Bảo mật mạng doanh nghiệp nhỏ - Phần I

Trong công ty, chúng tôi tự phong cho mình chức “quản trị mạng”. Bởi vì ngoài việc giấy tờ sổ sách, vốn là việc dĩ nhiên của một thư ký văn phòng, chúng tôi còn làm đủ mọi việc từ thổi bụi trong máy vi tính cho đến lắp ráp và cấu hình domain controller, tóm lại là thiết lập, bảo trì và phát triển mạng máy tính của công ty. Các doanh nghiệp nhỏ, vốn dĩ chỉ với vài chiếc (hoặc cùng lắm vài chục) máy vi tính, không bao giờ có ngân sách chi cho nhân lực tin...
Nội dung trích xuất từ tài liệu:
Bảo mật mạng doanh nghiệp nhỏ - Phần IBảo mật mạng doanhnghiệp nhỏ - Phần IMở đầuTrong công ty, chúng tôi tự phong cho mình chức “quản trịmạng”. Bởi vì ngoài việc giấy tờ sổ sách, vốn là việc dĩ nhiêncủa một thư ký văn phòng, chúng tôi còn làm đủ mọi việc từthổi bụi trong máy vi tính cho đến lắp ráp và cấu hình domaincontroller, tóm lại là thiết lập, bảo trì và phát triển mạng máytính của công ty.Các doanh nghiệp nhỏ, vốn dĩ chỉ với vài chiếc (hoặc cùng lắmvài chục) máy vi tính, không bao giờ có ngân sách chi chonhân lực tin học, thường giao luôn chức quản trị mạng cho mộtvài nhân viên nào đó kiêm nhiệm. Qua bài này, chúng tôi muốnchia xẻ những kiến thức tự học hỏi mấy năm nay cho nhữngbạn đồng nghiệp ở trong hoàn cảnh bất đắc dĩ giống như chúngtôi, đang ngày ngày lặng lẽ thực hiện nhiệm vụ hữu thực vôdanh này.Phù hợp với mục đích của HVA, bài này chỉ giới hạn về bảomật. Cụ thể là giới thiệu vài giải pháp và trình bày một giảipháp được chọn cho từng vấn đề trong số (dự kiến) năm vấn đềsau đây:Q1. Cấu hình an ninh (security profile)Q2. Kiểm soát truy nhập (access control)Q3. Mật mã (crypto) cho đĩa cứngQ4. Sao lưu (backup) dữ liệuQ5. Kiểm soát nội dung (contents checking)Những giải pháp đã chọn nói chung đều có thể áp dụng cho cảhai loại mạng Windows domain (miền Windows) và Windowsworkgroup (nhóm Windows). Hai loại mạng này có thể xem làhai giải pháp cho một vấn đề thoạt nhìn không liên quan lắmđến bảo mật, xin tạm gọi là vấn đề “Windows: domain vsworkgroup” hoặc “cấu hình phần mềm mạng”. Lựa chọn giảipháp của chúng tôi là domain và chúng tôi muốn, hơi lạc đềmột chút, lý giải sự lựa chọn này. Giả sử mạng của chúng tôicó 10 máy vi tính và 20 người dùng, ai cũng có lúc cần máy,một số người có khi còn chiếm đồng thời 2-3 chiếc. Hơn nữa,người dùng còn thường logon qua mạng vào những máy xa đểtruy cập dữ liệu chia xẻ trên đó. Vì thế, chúng tôi quy ướckhông ai được phân máy riêng, tất cả máy đều dùng chung.Nếu dùng workgroup, trên mỗi máy chúng tôi phải tạo lập 20accounts và mỗi người dùng trong công ty có tới 10 accounts,nhưng cùng tên và mật khẩu để tự động logon vào máy xa. Vìlý do bảo mật, cứ ba tháng một lần, người dùng phải thay đổimật khẩu và tất nhiên là phải đổi trên cả 10 máy. Nếu vì đãngtrí khi đổi mật khẩu, người dùng không thể logon được vàomáy xa thì mọi tội lỗi vẫn đổ hết lên đầu người quản trị mạng.Thật là một cơn ác mộng (mà thật ra chúng tôi không mơ,chúng tôi đã thực tế trải qua rồi). Trong khi đó nếu dùngdomain, chúng tôi chỉ cần:• 20 accounts cho những người dùng, mà thực ra đều có thể tạolập từ một account mẫu, và 10 accounts cho máy trạm (cũngđược lập theo mẫu). Các accounts này thực hiện một cấu hìnhan ninh (Q1) duy nhất cho mọi người dùng và mọi máy trạm.Chú ý rằng tùy theo chính sách kiểm soát truy nhập (Q2),thường tồn tại nhiều nhóm người dùng với quyền truy nhậpkhác nhau, nhưng họ vẫn dùng chung 1 cấu hình an ninh;• 1 hoặc vài account để làm các việc quản trị như làmount/dismount đĩa mật mã (Q3), backup/restore dữ liệu (Q4),hay setup/update các tường lửa, IDS/IPS, proxy chặn virus,spam và nội dung độc hại khác (Q5);Chi phí cho giải pháp này là thêm 1 máy vi tính làm domaincontroller, luôn tiện chứa cả dữ liệu cá nhân của người dùng(như User Documents, User Profiles, User Application Data)và một số dữ liệu nào đó của công ty.Như vậy, so với workgroup, giải pháp domain sẽ thu tóm việcquản trị vào một mối, nhờ vậy giảm chi phí và (quan trọnghơn) tăng bảo mật.Trong các phần tiếp theo, chúng tôi sẽ lần lượt bàn đến 5 vấnđề kể trên.Đối với nhiều bạn là quản trị mạng doanh nghiệp nhỏ, thườngít có thời gian để đào sâu nghiên cứu, nâng cao nghiệp vụ, vàcũng là đối tượng của bài này, chúng tôi hy vọng cung cấpđược những thông tin thực tiễn, giúp bạn nhanh chóng làm chủđược công việc của mình.Mặt khác, những thông tin đó hoàn toàn dựa vào kinh nghiệmbản thân, cho nên bài này hẳn là chủ quan, phiến diện và nôngcạn. Mong các bạn thẳng thắn phê bình và tranh luận để chúngtôi được dịp học hỏi thêm.Ý thức bảo mậtAi ũng biết rằng sau khi điều chỉnh mạng, tiêu chuẩn kiểm tralà mạng phải thông và các chương trình phải chạy. Bởi vì đócũng là điều kiện cần phải khẳng định trước khi điều chỉnh.Nhưng đó có phải là điều kiện duy nhất để tiến hành điều chỉnhnhằm mục đích tăng cường bảo mật hay không?Xin thưa rằng không! Cần một điều kiện nữa rất quan trọng, nónằm trong ý thức của người dùng và, tất nhiên, của người quảntrị.Ở một nơi có điều kiện kết nối Internet liên tục 24/24, một cậunhỏ muốn tỏ ra mình là hacker “thứ dữ” đã dùng một securityscanner để scan subnet của cậu ta, lần ra địa chỉ IP của cô bénhà hàng xóm (dựa vào tên máy), lấy danh sách người dùng,chọn một admin account không có mật khẩu để logon vàconnect vào C$, rồi.... chúng tôi không muốn kể tiếp nữa.Cô bé ...