DuduVPN

وای‌فای عمومی: رایگانش گاهی خیلی گران تمام می‌شود

6 دقیقه مطالعه

روی میز کافه لپ‌تاپ را باز می‌کنی، گوشی هم کنار دستت است. اسم شبکه آشناست: «Cafe_Free_WiFi». وصل می‌شوی، کپتیو‌پورتال می‌آید، یک دکمه Accept، تمام.

سه دقیقه بعد، نوتیفیکیشن لاگینِ جدید تلگرام می‌آید. بعدش ایمیل «کسی تلاش کرد وارد حساب شما شود». این سناریو تخیلی نیست.

«وای‌فای رایگان» چطور تله می‌شود؟

چیزی که وای‌فای عمومی را خطرناک می‌کند این نیست که حتماً یک هکر با هودی گوشهٔ کافه نشسته. مشکل اصلی این است که شما شبکه را کنترل نمی‌کنید. نه روتر دست شماست، نه DNS، نه اینکه چه کسی به همان اکسس‌پوینت وصل است.

بدترش این است که خیلی از دستگاه‌ها عاشق Auto-Join هستند. یک‌بار وصل شده باشی، دفعهٔ بعد خودش می‌پرد داخل شبکه.

این یکی واقعاً اعصاب‌خوردکن است.

هات‌اسپات جعلی و کپتیو‌پورتال‌های قلابی

راحت‌ترین حقه همین است: یک هات‌اسپات با همان اسم شبکهٔ واقعی، گاهی با سیگنال قوی‌تر. بهش می‌گویند Evil Twin. گوشی یا لپ‌تاپ شما معمولاً با قوی‌ترین سیگنال «هم‌نام» وصل می‌شود، مخصوصاً اگر قبلاً آن SSID را ذخیره کرده باشید.

بعدش کپتیو‌پورتال می‌آید. یک صفحهٔ ورود که ظاهراً می‌خواهد «تأیید شماره اتاق» یا «پذیرش قوانین» بگیرد. ولی می‌تواند یک فرم فیشینگ باشد یا حتی فقط بهانه‌ای برای اینکه شما را روی یک DNS خاص یا پروکسی خاص بیندازد.

شنود و دست‌کاری ترافیک داخل شبکه

حتی اگر هات‌اسپات واقعی باشد، شبکهٔ عمومی یعنی افراد ناشناس کنار شما هستند و شما در یک LAN مشترک نفس می‌کشید. چند تکنیک کلاسیک در اینجا زیاد دیده می‌شود:

  • ARP Spoofing (یا ARP Poisoning) برای Man-in-the-Middle داخل همان شبکه
  • DNS Spoofing برای اینکه درخواست‌های شما را به مقصد دیگری بفرستند
  • شنود ترافیک HTTP یا سرویس‌هایی که اشتباهی بدون TLS بالا می‌آیند
  • دست‌کاری دانلودها، مثلاً تزریق فایل آلوده به جای یک installer

وقتی DNS دست‌کاری شود، ماجرا ترسناک‌تر می‌شود چون شما هنوز فکر می‌کنید روی دامنهٔ درست هستید. مخصوصاً روی موبایل که کمتر حواس‌مان به URL دقیق است.

چرا HTTPS همیشه «کافی» نیست

بیشتر سایت‌ها HTTPS دارند، پس تمام شد؟ نه دقیقاً.

اگر همه‌چیز درست پیش برود، HTTPS محتوای داخل صفحه را رمز می‌کند و جلوی دست‌کاری محتوا را می‌گیرد. اما چند حاشیهٔ مهم باقی می‌ماند:

اول، «متادیتا» هنوز می‌تواند لو برود. روی یک شبکهٔ عمومی می‌شود فهمید شما چه سرویس‌هایی را زیاد صدا می‌زنید، چه زمانی آنلاین هستید، و ترافیک‌تان چه الگوی حجمی دارد. دوم، همهٔ اپ‌ها بی‌نقص نیستند. هنوز هم اپلیکیشن‌هایی پیدا می‌شوند که درست TLS را پیاده‌سازی نکرده‌اند، یا با یک captive portal بد رفتار می‌کنند و درخواست‌ها را به شکل عجیبی تکرار می‌کنند.

سوم، فیشینگ ربطی به HTTPS ندارد. لینک اشتباه را که باز کنید، قفل کنار آدرس هم نجات‌تان نمی‌دهد.

کوتاه بگویم: HTTPS خوب است، اما کافی نیست.

VPN دقیقاً چه کاری می‌کند؟

VPN یک تونل رمز‌شده بین دستگاه شما و یک سرور بیرون از آن شبکه می‌سازد. یعنی اگر شما در کافه وصل هستید، آدم‌های داخل همان وای‌فای (و حتی صاحب شبکه) به جای اینکه ترافیک واقعی شما را ببینند، یک جریان رمز‌شده می‌بینند که از گوشی‌تان به یک IP مشخص می‌رود.

دو نتیجهٔ عملی دارد. یکی اینکه شنود داخل شبکه تقریباً بی‌اثر می‌شود. دیگری اینکه DNS شما هم می‌تواند از داخل تونل عبور کند و دیگر روی DNS قلابی شبکهٔ عمومی تکیه نکند (بسته به اینکه کلاینت و سرویس‌دهنده چگونه تنظیم شده باشند).

اگر دنبال جزئیات فنی‌تر هستید، معمولاً بخش صفحهٔ ویژگی‌ها توضیح می‌دهد چه چیزهایی در سرویس پوشش داده می‌شود؛ چیزی که برای من مهم است این است که DNS leak اتفاق نیفتد و kill switch واقعاً کار کند، نه فقط یک گزینهٔ تزئینی باشد.

IP شما کجا می‌رود؟

با VPN، سایت‌ها و سرویس‌هایی که بهشان وصل می‌شوید IP سرور VPN را می‌بینند، نه IP واقعی شما در آن کافه یا فرودگاه. این برای حریم خصوصی خوب است، و برای دور زدن بعضی محدودیت‌های شبکه هم کمک می‌کند.

ولی یک نکتهٔ مهم: اگر با اکانت واقعی‌تان وارد یک سرویس شوید (مثلاً گوگل یا اینستاگرام)، آن سرویس همچنان می‌فهمد شما چه کسی هستید. VPN قرار نیست هویت شما را جادویی محو کند.

تمام.

WireGuard و رفقا، در عمل چه فرقی دارند؟

اسم پروتکل‌ها زیاد می‌آید، ولی چیزی که شما حس می‌کنید معمولاً سه چیز است: latency، پایداری روی اینترنت موبایل، و مصرف باتری.

WireGuard عموماً انتخاب محبوبی است چون سبک است، روی UDP کار می‌کند، و روی موبایل‌ها معمولاً فشار کمتری می‌آورد. البته UDP روی بعضی وای‌فای‌های شلوغ (یا شبکه‌هایی که سخت‌گیرانه فیلتر می‌کنند) می‌تواند با packet loss اذیت کند و نتیجه‌اش می‌شود قطع‌و‌وصل یا افت سرعت‌های عجیب.

در سمت «دور زدن فیلترینگ»، خیلی‌ها سراغ VLESS+REALITY یا Shadowsocks-2022 می‌روند، مخصوصاً وقتی شبکه‌ها روی الگوهای ترافیکی حساس می‌شوند. من روی iOS با Shadowrocket و روی Android با NekoBox و V2RayNG زیاد این سناریوها را دیده‌ام، ولی باید قبول کرد مدیریت کانفیگ‌ها و به‌روزرسانی‌شان برای آدمی که فقط اینترنت می‌خواهد، زحمت اضافی است.

VPNهای تجاری معمولاً سعی می‌کنند این پیچیدگی را از شما دور کنند: یک کلاینت، چند سرور، انتخاب لوکیشن، تمام. مزیتش راحتی است، عیبش این است که اگر سرویس‌دهنده خوب طراحی نکرده باشد، همان راحتی تبدیل می‌شود به منبع leak و دردسر.

جاهایی که VPN کمکی نمی‌کند

VPN یک لایهٔ حفاظتی است، نه واکسن همه‌چیز.

اگر دستگاه شما قبلاً آلوده شده باشد، VPN فقط ترافیک بدافزار را هم رمز می‌کند و با خیال راحت‌تری می‌فرستد بیرون. اگر روی یک کپتیو‌پورتال قلابی رمز عبور بدهید، VPN قرار نیست زمان را برگرداند. اگر از یک اپلیکیشن ناشناس روی Android sideload کنید، مشکل جای دیگری است.

یک محدودیت دیگر هم هست: VPN جلوی اشتباهات انسانی را نمی‌گیرد. من خودم بارها دیده‌ام آدم‌ها روی وای‌فای عمومی، بدون دقت، پیامک بانک را با صدای بلند می‌خوانند یا توی مرورگر پسورد را ذخیره می‌کنند و بعد لپ‌تاپ را روی میز رها می‌کنند.

راستی، بعضی سرویس‌ها با VPN سخت‌گیر می‌شوند. بانک‌ها، بعضی اپ‌های استریم، یا سرویس‌هایی که IPهای دیتاسنتری را دوست ندارند. اینجا باید سرور را عوض کنید یا موقتاً split tunneling داشته باشید (اگر کلاینت‌تان پشتیبانی کند).

برای سؤال‌های ریزتر مثل اینکه «چرا روی یک وای‌فای خاص وصل می‌شود ولی ترافیک رد نمی‌شود» یا «DNS leak یعنی چه»، معمولاً سؤالات متداول کمک می‌کند، چون خیلی از این ایرادها از تنظیمات سیستم‌عامل می‌آید نه از خود سرویس.

چند عادت کوچک وقتی بیرون هستید

امنیت در وای‌فای عمومی بیشتر از اینکه ابزار عجیب بخواهد، نظم می‌خواهد. من این‌ها را روی لپ‌تاپ و گوشی خودم جدی می‌گیرم:

  • Auto-Join را برای شبکه‌های عمومی خاموش کنید و بعد از استفاده، شبکه را Forget کنید
  • روی iOS و Android، گزینهٔ «Private Address» (MAC تصادفی) را روشن بگذارید
  • اگر VPN دارید، kill switch را فعال کنید تا وسط قطع‌و‌وصل‌ها ترافیک بدون تونل بیرون نریزد
  • برای حساب‌های مهم، 2FA را با اپ‌هایی مثل Aegis یا Google Authenticator نگه دارید، نه فقط SMS

کم‌هزینه‌ترین کار همان Forget کردن شبکه است. خیلی‌ها همین را انجام نمی‌دهند.

یک پیشنهاد عملی برای کسی که زیاد بیرون کار می‌کند

اگر زیاد با لپ‌تاپ در کافه، فضای کار اشتراکی یا فرودگاه کار می‌کنید، داشتن یک VPN که روی چند دستگاه راحت بالا بیاید، واقعاً ارزشش را دارد. من برای سناریوهای «وصل شو و کار کن» ترجیح می‌دهم سرویس آماده داشته باشم تا اینکه هر بار با کانفیگ‌های پراکسی کلنجار بروم.

برای همین، اگر دنبال گزینهٔ مطمئن هستید، DuduVPN را ببینید و اگر حوصلهٔ نصب و راه‌اندازی داخل اپ‌ها را ندارید، از بات تلگرام DuduVPN برای گرفتن سریع اشتراک و راهنما استفاده کنید.

قبل از اینکه به وای‌فای عمومی اعتماد کنید، یک بار در تنظیمات همان شبکه ببینید آیا «Auto-Join» روشن مانده و اگر مانده، خاموشش کنید.

مقالات مرتبط

VPNی که سر شب قطع نشود را چطور انتخاب کنم؟

راهنمای عملی انتخاب VPN پایدار: از انتخاب پروتکل و سرور تا تنظیمات کلاینت، تست‌های قبل از خرید و نکته‌های ریز برای قطع‌نشدن شب‌ها.

«بدون‌لاگ» در VPN یعنی دقیقا چی ثبت نمی‌شود؟

بدون‌لاگ یعنی چه و چه چیزهایی هنوز ممکن است ثبت شود؟ نگاه فنی به انواع لاگ، DNS، پرداخت و متن سیاست حریم خصوصی سرویس‌های VPN.

VPN روی موبایل: iOS و اندروید را سریع راه بیندازیم

راهنمای عملی راه‌اندازی VPN روی iOS و اندروید با WireGuard و VLESS+REALITY، نکات DNS و باتری، و رفع خطاهای رایج اتصال روی موبایل.

وی‌پی‌ان دقیقاً چیست و چه‌طور کار می‌کند؟

وقتی VPN روشن می‌شود، ترافیک شما از یک تونل رمزگذاری‌شده به سرور می‌رود و IP و مسیر ارتباط عوض می‌شود. این متن با مثال‌های واقعی توضیحش می‌دهد.