Mạng diện rộng

Một phần của tài liệu Dự thảo an toàn mạng (Trang 65 - 68)

14 Giám sát và soát xét việc triển khai giải pháp

A.2 Mạng diện rộng

A.2.1 Kiến thức cơ bản

Các mạng WAN được sử dụng để kết nối các vị trí ở cách xa nhau, và các mạng LAN của chúng, lại với nhau. Một mạng WAN có thể được xây dựng bằng cách sử dụng các dây cáp, các mạch điện từ một nhà cung cấp dịch vụ, hoặc bằng cách thuê một dịch vụ từ một nhà cung cấp viễn thông. Các công nghệ mạng WAN cho phép truyền tải và định tuyến lưu lượng mạng qua khoảng cách dài, và thường cung cấp các đặc tính định tuyến mở rộng để định tuyến các gói dữ liệu mạng tới đúng mạng LAN đích. Thông thường thì hạ tầng mạng vật lý công cộng được sử dụng cho việc kết nối các mạng LAN, ví dụ như các đường dây thuê bao, thông tin vệ tinh hay cáp quang. Mạng WAN có thể là mạng có dây hoặc là mạng không dây.

Mạng WAN có dây thường bao gồm các thiết bị định tuyến (như các bộ định tuyến), được kết nối tới một mạng công cộng hay mạng riêng thông qua các dây viễn thông. Mạng WAN không dây thường sử dụng sóng vô tuyến để gửi các gói dữ liệu mạng qua không gian trên khoảng cách xa, khoảng cách có thể lên tới 10 km hay hơn nữa.

Trong khi mạng WAN truyền thống ban đầu được tạo ra bằng cách sử dụng những đường liên kết cố định giữa các vị trí được thuê từ các nhà cung cấp dịch vụ, với nhà cung cấp dịch vụ có hoạt động quản lý tối thiểu liên quan đến các liên kết này, thay vì đảm bảo rằng các liên kết còn hoạt động, các tiến bộ trong công nghệ mạng WAN đã tạo ra thay đổi trong trách nhiệm quản lý của nhà cung cấp dịch vụ, với lợi ích cho tổ chức là không phải triển khai và quản lý toàn bộ mạng của chính mình. Điều này có nghĩa rằng, trách nhiệm của nhà cung cấp dịch vụ là phải đảm bảo rằng các phương tiện quản lý mạng của họ là an toàn. Hơn nữa, vì mạng WAN được sử dụng trước hết cho việc định tuyến lưu lượng mạng trên một khoảng cách xa nên chức năng định tuyến phải có mức an toàn cao để đảm bảo rằng các luồng dữ liệu mạng không bị định tuyến sai đến mạng LAN đích. Do đó, các lưu lượng qua một mạng WAN dễ bị chặn lại đối với những người truy cập vào hạ tầng mạng WAN. Do hạ tầng của mạng WAN có xu hướng dễ bị truy cập hơn mạng LAN nên cần phải lưu ý để đảm bảo rằng các thông tin nhạy cảm được truyền tải trên một môi trường mạng WAN phải được mã hóa. Nhà cung cấp dịch vụ phải cam kết chứng minh được mức an toàn được yêu cầu bởi tổ chức.

A.2.2 Các rủi ro an toàn

Trong khi một mạng WAN có dây gặp phải các rủi ro an toàn tương tự như một mạng LAN có dây (xem điều A.1 ở trên) thì nó còn có nhiều rủi ro an toàn hơn nữa do các luồng dữ liệu trên mạng WAN được phơi bày ra nhiều hơn, điều này có nghĩa là các biện pháp, bao gồm cho cả việc truy cập, phải được thực hiện để đảm bảo rằng một mạng WAN có dây không thể dễ dàng bị gây hại mà bởi đó gây ra sự gián đoạn hoạt động trên diện rộng. Tương tự như vậy, trong khi một mạng WAN không dây có cùng rủi ro an toàn như một mạng LAN không dây (xem điều A.3 ở dưới) thì nó dễ bị gián đoạn hơn do các khả năng tắc nghẽn hệ thống được sử dụng để truyền tải gói dữ liệu mạng. Nói chung, các rủi ro an toàn chính liên quan đến các mạng WAN bao gồm những rủi ro liên quan tới:

- Sự xâm nhập, khi thông tin bị phơi bày hoặc tính toàn vẹn và/hoặc tính sẵn sàng của dữ

liệu không được đảm bảo,

- Các tấn công DoS, khi các tài nguyên trở nên không sẵn sàng cho người sử dụng hợp

pháp,

- Trễ truyền dẫn, nó có ảnh hưởng đến các dịch vụ như là các dịch vụ thoại trên IP,

- Sự chập chờn trên mạng, nó sẽ ảnh hưởng đến chất lượng thoại (chủ yếu bị gây ra bởi

việc sử dụng cáp đồng để phân phối dịch vụ),

- Lỗi thiết bị,

- Lỗi cáp,

- Các thiết bị không được vá lỗi,

- Các phương tiện quản lý mạng của nhà cung cấp dịch vụ.

A.2.3 Các biện pháp an toàn

Các biện pháp an toàn cần thiết để bảo vệ an toàn cho một mạng WAN bao gồm:

- Sử dụng các giao thức quản trị an toàn như là SSH, SCP, hay SNMPv3,

- Mã hoá các đường kết nối quản trị,

- Mã hóa lưu lượng mạng,

- Triển khai việc xác thực an toàn để truy cập đến các thiết bị của mạng WAN, cùng với

cảnh báo thích hợp của các thiết bị,

- Đảm bảo an toàn cho những thiết bị của mạng WAN tại từng vị trí, chẳng hạn như sử dụng

tủ có khóa với các cảnh báo truy cập,

- Sử dụng UPS để đảm bảo chống mất nguồn điện đột ngột,

- Các trạm được kết nối hai chiều, sử dụng nhiều đường định tuyến khác nhau,

- Chủ động theo dõi các thiết bị mạng WAN,

- Vẽ bản đồ thiết bị mạng để xác định những thiết bị trái phép,

- Quản lý bản vá lỗi,

- Các lớp bảo vệ đã được mã hoá cho các dữ liệu nhạy cảm,

- Đạt được các bảo đảm cho những dịch vụ từ nhà cung cấp dịch vụ, như đối với tính sẵn

sàng, độ trễ và tần số,

- Triển khai kế toán và kiểm toán đối với việc truy cập đến các thiết bị WAN,

- Sử dụng tường lửa để loại bỏ bất kỳ lưu lượng truy cập không mong muốn nào vào mạng,

- Đảm bảo rằng, hạ tầng và các địa chỉ mạng được ẩn,

- Sử dụng phần mềm để ngăn chặn các mã độc, như Trojan, virus, phần mềm gián điệp và

sâu máy tính, từ việc mở các lỗ hổng bảo mật từ bên trong một mạng,

- Gán các địa chỉ IP cho những địa chỉ mà không thể được định tuyến trên/qua mạng,

- Sử dụng IDS để xác định những luồng dữ liệu nghi vấn,

- Đảm bảo rằng, các hệ thống quản lý mạng được bảo đảm an toàn hợp lý,

- Quản lý mạng ngoài phạm vi,

- Bảo đảm rằng, các vị trí quản lý mạng được an toàn về mặt vật lý,

- Bảo đảm rằng, các thiết bị đều được sao chép dự phòng,

- Thực hiện việc kiểm tra độ tin cậy đối với nhân viên quản trị mạng.

Một phần của tài liệu Dự thảo an toàn mạng (Trang 65 - 68)

Tải bản đầy đủ (DOC)

(105 trang)
w