10 lỗi thiết kế bảo mật mạng thường gặp

Có thể cho rằng bảo mật mạng là một trong những chức năng quan trọng nhất của CNTT. Tuy nhiên đôi khi chúng ta lại bắt gặp một số tổ chức bỏ sót những thao tác thiết kế bảo mật tuy đơn giản nhưng lại rất cần thiết. Vậy những lỗi mà các công ty này mắc phải là gì, trong bài này chúng tôi sẽ giới thiệu cho các bạn một số lỗi thường gặp phải và hậu quả của nó là có thể gây ra sự thỏa hiệp cho mạng của bạn cũng như đặt công ty...
Nội dung trích xuất từ tài liệu:
10 lỗi thiết kế bảo mật mạng thường gặp10 lỗi thiết kế bảo mật mạng thường gặp Quản trị mạng – Có thể cho rằng bảo mật mạng là một trong những chức năng quan trọng nhất của CNTT. Tuynhiên đôi khi chúng ta lại bắt gặp một số tổ chức bỏ sótnhững thao tác thiết kế bảo mật tuy đơn giản nhưng lại rất cầnthiết. Vậy những lỗi mà các công ty này mắc phải là gì, trongbài này chúng tôi sẽ giới thiệu cho các bạn một số lỗi thườnggặp phải và hậu quả của nó là có thể gây ra sự thỏa hiệp chomạng của bạn cũng như đặt công ty rơi vào tình trạng rủi rocao.1. Thiết lập nhưng sau đó bỏ quênLỗi đầu tiên mà chúng tôi muốn chỉ ra cho các bạn là việc lậpkế hoạch. Nó liên quan đến những gì mà chúng ta có thể môtả qua cụm từ “thiết lập nhưng sau đó bỏ quên”. Đây lànhững gì xảy ra khi các tổ chức chỉ chuyên tâm vào việc bảovệ các mạng của họ mà quên đánh giá lại các kế hoạch bảomật. Những hiểm họa đối với vấn đề bảo mật thường thay đổinhanh do đó kiến trúc bảo mật của bạn cũng cần phải thay đổitheo sao cho phù hợp. Cách tốt nhất để thực hiện điều này làphải đánh giá lại những nhu cầu bảo mật của công ty theo mộtcơ sở nào đó.2. Mở quá nhiều cổng tường lửa so với cần thiếtTất cả chúng ta đều biết rằng, việc mở nhiều cổng quá mứccần thiết sẽ có nhiều tác hại, tuy nhiên đôi khi việc mở cổnglà không thể tránh khỏi. Cho ví dụ, lấy một máy chủMicrosoft Office Communications Server 2007 R2. Nếu bạnđang lên kế hoạch để cung cấp sự truy cập bên ngoài, khi đómột số cổng cần phải được mở. Thêm vào đó OCS 2007 R2sẽ gán một dải rộng các cổng mang tính động. Vậy các quảntrị viên bảo mật cần làm gì trong trường hợp này?Một trong những giải pháp tốt nhất là sử dụng một reverseproxy (ví dụ như ForeFront Threat Management Gatewaycủa Microsoft). Một reverse proxy sẽ đứng giữa Internet vàmáy chủ yêu cầu mở nhiều cổng khác nhau. Khi không thấyđược nhu cầu cần thiết mở cổng, reverse proxy có thể chặn vàlọc các yêu cầu, sau đó chuyển chúng máy chủ mà chúngđược dự định gửi đến. Điều này sẽ làm ẩn máy chủ đối vớithế giới bên ngoài và giúp bảo vệ mạng của bạn tránh đượccác yêu cầu mã độc.3. Hoạt động quá công suấtVới hiện trạng nền kinh tế thế giới đang suy thoái, sức ép đốivới các tài nguyên máy chủ đang tồn tại ngày càng tăng. Mộtmáy chủ có thể phải cấu hình nhiều ứng dụng cũng như nhiềurole ứng dụng. Tuy cách thức tiến hành này không tồi nhưngcó một vấn đề mà chúng ta cần biết là khi kích thước của mãứng dụng tăng thì nguy cơ xuất hiện các lỗ hổng có khả năngkhai thác cũng tăng lên.Việc sử chỉ sử dụng một máy chủ chuyên dụng cho một ứngdụng là không thực tế, bạn cần phải quan tâm về các ứngdụng nào hoặc các role ứng dụng nào nên được cấu hình trênmột máy chủ riêng. Cho ví dụ, để giảm tối thiểu, một máychủ Exchange 2007 yêu cầu đến ba server roles (hubtransport, client access và mailbox server). Tuy bạn có thểhost tất cả ba role này trên cùng một máy chủ nhưng nêntránh thực hiện điều đó nếu cung cấp Outlook Web Accesscho người dùng bên ngoài. Client Access Server role sẽ cóhiệu lực cho IIS trong việc cấu hình Outlook Web Access.Chính vì vậy, nếu đặt client access server role trên cùng máychủ như hub transport và mailbox server roles của mình thìchắc chắn bạn sẽ phơi bày cơ sở dữ liệu mailbox của mìnhtrên Internet.4. Bỏ qua các máy trạmCó người hỏi rằng, mối đe dọa lớn nhất đối với bảo mật mạnglà gì. Câu trả lời của chúng tôi ở đây chính là các máy trạm(workstation). Chúng ta có thể thấy được rất nhiều tổ chức lỗnực trong việc bảo mật mạng nhưng thực tế lại bỏ quên mấtcác máy trạm của họ. Trừ khi các máy trạm được bảo vệ mộtcách tuyệt đối an toàn, bằng không người dùng (hoặc cácwebsite mã độc) vẫn có thể cài đặt các phần mềm trái phépmà bạn không hề hay biết.5. Thất bại trong việc sử dụng mã hóa SSL ở nơi cần thiếtMột website cần phải sử dụng mã hóa SSL bất cứ thời điểmnào để bảo vệ những thông tin nhạy cảm mà người dùng đangnhập vào, chẳng hạn như username và password hoặc số thẻtín dụng. Mặc dù vậy, nhiều tổ chức vẫn đưa ra những quyếtđịnh không thích hợp trong quá trình bảo vệ các cổng điện tửcủa mình. Lỗi bảo mật ở đây chính là các nội dung không antoàn trên một trang web an toàn. Khi xảy ra điều này, ngườidùng sẽ nhận một nhắc nhở yêu cầu xem liệu họ có muốnhiển thị cả nội dung an toàn và không an toàn hay không. Vấnđề này sẽ làm cho người dùng có thói quen cho phép InternetExplorer cung cấp những nội dung không an toàn.Một vấn đề kém nhận biết hơn nhưng lại rất điển hình đó làcác tổ chức thường thất bại trong việc mã hóa các trang quantrọng bên trong website của họ. Theo quan điểm của chúngtôi, bất cứ trang nào cung cấp các thông tin quan trọng, lờikhuyên bảo mật hoặc các thông tin liên hệ đều cần được mãhóa SSL. Tuy nhiên điều đó không có ...