DEFENSE IN DEPTH
2.4 Xây dựng mạng có cấu trúc
Việc xây dựng mạng có cấu trúc, được chia ra thành các phần riêng rẽ sẽ giúp người quản trị đơn giản hóa việc quản lý hệ thống chồng chéo giữa các môi trường. Sự tách bạch trong kết nối này giúp giải quyết các lỗ hổng phát sinh trong hệ thống, có thể kể ra ở đây:
- Sự không tương thích giữa các công nghệ tạo ra các lỗ hổng, rủi ro cho hệ thống. - Thiếu môi trường an toàn riêng cho từng phân vùng chức năng riêng cho hệ thống.
Dưới đây là mô hình cấu trúc mạng được sử dụng rộng rãi ngày nay. Trong thực tế, một số vùng có thể được lược bớt để phù hợp với quy mô tổ chức.
Hình 2-22: Mạng LAN có cấu trúc
Các kiến trúc tích hợp, không rõ ràng, nếu bị tấn công sẽ gây đe dọa tới hoạt động của toàn hệ thống, ảnh hưởng nặng nề tới công ty. Tuy nhiên, nếu sử dụng mạng kiến trúc, các cách giao tiếp giữa các môi trường với nhau sẽ được đảm bảo một cách an toàn nhất. Giảm thiểu rủi ro diện rộng một cách tối đa.
Để tạo một lớp phòng vệ, phải có hiểu biết rõ ràng về tất cả các công nghệ phù hợp với nhau được sử dụng trong các kết nối. Chia các kiến trúc hệ thống điều khiển vào các vùng giúp tạo ra ranh giới rõ ràng, đạt hiêu quả trên từng lớp phòng vệ. Hiểu được từng phân đoạn mạng rất quan trọng trong việc xây dựng cấu trúc và xác định phương pháp tốt nhất để phân chia mạng.
2.4.1 Vùng DMZ
Vùng DMZ (hay còn gọi là mạng biên) là một mạng vật lý và logic hoạt động như một vùng trung gian cho phép các thiết bị an ninh két nối để tránh tiếp xúc với mạng lớn hơn kém tin cậy, thường là Internet. Vùng DMZ tăng thêm một lớp bảo mật cho mạng LAN của tổ chức: tin tặc chỉ có thể truy cập trực tiếp vào thiết bị trong vùng DMZ chứ không phải thành phần nào khác của mạng.
Khả năng thiết lập một vùng DMZ thường dựa vào khả năng hoạt động của tường lửa. Mỗi DMZ chứa một hoặc nhiều thành phần quan trọng như: dữ liệu, điểm truy cập không dây, hệ thống quản trị truy cập từ xa và các phần mềm bên thứ 3. Để tạo một DMZ yêu cầu tường lửa phải có khả năng cung cấp 3 hoặc hơn 3 giao diện mạng, trong đó: một giao diện kết nối tới mạng tổ chức, một giao diện cho mạng điều khiển và các giao diện còn lại cho các thiết bị được chia sẻ hoặc thiếu tính bảo mật.
Bằng cách đặt vào giữa DMZ và mạng bên ngoài một firewall, ta có thể cho phép các kết nối từ mạng bên ngoài chỉ có thể đến được DMZ mà thôi. Còn giữa mạng nội bộ và DMZ, có thể đặt thêm một firewall khách để kiểm soát các lưu lượng từ DMZ vào mạng nội bộ. Làm như vậy là ta đã tạo ra 2 vùng mạng riêng biệt: Mạng nội bộ và mạng bên ngoài, đảm bảo cho mạng nội bộ khỏi những rủi ro đến từ mạng bên ngoài.
Trong DMZ thường có các server như Web, Mail, FTP, VoIP…để cho phép người dùng truy cập và sử dụng thông qua mạng Internet. Các server phục vụ cho mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal.
DMZ không phải là các thức có thể phòng vệ mạng nội bộ hoàn toàn khỏi các đe dọa xâm nhập tới từ mạng bên ngoài. Vì vậy triển khai DMZ phải kết hợp với các biện pháp bảo mật thích hợp khác để tăng tính an toàn cho hệ thống, điều này giúp cho tổ chức sẽ dễ dàng kiểm soát và hạn chết các nguy cơ gây hại cho dữ liệu quan trọng. Một số hướng dẫn chuyên sâu dưới đây có thể hỗ trợ giải pháp Defense in Depth hiệu quả hơn với DMZ:
- Người quản trị nên giám sát sự thay đổi lưu lượng trong đường truyền khi người sử dụng sử dụng các ứng dụng và dịch vụ trong DMZ.
- Dữ liệu được đưa vào DMZ từ khu vực có an ninh cao hơn ( hệ thống kiểm soát hoặc điều hành) thì người quản trị nên chỉ cấp phép cho người dùng nội bộ được quyền lấy thông tin từ máy chủ ứng dụng DMZ. Sự tách biệt giữa hoạt động đưa dữ liệu và lấy dữ liệu ra từ DMZ giúp cho dữ liệu được bảo đảm an toàn hơn.
- Nếu cân nhắc việc cho phép người quản trị truy cập tới DMZ từ xa thì cần phải cân nhắc lại xem điều này có thực sự cần thiết. Bởi điều này có thể gây ra nguy cơ bị đột nhập vào hệ thống. Nếu thức sự cần, xây dựng chính sách cho phép những truy cập từ xa được sử dụng ứng dụng nào, xem loại dữ liệu nào…Để hạn chế tối đa rủi ro của việc tin tặc có thể lợi dụng để truy cập.