Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Chính sách bảo mật cho doanh nghiệp sử dụng WLAN

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Chính sách bảo mật cho doanh nghiệp sử dụng WLAN

    (Nguồn: Wimaxpro.org)
    CHÍNH SÁCH BẢO MẬT CHO DOANH NGHIỆP SỬ DỤNG WLAN

    - Mỗi công ty sử dụng WLAN nên có một chính sách bảo mật trong đó đưa ra các mối nguy hiểm mà mạng WLAN có thể gặp phải. Ví dụ, nếu kích thước cell không thích hợp thì sẽ cho phép các hacker có thể kết nối vào mạng từ ngoài đường hay bãi đậu xe, vì thế bạn nên đưa chi tiết này vào trong chính sách bảo mật. Các chi tiết khác có thể có trong chính sách bảo mật bao gồm mật mã, WEP key, sử dụng các giải pháp bảo mật cao cấp, thường xuyên kiểm kê phần cứng WLAN … Ngoài ra còn có nhiều yếu tố khác tùy thuộc vào nhu cầu bảo mật của công ty cũng như mức độ rộng lớn của mạng WLAN.
    - Lợi thế của việc có, cài đặt và duy trì một chính sách bảo mật vững chắc là rất nhiều. Ngăn chặn việc mất trộm dữ liệu, ngăn chặn những kẻ phá hoại hay gián điệp, bảo vệ bí mật kinh doanh …
    - Khởi đầu của một chính sách bảo mật chính là quản lý. Nhận diện được những nhu cầu về bảo mật và ủy thác nhiệm vụ phải tạo ra được một tài liệu thích hợp bao gồm chính sách bảo mật cho WLAN là một ưu tiên hàng đầu. Trước tiên, người chịu trách nhiệm bảo mật WLAN phải được đào tạo về mặt công nghệ. Tiếp theo, những chuyên gia đã được đào tạo đó phải làm việc với cấp trên để thống nhất về một chính sách bảo mật cho công ty. Đội ngũ các cá nhân đã được đào tạo này sau đó có thể xây dựng nên một danh sách các yêu cầu mà nếu tuân thủ theo sẽ đảm bảo cho mạng không dây được bảo vệ giống như mạng có dây.
    1. Giữ những thông tin nhạy cảm được bí mật:
    - Một số điều mà chỉ có admin mới nên biết bao gồm:
    + Username và password của AP hay Bridge
    + SNMP strings
    + WEP key
    + MAC address list
    - Việc giữ những thông tin này trong tay những người đáng tin cậy, những cá nhân tài năng như admin là điều rất quan trọng bởi vì những kẻ phá hoại hay hacker có thể dễ dàng sử dụng những thông tin này để truy cập vào mạng và các thiết bị mạng. Những thông tin này có thể được lưu trữ theo nhiều cách an toàn khác nhau. Trên thị trường hiện nay có các ứng dụng sử dụng mã hóa rất mạnh dành cho mục đích lưu trữ những thông tin nhạy cảm.
    2. Physical Security:
    - Mặc dù physical secirity là rất quan trọng đối với mạng có dây truyền thông nhưng nó lại càng quan trọng hơn đối với những công ty có sử dụng công nghệ WLAN. Vì hacker có thể không cần phải ở trong tòa nhà mới có thể kết nối vào mạng được mà chỉ cần ở ngoài đường hay bãi đậu xe là đủ. Thậm chí những phần mềm phát hiện xâm nhập là không đủ để ngăn chặn các hacker đánh cắp những thông tin nhạy cảm. Tấn công bị động không hề để lại dấu vết nào trên mạng bởi vì hacker không thật sự kết nối vào mạng mà chỉ lắng nghe. Hiện nay có những ứng dụng có thể làm cho card mạng hoạt động trong chế độ hỗn hợp (promiscuous mode) cho phép truy cập dữ liệu mà không cần phải thiết lập kết nối.
    - Khi WEP là giải pháp bảo mật duy nhất trong mạng WLAN thì bạn nên kiểm soát chặc chẽ những user đang sử dụng thiết bị không dây thuộc sở hữu của công ty, chẳng hạn như không cho phép họ mang những thiết bị đó ra khỏi công ty. Vì WEP key được lưu trữ trong firmware của thiết bị, vì thế thiết bị đi đến đâu thì điểm yếu nhất của mạng nằm ở đó. Admin nên biết ai, ở đâu và khi nào các PC card bị đem ra khỏi công ty.
    - Admin nên biết một điều là WEP bản thân nó không phải là một giải pháp bảo mật an toàn. Thậm chí với việc kiểm soát chặc chẽ như trên nhưng khi card bị đánh rơi hay làm mất thì người sử dụng phải có trách nhiệm báo cáo sự mất mát đó ngay lập tức cho admin để admin có thể đưa ra một số biện pháp ngăn ngừa cần thiết. Ở đây, admin có thể thiết lập lại MAC filter hay thay đổi WEP key …
    - Việc thường xuyên tìm kiếm quanh công ty để phát hiện những hành động khả nghi là một cách hiệu quả để giảm những nguy cơ tiềm ẩn. Nhân viên bảo vệ nên được huấn luyện để nhận biết được những phần cứng 802.11 lạ và cảnh báo cho công ty để tìm kiếm những kẻ phá hoại đang ẩn núp đâu đó trong tòa nhà.
    3. Kiểm kê thiết bị WLAN và mức độ bảo mật:
    - Như là một phần bổ sung cho chính sách bảo mật vật lý, tất cả các thiết bị WLAN nên thường xuyên được kiểm kê để thống kê các truy nhập hợp pháp cũng như ngăn chặn việc sử dụng các thiết bị không dây một cách trái phép. Nếu như mạng quá lớn và có quá nhiều thiết bị không dây thì việc thường xuyên kiểm kê thiết bị là không thực tế. Trong trường hợp này, chúng ta nên cài đặt một giải pháp bảo mật không dựa trên phần cứng mà dựa trên username và password hay các giải pháp khác. Đối với mạng vừa và nhỏ thì việc kiểm kê hàng tháng hay hàng quý sẽ giúp biết được những mất mát về thiết bị.
    - Thường xuyên scan mạng bằng sniffer để tìm kiếm những thiết bị giả mạo là một bước quan trọng để giúp bảo mật mạng. Hãy xem xét trường hợp một mạng không dây phức tạp (và mắc tiền ) đã được cài đặt với chính sách bảo mật hợp lý. Nhưng nếu một người dùng tự ý cài đặt thêm một AP trong mạng thì điều này có thể sẽ tạo ra những lỗ hổng cho hacker lợi dụng và nó cũng phá vỡ các chính sách bảo mật tốt (và mắc tiền) đã được cài đặt.
    - Kiểm kê về phần cứng cũng như mức độ bảo mật nên được document lại trong chính sách bảo mật của công ty. Các bước đã thực hiện, các công cụ đã được sử dụng và các báo cáo nên được rõ ràng trong chính sách bảo mật và công việc nhàm chán này không nên làm một cách sơ sài. Các nhà quản lý nên thường xuyên nhận được những báo cáo kiểu này từ các admin.
    4. Sử dụng các giải pháp bảo mật cao cấp:
    - Các công ty có sử dụng mạng WLAN nên tận dụng những ưu điểm của các cơ chế bảo mật hiện có trên thị trường. Một yêu cầu với chính sách bảo mật là bất kỳ một sự cài đặt nào của các cơ chế bảo mật đều phải được document lại một cách rõ ràng. Bởi vì những công nghệ này khá mới, độc quyền và thường được sử dụng kết hợp với các giao thức hay công nghệ bảo mật khác nên chúng phải được document lại để lúc có những lỗ hổng xuất hiện thì admin có thể xác định ở đâu và làm thế nào mà lỗ hổng lại xuất hiện.
    - Bởi vì có ít người trong nghành công nghiệp công nghệ thông tin được đào tạo bài bản về công nghệ không dây nên những sơ xuất của người sử dụng có thể làm hỏng mạng hay để lại những lỗ hổng cho hacker. Những sai lầm này của các nhân viên là một lý do rất quan trọng cho việc phải document một cách rõ ràng tính năng bảo mật đã cài đặt.
    5. Mạng không dây công cộng:
    - Một điều không thể tránh khỏi là các nhân viên với thông tin nhạy cảm trên máy laptop của họ sẽ kết nối với mạng không dây công cộng. Một yêu cầu nên có trong chính sách bảo mật là buộc tất cả các nhân viên chạy các phần mềm tường lửa (firewall) cá nhân và các phần mềm antivirus trên máy tính laptop của họ. Hầu hết các mạng không dây công công có rất ít hoặt không có một cơ chế bảo mật nào nhằm làm tăng tính đơn giản cho người sử dụng lúc kết nối đồng thời cũng làm giảm những yêu cầu về hỗ trợ kỹ thuật từ người sử dụng.
    - Thậm chí những upstream server trên đoạn mạng có dây đã được bảo vệ thì người dùng không dây vẫn có nguy cơ bị tấn công. Hãy xem xét tình huống trong đó hacker ngồi ở sân bay sử dụng các điểm nóng wi-fi (wi-fi hot spot). Hacker này có thể sniff (lắng nghe, điều tra …) mạng WLAN để lấy được username, password, đăng nhập vào hệ thống đợi cho người dùng cũng đăng nhập vào. Sau đó hacker có thể dùng ping để scan qua toàn bộ subnet tìm kiếm những người dùng khác và bắc đầu hack vào laptop của họ.
    6. Giới hạn và theo dõi truy cập:
    - Hầu hết mạng LAN của doanh nghiệp đều có một số phương pháp nào đó để giới hạn và theo dõi sự truy cập của nhân viên trong mạng LAN. Thông thường thì hệ thống sẽ được triển khai dịch vụ AAA (Authentication, Authorization, Accounting). Dịch vụ này cũng nên được document lại và cài đặt như là một phần của bảo mật mạng WLAN. Dịch vụ AAA sẽ cho phép doanh nghiệp gán quyền truy cập đến một lớp người dùng nào đó. Ví dụ, khách hàng chỉ được cho phép sử dụng internet trong khi nhân viên sẽ được truy cập đến server nội bộ và internet.
    - Việc lưu giữ những thông tin về quyền truy cập của user cũng nhu những thao tác họ đã thực hiện sẽ là một bằng chứng quan trọng để biết được ai đã làm gì trên mạng. Chẳng hạn, nếu nhân viên đang nghỉ phép và trong suốt kỳ nghỉ phép đó account của họ được sử dụng liên tục thì có thể biết được account đó đã bị hacker biết được password. Có được những thông tin về các thao tác đã làm sẽ giúp cho admin biết được điều gì đã thật sự xảy ra với mạng để có biện pháp đối phó thích hợp

    (hết)

  • #2
    Những bài viết mà bác Sang đưa lên, nó có thể chưa cụ thể là làm gì làm như thế nào (how to), nhưng nó xuất phát từ kinh nghiệp để viết nên nó, có thể chưa kỷ thuật và chung chung nhưng nó vạch ra nhiều điểm cần quan tâm, đôi khi dù chỉ là rất nhỏ như là : chuyện thất thoát cái CARD, vì thông thường nhân viên khác không hình dung chuyện mất cái card là nghĩa lý gì cả (bên mẻo bọn nó làm cho bộ quốc phòng thế mà mất láp tóp đến cả tuần nó mới báo lên bộ phận an ninh biết) vì tâm lý nhân viên họ cố tìm kiếm và sợ trách nhiệm nên thường ém nhẹm chuyện mất thiết bị ... cho đến khi lòi ra...
    - Rất nhiều anh em trong chúng ta rất chủ quan dựa vào các trang thiết bị và kiến thức bản thân mà quên đi rằng ngay chính bản thân chúng ta cũng là lỗ hổng to đùng ... (chính bản thân mình chôm được khá nhiều thứ từ những tay bảo mật có tên ... cũng chỉ bằng mỗi telnet thế thôi ... đôi khi là password của cả hệ thống ... rất nhiều anh em trong chúng ta chọn lựa việc ghi nhớ password lại cho dễ và cho bảo mật vì không phải type là không ai thí ... nhưng đó là con đường dẫn đến password mất).
    - Chính lý do đó việc bảo mật còn dựa trên chính con người ... và ý thức con người sử dụng chúng nữa, bạn có tin rằng là bạn có thể 24/24/7 view được tất tần tật mọi thứ trong mạng nội bộ của bạn không ? bọn mẽo nó có thiếu thứ gì đâu .. thế mà chúng vẫn bị k out hoài ...
    - Có rất nhiều anh em trong chúng ta qui hoạch hệ thống tốt giảm thiểu nguy cơ, nhưng cũng có thệ thống chúng ta khó kiểm soát vì đó là hệ thống open, ví dụ như bạn có 10 nhân viên kinh doanh sử dụng YM để oline service ... bạn có thể tin chắc 100% là họ không dính spy hay trojan không ? mình đã từng chứng kiến rất nhiều nhân viên tắt SAV đi cho máy nó chạy nhanh ... vì thế đòi hỏi nếu muốn bảo mật bạn phải tốn khá nhiều công sức kể cả việc xây dự cho được hệ thống antivirus pro thật sự.
    Nếu bác nào quan tâm đến các hệ thống SCAN thì tớ share cho mấy thằng Kas Enterprise , SAV Enterprise , Trendmicro Enterprise ...
    Last edited by camaptrang; 02-12-2006, 09:36 PM.

    Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)


    Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

    Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

    Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

    Hướng dẫn cài đặt cấu hình Retrospect Backup Server

    Cài đặt và cấu hình phần mềm FSA Audit Files Server

    CAMAPTRANG
    http://www.asterisk.vn

    Comment

    Working...
    X