• Thứ Năm, 16/12/2010 09:49 (GMT+7)

    Thiết lập kết nối web an toàn

    Hồng Vy
    Lo lắng về độ bảo mật của mạng không dây khi đang làm việc di động? Chúng tôi sẽ "mách" cho bạn cách luôn giữ an toàn cho mọi dữ liệu.

    Nếu là người thường xuyên phải làm việc di động, hẳn bạn từng một lần kết nối vào mạng không dây công cộng. Do đó, bạn nên biết làm thế nào để giữ cho dữ liệu của mình an toàn khi tham gia vào những mạng Wi-Fi như thế. Bạn có thể dùng tính năng mạng riêng ảo cá nhân mà công ty cung cấp, hay chí ít dùng một "giao thông hào" được mã hóa nghiêm ngặt như trong tiện ích Hotspot Shield (tải về tại http://hotspotshield.com/?lg=vic).  

    Nếu doanh nghiệp của bạn không có mạng riêng ảo (Virtual Private Network - VPN) hay bản thân bạn không thích “dây dưa” với các mẫu quảng cáo trong Hotspot Shield, mọi thứ chưa phải là dấu chấm hết. Bạn vẫn có thể tự thiết lập một kết nối Internet riêng đã được mã hóa.

    Tạo "đường hầm " cho dữ liệu

    Thực tế cho thấy, dù mạng Wi-Fi mà bạn đang dùng được bảo vệ bằng mật khẩu hay là dạng thu phí theo thời gian truy cập thì bất cứ ai trên cùng mạng không dây này đều có thể trở thành điệp viên theo dõi sát sao mọi hành vi và nội dung lướt web của bạn.  

    Tuy nhiên, bạn có thể khắc phục sự cố này bằng cách tạo ra một "đường hầm" (tunnel) được mã hóa mà thông qua đó bạn có thể gửi dữ liệu với điểm xuất phát là máy tính xách tay đến điểm cuối là vị trí đã được xác định trước đó (hay nói vui là điểm cuối của đường hầm). Cũng từ đây, đường hầm sẽ "định tuyến" các yêu cầu truy xuất web của bạn đến Internet. Dĩ nhiên, khi dữ liệu rời khỏi “đường hầm” chúng thường sẽ chịu sự giám sát mặc định từ các ISP, các qui luật và nhiều thứ liên quan khác, trong khi dữ liệu di chuyển qua các điểm truy cập Wi-Fi công cộng, việc lướt web của bạn an toàn.

    Hình 1: Thiết lập kết nối web an toàn thông qua máy chủ hosting của doanh nghiệp.

    Máy chủ SSH - Rẻ, dễ dùng

    Cách thức dễ nhất để thiết lập 1 “đường hầm” an toàn cho kết nối web thường bắt đầu bằng việc trả phí hàng tháng cho 1 công ty hosting để thực hiện tất cả công việc khó khăn như duy trì máy chủ, cài đặt hệ điều hành và đảm bảo cho máy chủ luôn hoạt động 24 giờ với nguồn điện được cung cấp liên tục. Nhiều người dùng thích giải pháp này bởi vì không phải vướng víu với công cụ/thiết bị tường lửa (firewall) tại nhà và không cần để máy tính xách tay luôn chạy khi làm việc di động.  

    Bất kỳ nhà cung cấp dịch vụ lưu trữ giá rẻ nào cũng đều có thể phục vụ các yêu cầu của bạn, miễn là họ cung cấp truy cập đến một máy chủ SSH (Secure Shell Server). Về cơ bản, SSH được tạo ra như là 1 phiên bản được mã hóa của Telnet - một giao thức gốc của Internet - thường được dùng để gửi các thông tin dạng ký tự giữa các máy tính. Bạn nên tìm một nhà cung cấp dịch vụ hosting cơ bản với tài khoản truy cập dạng SSH.

    Khi nhà cung cấp hoàn tất việc tạo tài khoản SSH, bạn sẽ nhận được thông tin đăng nhập và cấu hình chi tiết của máy chủ dịch vụ. Với các thông tin kể trên, bạn có thể thiết lập 1 web proxy "dã chiến" bằng cách dùng các câu lệnh SSH. Công việc này có thể thực hiện tốt trên OS X và các phiên bản Windows, trong khi người dùng Linux cần thực hiện vài điều chỉnh khi cần thiết.

    Sử dụng máy trạm SSH

    OS X có một tiện ích máy trạm SSH dòng lệnh, vì thế tất cả những gì bạn cần là mở Terminal (trong thư mục Utilities bên trong thư mục Application). Dấu nhắc dòng lệnh gồm có tên tài khoản đăng nhập và tên máy tính của bạn, tiếp theo sau là dấu $. Mọi lệnh sẽ được nhập vào sau biểu tượng $ này.

    Hình 2: Trong tiện ích máy khách PuTTY dành cho Windows, bạn điền vào tên máy chủ hosting và chọn giao thức SSH.

    Với Windows, bạn cần tải về một tiện ích máy trạm như PuTTY (find.pcworld.com/70271).  

    Bằng cách dùng các thông tin đăng nhập từ nhà cung cấp dịch vụ hosting, bạn có thể mở một phiên kết nối SSH trên OS X bằng cách nhập vào lệnh sau: $ ssh username@servername.example.com 

    Trên một máy tính chạy Windows, bạn khởi chạy PuTTY và nhập vào tên máy chủ mà dịch vụ hosting cung cấp. Tiếp đến, chọn tùy chọn SSH ở mục Protocol. Ở mục Port, giá trị được thiết lập là 22 (cổng SSH mặc định). Sau đó, nhấn nút Open. 

    Vì đây là lần đầu tiên bạn kết nối với máy chủ dịch vụ nên tiện ích máy khách sẽ hiển thị một cảnh báo và đồng thời đề nghị bạn xác nhận lại sự tồn tại của máy chủ. Lưu ý, việc này chỉ xảy ra 1 lần, sau đó tiện ích máy khách sẽ xác nhận máy chủ không có gì thay đổi. Còn nếu có gì đó thay đổi nghĩa là kết nối đang gặp trục trặc.  

    Một khi bạn đã xác nhận sự tồn tại của máy chủ, PuTTY sẽ yêu cầu bạn nhập tên đăng nhập và mật khẩu. OS X sẽ chỉ yêu cầu mật khẩu vì bạn đã cung cấp tên đăng nhập ngay trên dấu nhắc lệnh. 

    Sau khi đăng nhập xong, bạn sẽ thấy một thông báo cho biết bạn đang kết nối đến cửa sổ dòng lệnh của một máy chủ điều khiển từ xa. Nếu chú ý, bạn sẽ thấy tên máy chủ đi kèm với biểu tượng $ đã thay đổi tùy thuộc vào máy chủ kết nối từ xa. 

    Lúc này, với một máy chủ SSH đang làm việc, bạn có thể thiết lập một tunnel cho riêng kết nối của mình. Để kết thúc phiên kết nối SSH, bạn gõ vào lệnh exit.

    Hình 3: Bạn cần "hướng" trình duyệt đến “localhost” để gửi thông tin thông qua tunnel mà máy chủ SSH đã tạo trên máy tính cá nhân.

    Thiết lập "cầu nối"

    Đây là công việc đơn giản song sẽ khiến bạn đôi lần bối rối. Bạn cần cấu hình một cổng (port) trên máy tính cá nhân của mình hay còn gọi là máy "lắng nghe" (listener), có nhiệm vụ nhận bất kỳ gói dữ liệu nào mà bạn "ném" vào và sau đó chuyển vào 1 phiên mã hóa SSH. Ở đầu bên kia của tunnel, dữ liệu sẽ được đưa vào máy chủ SSH. Bạn cũng cần cấu hình để trình duyệt gửi/nhận dữ liệu thông qua máy tính "lắng nghe"cục bộ này.  

    Ví dụ, bạn cần yêu cầu máy khách SSH mở một tunnel trên máy tính xách tay (localhost) ở port số 8888 và kết nối với máy chủ SSH - từ đây, dữ liệu của bạn sẽ được chuyến tiếp đến website cần truy vấn.  

    Trong OS X, tác vụ này được thực hiện dễ dàng chỉ với một dòng lệnh: $ ssh -N D 8888 username@servername.example.com. 

    Tùy chọn (tham số) "N" thông báo cho máy khách SSH biết bạn không muốn một phiên làm việc tương tác (dấu nhắc lệnh). Trong khi đó, tham số D 8888 thông báo cho máy khách biết cần thiết lập một tunnel chuyển tiếp cổng dạng động (dynamic port-forwarding tunnel). Tunnel cần được thiết lập ở trạng thái động vì website "đích" sẽ thường xuyên thay đổi khi bạn duyệt web. Những tunnel chuyển tiếp cổng khác có thể có những quy tắc "tĩnh" riêng, tuy nhiên để duyệt web thì bạn cần một phiên bản tunnel động.  

    Sau khi nhập vào lệnh trên, bạn sẽ được yêu cầu cung cấp mật khẩu, và sau đó… không có gì xảy ra. Thực vậy, nếu lệnh trên hoạt động thì cổng (port) tương ứng sẽ được "khai thông", tuy nhiên bạn sẽ không nhận được bất cứ thông tin/thông báo nào trong Terminal. 

    Trong Windows, khởi chạy PuTTY, cuộn danh sách Category đến mục Connection và mở rộng mục SSH để chọn Tunnels. Chọn nút Dynamic, nhập vào giá trị 8888 cho mục Source Port và sau đó nhấn Add. 

    Tiếp đến, nhấn nút Open. Sau khi bạn nhập vào mật khẩu, tunnel sẽ được khởi tạo. Lưu ý, sẽ không có thông báo nào xuất hiện trên cửa sổ dòng lệnh.

    Kiểm tra "đường hầm"

    Hình 4: Khi thiết lập tunnel chuyển tiếp cổng trên tiện ích PuTTY, bạn chọn chế độ Dynamic.

    Giờ là lúc bạn kiểm tra mọi thứ. Trước tiên, mở trình duyệt và “ghé” qua địa chỉ www.whatismyipaddress.com, viết lại hay nhớ địa chỉ IP hiển thị. Đây là địa chỉ IP công cộng (public IP) mà cả phần còn lại của thế giới sẽ thấy được khi bạn kết nối vào Internet từ máy tính của mình (tại nhà, văn phòng, quán café hay trường học). 

    Để thay đổi, trong IE, mở Tools.Internet Options, chọn thẻ Connections, sau đó nhấn chọn LAN Settings. Trong hộp thoại vừa xuất hiện, đánh dấu tùy chọn Use a proxy server for your LAN. Nhấn Advanced. Ở mục SOCKS, điền localhost cho mục địa chỉ (address) và 8888 cho mục cổng (port), các mục khác để trống. Sau đó, nhấn OK 3 lần.  

    Trong Firefox trên Windows, bạn chọn Tools.Options. Còn với người dùng Firefox trên OS X, nhấn Firefox,Preferences. Sau đó, trên cả 2 nền tảng, chọn mục Advanced và sau đó chọn thẻ Network. Tiếp đến, nhấn nút Settings.  

    Chọn Manual Proxy Configuration. Ở mục SOCKS Host, điền localhost và 8888 lần lượt cho mục address và port, các mục khác để trống. Đánh dấu tùy chọn SOCK5 nếu mục này chưa sẵn sàng. Trong Windows, nhấn OK 2 lần; còn trong OS X, bạn chỉ đơn giản là đóng lại cửa sổ hộp thoại. 

    Còn với người dùng OS X Safari, chọn Safari.Preferences. Chọn mục Advanced và sau đó nhấn nút Change Settings kế mục Proxies. Thao tác này sẽ mở hộp thoại System Preferences cho kết nối mạng hiện tại. Ở thẻ Proxies, đánh dấu tùy chọn SOCKS Proxy và điền vào localhost và 8888 lần lượt cho mục address và port. Nhấn OK.Apply và sau đó đóng cửa sổ hộp thoạiSystem Preferences.

    Cho dù bạn đang dùng trình duyệt và nền tảng (hệ điều hành) nào, khi đã thay đổi các thông số Web Proxy, bạn quay trở lại trang chủ WhatIsMyIpAddress để xác nhận Internet đã thấy bạn đang kết nối từ máy chủ SSH, đồng thời khẳng định phiên duyệt web của bạn hiện được an toàn trước những kẻ xấu trong cùng mạng Wi-Fi.

    Tự tạo máy chủ SSH

    Hình 5: Thay vì kết nối trực tiếp đến website, bạn có thể gửi dữ liệu từ MTXT sang một tunnel bảo mật thông qua máy chủ SSH trên máy tính cá nhân đặt tại nhà.

    Bạn không muốn trả phí hàng tháng cho một công ty hosting? Bạn có thể tự tạo một máy chủ SSH cho riêng mình. Tuy nhiên, việc này không phải dành cho mọi người, do đó đừng tiếp tục làm theo những hướng dẫn bên dưới nếu bạn cảm thấy chúng khó hiểu và khó áp dụng. Ngoài ra, bạn cần có kinh nghiệm trong việc thiết lập một kết nối thông qua bộ định tuyến DSL, tùy chỉnh tính năng tường lửa. Lúc này máy tính được dùng làm máy chủ của bạn cần được mở liên tục, đồng thời mở các cổng kết nối cần thiết truy cập ra Internet. 

    OS X tích hợp một máy chủ SSH. Mở mục System Preferences.Sharing. Ở thẻ Services, chọn Remote Login (aka SSH Server). Với Windows, người dùng có thể tải về vài tiện ích SSH miễn phí như WinSSHD phiên bản 5 (find.pcworld.com/70272). Bạn cài đặt tiện ích và chọn Personal Edition.  

    Sau đó, trình hướng dẫn Easy Settings sẽ khởi chạy, mọi thiết lập mặc định đều thích hợp cho nhu cầu sử dụng cơ bản, vì thế bạn chỉ cần nhấn Cancel khi được hỏi và yêu cầu thay đổi. Sau đó, bạn nhấn vào liên kết WinSSHD để khởi chạy máy chủ SSH.

    Kiểm tra máy chủ SSH

    Với người dùng OS X, từ cửa sổ dòng lệnh, gõ $ ssh username@localhost. Với người dùng Windows, khởi chạy PuTTY và điền tên máy chủ là localhost. Bạn có thể sử dụng mật khẩu mà bạn thường dùng để đăng nhập vào máy tính cá nhân. Đây là một kết nối mới nên bạn sẽ được yêu cầu xác nhận lại mật khẩu. Nếu không, hãy kiểm tra lại tường lửa hay tiện ích bảo mật nhiều khả năng đang "khóa" kết nối của bạn.  

    Kế đến, bạn cố gắng kết nối từ ngoài vào máy chủ SSH. Bạn cần tạo một tài khoản thử nghiệm và nhờ một chiến hữu giúp kiểm tra kết nối (nhớ cung cấp cho họ cả mật khẩu đăng nhập). Lưu ý, nên hướng dẫn bạn của mình thực hiện các bước đã được hướng dẫn ở phần trên để thiết lập máy khách SSH và cấu hình lại thông số cho trình duyệt 

    ID: A1009_114