Bảo mật các dịch vụ mạng Mac

Quản trị mạng – Mac, với những ưu thế vượt trội nhờ xây dựng trên nền tảng UNIX, là một hệ thống an toàn hơn Windows. Rất nhiều virus, spyware, malware và các lỗ hổng mạng gây ra "bệnh dịch" cho các máy tính Windows đều tỏ ra bất lực trước Mac, tuy nhiên điều đó không có nghĩa là Mac không can dự vì đến các mối de dọa này. Đây là một số cách thực hiện để bảo vệ cho Mac được an toàn bên trong các môi trường doanh nghiệp.

pdf7 trang | Chia sẻ: lvbuiluyen | Lượt xem: 2104 | Lượt tải: 1download
Bạn đang xem nội dung tài liệu Bảo mật các dịch vụ mạng Mac, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Bảo mật các dịch vụ mạng Mac Quản trị mạng – Mac, với những ưu thế vượt trội nhờ xây dựng trên nền tảng UNIX, là một hệ thống an toàn hơn Windows. Rất nhiều virus, spyware, malware và các lỗ hổng mạng gây ra "bệnh dịch" cho các máy tính Windows đều tỏ ra bất lực trước Mac, tuy nhiên điều đó không có nghĩa là Mac không can dự vì đến các mối de dọa này. Đây là một số cách thực hiện để bảo vệ cho Mac được an toàn bên trong các môi trường doanh nghiệp. Chia sẻ file an toàn Rất ít dịch vụ mạng được kích hoạt mặc định trên các máy Mac. Những dịch vụ được kích hoạt tự động thường được yêu cầu cho việc kết nối mạng. Điều đó có nghĩa rằng các hệ thống Mac đáp trả một số ít các yêu cầu đến từ các máy tính bên ngoài, điều này giúp nó tăng được sự bảo mật. Khi các quản trị viên doanh nghiệp triển khai các máy Mac, các file cần được chia sẻ từ một số máy chủ tập trung nào đó. Việc thiết lập ra các máy chủ tập trung cho phép tận dụng được ưu thế của các nhóm, các chính sách và các phương pháp truyền thống khác để bảo vệ sự truy cập file trong mạng được an toàn. Trong các trường hợp mà ở đó các file cần được chia sẻ từ các máy Mac riêng lẻ, dù sử dụng AFP, FTP hay SMB, bạn cần phải cấu hình các hệ thống để yêu cầu thẩm định người dùng. Anonymous FTP mặc định bị vô hiệu hóa trên các máy Mac; bạn không nên đảo ngược thiết lập này. Thêm vào đó sự truy cập khách cũng nên được vô hiệu hóa từ bên trong các Account preference. Cần nhớ rằng, khi tính năng chia sẻ file được kích hoạt, người dùng quản trị có thể mount (gắn) từ xa bất cứ phân vùng hoặc ổ đĩa nào và cả người dùng quản trị và người dùng chuẩn đều có thể truy cập các thư mục ở nhà của họ từ xa. Các thư mục công sẽ tự động được chia sẻ khi có người dùng quản trị hoặc chuẩn mới được thêm vào. Trừ khi có một lý do thuyết phụ nào đó, bằng không các quản trị viên doanh nghiệp nên vô hiệu hóa các thiết lập mặc định này bên trong Sharing preferences hoặc cửa sổ Get Info của Finder để tăng độ bảo mật. Tùy chỉnh việc chia sẻ file thông qua cửa sổ Finder bên trong vùng Sharing & Permissions của nó, cho phép tinh chỉnh bổ sung bất cứ chia sẻ file nào được kích hoạt trên Mac. Chia sẻ màn hình an toàn Các máy Mac gồm có các tính năng chia sẻ màn hình được thiết kế để hỗ trợ cho việc khắc phục sự cố các máy khách từ xa. Tính năng này sử dụng một hình thức mã hóa của giao thức Virtual Network Computing (VNC). Vì tính năng sẽ kích hoạt việc xem và điều khiển từ xa máy Mac, do đó bạn cần quan tâm để bảo đảm vấn đề bảo mật mạng. Dịch vụ, khi được kích hoạt bên trong giao diện System Preferences Sharing, sẽ lắng nghe lưu lượng UDP và TCP trên cổng 5900. Khi kích hoạt tính năng chia sẻ màn hình, hoặc khi các quản trị viên doanh nghiệp mua các đăng ký quản lý từ xa Apple Remote Desktop (ARD), dịch vụ sẽ được kích hoạt. Mặc định, tất cả người dùng không phải là khách đều được phép truy cập vào dịch vụ. Do đó tốt nhất là các bạn nên hạn chế các điều khoản chia sẻ, sau đó chỉ cho phép trên các hệ thống mà ở đó bắt buộc tính năng này (nên vô hiệu hóa nó trên các hệ thống khi có thể để thắt chặt hơn vấn đề bảo mật). Khi dịch vụ cần phải được kích hoạt, quản trị viên cần chỉ rõ người dùng nào sẽ được phép truy cập tính năng chia sẻ màn hình. Bên trong giao diện Screen Sharing, chọn nút Allow Access For để hạn chế sự truy cập chia sẻ màn hình với một số người dùng có trong danh sách của bạn. Liệt ra những tài khoản người dùng nào xác thực có thể thực hiện các hoạt động hỗ trợ và quản lý từ xa. Mac firewall Nhiều quản trị viên doanh nghiệp triển khai các tường lửa vững chắc ở vành đai mạng. Mặc dù vậy các router phần cứng bảo vệ các mạng bên trong không hết sức dễ dùng tí nào. Khi bước đầu tiên được yêu cầu, chúng chỉ bảo vệ các hệ thống phía bên kia sau tường ở mức độ vừa phải, cũng không có tường lửa gateway bảo vệ hệ thống máy khách khi hệ thống đó hoạt động bên ngoài bởi các nhân viên lưu động. Đó là lý do tại sao các quản trị viên doanh nghiệp nên xem xét việc phát huy ưu thế của tường lửa ứng dụng của Mac. Tường lửa ứng dụng cá nhân của Mac OS X Snow Leopard có thể phát huy ưu thế các rule và cho phép/vô hiệu hóa “động” lưu lượng để bảo vệ các dịch vụ mạng tốt hơn. Nó cho phép các kết nối mạng dựa trên các yêu cầu dịch vụ và ứng dụng, không cứ các cổng tĩnh chuẩn, vì vậy bảo vệ tốt hơn các hệ thống di động so với các thiết bị phần cứng không phải lúc nào cũng có mặt. Vì tường lửa hoạt động “động”, do đó nó sẽ cải thiện được vấn đề bảo mật. Xem xét thêm chương trình IM. Khi người dùng đăng nhập và iChat được mở, tường lửa ứng dụng cá nhân sẽ cho phép các cổng cần thiết cho hoạt động của ứng dụng. Tuy nhiên khi họ đóng ứng dụng (hoặc các dịch vụ khác, khi đăng xuất), tường lửa Mac sẽ đóng các cổng đó, vì vậy sẽ thắt chặt vấn đề bảo mật. Tường lửa của Mac được kích hoạt từ bên trong giao diện System Preferences Security. Kích tab Firewall sẽ mở giao diện tường lửa. Việc ghi chép luôn được kích hoạt. Các thông tin ghi lại sẽ được lưu bên trong file /private/var/log/appfirewall.log. Ngoài ra, tường lửa có thể được tùy chỉnh. Sử dụng nút Advanced, bạn có thể kiểm tra các dịch vụ tích cực và điều chỉnh các dịch vụ nào đó.