“Cách ly” mọi thiết bị IoT, tăng cường bảo mật mạng wifi gia đình với chế độ AP Isolation

Hôm nay là tròn 1 tuần + 1 ngày cả nhà tôi bị cách ly do chung cư có ca nhiễm Covid-19, may mắn là toàn bộ cư dân xét nghiệm đều âm tính lần 1, đang đợi kết quả xét nghiệm lần 2. Thấy nhà nào cũng cúng bái rần rần nền chắc không sao đâu :)) . Cách ly rảnh ở nhà thì làm gì ? Hết ăn rồi lại ngủ, lên mạng đọc báo chứ còn làm gì được nữa, hoạt động mua bán của tumlumshop cũng đã ngưng ở tất cả các kênh bán hàng nên rảnh càng thêm rỗi. Vậy nên trong đầu nghĩ ra vài bài để viết 🙂

Vì sắp chuyển nhà nên tôi đang rà soát lại mức độ “thiệt hại” nếu phải setup lại toàn bộ các thiết bị IoT ở trong nhà. Đa phần khi kết nối với mạng wifi mới, bạn phải reset lại thiết bị và cài đặt lại từ đầu. Cách duy nhất để mọi thứ hoạt động “y như cũ” là tên điểm truy cập wifi và mật khẩu bạn phải đặt giống hệt như lúc ban đầu, mà tôi thì đang muốn thay đổi :))

Cũng từ việc thống kê này, tôi nhận ra trong nhà đang có khá nhiều các thiết bị “thông minh”, có thể điều khiển thông qua internet : Amazon Echo Dot, Google Nest Mini, robot lau nhà, công tắc điện Sonoff, ổ cắm điện thông minh, camera, bộ điều khiển broadlink và sắp tới sẽ có thêm khoá cửa thông minh và bộ điều khiển của Panasonic. Tất cả đều “thông minh” nhưng có điều đa phần các thiết bị này đều được sản xuất tại Trung Quốc, đáng lo ngại nhất là các thiết bị mà nơi sản xuất + thương hiệu + app đều là của Trung Quốc.

Có thể kể đến như các ổ cắm điện thông minh giá rẻ (bất kỳ nhãn hiệu nào, dùng app Smart Life), công tắc thông minh Sonoff (dùng app eWeLink), bộ điều khiển hồng ngoại Broadlink (app Broadlink)…Những app này thậm chí không cho phép bạn sử dụng các ký tự đặc biệt để làm mật khẩu đăng nhập, cứ như là sợ mật khẩu…quá mạnh vậy đó :))

Ổ cắm điện thông minh – app Smart Life

Các thiết bị IoT có thể gây ra các mối nguy hại bảo mật nào ?

Chả ai rảnh để chiếm quyền truy cập cái ổ điện nhà bạn để chỉ Bật/Tắt đèn, nhát ma chủ nhà. Các thiết bị này nếu bị tấn công, thường sẽ được dùng như là một cánh cổng để xâm nhập vào mạng nội bộ mà nó đang kết nối hoặc nó có thể biến thành một “botnet” và được sử dụng để tấn công từ chối dịch vụ DDoS. Ví dụ như khi hacker chiếm được quyền điều khiển một camera ở ngân hàng hoặc các tổ chức lớn, hắn sẽ tìm cách truy cập vào server nơi camera kết nối để lưu trữ dữ liệu chẳng hạn.

Như vậy, chỉ cần 1 thiết bị IoT bị tấn công, tất cả các thiết bị khác trong cùng 1 mạng có nguy cơ “chết chùm”. Cách giải quyết để hạn chế tối đa nguy cơ này chính là “cách ly” các thiết bị trong cùng một mạng.

“Cách ly” các thiết bị IoT để tăng cường bảo mật

Với các router hiện đại, ngoài điểm truy cập chính, nhà sản xuất thường cho phép bạn cấu hình để tạo thêm điểm truy cập “Khách”, gọi là “Guess mode”. Theo đó, các thiết bị kết nối vào mạng Khách sẽ không có khả năng giao tiếp với các thiết bị trong mạng chính, qua đó nâng cao mức độ bảo mật. Lợi dụng cơ chế này, bạn có thể cấu hình để các thiết bị IoT kết nối internet thông qua mạng Khách, thay vì mạng wifi chính.

Khổ cái là đa phần chúng ta đều chỉ dùng modem do nhà mạng cung cấp, chúng không có tính năng tạo điểm truy cập “Guess Mode” như các router mắc tiền. Bù lại, nó có một tính năng cơ bản mà mọi modem đều có là AP Isolation (Access Point Isolation) hay còn gọi là điểm truy cập cô lập. Ý nghĩa của chế độ này là làm cho mọi thiết bị ở trong mạng trở nên…cô đơn, tức chúng chỉ có thể truy cập internet mà không thể truy cập hay “nói chuyện” với nhau. Tuỳ vào nhà sản xuất thiết bị mà chế độ này có thể được đặt tên khác nhau nhưng tất cả đều có chữ “Isolation”.

Bật chế độ AP Isolation

Tôi ví dụ cách bật chế độ cách ly trên modem của nhà mạng Viettel như sau :

  1. Truy cập vào trang quản lý modem ở địa chỉ : 192.168.1.1
  2. Nhập username và mật khẩu đăng nhập (xem trên hộp thiết bị hoặc trong hợp đồng cung cấp dịch vụ). Nếu tôi nhớ không lầm thì username là “admin” và mật khẩu mặc định là số serial number của router.
  3. Đăng nhập thành công, bấm nút “Advance Setup” ở góc trên bên phải giao diện.
  4. Truy cập vào Wifi-setup > Wifi Basic Access > chọn Enable ở dòng đầu tiên có tên “MBSSID AP Isolation”
  5. Xong bấm Apply để lưu lại
Bật chế độ Truy cập cô lâp trên router nhà mạng Viettel – Bảo mật mạng wifi

Kể từ lúc này, các thiết bị kết nối vào mạng wifi có thể truy cập internet bình thường nhưng không thể truy cập lẫn nhau. Điều này có nghĩa là nếu trong mạng có thiết bị nào chia sẻ dữ liệu hoặc máy in, chúng sẽ không thể được truy cập.

Chế độ AP Isolation khác Guess Mode ở điểm nào ?

Khi bạn bật chế độ AP Isolation trên modem, tất cả các thiết bị trong mạng đều bị “cách ly”, không thể giao tiếp với nhau. Ngược lại, với các router có chế độ Guess Mode thì chỉ có những thiết bị tham gia vào mạng Guess Mode mới bị “cách ly” lẫn nhau, các thiết bị kết nối vào mạng chính vẫn truy cập lẫn nhau bình thường.

Trường hợp nào sử dụng chế độ AP Isolation ?

Như gia đình tôi, 100% các thiết bị kết nối vào mạng wifi gia đình đều hoạt động độc lập và không có nhu cầu chia sẻ hay trao đổi dữ liệu lẫn nhau, nên tôi có thể bật chế độ cách ly để giảm thiểu rủi ro về bảo mật, các thiết bị vẫn truy cập internet bình thường…

…ngoại trừ Google Chromecast, nó không thể hoạt động được nếu modem bật chế độ AP Isolation :))

Nếu được, tốt nhất là nên mua thêm một router mắc tiền hơn có tích hợp chế độ Guess Mode và kết nối nó với modem của nhà mạng để phát wifi. Được biết, modem của nhà mạng Viettel là do hãng ZTE của Trung Quốc sản xuất 🙂

Rất mong nhận được ý kiến của bạn để tăng tương tác :)

Ý kiến phản hồi