Một hệ thống đang hoạt động ổn định và bạn muốn giữ trạng thái ổn định đó.
Hãy quan tâm đến những nguy cơ đến từ các thành phần trong hệ thống mạng
của bạn từ các thiết bị phần cứng tới các ứng dụng phần mềm. Và bạn là nhà
quản trị mạng cho hệ thống đó bạn sẽ làm gì để giảm thiểu những nguy cơ tiềm
ẩn đó? Trong bài viết này tôi đưa ra 5 cách thức trên các thiết bị của Cisco.
1: SSH Whenever Possible
Một cách nhanh chóng và dễ dàng để truy cập và quản trị các thiết bị của Cisco
là sử dụng Telnet. Một cách đáng tiếc là Telnet gửi mọi thông tin dạng "clear
text". Username, Password khi truyền trên mạng đều không được mã hoá.
Thông tin này như việc chúng ta sử dụng G.711. May mắn thay, một vài thiết bị
của Cisco đã giới hạn Telnet.
SSH là Secure Shell. Nó hoạt động trong thế giới của Unix và gần đây đã được
sử dụng vào mục đích để thay thế cho Telnet, hỗ trợ cho cả môi trường Windows
và Mac. Nó là một công cụ miễn phí, nhưng một vài nhà sản xuất dựa trên nền
tảng đó để kiếm lợi nhuận. Cuối cùng, những nhà phát triển của tổ chức mã
nguồn mở đã chỉnh sửa một vài điểm từ phiên bản đầu tiên. Kết quả là một sản
phẩm SSH đã ra đời, nhưng tồn tại với nó cũng có những bản mã nguồn mở
khác nhau.
Cisco đã triển khai SSH vào trong các thiết bị của mình và như một biện pháp để
thay thế Telnet. Việc sử dụng Telnet để truy cập và quản trị các thiết bị là không
an toàn, và nhiều thông tin có thể bị đánh cắp và dẫn đến một số nguy hiểm có
thể xảy ra đối với hệ thống. Cisco đã bắt đầu quan tâm đến và triển khai vào các
thiết bị với SSH v2. Nhà sản xuất cũng cung cấp SSH v1 bởi IPSec sẽ được
triển khai trên phiên bản này và cho phép người quản trị truy cập vào các thiết bị
một cách an toàn.
Thiết lập SSH tương tự như quá trình cho phép router sử dụng "digital
certificates" trong IPSec. Trước khi bắt đầu bạn phải được xác thực bởi router.
Nó không mất quá 30 phút để bạn có thể xử lý được những sự cố liên quan đến
việc cấu hình này. Một việc đầu tiên là bạn phải tạo ra cặp key public/private.
Trước khi thực hiện bạn phải cấu hình router với domain.
(config)# ip domain-name abccompany.com

(config)# crypto key generate rsa
Dòng đầu tiên để router sẽ là thành viên trong domain abccompany.com trong
khi dòng thứ hai sẽ bắt đầu tạo ra một cặp khoá public/private. Khi thực hiện,
bạn sẽ phải khai báo độ lớn của cặp khoá mà bạn sử dụng. Và buộc chúng phải
có cùng độ lớn trên client và trên router. Độ lớn của các khoá nó sẽ tự động tạo
ví như trên Router 2500, một key 512 bit sẽ được tạo ra trong khoảng 45 giây
một lần.
Dưới đây là các câu lệnh cho phép bạn quản trị SSH.
(config)# ip ssh time-out 30
(config)# ip ssh authentication-retries 2
(config-line)# transport input ssh
Dòng đầu tiên giới hạn thời gian khi không được thực hiện trong bao nhiêu phút
sẽ bị ngắt kết nối. Bạn có thể thiết lập thời gian đó ngắn hơn. Nhưng thiết lập
phần này để bạn yên tâm kết nối của bạn sẽ vẫn được đảm bảo trong thời gian
bạn giải lao. Dòng lệnh thứ hai giới hạn số lần cố gắng xác thực của người
dùng. Dòng lệnh thứ ba, sẽ làm việc với mode VTY, giới hạn các dạng kết nối và
cổng VTY nào để nhận các thông tin. Và trong dòng lệnh này ý nghĩ là chỉ cho
phép cổng VTY chỉ cho phép các phiên làm việc với SSH.
Lưu ý chỉ sử dụng được SSH khi IOS của router có khả năng mã hoá
"encryption-capable". Router phải có khả năng về các quá trình truyền tin mã
hoá dạng DES hay 3DES. Rất nhiều SSH clients có khả năng mã hoá dữ liệu sử
dụng các thuật toán mã hoá khác nhau. Nhưng Router của Cisco chỉ có thể mã
hoá các phiên làm việc SSH sử dụng DES và 3DES
Bạn có thể cấu hình SSH cho IOS phiên bản 12.2 tại:
/>c/fothersf/scfssh.htm
Một vài thiết bị khác của Cisco cũng có khả năng sử dụng SSH bao gồm PIX
firewall và một vài dòng Catalyst Switchs. Phiên bản IOS hỗ trợ cho SSH là từ
phiên bản 12.0 và 12.1 tuy nhiên chúng có một vài lỗi trong mã SSH. Nếu bạn
muốn thực sự bảo mật trong quá trình quản trị, bạn nên dùng phiên bản IOS v
12.2.

SSH clients bạn có thể rất dễ tìm thấy: trên nền Unix bạn có BSD. Phiên bản cho
Windows bạn sẽ khó có thể tìm được chúng hơn. Một phiên bản miễn phí phổ
thông cho các client là FiSSH có tại trang web
Hay bạn có thể lên internet tìm kiếm với
từ khoá "windows ssh".
2: Look at G.729 for VoIP.
Khi mọi người nghĩ về các phần mềm tóm gói tin sniffers, họ thường nghĩ quá
trình truyền tin sẽ có thể đọc được. Nếu bạn tóm được một gói tin truyền trên
mạng là một file nhị phân, bạn làm thế nào để đọc được thông tin từ chúng? Tôi
sẽ cố gắng phục hồi đoạn tin nếu bạn không thể phục hồi được đoạn đầu và
đoạn cuối. Và chúng tôi sẽ không lo lắng nhiều vì sẽ rất khó khăn để có thể phục
hồi được các thông tin từ một file nhị phân sang một dạng thông tin nào đó.
Voice truyền thông tin không như vậy.
Gián điệp có thể thực hiện dựa trên những sơ hở thông tin. Các hoạt động chính
trị có thể sẽ bị nghe lén và giám sát, hầu hết mọ người đều không muốn người
khác quan tâm đến đời tư của mình. Các cuộc nói chuyện trong các hội nghị có
thể sẽ rất quan trọng. Và một điều là có những công cụ trên Internet có thể thu
lại các cuộc nói chuyện qua IP Telephone và save chúng lại thành một file WAV.
May mắn thay trong các công cụ của Windows không cho phép ta thực hiện
công việc này.
Và quá trình truyền tải âm thanh cần được mã hoá. Có vài cách để mã hoá quá
trình truyền tải âm thanh. Quá trình đó được gọi là "codecs" mỗi phương pháp
mã hoá đều mang đến khả năng nén khác nhau. Quá trình nén âm thanh có thể
giảm tải trên đường truyền nhưng lại có thể ảnh hưởng đến chất lượng âm
thanh.
Giải pháp tốt nhất là sử dụng mã hoá G.711 nó là một phương thức mã hoá,
không cần nén. Nhưng khi sử dụng giải pháp này yêu cầu hạ tầng mạng của bạn
phải thật sự tốt với băng thông truyền tải đủ yêu cầu bởi các thông tin không bị
nén lại, và giải pháp này thường được sử dụng trong mạng LANs.
Bởi vì không có bất kỳ quá trình nén thông tin nào, tất cả dữ liệu được truyền tải

trên dây dẫn. Nếu vài người có thể tóm được những gói tin, sử dụng một
phương pháp nào đó để chuyển quá trình nói chuyện qua G.711 thành một file
âm thanh. Những nhà lãnh đạo không muốn các cuộc nói chuyện sẽ bị lộ ra
ngoài, và làm thế nào để các cuộc nói chuyện đó được đảm bảo?
Thay bằng việc sử dụng G.711, bạn sử dụng mã hoá gọi là G.729. Nó có khả
năng mã hoá trước khi truyền thông tin G.711. Một vài lựa chọn có thể mã hoá
giữa các điểm vơớinhau. Mỗi phương thức đều mang đến độ chễ lớn hơn với
phương thức sử dụng G.711. Nhưng nó làm cho các cuộc gọi trở lên an toàn
hơn.
3: Use Time-Based Access Lists
Một vấn đề là bạn có nhiều đường kết nối tới những thiết bị cần tính bảo mật
cao, bạn có thể muốn cái gì có thể truy cập vào và khi nào được truy cập. Với cơ
sở là thời gian "time-based access list" sẽ không chỉ những chính sách được áp
dụng thời gian của cả ngày, hay những ngày của tuần hoặc thời gian của một
năm, mà có thể cung cấp access list theo từng giờ của một ngày, từng ngày của
một tuần. Nhưng khi sử dụng tính năng này bạn phải kiểm tra thời gian của hệ
thống sao cho trùng với thời gian thực.
Quá trình cấu hình trong global với câu lệnh: time-range[name]. Trong mode của
một time-range bạn có thể cấu hình, bạn cần bắt đầu cầu hình khoảng thời gian
này ứng với quá trình lọc nào. Cần phải biết rằng cấu hình trong mode này rất
lằng nhằng và phức tạp ở đây bạn không phải cấu hình để lọc quá trình truyền
tải mà chỉ liên kết đến một access list đã được tạo. Time range kết hợp access
list sẽ cho bạn một access list với thời gian áp dụng cụ thể cho từng thời điểm
khác nhau….
Chỉ có hai dạng cấu hình thời gian có thể sử dụng. Theo một chu kỳ tuần hoàn
nào đó sẽ được thực hiện. Bạn có thể cấu hình với một để lọc các thông tin của
tất cả các tuần khi sử dụng trạng thái Periodic. Hay một dạng khác là Absolute.
Khi bạn sử dụng lựa chọn này, quá trình lọc giữa hai khoảng thời gian khác nhau
thì sẽ khác nhau. Một ví dụ bạn có thể lọc toàn bộ quá trình truyền thông tin từ
10 giờ sáng ngày 6 tháng 6 năm 2006 cho đến 1 giờ sáng ngày 8 tháng 6 năm

2006. Nó có khả năng lọc sử dụng kết hợp hai dạng "time-range", một theo tính
tuần hoàn và một theo tính không tuần hoàn, và một access list có thể được sử
dụng bởi nhiều time-range khác nhau.
Một time-range có khi được cấu hình nó sẽ kết hợp với một access list đã được
cấu hình. Và khi đã cấu hình hoàn tất thì access list đó sẽ chỉ được áp dụng
trong khoảng thời gian đã được thiết lập:
access-list [ACL number] {deny | permit} protocol any any [log] [time-range time-
range-name].
Một ví dụ cho phép access list truy cập Web với time range:
Time-range Allow-HTTP
Periodic weekdays 18:00 to 08:00
Periodic weekdays 11:30 to 13:00
Periodic Friday 18:00 to Monday 08:00
Access-list 101 permit tcp any any eq www time-range allow-http
Tính năng này bạn có thể tìm thấy bắt đầu từ phiên bản IOS 12.0 (T) và toàn bộ
thông tin về tính năng này bạn có thể tìm được tại:
/>20t1/timerang.htm
4: VLANs Work on More than Physical Ports
Cơ bản switch cung cấp khả năng truy cập vào mạng cho người dùng PCs. Bởi
thiết bị không cần thiết cung cấp nhiều tính năng, chúng thường không linh động
như dòng switchs enterprise-level. Đúng vậy, nó không phải là những sản phẩm
đắt tiền. Hầu hết người sử dụng truy cập mạng sử dụng switch của Cisco là các
dòng 1900s, 2900s và 3500s.
Mỗi Switch hỗ trợ địa chỉ IP để có thể quản lý được các VLANs và để điều khiển
Broadcast domain. Hầu hết các switch được sử dụng với toàn bộ các cổng là
chung trong một VLAN bởi hầu hết người sử dụng trong cùng một switch đều có
những ứng dụng tương tự nhau.
Mỗi switch cũng có một cổng quản lý VLAN; mặc định nó sử dụng VLAN1, cùng
VLAN với các cổng còn lại. Trong một môi trường mạng, nó thường được sử
dụng cho toàn bộ mọi người đều cùng một VLAN. Và số lượng broadcast cũng

không có đủ khả năng để gây ra lỗi cho thiết bị.
Khi một vài người truy cập vào một thiết bị mạng, nó thường tiềm tàng khả năng
thiết bị bị ngắt kết nối. Một các dễ tưởng tượng nhất: để tắt một vài người đang
telnet vào switch để lọc các yêu cầu. Thiết lập toàn bộ các cổng vào cùng một
VLAN để dễ dàng cho việc lọc trên Router. Bằng cách gán toàn bộ các switchs
vào một giải địa chỉ ví như 192.168.3.x, bạn có thể lọc các thông tin không thích
đáng vào các thiết bị đó bằng một vài access list. Một cách tốt nhất và đơn giản
đẻ quản lý hệ thống mạng là bạn hoàn toàn có thể chỉ cần một VLAN cho một
switch và không cần bận tâm tới việc điều đó sẽ làm cả hệ thống mạng của bạn
sẽ hoạt động một cách chậm chạp.
· Nếu bạn để địa chỉ IP của switch là 192.168.3.56 và toàn bộ máy tính của
phòng IT có địac hỉ 192.168.7.x bạn có thể làm được một vài thứ như:
· Bạn tạo ra một cách quản lý VLAN mà không chia sẻ với quá trình trao đổi dữ
liệu với người dùng. Trong trường hợp này tôi tạo VLAN là 99
· Bạn đến router tạo ra một sub-interface cho VLAN 99. Thiết lập "no shut" trên
cổng này.
· Thiết lập access list cho cổng này. Nó cho phép toàn bộ các trao đổi dữ liệu từ
tất cả mọi nơi nhưng sẽ cấm quá trình telnet đến switch từ tất cả các máy tính
của phòng IT.
1. access-list 101 permit tcp 192.168.7.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 23
2. access-list 101 deny tcp any any eq 23
3. access-list 101 permit ip any any
áp dụng access list tới cổng này. bởi tất cả quá trình truyền tải dữ liệu bình
thường sẽ không qua sub-interface 99, access list này thực hiện kiểm tra cũng
không ảnh hưởng đến tốc độ truyền tải dữ liệu.
5: Permit Lists for Layer 3 Switches
Một switch Layer3 là một thiết bị sử dụng các thông tin tại Layer 3 trong
switching tables. Layer3 và Layer 4 switches cho phép nhiều tính năng linh động
hơn và được thiết kế để switching các nội dung và có khả năng load balancing.
Một dòng switch layer3 của Cisco như series 4000, 2948G và 2980G.

Bởi vì switch này có thể hiểu được vài thông tin của layer 3 nhưng bạn đừng tạo
nó như một router. Một router sẽ truyền tải thông tin với các router khác và có
thể học được mạng của các mạng từ xa. Một switch không làm được điều đó.
Nó chỉ có thể học được lớp trên bằng việc cho phép quá trình truyền tải qua nó.
Một switch layer 3 có thể nhận ra các dạng traffic khác nhau. Nó cho phép người
quản trị cấu hình một vài thiết lập gọi là một Permit List. Danh sách này sẽ cho
phép những dạng thông tin truyền tải nào cụ thể với địa chỉ IP. Nó không phải là
access list nhưng có những thành phần, tính chất tương tự và có những giới
hạn riêng.
Switch có thể nhận ra một vài cách có thể cấu hình bao gồm Telnet và SNMP.
Bạn cần thay đổi và không muốn bất kỳ ai có thể truy cập vào switch và cấu hình
lại chúng. Trong khi các thiết lập access list sẽ làm việc, một phương pháp để
làm việc với switch là thực hiện lọc từ chính các thông tin đến nó.
Dòng lệnh để làm việc với permit list là: Set ip permit ip_address [mask] [all |
snmp | telnet | ssh]. Cái này sẽ quyết định thiết bị nào hay những thiết bị có thể
truy cập đến nó. Tất cả các thiết bị không được cấu hình mặc nhiên sẽ không
được truy cập đến nó. Nó bao gồm ba bảng khác nhau cho phép với các câu
lệnh. Bảng Telnet sẽ được dữ động lập với bảng SNMP. Nó cho phép bạn cấu
hình permit list chỉ cho phép quản lý switch từ SNMP và một permit list khác cho
Telnet với các thiết bị khác nhau.
Trong các bước quá quá trình này bạn phải sử dụng dòng lệnh: set ip permit
enable [ssh | snmp | telnet]. Bạn phải lựa chọn cụ thể bảng Telnet hay SNMP
được kích hoạt. Điều đó có nghĩa là bảng SNMP được kích hoạt không có nghĩa
bảng Telnet được kích hoạt.
Thông tin thiết lập để SNMP truy cập vào các thiết bị layer 3 của Cisco được
miêu tả chi tiết tại:

lan/cat4000/rel_6_1/conf/ip_perm.htm
Kết luận
Đây là các bước bảo mật hệ thống của bạn. Tuy nhiên đó là bước để bạn lắm

bắt công nghệ cơ bản nhất để thực hiện và tiến hành các ứng dụng này bạn cần
phải có hiểu biết sâu rộng về nó.