Bảo mật mạng doanh
nghiệp nhỏ - Phần I

Mở đầu

Trong công ty, chúng tôi tự phong cho mình chức “quản trị
mạng”. Bởi vì ngoài việc giấy tờ sổ sách, vốn là việc dĩ nhiên
của một thư ký văn phòng, chúng tôi còn làm đủ mọi việc từ
thổi bụi trong máy vi tính cho đến lắp ráp và cấu hình domain
controller, tóm lại là thiết lập, bảo trì và phát triển mạng máy
tính của công ty.
Các doanh nghiệp nhỏ, vốn dĩ chỉ với vài chiếc (hoặc cùng lắm
vài chục) máy vi tính, không bao giờ có ngân sách chi cho
nhân lực tin học, thường giao luôn chức quản trị mạng cho một
vài nhân viên nào đó kiêm nhiệm. Qua bài này, chúng tôi muốn
chia xẻ những kiến thức tự học hỏi mấy năm nay cho những
bạn đồng nghiệp ở trong hoàn cảnh bất đắc dĩ giống như chúng
tôi, đang ngày ngày lặng lẽ thực hiện nhiệm vụ hữu thực vô
danh này.

Phù hợp với mục đích của HVA, bài này chỉ giới hạn về bảo
mật. Cụ thể là giới thiệu vài giải pháp và trình bày một giải
pháp được chọn cho từng vấn đề trong số (dự kiến) năm vấn đề
sau đây:

Q1. Cấu hình an ninh (security profile)
Q2. Kiểm soát truy nhập (access control)
Q3. Mật mã (crypto) cho đĩa cứng
Q4. Sao lưu (backup) dữ liệu

Chú ý rằng tùy theo chính sách kiểm soát truy nhập (Q2),
thường tồn tại nhiều nhóm người dùng với quyền truy nhập
khác nhau, nhưng họ vẫn dùng chung 1 cấu hình an ninh;

• 1 hoặc vài account để làm các việc quản trị như là
mount/dismount đĩa mật mã (Q3), backup/restore dữ liệu (Q4),
hay setup/update các tường lửa, IDS/IPS, proxy chặn virus,
spam và nội dung độc hại khác (Q5);

Chi phí cho giải pháp này là thêm 1 máy vi tính làm domain
controller, luôn tiện chứa cả dữ liệu cá nhân của người dùng
(như User Documents, User Profiles, User Application Data)
và một số dữ liệu nào đó của công ty.
Như vậy, so với workgroup, giải pháp domain sẽ thu tóm việc
quản trị vào một mối, nhờ vậy giảm chi phí và (quan trọng
hơn) tăng bảo mật.

Trong các phần tiếp theo, chúng tôi sẽ lần lượt bàn đến 5 vấn
đề kể trên.

Đối với nhiều bạn là quản trị mạng doanh nghiệp nhỏ, thường
ít có thời gian để đào sâu nghiên cứu, nâng cao nghiệp vụ, và
cũng là đối tượng của bài này, chúng tôi hy vọng cung cấp
được những thông tin thực tiễn, giúp bạn nhanh chóng làm chủ
được công việc của mình.

Mặt khác, những thông tin đó hoàn toàn dựa vào kinh nghiệm
bản thân, cho nên bài này hẳn là chủ quan, phiến diện và nông
cạn. Mong các bạn thẳng thắn phê bình và tranh luận để chúng
tôi được dịp học hỏi thêm.

(4) Đổi LAN manager authentication protocol từ LM, NTLM
thành NTLMv2.

Bài học của cô bé trên có thể áp dụng vào môi trường doanh
nghiệp nhỏ. Tại doanh nghiệp của mình, chúng tôi đã áp dụng
tất cả bốn thủ pháp trên. Doanh nghiệp của chúng tôi nhỏ xíu
nhưng cũng đã có nhiều năm hoạt động và sử dụng một vài
phần mềm viết cho Windows 95, thậm chí cho MS-DOS, tóm
lại là phần mềm legacy (đồ cũ mèm, nhưng không thể vứt đi
được vì không có tiền mua đồ mới). Thế mà tắt NetBIOS (trên
toàn bộ mạng) vẫn chẳng thiệt hại gì, các phần mềm đó vẫn
chạy.

Tất nhiên, File and Printer Sharing không thể tắt trên các file
server và print server. Thủ pháp (3) là một thí dụ cho rất nhiều
thủ pháp bảo mật mà chắc chắn là không thể thi hành nếu ta
không phân biệt rạch ròi hai loại máy: máy chủ (server) và máy
làm việc (workstation). Ở rất nhiều mạng workgroup vả cả
mạng domain, chúng tôi thấy người ta chia xẻ tài nguyên
(file/printer) trên các máy làm việc. Họ không ý thức được
rằng họ đã biến máy làm việc thành máy chủ, hay nói một cách
tương đương, đã chiếm dụng máy chủ để làm việc. Bắt một
máy vi tính đảm nhiệm cả hai vai trò là một quyết định bất
hạnh. Tại một máy làm việc bị biến thành máy chủ như vậy,
khi một người dùng xa (remote) truy cập tài nguyên chia xẻ,
máy chạy chậm lại khiến cho người dùng tương tác
(interactive) rất khó chịu. Hơn nữa tại máy chủ có người dùng
tương tác, một thao tác vụng về của người này có thể làm máy
ngừng chia xẻ tài nguyên, từ chối phục vụ khiến cho những
người dùng xa bực mình. Như vậy phân biệt máy chủ với máy

nào, ngoại trừ một máy tìm thấy 100 con (hơn 500 security
threads).

Chiếc máy này, giống như mọi máy khác, cũng được trang bị
đầy đủ antivirus, tường lửa cá nhân, (phần mềm gì? Chúng
tôi sẽ tiết lộ trong phần Q5.) Điều khác biệt là trong khi mọi
máy khác chỉ có một local admin, chiếc máy này có tới hai
local admins: người thứ nhất là Admin (mật khẩu do người
quản trị mạng nắm giữ), người thứ hai là một domain user
khỏi cần nói thì cũng biết là ai.

Nói như thế thì cũng chưa đúng hẳn. Có ít nhất hai người
không biết đó là ai đấy. Trong bảo mật, luôn luôn ý thức được
mình là ai là nghĩa vụ của mọi admin. Chính sách bảo mật của
họ là đúng đắn khi cấp cho mọi người cái quyền domain user
“mạt hạng” chỉ đủ để check mail, lướt web, nghe nhạc, voice
chat, tay chat, Chính sách đó sai lầm khi ban cho một người
đặc quyền local admin, một đặc quyền “thừa mứa”, chỉ để
người đó cảm thấy được độc lập, tự do trên chiếc máy vi tính
“của mình”.

Sai lầm này thật nghiêm trọng. Mặc dù spyware scanner chỉ
nhận dạng được những spyware đã biết, nhưng dùng tới 5
scanners cũng đủ cơ sở để chúng tôi tin chắc 99,99% rằng
không có backdoor nào trên các máy còn lại, mặt khác, kết
luận chắc 99,99% rằng trên chiếc máy bất hạnh mà hacker(s)
đã tỏ đường đi lối về kia, sau khi đã xóa sạch 100 con spy tìm
được, vẫn còn sót lại dăm bảy cái backdoors.

Trường hợp cô bé ngờ nghệch và ông giám đốc thông minh nói