Thiết lập bảo mật trên thiết bị router(modem) tại nhà

linhnhd

VIP Members
30/12/2014
14
32 bài viết
Thiết lập bảo mật trên thiết bị router(modem) tại nhà
THIÊT LẬP MỘT ROUTER (MODEM) AN TOÀN TẠI NHÀ

Chúng ta đã biết Router (modem) là thiết bị dùng để kết nối ra ngoài Internet, thiết bị thường được sử dụng trong các hộ gia đình, doanh nghiệp nhỏ, Việc setup hết sức đơn dản chỉ cần thực hiện cấu hình giao thức PPPoE để thực hiện việc kết nối ra ngoài mạng qua ISP, và mọi thông số setting khác chúng ta thường để mặc đinh, chính vị vậy sẽ tiểm ẩn nguy cơ về an toàn bảo mật mà chúng ta không thể lường trước được.

Trong bài hôm này tối sẽ hướng dẫn các bạn làm thế nào để thiết lập được Router an toàn.
1) Thay đổi thông tin quản trị đăng nhập mặc định.
Bởi mặc định thông tin username, password sử dụng để login vào Router là giống nhau trên mỗi dòng, và bạn hoàn toàn có thể tìm kiếm online, trên website của nhà sản xuất.

Vậy nên việc không thay đổi thông tin mặc định này sẽ tạo điểu kiện cho một người nào đó có thể chiếm quyền cấu hình Router của bạn.​

Z90HaZdRdHWOyviehIuX0TOsbZXNmjPE7WLInlIEI57k9a2AuBhLHQ2VYvuTcFE25nUuPxh_Dp3naxlxgOzuY-KQ5DC4tC2oxaQwL1gopuCccNf81VG01Mh6W7FJJWE3K4BwvB1M


2) Tắt tính năng quản trị truy cập từ xa.
Khi tính năng truy cập từ xa được bật, Nghĩa là bất cứ ai trong mạng LAN hoặc Internet đều có thể truy cập vào Router của bạn để thực hiện chiếm quyền thay đổi cấu hình.
Để ngăn chặn việc truy cập từ xa trái phép, đặc biệt từ mạng Internet ta nên tăt bỏ tính năng này trong kết nối đến cổng WAN.

Đối với mạng LAN ta chỉ thực hiện mở đối với IP kết nối trực tiếp bằng mạng dây, để đảm bảo an toàn hơn ta có thể thêm danh sách địa chỉ MAC của PC có quyền truy cập từ xa.​
3) Thực hiện cấu hình password wifi với phương thức mã hóa WPA2.
Khi login vào Router bạn cần đảm bảo rằng đã cấu hình password cho wifi, bởi với mạng wifi mở sẽ gây ra các lỗ hổng tiềm tàng đến hệ thống mạng của bạn.

Tuy nhiên như vậy là chưa đủ, việc crack pasword wifi là rất đơn dản nếu chúng ta sử dụng các giao thực mã hóa yếu, vậy nên việc chọn giao thức mã hóa mạnh là rất quan trọng, ở đây chúng tôi khuyên nên sử dụng phương thức mã hóa WPA2 như hình dưới.​

rnZwqoGNN-4s5UMfAUdqcXVzAMzT1IlCG2TIaWf8gkQSBOtedx41hzBdfVZDn_pl4s5VSKGOvVdnHsorFnAM4QJoeXmW7YZXcNfMgWk14HchsjlpZwQdrZ_oH1FMR8YUTuQUMTS1



4) Tắt WPS.
WPS (Wi-Fi Protected Setup) là một tính năng có mặt trong gần như tất cả các router wireless được sản xuất trong những năm gần đây. Tính năng này cho phép một máy tính có thể kết nối đến một mạng không dây thong qua việc nhập mã PIN mà không cần phải nhớ mật khẩu của mạng đó.

Tuy nhiên vấn đề ở đây là, tình năng này bật bởi mặc định và không giới hạn số lần đăng nhập lỗi, vậy lên việc crack rất đơn giản, bằng việc sử dụng các tool mà bạn có thể tìm được online.
Nên bạn cần tắt tính năng WPS ngay lập tức vì với năng lực tính toán của CPU ngày nay, các hacker có thể bẻ khóa các mã PIN của bạn chỉ trong vài phút với một kết nối đủ ổn định​

MHVByvkSECpQZ22rnjoVNIqtnsuAFzvidrnJSUYa6U2RztkE0p2fx1QUkB9v7Vwhrl19dkhRDOQ_0WvJ-GCZHlbfa_ZWuib6j8mDaE7WE1ZpZ_WZGcY71xXZNG_-jfnsd-qmujOU


5) Cấu hình gán MAC các máy được phép kết nối đến.
Như chúng ta đã biết khi kết nối đến mạng Wifi ta chỉ cần biết thông tin SSID và Password, tuy nhiên như vậy là chưa đủ vì đôi khi SSID và Password vẫn bị lộ dẫn đến việc sử dụng Wifi chùa gây ảnh hưởng đến bandwidth, security. Phương án đưa ra là thực hiện add danh sách các địa chỉ MAC được phép sử dụng mạng. Vậy nên dù biết được Password thì người dùng cũng sẽ không thể kết nối đến mạng wifi của bạn.​

qOZGuRLCday9SsJBFBi0Dkq18ADaGHrdf3I6VHVjXsb2avde_k1-w46ew3Ie9UbzKnH0ICEpqQbVWmPA2S3qRPvcYIeC8T1_USYDAfEqvN3QZblVzOuk2rt57tBeF57U4FbanH3D


Việc add MAC sẽ góp phần làm tăng tính bảo mật cho mạng Wifi của bạn tuy nhiên vẫn chưa phải là tất cả nếu trường hợp hacker biết được địa chỉ MAC của bạn, và làm giả chúng (Bằng việc sử dụng tool mà bạn có thể tìm online) thì việc add MAC trên là vô nghĩa.​
6) Làm ẩn SSID
SSID (Service Set Identifier) nói một cách dễ hiểu đó là tên mạng Wi-Fi của bạn. Đây là thứ giúp người dùng có thể phân biệt được các mạng Wi-Fi nhất là ở khu vực có nhiều mạng không dây.

SSID được tự động hiển thị khi người dùng muốn truy cập Wi-Fi, tuy nhiên các router đều có chức năng tắt SSID. Khi bạn tắt SSID cũng đồng nghĩa với việc những người khác sẽ không thể dò ra được mạng Wi-Fi của bạn.

Việc làm ẩn SSID bằng cách tắt tính năng phát SSID có thể ngăn chặn việc truy nhập trái phép vào mạng. Tuy nhiên, đừng để điều này đánh lừa nhận thức về bảo mật của bạn. Một người với các thiết bị cần thiết vẫn có thể dễ dàng lấy được SSID mạng Wi-Fi của bạn.​
7) Thay đổi giá trị IP mặc định của Router.
Như đã nói ở trên việc thay đổi thông tin đăng nhập mặc định, là việc rất đơn dản, và hiệu quả để ngăn chặn các truy cấp trái phép. Tuy nhiên để nâng cao độ khó cho hacker để tìm được thông tin IP đăng nhập ta có sẽ cấu hình thêm việc thay đổi thông IP mặc định Router, mà hacker hoàn toàn có thể đoán ra.

Giá trị IP mặc định của Router có thể là 192.168.1.1/24 or 192.168.0.1/24 bạn có thể đổi thành các giá trị khác 192.168.1.2 đến 192.168.1.254 đều được​
8) Thay đổi giá trị DNS mặc định
Hơn là việc sử dụng các giá trị DNS mạc định của ISP, bạn nên sử dụng những DNS nổi tiếng đáng tin cậy như của GOOGLE hay Open DNS để đảm bảo tăng tốc độc Internet, cũng như khả năng bảo mật.​
9) Tắt tính năng Ping, Telnet, SSH, UpnP, and HNAP.
Đây là các giao thức dùng để quản trị cấu hình nhạy cảm, sẽ tạo điều kiện cho hacker lợi dụng để thực các cuộc tấn công thăm dò đánh cắp thông tin. Việc tắt các giao thức trên giúp Router ẩn danh trong môi trường mạng, giúp hạn chế các nguy cơ bảo mật tiềm tàng.​
10) Update Firmware.
Firmware phần mềm được chạy trên trên một thiết bị cứng để giúp thiết bị có khả năng hoạt động hoặc giao tiếp với thiết bị ngoại vị khác. Tuy nhiên theo thời gian như chúng ta đã biết mọi sản phẩn phần mềm đều có thể phát sinh lỗ hổng bảo mật, khi đó nhà sản xuất bắt buộc phải đưa ra phiên bản Firmware mới hơn nhằm mục đích vá các lỗ hổng trên. Vậy nên việc kiểm tra và thực hiện Update phiên bản Firmware mới nhất là rất quan trọng.​

nfykG9IlRJEMIJ8OQp1iPEzYDXuyiE51ZukysJZAp2-tBm83RcfIzE03REbul-hArAnpx1xSBp1BGUwcLj8jdHlYVaQ6xs_PTEoa9g4R38M19XUye-fprLy7jL1e4Zcvyu_749N2

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Một tình huống xảy ra như sau:
Thiết bị Wireless Router (WR) nhà bạn được cấu hình an ninh đầy đủ như hướng dẫn ở trên. Tuy nhiên khi mở log file trên WR, bạn thấy có rất nhiều địa chỉ IP truy cập vào WR nhà bạn từ bên ngoài. Bạn muốn tìm hiểu các địa chỉ IP đó nguồn gốc từ đâu, bạn sực nhớ tool IPNetInfo. Bạn copy danh sách địa chỉ IP và Paste vào tool này để kiểm tra. Kết quả như sau:

1489939953wifi bi tan cong.png


Vậy kẻ tấn công đã làm cách nào để truy cập vào WR nhà bạn vậy?wifi bi tan cong.jpg

wifi bi tan cong.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chào bạn, Gửi cho mình thông tin Log trên Modem của bạn nhé.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nktung;n62138 đã viết:
Một tình huống xảy ra như sau:
Thiết bị Wireless Router (WR) nhà bạn được cấu hình an ninh đầy đủ như hướng dẫn ở trên. Tuy nhiên khi mở log file trên WR, bạn thấy có rất nhiều địa chỉ IP truy cập vào WR nhà bạn từ bên ngoài. Bạn muốn tìm hiểu các địa chỉ IP đó nguồn gốc từ đâu, bạn sực nhớ tool IPNetInfo. Bạn copy danh sách địa chỉ IP và Paste vào tool này để kiểm tra. Kết quả như sau:

1489939953wifi bi tan cong.png


Vậy kẻ tấn công đã làm cách nào để truy cập vào WR nhà bạn vậy?

Theo e thì a phải cho biết thêm tên thiết bị, vì có một vài thiết bị có sẵn backdoor, hoặc dính các lỗi CVE
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sugi_b3o;n62142 đã viết:
Theo e thì a phải cho biết thêm tên thiết bị, vì có một vài thiết bị có sẵn backdoor, hoặc dính các lỗi CVE

Huawei HG8045A
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo như trang http://websec.ca/advisories/view/Hua...-remote-access báo cáo
148993995336.JPG


thì ở đây dính backdoor với mật khẩu đăng nhập đó là admin:*6P0N4dm1nP4SS* và mật khẩu telnet mặc định là root:admin

Cám ơn bạn

Đúng là nguyên nhân ở đây do kẻ tấn công đã khai thác lỗ hổng trên WR của Huawei và truy cập vào WR. Vậy giải pháp cho vấn đề này là gì?36.JPG

36.JPG
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Em là sinh viên đang đi ở trọ, hiện nhà em dùng mạng FPT và chia cho cả khu dùng chung luôn.

Tuy nhiên có phòng lại kéo dây về và dùng bộ chia để chia cho các máy cùng phòng mà chỉ đóng $ có 1 máy dùng mạng.

Các anh tư vấn giúp em cách nào có thể xử lý được việc gian lận này không ạ, đi nhắc nhiều người ta em cũng không thích nhưng nhiều lúc mạng chậm lắm.
Port security.PNG

Port security.PNG
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
khaibang;n62190 đã viết:
Em là sinh viên đang đi ở trọ, hiện nhà em dùng mạng FPT và chia cho cả khu dùng chung luôn.

Tuy nhiên có phòng lại kéo dây về và dùng bộ chia để chia cho các máy cùng phòng mà chỉ đóng $ có 1 máy dùng mạng.

Các anh tư vấn giúp em cách nào có thể xử lý được việc gian lận này không ạ, đi nhắc nhiều người ta em cũng không thích nhưng nhiều lúc mạng chậm lắm.[/Hide]

Thật ra việc này không gian lận đâu bạn à,ở các xóm trọ sinh viên mình đã gặp rất nhiều các bạn có thể chung $ lại thuê gói 16mbps giá 200k,hoặc 22mbps giá 230k của FPT, nếu như dãy trọ dài hoặc các phòng cách xa nhau, các bạn có thể mua thêm Wireless Router(WR) giá tầm 150k~200k (cả Router nhà mạng + WR có thể đáp ứng cho 10~15 thiết bị)
Cách 1: Nối Router của nhà mạng với WR của bạn sau đố cấu hình đặt thêm mật khẩu tạo ra thêm 1 mạng con.
Cách 2: Dùng WR như một Brigde sẽ làm mới các tín hiệu của Router chính (không cần dây).
Cách 3: Nối dây như bạn nêu như vậy thường Router sẽ ưu tiên những thiết bị dùng dây còn những thiết bị không dây như smartphone, tablet sẽ chậm hơn một chút.
Nếu "Bộ chia" của bạn là HUB thì bạn nên thay và dùng Wireless Router nhé.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
khaibang;n62190 đã viết:
Em là sinh viên đang đi ở trọ, hiện nhà em dùng mạng FPT và chia cho cả khu dùng chung luôn.

Tuy nhiên có phòng lại kéo dây về và dùng bộ chia để chia cho các máy cùng phòng mà chỉ đóng $ có 1 máy dùng mạng.

Các anh tư vấn giúp em cách nào có thể xử lý được việc gian lận này không ạ, đi nhắc nhiều người ta em cũng không thích nhưng nhiều lúc mạng chậm lắm.

Em nên thay từ bộ chia bằng từ Switch thì đúng hơn
Switch có nhiều loại. Em nên mua loại switch hỗ trợ tính năng Port Security: có thể cấu hình để trên 1 cổng chỉ cho phép 1 địa chỉ MAC truy cập. Như vậy nếu gia đình nào kéo về phòng mà lại chia ra cho nhiều máy thì cổng trên Switch sẽ tự động khóa lại. Sau đó em báo người đó, và hỏi rõ anh ta dùng bao nhiêu máy, em sẽ tăng số địa chỉ MAC lên, để đồng thời có nhiều máy truy cập được. Và đương nhiên anh ta phải đóng thêm tiền tương ứng với số máy sử dụng.

1489939953Port security.PNG
Port security.PNG

Port security.PNG
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sugi_b3o;n62188 đã viết:
Theo như trang http://websec.ca/advisories/view/Hua...-remote-access báo cáo {"alt":"Click image for larger version Name: 36.JPG Views: 1 Size: 61,5 KB ID: 62189","data-align":"center","data-attachmentid":"62189","data-size":"custom","height":"325","title":"36.JPG","width":"500"}

thì ở đây dính backdoor với mật khẩu đăng nhập đó là admin:*6P0N4dm1nP4SS* và mật khẩu telnet mặc định là root:admin

Cám ơn bạn

Đúng là nguyên nhân ở đây do kẻ tấn công đã khai thác lỗ hổng trên WR của Huawei và truy cập vào WR. Vậy giải pháp cho vấn đề này là gì?

Theo như thông tin trang web ở trên đã cảnh báo và đưa ra giải pháp đó là tắt chức năng WAN-side HTTP và Telnet.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
khaibang;n62190 đã viết:
Em là sinh viên đang đi ở trọ, hiện nhà em dùng mạng FPT và chia cho cả khu dùng chung luôn.

Tuy nhiên có phòng lại kéo dây về và dùng bộ chia để chia cho các máy cùng phòng mà chỉ đóng $ có 1 máy dùng mạng.

Các anh tư vấn giúp em cách nào có thể xử lý được việc gian lận này không ạ, đi nhắc nhiều người ta em cũng không thích nhưng nhiều lúc mạng chậm lắm.

Bạn có thể tham khảo cách như sau để ngăn chặn việc sử dụng chùa :)).

+ Cấu hình gán MAC các máy được phép kết nối ra ngoài Internet: Cách này sẽ ngăn chặn việc mở rộng cổng kết nối, trên cùng một port bằng việc sử dụng Switch, (hoặc qua AP wifi mode bridge). Với cách này MAC không hợp lệ sẽ bị deny. Tuy nhiên việc này sẽ không tối
ưu trong trường hợp người dùng bật Ad-hoc (AP wifi mode NAT) nghĩa là Modem chỉ có thể nhìn được MAC của một máy duy nhất, để giải quyết vấn đề này ta thực hiện đồng thời cách tiếp theo dưới đây:

+ Sử dụng QoS (Quality of Service) cho từng IP (MAC) được đăng ký: Nghĩa là mỗi phòng mỗi IP chỉ được sử dụng badwidth nhất định, trong trường hợp vượt quá bandwidth ngưỡng thì chỉ phòng đấy sẽ bị chậm thôi (^ _ >) mà không ảnh hưởng đến toàn bộ hệ thống wifi.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hehe vậy là có phương án rồi, cảm ơn các anh, em sẽ áp dụng cho mạng ở nhà luôn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Gửi anh em user/pass mặc định một số loại modem phổ biến tại Việt Nam:
1489939953modem.jpg



Bí mật: riêng modem Acatel-Lucent Viettel dùng thì user/pass là vtadmin/n0tPubl1c nhé anh em. :-":-"

Ngoài ra với một số dòng modem mà VNPT sử dụng có user/pass là megavnn/megavnn hoặc telecomadmin/admintelecommodem.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên