Thiết kế một mạng nhỏ bằng router băng thông rộng (Phần cuối)

Thiết kế một mạng nhỏ bằng router băng thông rộng (Phần cuối)

Cấu hình bảo mật cơ bản

Thứ đầu tiên mà bạn cần biết là địa chỉ IP của panel cấu hình cho router của

mình. Thông tin này sẽ được ghi trên hướng dẫn sử dụng router. Nó thường

là 192.168.0.1, 192.168.1.1 hoặc 10.0.0.1. Khởi chạy trình duyệt web của

bạn và nhận vào đó http://[địa chỉ IP ở đây]. Router đã sử dụng trong ví dụ

của chúng ta có địa chỉ 192.168.1.1, chính vì vậy cần nhập http://192.168.1.1

vào. Rõ ràng bạn cần thay đổi theo địa chỉ IP đã được sử dụng theo router

của mình.

Tất cả các tùy chọn cấu hình sẽ khác tuỳ theo model của router. Chính vì vậy

bạn sẽ không có tên các tùy chọn và mục chính xác theo đúng từng bước

như mô tả trong bài, tuy nhiên chúng vẫn tồn tại dưới những tên tương tự vì

chúng là các tùy chọn cơ bản.

Thông thường, trang cấu hình đầu tiên sẽ yêu cầu bạn chọn giữa cài đặt

nhanh và cài đặt nâng cao. Mặc dù cài đặt nhanh là cách tốt nhất để thiết lập

mạng của bạn chỉ tốn ít thời gian, nhưng cấu hình đầu tiên này bạn nên thực

hiện trong cài đặt nâng cao: thiết lập mật khẩu cho router.

Hình 11: Màn hình đầu tiên trên panel cấu hình router của bạn

Như những gì bạn có thể thấy, panel cấu hình router có thể truy cập từ bất kỳ

máy tính nào trong mạng. Chính vì vậy đây là một vấn đề trong các mạng

nhỏ, panel điều khiểm router thường bị truy cập từ bất kỳ máy tính nào kết

nối Internet. Ví dụ, hãy cho rằng địa chỉ IP thực của bạn là 69.69.69.69 (địa

chỉ IP mà ISP đã gán cho modem băng thông rộng của bạn). Bất kỳ một máy

tính nào trên Internet cũng có thể truy cập vào panel cấu hình router của bạn

bằng cách mở trình duyệt và trỏ tới http://69.69.69.69. Tính năng này có thể

bị vô hiệu hóa trên một số router. Tuy vậy, nó cũng là một tính năng rất thú

vị, vì đôi khi bạn có thể sửa hoặc cấu hình lại mạng văn phòng hoặc mạng

gia đình từ bất kỳ máy tính nào trên thế giới. Hãy cân nhắc để hay vô hiệu

hóa tính năng này, phụ thuộc vào bạn sẽ sử dụng nó như thế nào.

Hình 12: Thiết lập mật khẩu quản trị

Trên router của ví dụ, cấu hình này được thực hiện ở Advanced Setup >

System > Administrator Settings. Ở màn hình này bạn có thể cài đặt cả

mật khẩu quản trị và chọn kích hoạt quản lý từ xa. Lúc này tính năng quản lý

từ xa có thể bị vô hiệu hóa nhưng chúng ta có thể kích hoạt nó và cho phép

quản lý từ xa chỉ với một địa chỉ IP cụ thể (ví dụ, địa chỉ IP từ máy tính ở

nhà), chính vì vậy các máy tính khác sẽ không thể truy cập vào panel điều

khiển của router từ xa. Ngoài ra bạn cũng có thể chỉ định một cổng truy cập.

Sử dụng router trên hình 12, chúng tôi không thể truy cập vào nó bằng sử

dụng http://69.69.69.69, nên cần mở nó với cổng http://69.69.69.69:8080.

Đây là cách truy cập đơn giản để tránh các hacker có thể mở panel cấu hình

router của bạn từ máy tính của họ (tuy nhiên với các hacker sành sỏi sẽ biết

8080 là cổng thường được sử dụng và ngoài ra có thể dùng bộ quét cổng để

xem cổng nào mở vào router).

Rõ ràng bạn cần phải kích Apply để làm cho mọi thay đổi có hiệu lực.

Sau khi giải thích về bảo mật này, chúng ta hãy vào cấu hình cơ bản của

router.

Cấu hình cài đặt cơ bản

Đầu tiên, bạn cần thực hiện chọn kiểu kết nối mà bạn có: cáp, ADSL với IP

động (nghĩa là địạ chỉ IP được cung cấp bởi ISP có thể thay đổi theo thời

gian – đây là kiểu chung mà các nhà cung cấp dịch vụ vẫn sử dụng), ADSL

với IP tĩnh (nghĩa là địạ chỉ IP được cung cấp bởi ISP không thay đổi –

thường chỉ có sẵn trong trường hợp bạn đã yêu cầu và thường đắt tiền hơn)

hoặc VPN (Virtual Private Network – thường được sử dụng trong các mạng

công ty).

Hãy trở lại cài đặt cơ bản và các màn hình cài đặt. Trên router trong ví dụ,

chúng tôi chỉ có cấu hình vùng thời gian trên màn hình đầu tiên, kiểu modem

trên màn hình thứ hai và hãy kích Next và chấp nhận tất cả các cấu hình mặc

định nếu bạn có kết nối cáp hoặc ADSL (nếu sử dụng một kết nối VPN thì

bạn cần nhập vào thêm một số thông tin). Kích Finish trong màn hình cuối

cùng và đó là tất cả những gì cần phải thực hiện để bảo đảm mạng làm việc.

Hình 13: Cài đặt cơ bản, màn hình đầu tiên (cấu hình vùng thời gian).

Hình 14: Cài đặt cơ bản, màn hình thứ hai (kiểu kết nối)

Hình 15: Cài đặt cơ bản, màn hình thứ ba (các thiết lập WAN, hãy chọn các

giá trị mặc định)

Hình 16: Cài đặt cơ bản, màn hình thứ tư (các thiết lập DNS, chọn các giá trị

mặc định); kích Finish

Sau khi kích Finish, bạn hãy thử truy cập vào Internet từ máy tính của mình

và từ các máy tính khác có kết nối với mạng. Nếu nó không làm việc, hãy

kiểm tra tỉ mỉ các bước cấu hình. Nếu nó vẫn không làm việc, bạn cần gọi

tới dịch vụ hỗ trợ ISP và giải thích rằng bạn đã cài đặt một router và cần họ

“nhả” địa chỉ IP của bạn.

Chúng tôi cũng giải thích thêm: Khi bạn sử dụng một dịch vụ băng thông

rộng, thông thường các địa chỉ IP công cộng (ví dụ 69.69.69.69) sẽ được gán

đến máy tính đã được kết nối tới modem băng thông rộng. Chính vì vậy ISP

khóa địa chỉ IP được cho với địa chỉ MAC đã kết nối với modem. Địa chỉ

MAC chính là số serial được ghi trên card mạng. Khi bạn hủy kết nối

modem của mình từ máy tính và kết nối nó vào router của bạn thì kết nối

này có thể bị khóa vì mạng ISP sẽ muốn địa chỉ MAC của desktop chứ

không phải địa chỉ MAC của router, hai thứ này khác hẳn nhau. “Nhả” địa

chỉ IP có nghĩa là ISP sẽ quét lại địa chỉ MAC mới đã kết nối với modem.

Cấu hình cài đặt nâng cao

Bạn có thể không cần thay đổi bất cứ thứ gì ở cài đặt nâng cao của router.

Tuy nhiên nếu muốn hạn chế truy cập Internet đối với một máy tính nào đó

thì đây là tính năng mà bạn cần biết. Nếu bạn chơi game trực tuyến hoặc sử

dụng ứng dụng P2P (ngang hàng) thì nên mở các cổng đã được sử dụng bởi

phần mềm của bạn ở đây, hoặc router sẽ khóa chương trình của bạn không

cho kết nối với Internet. Trong cài đặt nâng cao, bạn sẽ thấy các tùy chọn

bảo mật, đây chính là những thứ mà chúng tôi sẽ giới thiệu ở phần cuối của

bài này.

Trên router của ví dụ, chúng tôi có thể hạn chế truy cập Internet dựa trên

thời gian trong Advanced Setup > Firewall > Client Filtering. Việc khóa

tất cả các máy tính không cho duyệt web trong giờ làm việc (ví dụ có thể

thực hiện bằng cách khóa tất cả các địa chỉ IP từ 192.168.1.1 đến

192.168.255.255 tại cổng 80 (nghĩa là www)), sau đó cấu hình những ngày

trong tuần và số lần cho phép hoặc khóa truy cập. Do cấu hình cho phép chỉ

định số cổng nên bạn có thể khóa email (các cổng 25 và 110) hoặc thậm chí

các trình tin nhắn tức thời như MSN Messenger (cổng 1863).

Hình 17: Khóa sự truy cập dựa trên ngày trong tuần và giờ

Thậm chí bạn còn có thể khóa một số máy tính không được phép truy cập

bất kỳ hình thức Internet nào, dựa trên tường lửa và điều khiển MAC. Ở đây

bạn nhập vào địa chỉ MAC của máy tính muốn khóa không cho truy cập

Internet. Máy tính này hoàn toàn vẫn có thể truy cập vào các tài nguyên khác

có bên trong mạng như các thư mục và máy in chia sẻ.

Hình 18: Khóa truy cập dựa trên địa chỉ MAC

Nếu bạn có phần mềm nào đó sử dụng các cổng non-standard thì cần phải

mở các cổng trên router, hoặc chương trình này sẽ không thể truy cập

Internet. Điều này hoàn toàn đúng với các chương trình P2P và game trực

tuyến. Bạn nên tìm các cổng mà chương trình sử dụng từ hướng dẫn của nó

và mở cổng đó tại NAT > Special Application. Trong ví dụ của bài ở hình

19, router mở các cổng Overnet (một phần mềm P2P)

Hình 19: Mở các cổng non-standard

Bảo mật

Ngày nay với một thế giới kết nối, vấn đề bảo mật đang trở nên quan trọng

hơn bao giờ hết. Chúng ta cũng đã nói về các cấu hình bảo mật cơ bản mà

bạn nên thực hiện trên router của mình như thiết lập mật khẩu truy cập và vô

hiệu hóa việc quản lý từ xa.

Nhưng theo như những gì đã đề cập, router cũng làm việc như một tường

lửa. Nó sẽ khóa các kết nối đi vào tại các cổng non-standard. Đó là lý do tại

sao cần mở các cổng non-standard đã được sử dụng bởi chương trình cần

dùng. Ví dụ, cấu hình mặc định của router khá tốt để ngăn chặn không cho

mọi người chơi game trực tuyến.

Một điểm thú vị mà tất cả các router đều có đó là có thể khóa bất kỳ request

nào đến địa chỉ IP công cộng của bạn. Ping được sử dụng để xem xem có

máy tính nào đã được cài đặt trên địa chỉ IP này hay chưa, kỹ thuật này được

sử dụng để tìm các máy tính trên mạng. Nếu bạn vô hiệu hóa tính năng Ping

thì những người muốn tìm ra các máy tính trên Internet bằng phương pháp

này sẽ không thể tìm ra bạn. Chính vì vậy chúng tôi khuyên bạn nên kiểm tra

tùy chọn “Discard PING from WAN side” trên tường lửa, Block WAN

Ping. Tuy nhiên, nếu bạn chơi game trực tuyến, việc ping được sử dụng để

kiểm tra thời gian trễ giữa bạn và máy chủ game. Trong trường hợp này, tốt

hơn hết là bạn hãy kích hoạt tính năng ping.

Hình 20: Vô hiệu hóa tính năng ping

Một tính năng quan trọng khác cũng có trên tất cả các router đó là việc nâng

cấp phần mềm. Bạn nên vào website của nhà sản xuất và download về các

phiên bản phần mềm mới nhất cho router của mình và nâng cấp nó. Trên

router của ví dụ, chúng tôi có thể truy cập tại System > Firmware Upgrade.

Điều này sẽ bảo đảm rằng router của bạn được bảo vệ tránh khỏi các lỗi bảo

mật mà nhà sản xuất đã phát hiện ra và phát hành bản nâng cấp.

Tất cả các máy tính trong mạng của bạn cần phải được bảo vệ an toàn với

thế giới bên ngoài vô cùng nguy hiểm. Vì vậy ngoài việc phòng ngừa những

tấn công trực diện vào router mạng, bạn vẫn phải lưu ý đến việc bảo mật

từng máy tính trong mạng. Cài đặt và thường xuyên cập nhật các chương

trình phần mềm chống virus, spyware và trojan trên các máy tính trong

mạng là lời khuyên cuối cùng mà chúng tôi dành cho bạn trong bài này.