Mười mẹo bảo vệ mạng riêng ảo client
Ngu
ồn : quantrimang.com 
Mạng riêng ảo (VPN) ngày càng khẳng định được ưu thế lợi nhuận trong
hiệu suất và giá cả của mình. Bạn có thể cung cấp quyền truy cập mạng từ
xa cho nhân viên tin cậy hay các nhà đấu thầu giải pháp qua một mạng
riêng ảo. Khoảng cách địa lý giờ không còn là vấn đề đáng ngại nữa.

Cùng với những bước phát triển mở rộng, bảo mật mạng
đòi hỏi phải có các
biện pháp tinh tế hơn, khéo léo hơn. Chỉ cần một máy từ xa mất quyền kiểm soát
cũng có thể tạo ra con đường thâm nhập hấp dẫn và nguy hiểm cho những kẻ
tấn công.

Dưới đây là 10 mẹo nhỏ chúng tôi xin cung cấp nhằm giúp bạn bảo mật an toàn
mà vẫn đảm bảo yếu tố lợi nhuận từ các mạng riêng ảo VPN.

1. Sử dụng phương th
ức thẩm định quyền truy cập VPN mạnh nhất.

Chính xác là phương thức nào thì còn phụ thuộc vào từng cơ sở hạ tầng mạng.
Bạn nên kiểm tra tài liệu hướng dẫn trong VPN hay hệ điều hành để xác định
phương thức phù hợp nhất.

Nếu như mạng sử dụng server Microsoft thì phương thức thẩm định an toàn
nhất là Extensible Authentication Protocol (Giao thức thẩm định mở rộng) và
Transport Level Security (B
ảo mật mức truyền vận), còn gọi là EAP-TLS. Chúng
được sử dụng với các thẻ thông minh (smart card). Phương thức này đòi hỏi
phải có một cơ sở hạ tầng khóa phổ biến (PKI), có thể mã hoá và phân phối toàn
bộ thẻ thông minh một cách an toàn. Các giao thức Microsoft Challenge

Handshake Authentication Protocol Version 2 (MS-CHAP v2) và Extensible
Authentication Protocol (EAP) là sự lựa chọn tốt nhất cho các phương thức thẩm
định bảo mật tiếp theo.

Các bạn không nên lựa chọn giao thức Password Authentication Protocol (PAP)
- giao thức thẩm
định mật khẩu, giao thức Shiva Password Authentication
Protocol (SPAP) - giao thức thẩm định mật khẩu Shiva và giao thức thẩm định
Handshake Challenge (CHAP), chúng quá yếu, không đảm bảo an toàn cho
mạng của bạn.

2. Sử dụng phương thức mã hoá quyền truy cập VPN mạnh nhất.

Với mạng sử dụng server Microsoft, bạn nên dùng phương thức Layer Two
Tunneling Protocol (L2TP) thực hiện với Internet Protocol security (IPsec -bảo
mật giao thức Internet). Giao thức Point-to-Point Tunneling (PPTP) quá yếu, trừ
phi mật khẩu client của bạn bảo đảm đủ mạnh (xem mẹo 6). OpenVPN, một
mạng riêng ảo tầng sockert đơn (Single Socket Layer - SSL) có thể chạy với bộ
thẩm định phiên cơ sở TLS, chương trình mã hoá Blowfish hay AES-256 và bộ
thẩm định SHA1 của dữ liệu đường hầm.

3. Giới hạn quyền truy cập VPN với lý do thương mại hợp lý và chỉ khi cầ
n
thiết.

Kết nối mạng VPN là cánh cửa cho mạng LAN, chỉ nên mở khi cần thiết. Bạn
nên giới hạn các nhân viên từ xa kết nối VPN cả ngày để check e-mail (xem mẹo
5). Với cả các nhà đấu thầu cũng nên ngăn việc kết nối tới VPN để download
các file cần thiết thông thường (xem mẹo 4).


4. Cung cấp quyền truy cập các file được chọn qua mạng Intranet hay
Extranet thay vì VPN.

Một website bảo mật HTTP Secure (HTTPS) với bộ
thẩm định mật khẩu an toàn
chỉ đưa các file được chọn lên một server đơn chứ không phải lên toàn bộ mạng,
và có độ co giãn tốt hơn VPN.

5. Cho phép truy cập e-mail mà không cần truy cập vào VPN.

Trên server Microsoft Exchange, bạn nên cài proxy server Exchange để cho
phép Outlook truy cập Exchange qua giao thức gọi thủ tục từ xa (RPC) ở HTTP.
Thành phần này được bảo vệ bằng giao thức mã hoá SSL.

Với các dịch vụ e-mail khác, bạn có thể sử dụng giao thức Post Office Protocol
(POP3) cùng giao thức nhậ
n mail Internet Message Access Protocol (IMAP)
hoặc giao thức gửi mail Simple Mail Transfer Protocol (SMTP). Bạn cũng nên sử
dụng bộ thẩm định an toàn mật khẩu (SPA) và chương trình mã hoá SSL để
chứng minh tính bảo mật cho các hệ thống mail này. Secure Web mail là một lựa
chọn khác cho các nhân viên từ xa, nhất là khi họ đang đi du lịch hay sử dụng
máy tính của người khác.

6. Thực thi và ép buộc nhân viên thực hiện chính sách mật khẩu an toàn.

Nếu vắng mặt chương trình thẩm định hai yếu tố (thẻ thông minh và biometrics),
mạng của bạn sẽ chỉ an toàn t
ương ứng với mức mật khẩu yếu nhất.

Bạn không nên giữ quá lâu một mật khẩu mà nên thường xuyên thay đổi chúng,

ít nhất 3 tháng 1 lần. Đừng sử dụng một từ tìm thấy trong từ điển hay một số liên
quan đến điện thoại, mã số bảo mật xã hội, tên người thân trong gia đình, tên
con vật nuôi để làm mật khẩu.

Mật khẩu nên thật khó hiểu, khó đoán ngay cả v
ới các thành viên trong gia đình.
Nó cũng không nên ngắn quá.

Tạo được yếu tố an toàn trong mật khẩu là một bước rất quan trọng.

7. Cung cấp chương trình diệt virus, chống spam, tường lửa cá nhân cho
người dùng từ xa và yêu cầu họ sử dụng chúng.

Mỗi máy tính kết nối đầy đủ với VPN (xem mẹo 8) đều có thể phát tán chương
trình độc hại qua mạng, tiềm ẩn nhiều nguy cơ ngắt giao dịch thươ
ng mại của
công ty. Vì vậy bạn nên cung cấp các chương trình antivirus, antispam, firewall
cá nhân cho nhân viên và yêu cầu họ phải sử dụng chúng.

8. Cách ly người dùng để kiểm chứng mức an toàn trong máy tính của họ
trước khi cho phép kết nối vào mạng VPN.

Khi một máy tính khách hàng bắt đầu phiên làm việc VPN, nó sẽ không được
quyền truy cập đầy đủ vào mạng tới khi nào được kiểm tra xong độ an toàn.
Phần kiểm tra có thể là xác định dấu vết antivirus, antispam hiện tại; ki
ểm tra bản
vá lỗi hệ điều hành đầy đủ, sửa chữa các lỗi bảo mật nghiêm trọng; phần mềm
điều khiển từ xa không hoạt động; các keylogger hay Trojan.

Mặt hạn chế ở phương thức này là người dùng sẽ bị trễ mất vài phút khi muốn

làm một số việc nào đó. Bạn có thể khắc phục bằng cách ghi nhớ lịch quét trong
máy tính và giảm tần số quét xuố
ng một vài ngày so với lần quét trước.

9. Cấm sử dụng mạng riêng ảo hay phần mềm điều khiển từ xa khác khi
đang kết nối tới mạng của bạn.

Điều cuối cùng cần cho mạng của bạn là phân biệt nó với các mạng khác. Hầu
hết phần mềm VPN thiết lập phần định hướng cho khách hàng sử dụng cổng
vào mặc định, sau khi kết nối mặc định. Nhưng thường điều đó là tuỳ ý, không
bắt buộc.

Khi tất cả lưu lượng của trình duyệt Internet liên quan đến công việc đểu được
định tuyến qua m
ạng, tốc độ truyền tải trở nên chậm chạp đến mức thật khó chịu
đựng. Thường khi đó các nhân viên từ xa chỉ muốn tắt tuỳ chọn này. Nhưng như
thế cũng có nghĩa là thủ tiêu luôn chương trình bảo vệ trước các website độc hại
mà đã thiết lập ở proxy hay gateway.

Một tường lửa cá nhân và một client proxy firewall cho phép các nhân viên có
chế độ truy cập mạng từ xa an toàn mà không làm giảm tố
c độ kết nối Internet
của họ. Bạn cũng có thể thiết lập một chính sách rõ ràng về cách dùng Internet
khi kết nối với VPN như thế nào cho an toàn.

10. Bảo mật mạng không dây từ xa.

Các nhân viên làm việc ở nhà thường sử dụng laptop kết nối tới cáp hay modem
DSL qua điểm truy cập không dây riêng của họ.


Đáng tiếc, nhiều router không dây chẳng bao giờ được cấu hình an toàn. Chúng
chỉ đơn thuần được kết n
ối và bật lên sử dụng. Hãy hướng dẫn nhân viên cách
cấu hình router không dây, các máy tính WPA với một khoá “tiền chia sẻ”, cách
cấu hình tường lửa cá nhân và giải thích cho họ biết tầm quan trọng của bảo mật
mạng tại nhà.

Duy trì bảo mật mạng đòi hỏi luôn phải có sự cảnh giác nhất định. Duy trì bảo
mật mạng riêng ảo thậm chí còn phải cảnh giác hơn. Nhưng dựa vào 10 mẹo
trên bạn có thể ít ph
ải đối mặt với các vấn đề liên quan đến VPN hơn rất nhiều.