admin
Các lỗi cấu hình mạng phổ biến và cách khắc phục

24/06/2025 - 03:58

Các sự cố an ninh mạng thường bắt nguồn từ những sai sót tưởng chừng nhỏ nhặt – những lỗi cấu hình có thể tránh được nếu được chú ý đúng mức. Giao tiếp không mã hóa, xác thực dạng văn bản thuần (plain-text authentication), phân đoạn mạng yếu kém, hệ điều hành và ứng dụng lỗi thời, cùng các dịch vụ chưa được bảo mật là những lỗ hổng phổ biến nhưng thường bị bỏ qua. Những lỗi cấu hình này tạo ra điểm truy cập hoặc cơ hội khai thác cho kẻ tấn công, từ đó đe dọa toàn bộ hệ thống của tổ chức bạn.Trong bài viết này, chúng ta sẽ cùng tìm hiểu các lỗi cấu hình mạng thường gặp nhất và đưa ra các bước khắc phục cụ thể, giúp bạn xây dựng một hệ thống mạng bảo mật và vững chắc hơn.

Dịch vụ không được bảo vệ nằm ở vùng biên mạng (Perimeter)

Lỗi cấu hình: Các dịch vụ như web server, Remote Desktop Protocol (RDP) hoặc Secure Shell (SSH) được mở ra Internet mà không có biện pháp bảo vệ phù hợp sẽ trở thành mục tiêu dễ dàng cho kẻ tấn công. Các dịch vụ lộ thiên trên Internet thường bị bỏ sót trong quá trình kiểm tra bảo mật, khiến chúng dễ bị khai thác. Kẻ tấn công có thể tận dụng các điểm yếu này thông qua tấn công brute force, khai thác lỗ hổng phần mềm chưa được vá hoặc đơn giản là do cấu hình sai – từ đó sử dụng các dịch vụ không an toàn làm điểm xâm nhập vào hệ thống nội bộ. Rủi ro càng nghiêm trọng hơn nếu không có các giới hạn truy cập hợp lý, chẳng hạn như cho phép toàn bộ IP toàn cầu truy cập mà không kiểm soát. Nếu không có cơ chế ghi log và giám sát hiệu quả, các vụ xâm nhập có thể tồn tại âm thầm trong thời gian dài mà không bị phát hiện. Hành động khuyến nghị:

  • Triển khai Next-Generation Firewall (NGFW) và Web Application Firewall (WAF) để phát hiện và chặn các hoạt động độc hại.
  • Hạn chế truy cập bằng cách sử dụng danh sách IP cho phép (IP whitelisting) và quy tắc theo vị trí địa lý (ví dụ: chỉ cho phép các IP từ khu vực đáng tin cậy).
  • Tránh công khai các dịch vụ ra Internet trừ khi thật sự cần thiết. Thay vào đó, hãy quản lý truy cập bằng Zero Trust Network Access (ZTNA) hoặc VPN dành cho người dùng.

Truy cập từ xa qua VPN

Lỗi cấu hình: Việc cấu hình VPN sai cách thường dẫn đến việc người dùng có thể truy cập toàn bộ phân đoạn mạng thay vì chỉ giới hạn ở các dịch vụ cần thiết, từ đó tăng mạnh nguy cơ di chuyển ngang trong mạng (lateral movement) hoặc thậm chí là chiếm quyền kiểm soát toàn bộ hệ thống. Việc không giới hạn truy cập và thiếu khả năng giám sát hoạt động người dùng khiến VPN trở thành mắt xích yếu trong hệ thống bảo mật. Chuyển sang các giải pháp hiện đại như Zero Trust Network Access (ZTNA) hoặc client VPN mang lại mức độ kiểm soát chi tiết hơn và giảm thiểu tối đa khả năng bị lộ tài nguyên nội bộ.Hành động khuyến nghị:

  • Giới hạn quyền truy cập VPN chỉ với các dịch vụ và tài nguyên thực sự cần thiết.
  • Triển khai công cụ giám sát để theo dõi hoạt động VPN và phát hiện hành vi đáng ngờ.
  • Chuyển sang ZTNA hoặc client VPN để áp dụng kiểm soát truy cập theo từng dịch vụ cụ thể và tăng cường bảo mật.

Vượt qua chính sách bảo mật trong truy cập từ xa

Lỗi cấu hình: Các thiết bị hoặc phần mềm không được phép, do bên thứ ba hoặc nhà cung cấp sử dụng để lách qua chính sách truy cập, có thể tạo ra kênh truy cập trực tiếp vào hạ tầng nội bộ, gây tổn hại nghiêm trọng đến an ninh mạng của tổ chức. Một kịch bản phổ biến là sự xuất hiện của các router “lạ” (rogue routers) sử dụng kết nối di động (4G/5G), thiết lập VPN tunnel trực tiếp vào hạ tầng nội bộ. Việc này làm vô hiệu hóa các chính sách bảo mật hiện có và mở ra một đường dẫn không kiểm soát vào bên trong hệ thống. Một rủi ro tương tự đến từ các công cụ phần mềm như SoftEther, cho phép thiết lập VPN qua giao thức HTTPS từ bất kỳ thiết bị nào có cài phần mềm. Loại lưu lượng này thường mô phỏng giao tiếp mạng thông thường, khiến tường lửa truyền thống khó phát hiện. Hậu quả là tạo ra các đường truy cập ẩn, có thể bị khai thác bởi kẻ tấn công hoặc nhân viên nội bộ có ý đồ xấu. Hành động khuyến nghị:

  • Thường xuyên kiểm toán dựa trên phân tích lưu lượng mạng để phát hiện thiết bị trái phép, hành vi đáng ngờ và các mô hình giao tiếp bất thường.
  • Bắt buộc sử dụng các giải pháp truy cập từ xa đã được phê duyệt như ZTNA hoặc client VPN.
  • Chủ động vô hiệu hóa các thiết bị và phần mềm truy cập từ xa không được cho phép.

Truy cập trái phép giữa các phân đoạn mạng

Lỗi cấu hình: Việc phân đoạn mạng kém và thiếu kiểm soát trong giao tiếp giữa các vùng mạng cho phép thiết bị từ các môi trường kém an toàn truy cập vào tài nguyên nội bộ, từ đó làm gia tăng đáng kể rủi ro bảo mật. Một trong những nguyên tắc cốt lõi trong thiết kế mạng an toàn là phân đoạn hợp lý và kiểm soát chặt chẽ luồng giao tiếp giữa các phân đoạn. Tuy nhiên, thực tế vẫn thường xuyên xuất hiện tình trạng thiết bị từ các mạng tách biệt – như mạng Wi-Fi dành cho khách – lại có thể truy cập vào DNS hoặc DHCP server nội bộ. Những thiết bị này, vốn không tuân thủ tiêu chuẩn bảo mật của tổ chức, sẽ trở thành mối đe dọa nếu không có biện pháp kiểm soát truy cập phù hợp. Hành động khuyến nghị:

  • Thực hiện phân đoạn mạng nghiêm ngặt, chặn mọi kết nối trái phép giữa các phân đoạn.
  • Giám sát lưu lượng giữa các phân đoạn để kịp thời phát hiện hoạt động bất thường.
  • Thường xuyên kiểm tra cấu hình hạ tầng mạng nhằm phát hiện sớm các điểm yếu và lỗ hổng bảo mật.

Giao tiếp không mã hóa và xác thực dạng văn bản thuần (plain-text)

Lỗi cấu hình: Việc sử dụng các giao thức không mã hóa như HTTP, Telnet, hoặc TFTP, cùng với hình thức xác thực dạng văn bản thuần, khiến tổ chức dễ bị nghe lén và đánh cắp thông tin đăng nhập. Vấn đề này thường bắt nguồn từ hệ thống cũ (legacy) hoặc do cấu hình sai, không hỗ trợ các giao thức mã hóa hiện đại. Kẻ tấn công có thể chặn bắt lưu lượng không mã hóa để truy cập dữ liệu nhạy cảm. Đối với các hệ thống cũ không thể thay thế ngay lập tức, điều quan trọng là phải đánh giá rủi ro, áp dụng biện pháp bảo vệ cần thiết, và xây dựng kế hoạch giảm thiểu rủi ro trong trung hạn. Hành động khuyến nghị:

  • Chuyển sang sử dụng giao thức mã hóa, như HTTPS, SSH, hoặc SFTP.
  • Xác định các hệ thống không hỗ trợ mã hóa và xây dựng kế hoạch nâng cấp phù hợp.

Tiêu chuẩn mã hóa lỗi thời hoặc yếu

Lỗi cấu hình: Việc sử dụng các giao thức mã hóa cũ như TLS 1.0/1.1 khiến tổ chức dễ bị nghe lén và tấn công mạng với các kỹ thuật hiện đại. Các giao thức mã hóa lỗi thời thường xuất hiện trong hệ thống cũ (legacy) hoặc do cấu hình sai. Nếu nguyên nhân là do cấu hình, cần chuyển ngay sang giao thức an toàn hơn. Đối với các hệ thống cũ khó thay thế, cần ghi nhận rủi ro hiện hữu và xây dựng kế hoạch chuyển đổi trung hạn sang tiêu chuẩn mã hóa hiện đại, nhằm đảm bảo dữ liệu quan trọng luôn được bảo vệ. Hành động khuyến nghị:

  • Nâng cấp tiêu chuẩn mã hóa lên các phiên bản an toàn như TLS 1.2/1.3.
  • Xác định các hệ thống đang sử dụng giao thức cũ và lên lịch cập nhật./li>
  • Hạn chế quyền truy cập đối với các hệ thống vẫn còn phụ thuộc vào mã hóa lỗi thời.

Truy vấn DNS ra bên ngoài

Lỗi cấu hình: Các thiết bị gửi truy vấn trực tiếp đến DNS công cộng (external DNS servers) làm tăng nguy cơ rò rỉ thông tin hạ tầng nhạy cảm và có thể bị khai thác qua các kỹ thuật như DNS tunneling. Các thiết bị thuộc mạng nội bộ, máy chủ hoặc hệ thống kỹ thuật nên chỉ sử dụng DNS do tổ chức quản lý. Trong môi trường có thiết bị IoT hoặc các endpoint kém an toàn, truy vấn DNS ra ngoài càng trở nên rủi ro – tạo điều kiện cho kẻ tấn công khai thác các lỗ hổng như DNS spoofing hoặc kênh ẩn giấu dữ liệu (covert tunneling). Hành động khuyến nghị:

  • Đảm bảo các thiết bị nội bộ chỉ giao tiếp với DNS nội bộ được ủy quyền, và chỉ máy chủ DNS này mới được phép phân giải các truy vấn ra ngoài.
  • Giám sát lưu lượng DNS để phát hiện các truy vấn bất thường, đặc biệt là truy vấn trái phép đến DNS công cộng.
  • Chặn truy vấn DNS ra ngoài ở cấp tường lửa để bảo vệ hạ tầng nội bộ khỏi rò rỉ dữ liệu và tấn công tiềm ẩn.

Giao tiếp IPv6 không sử dụng

Lỗi cấu hình: Việc giao tiếp IPv6 vẫn hoạt động trên các thiết bị không có nhu cầu sử dụng thực tế gây ra tăng tải không cần thiết cho mạng và khiến việc quản lý trở nên phức tạp hơn. Trong nhiều tổ chức, các thiết bị được cấu hình với cả địa chỉ IPv4 và IPv6, ngay cả khi IPv6 không được sử dụng thực tế. Điều này dẫn đến việc tạo ra các truy vấn multicast và anycast dư thừa, làm gia tăng lưu lượng mạng mà không mang lại giá trị thực tiễn. Hành động khuyến nghị:

  • Tắt IPv6 trên các thiết bị không cần thiết để giảm thiểu lưu lượng không hiệu quả.
  • Theo dõi lưu lượng IPv6 định kỳ nhằm phát hiện các luồng dữ liệu không tối ưu.

Phòng ngừa mối đe dọa mạng hiệu quả bắt đầu từ cấu hình đúng cách

Những lỗi cấu hình được nêu ở trên không phải là hiếm gặp – chúng thường xuyên xuất hiện trong các cuộc kiểm tra mạng, kể cả ở các tổ chức có quy mô lớn hay nhỏ. Một số lỗi có thể khắc phục nhanh chóng bằng thay đổi cấu hình, trong khi số khác lại đòi hỏi giải pháp chiến lược dài hạn hoặc nâng cấp hạ tầng. Dù mức độ phức tạp ra sao, việc phát hiện sớm các lỗ hổng này là yếu tố then chốt để ngăn chặn các sự cố an ninh mạng. GREYCORTEX Mendel cung cấp cho bạn cái nhìn toàn diện về hệ thống mạng, giúp phát hiện sớm các rủi ro như giao tiếp không mã hóa, điểm truy cập trái phép, và phương thức truy cập từ xa kém an toàn. Với Mendel, bạn có thể chủ động nhận diện lỗ hổng, giảm thiểu rủi ro, và tăng cường hệ thống trước khi các mối đe dọa bùng phát.

28
Tháng 6

admin
RTO là gì? RPO là gì? Sự khác biệt giữa RTO và RPO?  Hướng dẫn đầy đủ

                                            XEM THÊM
26
Tháng 6

admin
CDN là gì? Giải thích về Content Delivery Network

                                            XEM THÊM
25
Tháng 6

admin
Đối Tác Tuân Thủ NIS2 Của Bạn: GREYCORTEX Mendel – Tăng Cường An Ninh Mạng Toàn Diện

                                            XEM THÊM

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *