Mười mẹo bảo vệ mạng riêng ảo client

Mạng riêng ảo (VPN) ngày càng khẳng định được ưu
thế lợi nhuận trong hiệu suất và giá cả của mình. Bạn có thể cung cấp
quyền truy cập mạng từ xa cho nhân viên tin cậy hay các nhà đấu thầu
giải pháp qua một mạng riêng ảo. Khoảng cách địa lý giờ không còn là
vấn đề đáng ngại nữa.

Cùng
với những bước phát triển mở rộng, bảo mật mạng đòi hỏi phải có các
biện pháp tinh tế hơn, khéo léo hơn. Chỉ cần một máy từ xa mất quyền
kiểm soát cũng có thể tạo ra con đường thâm nhập hấp dẫn và nguy hiểm
cho những kẻ tấn công.

Dưới
đây là 10 mẹo nhỏ chúng tôi xin cung cấp nhằm giúp bạn bảo mật an toàn
mà vẫn đảm bảo yếu tố lợi nhuận từ các mạng riêng ảo VPN.

1. Sử dụng phương thức thẩm định quyền truy cập VPN mạnh nhất.

Chính
xác là phương thức nào thì còn phụ thuộc vào từng cơ sở hạ tầng mạng.
Bạn nên kiểm tra tài liệu hướng dẫn trong VPN hay hệ điều hành để xác
định phương thức phù hợp nhất.

Nếu
như mạng sử dụng server Microsoft thì phương thức thẩm định an toàn
nhất là Extensible Authentication Protocol (Giao thức thẩm định mở
rộng) và Transport Level Security (Bảo mật mức truyền vận), còn gọi là
EAP-TLS. Chúng được sử dụng với các thẻ thông minh (smart card). Phương
thức này đòi hỏi phải có một cơ sở hạ tầng khóa phổ biến (PKI), có thể
mã hoá và phân phối toàn bộ thẻ thông minh một cách an toàn. Các giao
thức Microsoft Challenge Handshake Authentication Protocol Version 2
(MS-CHAP v2) và Extensible Authentication Protocol (EAP) là sự lựa chọn
tốt nhất cho các phương thức thẩm định bảo mật tiếp theo.

Các
bạn không nên lựa chọn giao thức Password Authentication Protocol (PAP)
– giao thức thẩm định mật khẩu, giao thức Shiva Password Authentication
Protocol (SPAP) – giao thức thẩm định mật khẩu Shiva và giao thức thẩm
định Handshake Challenge (CHAP), chúng quá yếu, không đảm bảo an toàn
cho mạng của bạn.

2. Sử dụng phương thức mã hoá quyền truy cập VPN mạnh nhất.

Với
mạng sử dụng server Microsoft, bạn nên dùng phương thức Layer Two
Tunneling Protocol (L2TP) thực hiện với Internet Protocol security
(IPsec -bảo mật giao thức Internet). Giao thức Point-to-Point Tunneling
(PPTP) quá yếu, trừ phi mật khẩu client của bạn bảo đảm đủ mạnh (xem
mẹo 6). OpenVPN, một mạng riêng ảo tầng sockert đơn (Single Socket
Layer – SSL) có thể chạy với bộ thẩm định phiên cơ sở TLS, chương trình
mã hoá Blowfish hay AES-256 và bộ thẩm định SHA1 của dữ liệu đường hầm.

3. Giới hạn quyền truy cập VPN với lý do thương mại hợp lý và chỉ khi cần thiết.

Kết
nối mạng VPN là cánh cửa cho mạng LAN, chỉ nên mở khi cần thiết. Bạn
nên giới hạn các nhân viên từ xa kết nối VPN cả ngày để check e-mail
(xem mẹo 5). Với cả các nhà đấu thầu cũng nên ngăn việc kết nối tới VPN
để download các file cần thiết thông thường (xem mẹo 4).

4. Cung cấp quyền truy cập các file được chọn qua mạng Intranet hay Extranet thay vì VPN.

Một
website bảo mật HTTP Secure (HTTPS) với bộ thẩm định mật khẩu an toàn
chỉ đưa các file được chọn lên một server đơn chứ không phải lên toàn
bộ mạng, và có độ co giãn tốt hơn VPN.

5. Cho phép truy cập e-mail mà không cần truy cập vào VPN.

Trên
server Microsoft Exchange, bạn nên cài proxy server Exchange để cho
phép Outlook truy cập Exchange qua giao thức gọi thủ tục từ xa (RPC) ở
HTTP. Thành phần này được bảo vệ bằng giao thức mã hoá SSL.

Với
các dịch vụ e-mail khác, bạn có thể sử dụng giao thức Post Office
Protocol (POP3) cùng giao thức nhận mail Internet Message Access
Protocol (IMAP) hoặc giao thức gửi mail Simple Mail Transfer Protocol
(SMTP). Bạn cũng nên sử dụng bộ thẩm định an toàn mật khẩu (SPA) và
chương trình mã hoá SSL để chứng minh tính bảo mật cho các hệ thống
mail này. Secure Web mail là một lựa chọn khác cho các nhân viên từ xa,
nhất là khi họ đang đi du lịch hay sử dụng máy tính của người khác.

6. Thực thi và ép buộc nhân viên thực hiện chính sách mật khẩu an toàn.

Nếu
vắng mặt chương trình thẩm định hai yếu tố (thẻ thông minh và
biometrics), mạng của bạn sẽ chỉ an toàn tương ứng với mức mật khẩu yếu
nhất.

Bạn
không nên giữ quá lâu một mật khẩu mà nên thường xuyên thay đổi chúng,
ít nhất 3 tháng 1 lần. Đừng sử dụng một từ tìm thấy trong từ điển hay
một số liên quan đến điện thoại, mã số bảo mật xã hội, tên người thân
trong gia đình, tên con vật nuôi để làm mật khẩu.

Mật khẩu nên thật khó hiểu, khó đoán ngay cả với các thành viên trong gia đình. Nó cũng không nên ngắn quá.

Tạo được yếu tố an toàn trong mật khẩu là một bước rất quan trọng.

7. Cung cấp chương trình diệt virus, chống spam, tường lửa cá nhân cho người dùng từ xa và yêu cầu họ sử dụng chúng.

Mỗi
máy tính kết nối đầy đủ với VPN (xem mẹo 8) đều có thể phát tán chương
trình độc hại qua mạng, tiềm ẩn nhiều nguy cơ ngắt giao dịch thương mại
của công ty. Vì vậy bạn nên cung cấp các chương trình antivirus,
antispam, firewall cá nhân cho nhân viên và yêu cầu họ phải sử dụng
chúng.

8. Cách ly người dùng để kiểm chứng mức an toàn trong máy tính của họ trước khi cho phép kết nối vào mạng VPN.

Khi
một máy tính khách hàng bắt đầu phiên làm việc VPN, nó sẽ không được
quyền truy cập đầy đủ vào mạng tới khi nào được kiểm tra xong độ an
toàn. Phần kiểm tra có thể là xác định dấu vết antivirus, antispam hiện
tại; kiểm tra bản vá lỗi hệ điều hành đầy đủ, sửa chữa các lỗi bảo mật
nghiêm trọng; phần mềm điều khiển từ xa không hoạt động; các keylogger
hay Trojan.

Mặt
hạn chế ở phương thức này là người dùng sẽ bị trễ mất vài phút khi muốn
làm một số việc nào đó. Bạn có thể khắc phục bằng cách ghi nhớ lịch
quét trong máy tính và giảm tần số quét xuống một vài ngày so với lần
quét trước.

9. Cấm sử dụng mạng riêng ảo hay phần mềm điều khiển từ xa khác khi đang kết nối tới mạng của bạn.

Điều
cuối cùng cần cho mạng của bạn là phân biệt nó với các mạng khác. Hầu
hết phần mềm VPN thiết lập phần định hướng cho khách hàng sử dụng cổng
vào mặc định, sau khi kết nối mặc định. Nhưng thường điều đó là tuỳ ý,
không bắt buộc.

Khi
tất cả lưu lượng của trình duyệt Internet liên quan đến công việc đểu
được định tuyến qua mạng, tốc độ truyền tải trở nên chậm chạp đến mức
thật khó chịu đựng. Thường khi đó các nhân viên từ xa chỉ muốn tắt tuỳ
chọn này. Nhưng như thế cũng có nghĩa là thủ tiêu luôn chương trình bảo
vệ trước các website độc hại mà đã thiết lập ở proxy hay gateway.

Một
tường lửa cá nhân và một client proxy firewall cho phép các nhân viên
có chế độ truy cập mạng từ xa an toàn mà không làm giảm tốc độ kết nối
Internet của họ. Bạn cũng có thể thiết lập một chính sách rõ ràng về
cách dùng Internet khi kết nối với VPN như thế nào cho an toàn.

10. Bảo mật mạng không dây từ xa.

Các nhân viên làm việc ở nhà thường sử dụng laptop kết nối tới cáp hay modem DSL qua điểm truy cập không dây riêng của họ.

Đáng
tiếc, nhiều router không dây chẳng bao giờ được cấu hình an toàn. Chúng
chỉ đơn thuần được kết nối và bật lên sử dụng. Hãy hướng dẫn nhân viên
cách cấu hình router không dây, các máy tính WPA với một khoá "tiền
chia sẻ", cách cấu hình tường lửa cá nhân và giải thích cho họ biết tầm
quan trọng của bảo mật mạng tại nhà.

Duy
trì bảo mật mạng đòi hỏi luôn phải có sự cảnh giác nhất định. Duy trì
bảo mật mạng riêng ảo thậm chí còn phải cảnh giác hơn. Nhưng dựa vào 10
mẹo trên bạn có thể ít phải đối mặt với các vấn đề liên quan đến VPN
hơn rất nhiều.

T.Thu (Theo Computerworld)
Mười mẹo bảo vệ mạng riêng ảo client’]