Bảo mật hệ thống mạng đa nền tảng

Quản trị mạng - Hiện nay, những hệ thống mạng ngày càng chứa nhiều loại máy tính khác nhau (bao gồm nhiều loại phần cứng, phần mềm và hệ điều hành) là điều không còn mới lạ.

Những hệ thống mạng thuần ngày càng ít xuất hiện, nhiều công ty đã sử dụng miền Windows cho các máy chủ Web UNIX, được truy cập bởi các máy trạm sử dụng hệ điều hành Windows, Linux và Mac.

Ngoài ra, trong mạng còn có sự xuất hiện của nhiều loại điện thoại thông minh (như Windows Mobile, iPhone, Android, Symbian, …) cần tải mail hay truy cập vào các tài nguyên khác trên mạng. Trong những trường hợp đó chúng ta sẽ gặp rất nhiều khó khăn trong việc bảo mật cho mạng. Trong bài viết này chúng ta sẽ lên kế hoạch để bảo mật cho mạng đa nền tảng này.


Mô hình mạng đa nền tảng thông thường.

Những khó khăn bảo mật trong mạng đa nền tảng

Để những hệ thống sử dụng nhiều hệ điều hành khác nhau hoạt động ổn định không phải là một tác vụ đơn giản. Do đó, những gì thường được chú trọng trong mạng đa nền tảng không phải là bảo mật mà là làm thế nào để mạng này có thể vận hành. Khả năng chia sẻ đa nền tảng trở thành mục tiêu chính, những hạn định cho chia sẻ đó thường bị lãng quên hay bị loại bỏ.

Phần lớn những quản trị viên được đào tạo để quản trị một kiểu hệ thống cụ thể (Windows, UNIX, Mainframe, …). Trong khi đó bảo mật là một lĩnh vực nhạy cảm, chúng ta không chỉ cần những quản trị viên có thể cấu hình và quản lý nhiều kiểu hệ thống khác nhau trên mạng, mà còn cần những người được đào tạo bảo mật những loại hệ điều hành khác nhau này. Họ cần có những hiểu biết cơ bản về bảo mật và được các nhà cung cấp đào tạo. Có như vậy chúng ta mới khai thác hết được cơ chế bảo mật tích hợp của hệ điều hành, và biết được thời điểm nào nên sử dụng các công cụ nhóm ba là phù hợp.

Kết quả thu được phụ thuộc một phần vào thói quen bảo mật. Nếu một quản trị viên phải ghi nhớ nhiều thao tác và phương pháp khác nhau với từng loại thiết bị, thì luôn tồn tại những rủi ro nhất định dẫn đến hệ thống mạng sẽ xuất hiện điểm yếu. Đó là lí do tại sao hệ thống mạng hỗn hợp cần phải được quản trị bởi nhiều nhân viên chuyên trách cho mỗi loại hệ thống khác nhau, tuy nhiên, trong thực tế có rất ít công ty lưu ý tới điểm này, và bằng chứng là họ thường sử dụng rất ít, thậm chí là một nhân viên duy nhất làm công tác quản trị mạng.

Thống kế thành phần mạng

Trong nhiều môi trường IT, hệ thống mạng không được lên kế hoạch thiết kế cụ thể, mà thường chỉ là những hệ thống tự phát khi có nhu cầu sử dụng dẫn đến việc mua và triển khai các máy tính mới không tuân theo một trật tự nào. Nguyên tắc đầu tiên cần tuân thủ để bảo mật mạng là phải biết được chúng ta có những gì, do đó tiến trình kiểm kê phần mềm và phần cứng mạng không thể bỏ qua. Hiện có vô số công cụ giúp phát hiện và cung cấp thông tin về những thành phần trong mạng. Quan trọng nhất là phải sử dụng một công cụ có thể hỗ trợ cho mọi hệ điều hành trong mạng.

Những nền tảng thường bị bỏ qua (không được bảo mật) bao gồm những hệ điều hành vận hành trên laptop và điện thoại không thường xuyên kết nối tới mạng, cũng như những hệ điều hành vận hành hành trên máy ảo. Máy tính A có thể đang sử dụng Windows như hệ điều hành chính, nhưng nếu máy tính đó chứa một máy ảo Linux thì chúng ta sẽ phải coi hệ điều hành ảo đó như một máy tính khác trên mạng và áp dụng các biện pháp bảo mật phù hợp. Tương tự, cần nhớ rằng nhiều người dùng Mac và Linux cũng sử dụng Windows trên mội trường ảo hóa để vận hành những ứng dụng chỉ dành cho Windows. Ngoài ra có thể chúng ta cũng sử dụng máy tính với nhiều hệ điều hành, đặc biệt trong môi trường thử nghiệm và phát triển.

Một bản thống kê phải bao gồm mọi phần cứng và mọi phần mềm vận hành trên mạng cho dù một số thiết bị nào đó không thường xuyên kết nối tới mạng.

Cập nhật và/hoặc nâng cấp

Cho dù sử dụng hệ thống nào hay nền tảng nào đi nữa thì cũng không có gì đảm bảo rằng hệ thống đó là bất khả xâm phạm.

Thông thường khi nhắc đến Windows, người dùng thường coi đây là hệ thống “yếu nhất” và những hệ thống khác là “an toàn”. Tuy nhiên sự thật không hẳn như vậy, đó chỉ là do hệ điều hành Windows được nhiều người dùng sử dụng nên đây là “miếng mồi” hấp dẫn nhất với tin tặc. Điển hình như trường hợp của Linux, năm ngoái một lỗ hổng trong nhân được phát hiện trên hầu hết các phiên bản Linux cho phép tin tặc kiểm soát hoàn toàn hệ thống. Cũng trong năm ngoái, Apple đã phải phát hành một bản vá vá tổng cộng 67 lỗ hổng bảo mật trong Mac OS X và ứng dụng trình duyệt Safari, chưa kể một lỗ hổng nguy hiểm trong Java bị bỏ xót.

Do đó không chỉ cần sử dụng các bản cập nhật của Windows mà cần phải chú ý tới các bản cập nhật của UNIX/Linux và Mac khi chúng được phát hành.

Một yếu tố quan trọng khác nữa cần xét đến đó là trong hầu hết trường hợp, những phiên bản hệ điều hành mới luôn bảo mật hơn so với các phiên bản trước đó dù đã được vá hoàn toàn. Ví dụ, Windows 7 và Windows Vista tích hợp một số cơ chế bảo mật như UAC, chế độ bảo mật cho IE, công cụ mã hóa ổ đĩa BitLocker, … mà Windows XP không có. Phiên bản Mac OS X mới nhất tích hợp công cụ phát hiện malware. Phiên bản mới nhất của OpenSUSE hỗ trợ công nghệ TPM (Trusted Platform Module). Trong nhiều trường hợp, quá trình nâng cấp lên phiên bản mới của bất kì hệ điều hành nào cũng giúp tăng cường bảo mật.

Điều này cũng đúng với những hệ điều hành dành cho điện thoại di động. Ví dụ, dòng máy iPhone mới tích hợp những tính năng bảo mật mạnh hơn, như hỗ trợ mật khẩu mạnh sử dụng các kí tự chữ cái, số và các kí tự dạng biểu tượng, và khả năng xóa dữ liệu từ xa mà phiên bản iPhone nguyên bản không được tích hợp.

Lưu ý: Dòng máy iPhone vẫn tồn tại một số vấn đề bảo mật trong môi trường doanh nghiệp, vì nó chỉ có thể triển khai những chính sách bảo mật hiện có của Exchange và iTunes được cài đặt sẵn.





Những nguyên tắc cơ bản bảo mật mạng đa nền tảng

Dưới đây là một số nguyên tắc cần chú ý khi áp dụng biện pháp bảo mật cho mạng đa nền tảng:

1. Bảo mật các thiết bị tại biên bằng một hệ thống tường lửa đáng tin cậy, và một hệ thống phát hiện/ngăn chặn xâm nhập.

2. Sử dụng phần mềm diệt virus và ngăn ngừa malware (trên mọi hệ thống) và cập nhật thường xuyên.

3. Triển khai công cụ giám sát/kiểm định bảo mật để phát hiện lỗ hổng phát sinh.

4. Tắt bỏ những dịch vụ không cần thiết để gia cố hệ thống.

5. Đóng những cổng không sử dụng đến.

6. Giới hạn truy cập vật lý vào hệ thống.

7. Chỉ phân quyền truy cập quản trị cho những người dùng thật sự cần. Trên hệ thống UNIX, giới hạn quyền truy cấp gốc để bảo mật thiết bị cuối.

8. Triển khai giấy phép cấp độ file. Trên hệ thống UNIX, phân vùng file hệ thống và sử dụng những phân vùng chỉ đọc để lưu trữ dữ liệu không thường xuyên cập nhật, đồng thời sử dụng ACL (Access Control List – Danh sách kiểm soát truy cập) cho tiến trình quản lý giấy phép phức tạp.

9. Trên những hệ thống UNIX, giới hạn những tiến trình truy cập trên file hệ thống bằng lệnh ulimit và chroot.

10. Triển khai sử dụng những chính sách mật khẩu mạnh.

11. Trong những môi trường bảo mật mạnh, cần áp dụng thẩm định quyền hai yếu tố.

12. Trên hệ thống UNIX, sử dụng SSH (Secure Shell) cho những truy cập từ xa bằng lệnh.

13. Sử dụng các công cụ mã hóa để bảo vệ ổ đĩa, bảo vệ dữ liệu qua mạng, bảo vệ hệ điều hành khỏi những truy cập trái phép.

14. Triển khai một cấu trúc Public Key để phát hành giấy phép số.

Sử dụng công cụ đánh giá bảo mật

Một công cụ đánh giá bảo mật nhóm ba rất hữu dụng trong việc đánh giá và chỉ dẫn trong khi triển khai các biện pháp bảo mật trong một mạng phức tạp, đặc biệt nó còn hữu dụng hơn rất nhiều trong mạng đa nền tảng. Một công ty sử dụng công cụ đánh giá bảo mật cho hệ thống mạng sẽ giúp cho nhân viên dễ dàng kiểm tra nhiều kiểu hệ thống khác nhau để tìm ra điểm yếu và biện pháp khắc phục mà quản trị hệ thống không kiểm soát hết được.


Công cụ kiểm định bảo mật mạng Wifi EWSAProject.

Những công cụ này có thể tiến hành những cuộc thâm nhập thử nghiệm để phát hiện vị trí lỗ hổng đồng thời đề xuất giải pháp tối ưu để khắc phục.

Kết luận

Hệ thống mạng đa nền tảng luôn tồn tại ít nhiều vấn đề bảo mật, tuy nhiên, những hệ thống mạng này ngày càng trở nên phổ biến, vì vậy biết được nguyên lý bảo mật của mạng này sẽ giúp cho công việc của quản trị viên được thực hiện một cách thuận lợi. Cần nhớ rằng những nguyên tắc bảo mật cơ bản cần áp dụng cho mọi nền tảng, nhưng cần phải có phương pháp áp dụng riêng trên mội hệ điều hành khác nhau.
Thứ Năm, 10/12/2009 15:16
31 👨 1.632
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp