8 cách tăng cường an ninh mạng có dây

Những biện pháp phòng ngừa cơ bản nhằm đảm bảo an ninh cho cho mạng có dây trong tổ chức, doanh nghiệp



Nhiều lúc, chúng ta đã quá tập trung vào xây dựng tính bảo mật cho mạng không dây, bởi Wi-Fi hoàn toàn không có các loại rào cản vật lý. Đó là điều đúng đắn, bởi một kẻ tấn công, hay thậm chí là người hàng xóm muốn xài Wi-Fi "chùa" hoàn toàn có thể dò ra SSID mạng không dây của bạn và lẩn lút bẻ khóa ở một xó nào đó cách xa bạn hàng chục mét.
Nhưng trong một thế giới của các mối đe dọa từ bên trong, tin tặc có thể sử dụng các kỹ thuật xã hội để truy cập vật lý vào mạng doanh nghiệp. Vào lúc đó, sự an toàn của mạng có dây cũng là vấn đề hàng đầu mà bạn cần chú ý đến.
Trong bài viết này sẽ hướng dẫn bạn một số biện pháp an toàn cơ bản. Bạn hoàn toàn có thể ứng dụng những thực hành này vào cơ sở mạng có dây của mình, bất kể là ở nhà, doanh nghiệp nhỏ hay công ty lớn.


1. Thực hiện đánh giá và lập bản đồ mạng
Nếu gần đây bạn chưa làm việc đánh giá lại và lập bản đồ mạng không dây của mình, hãy dành thời gian sớm nhất có thể để thực hiện nó. Hãy luôn luôn có sự hiểu biết rõ ràng về cơ sở hạ tầng toàn bộ mạng - như các nhà cung cấp, model thiết bị, vị trí và cấu hình cơ bản của tường lửa, thiết bị định tuyến, chuyển mạch, cáp Ethernet và cổng, các điểm truy cập không dây. Cộng với việc biết chính xác các máy chủ, máy tính, máy in, và các thiết bị khác được kết nối, nơi chúng được kết nối, và đường dẫn kết nối của chúng trên toàn mạng.
Trong việc đánh giá và lập bản đồ, bạn có thể tìm thấy lỗ hổng bảo mật cụ thể hoặc cách thức mà bạn có thể tăng cường an ninh, hiệu suất và độ tin cậy. Bạn sẽ có thể nhận ra rằng hạ tầng mạng đang chạy trên một cấu hình tường lửa không chính xác hoặc, có thể, là các mối đe dọa an ninh vật lý.




Nếu bạn đang làm việc với một mạng nhỏ chỉ với một vài thành phần mạng và hàng chục (hoặc ít hơn) các máy trạm, bạn chỉ có thể tự thực hiện việc đánh giá và tạo bản đồ trực quan trên giấy. Đối với các mạng lớn hơn, bạn hãy cậy nhờ các chương trình đánh giá và lập bản đồ hữu ích. Chúng có thể tự động quét toàn bộ mạng để vẽ ra bản đồ mạng.
Bản đồ mạng sẽ giúp bạn hiểu biết rõ ràng về cơ sở hạ tầng toàn bộ mạng - như các nhà cung cấp, model thiết bị, vị trí và cấu hình cơ bản của tường lửa, thiết bị định tuyến, chuyển mạch, cáp Ethernet và cổng, các điểm truy cập không dây.


2. Giữ cho mạng luôn được cập nhật
Một khi đã hoàn thành công đoạn đánh giá mạng cơ bản và và vẽ bản đồ hoàn chỉnh, hãy nghiên cứu sâu hơn về hệ thống. Hãy kiểm tra phần mềm hoặc cập nhật phần mềm trên tất cả các thành phần cơ sở hạ tầng mạng. Đăng nhập vào từng thành phần để đảm bảo mật khẩu mặc định đã được thay đổi, xem xét lại các thiết lập cho bất kỳ cấu hình không an toàn nào, và tìm hiểu về các tính năng hoặc chức năng bảo mật khác mà bạn đang không sử dụng .
Tiếp theo hãy "chăm sóc" tất cả các máy tính và các thiết bị kết nối vào mạng. Đảm bảo những điều cơ bản của việc bảo vệ máy tính, chẳng hạn như cập nhật hệ điều hành, tường lửa cá nhân đang hoạt động tốt, phần mềm chống virus cập nhật mới nhất và thiết lập mật khẩu đăng nhập máy.


3. Đảm bảo tính an toàn vật lý
Mặc dù thường bị bỏ qua hoặc giảm thiểu, tính an ninh vật lý của hạ tầng mạng có dây cũng quan trọng như bất cứ thứ tường lửa nào bạn dựng nên. Cũng như việc bạn cần tự bảo vệ mình chống lại tin tặc, bot và virus, những mối đe dọa từ trong nội bộ cũng là thứ bạn cần phải lưu tâm đến rất nhiều.
Nếu không có các rào cản vật lý mạnh mẽ từ bản thân cơ sở mạng, hacker hoặc thậm chí nhân viên của chính công ty có thể tận dụng nó làm lợi thế. Ví dụ, họ có thể cắm một router không dây vào cổng Ethernet mở, tạo cho họ hoặc bất cứ ai khác một cổng truy cập không dây vào mạng của bạn. Nhưng nếu đó là cổng Ethernet được giấu đi, hoặc ít nhất là bị ngắt kết nối, thì những chuyện như thế sẽ không thể xảy ra.
Hãy đảm bảo rằng công ty bạn được đảm bảo an ninh tại chỗ để ngăn chặn người ngoài xâm nhập vào. Sau đó đảm bảo tất cả các tủ dây và những thành phần cơ sở hạ tầng mạng khác đã được bảo đảm an toàn vật lý đối với người ngoài và cả nhân viên. Sử dụng cửa và ổ khóa tủ. Hãy xác định rằng cáp Ethernet được dấu kín và không dễ dàng truy cập, cũng như vậy đối với các điểm truy cập không dây. Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt là những cổng ở khu vực công cộng của tòa nhà.


4. Xem xét lọc địa chỉ MAC
Một vấn đề an ninh chính của mạng có dây là thiếu sự xác thực nhanh chóng và dễ dàng, hoặc các phương pháp mã hóa; mọi người đều có thể cắm dây mạng vào và sử dụng. Về phía mạng không dây, ít nhất, bạn cũng có phương án mã hóa bảo mật WPA2-Personal (PSK) rất dễ triển khai.
Mặc dù việc lọc địa chỉ MAC có thể bị vượt qua bởi một hacker, nó vẫn có thể phục vụ như là lớp đầu tiên của hệ thống an ninh. Không hoàn toàn ngăn chặn được hacker, nhưng nó có thể giúp bạn ngăn ngừa việc các nhân viên của mình vô tình gây ra lỗ hổng bảo mật nghiêm trọng - ví dụ như cho phép khách hàng có thể cắm cáp vào để sử dụng mạng riêng. Việc này cũng giúp bạn kiểm soát nhiều hơn các thiết bị đang hoạt động trên mạng. Khi sử dụng phương thức này, hãy luôn đảm bảo danh sách địa chỉ MAC được cấp quyền luôn được cập nhật.



5. Sử dụng VLAN để chia luồng băng thông
Nếu bạn đang làm việc với một mạng lưới nhỏ hơn mà vẫn chưa được tách ra thành các mạng VLAN (mạng LAN ảo), hãy xem xét việc thay đổi nó. Bạn có thể sử dụng VLAN vào nhóm cổng Ethernet, các điểm truy cập không dây, và người dùng trong nhiều mạng ảo.
Có thể sử dụng VLAN để tách mạng bằng các loại hình lưu thông dữ liệu (truy cập chung, VoIP, SAN, DMZ. VLAN đặc biệt hữu ích khi cấu hình động (dynamic). Ví dụ, bạn có thể cắm vào máy tính xách tay của bạn bất cứ nơi nào trên mạng hoặc thông qua Wi-Fi và tự động được đưa vào VLAN được chỉ định. Điều này có thể thực hiện được thông qua việc gắn thẻ địa chỉ MAC, hoặc thông quan một lựa chọn an toàn hơn: xác thực 802.1X.
Để sử dụng VLAN, bộ định tuyến và chuyển mạch của bạn phải hỗ trợ nó: Hãy tìm thông số hỗ trợ IEEE 802.1Q trong thông số kỹ thuật sản phẩm. Đối với các điểm truy cập không dây, bạn có thể sẽ muốn thiết bị có hỗ trợ cả việc gắn thẻ VLAN và nhiều SSID. Với nhiều SSID bạn sẽ có khả năng cung cấp nhiều mạng WLAN ảo có thể được gán cho một VLAN nào đó.



6. Sử dụng mã xác thực 802.1X
Xác thực và mã hóa ở mạng có dây của thường bị bỏ qua do sự phức tạp của nó. Tuy nhiên, hãy luôn nhớ phải mã hóa mạng không dây và đừng quên chăm sóc tốt cho mạng có dây. Bởi hacker có thể có thể cắm thiết bị vào mạng của bạn và khi đó, không có gì có thể ngăn cản được họ gửi hoặc nhận dữ liệu.
Mặc dù triển khai xác thực 802.1X sẽ không mã hóa lưu lượng truy cập Ethernet, nhưng ít nhất nó cũng ngăn chặn tin tặc gửi đi từ trên mạng hoặc truy cập bất kỳ tài nguyên nào cho đến khi họ cung cấp được thông tin đăng nhập. Bạn cũng có thể sử dụng xác thực trên mạng không dây, để thực hiện bảo mật WPA2 cấp doanh nghiệp với mã hóa AES - phương pháp này cao cấp hơn sử dụng mã hóa cá nhân của WPA2.
Một lợi ích lớn nữa của xác thực 802.1X là khả năng tự động phân chia người dùng VLAN.


7. Sử dụng VPN để mã hóa PC hoặc máy chủ được chọn
Nếu bạn đang thực sự tìm kiếm giải pháp để bảo đảm an ninh băng thông, hãy xem xét sử dụng mã hóa. Hãy luôn nhớ rằng, ngay cả với VLAN và xác thực 802.1X, kẻ tấn công vẫn có thể "soi" vào mạng VLAN để nắm bắt lưu lượng truy cập không được mã hóa - có thể bao gồm cả mật khẩu, email và tài liệu.
Mặc dù bạn có thể mã hóa tất cả lưu lượng truy cập, nhưng đầu tiên hãy tự phân tích mạng của mình. Có thể sẽ có ý nghĩa hơn khi lựa chọn mã hóa một số thông tin mà bạn cho là nhạy cảm nhất. Bạn có thể đưa lưu lượng thông tin nhạy cảm này thông qua một VPN tiêu chuẩn của đối tác, có thể được sử dụng chỉ trong các giao tiếp nhạy cảm hoặc buộc phải sử dụng toàn thời gian.


8 cách tăng cường an ninh mạng có dây


8. Mã hóa toàn bộ mạng
Bạn cũng có thể mã hóa toàn bộ một mạng. Một lựa chọn cho phương án này là IPsec. Windows Server có thể phục vụ như máy chủ IPsec, và máy khách cũng phải có khả năng tương thích và hỗ trợ Windows. Tuy nhiên, quá trình mã hóa có thể là một gánh nặng của toàn mạng lưới; hiệu quả làm việc có thể giảm đáng kể. Ngoài ra còn có các giải pháp mã hóa mạng độc quyền từ các nhà cung cấp mạng, khá nhiều trong số đó sử dụng phương pháp tiếp cận lớp 2 thay vì lớp 3 như IPsec để giúp giảm độ trễ và chi phí.


PC World VN, 05/2014









8 cach tang cuong an ninh mang co day


Nhung bien phap phong ngua co ban nham dam bao an ninh cho cho mang co day trong to chuc, doanh nghiep



Nhieu lúc, chúng ta dã quá tap trung vào xây dung tính bao mat cho mang không dây, boi Wi-Fi hoàn toàn không có các loai rào can vat lý. Dó là dieu dúng dan, boi mot ke tan công, hay tham chí là nguoi hàng xóm muon xài Wi-Fi "chùa" hoàn toàn có the dò ra SSID mang không dây cua ban và lan lút be khóa o mot xó nào dó cách xa ban hàng chuc mét.
Nhung trong mot the gioi cua các moi de doa tu bên trong, tin tac có the su dung các ky thuat xã hoi de truy cap vat lý vào mang doanh nghiep. Vào lúc dó, su an toàn cua mang có dây cung là van de hàng dau mà ban can chú ý den.
Trong bài viet này se huong dan ban mot so bien pháp an toàn co ban. Ban hoàn toàn có the ung dung nhung thuc hành này vào co so mang có dây cua mình, bat ke là o nhà, doanh nghiep nho hay công ty lon.


1. Thuc hien dánh giá và lap ban do mang
Neu gan dây ban chua làm viec dánh giá lai và lap ban do mang không dây cua mình, hãy dành thoi gian som nhat có the de thuc hien nó. Hãy luôn luôn có su hieu biet rõ ràng ve co so ha tang toàn bo mang - nhu các nhà cung cap, model thiet bi, vi trí và cau hình co ban cua tuong lua, thiet bi dinh tuyen, chuyen mach, cáp Ethernet và cong, các diem truy cap không dây. Cong voi viec biet chính xác các máy chu, máy tính, máy in, và các thiet bi khác duoc ket noi, noi chúng duoc ket noi, và duong dan ket noi cua chúng trên toàn mang.
Trong viec dánh giá và lap ban do, ban có the tìm thay lo hong bao mat cu the hoac cách thuc mà ban có the tang cuong an ninh, hieu suat và do tin cay. Ban se có the nhan ra rang ha tang mang dang chay trên mot cau hình tuong lua không chính xác hoac, có the, là các moi de doa an ninh vat lý.




Neu ban dang làm viec voi mot mang nho chi voi mot vài thành phan mang và hàng chuc (hoac ít hon) các máy tram, ban chi có the tu thuc hien viec dánh giá và tao ban do truc quan trên giay. Doi voi các mang lon hon, ban hãy cay nho các chuong trình dánh giá và lap ban do huu ích. Chúng có the tu dong quét toàn bo mang de ve ra ban do mang.
Ban do mang se giúp ban hieu biet rõ ràng ve co so ha tang toàn bo mang - nhu các nhà cung cap, model thiet bi, vi trí và cau hình co ban cua tuong lua, thiet bi dinh tuyen, chuyen mach, cáp Ethernet và cong, các diem truy cap không dây.


2. Giu cho mang luôn duoc cap nhat
Mot khi dã hoàn thành công doan dánh giá mang co ban và và ve ban do hoàn chinh, hãy nghiên cuu sâu hon ve he thong. Hãy kiem tra phan mem hoac cap nhat phan mem trên tat ca các thành phan co so ha tang mang. Dang nhap vào tung thành phan de dam bao mat khau mac dinh dã duoc thay doi, xem xét lai các thiet lap cho bat ky cau hình không an toàn nào, và tìm hieu ve các tính nang hoac chuc nang bao mat khác mà ban dang không su dung .
Tiep theo hãy "cham sóc" tat ca các máy tính và các thiet bi ket noi vào mang. Dam bao nhung dieu co ban cua viec bao ve máy tính, chang han nhu cap nhat he dieu hành, tuong lua cá nhân dang hoat dong tot, phan mem chong virus cap nhat moi nhat và thiet lap mat khau dang nhap máy.


3. Dam bao tính an toàn vat lý
Mac dù thuong bi bo qua hoac giam thieu, tính an ninh vat lý cua ha tang mang có dây cung quan trong nhu bat cu thu tuong lua nào ban dung nên. Cung nhu viec ban can tu bao ve mình chong lai tin tac, bot và virus, nhung moi de doa tu trong noi bo cung là thu ban can phai luu tâm den rat nhieu.
Neu không có các rào can vat lý manh me tu ban thân co so mang, hacker hoac tham chí nhân viên cua chính công ty có the tan dung nó làm loi the. Ví du, ho có the cam mot router không dây vào cong Ethernet mo, tao cho ho hoac bat cu ai khác mot cong truy cap không dây vào mang cua ban. Nhung neu dó là cong Ethernet duoc giau di, hoac ít nhat là bi ngat ket noi, thì nhung chuyen nhu the se không the xay ra.
Hãy dam bao rang công ty ban duoc dam bao an ninh tai cho de ngan chan nguoi ngoài xâm nhap vào. Sau dó dam bao tat ca các tu dây và nhung thành phan co so ha tang mang khác dã duoc bao dam an toàn vat lý doi voi nguoi ngoài và ca nhân viên. Su dung cua và o khóa tu. Hãy xác dinh rang cáp Ethernet duoc dau kín và không de dàng truy cap, cung nhu vay doi voi các diem truy cap không dây. Ngat ket noi cong Ethernet không su dung, dac biet là nhung cong o khu vuc công cong cua tòa nhà.


4. Xem xét loc dia chi MAC
Mot van de an ninh chính cua mang có dây là thieu su xác thuc nhanh chóng và de dàng, hoac các phuong pháp mã hóa; moi nguoi deu có the cam dây mang vào và su dung. Ve phía mang không dây, ít nhat, ban cung có phuong án mã hóa bao mat WPA2-Personal (PSK) rat de trien khai.
Mac dù viec loc dia chi MAC có the bi vuot qua boi mot hacker, nó van có the phuc vu nhu là lop dau tiên cua he thong an ninh. Không hoàn toàn ngan chan duoc hacker, nhung nó có the giúp ban ngan ngua viec các nhân viên cua mình vô tình gây ra lo hong bao mat nghiêm trong - ví du nhu cho phép khách hàng có the cam cáp vào de su dung mang riêng. Viec này cung giúp ban kiem soát nhieu hon các thiet bi dang hoat dong trên mang. Khi su dung phuong thuc này, hãy luôn dam bao danh sách dia chi MAC duoc cap quyen luôn duoc cap nhat.



5. Su dung VLAN de chia luong bang thông
Neu ban dang làm viec voi mot mang luoi nho hon mà van chua duoc tách ra thành các mang VLAN (mang LAN ao), hãy xem xét viec thay doi nó. Ban có the su dung VLAN vào nhóm cong Ethernet, các diem truy cap không dây, và nguoi dùng trong nhieu mang ao.
Có the su dung VLAN de tách mang bang các loai hình luu thông du lieu (truy cap chung, VoIP, SAN, DMZ. VLAN dac biet huu ích khi cau hình dong (dynamic). Ví du, ban có the cam vào máy tính xách tay cua ban bat cu noi nào trên mang hoac thông qua Wi-Fi và tu dong duoc dua vào VLAN duoc chi dinh. Dieu này có the thuc hien duoc thông qua viec gan the dia chi MAC, hoac thông quan mot lua chon an toàn hon: xác thuc 802.1X.
De su dung VLAN, bo dinh tuyen và chuyen mach cua ban phai ho tro nó: Hãy tìm thông so ho tro IEEE 802.1Q trong thông so ky thuat san pham. Doi voi các diem truy cap không dây, ban có the se muon thiet bi có ho tro ca viec gan the VLAN và nhieu SSID. Voi nhieu SSID ban se có kha nang cung cap nhieu mang WLAN ao có the duoc gán cho mot VLAN nào dó.



6. Su dung mã xác thuc 802.1X
Xác thuc và mã hóa o mang có dây cua thuong bi bo qua do su phuc tap cua nó. Tuy nhiên, hãy luôn nho phai mã hóa mang không dây và dung quên cham sóc tot cho mang có dây. Boi hacker có the có the cam thiet bi vào mang cua ban và khi dó, không có gì có the ngan can duoc ho gui hoac nhan du lieu.
Mac dù trien khai xác thuc 802.1X se không mã hóa luu luong truy cap Ethernet, nhung ít nhat nó cung ngan chan tin tac gui di tu trên mang hoac truy cap bat ky tài nguyên nào cho den khi ho cung cap duoc thông tin dang nhap. Ban cung có the su dung xác thuc trên mang không dây, de thuc hien bao mat WPA2 cap doanh nghiep voi mã hóa AES - phuong pháp này cao cap hon su dung mã hóa cá nhân cua WPA2.
Mot loi ích lon nua cua xác thuc 802.1X là kha nang tu dong phân chia nguoi dùng VLAN.


7. Su dung VPN de mã hóa PC hoac máy chu duoc chon
Neu ban dang thuc su tìm kiem giai pháp de bao dam an ninh bang thông, hãy xem xét su dung mã hóa. Hãy luôn nho rang, ngay ca voi VLAN và xác thuc 802.1X, ke tan công van có the "soi" vào mang VLAN de nam bat luu luong truy cap không duoc mã hóa - có the bao gom ca mat khau, email và tài lieu.
Mac dù ban có the mã hóa tat ca luu luong truy cap, nhung dau tiên hãy tu phân tích mang cua mình. Có the se có ý nghia hon khi lua chon mã hóa mot so thông tin mà ban cho là nhay cam nhat. Ban có the dua luu luong thông tin nhay cam này thông qua mot VPN tiêu chuan cua doi tác, có the duoc su dung chi trong các giao tiep nhay cam hoac buoc phai su dung toàn thoi gian.


8 cach tang cuong an ninh mang co day


8. Mã hóa toàn bo mang
Ban cung có the mã hóa toàn bo mot mang. Mot lua chon cho phuong án này là IPsec. Windows Server có the phuc vu nhu máy chu IPsec, và máy khách cung phai có kha nang tuong thích và ho tro Windows. Tuy nhiên, quá trình mã hóa có the là mot gánh nang cua toàn mang luoi; hieu qua làm viec có the giam dáng ke. Ngoài ra còn có các giai pháp mã hóa mang doc quyen tu các nhà cung cap mang, khá nhieu trong so dó su dung phuong pháp tiep can lop 2 thay vì lop 3 nhu IPsec de giúp giam do tre và chi phí.


PC World VN, 05/2014


8 cách tăng cường an ninh mạng có dây

Những biện pháp phòng ngừa cơ bản nhằm đảm bảo an ninh cho cho mạng có dây trong tổ chức, doanh nghiệp
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá