Tài liệu Data loss prevention

ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG ĐỒ ÁN MÔN XÂY DỰNG CHUẨN CHÍNH SÁCH AN TOÀN THÔNG TIN TRONG DOANH NGHIỆP DATA LOSS PREVENTION XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN CHO DOANH NGHIỆP I. Hiện trạng của doang nghiệp Phân tích điểm yếu của mô hình mạng doang nghiệp như sau - Sử dụng mô hình workgroup. Không quản lý được người dùng - Không xây dựng chính sách riêng cho các phòng ban - Chưa xây dựng được mô hình quản lý các thiết bị - Hệ thống File Server không mang tính an toàn và bảo mật chưa cao - Rủi ro mất dữ liệu từ nhân viên - Không có phần mền antivirus làm hệ thống dễ bị xâm nhập bởi các phần mền độc hại và virus xâm nhập đánh cắp dữ liệu và gây tê liệt máy tính. - Chưa xây dựng hệ thống backup và restore tự động khii máy tính của công ty gặp sự cố - Chưa xây dựng được hệ thống chạy song song để máy tính giảm thiểu tối đa việc an toàn dữ liệu và thông tin cho doanh nghiệp Máy tính dễ bị xâm nhập bởi các phần mền gián điệp virut. Máy tính của bạn sẽ không an toàn, dễ mất dự liệu và máy tính không có tính bảo mật cao Thông tin người dùng dễ bị xâm nhập Khả năng chống attaker còn yếu Dễ bị nhiễm các phần mền độc hại Không kiễm soát được hacker xâm nhập Tính bảo mật của mô hình chưa cao Chưa phân mô hình Server – Client để quản lý tất cả các thiết bị, tập tin và phân quyền truy cập cho từng máy Chưa xây dựng được mô hình web Server và mail Server Rủi ro mất dữ liệu khá lớn từ nhân viên Chưa xây dựng domain dự phòng Chưa thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. • Cho phép hoặc cấm những dịch vụ truy cập ra ngoài. • Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập • Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Phân tích những rủi ro mất mát dữ liệu Rủi ro mất mát dữ liệu từ Attacker Phân tích rủi ro mất dữ liệu của mô hình doanh nghiệp A: Actacker: gồm những người cần ăn cắp hoặc thay đổi nội dung của dữ liệu gồm có dữ liệu được mã hoá và dữ liệu thô (không mã hoá, dữ liệu nguyên thuỷ), bằng tất cả mọi phương thức có thể ( gắn thêm thiết bị đầu cuối , sniffing data trên đường nó đi (The man in middle), lắng nghe ở ngõ ra , tấn công vào 1 digital certificate....) Một dữ liệu thô khi duy chuyễn trên đường truyền sẽ không được mã hoá do đó việc The Man in middle "bắt" và thay thế dữ liệu đó bằng 1 dữ liệu khác nhằm thay đổi nội dung của packet là điều không thể tránh khỏi, và nếu không xem kỹ thì sẽ rất khó nhận biết hoặc sẽ không thể nhận biết nếu actacker là một người có thể xem là một chuyên gia máy tính… + Một dữ liệu được mã hoá sẽ truyền đi với 1 chuỗi dữ liệu mã hoá kèm với một key, key này sẽ được tạo ra dựa trên chuổi dữ liệu được mã hoá và có dung lượng nhỏ hơn nhiều so với dữ liệu ban đầu.( chữ ký điện tử - Digital signature). Khi actacker bắt dữ liệu và tìm cách thay đổi nó thì dữ liệu mã hoá và key sẽ không trùng nhau, khi chuyển đến người nhận họ sẽ dùng chính khoá đó để so sánh với dữ liệu (dựa trên các thuật toán dùng chung ), nếu dữ liệu bị thay đổi thì khoá không trùng. Xác định những rủi ro và những mối đe dọa máy tính qua những giai đoạn sau: • Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho máy tính. Chú ý setup password cho tài khoản built-in ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của tổ chức. Thường thì Chúng ta có thói quen không tốt ở giai đoạn này là set password null (không đặt pssword). • Xác lập chính sách bảo mật chuẩn bảo mật cơ bản (baseline security) theo quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi máy tính. Bảo mật cho các máy tính có vai trò đặc biệt. Ví dụ Web server, Database Server. Căn cứ trên chính sách bảo mật chuẩn, các quản trị an ninh mạng cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers. • Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường sẽ update các Service packs, securiry updates..) Đây là điều bắt buộc để nâng cao hơn nữa bảo mật cơ bản (baseline security) đã được thiết lập. • Máy tính khi không còn sử dụng hoặc tặng cho người khác cũng cần phải security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này. B. Rủi ro mất mát dữ liệu từ Nhân Viên Những Tầm quan trọng của việc bảo mật cho máy tính . Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một máy tính mới, một Virus có thể lây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng máy tính có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ chức. Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các máy tính của tổ chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài, cách cài đặt này nhanh chóng và tỏ ra rất chuyên nghiệp. Trong suốt quá trình cài đặt Hệ Điều Hành qua Mạng này, tài khỏan Local administrator của các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ thống và mạng, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua Mạng cho máy tính của sếp và password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất quan trọng và hầu hết có giá trị kinh tế...). Đây là một trong rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ. Những mối đe dọa phổ biến: Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với máy tính. Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dụng kết nối với Internet như Chat, Internet Browser, E -mail… Giải pháp giảm thiểu tối đa các nguy cơ dẫn đến mất mát dữ liệu của Doanh Nghiệp Vấn đề bảo mật đã và đang là một đề tài hết sức nóng bỏng. Vì tài liệu rất quan trọng là cả một tài sản của một tổ chức, do đó bảo mật dữ liệu là vấn đề được các tổ chức quan tâm hàng đầu. Nếu như một tổ chức yếu kém vể bảo mật Attacker có thể trực tiếp tấn công thẳng vào hệ thống máy tính và lấy đi những tài liệu quan trọng của mình. Sau đây là các giải pháp giúp doanh nghiệp hiểu biết sâu rộng hơn về vấn đề bảo mật hệ thống máy tính của mình. Hầu hết các loại máy tính nếu không có những kẽ hở thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những lỗ hổng, tiềm ẩn những nguy cơ cho attacker xâm nhập tấn công và lấy cắp các tài liệu. Security Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình hệ thống mạng đang hoạt động. Xây dựng hệ thống mạng luôn đảm bảo cung cấp các giải pháp về an ninh hệ thống theo những cấp độ (tổ chức, điều hành, thương mại, tài chính và về con người) đúng theo tiêu chuẩn hiện đại (chính sách an ninh, tổ chức, phân loại và kiểm soát tài nguyên, an ninh nhân sự, an ninh môi trường và vật lý, quản lý tác nghiệp và truyền thông, kiểm soát truy cập, duy trì và cải tiến, quản lý liên tục, tính tuân thủ) có thể ảnh hưởng đến an ninh thông tin của doanh nghiệp nhằm đảm bảo tính : Tính tin cậy (Confidentiality) Tính toàn vẹn (Integrity) Tính sẵn sàng (Availability) GiảI pháp bảo vệ đa cấp về phần cứng Lớp Firewall bên ngoài Lớp an ninh trung gian Firewall bảo vệ hệ thống máy chủ (serverfarm) - internal firewall Phần mềm phòng chống Virus cho máy trạm (end-user) Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention) Giải pháp an ninh vật lý cho các phòng máy chủ Hệ thống giám sát và quản trị hệ thống an ninh thông tin Xây dựng chính sách an ninh cho doanh nghiệp 3. Xây dựng hệ thống cho công ty Vẽ lại hệ thống tổng thể 1. Mô hình chi tiết An toàn bảo mật cho máy chủ Web Server(Web Security) Nhiệm vụ của Web Security Bảo vệ các dịch vụ, bảo vệ Web Server, Database, Source Code Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó. Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay phần mềm chứa mã nguy hiểm. Bài viết dưới đây được trình bày như những lời khuyên cho việc đảm bảo an toàn cho các máy chủ Web. Đặt các Webserver của bạn trong vùng DMZ. Thiết lập firewall của bạn không cho các kết nối tới Webserver trên toàn bộ các cổng, ngoại trừ cổng 80 (http), cổng 443 (https) và các cổng dịch vụ mà bạn sử dụng. Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver của bạn ngay cả dịch vụ truyền tệp FTP (chỉ giữ lại nếu thật cần thiết). Mỗi dịch vụ không cần thiết sẽ bị lợi dụng để tấn công hệ thống nếu không có chế độ bảo mật tốt. Không cho phép quản trị hệ thống từ xa, trừ khi nó được đăng nhập theo kiểu mật khẩu chỉ sử dụng một lần hay đường kết nối đã được mã hoá. Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root). Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log file này trong môi trường được mã hoá. Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt động nào. Cài đặt các bẫy macro để xem các tấn công vào máy chủ. Tạo các macro chạy liên tục hoặc ít ra có thể kiểm tra tính nguyên vẹn của file passwd và các file hệ thống khác. Khi các macro kiểm tra một sự thay đổi, chúng nên gửi một email tới nhà quản lý hệ thống. Loại bỏ toàn bộ các file không cần thiết khỏi thư mục chứa các file kịch bản thi hành: /cgi-bin. Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ các nhà cung cấp. Nếu hệ thống phải được quản trị từ xa, đòi hỏi một cơ chế bảo mật như bảo mật shell, được sử dụng để tạo ra một kết nối bảo mật. Không sử dụng telnet hay ftp với user là anynomous (đòi hỏi một usernam và password cho việc truy cập) từ bất cứ site không được chứng thực nào. Tốt hơn, hãy giới hạn số kết nối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet của bạn. Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sử dụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thực Chạy server FTP theo chế độ anonymous (nếu hệ thống cần) trong một thư mục được đặt quyền truy cập, khác với thư mục được sử dụng bởi webserver. Thực hiện toàn bộ việc cập nhật từ mạng Intranet. Duy trì trang web ban đầu trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL. Nếu thực hiện điều này hàng giờ, có thể tránh khả năng server treo một thời gian dài. Quét Webserver theo định kỳ với các công cụ như ISS hay nmap để tìm kiếm lỗ hổng bảo mật. Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềm này cảnh báo các hành động nguy hiểm và bắt các session của chúng lại để xem.. Thông tin này có thể giúp bạn lấy được thông tin về cách thức phá hoại mạng, cũng như mức độ bảo mật trong hệ thống của bạn. Tuân thủ các quy tắc nhất định nêu trên sẽ giúp cho Webserver được bảo vệ tốt hơn và người quản trị mạng không còn chịu nỗi đau đầu, lo lắng về vấn đề an toàn máy chủ web và an toàn thông tin cho toàn bộ hệ thống. Mô hình chi tiết An toàn bảo mật cho máy chủ Mail Server(Mail Security) Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server) Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server) Cấu hình nhiều mail-server để sử dụng một nơi lưu giữ mail đơn hay một nơi lưu giữ mail từ xa , bạn phải đang sử dụng một Active Directory integrated authentication (chứng thực tích hợp Active Directory) hoặc encrypted password file authentication (chứng thực file mật khẩu được mã hóa). Mail-server phải ở trong cùng một domain Active Directory như máy tính mà trên đó nơi lưu giữ mail được cấu hình. Để cấu hình nhiều mail-server có thể sử dụng một nơi lưu giữ mail đơn hay nơi lưu giữ mail từ xa: + Theo chỉ dẫn trợ giúp của Windows Server 2003 để cài đặt các dịch vụ Email trên mỗi máy tính mà bạn muốn sử dụng như là một mail-server. Những chỉ dẫn này được cung cấp trong mục trợ giúp “To install e-mail services”. Để xem mục này, nhấn Start, và sau đó nhấn Help and Support. Nhấn Internet and E-mail Services, nhấn E-mail services và sau đó nhấn POP3 service. Nhấn How To, Set Up the POP3 Service và sau đó nhấn Install e-mail services. + Trên mỗi mail-server, chọn ‘Active Directory integrated authentication’ hoặc ‘encrypted password file authentication’. Các chỉ dẫn cho thủ tục này được cung cấp trong mục trợ giúp “Set the authentication method”. Để xem mục này, nhấn Start sau đó nhấn Help and Support. Nhấn Internet and E-mail Services, nhấn E-mail services và sau đó nhấn POP3 service. Nhấn How To, nhấn Set Up the POP3 Service và sau đó nhấn Set the authentication method. + Làm bất cứ các thay đổi bổ sung nào cho cấu hình của các mail-server riêng lẻ như thiết lập mức đăng ký (logging level) hay cổng (port), hay cấu hình SPA (secure password authentication). + Làm theo những chỉ dẫn trong trợ giúp của Windows Server 2003 để cấu hình một thư mục hay ổ đĩa như một folder dùng chung để làm nơi lưu giữ mail. Những chỉ dẫn này được cung cấp trong mục trợ giúp "Share a folder or drive". Để xem mục này, nhấn Start và sau đó nhấn Help and Support. Nhấn Disks and Data, nhấn Managing Files and Folders, Shared Folders, How To, Share a folder or drive. + Phụ thuộc vào việc bạn đang sử dụng ‘encrypted password file authentication’ (chứng thực tệp tin mật khẩu được mã hóa) hay ‘Active Directory integrated authentication’ (chứng thực được tích hợp Active Directory), làm một trong các bước sau: * Nếu bạn đang sử dụng ‘encrypted password file authentication’, bạn phải dùng cùng GUID (globally unique identifier) trên mỗi mail-server. Để làm như vậy, chọn một mail-server, nhận diện GUID của nó và sau đó cấu hình tất cả các mail-server khác để sử dụng chung GUID này. GUID được định vị tại: HKEY_LOCAL_MACHINE\ SOFTWARE\microsoft\pop3service\auth\authguid. GUID được hiển thị trong cột Data. Hoặc nếu bạn nhấn đúp vào khóa (key) authguid, GUID hiển thị trong cột Value data. Để thay đổi GUID: - Nhấn Start, nhấn Run và sau đó gõ: regedit -Vào HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\pop3service\auth\ authguid - Nhấn đúp và khóa authguid và sau đó, trong Value data gõ : GUID - Sau việc sửa đổi đang ký (registry), bạn phải khởi động lại dịch vụ POP3. Nhấn Start, nhấn Run, gõ cmd và sau đó nhấn OK. - Tại dấu nhắc dòng lệnh, gõ: net stop pop3svc - Sau khi dịch vụ đã dừng, tại dấu nhắc dòng lệnh, gõ : net start pop3svc * Nếu bạn đang sử dụng ‘Active Directory integrated authentication’, bạn phải chờ replication (bản sao) của ‘Active Directory’ xuất hiện, như vậy tất cả các mail-server có thể truy nhập vào nơi lưu giữ mail mới. Thời gian replication thay đổi, phụ thuộc vào số lượng các ‘domain controller’ trong việc triển khai của bạn. Thông tin chi tiết về ‘Active Directory replication’, xem trong mục trợ giúp của Windows Server 2003 “Replication overview”. Để xem mục này, nhấn Start và sau đó nhấn Help and Support. Nhấn Active Directory, nhấn Concepts, nhấn Understanding Active Directory, nhấn Understanding Sites and Replication và sau đó nhấn Replication overview. + Làm theo những chỉ dẫn trợ giúp trong Windows Server 2003 để cấu hình mỗi mail-server một nơi lưu giữ mail và sử dụng nơi lưu giữ mới mà bạn đã tạo. Nếu bạn đã tạo ra một thư mục chia xẻ từ xa như mail root, đường dẫn sẽ là như sau: \\path\share. Để xem mục trợ giúp cho thủ tục này, nhấn Start và sau đó nhấn Help and Support, Internet and E-mail Services, E-mail services, POP3 service, How To, Set Up the POP3 Service, Set the mail store. + Sau khi thiết lập nơi lưu giữ mail, bạn phải khởi động lại dịch vụ POP3. Nhấn Start, Run, gõ cmd và sau đó nhấn OK. + Tại dấu nhắc dòng lệnh, gõ: net stop pop3svc + Sau khi dịch vụ dừng, tại dấu nhắc dòng lệnh, gõ: net start pop3svc Để đặt bảo mật (security) và và sự cho phép (permissions) cho nơi lưu giữ mail : Trên máy tính mà tại đó nơi lưu giữ mail được cấu hình, chạy Windows Explorer. [item]Nhấn chuột phải trên thư mục hay ổ đĩa chia xẻ mà bạn muốn sử dụng như một nơi lưu giữ mail và sau đó nhấn Sharing and Security. Kiểm tra lại xem Share this folder đã được chọn. [item]Trên tab Sharing, nhấn Permissions, nhấn Everyone và sau đó nhấn Remove. [item]Nhấn Add, nhấn Object Types, chọn Computers và sau đó nhấn OK. [item]Trong Select Users, Computers, or Groups gõ: Domain Admins; Network Service; System; và các tên của tất cả mail-server trong sự triển khai của bạn, mỗi tên cách nhau bởi một dấu chấm phẩy và sau đó nhấn OK. [item]Nhấn Domain Admins và sau đó nhấn Full Control. [item]Lặp lại bước trước đó cho Network Service, System và mỗi tài khoản mail-server và sau đó nhấn OK. [item]Trên tab Security, thực hiện lại các bước từ 47. [item]Trên tab Security, nhấn Advanced. [item]Kiểm tra lại tùy chọn Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here được chọn. [item]Chọn Replace permission entries on all child objects with entries shown here that apply to child objects, OK, Yes khi có dấu nhắc và sau đó nhấn OK. [item]Tạo các domain e-mail và các mailbox. Để xem mục trợ giúp của các thủ tục này, nhấn Start và sau đó nhấn Help and Support, Internet and E-mail Services, E-mail services, POP3 service, How To và thực hiện một trong các bước sau : * Để xem mục trợ giúp tạo ra các domain e-mail, nhấn Manage Domains và sau đó nhấn Create a domain. * Để xem mục trợ giúp tạo ra các mailbox, nhấn Manage Mailboxes và sau đó nhấn Create a mailbox. Mô hình chi tiết An toàn bảo mật cho máy chủ FTP Server(FTP Security) Các ứng dụng FTP Client như FileZilla, Cyberduck, WinSCP... đang được sử dụng khá phổ biến và rộng rãi hiện nay để truy cập, upload và download dữ liệu tới web server của người dùng bằng cách tạo kết nối qua FTP – giao thức File Transfer Protocol với nhiệm vụ chính là tiếp nhận và xử lý yêu cầu về gửi hoặc nhận dữ liệu, tạo kết nối trực tiếp tới host lưu trữ. Không giống như HTTP – được thiết kế để chuyển tiếp dữ liệu dạng hyper – text qua kết nối TCP, thì chuẩn FTP đảm bảo rằng server sẽ phản hồi lại các yêu cầu ngay khi nhận được tín hiệu từ host. Không chỉ cung cấp khả năng truyền file chính xác và nhanh chóng, bên cạnh đó là việc bảo mật, cung cấp cho người dùng nhiều tùy chọn hơn trong quá trình download và upload dữ liệu, và 1 trong những tính năng tiện lợi nhất là Resume. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một vài bước cơ bản để thiết lập hệ thống server FTP cá nhân, qua đó người dùng có thể truy cập từ bất cứ đâu qua ứng dụng FTP client, cho phép nhiều tài khoản khác nhau upload và download dữ liệu trực tiếp tới server. Quá trình thiết lập và cấu hình FTP Server khá phức tạp, nhưng nếu tự tạo được 1 hệ thống FileZilla FTP Server chúng ta hoàn toàn có thể biến chiếc máy tính sử dụng Windows thành FTP server, sau đó thiết lập kết nối với nhiều máy tính client khác. Về mặt bản chất, FileZilla FTP Server là 1 ứng dụng mã nguồn mở miễn phí dành cho hệ điều hành Windows, hỗ trợ giao thức kết nối bảo mật FTP và FTP qua SSL/TLS tới server. Khi sử dụng giao thức SSL, chúng ta có thể mã hóa các kết nối giữa các host với nhau để đảm bảo lượng dữ liệu được truyền tải an toàn, bên cạnh đó thì ứng dụng này còn cho phép người dùng tùy chọn nhiều địa chỉ và cổng server khác nhau. FileZilla Server Interface không chỉ cung cấp cho người dùng sự tiện lợi trong quá trình tạo và quản lý người dùng, mà còn thiết lập quyền đọc hoặc ghi đối với từng tài khoản khác nhau, do vậy người quản lý sẽ hạn chế được việc truy cập trái phép vào những phần tài liệu riêng tư. Bên cạnh đó, chúng ta còn có thể tạo Group – được dùng để kết hợp nhiều tài khoản người dùng có cùng mức phân quyền lại với nhau, và một số thiết lập khác như: giới hạn server, kích hoạt hoặc không sử dụng tính năng SSL khi người dùng đăng nhập, tốc độ truyền tải dữ liệu tối đa... Để thực hiện, các bạn hãy tải và cài đặt phần mềm FileZilla tại đây, sau đó khởi động ứng dụng, nhập địa chỉ localhost (127.0.0.1) trong phần Server Address và mật khẩu trong tại ô Administration Password, giá trị Port mặc định ở đây là 14147. Nhấn OK: Như đã đề cập tới ở trên, Group sẽ giúp chúng ta dễ dàng hơn trong việc quản lý nhiều tài khoản người dùng tương tự nhau. Việc cần làm trước tiên tại đây là tạo mới Group, sau đó gán từng tài khoản riêng biệt tới nhóm này. Các bạn chọn menu Edit > Groups như hình dưới: Bảng điều khiển Groups sẽ hiển thị, trước tiên chúng ta sẽ nhấn Add và nhập tên của nhóm cần tạo, sau đó kích hoạt quyền truy cập cho các tài khoản bên trong nhóm từ phần Group Settings.Tiếp theo là việc chỉ định thư mục sẽ được phép chia sẻ với các client, chuyển tới phần Shared folders từ phía bên trái và chọn thư mục cần chia sẻ để gán tại đây. Sau đó, chúng ta sẽ chuyển tới bước tiếp theo là gán tài khoản người dùng tới Group: Từ menu Edit, các bạn chọn Users: Tương tự như Groups, chúng ta có thể tạo tài khoản người dùng – User và thiết lập mức phân quyền đọc, ghi tương ứng. Nhấn nút Add, đặt tên cho tài khoản, chọn nhóm tương ứng từ menu drop – down, sau đó nhấn OK để hoàn tất: Ở chế độ mặc định, hệ thống sẽ tạo tài khoản người dùng với mật khẩu trống, nhưng nếu muốn đặt mật khẩu bảo vệ cho User thì các bạn hãy kích hoạt tùy chọn Password trong phần Account Settings. Tại đây, chúng ta còn có thể thay đổi Group membership, kích hoạt tùy chọn Bypass userlimit of server và Force SSL for user login: Nếu không chỉ định bất kỳ thư mục chia sẻ nào trong khi tạo Groups thì có thể gán sau đó. Chỉ việc chọn Shared folders sau đó nhấn Add từ Shared folders: Phần Files và Directories cho phép chúng ta xác nhận mức phân quyền đối với các tài khoản người dùng, bao gồm: đọc, ghi, xóa, liệt kê. Ở chế độ mặc định, chương trình sẽ tự động gán quyền tới tất cả các thành phần bên trong thư mục được chia sẻ đó. Tuy nhiên, các bạn có thể tắt bỏ tùy chọn +Subdirs để hạn chế việc truy cập, trong phần Shared Limits là việc thiết lập tốc độ download và upload tối đa đối với từng tài khoản, tùy từng khoảng thời gian trong ngày, và trong phần IP Filter chúng ta có thể loại bỏ các địa chỉ IP cố định: Khi hoàn tất quá trình thiết lập của User, chúng ta sẽ chuyển sang hệ thống client để khởi tạo kết nối tới server FTP. Nếu muốn truyền tải dữ liệu qua hệ thống mạng local, các bạn có thể dùng địa chỉ IP của máy server để tạo kết nối từ phía client. Dùng lệnh ipconfig trong Command Prompt để tìm địa chỉ IP như hình dưới: Sau đó, mở FileZilla FTP và chọn File > Site Manager, nhập các thông tin cần thiết vào đây. Nếu máy client được kết nối tới cùng hệ thống mạng, hãy điền địa chỉ IP của máy server trong phần Host để kết nối, sau đó chọn Normal từ phần Logon Type. Tiếp theo, nhập tên đăng nhập trong ô User, mật khẩu trong phần Password: Khi hoàn tất, nhấn nút Access: FileZilla FTP Server sẽ ghi lại toàn bộ thông tin về dữ liệu nhận được yêu cầu nhận và gửi đi, bao gồm các địa chỉ kết nối của client, tên đăng nhập, địa chỉ IP, tốc độ truyền tải file: