an toàn cho thiết bị không bị truy cập trái phép để thay đổi các tham số cấu hình.
Cập nhật phần mềm điều khiển
Phần mềm điều khiển (firmware) của một số thiết bị Router Wifi có thể chứa các lỗ hổng bảo mật mức độ nghiêm trọng. Để khắc phục, các hãng sản xuất thiết bị thường xuyên cung cấp các bản cập nhật bảo mật. Việc thường xuyên theo dõi thông tin từ trang chủ của hãng sản xuất và thực hiện cập nhật kịp thời sẽ tránh được các tấn công đã biết.
Thay đổi giá trị SSID mặc định
Các thiết bị Router Wifi thường được đăt tên mặc định theo hãng sản xuất như LinkSys hoặc Dlink … Tên này được biết đến như tên của mạng Wifi, việc thay đổi thông tin này làm cho kẻ tấn công biết ít hơn thông tin về thiết bị Router được sử dụng mạng và làm tăng mức độ khó cho các tấn công mạng.
Kết luận
Trong lĩnh vực bảo mật, an toàn thông tin không có gì được coi là an toàn tuyệt đối, mọi giải pháp, công nghệ đều có thể chứa những điểm yếu mà chúng ta chưa phát hiện ra. Công nghệ mạng Wifi cũng không phải là trường hợp ngoại lệ, người sử dụng cần tuân thủ nghiêm ngặt các quy định về an toàn, bảo mật nếu không muốn bị tấn công một cách dễ dàng. Những gợi ý về cấu hình bảo mật cho Router Wifi nêu trên sẽ giúp bạn phòng tránh được những tấn công đã biết hiện nay.
Đỗ Quang Trung, Bùi Xuân Thi, Nguyễn Văn Tuân (Học viện Kỹ thuật mật mã)