Nguồn: quan tri mang.com.vn 1
Quản trị mạng – Nếu là một người hay phải làm việc lưu động thì chắc chắn sẽ có lần bạn
phải truy cập vào các mạng không dây công cộng. Chắc chắn rơi vào hoàn cảnh như vậy bạn
sẽ phải chuẩn bị một số cách để tự bảo vệ mình. Có nhiều cách thức để bảo vệ an toàn dữ liệu
cho bạn trong những trường hợp bạn cần truy cập ở những mạng như vậy, chẳng hạn như sử
dụng mạng riêng ảo của công ty – nếu có thể - hoặc một đường hầm web mã hóa như Hotspot
Shield.
Tuy nhiên nếu không có VPN công ty và không muốn gặp rất nhiều quản cáo khi sử dụng Hotspot
Shield, bạn vẫn có một lựa chọn khác vẫn có thể bảo mật được lưu lượng không dây của bạn, đây
là cách tạo đường hầm mà chúng tôi sẽ giới thiệu cho các bạn trong bài.
Tạo đường hầm cho lưu lượng dữ liệu
Dù mạng không dây công cộng mà bạn sử dụng được bảo vệ mật khẩu hay trả tiền theo phút đi
chăng nữa thì bất cứ ai kết nối với mạng đó cũng đều có thể do thám lưu lượng HTTP của bạn.
Tuy nhiên chúng ta có thể khắc phục được vấn đề này bằng cách tạo một đường hầm mã hóa để
thông qua đó có thể gửi đi lưu lượng web, đường hầm đó sẽ bắt đầu từ laptop và kết thúc ở một vị
trí được biết đến như điểm cuối biết trước của nó. Từ đây, đường hầm có thể định tuyến các yêu
cầu web của bạn đến mạng Internet công cộng.
Rõ ràng, khi lưu lượng ra bên ngoài đường hầm, nó sẽ là đối tượng được nghiên cứu – từ các
ISP, luật pháp, hoặc gì gì đó tương tự như vậy – nhưng trong khi dữ liệu của bạn sẽ được truyền
tải thông qua một hotspot công cộng thì việc lướt web của bạn là an toàn.
Trong sơ đồ ở trên, người dùng tại một hotspot không dây của một quán cà phê dùng một tuyến
trực tiếp đến website (màu đỏ), nhưng bạn lại sử dụng một đường hầm mã hóa để che chắn cho
mình trong mạng hotspot. Khi ở điểm cuối của đường hầm, lưu lượng web của bạn sẽ đi qua
mạng Internet thông qua các phương pháp không mã hóa thông thường (màu đỏ) để đến website
đích.
Dễ dàng và tiết kiệm thông qua SSH
Cách đơn giản nhất để thiết lập một đường hầm web an toàn cho riêng bạn là trả phí hàng tháng
cho một công ty hosting nào đó để họ thực hiện tất cả các công việc khó khăn như thiết lập máy
chủ, cài đặt hệ điều hành, và bảo đảm máy chủ đó hoạt động 24 giờ mỗi ngày với khá nhiều năng
lượng tiêu thụ. Một số người thích phương pháp này vì không bị phiền phức với các tường lửa, và
cũng không phải để máy tính chạy khi bạn đang ở trên đường.

The authenticity of host ‘server.websitewelcome.com' can't be
established. RSA key fingerprint is 11:22:33:44:55.
Are you sure you want to continue connecting? Yes
Khi xác nhận dấu vết, PuTTY sẽ nhắc bạn nhập vào username và password của bạn. Còn OS X
sẽ chỉ nhắc về password vì bạn đã cấp username trên dòng lệnh từ trước.
Nguồn: quan tri mang.com.vn 3
Sau khi đăng nhập, sẽ có một nhắc nhở thể hiện rằng hiện bạn đã kết nối đến dòng lệnh của máy
chủ từ xa; lưu ý rằng tên máy chủ đặt trước ký hiệu $ được thay đổi để phản ánh hệ thống từ xa:
login as: username
Using keyboard-interactive authentication.
Password: *********
Last login: Fri Jan 01 02:03:04 2010 from 1.2.3.4
username @server $
Lúc này biết máy chủ SSH đang làm việc, bạn có thể tiếp tục thiết lập đường hầm của mình. Đánh
vào lệnh exit để đóng phiên SSH.
Bộ lắng nghe nội bộ và các điểm kết cuối ở xa
Đây là nơi có nhiều thứ dễ nhầm lẫn, vì vậy cần đọc một cách cẩn thận. Bạn cần cấu hình một
cổng trên máy tính nội bộ của mình (bộ lắng nghe) sẽ sử lấy các gói mà bạn đưa vào và chuyển
vào một phiên SSH mã hóa. Tại điểm cuối của đường hầm, lưu lượng sẽ kết xuất trên máy chủ
SSH. Trong một số phần bên dưới, chúng tôi sẽ giới thiệu cách cấu hình trình duyệt web của bạn
để ủy quyền lưu lượng thông qua bộ lắng nghe nội bộ này. Mặc dù về mặt khái niệm dường như
rằng bạn muốn trỏ trình duyệt web để máy chủ từ xa, nhưng về mặt kỹ thuật thì bạn sẽ trỏ nó tại
“localhost”, đó là một tên đặc biệt cho máy tính nội bộ.
Cần thiết lập sao cho máy khách SSH kết nối với máy chủ SSH và mở một đường hầm bắt đầu
trên laptop (localhost) trên cổng 8888 và kết thúc tại máy chủ SSH, nơi dữ liệu sẽ được chuyển
tiếp đến website đích cuối.
Tạo đường hầm SSH
Quá trình tạo đường hầm hết sức đơn giản trên OS X, có thể được thể hiện trong một lệnh:
$ ssh -ND 8888
Tùy chọn ‘N’ chỉ thị cho SSH client rằng bạn không muốn một phiên tương tác (một nhắc lệnh), vì

tảng này cần chọn hạng mục Advanced (biểu tượng dụng cụ), tiếp đó là tab Network (thứ hai từ
trái sang) và kích nút Settings.
Chọn Manual Proxy Configuration. Bên cạnh 'SOCKS Host', nhập vào localhost cho địa chỉ và
8888 cho cổng; để trống tất cả các trường khác. Chọn nút SOCKS5 nếu nó chưa được chọn.
Nguồn: quan tri mang.com.vn 5
Trong Windows, kích OK hai lần; trên OS X, đóng cả hai cửa sổ preferences. Truy cập vào What Is
My IP Address lần nữa. Địa chỉ IP của bạn sẽ phản ánh đó là địa chỉ của SSH server.
Người dùng Safari trên OS X cần vào menu Safari và chọn Preferences. Chọn hạng mục
Advanced (biểu tượng dụng cụ), sau đó kích nút Change Settings bên cạnh 'Proxies'. Thao tác này
sẽ mở ra cửa sổ System Preferences cho kết nối mạng hiện hành của bạn. Trên tab Proxies, chọn
hộp kiểm bên cạnh SOCKS Proxy và sau đó nhập vào localhost cho địa chỉ và 8888 cho cổng.
Kích OK, Apply và sau đó đóng System Preferences. Truy cập What Is My IP Address. Địa chỉ IP
của bạn sẽ phản ánh đó là địa chỉ của SSH server.
Chạy máy chủ SSH
Chúc mừng: Lúc này bạn đẫ có một đường hầm an toàn để có thể sử dụng mạng Wi-Fi công một
cách an toàn. Tuy nhiên điều gì sẽ xảy ra nếu bạn bỏ qua lời khuyên của chúng tôi và không muốn
trả một phí hàng tháng cho công ty hosting? Bạn có thể chạy một SSH server của riêng mình. Mặc
dù vậy phương pháp này không dành cho tất cả mọi người, không tiếp tục với các bước sau trừ
khi các phần trước quá dễ dàng để bạn có thể hiểu. Thêm vào đó bạn cũng cần biết cách cho
phép kết nối qua router DSL/cable ở nhà (hoặc nếu tại văn phòng, bạn cần biết cách thay đổi
tường lửa của mình).
Phương pháp này cũng sẽ gây sự chú ý về kết nối của bạn trước các bộ quét mạng đang tìm kiếm
các cổng mở trên Internet. Thêm vào đó, bạn sẽ phải bật máy tính của bạn để chạy máy chủ tất cả
thời gian khi quay trở về nhà, điều có thể gây tiêu tốn nhiều năng lượng điện và gây ồn ào đáng
kể.
Chúng tôi khuyên các bạn nên chọn giải pháp một nhà cung cấp hosting, tuy nhiên nếu bạn thực
sự biết các rủi ro có liên quan và muốn quản lý một máy chủ SSH của riêng mình thì hãy tiếp tục.
Đây là những gì cấu mà cấu hình của bạn sẽ phải như vậy: