Bảo vệ an toàn thông tin trên mạng Wi-Fi
Các mạng Wi-Fi chưa phải là một môi trường an toàn. Trên các mạng riêng
tư, người dùng có thể kích hoạt chế độ mã hóa bảo mật để ngăn không cho
người dùng bất hợp pháp kết nối và bắt lưu lượng truyền. Tuy vậy tùy thuộc
vào phương pháp bảo mật sử dụng mà dữ liệu người dùng vẫn có thể bị đánh cắp.
Và mặc dù các mạng công cộng có thể sử dụng phương pháp xác thực trên nền
web thì hầu hết những mạng này đều không có một phương pháp mã hóa bảo mật
đúng nghĩa. Cho nên, bất kỳ ai trong tầm phủ sóng đều có thể “nghe lén” lưu lượng
hotspot.
Bài viết sẽ làm rõ hơn thế nào là gián điệp Wi-Fi và đề xuất một vài giải pháp bảo
vệ người dùng khi sử dụng mạng Wi-Fi riêng tư cũng như công cộng.
Gián điệp Wi-Fi
Để hiểu rõ hơn thế nào là gián điệp Wi-Fi, ta nên tìm hiểu về những việc có thể
thực hiện trên lưu lượng Wi-Fi bắt được. Khi một kẻ xâm nhập bắt được các gói
lưu lượng qua Wi-Fi, hắn có thể biết được mật khẩu và nội dung của những dịch
vụ hay website mà nạn nhân đăng nhập khi không sử dụng kĩ thuật mã hóa SSL,
thường là các kết nối email POP3/IMAP và FTP. Hắn cũng có thể chặn đăng nhập
(hjack) tới các website như Facebook và Twitter hay thu thập file truyền tải trên
mạng riêng tư.
Nhưng rất may là, những gián điệp Wi-Fi sẽ không dễ dàng đạt được mục đích của
mình nếu dịch vụ hay website sử dụng kỹ thuật mã hóa SSL, như là các website
ngân hàng. Nhưng chúng vẫn có thể lới dụng các lỗ hổng trên SSL. Đây lại là một
chủ đề tốn giấy mực khác.
Bảo vệ dữ liệu trên mạng công cộng
Do hầu hết các hotspot Wi-Fi không sử dụng phương pháp mã hóa bảo mật nào và
không cung cấp tính năng bảo vệ lưu lượng nên ăn cắp thông tin có vẻ như là mối
lo được quan tâm hơn trong mạng công cộng. Rõ ràng là, hiện có rất nhiều công cụ
mà đến người dùng bình thường cũng có thể dễ dàng sử dụng để đánh cắp thông tin
từ người khác. Thậm chí, chẳng cần hơn một chiếc smartphone để lấy cắp mật
khẩu hay chặn tài khoản của bạn đâu.
Giải pháp tốt nhất để giữ cho lưu lượng mạng của mình luôn được an toàn khi sử
dụng các hotspot Wi-Fi là sử dụng mạng riêng ảo VPN để kết nối tới mạng nội bộ
công ty hay server. Hoặc sử dụng một dịch vụ chủ được thiết kế chuyên dụng để
bảo vệ tại hotspot như là Private Wi-Fi hay Hotspot Shield. Khi kết nối tới một
VPN, toàn bộ lưu lượng Internet được gửi từ máy tính hay thiết bị người dùng sẽ
qua một đường hầm được mã hóa an toàn đến mạng của nhà cung cấp VPN. Nên
lưu lượng hoàn toàn an toàn trước những gián điệp Wi-Fi tại hotspot nội bộ.
Nếu không thể hay không thích sử dụng một VPN, người dùng nên ít nhất chắc
chắn rằng bất kỳ dịch vụ hay website nào sẽ sử dụng trong khi kết nối hotspot được
an toàn bằng kỹ thuật mã hóa SSL. Khi SSL được áp dụng thì các trình duyệt web
sẽ có một địa chỉ là https thay vì http và sẽ hiển thị một pad lock cùng một số chỉ
thị khác. Với các chương trình ứng dụng mail như Outlook hay Thunderbird thì
người dùng cần chắc chắn SSL đang được sử dụng cho các kết nối POP3 hay
IMAP và SMTP server. Tuy nhiên, nhiều nhà cung cấp email không hỗ trợ tính
năng mã hóa này. Bạn có thể tìm đến những giải pháp khác như là Neomailbox,
Hushmail hay 4Secure-mail.
Đối với truy cập trên hotspot công cộng, bạn phải luôn luôn đảm bảo rằng bất kỳ
website nào bạn đăng nhập cho các thông tin nhạy cảm hay bất kỳ dịch vụ nào bạn
dùng (như email và FTP) được bảo vệ bằng SSL. Điều này sẽ đảm bảo thông tin
qua lại giữa máy tính và site hay dịch vụ luôn an toàn.
Bảo vệ dữ liệu trên mạng riêng tư
Mặc dù ăn cắp thông tin là mối quan tâm lớn trên các mạng Wi-Fi không tin cậy
nhưng nó vẫn gây lo lắng phần nào trên các mạng riêng tư. Một mạng doanh
nghiệp chẳng hạn, vẫn có thể bị đe dọa từ những nhân viên có ý độ xấu hay những
kẻ xâm nhập. Tuy việc sử dụng chế độ mã hóa dữ liệu PSK của WPA2 (còn gọi là
chế độ cá nhân – Personal mode) cho mạng không dây và đòi hỏi người dùng mạng
riêng tư phải nhập mật khẩu kết nối thì nó vẫn cho phép một người dùng nội bộ bắt
lưu lượng của những người dùng khác. May mắn là, WPA2 có một chế độ gọi là
chế độ doanh nghiệp (Enterprise mode hay 802.1X hoặc EAP) để chặn không cho
người dùng này đọc lưu lượng của người dùng khác. Đó là do mỗi người dùng sẽ
được cấp thông tin nhận thực như username, mật khẩu… để kết nối mạng thay vì
dùng một mật khẩu chung nhất như chế độ cá nhân. Khi một người đăng nhập qua
chế độ doanh nghiệp, một khóa mã hóa tự động được cấp và thay đổi định kỳ.
Tuy nhiên, chế độ Enterprise của WPA2 yêu cầu phải một server nhận thực,
thường gọi là RADIUS (Remote Authentication Dial In User Service). Nhưng nếu
bạn đang sử dụng Windows Server, bạn có thể sử dụng chương trình IAS (Internet
Authentication Service) trong bản Windows Server 2003 R2 hoặc các bản trước
đó, hoặc Network Policy Server (NPS) trong Windows Server 2008 và các phiên
bản kế tiếp.
Nếu các server hiện tại của người dùng không có chức năng RADIUS, thì vẫn có
rất nhiều server miễn phí hay giá rẻ như FreeRADIUS, TekRADIUS, ClearBox và
Elektron. Một số điểm truy cập (như HP ProCurve 530 hay ZyXEL NWA 3500,
NWA 3166 hoặc NWA 3160-N) thậm chí được nhúng server RADIUS, rất tốt cho
các mạng nhỏ. Và nếu không muốn chạy server riêng, thì có nhiều dịch vụ chủ như
AuthenticateMyWifi cho người dùng lựa chọn.
Tổng kết
Như vậy, gián điệp Wi-Fi có thể là vấn đề thực sự với các mạng Wi-Fi công cộng.
Cách tốt nhất để bảo vệ bản thân là sử dụng kết nối VPN hay ít nhất đảm bảo rằng
tại site hay dịch vụ bạn đăng nhập đang sử dụng mã hóa SSL. Và với mạng cá
nhân, bạn cũng phải luôn luôn chú trọng về an toàn nội bộ và đảm bảo người dùng
này không thể bắt lưu lượng người dùng khác.
![Tài liệu tập huấn nâng cao nhận thức về an toàn thông tin mạng cho cán bộ cơ sở [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2023/20230307/bapnuong06/135x160/991678178243.jpg)
