Mười mẹo bảo vệ mạng riêng ảo client

Mạng riêng ảo (VPN) ngày càng khẳng định được ưu thế
lợi nhuận trong hiệu suất và giá cả của mình. Bạn có thể cung cấp quyền
truy cập mạng từ xa cho nhân viên tin cậy hay các nhà đấu thầu giải
pháp qua một mạng riêng ảo. Khoảng cách địa lý giờ không còn là vấn đề
đáng ngại nữa.




Cùng với những bước phát triển mở rộng, bảo mật mạng đòi hỏi phải có
các biện pháp tinh tế hơn, khéo léo hơn. Chỉ cần một máy từ xa mất
quyền kiểm soát cũng có thể tạo ra con đường thâm nhập hấp dẫn và nguy
hiểm cho những kẻ tấn công.
Dưới đây là 10 mẹo nhỏ chúng tôi xin cung cấp nhằm giúp bạn bảo mật an
toàn mà vẫn đảm bảo yếu tố lợi nhuận từ các mạng riêng ảo VPN.


1. Sử dụng phương thức thẩm định quyền truy cập VPN mạnh nhất.

Chính xác là phương thức nào thì còn phụ thuộc vào từng cơ sở hạ tầng
mạng. Bạn nên kiểm tra tài liệu hướng dẫn trong VPN hay hệ điều hành để
xác định phương thức phù hợp nhất.

Nếu như mạng sử dụng server Microsoft thì phương thức thẩm định an toàn
nhất là Extensible Authentication Protocol (Giao thức thẩm định mở
rộng) và Transport Level Security (Bảo mật mức truyền vận), còn gọi là
EAP-TLS. Chúng được sử dụng với các thẻ thông minh (smart card). Phương
thức này đòi hỏi phải có một cơ sở hạ tầng khóa phổ biến (PKI), có thể
mã hoá và phân phối toàn bộ thẻ thông minh một cách an toàn. Các giao
thức Microsoft Challenge Handshake Authentication Protocol Version 2
(MS-CHAP v2) và Extensible Authentication Protocol (EAP) là sự lựa chọn
tốt nhất cho các phương thức thẩm định bảo mật tiếp theo.

Các bạn không nên lựa chọn giao thức Password Authentication Protocol
(PAP) - giao thức thẩm định mật khẩu, giao thức Shiva Password
Authentication Protocol (SPAP) - giao thức thẩm định mật khẩu Shiva và
giao thức thẩm định Handshake Challenge (CHAP), chúng quá yếu, không
đảm bảo an toàn cho mạng của bạn.

2. Sử dụng phương thức mã hoá quyền truy cập VPN mạnh nhất.

Với mạng sử dụng server Microsoft, bạn nên dùng phương thức Layer Two
Tunneling Protocol (L2TP) thực hiện với Internet Protocol security
(IPsec -bảo mật giao thức Internet). Giao thức Point-to-Point Tunneling
(PPTP) quá yếu, trừ phi mật khẩu client của bạn bảo đảm đủ mạnh (xem
mẹo 6). OpenVPN, một mạng riêng ảo tầng sockert đơn (Single Socket
Layer - SSL) có thể chạy với bộ thẩm định phiên cơ sở TLS, chương trình
mã hoá Blowfish hay AES-256 và bộ thẩm định SHA1 của dữ liệu đường hầm.

3. Giới hạn quyền truy cập VPN với lý do thương mại hợp lý và chỉ khi cần thiết.

Kết nối mạng VPN là cánh cửa cho mạng LAN, chỉ nên mở khi cần thiết.
Bạn nên giới hạn các nhân viên từ xa kết nối VPN cả ngày để check
e-mail (xem mẹo 5). Với cả các nhà đấu thầu cũng nên ngăn việc kết nối
tới VPN để download các file cần thiết thông thường (xem mẹo 4).

4. Cung cấp quyền truy cập các file được chọn qua mạng Intranet hay Extranet thay vì VPN.

Một website bảo mật HTTP Secure (HTTPS) với bộ thẩm định mật khẩu an
toàn chỉ đưa các file được chọn lên một server đơn chứ không phải lên
toàn bộ mạng, và có độ co giãn tốt hơn VPN.

5. Cho phép truy cập e-mail mà không cần truy cập vào VPN.

Trên server Microsoft Exchange, bạn nên cài proxy server Exchange để
cho phép Outlook truy cập Exchange qua giao thức gọi thủ tục từ xa
(RPC) ở HTTP. Thành phần này được bảo vệ bằng giao thức mã hoá SSL.

Với các dịch vụ e-mail khác, bạn có thể sử dụng giao thức Post Office
Protocol (POP3) cùng giao thức nhận mail Internet Message Access
Protocol (IMAP) hoặc giao thức gửi mail Simple Mail Transfer Protocol
(SMTP). Bạn cũng nên sử dụng bộ thẩm định an toàn mật khẩu (SPA) và
chương trình mã hoá SSL để chứng minh tính bảo mật cho các hệ thống
mail này. Secure Web mail là một lựa chọn khác cho các nhân viên từ xa,
nhất là khi họ đang đi du lịch hay sử dụng máy tính của người khác.

6. Thực thi và ép buộc nhân viên thực hiện chính sách mật khẩu an toàn.

Nếu vắng mặt chương trình thẩm định hai yếu tố (thẻ thông minh và
biometrics), mạng của bạn sẽ chỉ an toàn tương ứng với mức mật khẩu yếu
nhất.

Bạn không nên giữ quá lâu một mật khẩu mà nên thường xuyên thay đổi
chúng, ít nhất 3 tháng 1 lần. Đừng sử dụng một từ tìm thấy trong từ
điển hay một số liên quan đến điện thoại, mã số bảo mật xã hội, tên
người thân trong gia đình, tên con vật nuôi để làm mật khẩu.

Mật khẩu nên thật khó hiểu, khó đoán ngay cả với các thành viên trong gia đình. Nó cũng không nên ngắn quá.

Tạo được yếu tố an toàn trong mật khẩu là một bước rất quan trọng.

7. Cung cấp chương trình diệt virus, chống spam, tường lửa cá nhân cho người dùng từ xa và yêu cầu họ sử dụng chúng.

Mỗi máy tính kết nối đầy đủ với VPN (xem mẹo đều có thể phát tán
chương trình độc hại qua mạng, tiềm ẩn nhiều nguy cơ ngắt giao dịch
thương mại của công ty. Vì vậy bạn nên cung cấp các chương trình
antivirus, antispam, firewall cá nhân cho nhân viên và yêu cầu họ phải
sử dụng chúng.

8. Cách ly người dùng để kiểm chứng mức an toàn trong máy tính của họ trước khi cho phép kết nối vào mạng VPN.

Khi một máy tính khách hàng bắt đầu phiên làm việc VPN, nó sẽ không
được quyền truy cập đầy đủ vào mạng tới khi nào được kiểm tra xong độ
an toàn. Phần kiểm tra có thể là xác định dấu vết antivirus, antispam
hiện tại; kiểm tra bản vá lỗi hệ điều hành đầy đủ, sửa chữa các lỗi bảo
mật nghiêm trọng; phần mềm điều khiển từ xa không hoạt động; các
keylogger hay Trojan.

Mặt hạn chế ở phương thức này là người dùng sẽ bị trễ mất vài phút khi
muốn làm một số việc nào đó. Bạn có thể khắc phục bằng cách ghi nhớ
lịch quét trong máy tính và giảm tần số quét xuống một vài ngày so với
lần quét trước.

9. Cấm sử dụng mạng riêng ảo hay phần mềm điều khiển từ xa khác khi đang kết nối tới mạng của bạn.

Điều cuối cùng cần cho mạng của bạn là phân biệt nó với các mạng khác.
Hầu hết phần mềm VPN thiết lập phần định hướng cho khách hàng sử dụng
cổng vào mặc định, sau khi kết nối mặc định. Nhưng thường điều đó là
tuỳ ý, không bắt buộc.

Khi tất cả lưu lượng của trình duyệt Internet liên quan đến công việc
đểu được định tuyến qua mạng, tốc độ truyền tải trở nên chậm chạp đến
mức thật khó chịu đựng. Thường khi đó các nhân viên từ xa chỉ muốn tắt
tuỳ chọn này. Nhưng như thế cũng có nghĩa là thủ tiêu luôn chương trình
bảo vệ trước các website độc hại mà đã thiết lập ở proxy hay gateway.

Một tường lửa cá nhân và một client proxy firewall cho phép các nhân
viên có chế độ truy cập mạng từ xa an toàn mà không làm giảm tốc độ kết
nối Internet của họ. Bạn cũng có thể thiết lập một chính sách rõ ràng
về cách dùng Internet khi kết nối với VPN như thế nào cho an toàn.

10. Bảo mật mạng không dây từ xa.

Các nhân viên làm việc ở nhà thường sử dụng laptop kết nối tới cáp hay modem DSL qua điểm truy cập không dây riêng của họ.

Đáng tiếc, nhiều router không dây chẳng bao giờ được cấu hình an toàn.
Chúng chỉ đơn thuần được kết nối và bật lên sử dụng. Hãy hướng dẫn nhân
viên cách cấu hình router không dây, các máy tính WPA với một khoá
“tiền chia sẻ”, cách cấu hình tường lửa cá nhân và giải thích cho họ
biết tầm quan trọng của bảo mật mạng tại nhà.

Duy trì bảo mật mạng đòi hỏi luôn phải có sự cảnh giác nhất định. Duy
trì bảo mật mạng riêng ảo thậm chí còn phải cảnh giác hơn. Nhưng dựa
vào 10 mẹo trên bạn có thể ít phải đối mặt với các vấn đề liên quan đến
VPN hơn rất nhiều.


Theo Quan Tri Mang