Online Media

Có nhiều cách để quản lý kết nối Internet, tùy quy mô hệ thống mạng, tính quan trọng của dữ liệu và trình độ người dùng. Từ những thiết lập bảo mật đơn giản có sẵn trong các trình duyệt web cho đến những giải pháp "đao to búa lớn", nhìn chung chúng ta có thể giải quyết vấn đề này bằng phần mềm, bằng phần cứng hoặc sử dụng kết hợp cả hai.

Trên thị trường hiện nay có rất nhiều phần mềm giám sát kết nối mạng, nhưng để đạt hiệu quả cao nhất bạn cần phải trang bị thêm máy móc, nhân viên kỹ thuật để quản lý và cả chi phí bản quyền khá lớn. Bạn cũng có thể sử dụng giải pháp phần cứng như thiết bị tường lửa (firewall) chuyên dụng hoặc thiết bị router tích hợp tường lửa. Ngoài khả năng quản lý kết nối, một số router còn có những tiện ích tăng tính bảo mật cho hệ thống mạng như phòng chống tấn công từ chối, khóa dịch vụ chia sẻ dữ liệu qua mạng, lọc nội dung website... Giải pháp "tất cả trong một" không những giúp bạn tiết kiệm chi phí mà còn tiết kiệm được không gian làm việc. Giải pháp này thích hợp với các doanh nghiệp nhỏ và người dùng gia đình.

Để tiện cho việc hướng dẫn, chúng tôi sử dụng tường lửa tích hợp router Vigor 2800VG của DrayTek. Bạn có thể tham khảo thêm thông tin về router này trong bài viết "Router ADSL 2/2+ Đa năng hơn" (ID: A0612_90). Ngoài tiện ích tường lửa, sản phẩm này còn tích hợp các chính sách phòng chống tấn công từ chối dịch vụ DoS/DDoS, khóa các dịch vụ chia sẻ, dịch vụ chat, các website được liệt vào danh sách "không cần thiết" với chế độ lọc theo dạng Call filter và Data filter, hoặc với SurfControl (dùng thử 30 ngày) người dùng có thể lọc nội dung website theo chủ đề được phân loại trước...

Ghi chú:

- Không phải tất cả router đều có những tiện ích, tính năng chúng tôi đề cập trong bài viết.

- Để đảm bảo an toàn cho hệ thống mạng, chúng ta nên thiết lập cơ chế phòng chống tấn công từ chối dịch vụ cho router và gán IP cố định cho các máy tính có kết nối Internet.

- Bạn đọc có thể tham khảo thêm kiến thức về địa chỉ IP, giao thức TCP/IP trong giáo trình CCNA của Cisco hoặc tại website http://www.vovisoft.com/mcse/rks/tnt/TCPIP.htm

Chống tấn công DoS/DDoS

Hình 1. Thiết lập cơ chế phòng chống tấn công

Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) đang là vấn đề gây đau đầu cho các nhân viên quản trị mạng vì chúng không có cách phòng chống tuyệt đối. Tuy vậy, bạn có thể kích hoạt tính năng này trong router để hạn chế phần nào tác hại khi bị tấn công. Thiết lập như sau:

- Trong Internet Explorer, nhập địa chỉ 192.168.1.1 (địa chỉ mặc định với router Vigor 2800VG) và nhấn Enter. Nhập tên tài khoản quản trị và mật khẩu để vào giao diện quản lý của router (tham khảo trong tài liệu của router).

- Trong mục Firewall.DoS Defense, đánh dấu chọn Enable DoS Defense để kích hoạt (Hình 1).

Gán IP cố định cho máy tính

Hình 2. Gán địa chỉ IP cố định

Các router thường có tính năng cấp phát địa chỉ IP động (DHCP Server), nhưng để dễ kiểm soát cũng như tránh nhầm lẫn khi ngăn chặn, chúng ta nên gán địa chỉ IP cố định cho các máy tính cần quản lý.

Trước tiên, chúng ta sẽ kiểm tra địa chỉ IP đang sử dụng thông qua tên máy tính (mỗi máy thường có một tên riêng do người quản trị đặt). Khi đã xác định được IP và tên máy, trong giao diện quản lý của router, mục Bind IP to MAC, chúng ta đánh dấu chọn Enable, chọn địa chỉ IP tương ứng trước khi nhấn Add (Hình 2).

Ngăn chặn game trực tuyến

Thực hiện ngăn chặn bằng cách cấm kết nối tới địa chỉ IP của máy chủ game (game server). Tùy theo khả năng, kiến thức và kinh nghiệm của mình, bạn sẽ nhận biết được địa chỉ IP của game server.

Sử dụng NAT Session Table trong mục Diagnostic để quan sát kết nối Internet hiện tại của các máy tính trong mạng. Ví dụ: máy tính có địa chỉ IP 192.168.9.13 đang truy cập vào địa chỉ IP 222.255.12.223 và 222.255.12.245. Sau khi kiểm tra thông tin, bạn biết được đây là địa chỉ của các máy chủ trong game CLTB. Một game sẽ có nhiều máy chủ và các địa chỉ IP thường thay đổi ở cụm số thứ 4 (223, 245...). Để chọn nhanh, chúng ta sẽ chặn từ trong khoảng từ 1 đến 254 nhưng nếu có điều kiện, bạn hãy theo dõi cụ thể từng máy chủ game để ngăn chặn chính xác hơn.

Thiết lập quy tắc lọc

Hình 3: Thiết lập qui tắc lọc

Trong giao diện quản lý, chọn mục Filter Setup trong Firewall. Bạn có thể chọn bất kỳ Set nào trong mục này. Ở đây chúng ta sẽ chọn Set 2 (default data filter) và Fiter Rule 2 (do Filter Rule 1 được thiết lập mặc định). Trong khung Comment, bạn có thể ghi chú để dễ phân biệt, ví dụ, "cam game truc tuyen". Với game CLTB, chúng ta sẽ thực hiện như sau: 

• Comment: CLTB

• Pass or Lock: Block Immediately

• Source: IP của máy tính đã gán địa chỉ MAC. Ví dụ 192.168.9.13, do chỉ cấm duy nhất một địa chỉ IP nên chọn Subnet Mask là 255.255.255.0(/32).

• Destination: gõ địa chỉ của máy chủ game, do cấm trong tầm từ 1 đến 254 nên sẽ gõ 222.255.12.1, chọn Subnet Mask là 255.255.255.0(/24). Nhấn OK để kết thúc việc thiết lập (Hình 3).

Để kích hoạt việc ngăn chặn, trong Firewall.General Setup, đánh dấu chọn Enable mục DataFilter, Start Filter Set: Set #2. Sau khi thiết lập, máy tính sẽ không thể kết nối với máy chủ game CLTB. Để gỡ bỏ, bạn chỉ cần trả lại các thiết lập mặc định của set đó.

Lọc theo địa chỉ IP nội bộ

Hình 4: Lọc dịch vụ theo địa chỉ IP nội bộ

Tương tự việc ngăn chặn game trực tuyến, bạn có thể quản lý kết nối dựa vào địa chỉ IP của các máy tính trong mạng nội bộ. Một bộ lọc với khả năng tùy biến cao cho phép nhân viên quản trị mạng áp dụng chính sách theo ý muốn một cách đơn giản và hiệu quả. Ví dụ: các máy của phòng kế toán không được phép kết nối Internet. Địa chỉ IP của máy tính phòng kế toán là 192.168.9.34 và 192.168.9.35. Chúng ta sẽ thiết lập trong Data Filter, mục Filter Setup (Hình 4). Ngoài ra, chúng ta có thể ngăn chặn truy cập dựa vào cổng kết nối (port).

Khóa dịch vụ chát

Hình 5: Ngăn chặn các dịch vụ chat

Chat (IM) là một trong những cách thức trao đổi thông tin hiệu quả hiện nay. Nó nhanh và tiện dụng hơn email, điện thoại. Tuy nhiên, việc lạm dụng chat gây lãng phí thời gian và làm giảm hiệu suất làm việc. Vì vậy, bạn có thể chặn dịch vụ này nếu thấy cần thiết. Để cấm chat, trong Firewall chọn IM Blocking. Đánh dấu chọn Enable IM Blocking và thiết lập lịch biểu cho phép hay ngăn chặn trong mục Time Schedule (Hình 5). 

Khóa chia sẻ ngang hàng 

Hình 6: Ngăn chặn chia sẻ mạng ngang hàng

Việc chia sẻ dữ liệu theo kiểu ngang hàng (peer-to-peer hay P2P) chiếm dụng băng thông khá lớn, thậm chí có thể gây nghẽn cả hệ thống. Hơn nữa khi chia sẻ ngang hàng, nguy cơ mạng bị tấn công từ chối dịch vụ rất lớn.

Trong Firewall, chọn mục P2P Blocking. Đánh dấu tùy chọn Enable P2P Blocking và chọn các dạng chia sẻ cần khóa (Hình 6).

Lọc trang web bằng từ khóa

Hình 7. Lọc dịch vụ bằng địa chỉ URL

Đầu tiên, bạn chọn mục URL Content Filter để kích hoạt tính năng này. Nhập từ khóa đại diện và tất cả các trang web có cụm từ liên quan đến từ đại diện sẽ bị lọc. Ví dụ bạn nhập từ "nhac" thì tất cả các trang như www.nhacso.net, www.nghenhac.info, tapchiamnhac.net.. sẽ bị cấm truy cập (Hình 7). Ngoài ra bạn còn có thể khóa các tập tin tự động chạy như ActiveX... 

Lọc Web theo chủ đề được phân loại bởi SurfControl

Hình 8. Lọc dịch vụ bằng SurfControl

Bạn có thể thực hiện lọc trang web theo chủ đề đã được phân loại sẵn bởi SurfControl - một trong các nhà cung cấp phân tích và phân loại website hàng đầu thế giới. Ví dụ bạn có thể chỉ cho phép truy cập vào những trang web học tập, xem film, hay chỉ cho phép truy cập trang tin tức, thời sự... nhưng không được truy cập trang liên quan đến chính trị... tất cả đều có thể thực hiện dễ dàng qua vài thao tác nhấn chuột (Hình 8).

Minh Quân