Mười mẹo bảo vệ mạng riêng ảo client

Mạng riêng ảo (VPN) ngày càng khẳng định được ưu thế lợi nhuận trong hiệu suất và giá cả của mình. Bạn có thể cung cấp quyền truy cập mạng từ xa cho nhân viên tin cậy hay các nhà đấu thầu giải pháp qua một mạng riêng ảo. Khoảng cách địa lý giờ không còn là vấn đề đáng ngại nữa.

Cùng với những bước phát triển mở rộng, bảo mật mạng đòi hỏi phải có các biện pháp tinh tế hơn, khéo léo hơn. Chỉ cần một máy từ xa mất quyền kiểm soát cũng có thể tạo ra con đường thâm nhập hấp dẫn và nguy hiểm cho những kẻ tấn công.

Dưới đây là 10 mẹo nhỏ chúng tôi xin cung cấp nhằm giúp bạn bảo mật an toàn mà vẫn đảm bảo yếu tố lợi nhuận từ các mạng riêng ảo VPN.

1. Sử dụng phương thức thẩm định quyền truy cập VPN mạnh nhất.

Chính xác là phương thức nào thì còn phụ thuộc vào từng cơ sở hạ tầng mạng. Bạn nên kiểm tra tài liệu hướng dẫn trong VPN hay hệ điều hành để xác định phương thức phù hợp nhất.

Nếu như mạng sử dụng server Microsoft thì phương thức thẩm định an toàn nhất là Extensible Authentication Protocol (Giao thức thẩm định mở rộng) và Transport Level Security (Bảo mật mức truyền vận), còn gọi là EAP-TLS. Chúng được sử dụng với các thẻ thông minh (smart card). Phương thức này đòi hỏi phải có một cơ sở hạ tầng khóa phổ biến (PKI), có thể mã hoá và phân phối toàn bộ thẻ thông minh một cách an toàn. Các giao thức Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) và Extensible Authentication Protocol (EAP) là sự lựa chọn tốt nhất cho các phương thức thẩm định bảo mật tiếp theo.

Các bạn không nên lựa chọn giao thức Password Authentication Protocol (PAP) - giao thức thẩm định mật khẩu, giao thức Shiva Password Authentication Protocol (SPAP) - giao thức thẩm định mật khẩu Shiva và giao thức thẩm định Handshake Challenge (CHAP), chúng quá yếu, không đảm bảo an toàn cho mạng của bạn.

2. Sử dụng phương thức mã hoá quyền truy cập VPN mạnh nhất.

Với mạng sử dụng server Microsoft, bạn nên dùng phương thức Layer Two Tunneling Protocol (L2TP) thực hiện với Internet Protocol security (IPsec -bảo mật giao thức Internet). Giao thức Point-to-Point Tunneling (PPTP) quá yếu, trừ phi mật khẩu client của bạn bảo đảm đủ mạnh (xem mẹo 6). OpenVPN, một mạng riêng ảo tầng sockert đơn (Single Socket Layer - SSL) có thể chạy với bộ thẩm định phiên cơ sở TLS, chương trình mã hoá Blowfish hay AES-256 và bộ thẩm định SHA1 của dữ liệu đường hầm.

3. Giới hạn quyền truy cập VPN với lý do thương mại hợp lý và chỉ khi cần thiết.

Kết nối mạng VPN là cánh cửa cho mạng LAN, chỉ nên mở khi cần thiết. Bạn nên giới hạn các nhân viên từ xa kết nối VPN cả ngày để check e-mail (xem mẹo 5). Với cả các nhà đấu thầu cũng nên ngăn việc kết nối tới VPN để download các file cần thiết thông thường (xem mẹo 4).

4. Cung cấp quyền truy cập các file được chọn qua mạng Intranet hay Extranet thay vì VPN.

Một website bảo mật HTTP Secure (HTTPS) với bộ thẩm định mật khẩu an toàn chỉ đưa các file được chọn lên một server đơn chứ không phải lên toàn bộ mạng, và có độ co giãn tốt hơn VPN.

5. Cho phép truy cập e-mail mà không cần truy cập vào VPN.

Trên server Microsoft Exchange, bạn nên cài proxy server Exchange để cho phép Outlook truy cập Exchange qua giao thức gọi thủ tục từ xa (RPC) ở HTTP. Thành phần này được bảo vệ bằng giao thức mã hoá SSL.

Với các dịch vụ e-mail khác, bạn có thể sử dụng giao thức Post Office Protocol (POP3) cùng giao thức nhận mail Internet Message Access Protocol (IMAP) hoặc giao thức gửi mail Simple Mail Transfer Protocol (SMTP). Bạn cũng nên sử dụng bộ thẩm định an toàn mật khẩu (SPA) và chương trình mã hoá SSL để chứng minh tính bảo mật cho các hệ thống mail này. Secure Web mail là một lựa chọn khác cho các nhân viên từ xa, nhất là khi họ đang đi du lịch hay sử dụng máy tính của người khác.

6. Thực thi và ép buộc nhân viên thực hiện chính sách mật khẩu an toàn.

Nếu vắng mặt chương trình thẩm định hai yếu tố (thẻ thông minh và biometrics), mạng của bạn sẽ chỉ an toàn tương ứng với mức mật khẩu yếu nhất.

Bạn không nên giữ quá lâu một mật khẩu mà nên thường xuyên thay đổi chúng, ít nhất 3 tháng 1 lần. Đừng sử dụng một từ tìm thấy trong từ điển hay một số liên quan đến điện thoại, mã số bảo mật xã hội, tên người thân trong gia đình, tên con vật nuôi để làm mật khẩu.

Mật khẩu nên thật khó hiểu, khó đoán ngay cả với các thành viên trong gia đình. Nó cũng không nên ngắn quá.

Tạo được yếu tố an toàn trong mật khẩu là một bước rất quan trọng.

7. Cung cấp chương trình diệt virus, chống spam, tường lửa cá nhân cho người dùng từ xa và yêu cầu họ sử dụng chúng.

Mỗi máy tính kết nối đầy đủ với VPN (xem mẹo 8) đều có thể phát tán chương trình độc hại qua mạng, tiềm ẩn nhiều nguy cơ ngắt giao dịch thương mại của công ty. Vì vậy bạn nên cung cấp các chương trình antivirus, antispam, firewall cá nhân cho nhân viên và yêu cầu họ phải sử dụng chúng.

8. Cách ly người dùng để kiểm chứng mức an toàn trong máy tính của họ trước khi cho phép kết nối vào mạng VPN.

Khi một máy tính khách hàng bắt đầu phiên làm việc VPN, nó sẽ không được quyền truy cập đầy đủ vào mạng tới khi nào được kiểm tra xong độ an toàn. Phần kiểm tra có thể là xác định dấu vết antivirus, antispam hiện tại; kiểm tra bản vá lỗi hệ điều hành đầy đủ, sửa chữa các lỗi bảo mật nghiêm trọng; phần mềm điều khiển từ xa không hoạt động; các keylogger hay Trojan.

Mặt hạn chế ở phương thức này là người dùng sẽ bị trễ mất vài phút khi muốn làm một số việc nào đó. Bạn có thể khắc phục bằng cách ghi nhớ lịch quét trong máy tính và giảm tần số quét xuống một vài ngày so với lần quét trước.

9. Cấm sử dụng mạng riêng ảo hay phần mềm điều khiển từ xa khác khi đang kết nối tới mạng của bạn.

Điều cuối cùng cần cho mạng của bạn là phân biệt nó với các mạng khác. Hầu hết phần mềm VPN thiết lập phần định hướng cho khách hàng sử dụng cổng vào mặc định, sau khi kết nối mặc định. Nhưng thường điều đó là tuỳ ý, không bắt buộc.

Khi tất cả lưu lượng của trình duyệt Internet liên quan đến công việc đểu được định tuyến qua mạng, tốc độ truyền tải trở nên chậm chạp đến mức thật khó chịu đựng. Thường khi đó các nhân viên từ xa chỉ muốn tắt tuỳ chọn này. Nhưng như thế cũng có nghĩa là thủ tiêu luôn chương trình bảo vệ trước các website độc hại mà đã thiết lập ở proxy hay gateway.

Một tường lửa cá nhân và một client proxy firewall cho phép các nhân viên có chế độ truy cập mạng từ xa an toàn mà không làm giảm tốc độ kết nối Internet của họ. Bạn cũng có thể thiết lập một chính sách rõ ràng về cách dùng Internet khi kết nối với VPN như thế nào cho an toàn.

10. Bảo mật mạng không dây từ xa.

Các nhân viên làm việc ở nhà thường sử dụng laptop kết nối tới cáp hay modem DSL qua điểm truy cập không dây riêng của họ.

Đáng tiếc, nhiều router không dây chẳng bao giờ được cấu hình an toàn. Chúng chỉ đơn thuần được kết nối và bật lên sử dụng. Hãy hướng dẫn nhân viên cách cấu hình router không dây, các máy tính WPA với một khoá “tiền chia sẻ”, cách cấu hình tường lửa cá nhân và giải thích cho họ biết tầm quan trọng của bảo mật mạng tại nhà.

Duy trì bảo mật mạng đòi hỏi luôn phải có sự cảnh giác nhất định. Duy trì bảo mật mạng riêng ảo thậm chí còn phải cảnh giác hơn. Nhưng dựa vào 10 mẹo trên bạn có thể ít phải đối mặt với các vấn đề liên quan đến VPN hơn rất nhiều.

Chủ Nhật, 03/08/2008 11:35
11 👨 9.667
0 Bình luận
Sắp xếp theo