Synology Router Manager – bảo vệ toàn diện hệ thống mạng
Update mới nhất: 20/11/2023
SRM – Synology Router Manager là phần mềm quản lý Router của Synology được trang bị rất nhiều tính năng bảo mật nâng cao cũng như có giao diện sử dụng thân thiện giúp người dùng dễ dàng thiết lập một hệ thống mạng an toàn cho gia đình hoặc văn phòng một cách nhanh chóng nhất.
Đối với một hệ thống mạng cơ bản, modem hoặc router thường sẽ chính là cánh cửa (gateway) để kết nối hệ thống mạng nội bộ với internet, nhưng đây cũng thường là mắt xích yếu nhất trong hệ thống khiến hệ thống mạng của chúng ta, gây nên những rủi ro về bảo mật.
Trong bài viết này mình sẽ chia sẻ chi tiết về SRM và những trang bị giúp nâng cao bảo mật cho hệ thống mạng. Các bạn có thể tham khảo thêm SRM trên trang chủ của Synology, phần cứng mình sử dụng là Router RT6600ax, mình cũng đã có một bài review chi tiết về thiết bị này tại đây. Ngoài ra, SRM có trên tất cả các dòng Router của Synology như WRX560, RT2600ac, MR2200ac.
Nội dung chính
Giao diện chung SRM
Trước khi đi vào những tính năng, mình muốn chia sẻ nhanh về giao diện quản lý và sử dụng SRM, đây là giao diện đa nhiệm đa cửa sổ có cách sử dụng khá giống với một chiếc máy tính thay vì chỉ đơn thuần là trang Webpage trên router thông thường.
SRM cũng có thể thiết lập nhiều user khác nhau để sử dụng các chức năng khác mà router có thể cung cấp như là File server và VPN.
Giao diện trực quan của SRM cũng giúp chúng ta dễ dàng quản lý router cũng như triển khai các cài đặt về hệ thống mạng, tuỳ chỉnh Wifi, cũng như những cấu hình để tăng bảo mật và đảm bảo hệ thống mạng cho người dùng. Bảo mật là ưu tiên hàng đầu trên SRM cũng như là Router của Synology, vì vậy mình cũng sẽ chia sẻ về những tính năng đó trước.
Bảo mật cơ bản
Những tính năng bảo mật cơ bản trên một chiếc modem hay router thông thường thường rất hạn chế, ít khi được cập nhật firmware để vá những lỗ hổng bảo mật, đặc biệt là với các thiết bị được cung cấp đi kèm với gói cước nhà mạng.
Tất nhiên, về bảo mật, người quản trị mạng tại gia đình, văn phòng hay công ty cũng cần có đủ kiến thức và kỹ năng, đừng như một bạn nào đó ở ảnh dưới, đã mở port và cho phép truy cập vào router/controller từ bên ngoài mà lại còn để tài khoản là admin/admin.
Mình chỉ thử scan ip và port ở một vài dải Public IP lân cận, ai ngờ truy cập được vào thiết bị của một ai đó. Hi vọng bạn ấy đọc được lưu ý của mình trong lần tiếp theo truy cập vào thiết bị.
SRM có nhiều tính năng bảo mật, từ cơ bản đến nâng cao, giúp người dùng có nhiều quyền kiểm soát, đồng thời có nhiều tính năng được đi kèm với các database được cập nhật thường xuyên bởi những chuyên gia về an ninh mạng, giúp tăng tính bảo mật cho Router và hệ thống mạng tại nhà.
Firewall
Ngoài những cấu hình thông thường như là IP/Port nguồn và IP/Port đích, Firewall trên SRM cũng có thể lọc theo vị trí địa lý với IP Geolocation Database. Ví dụ, mình có thể tạo rule là chỉ cho phép truy cập SRM từ xa với những IP đến từ Việt Nam, còn lại nếu IP nước ngoài sẽ bị Firewall chặn không cho phép truy cập SRM.
Auto-Block
Tự động block những IP đăng nhập sai quá nhiều lần, chúng ta có thể tuỳ chọn được số lần đăng nhập trong một khoảng thời gian nhất định và sẽ mở block sau bao lâu. Cũng có danh sách đã Block để chúng ta kiểm tra.
Các Router thông thường cũng có tíng năng này tuy nhiên sẽ chạy mặc định và chúng ta cũng ít khi điều chỉnh số lần và thời gian giới hạn, cũng như không kiểm tra được những IP nào đang cố gắng tiếp cận thiết bị.
Bảo mật 2 lớp
SRM hỗ trợ khả năng thiết lập bảo mật 2 lớp cho tài khoản thông qua các ứng dụng Authenticator, giúp tăng cường bảo mật tránh việc tài khoản quản lý SRM bị xâm nhập kể cả khi đã bị lộ mật khẩu admin. Đây là một tính năng mình ít khi thấy có trên một chiếc Router thông thường.
Khi mình bật tính năng này cho tài khoản admin, mọi truy cập đến Router, dù trên nền Web hay ứng dụng di động đều sẽ phải qua bước nhập mã pin lớp 2 mới hoàn thành việc đăng nhập.
Sercurity Advisor
Tiếp đến, ứng dụng Sercurity Advisor có sẵn trên SRM, ứng dụng này sẽ scan toàn bộ hệ thống để kiểm tra xem có bất cứ cài đặt hay cấu hình trên router có thể là rủi ro về bảo mật, và đồng thời sẽ có những khuyến nghị về việc điều chỉnh lại cấu hình để tăng mức độ an toàn. Chúng ta có thể cài đặt để ứng dụng scan định kỳ.
Bảo mật nâng cao
Safe Access và quản lý của phụ huynh
Bổ sung thêm vào tính an toàn đó là ứng dụng Safe Access. Ứng dụng này có thể tạo ra các Profile khác nhau và sẽ có các filter khác nhau cho các đối tượng sử dụng. Ví dụ như ngăn chặn các trang web có nội dung không phù hợp cho trẻ nhỏ hoặc trong môi trường làm việc.
Tại đây mình có thể quản lý theo các profile khác nhau, profile có thể là nguyên một network mà mình đã cài đặt sẵn, hoặc là một user nhất định nào đó. Tính năng này đặc biệt hữu ích trong trường hợp chúng ta muốn kiểm soát và giám sát hoạt động sử dụng mạng của trẻ nhỏ. Một vài tính năng chính như:
- Lên lịch cấp internet, ví dụ như 6h sáng đến 9h tối;
- ‘Khoán’ thời gian sử dụng, ví dụ 3 tiếng/ngày
- Web filter
- Safe Search, tự động lọc các kết quả search không phù hợp từ Youtube, Google, Bing, DuckDuckGo
- Ngoài ra cũng có thể Block iCloud Private Relay cũng như không cho phép các thiết bị sử dụng DoH server trên thiết bị để bypass Safe Access trên Router Synology
Ngoài ra những Web filter có sẵn hoặc do chúng ta tự thiết lập, Safe Access còn có tính năng Network Protection, có thể bảo vệ các thiết bị trong mạng bằng cách block các kết nối đến những website hoặc địa chỉ web nguy hại, mã độc, hoặc các hình thức lừa đảo, theo database của Threat Intelligence hoặc Google Safe Browsing. Những database này cũng được cập nhật hàng ngày.
Ví dụ, khi chúng ta vô tình bấm vào một đường link mà đến địa chỉ không an toàn, SRM sẽ phát hiện và chặn liên kết đó, cụ thể khi mình hoặc bất cứ thành viên nào trong gia đình lướt web hay sử dụng email, có thể vẫn có những đường link không an toàn, mở thêm pop-up chuyển hướng… lúc này Safe Access sẽ ngăn chặn và cảnh báo.
Threat Prevention
Và thêm một ứng dụng nữa đó là Threat Prevention với chức năng bảo vệ nâng cao, đặc biệt là khi chúng ta mở port cho các server trong hệ thống ra với thế giới bên ngoài, chúng ta có thể sẽ gặp nhiều rủi ro hơn, Threat Prevention sinh ra là để phòng ngừa các rủi ro như thế. Ứng dụng này cũng của Synology phát triển, tuy nhiên để sử dụng chúng ta sẽ cần gắn thêm bộ nhớ vào cổng USB.
Nếu như Safe Access là ứng dụng bảo vệ chúng ta ở cấp độ như địa chỉ IP, domain, DNS thì Threat Prevention sẽ bảo vệ chúng ta ở cấp độ signature-based, sẽ giám sát lưu lượng đến và đi bằng cách sử dụng Deep Packet Inspection (DPI) – Kiểm tra sâu gói dữ liệu [1].
(DPI) là một phương pháp nâng cao để kiểm tra và quản lý dữ liệu mạng, sẽ kiểm tra sâu các gói dữ liệu nhằm xác định và ngăn chặn những dữ liệu độc hại ở tầng ứng dụng, mà cách kiểm tra gói dữ liệu thông thường không phát hiện được. Cả Safe Access và Threat Prevention đều hoạt động đồng thời và liên tục theo thời gian thực.
Với những kết nối có bị phát hiện có rủi ro và tính nghiêm trọng cao, Threat Prevention sẽ ngăn chặn và drop kết nối. Threat Prevention như một tầng bảo vệ nữa ở phía sau Firewall và Safe Access của Synology router. Và tất nhiên, ứng dụng này cũng bảo vệ cả 2 chiều, cả những kết nối từ bên ngoài đi vào các thiết bị trong mạng và ngược lại, những kết nối từ trong mạng ra bên ngoài.
Chúng ta cũng có thể thấy được những thống kê về những kết nối rủi ro qua thời gian cũng như vị trí địa lý để có các biện pháp cải thiện và nâng cao an toàn cho hệ thống.
Từ khi dùng Synology Router, mình cũng yên tâm hơn rất nhiều và cũng rất tự tin để mở tính năng truy cập từ xa vào router. Trước đây khi dùng Modem nhà mạng, mình không dám mở tính năng đó. Việc truy cập được từ xa vào router có thể giúp mình linh hoạt hơn trong việc đóng mở port khi cần thiết cũng như có thể quản lý hệ thống mạng mọi lúc mọi nơi.
VPN Plus Server
VPN Plus Server biến Synology Router thành một VPN Server để bạn có thể kết nối an toàn từ khắp nơi về với mạng nội bộ mà không cần mở các port thông thường, chỉ cần mở các port của VPN. Synology có hỗ trợ các VPN thông thường như SSTP, OpenVPN, L2TP và PPTP. Mình thường sử dụng L2TP vì tương thích tốt với các thiết bị Apple.
Trước đây, mình cũng sử dụng ứng dụng VPN Server trên NAS Synology. Tuy nhiên, mình chỉ có thể tạo một subnet mới cho VPN Server này với NAS là host, tức là VPN Client chỉ có thể truy cập đến được NAS Synology, không tiếp cập được các thiết bị khác, cho dù có cùng lớp mạng với NAS.
VPN Plus Server trên Router có tuỳ chọn subnet cùng với Network chính của Router, VPN Client sẽ cùng lớp với Router và các thiết bị mạng, và điều này giúp mình có thể truy cập toàn bộ các thiết bị trong mạng nội bộ an toàn.
Ngoài các VPN cơ bản, chúng ta còn có Synology VPN, đây là tính năng mình thấy thích và hữu ích nhất. Đối với phương thức L2TP, sau khi bật VPN, nếu như thiết bị thay đổi network, như là từ Wifi này sang Wifi khác hoặc từ Wifi sang 4G, VPN sẽ bị ngắt kết nối và mình phải bật lại thủ công. Synology VPN khắc phục được sự bất tiện đó khi có khả năng tự động kết nối lại (auto-reconnect) giúp cho việc kết nối đến VPN server sẽ ít bị gián đoạn hơn.
Để dùng Synology VPN, trên điện thoại và PC chỉ cần cài ứng dụng VPN Plus Client cũng khá nhanh và đơn giản. Trong trường hợp bạn không muốn cài app, cũng có thể dùng WebVPN, đó là kết nối VPN trên nền Web, giúp chúng ta truy cập các local host web interface mà không cần cài ứng dụng VPN Client hay cấu hình VPN truyền thống phức tạp.
Một tính năng nữa của VPN Plus Server là Site-to-Site VPN cho phép các mạng local ở các vị trí địa lý khác nhau liên lạc với nhau một cách an toàn qua Internet. Tính năng này sẽ hoạt động khi có 2 Synology router trở lên. Mình chưa có cơ hội để thử trải nghiệm tính năng này vì thế cũng chưa thể đánh giá được nhiều. Tuy nhiên đây sẽ là tính năng hữu ích đối với những công ty có nhiều địa điểm tách biệt về mặt địa lý.
Những ứng dụng cơ bản
Network Center
Tất cả những vấn đề liên quan đến Network như là cài đặt kết nối Internet, thiết lập Local Network, mở Port hay thiết lập các quy định của Firewall đều sẽ nằm trong Network Center. Mình thấy các cài đặt đều được trực quan hoá vì vậy cũng rất dễ dàng để sử dụng.
Sau khi cài đặt Bridge Mode trên modem nhà mạng, mình sử dụng Synology Router làm router chính để quay PPPoE thay thay thế toàn bộ các công việc của modem nhà mạng. SRM cũng có hỗ trợ MAC Clone và TLL extend/spoof giúp chúng ta dễ dàng thay thế thiết bị nhà mạng hơn, đồng thời cũng hỗ trợ cả IPTV và VoIP.
Đối với Smart Wan, chúng ta chủ yếu chỉ có thể sử dụng các tính năng liên quan đến cân bằng tải (Load Balancing) hoặc có line phụ dự phòng (Failover) cho line chính. Giao diện sử dụng cũng rất trực quan.
Nền tảng SRM của Synology Router cũng có đi kèm với dịch vụ DDNS và QuickConnect miễn phí của hãng. DDNS giúp chúng ta có một hostname cố định thay vì phải nhớ IP động. QuickConnect có 2 chức năng chính, đó là tìm con đường kết nối tối ưu đến với thiết bị (local, direct IP, DDNS) hoặc thông qua Relay Server của Synology để truy cập từ xa an toàn mà không cần mở port.
Trong mạng nội bộ Local Network, chúng ta có thể tạo tối đa 5 network để sử dụng cho mục đích khác nhau. Trong đó, có các cài đặt nâng cao như VLAN, Network Isolation hoặc là không cho phép network truy cập trang quản lý của Router.
Cá nhân mình hiện đang sử dụng 3 network, đó là Primary, Guest và Smarthome. Trong đó, đối với Network cho Guest và Smarthome sẽ được cách ly ra khỏi Primary Network và không có quyền truy cập vào Router. Việc này giúp mình chủ động hơn cho các setup về bảo mật.
Ngoài ra trong Network Center còn có Traffic Control, để chúng ta kiểm soát traffic cho các thiết bị, có thể thêm một vài thiết bị vào danh sách ưu tiên cao, cũng như có thể tuỳ chỉnh được băng thông tối thiểu và tối đa cho từng thiết bị. Bên cạnh đó, chúng ta còn có thể xem thống kê về tình hình sử dụng mạng.
Operation Modes sẽ cho phép chúng ta chọn chế độ hoạt động, hoặc là Router, hoặc là Access Point.
Wifi Connect
Wifi Connect là ứng dụng giúp chúng ta cài đặt mọi thứ liên quan đến kết nối Wifi như là tên SSID và mật khẩu Wifi, bật/tắt Wifi theo lịch trình, và cài đặt nhiều tính năng nâng cao như AMPDU, MU-MIMO, OFDMA…
Giao diện sử dụng cũng rất trực quan, ví dụ như việc hẹn giờ bật tắt Wifi định kỳ được biểu diễn ngày và giờ dạng bảng giúp đơn giản hoá việc cài đặt rất nhiều.
Synology Router cũng có thể triển khai hệ thống Mesh đối với tất cả các Router mà họ đang bán ra thị trường, tuy nhiên, đời cao hơn sẽ phải làm node chính, và các đời thấp hơn sẽ là node phụ như bảng dưới:
Mình có tham khảo các hướng dẫn của Synology về việc add thêm các node phụ vào node chính thấy cũng rất đơn giản và nhanh chóng, họ cũng hỗ trợ cả 2 dạng uplink qua Wifi và cáp LAN. Khi nào có cơ hội trải nghiệm kỹ hơn về khả năng Mesh của Synology Router mình sẽ chia sẻ nhiều hơn về tính năng Wifi Mesh cũng như Seamless Roaming (802.11k/v/r) trên Synology Router nhé.
Control Panel
Control Panel là nơi để chúng ta thiết lập các cài đặt khác của thiết bị như user, storage, file services, notification, cập nhật hệ thống và các database…
SRM cho phép chúng ta thiết lập nhiều user để có thể truy cập và sử dụng nhiều dịch vụ khác mà Router có thể cung cấp như là File Server hoặc VPN Server. Cũng có 2 cấp user đó là user quản trị có quyền thiết lập mọi thứ và user thường chỉ có thể truy cập đến những nơi được cho phép.
Khi gắn ổ cứng lưu trữ vào Router, chúng ta có thể sử dụng một số tính năng gần giống với một chiếc ổ cứng mạng NAS, có thể truy cập dữ liệu thông qua LAN trong mạng nội bộ (SMB/AFS/FTP), hoặc truy cập từ xa thông qua Web Browser (File Station) và thậm chí cả ứng dụng từ trên thiết bị di động (DS File).
Khi kết hợp với QuickConnect và DDNS của Synology, chúng ta cũng có thể Share File thông qua Public link để mọi người có thể truy cập file trên ổ lưu trữ từ xa mà không cần có tài khoản.
Một vài ứng dụng khác
Package Center cho phép chúng ta cài đặt thêm các ứng dụng nâng cao để hoạt động trên Synology Router
File Station: quản lý file giống NAS Synology khi kết nối với bộ lưu trữ mở rộng. Ngoài ra có thêm Download Station, chuyên để download các file nặng, torrent vào bộ lưu trữ mở rộng mà không cần mở máy tính.
Ngoài ra, trong SRM có sẵn một ứng dụng có tên là Network Tools, ứng dụng này hiện đang có 3 chức năng chính đó là ping, traceroute và Wake on LAN. Với traceroute chúng ta có đi kèm với bản đồ cũng khá trực quan, có thể xem được kết nối sẽ đi qua những vị trí vật lý nào. Wake on LAN có thể kết hợp với tính năng Quick Connect để có thể trở thành Wake on WAN.
SRM Help sẽ hướng dẫn toàn bộ các tính năng cũng như là phầm mềm có trong SRM, giúp các bạn dễ dàng hơn trong việc sử dụng cũng như cấu hình hệ thống mạng. Phần mềm này có thể chạy cả offline lẫn online nên vẫn đặc biệt hữu ích nếu bạn cần có manual offline trong tình huống đang gặp vấn đề khiến router không thể online.
Một số hướng dẫn còn có cả ảnh minh hoạ rất trực quan.
Ứng dụng trên điện thoại
Synology Router ứng dụng trên điện thoại là DS Router, cũng gần như đầy đủ các tính năng cơ bản của SRM trên nền Web, giao diện cũng rất đơn giản và dễ sử dụng.
Mình có thể bật tắt, cấu hình wifi, add thêm các mesh point, tuỳ chỉnh cấu hình firewall, port forwarding, quản lý các tính năng của Safe Access hay có thể Wake on LAN/WAN hoặc đơn giản là reboot router. Ngoài ra, ứng dụng cũng có push notification để thông báo những thông tin quan trọng trong quá trình router vận hành.
Có một số tính năng trên của SRM mà DS router không tuỳ chỉnh được mà mình buộc phải dùng máy tính đó là điều chỉnh Radio của Wifi, thêm/bớt/thay đổi các network, tuỳ chỉnh VPN Server hoặc truy cập ứng dụng Threat Prevention. Nhưng nhìn chung, những thứ hay phải ‘điều khiển từ xa’ thì trên ứng dụng điện thoại cũng đã đều đáp ứng.
Tổng kết
Với Synology Router Manager, Synology hướng đến việc người dùng có thể dễ dàng thiết lập và bảo vệ hệ thống mạng của gia đình hoặc văn phòng thông qua giao diện sử dụng trực quan với nhiều tiện ích đến từ các gói phần mềm bổ sung rất hữu ích được tích hợp các database cập nhật liên tục đến từ chuyên gia về an toàn mạng đến từ những công ty lớn.
Tuy nhiên, vẫn có 1 tính năng mình nghĩ là hữu ích với người dùng, mà mình hi vọng Synology sẽ cập nhật trong tương lai, đó là tích hợp thêm công cụ speedtest vào router, để người dùng có thể kiểm tra tốc độ truyền tải từ thiết bị đến router và từ router ra ngoài internet.
Hi vọng bài viết này đã cung cấp cho các bạn thêm nhiều thông tin về SRM, cám ơn các bạn đã quan tâm theo dõi.
Nếu thấy nội dung bài viết hữu ích, hãy chia sẻ cho bạn bè và người thân. Đừng quên theo dõi Ngon Bổ Xẻ qua Facebook và Youtube để luôn cập nhật các nội dung mới nhất. Ngoài ra, mình cũng có lập Group FB chuyên chia sẻ các deal hời cho anh em về công nghệ, điện từ, gia dụng… các bạn cũng có thể tham gia nha. Một lần nữa, chân thành cám ơn các bạn và hẹn gặp lại trong những nội dung kế tiếp ❤️
Chia sẻ bài viết:
Hãy để lại bình luận và đánh giá bài viết