Mười mẹo bảo vệ mạng riêng ảo client
Cập nhật lúc 11h35' ngày 03/08/2008
• Bản in
• Gửi cho bạn bè
• Phản hồi
Xem thêm: muoi, meo, bao, ve, mang, rieng, ao, client
Mạng riêng ảo (VPN) ngày càng khẳng định được ưu thế lợi nhuận trong hiệu suất và
giá cả của mình. Bạn có thể cung cấp quyền truy cập mạng từ xa cho nhân viên tin
cậy hay các nhà đấu thầu giải pháp qua một mạng riêng ảo. Khoảng cách địa lý giờ
không còn là vấn đề đáng ngại nữa.
Cùng với những bước phát triển mở rộng, bảo mật mạng đòi hỏi phải có các biện pháp tinh
tế hơn, khéo léo hơn. Chỉ cần một máy từ xa mất quyền kiểm soát cũng có thể tạo ra con
đường thâm nhập hấp dẫn và nguy hiểm cho những kẻ tấn công.
Dưới đây là 10 mẹo nhỏ chúng tôi xin cung cấp nhằm giúp bạn bảo mật an toàn mà vẫn
đảm bảo yếu tố lợi nhuận từ các mạng riêng ảo VPN.
1. Sử dụng phương thức thẩm định quyền truy cập VPN mạnh nhất.
Chính xác là phương thức nào thì còn phụ thuộc vào từng cơ sở hạ tầng mạng. Bạn nên
kiểm tra tài liệu hướng dẫn trong VPN hay hệ điều hành để xác định phương thức phù hợp
nhất.
Nếu như mạng sử dụng server Microsoft thì phương thức thẩm định an toàn nhất là
Extensible Authentication Protocol (Giao thức thẩm định mở rộng) và Transport Level
Security (Bảo mật mức truyền vận), còn gọi là EAP-TLS. Chúng được sử dụng với các thẻ
thông minh (smart card). Phương thức này đòi hỏi phải có một cơ sở hạ tầng khóa phổ biến
(PKI), có thể mã hoá và phân phối toàn bộ thẻ thông minh một cách an toàn. Các giao thức
Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) và
Extensible Authentication Protocol (EAP) là sự lựa chọn tốt nhất cho các phương thức
thẩm định bảo mật tiếp theo.
Các bạn không nên lựa chọn giao thức Password Authentication Protocol (PAP) - giao thức
thẩm định mật khẩu, giao thức Shiva Password Authentication Protocol (SPAP) - giao thức
thẩm định mật khẩu Shiva và giao thức thẩm định Handshake Challenge (CHAP), chúng
quá yếu, không đảm bảo an toàn cho mạng của bạn.

2. Sử dụng phương thức mã hoá quyền truy cập VPN mạnh nhất.
Với mạng sử dụng server Microsoft, bạn nên dùng phương thức Layer Two Tunneling
Protocol (L2TP) thực hiện với Internet Protocol security (IPsec -bảo mật giao thức
Internet). Giao thức Point-to-Point Tunneling (PPTP) quá yếu, trừ phi mật khẩu client của
bạn bảo đảm đủ mạnh (xem mẹo 6). OpenVPN, một mạng riêng ảo tầng sockert đơn
(Single Socket Layer - SSL) có thể chạy với bộ thẩm định phiên cơ sở TLS, chương trình
mã hoá Blowfish hay AES-256 và bộ thẩm định SHA1 của dữ liệu đường hầm.
3. Giới hạn quyền truy cập VPN với lý do thương mại hợp lý và chỉ khi cần thiết.
Kết nối mạng VPN là cánh cửa cho mạng LAN, chỉ nên mở khi cần thiết. Bạn nên giới hạn
các nhân viên từ xa kết nối VPN cả ngày để check e-mail (xem mẹo 5). Với cả các nhà đấu
thầu cũng nên ngăn việc kết nối tới VPN để download các file cần thiết thông thường (xem
mẹo 4).
4. Cung cấp quyền truy cập các file được chọn qua mạng Intranet hay Extranet thay
vì VPN.
Một website bảo mật HTTP Secure (HTTPS) với bộ thẩm định mật khẩu an toàn chỉ đưa
các file được chọn lên một server đơn chứ không phải lên toàn bộ mạng, và có độ co giãn
tốt hơn VPN.
5. Cho phép truy cập e-mail mà không cần truy cập vào VPN.
Trên server Microsoft Exchange, bạn nên cài proxy server Exchange để cho phép Outlook
truy cập Exchange qua giao thức gọi thủ tục từ xa (RPC) ở HTTP. Thành phần này được
bảo vệ bằng giao thức mã hoá SSL.
Với các dịch vụ e-mail khác, bạn có thể sử dụng giao thức Post Office Protocol (POP3)
cùng giao thức nhận mail Internet Message Access Protocol (IMAP) hoặc giao thức gửi
mail Simple Mail Transfer Protocol (SMTP). Bạn cũng nên sử dụng bộ thẩm định an toàn
mật khẩu (SPA) và chương trình mã hoá SSL để chứng minh tính bảo mật cho các hệ
thống mail này. Secure Web mail là một lựa chọn khác cho các nhân viên từ xa, nhất là khi
họ đang đi du lịch hay sử dụng máy tính của người khác.
6. Thực thi và ép buộc nhân viên thực hiện chính sách mật khẩu an toàn.
Nếu vắng mặt chương trình thẩm định hai yếu tố (thẻ thông minh và biometrics), mạng của
bạn sẽ chỉ an toàn tương ứng với mức mật khẩu yếu nhất.

Bạn không nên giữ quá lâu một mật khẩu mà nên thường xuyên thay đổi chúng, ít nhất 3
tháng 1 lần. Đừng sử dụng một từ tìm thấy trong từ điển hay một số liên quan đến điện
thoại, mã số bảo mật xã hội, tên người thân trong gia đình, tên con vật nuôi để làm mật
khẩu.
Mật khẩu nên thật khó hiểu, khó đoán ngay cả với các thành viên trong gia đình. Nó cũng
không nên ngắn quá.
Tạo được yếu tố an toàn trong mật khẩu là một bước rất quan trọng.
7. Cung cấp chương trình diệt virus, chống spam, tường lửa cá nhân cho người dùng
từ xa và yêu cầu họ sử dụng chúng.
Mỗi máy tính kết nối đầy đủ với VPN (xem mẹo 8) đều có thể phát tán chương trình độc
hại qua mạng, tiềm ẩn nhiều nguy cơ ngắt giao dịch thương mại của công ty. Vì vậy bạn
nên cung cấp các chương trình antivirus, antispam, firewall cá nhân cho nhân viên và yêu
cầu họ phải sử dụng chúng.
8. Cách ly người dùng để kiểm chứng mức an toàn trong máy tính của họ trước khi
cho phép kết nối vào mạng VPN.
Khi một máy tính khách hàng bắt đầu phiên làm việc VPN, nó sẽ không được quyền truy
cập đầy đủ vào mạng tới khi nào được kiểm tra xong độ an toàn. Phần kiểm tra có thể là
xác định dấu vết antivirus, antispam hiện tại; kiểm tra bản vá lỗi hệ điều hành đầy đủ, sửa
chữa các lỗi bảo mật nghiêm trọng; phần mềm điều khiển từ xa không hoạt động; các
keylogger hay Trojan.
Mặt hạn chế ở phương thức này là người dùng sẽ bị trễ mất vài phút khi muốn làm một số
việc nào đó. Bạn có thể khắc phục bằng cách ghi nhớ lịch quét trong máy tính và giảm tần
số quét xuống một vài ngày so với lần quét trước.
9. Cấm sử dụng mạng riêng ảo hay phần mềm điều khiển từ xa khác khi đang kết nối
tới mạng của bạn.
Điều cuối cùng cần cho mạng của bạn là phân biệt nó với các mạng khác. Hầu hết phần
mềm VPN thiết lập phần định hướng cho khách hàng sử dụng cổng vào mặc định, sau khi
kết nối mặc định. Nhưng thường điều đó là tuỳ ý, không bắt buộc.
Khi tất cả lưu lượng của trình duyệt Internet liên quan đến công việc đểu được định tuyến
qua mạng, tốc độ truyền tải trở nên chậm chạp đến mức thật khó chịu đựng. Thường khi đó

các nhân viên từ xa chỉ muốn tắt tuỳ chọn này. Nhưng như thế cũng có nghĩa là thủ tiêu
luôn chương trình bảo vệ trước các website độc hại mà đã thiết lập ở proxy hay gateway.
Một tường lửa cá nhân và một client proxy firewall cho phép các nhân viên có chế độ truy
cập mạng từ xa an toàn mà không làm giảm tốc độ kết nối Internet của họ. Bạn cũng có thể
thiết lập một chính sách rõ ràng về cách dùng Internet khi kết nối với VPN như thế nào cho
an toàn.
10. Bảo mật mạng không dây từ xa.
Các nhân viên làm việc ở nhà thường sử dụng laptop kết nối tới cáp hay modem DSL qua
điểm truy cập không dây riêng của họ.
Đáng tiếc, nhiều router không dây chẳng bao giờ được cấu hình an toàn. Chúng chỉ đơn
thuần được kết nối và bật lên sử dụng. Hãy hướng dẫn nhân viên cách cấu hình router
không dây, các máy tính WPA với một khoá “tiền chia sẻ”, cách cấu hình tường lửa cá
nhân và giải thích cho họ biết tầm quan trọng của bảo mật mạng tại nhà.
Duy trì bảo mật mạng đòi hỏi luôn phải có sự cảnh giác nhất định. Duy trì bảo mật mạng
riêng ảo thậm chí còn phải cảnh giác hơn. Nhưng dựa vào 10 mẹo trên bạn có thể ít phải
đối mặt với các vấn đề liên quan đến VPN hơn rất nhiều.
T.Thu (Theo Computerworld)
Xem thêm: muoi, meo, bao, ve, mang, rieng, ao, client
Đánh giá(?):