10 lỗi thiết kế bảo mật mạng thường gặp

Có thể nói rằng bảo mật mạng là một trong những chức năng quan trọng nhất của CNTT.Tuy nhiên đôi khi chúng ta lại bắt gặp một số tổ chức bỏ sót những thao tác thiết kế bảo mật tuy đơn giản nhưng lại rất cần thiết.


Vậy những lỗi mà các công ty này mắc phải là gì, trong  bài này chúng tôi sẽ giới thiệu cho các bạn một số lỗi thường gặp phải và hậu quả của nó là có thể gây ra sự thỏa hiệp cho mạng của bạn cũng như đặt công ty rơi vào tình trạng rủi ro cao.

1. Thiết lập nhưng sau đó bỏ quên

Lỗi đầu tiên mà chúng tôi muốn chỉ ra cho các bạn là việc lập kế hoạch. Nó liên quan đến những gì mà chúng ta có thể mô tả qua cụm từ “thiết lập nhưng sau đó bỏ quên”. Đây là những gì xảy ra khi các tổ chức chỉ chuyên tâm vào việc bảo vệ các mạng của họ mà quên đánh giá lại các kế hoạch bảo mật. Những hiểm họa đối với vấn đề bảo mật thường thay đổi nhanh do đó kiến trúc bảo mật của bạn cũng cần phải thay đổi theo sao cho phù hợp. Cách tốt nhất để thực hiện điều này là phải đánh giá lại những nhu cầu bảo mật của công ty theo một cơ sở nào đó.

2. Mở quá nhiều cổng tường lửa so với cần thiết

Tất cả chúng ta đều biết rằng, việc mở nhiều cổng quá mức cần thiết sẽ có nhiều tác hại, tuy nhiên đôi khi việc mở cổng là không thể tránh khỏi. Cho ví dụ, lấy một máy chủ Microsoft Office Communications Server 2007 R2. Nếu bạn đang lên kế hoạch để cung cấp sự truy cập bên ngoài, khi đó một số cổng cần phải được mở. Thêm vào đó OCS 2007 R2 sẽ gán một dải rộng các cổng mang tính động. Vậy các quản trị viên  bảo mật cần làm gì trong trường hợp này?

Một trong những giải pháp tốt nhất là sử dụng một reverse proxy (ví dụ như ForeFront Threat Management Gateway của Microsoft). Một reverse proxy sẽ đứng giữa Internet và máy chủ yêu cầu mở nhiều cổng khác nhau. Khi không thấy được nhu cầu cần thiết mở cổng, reverse proxy có thể chặn và lọc các yêu cầu, sau đó chuyển chúng máy chủ mà chúng được dự định gửi đến. Điều này sẽ làm ẩn máy chủ đối với thế giới bên ngoài và giúp bảo vệ mạng của bạn tránh được các yêu cầu mã độc.

3. Hoạt động quá công suất

Với hiện trạng nền kinh tế thế giới đang suy thoái, sức ép đối với các tài nguyên máy chủ đang tồn tại ngày càng tăng. Một máy chủ có thể phải cấu hình nhiều ứng dụng cũng như nhiều role ứng dụng. Tuy cách thức tiến hành này không tồi nhưng có một vấn đề mà chúng ta cần biết là khi kích thước của mã ứng dụng tăng thì nguy cơ xuất hiện các lỗ hổng có khả năng khai thác cũng tăng lên.

Việc sử chỉ sử dụng một máy chủ chuyên dụng cho một ứng dụng là không thực tế, bạn cần phải quan tâm về các ứng dụng nào hoặc các role ứng dụng nào nên được cấu hình trên một máy chủ riêng. Cho ví dụ, để giảm tối thiểu, một máy chủ Exchange 2007 yêu cầu đến ba server roles (hub transport, client access và mailbox server). Tuy bạn có thể host tất cả ba role này trên cùng một máy chủ nhưng nên tránh thực hiện điều đó nếu cung cấp Outlook Web Access cho người dùng bên ngoài. Client Access Server role sẽ có hiệu lực cho IIS trong việc cấu hình Outlook Web Access. Chính vì vậy, nếu đặt client access server role trên cùng máy chủ như hub transport và mailbox server roles của mình thì chắc chắn bạn sẽ phơi bày cơ sở dữ liệu mailbox của mình trên Internet.

4. Bỏ qua các máy trạm

Có người hỏi rằng, mối đe dọa lớn nhất đối với bảo mật mạng là gì. Câu trả lời của chúng tôi ở đây chính là các máy trạm (workstation). Chúng ta có thể thấy được rất nhiều tổ chức lỗ nực trong việc bảo mật mạng nhưng thực tế lại bỏ quên mất các máy trạm của họ. Trừ khi các máy trạm được bảo vệ một cách tuyệt đối an toàn, bằng không người dùng (hoặc các website mã độc) vẫn có thể cài đặt các phần mềm trái phép mà bạn không hề hay biết.

5. Thất bại trong việc sử dụng mã hóa SSL ở nơi cần thiết

Một website cần phải sử dụng mã hóa SSL bất cứ thời điểm nào để bảo vệ những thông tin nhạy cảm mà người dùng đang nhập vào, chẳng hạn như username và password hoặc số thẻ tín dụng. Mặc dù vậy, nhiều tổ chức vẫn đưa ra những quyết định không thích hợp trong quá trình bảo vệ các cổng điện tử của mình. Lỗi bảo mật ở đây chính là các nội dung không an toàn trên một trang web an toàn. Khi xảy ra điều này, người dùng sẽ nhận một nhắc nhở yêu cầu xem liệu họ có muốn hiển thị cả nội dung an toàn và không an toàn hay không. Vấn đề này sẽ làm cho người dùng có thói quen cho phép Internet Explorer cung cấp những nội dung không an toàn.

Một vấn đề kém nhận biết hơn nhưng lại rất điển hình đó là các tổ chức thường thất bại trong việc mã hóa các trang quan trọng bên trong website của họ. Theo quan điểm của chúng tôi, bất cứ trang nào cung cấp các thông tin quan trọng, lời khuyên bảo mật hoặc các thông tin liên hệ đều cần được mã hóa SSL. Tuy nhiên điều đó không có nghĩa rằng những trang này đặc biệt nhạy cảm mà nó có nghĩa rằng, chứng chỉ được sử dụng bởi quá trình mã hóa sẽ bảo vệ người dùng đang truy cập một website hợp lệ thay cho một trang mà ai đó đã thiết lập như một phần trong mưu đồ giả mạo.

6. Việc sử dụng các chứng chỉ tự ký

Do một số tổ chức bỏ qua hoàn toàn tầm quan trọng của mã hóa SSL, chính vì vậy Microsoft đã nhóm các chứng chỉ tự ký với một số sản phẩm của họ. Bằng cách này, giao diện web có thể được sử dụng mã hóa SSL dù tổ chức vẫn chưa có chứng chỉ riêng của họ.

Tuy các chứng chỉ tự ký có khắc phục được một số vấn đề nhưng chúng không phải là cách thay thế cho chứng chỉ SSL hợp lệ được cấp từ các cơ quan thẩm định đích thực. Mục đích chính Của các chứng chỉ tự ký được dự định để trợ giúp nâng cao độ bảo mật của sản phẩm cho tới khi quản trị viên có thể bảo vệ được nó. Quả thực một chứng chỉ tự ký có thể cung cấp mã hóa SSL nhưng người dùng sẽ nhận được các thông báo báo cảnh trong trình duyệt của họ vì các máy tính của họ không tin tưởng các chứng chỉ này. Thêm vào đó, một số dịch vụ web dựa trên SSL (chẳng hạn như ActiveSync) không tương thích với các chứng chỉ tự ký vì vấn đề tin cậy.

7. Tình trạng thừa đối với bản ghi bảo mật

Mặc dù các sự kiện bản ghi là rất quan trọng trong mạng, nhưng nếu ghi quá nhiều lại là chuyện khác và có thể gây hại cho mạng của bạn. Quá nhiều bản ghi có thể dẫn đến khó khăn hay có thể nói là không thể xác định được các sự kiện bảo mật mà bạn đang quan tâm. Thay cho việc phải thử toàn bộ mọi thứ, bạn hãy làm sao để có thể tập trung vào các sự kiện thực sự có ý nghĩa.

8. Nhóm ngẫu nhiên các máy chủ ảo

Các máy chủ ảo thường được nhóm trên các máy chủ cấu hình do vấn đề hiệu suất của chúng. Cho ví dụ, một máy chủ ảo mức cao có thể được ghép cặp trên máy chủ với một máy chủ ảo mức thấp. Đứng trên quan điểm hiệu suất, đây là một cách làm khá tốt, tuy nhiên điều này có thể lại là một ý tưởng tồi đối với vấn đề bảo mật.

Tốt nhất các bạn nên sử dụng các host ảo chuyên dụng cho bất cứ máy chủ ảo Internet nào. Nếu bạn có ba máy chủ ảo cung cấp các dịch vụ cho người dùng Internet, bạn có thể xem xét đến việc  nhóm các máy chủ này trên cùng một host ảo, tuy nhiên không được đặc các máy chủ cơ sở hạ tầng (chẳng hạn như các bộ điều khiển miền) trên host.

Thực hiện theo cách làm trên sẽ cung cấp sự bảo vệ để mạng của bạn có thể chống lại đối với các tấn công rò rỉ. Tấn công rò rỉ chính là cách thức tấn công mà hacker gây ra trên máy ảo và chiếm quyền điều khiển của host. Tuy chưa một ai có thể chỉ ra cách thực hiện một tấn công rò rỉ trong thế giới thực như thế nào nhưng có thể nó sẽ xuất hiện trong ngày một ngày hai tới đây.

9. Đặt các máy chủ thành viên trong DMZ

Nếu bạn có thể tránh được điều này, hãy không đặt bất cứ máy chủ thành viên nào trong DMZ của bạn. Vì nếu bị thỏa hiện, máy chủ thành viên có thể tiết lộ các thông tin về Active Directory của bạn.

10. Phụ thuộc vào người dùng trong việc cài đặt các nâng cấp

Một lỗi thường gặp nữa được nhắc đến trong bài này là phụ thuộc vào người dùng trong việc triển khai các bản vá bảo mật. Có một số triển khai mạng gần đây sử dụng WSUS để vá các máy trạm trong mạng của họ. Tuy nhiên, nhiều triển khai này lại dựa vào người dùng kích tùy chọn cài đặt các nâng cấp mới nhất. Vấn đề ở đây là người dùng biết rằng cứ mỗi khi thực hiện nâng cấp thì máy tính của họ lại phải khởi động lại. Chính vì vậy một số người sẽ không thực hiện nâng cấp. Để khắc phục nhược điểm này, chúng ta nên sử dụng một giải pháp quản lý bản vá để đẩy các bản vá lỗi một cách tự động mà không cần để ý đến sự lựa chọn của người dùng trong vấn đề này.

Theo Techrepublic – Quantrimang








10 loi thiet ke bao mat mang thuong gap


Co the noi rang bao mat mang la mot trong nhung chuc nang quan trong nhat cua CNTT.Tuy nhien doi khi chung ta lai bat gap mot so to chuc bo sot nhung thao tac thiet ke bao mat tuy don gian nhung lai rat can thiet.


Vay nhung loi ma cac cong ty nay mac phai la gi, trong  bai nay chung toi se gioi thieu cho cac ban mot so loi thuong gap phai va hau qua cua no la co the gay ra su thoa hiep cho mang cua ban cung nhu dat cong ty roi vao tinh trang rui ro cao.

1. Thiet lap nhung sau do bo quen

Loi dau tien ma chung toi muon chi ra cho cac ban la viec lap ke hoach. No lien quan den nhung gi ma chung ta co the mo ta qua cum tu “thiet lap nhung sau do bo quen”. Day la nhung gi xay ra khi cac to chuc chi chuyen tam vao viec bao ve cac mang cua ho ma quen danh gia lai cac ke hoach bao mat. Nhung hiem hoa doi voi van de bao mat thuong thay doi nhanh do do kien truc bao mat cua ban cung can phai thay doi theo sao cho phu hop. Cach tot nhat de thuc hien dieu nay la phai danh gia lai nhung nhu cau bao mat cua cong ty theo mot co so nao do.

2. Mo qua nhieu cong tuong lua so voi can thiet

Tat ca chung ta deu biet rang, viec mo nhieu cong qua muc can thiet se co nhieu tac hai, tuy nhien doi khi viec mo cong la khong the tranh khoi. Cho vi du, lay mot may chu Microsoft Office Communications Server 2007 R2. Neu ban dang len ke hoach de cung cap su truy cap ben ngoai, khi do mot so cong can phai duoc mo. Them vao do OCS 2007 R2 se gan mot dai rong cac cong mang tinh dong. Vay cac quan tri vien  bao mat can lam gi trong truong hop nay?

Mot trong nhung giai phap tot nhat la su dung mot reverse proxy (vi du nhu ForeFront Threat Management Gateway cua Microsoft). Mot reverse proxy se dung giua Internet va may chu yeu cau mo nhieu cong khac nhau. Khi khong thay duoc nhu cau can thiet mo cong, reverse proxy co the chan va loc cac yeu cau, sau do chuyen chung may chu ma chung duoc du dinh gui den. Dieu nay se lam an may chu doi voi the gioi ben ngoai va giup bao ve mang cua ban tranh duoc cac yeu cau ma doc.

3. Hoat dong qua cong suat

Voi hien trang nen kinh te the gioi dang suy thoai, suc ep doi voi cac tai nguyen may chu dang ton tai ngay cang tang. Mot may chu co the phai cau hinh nhieu ung dung cung nhu nhieu role ung dung. Tuy cach thuc tien hanh nay khong toi nhung co mot van de ma chung ta can biet la khi kich thuoc cua ma ung dung tang thi nguy co xuat hien cac lo hong co kha nang khai thac cung tang len.

Viec su chi su dung mot may chu chuyen dung cho mot ung dung la khong thuc te, ban can phai quan tam ve cac ung dung nao hoac cac role ung dung nao nen duoc cau hinh tren mot may chu rieng. Cho vi du, de giam toi thieu, mot may chu Exchange 2007 yeu cau den ba server roles (hub transport, client access va mailbox server). Tuy ban co the host tat ca ba role nay tren cung mot may chu nhung nen tranh thuc hien dieu do neu cung cap Outlook Web Access cho nguoi dung ben ngoai. Client Access Server role se co hieu luc cho IIS trong viec cau hinh Outlook Web Access. Chinh vi vay, neu dat client access server role tren cung may chu nhu hub transport va mailbox server roles cua minh thi chac chan ban se phoi bay co so du lieu mailbox cua minh tren Internet.

4. Bo qua cac may tram

Co nguoi hoi rang, moi de doa lon nhat doi voi bao mat mang la gi. Cau tra loi cua chung toi o day chinh la cac may tram (workstation). Chung ta co the thay duoc rat nhieu to chuc lo nuc trong viec bao mat mang nhung thuc te lai bo quen mat cac may tram cua ho. Tru khi cac may tram duoc bao ve mot cach tuyet doi an toan, bang khong nguoi dung (hoac cac website ma doc) van co the cai dat cac phan mem trai phep ma ban khong he hay biet.

5. That bai trong viec su dung ma hoa SSL o noi can thiet

Mot website can phai su dung ma hoa SSL bat cu thoi diem nao de bao ve nhung thong tin nhay cam ma nguoi dung dang nhap vao, chang han nhu username va password hoac so the tin dung. Mac du vay, nhieu to chuc van dua ra nhung quyet dinh khong thich hop trong qua trinh bao ve cac cong dien tu cua minh. Loi bao mat o day chinh la cac noi dung khong an toan tren mot trang web an toan. Khi xay ra dieu nay, nguoi dung se nhan mot nhac nho yeu cau xem lieu ho co muon hien thi ca noi dung an toan va khong an toan hay khong. Van de nay se lam cho nguoi dung co thoi quen cho phep Internet Explorer cung cap nhung noi dung khong an toan.

Mot van de kem nhan biet hon nhung lai rat dien hinh do la cac to chuc thuong that bai trong viec ma hoa cac trang quan trong ben trong website cua ho. Theo quan diem cua chung toi, bat cu trang nao cung cap cac thong tin quan trong, loi khuyen bao mat hoac cac thong tin lien he deu can duoc ma hoa SSL. Tuy nhien dieu do khong co nghia rang nhung trang nay dac biet nhay cam ma no co nghia rang, chung chi duoc su dung boi qua trinh ma hoa se bao ve nguoi dung dang truy cap mot website hop le thay cho mot trang ma ai do da thiet lap nhu mot phan trong muu do gia mao.

6. Viec su dung cac chung chi tu ky

Do mot so to chuc bo qua hoan toan tam quan trong cua ma hoa SSL, chinh vi vay Microsoft da nhom cac chung chi tu ky voi mot so san pham cua ho. Bang cach nay, giao dien web co the duoc su dung ma hoa SSL du to chuc van chua co chung chi rieng cua ho.

Tuy cac chung chi tu ky co khac phuc duoc mot so van de nhung chung khong phai la cach thay the cho chung chi SSL hop le duoc cap tu cac co quan tham dinh dich thuc. Muc dich chinh Cua cac chung chi tu ky duoc du dinh de tro giup nang cao do bao mat cua san pham cho toi khi quan tri vien co the bao ve duoc no. Qua thuc mot chung chi tu ky co the cung cap ma hoa SSL nhung nguoi dung se nhan duoc cac thong bao bao canh trong trinh duyet cua ho vi cac may tinh cua ho khong tin tuong cac chung chi nay. Them vao do, mot so dich vu web dua tren SSL (chang han nhu ActiveSync) khong tuong thich voi cac chung chi tu ky vi van de tin cay.

7. Tinh trang thua doi voi ban ghi bao mat

Mac du cac su kien ban ghi la rat quan trong trong mang, nhung neu ghi qua nhieu lai la chuyen khac va co the gay hai cho mang cua ban. Qua nhieu ban ghi co the dan den kho khan hay co the noi la khong the xac dinh duoc cac su kien bao mat ma ban dang quan tam. Thay cho viec phai thu toan bo moi thu, ban hay lam sao de co the tap trung vao cac su kien thuc su co y nghia.

8. Nhom ngau nhien cac may chu ao

Cac may chu ao thuong duoc nhom tren cac may chu cau hinh do van de hieu suat cua chung. Cho vi du, mot may chu ao muc cao co the duoc ghep cap tren may chu voi mot may chu ao muc thap. Dung tren quan diem hieu suat, day la mot cach lam kha tot, tuy nhien dieu nay co the lai la mot y tuong toi doi voi van de bao mat.

Tot nhat cac ban nen su dung cac host ao chuyen dung cho bat cu may chu ao Internet nao. Neu ban co ba may chu ao cung cap cac dich vu cho nguoi dung Internet, ban co the xem xet den viec  nhom cac may chu nay tren cung mot host ao, tuy nhien khong duoc dac cac may chu co so ha tang (chang han nhu cac bo dieu khien mien) tren host.

Thuc hien theo cach lam tren se cung cap su bao ve de mang cua ban co the chong lai doi voi cac tan cong ro ri. Tan cong ro ri chinh la cach thuc tan cong ma hacker gay ra tren may ao va chiem quyen dieu khien cua host. Tuy chua mot ai co the chi ra cach thuc hien mot tan cong ro ri trong the gioi thuc nhu the nao nhung co the no se xuat hien trong ngay mot ngay hai toi day.

9. Dat cac may chu thanh vien trong DMZ

Neu ban co the tranh duoc dieu nay, hay khong dat bat cu may chu thanh vien nao trong DMZ cua ban. Vi neu bi thoa hien, may chu thanh vien co the tiet lo cac thong tin ve Active Directory cua ban.

10. Phu thuoc vao nguoi dung trong viec cai dat cac nang cap

Mot loi thuong gap nua duoc nhac den trong bai nay la phu thuoc vao nguoi dung trong viec trien khai cac ban va bao mat. Co mot so trien khai mang gan day su dung WSUS de va cac may tram trong mang cua ho. Tuy nhien, nhieu trien khai nay lai dua vao nguoi dung kich tuy chon cai dat cac nang cap moi nhat. Van de o day la nguoi dung biet rang cu moi khi thuc hien nang cap thi may tinh cua ho lai phai khoi dong lai. Chinh vi vay mot so nguoi se khong thuc hien nang cap. De khac phuc nhuoc diem nay, chung ta nen su dung mot giai phap quan ly ban va de day cac ban va loi mot cach tu dong ma khong can de y den su lua chon cua nguoi dung trong van de nay.

Theo Techrepublic – Quantrimang

10 lỗi thiết kế bảo mật mạng thường gặp

Có thể nói rằng bảo mật mạng là một trong những chức năng quan trọng nhất của CNTT.Tuy nhiên đôi khi chúng ta lại bắt gặp một số tổ chức bỏ sót những thao tác thiết kế bảo mật tuy đơn giản nhưng lại rất cần thiết.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá