Thiết kế một mạng nhỏ bằng router băng thông rộng (Phần 1)
Cấu hình bảo mật cơ bản
Thứ đầu tiên mà bạn cần biết là địa chỉ IP của panel cấu hình cho router của mình. Thông tin này sẽ được ghi trên hướng dẫn sử dụng router. Nó thường là 192.168.0.1, 192.168.1.1 hoặc 10.0.0.1. Khởi chạy trình duyệt web của bạn và nhận vào đó http://[địa chỉ IP ở đây]. Router đã sử dụng trong ví dụ của chúng ta có địa chỉ 192.168.1.1, chính vì vậy cần nhập http://192.168.1.1 vào. Rõ ràng bạn cần thay đổi theo địa chỉ IP đã được sử dụng theo router của mình.
Tất cả các tùy chọn cấu hình sẽ khác tuỳ theo model của router. Chính vì vậy bạn sẽ không có tên các tùy chọn và mục chính xác theo đúng từng bước như mô tả trong bài, tuy nhiên chúng vẫn tồn tại dưới những tên tương tự vì chúng là các tùy chọn cơ bản.
Thông thường, trang cấu hình đầu tiên sẽ yêu cầu bạn chọn giữa cài đặt nhanh và cài đặt nâng cao. Mặc dù cài đặt nhanh là cách tốt nhất để thiết lập mạng của bạn chỉ tốn ít thời gian, nhưng cấu hình đầu tiên này bạn nên thực hiện trong cài đặt nâng cao: thiết lập mật khẩu cho router.
Hình 11: Màn hình đầu tiên trên panel cấu hình router của bạn
Như những gì bạn có thể thấy, panel cấu hình router có thể truy cập từ bất kỳ máy tính nào trong mạng. Chính vì vậy đây là một vấn đề trong các mạng nhỏ, panel điều khiểm router thường bị truy cập từ bất kỳ máy tính nào kết nối Internet. Ví dụ, hãy cho rằng địa chỉ IP thực của bạn là 69.69.69.69 (địa chỉ IP mà ISP đã gán cho modem băng thông rộng của bạn). Bất kỳ một máy tính nào trên Internet cũng có thể truy cập vào panel cấu hình router của bạn bằng cách mở trình duyệt và trỏ tới http://69.69.69.69. Tính năng này có thể bị vô hiệu hóa trên một số router. Tuy vậy, nó cũng là một tính năng rất thú vị, vì đôi khi bạn có thể sửa hoặc cấu hình lại mạng văn phòng hoặc mạng gia đình từ bất kỳ máy tính nào trên thế giới. Hãy cân nhắc để hay vô hiệu hóa tính năng này, phụ thuộc vào bạn sẽ sử dụng nó như thế nào.
Hình 12: Thiết lập mật khẩu quản trị
Trên router của ví dụ, cấu hình này được thực hiện ở Advanced Setup > System > Administrator Settings. Ở màn hình này bạn có thể cài đặt cả mật khẩu quản trị và chọn kích hoạt quản lý từ xa. Lúc này tính năng quản lý từ xa có thể bị vô hiệu hóa nhưng chúng ta có thể kích hoạt nó và cho phép quản lý từ xa chỉ với một địa chỉ IP cụ thể (ví dụ, địa chỉ IP từ máy tính ở nhà), chính vì vậy các máy tính khác sẽ không thể truy cập vào panel điều khiển của router từ xa. Ngoài ra bạn cũng có thể chỉ định một cổng truy cập. Sử dụng router trên hình 12, chúng tôi không thể truy cập vào nó bằng sử dụng http://69.69.69.69, nên cần mở nó với cổng http://69.69.69.69:8080. Đây là cách truy cập đơn giản để tránh các hacker có thể mở panel cấu hình router của bạn từ máy tính của họ (tuy nhiên với các hacker sành sỏi sẽ biết 8080 là cổng thường được sử dụng và ngoài ra có thể dùng bộ quét cổng để xem cổng nào mở vào router).
Rõ ràng bạn cần phải kích Apply để làm cho mọi thay đổi có hiệu lực.
Sau khi giải thích về bảo mật này, chúng ta hãy vào cấu hình cơ bản của router.
Cấu hình cài đặt cơ bản
Đầu tiên, bạn cần thực hiện chọn kiểu kết nối mà bạn có: cáp, ADSL với IP động (nghĩa là địạ chỉ IP được cung cấp bởi ISP có thể thay đổi theo thời gian – đây là kiểu chung mà các nhà cung cấp dịch vụ vẫn sử dụng), ADSL với IP tĩnh (nghĩa là địạ chỉ IP được cung cấp bởi ISP không thay đổi – thường chỉ có sẵn trong trường hợp bạn đã yêu cầu và thường đắt tiền hơn) hoặc VPN (Virtual Private Network – thường được sử dụng trong các mạng công ty).
Hãy trở lại cài đặt cơ bản và các màn hình cài đặt. Trên router trong ví dụ, chúng tôi chỉ có cấu hình vùng thời gian trên màn hình đầu tiên, kiểu modem trên màn hình thứ hai và hãy kích Next và chấp nhận tất cả các cấu hình mặc định nếu bạn có kết nối cáp hoặc ADSL (nếu sử dụng một kết nối VPN thì bạn cần nhập vào thêm một số thông tin). Kích Finish trong màn hình cuối cùng và đó là tất cả những gì cần phải thực hiện để bảo đảm mạng làm việc.
Hình 13: Cài đặt cơ bản, màn hình đầu tiên (cấu hình vùng thời gian).
Hình 14: Cài đặt cơ bản, màn hình thứ hai (kiểu kết nối)
Hình 15: Cài đặt cơ bản, màn hình thứ ba (các thiết lập WAN, hãy chọn các giá trị mặc định)
Hình 16: Cài đặt cơ bản, màn hình thứ tư (các thiết lập DNS, chọn các giá trị mặc định); kích Finish
Sau khi kích Finish, bạn hãy thử truy cập vào Internet từ máy tính của mình và từ các máy tính khác có kết nối với mạng. Nếu nó không làm việc, hãy kiểm tra tỉ mỉ các bước cấu hình. Nếu nó vẫn không làm việc, bạn cần gọi tới dịch vụ hỗ trợ ISP và giải thích rằng bạn đã cài đặt một router và cần họ “nhả” địa chỉ IP của bạn.
Chúng tôi cũng giải thích thêm: Khi bạn sử dụng một dịch vụ băng thông rộng, thông thường các địa chỉ IP công cộng (ví dụ 69.69.69.69) sẽ được gán đến máy tính đã được kết nối tới modem băng thông rộng. Chính vì vậy ISP khóa địa chỉ IP được cho với địa chỉ MAC đã kết nối với modem. Địa chỉ MAC chính là số serial được ghi trên card mạng. Khi bạn hủy kết nối modem của mình từ máy tính và kết nối nó vào router của bạn thì kết nối này có thể bị khóa vì mạng ISP sẽ muốn địa chỉ MAC của desktop chứ không phải địa chỉ MAC của router, hai thứ này khác hẳn nhau. “Nhả” địa chỉ IP có nghĩa là ISP sẽ quét lại địa chỉ MAC mới đã kết nối với modem.
Cấu hình cài đặt nâng cao
Bạn có thể không cần thay đổi bất cứ thứ gì ở cài đặt nâng cao của router. Tuy nhiên nếu muốn hạn chế truy cập Internet đối với một máy tính nào đó thì đây là tính năng mà bạn cần biết. Nếu bạn chơi game trực tuyến hoặc sử dụng ứng dụng P2P (ngang hàng) thì nên mở các cổng đã được sử dụng bởi phần mềm của bạn ở đây, hoặc router sẽ khóa chương trình của bạn không cho kết nối với Internet. Trong cài đặt nâng cao, bạn sẽ thấy các tùy chọn bảo mật, đây chính là những thứ mà chúng tôi sẽ giới thiệu ở phần cuối của bài này.
Trên router của ví dụ, chúng tôi có thể hạn chế truy cập Internet dựa trên thời gian trong Advanced Setup > Firewall > Client Filtering. Việc khóa tất cả các máy tính không cho duyệt web trong giờ làm việc (ví dụ có thể thực hiện bằng cách khóa tất cả các địa chỉ IP từ 192.168.1.1 đến 192.168.255.255 tại cổng 80 (nghĩa là www)), sau đó cấu hình những ngày trong tuần và số lần cho phép hoặc khóa truy cập. Do cấu hình cho phép chỉ định số cổng nên bạn có thể khóa email (các cổng 25 và 110) hoặc thậm chí các trình tin nhắn tức thời như MSN Messenger (cổng 1863).
Hình 17: Khóa sự truy cập dựa trên ngày trong tuần và giờ
Thậm chí bạn còn có thể khóa một số máy tính không được phép truy cập bất kỳ hình thức Internet nào, dựa trên tường lửa và điều khiển MAC. Ở đây bạn nhập vào địa chỉ MAC của máy tính muốn khóa không cho truy cập Internet. Máy tính này hoàn toàn vẫn có thể truy cập vào các tài nguyên khác có bên trong mạng như các thư mục và máy in chia sẻ.
Hình 18: Khóa truy cập dựa trên địa chỉ MAC
Nếu bạn có phần mềm nào đó sử dụng các cổng non-standard thì cần phải mở các cổng trên router, hoặc chương trình này sẽ không thể truy cập Internet. Điều này hoàn toàn đúng với các chương trình P2P và game trực tuyến. Bạn nên tìm các cổng mà chương trình sử dụng từ hướng dẫn của nó và mở cổng đó tại NAT > Special Application. Trong ví dụ của bài ở hình 19, router mở các cổng Overnet (một phần mềm P2P)
Hình 19: Mở các cổng non-standard
Bảo mật
Ngày nay với một thế giới kết nối, vấn đề bảo mật đang trở nên quan trọng hơn bao giờ hết. Chúng ta cũng đã nói về các cấu hình bảo mật cơ bản mà bạn nên thực hiện trên router của mình như thiết lập mật khẩu truy cập và vô hiệu hóa việc quản lý từ xa.
Nhưng theo như những gì đã đề cập, router cũng làm việc như một tường lửa. Nó sẽ khóa các kết nối đi vào tại các cổng non-standard. Đó là lý do tại sao cần mở các cổng non-standard đã được sử dụng bởi chương trình cần dùng. Ví dụ, cấu hình mặc định của router khá tốt để ngăn chặn không cho mọi người chơi game trực tuyến.
Một điểm thú vị mà tất cả các router đều có đó là có thể khóa bất kỳ request nào đến địa chỉ IP công cộng của bạn. Ping được sử dụng để xem xem có máy tính nào đã được cài đặt trên địa chỉ IP này hay chưa, kỹ thuật này được sử dụng để tìm các máy tính trên mạng. Nếu bạn vô hiệu hóa tính năng Ping thì những người muốn tìm ra các máy tính trên Internet bằng phương pháp này sẽ không thể tìm ra bạn. Chính vì vậy chúng tôi khuyên bạn nên kiểm tra tùy chọn “Discard PING from WAN side” trên tường lửa, Block WAN Ping. Tuy nhiên, nếu bạn chơi game trực tuyến, việc ping được sử dụng để kiểm tra thời gian trễ giữa bạn và máy chủ game. Trong trường hợp này, tốt hơn hết là bạn hãy kích hoạt tính năng ping.
Hình 20: Vô hiệu hóa tính năng ping
Một tính năng quan trọng khác cũng có trên tất cả các router đó là việc nâng cấp phần mềm. Bạn nên vào website của nhà sản xuất và download về các phiên bản phần mềm mới nhất cho router của mình và nâng cấp nó. Trên router của ví dụ, chúng tôi có thể truy cập tại System > Firmware Upgrade. Điều này sẽ bảo đảm rằng router của bạn được bảo vệ tránh khỏi các lỗi bảo mật mà nhà sản xuất đã phát hiện ra và phát hành bản nâng cấp.
Tất cả các máy tính trong mạng của bạn cần phải được bảo vệ an toàn với thế giới bên ngoài vô cùng nguy hiểm. Vì vậy ngoài việc phòng ngừa những tấn công trực diện vào router mạng, bạn vẫn phải lưu ý đến việc bảo mật từng máy tính trong mạng. Cài đặt và thường xuyên cập nhật các chương trình phần mềm chống virus, spyware và trojan trên các máy tính trong mạng là lời khuyên cuối cùng mà chúng tôi dành cho bạn trong bài này.