Cho dù giải pháp bảo mật mạng nội bộ của bạn có mạnh đến đâu, nếu nó không được cấu hình đúng cách, sẽ luôn có những mối đe dọa rình rập. Hiểu các quy định về an ninh mạng cục bộ và thông tin bảo mật sau đây sẽ cải thiện an ninh mạng của bạn.
I. Tổng quan về bảo mật mạng LAN
Ngoài tốc độ kết nối, vấn đề quan trọng nhất trong một hệ thống mạng là bảo mật và an toàn thông tin. Vậy Bảo mật mạng nội bộ là gì? Mục đích của bảo mật mạng nội bộ là đảm bảo thông tin của các cá nhân, nhóm, công ty hoặc doanh nghiệp luôn được an toàn, ngăn chặn việc đánh cắp thông tin bất hợp pháp. Đây luôn là mối quan tâm lớn về an ninh mạng đối với các tổ chức lớn nhỏ. Việc xây dựng hệ thống an ninh là rất cấp thiết nhưng không phải giải pháp nào cũng hiệu quả. Nó chủ yếu phụ thuộc vào các yếu tố như môi trường làm việc, thiết bị, người dùng ...
Và cho dù bạn được bảo vệ tốt đến đâu, nếu phần cứng và phần mềm của bạn không được cấu hình đúng cách, rủi ro vẫn luôn ở đó. Do đó, để giảm thiểu những rủi ro này, chúng tôi đã tạo ra các hướng dẫn áp dụng cho tất cả người dùng máy tính và các doanh nghiệp nhỏ.
II. Quy tắc bảo mật máy tính và mạng LAN
1. Sao lưu dữ liệu quan trọng
Khi bạn bật máy tính, khả năng mất dữ liệu sẽ tăng lên ngay cả khi bạn không kết nối Internet. Ổ cứng có thể bị hỏng. Hoặc bạn có thể vô tình xóa tệp dữ liệu. Vì vậy, trước tiên bạn phải lưu dữ liệu của mình trên đĩa CD, DVD, đĩa cứng hoặc các phương tiện khác.
2. Cài đặt và cập nhật phần mềm diệt virus thường xuyên
Hiện nay hầu hết mọi người đều sử dụng Windows, virus lây lan với tốc độ ánh sáng và rất dễ bị mất và đánh cắp dữ liệu.
Vi rút là các tệp đính kèm có thể tái tạo để phân phối, thường là tệp thực thi (exe) hoặc macro, mặc dù gần đây vi-rút đã được phát hiện trong tệp hình ảnh (jpg). Vi rút có thể vô hại hoặc hoàn toàn có thể phá hoại, vì vậy một chương trình chống vi rút là điều cần thiết và phải được cập nhật thường xuyên, nếu không nó sẽ vô dụng.
3. Gỡ bỏ các tệp, chương trình và dịch vụ không cần thiết
Windows cài đặt nhiều tệp, chương trình và dịch vụ không cần thiết không thể gỡ bỏ bằng cách sử dụng Thêm hoặc Loại bỏ Chương trình trong Pa-nen Điều khiển. Những tệp không cần thiết này tiềm ẩn nguy hiểm và có thể bị khai thác bởi những kẻ xâm nhập. Đồng thời gỡ bỏ một số ứng dụng không cần thiết như trò chơi, v.v. Để tránh rủi ro và tăng tốc hệ điều hành, chỉ nên cài đặt các chương trình cần thiết. Bạn có thể gỡ bỏ các chương trình không cần thiết bằng các công cụ đặc biệt như Nuhi nLite (chương trình miễn phí) hoặc LitePC xplite.
4. Cập nhật hệ điều hành
Những kẻ tấn công thường khai thác các điểm yếu bảo mật trong hệ điều hành để chiếm quyền truy cập. Vì vậy, hãy cập nhật Windows. Cập nhật các bản vá hệ điều hành quan trọng là một cách để bảo vệ, đóng các kẽ hở và đóng các cánh cửa nguy hiểm. Bạn có thể kiểm tra các bản cập nhật Windows bằng cách truy cập trang Windows Updates trong Internet Explorer. Nếu quản lý nhiều máy tính, bạn có thể sử dụng một công cụ mạnh mẽ hơn như Microsoft Baseline Security Analyzer (MBSA), một công cụ quét lỗ hổng miễn phí cho nền tảng Microsoft.
Nếu trong mạng nội bộ chỉ có một vài máy tính thì việc nâng cấp tương đối dễ dàng và không mất quá nhiều thời gian, tuy nhiên đối với các công ty có hệ thống máy tính lớn thì không dễ. Sau đó, bạn có thể sử dụng SUS (Microsoft Software Update Services) miễn phí hoặc các công cụ vá lỗi đặc biệt như Ecora Patch Manager, HFNetChk Pro hoặc Update EXPERT để cập nhật một cách nhanh chóng và hiệu quả.
5. Cài đặt tường lửa và đặt nó làm tiêu chuẩn.
Tường lửa cá nhân bảo vệ dữ liệu. cũng như thông tin từ người dùng máy tính, các công ty và đảm bảo kết nối an toàn giữa Internet và mạng. Hiện tại, có một số loại tường lửa: phần mềm hoặc ứng dụng, đơn hoặc đa chức năng, chẳng hạn như VPN, chống vi-rút, IDS, lọc nội dung, v.v., một số công ty thậm chí còn triển khai giải pháp tất cả trong một (Proventia). Công ty ISS G, hiện được Misoft phân phối tại Việt Nam (PV).
Tất cả về bảo mật mạng LAN hiệu quả
Doanh nghiệp phải chọn một bức tường lửa thích hợp. Việc lựa chọn tường lửa cho doanh nghiệp khá khó khăn và không dễ dàng, vì vẫn còn ít tiêu chuẩn kiểm tra để đánh giá. Đối với người dùng cá nhân, trước tiên nên sử dụng tường lửa của Windows XP hoặc cài đặt tường lửa miễn phí (phần mềm / kho miễn phí) như ZoneAlarm, Kerio Personal Firewall, Sygate Personal …
6. Đóng tất cả các cửa truy cập
Nếu bạn có một mạng LAN với nhiều máy tính, tất cả các máy tính trong mạng đều có thể truy cập, vì vậy bất kỳ ai cũng có thể dễ dàng lấy cắp thông tin có giá trị bằng ổ USB. Bạn phải bảo vệ các cổng của máy tính như USB, cổng nối tiếp, hồng ngoại, Bluetooth, ổ CD, ổ DVD, ... để tránh mất dữ liệu từ phương tiện bên ngoài. Người quản trị mạng chịu trách nhiệm quản lý các cổng này và cấp quyền truy cập. Có phần mềm làm được điều đó, như DeviceLock của Smartline.
7. Đặt mật khẩu BIOS Bạn phải đặt mật khẩu để khóa BIOS
Đặt thiết bị khởi động đầu tiên làm ổ cứng. Sử dụng BIOS, một đĩa CD khởi động được và một số công cụ khác, một kẻ lập dị có thể lấy cắp mật khẩu quản trị viên của các máy tính trong mạng cục bộ.
8. Cấu hình quy tắc GPO
Hệ điều hành máy chủ Windows có một công cụ mạnh mẽ để quản lý quyền người dùng, GPO (Đối tượng chính sách nhóm). Công cụ này cho phép bạn xác định các chính sách quản lý và bảo mật mạng, thiết lập các quy tắc: độ phức tạp của mật khẩu, trình bảo vệ màn hình, các ứng dụng được phép. Chính sách Nhóm có ảnh hưởng lớn đến người dùng, vì vậy hãy kiểm tra kỹ trước khi thực hiện.
9. Sử dụng phần mềm lọc nội dung cho Mạng HTTP, FTP và SMTP
Mang lại nhiều lợi ích, nhưng cũng đưa vào nhiều nội dung không mong muốn gây lãng phí thời gian, mở mạng cho các mối đe dọa tiềm ẩn và lãng phí băng thông. Vì vậy nó là cần thiết để lọc nội dung.
10. Sử dụng phần mềm chống thư rác
Cài đặt phần mềm chống thư rác, nó sẽ giúp bạn đối phó với những thư rác không mong muốn mà không mất nhiều thời gian.
III. Một số tiêu chí thiết kế cho mạng LAN an toàn
Để ngăn chặn các cuộc tấn công mạng hoặc các mối đe dọa bảo mật mạng nội bộ, bạn nên cài đặt máy chủ web, máy chủ email (mail server) ... để cung cấp dịch vụ cho Internet trong vùng mạng DMZ. Không lưu trữ máy chủ web, máy chủ email hoặc máy chủ cung cấp dịch vụ chỉ sử dụng nội bộ trên miền này.
Các máy chủ không trực tiếp cung cấp dịch vụ cho mạng bên ngoài, chẳng hạn như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực, v.v., phải được đặt trong miền máy chủ để ngăn chặn các cuộc tấn công trực tiếp từ Internet và mạng. Trong các hệ thống thông tin yêu cầu bảo mật cao hoặc có nhiều nhóm máy chủ khác nhau, mạng máy chủ có thể được chia thành các vùng độc lập nhỏ hơn để nâng cao tính bảo mật.
Để đảm bảo an ninh, bạn nên cài đặt các hệ thống bảo vệ như tường lửa và thiết bị phát hiện và ngăn chặn xâm nhập (IDS / IPS). Nên đặt tường lửa và IDS / IPS ở những vị trí sau:
Để hạn chế các cuộc tấn công mạng bên ngoài, hãy đặt tường lửa giữa kết nối Internet và các vùng mạng khác
Để hạn chế các cuộc tấn công, hãy đặt tường lửa giữa các vùng mạng nội bộ và mạng DMZ . . giữa các khu vực này
Đặt IDS / IPS trong khu vực được giám sát và bảo vệ.
Để lọc một số thông báo không mong muốn từ các địa chỉ IP không hợp lệ, bạn nên định cấu hình bộ định tuyến bên ngoài (bộ định tuyến biên) trước khi kết nối với ISP.