Ảnh hưởng của các lỗ hổng bảo mật trên internet
Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không? Có rất
nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ
hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về
sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống.
Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số
phương pháp để khắc phục hệ thống.
Trên mạng Internet có một số nhóm tin thường thảo luận về các chủ đề liên quan đến các lỗ hổng
bảo mật đó là:
- CERT (Computer Emergency Reponse Team): Nhóm tin này hình thành sau khi có phương
thức tấn công Worm xuất hiện trên mạng Internet. Nhóm tin này thường thông báo và đưa ra các
trợ giúp liên quan đến các lỗ hổng bảo mật. Ngoài ra nhóm tin còn có những báo cáo thường niên
để khuyến nghị người quản trị mạng về các vấn đề liên quan đến bảo mật hệ thống. Địa chỉ Web
site của nhóm tin:
- CIAC (Department of Energy Computer Incident Advisory Capability): tổ chức này xây
dựng một cơ sở dữ liệu liên quan đến bảo mật cho bộ năng lượng của Mỹ. Thông tin của CIAC
được đánh giá là một kho dữ liệu đầy đủ nhất về các vấn đề liên quan đến bảo mật hệ thống. Địa
chỉ web site của CIAC :
- FIRST (The Forum of Incident Response and Security Teams): Đây là một diễn đàn liên kết
nhiều tổ chức xã hội và tư nhân, làm việc tình nguyện để giải quyết các vấn đề về an ninh của
mạng Internet. Địa chỉ Web site của FIRST: . Một số thành viên của FIRST
gồm:
- CIAC
- NASA Automated Systems Incident Response Capability.
- Purdue University Computer Emergency Response Team
- Stanford University Security Team
- IBM Emergency Response Team
CÁC BIỆN PHÁP PHÁT HIỆN HỆ THỐNG BỊ TẤN CÔNG:
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch vụ đều có
những lỗ hổng bảo mật tiềm tàng. Đứng trên góc độ người quản trị hệ thống, ngoài việc tìm hiểu
phát hiện những lỗ hổng bảo mật còn luôn phải thực hiện các biện pháp kiểm tra hệ thống xem
đóng vai trò sống còn trong phương thức kinh doanh của họ. Với người dùng gia đình, nó giải
quyết vấn đề chia sẻ kết nối băng thông rộng với chi phí hợp lý nhất. Hiện tại wifi được chia làm
3 chuẩn chính thông dụng bao gồm:
- 802.11a: Đây là chuẩn 54Mbps hoạt động ở tần số 5Ghz. Nó sử dụng thiết bị riêng rất đắt tiền.
Một số món đồ chơi mạng trên thị trường hiện nay được đóng dấu tương thích chuẩn này nhưng
thực tế chỉ có khả năng kết nối hòa mạng chứ không phát huy được những đặc điểm thế mạnh
riêng.
- 802.11b: Chuẩn B với số lượng người dùng đông đảo nhất hiện nay do khả năng tương thích
rộng và giá thành thấp. Tần số hoạt động ở mức 2.4Ghz và băng thống 11Mbps.
- 802.11g: Đây là phiên bản mới nhất của dòng 802.11x hiện nay, so với chuẩn B, khoảng cách
sử dụng của G không bằng nhưng lại có băng thông lớn hơn nhiều do có khả năng áp dụng công
nghệ đa kênh (đạt mức 108Mbps hoặc hơn tùy thiết bị). Các linh kiện mạng không dây chuẩn G
thế hệ mới đều tương thích ngược với chuẩn B.
Khoảng cách sử dụng của các thiết bị Wifi hiện tại có thể lên tới 150m trong điều kiện lý tưởng
nhưng trong thực tế chỉ dưới 50m mà thôi. Những yếu tố có thể gây ảnh hưởng đối với khoảng
cách phát sóng có rất nhiều ví dụ như tường, từ trường, vật liệu kim loại, anten … Bài viết này sẽ
đưa ra một vài chi tiết giúp bạn cải thiện kết nối không dây của mình.
A. Chọn lựa và sắp xếp thiết bị hợp lý:
1. Sử dụng một Routermới: Dĩ nhiên đây là cách thức đơn giản nhất để nâng cấp chất lượng sóng
không dây. Bạn nên làm điều này nếu như thiết bị đang sử dụng đã có tuổi thọ trên 2 năm. Trong
những trường hợp như vậy, thiết bị mới đôi khi tăng cường diện tích sử dụng lên gần gấp đôi.
- Ưu điểm:
+ Việc thay đổi khá dễ dàng, đa số các thiết bị mới đều hỗ trợ Wizard dạng HTML cho phép
người dùng thiết lập thông số rất nhanh chóng để tương thích với mạng hiện hành.
+ Giá cả thiết bị mới không đắt so với hiệu năng chúng mang lại.
+ Một số thiết bị có những công nghệ cao cấp ví dụ như NetGear WPN824 với RangeMax có thể
tự động gia tăng diện tích phủ sóng hoàn toàn tự động.
- Nhược điểm:
+ Đôi khi bạn phải nâng cấp toàn bộ các thiết bị thành phần trong mạng như Adapter,
Accesspoint, Router… để tận dụng được những công nghệ mới.
+ Có thể phủ sóng diện tích cách xa Router chính mà không cần phải tiếp tín hiệu ở khoảng giữa.
+ Hiệu năng cao, tính năng bảo mật tốt.
- Nhược điểm:
+ Thiết lập khá rắc rối.
+ Sử dụng AccessPoint với vai trò của thiết bị nối tiếp tín hiệu sẽ không đảm bảo được vấn đề
hiệu năng tối đa.
5. Thay thế Anten:
Đây là giải pháp đơn giản nhất và đôi khi lại hiệu quả nhất. Những loại Anten cao cấp có thể cải
thiện chất lượng tín hiệu rất nhiều. Một số loại đặc biệt có thể tăng cường phủ sóng tới vài KM.
Tất nhiên những giải pháp gia đình hoặc văn phòng không cần thiết phải mạnh như vậy nhưng
vẫn đủ sức đảm đương diện tích cả tòa nhà.
- Ưu điểm:
+ Anten sử dụng tốt cho những khoảng diện tích rộng lớn nối tiếp nhau.
+ Hiệu quả cho cả môi trường trong nhà lẫn ngoài trời.
+ Giải pháp tối ưu cho mạng giữa nhiều tòa nhà gần nhau.
- Nhược điểm:
+ Hầu hết các loại Anten chỉ sử dụng được với những thiết bị thiết kế riêng cho nó.
+ Để lắp đặt Anten hiệu quả, bạn phải nghiên cứu kĩ môi trường và đôi khi phải nhờ cậy tới các
chuyên gia.
+ Khi mưa hoặc có sét, tín hiệu có thể bị ngắt hoặc tốc độ chậm đi. Nếu kết nối mang tính sống
còn, bạn nên chuẩn bị các giải pháp phòng bị.
B. Đặt thiết bị ở vị trí tốt nhất:
Khi tiến hành đặt thiết bị phát sóng không dây cũng như các thành phần liên quan, bạn phải luôn
chú ý ba điểm sau:
+ Đặt Anten ở vị trí tốt với góc phù hợp.
+ Tránh các vật cản vật lý có thể chặn sóng.
+ Tránh xa các thiết bị gây nhiễu khác.
Nếu mạng nội bộ của bạn có nhiều thiết bị không dây, trước khi bạn di chuyển bất cứ thứ gì hãy
xác định thứ nào sẽ chịu tải nhiều nhất. Điều này rất quan trọng đối với việc tối ưu hóa. Hầu hết
các nhà sản xuất đều có những công nghệ riêng để tăng cường khoảng cách phủ sóng của thiết bị
tần số từ 2.4Ghz tới 2.5Ghz. Những nguồn nhiễu thông thường bao gồm:
+ Máy vi tính và máy fax.
+ Máy photocopy, điện thoại di động.
+ Lò vi sóng.
C. Tối ưu hóa thiết bị:
Một trong những thông số ít được chú ý liên quan trực tiếp đến hiệu năng làm việc của các thiết
bị wifi chính là số kênh tần. Mục đích chính của bạn là tìm ra được kênh tín hiệu tốt nhất để
tránh các sóng gây nhiễu từ mạng khác hoặc các thiết bị có tính chất phát sóng radio. (Với thiết
bị chuẩn 802.11a hay a/g thì việc chọn kênh không chiếm vai trò quan trọng).
Nếu bạn chỉ sử dụng mạng gia đình đơn giản và hàng xóm không có ai sử dụng Wifi, bạn có thể
sử dụng bất cứ kênh nào cũng được. Tuy nhiên những rắc rối sẽ xảy ra khi bạn rơi vào một trong
những trường hợp sau đây:
+ Bạn muốn tăng cường khả năng phủ sóng của mạng.
+ Bạn có nhiều Router hoặc AccessPoint phát sóng không dây buộc phải dùng nhiều kênh tần
khác nhau.
+ Bạn không phải là người duy nhất trong khu vực sử dụng mạng Wifi.
Việc tăng cường tín hiệu mạng không dây hoàn toàn khác với việc bạn cho thêm bóng đèn vào
một căn phòng để làm nó sáng lên. Những thiết bị phát sóng mạnh như Router, AccessPoint sẽ
trực tiếp gây ảnh hưởng lẫn nhau trong khoảng cách gần. Bạn cần phải đặt chúng xa nhau và đặc
biệt là thiết lập để mỗi mạng lưới sử dụng một kênh tần khác biệt.
Đối với mạng thuộc chuẩn 802.11b/g, có tất cả 11 kênh cho những thiết bị không dây. Những
thiết bị sản xuất cho thị trường Châu Âu sẽ hỗ trợ 13 kênh. Khi xảy ra tranh chấp tín hiệu khiến
cho mạng bị chập chờn, bạn có thể chọn một trong các kênh chính không bị chồng chéo tin hiệu
lên nhau là 1,6,11 (1,7,13 cho Châu Âu) hoặc số kênh càng cách xa nhau càng tốt. Như vậy bạn
sẽ có thể sử dụng tới 3 mạng không dây độc lập trong cùng một không gian diện tích.
Nếu như ở gần bạn có một mạng không dây nào đó, chẳng có gì ngạc nhiên nếu nó đã sử dụng
kênh 1 và 11 vì đó là thiết lập mặc định của phần lớn các thiết bị phát sóng Wifi. Tuy nhiên thật
đáng buồn là bạn không thể tránh được việc bị xung đột tín hiệu một cách triệt để vì giao thức
không giây B/G chỉ có 3 kênh chính không chồng chéo như đã nói ở trên. Chính vì thế nếu trong
cùng một khu vực có từ 4 mạng không dây khác nhau trở lên, vấn đề “va chạm” sẽ trở nên càng
xem nó có hoạt động không và hiệu năng có vừa ý bạn hay không mà thôi. Nếu có, bạn chẳng
cần làm gì thêm cả.
2. Kiểm tra sức sóng bằng công cụ phần mềm:
Mỗi thiết bị wifi đều được cài đặt kèm một tiện ích phần mềm theo dõi độ mạnh của tín hiệu và
luồng dữ liệu. Thường thì chúng là một thanh ngang với các màu xanh, vàng, đỏ. Khi mức trạng
thái ở màu xanh chứng tỏ thiết bị đang nhận được luồng tín hiệu rất mạnh và băng thông tốt, khi
bạn di chuyển xa khỏi Router hay Access Point, tín hiệu sẽ dần giảm xuống và chỉ còn mức
vàng. Khi tín hiệu mạng yếu đi, băng thông sẽ tự động giảm xuống nhưng kết nối vẫn được duy
trì. Khi mức trạng thái chỉ còn ở vạch đỏ, bạn sẽ bắt đầu gặp trục trặc như rớt mạng, tín hiệu
không ổn định, dữ liệu truyền chập chờn.
Bạn có thể nhận rõ hiệu quả mạng wifi của mình theo cách này thông qua việc đi loanh quanh
trong khu vực phát sóng với một thiết bị wifi di động trong tay như điện thoại, pocketPC hay
laptop.
3. Kiểm tra khoảng cách giữa hai nguồn phát:
Hai Router hoặc AccessPoint có cùng kênh tần khi đặt càng gần nhau sẽ càng dễ bị nhiễu. Bạn
hãy sử dụng một món đồ chơi wifi di động và thiết lập kết nối với một trong hai thiết bị phát rồi
di chuyển trong khoảng 2m tính từ anten. Kích hoạt chế độ dò để tìm các luồng tín hiệu mạng.
Nếu bạn nhìn thấy thiết bị khác xuất hiện chung kênh tần, bạn hãy thực hiện 1 trong 3 cách sau:
+ Di chuyển một trong hai thiết bị phát ra xa.
+ Tắt một trong hai thứ.
+ Thay đổi kênh tần của Router hoặc AccessPoint.
4. Kiểm tra tính ổn định dữ liệu:
Thanh trạng thái cho phép bạn đo khối lượng dữ liệu truyền qua mạng không dây nhưng nó
không thể báo cáo với bạn có bao nhiêu dữ liệu bị thất lạc trong quá trình vận chuyển và bị buộc
phải gửi lại. Khi những gói dữ liệu nhỏ thường xuyên bị mất (ví dụ trong môi trường nhiễu) thì
tốc độ mạng sẽ chậm, đôi khi hỏng hóc các file và độ trễ sẽ tăng lên cao. Thông thường tỉ lệ dữ
liệu bị đi lạc trong một mạng nội bổ chỉ được phép nằm trong khoảng 1% đến 2% mà thôi. Để
kiểm tra thông số này (Packet Loss), bạn làm như sau:
+ Từ màn hình Desktop của Windows, bạn mở Start > Run > nhập vào “cmd” (không có dấu
ngoặc kép) rồi nhấn Enter. Cửa sổ dòng lệnh Command sẽ xuất hiện.
+ Bạn viết 1 ứng dụng, định kỳ 5 phút sẽ đọc file log 1 lần.
+ Giả sữ trung bình, 1 giây trên toàn server có 10000 lượt truy cập (tất cả các site trên server). vả
kích thuớc file access_log mỗi giây tăng 100KB. Vậy 5 phút sẽ là 600KB.
+ Nếu sau năm phút, số MB tăng đột biến,cở 1MB , thì xem như server đang bị DOS. Khi đó bạn
cho phân tích cú pháp trong file log. Nếu thấy 1 domain (vysa.jp) bị gọi nhiều lần trong 1 giây
(1000 lân) . thì tiến hành LOCK IP đó lại, kg cho apache trả lời request IP đó, bằng cách DENY
Ip đó trên .htaccess . Chú ý khi phân tích file LOG, hãy tắt Apache đi, sau khi song thi open nó
lên lại .
Dĩ nhiên các số liệu Vũ đưa ra chỉ là tương đối, bạn có thể tùy biến cho phù hợp với yêu cầu của
server mà bạn dùng bạn .
Bảo mật cho các máy tính của một tổ chức
(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các
Computer của một tổ chức. Thích hợp cho những ai quan tâm đến
Network Security.)
Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security
một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ
chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức.
Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ
liệu quý báu.
Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong
tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho
Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)
Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật
lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những
miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập
nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt
quá trình “sống” của Computer.
Xác định những rủi ro và những mối đe dọa Computer.
Bảo mật suốt chu kì “sống” của một computer:
Hiểm họa từ bên trong:
Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và
không cần phải theo dõi trong suốt quá trình cài đặt (unattended
Installation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”.
Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan
Local administrator của các máy được cài đặt được chuyển qua Mạng dưới
dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ
thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài
các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt
là các Local Administrator Password (nếu admin Mạng đang tiến hành cài
đặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới
dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important và
hầu hết có giá trị economic ). Đây là một trong rất, rất nhiều những nguy
cơ attack từ bên trong Mạng nội bộ.
Những mối đe dọa phổ biến:
Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế
nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình
làm việc với Computer.
Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy
tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử
dụng, đặc biệt là những ứng dung connecting với Internet như Chat,
Internet Browser, E-mail…
Thiết kế Security cho các Computer
Những phương thức chung secure Computer
Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng
dụng theo hướg dẫn:
Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng
Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ:
nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cần
thiết trên Mail, Web server của tổ chức )
tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò
của Computer cần bảo vệ
2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo
vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry
những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP
stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống
được những cuộc tấn công kiểu này.
3. vận hành thử và Kiểm tra các security templates này. Mỗi security
template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich
vụ khác, hoặc xung đột với các ứng dụng
4. Triển khai các security templates cho Computer thông qua những công
cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho
hàng loạt Computer thông qua các Group Policy của Active Directory
Domain (GPO)
Security cho các Computer có vai trò đặc biệt như thế nào.
Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò
của những Computer đó.
Như vậy những Computer đặc biệt này cần có những Security baseline
tương đối khác nhau để phù hợp với dịch vụ đang vận hành.
Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho
phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm
luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ
có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho
các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết
về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một
Windows 2000 administrator có thể không có những kiến thức để hiểu
được cách hoạt động của một database server như Microsoft SQL Server
2000, cho dù nó được cài đặ trên một Windows 2000.
Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những
Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các
(scheduling) download từ WSUS server này
Dùng tính năng Feature Pack (Microsoft Systems Management Server
(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm
Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến
các Computer thông qua kho lưu trữ Software Inventory.
New Horizons VietNam (New Horizons Computer Learning centers Viet
Nam)
Ho Viet Ha
Instructor Team Leader
Email:
(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các
Computer của một tổ chức. Thích hợp cho những ai quan tâm đến
Network Security.)
Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security
một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ
chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức.
Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ
liệu quý báu.
Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong
tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho
Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)
Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật
lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những
miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập
nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt
quá trình “sống” của Computer.
Xác định những rủi ro và những mối đe dọa Computer.
Bảo mật suốt chu kì “sống” của một computer:
Hiểm họa từ bên trong:
Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và
không cần phải theo dõi trong suốt quá trình cài đặt (unattended
Installation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”.
Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan
Local administrator của các máy được cài đặt được chuyển qua Mạng dưới
dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ
thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài
các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt
là các Local Administrator Password (nếu admin Mạng đang tiến hành cài
đặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới
dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important và
hầu hết có giá trị economic ). Đây là một trong rất, rất nhiều những nguy
cơ attack từ bên trong Mạng nội bộ.
Những mối đe dọa phổ biến:
Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế
nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình
làm việc với Computer.
Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy
tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử
dụng, đặc biệt là những ứng dung connecting với Internet như Chat,
Internet Browser, E-mail…
Thiết kế Security cho các Computer
Những phương thức chung secure Computer
Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng
dụng theo hướg dẫn:
Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng
Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ:
nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cần
thiết trên Mail, Web server của tổ chức )
tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò
của Computer cần bảo vệ
2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo
vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry
những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP
stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống
được những cuộc tấn công kiểu này.
3. vận hành thử và Kiểm tra các security templates này. Mỗi security
template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich
vụ khác, hoặc xung đột với các ứng dụng
4. Triển khai các security templates cho Computer thông qua những công
cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho
hàng loạt Computer thông qua các Group Policy của Active Directory
Domain (GPO)
Security cho các Computer có vai trò đặc biệt như thế nào.
Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò
của những Computer đó.
Như vậy những Computer đặc biệt này cần có những Security baseline
tương đối khác nhau để phù hợp với dịch vụ đang vận hành.
Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho
phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm
luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ
có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho
các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết
về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một
Windows 2000 administrator có thể không có những kiến thức để hiểu
được cách hoạt động của một database server như Microsoft SQL Server
2000, cho dù nó được cài đặ trên một Windows 2000.
Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những
Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các
(scheduling) download từ WSUS server này
Dùng tính năng Feature Pack (Microsoft Systems Management Server
(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm
Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến
các Computer thông qua kho lưu trữ Software Inventory.
New Horizons VietNam (New Horizons Computer Learning centers Viet
Nam)
Ho Viet Ha
Instructor Team Leader
Email:
Chính sách an toàn Account cho Computer (Security Account
Policies )
Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy
tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương
thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống
dựa trên những chính sách an toàn từ basic cho đến những kĩ năng
advance mà các Security Admin cần quan tâm để áp dụng vào việc xây
dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi
xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo
account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và
hiệu quả dưới sự trợ giúp của những công cụ phù thủy…
Chính sách về account và cách thức tạo account nghèo nàn là con đường
dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được
áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent
virus, worm, spyware, ad-ware ), triển khai hệ thống phòng thủ Mạng
(Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ
trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng
nhiều rủi ro này.
Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến
lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề
công vào hệ thống.
Có thể không cho phép một số account quản trị hệ thống và dịch vụ,
không được log-on từ xa (remote location log-on), vì những hệ thống và
dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát
từ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xa
Security Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu.
Các Security admin khi log-on vào Server chỉ nên dùng account có quyền
hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account
System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as
thông qua run as service để cho phép độc lập quản trị các thành phần của
hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng
account admin). Điều này giúp chúng ta tránh được các chương trình nguy
hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự
của Computer sẽ gặp nhiều rắc rối.
Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc
quyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường và
sau đó leo thang đến quyền cao nhất)
Trên đây là những phần trực quan nhất mà Admin Security cần hình dung
cụ thể khi thiết kế chính sách bảo mật account (account security policies).
Một trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng
nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết
các con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có
được thông tin account), attacker nắm được vulnerabilities ( yếu điểm )
này, nên lợi dụng khai thác rất hiệu quả.
B. Phân tích và thiết kế các chính sách an toàn cho account.
Phân tích những rủi ro và xác định các mối đe dọa đối với account:
Account cho một User sẽ xác định những hành động mà User đó có thể
thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.
Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
thông thường.
Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích
hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ
việc, tài khỏan vẫn được lưu hành trên hệ thống )
Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account:
Chính sách tạo password sao cho an toàn thực sư là một trong những yếu
tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính
như sau:
Thời gian tối đa sử dụng password (maximum password age): Hạn sử
dụng tối đa của password trước khi user phải thay đổi password. Thay đổi
password theo định kì sẽ giúp tăng cường an toàn cho tài khoản
Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi
(minimum password age). Admin có thể thiết lập thờigian này khoảng vài
ngày, trước khi cho phép user thay đổi password của họ.
Thực thi password history: Số lần các password khác biệt nhau phải sử
dụng qua, trước khi quay lại dùng password cũ. Số Password history càng
cao thì độ an toàn càng lớn.
Chiều dài password tối thiểu (minimum password length) cần phải đặt.
Càng dài càng an toàn
Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ
phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt
giữa password và P@ssW0rd)
Khi dùng password phức hợp cần quan tâm:
Không sử dụng họ và tên
Chứa ít nhất 6 kí tự
Có thể đan xen chữ hoa,(A Z) thường (a z), và các kí tự đặc biệt như: !
@#$%^&*()
Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu
như sau một số lần log-on không thành công vào hệ thống. Mục đích của
chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vào
Copyright: Tài liệu đại học ©