Cách bảo vệ an toàn thông tin trên mạng Wi-Fi

Các mạng Wi-Fi chưa phải là một môi trường an toàn. Trên các mạng riêng tư, người dùng có thể kích hoạt chế độ mã hóa bảo mật để ngăn không cho người dùng bất hợp pháp kết nối và bắt lưu lượng truyền.


Tuy vậy tùy thuộc vào phương pháp bảo mật sử dụng mà dữ liệu người dùng vẫn có thể bị đánh cắp. Và mặc dù các mạng công cộng có thể sử dụng phương pháp xác thực trên nền web thì hầu hết những mạng này đều không có một phương pháp mã hóa bảo mật đúng nghĩa. Cho nên, bất kỳ ai trong tầm phủ sóng đều có thể “nghe lén” lưu lượng hotspot.

Bài viết sẽ làm rõ hơn thế nào là gián điệp Wi-Fi và đề xuất một vài giải pháp bảo vệ người dùng khi sử dụng mạng Wi-Fi riêng tư cũng như công cộng.

Gián điệp Wi-Fi

Để hiểu rõ hơn thế nào là gián điệp Wi-Fi, ta nên tìm hiểu về những việc có thể thực hiện trên lưu lượng Wi-Fi bắt được. Khi một kẻ xâm nhập bắt được các gói lưu lượng qua Wi-Fi, hắn có thể biết được mật khẩu và nội dung của những dịch vụ hay website mà nạn nhân đăng nhập khi không sử dụng kĩ thuật mã hóa SSL, thường là các kết nối email POP3/IMAP và FTP. Hắn cũng có thể chặn đăng nhập (hjack) tới các website như Facebook và Twitter hay thu thập file truyền tải trên mạng riêng tư.

security

Nhưng rất may là, những gián điệp Wi-Fi sẽ không dễ dàng đạt được mục đích của mình nếu dịch vụ hay website sử dụng kỹ thuật mã hóa SSL, như là các website ngân hàng. Nhưng chúng vẫn có thể lới dụng các lỗ hổng trên SSL. Đây lại là một chủ đề tốn giấy mực khác.

Bảo vệ dữ liệu trên mạng công cộng

Do hầu hết các hotspot Wi-Fi không sử dụng phương pháp mã hóa bảo mật nào và không cung cấp tính năng bảo vệ lưu lượng nên ăn cắp thông tin có vẻ như là mối lo được quan tâm hơn trong mạng công cộng. Rõ ràng là, hiện có rất nhiều công cụ mà đến người dùng bình thường cũng có thể dễ dàng sử dụng để đánh cắp thông tin từ người khác. Thậm chí, chẳng cần hơn một chiếc smartphone để lấy cắp mật khẩu hay chặn tài khoản của bạn đâu.

Giải pháp tốt nhất để giữ cho lưu lượng mạng của mình luôn được an toàn khi sử dụng các hotspot Wi-Fi là sử dụng mạng riêng ảo VPN để kết nối tới mạng nội bộ công ty hay server. Hoặc sử dụng một dịch vụ chủ được thiết kế chuyên dụng để bảo vệ tại hotspot như là Private Wi-Fi hay Hotspot Shield. Khi kết nối tới một VPN, toàn bộ lưu lượng Internet được gửi từ máy tính hay thiết bị người dùng sẽ qua một đường hầm được mã hóa an toàn đến mạng của nhà cung cấp VPN. Nên lưu lượng hoàn toàn an toàn trước những gián điệp Wi-Fi tại hotspot nội bộ.

Nếu không thể hay không thích sử dụng một VPN, người dùng nên ít nhất chắc chắn rằng bất kỳ dịch vụ hay website nào sẽ sử dụng trong khi kết nối hotspot được an toàn bằng kỹ thuật mã hóa SSL. Khi SSL được áp dụng thì các trình duyệt web sẽ có một địa chỉ là https thay vì http và sẽ hiển thị một pad lock cùng một số chỉ thị khác. Với các chương trình ứng dụng mail như Outlook hay Thunderbird thì người dùng cần chắc chắn SSL đang được sử dụng cho các kết nối POP3 hay IMAP và SMTP server. Tuy nhiên, nhiều nhà cung cấp email không hỗ trợ tính năng mã hóa này. Bạn có thể tìm đến những giải pháp khác như là Neomailbox, Hushmail hay 4Secure-mail.

Đối với truy cập trên hotspot công cộng, bạn phải luôn luôn đảm bảo rằng bất kỳ website nào bạn đăng nhập cho các thông tin nhạy cảm hay bất kỳ dịch vụ nào bạn dùng (như email và FTP) được bảo vệ bằng SSL. Điều này sẽ đảm bảo thông tin qua lại giữa máy tính và site hay dịch vụ luôn an toàn.

Bảo vệ dữ liệu trên mạng riêng tư

Mặc dù ăn cắp thông tin là mối quan tâm lớn trên các mạng Wi-Fi không tin cậy nhưng nó vẫn gây lo lắng phần nào trên các mạng riêng tư. Một mạng doanh nghiệp chẳng hạn, vẫn có thể bị đe dọa từ những nhân viên có ý độ xấu hay những kẻ xâm nhập. Tuy việc sử dụng chế độ mã hóa dữ liệu PSK của WPA2 (còn gọi là chế độ cá nhân – Personal mode) cho mạng không dây và đòi hỏi người dùng mạng riêng tư phải nhập mật khẩu kết nối thì nó vẫn cho phép một người dùng nội bộ bắt lưu lượng của những người dùng khác. May mắn là, WPA2 có một chế độ gọi là chế độ doanh nghiệp (Enterprise mode hay 802.1X hoặc EAP) để chặn không cho người dùng này đọc lưu lượng của người dùng khác. Đó là do mỗi người dùng sẽ được cấp thông tin nhận thực như username, mật khẩu… để kết nối mạng thay vì dùng một mật khẩu chung nhất như chế độ cá nhân. Khi một người đăng nhập qua chế độ doanh nghiệp, một khóa mã hóa tự động được cấp và thay đổi định kỳ.

Tuy nhiên, chế độ Enterprise của WPA2 yêu cầu phải một server nhận thực, thường gọi là RADIUS (Remote Authentication Dial In User Service). Nhưng nếu bạn đang sử dụng Windows Server, bạn có thể sử dụng chương trình IAS (Internet Authentication Service) trong bản Windows Server 2003 R2 hoặc các bản trước đó, hoặc Network Policy Server (NPS) trong Windows Server 2008 và các phiên bản kế tiếp.

Nếu các server hiện tại của người dùng không có chức năng RADIUS, thì vẫn có rất nhiều server miễn phí hay giá rẻ như FreeRADIUS, TekRADIUS, ClearBox và Elektron. Một số điểm truy cập (như HP ProCurve 530 hay ZyXEL NWA 3500, NWA 3166 hoặc NWA 3160-N) thậm chí được nhúng server RADIUS, rất tốt cho các mạng nhỏ. Và nếu không muốn chạy server riêng, thì có nhiều dịch vụ chủ như AuthenticateMyWifi cho người dùng lựa chọn.

Tổng kết

Như vậy, gián điệp Wi-Fi có thể là vấn đề thực sự với các mạng Wi-Fi công cộng. Cách tốt nhất để bảo vệ bản thân là sử dụng kết nối VPN hay ít nhất đảm bảo rằng tại site hay dịch vụ bạn đăng nhập đang sử dụng mã hóa SSL. Và với mạng cá nhân, bạn cũng phải luôn luôn chú trọng về an toàn nội bộ và đảm bảo người dùng này không thể bắt lưu lượng người dùng khác.

Theo Quản Trị Mạng








Cach bao ve an toan thong tin tren mang Wi-Fi


Cac mang Wi-Fi chua phai la mot moi truong an toan. Tren cac mang rieng tu, nguoi dung co the kich hoat che do ma hoa bao mat de ngan khong cho nguoi dung bat hop phap ket noi va bat luu luong truyen.


Tuy vay tuy thuoc vao phuong phap bao mat su dung ma du lieu nguoi dung van co the bi danh cap. Va mac du cac mang cong cong co the su dung phuong phap xac thuc tren nen web thi hau het nhung mang nay deu khong co mot phuong phap ma hoa bao mat dung nghia. Cho nen, bat ky ai trong tam phu song deu co the “nghe len” luu luong hotspot.

Bai viet se lam ro hon the nao la gian diep Wi-Fi va de xuat mot vai giai phap bao ve nguoi dung khi su dung mang Wi-Fi rieng tu cung nhu cong cong.

Gian diep Wi-Fi

De hieu ro hon the nao la gian diep Wi-Fi, ta nen tim hieu ve nhung viec co the thuc hien tren luu luong Wi-Fi bat duoc. Khi mot ke xam nhap bat duoc cac goi luu luong qua Wi-Fi, han co the biet duoc mat khau va noi dung cua nhung dich vu hay website ma nan nhan dang nhap khi khong su dung ki thuat ma hoa SSL, thuong la cac ket noi email POP3/IMAP va FTP. Han cung co the chan dang nhap (hjack) toi cac website nhu Facebook va Twitter hay thu thap file truyen tai tren mang rieng tu.

security

Nhung rat may la, nhung gian diep Wi-Fi se khong de dang dat duoc muc dich cua minh neu dich vu hay website su dung ky thuat ma hoa SSL, nhu la cac website ngan hang. Nhung chung van co the loi dung cac lo hong tren SSL. Day lai la mot chu de ton giay muc khac.

Bao ve du lieu tren mang cong cong

Do hau het cac hotspot Wi-Fi khong su dung phuong phap ma hoa bao mat nao va khong cung cap tinh nang bao ve luu luong nen an cap thong tin co ve nhu la moi lo duoc quan tam hon trong mang cong cong. Ro rang la, hien co rat nhieu cong cu ma den nguoi dung binh thuong cung co the de dang su dung de danh cap thong tin tu nguoi khac. Tham chi, chang can hon mot chiec smartphone de lay cap mat khau hay chan tai khoan cua ban dau.

Giai phap tot nhat de giu cho luu luong mang cua minh luon duoc an toan khi su dung cac hotspot Wi-Fi la su dung mang rieng ao VPN de ket noi toi mang noi bo cong ty hay server. Hoac su dung mot dich vu chu duoc thiet ke chuyen dung de bao ve tai hotspot nhu la Private Wi-Fi hay Hotspot Shield. Khi ket noi toi mot VPN, toan bo luu luong Internet duoc gui tu may tinh hay thiet bi nguoi dung se qua mot duong ham duoc ma hoa an toan den mang cua nha cung cap VPN. Nen luu luong hoan toan an toan truoc nhung gian diep Wi-Fi tai hotspot noi bo.

Neu khong the hay khong thich su dung mot VPN, nguoi dung nen it nhat chac chan rang bat ky dich vu hay website nao se su dung trong khi ket noi hotspot duoc an toan bang ky thuat ma hoa SSL. Khi SSL duoc ap dung thi cac trinh duyet web se co mot dia chi la https thay vi http va se hien thi mot pad lock cung mot so chi thi khac. Voi cac chuong trinh ung dung mail nhu Outlook hay Thunderbird thi nguoi dung can chac chan SSL dang duoc su dung cho cac ket noi POP3 hay IMAP va SMTP server. Tuy nhien, nhieu nha cung cap email khong ho tro tinh nang ma hoa nay. Ban co the tim den nhung giai phap khac nhu la Neomailbox, Hushmail hay 4Secure-mail.

Doi voi truy cap tren hotspot cong cong, ban phai luon luon dam bao rang bat ky website nao ban dang nhap cho cac thong tin nhay cam hay bat ky dich vu nao ban dung (nhu email va FTP) duoc bao ve bang SSL. Dieu nay se dam bao thong tin qua lai giua may tinh va site hay dich vu luon an toan.

Bao ve du lieu tren mang rieng tu

Mac du an cap thong tin la moi quan tam lon tren cac mang Wi-Fi khong tin cay nhung no van gay lo lang phan nao tren cac mang rieng tu. Mot mang doanh nghiep chang han, van co the bi de doa tu nhung nhan vien co y do xau hay nhung ke xam nhap. Tuy viec su dung che do ma hoa du lieu PSK cua WPA2 (con goi la che do ca nhan – Personal mode) cho mang khong day va doi hoi nguoi dung mang rieng tu phai nhap mat khau ket noi thi no van cho phep mot nguoi dung noi bo bat luu luong cua nhung nguoi dung khac. May man la, WPA2 co mot che do goi la che do doanh nghiep (Enterprise mode hay 802.1X hoac EAP) de chan khong cho nguoi dung nay doc luu luong cua nguoi dung khac. Do la do moi nguoi dung se duoc cap thong tin nhan thuc nhu username, mat khau… de ket noi mang thay vi dung mot mat khau chung nhat nhu che do ca nhan. Khi mot nguoi dang nhap qua che do doanh nghiep, mot khoa ma hoa tu dong duoc cap va thay doi dinh ky.

Tuy nhien, che do Enterprise cua WPA2 yeu cau phai mot server nhan thuc, thuong goi la RADIUS (Remote Authentication Dial In User Service). Nhung neu ban dang su dung Windows Server, ban co the su dung chuong trinh IAS (Internet Authentication Service) trong ban Windows Server 2003 R2 hoac cac ban truoc do, hoac Network Policy Server (NPS) trong Windows Server 2008 va cac phien ban ke tiep.

Neu cac server hien tai cua nguoi dung khong co chuc nang RADIUS, thi van co rat nhieu server mien phi hay gia re nhu FreeRADIUS, TekRADIUS, ClearBox va Elektron. Mot so diem truy cap (nhu HP ProCurve 530 hay ZyXEL NWA 3500, NWA 3166 hoac NWA 3160-N) tham chi duoc nhung server RADIUS, rat tot cho cac mang nho. Va neu khong muon chay server rieng, thi co nhieu dich vu chu nhu AuthenticateMyWifi cho nguoi dung lua chon.

Tong ket

Nhu vay, gian diep Wi-Fi co the la van de thuc su voi cac mang Wi-Fi cong cong. Cach tot nhat de bao ve ban than la su dung ket noi VPN hay it nhat dam bao rang tai site hay dich vu ban dang nhap dang su dung ma hoa SSL. Va voi mang ca nhan, ban cung phai luon luon chu trong ve an toan noi bo va dam bao nguoi dung nay khong the bat luu luong nguoi dung khac.

Theo Quan Tri Mang

Cách bảo vệ an toàn thông tin trên mạng Wi-Fi

Các mạng Wi-Fi chưa phải là một môi trường an toàn. Trên các mạng riêng tư, người dùng có thể kích hoạt chế độ mã hóa bảo mật để ngăn không cho người dùng bất hợp pháp kết nối và bắt lưu lượng truyền.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá