وای‌فای عمومی؛ از دزدیدن پسورد تا نقش واقعی VPN

یک‌بار توی سالن انتظار فرودگاه، لپ‌تاپ را باز کردم که فقط یک فایل از گیت بگیرم. وای‌فای رایگان هم بود و عجله هم داشتم. بعد از اتصال، یک صفحه لاگین باز شد که زیادی تمیز و رسمی به‌نظر می‌رسید. اسم شبکه هم دقیقاً اسم خود فرودگاه بود. دقیقاً.

نه، شوخی نیست.

وقتی چنین چیزهایی زیاد تکرار می‌شود، آدم کم‌کم می‌فهمد «وای‌فای عمومی خطرناک است» یک هشدار کلی و ترسناک نیست؛ یک سری ترفند کاملاً عملی پشتش هست. بعضی‌شان قدیمی‌اند، بعضی‌ها هم با ابزارهای جدید دوباره برگشته‌اند. و بله، VPN می‌تواند بخش بزرگی از این دردسرها را کم کند، اما نه همه‌چیز را.

چه چیزی وای‌فای عمومی را واقعاً خطرناک می‌کند؟

خطر اصلی این نیست که «وای‌فای عمومی امن نیست»، خطر این است که شما نمی‌دانید با چه کسی هم‌مسیر شده‌اید. روی شبکه‌ای که کنترلش دست شما نیست، هر کسی که همان‌جا نشسته (یا حتی کمی آن‌طرف‌تر) می‌تواند تلاش کند نقش واسطه را بازی کند؛ یعنی ترافیک شما را ببیند، تغییر بدهد، یا شما را به مقصد غلط بفرستد.

چند سناریوی واقعی که من بارها در کافه، هتل، نمایشگاه و حتی بعضی دفترها دیده‌ام:

• Evil Twin: یکی یک هات‌اسپات با همان اسم شبکه اصلی می‌سازد (مثلاً Cafe_WiFi) و شما به اشتباه به آن وصل می‌شوید. موبایل‌ها هم چون دنبال «اسم آشنا» می‌گردند، گاهی کمکش می‌کنند.
• ARP spoofing / MITM داخل شبکه: حتی اگر شبکه واقعی باشد، یک مهاجم می‌تواند با ARP spoofing خودش را به‌عنوان گیت‌وی جا بزند. بعد می‌نشیند وسط مسیر.
• DNS hijack: شما آدرس درست را می‌زنید، اما پاسخ DNS دستکاری می‌شود. نتیجه؟ یک سایت شبیه بانک، شبیه ایمیل، شبیه پنل ادمین.
• Captive Portal کثیف: همان صفحه «برای اتصال کلیک کنید» گاهی فقط برای پذیرش قوانین نیست؛ ممکن است سعی کند پروفایل نصب کند، یا شما را به لاگین تقلبی ببرد.

این‌ها حمله‌های «فیلمی» نیستند. ابزارش هم عجیب‌وغریب نیست. روی لینوکس با چند تا ابزار معمولی یا حتی با یک دستگاه کوچک کنار پریز، قابل انجام است.

یک نکته اذیت‌کننده این است که بسیاری از سرویس‌ها امروز HTTPS دارند و آدم خیال می‌کند تمام. ولی HTTPS هم همیشه مصونیت مطلق نمی‌دهد؛ مثلاً اگر کاربر روی اخطار گواهی کلیک کند، یا اگر اپلیکیشن از داخل WebView بد پیاده‌سازی شده باشد، یا اگر اصلاً یک سرویس هنوز جایی HTTP داشته باشد (هنوز هست).

VPN دقیقاً کدام بخش مسیر را قفل می‌کند؟

وقتی VPN روشن است، دستگاه شما یک تونل رمزنگاری‌شده تا سرور VPN می‌سازد. یعنی از گوشی/لپ‌تاپ شما تا خروجی VPN، هرچه ردوبدل شود برای آدم‌های روی همان وای‌فای، قابل خواندن نیست. حتی اگر همان وسط ARP spoofing هم انجام شود، خروجی‌اش معمولاً یک سری بسته رمز شده است که دست‌کاری‌شان فایده‌ای ندارد.

همین‌قدر ساده.

اما دقیق‌ترش این است: VPN «شبکه محلی» را از معادله اعتماد حذف می‌کند. شما دیگر مجبور نیستید به روتر کافه اعتماد کنید که DNS را درست بدهد یا مسیر را دستکاری نکند، چون DNS و ترافیک شما داخل تونل می‌رود و از جای دیگری بیرون می‌آید.

اینجا انتخاب پروتکل مهم می‌شود. برای استفاده روزمره روی موبایل، من معمولاً WireGuard را ترجیح می‌دهم چون سبک است، سریع بالا می‌آید و روی UDP کار می‌کند. در عمل یعنی وقتی بین 4G و وای‌فای جابه‌جا می‌شوید یا آسانسور می‌روید و سیگنال می‌پرد، کمتر حس می‌کنید اتصال «یخ» کرده. البته روی بعضی شبکه‌ها UDP را تنگ می‌کنند؛ آن‌وقت مجبور می‌شوید سراغ گزینه‌های دیگر بروید.

اگر بحث فقط امنیت وای‌فای عمومی نباشد و موضوع دورزدن محدودیت هم اضافه شود، آدم‌ها می‌روند سمت VLESS+REALITY یا Shadowsocks-2022. این‌ها بیشتر به درد شرایطی می‌خورند که مسیرها فعالانه فیلتر یا شکل‌دهی می‌شوند. برای امنیت صرف روی یک وای‌فای شلوغ، همان تونل درست و حسابی، کافی است.

و این دقیقاً همان نقطه‌ای است که VPN به درد می‌خورد.

چیزهایی که VPN حل نمی‌کند (و اگر ندانی، گیر می‌افتی)

چند سوءتفاهم رایج هست که من مدام می‌بینم؛ مخصوصاً وقتی کسی فکر می‌کند «VPN روشن است پس هر کاری بکنم امن است». نه.

اول: VPN جلوی فیشینگ را نمی‌گیرد. اگر داخل همان وای‌فای عمومی، لینک اشتباه باز کنید و خودتان رمز را توی صفحه تقلبی بزنید، VPN فقط باعث می‌شود مسیر شما تا سرور VPN امن باشد؛ نه اینکه مقصد درست شود.

دوم: اگر خود دستگاه آلوده باشد، تونل رمزنگاری‌شده تبدیل می‌شود به یک لوله امن برای بدافزار. اینجا دیگر قصه، قصه آنتی‌ویروس و به‌روزرسانی و مدیریت دسترسی‌هاست.

سوم: VPN همه ردیابی‌ها را حذف نمی‌کند. کوکی‌ها، اثرانگشت مرورگر، لاگین اکانت‌ها، تبلیغات داخل اپلیکیشن‌ها؛ این‌ها سر جای خودشان‌اند. IP عوض می‌شود، اما رفتار شما همچنان قابل ردیابی است.

چهارم: اگر تنظیمات بد باشد، نشتی اتفاق می‌افتد. DNS leak و IPv6 leak هنوز هم در بعضی کلاینت‌ها یا ترکیب‌های شبکه رخ می‌دهد. روی Windows و macOS معمولاً با کلاینت درست کمتر می‌بینید، ولی روی Android با بعضی اپلیکیشن‌ها یا وقتی Private DNS روشن است، رفتارها قاطی می‌شود.

یک جمله کوتاه: Kill Switch را جدی بگیر.

Kill Switch (یا چیزی شبیه «قطع اینترنت هنگام قطع VPN») وقتی به‌درد می‌خورد که اتصال VPN لحظه‌ای قطع شود و دستگاه شما بی‌خبر برگردد روی اینترنت خام. روی موبایل این اتفاق زیاد می‌افتد؛ مخصوصاً وقتی از مترو بیرون می‌آیید، یا بین Wi‑Fi و دیتای موبایل سوییچ می‌شود. اگر Kill Switch فعال باشد، همان لحظه ترافیک قطع می‌شود و شما بی‌هوا روی شبکه عمومی لخت نمی‌مانید.

کِی VPN را روشن کنم و کِی اصلاً وارد بازی نشوم؟

واقعیت این است که «همیشه روشن» برای همه جواب نمی‌دهد. باتری مهم است. تأخیر هم مهم است. روی بعضی گوشی‌ها، وقتی VPN روشن می‌ماند، سیستم مدیریت انرژی شروع می‌کند به محدود کردن اپ‌ها یا نوتیفیکیشن‌ها دیر می‌آید. آزاردهنده است.

من خودم این‌طور رفتار می‌کنم: هر وقت قرار است لاگین کنم، پرداخت انجام بدهم، یا به پنل‌های کاری مثل GitLab، سرویس‌های ابری، یا ایمیل اصلی سر بزنم، VPN را روشن می‌کنم. اگر فقط می‌خواهم یک خبر بخوانم و سایت هم درست‌وحسابی HTTPS دارد، گاهی بی‌خیال می‌شوم. البته روی وای‌فای‌های خیلی شلوغ و ناشناس (فرودگاه، نمایشگاه)، تقریباً همیشه روشنش می‌کنم.

دو جای دیگر هم هست که کمتر درباره‌اش حرف می‌زنند:

یکی وقتی با لپ‌تاپ به شبکه وصل می‌شوید و سرویس‌های محلی‌تان باز است. SMB، AirDrop، Printer Sharing؛ روی شبکه عمومی این‌ها را ببندید یا حداقل پروفایل شبکه را روی حالت Public بگذارید. این کار ربطی به VPN ندارد، اما نجات‌دهنده است.

دیگری وقتی دستگاه‌های IoT یا دوربین یا حتی یک روتر OpenWrt را همراه دارید و می‌خواهید از راه دور به خانه وصل شوید. بعضی‌ها اینجا می‌روند سمت WireGuard روی روتر خانه. ایده خوب است، ولی اگر تنظیمات فایروال و کلیدها درست نباشد، همان کانال امن می‌تواند تبدیل به درِ باز شود.

چند تنظیم کوچک که روی وای‌فای عمومی فرق بزرگ می‌سازد

این‌ها چیزهایی‌اند که من روی iOS، Android، macOS و Windows تقریباً همیشه چک می‌کنم. کوتاه و عملی:

• Auto-Join را محدود کن: نگذار گوشی به هر شبکه‌ای که قبلاً دیده، خودکار وصل شود. همین یک مورد جلوی Evil Twin را خیلی وقت‌ها می‌گیرد.
• Private DNS/DoH را با VPN هماهنگ کن: اگر Android را روی Private DNS گذاشته‌ای، مطمئن شو کلاینت VPN با آن دعوا ندارد. بعضی ترکیب‌ها باعث می‌شود DNS بیرون تونل برود.
• Kill Switch و مسیردهی DNS داخل تونل: در کلاینت، گزینه‌های مربوط به جلوگیری از نشتی DNS را روشن کن. اسمش در اپ‌ها فرق می‌کند.
• Split tunneling را بی‌حساب فعال نکن: اینکه مثلاً مرورگر از VPN برود ولی اپ بانک نرود، روی وای‌فای عمومی ایده بدی است.

اگر از کلاینت‌های مبتنی بر V2Ray استفاده می‌کنید (مثل V2RayNG، NekoBox، Shadowrocket، Hiddify)، حتماً حواستان به این باشد که پروفایل‌ها را از هر کانالی وارد نکنید. مشکل این ابزارها این نیست که بدند؛ مشکل این است که یک کانفیگ بد می‌تواند ترافیک را از مسیرهای عجیبی رد کند و شما هم نفهمید.

انتخاب سرویس VPN؛ من دنبال چه چیزهایی می‌گردم؟

برای استفاده روی وای‌فای عمومی، من اول از همه دنبال ثبات می‌گردم. پینگ پایین خوب است، ولی اتصال ناپایدار بدتر است. بعدش می‌روم سراغ اینکه کلاینت روی چند پلتفرم درست کار کند، و تنظیمات پایه مثل Kill Switch و DNS داخل تونل را شفاف ارائه بدهد.

اگر دنبال گزینه‌ای هستید که هم برای استفاده روزمره و هم برای شرایط سخت‌تر جواب بدهد، من خودم مدتی است DuduVPN را کنار دستم نگه داشته‌ام و برای راه‌اندازی سریع هم این بات تلگرام بدرد می‌خورد: https://t.me/duduvpnsbot

آخرین نکته‌ای که من همیشه به خودم یادآوری می‌کنم: روی وای‌فای عمومی، قبل از اینکه حتی مرورگر را باز کنی، VPN را وصل کن و بعدش یک بار با یک سایت ساده، IP و DNS را چک کن.