Cách đảm bảo Bộ định tuyến, Máy ảnh, Máy in và các thiết bị khác của bạn không truy cập được trên Internet
Một số máy in, máy ảnh, bộ định tuyến và các thiết bị phần cứng khác có thể truy cập được từ Internet. Thậm chí có những công cụ tìm kiếm được thiết kế để tìm kiếm các thiết bị tiếp xúc như vậy. Nếu thiết bị của bạn an toàn, bạn sẽ không phải lo lắng về điều này.
Thực hiện theo hướng dẫn này để đảm bảo các thiết bị nối mạng của bạn được cách ly đúng cách khỏi Internet. Nếu bạn định cấu hình mọi thứ chính xác, mọi người sẽ không thể tìm thấy thiết bị của bạn bằng cách thực hiện tìm kiếm trên Shodan.
Bảo mật Bộ định tuyến của bạn
Trên mạng gia đình thông thường - giả sử bạn không có bất kỳ thiết bị nào khác cắm trực tiếp vào modem - bộ định tuyến của bạn sẽ là thiết bị duy nhất được kết nối trực tiếp với Internet. Giả sử bộ định tuyến của bạn được cấu hình đúng, nó sẽ là thiết bị duy nhất có thể truy cập từ Internet. Tất cả các thiết bị khác được kết nối với bộ định tuyến của bạn hoặc mạng Wi-Fi của nó và chỉ có thể truy cập nếu bộ định tuyến cho phép chúng được.
Điều đầu tiên trước tiên: Đảm bảo bộ định tuyến của bạn được an toàn. Nhiều bộ định tuyến có tính năng quản trị từ xa, các tính năng của quản lý từ xa, hay cho phép bạn đăng nhập vào bộ định tuyến từ Internet và định cấu hình các cài đặt của nó. Đại đa số mọi người sẽ không bao giờ sử dụng tính năng này, vì vậy bạn nên đảm bảo rằng nó bị vô hiệu hóa - nếu bạn bật tính năng này và có mật khẩu yếu, kẻ tấn công có thể đăng nhập vào bộ định tuyến của bạn từ xa. Bạn sẽ tìm thấy tùy chọn này trong giao diện web của bộ định tuyến, nếu bộ định tuyến của bạn cung cấp nó. Nếu bạn cần quản lý từ xa, hãy đảm bảo bạn thay đổi mật khẩu mặc định và, nếu có thể, tên người dùng cũng vậy.
Nhiều bộ định tuyến người tiêu dùng có một lỗ hổng bảo mật nghiêm trọng. UPnP là một giao thức không an toàn cho phép các thiết bị trên mạng cục bộ chuyển tiếp các cổng - bằng cách tạo quy tắc tường lửa - trên bộ định tuyến. Tuy nhiên, trước đây chúng tôi đã đề cập đến một vấn đề bảo mật phổ biến với UPnP - một số bộ định tuyến cũng sẽ chấp nhận các yêu cầu UPnP từ Internet, cho phép mọi người trên Internet tạo quy tắc tường lửa trên bộ định tuyến của bạn.
Kiểm tra xem bộ định tuyến của bạn có dễ bị tổn thương UPnP này hay không bằng cách truy cập ShieldsUP! trang web và chạy thử nghiệm tiếp xúc với UP Instant UPnP.
Nếu bộ định tuyến của bạn dễ bị tấn công, bạn có thể khắc phục sự cố này bằng cách cập nhật nó với phiên bản phần sụn mới nhất có sẵn từ nhà sản xuất. Nếu điều đó không hoạt động, bạn có thể muốn thử vô hiệu hóa UPnP trong giao diện của bộ định tuyến hoặc mua bộ định tuyến mới không có vấn đề này. Đảm bảo chạy lại thử nghiệm trên sau khi cập nhật chương trình cơ sở hoặc vô hiệu hóa UPnP để đảm bảo bộ định tuyến của bạn thực sự an toàn.
Đảm bảo các thiết bị khác không truy cập được
Đảm bảo máy in, máy ảnh và các thiết bị khác của bạn không truy cập được qua Internet khá đơn giản. Giả sử các thiết bị này ở phía sau bộ định tuyến và không được kết nối trực tiếp với Internet, bạn có thể kiểm soát xem chúng có thể truy cập được từ bộ định tuyến hay không. Nếu bạn không chuyển tiếp cổng tới các thiết bị được kết nối mạng của mình hoặc đặt chúng vào DMZ, nơi hiển thị chúng hoàn toàn với Internet, các thiết bị này sẽ chỉ có thể truy cập được từ mạng cục bộ.
Bạn cũng nên đảm bảo rằng các tính năng chuyển tiếp cổng và DMZ không để lộ máy tính hoặc thiết bị nối mạng của bạn với Internet. Chỉ các cổng chuyển tiếp bạn thực sự cần chuyển tiếp và tránh xa tính năng DMZ - một máy tính hoặc thiết bị trong DMZ sẽ nhận được tất cả lưu lượng truy cập đến, như thể nó được kết nối trực tiếp với Internet. Đây là một phím tắt nhanh để tránh sự cần thiết phải chuyển tiếp cổng, nhưng thiết bị DMZ'd cũng mất các lợi ích bảo mật khi đứng sau bộ định tuyến.
Nếu bạn muốn làm cho thiết bị của mình có thể truy cập trực tuyến - có thể bạn muốn đăng nhập vào giao diện của camera an ninh được nối mạng từ xa và xem những gì đang diễn ra trong nhà bạn - bạn nên đảm bảo chúng được thiết lập an toàn. Sau khi chuyển tiếp cổng từ bộ định tuyến của bạn và làm cho các thiết bị có thể truy cập được từ Internet, hãy đảm bảo rằng chúng được thiết lập với một mật khẩu mạnh không dễ đoán. Điều này nghe có vẻ rõ ràng, nhưng số lượng máy in và máy ảnh được kết nối Internet đã bị lộ trực tuyến cho thấy nhiều người không bảo vệ mật khẩu cho thiết bị của họ.
Bạn cũng có thể muốn xem xét không để lộ các thiết bị như vậy trên Internet và thiết lập VPN thay thế. Thay vì các thiết bị được kết nối trực tiếp với Internet, chúng được kết nối với mạng cục bộ và bạn có thể kết nối từ xa với mạng cục bộ bằng cách đăng nhập vào VPN. Bạn có thể bảo mật một máy chủ VPN dễ dàng hơn bạn có thể bảo mật một số thiết bị khác nhau bằng các máy chủ web tích hợp của riêng họ.
Bạn cũng có thể thử nhiều giải pháp sáng tạo hơn. Nếu bạn chỉ cần kết nối từ xa với các thiết bị của mình từ một vị trí, bạn có thể thiết lập các quy tắc tường lửa trên bộ định tuyến của mình để đảm bảo chúng chỉ có thể được truy cập từ xa từ một địa chỉ IP duy nhất. Nếu bạn muốn chia sẻ các thiết bị như máy in trực tuyến, bạn có thể muốn thử thiết lập một cái gì đó như Google Cloud Print thay vì phơi bày chúng trực tiếp.
Đảm bảo luôn cập nhật thiết bị của bạn với mọi bản cập nhật chương trình cơ sở bao gồm các bản sửa lỗi bảo mật - đặc biệt là nếu chúng được tiếp xúc trực tiếp với Internet.
Khóa Wi-Fi của bạn
Trong khi bạn đang ở đó, hãy chắc chắn khóa mạng Wi-Fi của bạn. Các thiết bị được kết nối mạng mới - từ thiết bị phát trực tuyến Chromecast TV của Google đến bóng đèn hỗ trợ Wi-Fi và mọi thứ ở giữa - thường coi mạng Wi-Fi của bạn là một khu vực an toàn. Chúng cho phép mọi thiết bị trên Wi-Fi của bạn truy cập, sử dụng và định cấu hình chúng. Họ làm điều này vì một lý do rõ ràng - thân thiện với người dùng hơn khi coi tất cả các thiết bị trên mạng là đáng tin cậy hơn là nhắc nhở người dùng xác thực tại nhà riêng của họ. Tuy nhiên, điều này chỉ hoạt động tốt nếu mạng Wi-Fi cục bộ thực sự an toàn. Nếu Wi-Fi của bạn không an toàn, bất kỳ ai cũng có thể kết nối và chiếm quyền điều khiển thiết bị của bạn. Họ cũng có thể duyệt bất kỳ tệp nào bạn đã chia sẻ trên mạng.
Hãy chắc chắn rằng bạn đã bật cài đặt mã hóa Wi-Fi an toàn trên bộ định tuyến gia đình. Bạn nên sử dụng mã hóa WPA2 với cụm mật khẩu khá mạnh - lý tưởng là cụm mật khẩu dài hợp lý với các số và ký hiệu bên cạnh các chữ cái.
Có nhiều cách khác bạn có thể cố gắng bảo mật mạng gia đình của mình - từ sử dụng mã hóa WEP đến cho phép lọc địa chỉ MAC và ẩn mạng không dây của bạn - nhưng chúng không mang lại nhiều bảo mật. Mã hóa WPA2 với cụm mật khẩu mạnh là cách để đi.
Khi tất cả đi vào nó, đây là những ưu tiên bảo mật tiêu chuẩn. Bạn chỉ cần đảm bảo các thiết bị của mình được cập nhật với các bản vá bảo mật mới nhất, được bảo vệ bằng mật khẩu mạnh và được định cấu hình an toàn.
Đặc biệt chú ý đến kết nối mạng - bộ định tuyến không nên được đặt để hiển thị các thiết bị trên Internet trừ khi chúng được định cấu hình an toàn. Thậm chí sau đó, bạn có thể muốn kết nối với chúng từ xa thông qua VPN để bảo mật hơn hoặc đảm bảo chúng chỉ có thể truy cập được từ các địa chỉ IP cụ thể.