Típ các pattern design cho Kiến trúc mạng phần cứng, mạng và bảo mật

Posted byNhat TruongPosted inAn Toàn Thông Tin Cơ Bản, nhattruong.blogTags:, , , , , , ,

I. Tổng quan

Kiến trúc hệ thống IoT

Kiến trúc WARP, Zero Trust

Kiến trúc xác thực Authentication & Identity Management

Kiến trúc máy SmartPOS

Kiến trúc máy MQTT

Kiến trúc network mạng văn phòng

II. Kiến trúc hệ thống IoT (Internet of Things)

Kiến trúc này bao gồm hàng vạn đến hàng triệu thiết bị cảm biến (Sensors), bộ điều khiển biên (Edge Gateways) kết nối về Cloud.

✅ 30 PATTERNS (CÁCH LÀM TỐT NHẤT)

  1. Edge Computing: Xử lý, lọc và tổng hợp dữ liệu ngay tại Edge Gateway trước khi gửi lên Cloud để tiết kiệm băng thông 4G/5G.
  2. Device Shadow (Bóng thiết bị): Lưu bản sao trạng thái cuối cùng của thiết bị trên Cloud. App người dùng đọc từ “Bóng” này thay vì gọi thẳng xuống thiết bị đang ngủ/offline.
  3. OTA (Over-The-Air) Updates: Cơ chế cập nhật Firmware từ xa an toàn, hỗ trợ Rollback (quay xe) nếu bản cập nhật bị lỗi (Brick).
  4. Offline Buffering (Store-and-Forward): Lưu tạm dữ liệu cảm biến vào thẻ nhớ/SQLite nội bộ khi rớt mạng, và tự động đẩy lên (sync) khi có mạng trở lại.
  5. Mutual TLS (mTLS): Mỗi thiết bị IoT sở hữu một chứng chỉ X.509 riêng biệt để xác thực hai chiều với Cloud.
  6. Time-Series Database (TSDB): Sử dụng InfluxDB hoặc TimescaleDB trên Cloud để lưu trữ luồng dữ liệu thời gian thực khổng lồ (Metrics, Telemetry) thay vì dùng SQL truyền thống.
  7. Asynchronous Command Handling: Gửi lệnh xuống thiết bị qua Message Queue (MQTT) thay vì HTTP request đồng bộ, vì thiết bị có thể phản hồi chậm.
  8. Payload Compression: Nén dữ liệu bằng Protobuf hoặc CBOR thay vì dùng JSON để tiết kiệm dung lượng truyền tải.
  9. Automated Provisioning/Onboarding: Thiết bị tự động nhận cấu hình, chứng chỉ và đăng ký vào hệ thống (Zero-touch provisioning) ngay lần đầu cắm điện.
  10. Rule Engine at Edge: Cho phép thiết bị biên tự ra quyết định (ví dụ: tự ngắt bơm nước khi quá nhiệt) mà không cần chờ Cloud phản hồi.
  11. Heartbeat / Keep-Alive: Thiết bị gửi gói tin ping siêu nhỏ định kỳ để Cloud biết nó còn sống và duy trì kết nối qua NAT.
  12. Battery-Aware Syncing: Tự động giãn cách thời gian gửi dữ liệu (từ 1 phút lên 1 tiếng/lần) khi pin thiết bị tụt xuống dưới 20%.
  13. Data Anonymization at Edge: Che mờ biển số xe, khuôn mặt ngay tại Camera/Gateway trước khi gửi video/ảnh lên Cloud.
  14. Fleet Management Grouping: Quản lý thiết bị theo nhóm (Tòa nhà, Tầng, Loại thiết bị) để dễ dàng gửi lệnh OTA hàng loạt.
  15. Secure Boot: Chỉ cho phép thiết bị khởi động nếu Firmware được ký điện tử hợp lệ (chống hacker nạp ROM tự chế).
  16. Hardware Security Module (HSM) / TPM: Lưu trữ Private Key trong chip bảo mật vật lý không thể trích xuất.
  17. Dynamic Sampling Rate: Cảm biến báo khói bình thường chỉ gửi trạng thái 1 giờ/lần, nhưng khi phát hiện khói sẽ chuyển sang gửi 1 giây/lần.
  18. Network Fallback: Thiết bị tự động chuyển từ Wi-Fi sang 4G, hoặc từ 4G xuống NB-IoT/LoRaWAN khi mất kết nối chính.
  19. Watchdog Timer: Chip phần cứng tự động reset lại thiết bị nếu hệ điều hành hoặc phần mềm bị treo (Freeze) quá 60 giây.
  20. Data Deduplication: Gateway loại bỏ các bản ghi cảm biến trùng lặp (nhiệt độ không đổi) trước khi gửi lên Cloud.
  21. Ephemeral Ephemeral Keys: Sử dụng các khóa phiên hạn chế thời gian để mã hóa dữ liệu.
  22. Geo-fencing Alerts: Tự động báo động nếu thiết bị IoT (xe máy, container) di chuyển ra khỏi vùng địa lý cho phép.
  23. API Rate Limiting at Device Level: Ngăn chặn một thiết bị bị nhiễm mã độc gửi hàng triệu request làm sập Cloud.
  24. Local Dashboard (Fallback UI): Gateway có một trang Web nội bộ (Local IP) để kỹ thuật viên kết nối LAN cấu hình khi mạng Internet đứt.
  25. Correlation IDs for Telemetry: Gắn ID vào từng gói tin để dễ dàng theo dõi từ thiết bị -> Gateway -> MQTT Broker -> Data Lake.
  26. Graceful Degradation: Nếu thiết bị mất kết nối tới máy chủ AI trên Cloud, nó tự lùi về thuật toán logic cơ bản (If-Else) lưu nội bộ.
  27. Physical Tamper Detection: Gắn công tắc từ ở vỏ hộp, tự động xóa sạch bộ nhớ (Wipe) nếu có người cố tình cạy mở thiết bị.
  28. Configurable Telemetry Topics: Cho phép thay đổi Topic MQTT mà thiết bị gửi dữ liệu thông qua cấu hình từ xa.
  29. Anomaly Detection Pipelines: Phân tích độ rung, nhiệt độ để dự đoán thời điểm motor sắp hỏng (Predictive Maintenance).
  30. Digital Twin Integration: Đồng bộ trạng thái vật lý của thiết bị IoT vào một mô hình 3D trên Cloud để giám sát trực quan.

❌ 30 ANTI-PATTERNS (CÁCH LÀM SAI LẦM)

  1. Default Credentials (Admin/Admin): Xuất xưởng hàng vạn Camera/Router với cùng một mật khẩu mặc định (Tạo ra mạng botnet Mirai).
  2. Always-Online Assumption: Code ứng dụng bị treo (Crash) ngay lập tức nếu thiết bị mất kết nối Wi-Fi dù chỉ 1 giây.
  3. Hardcoded Cloud IPs: Gắn cứng địa chỉ IP của server Cloud vào code C/C++ của thiết bị, khi Cloud đổi IP là mất toàn bộ thiết bị.
  4. Plaintext Communication: Gửi dữ liệu cảm biến hoặc mật khẩu Wi-Fi qua giao thức HTTP/MQTT không có TLS/SSL.
  5. Polling Cloud for Commands: Thiết bị IoT liên tục gọi HTTP GET mỗi giây hỏi Cloud “Có lệnh nào cho tôi không?” làm sập server và tốn pin.
  6. Shared Global Private Key: Dùng chung một chứng chỉ/Private key cho tất cả thiết bị. Lộ 1 key là hacker kiểm soát toàn bộ.
  7. Unencrypted Firmware Updates: Tải file .bin cập nhật qua HTTP không mã hóa, dễ dàng bị hacker chặn và tráo Firmware độc hại.
  8. No OTA Capability: Phát hiện lỗi nghiêm trọng nhưng phải cử người đến tận nơi cắm cáp USB vào từng thiết bị để chạy lại phần mềm.
  9. Ignoring Network Egress Costs: Thiết bị gửi ảnh 4K mỗi giây lên Cloud bằng sim 3G khiến công ty phá sản vì tiền cước viễn thông.
  10. Bloated Edge Code: Cài nguyên hệ điều hành Ubuntu Desktop và các thư viện nặng nề lên một con chip Raspberry Pi.
  11. Chatty Protocols: Dùng XML/SOAP cho thiết bị chạy bằng pin cúc áo.
  12. Assuming Reliable Clock: Code dựa vào giờ hệ thống để gửi dữ liệu, nhưng thiết bị offline bị sai giờ (Drift) dẫn đến gửi dữ liệu của năm 1970.
  13. Infinite Retry Loops: Lỗi mạng, thiết bị gọi lại Cloud hàng nghìn lần mỗi giây tự tạo thành một cuộc tấn công DDoS.
  14. Lack of Storage Limits: Thiết bị lưu log lỗi ra thẻ nhớ nhưng không có cơ chế xóa log cũ, làm đầy thẻ nhớ và sập hệ điều hành.
  15. Trusting Edge Data Blindly: Cloud nhận dữ liệu “Nhiệt độ phòng = 5000 độ C” và vẫn lưu vào DB, làm hỏng báo cáo phân tích.
  16. No Remote Wipe: Thiết bị bị trộm nhưng không có cách nào xóa thông tin mạng nội bộ, chứng chỉ nhạy cảm bên trong.
  17. Siloed Device Management: Dùng 5 phần mềm khác nhau để quản lý 5 loại thiết bị khác nhau thay vì dùng chung một nền tảng IoT Core.
  18. Ignoring Physical Security: Để hở cổng Debug (JTAG/UART) trên bo mạch, ai cũng có thể cắm máy tính vào đọc ROM.
  19. Direct Database Connections: Cho phép thiết bị IoT chọc thẳng câu lệnh SQL INSERT vào Database trên Cloud.
  20. Updating During Peak Hours: Ra lệnh OTA cập nhật Firmware cho toàn bộ máy POS quán cafe vào đúng 12h trưa giờ đông khách.
  21. No Rollback on Failed OTA: Cập nhật lỗi, thiết bị biến thành “cục gạch” (Brick) không thể tự phục hồi về bản cũ.
  22. Ignoring Data Lifecycles: Lưu mọi dữ liệu từng giây của hàng triệu thiết bị trên ổ đĩa SSD đắt tiền nhất trên Cloud vô thời hạn.
  23. Synchronous Cloud Dependencies: Cửa thông minh không cho phép mở bằng Bluetooth/thẻ từ nếu Cloud bị sập (Bị nhốt ngoài nhà).
  24. Treating IoT like Web Apps: Lấy framework Web (như Electron, Heavy Nodejs) nhét xuống chạy trên thiết bị cấp thấp.
  25. Broadcasting Sensitive Data: Thiết bị gửi bản tin BLE Broadcast chứa mã định danh người dùng rõ ràng cho bất kỳ ai đi ngang qua.
  26. No Alerts for Offline Devices: Camera an ninh bị cắt dây mạng suốt 3 ngày nhưng hệ thống không có cảnh báo nào.
  27. Complex Setup Process: Bắt người dùng cuối phải mở port trên Router, biết nhập IP LAN để cài đặt thiết bị Smart Home.
  28. Ignoring Extreme Environments: Đưa thiết bị dùng linh kiện nhiệt độ phòng (0-40°C) ra lắp ngoài trời nắng gắt hoặc kho lạnh.
  29. Pushing Large ML Models to Low-End Edge: Cố ép một mô hình AI nhận diện khuôn mặt quá nặng vào con chip không có NPU/GPU.
  30. Flat IoT Network: Cắm chung Smart TV, Camera, Server kế toán vào cùng một mạng LAN văn phòng không chia VLAN.

III. Kiến trúc máy SmartPOS

SmartPOS (như máy Android quẹt thẻ) kết hợp giữa một thiết bị di động (Tablet), máy in nhiệt, chip đọc thẻ từ/NFC và hệ thống mã hóa tài chính khắt khe.

✅ 30 PATTERNS (CÁCH LÀM TỐT NHẤT)

  1. PCI-DSS Compliance: Tuân thủ chuẩn bảo mật thanh toán quốc tế ở cả tầng phần cứng, hệ điều hành và phần mềm.
  2. Hardware Security Module (HSM) Integration: Dữ liệu thẻ từ/EMV được mã hóa ngay bằng chip HSM vật lý bên trong máy POS trước khi đẩy vào RAM của ứng dụng Android.
  3. Point-to-Point Encryption (P2PE): Mã hóa toàn bộ gói tin thanh toán từ lúc chạm thẻ ở máy POS cho đến khi về tới tận máy chủ lõi của Ngân hàng.
  4. Store-and-Forward (Offline Mode): Cho phép quẹt thẻ/quét mã ở vùng mất mạng, lưu giao dịch vào vùng nhớ bảo mật và tự động gửi đi (Batch sync) khi có mạng.
  5. Idempotency Keys for Payments: Gắn một mã UUID duy nhất cho mỗi giao dịch để đảm bảo khách không bị trừ tiền 2 lần khi mạng lag.
  6. Tamper-Evident Hardware: Bo mạch được thiết kế bằng lưới chống giả mạo, tự động xóa sạch khóa bảo mật (Zeroize) nếu máy bị cạy mở hoặc khoan.
  7. Secure Boot & Verified OS: Hệ điều hành Android tùy biến khóa chặt (Locked bootloader), chỉ chạy Firmware do hãng ký.
  8. Application Sandboxing: Tách biệt hoàn toàn bộ nhớ và luồng chạy của App bán hàng (App rác) và App thanh toán ngân hàng (App Core).
  9. Geofencing (Khóa vùng địa lý): Máy POS tự động khóa các chức năng thanh toán nếu bị mang ra khỏi tọa độ của cửa hàng (chống trộm).
  10. MDM (Mobile Device Management): Quản lý tập trung mọi máy POS từ Cloud: Đẩy app mới, đổi hình nền, khóa thiết bị từ xa (Kiosk mode).
  11. Remote Wipe / Kill Pill: Xóa trắng bộ nhớ và vô hiệu hóa máy ngay lập tức qua lệnh từ xa nếu nhân viên báo mất máy.
  12. Push Notifications (MQTT/FCM) for Status: Khi khách chuyển khoản bằng mã QR, Server dùng MQTT đẩy thông báo “Đã nhận tiền” ngay xuống máy POS thay vì bắt máy liên tục Polling.
  13. Battery-aware Operation: Giảm độ sáng màn hình, tắt GPS, giãn tần suất ping mạng khi pin dưới 15% để kéo dài thời gian chờ giao dịch.
  14. DUKPT (Derived Unique Key Per Transaction): Mỗi một lần quẹt thẻ, hệ thống sinh ra một khóa mã hóa hoàn toàn mới, làm vô hiệu hóa tấn công Replay.
  15. Heartbeat Monitoring: Máy POS gửi trạng thái pin, lượng giấy in, tình trạng mạng về hệ thống quản lý mỗi 5 phút.
  16. Dynamic QR Generation: Máy sinh mã QR độc nhất cho từng đơn hàng (chứa số tiền và mã hóa đơn) hiển thị trên màn hình phụ cho khách quét.
  17. Local SQLite Encryption: Mã hóa cơ sở dữ liệu nội bộ bằng SQLCipher để lưu trữ danh mục sản phẩm và hóa đơn tạm thời.
  18. Over-The-Air (OTA) Patches: Cập nhật vá lỗi bảo mật, cập nhật tham số EMV (Aid, CAPK) tự động qua mạng vào ban đêm (Nightly update).
  19. Mutual TLS (mTLS): Máy POS dùng chứng chỉ do công ty cấp để gọi API, API Gateway tự chối mọi thiết bị lạ.
  20. Crash Reporting (Sentry/Crashlytics): Ghi nhận ngay lập tức nếu App thanh toán bị văng (Crash), đính kèm log thiết bị để Dev sửa lỗi.
  21. Peripheral Hardware Isolation: Cô lập máy in nhiệt, camera quét barcode để các App bên thứ 3 không thể tự ý in hóa đơn giả mạo.
  22. White-listed Wi-Fi/IPs: Cấu hình tự động kết nối vào mạng Wi-Fi bảo mật của cửa hàng và chặn kết nối vào Wi-Fi công cộng.
  23. Graceful UI Degradation: Mạng chập chờn, máy hiển thị rõ ràng “Đang kết nối lại…”, vô hiệu hóa nút “Thanh toán” tránh khách bấm liên tục.
  24. Multi-app Sideloading (Controlled): Có một Chợ ứng dụng nội bộ (App Store riêng) để cài các app quản lý kho, CRM đã qua kiểm duyệt.
  25. Background Syncing: Tải về danh mục hàng vạn sản phẩm mới, cập nhật giá ở dưới nền mà không làm đơ màn hình tính tiền của thu ngân.
  26. Audible Alerts & TTS: Đọc tiếng nói (Text-to-Speech) “Đã thanh toán thành công” để thu ngân không cần nhìn màn hình.
  27. Tokenization: Lưu ID mã thông báo thẻ (Token) thay vì lưu số thẻ thật (PAN) nếu tính năng cho phép “Lưu thẻ để thanh toán lần sau”.
  28. Watchdog Service: Một tiến trình ngầm luôn kiểm tra App thanh toán có đang chạy không, nếu bị văng thì tự động gọi App khởi động lại.
  29. Circuit Breaker for Acquirer: Nếu Ngân hàng A sập, App tự động định tuyến giao dịch qua cổng thanh toán của Ngân hàng B (Dynamic Routing).
  30. Thermal Printer Queue Management: Quản lý hàng đợi lệnh in, nếu đang in mà hết giấy, máy báo tiếng bíp và in nốt phần còn lại khi lắp giấy mới thay vì hủy lệnh.

❌ 30 ANTI-PATTERNS (CÁCH LÀM SAI LẦM)

  1. Storing Full PAN/CVV: Ghi nguyên số thẻ (16 số) và mã bảo mật mặt sau vào log file hoặc Database của máy POS (Phạm luật nghiêm trọng).
  2. Plaintext Communications: Gửi thông tin thanh toán qua HTTP hoặc không xác minh chứng chỉ SSL của Server.
  3. Running as Root/Admin: Thiết bị đã bị Root/Jailbreak, cho phép mọi ứng dụng truy cập quyền quản trị cao nhất.
  4. Allowing Unknown Sources: Bật tính năng cho phép nhân viên tự tải file .apk Game/Tiktok trên mạng về cài đặt vào máy POS.
  5. No Offline Fallback: Internet bị đứt là máy tính tiền biến thành cục gạch, quán phải dùng máy tính bỏ túi và sổ tay để bán hàng.
  6. Polling for Transactions: Bắt máy POS liên tục gọi HTTP GET api/check-payment mỗi giây, làm cạn kiệt pin và dữ liệu 4G.
  7. Updating During Business Hours: Ra lệnh khởi động lại và cập nhật hệ điều hành bắt buộc vào đúng giờ trưa cao điểm khách đông.
  8. Syncing Massive Data over 3G: Tải cục Database danh sách khách hàng 500MB qua sim 3G thay vì chờ có Wi-Fi, làm hết dung lượng gói cước.
  9. Hardcoded Merchant Keys: Đưa SecretKey của cửa hàng vào thẳng mã nguồn App, nhân viên giải nén file APK là lấy được Key.
  10. Ignoring Physical Tampering: Bỏ qua các cảnh báo “Tampered” trên màn hình, vẫn cố gắng sử dụng máy đã bị cạy phá.
  11. Standard Android Tablet Illusion: Đối xử và quản lý máy SmartPOS y như một chiếc iPad/Tablet bình thường, không có chính sách bảo mật riêng.
  12. Infinite Sync Loops: App lỗi, cố gắng đồng bộ 1 hóa đơn lỗi hàng vạn lần lên Server gây DDoS hệ thống nội bộ.
  13. Relying on Device Clock: Mã hóa hoặc định danh giao dịch dựa trên đồng hồ cục bộ của máy POS (Nhân viên đổi giờ là hệ thống loạn).
  14. Lack of Screen Lock: Không tự động tắt màn hình, khóa máy sau 5 phút không sử dụng, ai cũng có thể vào bấm hoàn tiền (Refund).
  15. Trusting Client Receipts: In hóa đơn “Giao dịch thành công” chỉ dựa trên xác nhận từ phía Client App mà không chờ đối soát từ Core Banking.
  16. Shared Cashier PINs: Tất cả nhân viên trong quán cà phê dùng chung mã PIN 1234 để đăng nhập máy POS.
  17. Silent Print Failures: Máy in nhiệt bị kẹt giấy nhưng App không báo lỗi lên màn hình UI, thu ngân không biết khách đã trả tiền hay chưa.
  18. Unencrypted Backups: Tự động backup SQLite database của App lên thẻ nhớ SD dạng rõ, ai rút thẻ nhớ cũng đọc được doanh thu quán.
  19. Mixing Dev/Prod Environments: Quên đổi URL API, phát hành bản App thật nhưng vẫn trỏ về Server Test (Giao dịch thật mất tiền oan).
  20. No Receipt Caching: Máy in bị hỏng tạm thời, sau khi sửa xong thì không có cách nào in lại hóa đơn của giao dịch trước đó 1 phút.
  21. Single App Lock-in: Khóa cứng màn hình chỉ dùng được 1 app bán hàng, không thể mở app máy tính (Calculator) hay app quét mã QR voucher khác.
  22. Ignoring App Overheating: Màn hình sáng 100%, bật camera liên tục làm máy POS nóng rực và sập nguồn.
  23. Using Deprecated TLS: Vẫn cho phép máy kết nối tới cổng thanh toán qua SSLv3 hoặc TLS 1.0 (Dễ bị tấn công POODLE).
  24. Synchronous Long Calls: Bấm thanh toán, màn hình đóng băng quay mòng mòng 60 giây chờ ngân hàng xử lý mà không có nút Hủy/Thoát.
  25. Leaking Keys in RAM: Sau khi quẹt thẻ, không xóa (clear) các biến chứa dữ liệu thẻ trong bộ nhớ RAM, Hacker có thể dump RAM lấy dữ liệu.
  26. Exposing ADB Port: Mở cổng gỡ lỗi USB (ADB), bất kỳ ai cắm cáp USB vào cũng có thể chiếm quyền điều khiển thiết bị.
  27. Failing Open: Khi chip HSM vật lý bị lỗi, thay vì báo lỗi ngừng hoạt động, phần mềm tự hạ cấp xuống dùng mã hóa phần mềm yếu hơn.
  28. Unfiltered Input on UI: Cho phép thu ngân nhập mã HTML/SQL vào ô “Ghi chú đơn hàng” và gây lỗi XSS trên trang quản lý Web của quản lý.
  29. Relying Solely on Sound: Báo kết quả giao dịch chỉ bằng tiếng bíp (Trong môi trường quán Bar/Pub siêu ồn, thu ngân hoàn toàn không nghe thấy).
  30. No Disaster Runbook: Máy POS bị treo cứng (Brick), nhân viên cửa hàng không có số Hotline hỗ trợ kỹ thuật hoặc cách hard-reset trên vỏ máy.

IV. Kiến trúc Zero Trust

Mô hình “Lâu đài và con hào” (VPN truyền thống) đã chết. Zero Trust (như Cloudflare WARP, Google BeyondCorp) hoạt động dựa trên nguyên tắc: “Không tin tưởng bất kỳ ai, luôn luôn xác thực và kiểm tra ngữ cảnh”.

✅ 30 PATTERNS (CÁCH LÀM TỐT NHẤT)

  1. Identity-Aware Proxy (IAP): Đặt mọi ứng dụng nội bộ sau một proxy xác thực, chỉ cho phép truy cập khi đúng danh tính và ngữ cảnh.
  2. Device Posture Check: Kiểm tra thiết bị có cài Antivirus, cập nhật OS mới nhất chưa trước khi cho phép kết nối.
  3. Micro-segmentation: Chia nhỏ hệ thống mạng đến từng máy chủ/container để giới hạn phạm vi di chuyển ngang (Lateral Movement).
  4. Continuous Authentication: Đánh giá lại rủi ro liên tục trong suốt phiên làm việc, không chỉ lúc đăng nhập.
  5. Context-aware Policies: Cấp quyền dựa trên IP, vị trí địa lý, thời gian và hành vi người dùng (User Entity Behavior Analytics – UEBA).
  6. Phishing-resistant MFA: Bắt buộc dùng khóa cứng FIDO2/WebAuthn (như YubiKey) thay vì OTP qua SMS.
  7. Least Privilege Access: Chỉ cấp quyền tối thiểu vừa đủ để nhân viên hoàn thành công việc hiện tại.
  8. Just-in-Time (JIT) Access: Cấp quyền tạm thời (ví dụ trong 2 giờ) khi có yêu cầu phê duyệt, sau đó tự động thu hồi.
  9. Ephemeral Credentials: Sử dụng chứng chỉ/Token chỉ sống trong vài phút thay vì mật khẩu tĩnh dài hạn.
  10. Software-Defined Perimeter (SDP): Ẩn hoàn toàn cơ sở hạ tầng (Dark Cloud), máy chủ không mở cổng nào ra Internet.
  11. mTLS Everywhere: Bắt buộc xác thực chứng chỉ số hai chiều giữa mọi dịch vụ nội bộ.
  12. Secure Web Gateway (SWG): Lọc và kiểm tra mọi luồng traffic đi từ máy nhân viên ra Internet (như WARP chặn trang web độc hại).
  13. Data Loss Prevention (DLP): Tích hợp kiểm tra nội dung để chặn nhân viên tải mã nguồn hoặc dữ liệu thẻ tín dụng ra ngoài.
  14. No Split Tunneling (hoặc Split Tunneling an toàn): Bắt buộc mọi traffic công việc đi qua bộ lọc của công ty, chỉ thả traffic cá nhân (như Netflix).
  15. SSO & Centralized Identity: Hợp nhất mọi thông tin đăng nhập vào một nguồn duy nhất (Okta, Azure AD) để dễ dàng ngắt quyền khi nhân viên nghỉ việc.
  16. API as Policy Enforcement Points (PEP): Mọi lệnh gọi API nội bộ đều bị Gateway kiểm tra lại quyền hạn (Policy Decision Point).
  17. Automated On/Off-boarding: Tự động hóa hoàn toàn việc cấp và thu hồi quyền truy cập qua hệ thống HR/SCIM.
  18. Immutable Audit Logs: Đẩy log truy cập ra một kho lưu trữ không thể xóa/sửa để phục vụ điều tra sự cố.
  19. Step-up Authentication: Yêu cầu xác thực MFA lại lần nữa khi người dùng cố gắng thực hiện hành động nhạy cảm (như chuyển tiền, xóa DB).
  20. Clientless Access: Cho phép đối tác bên ngoài truy cập ứng dụng web nội bộ qua trình duyệt mà không cần cài VPN Client.
  21. Endpoint Detection and Response (EDR): Triển khai tác nhân giám sát sâu trên từng máy tính nhân viên.
  22. Assume Breach: Thiết kế hệ thống với tâm thế rằng mạng nội bộ ĐÃ bị hacker xâm nhập.
  23. Trust Scoring: Tính điểm độ tin cậy của người dùng theo thời gian thực (nếu điểm tụt xuống thấp, tự động khóa tài khoản).
  24. DNS Sinkholing: Chặn các truy vấn DNS đến các máy chủ C&C của mã độc ngay tại biên giới mạng.
  25. Hardware Attestation: Xác minh tính toàn vẹn của phần cứng thiết bị trước khi cho phép tham gia mạng.
  26. Decentralized Policy Engines: Đẩy bộ máy ra quyết định (như OPA – Open Policy Agent) xuống gần nhất với các microservices.
  27. Encrypted Internal Traffic: Mọi kết nối trong mạng LAN/VPC đều phải mã hóa (HTTPS/TLS 1.3).
  28. Agent-based Routing: Dùng tác nhân phần mềm (WARP Client) để định tuyến thông minh traffic đến đúng Data Center gần nhất.
  29. Break-glass Accounts with Alerting: Tạo tài khoản khẩn cấp nhưng bất cứ khi nào sử dụng sẽ nhắn tin báo động cho toàn bộ Ban Giám Đốc.
  30. Chaos Testing on Auth: Chủ động tắt hệ thống SSO để xem các ứng dụng có tự động chuyển sang cơ chế dự phòng an toàn hay không.

❌ 30 ANTI-PATTERNS (CÁCH LÀM SAI LẦM)

  1. Castle-and-Moat Model: Dựng Firewall rất mạnh ở ngoài, nhưng vào được mạng nội bộ thì mọi thứ đều mở toang.
  2. Global VPN Access: Nhân viên vào được VPN là có thể ping và chọc vào bất kỳ máy chủ nào của công ty.
  3. Trusting Internal IPs: Viết rule Firewall “Cho phép mọi traffic từ dải 192.168.x.x” mà không cần token xác thực.
  4. Static Long-lived Passwords: Mật khẩu Admin không bao giờ thay đổi trong suốt 3 năm.
  5. Bypassing MFA for Executives: Cho phép Giám đốc không cần MFA vì “sếp phàn nàn là phiền phức” (Sếp là mục tiêu bị hack cao nhất).
  6. Unpatched BYOD: Cho phép nhân viên dùng máy tính cá nhân chưa update Windows để kết nối vào máy chủ Production.
  7. Shared Service Accounts: 10 lập trình viên dùng chung một tài khoản root hoặc db_admin.
  8. Security by Obscurity: Nghĩ rằng đổi cổng SSH từ 22 sang 2222 là an toàn (Hacker scan port ra ngay lập tức).
  9. Ignoring Revocation: Thu hồi chứng chỉ (CRL/OCSP) không hoạt động, máy tính bị mất cắp vẫn vào được mạng công ty.
  10. Blindly Trusting Vendors: Cấp quyền truy cập hệ thống vô thời hạn cho một đối tác out-source.
  11. Single MFA Prompt Daily: Chỉ hỏi MFA lúc 8h sáng, sau đó nhân viên bị trộm laptop lúc đang mở máy, hacker dùng thoải mái.
  12. Putting RDP/SSH on the Internet: Mở thẳng cổng Remote Desktop ra public Internet.
  13. Failing Open: Khi server xác thực bị lỗi, hệ thống tự động cho phép mọi người đi qua để “không làm gián đoạn kinh doanh”.
  14. Siloed Identity Providers: Mỗi phòng ban tự quản lý một bảng User/Password riêng, nhân viên nghỉ việc IT quên không xóa hết.
  15. No Network Traffic Visibility: Không có giải pháp giám sát, luồng dữ liệu nội bộ vài chục GB bị tuồn ra ngoài mà không ai hay.
  16. Permanent Admin Rights: Cấp quyền quản trị viên vĩnh viễn cho máy tính cá nhân của nhân viên (Dễ bị dính Ransomware).
  17. Hardcoded API Tokens: Để lộ chìa khóa truy cập cơ sở hạ tầng Cloud trong mã nguồn nội bộ.
  18. Assuming Certificates = Trust: Tin rằng cứ máy có cài chứng chỉ là an toàn, không màng kiểm tra máy đó đang nhiễm virus.
  19. Ignoring Lateral Movement: Không có tường lửa nội bộ giữa các VLAN máy chủ.
  20. SMS-only 2FA: Phụ thuộc vào mã OTP qua tin nhắn (Dễ bị tấn công SIM Swapping).
  21. Over-privileged Apps: Ứng dụng nội bộ xin full quyền truy cập Microsoft 365/Google Workspace thay vì xin quyền Đọc/Ghi cục bộ.
  22. Manual Access Granting: Dùng ticket IT để xin quyền, IT set quyền bằng tay và không bao giờ rà soát lại (Set and Forget).
  23. Lack of Executive Buy-in: Cố gắng triển khai Zero Trust nhưng quy trình quá rườm rà làm nhân viên lén dùng phần mềm lậu ngoài luồng (Shadow IT).
  24. Cleartext Authentication: Đăng nhập hệ thống nội bộ qua HTTP hoặc FTP.
  25. Default Credentials: Cài đặt Firewall, Switch, Router nhưng để nguyên password mặc định của nhà sản xuất.
  26. Ignoring Out-of-Band (OOB) Auth: Không có kênh xác thực độc lập cho các tác vụ thay đổi hạ tầng nghiêm trọng.
  27. No Device Inventory: Không biết công ty đang có bao nhiêu máy tính kết nối vào mạng (Không quản lý được thì không bảo vệ được).
  28. Trusting MAC Addresses: Lấy địa chỉ MAC làm chuẩn để nhận diện thiết bị (MAC có thể bị giả mạo dễ dàng).
  29. Fragmented Logging: Log bảo mật nằm rải rác trên 10 server khác nhau, không có SIEM tập trung.
  30. Thinking ZT is a Product: Nghĩ rằng mua một phần mềm “Zero Trust” là xong, thay vì hiểu nó là một hệ tư tưởng và kiến trúc liên tục.

V. Kiến trúc xác thực Authentication & Identity Management

Đây là xương sống của mọi hệ thống phần mềm: Quản lý đăng nhập, cấp quyền, OAuth2, OpenID Connect (OIDC) và quản lý định danh.

✅ 30 PATTERNS (CÁCH LÀM TỐT NHẤT)

  1. OIDC for AuthN, OAuth 2.0 for AuthZ: Dùng OpenID Connect để xác định “Bạn là ai”, và OAuth 2.0 để cấp quyền “Bạn được làm gì”.
  2. Centralized Identity Provider (IdP): Dùng Keycloak, Auth0, hoặc IdentityServer làm trung tâm xác thực duy nhất cho toàn bộ hệ sinh thái.
  3. Stateless JWT (JSON Web Tokens): Sử dụng token JWT kèm chữ ký điện tử (RSA/ECDSA) để không cần tra cứu DB mỗi lần kiểm tra quyền.
  4. Short-lived Access Tokens: Access Token chỉ sống khoảng 15 phút đến 1 giờ.
  5. Refresh Token Rotation: Khi cấp Refresh Token mới, thu hồi ngay Refresh Token cũ. Cảnh báo bị hack nếu Token cũ được sử dụng lại.
  6. HttpOnly, Secure, SameSite Cookies: Lưu JWT của Web Client vào Cookie với các cờ bảo mật cao nhất để chặn XSS lấy cắp token.
  7. ABAC (Attribute-Based Access Control): Cấp quyền cực mịn dựa trên thuộc tính (Ví dụ: “Chỉ được sửa văn bản do chính mình tạo ra trong giờ hành chính”).
  8. RBAC (Role-Based Access Control): Cấp quyền theo vai trò (Admin, User) cho các tác vụ tiêu chuẩn.
  9. Password Hashing (Argon2 / bcrypt): Băm mật khẩu bằng thuật toán có thêm yếu tố muối (Salt) và tốn thời gian tính toán để chống Brute-force.
  10. Passwordless Login: Cho phép đăng nhập bằng vân tay (WebAuthn/Passkeys) hoặc Magic Link qua email để loại bỏ rủi ro lộ mật khẩu.
  11. Rate Limiting on Login/Forgot Password: Giới hạn số lần thử đăng nhập sai để chống tấn công dò mật khẩu tự động.
  12. Account Lockout & CAPTCHA: Khóa tài khoản tạm thời hoặc yêu cầu giải CAPTCHA sau N lần sai mật khẩu.
  13. SCIM (System for Cross-domain Identity Management): Tự động đồng bộ thêm mới/xóa user từ hệ thống HR sang các phần mềm của công ty.
  14. Dynamic Client Registration: Tự động hóa quá trình cấp phát client_idclient_secret cho các ứng dụng đối tác.
  15. Scope Minimization: Ứng dụng chỉ được cấp quyền (Scopes) tối thiểu cần thiết để hoạt động.
  16. Audience (aud) Validation: Luôn kiểm tra xem Token này được sinh ra có phải dành riêng cho API của mình hay không.
  17. Issuer (iss) Validation: Xác nhận Token được cấp bởi đúng máy chủ IdP chuẩn của hệ thống.
  18. Token Binding (DPoP): Ràng buộc Token với thiết bị vật lý để dù Token bị lộ, hacker cũng không dùng được trên máy khác.
  19. Consent Management: Giao diện cho phép người dùng xem và thu hồi các ứng dụng đang được họ cấp quyền truy cập dữ liệu.
  20. CIAM vs Workforce IAM: Tách biệt hoàn toàn hệ thống quản lý danh tính của Khách hàng (CIAM) và Nhân viên nội bộ.
  21. Standardized Claim Mapping: Chuẩn hóa các trường trong JWT (như sub, email, roles) thống nhất trên toàn bộ công ty.
  22. Risk-based Authentication: Yêu cầu MFA nếu phát hiện người dùng đăng nhập từ một quốc gia mới hoặc một thiết bị lạ.
  23. Delegated Administration: Cho phép khách hàng Doanh nghiệp (B2B) tự làm Admin để cấp quyền cho nhân viên của họ trong hệ thống của bạn.
  24. Social Login Integration: Hỗ trợ đăng nhập Google, Apple, Facebook nhưng tự động link (merge) với tài khoản email cũ nếu trùng khớp.
  25. Vaulting Secrets: Lưu client_secret của các hệ thống Backend trong HashiCorp Vault hoặc AWS Secrets Manager.
  26. Silent Token Refresh: Sử dụng thẻ iframe ngầm hoặc Fetch API để tự động làm mới Token trước khi người dùng bị văng ra ngoài.
  27. Custom Domains for Auth: Đặt server xác thực trên tên miền phụ (VD: auth.domain.com) để chống bị trình duyệt chặn (Third-party cookie block).
  28. Graceful Error Handling: Không bao giờ cho biết tài khoản tồn tại hay không (VD: báo “Nếu email hợp lệ, link đổi mật khẩu đã được gửi”).
  29. Anomaly Alerting: Gửi email cảnh báo cho người dùng khi có thiết bị mới đăng nhập thành công.
  30. Pwned Passwords Check: Chặn người dùng đặt các mật khẩu đã bị lộ trong các vụ rò rỉ dữ liệu trên mạng (HaveIBeenPwned).

❌ 30 ANTI-PATTERNS (CÁCH LÀM SAI LẦM)

  1. Plaintext Passwords: Lưu mật khẩu người dùng rõ ràng vào Database.
  2. MD5 / SHA-1 Hashing: Dùng các thuật toán băm quá cũ, dễ dàng bị bẻ khóa bằng Rainbow Tables.
  3. Storing JWT in LocalStorage: Lưu Token vào LocalStorage, mở đường cho mã độc XSS ăn cắp tài khoản cực kỳ dễ dàng.
  4. Implicit Flow in OAuth2: Sử dụng luồng Implicit (Trả trực tiếp Token trên URL) vốn đã bị thế giới cấm vì không an toàn.
  5. Infinite Token Lifespan: Access Token được cấp và sống mãi mãi, không bao giờ hết hạn (Khủng hoảng nếu bị lộ).
  6. Passing Tokens in Query Strings: Ném thẳng Token lên URL (?token=abc), làm nó bị lưu lại toàn bộ trong lịch sử trình duyệt và log server.
  7. Ignoring Signature Validation: Chỉ dùng Base64 decode JWT để đọc dữ liệu mà quên gọi hàm kiểm tra chữ ký hợp lệ.
  8. Custom Crypto Solutions: Tự nghĩ ra một thuật toán băm hoặc mã hóa tự chế thay vì dùng chuẩn quốc tế.
  9. Building IdP from Scratch: Team 5 người tự code lại toàn bộ hệ thống OAuth2/OIDC từ đầu và sinh ra cả trăm lỗ hổng bảo mật.
  10. Over-permissive Scopes: Ứng dụng di động xin luôn quyền admin:* chỉ để đổi hình đại diện.
  11. Hardcoding Roles in App Code: Viết cứng logic if (role == "admin_supper") vào mã nguồn, mỗi lần thêm Role mới lại phải deploy code.
  12. Shared Admin Accounts: Cho phép 5 quản lý dùng chung một tài khoản admin@company.com.
  13. Trusting Unverified Emails: Cho phép người dùng vừa đăng ký đã được thực hiện giao dịch nhạy cảm mà không bắt xác minh Email/OTP.
  14. Not Invalidating Sessions: Người dùng đổi mật khẩu xong nhưng các thiết bị cũ (điện thoại, tablet) vẫn đang đăng nhập bình thường mà không bị văng ra.
  15. Sending Passwords via Email: Tính năng “Quên mật khẩu” tự động tạo mật khẩu mới rồi gửi thẳng vào email dạng rõ (Email không bảo mật).
  16. Weak Password Policies: Cho phép người dùng đặt mật khẩu 123456 cho các hệ thống có dữ liệu nhạy cảm.
  17. Silent Failure on Auth: Gọi API xác thực lỗi, hệ thống vẫn “thả cửa” cho qua vì bắt nhầm exception.
  18. Using AuthZ for AuthN: Dùng OAuth 2.0 (Giao thức ủy quyền) để làm tính năng Xác thực đăng nhập mà không dùng OIDC, gây sai lệch logic.
  19. No Mechanism to Revoke: Phát hiện bị hack nhưng không có nút nào để “Đăng xuất khỏi mọi thiết bị” hoặc “Thu hồi Token”.
  20. Hardcoded Client Secrets: Gắn trực tiếp client_secret vào mã nguồn của ứng dụng Frontend (React/iOS).
  21. Leaking User Existence: Báo lỗi “Email này không tồn tại” hoặc “Mật khẩu sai”, giúp hacker phân biệt được email nào đang có tài khoản.
  22. Using Auto-Increment IDs in JWT: Để lộ user_id: 15 vào trong Token, giúp đối thủ đoán được số lượng khách hàng của công ty.
  23. Relying Solely on IP for Auth: Nghĩ rằng đăng nhập từ mạng công ty là không cần nhập mật khẩu.
  24. Ignoring “exp” Claim: Mã nguồn bỏ qua việc kiểm tra trường thời gian hết hạn (exp) trong JWT.
  25. Not Rotating Signing Keys: Hệ thống IdP dùng đúng một cặp khóa RSA để ký JWT trong suốt 10 năm không đổi.
  26. Relying on Client for Role Check: Ứng dụng React kiểm tra quyền và ẩn nút “Xóa”, nhưng API phía Server lại quên kiểm tra quyền và vẫn cho phép thực thi nếu hacker gọi qua Postman.
  27. Bloated JWTs: Nhét cả một lịch sử mua hàng, profile khổng lồ vào JWT khiến Token nặng tới vài KB làm nghẽn băng thông HTTP.
  28. Symmetric Signatures Everywhere: Chỉ dùng HS256 (Khóa đối xứng), bắt buộc Service nào muốn xác minh Token cũng phải giữ chìa khóa bí mật (Chỉ nên dùng RS256 – Khóa bất đối xứng).
  29. No Audit Logging for Role Changes: Admin cấp quyền siêu quản trị cho một user khác nhưng hệ thống không ghi lại log kiểm toán.
  30. Ignoring Session Hijacking: Không kiểm tra sự thay đổi đột ngột của IP/User-Agent trong cùng một phiên làm việc.

VI. Kiến trúc Network mạng văn phòng (Office LAN / SD-WAN)

Đây là nền tảng vật lý kết nối hàng ngàn thiết bị của nhân viên. Sự tắc nghẽn hoặc lỗ hổng ở đây sẽ đánh sập năng suất của toàn công ty.

✅ 30 PATTERNS (CÁCH LÀM TỐT NHẤT)

  1. VLAN Segmentation: Chia nhỏ mạng thành Guest, IoT, Servers, Camera, Employee thay vì để chung mâm.
  2. 802.1X NAC (Network Access Control): Cắm dây mạng hoặc vào Wi-Fi phải nhập tài khoản công ty (WPA3 Enterprise/RADIUS), sai là cổng switch tự khóa.
  3. SD-WAN (Software-Defined WAN): Định tuyến thông minh, tự động chuyển lưu lượng Zoom/Teams qua đường cáp quang mạnh, đẩy lưu lượng tải file qua đường phụ.
  4. Redundant Core & Edge (HA): Luôn chạy 2 Switch Core (như Stack/VSS/vPC) và 2 tường lửa HA (Active/Passive) để chống sập phần cứng.
  5. Multi-ISP Failover: Trang bị ít nhất 2 đường truyền Internet từ 2 nhà mạng khác nhau.
  6. Spanning Tree (RSTP/MSTP): Cấu hình chống vòng lặp (Loop/Broadcast storm) nếu có ai đó ngớ ngẩn cắm 2 đầu một sợi cáp vào cùng 1 switch.
  7. Dynamic ARP Inspection (DAI): Ngăn chặn kỹ thuật tấn công chèn sóng (ARP Spoofing) trộm dữ liệu nội bộ.
  8. DHCP Snooping: Chỉ định rõ cổng nào trên Switch được quyền cấp phát IP (Trust port), cấm các cục Router Wi-Fi cá nhân tự ý cấp IP sai.
  9. Port Security: Giới hạn chỉ cho phép 1 hoặc 2 địa chỉ MAC hoạt động trên một cổng mạng của nhân viên.
  10. Quality of Service (QoS): Ưu tiên băng thông cho tổng đài IP Phone, Video call; bóp băng thông của tải game/Torrent.
  11. Captive Portal for Guests: Mạng khách phải bật trang chào, yêu cầu xác nhận số điện thoại/email và bị cô lập hoàn toàn (Client Isolation).
  12. Next-Gen Firewall (NGFW): Tường lửa phải có tính năng quét virus (Gateway Antivirus), lọc Application (chặn Facebook/Tiktok) và IPS/IDS.
  13. Out-of-Band (OOB) Management: Cắm dây mạng quản lý riêng cho các thiết bị Core (Server, Switch) vào một đường truyền bí mật biệt lập.
  14. Centralized Syslog: Đẩy toàn bộ log của Firewall, Switch về một máy chủ SIEM tập trung để phân tích.
  15. Cable Management Standards: Đánh dấu rõ ràng (Labeling) màu cáp, tên port ở cả hai đầu sợi dây mạng. Tủ rack gọn gàng.
  16. DNS Filtering (Umbrella / Pi-hole): Chặn các tên miền độc hại, lừa đảo ngay ở cấp độ phân giải DNS nội bộ.
  17. PoE+ (Power over Ethernet): Dùng Switch cấp nguồn trực tiếp cho Access Point Wi-Fi và Camera IP để dễ dàng khởi động lại từ xa.
  18. Site-to-Site IPsec VPN: Kết nối mạng LAN giữa Trụ sở và các Chi nhánh bằng đường hầm mã hóa bảo mật cực cao.
  19. Strict Egress Filtering: Tường lửa không chỉ chặn chiều ngoài vào, mà phải chặn cả chiều từ trong LAN đi ra (Chỉ cho phép HTTP, HTTPS, DNS, NTP…).
  20. MACsec (802.1AE): Mã hóa ở lớp 2 trên các đường truyền cáp quang nội bộ giữa Switch-với-Switch chống thiết bị nghe lén phần cứng.
  21. Automated Configuration Backups: Chạy tool (Oxidized/Rancid) tự động lưu lại cấu hình của toàn bộ thiết bị mạng mỗi đêm lên Git.
  22. IPv6 Dual-stack: Quy hoạch và chạy song song IPv4/IPv6 để sẵn sàng cho tương lai.
  23. NetFlow/sFlow Monitoring: Thu thập mẫu dữ liệu để vẽ biểu đồ xem máy tính nào đang ngốn nhiều băng thông nhất.
  24. Dedicated Management VLAN: Thiết bị mạng (IP của Switch, AP) nằm ở một dải mạng hoàn toàn ẩn, nhân viên bình thường không thể ping tới.
  25. Regular Penetration Testing: Thuê đội Red Team đến cắm máy tính vào cổng mạng hành lang để xem họ có hack được vào server nội bộ không.
  26. Wi-Fi Heatmapping: Dùng phần mềm quét bản đồ nhiệt độ phủ sóng để lắp Access Point tránh điểm mù hoặc nhiễu sóng chéo.
  27. Software-Defined Access (SDA): Áp dụng chính sách mạng tự động đi theo người dùng bất kể họ cắm cáp ở tầng nào, phòng họp nào.
  28. Link Aggregation (LACP): Gộp nhiều dây mạng vật lý thành một cổng logic để tăng gấp đôi/gấp ba băng thông và dự phòng đứt cáp.
  29. NTP Server Nội bộ: Bắt mọi máy tính, camera, switch trong công ty phải đồng bộ giờ với máy chủ NTP nội bộ (Rất quan trọng cho việc soi log camera/sự cố).
  30. Disaster Recovery (DR) Network Runbook: Có tài liệu sơ đồ mạng in ra giấy, sẵn sàng dựng lại dải mạng cốt lõi nếu bị sét đánh cháy tủ rack chính.

❌ 30 ANTI-PATTERNS (CÁCH LÀM SAI LẦM)

  1. Flat Network (VLAN 1 cho tất cả): Mọi thiết bị từ máy in, sếp, kế toán, server, camera, thiết bị khách đều chung dải IP, nhiễm 1 virus là chết cả công ty.
  2. Open Corporate Wi-Fi: Mạng Wi-Fi nội bộ dùng chung một mật khẩu CongTy123, nhân viên nghỉ việc vẫn đứng trước cửa công ty dùng ké được.
  3. Daisy-chaining Unmanaged Switches: Nhân viên tự mua cục Switch 200k cắm nối tiếp nhau lòng vòng dưới gầm bàn tạo ra điểm nghẽn cổ chai.
  4. Default Admin Passwords: Lắp hàng chục bộ phát Wi-Fi nhưng vẫn để pass quản trị là admin/admin.
  5. Rogue DHCP Servers: Nhân viên cắm nhầm cục Wi-Fi nhà mang lên vào cổng mạng LAN, làm cấp sai IP cho toàn bộ phòng ban gây rớt mạng.
  6. “Any-Any” Firewall Rules: Cấu hình tường lửa chiều từ trong LAN ra ngoài là “Allow All” (Mở toang cửa cho virus gọi về máy chủ C&C).
  7. Ignoring Physical Security: Tủ rack mạng để ở hành lang không khóa, ai cũng có thể rút dây điện hoặc cắm USB vào Server.
  8. No Guest Network Isolation: Khách hàng đến văn phòng dùng Wi-Fi khách nhưng lại chọc được vào thư mục chia sẻ file nội bộ của phòng Kế toán.
  9. Spaghetti Cabling: Dây mạng đấu nối chằng chịt, đứt 1 sợi không biết đường nào mà dò.
  10. Disabled Spanning Tree: Tắt tính năng chống loop mạng. Có người cắm nhầm dây là toàn bộ hệ thống sập vì bão Broadcast.
  11. Single Point of Failure: Công ty 1000 người dùng chung 1 cục Router dân dụng (Gây treo cứng mạng vào giờ cao điểm).
  12. Static IPs without IPAM: Gán IP tĩnh thủ công cho các máy tính mà không có file Excel quản lý, dẫn đến trùng IP liên tục.
  13. Hidden SSIDs as Security: Nghĩ rằng ẩn tên mạng Wi-Fi đi thì hacker không tìm thấy (Hacker dùng tool ngửi sóng là thấy ngay lập tức).
  14. Using Telnet / HTTP for Mgmt: Quản trị Switch nội bộ qua các giao thức không mã hóa, bị nghe lén mật khẩu cực dễ.
  15. Over-provisioning Wi-Fi: Lắp quá nhiều Access Point sát nhau ở công suất phát cao nhất, gây nhiễu sóng chéo (Co-channel interference) làm mạng lag hơn.
  16. Trusting MAC Addresses for Bypass: Mở quyền cho các thiết bị “không thể cài chứng chỉ” chỉ bằng cách xác nhận địa chỉ MAC giả mạo được.
  17. No Network Diagrams: Kiến trúc mạng không được vẽ sơ đồ (Visio/Draw.io), nhân viên IT cũ nghỉ là IT mới “mù tịt”.
  18. Ignoring Firmware Updates: Switch và Firewall chạy Firmware từ 5 năm trước với hàng tá lỗ hổng nghiêm trọng đã bị công bố.
  19. Mixing Management and User Traffic: Nhân viên có thể mở trình duyệt gõ thẳng vào IP của cục Switch Core nội bộ.
  20. Lack of Bandwidth Visibility: Mạng chậm nhưng Admin không thể biết do đứt cáp quang biển hay do ai đó đang tải phim Torrent.
  21. No Out-of-Band Access: Tường lửa cấu hình sai tự khóa chính nó, Admin phải lái xe 2 tiếng đến Data Center để cắm cáp console sửa tay.
  22. Allowing BYOD Routers: Cho phép nhân viên tự xách Router từ nhà lên cắm để phát Wi-Fi riêng.
  23. Long DHCP Lease Times for Guests: Khách đến quán cafe uống 1 tiếng rồi đi, nhưng IP bị giam giữ tận 24 tiếng khiến người đến sau không có IP để dùng.
  24. Symmetrical Routing Issues: Cắm 2 đường truyền nhưng cấu hình sai, gói tin đi ra đường A lại chạy về đường B, bị Firewall drop.
  25. Hardcoding Public DNS on Clients: Bắt máy nhân viên trỏ trực tiếp DNS ra 8.8.8.8, làm vô hiệu hóa bộ lọc tên miền độc hại của công ty.
  26. Ignoring Application Layer: Chỉ chặn port 80/443 bằng Firewall lớp 4, không chặn được ứng dụng dùng port tùy biến.
  27. Allowing P2P Traffic: Tường lửa không chặn BitTorrent, khiến IP của công ty bị liệt vào danh sách đen (Blacklist).
  28. Ignoring Environmental Factors: Đặt tủ Switch dưới ống nước lạnh máy điều hòa (Rò rỉ nước là chập cháy).
  29. No Fallback for Cloud NAC: Máy chủ xác thực RADIUS nằm trên Cloud, khi đứt mạng Internet, cổng mạng khóa cứng không ai cắm máy tính vào mạng LAN được.
  30. Trusting the Inside: Tư duy cổ hủ “Đã ngồi trong văn phòng thì đều là người tốt”, không áp dụng các rule kiểm tra giao tiếp giữa các máy tính với nhau.

Published by Nhat Truong

Hi

Leave a comment