• Thứ Sáu, 09/01/2004 11:12 (GMT+7)

    Ngăn chặn tai họa internet và giữ an toàn mạng

    Công nghệ nào mang lại nhiều lợi ích to lớn thì đồng thời cũng chứa đựng lắm rủi ro đáng sợ. Trong trường hợp internet, đó là những nguy cơ đe dọa sự riêng tư của bạn, các tập tin, mật khẩu và băng thông quý giá của bạn. Trong bài này chúng ta đi sâu vào hai lĩnh vực an toàn đang trở thành những bức xúc ngày một lớn đối với tất cả mọi người dùng: mạng không dây và chia sẻ tập tin.

    Khuyết điểm chính của mạng LAN hay mạng gia đình là dây nối lằng nhằng. Đó là lý do tại sao việc nối mạng không cần dây là tiến bộ lớn nhất kể từ khi có internet. Chỉ cần mua một router hoặc điểm truy cập không dây (dùng giao thức 802.11b hoặc 802.11a, còn gọi là Wi-Fi và Wi-Fi5) và một số card không dây dùng cho máy khách, lắp đặt chúng và thế là xong – bạn có thể đọc email trong nhà bếp, phòng ngủ, hoặc ở bất cứ đâu trong phạm vi vài ba khối nhà.

    Tuy nhiên, bạn phải đối mặt với một vấn đề: Nếu không hiệu lực hóa tính năng bảo mật của router không dây, bạn có nguy cơ bị chia sẻ kết nối của mình với bất cứ ai đang loanh quanh gần đó có trong tay notebook hoặc PDA có khả năng kết nối không dây và phần mềm NetStumbler của NetStumbler.com dùng để phát hiện mạng. Chỉ cần mạng của bạn bị mất an toàn trong chốc lát là đã có thể xuất hiện ngay trong cơ sở dữ liệu mạng không dây mở rộng của NetStumbler.com.

    Tuy vậy, băng thông bị trộm không phải là điều tai hại nhất. Một người có kiến thức sẽ dễ dàng bắt giữ và xem nội dung được truyền trên mạng không dây, kể cả email và mật khẩu đăng nhập, hoặc có thể chiếm đoạt định danh (ID) của bạn dùng cho mục đích bất lương như sử dụng mạng và máy tính của bạn để tấn công các hệ thống khác.

    Khả năng bảo mật của các phiên bản Wi-Fi hiện hành vốn còn khiếm khuyết. Trước khi phiên bản 802.11i của Wi-Fi được chấp thuận, bạn không thể giữ an toàn tuyệt đối mạng của mình trước những kẻ chuyên đột nhập mạng không dây. Tuy nhiên, bằng cách sử dụng nhiều kỹ thuật bảo mật, bạn có thể làm cho việc bẻ khóa mạng LAN Wi-Fi của mình trở nên khó khăn, đủ để khiến những kẻ đột nhập phải nản lòng.

    Tuy nhiên, mạng văn phòng hoặc mạng gia đình thiếu an toàn không phải là điểm yếu duy nhất. Nếu kết nối với mạng Wi-Fi công cộng không an toàn ở sân bay, khách sạn, hoặc hiệu cà phê nào đó, password, email, và những dữ liệu khác của bạn có thể bị rủi ro. Người khách ngồi cạnh có thể không chỉ để nhấm nháp cà phê mà còn rình để bẻ khóa. Dưới đây là một số biện pháp bảo vệ.


    Hình 1: Tránh tai hoạ bẻ khóa cụm từ mật khẩu WEP bằng cách nhập một khóa thập lục phân.

    Hiệu lực hóa WEP: Các giao thức 802.11b và 802.11a đều có một thành phần bảo mật tùy chọn là Wireless Equivalent Privacy (WEP) dùng để xác minh bất kỳ ai muốn thâm nhập vào mạng không dây, đồng thời mã hóa mọi thông tin luân chuyển trong mạng. WEP có những khiếm khuyết làm cho hệ thống dễ bị bẻ khóa (giáo sư tin học William A. Arbaugh của trường đại học University of Maryland đã thu thập các bằng chứng tai hại này ở find.pcworld.com/30332). Tuy vậy, ít an toàn vẫn tốt hơn không an toàn. Tài liệu hướng dẫn sử dụng phần cứng Wi-Fi sẽ chỉ rõ cho bạn biết cách hiệu lực hóa WEP.

    Dùng WEP 128 bit: Các thiết bị Wi-Fi hỗ trợ mã hóa WEP với 40 bit hoặc 128 bit. Mật mã WEP 40 bit khá yếu, kết hợp với các khiếm khuyết đã được thống kê khác của WEP, làm cho hệ thống dễ bị bẻ khóa. Để dùng WEP 128 bit, trước hết bạn phải bảo đảm tất cả các thiết bị không dây trên mạng đều hỗ trợ nó. Việc dùng WEP 128 bit trên toàn mạng phải cân nhắc đến chi phí phải thay card không hỗ trợ biện pháp an toàn hơn này.

    Chọn mật khẩu thích hợp, hoặc dùng số thập lục phân: Một phần của quá trình hiệu lực hóa WEP là chọn cụm từ mật khẩu. Chẳng may, nếu cụm từ này dễ đoán biết, WEP sẽ bị vượt qua dễ dàng. Hãy dùng lẫn chữ cái thường và hoa cùng với những ký tự không phải chữ cái, đừng dùng các từ có nghĩa (kể cả từ nước ngoài hay thay các ký tự có thể đoán biết (như pa55w0rd thay cho paSSwOrd). Những kẻ đột nhập mạng không dây dày dạn kinh nghiệm thường có trong tay các loại từ điển và công cụ có thể vượt qua tất cả thủ thuật và hoán vị này chỉ trong nháy mắt.

    Rất may cụm từ mật khẩu này có thể bỏ qua nếu muốn – chỉ cần lập ra một khóa WEP thập lục phân riêng của mình (một dãy gồm các số thập lục phân hai con số) và gõ vào các màn hình thiết lập của router và card không dây (hình 1). Số thập lục phân (cơ số 16) bắt đầu bằng zêrô và dùng các chữ cái từ A đến F tương đương các số thập phân từ 10 đến 15, nên thu được các đại lượng hai con số như 0B (tương đương 11 thập phân) và FF (tương đương 255 thập phân). Cần tránh việc xây dựng các khóa dễ nhớ như A1, 3D, 4F, B4 – những kẻ chuyên bẻ khóa đã nghĩ đến điều này, và chúng đang tìm nó.

    Mã hóa đăng nhập e-mail: Một cách đề phòng bọn rình mò chộp được password vào server thư tín của bạn là dùng một trong các phương pháp đăng nhập an toàn có mã hóa password của bạn trước khi nó được truyền qua mạng để đến server thuộc công ty hoặc ISP của bạn. Hãy hỏi bộ phận hỗ trợ kỹ thuật phương pháp thích hợp; sau đó hiệu lực hóa nó trong chương trình email của mình. Hầu hết đều cho phép dùng các đăng nhập Secure Password Authentication (SPA) và Secure Sockets Layer (SSL) (xem Hình 2).


    Hình 2: Tùy chọn SPA trong Outlook Express sẽ bảo vệ các password đăng nhập khỏi những kẻ rình mò dùng thiết bị không dây.

    Dùng IPSec hoặc VPN: Bạn có thể thay hẳn WEP bằng một trong các giao thức mã hóa và xác thực được thiết kế tốt hơn, mặc dù việc này không thích hợp với người rụt rè về kỹ thuật và cũng không rẻ chút nào. IPSec là phiên bản an toàn của giao thức kết nối mạng Internet Protocol (IP) trong TCP/IP. Chỉ cần cả máy tính lẫn router (hoặc điểm truy cập) không dây đều hỗ trợ IPSec là bạn có thể bỏ qua WEP. Windows XP hỗ trợ IPSec (chọn Start.Help and Support và tìm IPSec để xem danh sách các bài về đề tài này). Các router không dây hỗ trợ IPSec cũng đã có mặt.

    Mạng riêng ảo (Virtual Private Network – VPN) thuộc công nghệ khác. VPN tạo ra một đường hầm mã hóa an toàn nối giữa PC của bạn và một thiết bị ở xa (như router hoặc server thư tín). Ở đây, hệ điều hành và router cũng phải hỗ trợ kết nối VPN (hầu hết các phiên bản Windows đều hỗ trợ, nhưng một số loại router thì không). Các mạng VPN còn cho chúng ta một giải pháp tuyệt vời cho vấn đề an toàn của việc truy cập không dây công cộng.

    Dùng 802.1x: Không an tâm chờ đợi giao thức 802.11i an toàn hơn, một số hãng chuyên về sản phẩm mạng đã hỗ trợ một phiên bản sơ bộ gọi là 802.1x, phiên bản này tránh được hầu hết các nhược điểm của WEP. Cũng như IPSec và VPN, cả PC lẫn router không dây đều phải hỗ trợ 802.1x. Windows XP hỗ trợ giao thức này.

    Cài đặt tường lửa trên tất cả các máy tính: Vì mạng không dây không an toàn, nên mọi máy tính trên mạng LAN của bạn về cơ bản cũng không an toàn. Việc thiết lập một trong các loại tường lửa miễn phí đã từng được đề cập trước đây, thiết lập nó chỉ cho phép truy cập vào những máy cần thiết, biết rõ cụ thể trên mạng (chia sẻ máy in chẳng hạn) sẽ thêm một biện pháp bảo vệ chắc chắn để chặn đứng các tai hoạ internet và đem đến sự an toàn cho mạng.

     

    Chia Sẻ Các Tập Tin An Toàn

    Các chương trình như Kazaa, Morpheus, và BerarShare đều rất tốt và miễn phí, tuy nhiên bạn có thể vô tình gặp rắc rối khi dùng một trong các chương trình này. Vấn đề pháp lý và đạo đức về chia sẻ tập tin rất phức tạp.

    Khi lướt Web, trao đổi email, hoặc dùng bất kỳ một công nghệ nào để tải các tập tin xuống máy tính, bạn có thể bị nhiễm phải virus hoặc ngựa Trojan phá hỏng dữ liệu hay tạo điều kiện cho ai đó có thể kiểm soát máy tính của bạn từ xa. Một công trình nghiên cứu gần đây của Hewlett-Packard Labs phát hiện ra rằng một số lượng đáng ngạc nhiên những người sử dụng Kazaa đã vô tình chia sẻ các hộp thư email, cookie, dữ liệu tài chính, và các tập tin cá nhân khác. Để giảm bớt hiểm họa mà vẫn được tiếp tục sử dụng chương trình, bạn thực hiện các bước sau:

    Bỏ qua spyware: Hầu hết các công cụ chia sẻ tập tin đều có cài đặt spyware (do thám), adware (quảng cáo), hoặc các tiện ích được ấn bừa vào ngốn khá nhiều băng thông. Bạn luôn có thể ngăn chặn chúng, miễn là phải chú ý trong khi cài đặt. Bạn cũng có thể loại bỏ một cách an toàn spyware bằng cách sử dụng Ad-aware của Lavasoft (find.pcworld.com/28401). Nhiều người đã tìm được cách loại bỏ các ứng dụng không cần thiết ra khỏi Kazaa, tạo nên một phiên bản mới gọi là Kazaa Lite. Bạn có thể tìm và tải Kazaa Lite xuống bằng cách tìm kiếm trong site chia sẻ  tập tin Zeropaid.com. Tốt hơn nên dùng một công cụ chia sẻ tập tin không mang tính thương mại, vì nó hoàn toàn không lén lút đưa vào các công cụ không mong muốn. Công cụ ưa thích hiện nay của chúng tôi là Gnucleus (find.pcworld.com/30314), một chương trình nguồn mở được dùng để phát triển phiên bản hiện hành của Morpheus.


    Hình 3: Cấu hình chương trình chia sẻ tập tin của bạn để chỉ phục vụ những folder nào chứa các tập tin mà bạn muốn chia sẻ.

    Đóng kín cửa nhà: Phải bảo đảm bạn đã dùng tường lửa và phần mềm chống virus. Phần mềm Personal Firewall Pro của Sygate và ZoneAlarm của Zone Labs là các công cụ tường lửa và chống virus được xếp đầu bảng của tạp chí PC World, cả hai đều miễn phí (Xem “Bảo vệ máy tính của bạn” - PC World VN 7/2002 trang 68 hoặc find.pcworld.com/27361).

    Đừng chia sẻ các tập tin riêng tư: Chương trình chia sẻ tập tin của bạn sẽ tạo các thư mục tải lên và tải xuống mặc định. Nếu không thích vị trí của folder chia sẻ tập tin mặc định, bạn có thể đặt ở vị trí khác, nhưng phải tách riêng nó khỏi các tập tin dữ liệu cá nhân của bạn (hình 3). Và phải luôn nhớ: Bạn đang chia sẻ không chỉ folder chia sẻ, mà còn chia sẻ mọi folder con chứa trong đó. Nếu thật sự lo ngại, bạn có thể vô hiệu hóa hẳn tính năng tải lên tập tin.

    Đừng tải xuống virus: Nói chung, bạn sẽ không nhận được một virus nào cả từ việc chia sẻ tập tin nếu bạn luôn luôn chỉ tải xuống các tập tin văn bản, hình ảnh và video bình thường. Chương trình chia sẻ tập tin của bạn có thể có tính năng lọc để ngăn chặn các tải xuống loại nguy hiểm như .exe, .vbs, và .scr. Các tập tin nén – kết thúc bằng đuôi .zip, .rar, .sit, hoặc .arj chẳng hạn – bản chất không phải là loại nguy hiểm nhưng chúng có thể chứa mọi thứ, kể cả virus hoặc ngựa Trojan.


    Bùi Xuân Toại

    PC World Mỹ 11/2002

    ID: A0211_112