Truy cập Wi-Fi qua VPN chưa hẳn an toàn

Trong lúc chờ VPN tiếp quản đường mạng, các phần mềm có thể đã tự động kết nối Internet, và khoảng thời gian có thể chỉ vài giây đó cũng đã đủ khiến cho những thông tin giá trị bị lộ.

Truy cập Wi-Fi qua VPN chưa hẳn an toàn

Ai cũng biết rằng truy cập Internet qua mạng Wi-Fi công cộng như quán cà phê, sân bay, khách sạn… là khá nguy hiểm. Thông tin trao đổi qua đó có thể bị nghe lén và đôi khi, kẻ xấu còn chiếm quyền kiểm soát các phiên làm việc của bạn. Và giải pháp tự bảo vệ cơ bản của chúng ta vẫn là dùng giao thức HTTPS mỗi khi truy cập những trang  lớn như Google, Facebook, hay dịch vụ thanh toán PayPal chẳng hạn.

Một phương thức đảm bảo hơn là chúng ta thiết lập VPN (mạng riêng ảo) và kết nối khi vào mạng. Khi vào một trang web bằng VPN, máy chủ VPN từ xa sẽ kết nối trang web đó cho bạn và trang web đó cũng tương tác với máy chủ VPN. Máy tính và máy chủ VPN kết nối qua đường dẫn hoàn toàn bảo mật, tức là không ai trong khách sạn hay người nào ở gần có thể thấy bạn đang vào trang web nào. Họ chỉ thấy một kết nối mã hóa giữa máy tính, smartphone, tablet và một máy chủ VPN.

Mặc dù vậy ngay cả giải pháp VPN cũng vẫn có lỗ hổng mà ít ai để ý. Trong một bài  viết trên Tạp chí An toàn thông tin có chỉ ra, người dùng không thể kết nối với VPN khi chưa vào được Internet, và kết nối VPN không thể thiết lập ngay lập tức. Trong phần lớn các điểm truy cập Wi-Fi công cộng, người dùng sẽ được kết nối tự động với mạng nhưng buộc phải mở trình duyệt để vào cổng do router gần nhất cung cấp để truy cập Internet, sau đó có thể phải mất công nhấn nút chấp nhận điều khoản dịch vụ (Terms of Service).

Trong thời gian chờ VPN tiếp quản đường mạng, các phần mềm trên máy người dùng có thể đã “nhanh nhẹn” kết nối Internet. Bạn dùng một hệ thống e-mail POP3 hay IMAP? Phần mềm đó có thể đã gửi thông tin người dùng hay mật khẩu và truyền nhận số lượng lớn thư qua mạng một cách hớ hênh. Các phần mềm chat cũng có thể đã kết nối ngay mà không đợi đến khi bạn nối vào VPN.

Khoảng thời gian rất ngắn, có thể chỉ vài giây hay vài chục giây cũng đã đủ khiến cho những thông tin giá trị như tên người dùng hay mật khẩu bị tiết lộ. Thông tin có thể được mã hóa qua giao thức SSL nhưng các chi tiết về cấu hình hệ thống vẫn có thể bị lộ và được dùng làm đầu mối cho các cuộc tấn công sau này.

Đó là chưa kể đôi khi kết nối VPN bị lỗi. Theo cấu hình mặc định trên phần lớn các hệ điều hành, trong trường hợp đó các ứng dụng sẽ chuyển về kết nối Wi-Fi mở như một tiện ích tối thiểu.

Bịt lỗ hổng Wi-Fi qua VPN

Để bịt lỗ hổng rò rỉ nhỏ ít ai để ý mà nguy hại nói trên của mạng Wi-Fi qua VPN, các chuyên gia an ninh mạng khuyến cáo chúng ta nên thay đổi cấu hình một chút. Dưới đây sẽ là cách bịt được lỗ hổng một cách cơ bản nhất, bạn có thể  tự tìm tài liệu để có kỹ năng tốt hơn.

Bước 1: Thiết lập VPN, và trong mục Control Panel => Network and Sharing Center chúng ta sẽ đảm kết nối VPN vào loại Public network. Các mạng Wi-Fi công cộng khi thiết lập hãy xếp vào loại Home hoặc Work.

Bịt lỗ hổng Wi-Fi qua VPN: Hãy đảm kết nối VPN vào loại “Public network” (số 3). Các mạng Wi-Fi công cộng khi thiết lập hãy xếp vào loại Home (1) hoặc Work (2).
Bịt lỗ hổng Wi-Fi qua VPN: Hãy đảm kết nối VPN vào loại “Public network” (số 3). Các mạng Wi-Fi công cộng khi thiết lập hãy xếp vào loại Home (1) hoặc Work (2).

Bước 2: Trong mục Windows Firewall của Control Panel, chuyển tới Advanced settings rồi tạo một luật chặn tất cả các ứng dụng thiết lập kết nối trên các mạng Public. Các luật trên cần được áp dụng cho cả kết nối vào và ra. Cụ thể quy trình như sau:

Bịt lỗ hổng Wi-Fi qua VPN: Bấm biểu tượng Windows rồi chọn Control Panel (mũi tên).
Bịt lỗ hổng Wi-Fi qua VPN: Bấm biểu tượng Windows rồi chọn Control Panel (mũi tên).
Bịt lỗ hổng Wi-Fi qua VPN: Vào mục Windows Firewall.
Bịt lỗ hổng Wi-Fi qua VPN: Vào mục Windows Firewall.
Bịt lỗ hổng Wi-Fi qua VPN: Vào mục “Advanced settings”.
Bịt lỗ hổng Wi-Fi qua VPN: Vào mục “Advanced settings”.
Bịt lỗ hổng Wi-Fi qua VPN: Bấm New Rule để tạo luật mới cho đầu vào (mục 4). Sau khi xong quá trình hãy quay trở lại làm tương tự cho đầu ra (mục 5).
Bịt lỗ hổng Wi-Fi qua VPN: Bấm New Rule để tạo luật mới cho đầu vào (mục 4). Sau khi xong quá trình hãy quay trở lại làm tương tự cho đầu ra (mục 5).
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu Program (khoanh đỏ) và bấm Next.
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu Program (khoanh đỏ) và bấm Next.
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu “All programs” (khoanh đỏ) rồi bấm Next.
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu “All programs” (khoanh đỏ) rồi bấm Next.
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu “Block the connection” (số 7) rồi bấm Next.
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu “Block the connection” (số 7) rồi bấm Next.
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu cả Domain (9), Private (10) lẫn Public (11) rồi bấm Next…
Bịt lỗ hổng Wi-Fi qua VPN: Đánh dấu cả Domain (9), Private (10) lẫn Public (11) rồi bấm Next…

Bước 3: Sau đó tạo một luật cho phép chương trình VPN và trình duyệt bạn định dùng được phép kêt nối với Public network. Các luật trên cũng cần được áp dụng cho cả kết nối vào và ra. Cụ thể vẫn là vào Control Panel, vào Windows Firewall, vào Advanced settings, bấm New Rule (lần lượt cho cả đầu vào lẫn đầu ra), chọn Program, nhưng lựa chọn riêng ra đường dẫn tới một trình duyệt (mục 6 ảnh trên), rồi chọn Allow the connection (mục 8), và đánh dấu Public (mục 11)…

ictnews