Tư vấn xây dựng hệ thống mạng bảo mật

[opter]

Chào các anh em. Nhân dịp năm mới chúc anh em sức khỏe và thành công. Em làm IT ở một công ty xây dựng, hiện em đang cần xử lý một vụ mất an toàn thông tin. Mong các anh tư vấn ạ

· Văn phòng trụ sở chính hiện có hơn 200 máy tính bao gồm laptop và desktop.
· Hệ thống có 2 tủ rack, 1 chứa các thiết bị mạng, 1 chứa server, ups, thiết bị lưu trữ.
· Server: 1 server IBM x3650M5 với 2 array raid 5, 8 ổ cứng 1TB, và 1 server IBM X3500 với 1 array raid 5, 4 ổ cứng 1TB. Hai server được cài đặt AD, DNS, DHCP cho 10 vlan, file server.
· Trụ sở công ty có một số những máy tính có cài phần mềm diệt virus Kaspersky nhưng phần mềm không hoạt động.
· Firewall: đang dùng vigor 3900, chưa có các chính sách quản lý truy cập mạng, có kết nối vpn cho 5 site bên ngoài, mở một số port cho phần mềm + remote.
· Switch: Đang dùng 15 switch cisco 24 cổng, chia 10 vlan cho các phòng ban.
· UPS: 02 bộ APC 3k và 2k smart online có chia sẻ webpower.
· Backup data ra NAS buffalo TS5400R với 2 ổ cứng 4TB chạy raid 1, backup định kỳ hàng ngày cả OS và data. Phần mềm kế toán FAST và Bravo. Mail office 365 cho toàn nhân viên công ty.
· Phần mềm bản quyền đang dùng: Bao gồm 2 windows server 2012, 200 license Kaspersky endpoint 10.
· Chưa xây dựng chính sách an toàn bảo mật thông tin.
Tại các site
o Có 05 site, mỗi site tầm 30 users. Có sử dụng wifi cho máy laptop, smartphone của của nhân viên.
o Tại mỗi site không có máy chủ quản lý
o Các chi nhánh công trường cũng dùng firewall vigor cho kết nối vpn, vigor cấu hình thấp hơn: 2960, 2950, 2925.
Vấn đề: Server bị nhiễm mã độc tống tiền nhưng chưa rõ nguyên nhân từ đâu. Hiện đội IT đang cài đặt lại toàn bộ server. Rất may do có backup nên đã lấy lại được data.

Hiện các sếp đang rất bực và bảo là đội IT bọn em chưa hoàn thành nhiệm vụ. Mong các anh tư vấn cho bên em xây dựng một hệ thống mạng bảo mật hơn.

 

Hi bạn
Qua một số thông tin dưới đây mình có nhận xét sơ bộ như sau:

1) VỀ ĐIỂM YẾU CON NGƯỜI
Sếp bạn mà đánh giá đội IT chưa hoàn thành nhiệm vụ thì mình nghĩ các bạn nên suy nghĩ và trao đổi với sếp cụ thể hơn về câu nói đó, xem là vì sao sếp lại đánh giá như thế, chỗ nào là chỗ mà sếp bạn thấy còn chưa được (vì mình đi làm thuê cho sếp mà) để từ đó mình khắc phục sớm.
2) VỀ ĐIỂM YẾU QUY TRÌNH
Công ty chưa có quy trình an toàn bảo mật thông tin. Cần sớm xây dựng văn bản này và đưa cho sếp ký duyệt làm căn cứ để mình triển khai công việc.
3) VỀ ĐIỂM YẾU KỸ THUẬT
- Hệ thống máy chủ: nhiễm mã độc tống tiền Ransomware. Thông thường mã độc này lây nhiễm từ 2 nguồn chính:
Nguồn thứ nhất là nhận email lạ đính kèm mã độc gửi tới hòm thư của các nhân viên. Khi nhân viên mở ra là sẽ dính mã độc. Một nguồn khác là do nhân viên tải về và cài đặt các phần mềm không rõ nguồn gốc (từ các trang web không chính hãng, kèm crack).
Khi máy của nhân viên dính mã độc thì vì loại Ransomware chính là sâu, nên nó sẽ dò quét lỗ hổng của các máy tính khác, trong đó có máy chủ. Trường hợp máy chủ không được update thường xuyên (cả hệ điều hành và các ứng dụng) thì sẽ bị lây nhiễm mã độc.
- Máy trạm tại trụ sở công ty: có một số những máy tính có cài phần mềm diệt virus Kaspersky nhưng phần mềm không hoạt động. Bạn cần xem tại sao lại không hoạt động để từ đó xử lý.
- Các site: có kết nối VPN đến máy chủ ứng dụng tại công ty, nhưng tổng các máy tính tại các site (số lượng khá nhiều là khoảng 150 máy) không được quản lý do tại mỗi site không có máy chủ quản lý, như vậy đây là mạng ngang hàng, nhân viên có quyền Admin trên máy mà họ làm việc, do đó sẽ không thể kiểm soát được. Mỗi site đều có 1 Wireless Router, như vậy người dùng có thể dùng máy cá nhân truy cập wifi vào mạng nội bộ. Nếu máy cá nhân có mã độc thì
- Tường lủa Firewall Vigor 3900 tại công ty cũng chưa có chính sách giám sát các kết nối VPN từ 05 site vào máy chủ. Như vậy thiết bị này mới chỉ thực hiện chức năng Firewall VPN Server đơn thuần (cấm tất cả truy cập từ bên ngoài, có thêm cân bằng tải), chưa thực hiện chức năng điều khiển truy cập đối với nội bộ mạng. Hơn nữa với 1 thiết bị Vigor phục vụ cho nhiều site, có thể dẫn đến điểm chết của hệ thống.
- Trong thông tin ở trên, ngoài thiết bị Firewall Vigor 3900, công ty không trang bị giải pháp giám sát đảm bảo an ninh mạng nào khác. Khi sự cố mất an ninh xảy ra trên máy chủ, không biết là từ đâu để xử lý, chỉ có mỗi cách là đập đi làm lại.
- Máy chủ công ty cấp thông tin DNS cho các máy tại công ty. Các máy ở site không được cấp DNS từ máy chủ mà do thiết bị vigor tại chi nhánh. Điều này có thể dẫn đến bị tấn công redirect DNS đến những site lạ, chứa phần mềm độc hại dính ransomware.
- Trong thông tin mà bạn gửi không nói về giải pháp Update cho toàn bộ hệ thống nên không thể đánh giá.
Một vài tư vấn cho bạn nhé.

 

Thank anh
Anh cho em hỏi, làm cái chính sách an toàn thông tin như thế nào vậy?

 

Thank anh
Anh cho em hỏi, làm cái chính sách an toàn thông tin như thế nào vậy?

Chào bạn
Xây dựng chính sách an toàn thông tin là tùy thuộc đặc điểm mỗi công ty.
Theo mình bạn có thể tham khảo một mẫu như file đính kèm bên dưới để xây dựng.

 

Cám ơn anh.
Hiện bên em muốn tối ưu lại hệ thống bảo mật. Em thấy như bài trước anh nói thì còn một số chỗ chưa làm được. Vậy anh có thể gợi ý về giải pháp kỹ thuật được không ạ
P/S Anh cho em xin điện thoại để tiện liên hệ ạ

 

Cám ơn anh.
Hiện bên em muốn tối ưu lại hệ thống bảo mật. Em thấy như bài trước anh nói thì còn một số chỗ chưa làm được. Vậy anh có thể gợi ý về giải pháp kỹ thuật được không ạ
P/S Anh cho em xin điện thoại để tiện liên hệ ạ

Em đọc phần anh gợi ý ở trên nhé.
Ví dụ nếu như máy trạm có phần mềm diệt virus không hoạt động, thì em cần xem vì sao, giải pháp là gì?
Hoặc do các máy tại site không được quản lý, nên xảy ra việc mọi người đều có thể mang máy tính cá nhân đi đến truy cập vào mạng. Vậy thì mình cần giải pháp gì cho việc này (về hành chính, về kỹ thuật v.v)