5 tính năng bảo mật hay nhất của thiết bị Cisco

Một hệ thống đang hoạt động ổn định và bạn muốn giữ trạng thái
ổn định đó. Hãy quan tâm đến những nguy cơ đến từ các thành
phần trong hệ thống mạng của bạn từ các thiết bị phần cứng tới
các ứng dụng phần mềm. Và bạn là nhà quản trị mạng cho hệ
thống đó bạn sẽ làm gì để giảm thiểu những nguy cơ tiềm ẩn đó?
Trong bài viết này tôi đưa ra 5 cách thức trên các thiết bị của
Cisco.

1: SSH Whenever Possible

Một cách nhanh chóng và dễ dàng để truy cập và quản trị các thiết bị của Cisco là sử dụng
Telnet. Một cách đáng tiếc là Telnet gửi mọi thông tin dạng "clear text". Username, Password
khi truyền trên mạng đều không được mã hoá. Thông tin này như việc chúng ta sử dụng G.711.
May mắn thay, một vài thiết bị của Cisco đã giới hạn Telnet.
SSH là Secure Shell. Nó hoạt động trong thế giới của Unix và gần đây đã được sử dụng vào mục
đích để thay thế cho Telnet, hỗ trợ cho cả môi trường Windows và Mac. Nó là một công cụ miễn
phí, nhưng một vài nhà sản xuất dựa trên nền tảng đó để kiếm lợi nhuận. Cuối cùng, những nhà
phát triển của tổ chức mã nguồn mở đã chỉnh sửa một vài điểm từ phiên bản đầu tiên. Kết quả là
một sản phẩm SSH đã ra đời, nhưng tồn tại với nó cũng có những bản mã nguồn mở khác nhau.
Cisco đã triển khai SSH vào trong các thiết bị của mình và như một biện pháp để thay thế Telnet.
Việc sử dụng Telnet để truy cập và quản trị các thiết bị là không an toàn, và nhiều thông tin có
thể bị đánh cắp và dẫn đến một số nguy hiểm có thể xảy ra đối với hệ thống. Cisco đã bắt đầu
quan tâm đến và triển khai vào các thiết bị với SSH v2. Nhà sản xuất cũng cung cấp SSH v1 bởi
IPSec sẽ được triển khai trên phiên bản này và cho phép người quản trị truy cập vào các thiết bị
một cách an toàn.
Thiết lập SSH tương tự như quá trình cho phép router sử dụng "digital certificates" trong IPSec.
Trước khi bắt đầu bạn phải được xác thực bởi router. Nó không mất quá 30 phút để bạn có thể xử
lý được những sự cố liên quan đến việc cấu hình này. Một việc đầu tiên là bạn phải tạo ra cặp
key public/private. Trước khi thực hiện bạn phải cấu hình router với domain.

sẽ khó có thể tìm được chúng hơn. Một phiên bản miễn phí phổ thông cho các client là FiSSH có
tại trang web http://pgpdist.mit.edu/FiSSH/index.html. Hay bạn có thể lên internet tìm kiếm với
từ khoá "windows ssh".
2: Look at G.729 for VoIP

Khi mọi người nghĩ về các phần mềm tóm gói tin sniffers, họ thường nghĩ quá trình truyền tin sẽ
có thể đọc được. Nếu bạn tóm được một gói tin truyền trên mạng là một file nhị phân, bạn làm
thế nào để đọc được thông tin từ chúng? Tôi sẽ cố gắng phục hồi đoạn tin nếu bạn không thể
phục hồi đượ
c đoạn đầu và đoạn cuối. Và chúng tôi sẽ không lo lắng nhiều vì sẽ rất khó khăn để
có thể phục hồi được các thông tin từ một file nhị phân sang một dạng thông tin nào đó. Voice
truyền thông tin không như vậy.
Gián điệp có thể thực hiện dựa trên những sơ hở thông tin. Các hoạt động chính trị có thể sẽ bị
nghe lén và giám sát, hầu hết mọ người đều không muốn người khác quan tâm đến đời tư của
mình. Các cuộc nói chuyện trong các hội nghị có thể sẽ rất quan trọng. Và một điều là có những
công cụ trên Internet có thể thu lại các cuộc nói chuyện qua IP Telephone và save chúng lại
thành một file WAV. May mắn thay trong các công cụ của Windows không cho phép ta thực
hiện công việc này.
Và quá trình truyền tải âm thanh cần được mã hoá. Có vài cách để mã hoá quá trình truyền tải
âm thanh. Quá trình đó được gọi là "codecs" mỗi phương pháp mã hoá đều mang đến khả năng
nén khác nhau. Quá trình nén âm thanh có thể giảm tải trên đường truyền nhưng lại có thể ảnh
hưởng đến chất lượng âm thanh.
Giải pháp tốt nhất là sử dụng mã hoá G.711 nó là một phương thức mã hoá, không cần nén.
Nhưng khi sử dụng giải pháp này yêu cầu hạ tầng mạng của bạn phải thật sự tốt với băng thông
truyền tải đủ yêu cầu bởi các thông tin không bị nén lại, và giải pháp này thường được sử dụng
trong mạng LANs.
Bởi vì không có bất kỳ quá trình nén thông tin nào, tất cả dữ liệu được truyền tải trên dây dẫn.
Nếu vài người có thể tóm được những gói tin, sử dụng một phương pháp nào đó để chuyển quá
trình nói chuyện qua G.711 thành một file âm thanh. Những nhà lãnh đạo không muốn các cuộc
nói chuyện sẽ bị lộ ra ngoài, và làm thế nào để các cuộc nói chuyện đó được đảm bảo?

access-list [ACL number] {deny | permit} protocol any any [log] [time-range time-range-name].
Một ví dụ cho phép access list truy cập Web với time range:
Time-range Allow-HTTP
Periodic weekdays 18:00 to 08:00
Periodic weekdays 11:30 to 13:00
Periodic Friday 18:00 to Monday 08:00
Access-list 101 permit tcp any any eq www time-range allow-http
Tính năng này bạn có thể tìm thấy bắt đầu từ phiên bản IOS 12.0 (T) và toàn bộ thông tin về tính
năng này bạn có thể tìm được tại:
http://www.cisco.com/univercd/cc/td/doc/product/
software/ios120/120newft/120t/120t1/timerang.htm
4: VLANs Work on More than Physical Ports
Cơ bản switch cung cấp khả năng truy cập vào mạng cho người dùng PCs. Bởi thiết bị không cần
thiết cung cấp nhiều tính năng, chúng thường không linh động như dòng switchs enterprise-level.
Đúng vậy, nó không phải là những sản phẩm đắt tiền. Hầu hết người sử dụng truy cập mạng sử
dụng switch của Cisco là các dòng 1900s, 2900s và 3500s.
Mỗi Switch hỗ trợ địa chỉ IP để có thể quản lý được các VLANs và để
điều khiển Broadcast
domain. Hầu hết các switch được sử dụng với toàn bộ các cổng là chung trong một VLAN bởi
hầu hết người sử dụng trong cùng một switch đều có những ứng dụng tương tự nhau.
Mỗi switch cũng có một cổng quản lý VLAN; mặc định nó sử dụng VLAN1, cùng VLAN với
các cổng còn lại. Trong một môi trường mạng, nó thường được sử dụng cho toàn bộ mọi người
đều cùng một VLAN. Và số lượng broadcast cũng không có đủ khả năng để gây ra lỗi cho thiết
bị.
Khi một vài người truy cập vào một thiết bị mạng, nó thường tiềm tàng khả năng thiết bị bị ngắt
kết nối. Một các dễ tưởng tượng nhất: để tắt một vài người đang telnet vào switch để lọc các yêu
cầu. Thiết lập toàn bộ các cổng vào cùng một VLAN để dễ dàng cho việc lọc trên Router. Bằng
cách gán toàn bộ các switchs vào một giải địa chỉ ví như 192.168.3.x, bạn có thể lọc các thông
tin không thích đáng vào các thiết bị đó bằng một vài access list. Một cách tốt nhất và đơn giản
đẻ quản lý hệ thống mạng là bạn hoàn toàn có thể chỉ cần một VLAN cho một switch và không

và không muốn bất kỳ ai có thể truy cập vào switch và cấu hình lại chúng. Trong khi các thiết lập
access list sẽ làm việc, một phương pháp để làm việc với switch là thực hiện lọc từ chính các
thông tin đến nó.