Vậy những lỗi mà các công ty này mắc phải là gì, trong bài này chúng tôi sẽ giới thiệu cho các bạn một số lỗi thường gặp phải và hậu quả của nó là có thể gây ra sự thỏa hiệp cho mạng của
Trang 110 lỗi thiết kế bảo mật
mạng thường gặp
Trang 2Quản trị mạng – Có thể cho rằng bảo mật mạng là một trong những chức năng quan trọng nhất của CNTT Tuy
nhiên đôi khi chúng ta lại bắt gặp một số tổ chức bỏ sót
những thao tác thiết kế bảo mật tuy đơn giản nhưng lại rất cần thiết Vậy những lỗi mà các công ty này mắc phải là gì, trong bài này chúng tôi sẽ giới thiệu cho các bạn một số lỗi thường gặp phải và hậu quả của nó là có thể gây ra sự thỏa hiệp cho mạng của bạn cũng như đặt công ty rơi vào tình trạng rủi ro cao
1 Thiết lập nhưng sau đó bỏ quên
Lỗi đầu tiên mà chúng tôi muốn chỉ ra cho các bạn là việc lập
kế hoạch Nó liên quan đến những gì mà chúng ta có thể mô
tả qua cụm từ “thiết lập nhưng sau đó bỏ quên” Đây là
những gì xảy ra khi các tổ chức chỉ chuyên tâm vào việc bảo
vệ các mạng của họ mà quên đánh giá lại các kế hoạch bảo
Trang 3mật Những hiểm họa đối với vấn đề bảo mật thường thay đổi nhanh do đó kiến trúc bảo mật của bạn cũng cần phải thay đổi theo sao cho phù hợp Cách tốt nhất để thực hiện điều này là phải đánh giá lại những nhu cầu bảo mật của công ty theo một
cơ sở nào đó
2 Mở quá nhiều cổng tường lửa so với cần thiết
Tất cả chúng ta đều biết rằng, việc mở nhiều cổng quá mức cần thiết sẽ có nhiều tác hại, tuy nhiên đôi khi việc mở cổng
là không thể tránh khỏi Cho ví dụ, lấy một máy chủ
Microsoft Office Communications Server 2007 R2 Nếu bạn đang lên kế hoạch để cung cấp sự truy cập bên ngoài, khi đó một số cổng cần phải được mở Thêm vào đó OCS 2007 R2
sẽ gán một dải rộng các cổng mang tính động Vậy các quản trị viên bảo mật cần làm gì trong trường hợp này?
Một trong những giải pháp tốt nhất là sử dụng một reverse
proxy (ví dụ như ForeFront Threat Management Gateway
của Microsoft) Một reverse proxy sẽ đứng giữa Internet và
Trang 4máy chủ yêu cầu mở nhiều cổng khác nhau Khi không thấy được nhu cầu cần thiết mở cổng, reverse proxy có thể chặn và lọc các yêu cầu, sau đó chuyển chúng máy chủ mà chúng được dự định gửi đến Điều này sẽ làm ẩn máy chủ đối với thế giới bên ngoài và giúp bảo vệ mạng của bạn tránh được các yêu cầu mã độc
3 Hoạt động quá công suất
Với hiện trạng nền kinh tế thế giới đang suy thoái, sức ép đối với các tài nguyên máy chủ đang tồn tại ngày càng tăng Một máy chủ có thể phải cấu hình nhiều ứng dụng cũng như nhiều role ứng dụng Tuy cách thức tiến hành này không tồi nhưng
có một vấn đề mà chúng ta cần biết là khi kích thước của mã ứng dụng tăng thì nguy cơ xuất hiện các lỗ hổng có khả năng khai thác cũng tăng lên
Việc sử chỉ sử dụng một máy chủ chuyên dụng cho một ứng dụng là không thực tế, bạn cần phải quan tâm về các ứng dụng nào hoặc các role ứng dụng nào nên được cấu hình trên
Trang 5một máy chủ riêng Cho ví dụ, để giảm tối thiểu, một máy chủ Exchange 2007 yêu cầu đến ba server roles (hub
transport, client access và mailbox server) Tuy bạn có thể host tất cả ba role này trên cùng một máy chủ nhưng nên
tránh thực hiện điều đó nếu cung cấp Outlook Web Access cho người dùng bên ngoài Client Access Server role sẽ có hiệu lực cho IIS trong việc cấu hình Outlook Web Access Chính vì vậy, nếu đặt client access server role trên cùng máy chủ như hub transport và mailbox server roles của mình thì chắc chắn bạn sẽ phơi bày cơ sở dữ liệu mailbox của mình trên Internet
4 Bỏ qua các máy trạm
Có người hỏi rằng, mối đe dọa lớn nhất đối với bảo mật mạng
là gì Câu trả lời của chúng tôi ở đây chính là các máy trạm
(workstation) Chúng ta có thể thấy được rất nhiều tổ chức lỗ
nực trong việc bảo mật mạng nhưng thực tế lại bỏ quên mất các máy trạm của họ Trừ khi các máy trạm được bảo vệ một
Trang 6cách tuyệt đối an toàn, bằng không người dùng (hoặc các website mã độc) vẫn có thể cài đặt các phần mềm trái phép
mà bạn không hề hay biết
5 Thất bại trong việc sử dụng mã hóa SSL ở nơi cần thiết
Một website cần phải sử dụng mã hóa SSL bất cứ thời điểm nào để bảo vệ những thông tin nhạy cảm mà người dùng đang nhập vào, chẳng hạn như username và password hoặc số thẻ tín dụng Mặc dù vậy, nhiều tổ chức vẫn đưa ra những quyết định không thích hợp trong quá trình bảo vệ các cổng điện tử của mình Lỗi bảo mật ở đây chính là các nội dung không an toàn trên một trang web an toàn Khi xảy ra điều này, người dùng sẽ nhận một nhắc nhở yêu cầu xem liệu họ có muốn hiển thị cả nội dung an toàn và không an toàn hay không Vấn
đề này sẽ làm cho người dùng có thói quen cho phép Internet Explorer cung cấp những nội dung không an toàn
Một vấn đề kém nhận biết hơn nhưng lại rất điển hình đó là các tổ chức thường thất bại trong việc mã hóa các trang quan
Trang 7trọng bên trong website của họ Theo quan điểm của chúng tôi, bất cứ trang nào cung cấp các thông tin quan trọng, lời khuyên bảo mật hoặc các thông tin liên hệ đều cần được mã hóa SSL Tuy nhiên điều đó không có nghĩa rằng những trang này đặc biệt nhạy cảm mà nó có nghĩa rằng, chứng chỉ được
sử dụng bởi quá trình mã hóa sẽ bảo vệ người dùng đang truy cập một website hợp lệ thay cho một trang mà ai đó đã thiết lập như một phần trong mưu đồ giả mạo
6 Việc sử dụng các chứng chỉ tự ký
Do một số tổ chức bỏ qua hoàn toàn tầm quan trọng của mã hóa SSL, chính vì vậy Microsoft đã nhóm các chứng chỉ tự ký với một số sản phẩm của họ Bằng cách này, giao diện web có thể được sử dụng mã hóa SSL dù tổ chức vẫn chưa có chứng chỉ riêng của họ
Tuy các chứng chỉ tự ký có khắc phục được một số vấn đề nhưng chúng không phải là cách thay thế cho chứng chỉ SSL hợp lệ được cấp từ các cơ quan thẩm định đích thực Mục
Trang 8đích chính Của các chứng chỉ tự ký được dự định để trợ giúp nâng cao độ bảo mật của sản phẩm cho tới khi quản trị viên
có thể bảo vệ được nó Quả thực một chứng chỉ tự ký có thể cung cấp mã hóa SSL nhưng người dùng sẽ nhận được các thông báo báo cảnh trong trình duyệt của họ vì các máy tính của họ không tin tưởng các chứng chỉ này Thêm vào đó, một
số dịch vụ web dựa trên SSL (chẳng hạn như ActiveSync) không tương thích với các chứng chỉ tự ký vì vấn đề tin cậy
7 Tình trạng thừa đối với bản ghi bảo mật
Mặc dù các sự kiện bản ghi là rất quan trọng trong mạng, nhưng nếu ghi quá nhiều lại là chuyện khác và có thể gây hại cho mạng của bạn Quá nhiều bản ghi có thể dẫn đến khó khăn hay có thể nói là không thể xác định được các sự kiện bảo mật mà bạn đang quan tâm Thay cho việc phải thử toàn
bộ mọi thứ, bạn hãy làm sao để có thể tập trung vào các sự kiện thực sự có ý nghĩa
8 Nhóm ngẫu nhiên các máy chủ ảo
Trang 9Các máy chủ ảo thường được nhóm trên các máy chủ cấu hình do vấn đề hiệu suất của chúng Cho ví dụ, một máy chủ
ảo mức cao có thể được ghép cặp trên máy chủ với một máy chủ ảo mức thấp Đứng trên quan điểm hiệu suất, đây là một cách làm khá tốt, tuy nhiên điều này có thể lại là một ý tưởng tồi đối với vấn đề bảo mật
Tốt nhất các bạn nên sử dụng các host ảo chuyên dụng cho bất cứ máy chủ ảo Internet nào Nếu bạn có ba máy chủ ảo cung cấp các dịch vụ cho người dùng Internet, bạn có thể xem xét đến việc nhóm các máy chủ này trên cùng một host ảo, tuy nhiên không được đặc các máy chủ cơ sở hạ tầng (chẳng hạn như các bộ điều khiển miền) trên host
Thực hiện theo cách làm trên sẽ cung cấp sự bảo vệ để mạng của bạn có thể chống lại đối với các tấn công rò rỉ Tấn công
rò rỉ chính là cách thức tấn công mà hacker gây ra trên máy
ảo và chiếm quyền điều khiển của host Tuy chưa một ai có thể chỉ ra cách thực hiện một tấn công rò rỉ trong thế giới thực
Trang 10như thế nào nhưng có thể nó sẽ xuất hiện trong ngày một ngày hai tới đây
9 Đặt các máy chủ thành viên trong DMZ
Nếu bạn có thể tránh được điều này, hãy không đặt bất cứ máy chủ thành viên nào trong DMZ của bạn Vì nếu bị thỏa hiện, máy chủ thành viên có thể tiết lộ các thông tin về Active Directory của bạn
10 Phụ thuộc vào người dùng trong việc cài đặt các nâng cấp
Một lỗi thường gặp nữa được nhắc đến trong bài này là phụ thuộc vào người dùng trong việc triển khai các bản vá bảo mật Có một số triển khai mạng gần đây sử dụng WSUS để vá các máy trạm trong mạng của họ Tuy nhiên, nhiều triển khai này lại dựa vào người dùng kích tùy chọn cài đặt các nâng cấp mới nhất Vấn đề ở đây là người dùng biết rằng cứ mỗi khi thực hiện nâng cấp thì máy tính của họ lại phải khởi động lại Chính vì vậy một số người sẽ không thực hiện nâng cấp
Trang 11Để khắc phục nhược điểm này, chúng ta nên sử dụng một giải pháp quản lý bản vá để đẩy các bản vá lỗi một cách tự động
mà không cần để ý đến sự lựa chọn của người dùng trong vấn
đề này